第2章 网络安全技术基础.ppt

贾铁军 沈学东 苏庆刚等编著机械工业出版社机械工业出版社 本章要点本章要点 ●网络协议安全网络协议安全 ●网络安全层次体系网络安全层次体系 ●安全服务与安全机制安全服务与安全机制 ●虚拟专用网虚拟专用网VPN技术技术 ●无线局域网安全无线局域网安全 ●常用的网络命令常用的网络命令 教学目标教学目标 ● 了解网络协议安全了解网络协议安全 ● 理解网络安全层次体系理解网络安全层次体系 ● 理解安全服务与安全机制理解安全服务与安全机制 ● 掌握虚拟专用网掌握虚拟专用网VPN技术技术 ● 掌握无线局域网安全掌握无线局域网安全 ● 掌握常用的网络命令掌握常用的网络命令2.1 网络协议安全概述网络协议安全概述2.1.12.1.1 网络协议安全分析网络协议安全分析网络协议安全分析网络协议安全分析1. 物理层安全物理层安全 物理层安全威胁主要指网络周边环境和物理物理层安全威胁主要指网络周边环境和物理特性引起的网络设备和线路的不可用而造成的网特性引起的网络设备和线路的不可用而造成的网络系统的不可用络系统的不可用。

2. 网络层安全网络层安全 网络层的安全威胁主要有两类：网络层的安全威胁主要有两类：IP 欺骗和欺骗和ICMP (因特网控制信息协议因特网控制信息协议)攻击 3. 传输层安全传输层安全 传输层主要包括传输控制协议传输层主要包括传输控制协议TCP和用户数和用户数据报协议据报协议UDPTCP是一个面向连接的协议，用是一个面向连接的协议，用于多数的互联网服务，保证数据的可靠性于多数的互联网服务，保证数据的可靠性 4. 应用层及网络应用安全应用层及网络应用安全 应用层安全问题可以分解成网络层、操应用层安全问题可以分解成网络层、操作系统、数据库的安全问题作系统、数据库的安全问题.需要重点解决的需要重点解决的特殊应用系统的安全问题主要包括：特殊应用系统的安全问题主要包括：Telnet、、FTP、、SMTP、、DNS、、NFS（实现主机间文（实现主机间文件系统的共享）、件系统的共享）、BOOTP（用于无盘主机（用于无盘主机的启动）、的启动）、RPC（实现远程主机的程序运行）（实现远程主机的程序运行）、、SNMP（简单网络管理的协议）等，都存（简单网络管理的协议）等，都存在一定的安全隐患和威胁。

在一定的安全隐患和威胁 2.1.22.1.2 典型的网络安全协议典型的网络安全协议典型的网络安全协议典型的网络安全协议1. IPSec IPSec安全协议安全协议 因特网安全协议因特网安全协议IPSec(Internet Protocol Security)是一组安全是一组安全IP协议集，是在协议集，是在IP包级为包级为IP业务提业务提供保护的安全协议标准，其基本目的就是把密码学的安供保护的安全协议标准，其基本目的就是把密码学的安全机制引入全机制引入IP协议，通过使用现代密码学方法支持保密协议，通过使用现代密码学方法支持保密和认证服务，使用户能有选择地使用，并得到所期望的和认证服务，使用户能有选择地使用，并得到所期望的安全服务安全服务 2. SSL SSL协议协议 SSL协议由协议由SSL记录协议和记录协议和SSL握手协议两层组成，握手协议两层组成，其主要优点是：其主要优点是：SSL协议独立于应用层，是在传输层和协议独立于应用层，是在传输层和应用层之间实现加密传输的应用最广泛的协议应用层之间实现加密传输的应用最广泛的协议 2.2 网络安全体系结构网络安全体系结构2.2.12.2.1 开放式系统互连参考模型开放式系统互连参考模型开放式系统互连参考模型开放式系统互连参考模型OSI/RM开放系统互连参考模型开放系统互连参考模型7层协议的主要功能如表所示层协议的主要功能如表所示层次层次名称名称主要功能主要功能功能概述功能概述应用样例应用样例7应用层应用层做什么？做什么？提供（提供（OSI）用户服务，如文件传输、）用户服务，如文件传输、电子邮件、网络管理等电子邮件、网络管理等Telnet、、HTTP6表示层表示层像什么像什么实现不同格式和编码之间的交换，实现不同格式和编码之间的交换，传递数据的语法及语义。

传递数据的语法及语义ASCII、、JPEG、、EBCDIC5会话层会话层如何检查如何检查？对方是？对方是谁？谁？在两个应用进程之间建立和管理不在两个应用进程之间建立和管理不同形式的通信对话数据流方向控同形式的通信对话数据流方向控制模式制模式3种：单工、半双工、双工种：单工、半双工、双工 操作系统操作系统/应应用访问规划用访问规划 4传输层传输层对方在何处对方在何处？？提供传送方式，进行多路利用，实现端提供传送方式，进行多路利用，实现端点到端点间的数据交换，为会话层实体点到端点间的数据交换，为会话层实体提供透明的、可靠的数据传输服务提供透明的、可靠的数据传输服务 TCP、、UDP、、SPX 2.2.12.2.1 开放式系统互连参考模型开放式系统互连参考模型开放式系统互连参考模型开放式系统互连参考模型3网络层网络层数据走什数据走什么路径可么路径可以到达？以到达？通过分组交换和路由选择为传输层通过分组交换和路由选择为传输层实实 体提供端到端的交换网络数据，体提供端到端的交换网络数据，传送功能使得传输层摆脱路由选择、传送功能使得传输层摆脱路由选择、交换方式、拥挤控制等网络传输细交换方式、拥挤控制等网络传输细节，实现数据传输节，实现数据传输 IP、、IPX2数据链数据链路层路层每一步应每一步应该怎样走该怎样走？？进行二进制数据块传送，并进行差进行二进制数据块传送，并进行差错检测和数据流控制。

它分为两个错检测和数据流控制它分为两个子层，即介质访问控制协议子层，即介质访问控制协议(MAC)和逻辑链路控制协议和逻辑链路控制协议(LLC) 802.3/802.2、、HDLC层次层次名称名称主要功能主要功能功能概述功能概述应用样例应用样例1物理层物理层对上一层的对上一层的每一步如何每一步如何利用物理传利用物理传输介质传送输介质传送通过机械和电气的互联方式把实通过机械和电气的互联方式把实体连接起来，让数据流通过体连接起来，让数据流通过 EIS/TIA-232 V.35 10BASE5、、10BASE2和和10BASET 2.2.22.2.2 InternetInternet网络体系层次结构网络体系层次结构网络体系层次结构网络体系层次结构 Internet现在使用的协议是现在使用的协议是TCP/IP协议TCP/IP协议是一个四层结构的协议族，这四层协议分别是：协议是一个四层结构的协议族，这四层协议分别是：物理网络接口层协议、网际层协议、传输层协议和应物理网络接口层协议、网际层协议、传输层协议和应用层协议用层协议TCP/IP组的组的4层协议与层协议与OSI参考模型参考模型7层协层协议和常用协议的对应关系如下图所示议和常用协议的对应关系如下图所示 。

2.2.3 2.2.3 网络安全层次特征体系网络安全层次特征体系网络安全层次特征体系网络安全层次特征体系 为了更好地理解网络安全层次特征体系，也可以为了更好地理解网络安全层次特征体系，也可以将计算机网络安全看成一个由多个安全单元组成的集将计算机网络安全看成一个由多个安全单元组成的集合 2.3 安全服务与安全机制安全服务与安全机制2.3.12.3.1 安全服务的基本类型安全服务的基本类型安全服务的基本类型安全服务的基本类型1. 对象认证安全服务对象认证安全服务2. 访问控制安全服务访问控制安全服务3. 数据保密性安全服务数据保密性安全服务4. 数据完整性安全服务数据完整性安全服务5. 防抵赖安全服务防抵赖安全服务2.3.22.3.2 支持安全服务的基本机制支持安全服务的基本机制支持安全服务的基本机制支持安全服务的基本机制 网络信息安全机制网络信息安全机制（（Security mechanisms））定义了实现网络信息安全服务定义了实现网络信息安全服务的技术措施，包括所使用的可能方法，主要就的技术措施，包括所使用的可能方法，主要就是利用密码算法对重要而敏感的数据进行处理。

是利用密码算法对重要而敏感的数据进行处理 安全机制是安全服务乃至整个网络信息安安全机制是安全服务乃至整个网络信息安全系统的全系统的核心和关键核心和关键 安全机制可以分为两类：一类是与安全服安全机制可以分为两类：一类是与安全服务有关，务有关，它们被用来实现安全服务；它们被用来实现安全服务；另一类与另一类与管理功能有关管理功能有关，它们被用于加强对安全系统的，它们被用于加强对安全系统的管理  为了实施安全服务功能，为了实施安全服务功能，ISO 对信息系统对信息系统安全体系结构制定的开放系统互联安全体系结构制定的开放系统互联(OSI)基本基本参考模型参考模型ISO74987498提出了提出了8 8类安全机制类安全机制，作为，作为网络信息安全的基本机制网络信息安全的基本机制 1.1.加密机制加密机制 2.2.数字签名机制数字签名机制 3.3.访问控制机制访问控制机制 4.4.数据完整性机制数据完整性机制 5.5.鉴别交换机制鉴别交换机制 6.6.通信业务填充机制通信业务填充机制 7.7.路由控制机制路由控制机制 8.8.公证机制公证机制2.3.32.3.3 安全服务和安全机制的关系安全服务和安全机制的关系安全服务和安全机制的关系安全服务和安全机制的关系(1)(1)(1)(1) 安全服务和安全机制的对应关系可以体现在安全服务和安全机制的对应关系可以体现在很多方面，具体关系如表所示。

很多方面，具体关系如表所示 机制机制服务服务数据数据加密加密数据数据签名签名访问访问控制控制数据完数据完整性整性鉴别鉴别交换交换业务流业务流填充填充路由路由控制控制公证公证机制机制对等实体对等实体鉴别鉴别√√√访问控制访问控制√连接的保连接的保密性密性√√选择字段选择字段保密性保密性√2.3.32.3.3 安全服务和安全机制的关系安全服务和安全机制的关系安全服务和安全机制的关系安全服务和安全机制的关系(2)(2)(2)(2) 安全服务和安全机制的对应关系可以体现在安全服务和安全机制的对应关系可以体现在很多方面，具体关系如表所示很多方面，具体关系如表所示（续前）（续前） 机制机制服务服务数据数据加密加密数据数据签名签名访问访问控制控制数据完数据完整性整性鉴别鉴别交换交换业务流业务流填充填充路由路由控制控制公证公证机制机制业务流业务流安全安全√√√数据的完数据的完整性整性√√√数据源点数据源点鉴别鉴别√√√禁止否认禁止否认服务服务√√√2.4 虚拟专用网虚拟专用网VPN技术技术 虚拟专用网虚拟专用网(Virtual Private Network，，简称简称VPN)是利用公共数据网或专用局域网构是利用公共数据网或专用局域网构建的，以特殊设计的硬件和软件，直接通过建的，以特殊设计的硬件和软件，直接通过共享的共享的IPIP网络所建立的隧道完成的虚拟专用网络所建立的隧道完成的虚拟专用网络。

网络 通过通过VPN可以实现可以实现远程网络之间安全、远程网络之间安全、点对点的连接点对点的连接 2.4.12.4.1 VPNVPN的组成及特点的组成及特点的组成及特点的组成及特点1. VPN的组成及类型的组成及类型 VPN可以理解成虚拟的企业内部专用网络可以理解成虚拟的企业内部专用网络VPN的核心就是在利用公共网络建立虚拟专用的核心就是在利用公共网络建立虚拟专用网 一个一个VPN连接由连接由客户机、隧道和服务器客户机、隧道和服务器3 3部分组成部分组成 一般按照一般按照VPN的服务类型分为的服务类型分为3 3种类型种类型：： （（1）远程访问虚拟网）远程访问虚拟网Access VPN （（2）企业内部虚拟网）企业内部虚拟网Intranet VPN （（3）企业扩展虚拟网）企业扩展虚拟网Extranet VPN 2. VPN的结构及特点的结构及特点(1)(1) VPN可以通过特殊的加密通信协议为连可以通过特殊的加密通信协议为连接在接在Internet上位于不同地方的两个或多个上位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路，企业内部网之间建立一条专有的通信线路，如同架设了一条专线一样，但是它并不需要如同架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路真正的去铺设光缆之类的物理线路。

在实际应用中，用户需要一个高效、成在实际应用中，用户需要一个高效、成功的功的VPN具有具有4 4个特点个特点：： （（1）安全保障）安全保障 （（2）服务质量（）服务质量（QoS）保证）保证 （（3）可扩充性和灵活性）可扩充性和灵活性 （（4）可管理性）可管理性 2. VPN的结构及特点的结构及特点(2)(2) VPN的结构如下图所示的结构如下图所示2.4.22.4.2 VPNVPN主要安全技术（主要安全技术（主要安全技术（主要安全技术（1 1 1 1）））） 由于由于VPN传输的是安全程度要求较高的传输的是安全程度要求较高的专用信息，所以专用信息，所以VPN用户对数据的安全性都用户对数据的安全性都很重视 目前，目前，VPN主要采用主要采用隧道技术、加解密隧道技术、加解密技术、密钥管理技术、用户身份认证技术、技术、密钥管理技术、用户身份认证技术、安全工具与客户端管理安全工具与客户端管理5项技术项技术来保证安全来保证安全 2.4.22.4.2 VPNVPN主要安全技术（主要安全技术（主要安全技术（主要安全技术（2 2 2 2）））） 当一个客户端使用一个当一个客户端使用一个VPN隧道时，数隧道时，数据通信保持加密状态直到它到达据通信保持加密状态直到它到达VPN网关，网关，此网关位于无线访问点之后，如图所示。

此网关位于无线访问点之后，如图所示2.4.32.4.3 IPSecIPSec概述概述概述概述1. IPSec协议簇协议簇 IPSec定义了一种标准的、健壮的和包定义了一种标准的、健壮的和包容广泛的机制，利用容广泛的机制，利用IPSec可以为可以为IP以及上以及上层协议（如层协议（如TCP或者或者UDP）提供安全保证提供安全保证 IPSec的目标的目标是为是为IPv4和和IPv6提供具有提供具有较强的互操作能力、高质量和基于密码的安较强的互操作能力、高质量和基于密码的安全功能，在全功能，在IP层实现多种安全服务，包括访层实现多种安全服务，包括访问控制、数据完整性、机密性等问控制、数据完整性、机密性等 2. IPSec的实现方式和实施的实现方式和实施(1) IPSec的实现方式有两种：的实现方式有两种：传输模式传输模式和和隧道模式隧道模式，都可用于保护通信都可用于保护通信 (1) 传输模式用于两台主机之间，保护传传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全性如图所输层协议头，实现端到端的安全性如图所示2. IPSec的实现方式和实施的实现方式和实施(2) (2) 隧道模式用于主机与路由器或两部路隧道模式用于主机与路由器或两部路由器之间，保护整个由器之间，保护整个IP数据包。

如图所示如图所示 IPSec可在可在终端主机、网关终端主机、网关/路由器或者路由器或者两者中两者中同时进行实施和配置同时进行实施和配置 2.5 无线局域网安全无线局域网安全2.5.12.5.1 无线网络安全概述无线网络安全概述无线网络安全概述无线网络安全概述1. 无线网络的安全问题无线网络的安全问题 无线网络的数据传输是利用微波进行辐无线网络的数据传输是利用微波进行辐射传播，因此，只要在射传播，因此，只要在Access Point (AP)覆覆盖的范围内，所有的无线终端都可以接收到盖的范围内，所有的无线终端都可以接收到无线信号，无线信号，AP无法将无线信号定向到一个特无法将无线信号定向到一个特定的接收设备，因此，定的接收设备，因此，无线的安全保密问题无线的安全保密问题就显得尤为突出就显得尤为突出 2. 无线安全基本技术无线安全基本技术(1) 访问控制访问控制(2) 数据加密数据加密(3) 新一代无线安全技术新一代无线安全技术——IEEE802.11i(4) TKIP(5) AES(6) 端口访问控制技术（端口访问控制技术（IEEE802.1x）和可）和可扩展认证协议（扩展认证协议（EAP））(7) WPA（（WiFi Protected Access）规范）规范 3. 无线网络安全隐患无线网络安全隐患 无线网络选择了通过无线网络选择了通过特定的无线电波来特定的无线电波来传送，传送，在这个发射频率的有效范围内，在这个发射频率的有效范围内，任何任何具有合适接收设备的人都可以捕获该频率的具有合适接收设备的人都可以捕获该频率的信号，信号，进而进入目标网络，因此，更具有安进而进入目标网络，因此，更具有安全隐患和威胁。

全隐患和威胁 2.5.22.5.2 无线安全机制与策略无线安全机制与策略无线安全机制与策略无线安全机制与策略1. 无线安全机制无线安全机制(1) 隐藏隐藏SSID (2) MAC地址过滤地址过滤(3) WEP加密加密 (4) AP隔离隔离(5) 802.1x协议协议 (6) WPA(7) WPA2 (8) 802.11i 2. 无线网络的安全策略无线网络的安全策略(1) 制订全面的安全策略制订全面的安全策略 (2) 加密网络数据加密网络数据(3) 利用利用VPN技术技术 (4) 限制文件访问限制文件访问(5) 使用端点扫描技术使用端点扫描技术(6) 在在WLAN中使用中使用WPA或或802.1x技术技术(7) 加强测试加强测试 (8) 使用双因素验证使用双因素验证(9) 审查及监控结果审查及监控结果 (10) 加强安全持之以恒加强安全持之以恒 2.5.32.5.3 无线网络安全技术应用无线网络安全技术应用无线网络安全技术应用无线网络安全技术应用 不同安全级别和典型场合的应用技术如不同安全级别和典型场合的应用技术如表所示。

表所示 安全级别安全级别典型场合典型场合应用技术应用技术初级初级小型企业、家庭用户等小型企业、家庭用户等 64、、128位位WEP加密加密 中级安全中级安全 仓库物流、医院、学校、餐仓库物流、医院、学校、餐饮娱乐饮娱乐 IEEE802.1x认证机制认证机制 专业级专业级安全安全各类公共场合以及网络运营各类公共场合以及网络运营商、大、中型企业、金融机商、大、中型企业、金融机构构 用户隔离技术用户隔离技术 + IEEE802.1x认证认证 + VPN + Radius的用的用户认证以及计费户认证以及计费 2.6 常用的网络命令常用的网络命令 2.6.12.6.1 pingping 命令命令命令命令 ping命令功能是命令功能是通过发送通过发送ICMP包来检验包来检验与另一台与另一台TCP/IP主机的主机的IP级连接情况网管级连接情况网管员常用这个命令检测网络的连通性和可到达员常用这个命令检测网络的连通性和可到达性同时，应答消息的接收情况将和往返过性同时，应答消息的接收情况将和往返过程的次数一起显示出来程的次数一起显示出来 如果只使用不带参数的如果只使用不带参数的ping命令命令，窗口，窗口将会显示命令及其各种参数使用的帮助信息。

将会显示命令及其各种参数使用的帮助信息 使用使用ping命令的语法格式是命令的语法格式是：：ping 对方对方计算机名或者计算机名或者IP地址地址 2.6.2 ipconfig2.6.2 ipconfig 命令命令命令命令 ipconfig命令功能是命令功能是显示所有显示所有TCP/IP网网络配置信息、刷新动态主机配置协议络配置信息、刷新动态主机配置协议DHCP（（Dynamic Host Configuration Protocol）和域名系统）和域名系统DNS设置 使用不带参数的使用不带参数的ipconfig可以显示所有可以显示所有适配器的适配器的IP地址、子网掩码和默认网关地址、子网掩码和默认网关 利用利用“ipconfig /all命令命令”可以查看所有完可以查看所有完整的整的TCP/IP配置信息配置信息对于具有自动获取对于具有自动获取IP地址的网卡，则可以利用地址的网卡，则可以利用“ipconfig /renew命令命令”更新更新DHCP的配置 2.6.3 netstat 命令命令 netstat命令的功能命令的功能是显示活动的连接、是显示活动的连接、计算机监听的端口、以太网统计信息、计算机监听的端口、以太网统计信息、IP 路路由表、由表、IPv4统计信息（统计信息（IP、、ICMP、、TCP和和UDP协议）。

协议） 使用使用“netstat -an”命令可以查看目前活命令可以查看目前活动的连接和开放的端口，动的连接和开放的端口，是是网络管理员网络管理员查看查看网络是否被入侵的最简单方法网络是否被入侵的最简单方法2.6.4 net 命令命令 net命令的功能是命令的功能是查看计算机上的查看计算机上的用户列表、添加和删除用户、与对方计用户列表、添加和删除用户、与对方计算机建立连接、启动或者停止某网络服算机建立连接、启动或者停止某网络服务等 利用利用 net user 查看查看计算机上的用计算机上的用户列表，以户列表，以“ net user用户名密码用户名密码”给某给某用户修改密码用户修改密码 2.6.5 at 命令命令 At命令功能是命令功能是在与对方建立信任连接以在与对方建立信任连接以后，创建一个计划任务，并设置执行时间后，创建一个计划任务，并设置执行时间  本章小结本章小结 本章作为本章作为“网络安全基础网络安全基础”，概述了网络协，概述了网络协议安全分析和网络安全层次结构；分析了开放议安全分析和网络安全层次结构；分析了开放式系统互连参考模型、式系统互连参考模型、Internet网络体系层次网络体系层次结构和网络安全体系结构；介绍了安全服务的结构和网络安全体系结构；介绍了安全服务的基本类型、支持安全服务的基本机制、安全服基本类型、支持安全服务的基本机制、安全服务和安全机制的关系和安全服务与网络层次的务和安全机制的关系和安全服务与网络层次的关系；概述了虚拟专用网关系；概述了虚拟专用网VPN组成及特点、组成及特点、VPN主要安全技术、主要安全技术、 IPSec协议和协议和VPN技术的技术的实际应用。

实际应用 概述无线网络安全技术、无线安全机制与概述无线网络安全技术、无线安全机制与策略、无线网络安全技术应用等；最后，介绍策略、无线网络安全技术应用等；最后，介绍了常用的网络命令，包括了常用的网络命令，包括ping命令、命令、ipconfig命令、命令、netstat命令、命令、net命令和命令和at命令等。