1 / 272

指导教师 : 杨建国

计算机网络. 指导教师 : 杨建国. 二零一零年三月. 第十一章 网络完全 (需更新). 第一节 网 络 完 全 概 述. 第二节 数 据 加 密 技 术. 第三节 防 火 墙 技 术. 第十一章 网络完全. 11.1 网络安全概述. 一 . 网络完全问题 定义 : 计算机系统的硬件、软件、数据受到保护 , 不因偶然  的或恶意的原因而遭到破坏、更改、显露 , 系统能连续正常  运行 分类 : 实体的安全性、运行环境的安全性、信息的安全性. 1. 网络安全面临的主要威胁 : 黑客、病毒、拒绝服务攻击 身份窃取 : 非授权访问 :

mili
Download Presentation

指导教师 : 杨建国

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 计算机网络 指导教师:杨建国 二零一零年三月

  2. 第十一章 网络完全(需更新) • 第一节 网 络 完 全 概 述 • 第二节 数 据 加 密 技 术 • 第三节 防 火 墙 技 术

  3. 第十一章 网络完全 • 11.1 网络安全概述 一. 网络完全问题 • 定义:计算机系统的硬件、软件、数据受到保护,不因偶然  的或恶意的原因而遭到破坏、更改、显露,系统能连续正常  运行 • 分类:实体的安全性、运行环境的安全性、信息的安全性

  4. 1.网络安全面临的主要威胁:黑客、病毒、拒绝服务攻击1.网络安全面临的主要威胁:黑客、病毒、拒绝服务攻击 • 身份窃取: • 非授权访问: • 冒充合法用户: • 数据窃取: • 破坏数据的完整性: • 拒绝服务: • 否认: • 数据流分析: • 干扰系统正常运行: • 病毒与恶意攻击:

  5. 2.导致网络不安全的因素:网络本身存在安全缺陷、人为因素、2.导致网络不安全的因素:网络本身存在安全缺陷、人为因素、  自然因素 • 环境: • 资源共享: • 数据通信: • 计算机病毒: • TCP/IP协议的安全缺陷:

  6. 3.安全技术措施: • 认证用户使用名与他们的真实身份一致 • 在网络上不透明发送用户名和密码来进行用户认证 • 确信这些服务在Internet和Intranet上均有效 • 在实时和存储转发应用情况下保护通信秘密 • 确保信息在发送和接收间避免干扰 • 保护秘密文件,使得只有授权的用户可以访问

  7. 二.网络完全措施 1.安全策略: • 需求、风险、代价平衡分析的原则: • 综合性、整体性原则: • 一致性原则: • 易操作性原则: • 适应性、灵活性原则: • 可评价性原则:

  8. 2.网络安全保障体系: • 加强计算机安全立法 • 制定合理的网络管理措施 • 采用安全保密技术,保证系统安全

  9. 3.局域网的安全技术: • 实行实体访问控制 • 保护网络介质 • 数据访问控制 • 数据存储保护 • 计算机病毒防护

  10. 4.广域网络的安全技术: • 数据通信加密 • 通信链路安全保护 • 采用局域网络安全的各项措施

  11. 11.2 数据加密技术 • 数据传输加密技术:线路加密、端---端加密 • 数据存储加密技术:密文存储、存取控制 • 数据完整性鉴别技术:口令、密钥、身份、数据 • 密钥管理技术:密钥的产生、分配保存、更换与销毁

  12. 不可 解读 的密 码( 密文) 变换加密过程 解密过程 原文 明 文 一. 密码学概述 • 加密:通过对信息的重新组合,只有收发双方才能解码还原  信息

  13. 密文、加过密的密钥 明文 明文 • 解密:把密文还原成明文的过程 • 认证:识别个人、网络上的机器或机构 • 数字签名:将发送文件与特定的密钥捆在一起 • 签名识别:数字签名的反过程,它证明签名有效

  14. 明文消息 使用密钥A加密 加密消息 使用密钥A解密 明文消息 1.对称密钥密码体制: • DES加密算法:

  15. 不足: • 密钥使用一段时间后就要更换 • 密钥量太大,难以进行管理 • 无法满足不相识的人进行私人谈话时的保密性要求 • 难以解决数字签名验证的问题 • 优点:算法简单、密钥简短、破译困难

  16. 2.公开密钥密码体制: • RSA算法: • 优点: • 密钥分配简单 • 密钥的保存量少 • 可以满足互不相识的人进行私人谈话时的保密性要求 • 可以完成数字签名和数字鉴别 3.公开密钥认证:认证是指用户必须提供 他是谁的证明

  17. 二.安全套接字层 • SSL:为TCP/IP连接提供数据加密、服务器身份验证和消息  完整性 1.启动Web服务器上的SSL安全服务: • 生成密钥对文件和请求文件 • 从身份验证权限中请求一个证书 • 在服务器上安装证书 • 激活WWW服务文件夹上的SSL安全服务

  18. 2.SSL提供的三种基本的安全服务: • 信息私密: • 信息完整性: • 相互认证:

  19. 购物清单、用网站公钥加密、数字签名 网站 用户 签名认证、再用网站私钥对其解密 • SSL协议(“端对端方式”):适用于“货到付款”方式

  20. 清单、加密、用银行公钥对账号密码加密、签名清单、加密、用银行公钥对账号密码加密、签名 网站 用户 加密(网站帐号、用户付款)、用户账号密文、签名 签名认证、再用网站私钥对其解密 银行 签名认证、银行私钥解密 • SET协议(“三端方式”):适用于“银行转账”方式

  21. 内部网 Internet 防火墙 • 11.3 防火墙技术 一. 防火墙的概念 • 概念:它是一种由计算机硬件和软件组成的,一个或一组 系统,用于增强内部网络和Internet之间的访问控制

  22. 防火墙的优点: • 保护那些易受攻击的服务 • 控制对特殊站点的访问 • 集中化的安全管理 • 对网络存取访问进行记录和统计

  23. 防火墙的不足: • 不能防范不经由防火墙的攻击.如果内部网用户与Internet服  务提供商建立直接的SLIP或PPP连接,则绕过防火墙系统所  提供的全保护 • 不能防范人为因素的攻击 • 不能防止受病毒感染的软件或文件的传输 • 不能防止数据驱动式的攻击,当有些表面看来无害的数据邮  寄或拷贝到内部网的主机上并执行时,可能会发生数据驱动  式的攻击

  24. 二. 防火墙的体系结构 • 一切未被允许的都是禁止的 • 一切未被禁止的都是允许的

  25. 三. 防火墙十招 1.双端口或三端口的结构: 2.透明的访问方式: 3.灵活的代理系统: 4.多级的过滤技术: 5.网络地址转换技术: 6.Internet网关技术: 7.安全服务器网络(SSN): 8.用户鉴别与加密: 9.用户定制服务: 10.审计和告警:

  26. 四.防火墙的类型 1.数据包过滤器: • 通常包括对源和目的IP地址及端口的检查 • 许多过滤器允许管理员分别定义基于路由器上的数据包出去  界面和进来界面的规则 • 过滤规则通常以表格的形式表示,有的还有“询问” • 要建立正确的、完善的过滤规则集是很困难的:  如表11.1-11.3

  27. 优点:简单( 允许内部和外部系统之间直接交换数据包) • 缺点:不能区分用户、无法保留攻击者的踪迹、难以发现  已发生的网络攻击

  28. 2.应用层网关(或代理服务器): • 堡垒主机(Bastion Host):  一个应用层网关 • 它是一个专门的系统,有特殊的装备,并能抵御攻击 • 特点:它的硬件执行一个安全版本的操作系统 • 负责提供代理服务

  29. 外部客 户 机 客户代理连接 应用层 网 关 代理服务器连接 内部服 务 器 • 代理服务(Proxy Service):服务器端程序、客户端程序

  30. 代理服务器:运行代理服务程序的机器 • 每个代理都是一个独立的、简短的程序 • 提供日志 (log) 及审计 (audit) 服务 • 优点:安全性方面比数据包过滤器强 • 缺点:在性能与透明性方面较差

  31. 双宿主机网关(Dual Homed Gateway):   它是在堡垒主机中装两块网卡,并运行代理服务器软 件,受保护网与INTERNET之间通信必须经过堡垒主机

  32. 数据包过 滤路由器 堡 垒 主 机 Internet • 屏蔽 主机网关(Screened Host Gateway):  路由器、堡垒主机

  33. 优点: • 安全性高(数据包过滤、代理服务) • 提供公开的信息服务器 • 缺点: • 路由器允许通过的服务增多时,验证防火墙的正确性变难

  34. 堡垒主机 外部路 由 器 Internet 内部路由器 被保护网 屏蔽子网 • 屏蔽子网网关(Screened Subnet Gateway):  两个路由器、一个堡垒主机

  35. 优点: • 安全性高(入侵者须突破3个设备) • 内部网络是“不可见”的 • 内部网络上的用户访问 Internet 须通过堡垒主机的代理  服务 • 缺点: • 成本高 • 管理复杂

  36. 外 部 主 机 外部连接 电路层 网 关 内部连接 内 部 主 机 3.电路层网关:

  37. 它依赖于 TCP 连接,不进行任何附加的包处理或过滤 • 它能在 OSI 协议栈上的不同层次工作,对于远程计算机  来说 ,所有从链路层网关穿出来的链接好像都是由防火  墙产生的,这样可以隐藏受保护网络的信息 • 优点:堡垒主机可以被设置成混合网关(对于接入连接支  持应用层或代理服务功能、对于外连接支持电路层功能)

  38. 国家计算机网络应急技术处理协调中心 云晓春 网络安全若干技术难点初探

  39. 务虚:网络安全 • 网络安全的国家需求 • 网络安全形势分析 • 网络安全若干技术难点

  40. 务虚:网络安全

  41. 核心目标 • 确保系统不被非授权用户恶意使用 • 确保系统时刻能为授权用户提供基本服务 • 问题根源 • 设计的不完备性--现有的互联网设计缺乏完整 • 的安全体系结构,大量安全事件的难以追踪 • 实现的不确定性--软件正确性难以证明,网络 • 应用存在安全漏洞不可避免 • 应用的不可控性--系统配置复杂,难以保证使 • 用者正确使用系统 网络安全内涵 信息系统 的安全 运行安全 网络安全 软件角度

  42. 网络安全的国家需求

  43. …establish the “Preside -nt’s Critical Infrastruct -ure Protection Board” …; …ensure protection of information systems for critical infrastructure … …建立总统的关键基础设施保护委员会…;…保护关键基础设施中的信息系统… 《Executive Order 13231—Critical Infrastructure Protection in the Information Age》(2001) 《信息时代的关键基础设施保护》 信息安全的国家需求-美国

  44. Prevent cyber attacks ag -ainst America’s critical infrastructures; … articul -ates five national priorit -ies including: A Nationa -l Cyberspace Security Response System … 防止关键基础设施遭受网络攻击;…明确5项国家优先计划包括:(建立)国家网络空间安全响应系统… Prevent cyber attacks ag -ainst America’s critical infrastructures; … articul -ates five national priorit -ies including: A Nationa -l Cyberspace Security Response System … 防止关键基础设施遭受网络攻击;…明确5项国家优先计划包括:(建立)国家网络空间安全响应系统… …establish the “Preside -nt’s Critical Infrastruct -ure Protection Board” …; …ensure protection of information systems for critical infrastructure … …建立总统的关键基础设施保护委员会…;…保护关键基础设施中的信息系统… 《Executive Order 13231—Critical Infrastructure Protection in the Information Age》(2001) 《信息时代的关键基础设施保护》 《National Strategy to Secure Cyberspace 》(2003) 《保护网络空间的国家战略》 信息安全的国家需求-美国

  45. Prevent cyber attacks ag -ainst America’s critical infrastructures; … articul -ates five national priorit -ies including: A Nationa -l Cyberspace Security Response System … 防止关键基础设施遭受网络攻击;…明确5项国家优先计划包括:(建立)国家网络空间安全响应系统… creation and improvement of the system of ensuring information security of the Russian Federation; … prevention and suppression of violations of law in the information sphere … 建立和完善俄联邦信息安全保障系统;…防范和抑制信息领域的犯罪活动… creation and improvement of the system of ensuring information security of the Russian Federation; … prevention and suppression of violations of law in the information sphere … 建立和完善俄联邦信息安全保障系统;…防范和抑制信息领域的犯罪活动… 《National Strategy to Secure Cyberspace 》(2003) 《保护网络空间的国家战略》 《DOCTRINE OF INFORMATION SECURITY OF THE RUSSIAN FEDERATION》(2000) 《国家信息安全学说》 信息安全的国家需求-俄罗斯

  46. creation and improvement of the system of ensuring information security of the Russian Federation; … prevention and suppression of violations of law in the information sphere … 建立和完善俄联邦信息安全保障系统;…防范和抑制信息领域的犯罪活动… 中办发[2003]27号 • 实行信息安全等级保护 • 建设和完善信息安全监控体系 • 重视信息安全应急处理工作 《DOCTRINE OF INFORMATION SECURITY OF THE RUSSIAN FEDERATION》(2000) 《国家信息安全学说》 • 实行信息安全等级保护 • 建设和完善信息安全监控体系 • 安全应急处理工作 中共中央办公厅 国务院办公厅 《国家信息化领导小组关于信息安全保障工作的意见》 信息安全的国家需求-中国

  47. 信息安全的国家需求-中国 国发[2005]44号 中办发[2004]32号 建立信息安全技术保障体系,具备防范各种信息安全突发事件的技术能力。 《国家中长期科学和技术发展规划纲要》(2006━2020年) 中华人民共和国 国务院 中共中央办公厅 国务院办公厅 《关于进一步加强互联网管理工作的意见》 建立信息安全技术保障体系,具备防范各种信息安全突发事件的技术能力。 47

  48. 国发[2005]44号 中办发[2006]11号 建设和完善信息安全监控体系,提高对网络安全事件应对和防范能力,防止有害信息传播。 建设和完善信息安全监控体系,提高对网络安全事件应对和防范能力,防止有害信息传播。 中共中央办公厅 国务院办公厅 关于印发《2006—2020年国家信息化发展战略》的通知 《国家中长期科学和技术发展规划纲要》(2006━2020年) 中华人民共和国 国务院 建立信息安全技术保障体系,具备防范各种信息安全突发事件的技术能力。 信息安全的国家需求-中国

  49. 网络安全形势分析

  50. 性 机 网络 安全 可 完 用 整 性 性 从外显行为角度判断-网络安全 频繁发生的失窃密事件 严重危及国家安全

More Related