1、网络安全技术网络安全技术混合型威胁(Red Code, Nimda)拒绝服务攻击(Yahoo!, eBay)发送大量邮件的病毒(Love Letter/Melissa)多变形病毒(Tequila)特洛伊木马病毒网络入侵70,00060,00050,00040,00030,00020,00010,000已知威胁的数量网络安全问题日益突出网络安全问题日益突出安全层次安全层次安全的密码算法安全协议网络安全系统安全应用安全网络安全问题概述1 .1 .计算机网络安全的定义国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和
2、恶意的原因遭到破坏、更改和泄露。网络安全问题概述2 .2 .网络安全面临的威胁?1.物理安全威胁包括自然灾害、电磁辐射、操作失误和意外疏忽等?2.数据信息的安全威胁包括网络协议的安全缺陷、应用软件的安全缺陷和恶意程序等网络安全问题概述3 .3 .计算机网络安全的内容?1.可靠性:?2.可用性:?3.保密性:?4.授权性:?5.审查性:网络面临的安全性威胁网络面临的安全性威胁?网络安全包括数据安全和系统安全?数据安全受到四个方面的威胁?设信息是从源地址流向目的地址,那么正常的信息流向是:网络安全的四种威胁网络安全的四种威胁1.截获 :当甲通过网络与乙通信时,如果不采取任何保密措施,那么其他人(如
3、丙),就有可能偷听到他们的通信内容。2.中断 :当用户正在通信时,有意的破坏者可设法中断他们的通信。网络安全的四种威胁网络安全的四种威胁3.篡改:乙给甲发了如下一份报文:“请给丁汇一百元钱,乙”。报文在转发过程中经过丙,丙把“丁”改为“丙”。这就是报文被篡改4.伪造:用计算机通信时,若甲的屏幕上显示出“我是乙”时,甲如何确信这是乙而不是别人呢? 网络安全的四种威胁网络安全的四种威胁另外还有一种特殊的主动攻击就是恶意程序(rogue program)的攻击。恶意程序种类繁多,对网络安全威胁较大的主要有以下几种:1.计算机病毒:2.计算机蠕虫:3.逻辑炸弹:保护计算机网络安全的措施保护计算机网络安
4、全的措施?1物理措施?2数据加密?3访问控制?4防止计算机网络病毒?5其他措施防火墙技术?防火墙的基本概念防火墙从本质上说是一种保护装置,可从三个层次上来理解防火墙的概念:首先,“防火墙”是一种安全策略,它是一类防范措施的总称。其次,防火墙是一种访问控制技术,用于加强两个网络或多个网络之间的访问控制最后,防火墙作为内部网络和外部网络之间的隔离设备,它是由一组能够提供网络安全保障的硬件、软件构成的系统。Intranet防火墙Internet客户机电子邮件服务器Web服务器数据库服务器防火墙示意图防火墙示意图在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和 Inter
5、net 之间的任何活动,保证了内部网络的安全。防火墙防火墙(Firewall)?防火墙的基本设计目标对于一个网络来说,所有通过“内部”和“外部”的网络流量都要经过防火墙通过一些安全策略,来保证只有经过授权的流量才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上?防火墙的控制能力服务控制,确定哪些服务可以被访问方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙用户控制,根据用户来控制对服务的访问行为控制,控制一个特定的服务的行为防火墙的类型OSI模型防火墙应用层网关级表示层会话层电路级传输层网络层路由器级数据链路层网桥级物理层中继器级包过滤防火墙应用代理防火墙电路级网关?按网络体
6、系结构分类?按应用技术分类? 包过滤技术 (Packet Filter):通过在网络连接设备上加载允许、禁止来自某些特定的源地址、目的地址、 TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络.数据包过滤可以在网络层截获数据 ,使用一些规则来确定是否转发或丢弃所截获的各个数据包。? 优点:对用户透明;过滤路由器速度快、效率高 。? 缺点:只能进行初步的安全控制;设置过滤规则困难,不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤。防火墙的实现技术包过滤技术包过滤路由器示意图包过滤路由器示意图网络层链路层物理层外部网络内部网络防火墙的实现技术电路级网关?工作在会话层。?它在
7、两个主机首次建立TCP连接时创立一个电子屏障,建立两个TCP连接。 一旦两个连接建立起来,网关从一个连接向另一个连接转发数据包,而不检查内容。?优点:效率高精细控制,可以在应用层上授权为一般的应用提供了一个框架?缺点:客户程序需要修改动态链接库?应用代理是运行于防火墙主机上的一种应用程序,它取代用户和外部网络的直接通信。代理技术的基本思想就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查站相互通信,但是它们不能越过它直接通信。这个“中间检查站”就是代理服务器,它运行在两个网络之间,对网络之间的每一个请求进行检查。防火墙的实现技术应用代理服务技术应用代理服务技术应用层网关的
8、协议栈结构应用层网关的协议栈结构HTTPFTP Telnet Smtp传输层网络层链路层应用层网关?优点:代理易于配置;可以提供理想的日志功能;代理能灵活、完全地控制进出的流量、内容;在应用层上实现,能过滤数据内容;代理能为用户提供透明的加密机制;代理可以方便地与其他安全手段集成。?缺点:代理速度较路由器慢;代理对用户不透明;对于每项服务代理可能要求不同的代理软件;代理服务不能保证你免受所有协议弱点的限制;代理不能改进底层协议的安全性。应用层网关的结构示意图应用层网关的结构示意图三种防火墙技术的安全功能比较三种防火墙技术的安全功能比较源地址目的地址用户身份数据内容包过滤YYNN电路级网关YYY
9、N应用代理YYYY防火墙的实现技术状态监视技术这是第三代防火墙技术,集成了前两者的优点,能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过IP地址、端口号以及TCP标记,过滤进出的数据包。只是在分析应用层数据时,它与一个应用层网关不同的是,它并不打破客户机/服务机模式,允许受信任的客户机和不受信任的主机建立直接连接。防火墙的典型配置方案防火墙的典型配置方案?包过滤防火墙?双宿主主机方案?屏蔽主机方案?单宿主堡垒主机?双宿主堡垒主机?屏蔽子网方案防火墙的典型配置方案防火墙的典型配置方案1包过滤防火墙也称作包过滤路由器,它是最基本、最简单的一种防火墙,可以在一般的路由器上实现也可以在基于
10、主机的路由器上实现。防火墙的典型配置方案防火墙的典型配置方案包过滤防火墙Internet内部网络ServerPCPC包过滤路由器防火墙的典型配置方案防火墙的典型配置方案2双宿主网关防火墙这种防火墙系统由一台特殊主机来实现。这台主机拥有两个不同的网络接口,一端接外部网络,一端接需要保护的内部网络,并运行代理服务器,故被称为双宿主网关。双宿主网关防火墙不使用包过滤规则,而是在外部网络和被保护的内部网络之间设置一个网关(双穴网关),隔断IP层之间的直接传输。网络代理网络接口服务器 接口双宿主网关防火墙Internet内部网络ServerPCPC双宿主主机防火墙的典型配置方案防火墙的典型配置方案3屏蔽
11、主机网关防火墙屏蔽主机网关防火墙由一台包过滤路由器和一台堡垒主机组成。在这种配置中,堡垒主机配置在内部网络上,过滤路由器则放置在内部网络和外部网络之间。在路由器上进行配置,使得外部网络的主机只能访问该堡垒主机,而不能直接访问内部网络的其他主机。防火墙的典型配置方案防火墙的典型配置方案屏蔽主机网关防火墙Internet内部网络ServerPCPC包过滤路由器堡垒主机防火墙的典型配置方案防火墙的典型配置方案4屏蔽子网防火墙考虑到屏蔽主机网关防火墙方案中,堡垒主机存在被绕过的可能,有必要在被保护网络与外部网络之间设置一个孤立的子网,这就是“屏蔽子网”。屏蔽子网防火墙在屏蔽主机网关防火墙的配置上加上另
12、一个包过滤路由器。防火墙的典型配置方案防火墙的典型配置方案Internet内部网络ServerPCPC屏蔽子网防火墙堡垒主机过滤路由器过滤路由器信息服务器屏蔽子网防火墙的典型配置方案防火墙的典型配置方案数据加密概念所谓数据加密是指通过对网络中传输的数据进行加密来保障网络资源的安全性。加密是保证网络资源安全的基础技术,是一种主动安全防御策略。数据秘密性要求被存储或被传输的数据是经过伪装的,即使数据被第三者窃取或窃听都无法破译其中的内容,通常是采用密码技术来实现。数据加密技术加密算法通信信道解密算法明文M明文M密文C密文C加密密钥Ke解密密钥Kd窃取者接收方发送方数据加密、解密原理数据加密技术数据
13、加密技术1.对称密钥加密技术对称密钥加密也叫作私钥加密,加密和解密使用相同密钥,并且密钥是保密的,不向外公布。安全信道加密算法通信信道解密算法明文M明文M密文C密文C加密密钥Ke解密密钥Kd接收方发送方数据加密技术2.非对称密钥加密技术公开密钥加密技术也称非对称密码加密技术,它有两个不同的密钥:一个是公布于众,谁都可以使用的公开密钥,一个是只有解密人自己知道的秘密密钥。在进行数据加密时,发送方用公开密钥将数据加密,对方收到数据后使用秘密密钥进行解密。密文C公开信道明文M加密密钥PKB发送方明文M解密密钥SKB接收方PKB/SKB分别为收方的公开/私用密钥加密算法解密算法数据加密技术访问控制技术
14、实现访问控制方法的常用方法有三种:1.要求用户输入用户名和口令;2.是采用一些专门的物理识别设备,如访问卡、钥匙或令牌;3.是采用生物统计学系统,可以通过某种特殊的物理特性对人进行惟一性识别。访问控制技术防病毒技术网络防病毒技术包括预防病毒、检测病毒和消除病毒三种技术。1预防病毒技术:2检测病毒技术:3消除病毒技术:防病毒技术其它网络安全技术1.数字签名技术数字签名必须保证以下三点:1.接收者能够核实发送者对报文的签名2.发送者事后不能抵赖对报文的签名;3.接收者不能伪造对报文的签名。2.认证技术认证和保密是网络信息安全的两个重要方面。加密保证了网络信息的机密性,认证则保护了信息的真实性和完整
15、性。保密不能自然地提供认证性,而认证也无法自动提供保密性。采用认证技术目的有两个:一是识别信源的真实性,即验证发信人确实不是冒充的;二是检验发送信息的完整性,即验证信息在传送过程中是否被篡改、重发或延迟。一个安全的认证系统应该能够满足这两个要求。其它网络安全技术3.入侵检测技术入侵检测技术是一种免受攻击的主动保护网络安全技术。由于常作为防火墙的合理补充,被称为第二道防火墙,它从网络中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象,从而使系统管理可以较有效地监视、审计、评估自己的系统。其它网络安全技术4.VPN4.VPN技术? 虚拟专用网VPN(Virtual Private Network)是利用现有的不安全的公共网络环境,构建的具有安全性、独占性、自成一体的虚拟网络。? VPN是指利用公共网络的一部分来发送专用信息,形成逻辑上的专用网络。它实际上是一个在互联网等公用网络上的一些节点的集合。这些节点之间采用了专用加密和认证技术来相互通信,好像用专线连接起来一样。? 虚拟专用网可以在两个异地子网之间建立安全的通道其它网络安全技术