第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理.ppt_第1頁
第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理.ppt_第2頁
第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理.ppt_第3頁
第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理.ppt_第4頁
第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理.ppt_第5頁
已閱讀5頁,還剩86頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用,2,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用,3,本章內(nèi)容,網(wǎng)絡(luò)安全基礎(chǔ) 網(wǎng)絡(luò)攻擊 防火墻技術(shù) 加密、認(rèn)證和訪問控制技術(shù) 網(wǎng)絡(luò)管理 應(yīng)用案例瑞星軟件防火墻,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,4,9.1 網(wǎng)絡(luò)安全基礎(chǔ),網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全面臨的主要威脅,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,5,9.1.1 網(wǎng)絡(luò)安全概述,網(wǎng)絡(luò)安全體系需要在以下幾個方面提供安全服務(wù) : 保密性(Confidentiality) 身份認(rèn)證(Authentication) 不可抵賴性(Non-reputation) 數(shù)據(jù)完整性(Data Integrity) 訪問控制(Access Control),第

2、9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,6,9.1.2 網(wǎng)絡(luò)安全面臨的主要威脅,網(wǎng)絡(luò)安全威脅的主要類型 : 信息泄漏 信息破壞 拒絕服務(wù),第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,7,網(wǎng)絡(luò)通信過程中面臨的主要威脅,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,對網(wǎng)絡(luò)通信的主動攻擊和被動攻擊,8,9.2 網(wǎng)絡(luò)攻擊,網(wǎng)絡(luò)攻擊概述 拒絕服務(wù)攻擊 惡意代碼,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,9,9.2.1 網(wǎng)絡(luò)攻擊概述,網(wǎng)絡(luò)攻擊人員 系統(tǒng)漏洞 遠(yuǎn)程攻擊,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,10,網(wǎng)絡(luò)攻擊人員,攻擊動機(jī):獲取利益、被關(guān)注、危害他人 。 攻擊人員的類型: 黑客:挑戰(zhàn)網(wǎng)絡(luò)系統(tǒng)的安全性,竊取敏感數(shù)據(jù)。 間諜:竊取敵對方的軍事、政治、經(jīng)濟(jì)等方面的機(jī)密信息

3、。 公司人員:入侵競爭對手的網(wǎng)絡(luò)系統(tǒng),以獲取某種經(jīng)濟(jì)利益,也可以被看做是工業(yè)間諜的一種。 組織內(nèi)部人員:出于好奇、報(bào)復(fù)、自我保護(hù)、獲取經(jīng)濟(jì)利益等目的而對內(nèi)部網(wǎng)絡(luò)進(jìn)行入侵。 犯罪人員:主要是為了牟取經(jīng)濟(jì)利益而對目標(biāo)網(wǎng)絡(luò)進(jìn)行入侵。 恐怖主義者:對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行入侵,以達(dá)到各種恐怖目的。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,11,系統(tǒng)漏洞,漏洞是指系統(tǒng)在硬件、軟件或防護(hù)策略上的缺陷。 漏洞的存在很廣泛,幾乎所有的網(wǎng)絡(luò)結(jié)點(diǎn)(如路由器、防火墻、服務(wù)器、客戶機(jī)等)都可能存在漏洞。 漏洞的發(fā)現(xiàn)和修正通常存在這樣一個周期: 系統(tǒng)發(fā)布和使用 漏洞暴露(出現(xiàn)有效的攻擊) 發(fā)布補(bǔ)丁進(jìn)行系統(tǒng)修正 新的漏洞出現(xiàn)(出現(xiàn)新的有效攻

4、擊)。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,12,遠(yuǎn)程攻擊的過程,尋找目標(biāo)主機(jī)和收集目標(biāo)信息 Ping ,TraceRoute ,測試目標(biāo)主機(jī)可能開放了哪些服務(wù)和端口。 獲取目標(biāo)主機(jī)的管理權(quán)限 暴力破解、利用系統(tǒng)漏洞和使用木馬程序等 。 隱蔽自己的攻擊行為 清除日志記錄、隱藏進(jìn)程、隱藏連接等 。 對主機(jī)實(shí)施破壞或?qū)⒅鳈C(jī)作為傀儡主機(jī)以攻擊其他主機(jī) 為以后的攻擊留出后門 修改目標(biāo)主機(jī)的系統(tǒng)配置,在目標(biāo)主機(jī)上安裝各種遠(yuǎn)程操作程序 。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,13,9.2.2 拒絕服務(wù)攻擊,拒絕服務(wù)攻擊的類型 分布式拒絕服務(wù)攻擊,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,14,拒絕服務(wù)攻擊的類型,拒絕服務(wù)攻擊的類型主要

5、有:洪泛攻擊、Ping of Death攻擊、SYN攻擊、淚滴攻擊、Smurf攻擊等。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,15,Smurf攻擊,Smurf攻擊結(jié)合使用了ICMP回復(fù)和IP欺騙的方法,通過向目標(biāo)系統(tǒng)發(fā)送大量網(wǎng)絡(luò)數(shù)據(jù),造成目標(biāo)系統(tǒng)拒絕服務(wù)。 ICMP(網(wǎng)際控制報(bào)文協(xié)議)用于處理錯誤信息和交換控制信息,通過該協(xié)議,可以確定網(wǎng)絡(luò)中的某臺主機(jī)是否響應(yīng),從而為判斷主機(jī)是否出現(xiàn)故障提供依據(jù)。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,16,Smurf攻擊的過程,(1)攻擊者向網(wǎng)絡(luò)上的路由器發(fā)送ICMP請求,找出網(wǎng)絡(luò)上回應(yīng)ICMP請求的路由器。 (2)用偽造的IP源地址向路由器的廣播地址發(fā)送ICMP消息,這個偽造

6、的IP地址是被攻擊主機(jī)的IP地址。 (3)路由器將ICMP消息廣播到網(wǎng)絡(luò)上與其相連的每一臺主機(jī)。 (4)這些主機(jī)進(jìn)行ICMP回應(yīng),向這個偽造的IP地址(即目標(biāo)主機(jī)的IP地址)發(fā)送大量的響應(yīng)數(shù)據(jù)包,從而影響被攻擊主機(jī)的性能并導(dǎo)致被攻擊主機(jī)邊界的網(wǎng)絡(luò)阻塞。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,17,Smurf攻擊原理圖,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,18,Smurf攻擊,例如,采用300kbps流量的ICMP Echo (PING)包廣播到200臺主機(jī),會產(chǎn)生200個ping回應(yīng),從而產(chǎn)生60Mbps的流量。這些流量流向被攻擊的主機(jī),會造成該主機(jī)的服務(wù)停止。 為了防御此類攻擊,應(yīng)采取以下措施: 關(guān)閉主機(jī)或路

7、由器廣播地址對ping請求的響應(yīng)功能。 對路由器進(jìn)行配置,使其不直接將數(shù)據(jù)包轉(zhuǎn)發(fā)給廣播地址。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,19,分布式拒絕服務(wù)攻擊,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,20,9.2.3 惡意代碼,惡意代碼(Malicious Code)又稱為惡意軟件(Malicious Software, Malware),是能夠在計(jì)算機(jī)系統(tǒng)上進(jìn)行非授權(quán)操作的代碼。 惡意代碼具有以下特征:惡意的目的、本身是程序,通過執(zhí)行發(fā)生作用。 惡意代碼的主要類型包括:病毒、蠕蟲、特洛伊木馬、邏輯炸彈、惡意網(wǎng)頁、流氓軟件和后門程序等。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,21,計(jì)算機(jī)病毒,中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保

8、護(hù)條例中對計(jì)算機(jī)病毒給出的定義是:“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù),影響計(jì)算機(jī)使用,并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?!?從該定義可以看出,計(jì)算機(jī)病毒具有兩大特征:破壞性和傳染性。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,22,計(jì)算機(jī)病毒,計(jì)算機(jī)病毒代碼的結(jié)構(gòu)包含三個部分:引導(dǎo)部分、傳染部分和表現(xiàn)部分。 引導(dǎo)部分負(fù)責(zé)將病毒主體加載到內(nèi)存,為實(shí)施傳染做準(zhǔn)備。 傳染部分負(fù)責(zé)將病毒代碼復(fù)制到新的傳染目標(biāo)上去。 表現(xiàn)部分是指在一定的觸發(fā)條件下進(jìn)行病毒發(fā)作。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,23,計(jì)算機(jī)病毒,計(jì)算機(jī)病毒的防治包括防毒、查毒和解毒。 病毒的檢測方法主要包括:

9、特征代碼法 校驗(yàn)和法 行為監(jiān)測法 軟件模擬法,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,24,蠕蟲代碼,蠕蟲代碼主要是通過網(wǎng)絡(luò)漏洞進(jìn)行傳播和擴(kuò)散。 蠕蟲代碼包括三個基本模塊:傳播模塊、隱藏模塊和操作模塊。 傳播模塊負(fù)責(zé)通過網(wǎng)絡(luò)進(jìn)行蠕蟲代碼的傳播; 隱藏模塊負(fù)責(zé)在入侵目標(biāo)主機(jī)后進(jìn)行蠕蟲程序的隱藏,以防止被發(fā)現(xiàn); 操作模塊負(fù)責(zé)對計(jì)算機(jī)執(zhí)行控制、監(jiān)視或破壞操作。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,25,蠕蟲代碼,關(guān)鍵的傳播模塊又可分為三個子模塊:掃描、攻擊和復(fù)制。 掃描模塊負(fù)責(zé)在網(wǎng)絡(luò)上尋找存在漏洞的主機(jī),將其作為下一步攻擊的對象。 攻擊模塊負(fù)責(zé)對存在漏洞的主機(jī)進(jìn)行攻擊,獲取該主機(jī)的高層權(quán)限(如管理員權(quán)限)。 復(fù)制模塊負(fù)

10、責(zé)將蠕蟲程序通過網(wǎng)絡(luò)復(fù)制到目標(biāo)主機(jī),并在新的主機(jī)上啟動蠕蟲程序。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,26,蠕蟲程序與普通病毒的比較,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,27,特洛伊木馬,特洛伊木馬程序是一種惡意程序,它表面上執(zhí)行正常功能,實(shí)際上隱蔽地執(zhí)行惡意操作,實(shí)施對主機(jī)的非授權(quán)訪問。 完整的木馬程序包括兩個部分:服務(wù)器端程序和控制端程序。 “中了木馬”是指被安裝了木馬的服務(wù)器端程序,這時控制端可以通過與服務(wù)器端的連接,對服務(wù)器端的主機(jī)進(jìn)行各種控制,如上傳和下載文件,竊取賬號和密碼,修改注冊表信息,控制鼠標(biāo)、鍵盤,重啟計(jì)算機(jī)等。 木馬程序在傳播時,往往與正常文件綁定在一起,因此很難被發(fā)現(xiàn)。例如,某些軟件下

11、載網(wǎng)站的軟件中就有可能被綁定了木馬程序。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,28,木馬程序的特點(diǎn),隱蔽性 雖然它在系統(tǒng)啟動時就自動運(yùn)行,但是通常不會在任務(wù)管理器中出現(xiàn),甚至不會在服務(wù)管理器中出現(xiàn)。 自動加載運(yùn)行 木馬程序?yàn)榱丝刂品?wù)器端,通常在系統(tǒng)啟動時開始運(yùn)行。 與目標(biāo)建立連接 控制端木馬程序通常利用TCP和UDP與目標(biāo)主機(jī)的指定端口建立連接。 許多木馬程序在主機(jī)上具有多重備份,可以相互恢復(fù)。當(dāng)一個木馬文件被刪除后,其他木馬文件會進(jìn)行恢復(fù)和運(yùn)行。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,29,邏輯炸彈,邏輯炸彈是一種特殊的程序,在滿足某種邏輯條件時,它會被激活,并產(chǎn)生破壞。 邏輯炸彈程序沒有傳播功能,它只針對

12、特定的受害者。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,30,惡意網(wǎng)頁,惡意網(wǎng)頁是指網(wǎng)頁中含有惡意代碼,能夠?qū)υL問者的電腦進(jìn)行非法設(shè)置或攻擊。惡意網(wǎng)頁的幾種典型破壞包括: 修改IE的起始頁。 修改IE工具欄,如工具按鈕、地址欄等。 修改或禁止IE的右鍵功能。 下載木馬程序。 禁止對注冊表進(jìn)行修改。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,31,流氓軟件,流氓軟件是一類特殊的軟件,一方面,它具有正常的功能(如下載、多媒體播放等),另一方面,它包含一些惡意行為(如彈出廣告、在系統(tǒng)中開后門等),會對用戶帶來某種程度的危害。其特點(diǎn)包括: 強(qiáng)制安裝。 難以卸載。 彈出廣告。 瀏覽器劫持。 惡意收集用戶信息。 惡意卸載。 惡意捆

13、綁。 故意妨礙其他同類軟件使用的行為。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,32,9.3 防火墻技術(shù),防火墻的基本概念 包過濾防火墻 代理服務(wù)器防火墻,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,33,防火墻的基本概念,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,34,防火墻的優(yōu)點(diǎn)和局限性,防火墻的優(yōu)點(diǎn) 防火墻作為內(nèi)部網(wǎng)絡(luò)的訪問控制點(diǎn),可以禁止未經(jīng)授權(quán)的用戶(攻擊者、破壞者、網(wǎng)絡(luò)間諜等)通過外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò),也禁止某些易受攻擊的服務(wù)進(jìn)入或離開受保護(hù)的內(nèi)網(wǎng)。 防火墻可以為內(nèi)部網(wǎng)絡(luò)的主機(jī)提供集中的安全保護(hù)。 防火墻可以記錄和統(tǒng)計(jì)網(wǎng)絡(luò)的使用情況。 防火墻的局限性 防火墻不能防范來自內(nèi)部網(wǎng)絡(luò)的攻擊。 不能防范繞過防火墻的攻擊。 不能防范

14、計(jì)算機(jī)病毒。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,35,9.3.2 包過濾防火墻,包過濾防火墻通常由路由器來實(shí)現(xiàn),也被稱為包過濾路由器或屏蔽路由器。 包過濾防火墻對進(jìn)出網(wǎng)絡(luò)的IP包進(jìn)行監(jiān)視和過濾,對不安全的包進(jìn)行屏蔽。 包過濾規(guī)則的設(shè)計(jì)是該類防火墻的關(guān)鍵所在嚴(yán)密的包過濾規(guī)則能夠加強(qiáng)防火墻的安全性。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,36,包過濾防火墻示意圖,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,37,包過濾路由器,包過濾路由器對進(jìn)出的IP包進(jìn)行審查,將其與預(yù)先設(shè)計(jì)好的各種包過濾規(guī)則相匹配,從而決定是否丟棄或拒絕某些IP包。 包過濾路由器在審查IP包時,主要是對IP包的包頭信息進(jìn)行分析,而不考慮包所攜帶的數(shù)據(jù)內(nèi)容。 包

15、頭信息主要包括:源IP地址、目的IP地址、封裝的協(xié)議(TCP、UDP、ICMP)、TCP/UDP源端口、TCP/UDP目的端口等。另外,在進(jìn)行包過濾時,還要利用路由器的IP包輸入接口和IP包輸出接口等信息。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,38,某些常用網(wǎng)絡(luò)服務(wù)使用的端口,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,39,包過濾防火墻對數(shù)據(jù)包的處理過程,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,40,包過濾防火墻過濾規(guī)則的設(shè)定,下面是一個包過濾防火墻訪問控制規(guī)則的例子: 允許網(wǎng)絡(luò)訪問主機(jī)的http服務(wù)(80端口); 允許IP地址為和202.206.2

16、15.8的主機(jī)通過Telnet(23端口)連接到主機(jī)上; 允許任意IP地址的主機(jī)訪問主機(jī)提供的DNS服務(wù)(53端口); 不允許其他數(shù)據(jù)包的進(jìn)入。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,41,9.3.3 代理服務(wù)器防火墻,代理服務(wù)器防火墻是一種特定的服務(wù)器程序,它是基于軟件的,與基于路由器的包過濾防火墻有較大的不同。 代理服務(wù)器防火墻位于外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間,它接收客戶端的請求,然后根據(jù)已制定好的安全控制規(guī)則決定是否將其轉(zhuǎn)發(fā)給真正的服務(wù)器。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,42,代理服務(wù)器的主要功能,接收和解釋客戶端發(fā)來的請求。 作為新的客戶端創(chuàng)建與服務(wù)器

17、的連接。 接收服務(wù)器發(fā)來的響應(yīng)。 解釋服務(wù)器發(fā)來的響應(yīng)并將其轉(zhuǎn)發(fā)給客戶端。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,43,代理服務(wù)器的工作原理,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,44,代理服務(wù)器防火墻的優(yōu)缺點(diǎn),代理服務(wù)器的主要優(yōu)點(diǎn)包括: 與包過濾路由器相比,配置容易。 能夠生成各種日志記錄 ,對流量分析、安全檢查及計(jì)費(fèi)提供幫助。 能夠提供更好的訪問控制 。 能夠?qū)?shù)據(jù)內(nèi)容進(jìn)行過濾。 代理服務(wù)器的主要缺點(diǎn)包括: 速度較慢。 代理服務(wù)對用戶不透明。 對于每種應(yīng)用層協(xié)議要使用不同的代理服務(wù)。 代理服務(wù)不能提高低層協(xié)議的安全性 。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,45,9.4 加密、認(rèn)證和訪問控制技術(shù),加密技術(shù) 公開密鑰基

18、礎(chǔ)設(shè)施 身份認(rèn)證技術(shù) 訪問控制技術(shù),第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,46,9.4.1 加密技術(shù),第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,整個加密/解密過程可表示為:D(E(P)=P。,47,使用一個密鑰的加/解密過程,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,可表示為:DK(EK(P)=P,48,使用兩個密鑰的加/解密過程,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,可表示為:DK2(EK1(P)=P,49,對稱密鑰加密算法,對稱密鑰加密算法的加密密鑰能夠通過解密密鑰推算出來,反之亦然。 大部分對稱密鑰加密算法的加密密鑰和解密密鑰是相同的,這些算法也被稱為單密鑰算法。 在密碼體系中,加密算法和解密算法通常是公開的。 對于對稱密鑰加密算法來

19、說,通信的發(fā)送方和接收方在安全通信之前要協(xié)商一個共享的密鑰,該密鑰必須通過一個安全的渠道被通信雙方所知悉。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,50,對稱密鑰加密算法,DES(Data Encryption Standard,數(shù)據(jù)加密標(biāo)準(zhǔn)) DES是典型的對稱密鑰算法,它是由IBM公司在20世紀(jì)70年代研究出來的。 DES算法使用56位的密鑰,將64位的明文塊轉(zhuǎn)換成64位的密文塊。 其密鑰空間有256種組合。 三重DES(Triple DES) 三重DES的密鑰長度是112位。 加密過程分三個主要步驟:首先將明文塊用密鑰的前56位進(jìn)行加密,然后將結(jié)果用密鑰的后56位進(jìn)行加密,最后再用密鑰的前56位進(jìn)行

20、加密。 其密鑰空間有2112種組合,很難破解。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,51,非對稱密鑰加密算法,非對稱密鑰加密算法又稱為公開密鑰算法。它采用不同的加密密鑰和解密密鑰,而且解密密鑰不能通過加密密鑰計(jì)算出來。 這樣就可以將加密密鑰公開,每個人都可以使用加密密鑰進(jìn)行信息加密,而只有擁有解密密鑰的人才能對加密的信息進(jìn)行解密。 在公開密鑰加密系統(tǒng)中,這個公開的加密密鑰被稱為公開密鑰(簡稱公鑰);而解密密鑰被稱為秘密密鑰(又被稱為私有密鑰,簡稱私鑰)。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,52,使用非對稱密鑰的加/解密過程,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,53,非對稱密鑰加密算法,公開密鑰加密技術(shù)較好地解決了密

21、鑰的交換問題。自1976年公開密鑰的思想被提出以來,國際上已出現(xiàn)了多種公開密鑰加密算法。比較流行的有基于大整數(shù)因子分解問題的RSA算法、基于橢圓曲線上的離散對數(shù)問題的Differ-Hellman算法等。 RSA算法與DES算法相比,其主要缺點(diǎn)是:產(chǎn)生密鑰的過程復(fù)雜;由于需要進(jìn)行大數(shù)運(yùn)算,計(jì)算速度很慢。因此,RSA算法主要用于少量數(shù)據(jù)的加密,如對DES密鑰的加密,從而解決DES密鑰的分發(fā)問題。而DES算法的運(yùn)算速度很快,適合進(jìn)行大量數(shù)據(jù)的加密。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,54,9.4.2 公開密鑰基礎(chǔ)設(shè)施,一個利用對稱密鑰和非對稱密鑰進(jìn)行數(shù)據(jù)加密通信的例子: Alice和Bob要通過網(wǎng)絡(luò)進(jìn)行秘

22、密通信。 Alice Bob:我是Alice,這是我的公鑰Ka。你選擇一個會話密鑰K(對稱密鑰),然后將K用Ka加密后發(fā)送給我。 Bob Alice:將數(shù)據(jù)通信用的會話密鑰K用Alice的公鑰Ka加密后發(fā)送給Alice。 Alice:使用自己的私鑰Pa解密Ka(K),得到會話密鑰K。 Alice Bob:使用會話密鑰K加密并傳輸信息。 Bob Alice: 使用會話密鑰K加密并傳輸信息。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,55,中間人攻擊,Mallory首先截獲Alice的公鑰Ka,并將自己的公鑰Km發(fā)送給Bob。 Bob收到公鑰Km后,會把它當(dāng)作Alice的公鑰Ka,他用Km加密準(zhǔn)備用于加密信息的

23、會話密鑰K,并將其(Km(K)傳送給Alice。 當(dāng)Mallory進(jìn)一步截獲到它以后,就會用自己的私鑰進(jìn)行解密,從而得到會話密鑰K,然后再用Alice的公開密鑰重新加密會話密鑰K,并將其傳送給Alice。 這樣Mallory就得悉了Alice和Bob用于加密信息的會話密鑰K,從而可以對Alice和Bob之間的加密通信進(jìn)行竊聽并解密。這種攻擊方式稱為中間人攻擊。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,56,公開密鑰基礎(chǔ)設(shè)施,這種攻擊之所以成功的原因在于:Bob無法判斷接收到的公鑰是否就是Alice本人的,即其無法判斷公鑰所有人的真實(shí)身份。這個問題會影響信息傳輸?shù)谋C苄?、不可否認(rèn)性和信息交換的完整性。 為了

24、解決這些安全問題,可以利用公開密鑰基礎(chǔ)設(shè)施(Public Key Infrastructure, PKI)中的技術(shù)。 根據(jù)X.509標(biāo)準(zhǔn)給出的定義,PKI是軟件、硬件、人員、策略和規(guī)程的集合,它通過管理密鑰和數(shù)字證書為基于公鑰的安全服務(wù)提供支持。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,57,數(shù)字證書,數(shù)字證書用于管理用戶的公鑰:它將用戶公鑰與用戶的其他特征信息(如名稱、E-mail等)綁定在一起,并通過可信任的第三方機(jī)構(gòu)認(rèn)證機(jī)構(gòu)(Certification Authority,CA)進(jìn)行電子簽名,從而證明公鑰和用戶身份的一致性。 數(shù)字證書的主要類型包括:客戶證書(個人證書)、站點(diǎn)證書(服務(wù)器證書)和軟件

25、開發(fā)者證書。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,58,一個數(shù)字證書的例子,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,59,證書認(rèn)證機(jī)構(gòu)(CA),證書認(rèn)證機(jī)構(gòu)(CA)的基本功能是簽發(fā)和管理數(shù)字證書。它能夠接收用戶注冊請求,處理、批準(zhǔn)或拒絕請求,頒發(fā)證書。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,60,身份認(rèn)證技術(shù),用戶名/密碼方式 智能卡方式 動態(tài)口令方式 生物特征認(rèn)證方式,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,61,9.4.4 訪問控制技術(shù),訪問控制(Access Control)是在身份認(rèn)證的基礎(chǔ)上,根據(jù)用戶的身份決定其能夠訪問哪些資源以及對這些資源能夠進(jìn)行哪些操作。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,62,基于角色的訪問控制,基于角色的

26、訪問控制(RBAC)中的要素主要包括用戶、角色和許可。 用戶是指能夠獨(dú)立訪問計(jì)算機(jī)系統(tǒng)中數(shù)據(jù)或其他資源的主體。 角色是指根據(jù)用戶在組織或某一任務(wù)中的位置,定義他所擁有的權(quán)利和責(zé)任。 許可是指允許對資源進(jìn)行的操作。 一個角色可以包含多個用戶,一個用戶也可以具有多個角色;每個角色可具有多種操作許可,每種許可也可授權(quán)給多個角色。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,63,9.5 網(wǎng)絡(luò)管理,網(wǎng)絡(luò)管理就是利用各種工具、應(yīng)用程序和設(shè)備,幫助網(wǎng)絡(luò)管理員對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行監(jiān)視和維護(hù)。 通過收集網(wǎng)絡(luò)中各種設(shè)備的工作狀態(tài)、性能參數(shù),可以幫助網(wǎng)絡(luò)管理員正確地分析網(wǎng)絡(luò)工作狀況,從而對各網(wǎng)絡(luò)設(shè)備進(jìn)行有效地控制,實(shí)現(xiàn)網(wǎng)絡(luò)的高效、正

27、常運(yùn)行。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,64,9.5.1 網(wǎng)絡(luò)管理體系結(jié)構(gòu),主要由管理實(shí)體、被管理的設(shè)備和負(fù)責(zé)實(shí)現(xiàn)兩者之間通信的網(wǎng)絡(luò)管理協(xié)議構(gòu)成。 典型的網(wǎng)絡(luò)管理協(xié)議包括:簡單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol,SNMP)和公共管理信息協(xié)議(Common Management Information Protocol,CMIP)。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,65,網(wǎng)絡(luò)管理體系結(jié)構(gòu),第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,66,9.5.2 ISO網(wǎng)絡(luò)管理模型,國際標(biāo)準(zhǔn)化組織(ISO)提出了網(wǎng)絡(luò)管理模型,很好地闡述了網(wǎng)絡(luò)管理的主要功能。 性能管理(Perform

28、ance Management) 配置管理(Configuration Management) 記賬管理(Accounting Management) 故障管理(Fault Management) 安全管理(Security Management)。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,67,性能管理,性能管理的目標(biāo)是通過測量和改進(jìn)網(wǎng)絡(luò)性能的各個方面,使得網(wǎng)絡(luò)性能能夠滿足要求。 反映網(wǎng)絡(luò)性能的參數(shù)包括:網(wǎng)絡(luò)吞吐量、用戶響應(yīng)時間、傳輸延遲、線路利用率、平均無故障時間等。 性能管理包括三個主要步驟: 首先,收集反映網(wǎng)絡(luò)性能的數(shù)據(jù); 然后,對這些性能數(shù)據(jù)進(jìn)行分析,確定正常的網(wǎng)絡(luò)性能指標(biāo); 最后,對每一項(xiàng)重要

29、的性能參數(shù)設(shè)定報(bào)警門限,當(dāng)網(wǎng)絡(luò)性能變量值超出預(yù)設(shè)門限時,表明網(wǎng)絡(luò)性能出現(xiàn)了問題。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,68,配置管理,配置管理的目的是監(jiān)視網(wǎng)絡(luò)與系統(tǒng)的配置信息,跟蹤和管理各種版本的軟硬件要素對網(wǎng)絡(luò)運(yùn)行的影響。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,69,配置管理,每個網(wǎng)絡(luò)設(shè)備都有相關(guān)聯(lián)的種種軟硬件版本信息。例如,一個工作站被配置了以下版本的軟硬件: 操作系統(tǒng),V3.5。 以太網(wǎng)接口,V5.6。 TCP/IP軟件,V2.0。 NFS 軟件,V5.0。 串行通信控制器,V1.1。 X.25軟件,V1.1。 SNMP 軟件,V3.0。 配置管理子系統(tǒng)將配置信息保存在數(shù)據(jù)庫中,可以在需要的時候進(jìn)行方便地

30、查詢。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,70,記賬管理,記賬管理用于統(tǒng)計(jì)用戶對網(wǎng)絡(luò)的使用情況。 對于網(wǎng)絡(luò)通信服務(wù)公司和ISP來說,記賬管理能夠幫助他們實(shí)現(xiàn)對用戶的合理收費(fèi)以及掌握網(wǎng)絡(luò)的利用率情況。 對于單位內(nèi)部網(wǎng)來說,通過統(tǒng)計(jì)用戶的網(wǎng)絡(luò)使用時間、網(wǎng)絡(luò)資源利用率等參數(shù),可以適當(dāng)?shù)乜刂坪驼{(diào)節(jié)用戶對網(wǎng)絡(luò)資源的訪問,從而提高網(wǎng)絡(luò)資源的利用率,滿足更多用戶的需求。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,71,記賬管理,記賬管理包括以下幾個步驟: 對所有重要網(wǎng)絡(luò)資源的使用情況進(jìn)行測量; 通過對這些測量結(jié)果進(jìn)行分析,得到當(dāng)前的網(wǎng)絡(luò)使用模式; 進(jìn)行有效的使用限額分配; 為了對網(wǎng)絡(luò)使用方式進(jìn)行優(yōu)化,需要不斷地進(jìn)行資源使用情況

31、的測量,及時做出調(diào)整。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,72,故障管理,故障管理的目的包括檢測、記錄和通知用戶故障的發(fā)生,以及在必要時自動修復(fù)網(wǎng)絡(luò)故障。 網(wǎng)絡(luò)故障能夠引起網(wǎng)絡(luò)癱瘓或使網(wǎng)絡(luò)性能下降,因此,為了保證網(wǎng)絡(luò)的有效運(yùn)行,必須加強(qiáng)網(wǎng)絡(luò)故障管理。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,73,故障管理,故障管理的具體內(nèi)容包括: 通過診斷測試,發(fā)現(xiàn)網(wǎng)絡(luò)故障并對故障進(jìn)行隔離; 對故障進(jìn)行修復(fù)或通過啟動備用設(shè)備以恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行; 記錄故障的檢測和解決過程。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,74,安全管理,安全管理的目的是根據(jù)本地策略控制對網(wǎng)絡(luò)資源的訪問,防止用戶對網(wǎng)絡(luò)資源進(jìn)行有意或無意的破壞,禁止未授權(quán)用戶對敏感

32、信息的訪問。 例如,一個安全管理子系統(tǒng)能夠監(jiān)視用戶的登錄情況并拒絕登錄口令錯誤的用戶進(jìn)入系統(tǒng)。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,75,安全管理,安全管理子系統(tǒng)可以將網(wǎng)絡(luò)資源分成兩大類:受控資源和非受控資源。 對于企業(yè)外部用戶來說,其對內(nèi)網(wǎng)中任何資源的訪問往往都是不允許的; 對于大部分企業(yè)內(nèi)部用戶來說,其對某些特定資源的訪問,往往也是不允許的。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,76,安全管理,安全管理子系統(tǒng)需要完成以下任務(wù): 確定敏感的網(wǎng)絡(luò)資源(包括系統(tǒng)硬件、軟件和數(shù)據(jù)); 確定用戶對敏感網(wǎng)絡(luò)資源的訪問權(quán)限; 在敏感網(wǎng)絡(luò)資源的訪問點(diǎn)上進(jìn)行監(jiān)視并記錄對敏感網(wǎng)絡(luò)資源的非法訪問。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,

33、77,9.5.3 簡單網(wǎng)絡(luò)管理協(xié)議,簡單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol,SNMP)屬于應(yīng)用層協(xié)議,它用于在網(wǎng)絡(luò)設(shè)備之間交換管理信息。 SNMP能夠幫助網(wǎng)絡(luò)管理員管理和維護(hù)網(wǎng)絡(luò),提高網(wǎng)絡(luò)的可靠性和可用性。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,78,SNMP管理模型的組成,通過SNMP管理的網(wǎng)絡(luò)主要包括三個部分:網(wǎng)絡(luò)管理系統(tǒng)(Network Management System,NMS)、被管理的設(shè)備、代理(Agent)。 網(wǎng)絡(luò)管理系統(tǒng)負(fù)責(zé)監(jiān)視和控制被管理的設(shè)備,在被管理的網(wǎng)絡(luò)上至少存在一個NMS。 被管理的設(shè)備(某個網(wǎng)絡(luò)結(jié)點(diǎn))通過SNMP代理收集和存儲設(shè)

34、備的管理信息并通過SNMP將信息發(fā)給NMS。被管理設(shè)備的具體類型包括路由器、交換機(jī)、網(wǎng)橋、集線器、訪問服務(wù)器、打印機(jī)等。 代理是駐留在被管理設(shè)備上的軟件模塊。代理負(fù)責(zé)收集設(shè)備管理信息并發(fā)送給NMS。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,79,SNMP的消息類型,NMS和代理之間通過消息進(jìn)行通信,有5種類型的消息:GetRequest、GetNextRequest、SetRequest 、GetResponse和Trap。 GetRequest消息:通過SNMP代理獲取被管理設(shè)備的參數(shù)。 GetNextRequest消息:用于從代理中獲取緊跟當(dāng)前參數(shù)值的下一個參數(shù)值。 SetRequest消息:對網(wǎng)絡(luò)設(shè)

35、備進(jìn)行配置,包括設(shè)備名、設(shè)備屬性等參數(shù)。 GetResponse消息:對請求消息進(jìn)行響應(yīng),如提供差錯狀態(tài)、參數(shù)值列表等。 Trap消息:由代理向NMS主動發(fā)出的消息,用于報(bào)告某些事件的發(fā)生。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,80,9.6 應(yīng)用案例瑞星軟件防火墻,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,81,防火墻軟件的日志文件,事件的類型主要分為以下10類: 防火墻系統(tǒng)事件:記錄防火墻的啟動和關(guān)閉、網(wǎng)絡(luò)的連接和斷開等事件。 攻擊事件:記錄防火墻受到的攻擊事件。 IP事件:記錄防火墻規(guī)則要求軟件記錄的IP信息。 TCP事件:記錄防火墻規(guī)則要求軟件記錄的TCP信息。 UDP事件:記錄防火墻規(guī)則要求軟件記錄的UDP

36、信息。 用戶編輯IP規(guī)則事件:記錄用戶對IP規(guī)則進(jìn)行編輯的事件。 用戶編輯訪問規(guī)則事件:記錄用戶對訪問規(guī)則進(jìn)行編輯的事件。 用戶配置防火墻事件:記錄用戶對防火墻配置的事件。 木馬掃描事件:記錄對內(nèi)存中木馬進(jìn)行掃描的事件。 ARP欺騙事件:記錄防火墻軟件阻止ARP欺騙的事件。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,82,規(guī)則設(shè)置,黑名單設(shè)置 白名單設(shè)置 端口開關(guān)設(shè)置 可信區(qū)設(shè)置 IP規(guī)則設(shè)置,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,83,黑名單設(shè)置,黑名單指的是禁止與本機(jī)進(jìn)行通信的設(shè)備列表。例如,曾對本機(jī)發(fā)起攻擊的計(jì)算機(jī)可以被列入黑名單。 對黑名單中的記錄可以進(jìn)行增加、刪除、導(dǎo)入、導(dǎo)出操作。增加黑名單記錄時,可對某一特定IP地址的設(shè)備進(jìn)行限制,也可對某個地址范圍內(nèi)的設(shè)備進(jìn)行限制。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,84,白名單設(shè)置,白名單為本機(jī)完全信任的設(shè)備列表。例如,VPN服務(wù)器就可被加入白名單。對白名單的操作與對黑

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論