《计算机网络安全基础(第4版)》课件-第7章.ppt
《《计算机网络安全基础(第4版)》课件-第7章.ppt》由会员分享,可在线阅读,更多相关《《计算机网络安全基础(第4版)》课件-第7章.ppt(60页珍藏版)》请在冰豆网上搜索。
第第7章章网络安全技术网络安全技术网络安全技术从理论上来说分为:
攻击技术和防御技术。
攻击技术包括:
网络监听、网络扫描、网络入侵、网络后门等;防御技术包括:
加密技术、防火墙技术、入侵检测技术、虚拟专用网技术和网络安全协议等。
对于攻击技术我们在第九章中加以介绍,本章主要介绍网络安全协议、网络加密技术、防火墙技术、入侵检测技术和虚拟专用网等网络安全防御技术。
计算机网络安全基础(第4版)17.1网络安全协议网络安全协议安全协议本质上是关于某种应用的一系列规定,包括功能、参数、格式和模式等,连通的各方只有共同遵守协议,才能相互操作。
大部分安全措施都采用特定的协议来实现,如在网络层加密和认证采用IPSec(IPSecurity)协议、在传输层加密和认证采用SSL协议等。
计算机网络安全基础(第4版)27.1网络安全协议网络安全协议计算机网络安全基础(第4版)37.1网络安全协议网络安全协议1.安全协议概述安全协议概述
(1)应用层安全协议主要有以下五个协议:
安全Shell(SSH)协议SET(SecureElectronicTransaction)协议S-HTTPPGP协议S/MIME协议计算机网络安全基础(第4版)47.1网络安全协议网络安全协议
(2)传输层安全协议安全套接层(SecureSocketLayer,SSL)协议工作在传输层,独立于上层应用,为应用提供一个安全的点点通信隧道。
SSL机制由协商过程和通信过程组成,协商过程用于确定加密机制、加密算法、交换会话密钥服务器认证以及可选的客户端认证,通信过程秘密传送上层数据。
私密通信技术(PrivateCommunicationTechnology,PCT)协议与SSL协议有很多相似之处。
现在PCT协议已经同SSL协议合并为TLS(传输层安全)协议,只是习惯上仍然把TLS协议称为SSL协议。
计算机网络安全基础(第4版)57.1网络安全协议网络安全协议(3)网络层安全协议为开发在网络层保护IP数据的方法,IETF成立了IP安全协议工作组(IPSec),定义了一系列在IP层对数据进行加密的协议,包括:
IP验证头(AuthenticationHeader,AH)协议;IP封装安全载荷(EncryptionServicePayload,ESP)协议;Internet密钥交换(InternetKeyExchange,IKE)协议。
计算机网络安全基础(第4版)67.1网络安全协议网络安全协议2.网络层安全协议网络层安全协议IPSecIPSec是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击。
IPSec有两个基本目标:
保护IP数据包安全;为抵御网络攻击提供防护措施。
IPSec结合密码保护服务、安全协议组和动态密钥管理,三者共同实现这两个目标,它不仅能为局域网与拨号用户、域、网站、远程站点以及Extrant之间的通信提供有效且灵活的保护,而且还能用来筛选特定数据流。
计算机网络安全基础(第4版)77.1网络安全协议网络安全协议IPSec提供3种不同的形式来保护通过公有或私有IP网络传送的私有数据。
(1)认证。
通过认证可以确定所接受的数据与所发送的数据是否一致,同时可以确定申请发送者在实际上是真实的,还是伪装的发送者。
(2)数据完整验证。
通过验证,保证数据在从原发地到目的地的传送过程中没有发生任何无法检测的丢失与改变。
(3)保密。
使相应的接收者能获取发送的真正内容,而无关的接收者无法获知数据的真正内容。
计算机网络安全基础(第4版)87.1网络安全协议网络安全协议IPSec通过使用两种通信安全协议:
认证头(AuthenticationHeader,AH)协议、封装安全载荷(EncryptionServicePayload,ESP)协议,并使用像Internet密钥交换(InternetKeyExchange,IKE)协议之类的协议来共同实现安全性。
计算机网络安全基础(第4版)97.1网络安全协议网络安全协议3.传输层安全协议传输层安全协议安全套接层(SecureSocketsLayer,SSL)协议是由Netscape公司开发的一套Internet数据安全协议,目前已广泛用于Web浏览器与服务器之间的身份认证和加密数据传输。
SSL协议位于TCP/IP与各种应用层协议之间,为数据通信提供安全支持。
计算机网络安全基础(第4版)107.1网络安全协议网络安全协议
(1)SSL协议体系结构SSL协议被设计成使用TCP来提供一种可靠的端到端的安全服务。
SSL协议分为两层,其中SSL握手协议、修改密文协议和告警协议位于上层,SSL记录协议为不同的更高层协议提供了基本的安全服务,可以看到HTTP可以在SSL协议上运行。
SSL协议中有两个重要概念,即SSL连接和SSL会话。
计算机网络安全基础(第4版)117.1网络安全协议网络安全协议SSL协议体系结构计算机网络安全基础(第4版)127.1网络安全协议网络安全协议
(2)SSL记录协议SSL记录协议为SSL连接提供:
机密性和报文完整性两种服务。
(3)SSL修改密文规约协议SSL修改密文规约协议由值为1的单个字节组成。
这个报文的惟一目的就是使得挂起状态被复制到当前状态,从而改变这个连接将要使用的密文簇。
计算机网络安全基础(第4版)137.1网络安全协议网络安全协议(4)SSL告警协议告警协议用来将SSL协议有关的警告传送给对方实体。
它由两个字节组成,第一个字节的值用来表明警告的严重级别,第二个字节表示特定告警的代码。
(5)SSL握手协议SSL协议中最复杂的部分是握手协议。
这个协议使得服务器和客户能相互鉴别对方的身份、协商加密和MAC算法以及用来保护在SSL记录中发送数据的加密密钥。
在传输任何应用数据前,都必须使用握手协议。
计算机网络安全基础(第4版)147.2网络加密技术网络加密技术计算机网络安全基础(第4版)151.链路加密链路加密链路加密是目前最常用的一种加密方法,通常用硬件在网络层以下的物理层和数据链路层中实现,它用于保护通信节点间传输的数据。
7.2网络加密技术网络加密技术
(1)异步通信加密异步通信时,发送字符中的各位都是按发送方数据加密设备(DEE)的时钟所确定的不同时间间隔来发送的。
接收方的数据终端设备(DTE)产生一个频率与发送方时钟脉冲相同,且具有一定相位关系的同步脉冲,并以此同步脉冲为时间基准接收发送过来的字符,从而实现收发双方的通信同步。
(2)字节同步通信加密字节同步通信不使用起始位和终止位实现同步,而是首先利用专用同步字符SYN建立最初的同步。
传输开始后,接收方从邮过来的信息序列中提取同步信息。
(3)位同步通信加密计算机网络安全基础(第4版)167.2网络加密技术网络加密技术计算机网络安全基础(第4版)172.节点加密节点加密节点加密是在协议运输层上进行加密,是对源点和目标节点之间传输的数据进行加密保护。
它与链路加密类似,只是加密算法要组合在依附于节点的加密模件中。
7.2网络加密技术网络加密技术3.端一端加密端一端加密网络层以上的加密,通常称为端一端加密。
端一端加密是面向网络高层主体进行的加密,即在协议表示层上对传输的数据进行加密,而不对下层协议信息加密。
端一端加密具有链路加密和节点加密所不具有的优点:
(1)成本低。
(2)端一端加密比链路加密更安全。
(3)端一端加密可以由用户提供,因此对用户来说这种加密方式比较灵活。
计算机网络安全基础(第4版)187.3防火墙技术防火墙技术1.因特网防火墙因特网防火墙
(1)防火墙的基本知识防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,目的是保护网络不被他人侵扰。
本质上,它遵循的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信。
通常,防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机,又称为堡垒主机。
其目的如同一个安全门,为门内的部门提供安全,控制那些可被允许出入该受保护环境的人或物。
计算机网络安全基础(第4版)197.3防火墙技术防火墙技术防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的。
从网际角度,防火墙可以看成是安装在两个网络之间的一道栅栏,根据安全计划和安全策略中的定义来保护其后面的网络。
由软件和硬件组成的防火墙应该具有以下功能。
(1)所有进出网络的通信流都应该通过防火墙。
(2)所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。
(3)理论上说,防火墙是穿不透的。
计算机网络安全基础(第4版)207.3防火墙技术防火墙技术内部网需要防范的三种攻击有:
间谍:
试图偷走敏感信息的黑客、入侵者和闯入者。
盗窃:
盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。
破坏系统:
通过路由器或主机服务器蓄意破坏文件系统或阻止授权用户访问内部网(外部网)和服务器。
这里,防火墙的作用是保护Web站点和公司的内部网,使之免遭因特网上各种危险的侵犯。
计算机网络安全基础(第4版)217.3防火墙技术防火墙技术防火墙在因特网与内部网中的位置所有来自因特网的传输信息或从内部网络发出的信息都必须穿过防火墙。
防火墙能够确保如电子信件、文件传输、远程登录或在特定的系统间信息交换的安全。
计算机网络安全基础(第4版)227.3防火墙技术防火墙技术
(2)防火墙的基本功能防火墙能够强化安全策略防火墙能有效地记录因特网上的活动防火墙限制暴露用户点防火墙是一个安全策略的检查站(3)防火墙的不足之处不能防范恶意的知情者防火墙不能防范不通过它的连接防火墙不能防备全部的威胁防火墙不能防范病毒计算机网络安全基础(第4版)237.3防火墙技术防火墙技术2.包过滤路由器包过滤路由器
(1)基本概念包是网络上信息流动的单位。
在网上传输的文件一般在发出端被划分成一串数据包,经过网上的中间站点,最终传到目的地,然后这些包中的数据又重新组成原来的文件。
每个包有两个部分:
数据部分和包头。
包头中含有源地址和目标地址等信息。
包过滤器又称为包过滤路由器,它通过将包头信息和管理员设定的规则表比较,如果有一条规则不允许发送某个包,路由器将它丢弃。
计算机网络安全基础(第4版)247.3防火墙技术防火墙技术
(2)包过滤路由器的优缺点优点:
仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。
如果站点与因特网间只有一台路由器,那么不管站点规模有多大,只要在这台路由器上设置合适的包过滤,站点就可获得很好的网络安全保护。
缺点及局限性:
在机器中配置包过滤规则比较困难;对系统中的包过滤规则的配置进行测试也较麻烦;许多产品的包过滤功都有这样或那样的局限性,要找一个比较完整的包过滤产品比较困难。
计算机网络安全基础(第4版)257.3防火墙技术防火墙技术(3)包过滤路由器的配置在配置包过滤路由器时,首先要确定哪些服务允许通过而哪些服务应被拒绝,并将这些规定翻译成有关的包过滤规则。
协议的双向性。
“往内”与“往外”的含义。
“默认允许”与“默认拒绝”。
计算机网络安全基础(第4版)267.3防火墙技术防火墙技术(4)包过滤设计假设网络策略安全规则确定:
从外部主机发来的因特网邮件在某一特定网关被接收,并且想拒绝从不信任的名为THEHOST的主机发来的数据流(一个可能的原因是该主机发送邮件系统不能处理的大量的报文,另一个可能的原因是怀疑这台主机会给网络安全带来极大的威胁)。
在这个例子中,SMTP使用的网络安全策略必须翻译成包过滤规则。
在此可以把网络安全规则翻译成下列中文规则。
过滤器规则1:
我们不相信从THEHOST来的连接。
过滤器规则2:
我们允许与我们的邮件网关的连接。
计算机网络安全基础(第4版)277.3防火墙技术防火墙技术序动作内部主机内外部主机外说明1阻塞*THEHOST*阻塞来自他THEHOST流量2允许Mail-GW252*允许的邮件网关的连接3允许*325允许输出至远程邮件网关计算机网络安全基础(第4版)28
升级会员 