《第9章网络安全.ppt》由会员分享,可在线阅读,更多相关《第9章网络安全.ppt(46页珍藏版)》请在三一文库上搜索。
1、计算机网络基础教程,王建平 山西吕梁高专汾阳师范信息技术系,,第九章 网络安全,本章学习要点:,1.计算机网络安全概述 2.计算机网络安全的内容及研究对象 3.计算机网络的安全措施,9.1 网络安全概述,网络安全是指借助于网络管理,使网络环境中信息的机密性、完整性及可使用性受到保护,其主要目标是确保经网络传输的信息到达目的计算机时没有任何改变或丢失。因此必须确保只有被授权者才可以访问网络,计算机网络安全技术,9.1 网络安全概述,1. 网络安全的现状,随着全球信息化的飞速发展,网络已经成为社会和经济发展的强大推动力,其地位越来越重要。但同时网络安全的问题也日益突出。网 络安全涉及到国家安全、个
2、人利益、企业生存等方方面面,因此它是信息化进程中具有重大战略意义的问题。,计算机犯罪始于二十世纪80年代,随着网络应用范围的逐步扩大,其犯罪手段日见“高明”,计算机网络安全面临严重威胁,安全事故屡有发生。从目前来看,网络安全的状况令人十分担忧,从技术到管理都处于落后、被动局面。,TCP/IP是Internet的标准协议,传统的网络应用都是基于此协议的,因而大部分网络安全问题都与TCP/IP协议有关。近来在局域网中,TCP/IP也越来越流行,这使得通过Internet侵入局域网变得十分容易。,对计算机网络所构成的威胁大致可分为两类:故意危害和无意危害。故意危害网络安全的主要有三种人:故意破坏者又
3、称黑客(Hackers)、 不遵守规则者(Vandals)和刺探秘密者(Crackers)。,为网络安全担忧的人大致也可以分为两类,一类是使用网络资源的一般用户,另一类是提供网络资源的服务提供者。,2. 网络面临的主要威胁,黑客的攻击,管理的欠缺,网络的缺陷,软件的漏洞或“后门”,企业网络内部,1.网络防攻击问题 2.网络安全漏洞与对策问题 3.网络中的信息安全保密问题 4.网络内部安全防范问题 5.网络防病毒问题 6.网络数据备份与恢复、灾难恢复问题,2 网络安全的基本问题,2 主要的网络安全服务,网络安全服务应该提供以下基本的服务功能 保密性 认证 数据完整性 防抵赖 访问控制,2 计算机
4、网络安全研究的对象,网络安全措施可分采用以下几种安全措施: 路由控制 采用分组交换技术 采用不易被截取的方法,如采用光纤通信 网络安全可分为以下几个层次 1.操作系统 4.网络层(路由层) 2.用户层 5.数据链路层 3.应用层,9.2 网络防火墙技术,9.2.1 防火墙的基本概念,“防火墙”(Fire Wall)是用来连接两个网络并控制两个网络之间相互访问的系统,如图9-1所示。它包括用于网络连接的软件和硬件以及控制访问的方案。防火墙用于对进出的所有数据进行分析,并对用户进行认证,从而防止有害信息进入受保护网,为网络提供安全保障。,图9-1 防火墙的位置与功能示意图,1. 什么是防火墙,2.
5、 防火墙的主要功能,集中的网络安全,安全警报,防火墙允许网络管理员定义一个中心(阻塞点)来防止非法用户进入内部网络,禁止存在不安全因素的访问进出网络,并抗击来自各种线路的攻击。,通过防火墙可以方便地监视网络的安全性,并产生报警信号。,重新部署网络地址转换(NAT),接入Internet的机构,可以通过网络地址转换(NAT)来完成内部私有地址到外部注册地址的映射,而防火墙正是部署NAT的理想位置。,监视Internet的使用情况,防火墙也是审查和记录内部人员对Internet使用的一个最佳位置,可以在此对内部访问Internet的情况进行记录。,向外发布信息,防火墙同样还是部署WWW服务器和FT
6、P服务器的理想位置。它允许Internet上的其它用户访问上述服务器,而禁止访问内部受保护的其它系统。,3. 防火墙的局限性,不能防范绕过防火墙产生的攻击,防火墙并非万能,影响网络安全的因素很多,对于以下情况它无能为力:,不能防范受到病毒感染的软件或文件在网络上传输,很难防止数据驱动式攻击,9.2.2 防火墙的主要类型,典型的防火墙系统通常由一个或多个构件组成,相应地,实现防火墙的技术包括以下四大类:,1. 包过滤防火墙(Packet Filtering Firewall),不能防范由于内部用户不注意所造成的威胁,包过滤防火墙,又称网络级防火墙,通常由一台路由器或一台充当路由器的计算机组成。,
7、Internet/Intranet上的所有信息都是以IP数据包的形式传输的,包过滤路由器负责对所接收的每个数据包的IP地址,TCP或UDP分组头信息进行审查,以便确定其是否与某一条包过滤规则匹配。,包过滤防火墙检查每一条过滤规则,如果找到一个匹配,且规则允许该数据包通过,则该数据包根据路由表中的信息向前转发;如果找到一个匹配,且规则拒绝此数据包,则该数据包将被舍弃。,包过滤防火墙对用户来说是全透明的,其优点是只需在一个关键位置设置一个包过滤路由器就可以保护整个网络,使用起来非常简洁、方便,且速度快、费用低。,包过滤防火墙也有其自身的缺点和局限性 ,例如它只检查地址和端口,对应用层上的黑客行为无
8、能为力;包过滤规则配置比较复杂; 包过滤没法检测具有数据驱动攻击这一类潜在危险的数据包等。,2. 应用级网关(Application Level Gateway),应用级网关主要控制对应用程序的访问,它能够对进出的数据包进行分析、统计,防止在受信任的服务器与不受信任的主机间直接建立联系。而且它还提供一种监督控制机制,使得网络内、外部的访问请求在监督机制下得到保护。,和包过滤防火墙一样,应用级网关也是仅仅依靠特定的逻辑判断来决定是否允许数据包通过。一旦防火墙内外的计算机系统建立起直接联系,它外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。,应用级网关具有较强
9、的访问控制功能,是目前最安全的防火墙技术之一。但其每一种协议都需要相应的代理软件,实现起来比较困难,效率不如网络级防火墙高,而且对用户缺乏“透明度”。,3. 电路级网关(Circuit Level Gateway),电路级网关通常工作在在OSI参考模型中的会话层上,它只依赖于TCP连接,而并不关心任何应用协议,也不进行任何的包处理或过滤。它就像电线一样,只是在内部连接和外部连接之间来回拷贝字节。由于连接要穿过防火墙,因而其隐藏了受保护网络的有关信息。,电路级网关往往不是一个独立的产品,它要和其它一些应用级网关结合在一起使用。其最大的优点是主机可以被设置成混合网关,内部 用户使用起来很方便,另外
10、,电路级网关还可将所有内部的IP地址映射到一个防火墙专用的、安全的IP地址。,4. 代理服务防火墙(Proxy Sever Firewall),代理服务防火墙又称链路级网关,通常指运行代理服务器软件的一台计算机。代理服务器(Proxy Sever)运行在Intranet和Internet之间,是内、外网络的隔离点,起着监视和隔绝应用层通信流的作用。,代理服务器收到用户对某站点的访问请求后,便立即检查该请求是否符合规则。若规则允许用户访问该站点,代理服务器便会以客户身份登录目的站点,取回所需的信息再发回给客户。,代理服务器将所有跨越防火墙的通信链路分为两段,外部用户只能看到该代理服务器而无法获知
11、任何内部资料,如IP地址,从而起到了隔离防火墙内、外计算机系统的作用。,代理服务软件要分析网络数据包并作出访问控制决定,从而在一定程度上影响了网络的性能,且代理服务器需要为每个网络用户专门设计,安装使用较复杂,成本也相对较高。,5. 复合型防火墙(Compound Firewall),由于对更高安全性的要求,常常把基于包过滤的防火墙与基于代理服务的防火墙结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案:,屏蔽主机防火墙体系结构,包过滤路由器与Internet相连,同时一个堡垒机安装在内部网络,通过在包过滤路由器上设置过滤规则,使堡垒机成为Internet上其它结点所能到达的唯一结点,
12、从而确保了内部网络的安全。如图9-2所示:,图9-2 屏蔽主机结构示意图,屏蔽子网防火墙体系结构,堡垒主机放在一个子网内,两个包过滤路由器放置在这一子网的两端,使这一子网与外部Internet及内部网络分离,如图93所示。,图9-3 屏蔽子网结构示意图,防火墙所具有的优点主要包括以下几个方面: 集中化的安全管理 能够对透过防火墙的网络服务进行必要的限制; 可控制对特殊站点的访问; 方便地监视网络的安全性并产生报警 如果防火墙系统采用网络地计翻译器(NAT)技术,还可极大地缓和网络地址空间的不足。 使用防火墙虽可以带来许多优点和便利,但就目前的防火墙技术水平而言还存在一些缺陷和不足。主要表现在以
13、下几个方而:防火墙极有可能封锁掉用户所需的某些服务;防火墙无法防范绕过它的外来攻击,比如允许内部用户直接拨号上网就会使得精心设计的防火墙系统失效;防火墙不能防范来自内部的安全威胁;防火墙不能防止传送已感染病毒的软件或文件等。,4 防火墙存在的优点和不足,9.3 网络防病毒技术,随着计算机和Internet的日益普及,计算机病毒已经成为了当今信息社会的一大顽症。由于计算机病毒极强的破坏作用,因而它严重地干扰了人们的正常工作,企业的正常生产,甚至对国家的安全都造成了巨大的影响。网络防病毒技术已成为计算机网络安全研究的一个重要课题。,9.3.1 计算机病毒,1. 计算机病毒的定义,计算机病毒是指编制
14、或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。,2. 计算机病毒的特点,计算机病毒都是人为制造的、具有一定破坏性的程序,它不同于日常生活中所说的传染病毒。计算机病毒具有以下一些基本特征:,传染性,隐蔽性,计算机病毒能通过各种渠道从已被感染的计算机扩散到未被感染的计算机,而计算机中被感染的文件又会成为新的传染源,再与其他机器进行数据交换或通过网络接触,使病毒传播范围越来越广。,计算机病毒往往是短小精悍的程序,若不经过代码分析,病毒程序和普通程序是不容易区分开的。正因为如此,才使得病毒在被发现之前已进行广泛的传播。,潜伏性,触发性,
15、破坏性,计算机病毒程序进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现。,触发病毒程序的条件较多,可以是内部时钟,系统的日期和用户名,也可以是网络的一次通信等。一个病毒程序可以按照设计者的要求,在某个计算机上激活并发出攻击。,计算机病毒的最终目的是破坏系统的正常运行,轻则降低速度,影响工作效率;重则删除文件内容、抢占内存空间甚至对硬盘进行格式化,造成整个系统的崩溃。,衍生性,计算机病毒本身由几部分组成,所以它可以被恶作剧者或恶意攻击者模仿,甚至对计算机病毒的几个模块进行修改,使之衍生为不同于原病毒的另一种计算机病毒。,3. 计算机
16、病毒的分类,目前,全球的计算机病毒有几万种,对计算机病毒的分类方法也存在多种,常见的分类有以下几种:,(1)按病毒存在的媒体分类,引导型病毒,文件型病毒,混合型病毒,(2)按病毒的破坏能力分类,良性病毒,恶性病毒,(3)按病毒传染的方法分类,驻留型病毒,非驻留型病毒,(4)按照计算机病毒的链接方式分类,源码型病毒,嵌入型病毒,外壳型病毒,操作系统型病毒,9.3.2 网络病毒的危害及感染网络病毒的主要原因,1. 网络病毒的危害,近几年来计算机病毒呈现出异常活跃的态势。当前的网络入侵主要来自于蠕虫病毒,它们不仅可以感染可执行文件,通过电子邮件、局 域网和聊天软件等多种途径进行传播,破坏网络的正常运
17、转,同时还 兼有黑客后门功能,盗窃用户密码,非法实施远程控制。,网络中病毒的感染一般从工作站开始,然后传播给服务器。服务器一旦染上了病毒不仅将造成自身的瘫痪,而且还会使病毒在工作站之间迅速传播,感染其它网络上的主机和服务器。,办公软件的广泛使用大大加剧了Office宏病毒的传播。另外利用Java程序病毒和ActiveX病毒编写的病毒网页可以在用户浏览网站的同时被悄悄下载到用户个人计算机中,故意浪费系统资源,干扰计算机的正常运行。,2. 网络感染病毒的主要原因,将软盘带到网络上运行后,使网络感染上病毒;,访问网络电子广告牌(BBS)时感染的病毒;,从软件商的演示光盘中带来的病毒;,从系统维护盘中
18、带来的病毒;,从公司之间交换的磁盘中带来的病毒。,据统计,目前70%的病毒发生在网络上,研究发现引起网络病毒的原因主要有以下一些:,9.3.3 网络防病毒软件的应用,网络防病毒软件能对文件服务器和工作站进行查毒扫描,发现病毒后立即报警并隔离带毒文件,由网络管理员负责清除病毒。,实时扫描,2. 网络防病毒软件的扫描方式,预置扫描,人工扫描,1. 网络防病毒软件的功能,3. 网络防病毒软件的选择,实时扫描,一般应选择每30秒钟能够扫描1000个文件以上的防毒软件。,正确识别率,使用一定数量的病毒样本进行测试,正规的测试数量应该在10000种以上,以检测防病毒软件的病毒识别率。,用户在选择网络防病毒
19、软件时,要注意以下指标:,病毒清除,可靠、有效地清除病毒,并保证数据的完整性,对于防病毒软件而言十分必要。,良好的技术支持,防病毒软件另一个重要的方面是软件提供的技术支持服务,如病毒代码和扫描引擎的升级速度、更新方式,一个再好的杀毒软件,没有良好的技术服务最终都会落伍的。,9.3.4 网络工作站防病毒的方法,网络工作站防病毒可从以下几个方面入手:,采用无盘工作站,使用带防病毒芯片的网卡,使用单机防病毒卡,返回本节首页,返回本章首页,9.4 网络加密与入侵检测技术,9.4.1 网络加密技术,1. 加密的定义和目的,密码技术是保障信息安全的核心技术。加密指改变数据的表现形式,使之成为没有正确密钥任
20、何人都无法读懂的密文。加密旨在对 第三者保密,只让特定的人能解读密文。,为了读懂报文,密文必须重新转变为明文。而含有数学方式以用来转换报文的双重密码就是密钥。如图9-4所示。对一般人而言,即使获得了密文,也不解其义。,图9-4 数据的加/解密过程,如果信息由源点直达目的地,在传递过程中不会被任何人接触到,则无需加密。而Internet是一个开放的系统,穿梭于其中的数据可能被任何人随意拦截,因此,将数据加密后再传送是进行秘密通信的最有效的方法。,2. 网络加密的主要方式,一个加密网络,不仅可以保护网内的数据、文件和口令,而且也是对付恶意软件的有效方法。目前对网络加密主要有三种方式:,(1)链路加
21、密,链路加密指仅在数据链路层对传输数据进行加密,它主要用于对信道中可能被截获的那一部分数据信息进行保护,一般的网络安全系统都采用这种方式。,链路加密只对通信链路中的数据加密,而不对网络结点内的数据加密。因此链路上的所有数据报文(包括路由信息等)均以密文形式出现,而结点内的数据报文却以明文出现。,链路加密简单、容易实现,但由于全部报文都以明文形式通过各结点,因此在这些结点上,数据容易受到非法存取的危险,而且每条链路都需要一对加、解密设备和一个独立密钥,因此成本较高。,(2)结点加密,结点加密是对链路加密的改进,它也要为通信链路上传输的所有数据进行加密,而且加密过程对用户是透明的。,结点加密不允许
22、报文在网络结点内以明文形式存在,它先把接收到的报文进行解密,然后采用另一个不同的密钥进行加密,其目的是克服链路加密在结点处易遭受非法存取的缺点。,链路加密比链路加密成本低,而且更安全。但结点加密要求报头和路由信息以明文形式传输,以便中间结点能得到如何处理消息的信息。因此这种方法仍然存在一定的风险。,(3)端对端加密,端对端加密允许数据在从源点到终点的传输过程中始终以密文形式存在,报文在到达终点之前不进行解密。这样即使有中间结点被损坏也不会泄露消息。,端对端加密可在传输层或更高层次中实现。它与链路加密最大的不同在于它是对整个网络系统采取保护措施,因此安全性更高。,端对端加密的可靠性强,设计、实现
23、和维护都更容易。但数据报头仍保持明文形式,容易为报文分析者所利用,且端点加密密钥数量大,密钥的管理比较困难。,3. 网络加密算法,网络信息的加密过程是由加密算法来具体实施的,按照国际惯例,加密算法有以下几种分类标准:,(1)根据对明文信息加密方式的不同进行分类,分组加密算法,密文仅与给定的密码算法和和密钥有关,与被处理的明文数据段在整个明文(或密文)中所处的位置无关。分组加密算法每次只加密一个二进制比特位。,序列加密算法,密文不仅与最初给定的密码算法和密钥有关,同时也是被处理的数据段在明文(或密文)中所处的位置的函数。序列加密算法先将信息序列分组,每次对一个组进行加密。,(2)根据收发双方的密
24、钥是否相同来进行分类,对称加密算法,对称加密算法,又称私钥加密算法,它是指系统加密明文和解读密文时使用的是同一把密钥,或者虽然不同,但是由其中的任意一把可以容易地推导出另一把。加/解密过程如下图9-5所示:,图9-5 对称加密算法的加/解密过程,对称加密算法中影响最大的是DES密码,它是以56位密钥为基础的密码块加密技术。对称加密算法具有很强的保密强度,但由于至少有两个人持有密钥,所以任何一方都不能完全确定对方手中的密钥是否已经透露给了第三者。,非对称加密算法,非对称加密算法,又称公钥加密算法,它是指系统加密和解密分别用两把不同的密钥实现,并且加密密钥和解密密钥不可能相互推导。加/解密过程如下
25、图9-6所示:,图9-6 非对称加密算法的加/过程解密,非对称加密算法中最有影响力的是RSA,它能抵抗目前为止已知的所有密码攻击。非对称加密算法可以避免密钥共享而带来的问题,尤其可方便地实现数字签名和身份验证。但其算法较复杂,其使用时需要的计算量也很大。,9.4.2 入侵检测技术,1. 什么是入侵检测和入侵检测系统,入侵检测(ID)是指识别针对计算机或网络资源的恶意企图和行为,并对此作出反应的过程。入侵检测的全过程包括监控在计算机系统或网络中发生的事件、分析处理这些事件、检测出入侵事件。,入侵检测系统(IDS)是指使整个监控和分析过程自动化的独立系统,它既可以是一种安全软件,也可以是硬件。,入
26、侵检测和防火墙最大的区别在于防火墙只是一种被动防御性的网络安全工具,而入侵检测作为一种积极主动的安全防护技术能够在网络系统受到危害之前拦截和响应入侵,很好地弥补了防火墙的不足。,2. 入侵检测的分类,(1)根据信息源的不同进行分类,基于主机的入侵检测系统(HIDS),基于网络的入侵检测系统(NIDS),基于主机的IDS可监测Windows 下的安全记录以及Unix环境下的系统记录。当有文件被修改时,IDS将新的记录条目与已知的攻击特征相比较,看它们是否匹配。如果匹配,就会向系统管理员报警或者作出适当的响应。,基于网络的IDS以数据包作为分析的数据源,它通常利用一个工作在混杂模式下的网卡来实时监
27、视并分析通过网络的数据流。一旦检测到了攻击行为,IDS的响应模块就会做出报警、切断相关用户的网络连接等适当的响应。,(2)根据检测所用分析方法的不同进行分类,误用检测(Misuse Detection),异常检测(Anomaly detection),大部分现有的入侵检测工具都使用该方法,它应用了系统缺陷和特殊入侵的累计知识。只要是不符合正常规则的所有行为都会被认为是不合法的,并且系统就会立即报警。误用检测的准确度很高,但它对入侵信息的收集和更新比较困难,且难以检测到本地入侵。,异常检测假设入侵者活动异常于正常的活动,当主体的活动违反其统计规律时,便会被认为是“入侵”。其最大的优点是能检测出新
28、的入侵或者从未发生过的入侵。但异常检测是一种“事后”的检测,当检测到入侵行为时,破坏早已发生了,并且它的查准率也不高。,3. 统计方法,统计方法是当前产品化的入侵检测系统中常用的方法,它是一种成熟的入侵检测方法,它使入侵检测系统能够学习主体的日常行为,将那些与正常活动之间存在较大偏差的活动标识为异常活动。,统计方法的优点是可以“学习”用户的使用习惯,从而具有较强的实用性。但它的“学习”能力也给入侵者提供了通过逐步“训练”使入侵事件符合正常操作统计规律的机会,从而使入侵事件透过入侵检测系统。,9.5 网络安全技术的发展前景,9.5.1 网络加密技术的发展前景,1. 对称加密算法的发展前景,在对称
29、加密算法中,DES加密算法的影响力最大,但后来其保密性受到了极大挑战。为此,美国推出DES的改进版本3DES。,3DES要求收发双方都用三把密钥进行加解密,这样大大提升了密码的安全性,破解几乎不可能。但任意一方若丢失了其中任何一把密钥,其余两把都将无用。于是美国的NIST又推出了AES加密算法。,AES的数学算法虽至今仍未正式公布,但比其它算法更简洁、精确。与3DES相比,AES不仅在安全性能方面有显著提高,并且在使用性能和资源的有效利用上也存在着质的飞跃。AES将来极有可能取代 DES。,2. 非对称加密算法的发展前景,RSA是非对称加密算法中最典型的代表,它的安全性是基于大整数的因子分解,
30、而这类数学难题至今仍未解决,因此可以确保RSA算法的安全性。目前,大多数使用公钥密码进行加密和数字签名的 产品和标准使用的都是RSA算法。,椭圆曲线加密技术(ECC)建立在单向函数基础上,该数学问题比RSA的更难。与RSA相比,ECC具有安全性能更高 、计算量更小、处理速度更快、存储空间占用更少、带宽要求更低等优势。因而ECC在将来具有广阔的应用前景。,9.5.2 入侵检测技术的发展趋势,目前,国内外入侵检测技术的发展趋势可以概括为以下几个方面:,分布式入侵检测,智能化入侵检测,各种网络安全技术相结合,9.5.3 IDS的应用前景,在互联网高速发展的今天,入侵检测系统已被广泛地应用在了网上银行
31、、军事系统,电子商务系统、ICP等众多领域,对于广大用户而言,IDS将来也有着美好的应用前景,主要表现在:,IDS应用于无线网络,无线通信在全球的应用越来越广,但也不可避免地带来了系统安全性的问题。由于在整个无线通信的过程中,用户信息的传输,如用户的身份信息、位置信息、语音等均暴露在第三方面前,因而极易受到被第三者截获的危险。IDS在这些方面还有着广阔的用武之地。,IDS走向家庭,现在越来越多的用户家庭使用了宽带服务,但黑客侵入网络盗窃信用卡、身份证明或进入网络管理系统进行破坏的事件也时有发生,一些传播很快的病毒还会把个人计算机的重要内容暴露给黑客。这些都预示着IDS将逐渐走入家庭。,本章小结,计算机网络对整个社会的科技、文化和经济带来了巨大的推动与冲击,但同时信息共享与信息安全的矛盾也日益突出。如何有效地维护好网络系统的安全,已经成为了计算机研究与应用中的一个重要的课题。 本章我们首先介绍了网络安全的现状,目的是让读者对网络安全问题引起足够的重视,了解构成网络不安全的因素究竟有哪些;接着我们介绍了网络防火墙,目的是使读者全面把握不同类型的防火墙功能与特点间的差异;然后我们对网络防病毒技术进行了详细的阐述;最后重点介绍了网络加密的主要方式、常见的网络加密算法和入侵检测技术,目的让读者在掌握这些技术原理的同时,进一步了解它们的应用发展前景。,