《网络管理与信息安全.ppt》由会员分享,可在线阅读,更多相关《网络管理与信息安全.ppt(25页珍藏版)》请在三一办公上搜索。
1、网络管理与信息安全,网络管理:通过某种方式对网络状态进行调整,使网络能正常,高效地运行。其目的是使网络中的各种资源得到更加高效的利用,当网络出现故障时能及时作出报告和处理,并协调,保持网络的高效运行等。,Network management(网络管理),根据ISO提出的网络管理模型,网络管理有五大功能:,Configuration Management(配置管理),Fault Management(故障管理),Security Management(安全管理),Performance Management(性能管理),Accounting Management(计费管理),2.网络信息安全,2
2、.1 网络安全隐患,计算机网络连接形式的多样性,终端分布的不均匀性和网络的开放性,互联性等,导致网络易首到攻击或信息安全隐患。,Hacker(黑客)Cracker(骇客,怪客),网络面临的威胁:,人为的无意失误,系统以及网络软件的漏洞和“后门”,网络安全对策,物理安全策略,访问控制策略,信息加密策略,非技术性的安全管理策略,数据加密算法,传统加密算法:,替换加密(Substitution Cipher,置换)算法,最早最简单的编码方法,将明文中的每个字母替换成另一个字母,变位加密(Transposition Cipher,转置)算法,发送时按照某种方式改变原来字母的先后顺序,例如:,明文:pl
3、easetransferonemilliondollarstome,密码:megabuck,m e g a b u c k7 4 5 1 2 8 3 6,p l e a s e t ra n s f e r o ne m i l l i o nd o l l a r s t o m e a b c d e,发送顺序:afllaselabtoosdlnmomesilernntepaedoerirc,传统的加密算法:优点:算法简单,易于实现缺点:容易被破解用途:作为复杂编码过程的中间步骤,数据加密标准(DES,Data Encryption Standard),IBM 1972 年研制成功1977
4、年,成为美国国家标准,DES算法思想:将整个明文分成一系列64位(8个字节)的明文块,每块采用DES算法生成64位密文块,最后串接所有的密文块形成整个密文。,DES 加密标准,由初始64位(其中8位是奇偶校验位)密钥经过若干变化生成,逆初始变换,输出 密闭文Y(64位),+,f,DES算法的保密性仅取决于对密钥的保密,而算法是公开的。DES密钥长64位(除去8个奇偶校验位,实际有用的是54位),所以主密钥选择空间为256DES使用相同的加密密钥和解密密钥,加密和解密算法也相同,对称密钥算法,16次迭代过程相似,可以采用硬件进行移位和逻辑运算,易于实现,运行速度快。但是密码分配是一个问题,尤其是
5、多用户时需要每对通信用户需要一个密钥。,公开密钥算法,密钥成对出现,一个为加密密钥,一个为解密密钥,加密密钥和解密密钥不同,且不可能从一个推出另一个。,例如:RSA,背包密码,McEliece密码,DiffeHellman,椭圆曲线等,RSA算法,RSA算法安全依据:根据数论,寻找两个大素数比较简单,而将它们的乘积分解开则极其困难。,RSA 算法思想:,选择两个大整数P和Q,一般要求大于10 100,计算N=PQ和Z=(P-1)(Q-1),选择一个与Z互素的整数,记为d,计算满足下列条件的e,记为 ed=1 mod Z,加密密钥(e,N)-公开密钥解密密钥(d,N)-私密密钥,加密时将明文分割
6、成一定大小的二进制块P,P可以看成一个整数,要求0PN,若P的长度为k,则2k N,对P加密,对C解密,RSA举例,选择两个素数(这里显然无法选择100位以上的素数)P=7,Q=17,计算 N=PQ=7X17=119 Z=(P-1)X(Q-1)=96,从0,95中选择一个与96互素的数e,如选e=5,计算d,使得d满足公式 ed=1 mod Z,计算知d=77,加密密钥:PK=(e,N)=(5,119),解密密钥:SK=(d,N)=(77,119),加密时,将明文划分成一个个分组,使每个组的二进制值不超过N,即119。,混合加密,综合利用DES运行高效的特点和RSA安全性特点与密钥管理优势,思
7、想:利用DES算法对明文进行加密,保证加密的高效性。利用RSA算法对DES中用到的密钥进行加密传输,保证密钥分发的安全性。,防火墙(firewall),防火墙是一种用来加强网络之间访问控制的特殊网络互联设备,它在内部网络(可信网络)和外部网络(不可信网络)之间形成一道安全保护屏障,它对网络之间传输的数据信息和链接方式按照一定的安全策略进行检查,来决定网络之间的通信是否被允许,从而保护内部网络的信息不受外部非授权用户的访问,以及内部非法向外部传递信息。,防火墙的主要功能如下:过滤不安全服务(脆弱服务)和非法用户,禁止未授权的用户访问受保护网络。控制外部网络对内部网络和对特殊站点的访问。提供监视I
8、nternet安全和预警的端点。隐藏内部网络的拓扑,地址等信息,保证内网的安全。,防火墙的分类:,包过滤型防火墙代理服务式防火墙(应用层网关级防火墙)状态检测型防火墙,依据IP,port,acl,tcp标志位(SYS,FIN,ACK,UNG,PSH,RST)等,特殊应用层服务代理访问(FTP,WWW,Telent,E-mail等),依据网络状态信息迁移动态分析,包过滤防火墙举例-iptables,Netfilter框架,举例,$FW_IP=“163.26.197.8”iptables-P INPUT DROPiptables-P OUTPUT DROPiptables-P FORWARD AC
9、CEPTiptables-A INPUT-i eth0-p icmp-icmp-type 8-j ACCEPTiptables-A OUTPUT-o eth0-p icmp-icmp-type 0-j ACCEPTiptables-A INPUT-i eth1-P icmp-icmp-type 8-j ACCEPTiptables-A OUTPUT-o eth1-p icmp-icmp-type 0-j acceptiptables-A FORWARD-p TCP-i eth0-o eth1 d 211.198.2.5-dport 80-j ACCEPTiptables-A FORWARD-p
10、 TCP-i eth0-o eth1 d 211.198.2.5-dport 20 j ACCEPTiptables-A FORWARD-p TCP-i eth0-o eth1 d 211.198.2.5-dport 21 j ACCEPTIptables A OUTPUT oeth0 p udp s$FW_IP sport 1024:65535 d any/0 dport 53 j ACCEPTIptables t nat A POSTROUTING o eth0 s 172.16.0.0/16 j SNAT to-source$FW_IP,Icmp报文8-回应0-请求,防火墙并非万能,影响网络安全的因素很多,对于以下情况它无能为力:(1)不能防范绕过防火墙的攻击。(2)一般的防火墙不能防止受到病毒感染的软件或文件的传输。(3)不能防止数据驱动式攻击。(4)难以避免来自内部的攻击。,
