第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理.ppt

1、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用,2,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用,3,本章內(nèi)容,網(wǎng)絡(luò)安全基礎(chǔ) 網(wǎng)絡(luò)攻擊 防火墻技術(shù) 加密、認(rèn)證和訪問控制技術(shù) 網(wǎng)絡(luò)管理 應(yīng)用案例瑞星軟件防火墻,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,4,9.1 網(wǎng)絡(luò)安全基礎(chǔ),網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全面臨的主要威脅,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,5,9.1.1 網(wǎng)絡(luò)安全概述,網(wǎng)絡(luò)安全體系需要在以下幾個方面提供安全服務(wù) ： 保密性（Confidentiality） 身份認(rèn)證（Authentication） 不可抵賴性（Non-reputation） 數(shù)據(jù)完整性（Data Integrity） 訪問控制（Access Control）,第

2、9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,6,9.1.2 網(wǎng)絡(luò)安全面臨的主要威脅,網(wǎng)絡(luò)安全威脅的主要類型 ： 信息泄漏 信息破壞 拒絕服務(wù),第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,7,網(wǎng)絡(luò)通信過程中面臨的主要威脅,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,對網(wǎng)絡(luò)通信的主動攻擊和被動攻擊,8,9.2 網(wǎng)絡(luò)攻擊,網(wǎng)絡(luò)攻擊概述 拒絕服務(wù)攻擊 惡意代碼,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,9,9.2.1 網(wǎng)絡(luò)攻擊概述,網(wǎng)絡(luò)攻擊人員 系統(tǒng)漏洞 遠(yuǎn)程攻擊,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,10,網(wǎng)絡(luò)攻擊人員,攻擊動機(jī)：獲取利益、被關(guān)注、危害他人 。 攻擊人員的類型： 黑客：挑戰(zhàn)網(wǎng)絡(luò)系統(tǒng)的安全性，竊取敏感數(shù)據(jù)。 間諜：竊取敵對方的軍事、政治、經(jīng)濟(jì)等方面的機(jī)密信息

3、。 公司人員：入侵競爭對手的網(wǎng)絡(luò)系統(tǒng)，以獲取某種經(jīng)濟(jì)利益，也可以被看做是工業(yè)間諜的一種。 組織內(nèi)部人員：出于好奇、報(bào)復(fù)、自我保護(hù)、獲取經(jīng)濟(jì)利益等目的而對內(nèi)部網(wǎng)絡(luò)進(jìn)行入侵。 犯罪人員：主要是為了牟取經(jīng)濟(jì)利益而對目標(biāo)網(wǎng)絡(luò)進(jìn)行入侵。 恐怖主義者：對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行入侵，以達(dá)到各種恐怖目的。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,11,系統(tǒng)漏洞,漏洞是指系統(tǒng)在硬件、軟件或防護(hù)策略上的缺陷。 漏洞的存在很廣泛，幾乎所有的網(wǎng)絡(luò)結(jié)點(diǎn)（如路由器、防火墻、服務(wù)器、客戶機(jī)等）都可能存在漏洞。 漏洞的發(fā)現(xiàn)和修正通常存在這樣一個周期： 系統(tǒng)發(fā)布和使用 漏洞暴露（出現(xiàn)有效的攻擊） 發(fā)布補(bǔ)丁進(jìn)行系統(tǒng)修正 新的漏洞出現(xiàn)（出現(xiàn)新的有效攻

4、擊）。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,12,遠(yuǎn)程攻擊的過程,尋找目標(biāo)主機(jī)和收集目標(biāo)信息 Ping ，TraceRoute ，測試目標(biāo)主機(jī)可能開放了哪些服務(wù)和端口。 獲取目標(biāo)主機(jī)的管理權(quán)限 暴力破解、利用系統(tǒng)漏洞和使用木馬程序等 。 隱蔽自己的攻擊行為 清除日志記錄、隱藏進(jìn)程、隱藏連接等 。 對主機(jī)實(shí)施破壞或?qū)⒅鳈C(jī)作為傀儡主機(jī)以攻擊其他主機(jī) 為以后的攻擊留出后門 修改目標(biāo)主機(jī)的系統(tǒng)配置，在目標(biāo)主機(jī)上安裝各種遠(yuǎn)程操作程序 。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,13,9.2.2 拒絕服務(wù)攻擊,拒絕服務(wù)攻擊的類型 分布式拒絕服務(wù)攻擊,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,14,拒絕服務(wù)攻擊的類型,拒絕服務(wù)攻擊的類型主要

5、有：洪泛攻擊、Ping of Death攻擊、SYN攻擊、淚滴攻擊、Smurf攻擊等。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,15,Smurf攻擊,Smurf攻擊結(jié)合使用了ICMP回復(fù)和IP欺騙的方法，通過向目標(biāo)系統(tǒng)發(fā)送大量網(wǎng)絡(luò)數(shù)據(jù)，造成目標(biāo)系統(tǒng)拒絕服務(wù)。 ICMP（網(wǎng)際控制報(bào)文協(xié)議）用于處理錯誤信息和交換控制信息，通過該協(xié)議，可以確定網(wǎng)絡(luò)中的某臺主機(jī)是否響應(yīng)，從而為判斷主機(jī)是否出現(xiàn)故障提供依據(jù)。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,16,Smurf攻擊的過程,（1）攻擊者向網(wǎng)絡(luò)上的路由器發(fā)送ICMP請求，找出網(wǎng)絡(luò)上回應(yīng)ICMP請求的路由器。 （2）用偽造的IP源地址向路由器的廣播地址發(fā)送ICMP消息，這個偽造

6、的IP地址是被攻擊主機(jī)的IP地址。 （3）路由器將ICMP消息廣播到網(wǎng)絡(luò)上與其相連的每一臺主機(jī)。 （4）這些主機(jī)進(jìn)行ICMP回應(yīng)，向這個偽造的IP地址（即目標(biāo)主機(jī)的IP地址）發(fā)送大量的響應(yīng)數(shù)據(jù)包，從而影響被攻擊主機(jī)的性能并導(dǎo)致被攻擊主機(jī)邊界的網(wǎng)絡(luò)阻塞。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,17,Smurf攻擊原理圖,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,18,Smurf攻擊,例如，采用300kbps流量的ICMP Echo (PING)包廣播到200臺主機(jī)，會產(chǎn)生200個ping回應(yīng)，從而產(chǎn)生60Mbps的流量。這些流量流向被攻擊的主機(jī)，會造成該主機(jī)的服務(wù)停止。 為了防御此類攻擊，應(yīng)采取以下措施： 關(guān)閉主機(jī)或路

7、由器廣播地址對ping請求的響應(yīng)功能。 對路由器進(jìn)行配置，使其不直接將數(shù)據(jù)包轉(zhuǎn)發(fā)給廣播地址。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,19,分布式拒絕服務(wù)攻擊,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,20,9.2.3 惡意代碼,惡意代碼（Malicious Code）又稱為惡意軟件（Malicious Software, Malware），是能夠在計(jì)算機(jī)系統(tǒng)上進(jìn)行非授權(quán)操作的代碼。 惡意代碼具有以下特征：惡意的目的、本身是程序，通過執(zhí)行發(fā)生作用。 惡意代碼的主要類型包括：病毒、蠕蟲、特洛伊木馬、邏輯炸彈、惡意網(wǎng)頁、流氓軟件和后門程序等。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,21,計(jì)算機(jī)病毒,中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保

8、護(hù)條例中對計(jì)算機(jī)病毒給出的定義是：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！?從該定義可以看出，計(jì)算機(jī)病毒具有兩大特征：破壞性和傳染性。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,22,計(jì)算機(jī)病毒,計(jì)算機(jī)病毒代碼的結(jié)構(gòu)包含三個部分：引導(dǎo)部分、傳染部分和表現(xiàn)部分。 引導(dǎo)部分負(fù)責(zé)將病毒主體加載到內(nèi)存，為實(shí)施傳染做準(zhǔn)備。 傳染部分負(fù)責(zé)將病毒代碼復(fù)制到新的傳染目標(biāo)上去。 表現(xiàn)部分是指在一定的觸發(fā)條件下進(jìn)行病毒發(fā)作。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,23,計(jì)算機(jī)病毒,計(jì)算機(jī)病毒的防治包括防毒、查毒和解毒。 病毒的檢測方法主要包括：

9、特征代碼法 校驗(yàn)和法 行為監(jiān)測法 軟件模擬法,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,24,蠕蟲代碼,蠕蟲代碼主要是通過網(wǎng)絡(luò)漏洞進(jìn)行傳播和擴(kuò)散。 蠕蟲代碼包括三個基本模塊：傳播模塊、隱藏模塊和操作模塊。 傳播模塊負(fù)責(zé)通過網(wǎng)絡(luò)進(jìn)行蠕蟲代碼的傳播； 隱藏模塊負(fù)責(zé)在入侵目標(biāo)主機(jī)后進(jìn)行蠕蟲程序的隱藏，以防止被發(fā)現(xiàn)； 操作模塊負(fù)責(zé)對計(jì)算機(jī)執(zhí)行控制、監(jiān)視或破壞操作。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,25,蠕蟲代碼,關(guān)鍵的傳播模塊又可分為三個子模塊：掃描、攻擊和復(fù)制。 掃描模塊負(fù)責(zé)在網(wǎng)絡(luò)上尋找存在漏洞的主機(jī)，將其作為下一步攻擊的對象。 攻擊模塊負(fù)責(zé)對存在漏洞的主機(jī)進(jìn)行攻擊，獲取該主機(jī)的高層權(quán)限（如管理員權(quán)限）。 復(fù)制模塊負(fù)

10、責(zé)將蠕蟲程序通過網(wǎng)絡(luò)復(fù)制到目標(biāo)主機(jī)，并在新的主機(jī)上啟動蠕蟲程序。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,26,蠕蟲程序與普通病毒的比較,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,27,特洛伊木馬,特洛伊木馬程序是一種惡意程序，它表面上執(zhí)行正常功能，實(shí)際上隱蔽地執(zhí)行惡意操作，實(shí)施對主機(jī)的非授權(quán)訪問。 完整的木馬程序包括兩個部分：服務(wù)器端程序和控制端程序。 “中了木馬”是指被安裝了木馬的服務(wù)器端程序，這時控制端可以通過與服務(wù)器端的連接，對服務(wù)器端的主機(jī)進(jìn)行各種控制，如上傳和下載文件，竊取賬號和密碼，修改注冊表信息，控制鼠標(biāo)、鍵盤，重啟計(jì)算機(jī)等。 木馬程序在傳播時，往往與正常文件綁定在一起，因此很難被發(fā)現(xiàn)。例如，某些軟件下

11、載網(wǎng)站的軟件中就有可能被綁定了木馬程序。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,28,木馬程序的特點(diǎn),隱蔽性 雖然它在系統(tǒng)啟動時就自動運(yùn)行，但是通常不會在任務(wù)管理器中出現(xiàn)，甚至不會在服務(wù)管理器中出現(xiàn)。 自動加載運(yùn)行 木馬程序?yàn)榱丝刂品?wù)器端，通常在系統(tǒng)啟動時開始運(yùn)行。 與目標(biāo)建立連接 控制端木馬程序通常利用TCP和UDP與目標(biāo)主機(jī)的指定端口建立連接。 許多木馬程序在主機(jī)上具有多重備份，可以相互恢復(fù)。當(dāng)一個木馬文件被刪除后，其他木馬文件會進(jìn)行恢復(fù)和運(yùn)行。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,29,邏輯炸彈,邏輯炸彈是一種特殊的程序，在滿足某種邏輯條件時，它會被激活，并產(chǎn)生破壞。 邏輯炸彈程序沒有傳播功能，它只針對

12、特定的受害者。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,30,惡意網(wǎng)頁,惡意網(wǎng)頁是指網(wǎng)頁中含有惡意代碼，能夠?qū)υL問者的電腦進(jìn)行非法設(shè)置或攻擊。惡意網(wǎng)頁的幾種典型破壞包括： 修改IE的起始頁。 修改IE工具欄，如工具按鈕、地址欄等。 修改或禁止IE的右鍵功能。 下載木馬程序。 禁止對注冊表進(jìn)行修改。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,31,流氓軟件,流氓軟件是一類特殊的軟件，一方面，它具有正常的功能（如下載、多媒體播放等），另一方面，它包含一些惡意行為（如彈出廣告、在系統(tǒng)中開后門等），會對用戶帶來某種程度的危害。其特點(diǎn)包括： 強(qiáng)制安裝。 難以卸載。 彈出廣告。 瀏覽器劫持。 惡意收集用戶信息。 惡意卸載。 惡意捆

13、綁。 故意妨礙其他同類軟件使用的行為。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,32,9.3 防火墻技術(shù),防火墻的基本概念 包過濾防火墻 代理服務(wù)器防火墻,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,33,防火墻的基本概念,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,34,防火墻的優(yōu)點(diǎn)和局限性,防火墻的優(yōu)點(diǎn) 防火墻作為內(nèi)部網(wǎng)絡(luò)的訪問控制點(diǎn)，可以禁止未經(jīng)授權(quán)的用戶（攻擊者、破壞者、網(wǎng)絡(luò)間諜等）通過外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)，也禁止某些易受攻擊的服務(wù)進(jìn)入或離開受保護(hù)的內(nèi)網(wǎng)。 防火墻可以為內(nèi)部網(wǎng)絡(luò)的主機(jī)提供集中的安全保護(hù)。 防火墻可以記錄和統(tǒng)計(jì)網(wǎng)絡(luò)的使用情況。 防火墻的局限性 防火墻不能防范來自內(nèi)部網(wǎng)絡(luò)的攻擊。 不能防范繞過防火墻的攻擊。 不能防范

14、計(jì)算機(jī)病毒。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,35,9.3.2 包過濾防火墻,包過濾防火墻通常由路由器來實(shí)現(xiàn)，也被稱為包過濾路由器或屏蔽路由器。 包過濾防火墻對進(jìn)出網(wǎng)絡(luò)的IP包進(jìn)行監(jiān)視和過濾，對不安全的包進(jìn)行屏蔽。 包過濾規(guī)則的設(shè)計(jì)是該類防火墻的關(guān)鍵所在嚴(yán)密的包過濾規(guī)則能夠加強(qiáng)防火墻的安全性。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,36,包過濾防火墻示意圖,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,37,包過濾路由器,包過濾路由器對進(jìn)出的IP包進(jìn)行審查，將其與預(yù)先設(shè)計(jì)好的各種包過濾規(guī)則相匹配，從而決定是否丟棄或拒絕某些IP包。 包過濾路由器在審查IP包時，主要是對IP包的包頭信息進(jìn)行分析，而不考慮包所攜帶的數(shù)據(jù)內(nèi)容。 包

15、頭信息主要包括：源IP地址、目的IP地址、封裝的協(xié)議（TCP、UDP、ICMP）、TCP/UDP源端口、TCP/UDP目的端口等。另外，在進(jìn)行包過濾時，還要利用路由器的IP包輸入接口和IP包輸出接口等信息。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,38,某些常用網(wǎng)絡(luò)服務(wù)使用的端口,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,39,包過濾防火墻對數(shù)據(jù)包的處理過程,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,40,包過濾防火墻過濾規(guī)則的設(shè)定,下面是一個包過濾防火墻訪問控制規(guī)則的例子： 允許網(wǎng)絡(luò)訪問主機(jī)的http服務(wù)（80端口）； 允許IP地址為和202.206.2

16、15.8的主機(jī)通過Telnet（23端口）連接到主機(jī)上； 允許任意IP地址的主機(jī)訪問主機(jī)提供的DNS服務(wù)（53端口）； 不允許其他數(shù)據(jù)包的進(jìn)入。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,41,9.3.3 代理服務(wù)器防火墻,代理服務(wù)器防火墻是一種特定的服務(wù)器程序，它是基于軟件的，與基于路由器的包過濾防火墻有較大的不同。 代理服務(wù)器防火墻位于外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，它接收客戶端的請求，然后根據(jù)已制定好的安全控制規(guī)則決定是否將其轉(zhuǎn)發(fā)給真正的服務(wù)器。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,42,代理服務(wù)器的主要功能,接收和解釋客戶端發(fā)來的請求。 作為新的客戶端創(chuàng)建與服務(wù)器

17、的連接。 接收服務(wù)器發(fā)來的響應(yīng)。 解釋服務(wù)器發(fā)來的響應(yīng)并將其轉(zhuǎn)發(fā)給客戶端。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,43,代理服務(wù)器的工作原理,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,44,代理服務(wù)器防火墻的優(yōu)缺點(diǎn),代理服務(wù)器的主要優(yōu)點(diǎn)包括： 與包過濾路由器相比，配置容易。 能夠生成各種日志記錄 ，對流量分析、安全檢查及計(jì)費(fèi)提供幫助。 能夠提供更好的訪問控制 。 能夠?qū)?shù)據(jù)內(nèi)容進(jìn)行過濾。 代理服務(wù)器的主要缺點(diǎn)包括： 速度較慢。 代理服務(wù)對用戶不透明。 對于每種應(yīng)用層協(xié)議要使用不同的代理服務(wù)。 代理服務(wù)不能提高低層協(xié)議的安全性 。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,45,9.4 加密、認(rèn)證和訪問控制技術(shù),加密技術(shù) 公開密鑰基

18、礎(chǔ)設(shè)施 身份認(rèn)證技術(shù) 訪問控制技術(shù),第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,46,9.4.1 加密技術(shù),第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,整個加密/解密過程可表示為：D(E(P)=P。,47,使用一個密鑰的加/解密過程,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,可表示為：DK(EK(P)=P,48,使用兩個密鑰的加/解密過程,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,可表示為：DK2(EK1(P)=P,49,對稱密鑰加密算法,對稱密鑰加密算法的加密密鑰能夠通過解密密鑰推算出來，反之亦然。 大部分對稱密鑰加密算法的加密密鑰和解密密鑰是相同的，這些算法也被稱為單密鑰算法。 在密碼體系中，加密算法和解密算法通常是公開的。 對于對稱密鑰加密算法來

19、說，通信的發(fā)送方和接收方在安全通信之前要協(xié)商一個共享的密鑰，該密鑰必須通過一個安全的渠道被通信雙方所知悉。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,50,對稱密鑰加密算法,DES（Data Encryption Standard，數(shù)據(jù)加密標(biāo)準(zhǔn)） DES是典型的對稱密鑰算法，它是由IBM公司在20世紀(jì)70年代研究出來的。 DES算法使用56位的密鑰，將64位的明文塊轉(zhuǎn)換成64位的密文塊。 其密鑰空間有256種組合。 三重DES(Triple DES) 三重DES的密鑰長度是112位。 加密過程分三個主要步驟：首先將明文塊用密鑰的前56位進(jìn)行加密，然后將結(jié)果用密鑰的后56位進(jìn)行加密，最后再用密鑰的前56位進(jìn)行

20、加密。 其密鑰空間有2112種組合，很難破解。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,51,非對稱密鑰加密算法,非對稱密鑰加密算法又稱為公開密鑰算法。它采用不同的加密密鑰和解密密鑰，而且解密密鑰不能通過加密密鑰計(jì)算出來。 這樣就可以將加密密鑰公開，每個人都可以使用加密密鑰進(jìn)行信息加密，而只有擁有解密密鑰的人才能對加密的信息進(jìn)行解密。 在公開密鑰加密系統(tǒng)中，這個公開的加密密鑰被稱為公開密鑰（簡稱公鑰）；而解密密鑰被稱為秘密密鑰（又被稱為私有密鑰，簡稱私鑰）。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,52,使用非對稱密鑰的加/解密過程,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,53,非對稱密鑰加密算法,公開密鑰加密技術(shù)較好地解決了密

21、鑰的交換問題。自1976年公開密鑰的思想被提出以來，國際上已出現(xiàn)了多種公開密鑰加密算法。比較流行的有基于大整數(shù)因子分解問題的RSA算法、基于橢圓曲線上的離散對數(shù)問題的Differ-Hellman算法等。 RSA算法與DES算法相比，其主要缺點(diǎn)是：產(chǎn)生密鑰的過程復(fù)雜；由于需要進(jìn)行大數(shù)運(yùn)算，計(jì)算速度很慢。因此，RSA算法主要用于少量數(shù)據(jù)的加密，如對DES密鑰的加密，從而解決DES密鑰的分發(fā)問題。而DES算法的運(yùn)算速度很快，適合進(jìn)行大量數(shù)據(jù)的加密。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,54,9.4.2 公開密鑰基礎(chǔ)設(shè)施,一個利用對稱密鑰和非對稱密鑰進(jìn)行數(shù)據(jù)加密通信的例子: Alice和Bob要通過網(wǎng)絡(luò)進(jìn)行秘

22、密通信。 Alice Bob：我是Alice,這是我的公鑰Ka。你選擇一個會話密鑰K（對稱密鑰），然后將K用Ka加密后發(fā)送給我。 Bob Alice:將數(shù)據(jù)通信用的會話密鑰K用Alice的公鑰Ka加密后發(fā)送給Alice。 Alice：使用自己的私鑰Pa解密Ka（K），得到會話密鑰K。 Alice Bob:使用會話密鑰K加密并傳輸信息。 Bob Alice: 使用會話密鑰K加密并傳輸信息。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,55,中間人攻擊,Mallory首先截獲Alice的公鑰Ka，并將自己的公鑰Km發(fā)送給Bob。 Bob收到公鑰Km后，會把它當(dāng)作Alice的公鑰Ka，他用Km加密準(zhǔn)備用于加密信息的

23、會話密鑰K，并將其（Km（K）傳送給Alice。 當(dāng)Mallory進(jìn)一步截獲到它以后，就會用自己的私鑰進(jìn)行解密，從而得到會話密鑰K，然后再用Alice的公開密鑰重新加密會話密鑰K,并將其傳送給Alice。 這樣Mallory就得悉了Alice和Bob用于加密信息的會話密鑰K，從而可以對Alice和Bob之間的加密通信進(jìn)行竊聽并解密。這種攻擊方式稱為中間人攻擊。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,56,公開密鑰基礎(chǔ)設(shè)施,這種攻擊之所以成功的原因在于：Bob無法判斷接收到的公鑰是否就是Alice本人的，即其無法判斷公鑰所有人的真實(shí)身份。這個問題會影響信息傳輸?shù)谋Ｃ苄?、不可否認(rèn)性和信息交換的完整性。 為了

24、解決這些安全問題，可以利用公開密鑰基礎(chǔ)設(shè)施（Public Key Infrastructure, PKI）中的技術(shù)。 根據(jù)X.509標(biāo)準(zhǔn)給出的定義，PKI是軟件、硬件、人員、策略和規(guī)程的集合，它通過管理密鑰和數(shù)字證書為基于公鑰的安全服務(wù)提供支持。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,57,數(shù)字證書,數(shù)字證書用于管理用戶的公鑰：它將用戶公鑰與用戶的其他特征信息（如名稱、E-mail等）綁定在一起，并通過可信任的第三方機(jī)構(gòu)認(rèn)證機(jī)構(gòu)（Certification Authority，CA）進(jìn)行電子簽名，從而證明公鑰和用戶身份的一致性。 數(shù)字證書的主要類型包括：客戶證書（個人證書）、站點(diǎn)證書（服務(wù)器證書）和軟件

25、開發(fā)者證書。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,58,一個數(shù)字證書的例子,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,59,證書認(rèn)證機(jī)構(gòu)（CA）,證書認(rèn)證機(jī)構(gòu)（CA）的基本功能是簽發(fā)和管理數(shù)字證書。它能夠接收用戶注冊請求，處理、批準(zhǔn)或拒絕請求，頒發(fā)證書。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,60,身份認(rèn)證技術(shù),用戶名/密碼方式 智能卡方式 動態(tài)口令方式 生物特征認(rèn)證方式,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,61,9.4.4 訪問控制技術(shù),訪問控制（Access Control）是在身份認(rèn)證的基礎(chǔ)上，根據(jù)用戶的身份決定其能夠訪問哪些資源以及對這些資源能夠進(jìn)行哪些操作。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,62,基于角色的訪問控制,基于角色的

26、訪問控制（RBAC）中的要素主要包括用戶、角色和許可。 用戶是指能夠獨(dú)立訪問計(jì)算機(jī)系統(tǒng)中數(shù)據(jù)或其他資源的主體。 角色是指根據(jù)用戶在組織或某一任務(wù)中的位置，定義他所擁有的權(quán)利和責(zé)任。 許可是指允許對資源進(jìn)行的操作。 一個角色可以包含多個用戶，一個用戶也可以具有多個角色；每個角色可具有多種操作許可，每種許可也可授權(quán)給多個角色。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,63,9.5 網(wǎng)絡(luò)管理,網(wǎng)絡(luò)管理就是利用各種工具、應(yīng)用程序和設(shè)備，幫助網(wǎng)絡(luò)管理員對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行監(jiān)視和維護(hù)。 通過收集網(wǎng)絡(luò)中各種設(shè)備的工作狀態(tài)、性能參數(shù)，可以幫助網(wǎng)絡(luò)管理員正確地分析網(wǎng)絡(luò)工作狀況，從而對各網(wǎng)絡(luò)設(shè)備進(jìn)行有效地控制，實(shí)現(xiàn)網(wǎng)絡(luò)的高效、正

27、常運(yùn)行。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,64,9.5.1 網(wǎng)絡(luò)管理體系結(jié)構(gòu),主要由管理實(shí)體、被管理的設(shè)備和負(fù)責(zé)實(shí)現(xiàn)兩者之間通信的網(wǎng)絡(luò)管理協(xié)議構(gòu)成。 典型的網(wǎng)絡(luò)管理協(xié)議包括：簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol，SNMP）和公共管理信息協(xié)議（Common Management Information Protocol，CMIP）。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,65,網(wǎng)絡(luò)管理體系結(jié)構(gòu),第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,66,9.5.2 ISO網(wǎng)絡(luò)管理模型,國際標(biāo)準(zhǔn)化組織（ISO）提出了網(wǎng)絡(luò)管理模型，很好地闡述了網(wǎng)絡(luò)管理的主要功能。 性能管理（Perform

28、ance Management） 配置管理（Configuration Management） 記賬管理（Accounting Management） 故障管理（Fault Management） 安全管理（Security Management）。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,67,性能管理,性能管理的目標(biāo)是通過測量和改進(jìn)網(wǎng)絡(luò)性能的各個方面，使得網(wǎng)絡(luò)性能能夠滿足要求。 反映網(wǎng)絡(luò)性能的參數(shù)包括：網(wǎng)絡(luò)吞吐量、用戶響應(yīng)時間、傳輸延遲、線路利用率、平均無故障時間等。 性能管理包括三個主要步驟： 首先，收集反映網(wǎng)絡(luò)性能的數(shù)據(jù)； 然后，對這些性能數(shù)據(jù)進(jìn)行分析，確定正常的網(wǎng)絡(luò)性能指標(biāo)； 最后，對每一項(xiàng)重要

29、的性能參數(shù)設(shè)定報(bào)警門限，當(dāng)網(wǎng)絡(luò)性能變量值超出預(yù)設(shè)門限時，表明網(wǎng)絡(luò)性能出現(xiàn)了問題。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,68,配置管理,配置管理的目的是監(jiān)視網(wǎng)絡(luò)與系統(tǒng)的配置信息，跟蹤和管理各種版本的軟硬件要素對網(wǎng)絡(luò)運(yùn)行的影響。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,69,配置管理,每個網(wǎng)絡(luò)設(shè)備都有相關(guān)聯(lián)的種種軟硬件版本信息。例如，一個工作站被配置了以下版本的軟硬件： 操作系統(tǒng)，V3.5。 以太網(wǎng)接口，V5.6。 TCP/IP軟件，V2.0。 NFS 軟件，V5.0。 串行通信控制器，V1.1。 X.25軟件，V1.1。 SNMP 軟件，V3.0。 配置管理子系統(tǒng)將配置信息保存在數(shù)據(jù)庫中，可以在需要的時候進(jìn)行方便地

30、查詢。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,70,記賬管理,記賬管理用于統(tǒng)計(jì)用戶對網(wǎng)絡(luò)的使用情況。 對于網(wǎng)絡(luò)通信服務(wù)公司和ISP來說，記賬管理能夠幫助他們實(shí)現(xiàn)對用戶的合理收費(fèi)以及掌握網(wǎng)絡(luò)的利用率情況。 對于單位內(nèi)部網(wǎng)來說，通過統(tǒng)計(jì)用戶的網(wǎng)絡(luò)使用時間、網(wǎng)絡(luò)資源利用率等參數(shù)，可以適當(dāng)?shù)乜刂坪驼{(diào)節(jié)用戶對網(wǎng)絡(luò)資源的訪問，從而提高網(wǎng)絡(luò)資源的利用率，滿足更多用戶的需求。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,71,記賬管理,記賬管理包括以下幾個步驟： 對所有重要網(wǎng)絡(luò)資源的使用情況進(jìn)行測量； 通過對這些測量結(jié)果進(jìn)行分析，得到當(dāng)前的網(wǎng)絡(luò)使用模式； 進(jìn)行有效的使用限額分配； 為了對網(wǎng)絡(luò)使用方式進(jìn)行優(yōu)化，需要不斷地進(jìn)行資源使用情況

31、的測量，及時做出調(diào)整。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,72,故障管理,故障管理的目的包括檢測、記錄和通知用戶故障的發(fā)生，以及在必要時自動修復(fù)網(wǎng)絡(luò)故障。 網(wǎng)絡(luò)故障能夠引起網(wǎng)絡(luò)癱瘓或使網(wǎng)絡(luò)性能下降，因此，為了保證網(wǎng)絡(luò)的有效運(yùn)行，必須加強(qiáng)網(wǎng)絡(luò)故障管理。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,73,故障管理,故障管理的具體內(nèi)容包括： 通過診斷測試，發(fā)現(xiàn)網(wǎng)絡(luò)故障并對故障進(jìn)行隔離； 對故障進(jìn)行修復(fù)或通過啟動備用設(shè)備以恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行； 記錄故障的檢測和解決過程。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,74,安全管理,安全管理的目的是根據(jù)本地策略控制對網(wǎng)絡(luò)資源的訪問，防止用戶對網(wǎng)絡(luò)資源進(jìn)行有意或無意的破壞，禁止未授權(quán)用戶對敏感

32、信息的訪問。 例如，一個安全管理子系統(tǒng)能夠監(jiān)視用戶的登錄情況并拒絕登錄口令錯誤的用戶進(jìn)入系統(tǒng)。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,75,安全管理,安全管理子系統(tǒng)可以將網(wǎng)絡(luò)資源分成兩大類：受控資源和非受控資源。 對于企業(yè)外部用戶來說，其對內(nèi)網(wǎng)中任何資源的訪問往往都是不允許的； 對于大部分企業(yè)內(nèi)部用戶來說，其對某些特定資源的訪問，往往也是不允許的。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,76,安全管理,安全管理子系統(tǒng)需要完成以下任務(wù)： 確定敏感的網(wǎng)絡(luò)資源（包括系統(tǒng)硬件、軟件和數(shù)據(jù)）； 確定用戶對敏感網(wǎng)絡(luò)資源的訪問權(quán)限； 在敏感網(wǎng)絡(luò)資源的訪問點(diǎn)上進(jìn)行監(jiān)視并記錄對敏感網(wǎng)絡(luò)資源的非法訪問。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,

33、77,9.5.3 簡單網(wǎng)絡(luò)管理協(xié)議,簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol，SNMP）屬于應(yīng)用層協(xié)議，它用于在網(wǎng)絡(luò)設(shè)備之間交換管理信息。 SNMP能夠幫助網(wǎng)絡(luò)管理員管理和維護(hù)網(wǎng)絡(luò)，提高網(wǎng)絡(luò)的可靠性和可用性。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,78,SNMP管理模型的組成,通過SNMP管理的網(wǎng)絡(luò)主要包括三個部分：網(wǎng)絡(luò)管理系統(tǒng)（Network Management System，NMS）、被管理的設(shè)備、代理（Agent）。 網(wǎng)絡(luò)管理系統(tǒng)負(fù)責(zé)監(jiān)視和控制被管理的設(shè)備，在被管理的網(wǎng)絡(luò)上至少存在一個NMS。 被管理的設(shè)備（某個網(wǎng)絡(luò)結(jié)點(diǎn)）通過SNMP代理收集和存儲設(shè)

34、備的管理信息并通過SNMP將信息發(fā)給NMS。被管理設(shè)備的具體類型包括路由器、交換機(jī)、網(wǎng)橋、集線器、訪問服務(wù)器、打印機(jī)等。 代理是駐留在被管理設(shè)備上的軟件模塊。代理負(fù)責(zé)收集設(shè)備管理信息并發(fā)送給NMS。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,79,SNMP的消息類型,NMS和代理之間通過消息進(jìn)行通信，有5種類型的消息：GetRequest、GetNextRequest、SetRequest 、GetResponse和Trap。 GetRequest消息：通過SNMP代理獲取被管理設(shè)備的參數(shù)。 GetNextRequest消息：用于從代理中獲取緊跟當(dāng)前參數(shù)值的下一個參數(shù)值。 SetRequest消息：對網(wǎng)絡(luò)設(shè)

35、備進(jìn)行配置，包括設(shè)備名、設(shè)備屬性等參數(shù)。 GetResponse消息：對請求消息進(jìn)行響應(yīng)，如提供差錯狀態(tài)、參數(shù)值列表等。 Trap消息：由代理向NMS主動發(fā)出的消息，用于報(bào)告某些事件的發(fā)生。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,80,9.6 應(yīng)用案例瑞星軟件防火墻,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,81,防火墻軟件的日志文件,事件的類型主要分為以下10類： 防火墻系統(tǒng)事件：記錄防火墻的啟動和關(guān)閉、網(wǎng)絡(luò)的連接和斷開等事件。 攻擊事件：記錄防火墻受到的攻擊事件。 IP事件：記錄防火墻規(guī)則要求軟件記錄的IP信息。 TCP事件：記錄防火墻規(guī)則要求軟件記錄的TCP信息。 UDP事件：記錄防火墻規(guī)則要求軟件記錄的UDP

36、信息。 用戶編輯IP規(guī)則事件：記錄用戶對IP規(guī)則進(jìn)行編輯的事件。 用戶編輯訪問規(guī)則事件：記錄用戶對訪問規(guī)則進(jìn)行編輯的事件。 用戶配置防火墻事件：記錄用戶對防火墻配置的事件。 木馬掃描事件：記錄對內(nèi)存中木馬進(jìn)行掃描的事件。 ARP欺騙事件：記錄防火墻軟件阻止ARP欺騙的事件。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,82,規(guī)則設(shè)置,黑名單設(shè)置 白名單設(shè)置 端口開關(guān)設(shè)置 可信區(qū)設(shè)置 IP規(guī)則設(shè)置,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,83,黑名單設(shè)置,黑名單指的是禁止與本機(jī)進(jìn)行通信的設(shè)備列表。例如，曾對本機(jī)發(fā)起攻擊的計(jì)算機(jī)可以被列入黑名單。 對黑名單中的記錄可以進(jìn)行增加、刪除、導(dǎo)入、導(dǎo)出操作。增加黑名單記錄時，可對某一特定IP地址的設(shè)備進(jìn)行限制，也可對某個地址范圍內(nèi)的設(shè)備進(jìn)行限制。,第9章 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,84,白名單設(shè)置,白名單為本機(jī)完全信任的設(shè)備列表。例如，VPN服務(wù)器就可被加入白名單。對白名單的操作與對黑