您好,欢迎访问三七文档
12020年2月11日星期二《网络安全技术》(第2版)网络安全技术(第2版)刘化君等编著教学课件22020年2月11日星期二《网络安全技术》(第2版)网络安全应用是指在网络应用过程中如何保障网络安全。网络安全应用的目的是要保证网络用户的真实性,互联网数据传输的机密性、完整性和可靠性,以便对抗身份假冒、信息窃取、数据篡改、越权访问和事后否认等安全威胁。网络安全应用涉及的范围比较广,本章主要讨论IP安全协议、虚拟专用网(VPN)、安全电子邮件、Web安全和云计算安全等网络安全应用技术。第8章网络安全应用刘化君等编著32020年2月11日星期二《网络安全技术》(第2版)8.1IP安全8.2虚拟专用网技术8.3安全电子邮件8.4Web安全技术8.5云计算安全小结与进一步学习建议思考与练习第8章网络安全应用刘化君等编著42020年2月11日星期二《网络安全技术》(第2版)8.1.1IPSec安全体系结构1.IPSec安全体系的构成IPSec是IETF在开发IPv6时为保证IP数据报安全而设计的,是IPv6的一个组成部分、是IPv4的可选项。IPSec可以向IPv4和IPv6提供互操作、基于密码的安全性。IPSec是基于IP通信环境的一种端到端的数据安全保障机制,相当复杂。8.1IP安全第8章网络安全应用IP安全(IPSecurity)简称为IPSec,是指IETF以RFC形式公布的一组IP安全协议集,其基本目的就是把安全机制引入IP协议。IP层安全由认证、机密性和密钥管理3种机制提供保障。52020年2月11日星期二《网络安全技术》(第2版)8.1.1IPSec安全体系结构1.IPSec安全体系的构成IPSec体系结构认证头(AH协议)封装安全载荷(ESP协议)加密算法认证算法解释域(DOI)密钥管理(IKE协议)图8-1IPSec体系结构第8章网络安全应用62020年2月11日星期二《网络安全技术》(第2版)8.1.1IPSec安全体系结构2.IPSec的安全服务IPSec在网络层对IP数据报进行高强度的加密与验证服务,使得安全服务独立于应用程序,各种应用程序可共享网络层IPSec所提供的安全服务与密钥管理。(1)保证数据的机密性(2)保证数据完整性与身份认证(3)保证数据来源可靠第8章网络安全应用72020年2月11日星期二《网络安全技术》(第2版)8.1.1IPSec安全体系结构3.IPSec的运行模式(1)IPSec传输模式原始IP报头TCP/UDP数据IPSec头受保护的内容图8-2IPSec传输模式第8章网络安全应用82020年2月11日星期二《网络安全技术》(第2版)8.1.1IPSec安全体系结构3.IPSec的运行模式(2)IPSec隧道模式图8-3IPSec隧道模式新IP报头TCP/UDP数据IPSec头受保护的内容原始IP报头第8章网络安全应用92020年2月11日星期二《网络安全技术》(第2版)8.1.2IPSec安全协议1.认证头(AH)协议原始IP报头TCP/UDP数据IPSec(AH)头下一个报头有效载荷长度保留位安全参数索引(SPI)序列号认证数据(长度可变)图8-4AH报头格式第8章网络安全应用102020年2月11日星期二《网络安全技术》(第2版)8.1.2IPSec安全协议2.封装安全载荷(ESP)协议图8-5ESP数据报格式原始IP报头TCP/UDP载荷数据IPSec(ESP)报头下一个报头填充长度填充(0-255Byte)安全参数索引(SPI)序列号载荷数据(要保护的数据,长度可变)ESP报尾ESP认证认证数据(长度可变)ESP认证ESP报尾ESP报头加密范围认证范围第8章网络安全应用112020年2月11日星期二《网络安全技术》(第2版)8.1.2IPSec安全协议3.密钥管理(IKE)协议IKE为IPSec双方提供用于生成加密密钥和认证密钥的密钥信息。同样,IKE使用安全管理关联和密钥管理协议(InternetSecurityAssociationandKeyManagementProtocol,ISAKMP)为其它IPSec(AH和ESP)协议协商安全关联SA。第8章网络安全应用122020年2月11日星期二《网络安全技术》(第2版)8.1.3IPSec的工作过程1)IPSec过程启动。根据配置IPSec对等实体(如公司总部的路由器和分支机构的路由器)中的IPSec安全策略,指定所要加密的数据流,启动IKE过程。2)IKE阶段1。在该连接阶段,IKE认证IPSec对等实体,协商IKE安全关联(SA),并为协商IPSec安全关联的参数建立一个安全传输通道。3)IKE阶段2。IKE协商IPSec的SA参数,并在对等实体中建立与之匹配的IPSecSA。4)数据传送。根据存储在SA数据库中的IPSec参数和密钥,在IPSec对等实体间传送数据。5)IPSec隧道终止。通过删除或超时机制结束IPSecSA。第8章网络安全应用132020年2月11日星期二《网络安全技术》(第2版)8.1.3IPSec的工作过程自动IKE协商处理策略?发送的数据包安全关联?协商成功?添加IPSec头添加IP报头,置于IP发送队列返回丢弃数据包,记录出错信息查询丢弃绕过不存在SA或SA无效应用IPSec存在有效SA是否图8-6IPSec对发送数据包的处理流程第8章网络安全应用142020年2月11日星期二《网络安全技术》(第2版)8.2虚拟专用网技术虚拟专用网(VPN)是一种新型的网络技术,它提供了一种通过公用网络对企业内部专用网进行远程安全访问的连接方式。采用VPN技术,企业或部门之间的数据流可以通过互联网透明地传输,8.2.1VPN技术原理1.VPN的相关概念简单地讲,虚拟专用网(VPN)是指在公用网络上通过隧道和/或加密技术,建立的逻辑专用数据通信网。VPN提供的安全服务主要有3种:①机密性服务。保证通过公网传输的信息即使被他人截获也不会泄露。②完整性服务。防止传输的数据被修改,保证数据的完整性、合理性。③认证服务。提供用户和设备的访问认证,鉴别用户身份,防止非法接入。不同的用户可具有不同的访问权限。第8章网络安全应用152020年2月11日星期二《网络安全技术》(第2版)8.2.1VPN技术原理2.VPN的主要技术(1)隧道技术(2)密码技术(3)密钥管理技术(4)用户和设备身份认证技术第8章网络安全应用162020年2月11日星期二《网络安全技术》(第2版)8.2.2VPN的应用类型公共传输网络一般连接通道隧道通常根据VPN采用的隧道协议将它分为3种应用类型:远程访问虚拟网、企业内部虚拟网和企业扩展虚拟网。图8-8VPN的隧道示意第8章网络安全应用172020年2月11日星期二《网络安全技术》(第2版)8.2.2VPN的应用类型互联网加密信道远程用户移动用户防火墙VPN服务器公共服务器总部局域网图8-9AccessVPN组成结构第8章网络安全应用182020年2月11日星期二《网络安全技术》(第2版)8.2.2VPN的应用类型互联网加密信道路由器VPN服务器VPN服务器总部局域网路由器分支机构局域网图8-10IntranetVPN组成结构第8章网络安全应用192020年2月11日星期二《网络安全技术》(第2版)8.2.2VPN的应用类型互联网加密信道路由器1VPN服务器VPN服务器总部局域网路由器2分支机构局域网公共服务器合作伙伴局域网路由器3VPN服务器加密信道移动用户图8-11ExtranetVPN组成结构第8章网络安全应用202020年2月11日星期二《网络安全技术》(第2版)8.2.3VPN的实现及其隧道协议1.实现AccessVPN的第二层隧道协议第二层隧道协议是在数据链路层进行的,用于构建AccessVPN。第二层隧道协议主要有PPTP、L2FP、L2TP。第8章网络安全应用212020年2月11日星期二《网络安全技术》(第2版)8.2.3VPN的实现及其隧道协议2.实现IntranetVPN和ExtranetVPN的第三层隧道协议GRE是通用的路由封装协议,支持全部的路由协议(如RIP2、OSPF等),用于在IP数据报中封装任何协议的数据包,包括IP、IPX、NetBEUI、AppleTalk、BanyanVINES、DECnet等。在GRE中,乘客协议就是上面这些被封装的协议,封装协议是GRE,传输协议是IP。IP数据报头部GRE数据包头部原始IP数据报图8-12GRE报文格式第8章网络安全应用222020年2月11日星期二《网络安全技术》(第2版)8.2.4基于IPSec的VPN应用实现终端A192.168.2.1LAN1192.168.1.0/24LAN2192.168.2.0/24LAN3192.168.3.0/24数据库服务器192.168.1.6R1R2公共网络R3F0/0F0/0F0/0S1/0S1/1S1/2R4202.119.4.1R5202.119.5.1R6202.119.6.1Tunnel1100.1.2.1GRE隧道202.119.3.0/24Tunnel1100.1.2.2Tunnel1100.1.2.3202.119.1.0/24202.119.2.0/24GRE隧道GRE隧道图8-13采用VPN技术的企业网络拓扑结构第8章网络安全应用232020年2月11日星期二《网络安全技术》(第2版)8.2.4基于IPSec的VPN应用实现192.168.1.6192.168.2.1类型数据隧道模式202.119.1.11202.119.2.21数据子网之间传输的IP分组隧道图8-14封装成隧道模式第8章网络安全应用242020年2月11日星期二《网络安全技术》(第2版)8.3安全电子邮件8.3.1电子邮件系统的工作原理1.电子邮件系统的组成MUAMUAMTAMTA中继MTA用户A用户B互联网图8-18电子邮件系统结构第8章网络安全应用252020年2月11日星期二《网络安全技术》(第2版)8.3安全电子邮件8.3.1电子邮件系统的工作原理2.电子邮件报文传输过程第8章网络安全应用SMTP客户机用户A用户B互联网邮箱存储SMTP服务器SMTP服务器邮件存取服务器用户读取邮件第一阶段(SMTP)第二阶段(SMTP)第三阶段(POP3/IMAP4)图8-19电子邮件报文交付过程262020年2月11日星期二《网络安全技术》(第2版)8.3安全电子邮件8.3.1电子邮件系统的工作原理3.安全电子邮件的工作模式第8章网络安全应用图8-20安全电子邮件的工作模式邮件认证邮件签名邮件解密邮件加密发送安全电子邮件原始邮件互联网接收安全电子邮件原始邮件272020年2月11日星期二《网络安全技术》(第2版)8.3安全电子邮件8.3.2安全电子邮件技术及协议1.端到端的安全电子邮件协议•PGP•S/MIME•PEM2.安全电子邮件技术3.邮件服务器安全技术第8章网络安全应用282020年2月11日星期二《网络安全技术》(第2版)8.4Web安全技术8.4.1Web服务的安全性第8章网络安全应用威胁的类型产生的后果解决措施完整性修改用户数据特洛伊木马内容欺骗修改传输的数据流信息泄露、丢失危害主机安全对各种攻击防御变得脆弱密码校验和机密性网络数据流窃听窃取服务器信息窃取客户机信息窃取网络配置信息窃取客户机与服务器连接信息信息泄露、丢失隐私受侵犯加密Web代理拒绝服务攻击终止用户连接消耗服务器资源占用硬盘或耗尽内存攻击DNS服务器网络瘫痪网络用户无法工作阻止网络用户通信难以防御认证鉴别暴力破解伪造数据出现假冒用户信任虚假信息密码技术表8-6常见Web安全威胁292020年2月11日星期二《网络安全技术》(第2版)8.4Web安全技术8.4.2安全套接字层第8章网络安全应用1.SSL技术2.SSL协议的体系结构3.SSL会话与SSL连接302020年2月11日星期二《网络安全技术》(第2版)8.4Web安全技术8.4.3基于SSL的Web安全访问第8章网络安全应用1.从可
本文标题:第8章网络安全应用
链接地址:https://www.777doc.com/doc-3650573 .html