计算机网络技术基础 工业和信息化普通高等教育“十二五”规划教材 教学课件 ppt 作者 周舸 第十二章 网络安全

1、第十二章 网络安全,本章学习要点：,网络安全概述,防火墙技术,网络防病毒技术,网络安全技术的发展前景,网络加密技术,数字证书与数字签名,入侵检测技术,12.1 网络安全概述,1. 网络安全的现状,随着全球信息化的飞速发展，网络已经成为社会和经济发展的强大推动力，其地位越来越重要。但同时网络安全的问题也日益突出。网 络安全涉及到国家安全、个人利益、企业生存等方方面面，因此它是信息化进程中具有重大战略意义的问题。,计算机犯罪始于二十世纪80年代，随着网络应用范围的逐步扩大，其犯罪手段日见“高明”，计算机网络安全面临严重威胁，安全事故屡有发生。从目前来看，网络安全的状况令人十分担忧，从技术到管理都处于落后、被动局面。,TCP/IP是Internet的标准协议，传统的网络应用都是基于此协议的，因而大部分网络安全问题都与TCP/IP协议有关。近来在局域网中，TCP/IP也越来越流行，这使得通过Internet侵入局域网变得十分容易。,对计算机网络所构成的威胁大致可分为两类：故意危害和无意危害。故意危害网络安全的主要有三种人：故意破坏者又称黑客（Hackers）、 不遵守规则者（Vandals）和

2、刺探秘密者（Crackers）。,为网络安全担忧的人大致也可以分为两类，一类是使用网络资源的一般用户，另一类是提供网络资源的服务提供者。,2. 网络面临的主要威胁,黑客的攻击,管理的欠缺,网络的缺陷,软件的漏洞或“后门”,企业网络内部,返回本节首页,返回本章首页,12.2 防火墙技术,12.2.1 防火墙的基本概念,“防火墙”（Fire Wall）是用来连接两个网络并控制两个网络之间相互访问的系统，如图12-1所示。它包括用于网络连接的软件和硬件以及控制访问的方案。防火墙用于对进出的所有数据进行分析，并对用户进行认证，从而防止有害信息进入受保护网，为网络提供安全保障。,图12-1 防火墙的位置与功能示意图,1. 什么是防火墙,2. 防火墙的主要功能,集中的网络安全,安全警报,防火墙允许网络管理员定义一个中心（阻塞点）来防止非法用户进入内部网络，禁止存在不安全因素的访问进出网络，并抗击来自各种线路的攻击。,通过防火墙可以方便地监视网络的安全性，并产生报警信号。,重新部署网络地址转换（NAT）,接入Internet的机构，可以通过网络地址转换（NAT）来完成内部私有地址到外部注册地址的映射

3、，而防火墙正是部署NAT的理想位置。,监视Internet的使用情况,防火墙也是审查和记录内部人员对Internet使用的一个最佳位置，可以在此对内部访问Internet的情况进行记录。,向外发布信息,防火墙同样还是部署WWW服务器和FTP服务器的理想位置。它允许Internet上的其它用户访问上述服务器，而禁止访问内部受保护的其它系统。,3. 防火墙的局限性,不能防范绕过防火墙产生的攻击,防火墙并非万能，影响网络安全的因素很多，对于以下情况它无能为力:,不能防范受到病毒感染的软件或文件在网络上传输,很难防止数据驱动式攻击,12.2.2 防火墙的主要类型,典型的防火墙系统通常由一个或多个构件组成，相应地，实现防火墙的技术包括以下四大类：,1. 包过滤防火墙（Packet Filtering Firewall）,不能防范由于内部用户不注意所造成的威胁,包过滤防火墙，又称网络级防火墙，通常由一台路由器或一台充当路由器的计算机组成，如图12-2所示。,图12-2 包过滤防火墙功能模型,Internet/Intranet上的所有信息都是以IP数据包的形式传输的，包过滤路由器负责对所接收的每个数

4、据包的IP地址，TCP或UDP分组头信息进行审查，以便确定其是否与某一条包过滤规则匹配。,包过滤防火墙检查每一条过滤规则，如果找到一个匹配，且规则允许该数据包通过，则该数据包根据路由表中的信息向前转发；如果找到一个匹配，且规则拒绝此数据包，则该数据包将被舍弃。,包过滤防火墙对用户来说是全透明的，其优点是只需在一个关键位置设置一个包过滤路由器就可以保护整个网络，使用起来非常简洁、方便，且速度快、费用低。,包过滤防火墙也有其自身的缺点和局限性 ，例如它只检查地址和端口，对应用层上的黑客行为无能为力；包过滤规则配置比较复杂； 包过滤没法检测具有数据驱动攻击这一类潜在危险的数据包等。,2. 应用级网关（Application Level Gateway）,应用级网关主要控制对应用程序的访问，它能够对进出的数据包进行分析、统计，防止在受信任的服务器与不受信任的主机间直接建立联系。而且它还提供一种监督控制机制，使得网络内、外部的访 问请求在监督机制下得到保护，其功能模型如图12-3所示。,和包过滤防火墙一样，应用级网关也是仅仅依靠特定的逻辑判断来决定是否允许数据包通过。一旦防火墙内外的计算机系统建

5、立起直 接联系，它外部的用户便有可能直接了解防火墙内部的网络结构和 运行状态，这有利于实施非法访问和攻击。,应用级网关具有较强的访问控制功能，是目前最安全的防火墙技术之一。但其每一种协议都需要相应的代理软件，实现起来比较困难，效率不如网络级防火墙高，而且对用户缺乏“透明度”。,图12-3 应用级网关的功能模型,3. 电路级网关（Circuit Level Gateway）,电路级网关通常工作在在OSI参考模型中的会话层上，它只依赖于TCP连接，而并不关心任何应用协议，也不进行任何的包处理或过滤。它就像电线一样，只是在内部连接和外部连接之间来回拷贝字节。由于连接要穿过防火墙，因而其隐藏了受保护网络的有关信息。,电路级网关往往不是一个独立的产品，它要和其它一些应用级网关结合在一起使用。其最大的优点是主机可以被设置成混合网关，内部 用户使用起来很方便，另外，电路级网关还可将所有内部的IP地址映射到一个防火墙专用的、安全的IP地址。,4. 代理服务防火墙（Proxy Sever Firewall）,代理服务防火墙又称链路级网关，通常指运行代理服务器软件的一台计算机。代理服务器（Proxy Se

6、ver）运行在Intranet和Internet之间，是内、外网络的隔离点，起着监视和隔绝应用层通信流的作用，其功能模型如图12-4所示。,图12-4 代理服务防火墙功能模型,代理服务器收到用户对某站点的访问请求后，便立即检查该请求是否符合规则。若规则允许用户访问该站点，代理服务器便会以客户身份登录目的站点，取回所需的信息再发回给客户。,代理服务器将所有跨越防火墙的通信链路分为两段，外部用户只能看到该代理服务器而无法获知任何内部资料，如IP地址，从而起到了隔离防火墙内、外计算机系统的作用。,代理服务软件要分析网络数据包并作出访问控制决定，从而在一定程度上影响了网络的性能，且代理服务器需要为每个网络用户专门设计，安装使用较复杂，成本也相对较高。,5. 复合型防火墙（Compound Firewall）,由于对更高安全性的要求，常常把基于包过滤的防火墙与基于代理服务的防火墙结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案：,屏蔽主机防火墙体系结构,包过滤路由器与Internet相连，同时一个堡垒机安装在内部网络，通过在包过滤路由器上设置过滤规则，使堡垒机成为Internet上其它

7、结点所能到达的唯一结点，从而确保了内部网络的安全。如图12-5所示：,图12-5 屏蔽主机结构示意图,屏蔽子网防火墙体系结构,堡垒主机放在一个子网内，两个包过滤路由器放置在这一子网的两端，使这一子网与外部Internet及内部网络分离，如图126所示。,图12-6 屏蔽子网结构示意图,12.2.3 主要的防火墙产品,3Com Office Connect 防火墙,NetScreen 防火墙,Cisco PIX 防火墙,返回本节首页,返回本章首页,12.3 网络加密技术,12.3.1 网络加密概述,1. 加密的定义和目的,密码技术是保障信息安全的核心技术。加密指改变数据的表现形式，使之成为没有正确密钥任何人都无法读懂的密文。加密旨在对 第三者保密，只让特定的人能解读密文。,为了读懂报文，密文必须重新转变为明文。而含有数学方式以用来转换报文的双重密码就是密钥。如图12-7所示。对一般人而言，即使获得了密文，也不解其义。,图12-7 数据的加/解密过程,如果信息由源点直达目的地，在传递过程中不会被任何人接触到，则无需加密。而Internet是一个开放的系统，穿梭于其中的数据可能被任何人随意拦

8、截，因此，将数据加密后再传送是进行秘密通信的最有效的方法。,2. 网络加密的主要方式,一个加密网络，不仅可以保护网内的数据、文件和口令，而且也是对付恶意软件的有效方法。目前对网络加密主要有3种方式：,（1）链路加密,链路加密指仅在数据链路层对传输数据进行加密，它主要用于对信道中可能被截获的那一部分数据信息进行保护，一般的网络安全系统都采用这种方式。,链路加密只对通信链路中的数据加密，而不对网络结点内的数据加密。因此链路上的所有数据报文（包括路由信息等）均以密文形式出现，而结点内的数据报文却以明文出现。,链路加密简单、容易实现，但由于全部报文都以明文形式通过各结点，因此在这些结点上，数据容易受到非法存取的危险，而且每条链路都需要一对加、解密设备和一个独立密钥，因此成本较高。,（2）结点加密,结点加密是对链路加密的改进，它也要为通信链路上传输的所有数据进行加密，而且加密过程对用户是透明的。,结点加密不允许报文在网络结点内以明文形式存在，它先把接收到的报文进行解密，然后采用另一个不同的密钥进行加密，其目的 是克服链路加密在结点处易遭受非法存取的缺点。,链路加密比链路加密成本低，而且更安全。但

9、结点加密要求报头和路由信息以明文形式传输，以便中间结点能得到如何处理消息的信息。因此这种方法仍然存在一定的风险。,（3）端对端加密,端对端加密允许数据在从源点到终点的传输过程中始终以密文形式存在，报文在到达终点之前不进行解密。这样即使有中间结点被损坏也不会泄露消息。,端对端加密可在传输层或更高层次中实现。它与链路加密最大的不同在于它是对整个网络系统采取保护措施，因此安全性更高。,端对端加密的可靠性强，设计、实现和维护都更容易。但数据报头仍保持明文形式，容易为报文分析者所利用，且端点加密密钥数量大，密钥的管理比较困难。,12.3.2 网络加密算法,网络信息的加密过程是由加密算法来具体实施的，按照国际惯例，加密算法有以下几种分类标准：,1. 根据对明文信息加密方式的不同进行分类,（1）分组加密算法,密文仅与给定的密码算法和和密钥有关，与被处理的明文数据段在整个明文（或密文）中所处的位置无关。分组加密算法每次只加密一个二进制比特位。,（2）序列加密算法,密文不仅与最初给定的密码算法和密钥有关，同时也是被处理的数据段在明文（或密文）中所处的位置的函数。序列加密算法先将信息序列分组，每次对一个组进行加密。,2. 根据收发双方的密钥是否相同来进行分类,（1）对称加密算法,对称加密算法，又称私钥加密算法，它是指系统加密明文和解读密文时使用的是同一把密钥，或者虽然不同，但是由其中的任意一把可以容易地推导出另一把。加/解密过程如下图12-8所示：,图12-8 对称加密算法的加/解密过程,对称加密算法中影响最大的是DES（数据加密标准）。它是一种以56位密钥为基础的密码块加密技术，每次对64位输入数据块进行加密。加密过程包括16轮编码。在每一轮编码中，DES从56位密钥中产生一个48位的临时密钥，并用这个密钥进行这一轮的加密。,对称加密算法具有很强的保密强度，安全性就是其56位密钥。但由于至少有两个人持有密钥，所以任何一方都不能完全确定对方手中的密钥是否已经透露给了第三者。,为了在对称加密过程中有效地管理好密钥，保证数据的机密性，美国麻省理工学院提出了一种基于可信赖的第三方的认证系统Kerberos。它是一种在开放式网络环境下进行身份认证的方法，使网络上的用户可以相互证明自己的身份。,Kerberos采用对称密钥体制对信息进行加密。其基本思想是：能正确对信息进行解密的用

《计算机网络技术基础 工业和信息化普通高等教育“十二五”规划教材 教学课件 ppt 作者 周舸 第十二章 网络安全》由会员E****分享，可在线阅读，更多相关《计算机网络技术基础 工业和信息化普通高等教育“十二五”规划教材 教学课件 ppt 作者 周舸 第十二章 网络安全》请在金锄头文库上搜索。