計算機網(wǎng)絡(luò)三吳功宜第章網(wǎng)絡(luò)安全

計算機網(wǎng)絡(luò)(第3版)吳功宜編著·普通高等教育精品教材

·普通高等教育“十一五”國家級規(guī)劃教材

第9章網(wǎng)絡(luò)安全本章學(xué)習(xí)要求：了解：網(wǎng)絡(luò)安全的重要性與研究的主要內(nèi)容。了解：當(dāng)前網(wǎng)絡(luò)安全形勢的變化。理解：密碼體制基本概念及其在網(wǎng)絡(luò)安全中的應(yīng)用。掌握：網(wǎng)絡(luò)安全協(xié)議的概念及應(yīng)用。掌握：防火墻的概念及應(yīng)用。掌握：入侵檢測的基本概念與方法。掌握：網(wǎng)絡(luò)業(yè)務(wù)持續(xù)性規(guī)劃技術(shù)基本概念與方法。理解：惡意代碼與網(wǎng)絡(luò)病毒防治的基本概念與方法。3本章知識點結(jié)構(gòu)49.1網(wǎng)絡(luò)安全的基本概念9.1.1網(wǎng)絡(luò)安全重要性與特點網(wǎng)絡(luò)安全是網(wǎng)絡(luò)技術(shù)研究中一個永恒的主題網(wǎng)絡(luò)安全是一個系統(tǒng)的社會工程趨利性是當(dāng)前網(wǎng)絡(luò)攻擊的主要動機網(wǎng)絡(luò)安全關(guān)乎國家安全與社會穩(wěn)定59.1.2網(wǎng)絡(luò)安全服務(wù)功能與法律法規(guī)網(wǎng)絡(luò)安全服務(wù)的基本功能:可用性機密性完整性不可否認(rèn)性可控性69.1.3網(wǎng)絡(luò)安全威脅的發(fā)展趨勢

惡意代碼保持快速增長的勢頭對移動終端設(shè)備攻擊的威脅快速上升針對應(yīng)用軟件漏洞的攻擊更為突出針對搜索引擎的攻擊呈快速上升趨勢假冒軟件的攻擊將轉(zhuǎn)變攻擊方式利用社交網(wǎng)絡(luò)、高仿網(wǎng)站與釣魚欺詐發(fā)起攻擊僵尸網(wǎng)絡(luò)將會出現(xiàn)新的變種垃圾郵件正在變換新的活動方式79.1.4網(wǎng)絡(luò)安全研究的主要問題信息被攻擊的4種基本類型8可能存在的網(wǎng)絡(luò)攻擊與威脅99.1.5網(wǎng)絡(luò)攻擊的主要類型漏洞攻擊欺騙攻擊

DoS與DDoS對防火墻的攻擊惡意軟件與病毒攻擊10DDoS攻擊過程示意意圖119.2加密與認(rèn)證技技術(shù)9.2.1密碼算法與密密碼體制的基基本概念加密與解密過過程示意圖12易位密碼方法法原理示意圖圖13密鑰長度與密密鑰個數(shù)14密鑰長度（bit）組合個數(shù)40240=109951162777656256=7.205759403793×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.402823669209×10389.2.2對稱密碼體系系對稱加密的工工作原理159.2.3非對稱密碼體體系非對稱加密的的工作原理169.2.4公鑰基礎(chǔ)設(shè)施施PKIPKI工作原原理示示意圖圖179.2.5數(shù)字簽簽名技技術(shù)數(shù)字簽簽名的的工作作原理理示意意圖189.2.6身份認(rèn)認(rèn)證技技術(shù)的的發(fā)展展所知：個人所所掌握握的密密碼、、口令令所有：個人的的身份份證、、護照照、信信用卡卡、鑰鑰匙個人特特征：人的指指紋、、聲音音、筆筆跡、、手型型、臉臉型、血血型、、視網(wǎng)網(wǎng)膜、、虹膜膜、DNA，以及個個人動動作方方面的的特征征根據(jù)安安全要要求和和用戶戶可接接受的的程度度，以以及成成本等等因素素，可可以選選擇適適當(dāng)?shù)牡慕M合合，來來設(shè)計計一個個自動動身份份認(rèn)證證系統(tǒng)統(tǒng)。199.3網(wǎng)絡(luò)安安全協(xié)協(xié)議9.3.1網(wǎng)絡(luò)安安全協(xié)協(xié)議的的基本本概念念網(wǎng)絡(luò)安安全協(xié)協(xié)議設(shè)設(shè)計的的要求求是實實現(xiàn)協(xié)協(xié)議執(zhí)執(zhí)行過過程中中的認(rèn)認(rèn)證性性、機機密性性、完完整性性與不不可否否認(rèn)性性。網(wǎng)絡(luò)安安全協(xié)協(xié)議的的研究究與標(biāo)標(biāo)準(zhǔn)的的制定定涉及及網(wǎng)絡(luò)絡(luò)層、、傳輸輸層與與應(yīng)用用層。。209.3.2網(wǎng)絡(luò)層層安全全與IPSec協(xié)議、、IPSecVPNIPSec安全全體體系系結(jié)結(jié)構(gòu)構(gòu)IPSec的安安全全服服務(wù)務(wù)是是在在IP層提提供供的的。。IPSec安全全體體系系主主要要是是由由：：認(rèn)認(rèn)證證頭頭協(xié)協(xié)議議、、封封裝裝安安全全載載荷荷協(xié)協(xié)議議與與Internet密鑰交換換協(xié)議等等組成。。認(rèn)證頭協(xié)協(xié)議用于于增強IP協(xié)議的安安全性，，提供對對IP分組源認(rèn)認(rèn)證、IP分組數(shù)據(jù)據(jù)傳輸完完整性與與防重放放攻擊的的安全服服務(wù)。封裝安全全載荷協(xié)協(xié)議提供供對IP分組源認(rèn)認(rèn)證、IP分組數(shù)據(jù)據(jù)完整性性、秘密密性與防防重放攻攻擊的安安全服務(wù)務(wù)。Internet密鑰交換換協(xié)議用用于協(xié)商商AH協(xié)議與ESP協(xié)議所使使用的密密碼算法法與密鑰鑰管理體體制。IPSec對于IPv4是可選的的，而是是IPv6基本的組組成部分分。21AH協(xié)議基本本工作原原理傳輸模式式的AH協(xié)議原理理示意圖圖22隧道模式式ESP工作原理理示意圖圖239.3.4傳輸層安安全與SSL、TLP協(xié)議SSL協(xié)議在層層次結(jié)構(gòu)構(gòu)中的位位置249.3.4應(yīng)用層安安全與PGP、SET協(xié)議數(shù)字信封封工作原原理示意意圖25SET結(jié)構(gòu)示意意圖269.4防火墻技術(shù)9.4.1防火墻的基本本概念防火墻的位置置與作用279.4.2包過濾路由器器包過濾路由器器的結(jié)構(gòu)28包過濾的工作作流程29包過濾路由器器作為防火墻墻的結(jié)構(gòu)30包過濾規(guī)則表表319.4.3應(yīng)用級網(wǎng)關(guān)的的概念典型的多歸屬屬主機結(jié)構(gòu)示示意圖32應(yīng)用級網(wǎng)關(guān)原原理示意圖33應(yīng)用代理工作作原理示意圖圖349.4.4防火墻的系統(tǒng)統(tǒng)結(jié)構(gòu)應(yīng)用級網(wǎng)關(guān)結(jié)結(jié)構(gòu)示意圖35采用S-B1配置的防火墻墻系統(tǒng)結(jié)構(gòu)36包過濾路由器器的轉(zhuǎn)發(fā)過程程37S-B1配置的防火墻墻系統(tǒng)層次結(jié)結(jié)構(gòu)示意圖38S-B1-S-B1配置的防火墻墻系統(tǒng)結(jié)構(gòu)示示意圖399.4.5防火墻報文過過濾規(guī)則制定定方法用防火墻保護護的內(nèi)部網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)示意圖圖40ICMP報文過濾規(guī)則則41對Web訪問的報文過過濾規(guī)則42對FTP訪問報文的過過濾規(guī)則43E-Mail服務(wù)的報文過過濾規(guī)則449.5入侵檢測技術(shù)術(shù)9.5.1入侵檢測的基基本概念入侵檢測系統(tǒng)統(tǒng)（IDS）是對計算機機和網(wǎng)絡(luò)資源源的惡意使用用行為進行識識別的系統(tǒng)。。它的目的是監(jiān)監(jiān)測和發(fā)現(xiàn)可可能存在的攻攻擊行為，包包括來自系統(tǒng)統(tǒng)外部的入侵侵行為和來自自內(nèi)部用戶的的非授權(quán)行為為，并采取相相應(yīng)的防護手手段。45入侵檢測系系統(tǒng)的基本本功能主要要有：監(jiān)控、分析析用戶和系系統(tǒng)的行為為檢查系統(tǒng)的的配置和漏漏洞評估重要的的系統(tǒng)和數(shù)數(shù)據(jù)文件的的完整性對異常行為為的統(tǒng)計分分析，識別別攻擊類型型，并向網(wǎng)網(wǎng)絡(luò)管理人人員報警對操作系統(tǒng)統(tǒng)進行審計計、跟蹤管管理，識別別違反授權(quán)權(quán)的用戶活活動46入侵檢測系系統(tǒng)IDS的通用框架架結(jié)構(gòu)479.5.2入侵檢測的的基本方法法基于主機的的入侵檢測測系統(tǒng)的基基本結(jié)構(gòu)48基于網(wǎng)絡(luò)的的入侵檢測測系統(tǒng)的基基本結(jié)構(gòu)499.5.3蜜罐技術(shù)的的基本概念念蜜罐（honeypot）是一個包包含漏洞的的誘騙系統(tǒng)統(tǒng)，通過模模擬一個主主機、服務(wù)務(wù)器或其他他網(wǎng)絡(luò)設(shè)備備，給攻擊擊者提供一一個容易攻攻擊的目標(biāo)標(biāo)，用來被被攻擊和攻攻陷。設(shè)計蜜罐系系統(tǒng)希望達達到以下三個主主要要目目的的：：—轉(zhuǎn)移移網(wǎng)網(wǎng)絡(luò)絡(luò)攻攻擊擊者者對對有有價價值值的的資資源源的的注注意意力力，，保保護護網(wǎng)網(wǎng)絡(luò)中有價價值值的的資資源源。。—通過過對對攻攻擊擊者者的的攻攻擊擊目目標(biāo)標(biāo)、、企企圖圖、、行行為為與與破破壞壞方方式式等數(shù)數(shù)據(jù)據(jù)的的收收集集、、分分析析，，了了解解網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全狀狀態(tài)態(tài)，，研研究究相相應(yīng)的的對對策策。?！獙θ肴肭智终哒叩牡男行袨闉楹秃筒俨僮髯鬟^過程程進進行行記記錄錄，，為為起起訴訴入入侵侵者搜搜集集有有用用的的證證據(jù)據(jù)。。509.6網(wǎng)絡(luò)業(yè)務(wù)持續(xù)續(xù)性規(guī)劃技術(shù)術(shù)9.6.1網(wǎng)絡(luò)文件備份份與恢復(fù)的重重要性網(wǎng)絡(luò)文件備份份恢復(fù)屬于日日常網(wǎng)絡(luò)與信信息系統(tǒng)維護護的范疇，而而業(yè)務(wù)持續(xù)性性規(guī)劃涉及對對突發(fā)事件對對網(wǎng)絡(luò)與信息息系統(tǒng)影響的的預(yù)防技術(shù)。。由于自然災(zāi)害害與人為的破破壞，造成網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施施的破壞，將將導(dǎo)致信息系系統(tǒng)業(yè)務(wù)流程程的非計劃性性中斷。網(wǎng)絡(luò)業(yè)務(wù)持續(xù)續(xù)性規(guī)劃技術(shù)術(shù)針對可能出出現(xiàn)的突發(fā)事事件，提前做做好預(yù)防突發(fā)發(fā)事件出現(xiàn)造造成重大后果果的預(yù)案，控控制突發(fā)事件件對網(wǎng)絡(luò)信息息系統(tǒng)關(guān)鍵業(yè)業(yè)務(wù)流程所造造成的影響。。519.6.2業(yè)務(wù)持續(xù)性規(guī)規(guī)劃技術(shù)研究究業(yè)務(wù)持續(xù)性規(guī)規(guī)劃技術(shù)包括括的基本內(nèi)容容：規(guī)劃的方法學(xué)學(xué)問題風(fēng)險分析方法法數(shù)據(jù)恢復(fù)規(guī)劃劃529.7惡意代碼與網(wǎng)網(wǎng)絡(luò)防病毒技技術(shù)9.7.1惡意代碼的定定義與演變過過程惡意傳播代碼碼（MMC）也稱作“惡惡意代碼”或或“惡意程序序”。惡意代碼是指指：能夠從一一臺計算機傳傳播到另一臺臺計算機，從從一個網(wǎng)絡(luò)傳傳播到一個網(wǎng)網(wǎng)絡(luò)的程序，，目的是在用用戶和網(wǎng)絡(luò)管管理員不知情情的情況下對對系統(tǒng)進行故故意地修改。。惡意代碼具有有如下三個共共同的特征：：惡意的目的的、本身是程程序、通過執(zhí)執(zhí)行發(fā)生作用用。53惡意代碼發(fā)展展階段劃分：第一代：DOS病毒（1986年～1995年）第二代：宏病病毒（1995年～2000年）第三代：網(wǎng)絡(luò)絡(luò)蠕蟲病毒（（1999年～2004年）第四代：趨利利性惡意代碼碼（2005年～至今）549.7.2病毒的基本概概念病毒（viruses）程序名稱來來源類似于生生物學(xué)的病毒毒。病毒是指指一段程序代代碼，通過對對其他程序進進行修改，感感染這些程序序，使之成為為含有該病毒毒程序的一個個拷貝。一般病毒具有有兩種基本的的功能：—感染其他程序序—破壞程序或系系統(tǒng)的正常運運行，或植入入攻擊559.7.3蠕蟲的基本概概念蠕蟲是一種依依靠自復(fù)制能能力進行傳播播的程序。蠕蟲可以利用用電子郵件、、聊天室等應(yīng)應(yīng)用程序進行行傳播。蠕蟲可以將自自己附在一封封要發(fā)送出的的郵件上，或或者在兩個互互相信任的系系統(tǒng)之間，通通過一條簡單單的FTP命令來傳播。。蠕蟲一般不寄寄生在其他文文件或引導(dǎo)區(qū)區(qū)中。569.7.4特洛伊木馬的的基本概念特洛伊木馬程程序簡稱為““木馬程序””。木馬程序是專專為欺騙用戶戶，讓用戶以以為它是友好好程序而設(shè)計計的。木馬程序不改改變或感染其其他的文件，，它只是偽裝裝成一種正常常程序，隨著著其他的一些些應(yīng)用程序，，裝到用戶計計算機中，但但是程序是個個什么的用戶戶并不知道。。木馬程序不具具備自我復(fù)制制與傳播能力力，而是以偽偽裝的欺騙手手段誘使用戶戶去激活木馬馬程序。木馬程序可以遠遠程操控遠程程計算機，下下載、安裝其其他惡意代碼碼，竊取用戶戶信息，刪除除數(shù)據(jù)和破壞壞系統(tǒng)。很多木馬程序序就是后面程程序。579.7.5垃圾郵件的基基本概念垃圾郵件的定定義：收件人事先沒沒有提出要求求或者不同意意接收的廣告告、電子刊物物、各種形式式的宣傳品等等宣傳性的電電子郵件。收件人無法拒拒收的電子郵郵件。隱藏發(fā)件人身身份、地址、、標(biāo)題等信息息的電子郵件件。含有虛假的信信息源、發(fā)件件人、路由等等信息的電子子郵件。58垃圾郵件的危危害：垃圾郵件的倉倉儲、傳輸占占有了大量的的網(wǎng)絡(luò)存儲資資源與傳輸帶帶寬，影響了了正常的電子子郵件服務(wù)。。垃圾郵件的清清理需要耗費費用戶大量的的時間、精力力與費用，大大大地降低了了電子郵件使使用效率與信信任度。垃圾郵件經(jīng)常常包含了大量量詐騙、色情情，甚至是反反動的內(nèi)容，，對社會形成成了危害。垃圾郵件常包包含了病毒、、網(wǎng)絡(luò)釣魚鏈鏈接或掛馬網(wǎng)網(wǎng)站鏈接，成成為病毒傳播播的重要載體體，威脅互聯(lián)聯(lián)網(wǎng)的安全。。垃圾郵件常常常被攻擊者利利用，造成某某些電子郵件件服務(wù)器的癱癱瘓與資源耗耗盡，嚴(yán)重地地影響系統(tǒng)的的正常運行。。垃圾郵件的泛泛濫嚴(yán)重地影影響著ISP的服務(wù)質(zhì)量與與形象，甚至至使它們的IP地址因大量轉(zhuǎn)轉(zhuǎn)發(fā)垃圾郵件而被被封殺。599、靜夜四無無鄰，荒居居舊業(yè)貧。。。12月-2212月-22Thursday,December29,202210、雨雨中中黃黃葉葉樹樹，，燈燈下下白白頭頭人人。。。。20:49:3120:49:3120:4912/29/20228:49:31PM11、以我獨獨沈久，，愧君相相見頻。。。12月-2220:49:3120:49Dec-2229-Dec-2212、故人江海海別，幾度度隔山川。。。20:49:3120:49:3120:49Thursday,December29,202213、乍乍見見翻翻疑疑夢夢，，相相悲悲各各問問年年。。。。12月月-2212月月-2220:49:3120:49:31December29,202214、他鄉(xiāng)鄉(xiāng)生白白發(fā)，，舊國國見青青山。。。29十十二二月20228:49:31下下午20:49:3112月月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月228:49下午午12月-2220:49December29,202216、行動出出成果，，工作出出財富。。。2022/12/2920:49:3120:49:3129December202217、做前，能能夠環(huán)視四四周；做時時，你只能能或者最好好沿著以腳腳為起點的的射線向前前。。8:49:31下下午8:49下下午20:49:3112月-229、沒有失敗，，只有暫時停停止成功！。。12月-2212月-22Thursday,December29,202210、很多事情努努力了未必有有結(jié)果，但是是不努力卻什什么改變也沒沒有。。20:49:3220:49:3220:4912/29/20228:49:32PM11、成成功功就就是是日日復(fù)復(fù)一一日日那那一一點點點點小小小小努努力力的的積積累累。。。。12月月-2220:49:3220:49Dec-2229-Dec-2212、世世間間成成事事，，不不求求其其絕絕對對圓圓滿滿，，留留一一份份不不足足，，可可得得無無限限完完美美。。。。20:49:3220:49:3220:49Thursday,December29,202213、不知知香積積寺，，數(shù)里里入云云峰。。。12月月-2212月月-2220:49:3220:49:32December29,202214、意意志志堅堅強強的的人人能能把把世世界界放放在在手手中中像像泥泥塊塊一一樣樣任任意意揉揉捏捏。。29十十二二月月20228:49:32下下午午20:49:3212月月-2215、楚塞三湘湘接，荊門門九派通。。。。十二月228:49下下午12月-2220:49December29,202216、少年十十五二十十時，步步行奪得得胡馬騎騎。。2022/12/2920:49:3220:49:3229December202217、空空山山新新雨雨后后，，天天氣氣晚晚來來秋秋。。。。8:49:32下下午午8:49下下午午20:49:3212月月-229、楊柳柳散和和風(fēng)