《计算机网络基础 》第7章网络安全

计算机网络技术基础第7章网络安全主编：周鸿旋计算机网络技术基础本章学习要点(1)掌握网络安全的定义。(2)了解目前网络面临的威胁以及产生威胁的原因(3)了解数据加密的基本概念和方法。(4)了解防火墙的知识。(5)了解计算机病毒的知识，掌握防治的方法。(6)了解网络安全的攻防体系和网络攻击的手段，掌握防范措施。计算机网络技术基础7.1网络安全概述7.1.1网络安全基础知识1.网络安全的含义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。包括：（l）运行系统安全，即保证信息处理和传输系统的安全。（2）网络上系统信息的安全。（3）网络上信息传播的安全，即信息传播后果的安全。（4）网络上信息内容的安全，即我们讨论的狭义的“信息安全”计算机网络技术基础7.1网络安全概述2.网络安全的特征和目标网络安全的特征：（1）保密性（2）完整性（3）可用性（4）可控性（5）不可否认性网络安全的目标：建立一个良好的通信平台，使得在这个平台上传输、处理的信息安全、可靠，从而为互联网上的各项活动提供完整而准确的信息，保证各种正常的网络行为能够高效、快捷、安全地实现。计算机网络技术基础7.1网络安全概述3.网络安全的新威胁针对网络浏览器，尤其是Flash和QuickTime这样的插件程序的袭击被列为最大威胁数量越来越多、技术越来越成熟的botnet（僵尸网络）位列榜单第二位。排在第三位是网络间谍技术第四位是手机，尤其是iPhone手机、即将上市的GoogleAndroid手机以及VoIPT系统所面临的威胁。内部袭击者的威胁排名第五。先进的身份信息窃取病毒排名第六。Storm和Nugache等恶意病毒排名第七。网络程序的漏洞排名第八。以重大事件为诱饵的混合型攻击列到第九位。排名最后的是消费者电子设备遭到攻击的可能性增大。计算机网络技术基础7.1网络安全概述4.网络安全的关键技术与安全策略网络安全关键技术指的是在针对网络威胁进行防御或者防范的时候所采用的技术，主要有如下几种：（1）主机安全技术。（2）身份认证技术。（3）访问控制技术。（4）密码技术。（5）防火墙技术。（6）安全审计技术。（7）安全管理技术。针对这些技术，主要的策略包括：（1）网络用户的安全责任（2）系统管理员的安全责任（3）正确利用网络资源（4）检测到安全问题时的对策计算机网络技术基础7.1网络安全概述7.1.2威胁网络安全的因素1．人为失误2．病毒感染3．黑客攻击4．系统的漏洞及“后门”5．隐私及机密资料的存储和传输计算机网络技术基础7.1网络安全概述信息系统数据的安全威胁计算机网络技术基础7.1网络安全概述7.1.3网络安全的分类根据中国国家计算机安全规范，计算机的安全大致可分：实体安全，包括机房、线路、主机等网络与信息安全，包括网络的畅通、准确以及网上信息的安全应用安全，包括程序开发运行、I／O、数据库等的安全具体到网络应用的形态，可以划分为：基本安全类管理与记账安全类网络互联设备安全类连接控制类计算机网络技术基础7.2网络安全技术7.2.1数据加密技术1.数据加密的基本概念数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施的，它以很小的代价来提供很大的安全保护。在多数情况下，数据加密是保证信息机密性的惟一方法。有两类基本的数据加密算法：保密密钥和公开/私有密钥。在保密密钥中，加密者和解密者使用相同的密钥，也被称为对称密钥加密。计算机网络技术基础7.2网络安全技术对称密钥加密流程示意图计算机网络技术基础7.2网络安全技术公开/私有密钥加密流程示意图计算机网络技术基础7.2网络安全技术2.数据加密的物理层次链路加密链路加密能为在两个网络节点间的某一次通信链路上传输的数据提供安全保证。结点加密节点加密不允许消息在网络节点以明文形式存在，它先把收到的消息进行解密，然后采用另一个不同的密钥进行加密，这一过程是在节点上的一个安全模块中进行。端到端加密端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密（又称脱线加密或包加密），消息在被传输时到达终点之前不进行解密，因为消息在整个传输过程中均受到保护，所以即使有节点被损坏也不会使消息泄露。计算机网络技术基础7.2网络安全技术3.数据加密的应用数据加密可以使人们在因特网上进行安全的会话，而不必担心会被人偷听。随处可见的虚拟私用网和最新的加密和鉴别技术都是很好的数据加密技术的应用。身份认证数字签名PGP加密系统数据加密在电子商务上的综合应用计算机网络技术基础7.2网络安全技术7.2.2VPN技术1.VPN的基本概念VPN（VirtualPrivateNetwork，虚拟专用网）指的是在Internet上，使用秘密信道及加密技术构建一个虚拟的、安全的、方便的及拥有自主权的数据网络。简单说，VPN是虚拟专用网，它实现了在公用网络上构建私人专用网络。计算机网络技术基础7.2网络安全技术VPN的“虚拟”性计算机网络技术基础7.2网络安全技术VPN充分利用Internet的公用网络资源，快速地建立起一个单位的专用广域连接。使用VPN可以省去专线租用费用或者长距离电话费用，大大降低成本。VPN虚拟专用网的连接计算机网络技术基础7.2网络安全技术2.VPN的系统特性VPN的系统特性不同于专用网络，“专用”和“虚拟”决定了VPN的新特性有如下这些：安全保障：保证通过公用网络平台传输数据的专用性和安全性服务质量保证：可以为企业的各种网络应用提供不同等级的服务质量保证(QoS)。可扩充性和灵活性：能够支持通过Intranet和Extranet的任何类型的数据流。可管理性：可方便地进行管理、维护。低成本性：利用现有的Internet公共网络的基础设施，不需要租用专门线路。计算机网络技术基础7.2网络安全技术3.VPN的原理与协议网络隧道技术指的是利用一种网络协议传输另一种网络协议，也就是说，将原始网络信息进行再次封装后，在两个端点之间通过公共网络进行传输，从而保证网络信息传输的安全性。隧道技术主要利用隧道协议来实现，有第二层隧道协议（用于传输第二层网络协议）、第三层隧道协议（用于传输第三层网络协议）和套接字层协议。计算机网络技术基础7.2网络安全技术第二层隧道协议有以下几种：(1)PPTP(Point-to-PointTunnelingProtocol，点对点隧道协议)。(2)L2F(Layer2Forwarding)。(3)L2TP(LayerTwoTunnelingProtocol，第二层隧道协议)第三层隧道协议是在网络层进行的，把各种网络协议直接装入隧道协议中，形成的数据包由第三层协议进行传输。第三层隧道协议有以下几种：(1)IPSec(IPSecurity)是目前最常用的VPN解决方案。(2)GRE(GeneralRoutingEncapsulation，常规路由封装)。套接字层协议有SSL(SecureSocketsLayer，安全的套接字协议层)计算机网络技术基础7.2网络安全技术4.VPN典型应用需求通过Internet实现远程用户访问（AccessVPN）计算机网络技术基础7.2网络安全技术AccessVPN的优点如下：（1）减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络。（2）实现本地拨号接入的功能来取代远距离接入或800电话接入，这样能显著降低远距离通信的费用。（3）极大的可扩展性，简便地对加入网络的新用户进行调度。（4）远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务。（5）将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。计算机网络技术基础7.2网络安全技术连接企业内部网络计算机（IntranetVPN）计算机网络技术基础7.2网络安全技术IntranetVPN的优点如下：（1）减少WAN带宽的费用。（2）能使用灵活的拓扑结构，包括全网孔连接。（3）新的站点能更快、更容易地被连接。（4）通过设备供应商WAN的连接冗余，可以延长网络的可用时间。计算机网络技术基础7.2网络安全技术连接不同企业内部网络计算机（ExtranetVPN）计算机网络技术基础7.2网络安全技术ExtranetVPN结构的主要好处是：能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可外部网的用户被许可只有一次机会连接到其合作人的网络。计算机网络技术基础7.2网络安全技术7.2.3防火墙技术1．防火墙的基本概念在计算机网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术防火墙是设置在被保护网络和外部网络之间实现网络安全保护的一道防御系统，是由具有以下特征的计算机硬件或软件组成：⑴由内到外和由外到内的所有访问都必须通过它；⑵只有本地安全策略所定义的合法访问才被允许通过它。计算机网络技术基础7.2网络安全技术网络中的“防火墙”计算机网络技术基础7.2网络安全技术第一代防火墙，采用包过滤(PacketFilter)技术，因此称包过滤防火墙，主要通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过，对其进行转发，但这种防火墙很难抵御IP地址欺骗等攻击，而且审计功能很差。第二代防火墙，称为代理服务器防火墙，它用来提供网络服务器级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安全性较高。第三代防火墙，称为状态检测防火墙，可以对每一层数据包的状态信息进行检测和监控，有效地提高了防火墙的安全性随着网络攻击手段和信息安全技术的发展，新一代的功能更强、安全性更强的防火墙已经问世，称之为第四代防火墙。它可以抵御目前常见的网络攻击手段，如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、密码探寻攻击、邮件攻击等等。计算机网络技术基础7.2网络安全技术2．防火墙的功能防火墙由于处于网络边界的特殊位置，因而被设计集成了许多的安全防护功能和网络连接管理功能。其主要目标是：（1）保护那些易受攻击的服务（2）控制对特殊站点的访问（3）集中化的安全管理（4）对网络访问进行记录、审计和统计（5）防止内部信息的外泄计算机网络技术基础7.2网络安全技术防火墙的功能模块被具体划分出来，其中最主要的功能有：访问控制功能防止外部攻击功能地址转换功能日志与报警功能身份认证功能计算机网络技术基础7.2网络安全技术3．防火墙的体系结构双重宿主主机结构计算机网络技术基础7.2网络安全技术主机过滤体系结构计算机网络技术基础7.2网络安全技术子网过滤体系结构计算机网络技术基础7.2网络安全技术4．防火墙的不足防火墙不能防止内部攻击（防外不防内）。防火墙不能防止未经过防火墙的攻击。防火墙不能取代杀毒软件，不能防止传送己感染病毒的软件或文件。防火墙不易防止反弹端口木马攻击。防火墙难于管理和配置，易造成安全漏洞。很难为用户在防火墙内外提供一致的安全策略。防火墙只实现了粗粒度的访问控制。计算机网络技术基础7.2网络安全技术5．防火墙的选择原则防火墙的管理难易度防火墙自身的安全性NCSC的认证标准最好能弥补其他操作系统之不足能否为使用者提供不同平台的选择能否向使用者提供完善的售后服务应该考虑企业的特殊需求计算机网络技术基础7.2网络安全技术企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的，这方面常常成为选择防火墙的考虑因素之一，常见的需求如下：1）IP地址转换(IPAddressTranslation)2）双重DNS3）虚拟企业网络(VPN)4）扫毒功能5）特殊控制需求计算机网络技术基础7.2网络安全技术7.2.4计算机病毒防治技术1.计算机病毒的基本概念计算机病毒是一种“计算机程序”，它不仅能破