第2章 网络安全技术基础

贾铁军沈学东苏庆刚等编著机械工业出版社本章要点●网络协议安全●网络安全层次体系●安全服务与安全机制●虚拟专用网VPN技术●无线局域网安全●常用的网络命令教学目标●了解网络协议安全●理解网络安全层次体系●理解安全服务与安全机制●掌握虚拟专用网VPN技术●掌握无线局域网安全●掌握常用的网络命令2.1网络协议安全概述2.1.1网络协议安全分析1.物理层安全物理层安全威胁主要指网络周边环境和物理特性引起的网络设备和线路的不可用而造成的网络系统的不可用。2.网络层安全网络层的安全威胁主要有两类：IP欺骗和ICMP(因特网控制信息协议)攻击。3.传输层安全传输层主要包括传输控制协议TCP和用户数据报协议UDP。TCP是一个面向连接的协议，用于多数的互联网服务，保证数据的可靠性。4.应用层及网络应用安全应用层安全问题可以分解成网络层、操作系统、数据库的安全问题.需要重点解决的特殊应用系统的安全问题主要包括：Telnet、FTP、SMTP、DNS、NFS（实现主机间文件系统的共享）、BOOTP（用于无盘主机的启动）、RPC（实现远程主机的程序运行）、SNMP（简单网络管理的协议）等，都存在一定的安全隐患和威胁。2.1.2典型的网络安全协议1.IPSec安全协议因特网安全协议IPSec(InternetProtocolSecurity)是一组安全IP协议集，是在IP包级为IP业务提供保护的安全协议标准，其基本目的就是把密码学的安全机制引入IP协议，通过使用现代密码学方法支持保密和认证服务，使用户能有选择地使用，并得到所期望的安全服务。2.SSL协议SSL协议由SSL记录协议和SSL握手协议两层组成，其主要优点是：SSL协议独立于应用层，是在传输层和应用层之间实现加密传输的应用最广泛的协议。2.2网络安全体系结构2.2.1开放式系统互连参考模型OSI/RM开放系统互连参考模型7层协议的主要功能如表所示层次名称主要功能功能概述应用样例7应用层做什么？提供（OSI）用户服务，如文件传输、电子邮件、网络管理等Telnet、HTTP6表示层像什么实现不同格式和编码之间的交换，传递数据的语法及语义。ASCII、JPEG、EBCDIC5会话层如何检查？对方是谁？在两个应用进程之间建立和管理不同形式的通信对话。数据流方向控制模式3种：单工、半双工、双工操作系统/应用访问规划4传输层对方在何处？提供传送方式，进行多路利用，实现端点到端点间的数据交换，为会话层实体提供透明的、可靠的数据传输服务TCP、UDP、SPX2.2.1开放式系统互连参考模型3网络层数据走什么路径可以到达？通过分组交换和路由选择为传输层实体提供端到端的交换网络数据，传送功能使得传输层摆脱路由选择、交换方式、拥挤控制等网络传输细节，实现数据传输IP、IPX2数据链路层每一步应该怎样走？进行二进制数据块传送，并进行差错检测和数据流控制。它分为两个子层，即介质访问控制协议(MAC)和逻辑链路控制协议(LLC)802.3/802.2、HDLC层次名称主要功能功能概述应用样例1物理层对上一层的每一步如何利用物理传输介质传送通过机械和电气的互联方式把实体连接起来，让数据流通过EIS/TIA-232V.3510BASE5、10BASE2和10BASET2.2.2Internet网络体系层次结构Internet现在使用的协议是TCP/IP协议。TCP/IP协议是一个四层结构的协议族，这四层协议分别是：物理网络接口层协议、网际层协议、传输层协议和应用层协议。TCP/IP组的4层协议与OSI参考模型7层协议和常用协议的对应关系如下图所示。2.2.3网络安全层次特征体系为了更好地理解网络安全层次特征体系，也可以将计算机网络安全看成一个由多个安全单元组成的集合。2.3安全服务与安全机制2.3.1安全服务的基本类型1.对象认证安全服务2.访问控制安全服务3.数据保密性安全服务4.数据完整性安全服务5.防抵赖安全服务2.3.2支持安全服务的基本机制网络信息安全机制（Securitymechanisms）定义了实现网络信息安全服务的技术措施，包括所使用的可能方法，主要就是利用密码算法对重要而敏感的数据进行处理。安全机制是安全服务乃至整个网络信息安全系统的核心和关键。安全机制可以分为两类：一类是与安全服务有关，它们被用来实现安全服务；另一类与管理功能有关，它们被用于加强对安全系统的管理。为了实施安全服务功能，ISO对信息系统安全体系结构制定的开放系统互联(OSI)基本参考模型ISO7498提出了8类安全机制，作为网络信息安全的基本机制。1.加密机制2.数字签名机制3.访问控制机制4.数据完整性机制5.鉴别交换机制6.通信业务填充机制7.路由控制机制8.公证机制2.3.3安全服务和安全机制的关系(1)安全服务和安全机制的对应关系可以体现在很多方面，具体关系如表所示。机制服务数据加密数据签名访问控制数据完整性鉴别交换业务流填充路由控制公证机制对等实体鉴别√√√访问控制√连接的保密性√√选择字段保密性√2.3.3安全服务和安全机制的关系(2)安全服务和安全机制的对应关系可以体现在很多方面，具体关系如表所示（续前）。机制服务数据加密数据签名访问控制数据完整性鉴别交换业务流填充路由控制公证机制业务流安全√√√数据的完整性√√√数据源点鉴别√√√禁止否认服务√√√2.4虚拟专用网VPN技术虚拟专用网(VirtualPrivateNetwork，简称VPN)是利用公共数据网或专用局域网构建的，以特殊设计的硬件和软件，直接通过共享的IP网络所建立的隧道完成的虚拟专用网络。通过VPN可以实现远程网络之间安全、点对点的连接。2.4.1VPN的组成及特点1.VPN的组成及类型VPN可以理解成虚拟的企业内部专用网络。VPN的核心就是在利用公共网络建立虚拟专用网。一个VPN连接由客户机、隧道和服务器3部分组成。一般按照VPN的服务类型分为3种类型：（1）远程访问虚拟网AccessVPN（2）企业内部虚拟网IntranetVPN（3）企业扩展虚拟网ExtranetVPN。2.VPN的结构及特点(1)VPN可以通过特殊的加密通信协议为连接在Internet上位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路，如同架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。在实际应用中，用户需要一个高效、成功的VPN具有4个特点：（1）安全保障（2）服务质量（QoS）保证（3）可扩充性和灵活性。（4）可管理性2.VPN的结构及特点(2)VPN的结构如下图所示。2.4.2VPN主要安全技术（1）由于VPN传输的是安全程度要求较高的专用信息，所以VPN用户对数据的安全性都很重视。目前，VPN主要采用隧道技术、加解密技术、密钥管理技术、用户身份认证技术、安全工具与客户端管理5项技术来保证安全。2.4.2VPN主要安全技术（2）当一个客户端使用一个VPN隧道时，数据通信保持加密状态直到它到达VPN网关，此网关位于无线访问点之后，如图所示。2.4.3IPSec概述1.IPSec协议簇IPSec定义了一种标准的、健壮的和包容广泛的机制，利用IPSec可以为IP以及上层协议（如TCP或者UDP）提供安全保证。IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能，在IP层实现多种安全服务，包括访问控制、数据完整性、机密性等。2.IPSec的实现方式和实施(1)IPSec的实现方式有两种：传输模式和隧道模式，都可用于保护通信。(1)传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全性。如图所示。2.IPSec的实现方式和实施(2)(2)隧道模式用于主机与路由器或两部路由器之间，保护整个IP数据包。如图所示。IPSec可在终端主机、网关/路由器或者两者中同时进行实施和配置。2.5无线局域网安全2.5.1无线网络安全概述1.无线网络的安全问题无线网络的数据传输是利用微波进行辐射传播，因此，只要在AccessPoint(AP)覆盖的范围内，所有的无线终端都可以接收到无线信号，AP无法将无线信号定向到一个特定的接收设备，因此，无线的安全保密问题就显得尤为突出。2.无线安全基本技术(1)访问控制(2)数据加密(3)新一代无线安全技术——IEEE802.11i(4)TKIP(5)AES(6)端口访问控制技术（IEEE802.1x）和可扩展认证协议（EAP）(7)WPA（WiFiProtectedAccess）规范3.无线网络安全隐患无线网络选择了通过特定的无线电波来传送，在这个发射频率的有效范围内，任何具有合适接收设备的人都可以捕获该频率的信号，进而进入目标网络，因此，更具有安全隐患和威胁。2.5.2无线安全机制与策略1.无线安全机制(1)隐藏SSID(2)MAC地址过滤(3)WEP加密(4)AP隔离(5)802.1x协议(6)WPA(7)WPA2(8)802.11i2.无线网络的安全策略(1)制订全面的安全策略(2)加密网络数据(3)利用VPN技术(4)限制文件访问(5)使用端点扫描技术(6)在WLAN中使用WPA或802.1x技术(7)加强测试(8)使用双因素验证(9)审查及监控结果(10)加强安全持之以恒2.5.3无线网络安全技术应用不同安全级别和典型场合的应用技术如表所示。安全级别典型场合应用技术初级小型企业、家庭用户等64、128位WEP加密中级安全仓库物流、医院、学校、餐饮娱乐IEEE802.1x认证机制专业级安全各类公共场合以及网络运营商、大、中型企业、金融机构用户隔离技术+IEEE802.1x认证+VPN+Radius的用户认证以及计费2.6常用的网络命令2.6.1ping命令ping命令功能是通过发送ICMP包来检验与另一台TCP/IP主机的IP级连接情况。网管员常用这个命令检测网络的连通性和可到达性。同时，应答消息的接收情况将和往返过程的次数一起显示出来。如果只使用不带参数的ping命令，窗口将会显示命令及其各种参数使用的帮助信息。使用ping命令的语法格式是：ping对方计算机名或者IP地址2.6.2ipconfig命令ipconfig命令功能是显示所有TCP/IP网络配置信息、刷新动态主机配置协议DHCP（DynamicHostConfigurationProtocol）和域名系统DNS设置。使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。利用“ipconfig/all命令”可以查看所有完整的TCP/IP配置信息。对于具有自动获取IP地址的网卡，则可以利用“ipconfig/renew命令”更新DHCP的配置。2.6.3netstat命令netstat命令的功能是显示活动的连接、计算机监听的端口、以太网统计信息、IP路由表、IPv4统计信息（IP、ICMP、TCP和UDP协议）。使用“netstat-an”命令可以查看目前活动的连接和开放的端口，是网络管理员查看网络是否被入侵的最简单方法。2.6.4net命令net命令的功能是查看计算机上的用户列表、添加和删除用户、与对方计算机建立连接、启动或者停止某网络服务等。利用netuser查看计算机上的用户列表，以“netuser用户名密码”给某用户修改密码。2.6.5at命令At命令功能是在与对方建立信任连接以后，创建一个计划任务，并设置执行时间。本章小结本章作为“网络安全基础”，概述了网络协议安全分析和网络安全层次结构；分析了开放式系统互连参考模型、Internet网络体系层次结构和网络安全体系结构；介绍了安全服务的基本类型、支持安全服务的基本机制、安全服务和安全机制的关系和安全服务与网络层次的关系；概述了虚拟专用网VPN组成及特点、VPN主要安全技术、IPSec协议和VPN技术的实际应用。概述无线网络安全技术、无线安全机制与策略、无线网络安全技术应用等；最后，介绍了常用的网络命令，包括ping命令、ipconfig命令、netstat命令、net命令和at命令等。