計算機網(wǎng)絡(luò)技術(shù)第8章-網(wǎng)絡(luò)安全課件

1、Computer Network Technology計算機網(wǎng)絡(luò)技術(shù)第2版 第8章 網(wǎng)絡(luò)安全第8章 網(wǎng)絡(luò)安全學(xué)習(xí)目標:了解網(wǎng)絡(luò)安全基本知識掌握計算機病毒的基本知識理解計算機病毒的原理和木馬原理掌握防火墻技術(shù)掌握數(shù)字加密和數(shù)字簽名原理 8.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。8.1.1網(wǎng)絡(luò)安全隱患安全隱患主要有以下幾種：1黑客入侵 黑客（hacker）一般指一些惡意（一般是非法地）試圖破解或破壞某個程序、系統(tǒng)及網(wǎng)絡(luò)安全的人。8.1.1網(wǎng)絡(luò)安全隱患2計算機病毒的攻擊 計算機

2、病毒是對網(wǎng)絡(luò)安全最嚴重的威脅。3陷阱和特洛伊木馬 在合法程序中插入惡意源代碼以實現(xiàn)非授權(quán)進程，從而達到某種特定目的。4來自內(nèi)部人員的攻擊 指在信息安全處理系統(tǒng)范圍內(nèi)或?qū)π畔踩幚硐到y(tǒng)有直接訪問權(quán)限的人對網(wǎng)絡(luò)的攻擊。8.1.1網(wǎng)絡(luò)安全隱患5修改或刪除關(guān)鍵信息 通過對原始內(nèi)容進行一定的修改或刪除，從而達到某種破壞網(wǎng)絡(luò)安全的目的。6拒絕服務(wù) 當一個授權(quán)實體不能獲得應(yīng)有的對網(wǎng)絡(luò)資源的訪問或緊急操作被延遲時，就發(fā)生了拒絕服務(wù)。7人為地破壞網(wǎng)絡(luò)設(shè)施，造成網(wǎng)絡(luò)癱瘓 人為地從物理上對網(wǎng)絡(luò)設(shè)施進行破壞，使網(wǎng)絡(luò)不能正常運行。8.1.2網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊分為兩類:（1）被動攻擊 攻擊者簡單地監(jiān)視所有信息流以獲得某些

3、秘密。這種攻擊可以基于網(wǎng)絡(luò)或者基于系統(tǒng)。對付這類攻擊的重點是預(yù)防，主要手段是數(shù)據(jù)加密。（2）主動攻擊 攻擊者試圖突破網(wǎng)絡(luò)的安全防線。這種攻擊涉及網(wǎng)絡(luò)傳輸數(shù)據(jù)的修改或創(chuàng)建錯誤數(shù)據(jù)信息，主要攻擊形式有假冒、重放、欺騙、消息篡改、拒絕服務(wù)等。主要手段有防火墻、入侵檢測系統(tǒng)等。8.1.3網(wǎng)絡(luò)基本安全技術(shù)網(wǎng)絡(luò)安全基本措施有防火墻、數(shù)字加密、數(shù)字簽名、身份認證。（1）防火墻：設(shè)置在被保護的內(nèi)部網(wǎng)絡(luò)和有危險性的外部網(wǎng)絡(luò)之間的一道屏障，系統(tǒng)管理員按照一定的規(guī)則控制數(shù)據(jù)包在內(nèi)外網(wǎng)之間的進出。（2）數(shù)字加密：通過對傳輸?shù)男畔⑦M行一定的重新組合，而使只有通信雙方才能識別原有信息的一種手段。 （3）數(shù)字簽名：可以被用

4、來證明數(shù)據(jù)的真實發(fā)送者，當數(shù)字簽名用在存儲的數(shù)據(jù)或程序時，可以用來驗證其完整性。 （4）身份認證：用多種方式來驗證用戶的合法性，如密碼技術(shù)、指紋識別、智能IC卡、網(wǎng)銀U盾等。8.2 計算機病毒與木馬8.2.1計算機病毒的基本知識 計算機病毒是指編寫或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。1計算機病毒的特點寄生性傳染性隱蔽性潛伏性破壞性8.2.1計算機病毒的基本知識2計算機病毒的分類 一般將病毒大致分為：傳統(tǒng)病毒、宏病毒、惡意腳本、木馬程序、黑客程序、蠕蟲程序、破壞性程序。（1）傳統(tǒng)病毒 包括文件型病毒和感染引導(dǎo)扇區(qū)的引導(dǎo)型病毒

5、，如CIH病毒。（2）宏病毒（macro） 利用Word、Excel等的宏腳本功能進行傳播的病毒，如梅麗莎（macro. melissa）病毒。（3）惡意腳本（script） 進行破壞的腳本程序，包括HTML腳本、批處理腳本、Visual Basic和JavaScript腳本等，如歡樂時光（VBS. Happytime）。8.2.1計算機病毒的基本知識2計算機病毒的分類（4）木馬（trojan）程序 當病毒程序被激活或啟動后用戶無法終止其運行，如QQ盜號木馬。（5）黑客（hack）程序 利用網(wǎng)絡(luò)攻擊其他計算機的網(wǎng)絡(luò)工具。（6）蠕蟲（worm）程序 蠕蟲病毒是一種可以利用操作系統(tǒng)的漏洞、電子郵件

6、、P2P軟件等自動傳播自身的病毒，如沖擊波。 （7）破壞性程序（harm） 病毒啟動后，破壞用戶的計算機系統(tǒng)，如刪除文件、格式化硬盤等。如bat文件、可執(zhí)行文件等。8.2.2計算機病毒工作原理1程序型病毒工作原理 通過網(wǎng)絡(luò)、U盤和光盤等為載體傳播，主要感染.exe和.dll等可執(zhí)行文件和動態(tài)連接庫文件，當染毒文件被運行，病毒就進入內(nèi)存，并獲取了內(nèi)存控制權(quán)，開始感染所有之后運行的文件。2引導(dǎo)型病毒工作原理 引導(dǎo)型病毒把自己寫入磁盤引導(dǎo)區(qū)，這樣，只要磁盤被讀寫，病毒就首先被讀取入內(nèi)存。 8.2.3木馬原理木馬的全稱是特洛伊木馬，是一種惡意程序。木馬在宿主機器上運行，可在用戶毫無察覺的情況下，讓攻擊

7、者獲得遠程訪問和控制用戶計算機的權(quán)限。木馬包括客戶端和服務(wù)器端兩個部分。著名的有“冰河”“灰鴿子”“QQ盜號木馬”等。8.2.4常見autorun.inf文件 autorun.inf文件本身并不是一個病毒文件，它可以實現(xiàn)雙擊盤符自動運行某個程序的功能，病毒利用這個文件的特點，自動運行一些病毒程序。 打開方式（中毒）8.2.4常見autorun.inf文件 autorun.inf文件可以雙擊打開，或者把名稱改為autorun.txt再打開，查看修改內(nèi)容。 autorun.inf文件圖標autorun.inf文件的內(nèi)容8.2.5殺毒軟件工作原理 病毒特征碼:病毒是用某種語言寫出來的一段代碼，每種病

8、毒都會具有一些獨一無二的特征叫作病毒特征碼。病毒庫：殺毒軟件公司找到病毒特征碼，更新其病毒庫。 殺毒軟件的殺毒引擎根據(jù)自己獨特的技術(shù)（算法）對磁盤文件進行高速檢查，發(fā)現(xiàn)病毒并殺毒。8.3 防火墻8.3.1防火墻的基本概念 防火墻是網(wǎng)絡(luò)安全的保障，可以實現(xiàn)內(nèi)部可信任網(wǎng)絡(luò)與外部不可信任網(wǎng)絡(luò)（互聯(lián)網(wǎng)）之間或內(nèi)部網(wǎng)絡(luò)不同區(qū)域之間的隔離與訪問控制，阻止外部網(wǎng)絡(luò)中的惡意程序訪問內(nèi)部網(wǎng)絡(luò)資源，防止更改、復(fù)制、損壞用戶的重要信息。8.3.1防火墻的基本概念防火墻是一種網(wǎng)絡(luò)安全保障方式，主要目的是通過檢查入、出一個網(wǎng)絡(luò)的所有連接，來防止某個需要保護的網(wǎng)絡(luò)遭受外部網(wǎng)絡(luò)的干擾和破壞。從邏輯上講，防火墻是一個分離器、

9、限制器、分析器，可有效地檢查內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的任何活動。從物理上講，防火墻是集成在網(wǎng)絡(luò)特殊位置的一組硬件設(shè)備路由器和三層交換機、PC之間。防火墻可以是一個獨立的硬件系統(tǒng)，也可以是一個軟件系統(tǒng)。8.3.2防火墻的分類按照工作的網(wǎng)絡(luò)層次和作用對象可分為4種類型。1包過濾防火墻又被稱為訪問控制表（Access Control List，ACL），它根據(jù)預(yù)先靜態(tài)定義好的規(guī)則審查內(nèi)、外網(wǎng)之間通信的數(shù)據(jù)包是否與自己定義的規(guī)則（分組包頭源地址、目的地址端口號、協(xié)議類型等）相一致，從而決定是否轉(zhuǎn)發(fā)數(shù)據(jù)包。工作于網(wǎng)絡(luò)層和傳輸層。8.3.2防火墻的分類1包過濾防火墻包過濾防火墻的優(yōu)點（1）不用改動用戶主機上

10、的客戶端程序。（2）可以與現(xiàn)有設(shè)備集成，也可以通過獨立的包過濾軟件實現(xiàn)。（3）成本低廉、速度快、效率高，可以在很大程度上滿足企業(yè)的需要。包過濾防火墻的缺點（1）工作在網(wǎng)絡(luò)層，不能檢測對于高層的攻擊。（2）如果使用很復(fù)雜的規(guī)則，會大大降低工作效率。（3）需要手動建立安全規(guī)則，要求管理人員清楚了解網(wǎng)絡(luò)需求。（4）包過濾主要依據(jù)IP包頭中的各種信息，但IP包頭信息可以被偽造，這樣就可以輕易地繞過包過濾防火墻。8.3.2防火墻的分類2應(yīng)用程序代理防火墻又稱為應(yīng)用網(wǎng)關(guān)防火墻，可在網(wǎng)關(guān)上執(zhí)行一些特定的應(yīng)用程序和服務(wù)器程序，實現(xiàn)協(xié)議的過濾和轉(zhuǎn)發(fā)功能。工作于應(yīng)用層。 其特點是完全阻隔了網(wǎng)絡(luò)信息流。8.3.2防

11、火墻的分類3復(fù)合型防火墻基于包過濾的方法與應(yīng)用程序代理的方法結(jié)合起來形成復(fù)合型防火墻產(chǎn)品。（1）屏蔽主機防火墻體系結(jié)構(gòu) 分組過濾路由器或防火墻與Internet相連，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾路由器或防火墻上設(shè)置過濾規(guī)則，使堡壘主機成為Internet上其他節(jié)點所能到達的唯一節(jié)點，從而確保內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶攻擊。（2）屏蔽子網(wǎng)防火墻體系結(jié)構(gòu) 堡壘主機放在一個子網(wǎng)內(nèi)形成非軍事化區(qū)，兩個分組過濾路由器放在該子網(wǎng)的兩端，使該子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。堡壘主機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。8.3.2防火墻的分類4個人防火墻人防火墻軟件一般集成在

12、殺毒軟件當中，它是應(yīng)用程序級的，在某一臺計算機上運行，保護其不受外部網(wǎng)絡(luò)的攻擊。一般的個人防火墻都具有“學(xué)習(xí)”機制，就是說一旦主機防火墻收到一種新的網(wǎng)絡(luò)通信要求，它會詢問用戶是允許還是拒絕，并應(yīng)用于以后該通信要求。8.3.3網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的作用原理就是通過替換一個數(shù)據(jù)包的源地址和目的地址，來保證這個數(shù)據(jù)包能被正確識別。通過這種地址映射技術(shù)，內(nèi)部計算機上使用私有地址，當內(nèi)部網(wǎng)絡(luò)計算機通過路由器向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包時，私有地址被轉(zhuǎn)換成合法的IP地址（全局地址）在Internet上使用。NAT技術(shù)解決了IPv4版本IP地址不足問題提高了網(wǎng)絡(luò)的安全性。缺點是增加了網(wǎng)絡(luò)延遲。8

13、.4 數(shù)字加密與數(shù)字簽名8.4.1數(shù)字加密1數(shù)字加密的原理 數(shù)據(jù)加密是指將原始的數(shù)據(jù)通過一定的加密方式加密成非授權(quán)人難以理解的數(shù)據(jù)，授權(quán)人在接收到加密數(shù)據(jù)后，會利用自己知道的解密方式把數(shù)據(jù)還原成原始數(shù)據(jù)。 數(shù)據(jù)加密的常用術(shù)語。（1）明文：沒有加密的原始數(shù)據(jù)。（2）密文：加密后的數(shù)據(jù)。（3）加密：把明文轉(zhuǎn)換成密文的過程。（4）解密：把密文轉(zhuǎn)換成明文的過程。（5）算法：加密或解密過程中使用的一系列運算方式。（6）密鑰：用于加密或解密的一個字符串。8.4.1數(shù)字加密2經(jīng)典的數(shù)字加密技術(shù) （1）替換加密 用某個字母替換另一個字母，替換的方式事先確定，例如替換方式是字母按順序往后移5位，hello在網(wǎng)絡(luò)

14、中傳輸時就用mjqqt。 數(shù)據(jù)加密的常用術(shù)語。（2）換位加密 按照一定的規(guī)律重新排列傳輸數(shù)據(jù)。例如預(yù)先設(shè)置換位的順序是4213，明文bear在網(wǎng)絡(luò)中傳輸時就是reba。8.4.1數(shù)字加密3秘密密鑰與公開密鑰加密技術(shù) （1）秘密密鑰技術(shù)也叫作對稱密鑰加密技術(shù)。特點是把算法和密鑰分開進行處理，密鑰最為關(guān)鍵，而且在加密和解密過程中，使用的密鑰相同。著名密鑰加密算法是數(shù)據(jù)加密標準（Data Encryption Standard，DES）。8.4.1數(shù)字加密3秘密密鑰與公開密鑰加密技術(shù) （2）公開密鑰加密技術(shù)也叫作非對稱密鑰加密技術(shù)。加密和解密過程中使用兩個不同的密鑰，兩個密鑰在數(shù)學(xué)上是相關(guān)的，成對出

15、現(xiàn)，但互相不能破解。著名的公開密鑰加密算法是RSA（三位發(fā)明者名字首字母組合）。8.4.2數(shù)字簽名數(shù)字簽名是指在計算機網(wǎng)絡(luò)中，用電子簽名來代替紙質(zhì)文件或協(xié)議的簽名，以保證信息的完整性、真實性和發(fā)送者的不可否認性。利用報文摘要和公開密鑰加密技術(shù)相結(jié)合的方式進行數(shù)字簽名。 1報文摘要設(shè)計思想是把一個任意長度的明文數(shù)據(jù)轉(zhuǎn)換成一個固定長度的比特串，在簽名時，只要對這個報文摘要簽名即可，不用對整個明文數(shù)據(jù)進行簽名。（1）處理任意長度的數(shù)據(jù)，生成固定大小的比特串。（2）生成的比特串是不可預(yù)見的，看上去與原始明文沒有任何聯(lián)系，原始明文有任何變化，新的比特串會與原來的不同。（3）生成的比特串具有不可逆性，不能通過它還原成原始明文。8.4.2數(shù)字簽名2數(shù)字簽名的過程（1）發(fā)送端把明文利用單向散列函數(shù)轉(zhuǎn)換成消息摘要。（2）發(fā)送者利用自己的私鑰對消息摘要進行簽名。（3）發(fā)送端把明文和簽名的消息摘要通過網(wǎng)絡(luò)傳遞給接收端。（4）接收端對明文和消息摘要分別處理，明文通過單向散列函數(shù)轉(zhuǎn)換為消息摘要，簽名的消息