1、.1 计算机网络安全技术计算机网络安全技术第九章第九章.2网络安全网络安全第一节第一节 计算机网络安全的概念计算机网络安全的概念.3计算机网络的几个概念:计算机网络的几个概念: 多机系统多机系统 终端型网络终端型网络 计算机局域网络计算机局域网络 计算机广域网络计算机广域网络 国际互联网络(英特网)国际互联网络(英特网)Internet网络安全网络安全第一节第一节 计算机网络安全的概念计算机网络安全的概念.4开放的、分布式协同计算环境中,原有的安全措开放的、分布式协同计算环境中,原有的安全措施很难奏效(施很难奏效( 特别是以后的特别是以后的Computing GridComputing Gri
2、d环境,环境,问题更多)问题更多)结构松散,异地分散,无法有效管理结构松散,异地分散,无法有效管理用户透明,资源共享,面临多种攻击用户透明,资源共享,面临多种攻击网络系统规模日益庞大,必然导致系统安全性、网络系统规模日益庞大,必然导致系统安全性、可靠性降低可靠性降低设计缺陷,给安全带来影响无法消除,如操作设计缺陷,给安全带来影响无法消除,如操作系统的系统的管理员权限,管理员权限,TCP/IPTCP/IP协议等协议等软件的可靠性有限,存在缺陷和后门,给攻击软件的可靠性有限,存在缺陷和后门,给攻击者机会者机会网络安全的面临挑战网络安全的面临挑战.5系统复杂带来的安全问题系统复杂带来的安全问题 系统
3、和网络的复杂性系统和网络的复杂性InternetInternet跨越无数组织和国家,网络跨越无数组织和国家,网络互连设备和通信介质多种多样互连设备和通信介质多种多样连接在连接在InternetInternet上的计算机和操作系上的计算机和操作系统统种类繁多种类繁多很难从根本上解决全部安全问题很难从根本上解决全部安全问题.6系统设计带来的安全问题系统设计带来的安全问题 系统设计中的缺陷系统设计中的缺陷操作系统、网络协议和应用系统的设计中操作系统、网络协议和应用系统的设计中都或多或少的存在缺陷都或多或少的存在缺陷早期的系统设计中对安全问题考虑较少、早期的系统设计中对安全问题考虑较少、缺乏足够的安全
4、知识和经验、没有形成严缺乏足够的安全知识和经验、没有形成严密的安全体系,随着网络的不断庞大,很密的安全体系,随着网络的不断庞大,很难从根本上完全消除这些缺陷难从根本上完全消除这些缺陷 .7系统实现带来的安全问题系统实现带来的安全问题 系统实现中的缺陷系统实现中的缺陷 即使在系统设计中考虑周全,也可能出现即使在系统设计中考虑周全,也可能出现对设计的理解上不一致,使得实现的系统对设计的理解上不一致,使得实现的系统并不是设计时所想象的系统,在实现细节并不是设计时所想象的系统,在实现细节上考虑不周上考虑不周 系统实现中的缺陷还往往出现在程序的错系统实现中的缺陷还往往出现在程序的错误上,由于时间所限,加
5、之测试工具限制,误上,由于时间所限,加之测试工具限制,许多系统未经充分测试就投入运行许多系统未经充分测试就投入运行.8系统管理带来的安全问题系统管理带来的安全问题 即使在系统设计和系统实现过程中都较好地避即使在系统设计和系统实现过程中都较好地避免缺陷存在,但是系统管理员和安全员是否正免缺陷存在,但是系统管理员和安全员是否正确地安装、配置了系统?确地安装、配置了系统? 是否做好有效的安全隔离?是否做好有效的安全隔离? 是否清楚信任主机的安全状况?是否清楚信任主机的安全状况? 是否定期检查重要系统文件?是否定期检查重要系统文件? 其它其它 .9著名的例子:蠕虫病毒 InternetInternet
6、蠕虫蠕虫 Robert T. MorrisRobert T. Morris编写的一组编写的一组C C语言程序,它语言程序,它能通过网络传输和繁殖,导致计算机速度减能通过网络传输和繁殖,导致计算机速度减慢并停机慢并停机 19881988年年1010月月2525日,日,MorrisMorris使用使用GuessesGuesses程序在程序在CornellCornell和和StandfordStandford上搜索到上搜索到336336个口令个口令 19881988年年1010月月2929日,日, MorrisMorris已经发现已经发现435435个可个可以用来进入网络的口令以用来进入网络的口令.
7、10蠕虫扩散的经过蠕虫扩散的经过 1988年年11月月2日下午日下午5点,点,Worm进入进入Cornell大学大学的计算机中,几小时之内,就传播到的计算机中,几小时之内,就传播到Berkeley,Harvard,MIT,Princeton,Purdue,Standford等等大学以及大学以及NASA研究中心等几百个其它研究中心研究中心等几百个其它研究中心 1988年年11月月2日晚上日晚上10点,点,Lawrence Livermore国国家实验室家实验室800台计算机的网络感染台计算机的网络感染Worm。Morris试图通过试图通过Internet发出一个告警信息,但大学的计发出一个告警信
8、息,但大学的计算机系统已经瘫痪。算机系统已经瘫痪。 几小时之内,全国范围内的几小时之内,全国范围内的6000多台机器受到了多台机器受到了感染感染 .11蠕虫的技术攻击特点 漏洞:通过精心设计的邮件给漏洞:通过精心设计的邮件给sendmailsendmail系统,可系统,可以强制以强制sendmailsendmail以超级用户的权限执行命令;可以超级用户的权限执行命令;可以确定远程主机操作系统信息、以及可运行的程以确定远程主机操作系统信息、以及可运行的程序。序。 缓冲溢出:利用缓冲溢出:利用fingerfinger可以看到系统中的敏感信可以看到系统中的敏感信息;由于系统调用息;由于系统调用get
9、()get()时不检查参数的长度,时不检查参数的长度,用户控制下出现缓冲区溢出;如果熟悉操作系统,用户控制下出现缓冲区溢出;如果熟悉操作系统,可以在遇到缓冲区溢出时转而执行另一程序(如可以在遇到缓冲区溢出时转而执行另一程序(如ShellShell,成为,成为rootroot用户)用户) .12网络安全网络安全 一、网络计算引起的革命和问题一、网络计算引起的革命和问题 “网络就是计算机网络就是计算机”,“数字化地球数字化地球”,“系统就是网络、网络就是系统系统就是网络、网络就是系统” 1.世界网络化世界网络化 世界缩小,时空缩小,高科技社会中,世界缩小,时空缩小,高科技社会中,高科技技术的应用与
10、高技术犯罪并存高科技技术的应用与高技术犯罪并存. 第一节第一节 计算机网络安全的概念计算机网络安全的概念.13网络安全网络安全 2.系统开放性系统开放性 分散和分布式计算环境基于开放性技术,分散和分布式计算环境基于开放性技术,但开放不是公开开放性与安全性的矛盾和对但开放不是公开开放性与安全性的矛盾和对抗,系统开放与系统保密成为矛盾中的统一。抗,系统开放与系统保密成为矛盾中的统一。 3.信息共享、资源共享信息共享、资源共享 共享的概念,不是所有信息都共享共享的概念,不是所有信息都共享 信息是有价值的,有价信息的拥有权信息是有价值的,有价信息的拥有权 敏感信息、私有信息与垃圾信息敏感信息、私有信息
11、与垃圾信息第一节第一节 计算机网络安全的概念计算机网络安全的概念.14网络系统设计的原则:网络系统设计的原则: 用户用户 应用应用 软件软件 硬件硬件 需求需求 方案方案 平台平台 平台平台 * 实用性实用性 * 可靠性可靠性 * 先进性先进性 * 高安全性高安全性 * 开放性开放性 * 经济性经济性 * 可扩充性可扩充性 * 易维护性易维护性网络安全网络安全第一节第一节 计算机网络安全的概念计算机网络安全的概念.15网络安全网络安全 全球通讯均遭英美操纵的监察系统截查全球通讯均遭英美操纵的监察系统截查英美合作截查全球通讯,截听长话,利用声英美合作截查全球通讯,截听长话,利用声音辨认系统监听目
12、标人物的对话内容。情报处理音辨认系统监听目标人物的对话内容。情报处理系统从军事监察扩展至非军事用途,对政府、商系统从军事监察扩展至非军事用途,对政府、商业及其他机构进行例行及非选择性的监察。业及其他机构进行例行及非选择性的监察。 由于大部分互联网服务器都分布在美国或必须由于大部分互联网服务器都分布在美国或必须途经美国分布信息,因此,大部分透过互联网发途经美国分布信息,因此,大部分透过互联网发放的国际通讯或信息都以美国为交汇点,随时可放的国际通讯或信息都以美国为交汇点,随时可能受到美国国家安全局截查。能受到美国国家安全局截查。第一节第一节 计算机网络安全的概念计算机网络安全的概念.16网络安全网
13、络安全 美国每年平均发生了数十万起重大的网络入美国每年平均发生了数十万起重大的网络入侵和恶意攻击事件,其中约十分之一的攻击成功侵和恶意攻击事件,其中约十分之一的攻击成功地侵入了系统(美联邦调查局统计),因此每年地侵入了系统(美联邦调查局统计),因此每年造成平均上百亿美元的经济损失。造成平均上百亿美元的经济损失。 网络入侵问题是困扰所有网络专家、信息专家网络入侵问题是困扰所有网络专家、信息专家和计算机安全专家们的重要的问题,网络入侵包和计算机安全专家们的重要的问题,网络入侵包含了很多技术问题、管理问题和应用问题,其中,含了很多技术问题、管理问题和应用问题,其中,网络中断、非法访问、信息窃取、数据
14、篡改、信网络中断、非法访问、信息窃取、数据篡改、信息侦察等频繁发生在当前网络应用中,息侦察等频繁发生在当前网络应用中,“黑客黑客”技术在不知不觉中被正常地和非正常地使用。技术在不知不觉中被正常地和非正常地使用。 第一节第一节 计算机网络安全的概念计算机网络安全的概念.17网络安全网络安全 三、网络的入侵者三、网络的入侵者 * 黑客黑客(Hacker): 网络入侵者通称网络入侵者通称“黑客黑客”,公众对这个字眼带,公众对这个字眼带有强烈的贬意和否定,其实黑客的原意是泛指对有强烈的贬意和否定,其实黑客的原意是泛指对任何计算机系统、操作系统、网络系统的奥秘都任何计算机系统、操作系统、网络系统的奥秘都
15、具有强烈兴趣的人。他们大部分都具有计算机操具有强烈兴趣的人。他们大部分都具有计算机操作系统和编程语言方面的高级知识,了解系统中作系统和编程语言方面的高级知识,了解系统中的漏洞及其原因,他们不断追求新的、更深的知的漏洞及其原因,他们不断追求新的、更深的知识和技术,并公开他们的发现,与其他人分享,识和技术,并公开他们的发现,与其他人分享,他们自己宣称决不、也从来没有破坏数据的企图。他们自己宣称决不、也从来没有破坏数据的企图。第一节第一节 计算机网络安全的概念计算机网络安全的概念.18网络安全网络安全 恶意黑客(骇客)渗入计算机系恶意黑客(骇客)渗入计算机系统和网络系统并获取其内部工作的情统和网络系
16、统并获取其内部工作的情况和知识,非法访问、寻找、窃取资况和知识,非法访问、寻找、窃取资源和信息。恶意黑客会有目的的篡改源和信息。恶意黑客会有目的的篡改系统数据和资源,修改系统配置,甚系统数据和资源,修改系统配置,甚至远程控制目标系统。至远程控制目标系统。第一节第一节 计算机网络安全的概念计算机网络安全的概念.19网络安全网络安全 * 窃客窃客(Phreaker): 即即“电信黑客电信黑客”或或“电信窃客电信窃客”。他们。他们与网络黑客不同,主要与电话公司打交道。与网络黑客不同,主要与电话公司打交道。采用不同的种种采用不同的种种“手段手段”和和“诡计诡计”,如,如拦截传输信号,从而操纵电话公司,
17、并机拦截传输信号,从而操纵电话公司,并机盗打用户移动电话,免费拨打区域和长途盗打用户移动电话,免费拨打区域和长途电话等。并从电信网站、电信传输和用户电话等。并从电信网站、电信传输和用户通信中某利,获取所需敏感信息。通信中某利,获取所需敏感信息。第一节第一节 计算机网络安全的概念计算机网络安全的概念.20网络安全网络安全* 怪客怪客(Cracker): 网络上的匿名攻击者,专门进行网络入网络上的匿名攻击者,专门进行网络入侵攻击,发布干扰信息,侵攻击,发布干扰信息, 传输网络垃圾等传输网络垃圾等,并以此为乐并以此为乐。第一节第一节 计算机网络安全的概念计算机网络安全的概念.21网络安全网络安全 “
18、黑客黑客”与与“黑客技术黑客技术”目前带有贬意,实目前带有贬意,实际上在计算机安全的领域内,国外对计算机际上在计算机安全的领域内,国外对计算机和网络和网络“黑客黑客”的看法,也有两种观点。的看法,也有两种观点。 1)“黑客黑客”是非法使用计算机系统和网络是非法使用计算机系统和网络系统的人,会给网络安全带来极大影响。系统的人,会给网络安全带来极大影响。 2)“黑客黑客”是一群计算机迷,他们以查找是一群计算机迷,他们以查找网络和系统缺陷为荣,有利于网络安全的。网络和系统缺陷为荣,有利于网络安全的。 我们认为,基于信息对抗、计算机对抗的基我们认为,基于信息对抗、计算机对抗的基础,我们必须既要防御非法
19、础,我们必须既要防御非法“黑客黑客”的攻击,的攻击,也要研究和利用也要研究和利用“黑客黑客”技术来维护网络安全,技术来维护网络安全,不断地发现网络的漏洞,不断地改进安全系不断地发现网络的漏洞,不断地改进安全系统。统。第一节第一节 计算机网络安全的概念计算机网络安全的概念.22网络安全网络安全四、网络犯罪特点四、网络犯罪特点 网络犯罪与传统犯罪有很多不同,网络犯罪与传统犯罪有很多不同,网络犯罪有如下一些特点:网络犯罪有如下一些特点: 网络犯罪高技术化、专业化。网络犯罪高技术化、专业化。 犯罪者具有高智商,熟悉并掌握电犯罪者具有高智商,熟悉并掌握电脑技术、电信技术或者网络技术,了脑技术、电信技术或
20、者网络技术,了解电子数据资料结构和数据库,作案解电子数据资料结构和数据库,作案手段复杂隐蔽,有的情况下使正常操手段复杂隐蔽,有的情况下使正常操作与犯罪活动很难区分。作与犯罪活动很难区分。第一节第一节 计算机网络安全的概念计算机网络安全的概念.23网络安全网络安全 网络犯罪动机复杂化。网络犯罪动机复杂化。 它既包含了传统犯罪中的谋财害命、它既包含了传统犯罪中的谋财害命、发泄报复、恐怖暴力、欺诈拐骗等,发泄报复、恐怖暴力、欺诈拐骗等,还渗入了更深厚的政治、军事、经济、还渗入了更深厚的政治、军事、经济、宗教色彩。宗教色彩。第一节第一节 计算机网络安全的概念计算机网络安全的概念.24网络安全网络安全
21、网络犯罪的覆盖面更广,日趋网络犯罪的覆盖面更广,日趋国际化。国际化。 利用网络的互联,缩短了时间和利用网络的互联,缩短了时间和空间,犯罪分子在作案、通信、交易、空间,犯罪分子在作案、通信、交易、逃匿等方面可以易地进行逃匿等方面可以易地进行 异地作案异地作案的可能性极大,使得作案隐蔽性更强,的可能性极大,使得作案隐蔽性更强,危害更大。危害更大。第一节第一节 计算机网络安全的概念计算机网络安全的概念.25网络安全网络安全 网络犯罪人员趋于年青化。网络犯罪人员趋于年青化。 调查统计,电脑犯罪者的平均年龄调查统计,电脑犯罪者的平均年龄约在约在25岁左右。青年人聪明好动、虚岁左右。青年人聪明好动、虚荣心
22、大、探索意识强,但也最容易在荣心大、探索意识强,但也最容易在网络上掉入网络陷阱,受到邪恶引诱网络上掉入网络陷阱,受到邪恶引诱而误入歧途。而误入歧途。第一节第一节 计算机网络安全的概念计算机网络安全的概念.26网络安全网络安全 网络犯罪的形式多样化。网络犯罪的形式多样化。 它既具有传统犯罪中的各种形式,它既具有传统犯罪中的各种形式,还包含了更严重的犯罪教唆、展示、还包含了更严重的犯罪教唆、展示、指导、引诱、服务等等。网络色情的指导、引诱、服务等等。网络色情的泛滥、网络邪教的诱惑、没落文化和泛滥、网络邪教的诱惑、没落文化和反动文化的泛起都威胁到整个网络世反动文化的泛起都威胁到整个网络世界。界。第一
23、节第一节 计算机网络安全的概念计算机网络安全的概念.27网络安全网络安全 五、网络安全的技术特点五、网络安全的技术特点 1.资源共享与分布资源共享与分布 是网络的主要目的,也是网络的脆弱性,是网络的主要目的,也是网络的脆弱性, 分分布的广域性增大了受攻击的可能性,单机系统布的广域性增大了受攻击的可能性,单机系统的安全控制已不足以保证网络全局的安全。的安全控制已不足以保证网络全局的安全。 2.网络系统的复杂性网络系统的复杂性 系统互连、控制分散、异构结点。任何一个系统互连、控制分散、异构结点。任何一个结点的安全漏洞都可能导致整个系统的不安全,结点的安全漏洞都可能导致整个系统的不安全,信息爆炸使存
24、储和传输不堪重负;攻击的入口信息爆炸使存储和传输不堪重负;攻击的入口增多、破坏面增大、检测困难且开销很大。增多、破坏面增大、检测困难且开销很大。第一节第一节 计算机网络安全的概念计算机网络安全的概念.28网络安全网络安全 3.安全的可信性安全的可信性 网络的可扩展性使网络边界具有不确定网络的可扩展性使网络边界具有不确定性;网络安全的可信性随网络扩展而下降;性;网络安全的可信性随网络扩展而下降;不可信结点、恶意结点的严重威胁不可信结点、恶意结点的严重威胁 4. 安全不确定性安全不确定性 网络分支广,存在多条可能的安全漏洞;网络分支广,存在多条可能的安全漏洞;不安全的路径存在不确定性;故障定位的不
25、安全的路径存在不确定性;故障定位的不确定性。不确定性。第一节第一节 计算机网络安全的概念计算机网络安全的概念.29网络安全网络安全 5. 信息安全的特殊性信息安全的特殊性 信息的真实性,网络通信只保证了无差信息的真实性,网络通信只保证了无差错传输,无法保证信息的真实性、完整性,错传输,无法保证信息的真实性、完整性,收发双方无法对传输信息加以控制和监视。收发双方无法对传输信息加以控制和监视。 6.网络安全的长期性网络安全的长期性 矛盾贯穿始终,长期对抗。不可能存在矛盾贯穿始终,长期对抗。不可能存在一劳永逸、绝对安全的系统安全策略和安一劳永逸、绝对安全的系统安全策略和安全机制,安全的目标和安全策略
26、,是在一全机制,安全的目标和安全策略,是在一定条件(环境与技术)下的合理性。定条件(环境与技术)下的合理性。第一节第一节 计算机网络安全的概念计算机网络安全的概念.30网络安全网络安全 六、网络安全性范围六、网络安全性范围 1. 网络类型网络类型 电信网络、电视网络、计算机网络,重点在电信网络、电视网络、计算机网络,重点在计算机网络计算机网络 2. 计算机网络的组成计算机网络的组成 计算机系统、通信系统、网络互连设备计算机系统、通信系统、网络互连设备 系统运行平台、网络管理软件系统系统运行平台、网络管理软件系统 第一节第一节 计算机网络安全的概念计算机网络安全的概念.31网络安全网络安全 3.
27、 网络安全领域网络安全领域 计算机系统安全计算机系统安全 系统硬件安全、存储系统安全、操作系系统硬件安全、存储系统安全、操作系统安全、软件安全统安全、软件安全 通信系统安全通信系统安全 通信系统与部件可靠性、无线与有线安通信系统与部件可靠性、无线与有线安全、网络互连设备安全。全、网络互连设备安全。 网络系统安全网络系统安全 网管软件安全、网络协议安全性网管软件安全、网络协议安全性 网络运行环境安全、网络开发与应用安网络运行环境安全、网络开发与应用安全全第一节第一节 计算机网络安全的概念计算机网络安全的概念.32网络安全网络安全 计算机病毒与恶意程序计算机病毒与恶意程序 计算机病毒对抗、攻击与反
28、攻击计算机病毒对抗、攻击与反攻击 网络安全的社会性网络安全的社会性 网络垃圾与信息垃圾、反动、色情、网络垃圾与信息垃圾、反动、色情、颓废文化。颓废文化。 信息安全与信息战信息安全与信息战第一节第一节 计算机网络安全的概念计算机网络安全的概念.33网络安全网络安全 七、网络安全的类别七、网络安全的类别 “网络就是计算机网络就是计算机”,因此,计算机系统安,因此,计算机系统安全的几乎所有领域都在网络安全中得以体现。全的几乎所有领域都在网络安全中得以体现。网络系统安全的主要威胁也来源于各个方面,网络系统安全的主要威胁也来源于各个方面,有自然的、硬件的、软件的、也有人为的疏忽、有自然的、硬件的、软件的
29、、也有人为的疏忽、失误等。一个没有设防的系统或者防御性不好失误等。一个没有设防的系统或者防御性不好的系统,对合法用户与非法用户实际上提供了的系统,对合法用户与非法用户实际上提供了同样的计算和通信能力,两者都直接面对系统同样的计算和通信能力,两者都直接面对系统信息资源。这样,合法用户将难以信赖系统的信息资源。这样,合法用户将难以信赖系统的安全价值,产生了系统的可信度安全价值,产生了系统的可信度(trust) 问题。问题。第一节第一节 计算机网络安全的概念计算机网络安全的概念.34网络安全网络安全 网络可信网络可信:保证网络可靠运行,防:保证网络可靠运行,防止系统崩溃,主要解决硬件故障和软件故止系
30、统崩溃,主要解决硬件故障和软件故障。障。 网络阻塞网络阻塞:主要解决网络配置、网:主要解决网络配置、网络调度不合理,防止网络广播风暴和噪声。络调度不合理,防止网络广播风暴和噪声。 网络滥用网络滥用:合法用户超越权限使用:合法用户超越权限使用计算机,获取网络资源。计算机,获取网络资源。 网络入侵网络入侵:非法用户非法进入系统:非法用户非法进入系统和网络,获取控制权和网络资源。和网络,获取控制权和网络资源。第一节第一节 计算机网络安全的概念计算机网络安全的概念.35网络安全网络安全 网络干扰网络干扰:出于某种目的对计:出于某种目的对计算机和网络系统运行进行干扰,干扰算机和网络系统运行进行干扰,干扰
31、方式多种,使系统不可信、操作员和方式多种,使系统不可信、操作员和系统管理员心理压力增加、心理战。系统管理员心理压力增加、心理战。施放各种假的和期骗信息,扰乱社会、施放各种假的和期骗信息,扰乱社会、经济、金融等。经济、金融等。 网络破坏网络破坏: 系统攻击、删除数据、系统攻击、删除数据、毁坏系统。非法窃取、盗用、复制系毁坏系统。非法窃取、盗用、复制系统文件、数据、资料、信息,造成泄统文件、数据、资料、信息,造成泄密。密。第一节第一节 计算机网络安全的概念计算机网络安全的概念.36网络安全网络安全第二节第二节 计算机网络实体安全计算机网络实体安全.37网络安全网络安全 组成计算机网络的硬件设备有组
32、成计算机网络的硬件设备有计算机系统、通信交换设备(交换机、计算机系统、通信交换设备(交换机、程控机)、网络互连设备(如收发器、程控机)、网络互连设备(如收发器、中继器、集线器、网桥、路由器、网中继器、集线器、网桥、路由器、网关等)、存储设备等,在网络系统集关等)、存储设备等,在网络系统集成中,它们的可靠性和安全性必须自成中,它们的可靠性和安全性必须自始至终考虑。始至终考虑。.38网络安全网络安全 一、网络互连设备安全一、网络互连设备安全 必须注意互连设备及其工作层次必须注意互连设备及其工作层次物理层:中继器物理层:中继器repeater,集线器,集线器hub数链层:网桥数链层:网桥bridge
33、,桥路器,桥路器brouter 交换机交换机switcher网络层:路由器网络层:路由器router,路桥器,路桥器roudger传输层:网关传输层:网关gateway,防火墙,防火墙firewall.39网络安全网络安全1. 中继器及物理层的安全性中继器及物理层的安全性 中继器作为一个中继器作为一个双向放大器双向放大器用于驱动用于驱动长距离通信,只能用于连接具有相同物长距离通信,只能用于连接具有相同物理层协议的局域网,主要用于扩充理层协议的局域网,主要用于扩充LAN电缆段电缆段(segment)的距离限制。它的距离限制。它不具有不具有安全功能安全功能,不具备任何过滤功能,不能,不具备任何过滤
34、功能,不能隔离网段间不必要的网络流量和网络信隔离网段间不必要的网络流量和网络信息。息。.40网络安全网络安全2. 网桥及链路层的安全性网桥及链路层的安全性 网桥通过数据链路层的逻辑链路子层网桥通过数据链路层的逻辑链路子层(LLC)来选择子网路径,接收完全的链路来选择子网路径,接收完全的链路层数据帧,并对帧作校验,同时,在源层数据帧,并对帧作校验,同时,在源地址表中查找介质存取控制子层地址表中查找介质存取控制子层(MAC)的源和目的地址,以决定该帧是否转发的源和目的地址,以决定该帧是否转发或者丢弃。网桥通过存储转发功能实现或者丢弃。网桥通过存储转发功能实现信息帧交换,通过自学习功能建立源信息帧交
35、换,通过自学习功能建立源MAC地址表,从而在逻辑上分开网络段,地址表,从而在逻辑上分开网络段,减轻各个逻辑网段上的流量。减轻各个逻辑网段上的流量。.41网络安全网络安全 网桥通过网桥通过MAC地址判断选径,实现数地址判断选径,实现数据链路层上的数据分流,隔离功能较弱。据链路层上的数据分流,隔离功能较弱。安全性弱点在于可能导致安全性弱点在于可能导致广播风暴广播风暴(broadcast storm),如果一个帧的源地,如果一个帧的源地址是网桥未学习过的址是网桥未学习过的MAC地址,它会将地址,它会将该帧转发到它所连接的所有局域网上,该帧转发到它所连接的所有局域网上,从而产生大量的扩散帧。而且,它无
36、法从而产生大量的扩散帧。而且,它无法解决同一介质网络段上可能出现的具有解决同一介质网络段上可能出现的具有不同不同IP子网号的主机之间的互访问题。子网号的主机之间的互访问题。.42网络安全网络安全3. 路由器及网络层的安全性路由器及网络层的安全性 路由器完成网内地址选径,防止网内路由器完成网内地址选径,防止网内“广播风暴广播风暴”的产生,也能实现不同或者的产生,也能实现不同或者相同局域网段上不同相同局域网段上不同IP网号或者子网号网号或者子网号主机间的互访,并提供远程互连。由于主机间的互访,并提供远程互连。由于它涉及物理、数链、网络三个层次数据它涉及物理、数链、网络三个层次数据处理,处理时间长处
37、理,处理时间长(延迟约延迟约100-500ms),且价格昂贵。路由器的隔离功能强于网且价格昂贵。路由器的隔离功能强于网桥,通过自学习和人工设置方式对数据桥,通过自学习和人工设置方式对数据进行严格过滤。进行严格过滤。.43网络安全网络安全 给网桥加上类似于路由器的隔离功能,给网桥加上类似于路由器的隔离功能,使其能够阻拦网间不必要的信息交换,使其能够阻拦网间不必要的信息交换,就可以防止就可以防止广播风暴广播风暴。将路由器的某。将路由器的某些思想、实现方法用于网桥,就形成了些思想、实现方法用于网桥,就形成了所谓所谓桥路器桥路器(brouter),而将路由器内,而将路由器内部对部对IP地址的操作改为对
38、地址的操作改为对MAC地址的操地址的操作,就形成了所谓作,就形成了所谓过滤网桥过滤网桥,也称,也称路路桥器桥器。它通过信息过滤。它通过信息过滤(避免无用信息避免无用信息广播传送广播传送)和权限设定和权限设定(防止无权用户访问防止无权用户访问主网和其他网络资源主网和其他网络资源)来增强安全性。来增强安全性。 .44网络安全网络安全4. 交换机及链路层的安全性交换机及链路层的安全性 由于路由器的配置技术和管理技术较由于路由器的配置技术和管理技术较复杂,成本昂贵,数据处理时间延迟较复杂,成本昂贵,数据处理时间延迟较大,在一定程度上降低了网络性能。此大,在一定程度上降低了网络性能。此外,在局域网中使用
39、路由器的局限性促外,在局域网中使用路由器的局限性促进了交换式以太网技术的发展,导致了进了交换式以太网技术的发展,导致了交换机对路由器的替换。交换机工作在交换机对路由器的替换。交换机工作在数据链路层,可看作是网桥的硬件延伸,数据链路层,可看作是网桥的硬件延伸,该层中数据交换在硬件中完成,因而可该层中数据交换在硬件中完成,因而可以实现比较高的交换速度。以实现比较高的交换速度。.45网络安全网络安全5. 网关及网络高层的安全性网关及网络高层的安全性 网关并没有确定的实际产品,目前,安网关并没有确定的实际产品,目前,安全重点研究的防火墙,实际就是一种带有全重点研究的防火墙,实际就是一种带有不同过滤器的
40、网关。(防火墙的问题见后)不同过滤器的网关。(防火墙的问题见后).46计算机网络计算机网络二、互连中的接线方式二、互连中的接线方式 在通过网络线连接计算机和网络设在通过网络线连接计算机和网络设备(备(HUB、交换机、路由器等)过程、交换机、路由器等)过程中,必须了解中,必须了解RJ45接口双绞线的连接接口双绞线的连接方式和连接要求,否则,网络将不会方式和连接要求,否则,网络将不会连通。连通。.47计算机网络计算机网络1. 网卡直连方式网卡直连方式 两台计算机联网最简单最经济的做两台计算机联网最简单最经济的做法是通过二块网卡用双绞线直接连接。法是通过二块网卡用双绞线直接连接。二块网卡不用二块网卡
41、不用HUB,用双绞线直接,用双绞线直接连接,两块网卡需要有连接,两块网卡需要有RJ45接口,然接口,然后制作一条特殊的双绞线,直接把这后制作一条特殊的双绞线,直接把这条线插到两台机器的网卡上即可。条线插到两台机器的网卡上即可。.48计算机网络计算机网络 特殊双绞线的具体制作方法:将特殊双绞线的具体制作方法:将 RJ45一头的第一根线与第三根线调换,一头的第一根线与第三根线调换,第二根线与第六根线调换,其它不变。第二根线与第六根线调换,其它不变。第一个接头:第一个接头: 橙橙,橙白橙白,绿绿,蓝白蓝白,蓝蓝,绿白绿白,棕棕,棕白棕白第二个接头:第二个接头: 绿绿,绿白绿白,橙橙,蓝白蓝白,蓝蓝,
42、橙白橙白,棕棕,棕白棕白即:即:1 - 3 2 - 6 3 - 1 4 - 4 5 - 5 6 - 2 7 - 78 - 8 .49计算机网络计算机网络2. 网线与设备连接方式网线与设备连接方式 计算机联网首先必须决定网络连接计算机联网首先必须决定网络连接结构,根据不同方式决定网络线的连结构,根据不同方式决定网络线的连接和是否交叉。接和是否交叉。.50双绞线有两种接法:双绞线有两种接法:EIA/TIA 568B标准和标准和EIA/TIA 568A标准。标准。具体接法如下:具体接法如下:.51 T568A线序线序 1 2 3 4 5 6 7 8 绿白绿白 绿绿 橙白橙白 蓝蓝 蓝白蓝白 橙橙 棕
43、白棕白 棕棕 T568B线序线序 1 2 3 4 5 6 7 8 橙白橙白 橙橙 绿白绿白 蓝蓝 蓝白蓝白 绿绿 棕白棕白 棕棕 直通线:两头都按直通线:两头都按T568B线序标准连接。线序标准连接。 交叉线:一头按交叉线:一头按T568A线序连接,一头按线序连接,一头按T568B线序连接。线序连接。 .52网络安全网络安全常用的连接方式(一)常用的连接方式(一)网络进线网络进线服务器服务器集线器集线器工作站工作站工作站工作站工作站工作站工作站工作站从网络进线到服务从网络进线到服务器一个网卡,从另器一个网卡,从另一个网卡输出连接一个网卡输出连接到到Hub,连接线均,连接线均为直接连接(正常为直
44、接连接(正常接线)接线).53网络安全网络安全常用的连接方式(二)常用的连接方式(二)网络进线网络进线集线器集线器服务器服务器工作站工作站工作站工作站工作站工作站工作站工作站从网络进线到集线从网络进线到集线器入口,集线器到器入口,集线器到工作站,到服务器,工作站,到服务器,连接线也均为直接连接线也均为直接连接(正常接线)连接(正常接线).54网络安全网络安全常用的连接方式(三)常用的连接方式(三)网络进线网络进线交换机交换机集线器集线器工作站工作站工作站工作站工作站工作站工作站工作站从网络进线到服务从网络进线到服务器一个网卡连接线器一个网卡连接线均为直接连接(正均为直接连接(正常接线),从交换
45、常接线),从交换机到集线器,网络机到集线器,网络连接连接线交叉连接连接线交叉.55网络安全网络安全第三节第三节 计算机网络安全技术计算机网络安全技术.56网络安全网络安全 网络信息安全的关键技术网络信息安全的关键技术 目前,网络信息安全的关键技术有:目前,网络信息安全的关键技术有: 1)常规安全技术)常规安全技术 2)防火墙技术)防火墙技术 3)数据加密技术)数据加密技术 4)漏洞扫描技术)漏洞扫描技术 5)入侵检测技术)入侵检测技术.57网络安全网络安全 一、常规安全技术一、常规安全技术 在通用计算机安全技术中所涉及到的在通用计算机安全技术中所涉及到的几乎所有安全技术,都可以应用和集成几乎所
46、有安全技术,都可以应用和集成到网络系统中,并根据网络的运行特点,到网络系统中,并根据网络的运行特点,尤其是网络的安全接入,改进和发展这尤其是网络的安全接入,改进和发展这些安全技术。些安全技术。 1)用户认证用户认证(authentication) 2)访问控制访问控制(authorization) 3)数据保密与完整性数据保密与完整性 4)管理审计管理审计(accounting) .58网络安全网络安全二、防火墙技术二、防火墙技术 1 1、防火墙的概念、防火墙的概念 英特网防火墙是这样的(一组)系统,英特网防火墙是这样的(一组)系统,它能增强机构内部网络的安全性。用于加强它能增强机构内部网络的
47、安全性。用于加强网络间的访问控制,防止外部用户非法使用网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取。坏,防止内部网络的敏感数据被窃取。 防火墙只是保护网络安全与保密的一种概防火墙只是保护网络安全与保密的一种概念,并无严格的定义念,并无严格的定义 .59一、防火墙概述 什么是防火墙什么是防火墙( (Firewall) ?防火墙:在两个信任程度不同的网络之间设置防火墙:在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。的、用于加强访问控制的软硬件保护设施。.60网络安全网络安全
48、防火墙应用在以下位置:防火墙应用在以下位置:保证对主机和应用安全访问;保证对主机和应用安全访问;保证多种客户机和服务器的安全性;保证多种客户机和服务器的安全性;保护关键部门不受到来自内部的攻击、保护关键部门不受到来自内部的攻击、外部的攻击、为通过外部的攻击、为通过Internet与远程访问与远程访问的雇员、客户、供应商提供安全通道。的雇员、客户、供应商提供安全通道。.61防火墙的用途防火墙的用途1 1)作为)作为“扼制点扼制点”,限制信息的进入或离开;,限制信息的进入或离开;2 2)防止侵入者接近并破坏你的内部设施;)防止侵入者接近并破坏你的内部设施;3 3)监视、记录、审查重要的业务流;)监
49、视、记录、审查重要的业务流;4 4)实施网络地址转换,缓解地址短缺矛盾。)实施网络地址转换,缓解地址短缺矛盾。防火墙只允许已授权的业务流通过,而且本身也防火墙只允许已授权的业务流通过,而且本身也应抵抗渗透攻击。应抵抗渗透攻击。建立防火墙必须全面考虑安全策略,否则形同虚建立防火墙必须全面考虑安全策略,否则形同虚设。设。.62防火墙的局限性防火墙的局限性1 1)防火墙防外不防内)防火墙防外不防内防火墙可以禁止系统用户经过网络连接发送防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者磁带上,放在
50、公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主知情者的威胁只能要求加强内部管理,如主机安全和用户教育、管理、制度等。机安全和用户教育、管理、制度等。.632 2)不能防范绕过防火墙的攻击)不能防范绕过防火墙的攻击防火墙能够有效地防止通过它进行传输信息,防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。例如,然而不能防止不通过它而
