《网络安全技术培训要点课件.ppt》由会员分享,可在线阅读,更多相关《网络安全技术培训要点课件.ppt(43页珍藏版)》请在三一办公上搜索。
1、网络安全技术,混合型威胁,(Red Code,Nimda),拒绝服务攻击,(Yahoo!,eBay),发送大量邮件的病毒,(Love Letter/Melissa),多变形病毒,(Tequila,),特洛伊木马,病毒,网络入侵,70,000,60,000,50,000,40,000,30,000,20,000,10,000,已,知,威,胁,的,数,量,网络安全问题日益突出,安全层次,安全的密码算法,安全协议,网络安全,系统安全,应用安全,网络安全问题概述,1.,计算机网络安全的定义,国际标准化组织,(ISO),对计算机系统安,全的定义是:为数据处理系统建立和采用的,技术和管理的安全保护,保护计
2、算机硬件、,软件和数据不因偶然和恶意的原因遭到破坏、,更改和泄露。,网络安全问题概述,2.,网络安全面临的威胁,?,1.,物理安全威胁,包括自然灾害、电磁辐射、操作失误和意外,疏忽等,?,2.,数据信息的安全威胁,包括网络协议的安全缺陷、应用软件的安全,缺陷和恶意程序等,网络安全问题概述,3.,计算机网络安全的内容,?,1.,可靠性:,?,2.,可用性:,?,3.,保密性:,?,4.,授权性:,?,5.,审查性:,网络面临的安全性威胁,?,网络安全包括数据安全和系统安全,?,数据安全受到四个方面的威胁,?,设信息是从源地址流向目的地址,那么正,常的信息流向是:,网络安全的四种威胁,1.,截获,
3、:当甲通过网络与乙通信,时,如果不采取任何保密措施,那,么其他人,(,如丙,),,就有可能偷听到,他们的通信内容。,2.,中断,:当用户正在通信时,有,意的破坏者可设法中断他们的通信。,网络安全的四种威胁,3.,篡改:乙给甲发了如下一份报文:,“请给丁汇一百元钱,乙”。报文,在转发过程中经过丙,丙把“丁”,改为“丙”。这就是报文被篡改,4.,伪造:用计算机通信时,若甲的,屏幕上显示出“我是乙”时,甲如,何确信这是乙而不是别人呢,?,网络安全的四种威胁,另外还有一种特殊的主动攻击就是,恶意程序,(rogue program),的攻击。恶意,程序种类繁多,对网络安全威胁较大的,主要有以下几种:,1
4、.,计算机病毒:,2.,计算机蠕虫:,3.,逻辑炸弹,:,保护计算机网络安全的措施,?,1,物理措施,?,2,数据加密,?,3,访问控制,?,4,防止计算机网络病毒,?,5,其他措施,防火墙技术,?,防火墙的基本概念,防火墙从本质上说是一种保护装置,可从三个层次上来,理解防火墙的概念:,首先,“防火墙”是一种安全策略,它是一类防范,措施的总称。,其次,防火墙是一种访问控制技术,用于加强两个,网络或多个网络之间的访问控制,最后,防火墙作为内部网络和外部网络之间的隔离,设备,它是由一组能够提供网络安全保障的硬件、软件,构成的系统。,Intranet,防,火,墙,Internet,客户机,电子邮件服
5、务器,Web,服务器,数据库服务器,防火墙示意图,在逻辑上,防火墙是一个分离器,一个限制器,也是一个,分析器,有效地监控了内部网和,Internet,之间的任何活动,保,证了内部网络的安全。,防火墙,(Firewall),?,防火墙的基本设计目标,对于一个网络来说,所有通过“内部”和“外部”的网络流,量都要经过防火墙,通过一些安全策略,来保证只有经过授权的流量才可以通过,防火墙,防火墙本身必须建立在安全操作系统的基础上,?,防火墙的控制能力,服务控制,,确定哪些服务可以被访问,方向控制,,对于特定的服务,可以确定允许哪个方向能够通,过防火墙,用户控制,,根据用户来控制对服务的访问,行为控制,,
6、控制一个特定的服务的行为,防火墙的类型,OSI,模型,防火墙,应用层,网关级,表示层,会话层,电路级,传输层,网络层,路由器级,数据链路层,网桥级,物理层,中继器级,包过滤防火墙,应用代理防火墙,电路级网关,?,按网络体系结构分类,?,按应用技术分类,?,包过滤技术,(Packet,Filter),:,通过在网络连接设备上,加载允许、禁止来自某些特定的源地址、目的地址、,TCP,端口,号等规则,对通过设备的数据包进行检查,限制数据包进出内,部网络,.,数据包过滤可以在网络层截获数据,使用一些规则来确,定是否转发或丢弃所截获的各个数据包。,?,优点:,对用户透明;过滤路由器速度快、效率高,。,?
7、,缺点:,只能进行初步的安全控制;设置过滤规则困难,不能,彻底防止地址欺骗;一些应用协议不适合于数据包过滤。,防火墙的实现技术,包过滤技术,包过滤路由器示意图,网络层,链路层,物理层,外部网络,内部网,络,防火墙的实现技术,电路级网关,?,工作在,会话层,。,?,它在两个主机首次建立,TCP,连接时创立一个电子屏障,建立两个,TCP,连接。,一旦两个连接建立起来,网关从一个连接向另一个连,接转发数据包,而不检查内容。,?,优点:,效率高,精细控制,可以在应用层上授权,为一般的应用提供了一个框架,?,缺点:,客户程序需要修改,动态链接库,?,应用代理,是运行于防火墙主机上的一种应用,程序,它取代
8、用户和外部网络的直接通信。,代理技术的基本思想就是在两个网络之间设置一个“中,间检查站”,两边的网络应用可以通过这个检查站相互,通信,但是它们不能越过它直接通信。这个“中间检查,站”就是代理服务器,它运行在两个网络之间,对网络,之间的每一个请求进行检查。,防火墙的实现技术,应用代理服务技术,应用层网关的协议栈结构,HTTP,FTP,Telnet,Smtp,传输层,网络层,链路层,应用层网关,?,优点:,代理易于配置;可以提供理想的日志功能;代理能灵,活、完全地控制进出的流量、内容;在应用层上实现,能过,滤数据内容;代理能为用户提供透明的加密机制;代理可以,方便地与其他安全手段集成。,?,缺点:
9、,代理速度较路由器慢;代理对用户不透明;对于每项,服务代理可能要求不同的代理软件;代理服务不能保证你免,受所有协议弱点的限制;代理不能改进底层协议的安全性。,应用层网关的结构示意图,三种防火墙技术的安全功能比较,源地址,目的地址,用户身份,数据内容,包过滤,Y,Y,N,N,电路级网关,Y,Y,Y,N,应用代理,Y,Y,Y,Y,防火墙的实现技术,状态监视技术,这是第三代防火墙技术,集成了前两者的,优点,能对网络通信的各层实行检测。同包,过滤技术一样,它能够检测通过,IP,地址、端口,号以及,TCP,标记,过滤进出的数据包。只是在,分析应用层数据时,它与一个应用层网关不,同的是,它并不打破客户机,
10、/,服务机模式,允,许受信任的客户机和不受信任的主机建立直,接连接。,防火墙的典型配置方案,?,包过滤防火墙,?,双宿主主机方案,?,屏蔽主机方案,?,单宿主堡垒主机,?,双宿主堡垒主机,?,屏蔽子网方案,防火墙的典型配置方案,1,包过滤防火墙,也称作包过滤路由器,它是最基本、最简,单的一种防火墙,可以在一般的路由器上实现,也可以在基于主机的路由器上实现。,防火墙的典型配置方案,包过滤防火墙,Internet,内部网络,Server,PC,PC,包过滤路由器,防火墙的典型配置方案,2,双宿主网关防火墙,这种防火墙系统由一台特殊主机来实现。,这台主机拥有两个不同的网络接口,一端接外,部网络,一端
11、接需要保护的内部网络,并运行,代理服务器,故被称为双宿主网关。双宿主网,关防火墙不使用包过滤规则,而是在外部网络,和被保护的内部网络之间设置一个网关,(,双穴,网关,),,隔断,IP,层之间的直接传输。,网络,代理,网络,接口,服务器,接口,双宿主网关防火墙,Internet,内部网络,Server,PC,PC,双宿主主机,防火墙的典型配置方案,3,屏蔽主机网关防火墙,屏蔽主机网关防火墙由一台包过滤路由器,和一台堡垒主机组成。在这种配置中,堡垒主,机配置在内部网络上,过滤路由器则放置在内,部网络和外部网络之间。在路由器上进行配置,,使得外部网络的主机只能访问该堡垒主机,而,不能直接访问内部网络
12、的其他主机。,防火墙的典型配置方案,屏蔽主机网关防火墙,Internet,内,部,网,络,Server,PC,PC,包过滤路由器,堡垒主机,防火墙的典型配置方案,4,屏蔽子网防火墙,考虑到屏蔽主机网关防火墙方案中,堡,垒主机存在被绕过的可能,有必要在被保护,网络与外部网络之间设置一个孤立的子网,,这就是“屏蔽子网”。屏蔽子网防火墙在屏,蔽主机网关防火墙的配置上加上另一个包过,滤路由器。,防火墙的典型配置方案,Internet,内,部,网,络,Server,PC,PC,屏蔽子网防火墙,堡垒主机,过滤路由器,过滤路由器,信息服务器,屏蔽子网,防火墙的典型配置方案,数据加密概念,所谓数据加密是指通过
13、对网络中传输,的数据进行加密来保障网络资源的安全性。,加密是保证网络资源安全的基础技术,是一,种主动安全防御策略。,数据秘密性要求被存储或被传输的数据,是经过伪装的,即使数据被第三者窃取或窃,听都无法破译其中的内容,通常是采用密码,技术来实现。,数据加密技术,加密算法,通信信道,解密算法,明文,M,明文,M,密文,C,密文,C,加密密钥,Ke,解密密钥,Kd,窃取者,接收方,发送方,数据加密、解密原理,数据加密技术,1.,对称密钥加密技术,对称密钥加密也叫作私钥加密,加密和解密,使用相同密钥,并且密钥是保密的,不向外公布。,安全信道,加密算法,通信信道,解密算法,明文,M,明文,M,密文,C,
14、密文,C,加密密钥,Ke,解密密钥,Kd,接收方,发送方,数据加密技术,2.,非对称密钥加密技术,公开密钥加密技术也称非对称密码加密技术,它有两个不同的,密钥:一个是公布于众,谁都可以使用的公开密钥,一个是只有解,密人自己知道的秘密密钥。在进行数据加密时,发送方用公开密钥,将数据加密,对方收到数据后使用秘密密钥进行解密。,密文,C,公开信道,明文,M,加密密钥,PKB,发送方,明文,M,解密密钥,SKB,接收方,PKB/SKB,分别为收方的公开,/,私用密钥,加密算法,解密算法,数据加密技术,访问控制技术,实现访问控制方法的常用方法有三种:,1.,要求用户输入用户名和口令;,2.,是采用一些专
15、门的物理识别设备,如,访问卡、钥匙或令牌;,3.,是采用生物统计学系统,可以通过某,种特殊的物理特性对人进行惟一性识别。,访问控制技术,防病毒技术,网络防病毒技术包括预防病毒、检测病,毒和消除病毒三种技术。,1,预防病毒技术:,2,检测病毒技术:,3,消除病毒技术:,防病毒技术,其它网络安全技术,1.,数字签名技术,数字签名必须保证以下三点:,1.,接收者能够核实发送者对报文的签名,2.,发送者事后不能抵赖对报文的签名;,3.,接收者不能伪造对报文的签名。,2.,认证技术,认证和保密是网络信息安全的两个重要方面。加密,保证了网络信息的机密性,认证则保护了信息的真实性,和完整性。保密不能自然地提
16、供认证性,而认证也无法,自动提供保密性。采用认证技术目的有两个:一是识别,信源的真实性,即验证发信人确实不是冒充的;二是检,验发送信息的完整性,即验证信息在传送过程中是否被,篡改、重发或延迟。一个安全的认证系统应该能够满足,这两个要求。,其它网络安全技术,3.,入侵检测技术,入侵检测技术是一种免受攻击的主动保护网络安全,技术。由于常作为防火墙的合理补充,被称为第二道防,火墙,它从网络中的若干关键点收集信息,并分析这些,信息,看看网络中是否有违反安全策略的行为和遭到袭,击的迹象,从而使系统管理可以较有效地监视、审计、,评估自己的系统。,其它网络安全技术,4.VPN,技术,?,虚拟专用网,VPN(Virtual,Private,Network),是利用现,有的不安全的公共网络环境,构建的具有安全性、独,占性、自成一体的虚拟网络。,?,VPN,是指利用公共网络的一部分来发送专用信息,形,成逻辑上的专用网络。它实际上是一个在互联网等公,用网络上的一些节点的集合。这些节点之间采用了专,用加密和认证技术来相互通信,好像用专线连接起来,一样。,?,虚拟专用网可以在两个异地子网之间建立安全的通道,其它网络安全技术,
