2网络安全技术基础

第2章网络安全技术基础目123456录2.1网络协议安全2.2虚拟专用网技术2.3无线网络安全技术2.4网络安全管理常用命令2.5无线网络安全设置2.6本章小结教学目标教学目标●了解网络协议安全及IPv6的安全性●理解虚拟专用网（VPN）技术重点●掌握常用的网络安全管理命令及应用●掌握无线网络安全技术及安全设置实验2.1网络协议安全概述2.1.1网络协议安全风险网络协议攻防成为信息战双方关注的重点。全球计算机网络广泛使用的是TCP/IP协议族，由于网络协议本身没有考虑其安全性，而且协议以软件形式实现，不可避免存在一般软件所固有的漏洞缺陷，所以，网络协议存在着威胁和风险，对协议的攻击与防范成为信息战中作战双方关注的重点。2003年美国国内经济不景气，布什政府为了转移国内民众视线、拉动经济和控制石油资源，借口伊拉克有大规模杀生性武器和化学武器为由与英国组成联军进行进攻，利用伊拉克指挥系统的漏洞窃取情报并借助信息战致使其瘫痪，快速夺取伊拉克。此举曾在一定程度上刺激了美国经济回转，然而由于伊拉克和阿富汗战局的不确定性，又将美国拉进伊阿战争的泥潭，这种颓势一直持续到奥巴马政府。案例2-12.1网络协议安全概述2.1.1网络协议安全风险网络体系层次结构参考模型有OSI模型和TCP/IP模型两种。OSI模型是国际标准化组织ISO的开放系统互连参考模型。TCP/IP协议成为了事实上的“网络标准”，成为Internet的基础协议。计算机网络协议安全风险可归结为3方面：（1）网络协议设计缺陷和实现中存在的一些安全漏洞；（2）协议无有效认证机制；（3）网络协议缺乏保密机制。表1-1TCP/IP模型和OSI模型对应表OSI七层网络模型应用层（Application）表示层（Presentation）会话层（Session）传输层（Transport）网络层（Network）数据链路层（DataLink）物理层（Physical）传输层网际层网络接口TCP/IP模型应用层对应网络协议TFTP,FTP,NFS,WAISTelnet,Rlogin,SNMP,GopherSMTP,DNSTCP,UDPIP,ICMP,ARP,RARP,AKP,UUCPFDDI,Ethernet,Arpanet,PDN,SLIP,PPPIEEE802.1A,IEEE802.2到IEEE802.112.1网络协议安全概述2.1.2TCP/IP层次安全分析网络安全由多个安全层构成，每一个安全层都是一个包含多个特征的实体。在TCP/IP不同层次可增加不同的安全策略。如图2-1所示。图2-1TCP/IP网络安全技术层次体系2.1网络协议安全概述2.1.2TCP/IP层次安全分析1.网络接口(物理)层的安全性—设施,线路TCP/IP模型的网络接口层对应着OSI模型的物理层和数据链路层。主要是物理层安全问题，包括由网络环境及物理特性产生的网络设施和线路安全性，致使网络系统出现安全风险，如设备盗损与老化、故障、泄露等。2.网络层的安全性——保证数据传输网络层主要保证数据包在网络中正常传输，IP协议族是整个TCP/IP协议体系结构的重要基础，TCP/IP中所有协议的数据都以IP数据包形式传输。3.传输层的安全性—传输控制,数据交换认证,保密/完整性传输层的主要安全风险和隐患有传输与控制安全、数据交换与认证安全、数据保密性与完整性等安全风险。2.1网络协议安全概述2.1.2TCP/IP层次安全分析4.应用层的安全性应用层中利用TCP/IP协议运行和管理的程序繁多。网络安全问题主要出现在需要重点解决的常用应用协议和应用系统：（1）超文本传输协议（HTTP）（2）文件传输协议（FTP）（3）简单邮件传输协议（SMTP）（4）域名系统（DNS）（5）远程登录协议（Telnet）2.1网络协议安全概述2.1.3IPv6的安全分析1.IPv6的特点和优势(1)②.IPv4和IPv6报头如图2-2和2-3所示图2-2IPV4的IP报头图2-3IPV6基本报头(2)提高网络整体性能。（MTU）(3)强化网络安全性。（IPSec、AH/ESP）(4)提供更好服务质量（QoS）。(5)提供优质组播功能。(6)支持即插即用和移动性。(7)具有必选的资源预留协议RSVP功能。2.1网络协议安全概述3．IPv6的安全机制（1）协议安全-认证头AH、封装安全有效载荷ESP扩展头（2）网络安全：①实现端到端安全,②提供内网安全，③由安全隧道构建安全VPN,④以隧道嵌套实现网络安全。（3）其他安全保障-配置、认证、控制、端口限制4.移动IPv6的安全性（1）移动IPv6的特性--无状态地址自动配置、邻居发现（2）移动IPv6面临的安全威胁--窃听,篡改,Dos5．移动IPv6的安全机制在注册消息中通过添加序列号以防范重放攻击，并在协议报文中引入时间随机数讨论思考：（1）从互联网发展角度看，网络安全问题的主要原因是什么？（2）IPv6在安全性方面具有哪些优势？2.2虚拟专用网技术2.2.1虚拟专用网的概念和结构虚拟专用网（VirtualPrivateNetwork,VPN）是利用Internet等公共网络的基础设施，通过隧道技术，为用户提虚拟通道供的与专用网络具有相同通信功能的安全数据通道。VPN可通过特殊加密通信协议为Internet上异地企业内网之间建立一条专用通信线路,而无需铺设光缆等物理线路.系统结构如图2-4所示.2.2.2虚拟专用网的技术特点(1)网络安全性强。(2)构建成本费用低。(3)便于管理和维护。(4)应用灵活性强。(5)服务质量高。图2-5VPN提供的网络安全连接2.2虚拟专用网技术2.2.3虚拟局域网实现技术VPN是在Internet等公共网络基础上，综合利用隧道技术、加解密技术、密钥管理技术和身份认证技术实现的。1.隧道技术隧道技术是VPN的核心技术，为一种隐式传输数据的方法。主要利用已有的Internet等公共网络数据通信方式，在隧道（虚拟通道）一端将数据进行封装，然后通过已建立的隧道进行传输。在隧道另一端，进行解封装并将还原的原始数据交给端设备。在VPN连接中，可根据需要创建不同类型的VPN隧道，包括自愿隧道和强制隧道两种。用户或客户端通过发送VPN请求配置和创建2.2虚拟专用网技术2.加解密技术为了重要数据在公共网络传输的安全，VPN采用了加密机制。常用的信息加密体系主要包括非对称加密体系和对称加密体系两类。实际上一般是将二者混合使用，利用非对称加密技术进行密钥协商和交换，利用对称加密技术进行数据加密。1)对称密钥加密;2)非对称密钥加密3.密钥管理技术密钥的管理分发极为重要。密钥的分发采用手工配置和采用密钥交换协议动态分发两种方式。4.身份认证技术在VPN实际应用中，身份认证技术包括信息认证、用户身份认证。信息认证用于保证信息的完整性和通信双方的不可抵赖性，用户身份认证用于鉴别用户身份真实性。2.2虚拟专用网技术2.2.4虚拟专用网技术应用1.远程访问虚拟网通过一个与专用网相同策略的共享基础设施,可提供对企业内网或外网的远程访问服务,使用户随时以所需方式访问企业资源.如模拟、拨号、ISDN、数字用户线路（xDSL）、移动IP和电缆技术等,可安全连接移动用户、远程工作者或分支机构.2.企业内部虚拟网可在Internet上构建全球的IntranetVPN,企业内部资源只需连入本地ISP的接入服务提供点POP(PointOfPresence)即可相互通信，而实现传统WAN组建技术均需要有专线.利用该VPN线路不仅可保证网络的互联性,而且,可利用隧道、加密等VPN特性保证在整个VPN上信息安全传输.2.2虚拟专用网技术2.2.4VPN技术的应用3．企业扩展虚拟网主要用于企业之间的互连及安全访问服务。可通过专用连接的共享基础设施，将客户、供应商、合作伙伴或相关群体连接到企业内部网。企业拥有与专用网络相同的安全、服务质量等政策。讨论思考：（1）VPN的本质是什么？为何VPN需要加密技术辅助？（2）VPN几种应用的区别是什么？2.3无线网络安全技术2.3.1无线网络安全问题随着无线网络技术的广泛应用，其安全性越来越引起人们的关注。主要包括访问控制和数据加密两个方面，访问控制保证机密数据只能由授权用户访问，而数据加密则要求发送的数据只能被授权用户所接受和使用。无线网络在数据传输时以微波进行辐射传播，只要在无线接入点AP（AccessPoint）覆盖范围内，所有无线终端都可能接收到无线信号。AP无法将无线信号定向到一个特定的接受设备，时常有无线网络用户被他人免费蹭网接入、盗号或泄密等，因此，无线网络的安全威胁、风险和隐患更加突出。无线网络安全风险及隐患，如图2-5所示。2.3无线网络安全技术2.3.2无线网络设备安全措施1.无线接入点安全措施无线接入点AP用于实现无线客户端之间的信号互联和中继，其安全措施包括：1)及时变更管理员密码有线等效保密协议2)WEP加密传输.数据加密是实现网络安全一项重要技术,可通过案例2-2对两台设协议WEP进行。主要用途：WPA可用暂时密钥完整备间无线传输的数(1)防止数据被途中恶意篡改或伪造。性协议TKIP（TemporalKeyIntegrity据进行加Protocol）处理WEP难以解决的各设密方式,用(2)用WEP加密算法对数据加密。备共用一个密钥的安全问题。以防止非(3)防止未授权用户对网络访问。法用户窃3)禁用DHCP服务动态主机设置协议/简单网管协议听/侵入4)禁止远程管理初始化字符串（服务集标识）SSID技术可将5)修改SNMP字符串一个无线局域网分为几个需要不同身份验证的子网,各子网都需独立身份验证,只有通过6)修改SSID标识验证的用户才可进入相应子网,防止未授权用户进入本网7)禁止SSID广播8)过滤MAC地址(定义网络设备的位置)9)合理放置无线AP10)WPA用户认证（有WPA和WPA2两个标准,是一种保护无线网(Wi-Fi)安全的系统）Wi-Fi网络安全存取2.3无线网络安全技术2．无线路由器安全策略除了可采用无线AP的安全策略外,还应采用如下安全策略.(1)设置网络防火墙，加强防护能力。(2)利用IP地址过滤，进一步提高无线网络的安全性。案例2-3常见内外网攻击造成掉线问题。网络攻击与侵扰、恶性破坏及计算机病毒等威胁路由器，致使企事业机构的网络系统掉线断网，对外网攻击无能为力，而内网的泛洪攻击等却因上网环境及人群复杂很难排查。2.3.3IEEE802.1x身份认证IEEE802.1x是一种基于端口的网络接入控制技术，以网络设备的物理接入级（交换机设备的端口.连接在该类端口）对接入设备进行认证和控制。IEEE802.1x认证过程为：（1）无线客户端向AP发送请求，尝试与AP进行通信。（2）AP将加密数据发送给验证服务器进行用户身份认证。（3）验证服务器确认用户身份后，AP允许该用户接入。（4）建立网络连接后授权用户通过AP访问网络资源。2.3无线网络安全技术2.3.3无线网络的身份认证用IEEE802.1x和EAP作为身份认证的无线网络，远程用户拨号认证系统是应用最可分为如图2-6所示的3个主要部分。广泛的AAA协议（1）请求者。运行在无线工作站上的软件客户端。(认证、授权、审计（记帐）)（2）认证者。无线访问点。（3）认证服务器。作为一个认证数据库,通常是一个RADIUS服务器的形式，如微软公司的IAS等。互联网认证服务图2-6使用802.1x及EAP身份认证的无线网络2.3无线网络安全技术2.3.4无线网络安全技术应用实例案例2-4无线网络在不同应用环境对其安全性需求不同,以(美)AboveCable公司的无线网络安全技术作为实例。为了更好地发挥无线网络“有线速度无线自由”的特性，该公司根据长期积累的经验,针对各行业对无线网络的需求，制定了一系列的安全方案，最大程度上方便用户构建安全的无线网络,节省不必要的经费。1.小型企业及家庭用户2.仓库物流、医院、学校和餐饮娱乐行业3.公共场所及网络运营商、大中型企业和金融机构讨论思考：（1）