网络安全与网络管理技术.ppt

《网络安全与网络管理技术.ppt》由会员分享，可在线阅读，更多相关《网络安全与网络管理技术.ppt（86页珍藏版）》请在沃文网上搜索。

1、第七章 网络安全与网络管理技术本章主要内容本章主要内容1.计算机网络安全概述计算机网络安全概述2.加密与认证技术加密与认证技术3.防火墙技术防火墙技术4.网络安全与入侵检测技术网络安全与入侵检测技术5.网络防病毒技术网络防病毒技术6.网络管理技术网络管理技术7.网络安全测评网络安全测评7.1 计算机网络安全概述v网络安全研究的主要问题网络安全研究的主要问题 n1网络防攻击技术和入侵检测技术网络防攻击技术和入侵检测技术n2网络安全漏洞与对策的研究网络安全漏洞与对策的研究n3网络中的信息安全问题网络中的信息安全问题 n4防抵赖问题防抵赖问题n5网络内部安全防范网络内部安全防范n6网络防病毒技术网络

2、防病毒技术n7网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题 1网络防攻击技术和入侵检测技术v网络攻击是指某些个人或组织以非法窃取信息或破坏信息网络攻击是指某些个人或组织以非法窃取信息或破坏信息为目的试图侵入网络、滥用网络、破坏网络或影响网络正为目的试图侵入网络、滥用网络、破坏网络或影响网络正常运行的行为。网络攻击通常可分为以下两种类型：常运行的行为。网络攻击通常可分为以下两种类型：n（1）服务攻击（）服务攻击（application dependent attack）：对网络）：对网络提供某种服务的服务器发起攻击，造成该网络的提供某种服务的服务器发起攻击，造成该网络的“拒绝

3、服务拒绝服务”，使，使网络工作不正常网络工作不正常;n（2）非服务攻击（）非服务攻击（application independent attack）：不）：不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。得网络通信设备工作严重阻塞或瘫痪。v网络防攻击技术的研究内容包括：网络防攻击技术的研究内容包括：n研究网络攻击常用的手段和工具；研究网络攻击常用的手段和工具；n找出网络系统的安全漏洞；找出网络系统的安全漏洞；n建立入侵检测系统，使网络安全管理员能及时地处理入侵警报，将建立入侵检测系统，使网络

4、安全管理员能及时地处理入侵警报，将网络攻击造成的损失降到最小；网络攻击造成的损失降到最小；n根据网络攻击的特征采取相应的网络安全策略；根据网络攻击的特征采取相应的网络安全策略；n建立健壮的网络安全防护体系。建立健壮的网络安全防护体系。2 2网络安全漏洞与对策的研究网络安全漏洞与对策的研究v网络信息系统的运行涉及计算机硬件与操作系统、网络信息系统的运行涉及计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统、应用软网络硬件与网络软件、数据库管理系统、应用软件、网络通信协议等各个方面。在这些方面或多件、网络通信协议等各个方面。在这些方面或多或少都存在着一定的安全漏洞或少都存在着一定的安全漏洞v

5、网络安全就是要研究这些存在的安全漏洞风险，网络安全就是要研究这些存在的安全漏洞风险，采取相应的对策，防患于未然。采取相应的对策，防患于未然。3 3网络中的信息安全问题网络中的信息安全问题v网络中信息安全问题主要包括信息存储安全与信网络中信息安全问题主要包括信息存储安全与信息传输安全。息传输安全。n（1）信息存储安全：如何保证静态存储在计算机网络）信息存储安全：如何保证静态存储在计算机网络终端中的信息不会被未授权的网络用户非法使用；终端中的信息不会被未授权的网络用户非法使用；n（2）信息传输安全：如何保证信息在网络传输的过程）信息传输安全：如何保证信息在网络传输的过程中不被窃取或攻击。信息传输过

6、程中可能会遭受到非法中不被窃取或攻击。信息传输过程中可能会遭受到非法用户不同类型的攻击，基本类型有：中断、窃听、篡改用户不同类型的攻击，基本类型有：中断、窃听、篡改和伪造。和伪造。信息被中断信息被中断v中断中断(interruption）：网络中未经授权的用户非）：网络中未经授权的用户非法获取其他用户的通信内容，且造成信息传输中法获取其他用户的通信内容，且造成信息传输中断，使接收方不能正常收到信息。这是对信息可断，使接收方不能正常收到信息。这是对信息可用性的威胁。用性的威胁。信息被窃听信息被窃听v窃听窃听(interception)：网络中未经授权的用户非：网络中未经授权的用户非法获取其他用户

7、的通信内容，且不影响目的用户法获取其他用户的通信内容，且不影响目的用户对信息的掌握。这是对信息保密性的威胁。对信息的掌握。这是对信息保密性的威胁。信息被篡改信息被篡改v篡改篡改(modification)：网络中未经授权的用户非：网络中未经授权的用户非法获取正在传输的信息，并篡改了信息。这是对法获取正在传输的信息，并篡改了信息。这是对信息完整性的威胁。信息完整性的威胁。信息被伪造信息被伪造v伪造伪造(fabrication)：网络中未经授权的用户非法：网络中未经授权的用户非法获得合法用户的权限，并以其身份与其他用户进获得合法用户的权限，并以其身份与其他用户进行欺诈通信。这也是对信息完整性的威胁

8、。行欺诈通信。这也是对信息完整性的威胁。4防抵赖问题v防抵赖是防止信息发送方或接收方否认信息发送防抵赖是防止信息发送方或接收方否认信息发送或接收的行为。当信息发出时，接收方可以证实或接收的行为。当信息发出时，接收方可以证实信息是从声明的信息源节点发出的，反之，当接信息是从声明的信息源节点发出的，反之，当接收方获取信息时，发送方能证实信息是有声明的收方获取信息时，发送方能证实信息是有声明的信息目标节点接收的。这就是信息传输过程中的信息目标节点接收的。这就是信息传输过程中的不可抵赖性。不可抵赖性。v解决防抵赖问题的主要手段有身份认证、数字签解决防抵赖问题的主要手段有身份认证、数字签名、数字信封、第

9、三方确认等。名、数字信封、第三方确认等。5网络内部安全防范v网络内部安全防范主要是防止内部具有合法身份网络内部安全防范主要是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的用户有意或无意地做出对网络与信息安全有害的行为。这些行为主要包括：的行为。这些行为主要包括：n网络系统设置不当留下安全漏洞；网络系统设置不当留下安全漏洞；n有意或无意地泄露网络用户或网络管理员的口令；有意或无意地泄露网络用户或网络管理员的口令；n违反网络安全规定，绕过防火墙，私自与外部网络连接，违反网络安全规定，绕过防火墙，私自与外部网络连接，造成系统安全漏洞；造成系统安全漏洞；n违反网络使用规定，越权查看、

10、修改和删除系统文件、违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；应用程序及数据；n违反网络使用规定，越权修改网络系统配置，造成网络违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；工作不正常；6网络防病毒技术v计算机病毒是网络攻击常用的工具之一。计算机病毒是网络攻击常用的工具之一。v计算机病毒是这样定义的：计算机病毒是这样定义的：“计算机病毒是指编制或者在计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。算机使用，并能自我复制的一组计算机指

11、令或者程序代码。”v计算机病毒具有非授权可执行性、隐蔽性、传染性、潜伏计算机病毒具有非授权可执行性、隐蔽性、传染性、潜伏性、破坏性、可触发性等特征。性、破坏性、可触发性等特征。v在网络系统中计算机病毒的破坏性具体表现在：利用各种在网络系统中计算机病毒的破坏性具体表现在：利用各种方法对网络资源进行破坏；使网络不能正常工作；造成整方法对网络资源进行破坏；使网络不能正常工作；造成整个网络的瘫痪等。个网络的瘫痪等。v现在常见的病毒主要包括：引导型病毒、可执行文件病毒、现在常见的病毒主要包括：引导型病毒、可执行文件病毒、宏病毒、混合病毒、特洛伊木马型病毒和宏病毒、混合病毒、特洛伊木马型病毒和Intern

12、et语言病语言病毒等。毒等。7网络数据备份与恢复、灾难恢复问题v计算机网络面临着诸多的威胁，任何不利的因素计算机网络面临着诸多的威胁，任何不利的因素都有可能造成计算机中数据的丢失，破坏数据的都有可能造成计算机中数据的丢失，破坏数据的完整性和可用性。因此，就需要制定一个完整的完整性和可用性。因此，就需要制定一个完整的数据备份和灾难恢复方案，一旦出现网络故障造数据备份和灾难恢复方案，一旦出现网络故障造成数据丢失，就能及时有效的恢复数据。成数据丢失，就能及时有效的恢复数据。v数据备份指的是为防止计算机信息系统数据丢失数据备份指的是为防止计算机信息系统数据丢失或被破坏，而将全系统或部分数据集合复制到其

13、或被破坏，而将全系统或部分数据集合复制到其他硬盘或磁盘阵列等存储介质上的过程。他硬盘或磁盘阵列等存储介质上的过程。网络安全标准 v网络安全标准指的是在网络架设、管理以及网络网络安全标准指的是在网络架设、管理以及网络安全系统的设计与开发过程中，需要参考的网络安全系统的设计与开发过程中，需要参考的网络安全体系结构。安全体系结构。v目的是保证网络安全功能的完备性和一致性，降目的是保证网络安全功能的完备性和一致性，降低安全代价和管理开销。低安全代价和管理开销。v网络安全标准对于网络安全解决方案的设计、实网络安全标准对于网络安全解决方案的设计、实现和管理都有重要意义。现和管理都有重要意义。网络安全模型网

14、络安全模型 ISO/OSI安全体系结构 vISO安全体系结构其核心内容是保证异构计算机安全体系结构其核心内容是保证异构计算机系统之间远距离交换信息的安全。系统之间远距离交换信息的安全。v在在OSI安全参考模型中增设了安全服务安全参考模型中增设了安全服务(Security Service)、安全机制、安全机制(Security Mechanism)和安全管理和安全管理(Security Management),并给出了并给出了OSI网络层次、安全服务和安全机制之间的逻辑网络层次、安全服务和安全机制之间的逻辑关系。定义了关系。定义了5大类安全服务，提供了大类安全服务，提供了8大类安全大类安全机制以

15、及相应的开放系统互联的安全管理，并根机制以及相应的开放系统互联的安全管理，并根据具体系统适当配置于据具体系统适当配置于OSI模型的模型的7层协议中层协议中 ISO/OSI安全体系结构ISOISO安全体系结构的安全服务安全体系结构的安全服务 v安全服务是一种由系统提供的对资源进行特殊保安全服务是一种由系统提供的对资源进行特殊保护的进程或通信服务。安全服务通过安全机制来护的进程或通信服务。安全服务通过安全机制来实现安全策略。实现安全策略。ISO安全体系结构定义了五大类安全体系结构定义了五大类型共型共14项特定安全服务。项特定安全服务。ISOISO安全体系结构的安全服务安全体系结构的安全服务分分类类

16、特定特定服服务务内容内容认证服务(确保通信实体就是它所声称的实体，又称鉴别服务)对等实体认证用于逻辑连接建立和数据传输阶段，为该连接的实体的身份提供可信性保障数据源认证在无连接传输时，保证收到的信息来源是所声称的来源ISOISO安全体系结构的安全服务安全体系结构的安全服务分分类类特定服特定服务务内容内容访问控制服务防止对资源的非授权访问，包括防止以非授权的方式使用某一资源。这种访问控制要与不同的安全策略协调一致数据保密性服务(保护信息不被泄露或暴露给未经授权的实体)连接保密性保护一次连接中所有的用户数据无连接保密性保护单个数据单元里的所有用户数据选择字段保密性对一次连接或单个数据单元里选定的数

17、据部分提供保密性流量保密性保护那些可以通过观察流量而获得的信息ISOISO安全体系结构的安全服务安全体系结构的安全服务分分类类特定服特定服务务内容内容数据完整性服务(保证接收到的确实是授权实体发出的数据，即没有修改、插入、删除或重发)可恢复的连接完整性提供一次连接中所有用户数据的完整性。检测整个数据序列内存在的修改、插入、删除或重发，且试图恢复之不可恢复的连接完整性提供一次连接中所有用户数据的完整性。检测整个数据序列内存在的修改、插入、删除或重发，但不可恢复选择字段的连接完整性提供一次连接中传输的单个数据单元用户数据中选定部分的数据完整性，并判断选定域是否有修改、插入、删除或重发无连接完整性为

18、单个无连接数据单元提供完整性保护；选择字段的无连接完整性为单个无连接数据单元的被选字段提供完整性保护；判断选定字段是否被修改ISOISO安全体系结构的安全服务安全体系结构的安全服务分分类类特定特定服服务务内容内容抗抵赖性服务(防止整个或部分通信过程，任一通信实体进行否认的行为)数据源发的不可否认性证明信息由特定的一方发出交付证明的不可否认性证明信息被特定方收到ISOISO安全体系结构的安全机制安全体系结构的安全机制 分分类类内容内容特定安全机制特定安全机制(可以嵌入可以嵌入合适的合适的协协议层议层以提以提供一些供一些OSI安全服安全服务务)加密加密运用数学算法将数据运用数学算法将数据转换转换成

19、不可知的形式。数据的成不可知的形式。数据的变换变换和复原依和复原依赖赖于算法和一个或多个加密密于算法和一个或多个加密密钥钥数字数字签签名机制名机制附加于数据元之后的数据，它是附加于数据元之后的数据，它是对对数据元的密数据元的密码变换码变换，可使接收方可使接收方证证明数据的来源和完整性，并防止明数据的来源和完整性，并防止伪伪造造访问访问控制机制控制机制对资对资源源实实施施访问访问控制的各种机制控制的各种机制数据完整性机制数据完整性机制用于保用于保证证数据元或数据流的完整性的各种机制数据元或数据流的完整性的各种机制认证认证交交换换机制机制通通过过信息交信息交换换来保来保证实证实体身份的各种机制体身

20、份的各种机制流量填充机制流量填充机制在数据流空隙中插入若干位以阻止流量分析在数据流空隙中插入若干位以阻止流量分析路由控制机制路由控制机制能能够为够为某些数据某些数据动态动态地或地或预预定地定地选选取路由，确保只使用取路由，确保只使用物理上安全的子网物理上安全的子网络络、中、中继继站或站或链链路路公公证证机制机制利用可信利用可信赖赖的第三方来保的第三方来保证证数据交数据交换换的某些性的某些性质质ISOISO安全体系结构的安全机制安全体系结构的安全机制分分类类内容内容普遍安全机制普遍安全机制(不局限于不局限于任何任何OSI安安全服全服务务或或协议层协议层的的机制机制)可信功能度可信功能度根据某些根

21、据某些标标准准(如安全策略所如安全策略所设设立的立的标标准准)被被认为认为是正确的，就是可信的是正确的，就是可信的安全安全标标志志资资源源(可能是数据元可能是数据元)的的标标志，以指明志，以指明该资该资源的属源的属性性事件事件检测检测检测检测与安全相关的事件与安全相关的事件安全安全审计审计跟踪跟踪收集潜在可用于安全收集潜在可用于安全审计审计的数据，以便的数据，以便对对系系统统的的记录记录和活和活动进动进行独立地行独立地观观察和察和检查检查安全恢复安全恢复处处理来自理来自诸诸如事件如事件处处置与管理功能等安全机制的置与管理功能等安全机制的请请求，并采取恢复措施求，并采取恢复措施网络安全技术vIS

22、O安全体系结构安全机制的架设是通过网络安全技术来实现的。安全体系结构安全机制的架设是通过网络安全技术来实现的。v网络安全技术可分为：网络安全技术可分为：n(1)身份验证技术：身份验证包括身份识别和身份认证两个方面，是确认身份验证技术：身份验证包括身份识别和身份认证两个方面，是确认通信双方真实身份的重要环节。常用的身份验证方法有用户名通信双方真实身份的重要环节。常用的身份验证方法有用户名/口令、数口令、数字签名、数字认证、字签名、数字认证、PAP认证等。认证等。n(2)数据完整性技术：数据完整性技术是为了保持网络的物理完整性、维数据完整性技术：数据完整性技术是为了保持网络的物理完整性、维护数据的

23、机密性、提供安全视图、保障通信安全。涉及数据完整性的相关护数据的机密性、提供安全视图、保障通信安全。涉及数据完整性的相关技术有访问控制列表技术有访问控制列表ACL（Access Control List）、网络地址转换）、网络地址转换NAT(Network Address Translate)、防火墙和加密技术等。、防火墙和加密技术等。n(3)跟踪审计技术：网络活动跟踪审计技术可以验证网络安全策略是否合跟踪审计技术：网络活动跟踪审计技术可以验证网络安全策略是否合适、确认安全策略是否执行、及时报告各种情况、记录遭受的攻击、检测适、确认安全策略是否执行、及时报告各种情况、记录遭受的攻击、检测是否存

24、在安全漏洞、统计是否有滥用网络及其他异常现象等。常用的跟踪是否存在安全漏洞、统计是否有滥用网络及其他异常现象等。常用的跟踪审计技术有记账审计技术有记账/日志、网络监控、入侵检测与防止、可疑活动实时报警日志、网络监控、入侵检测与防止、可疑活动实时报警等。等。n(4)信息伪装技术：信息伪装技术成为密码学领域的一个热点，它涉及文信息伪装技术：信息伪装技术成为密码学领域的一个热点，它涉及文本、音频、视频图像等信息的伪装，主要有数字水印、替声技术、隐身技本、音频、视频图像等信息的伪装，主要有数字水印、替声技术、隐身技术和叠像技术等术和叠像技术等 7.2 加密与认证技术 v密码技术是安全服务的基础性技术，

25、是保护信息密码技术是安全服务的基础性技术，是保护信息安全的主要手段之一。安全的主要手段之一。v密码技术是一门综合了数学、计算机科学、电子密码技术是一门综合了数学、计算机科学、电子与通信等诸多学科于一身的交叉学科，它不仅具与通信等诸多学科于一身的交叉学科，它不仅具有保证信息机密性的信息加密功能，而且具有数有保证信息机密性的信息加密功能，而且具有数字签名、身份验证、秘密分存、系统安全等功能。字签名、身份验证、秘密分存、系统安全等功能。所以，使用密码技术不仅可以保证信息的机密性，所以，使用密码技术不仅可以保证信息的机密性，而且可以保证信息的完整性和确定性，防止信息而且可以保证信息的完整性和确定性，防

26、止信息被篡改、伪造和假冒。被篡改、伪造和假冒。密码算法与密码体制v加密加密(Encryption)n指将一个信息经过加密钥匙及加密函数转换指将一个信息经过加密钥匙及加密函数转换,变成无意义的密文，变成无意义的密文，而接收方则将此密文经过解密函数、解密钥匙还原成明文而接收方则将此密文经过解密函数、解密钥匙还原成明文 v密码算法密码算法n是一个复杂的函数变换，是一个复杂的函数变换，C=F(M,Key),C代表密文，即加密后代表密文，即加密后得到的字符序列，得到的字符序列，M代表明文代表明文,即待加密的字符序列，即待加密的字符序列，Key代表密代表密钥，是秘密选定的一个字符序列。钥，是秘密选定的一个

27、字符序列。v当加密完成后，可以将密文通过不安全渠道送给收信人，当加密完成后，可以将密文通过不安全渠道送给收信人，但密钥的传递必须通过安全渠道。但密钥的传递必须通过安全渠道。v目前流行的密码算法主要有目前流行的密码算法主要有DES、RSA，IDEA，DSA等等 加解密过程加解密过程 密码算法分类v(1)按加密和解密密钥的类型不同按加密和解密密钥的类型不同,分为：分为：n对称密钥密码算法：加密和解密必须使用同一密钥，如对称密钥密码算法：加密和解密必须使用同一密钥，如DES和和IDEA等等n非对称密钥密码算法：将加密密钥与解密密钥区分开来，且由加密非对称密钥密码算法：将加密密钥与解密密钥区分开来，且

28、由加密密钥事实上求不出解密密钥。非对称密钥密码算法的公钥是公开的，密钥事实上求不出解密密钥。非对称密钥密码算法的公钥是公开的，私钥则不能公开。常见的非对称密钥密码算法有私钥则不能公开。常见的非对称密钥密码算法有RSA、ElGamal和椭圆曲线密码等。和椭圆曲线密码等。v(2)按加密时对明文的处理方式的不同，分为：按加密时对明文的处理方式的不同，分为：n分组密码算法：把密文分成等长的组分别加密，通常使用的是分组密码算法：把密文分成等长的组分别加密，通常使用的是64bit的分组大小。常见的分组密码算法有的分组大小。常见的分组密码算法有DES、EES(托管加密托管加密标准标准)、AES(高级加密标准

29、高级加密标准)等。等。n序列密码算法：按比特位进行处理，用已知的伪随机密码序列与明序列密码算法：按比特位进行处理，用已知的伪随机密码序列与明文按位异或。文按位异或。密钥密码体系v对称密钥加密对称密钥加密n对称密钥加密又称私钥算法加密。它要求加密解密双方对称密钥加密又称私钥算法加密。它要求加密解密双方拥有相同的密钥，一方使用该密钥加密，而另一方使用拥有相同的密钥，一方使用该密钥加密，而另一方使用该密钥解。该密钥解。n常用算法：常用算法：DES、Triple DES、IDEA、blowfish和和Twofish 密钥密码体系v非对称密钥密码体系非对称密钥密码体系n是指加密解密双方拥有不同的密钥，在

30、不知道特定信息的情是指加密解密双方拥有不同的密钥，在不知道特定信息的情况下，加密密钥和解密密钥在计算上是很难相互算出。况下，加密密钥和解密密钥在计算上是很难相互算出。n常见的非对称密钥密码算法有常见的非对称密钥密码算法有RSA、ElGamal和椭圆曲线和椭圆曲线密码。密码。数字签名技术数字签名技术v公钥加密技术解决了密钥分发的问题。但是接收公钥加密技术解决了密钥分发的问题。但是接收者仍然不能确认真正的发送者。者仍然不能确认真正的发送者。v数字签名机制提供了一种鉴别方法，以解决伪造、数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等问题。数字签名一般采用非抵赖、冒充和篡改等问题。数字

31、签名一般采用非对称加密技术对称加密技术(如如RSA)。通过对整个明文进行某。通过对整个明文进行某种变换，得到一个值作为核实签名。接收者使用种变换，得到一个值作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算，如能正发送者的公开密钥对签名进行解密运算，如能正确解密，则签名有效证明对方的身份是真实的。确解密，则签名有效证明对方的身份是真实的。v数字签名普遍用于银行、电子贸易等。数字签名普遍用于银行、电子贸易等。身份认证技术v身份认证（身份认证（Identification and Authentication）可）可以定义为：为了使某些授予许可权限的权威机构、组织和以定义为：为了使某些授予

32、许可权限的权威机构、组织和个人满意，而提供所要求的证明自己身份的过程。个人满意，而提供所要求的证明自己身份的过程。v身份认证可以通过以下身份认证可以通过以下3种基本途径之一或它们的组合实种基本途径之一或它们的组合实现：现：n(1)所知（所知（Knowledge）：个人所掌握的密码、口令；）：个人所掌握的密码、口令；n(2)所有（所有（Possesses）：个人身份证、护照、信用卡、钥匙；）：个人身份证、护照、信用卡、钥匙；n(3)个人特征（个人特征（Characteristics）：人的指纹、声音、笔迹、手）：人的指纹、声音、笔迹、手型、脸型、血型、视网膜、虹膜、型、脸型、血型、视网膜、虹膜、

33、DNA，以及个人动作方面的特，以及个人动作方面的特征；征；计算机及网络系统中常用的身份认证方式v(1)用户名用户名/密码方式密码方式 n用户名用户名/密码是最简单也是最常用的身份认证方法。密码是最简单也是最常用的身份认证方法。v(2)智能卡认证智能卡认证 n智能卡是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，智能卡是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。v(3)动态口令动态口令 n它采用一种叫做动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，它采用一

34、种叫做动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。v(4)USB Key认证认证nUSB Key是一种是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用内置的密码算法实现对用户身份的认证

35、。户身份的认证。v(5)生物识别技术生物识别技术n生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术。的一种技术。7.3 防火墙技术 v防火墙概述防火墙概述n防火墙（防火墙（Firewall）是在网络之间执行安全控制策略）是在网络之间执行安全控制策略的系统，它包括硬件和软件，采用由系统管理员定义的的系统，它包括硬件和软件，采用由系统管理员定义的规则，对一个安全网络和一个不安全网络之间的数据流规则，对一个安全网络和一个不安全网络之间的数据流加以控制。加以控制。防火墙的作用防火墙的作用v(1)网络的安全屏障网络

36、的安全屏障n防火墙能极大地提高内部网络的安全性，并通过过滤不安全的服务而降低防火墙能极大地提高内部网络的安全性，并通过过滤不安全的服务而降低风险。只有经过授权通信才能通过防火墙，所以网络环境变得更安全。同风险。只有经过授权通信才能通过防火墙，所以网络环境变得更安全。同时防火墙可以保护网络免受基于路由的攻击。时防火墙可以保护网络免受基于路由的攻击。v(2)强化网络安全策略强化网络安全策略n通过以防火墙为中心的安全策略方案配置，能将很多安全控制如：口令、通过以防火墙为中心的安全策略方案配置，能将很多安全控制如：口令、加密、身份认证等配置在防火墙上。同很多网络安全策略相比，基于这种加密、身份认证等配

37、置在防火墙上。同很多网络安全策略相比，基于这种安全策略的安全管理更为经济有效。安全策略的安全管理更为经济有效。v(3)对网络存取和访问进行监控审计对网络存取和访问进行监控审计n当所有的访问都经过防火墙时，防火墙就能够记录下这些访问。同时，提当所有的访问都经过防火墙时，防火墙就能够记录下这些访问。同时，提供网络应用的统计数据。当发生可疑动作时，防火墙能进行适当的报警，供网络应用的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监听和攻击的详细信息。并提供网络是否受到监听和攻击的详细信息。v(4)防止内部信息的外泄防止内部信息的外泄n利用防火墙对内部网络的划分，可实现内部网中

38、重点网段的隔离，从而缩利用防火墙对内部网络的划分，可实现内部网中重点网段的隔离，从而缩小了局部网络安全问题对全局网络造成的影响。另外，一个内部网络中不小了局部网络安全问题对全局网络造成的影响。另外，一个内部网络中不引人注意的细节可能包含了有关安全的线索，从而引起外部攻击者的兴趣，引人注意的细节可能包含了有关安全的线索，从而引起外部攻击者的兴趣，甚至暴露了内部网络的某些安全漏洞，使用防火墙就可以隐蔽这些内部细甚至暴露了内部网络的某些安全漏洞，使用防火墙就可以隐蔽这些内部细节。节。防火墙的缺点防火墙的缺点 v(1)不能防范恶意的知情者不能防范恶意的知情者n防火墙可以禁止系统用户经过网络连接发送某些

39、信息，但用户可以将数据防火墙可以禁止系统用户经过网络连接发送某些信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育等。管理，如主机安全和用户教育等。v(2)不能防范不通过它的连接不能防范不通过它的连接n防火墙能够有效地

40、防止通过它进行传输信息，然而不能防止不通过它而传防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。那么防火墙绝对没有办法阻止入侵者进行拨号入侵。v(3)不能防备全部的威胁不能防备全部的威胁n防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，可以防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，可以防备新的威胁，但没有一个防火墙能自动防御所有的新的威胁。防备新的威胁，但没有一个防火墙能自动防

41、御所有的新的威胁。v(4)防火墙不能防范病毒防火墙不能防范病毒n防火墙不能消除网络上防火墙不能消除网络上PC机的病毒。机的病毒。包过滤路由器 v包过滤防火墙实际上基于路由器，因此它也称为筛选路由包过滤防火墙实际上基于路由器，因此它也称为筛选路由器。包过滤防火墙工作在网络层，有选择的让数据包在内器。包过滤防火墙工作在网络层，有选择的让数据包在内部网和外部网之间进行交换。只有满足过滤逻辑的数据包部网和外部网之间进行交换。只有满足过滤逻辑的数据包才被转发到相应的目的端口，其余数据包则从数据流中丢才被转发到相应的目的端口，其余数据包则从数据流中丢弃。弃。应用级网关v应用级网关是基于代理服务的防火墙，是

42、运行在代理服务应用级网关是基于代理服务的防火墙，是运行在代理服务器上的一些特定的应用程序或服务器程序。应用级网关工器上的一些特定的应用程序或服务器程序。应用级网关工作在应用层，掌握着应用系统中可用做安全决策的全部信作在应用层，掌握着应用系统中可用做安全决策的全部信息。息。v所谓代理服务，即防火墙内外的计算机系统应用层的链接所谓代理服务，即防火墙内外的计算机系统应用层的链接是在两个终止于代理服务的链接来实现的，这样便成功地是在两个终止于代理服务的链接来实现的，这样便成功地实现了防火墙内外计算机系统的隔离。当代理服务器代表实现了防火墙内外计算机系统的隔离。当代理服务器代表用户与外部建立连接时，可以

43、用自己的用户与外部建立连接时，可以用自己的IP地址代替内部网地址代替内部网络的络的IP地址，所有内部网络中的站点对外部是不可见的。地址，所有内部网络中的站点对外部是不可见的。v应用级网关是防火墙技术中使用得较多的技术，也是一种应用级网关是防火墙技术中使用得较多的技术，也是一种安全性能较高的技术。在使用中，外部用户只能看到代理安全性能较高的技术。在使用中，外部用户只能看到代理服务器，内部网络只接收代理服务器的服务请求。服务器，内部网络只接收代理服务器的服务请求。v与包过滤防火墙相比，它更安全，还可加速访问。但实现与包过滤防火墙相比，它更安全，还可加速访问。但实现起来较为复杂，需要对每一种服务设计

44、一个代理软件模块起来较为复杂，需要对每一种服务设计一个代理软件模块来进行安全控制。来进行安全控制。防火墙的体系结构v1屏蔽路由器屏蔽路由器(Screening Router)v2双宿主机网关双宿主机网关(Dual-Homed Gateway)v3屏蔽主机网关屏蔽主机网关(Screened Gateway)v4屏蔽子网屏蔽子网(Screened Subnet)n屏蔽路由器作为内外连接的唯一通道，要求所有的报文屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于都必须在此通过检查。路由器上可以安装基于IP层的报层的报文过滤软件，实现报文过滤功能。许多路由器本身带

45、有文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。单纯由屏蔽路由报文过滤配置选项，但一般比较简单。单纯由屏蔽路由器构成的防火墙的威胁来自路由器本身及路由器允许访器构成的防火墙的威胁来自路由器本身及路由器允许访问的主机。屏蔽路由器的缺点是一旦被攻击后很难发现，问的主机。屏蔽路由器的缺点是一旦被攻击后很难发现，而且不能识别不同的用户。而且不能识别不同的用户。1屏蔽路由器(Screening Router)v屏蔽路由器作为内外连接的唯一通道，要求所有屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以安装的报文都必须在此通过检查。路由器上

46、可以安装基于基于IP层的报文过滤软件，实现报文过滤功能。层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般许多路由器本身带有报文过滤配置选项，但一般比较简单。单纯由屏蔽路由器构成的防火墙的威比较简单。单纯由屏蔽路由器构成的防火墙的威胁来自路由器本身及路由器允许访问的主机。屏胁来自路由器本身及路由器允许访问的主机。屏蔽路由器的缺点是一旦被攻击后很难发现，而且蔽路由器的缺点是一旦被攻击后很难发现，而且不能识别不同的用户。不能识别不同的用户。2双宿主机网关(Dual-Homed Gateway)v把包过滤和代理服务两种方法结合起来，可以形成新的防火墙，称为把包过滤和代理服

47、务两种方法结合起来，可以形成新的防火墙，称为双宿主机防火墙。所有主机称为堡垒主机（双宿主机防火墙。所有主机称为堡垒主机（Bastion Host），它取），它取代路由器执行安全控制功能，负责提供代理服务。代路由器执行安全控制功能，负责提供代理服务。v双宿主机是一台具有多个网络接口的主机，网卡各自与受保护网和外双宿主机是一台具有多个网络接口的主机，网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序数据，部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序数据，提供服务。内部网与外部网之间不能直接通信，必须经过堡垒主机提供服务。内部网与外部网之间不能直接通信，必须经过堡

48、垒主机 3屏蔽主机网关(Screened Gateway)v屏蔽主机结构中，堡垒主机仅与内部网相连，在内外部网屏蔽主机结构中，堡垒主机仅与内部网相连，在内外部网间增加分组过滤路由器，堡垒主机通过包过滤路由器与外间增加分组过滤路由器，堡垒主机通过包过滤路由器与外部网相连。部网相连。v通常在路由器上设立过滤规则，并使这个堡垒主机成为从通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不受外部网络唯一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。未被授权的外部用户的攻击。4 4屏蔽子网屏蔽子网(Screened Subnet)(Scre

49、ened Subnet)v屏蔽子网就是在内部网络和外部网络之间建立一屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。子网分别与内部网络和外部网络分开。7.4 网络安全的攻击与入侵检测技术 v常见的网络攻击方法常见的网络攻击方法 n1口令窃取口令窃取 n2木马程序攻击木马程序攻击 n3欺骗攻击欺骗攻击 n3欺骗攻击欺骗攻击 n5网络监听网络监听 n6寻找系统漏洞寻找系统漏洞 n7拒绝服务攻击拒绝服务攻击入侵检测与入侵检测系统入侵检测与入侵检测系统 v入侵检测（入侵检测（Intrusio

50、n Detection）n是对入侵行为的检测。它通过收集和分析计算机网络或是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象否存在违反安全策略的行为和被攻击的迹象 v入侵检测系统（入侵检测系统（Intrusion Detection System）n是对计算机和网络资源的恶意使用行为进行识别的系统；是对计算机和网络资源的恶意使用行为进行识别的系统；它的目的是监测和发现可能存在的攻击行为，包括来自它的目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来