計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第8章-網(wǎng)絡(luò)安全課件

1、Computer Network Technology計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第2版 第8章 網(wǎng)絡(luò)安全第8章 網(wǎng)絡(luò)安全學(xué)習(xí)目標(biāo):了解網(wǎng)絡(luò)安全基本知識(shí)掌握計(jì)算機(jī)病毒的基本知識(shí)理解計(jì)算機(jī)病毒的原理和木馬原理掌握防火墻技術(shù)掌握數(shù)字加密和數(shù)字簽名原理 8.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。8.1.1網(wǎng)絡(luò)安全隱患安全隱患主要有以下幾種：1黑客入侵 黑客（hacker）一般指一些惡意（一般是非法地）試圖破解或破壞某個(gè)程序、系統(tǒng)及網(wǎng)絡(luò)安全的人。8.1.1網(wǎng)絡(luò)安全隱患2計(jì)算機(jī)病毒的攻擊 計(jì)算機(jī)

2、病毒是對(duì)網(wǎng)絡(luò)安全最嚴(yán)重的威脅。3陷阱和特洛伊木馬 在合法程序中插入惡意源代碼以實(shí)現(xiàn)非授權(quán)進(jìn)程，從而達(dá)到某種特定目的。4來自內(nèi)部人員的攻擊 指在信息安全處理系統(tǒng)范圍內(nèi)或?qū)π畔踩幚硐到y(tǒng)有直接訪問權(quán)限的人對(duì)網(wǎng)絡(luò)的攻擊。8.1.1網(wǎng)絡(luò)安全隱患5修改或刪除關(guān)鍵信息 通過對(duì)原始內(nèi)容進(jìn)行一定的修改或刪除，從而達(dá)到某種破壞網(wǎng)絡(luò)安全的目的。6拒絕服務(wù) 當(dāng)一個(gè)授權(quán)實(shí)體不能獲得應(yīng)有的對(duì)網(wǎng)絡(luò)資源的訪問或緊急操作被延遲時(shí)，就發(fā)生了拒絕服務(wù)。7人為地破壞網(wǎng)絡(luò)設(shè)施，造成網(wǎng)絡(luò)癱瘓 人為地從物理上對(duì)網(wǎng)絡(luò)設(shè)施進(jìn)行破壞，使網(wǎng)絡(luò)不能正常運(yùn)行。8.1.2網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊分為兩類:（1）被動(dòng)攻擊 攻擊者簡單地監(jiān)視所有信息流以獲得某些

3、秘密。這種攻擊可以基于網(wǎng)絡(luò)或者基于系統(tǒng)。對(duì)付這類攻擊的重點(diǎn)是預(yù)防，主要手段是數(shù)據(jù)加密。（2）主動(dòng)攻擊 攻擊者試圖突破網(wǎng)絡(luò)的安全防線。這種攻擊涉及網(wǎng)絡(luò)傳輸數(shù)據(jù)的修改或創(chuàng)建錯(cuò)誤數(shù)據(jù)信息，主要攻擊形式有假冒、重放、欺騙、消息篡改、拒絕服務(wù)等。主要手段有防火墻、入侵檢測系統(tǒng)等。8.1.3網(wǎng)絡(luò)基本安全技術(shù)網(wǎng)絡(luò)安全基本措施有防火墻、數(shù)字加密、數(shù)字簽名、身份認(rèn)證。（1）防火墻：設(shè)置在被保護(hù)的內(nèi)部網(wǎng)絡(luò)和有危險(xiǎn)性的外部網(wǎng)絡(luò)之間的一道屏障，系統(tǒng)管理員按照一定的規(guī)則控制數(shù)據(jù)包在內(nèi)外網(wǎng)之間的進(jìn)出。（2）數(shù)字加密：通過對(duì)傳輸?shù)男畔⑦M(jìn)行一定的重新組合，而使只有通信雙方才能識(shí)別原有信息的一種手段。 （3）數(shù)字簽名：可以被用

4、來證明數(shù)據(jù)的真實(shí)發(fā)送者，當(dāng)數(shù)字簽名用在存儲(chǔ)的數(shù)據(jù)或程序時(shí)，可以用來驗(yàn)證其完整性。 （4）身份認(rèn)證：用多種方式來驗(yàn)證用戶的合法性，如密碼技術(shù)、指紋識(shí)別、智能IC卡、網(wǎng)銀U盾等。8.2 計(jì)算機(jī)病毒與木馬8.2.1計(jì)算機(jī)病毒的基本知識(shí) 計(jì)算機(jī)病毒是指編寫或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。1計(jì)算機(jī)病毒的特點(diǎn)寄生性傳染性隱蔽性潛伏性破壞性8.2.1計(jì)算機(jī)病毒的基本知識(shí)2計(jì)算機(jī)病毒的分類 一般將病毒大致分為：傳統(tǒng)病毒、宏病毒、惡意腳本、木馬程序、黑客程序、蠕蟲程序、破壞性程序。（1）傳統(tǒng)病毒 包括文件型病毒和感染引導(dǎo)扇區(qū)的引導(dǎo)型病毒

5、，如CIH病毒。（2）宏病毒（macro） 利用Word、Excel等的宏腳本功能進(jìn)行傳播的病毒，如梅麗莎（macro. melissa）病毒。（3）惡意腳本（script） 進(jìn)行破壞的腳本程序，包括HTML腳本、批處理腳本、Visual Basic和JavaScript腳本等，如歡樂時(shí)光（VBS. Happytime）。8.2.1計(jì)算機(jī)病毒的基本知識(shí)2計(jì)算機(jī)病毒的分類（4）木馬（trojan）程序 當(dāng)病毒程序被激活或啟動(dòng)后用戶無法終止其運(yùn)行，如QQ盜號(hào)木馬。（5）黑客（hack）程序 利用網(wǎng)絡(luò)攻擊其他計(jì)算機(jī)的網(wǎng)絡(luò)工具。（6）蠕蟲（worm）程序 蠕蟲病毒是一種可以利用操作系統(tǒng)的漏洞、電子郵件

6、、P2P軟件等自動(dòng)傳播自身的病毒，如沖擊波。 （7）破壞性程序（harm） 病毒啟動(dòng)后，破壞用戶的計(jì)算機(jī)系統(tǒng)，如刪除文件、格式化硬盤等。如bat文件、可執(zhí)行文件等。8.2.2計(jì)算機(jī)病毒工作原理1程序型病毒工作原理 通過網(wǎng)絡(luò)、U盤和光盤等為載體傳播，主要感染.exe和.dll等可執(zhí)行文件和動(dòng)態(tài)連接庫文件，當(dāng)染毒文件被運(yùn)行，病毒就進(jìn)入內(nèi)存，并獲取了內(nèi)存控制權(quán)，開始感染所有之后運(yùn)行的文件。2引導(dǎo)型病毒工作原理 引導(dǎo)型病毒把自己寫入磁盤引導(dǎo)區(qū)，這樣，只要磁盤被讀寫，病毒就首先被讀取入內(nèi)存。 8.2.3木馬原理木馬的全稱是特洛伊木馬，是一種惡意程序。木馬在宿主機(jī)器上運(yùn)行，可在用戶毫無察覺的情況下，讓攻擊

7、者獲得遠(yuǎn)程訪問和控制用戶計(jì)算機(jī)的權(quán)限。木馬包括客戶端和服務(wù)器端兩個(gè)部分。著名的有“冰河”“灰鴿子”“QQ盜號(hào)木馬”等。8.2.4常見autorun.inf文件 autorun.inf文件本身并不是一個(gè)病毒文件，它可以實(shí)現(xiàn)雙擊盤符自動(dòng)運(yùn)行某個(gè)程序的功能，病毒利用這個(gè)文件的特點(diǎn)，自動(dòng)運(yùn)行一些病毒程序。 打開方式（中毒）8.2.4常見autorun.inf文件 autorun.inf文件可以雙擊打開，或者把名稱改為autorun.txt再打開，查看修改內(nèi)容。 autorun.inf文件圖標(biāo)autorun.inf文件的內(nèi)容8.2.5殺毒軟件工作原理 病毒特征碼:病毒是用某種語言寫出來的一段代碼，每種病

8、毒都會(huì)具有一些獨(dú)一無二的特征叫作病毒特征碼。病毒庫：殺毒軟件公司找到病毒特征碼，更新其病毒庫。 殺毒軟件的殺毒引擎根據(jù)自己獨(dú)特的技術(shù)（算法）對(duì)磁盤文件進(jìn)行高速檢查，發(fā)現(xiàn)病毒并殺毒。8.3 防火墻8.3.1防火墻的基本概念 防火墻是網(wǎng)絡(luò)安全的保障，可以實(shí)現(xiàn)內(nèi)部可信任網(wǎng)絡(luò)與外部不可信任網(wǎng)絡(luò)（互聯(lián)網(wǎng)）之間或內(nèi)部網(wǎng)絡(luò)不同區(qū)域之間的隔離與訪問控制，阻止外部網(wǎng)絡(luò)中的惡意程序訪問內(nèi)部網(wǎng)絡(luò)資源，防止更改、復(fù)制、損壞用戶的重要信息。8.3.1防火墻的基本概念防火墻是一種網(wǎng)絡(luò)安全保障方式，主要目的是通過檢查入、出一個(gè)網(wǎng)絡(luò)的所有連接，來防止某個(gè)需要保護(hù)的網(wǎng)絡(luò)遭受外部網(wǎng)絡(luò)的干擾和破壞。從邏輯上講，防火墻是一個(gè)分離器、

9、限制器、分析器，可有效地檢查內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的任何活動(dòng)。從物理上講，防火墻是集成在網(wǎng)絡(luò)特殊位置的一組硬件設(shè)備路由器和三層交換機(jī)、PC之間。防火墻可以是一個(gè)獨(dú)立的硬件系統(tǒng)，也可以是一個(gè)軟件系統(tǒng)。8.3.2防火墻的分類按照工作的網(wǎng)絡(luò)層次和作用對(duì)象可分為4種類型。1包過濾防火墻又被稱為訪問控制表（Access Control List，ACL），它根據(jù)預(yù)先靜態(tài)定義好的規(guī)則審查內(nèi)、外網(wǎng)之間通信的數(shù)據(jù)包是否與自己定義的規(guī)則（分組包頭源地址、目的地址端口號(hào)、協(xié)議類型等）相一致，從而決定是否轉(zhuǎn)發(fā)數(shù)據(jù)包。工作于網(wǎng)絡(luò)層和傳輸層。8.3.2防火墻的分類1包過濾防火墻包過濾防火墻的優(yōu)點(diǎn)（1）不用改動(dòng)用戶主機(jī)上

10、的客戶端程序。（2）可以與現(xiàn)有設(shè)備集成，也可以通過獨(dú)立的包過濾軟件實(shí)現(xiàn)。（3）成本低廉、速度快、效率高，可以在很大程度上滿足企業(yè)的需要。包過濾防火墻的缺點(diǎn)（1）工作在網(wǎng)絡(luò)層，不能檢測對(duì)于高層的攻擊。（2）如果使用很復(fù)雜的規(guī)則，會(huì)大大降低工作效率。（3）需要手動(dòng)建立安全規(guī)則，要求管理人員清楚了解網(wǎng)絡(luò)需求。（4）包過濾主要依據(jù)IP包頭中的各種信息，但I(xiàn)P包頭信息可以被偽造，這樣就可以輕易地繞過包過濾防火墻。8.3.2防火墻的分類2應(yīng)用程序代理防火墻又稱為應(yīng)用網(wǎng)關(guān)防火墻，可在網(wǎng)關(guān)上執(zhí)行一些特定的應(yīng)用程序和服務(wù)器程序，實(shí)現(xiàn)協(xié)議的過濾和轉(zhuǎn)發(fā)功能。工作于應(yīng)用層。 其特點(diǎn)是完全阻隔了網(wǎng)絡(luò)信息流。8.3.2防

11、火墻的分類3復(fù)合型防火墻基于包過濾的方法與應(yīng)用程序代理的方法結(jié)合起來形成復(fù)合型防火墻產(chǎn)品。（1）屏蔽主機(jī)防火墻體系結(jié)構(gòu) 分組過濾路由器或防火墻與Internet相連，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾路由器或防火墻上設(shè)置過濾規(guī)則，使堡壘主機(jī)成為Internet上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，從而確保內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶攻擊。（2）屏蔽子網(wǎng)防火墻體系結(jié)構(gòu) 堡壘主機(jī)放在一個(gè)子網(wǎng)內(nèi)形成非軍事化區(qū)，兩個(gè)分組過濾路由器放在該子網(wǎng)的兩端，使該子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。堡壘主機(jī)和分組過濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。8.3.2防火墻的分類4個(gè)人防火墻人防火墻軟件一般集成在

12、殺毒軟件當(dāng)中，它是應(yīng)用程序級(jí)的，在某一臺(tái)計(jì)算機(jī)上運(yùn)行，保護(hù)其不受外部網(wǎng)絡(luò)的攻擊。一般的個(gè)人防火墻都具有“學(xué)習(xí)”機(jī)制，就是說一旦主機(jī)防火墻收到一種新的網(wǎng)絡(luò)通信要求，它會(huì)詢問用戶是允許還是拒絕，并應(yīng)用于以后該通信要求。8.3.3網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的作用原理就是通過替換一個(gè)數(shù)據(jù)包的源地址和目的地址，來保證這個(gè)數(shù)據(jù)包能被正確識(shí)別。通過這種地址映射技術(shù)，內(nèi)部計(jì)算機(jī)上使用私有地址，當(dāng)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)通過路由器向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包時(shí)，私有地址被轉(zhuǎn)換成合法的IP地址（全局地址）在Internet上使用。NAT技術(shù)解決了IPv4版本IP地址不足問題提高了網(wǎng)絡(luò)的安全性。缺點(diǎn)是增加了網(wǎng)絡(luò)延遲。8

13、.4 數(shù)字加密與數(shù)字簽名8.4.1數(shù)字加密1數(shù)字加密的原理 數(shù)據(jù)加密是指將原始的數(shù)據(jù)通過一定的加密方式加密成非授權(quán)人難以理解的數(shù)據(jù)，授權(quán)人在接收到加密數(shù)據(jù)后，會(huì)利用自己知道的解密方式把數(shù)據(jù)還原成原始數(shù)據(jù)。 數(shù)據(jù)加密的常用術(shù)語。（1）明文：沒有加密的原始數(shù)據(jù)。（2）密文：加密后的數(shù)據(jù)。（3）加密：把明文轉(zhuǎn)換成密文的過程。（4）解密：把密文轉(zhuǎn)換成明文的過程。（5）算法：加密或解密過程中使用的一系列運(yùn)算方式。（6）密鑰：用于加密或解密的一個(gè)字符串。8.4.1數(shù)字加密2經(jīng)典的數(shù)字加密技術(shù) （1）替換加密 用某個(gè)字母替換另一個(gè)字母，替換的方式事先確定，例如替換方式是字母按順序往后移5位，hello在網(wǎng)絡(luò)

14、中傳輸時(shí)就用mjqqt。 數(shù)據(jù)加密的常用術(shù)語。（2）換位加密 按照一定的規(guī)律重新排列傳輸數(shù)據(jù)。例如預(yù)先設(shè)置換位的順序是4213，明文bear在網(wǎng)絡(luò)中傳輸時(shí)就是reba。8.4.1數(shù)字加密3秘密密鑰與公開密鑰加密技術(shù) （1）秘密密鑰技術(shù)也叫作對(duì)稱密鑰加密技術(shù)。特點(diǎn)是把算法和密鑰分開進(jìn)行處理，密鑰最為關(guān)鍵，而且在加密和解密過程中，使用的密鑰相同。著名密鑰加密算法是數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES）。8.4.1數(shù)字加密3秘密密鑰與公開密鑰加密技術(shù) （2）公開密鑰加密技術(shù)也叫作非對(duì)稱密鑰加密技術(shù)。加密和解密過程中使用兩個(gè)不同的密鑰，兩個(gè)密鑰在數(shù)學(xué)上是相關(guān)的，成對(duì)出

15、現(xiàn)，但互相不能破解。著名的公開密鑰加密算法是RSA（三位發(fā)明者名字首字母組合）。8.4.2數(shù)字簽名數(shù)字簽名是指在計(jì)算機(jī)網(wǎng)絡(luò)中，用電子簽名來代替紙質(zhì)文件或協(xié)議的簽名，以保證信息的完整性、真實(shí)性和發(fā)送者的不可否認(rèn)性。利用報(bào)文摘要和公開密鑰加密技術(shù)相結(jié)合的方式進(jìn)行數(shù)字簽名。 1報(bào)文摘要設(shè)計(jì)思想是把一個(gè)任意長度的明文數(shù)據(jù)轉(zhuǎn)換成一個(gè)固定長度的比特串，在簽名時(shí)，只要對(duì)這個(gè)報(bào)文摘要簽名即可，不用對(duì)整個(gè)明文數(shù)據(jù)進(jìn)行簽名。（1）處理任意長度的數(shù)據(jù)，生成固定大小的比特串。（2）生成的比特串是不可預(yù)見的，看上去與原始明文沒有任何聯(lián)系，原始明文有任何變化，新的比特串會(huì)與原來的不同。（3）生成的比特串具有不可逆性，不能通過它還原成原始明文。8.4.2數(shù)字簽名2數(shù)字簽名的過程（1）發(fā)送端把明文利用單向散列函數(shù)轉(zhuǎn)換成消息摘要。（2）發(fā)送者利用自己的私鑰對(duì)消息摘要進(jìn)行簽名。（3）發(fā)送端把明文和簽名的消息摘要通過網(wǎng)絡(luò)傳遞給接收端。（4）接收端對(duì)明文和消息摘要分別處理，明文通過單向散列函數(shù)轉(zhuǎn)換為消息摘要，簽名的消息