网络信息安全讲义(合订本1)

网络信息安全绪论：什么是网络信息安全本节内容•什么是信息•什么是网络•什么是网络信息安全•学科内容•授课内容什么是信息•科学家说：–信息是不确定性的减少，是负熵•老百姓说：–信息是让你知道些什么的东西•安全专家说：–信息是一种资产，它意味着一种风险•老百姓说：–不怕贼偷，就怕贼惦记信息内容和信息载体•信息内容和信息载体的关系，好比灵魂和肉体的关系•同一个内容，可以用多种载体承载•不同的内容，可以用同一载体承载信息可以被——•创建•输入•存储•输出•传输（发送，接收，截取）•处理（编码，解码，计算）•销毁创建输入存储传输处理销毁输出一个例子:S先生和P先生的故事黑桃:A10842红桃:A54方块:Q5梅花:KQ3我不知道我知道你不知道我也不知道PS一个例子:S先生和P先生的故事黑桃:A10842红桃:A54方块:Q5梅花:KQ3我知道了我也知道了你知道了吗?方块5!PS信息的要害是改变知识状态什么是网络•网络–确保信息按需有序流动的基础设施•传输网络–基础电信网、基础广电网•互联网络–互联网（因特网）、内联网、外联网•人际网络–关系网、销售网、间谍网什么是安全•Security:信息的安全•Safety:物理的安全•Security的含义–在有敌人（Enemy）/对手（Adversary）/含敌意的主体（HostileAgent）存在的网络空间中，确保己方的信息、信息系统和通信不受窃取和破坏，按照需要对敌方的信息、信息系统和通信进行窃取和破坏的“机制”（Mechanism）什么是网络信息安全•在网络环境下信息资产（信息、信息系统、通信）的可能面临的风险的评估、防范、应对、化解措施。•技术措施（采用特定功能的设备或系统）•管理措施（法律、规章制度、检查）•三分技术七分管理网络信息安全的要害•网络信息安全的要害就是防止通过改变知识状态来造成不希望的后果•对信息进行窃取，会使窃取者知道信息拥有者不希望他知道的事情•对信息进行破坏，会使信息的拥有者失去对信息的拥有，不再知道他本来知道的事情背景•网络的普及•对网络的依赖加深•攻击的门槛降低–攻击资源的广泛存在–实施攻击的难度大大降低•维护国家主权和社会稳定、打击网上犯罪、引导青少年健康上网（过滤与监控）•网络信息资源的综合利用（情报获取与分析）•网络信息对抗和网络信息战网络信息安全的CIA模型•CIA模型–C:Confidentiality保密性–I:Integrity完整性–A:Availability可用性•不足之处–身份的真实性//可靠的匿名性–操作的不可否认性//操作的不可追溯性学科内容•网络安全•主机安全•通信与交易安全•内容安全•数字权利保障第一章网络攻防1.1TCP/IP简单回顾层次观点•“温度”和“分子热运动”•“有”和“无”无无有有有有有有有有无无有有无无无无无无无无无无无无有有无无有有有有有有有有有有有有有有无无无无无无无无有有无无无无无无有有有有无无无无无无无无有有有有无无无无无无有有有有无无无无无无有有有有无无无无有有有有有无无无无有有有有有有有有TCP/IP家族EthernetFDDIATMIPICMPARPRARPRIPX.25xDSLTCPUDPTelnetFTPSMTPHTTPGopherDNS……物理接口层局域网广域网接入网际互连局域网•基本定义–狭义的局域网：一个广播体系所波及范围内的网络。这是最小定义的局域网。如没有路由器的网络。–广义的局域网：通信线路属于网络所有者的范围内的网络，这是最大定义的局域网。如具有路由器的楼宇网，园区网，城域网等。局域网的基本组成•局域网特点：–较高的数据传输率，数百兆传输率–多种传输介质，细缆、粗缆、光纤、双绞线–较小的覆盖范围；分布距离短局域网的基本组成•网络服务器–文件服务器，专用服务器（邮件等）•工作站–客户端•网卡–MAC地址•传输介质–细缆，粗缆，双绞线，光纤•细缆：–段间最大距离为185米，段内工作站不超过30个，段数为5个，最大距离为925米。接插头称为BNC。传输介质•光纤，分单模与多模两种：–内径分别为9微米及62.5微米的光纤介质，传输距离远。•UTP：–非屏蔽双绞线，一般使用5类双绞线。通常的接插头称为RJ45。以太网的连接模式•总线模式细缆终端匹配器BNC三通•星型模式以太网工作原理•一个站在发送前先侦听信道上是否有数据，如果没有则开始发送包，如果有则随机等待一段时间。•每个站理论上可以听到所有的数据包，但在正常工作模式下，只对发给自己的包进行处理•在监听模式下，对所有的包都进行处理等待等10毫秒等15毫秒令牌环网•连接在令牌环网上的计算机使用一种叫做令牌的特殊的短报文来协调环的使用。•在任何时候环上只有一个令牌。为了发送数据，计算机必须等待令牌到来，然后传输一帧数据，再向下一个计算机传输令牌。•当没有计算机要发送数据时，令牌以高速在环上循环。放送方接收方FDDI（光纤分布双环网）•令牌绕环前进，发送信息包的站需要将令牌拿走，随后开始发送，发送后将令牌交出。•即使某个站出现故障，双环机制也能确保令牌在无故障的站之间快速传递广域网•定义：覆盖地理范围相对较广的数据通信网络•实例：–X.25–异步传输模式(ATM)X.25协议通道–分组数据业务的国际标准：一种用于在分组交换网上规范分组交换设备与用户终端之间的协议。其主要包括物理层的bit流、链路层的桢流及分组层的分组流三层。–面向联接的虚电路网络结构，应用是根据需要映射地址空间X.25X.25协议通道异步传输模式（ATM）–ATM采用硬件将信息分割成53个字节的固定长碎片(包括5个字节的信头)进行传输。–ATM网络以星型拓扑结构为主，其主要技术是交换技术，可以建立虚电路，支持不同的速率。异步传输模式(ATM)接入•定义：–向最终用户提供网络通信能力的网络互连机制•实例：–PPP–ISDN–xDSL–HFCPPP拨号接入•PPP——点对点协议•是SLIP（串行线接口协议）的改进，服务器方通常采用动态IP地址分配模式•WIN95以上的版本内含该协议，低版本操作系统需要运行相应的软件综合业务数字网（ISDN）接入•综合业务数字网，以数字传输的形式存在，目的是在同一条线路上同时传送多种信息，包括数字化的声音信息、图象、数字等。•一般带宽为128K，也称为2B+D信道，即两个B（64K）信道用于语音及数据的传递，一个D（16K）信道用于传输信令。综合业务数字网(ISDN)ISDN接口ISDN数字用户线xDSL•现有电话线的速度一般是56k，其主要限制原因是网络过滤器及网络本身。•创造数字用户技术（DSL）的目的是将现有铜线技术的传输速率提高到2M以上。使得更新设备后，无需更新线路即可提高带宽•几种DSL技术：–ADSL：非对称用户数据线–VDSL：超高比特率数字用户线–HDSL：高比特率用户数字线：两条线实现双向传输，带宽为1.544到2.048Mbps。–SDSL：单线/对称数字用户线：HDSL单线版本。HFCCableNetwork•利用电视频道来传送计算机数字信息•采取单工工作模式，区分上行通道与下行通道•将计算机信号调制到指定的高频信号，有线电视网络只是传递计算机信号的一个载体，如同电话网络一样。•采用非对称传输体系，下行带宽要高于上行带宽。•采用多种传输手段相结合的方法，如电话与电视信道相结合。HeadendNodeNodeNodeHubHubHubCOAXTapNodeNodeNodeDrop8MHzCCTVHCATVCETV2000HomesHFCCableNetworkNodeNodeNode•网络中继器•网桥•网关•路由器•交换机网间互连网络中继器中继器又称为转发器，工作在物理层，用于连接以太制式的总线式网络。中继器实现网络在物理层上的连接，起到扩展网络连接距离的作用。网络中继器•中继器分为直接放大式和信号再生式两种：–直接放大式只是一个简单的放大器，噪音也将一同传递到下一网段。–信号再生式同时具有信号再生功能，其可对信号进行整形后传到下一网段。交换机•交换机是将各端口之间进行逻辑上的直联，由此不仅各端口可以同时进行传输，而且可以将网络划分为多个子段以提高广播效率。•交换机可分为二层交换与三层交换，其中第二层交换作用在链路层，起到广播转移的作用，如以太网交换机。而第三层交换则作用在网络层，支持IP交换。•第三层交换是路由器的另一种实现模式，用于完成路由控制功能。其与传统的路由器的主要差别一是表现在硬件实现上，二是与交换机合为一体，使得在交换的同时进行路由选择。•可以支持VLAN。网桥网桥是用于连接两个同构的相互独立的网络。主要用于进行信息的过滤与转发。网桥网桥本地网桥查表得知目的地址在本端口处，进行包过滤，不予转发查表得知目的地址不在本端口处，将报文转发出去网关网关是用于连接两个异构的相互独立的网络。可以支持不同协议之间的转换GATEWAY作为网关的PC机路由器•路由器是在多个网络及介质之间对IP协议提供网络互连能力。•其与网桥的主要差别是可以支持不同底层协议网络的互连•与网关的主要差别在于路由器具有路由功能。路由器路由器路由器路由器路由器路由选择交换机•静态交换与动态交换–静态交换：•只是简单地进行分段及广播转移，如交换式集线器；•各端口之间采用广播方式。无法解决拥塞问题。–动态交换：•在各端口维持一个地址表，用于建立虚联接；•地址表定时更新；•更新时间可设置。网络层IPICMPARPRARPIP网络接口IP网络接口IP网络接口主机主机路由器IP协议执行过程示意网络网络IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包主机主机IP网络接口IP网络接口网络网络打包应用层数据应用层数据TCP头TCP头TCP头应用层数据应用层数据IP头IP头桢头IP数据包结构VerIHLService长度包序号标志报片偏移TTL协议CRC源地址目的地址选项Pad数据IP地址的表示•IP地址：子网编码+主机编码•比如BBS曙光站的二进制地址10011111111000100010100110100110点分十进制地址159.226.41.166子网掩码11111111111111111111111100000000（255.255.255.0）子网主机IPv4vs.IPv6•目前互联网实行的编址方案是IPv4•业界正在大力推进IPv6•地址空间从32位扩大到128位，扩大296倍•目前多以双协议栈或隧道方式实现MAC地址和IP地址之间的映射•IPMAC：地址解析协议（ARP）•MACIP：反向地址解析协议（RARP）网际控制报文协议•处理不同机器的IP层之间的通信•可以发送一些状态报文比如出错信息，因此IP层的软件都是通过它来向机器发送状态报告，ICMP也由此成为了实际上IP层的通信系统•比如ping就是一个应用ICMP的非常的著名命令，它的作用就是向一台机器发送一个小ICMP报文来检查这台机器是否应答•关掉ICMP的机器不能通过ping探测其网络连通性传输层TCPUDP传输层的地位：中间层应用层传输层网络层数据链路层物理层面向信息处理面向通信用户功能网络功能两种观点划分高层与低层传输层的功能基本功能：提供端到端（进程-进程）的可靠通信，即向高层用户屏蔽通信子网的细节，提供通用的传输接口主要功能：传输连接管理：把传输地址映射为网络地址，把端到端的传输连接复用到网络连接上数据传送优化：端到端的顺序控制、差错检测及恢复、分段处理及QoS监测通用的传输接口传输层与数据链路层的区别网络物理信道数据链路层的环境传输层的环境结点1结点2主机A主机B传输层模型传输服务用户传输服务用户应用层抽象机器.....传输服务提供者（传输实体）传输服务访问点TSAP连接端点传输连接管理、数据传送传输协议的寻址传输用户（客户端）与服务器建立连接的过程示例应用进程服务器TSAP6TSAP122NSAPXNSAPY传输层传输层网络层网络