计算机网络安全课程课件.ppt

1、吴功宜吴功宜 编著编著普通高等教育精品教材普通高等教育精品教材普通高等教育普通高等教育“十一五十一五”国家级规划教材国家级规划教材计算机网络第9章 网络安全与网络管理技术3本章学习要求本章学习要求：了解：了解：网络安全的重要性与研究的主要内容。网络安全的重要性与研究的主要内容。了解：了解：当前网络安全形势的变化。当前网络安全形势的变化。理解：理解：密码体制基本概念及其在网络安全中的应用。密码体制基本概念及其在网络安全中的应用。掌握：掌握：网络安全协议的概念及应用。网络安全协议的概念及应用。掌握：掌握：防火墙的概念及应用。防火墙的概念及应用。掌握：掌握：入侵检测的基本概念与方法。入侵检测的基本概

2、念与方法。掌握：掌握：网络业务持续性规划技术基本概念与方法。网络业务持续性规划技术基本概念与方法。理解：理解：恶意代码与网络病毒防治的基本概念与方法。恶意代码与网络病毒防治的基本概念与方法。计算机网络第9章 网络安全与网络管理技术4本章知识点结构本章知识点结构计算机网络第9章 网络安全与网络管理技术59.1 网络安全的基本概念网络安全的基本概念9.1.1 网络安全重要性与特点网络安全重要性与特点 网络安全是网络技术研究中一个永恒的主题网络安全是网络技术研究中一个永恒的主题 网络安全是一个系统的社会工程网络安全是一个系统的社会工程 趋利性是当前网络攻击的主要动机趋利性是当前网络攻击的主要动机 网

3、络安全关乎国家安全与社会稳定网络安全关乎国家安全与社会稳定计算机网络第9章 网络安全与网络管理技术69.1.2 网络安全服务功能与法律法规网络安全服务功能与法律法规网络安全服务的基本功能网络安全服务的基本功能:可用性可用性 机密性机密性 完整性完整性 不可否认性不可否认性 可控性可控性计算机网络第9章 网络安全与网络管理技术79.1.3 网络安全威胁的发展趋势网络安全威胁的发展趋势 恶意代码保持快速增长的势头恶意代码保持快速增长的势头 对移动终端设备攻击的威胁快速上升对移动终端设备攻击的威胁快速上升 针对应用软件漏洞的攻击更为突出针对应用软件漏洞的攻击更为突出 针对搜索引擎的攻击呈快速上升趋势

4、针对搜索引擎的攻击呈快速上升趋势 假冒软件的攻击将转变攻击方式假冒软件的攻击将转变攻击方式 利用社交网络、高仿网站与钓鱼欺诈发起攻击利用社交网络、高仿网站与钓鱼欺诈发起攻击 僵尸网络将会出现新的变种僵尸网络将会出现新的变种 垃圾邮件正在变换新的活动方式垃圾邮件正在变换新的活动方式计算机网络第9章 网络安全与网络管理技术89.1.4 网络安全研究的主要问题网络安全研究的主要问题 信息被攻击的信息被攻击的4种基本类型种基本类型计算机网络第9章 网络安全与网络管理技术9 可能存在的网络攻击与威胁可能存在的网络攻击与威胁计算机网络第9章 网络安全与网络管理技术109.1.5 网络攻击的主要类型网络攻击

5、的主要类型 漏洞攻击漏洞攻击 欺骗攻击欺骗攻击 DoS与与DDoS 对防火墙的攻击对防火墙的攻击 恶意软件与病毒攻击恶意软件与病毒攻击计算机网络第9章 网络安全与网络管理技术11 DDoS攻击过程示意图攻击过程示意图计算机网络第9章 网络安全与网络管理技术129.2 加密与认证技术加密与认证技术9.2.1 密码算法与密码体制的基本概念密码算法与密码体制的基本概念 加密与解密过程示意图加密与解密过程示意图计算机网络第9章 网络安全与网络管理技术13 易位密码方法原理示意图易位密码方法原理示意图计算机网络第9章 网络安全与网络管理技术14 密钥长度与密钥个数密钥长度与密钥个数密钥长度（密钥长度（b

6、it）组合个数组合个数40240=109951162777656256=7.205759403793101664264=1.84467440737110191122112=5.19229685853510331282128=3.4028236692091038计算机网络第9章 网络安全与网络管理技术159.2.2 对称密码体系对称密码体系 对称加密的工作原理对称加密的工作原理计算机网络第9章 网络安全与网络管理技术169.2.3 非对称密码体系非对称密码体系 非对称加密的工作原理非对称加密的工作原理计算机网络第9章 网络安全与网络管理技术179.2.4 公钥基础设施公钥基础设施PKI PKI工

7、作原理示意图工作原理示意图计算机网络第9章 网络安全与网络管理技术189.2.5 数字签名技术数字签名技术 数字签名的工作原理示意图数字签名的工作原理示意图计算机网络第9章 网络安全与网络管理技术199.2.6 身份认证技术的发展身份认证技术的发展 所知所知：个人所掌握的密码、口令个人所掌握的密码、口令 所有所有：个人的身份证、护照、信用卡、钥匙个人的身份证、护照、信用卡、钥匙 个人特征个人特征：人的指纹、声音、笔迹、手型、脸人的指纹、声音、笔迹、手型、脸 型、血型、视网膜、虹膜、型、血型、视网膜、虹膜、DNA，以及个人动作方面的特征以及个人动作方面的特征 根据安全要求和用户可接受的程度，以及

8、成本根据安全要求和用户可接受的程度，以及成本等因素，可以选择适当的组合，来设计一个自等因素，可以选择适当的组合，来设计一个自动身份认证系统。动身份认证系统。计算机网络第9章 网络安全与网络管理技术209.3 网络安全协议网络安全协议9.3.1 网络安全协议的基本概念网络安全协议的基本概念 网络安全协议设计的要求是实现协议执网络安全协议设计的要求是实现协议执行过程中的认证性、机密性、完整性与行过程中的认证性、机密性、完整性与不可否认性。不可否认性。网络安全协议的研究与标准的制定涉及网络安全协议的研究与标准的制定涉及网络层、传输层与应用层。网络层、传输层与应用层。计算机网络第9章 网络安全与网络管

9、理技术219.3.2 网络层安全与网络层安全与IPSec协议、协议、IPSec VPNIPSec安全体系结构安全体系结构 IPSec的安全服务是在的安全服务是在IP层提供的。层提供的。IPSec安全体系主要是由：认证头协议、封装安全载荷安全体系主要是由：认证头协议、封装安全载荷协议与协议与Internet密钥交换协议等组成。密钥交换协议等组成。认证头协议用于增强认证头协议用于增强IP协议的安全性，提供对协议的安全性，提供对IP分组分组源认证、源认证、IP分组数据传输完整性与防重放攻击的安全分组数据传输完整性与防重放攻击的安全服务。服务。封装安全载荷协议提供对封装安全载荷协议提供对IP分组源认证

10、、分组源认证、IP分组数据分组数据完整性、秘密性与防重放攻击的安全服务。完整性、秘密性与防重放攻击的安全服务。Internet密钥交换协议用于协商密钥交换协议用于协商AH协议与协议与ESP协议所协议所使用的密码算法与密钥管理体制。使用的密码算法与密钥管理体制。IPSec对于对于IPv4是可选的，而是是可选的，而是IPv6基本的组成部分。基本的组成部分。计算机网络第9章 网络安全与网络管理技术22AH协议基本工作原理协议基本工作原理 传输模式的传输模式的AH协议原理示意图协议原理示意图计算机网络第9章 网络安全与网络管理技术23 隧道模式隧道模式ESP工作原理示意图工作原理示意图计算机网络第9章

11、 网络安全与网络管理技术249.3.4 传输层安全与传输层安全与SSL、TLP协议协议 SSL协议在层次结构中的位置协议在层次结构中的位置计算机网络第9章 网络安全与网络管理技术259.3.4 应用层安全与应用层安全与PGP、SET协议协议 数字信封工作原理示意图数字信封工作原理示意图计算机网络第9章 网络安全与网络管理技术26 SET结构示意图结构示意图计算机网络第9章 网络安全与网络管理技术279.4 防火墙技术防火墙技术9.4.1 防火墙的基本概念防火墙的基本概念 防火墙的位置与作用防火墙的位置与作用计算机网络第9章 网络安全与网络管理技术289.4.2 包过滤路由器包过滤路由器 包过滤

12、路由器的结构包过滤路由器的结构计算机网络第9章 网络安全与网络管理技术29 包过滤的工作流程包过滤的工作流程计算机网络第9章 网络安全与网络管理技术30 包过滤路由器作为防火墙的结构包过滤路由器作为防火墙的结构计算机网络第9章 网络安全与网络管理技术31 包过滤规则表包过滤规则表计算机网络第9章 网络安全与网络管理技术329.4.3 应用级网关的概念应用级网关的概念 典型的多归属主机结构示意图典型的多归属主机结构示意图计算机网络第9章 网络安全与网络管理技术33 应用级网关原理示意图应用级网关原理示意图计算机网络第9章 网络安全与网络管理技术34 应用代理工作原理示意图应用代理工作原理示意图计

13、算机网络第9章 网络安全与网络管理技术359.4.4 防火墙的系统结构防火墙的系统结构 应用级网关结构示意图应用级网关结构示意图计算机网络第9章 网络安全与网络管理技术36 采用采用S-B1配置的防火墙系统结构配置的防火墙系统结构计算机网络第9章 网络安全与网络管理技术37 包过滤路由器的转发过程包过滤路由器的转发过程计算机网络第9章 网络安全与网络管理技术38 S-B1配置的防火墙系统层次结构示意图配置的防火墙系统层次结构示意图计算机网络第9章 网络安全与网络管理技术39 S-B1-S-B1配置的防火墙系统结构示意图配置的防火墙系统结构示意图计算机网络第9章 网络安全与网络管理技术409.4

14、.5 防火墙报文过滤规则制定方法防火墙报文过滤规则制定方法 用防火墙保护的内部网络结构示意图用防火墙保护的内部网络结构示意图计算机网络第9章 网络安全与网络管理技术41 ICMP报文过滤规则报文过滤规则计算机网络第9章 网络安全与网络管理技术42 对对Web访问的报文过滤规则访问的报文过滤规则计算机网络第9章 网络安全与网络管理技术43 对对FTP访问报文的过滤规则访问报文的过滤规则计算机网络第9章 网络安全与网络管理技术44 E-Mail服务的报文过滤规则服务的报文过滤规则计算机网络第9章 网络安全与网络管理技术459.5 入侵检测技术入侵检测技术9.5.1 入侵检测的基本概念入侵检测的基本

15、概念 入侵检测系统（入侵检测系统（IDS）是对计算机和网络资源）是对计算机和网络资源的恶意使用行为进行识别的系统。的恶意使用行为进行识别的系统。它的目的是监测和发现可能存在的攻击行为，它的目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户包括来自系统外部的入侵行为和来自内部用户的非授权行为，并采取相应的防护手段。的非授权行为，并采取相应的防护手段。计算机网络第9章 网络安全与网络管理技术46入侵检测系统的基本功能主要有入侵检测系统的基本功能主要有：监控、分析用户和系统的行为监控、分析用户和系统的行为 检查系统的配置和漏洞检查系统的配置和漏洞 评估重要的系统和数据文件的

16、完整性评估重要的系统和数据文件的完整性 对异常行为的统计分析，识别攻击类型，并向对异常行为的统计分析，识别攻击类型，并向网络管理人员报警网络管理人员报警 对操作系统进行审计、跟踪管理，识别违反授对操作系统进行审计、跟踪管理，识别违反授权的用户活动权的用户活动计算机网络第9章 网络安全与网络管理技术47 入侵检测系统入侵检测系统IDS的通用框架结构的通用框架结构计算机网络第9章 网络安全与网络管理技术489.5.2 入侵检测的基本方法入侵检测的基本方法 基于主机的入侵检测系统的基本结构基于主机的入侵检测系统的基本结构计算机网络第9章 网络安全与网络管理技术49 基于网络的入侵检测系统的基本结构基

17、于网络的入侵检测系统的基本结构计算机网络第9章 网络安全与网络管理技术509.5.3 蜜罐技术的基本概念蜜罐技术的基本概念 蜜罐（蜜罐（honeypot）是一个包含漏洞的诱骗系统，通过）是一个包含漏洞的诱骗系统，通过模拟一个主机、服务器或其他网络设备，给攻击者提模拟一个主机、服务器或其他网络设备，给攻击者提供一个容易攻击的目标，用来被攻击和攻陷。供一个容易攻击的目标，用来被攻击和攻陷。设计蜜罐系统希望达到以下设计蜜罐系统希望达到以下三三个主要目的：个主要目的：转移网络攻击者对有价值的资源的注意力，保护网转移网络攻击者对有价值的资源的注意力，保护网 络络中中有价值的资源。有价值的资源。通过对攻击

18、者的攻击目标、企图、行为与破坏方式通过对攻击者的攻击目标、企图、行为与破坏方式 等数据的收集、分析，了解网络安全状态，研究相等数据的收集、分析，了解网络安全状态，研究相 应的对策。应的对策。对入侵者的行为和操作过程进行记录，为起诉入侵对入侵者的行为和操作过程进行记录，为起诉入侵 者搜集有用的证据。者搜集有用的证据。计算机网络第9章 网络安全与网络管理技术519.6 网络业务持续性规划技术网络业务持续性规划技术9.6.1 网络文件备份与恢复的重要性网络文件备份与恢复的重要性 网络文件备份恢复属于日常网络与信息系统维护的范网络文件备份恢复属于日常网络与信息系统维护的范畴，而业务持续性规划涉及对突发

19、事件对网络与信息畴，而业务持续性规划涉及对突发事件对网络与信息系统影响的预防技术。系统影响的预防技术。由于自然灾害与人为的破坏，造成网络基础设施的破由于自然灾害与人为的破坏，造成网络基础设施的破坏，将导致信息系统业务流程的非计划性中断。坏，将导致信息系统业务流程的非计划性中断。网络业务持续性规划技术针对可能出现的突发事件，网络业务持续性规划技术针对可能出现的突发事件，提前做好预防突发事件出现造成重大后果的预案，控提前做好预防突发事件出现造成重大后果的预案，控制突发事件对网络信息系统关键业务流程所造成的影制突发事件对网络信息系统关键业务流程所造成的影响。响。计算机网络第9章 网络安全与网络管理技

20、术529.6.2 业务持续性规划技术研究业务持续性规划技术研究业务持续性规划技术包括的基本内容业务持续性规划技术包括的基本内容：规划的方法学问题规划的方法学问题 风险分析方法风险分析方法 数据恢复规划数据恢复规划计算机网络第9章 网络安全与网络管理技术539.7 恶意代码与网络防病毒技术恶意代码与网络防病毒技术9.7.1 恶意代码的定义与演变过程恶意代码的定义与演变过程 恶意传播代码（恶意传播代码（MMC）也称作）也称作“恶意代码恶意代码”或或“恶意程序恶意程序”。恶意代码是指：能够从一台计算机传播到另一恶意代码是指：能够从一台计算机传播到另一台计算机，从一个网络传播到一个网络的程序台计算机，

21、从一个网络传播到一个网络的程序，目的是在用户和网络管理员不知情的情况下，目的是在用户和网络管理员不知情的情况下对系统进行故意地修改。对系统进行故意地修改。恶意代码具有如下三个共同的特征：恶意的目恶意代码具有如下三个共同的特征：恶意的目的、本身是程序、通过执行发生作用。的、本身是程序、通过执行发生作用。计算机网络第9章 网络安全与网络管理技术54恶意代码发展阶段划分恶意代码发展阶段划分：第一代：第一代：DOS病毒（病毒（1986年年1995年）年）第二代：宏病毒（第二代：宏病毒（1995年年2000年）年）第三代：网络蠕虫病毒（第三代：网络蠕虫病毒（1999年年2004年）年）第四代：趋利性恶意

22、代码（第四代：趋利性恶意代码（2005年至今）年至今）计算机网络第9章 网络安全与网络管理技术559.7.2 病毒的基本概念病毒的基本概念 病毒（病毒（viruses）程序名称来源类似于生物学的）程序名称来源类似于生物学的病毒。病毒是指一段程序代码，通过对其他程病毒。病毒是指一段程序代码，通过对其他程序进行修改，感染这些程序，使之成为含有该序进行修改，感染这些程序，使之成为含有该病毒程序的一个拷贝。病毒程序的一个拷贝。一般病毒具有两种基本的功能：一般病毒具有两种基本的功能：感染其他程序感染其他程序 破坏程序或系统的正常运行，或植入攻击破坏程序或系统的正常运行，或植入攻击计算机网络第9章 网络安

23、全与网络管理技术569.7.3 蠕虫的基本概念蠕虫的基本概念 蠕虫是一种依靠自复制能力进行传播的程序。蠕虫是一种依靠自复制能力进行传播的程序。蠕虫可以利用电子邮件、聊天室等应用程序进蠕虫可以利用电子邮件、聊天室等应用程序进行传播。行传播。蠕虫可以将自己附在一封要发送出的邮件上，蠕虫可以将自己附在一封要发送出的邮件上，或者在两个互相信任的系统之间，通过一条简或者在两个互相信任的系统之间，通过一条简单的单的FTP命令来传播。命令来传播。蠕虫一般不寄生在其他文件或引导区中。蠕虫一般不寄生在其他文件或引导区中。计算机网络第9章 网络安全与网络管理技术579.7.4 特洛伊木马的基本概念特洛伊木马的基本

24、概念 特洛伊木马程序简称为特洛伊木马程序简称为“木马程序木马程序”。木马程序是专为欺骗用户，让用户以为它是友好程序木马程序是专为欺骗用户，让用户以为它是友好程序而设计的。而设计的。木马程序不改变或感染其他的文件，它只是伪装成一木马程序不改变或感染其他的文件，它只是伪装成一种正常程序，随着其他的一些应用程序，装到用户计种正常程序，随着其他的一些应用程序，装到用户计算机中，但是程序是个什么的用户并不知道。算机中，但是程序是个什么的用户并不知道。木马程序不具备自我复制与传播能力，而是以伪装的木马程序不具备自我复制与传播能力，而是以伪装的欺骗手段诱使用户去激活木马程序。木欺骗手段诱使用户去激活木马程序

25、。木 马程序可以远程操控远程计算机，下载、安装其他恶马程序可以远程操控远程计算机，下载、安装其他恶意代码，窃取用户信息，删除数据和破坏系统。意代码，窃取用户信息，删除数据和破坏系统。很多木马程序就是后面程序。很多木马程序就是后面程序。计算机网络第9章 网络安全与网络管理技术589.7.5 垃圾邮件的基本概念垃圾邮件的基本概念垃圾邮件的定义垃圾邮件的定义：收件人事先没有提出要求或者不同意接收的广收件人事先没有提出要求或者不同意接收的广告、电子刊物、各种形式的宣传品等宣传性的告、电子刊物、各种形式的宣传品等宣传性的电子邮件。电子邮件。收件人无法拒收的电子邮件。收件人无法拒收的电子邮件。隐藏发件人身

26、份、地址、标题等信息的电子邮隐藏发件人身份、地址、标题等信息的电子邮件。件。含有虚假的信息源、发件人、路由等信息的电含有虚假的信息源、发件人、路由等信息的电子邮件。子邮件。计算机网络第9章 网络安全与网络管理技术59垃圾邮件的危害垃圾邮件的危害：垃圾邮件的仓储、传输占有了大量的网络存储资源与垃圾邮件的仓储、传输占有了大量的网络存储资源与传输带宽，影响了正常的电子邮件服务。传输带宽，影响了正常的电子邮件服务。垃圾邮件的清理需要耗费用户大量的时间、精力与费垃圾邮件的清理需要耗费用户大量的时间、精力与费用，大大地降低了电子邮件使用效率与信任度。用，大大地降低了电子邮件使用效率与信任度。垃圾邮件经常包

27、含了大量诈骗、色情，甚至是反动的垃圾邮件经常包含了大量诈骗、色情，甚至是反动的内容，对社会形成了危害。内容，对社会形成了危害。垃圾邮件常包含了病毒、网络钓鱼链接或挂马网站链垃圾邮件常包含了病毒、网络钓鱼链接或挂马网站链接，成为病毒传播的重要载体，威胁互联网的安全。接，成为病毒传播的重要载体，威胁互联网的安全。垃圾邮件常常被攻击者利用，造成某些电子邮件服务垃圾邮件常常被攻击者利用，造成某些电子邮件服务器的瘫痪与资源耗尽，严重地影响系统的正常运行。器的瘫痪与资源耗尽，严重地影响系统的正常运行。垃圾邮件的泛滥严重地影响着垃圾邮件的泛滥严重地影响着ISP的服务质量与形象，的服务质量与形象，甚至使它们的

28、甚至使它们的IP地址因大量转发地址因大量转发垃圾邮件而被封杀。垃圾邮件而被封杀。1、用爱心来做事，用感恩的心做人。2、人永远在追求快乐，永远在逃避痛苦。3、有多大的思想，才有多大的能量。4、人的能量=思想+行动速度的平方。5、励志是给人快乐，激励是给人痛苦。6、成功者绝不给自己软弱的借口。7、你只有一定要，才一定会得到。8、决心是成功的开始。9、当你没有借口的那一刻，就是你成功的开始。10、命运是可以改变的。11、成功者绝不放弃。12、成功永远属于马上行动的人。13、下定决心一定要，才是成功的关键。14、成功等于目标，其他都是这句话的注解。15、成功是一个过程，并不是一个结果。16、成功者学习

29、别人的经验，一般人学习自己的经验。17、只有第一名可以教你如何成为第一名。18、学习需要有计划。19、完全照成功者的方法来执行。20、九十九次的理论不如一次的行动来得实际。21、一个胜利者不会放弃，而一个放弃者永远不会胜利。22、信心、毅力、勇气三者具备，则天下没有做不成的事。23、如果你想得到，你就会得到，你所需要付出的只是行动。24、一个缺口的杯子，如果换一个角度看它，它仍然是圆的。25、对于每一个不利条件，都会存在与之相对应的有利条件。26、一个人的快乐，不是因为他拥有的多，而是他计较的少。27、世间成事，不求其绝对圆满，留一份不足，可得无限美好。28记住：你是你生命的船长；走自己的路，

30、何必在乎其它。29、你要做多大的事情，就该承受多大的压力。30、如果你相信自己，你可以做任何事。31、天空黑暗到一定程度，星辰就会熠熠生辉。32、时间顺流而下，生活逆水行舟。33、生活充满了选择，而生活的态度就是一切。34、人各有志，自己的路自己走。35、别人的话只能作为一种参考，是不能左右自己的。36、成功来自使我们成功的信念。37、相互了解是朋友，相互理解是知己。38、没有所谓失败，除非你不再尝试。39、有时可能别人不在乎你，但你不能不在乎自己。40、你必须成功，因为你不能失败。41、羡慕别人得到的，不如珍惜自己拥有的。42、喜欢一个人，就该让他（她）快乐。43、别把生活当作游戏，谁游戏人

31、生，生活就惩罚谁，这不是劝诫，而是-规则！44、你要求的次数愈多，你就越容易得到你要的东西，而且连带地也会得到更多乐趣。45、把气愤的心境转化为柔和，把柔和的心境转化为爱，如此，这个世间将更加完美。46、一份耕耘，一份收获，付出就有回报永不遭遇过失败，因我所碰到的都是暂时的挫折。47、心如镜，虽外景不断变化，镜面却不会转动，这就是一颗平常心，能够景转而心不转。48、每件事情都必须有一个期限，否则，大多数人都会有多少时间就花掉多少时间。49、人，其实不需要太多的东西，只要健康地活着，真诚地爱着，也不失为一种富有。50、生命之长短殊不重要，只要你活得快乐，在有生之年做些有意义的事，便已足够。51、活在忙与闲的两种境界里，才能俯仰自得，享受生活的乐趣，成就人生的意义。52、一个从来没有失败过的人，必然是一个从未尝试过什么的人。53、待人退一步，爱人宽一寸，人生自然活得很快乐。54、经验不是发生在一个人身上的事件，而是一个人如何看待发生在他身上的事。55、加倍努力，证明你想要的不是空中楼阁。胜利是在多次失败之后才姗姗而来。