計(jì)算機(jī)網(wǎng)工第十章

1、第10章:網(wǎng)絡(luò)安全技術(shù)1.網(wǎng)絡(luò)安全是指利用各種網(wǎng)絡(luò)監(jiān)控和管理技術(shù)措施,對網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)資源實(shí)施保護(hù),使其不會因?yàn)橐恍┎焕蛩囟獾狡茐?從而保證網(wǎng)絡(luò)系統(tǒng)連續(xù)、安全、可靠地運(yùn)行。2.網(wǎng)絡(luò)安全的基本要素:保密性,完整性,可用性,可鑒別性,不可否認(rèn)性。(完整性包括數(shù)據(jù)完整性和系統(tǒng)完整性3.信息傳輸過程中可能存在的4種類型:截獲信息,竊聽信息,篡改信息,仿造信息4.網(wǎng)絡(luò)攻擊的兩種基本類型:服務(wù)攻擊,非服務(wù)攻擊。(另有非授權(quán)訪問,網(wǎng)絡(luò)病毒服務(wù)攻擊指對為網(wǎng)絡(luò)提供某種服務(wù)的服務(wù)器發(fā)起攻擊,造成該網(wǎng)絡(luò)的“拒絕服務(wù)”,使網(wǎng)絡(luò)工作不正常非服務(wù)攻擊不針對某項(xiàng)具體應(yīng)用服務(wù),而是針對網(wǎng)絡(luò)層等低層協(xié)議

2、進(jìn)行的。與服務(wù)攻擊相比,非服務(wù)攻擊與特定服務(wù)無關(guān)。源路由攻擊和地址欺騙都屬于此類5.網(wǎng)絡(luò)安全模型:(如P2DR信息的安全傳輸包括兩個(gè)基本部分:對發(fā)送的信息進(jìn)行安全轉(zhuǎn)換(如信息加密,實(shí)現(xiàn)信息的保密性,或附加一些特征信息,以便進(jìn)行發(fā)送方驗(yàn)證。發(fā)送和接收雙方共享的某項(xiàng)信息(如加密密鑰,這些信息除了對可信任的第三方外,對于其它用戶是保密的。設(shè)計(jì)一個(gè)網(wǎng)絡(luò)安全方案是需要完成的四個(gè)基本任務(wù):6.設(shè)計(jì)一個(gè)算法,執(zhí)行安全相關(guān)的轉(zhuǎn)換生成該算法的秘密信息(如密鑰研制秘密信息的分發(fā)與共享的方法設(shè)定兩個(gè)責(zé)任者使用的協(xié)議,利用算法和秘密信息取得安全服務(wù)7.P2DR安全模型:策略(Policy:模型的核心,包括安全策略的制

3、定、評估和執(zhí)行。網(wǎng)絡(luò)安全策略一般包括總體安全策略和具體安全規(guī)則兩個(gè)部分。防護(hù)(Protection:數(shù)據(jù)加密,身份認(rèn)證,訪問控制,授權(quán)和虛擬專用網(wǎng)(VPN技術(shù),防火墻,安全掃描,數(shù)據(jù)備份等。檢測(Detection:攻擊者穿透防護(hù)系統(tǒng)時(shí)發(fā)揮作用,檢測是動(dòng)態(tài)響應(yīng)的依據(jù)。響應(yīng)(Response:檢測出入侵開始工作,響應(yīng)包括緊急響應(yīng)和恢復(fù)處理,恢復(fù)又包括系統(tǒng)恢復(fù)和信息恢復(fù)。8.網(wǎng)絡(luò)安全的研究組織:美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會NIST,美國國家安全局NSA,美國國防部ARPA,IEEE的CS安全小組?？尚庞?jì)算機(jī)系統(tǒng)評估準(zhǔn)則TCSEC將計(jì)算機(jī)系統(tǒng)安全等級分為4類7個(gè)等級:D,C1,C2,B1,B2,B3,A1

4、。D級最低,A1級最高 10.密碼保證網(wǎng)絡(luò)與信息安全的核心技術(shù)之一,密碼學(xué)包括密碼編碼學(xué)和密碼分析學(xué)?，F(xiàn)代密碼學(xué)的一個(gè)基本原則是:一切秘密寓于密鑰之中。對于同一種加密算法,密鑰的位數(shù)越長,破譯的難度也越大,安全性也越好。加密的目標(biāo)是要使破譯密鑰所需要的“花費(fèi)”比該密鑰所保護(hù)的信息價(jià)值要大。加密/ 解密算法、密鑰及其工作方式構(gòu)成密碼體制。傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同,稱為對稱密碼體制,如不同則為非對稱密碼體制。11.對稱密碼體制:密鑰密碼技術(shù),必須使用現(xiàn)一種加密算法和相同的密鑰。密鑰有加密方和解密方之間的傳遞和分發(fā)必須通過安全通道進(jìn)行。加密算法:數(shù)據(jù)加密標(biāo)準(zhǔn)DES(64痊密鑰長度,其

5、中8痊用于奇偶校驗(yàn),用戶可以使用其余的56位12.非對稱密碼體制:公鑰加密技術(shù),加密的密鑰(公鑰可以公開,用于解密的私鑰要保密。接收方產(chǎn)生一對密鑰(公鑰和私鑰,它們是成對出現(xiàn)的,發(fā)送端用公鑰來加密,公鑰和私鑰是數(shù)學(xué)相關(guān)的,但涌通過加密公鑰計(jì)算出解密私鑰。此技術(shù)可防止用戶對所發(fā)出信息和接收信息在事后抵賴。如果以私鑰加密而以公鑰解密可用于數(shù)字簽名。與對稱密鑰加密技術(shù)相比,非對稱加密技術(shù)優(yōu)勢在于不需要共享通用的密鑰,私鑰不需要發(fā)往任何地方。加密算法:RSA算法,DSA算法,PKCS算法,PGP算法。RSA體制多用在數(shù)字簽名,密鑰管理和認(rèn)證等方面。RSA算法的安全性建立在大素?cái)?shù)分解的基礎(chǔ)上。13.計(jì)算

6、機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)以影響計(jì)算機(jī)使用,并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。主要特征:非授權(quán)可執(zhí)行性,隱蔽性,傳染性,潛伏性,表現(xiàn)性或破壞性,可觸發(fā)性。(傳染性是最重要的特征,它是判斷一段程序代碼是否為計(jì)算機(jī)病毒的依據(jù)分類:按寄生方式分:引導(dǎo)型病毒(主引導(dǎo)記錄病毒和分區(qū)引導(dǎo)記錄病毒,文件型病毒,復(fù)合型病毒按破壞性分:良性病毒,惡性病毒網(wǎng)絡(luò)病毒是指在網(wǎng)絡(luò)上傳播,并對網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞的病毒主要特征:傳播方式多樣和速度快,影響面更廣,破壞性更強(qiáng),難以控制和根治,編寫方式多樣及變種多,智能化,混合病毒惡意代碼是一種程序,包括普通病毒、蠕蟲和木馬蠕蟲不需要

7、把自身附加在宿主程序上,是一個(gè)獨(dú)立運(yùn)行的程序,可主動(dòng)運(yùn)行,包括宿主計(jì)算機(jī)蠕蟲病毒和網(wǎng)絡(luò)蠕蟲木馬即特洛依木馬,是沒有自我復(fù)制功能的惡意程序。寄生,盜取用戶信息發(fā)給黑客。傳播途徑:通過電子郵件,軟件下載,通過軟件14.防火墻保護(hù)的內(nèi)部網(wǎng)絡(luò)是“可信任的網(wǎng)絡(luò)”,而外部是“不可信任的網(wǎng)絡(luò)”主要功能:檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)和從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包執(zhí)行安全策略,限制所在不符合安全策略要求的數(shù)據(jù)包通過具有防攻擊能力,保證自身的安全性分類:包過濾路由器,應(yīng)用級網(wǎng)關(guān),應(yīng)用代理,狀態(tài)檢測多宿主主機(jī):具有多個(gè)網(wǎng)絡(luò)接口卡的主機(jī),每個(gè)網(wǎng)絡(luò)接口與一個(gè)網(wǎng)絡(luò)連接應(yīng)用級網(wǎng)關(guān)是以存儲轉(zhuǎn)發(fā)方式,檢查和確定網(wǎng)絡(luò)服務(wù)請

8、求的的用戶身份是否僉,決定是轉(zhuǎn)發(fā)還是丟棄該服務(wù)請求。應(yīng)用代理與應(yīng)用級網(wǎng)關(guān)不同之處在于:應(yīng)用代理完全接管了用戶與服務(wù)器的訪問,隔離了用戶主機(jī)與被訪問服務(wù)器之間的數(shù)據(jù)包的交換通道狀態(tài)檢測技術(shù)就是在包過濾的同時(shí),檢查數(shù)據(jù)包之間的關(guān)聯(lián)性,檢查數(shù)據(jù)包中動(dòng)態(tài)變化的狀態(tài)碼。15.防火墻是一個(gè)軟件與硬件組成的系統(tǒng)。防火墻的系統(tǒng)結(jié)構(gòu):包過濾路由器結(jié)構(gòu)、雙宿主主機(jī)結(jié)構(gòu)、屏蔽主機(jī)結(jié)構(gòu)、屏蔽子網(wǎng)結(jié)構(gòu)16.入侵檢測技術(shù)系統(tǒng)IDS是對計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別的系統(tǒng)框架結(jié)構(gòu):事件發(fā)生器,事件分析器,響應(yīng)單元,事件數(shù)據(jù)庫入侵檢測技術(shù)分類:異常檢測,誤用檢測,兩種方式的結(jié)合異常檢測方法:基于統(tǒng)計(jì)異常檢測,基于數(shù)據(jù)

9、采掘的異常檢測,基于神經(jīng)網(wǎng)絡(luò)入侵檢測誤用檢測方法:基于模式匹配的誤用入侵檢測,基于專家系統(tǒng)的誤用入侵檢測,基于狀態(tài)遷移分析的誤用狀態(tài)檢測,基于模型揄的誤用入侵檢測網(wǎng)絡(luò)入侵檢測系統(tǒng)組成:控制臺和探測器(P313入侵檢測系統(tǒng)分類:基于主機(jī)的入侵檢測系統(tǒng)(HIPS,基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIPS基于網(wǎng)絡(luò)網(wǎng)絡(luò)的入侵檢測系統(tǒng)采用的識別技術(shù)主要有:模式匹配,頻率或閾值,事件的相關(guān)性,統(tǒng)計(jì)意義上的非正?，F(xiàn)象檢測分布式入侵檢測系統(tǒng):層次式,協(xié)作式,對等式入侵防護(hù)系統(tǒng):組成:嗅探器,檢測分析軟件,策略執(zhí)行組件,狀態(tài)開關(guān),日志系統(tǒng),控制臺入侵防護(hù)系統(tǒng)分類:基于主機(jī)的入侵防護(hù)系統(tǒng),基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng),應(yīng)用入侵

10、防護(hù)系統(tǒng)基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)布置于網(wǎng)絡(luò)出口處,一般串聯(lián)于防火墻和路由器之間應(yīng)用入侵防護(hù)系統(tǒng)能防止的入侵:Cookie篡改,SQL代碼嵌入,參數(shù)篡改,緩沖器溢出,強(qiáng)制瀏覽,畸形數(shù)據(jù)包,數(shù)據(jù)類型不匹配,其他已知漏洞17.網(wǎng)絡(luò)安全評估分析就是對網(wǎng)絡(luò)進(jìn)行檢查,發(fā)現(xiàn)其中有無可被黑客利用的漏洞,對系統(tǒng)的安全狀態(tài)進(jìn)行評估、分析、對發(fā)現(xiàn)的問題提出解決的建議從而提高網(wǎng)絡(luò)系統(tǒng)安全性能的過程。網(wǎng)絡(luò)安全評估分析技術(shù)分類:基于應(yīng)用和基于網(wǎng)絡(luò)兩種評估技術(shù)。評估分析系統(tǒng)結(jié)構(gòu):控制臺和代理相結(jié)合。實(shí)訓(xùn)一:數(shù)據(jù)備份設(shè)備與軟件安裝和配置1.常用備份設(shè)備:磁盤陣列,光盤塔,光盤庫,磁帶機(jī),磁帶機(jī),光盤網(wǎng)絡(luò)鏡像服務(wù)器2.五種備份方

11、法:副本備份,每日備份,差異備份,增量備份,正常備份實(shí)訓(xùn)二:防病毒軟件安裝與配置1.網(wǎng)絡(luò)版防病毒系統(tǒng)組成:系統(tǒng)中心,服務(wù)器端,客戶端,管理控制臺2.基本安裝對象:系統(tǒng)中心的安裝,服務(wù)器安裝,客戶端的安裝,管理控制臺的安裝3.主要參數(shù)配置:系統(tǒng)升級配置,掃描設(shè)置,黑白名單設(shè)置掃描設(shè)置通常包括:文件類型,掃描病毒類型,優(yōu)化選項(xiàng),發(fā)現(xiàn)病毒后的處理方式,清除病毒失敗后的處理方式,殺毒結(jié)束后的處理方式,病毒隔離系統(tǒng)的設(shè)置實(shí)訓(xùn)三:防火墻的安裝與配置1.三個(gè)網(wǎng)絡(luò):內(nèi)部區(qū)域(內(nèi)網(wǎng),外部區(qū)域(外網(wǎng),非軍事化區(qū)(DMZ兩個(gè)網(wǎng)絡(luò)接口的無此區(qū)2.Cisco PIX 525防火墻的4種管理訪問模式:非特權(quán)模式,特權(quán)模式,配置模式,監(jiān)視模式提示符為:非特權(quán)模式“pixfirewall”,特權(quán)模式“pixfirewall#”,配置模式“pixfirewall(config#”,監(jiān)視模式“monitor”3.基本配置命令:nameif:配置防火墻接口的名字,并指定安全級別interface:配置以太網(wǎng)接口參數(shù)ip address:配置網(wǎng)卡的IP地址nat:指