计算机网络技术第七章.ppt

《计算机网络技术第七章.ppt》由会员分享，可在线阅读，更多相关《计算机网络技术第七章.ppt（36页珍藏版）》请在课桌文档上搜索。

1、第7章 网络安全,7.1 网络安全概述7.2 计算机病毒与木马7.3 防火墙7.4 数字加密与数字签名,随着计算机技术的日新月异，互联网正在以令人惊讶的速度改变着我们的生活，从政府到商业再到个人，互联网的应用无处不在，如党政部门信息系统、电子商务、网络炒股、网上银行、网上购物等等。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，也带来了许多信息安全隐患，如何保护政府、企业和个人的信息不受他人的入侵，更好地增加互联网的安全性，是一个亟待解决的重大问题。7.1.1网络安全隐患由于互联网络设计初期，很少考虑到网络安全方面的问题，所以现实的互联网存在着许多安全隐患可以供人利用，,

2、7.1 网络安全概述,下一页,返回,隐患主要有以下几种：(1)黑客入侵；这里的黑客（cracker）一般指一些恶意（一般是非法地）试图破解或破坏某个程序、系统及网络安全的人，他们入侵他人的计算机的目的一般是获取利益或证明自己的能力，他们利用自己在计算机上的特殊才能对网络安全造成极大的破坏。(2)计算机病毒的攻击；计算机病毒是对网络安全最严重的威胁，它的种类很多，通过网络传播的速率非常之快，普通家用PC基本都受过病毒的侵。,7.1 网络安全概述,下一页,返回,上一页,(3)陷阱和特洛伊木马；通过替换系统合法程序，或者在合法程序里插入恶意源代码以实现非授权进程，从而达到某种特定目的。(4)来自内部

3、人员的攻击；内部人员攻击主要指在信息安全处理系统范围内或对信息安全处理系统有直接访问权里的人对本网络的攻击。(5)修改或删除关键信息；通过对原始内容进行一定的改动或删除，达到某种破环网络安全目的的行为。,7.1 网络安全概述,下一页,返回,上一页,(6)拒绝服务；当一个授权实体不能获得应有的对网络资源的访问或紧急操作被延迟时，就发生了拒绝服务。(7)人为地破坏网络设施，造成网络瘫痪。人为从物理上对网络设施进行破坏，使网络不能正常运行。7.1.2网络攻击网络攻击之前，入侵者一般首先要寻找网络中存在的漏洞，漏洞主要存在于操作系统和计算机网络数据库管理系统中，找到漏洞后悄然无息的发起攻击。,7.1

4、网络安全概述,下一页,返回,上一页,这里的“攻击”是指可能是一个网络受到破坏的的所有行为，攻击的范围从服务器，到网络互连设备，再到特定主机，方式有使其无法实现应有的功能、完全破坏、完全控制等。网络攻击从攻击行为上可分为二类：（1）被动攻击：攻击者简单地监视所有信息流以获得某些秘密。这种攻击可以是基于网络或者基于系统的。这种攻击是最难被检测到的，对付这类攻击的重点是预防，主要手段是数据加密。（2）主动攻击：攻击者试图突破网络的安全防线。这种攻击涉及到网络传输数据的修改或创建错误数据信息，主要攻击形式有假冒、重放、欺骗、消息篡改、拒绝服务等。,7.1 网络安全概述,下一页,返回,上一页,这类攻击无

5、法预防但容易检测，所以，对付这种攻击的重点是“测”而不是“防”，主要手段有：防火墙、入侵检测系统等。7.1.3网络基本安全技术针对目前网络不容乐观的安全形势，实现网络安全的基本措施主要有防火墙、数字加密、数字签名、身份认证等，这些措施在一定程度上增加了网络的安全性。防火墙：防火墙是设置在被保护的内部网络和有危险性的外部网络之间的一道屏障，系统管理员按照一定的规则控制数据包在内外网之间的进出。,7.1 网络安全概述,下一页,返回,上一页,数字加密：数据加密是通过对传输的信息进行一定的重新组合，而使只有通信双方才能识别原有信息的一种手段。数字签名：数字签名可以被用来证明数据的真实发送者，而且，当数

6、字签名用在存储的数据或程序时，可以用来验证其完整性。身份认证：用多种方式来验证用户的合法性，如密码技术、指纹识别、智能IC卡、网银U盾等。,7.1 网络安全概述,返回,上一页,7.2.1计算机病毒的基本知识计算机病毒指编写或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。它能够通过某种途径潜伏在计算机存储介质（或程序）里,当达到某种条件时即被激活，具有对计算机资源进行破坏的作用。只要你的计算机接入互联网或插入移动存储设备，就有中计算机病毒的危险。1.计算机病毒具有以下几个特点：,7.2 计算机病毒与木马,下一页,返回,（1）寄生性计

7、算机病毒寄生在其他程序或指令之中，当执行这个程序或指令时，病毒就起破坏作用，而在未启动这个程序或指令之前，它是不易被人发觉的。（2）传染性 计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。（3）隐蔽性 计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，,7.2 计算机病毒与木马,下一页,返回,上一页,这类病毒处理起来通常很困难。（4）潜伏性 病毒侵入后，一般不立即活动，需要等一段时间，只有在满足其特定条件后才启动其表现模块，显示发作信息或进行系统破坏。可以分为：利用系统时钟提供的时间作为触

8、发器和利用病毒体自带的计数器作为触发器二种。（5）破坏性 计算机中毒后，凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。其表现：占用CPU时间内存开销，从而造成进程堵塞；对数据或文件进行破坏；打乱屏幕的显示；无法正常启动系统等。,7.2 计算机病毒与木马,下一页,返回,上一页,2.计算机病毒的分类：综合病毒本身的技术特点，攻击目标，传播方式等各个方面，一般情况下，我们将病毒大致分为以下几类：传统病毒，宏病毒，恶意脚本，木马、黑客程序、蠕虫、破坏性程序。1.传统病毒：能够感染的程序。通过改变文件或者其他东西进行传播，通常有感染可执行文件的文件型病毒和感染引导扇区的引导型病毒，如

9、CIH病毒。2.宏病毒（Macro）：利用Word、Excel等的宏脚本功能进行传播的病毒，如著名的美丽莎(Macro.Melissa)。,7.2 计算机病毒与木马,下一页,返回,上一页,3.恶意脚本（Script）：做破坏的脚本程序。包括HTML脚本、批处理脚本、VB、JS脚本等，如欢乐时光（VBS.Happytime）。4.木马（Trojan）程序：当病毒程序被激活或启动后用户无法终止其运行。广义上说，所有的网络服务程序都是木马，判定是否是木马病毒的标准不好确定，通常的标准是：在用户不知情的情况下安装，隐藏在后台，服务器端一般没有界面无法配置，如QQ盗号木马。5.黑客(Hack)程序：利用

10、网络来攻击其他计算机的网络工具，被运行或激活后就象其他正常程序一样有界面；黑客程序是用来攻击/破坏别人的计算机，对使用者本身的机器没有损害。,7.2 计算机病毒与木马,下一页,返回,上一页,6.蠕虫（Worm）程序：蠕虫病毒是一种可以利用操作系统的漏洞、电子邮件、P2P软件等自动传播自身的病毒，如冲击波。7.破坏性程序（Harm）：病毒启动后，破坏用户计算机系统，如删除文件，格式化硬盘等。常见的是bat文件，也有一些是可执行文件，有一部分和恶意网页结合使用。7.2.2“熊猫烧香”病毒简介现在的病毒正在向混合型，多功能的方向发展，许多新型病毒综合了各类病毒的特点和优点，比如说震惊全国的“熊猫烧香

11、”病毒，它就是一种蠕虫病毒经过多次变种得来的，又叫尼姆亚变种（worm.nimaya）。,7.2 计算机病毒与木马,下一页,返回,上一页,7.2.3常见AUTORUN.INF文件下面我们再把最常见的AUTORUN.INF文件作一下介绍：AUTORUN.INF这个文件本身并不是一个病毒文件，它可以实现双击盘符自动运行某个程序的功能，但是很多病毒利用了这个文件的特点，自动运行一些病毒程序。当你的磁盘或U盘再双击时出现下面这个图标时。有很大可能，你的计算机已经中毒了。为什么会进不去硬盘或U盘呢，这都是因为AUTORUN.INF文件，下面我们来看看一个名叫icnskem.exe的病毒的AUTORUN.

12、INF文件。AUTORUN.INF文件是可以双击打开的，或者把名称改为AUTORUN.TXT再打开，,7.2 计算机病毒与木马,下一页,返回,上一页,打开以后可以看到如图 如果你用双击“open”打开，病毒icnskem.exe自动运行；如果你单击盘符右键，选“打开”，也是运行icnskem.exe；即使你单击盘符右键，选“资源管理器”，还是运行icnskem.exe。大家可以拿这个病毒的AUTORUN.INF文件和熊猫烧香病毒的AUTORUN.INF文件对比一下。7.2.4木马原理木马的全称是特洛伊木马，是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程

13、访问和控制用户计算机的权限。,7.2 计算机病毒与木马,下一页,返回,上一页,特洛伊木马有一些明显的特点：它的安装和操作都是在隐蔽之中完成，用户没有察觉。攻击者常把特洛伊木马隐藏在一些小软件或游戏之中，诱使用户在自己的计算机上运行。中木马最常见的情况是用户从不正规的网站下载和运行了带恶意代码的软件、游戏，或者不小心点击了带恶意代码的邮件附件。大部分木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将木马服务器部分绑定到某个合法软件上，只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。当服务端程序在被感染的机器上成功运行以后，会通知客户端用户已被控

14、制，,7.2 计算机病毒与木马,下一页,返回,上一页,攻击者就可以使用客户端与服务端建立连接（一般这种连接大部分是TCP连接，少量木马用UDP连接），攻击者利用客户程序向服务器程序发送命令并进一步控制被感染的计算机。被感染的计算机又可以作为攻击端，对网络中其他计算机发起攻击。因为客户端和服务器端可以通过程序设计实现不同的功能，网络上的木马程序有很多种，比较著名的有冰河，灰鸽子，QQ盗号木马等。,7.2 计算机病毒与木马,返回,上一页,7.3.1防火墙的基本概念防火墙是网络安全的“桥头堡”，可以实现内部可信任网络与外部不可信任网络（互联网）之间或内部网络不同区域之间的隔离与访问控制，阻止外部网络

15、中的恶意程序访问内部网络资源，防止更改、复制、损坏用户重要信息。防火墙是一种网络安全保障方式，主要目的就是通过检查入、出一个网络的所有连接，防止某个需要保护的网络遭受外部网络的干扰和破坏。从逻辑上讲，防火墙是一个分离器、限制器、分析器，有效地检查内部网络和外部网络之间的任何活动；,7.3 防火墙,下一页,返回,物理上，防火墙集成在网络特殊位置的一组硬件设备-路由器、三层交换机、PC机上。可以是一个独立硬件系统，也可以是一个软件系统。7.3.2防火墙的分类防火墙分类有很多种，这里按照工作的网络层次和作用对象来分为四种类型：1.包过滤防火墙包过滤防火墙又被称为访问控制表ACL（Access Con

16、trol List）,它根据预先静态定义好的规则审查内、外网之间通信的数据包是否与自己定义的规则（分组包头源地址、,7.3 防火墙,下一页,返回,上一页,目的地址端口号、协议类型等）相一致，从而决定是否转发数据包。包过滤防火墙工作于网络层和传输层，把满足规则的数据包转发到目的端口，不满足的数据包则被丢弃，许多个规则是可以复合定义的。包过滤防火墙的优点是：不用改动用户主机上的客户程序；可以与现有设备集成，也可以通过独立的包过滤软件实现；成本低廉、速度快、效率高，很大程度满足企业的需要。包过滤防火墙的缺点也很明显：工作在网络层，不能检测对于高层的攻击；,7.3 防火墙,下一页,返回,上一页,如果使

17、用很复杂的规则，会大大减低工作效率；需要手工建立安全规则，要求管理人员要清楚了解网络需求；包过滤主要依据IP包头中的各种信息，但IP包头信息可以被伪造，这样就可以轻易绕过包过滤防火墙。2.应用程序代理防火墙应用程序代理防火墙又叫应用网关防火墙，指在网关上执行一些特定的应用程序和服务器程序实现协议的过滤和转发功能，他工作于应用层，掌握着应用系统中可作为安全决策的全部信息。,7.3 防火墙,下一页,返回,上一页,其特点是完全阻隔了网络信息流，当一个远程用户希望和网内用户通信时，应用网关会阻隔通信信息，然后对这个通信数据进行检查，符合要求后，应用网关会作为一个桥梁，转发通信数据。3.复合型防火墙由于

18、对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案：屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒主机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，,7.3 防火墙,下一页,返回,上一页,使堡垒主机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主

19、机和分组过滤路由器共同构成了整个防火墙的安全基础。4.个人防火墙目前网络上有许多个人防火墙软件，很多都集成在杀毒软件当中，它是应用程序级的，在某一台计算机上运行，保护其不受外部网络的攻击。,7.3 防火墙,下一页,返回,上一页,一般的个人防火墙都具有“学习”机制，就是说一旦主机防火墙收到一种新的网络通信要求，它会询问用户是允许还是拒绝，并应用于以后该通信要求。举例来说，金山毒霸里集成的金山网镖就是一款个人防火墙，具有学习机制。7.3.3 网络地址转换NAT技术网络地址转换NAT的作用原理就是通过替换一个数据包的源地址和目的地址，来保证这个数据包能被正确识别。具体地说，通过这种地址映射技术，内部

20、计算机上使用私有地址（10.0.0.010.255.255.255，172.16.0.0172.16.255.255，192.168.0.0192.168.255.255），,7.3 防火墙,下一页,返回,上一页,当内部网络计算机通过路由器向外部网络发送数据包时，私有地址被转换成合法的IP地址（全局地址）在Internet上使用，最少只需一个合法IP，就可以实现私有地址网络内所有计算机与Internet的通信。这一个或多个合法地址，就代表整个内部网络与外部网络进行通信。私有地址作为内部网络使用的IP地址，是不会在互联网上通信中使用的，所以不同的局域网在共享上网的时候可以重复使用私有地址，所以N

21、AT技术不仅很好的解决了目前IPv4版本IP地址不足的现实问题，也因为有效的隐藏内部网络中的计算机，从而避免内部网络被外部网络攻击，提高了网络的安全性。,7.3 防火墙,下一页,返回,上一页,一般NAT技术都在路由器上实现，所以在互联网的通信中，路由器的路由表里是不可能出现私有地址的。NAT技术的缺点是学要转换每个通信数据包包头的IP地址而增加网络延迟，而且当内部网络用户过多时，NAT的服务质量就不能保证了。,7.3 防火墙,返回,上一页,7.4.1数字加密1.数字加密原理在现实的网络中，想要让别人彻底不能窃取某个数据非常的困难，比较现实的一种方式就是采用数字加密技术，就是说即使别人得到这个数

22、据，也会因为不能使这个加过密的数据解密，而无法解读它的意思。数据加密就是指将原始的数据通过一定的加密方式，加密成非授权人难以理解的数据，授权人在接受加密数据后，利用自己知道的解密方式把数据还原成原始数据。,7.4 数字加密与数字签名,下一页,返回,下面我们介绍一些数据加密常用术语：明文：没有加密的原始数据。密文：加密过后的数据。加密：把明文转换成密文的过程。解密：把密文转换成明文的过程。算法：加密或解密过程中使用的一系列运算方式。密钥：用于加密或解密的一个字符串。2.经典数字加密技术经典数字加密技术主要包括替换加密和换位加密二种。,7.4 数字加密与数字签名,下一页,返回,上一页,(1)替换加

23、密 用某个字母替换另一个字母，替换的方式事先确定，比如替换方式是字母按顺序推后5位，hello在网络传输时就用mjqqt。这种加密方式比较简单，密钥就是5，接受者只要按照每个字符的ASC码值减去5再做模26的求余运算就可以得到原始数据了。(2)换位加密按照一定的规律重新排列传输数据。比如说我预先设定好换位的顺序是4213，明文bear在网络传输时就是reba。这种加密方式也较简单，曾经大量使用，但是由于计算机运算速率发展很快，可以利用穷举法破译。,7.4 数字加密与数字签名,下一页,返回,上一页,3.秘密密钥与公开密钥加密技术(1)秘密密钥技术秘密密钥技术也叫对称密钥加密技术。在这种技术中，将

24、算法内部的转换过程设计的非常复杂，而且有很长的密钥，密文的破解非常困难，即使破解，也会因为没有密钥而无法解读，这种技术最大的特点就是吧算法和密钥分开来处理，密钥最为关键，而且在加密和解密过程中，使用的密钥相同。(2)公开密钥加密技术公开密钥加密技术也叫非对称密钥加密技术。公开密钥加密在加密和解密过程中使用二个不同的密钥，,7.4 数字加密与数字签名,下一页,返回,上一页,这二个密钥在数学上是相关的，他们成对出现，但互相之间不能破解。这样接收者可以公开自己的加密密钥，发送者可以利用他来进行加密，而只有拥有解密密钥的授权接收者，才能把数据解密成原文。最著名的公开密钥加密算法是RSA（三位发明者名字

25、首字母组合）。该算法的基本思想是在生成的一对密钥中，任何一个都可以作为加密或解密密钥，另一个相反，一个密钥用于公开供发送者加密使用。另一个密钥严格被接收者保密，当接收者收到密文时，用于解密加密数据。,7.4 数字加密与数字签名,下一页,返回,上一页,7.4.2数字签名数字加密主要用在防止信息在传输过程中被人截取利用，而怎样确定发送信息人的身份，就学要用数字签名来解决。数字签名指在计算机网络中，用电子签名来代替纸质文件或协议的签名，以保证信息的完整性、真实性和发送者的不可否认性。目前使用较多的还是利用报文摘要和公开密钥加密技术相结合的方式进行数字签名。1.报文摘要消息摘要的设计思想是把一个无论多

26、大的明文数据，转变成一个固定长度的比特串，在签名时，,7.4 数字加密与数字签名,下一页,返回,上一页,只要对这个消息摘要签名就行了，不用对整个明文数据进行签名。明文转变为固定长度比特串的方式是通过单向散列函数，单向散列函数具有以下特性：(1)处理任意长度的数据，生成固定大小的比特串(2)生成的比特串是不可预见的，看起来与原始明文没有任何联系，原始明文有任何变化，新的比特串就会与原来的不同。(3)生成的比特串具有不可逆性，不法通过它还原成原始明文。,7.4 数字加密与数字签名,下一页,返回,上一页,目前使用最多的报文摘要算法是和（已由中国科学家王小云破解），以后可能会使用SHA-224、SHA-256、SHA-384及SHA-512等算法。2.数字签名的过程(1)发送端把明文利用单向散列函数转换成消息摘要；(2)发送者利用自己的私钥对消息摘要进行签名；(3)发送端把明文和签名的消息摘要通过网络传递给接收端；,7.4 数字加密与数字签名,下一页,返回,上一页,(4)接收端对明文和消息摘要分别处理，明文通过单向散列函数转换为消息摘要，签名的消息摘要被接收端用发送端的签名公钥还原成消息摘要；(5)把最后生成的二个消息摘要进行比较，判定数据的真实性和完整性。,7.4 数字加密与数字签名,返回,上一页,