计算机网络三版吴功宜第9章网络安全

计算机网络(第3版)吴功宜编著·普通高等教育精品教材·普通高等教育“十一五”国家级规划教材第9章网络安全本章学习要求：•了解：网络安全的重要性与研究的主要内容。•了解：当前网络安全形势的变化。•理解：密码体制基本概念及其在网络安全中的应用。•掌握：网络安全协议的概念及应用。•掌握：防火墙的概念及应用。•掌握：入侵检测的基本概念与方法。•掌握：网络业务持续性规划技术基本概念与方法。•理解：恶意代码与网络病毒防治的基本概念与方法。《计算机网络》第9章网络安全3本章知识点结构《计算机网络》第9章网络安全4网络安全的基本概念对称密钥密码体系防火墙技术密码学基本概念非对称密钥密码体系公钥基础设施PKI身份认证入侵检测技术网络业务持续性规划技术网络防病毒技术数字签名密码学在网络安全中的应用网络安全协议9.1网络安全的基本概念9.1.1网络安全重要性与特点•网络安全是网络技术研究中一个永恒的主题•网络安全是一个系统的社会工程•趋利性是当前网络攻击的主要动机•网络安全关乎国家安全与社会稳定《计算机网络》第9章网络安全59.1.2网络安全服务功能与法律法规网络安全服务的基本功能:•可用性•机密性•完整性•不可否认性•可控性《计算机网络》第9章网络安全69.1.3网络安全威胁的发展趋势•恶意代码保持快速增长的势头•对移动终端设备攻击的威胁快速上升•针对应用软件漏洞的攻击更为突出•针对搜索引擎的攻击呈快速上升趋势•假冒软件的攻击将转变攻击方式•利用社交网络、高仿网站与钓鱼欺诈发起攻击•僵尸网络将会出现新的变种•垃圾邮件正在变换新的活动方式《计算机网络》第9章网络安全79.1.4网络安全研究的主要问题•信息被攻击的4种基本类型《计算机网络》第9章网络安全8源结点目的结点非法结点分组(a)截获信息源结点目的结点非法结点分组(c)篡改信息源结点目的结点非法结点分组(b)窃听信息分组源节点目的结点非法结点(d)伪造信息分组InternetInternetInternetInternet•可能存在的网络攻击与威胁《计算机网络》第9章网络安全9Internet攻击者WebServerE-mailServerDNSServer用户路由器通信线路对通信线路的攻击对路由器的攻击对服务器的攻击对用户的攻击计算机硬件配置计算机操作系统计算机网络软件计算机应用软件数据库系统用户口令配置文件用户数据9.1.5网络攻击的主要类型•漏洞攻击•欺骗攻击•DoS与DDoS•对防火墙的攻击•恶意软件与病毒攻击《计算机网络》第9章网络安全10•DDoS攻击过程示意图《计算机网络》第9章网络安全11攻击控制台被攻击主机攻击服务器攻击执行器攻击目标·····攻击控制台9.2加密与认证技术9.2.1密码算法与密码体制的基本概念•加密与解密过程示意图《计算机网络》第9章网络安全12明文：Mybankaccound#is1947.密文：Pyhtrvbrtecssiafoiuy加密密钥用户A密文：Pyhtrvbrtecssiafoiuy解密密钥明文：Mybankaccound#is1947.用户B密文：Pyhtrvbrtecssiafoiuy窃听者Internet•易位密码方法原理示意图《计算机网络》第9章网络安全13密钥：MEGABUCK74512836列序号：pleasetrPleasetransferonemilliondollarstomyswissbankaccoundsixtwotwoabcdanaferonEmilliondollarstomyswissbankaccountsixtwotwoabcdAFLLSKSOSELAWAIATOOSSCTCLNMOMANTEAILYNTWRNNTSOWDPAEDOBUOERIRICXB明文密文•密钥长度与密钥个数《计算机网络》第9章网络安全14密钥长度（bit）组合个数40240=109951162777656256=7.205759403793×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.402823669209×10389.2.2对称密码体系•对称加密的工作原理《计算机网络》第9章网络安全15加密过程密钥明文密文解密过程明文9.2.3非对称密码体系•非对称加密的工作原理《计算机网络》第9章网络安全16明文加密算法E公钥发送端密文解密算法D私钥接收端密钥对产生器明文9.2.4公钥基础设施PKI•PKI工作原理示意图《计算机网络》第9章网络安全17私钥公钥私钥公钥公钥私钥认证中心CA证书数据库用户A用户B数字证书9.2.5数字签名技术•数字签名的工作原理示意图《计算机网络》第9章网络安全18加密过程明文明文生成摘要信息摘要信息摘要发送方私钥单向散列函数发送方明文信息摘要生成摘要单向散列函数信息摘要解密过程发送方公钥信息摘要比较身份认证接收方9.2.6身份认证技术的发展•所知：个人所掌握的密码、口令•所有：个人的身份证、护照、信用卡、钥匙•个人特征：人的指纹、声音、笔迹、手型、脸型、血型、视网膜、虹膜、DNA，以及个人动作方面的特征•根据安全要求和用户可接受的程度，以及成本等因素，可以选择适当的组合，来设计一个自动身份认证系统。《计算机网络》第9章网络安全199.3网络安全协议9.3.1网络安全协议的基本概念•网络安全协议设计的要求是实现协议执行过程中的认证性、机密性、完整性与不可否认性。•网络安全协议的研究与标准的制定涉及网络层、传输层与应用层。《计算机网络》第9章网络安全209.3.2网络层安全与IPSec协议、IPSecVPNIPSec安全体系结构•IPSec的安全服务是在IP层提供的。•IPSec安全体系主要是由：认证头协议、封装安全载荷协议与Internet密钥交换协议等组成。•认证头协议用于增强IP协议的安全性，提供对IP分组源认证、IP分组数据传输完整性与防重放攻击的安全服务。•封装安全载荷协议提供对IP分组源认证、IP分组数据完整性、秘密性与防重放攻击的安全服务。•Internet密钥交换协议用于协商AH协议与ESP协议所使用的密码算法与密钥管理体制。•IPSec对于IPv4是可选的，而是IPv6基本的组成部分。《计算机网络》第9章网络安全21AH协议基本工作原理•传输模式的AH协议原理示意图《计算机网络》第9章网络安全22InternetIP分组头高层数据IP分组头高层数据AH头部高层数据主机A主机BIP分组头认证部分下一个头净荷长度保留安全参数索引序列号认证数据（HMAC）32bit•隧道模式ESP工作原理示意图《计算机网络》第9章网络安全23Internet高层数据ESP头IP分组头节点A节点B安全网关A安全网关B高层数据ESP认证数据IP分组头新IP头212.10.5.2隧道认证部分加密部分高层数据IP分组头IPSecVPN119.1.25.2202.101.5.1190.2.2.29.3.4传输层安全与SSL、TLP协议•SSL协议在层次结构中的位置《计算机网络》第9章网络安全24HTTPSSLTCPIPInternetHTTPSSLTCPIPSSL客户端SSL服务器端9.3.4应用层安全与PGP、SET协议•数字信封工作原理示意图《计算机网络》第9章网络安全25加密过程对称密钥K0明文密文发送方接收方接收方公钥K2被加密的密钥K0加密过程对称密钥K0被加密的密钥K0被加密的密钥K0接收方私钥K1被加密的密钥K0解密过程对称密钥K0密文密文解密过程明文密文对称密钥K0•SET结构示意图《计算机网络》第9章网络安全26转账请求与通知持卡人或交易人商家收单银行发卡银行认证中心CA认证过程认证过程转账请求与通知Internet支付请求与通知转账请求与通知支付网关认证过程认证过程认证过程订货信息与交货信息9.4防火墙技术9.4.1防火墙的基本概念•防火墙的位置与作用《计算机网络》第9章网络安全27服务器防火墙服务器外部网络不可信赖的网络可信赖的网络内部网络9.4.2包过滤路由器•包过滤路由器的结构《计算机网络》第9章网络安全28服务器内部网络网络层数据链路层物理层网络层数据链路层物理层包过滤规则包过滤路由器防火墙外部网络Internet•包过滤的工作流程《计算机网络》第9章网络安全29分析包参数根据过滤规则确定包是否允许转发？是否是最后一个包过滤规则？应用下一个包过滤规则NN设置包过滤规则YY转发该包丢弃该包•包过滤路由器作为防火墙的结构《计算机网络》第9章网络安全30外部网络服务器内部网络发送到外部网络的包进入内部网络的包防火墙应用级网关(堡垒主机)Internet•包过滤规则表《计算机网络》第9章网络安全31规则过滤号方向动作源主机地址TESTHOST源端口号目的主机地址目的端口号协议描述阻塞来自TESTHOST的所有数据包阻塞所有到TESTHOST的数据包允许外部用户传送到内部网络电子邮件服务器的数据包允许内部邮件服务器传送到外部网络的电子邮件数据包**TCPTCP**251023*TESTHOST192.1.6.2***102325**192.1.6.2阻塞阻塞允许允许进入进入输出输出12349.4.3应用级网关的概念•典型的多归属主机结构示意图《计算机网络》第9章网络安全32多归属主机网卡1网卡2网卡3多归属主机网络1网络2网络3网络1网络2网络3•应用级网关原理示意图《计算机网络》第9章网络安全33服务器内部网络网络接口应用程序访问控制防火墙外部网络网络接口多归属主机Internet•应用代理工作原理示意图《计算机网络》第9章网络安全34服务器内部网络客户代理服务器防火墙实际的连接虚拟的连接Internet9.4.4防火墙的系统结构•应用级网关结构示意图《计算机网络》第9章网络安全35外部网络服务器内部网络发送到外部网络的包进入内部网络的包防火墙应用级网关(堡垒主机)Internet•采用S-B1配置的防火墙系统结构《计算机网络》第9章网络安全36文件服务器Web服务器工作站堡垒主机包过滤路由器内部网络Internet•包过滤路由器的转发过程《计算机网络》第9章网络安全37包过滤路由表199.24.180.1199.24.180.10目的IP地址转发至IP地址文件服务器Web服务器工作站堡垒主机包过滤路由器内部网络Internet•S-B1配置的防火墙系统层次结构示意图《计算机网络》第9章网络安全38网络层数据链路层物理层应用层传输层应用程序访问控制堡垒主机网络层数据链路层物理层包过滤规则包过滤路由器防火墙Internet内部网络•S-B1-S-B1配置的防火墙系统结构示意图《计算机网络》第9章网络安全39内部网络过滤子网工作站外部堡垒主机外部包过滤路由器内部包过滤路由器外部网络内部网络过滤子网被保护的内部网络InternetWeb服务器E-mail服务器内部堡垒主机Web服务器E-mail服务器DB服务器DMZ9.4.5防火墙报文过滤规则制定方法•用防火墙保护的内部网络结构示意图《计算机网络》第9章网络安全40工作站防火墙路由器1路由器2InternetWeb服务器E-mail服务器Web服务器E-mail服务器DMZFTP服务器192.168.1.1192.168.1.2192.168.1.3GE交换机192.168.2.2/29FE交换机192.168.1.1/24外部主机FTP服务器GE交换机内部网络（192.168.198.1/22）192.168.8.3192.168.8.2192.168.8.4工作站……•ICMP报文过滤规则《计算机网络》第9章网络安全41规则传输方向传输协议源IP地址目的IP地址ICMP报文类型动作1进入ICMP**源主机抑制允许2输出ICMP192.168.2.2/24*回应请求允许3进入ICMP*192.168.2.2/24回应应答允许4进入ICMP*192.168.2.2/24目的主机不可达允许5进入ICMP*192.168.2.2/24协议不可达允许6进入ICMP*