第10章 网络安全技术.ppt

第10章网络安全技术,第10章网络安全技术,10.1网络安全概述10.2数据加密技术10.3防火墙技术10.4网络病毒与防范技术10.5入侵检测技术,10.1网络安全概述,10.1.1什么是网络安全网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。,10.1.2网络安全的特征,概括起来说，网络安全的主要特征表现如下1完整性完整性是指网络中的信息安全、精确与有效，不因种种不安全因素而改变信息原有的内容、形式与流向，确保信息在存储或传输过程中不被修改、不被破坏和丢失。2保密性保密性是指网络上的保密信息只供经过允许的人员，以经过允许的方式使用，信息不泄露给未授权的用户、实体或过程，或供其利用。,10.1.2网络安全的特征,3可用性可用性是指网络资源在需要时即可使用，不因系统故障或误操作等使资源丢失或妨碍对资源的使用。4不可否认性不可否认性，是面向通信双方信息真实统一的安全要求，包括收、发方均不可抵赖。也就是说，所有参与者不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发方不真实地否认已发送的信息，利用递交接收证据可以防止收方事后否认已经接收的信息。信息传输中信息的发送方可以要求提供回执，但是不能否认从未发过任何信息并声称该信息是接收方伪造的。信息的接收方不能对收到的信息进行任何的修改和伪造，也不能抵赖收到的信息。,10.1.2网络安全的特征,5可控性可控性是指对信息的传播及内容具有控制能力的特性。信息接收方应能证实它所收到的信息内容和顺序都是真实、合法、有效的，应能检验收到的信息是否过时或为重播的信息。信息交换的双方应能对对方的身份进行鉴别，以保证收到的信息是由确认的对方发送过来的。,10.1.3网络安全体系结构,OSI安全体系结构的研究始于1982年，于1988年完成，其成果标志是ISO发布了ISO7498-2标准，作为OSI基本参考模型的补充。这是基于OSI参考模型的七层协议之上的信息安全体系结构。它定义了5类安全服务、9种安全机制。它确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置。它还确定了OSI安全体系的安全管理。,10.1.3网络安全体系结构,OSI网络安全体系定义的5类安全服务是1对等实体鉴别服务确认有关的对等实体是所需的实体。这种服务由N层提供时，将使N1层实体确信与之打交道的对等实体正是它所需要的N1实体。2访问控制服务防止对资源的未授权使用，包括防止以未授权方式使用某一资源。这种服务提供保护以对付开放系统互连可访问资源的非授权使用。3数据完整性服务这种服务对付主动威胁。在一次连接上，连接开始时使用对某实体的鉴别服务，并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证，为这些数据单元的完整性提供确证。,10.1.3网络安全体系结构,4禁止否认服务这种服务可取如下两种形式，或两者之一（1）有数据原发证明的抗否认为数据的接收者提供数据的原发证据。这将使发送者不承认未发送过这些数据或否认其内容的企图不能得逞。（2）有交付证明的抗否认为数据的发送者提供数据交付证据。这将使接收者事后不承认收到过这些数据或否认其内容的企图不能得逞。,10.1.3网络安全体系结构,5数据保密性服务数据保密性服务是针对信息泄露、窃听等威胁的防御措施，它的目的是保护网络中各系统之间交换的数据，防止因数据被截获而造成的泄密。这种服务又分为信息保密、选择段保密和业务流保密。信息保密是保护通信系统中的信息或网络数据库的数据；选择段保密是保护信息中被选择的部分数据段；业务流保密是防止攻击者通过观察业务流，如信源、信宿、转送时间、频率和路由等来得到敏感的信息。,10.1.3网络安全体系结构,OSI网络安全体系定义的9种安全机制是1加密机制加密机制主要用来加密存储数据，是保护数据最常用的方法。2数字签名机制数字签名机制由两个过程组成对信息进行签字的过程和对已签字信息进行证实的过程。签名机制必须保证签名只能由签名者的私有信息产生。,10.1.3网络安全体系结构,3访问控制机制访问控制机制是从计算机系统的处理能力方面对信息提供保护。它根据实体的身份及其信息，来决定该实体的访问权限。访问控制按照事先确定的规则决定主体对客体的访问是否合法。4数据完整性机制在网络中传输或存储数据可能会因为一些因素，使数据的完整性受到破坏。,10.1.3网络安全体系结构,5认证机制在计算机网络中认证主要有站点认证、报文认证、用户和进程的认证等。多数认证过程采用密码技术和数字签名技术。对于用户身份认证，随着科学技术的发展，用户生理特性认证技术将得到越来越多的应用。6业务流量填充机制攻击者攻击的方法之一就是流量分析。攻击者通常通过分析网络中某一路径上的业务流量和流向来判断某些事件的发生。,10.1.3网络安全体系结构,7路由控制机制在大型计算机网络中，数据从源节点到达目的节点可能存在多条路径，其中有些路径是安全的，而有些路径是不安全的。路由控制机制可根据信息发送者的申请，选择安全路径，以确保数据安全。为了使用安全的子网、中继站和链路，既可预先安排网络中的路由，也可对其动态地进行选择。8公证机制引入公证机制后，通信双方进行数据通信时必须经过这个机构来交换，以确保公证机构能得到必要的信息，供以后仲裁时使用。仲裁数字签名技术就是这种公证机制的一种技术支持。,10.1.3网络安全体系结构,9安全审计跟踪机制审计跟踪机制能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它进行访问或破坏。审计跟踪机制提供了一种不可忽视的安全机制，它潜在的价值在于经事后的安全审计可以检测和调查网络中的安全漏洞。安全服务与安全机制有着密切的联系，安全服务由安全机制来实现，它体现了网络安全模型的功能。一个安全服务可以由一个或几个安全机制来实现，同样，一个安全机制也可用于实现不同的安全服务中。,10.2数据加密技术,10.2.1数据加密算法一个密码体制通常由5个部分构成，如图10-1所示（1）全体明文集合M，称为明文空间（2）全体密文集合C，称为密文空间（3）全体密钥集合K，称为密钥空间（4）加密算法E，由加密密钥控制的加密变换集合（5）加密算法D，由解密密钥控制的解密变换集合任意m属于M，k属于K，有Dk（Ek（m））＝m。,10.2.1数据加密算法,10.2.1数据加密算法,按密钥管理方式的不同来分，密码体制可以分为对称密钥体制和非对称密钥体制两类。对称密钥体制也称私密钥、单密钥；非对称密钥体制也称公开密钥、双密钥。1对称加密算法对称密码技术采用的解密算法是加密算法的逆运算。该技术的特点是在保密通信系统中发送者和接收者之间的密钥必须安全传送，而双方通信所用的秘密密钥必须妥善保管。对称密码技术的典型代表有古典密码技术、序列密码技术和分组密码技术如DES、IDEA、AES等。,10.2.1数据加密算法,2非对称加密算法非对称加密算法，也称为公用密钥算法。在非对称加密算法中，用作加密的密钥不同于用作解密的密钥，而且解密密钥不能根据加密密钥计算出来。非对称加密算法的典型代表是RSA算法。,10.2.2常用的数据加密标准,1美国数据加密标准（DataEncryptionStandard，DES）美国数据加密标准是在20世纪70年代中期由美国IBM公司的一个密码算法发展而来的，1977年美国国家标准局公布DES密码算法作为美国数据加密标准。直到今日，尽管DES已经经历了20多个年头，但在已知的公开文献中，还是无法完全地、彻底地把DES给破解掉。换句话说，DES这套加密方法至今仍被公认是安全的。DES算法从诞生开始，就被各个领域广泛采用，包括ATM柜员机、POS系统、收费站等，DES以它高强度的保密性能为大众服务。,10.2.2常用的数据加密标准,2国际数据加密算法（InternationalDataEncryptionAlgorithm，IDEA）国际数据加密算法（InternationalDataEncryptionAlgorithm，IDEA）是由瑞士联邦理工学院XuejiaLai和JamesMassey的在1990年提出的。IDEA是最近几年提出的用来替代DES的许多算法中的一种，是一个对称分组密码算法。IDEA是一种使用128位密钥以64位分组为单位加密数据的分组密码算法。,10.2.2常用的数据加密标准,3RSA算法RSA算法是一个非对称密钥加密算法，是公开密码体制中最著名的一个。它由Rivest、Shamir和Adleman于1978年提出。RSA的取名就是来源于三个人名字的首写字母。它是基于数论中大整数的素数分解是困难的即寻求两个人素数比较简单，但是将它们的乘积分解开却是极其困难的这一问题而提出的。,10.2.2常用的数据加密标准,运用RSA算法进行加密和解密，按以下步骤进行。1先任意选取两个不同的质数p和q。2计算npq和欧拉函数zp-1q-1。3选择一个与z互质的数d。4求出e，满足delmodz。5e,n作为公开的加密密钥，将明文分成长度小于lnn位的明文块，欲加密的明文信息为P0≤Pn，加密过程为CPemodn。6d，n作为秘密的解密密钥，解密过程为PCdmodn。,10.3防火墙技术,10.3.1防火墙概述防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。防火墙的英文名为“Firewall”，是位于两个或多个网络间，实施网络之间访问安全控制的一组组件集合。,10.3.1防火墙概述,10.3.2防火墙的功能,（1）防火墙是网络安全的屏障（2）防火墙可以强化网络安全策略（3）对网络存取和访问进行监控审计（4）防止内部信息的外泄,10.3.2防火墙的功能,同时防火墙还有一定的局限性（1）不能防范恶意知情者泄密。（2）不能防御绕过防火墙的攻击。（3）不能防御完全新的威胁。（4）不能防止特洛伊木马。（5）不能防止传送已感染病毒的软件或文件。（6）不能防御内部攻击。（7）影响网络性能。,10.3.3防火墙的分类,防火墙有很多种分类方法（1）按软、硬件形式划分软件防火墙软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。硬件防火墙传统硬件防火墙一般至少应具备三个端口，分别接内网，外网和DMZ区（非军事化区），现在一些新的硬件防火墙往往扩展了端口，常见四端口防火墙一般将第四个端口做为配置口、管理端口。芯片级防火墙芯片级防火墙基于专门的硬件平台，没有操作系统。,10.3.3防火墙的分类,（2）按防火墙技术划分防火墙技术虽然出现了许多，但总体来讲可分为“分组过滤型”、“应用代理型”以及“分组过滤型”与“应用代理型”相结合的“状态检测型”三大类。“分组过滤型”以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，“应用代理型”后者以美国NAI公司的Gauntlet防火墙为代表。,10.3.3防火墙的分类,（3）按防火墙结构划分从防火墙结构上分，防火墙主要有单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。（4）按防火墙的应用部署位置划分如果按防火墙的应用部署位置分，可以分为边界防火墙、个人防火墙和混合防火墙三大类。（5）按防火墙性能划分按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。,10.3.3防火墙的分类,防火墙的部类比较多，但总的来说可以分为两种包过滤防火墙和代理服务器。（1）包过滤防火墙（IPFiltingFirewall）包过滤（PacketFilter）是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过。2）代理服务器（ProxyServer）代理服务器通常也称作应用级防火墙。包过滤防火墙可以按照IP地址来禁止未授权者的访问。但是它不适合单位用来控制内部人员访问外界的网络，对于这样的企业来说应用级防火墙是更好的选择。,10.3.4防火墙的主要技术,（1）分组过滤技术其原理在于监视并过滤网络上流入流出的包，拒绝发送那些可疑的包。由于分组过滤技术无法有效地区分相同IP地址的不同用户，安全性相对较差。（2）代理服务技术其原理是在网关计算机上运行应用代理程序，运行时由两部分连接构成一部分是应用网关同内部网用户计算机建立的连接，另一部分是代替原来的客户程序与服务器建立的连接。,10.3.4防火墙的主要技术,（3）网络地址转换技术（NAT）其原理如同电话交换总机，当不同的内部网络用户向外连接时，使用相同的IP地址总机号码；内部网络用户互相通信时则使用内部IP地址分机号码。内部网络对外部网络来说是不可见的，防火墙能详尽记录每一个内部网计算机的通信，确保每个数据包的正确传送。（4）虚拟专用网VPN技术虚拟专用网VPN是局域网在广域网上的扩展，是专用计算机网络在Internet上的延伸。VPN通过专用隧道技术在公共网络上仿真一条点到点的专线，实现安全的信息传输。虽然VPN不是真正的专用网络，但却能够实现专用网络的功能。,10.3.4防火墙的主要技术,（5）审计技术通过对网络上发生的各种访问过程进行记录和产生日志，并对日志进行统计处理，从而对网络资源的使用情况进行分析，对异常现象进行追踪监视。（6）信息加密技术加密路由器对路由的信息进行加密处理，然后通过Internet传输到目的端进行解密。,10.4网络病毒与防范技术,10.4.1什么是网络病毒计算机病毒是一种人为制造的、在计算机运行中对计算机信息或系统起破坏作用的程序。这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度，使机器不能正常运行；重则使机器处于瘫痪，会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。,10.4.2网络病毒的特点,计算机病毒具有以下几个特点（1）寄生性计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。（2）传染性计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。（3）潜伏性有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。（4）隐蔽性计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。,10.4.3常见网络病毒的种类,（1）蠕虫病毒蠕虫病毒的前缀是Worm，是一种与传统计算机病毒相近的独立程序，通常不依附于其他程序。这种病毒的共有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络）、小邮差（发带毒邮件）等。（2）特洛伊木马病毒特洛伊木马病毒简称木马病毒，其前缀是Trojan，是一种计算机程序，它驻留在目标计算机里。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。（3）恶意网页恶意网页是指网页中的“地雷”程序，它主要是利用软件或系统操作平台等存在的安全漏洞，通过执行嵌入在网页内的JavaApplet小应用程序、JavaScript脚本语言程序和ActiveX可自动执行的代码程序等，强行修改用户操作系统的注册表、更改系统实用配置程序。,10.4.4网络病毒防范技术,（1）安装防毒杀毒软件不少DOS防毒杀毒软件都兼顾网络上的DOS病毒。如CPAV中的VSAFE就具有探测网络安全能力，设置相应的参数后，每当遇到网络访问时，它都会提供安全检测。CPAV中还有网络支撑文件ISCPSTSR.，用于检测VSAFE是否常驻内存。（2）及时修补操作系统和应用程序的漏洞操作系统中的漏洞给网络病毒开启了方便之门。例如红色代码蠕虫（CodeRed）在Windows操作系统的IIS服务器中引起缓冲区溢出。网络病毒以操作系统中的漏洞作为突破口时，根本不需要借助计算机操作者的任何干预，而自动感染和传播。因此，网络用户一定要及时对操作系统软件进行及时升级，还要尽快为系统软件和应用软件打上最新补丁。（3）数据备份及恢复对于计算机中存放的重要数据要有定期数据备份计划，用磁盘、光盘等介质及时备份数据，妥善存档保管。有数据恢复方案，在系统瘫痪或出现严重故障时，能够进行数据恢复。,10.5入侵检测技术,10.5.1入侵检测概述入侵检测（IntrusionDetection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。,10.5.1入侵检测概述,入侵检测研究最早可追溯到1980年，JamesAderson首先提出了入侵检测的概念。Aderson提出审计追踪可应用于监视入侵威胁的思想，但由于当时所有的系统安全程序都侧重于拒绝未经认证主体对重要数据的访问，这一思想的重要性当时并未被理解。1987年Dorothy.E.Denning提出了入侵检测系统（IntrusionDetectionSystem，IDS）的抽象模型，首次将入侵检测的概念作为一种计算机系统安全防御的策略提出，与传统加密和访问控制的方法相比，IDS是全新的计算机安全策略。,10.5.2入侵检测系统的作用,入侵检测系统是一种积极主动的安全防护工具，它的主要作用有（1）通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生；（2）检测其它安全措施未能阻止的攻击或安全违规行为；（3）检测黑客在攻击前的探测行为，预先给管理员发出警报；（4）报告计算机系统或网络中存在的安全威胁；（5）提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补；（6）在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。,10.5.3入侵检测系统的结构,10.5.3入侵检测系统的结构,,10.5.4入侵检测系统Snort,snort有三种工作模式嗅探器、数据包记录器、网络入侵检测系统。1嗅探器所谓的嗅探器模式就是snort从网络上读出数据包然后显示在控制台上。首先，我们从最基本的用法入手。如果只要把TCP/IP包头信息打印在屏幕上，只需要输入下面的命令./snort-v使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息。如果要看到应用层的数据，可以使用./snort-vd这条命令使snort在输出包头信息的同时显示包的数据信息。如果还要显示数据链路层的信息，就使用下面的命令./snort-vde注意这些选项开关还可以分开写或者任意结合在一块。例如下面的命令就和上面最后的一条命令等价./snort-d-v–e,10.5.4入侵检测系统Snort,2数据包记录器如果要把所有的包记录到硬盘上，需要指定一个日志目录，snort就会自动记录数据包./snort-dev-l./log为了只对本地网络进行日志，需要给出本地网络./snort-dev-l./log-h192.168.1.0/24这个命令告诉snort把进入C类网络192.168.1的所有包的数据链路、TCP/IP以及应用层的数据记录到目录./log中。使用下面的命令可以把所有的包记录到一个单一的二进制文件中./snort-l./log–b如果在嗅探器模式下把一个tcpdump格式的二进制文件中的包打印到屏幕上，可以输入下面的命令./snort-dv-rpacket.log只想从日志文件中提取ICMP包，只需要输入下面的命令行./snort-dvrpacket.logicmp,10.5.4入侵检测系统Snort,3网络入侵检测系统snort最重要的用途还是作为网络入侵检测系统（NIDS），使用下面命令行可以启动这种模式./snort-dev-l./log-h192.168.1.0/24-csnort.conf,10.5.4入侵检测系统Snort,snort有6种报警机制full、fast、socket、syslog、smbwinpopup和none。其中有4个可以在命令行状态下使用-A选项设置。这4个是-Afast报警信息包括一个时间戳timestamp、报警消息、源/目的IP地址和端口。-Afull是默认的报警模式。-Aunsock把报警发送到一个UNIX套接字，需要有一个程序进行监听，这样可以实现实时报警。-Anone关闭报警机制。,10.5.4入侵检测系统Snort,使用默认的日志方式以解码的ASCII格式并且把报警发给syslog./snort-csnort.conf-l./log-s-h192.168.1.0/24使用二进制日志格式和SMB报警机制./snort-csnort.conf-b-MWORKSTATIONS,本章小结,网络安全是一个涉及面很广泛的问题，本章主要涉及网络安全的基本概念和技术。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。计算机密码学是研究计算机中数据的加密以及变换的学科，它是集数学、计算机、电子与通信等诸多学科于一身的交叉学科。防火墙用来作为内网和外网之间的屏障，控制内网和外网的连接。计算机病毒是一种人为制造的、在计算机运行中对计算机信息或系统起破坏作用的程序。入侵检测是对入侵行为的检测，一种积极主动地安全防护技术。,