計算機網(wǎng)絡(luò)安全技術(shù)全套教學(xué)課件

第1章計算機網(wǎng)絡(luò)安全概述計算機網(wǎng)絡(luò)安全技術(shù)第1章計算機網(wǎng)絡(luò)安全概述.pptx第2章網(wǎng)絡(luò)攻擊與防御.pptx第3章計算機病毒與木馬.pptx第4章數(shù)據(jù)加密技術(shù).pptx第5章網(wǎng)絡(luò)操作系統(tǒng)管理.pptx第6章防火墻與VPN技術(shù).pptx第7章無線網(wǎng)絡(luò)安全技術(shù).pptx第8章數(shù)據(jù)存儲備份技術(shù).pptx第9章Web應(yīng)用安全.pptx全套可編輯PPT課件CONTENTSCONTENTS01網(wǎng)絡(luò)安全簡介02網(wǎng)絡(luò)安全的發(fā)展階段03網(wǎng)絡(luò)體系結(jié)構(gòu)與協(xié)議04開放系統(tǒng)互連參考模型05TCP/IP參考模型06網(wǎng)絡(luò)安全模型與體系結(jié)構(gòu)第1章計算機網(wǎng)絡(luò)安全概述1.1網(wǎng)絡(luò)安全簡介1.1.1網(wǎng)絡(luò)安全的定義1.1.2網(wǎng)絡(luò)安全的重要性1.1.3網(wǎng)絡(luò)安全脆弱性的原因1.1.4網(wǎng)絡(luò)安全的基本要素1.1.5網(wǎng)絡(luò)安全面臨的威脅第1章計算機網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)、可靠、正常第運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及網(wǎng)絡(luò)上的信息的保密性、完整性、可用性、可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。1.1.1網(wǎng)絡(luò)安全的定義第1章計算機網(wǎng)絡(luò)安全概述1.1.2網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)信息安全是一個關(guān)系國家安全和主權(quán)、社會穩(wěn)定、民族文化繼承和發(fā)揚的重要問題。其重要性，正隨著全球信息化步伐的加快越來越重要。網(wǎng)絡(luò)信息安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科第1章計算機網(wǎng)絡(luò)安全概述1.1.3網(wǎng)絡(luò)安全脆弱性的原因從整體上看，網(wǎng)絡(luò)系統(tǒng)在設(shè)計、實現(xiàn)、應(yīng)用和控制過程中存在的一切可能被攻擊者利用從而造成安全危害的缺陷都是脆弱性。網(wǎng)絡(luò)系統(tǒng)遭受損失最根本的原因在于其本身存在的脆弱性，網(wǎng)絡(luò)系統(tǒng)的脆弱性主要來源于以下幾個方面。1．開放性的網(wǎng)絡(luò)環(huán)境2．操作系統(tǒng)的缺陷3．應(yīng)用軟件的漏洞4．人為因素第1章計算機網(wǎng)絡(luò)安全概述1.1.4網(wǎng)絡(luò)安全的基本要素由于網(wǎng)絡(luò)安全受到威脅的多樣性、復(fù)雜性及網(wǎng)絡(luò)信息、數(shù)據(jù)的重要性，在設(shè)計網(wǎng)絡(luò)系統(tǒng)的安全時，應(yīng)該努力達到安全目標(biāo)。一個安全的網(wǎng)絡(luò)具有下面五個特征：保密性、完整性、可靠性、可用性和不可抵賴性。1．保密性2．完整性3．可靠性4．可用性5．不可抵賴性第1章計算機網(wǎng)絡(luò)安全概述1.1.5網(wǎng)絡(luò)安全面臨的威脅計算機網(wǎng)絡(luò)所面臨的威脅包括對網(wǎng)絡(luò)中信息的威脅和對網(wǎng)絡(luò)中設(shè)備的威脅。影響計算機網(wǎng)絡(luò)的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；還有可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使用等，目前網(wǎng)絡(luò)安全存在的主要威脅，如圖1.4所示。1．網(wǎng)絡(luò)內(nèi)部威脅2．網(wǎng)絡(luò)外部威脅第1章計算機網(wǎng)絡(luò)安全概述1.1.6網(wǎng)絡(luò)安全發(fā)展趨勢隨著信息技術(shù)和信息產(chǎn)業(yè)的發(fā)展，網(wǎng)絡(luò)和信息安全問題及其對經(jīng)濟發(fā)展、國家安全和社會穩(wěn)定的重大影響，正日益突出的顯示出來，主要表現(xiàn)在以下幾個方面。（1）信息與網(wǎng)絡(luò)安全的防護能力弱，信心安全意識低。（2）基礎(chǔ)信息產(chǎn)業(yè)薄弱，核心技術(shù)嚴(yán)重依賴國外，缺乏自主知識產(chǎn)權(quán)產(chǎn)品。（3）信息犯罪在我國有快速發(fā)展蔓延的趨勢。（4）我國信息安全人才培養(yǎng)還遠(yuǎn)遠(yuǎn)不能滿足要求。第1章計算機網(wǎng)絡(luò)安全概述1.2網(wǎng)絡(luò)安全的發(fā)展階段1.2.1通信安全階段1.2.2計算機安全階段1.2.3信息技術(shù)安全階段1.2.4信息保障階段第1章計算機網(wǎng)絡(luò)安全概述1.2.1通信安全階段20世紀(jì)40年代~70年代，通信技術(shù)還不發(fā)達，電腦只是零散地位于不同的地點，信息系統(tǒng)的安全局限于保證電腦的物理安全以及面對電話、電報、傳真等信息交換過程中存在的安全問題。把電腦安置在相對安全的地點，不容許生人接近，就可以保證數(shù)據(jù)的安全性。但是，信息是必須要交流的，如果這臺電腦的數(shù)據(jù)需要讓別人讀取，而需要數(shù)據(jù)的人在異地，那么只能將數(shù)據(jù)復(fù)制到介質(zhì)上，派專人秘密送到目的地，復(fù)制到電腦再讀取數(shù)據(jù)。即使是這樣，也不是完美無缺的，誰來保證信息傳遞員的安全？因此這個階段人強調(diào)的信息系統(tǒng)安全性更多的是信息的保密性，重點是通過密碼技術(shù)解決通信保密問題，主要是保證數(shù)據(jù)的保密性與完整性，對于安全理論和技術(shù)的研究也只側(cè)重于密碼學(xué)，這一階段的信息安全可以簡單地稱為通信安全。第1章計算機網(wǎng)絡(luò)安全概述1.2.2計算機安全階段20世紀(jì)80年代，計算機的應(yīng)用范圍不斷擴大，計算機和網(wǎng)絡(luò)技術(shù)的應(yīng)用進入了實用化和規(guī)模化階段，人們利用通信網(wǎng)絡(luò)把獨立的計算機系統(tǒng)連接起來共享資源，信息安全問題也逐漸受到重視。人們對安全的關(guān)注已經(jīng)逐漸擴展為保密性、完整性和可用性為目標(biāo)的計算機安全階段。第1章計算機網(wǎng)絡(luò)安全概述1.2.3信息技術(shù)安全階段20世紀(jì)90年代，信息的主要安全威脅發(fā)展到網(wǎng)絡(luò)入侵、病毒破壞、信息對抗的攻擊等，網(wǎng)絡(luò)安全的重點是確保信息在存儲、處理、傳輸過程中及信息系統(tǒng)不被破壞，確保合法用戶的服務(wù)和限制非授權(quán)用戶的服務(wù)，以及必要的防御攻擊的措施，即轉(zhuǎn)變到了強調(diào)信息的保密性、完整性、可控性、可用性的信息安全階段。第1章計算機網(wǎng)絡(luò)安全概述1.2.4信息保障階段20世紀(jì)90年代后期，隨著電子商務(wù)等行業(yè)的發(fā)展，網(wǎng)絡(luò)安全衍生出了諸如可控性、不可否認(rèn)性等其他原則和目標(biāo)。此時對安全性有了新的需求?？煽匦允菍π畔⒓靶畔⑾到y(tǒng)實施安全監(jiān)控管理；不可否認(rèn)性是保證行為人不能否認(rèn)自己的行為。信息安全也轉(zhuǎn)化為從整體角度考慮其體系建設(shè)的信息保障階段，也稱為網(wǎng)絡(luò)信息安全階段。第1章計算機網(wǎng)絡(luò)安全概述1.3網(wǎng)絡(luò)體系結(jié)構(gòu)與協(xié)議1.3.1網(wǎng)絡(luò)體系結(jié)構(gòu)的概念1.3.2網(wǎng)絡(luò)體系的分層結(jié)構(gòu)1.3.3網(wǎng)絡(luò)協(xié)議的概念1.3.4網(wǎng)絡(luò)層次結(jié)構(gòu)中的相關(guān)概念第1章計算機網(wǎng)絡(luò)安全概述1.3.1網(wǎng)絡(luò)體系結(jié)構(gòu)的概念網(wǎng)絡(luò)體系結(jié)構(gòu)是指整個網(wǎng)絡(luò)系統(tǒng)的邏輯組成和功能分配，定義和描述了一組用于計算機及其通信設(shè)施之間互連的標(biāo)準(zhǔn)和規(guī)范的集合。研究網(wǎng)絡(luò)體系結(jié)構(gòu)的目的在于定義計算機網(wǎng)絡(luò)各個組成部分的功能，以便在統(tǒng)一的原則指導(dǎo)下進行網(wǎng)絡(luò)的設(shè)計、使用和發(fā)展。1．層次結(jié)構(gòu)的概念2．層次結(jié)構(gòu)的主要內(nèi)容3．層次結(jié)構(gòu)劃分原則4．劃分層次結(jié)構(gòu)的優(yōu)越性第1章計算機網(wǎng)絡(luò)安全概述1.3.2網(wǎng)絡(luò)體系的分層結(jié)構(gòu)網(wǎng)絡(luò)體系都是按層的方式來組織的，每一層都能完成一組特定的、有明確含義的功能，每一層的目的都是向上一層提供一定的服務(wù)，而上一層不需要知道下一層是如何實現(xiàn)服務(wù)的。第1章計算機網(wǎng)絡(luò)安全概述1.3.3網(wǎng)絡(luò)協(xié)議的概念連網(wǎng)的計算機以及網(wǎng)絡(luò)設(shè)備之間要進行數(shù)據(jù)與控制信息的成功傳遞就必須共同遵守網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)協(xié)議包含了3個方面的內(nèi)容：語義、語法和時序。語義：規(guī)定通信的雙方準(zhǔn)備“講什么”，即需要發(fā)出何種控制信息，完成何種動作以及做出何種應(yīng)答。語法：規(guī)定了通信雙方“如何講”，即確定用戶數(shù)據(jù)與控制信息的結(jié)構(gòu)、格式、數(shù)據(jù)編碼等。時序：又可稱為“同步”，規(guī)定了雙方“何時進行通信”，即事件實現(xiàn)順序的詳細(xì)說明。第1章計算機網(wǎng)絡(luò)安全概述1.3.4網(wǎng)絡(luò)層次結(jié)構(gòu)中的相關(guān)概念網(wǎng)絡(luò)層次結(jié)構(gòu)中包含實體、接口、服務(wù)等相關(guān)概念。1．實體2．接口3．服務(wù)4．層間通信5．服務(wù)訪問點（ServiceAccessPoint）6.協(xié)議數(shù)據(jù)單元（ProtocolDataUnit，PDU）7．接口數(shù)據(jù)單元（InterfaceDataUnit，IDU）第1章計算機網(wǎng)絡(luò)安全概述1.4開放系統(tǒng)互連參考模型1.4.1OSI參考模型1.4.2OSI參考模型各層的功能1.4.3OSI參考模型數(shù)據(jù)傳輸過程第1章計算機網(wǎng)絡(luò)安全概述1.4.1OSI參考模型OSI模型將計算機網(wǎng)絡(luò)通信協(xié)議分為七層，OSI參考模型的層次是相互獨立的，每一層都有各自獨立的功能，這7層由低至高分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層，每一層完成通信中的一部分功能，并遵循一定的通信協(xié)議，該協(xié)議具有如下特點。（1）網(wǎng)絡(luò)中每個節(jié)點均有相同的層次。（2）不同節(jié)點的同等層具有相同的功能。（3）同節(jié)點內(nèi)相鄰層之間通過接口通信。（4）每一層可以使用下層提供的服務(wù)，并向其上層提供服務(wù)。（5）僅在最低層進行直接數(shù)據(jù)傳送。第1章計算機網(wǎng)絡(luò)安全概述1.4.2OSI參考模型各層的功能OSI參考模型并非指一個現(xiàn)實的網(wǎng)絡(luò)，它僅僅規(guī)定了每一層的功能，為網(wǎng)絡(luò)的設(shè)計規(guī)劃出一張藍圖，各個網(wǎng)絡(luò)設(shè)備或軟件生產(chǎn)廠商都可以按照這張藍圖來設(shè)計和生產(chǎn)自己的網(wǎng)絡(luò)設(shè)備或軟件，盡管設(shè)計和生產(chǎn)出的網(wǎng)絡(luò)產(chǎn)品的樣式、外觀各不相同，但它們應(yīng)該具有相同的功能。1．物理層2．?dāng)?shù)據(jù)鏈路3．網(wǎng)絡(luò)層4．傳輸層5．會話層6．表示層7．應(yīng)用層第1章計算機網(wǎng)絡(luò)安全概述1.4.3OSI參考模型數(shù)據(jù)傳輸過程層次結(jié)構(gòu)模型中數(shù)據(jù)的實際傳輸過程，如圖1.18所示。發(fā)送進程傳輸給接收進程數(shù)據(jù)，實際上是經(jīng)過發(fā)送方各層從上到下傳輸?shù)轿锢韨鬏斀橘|(zhì)，通過物理傳輸介質(zhì)傳輸?shù)浇邮辗剑俳?jīng)過從下到上各層的傳遞，最后到達接收進程。1．?dāng)?shù)據(jù)解封裝2．網(wǎng)絡(luò)通信常見術(shù)語第1章計算機網(wǎng)絡(luò)安全概述1.5TCP/IP參考模型1.5.1TCP/IP概述1.5.2TCP/IP參考模型各層的功能1.5.3OSI/ISO與TCP/IP參考模型比較1.5.4TCP/IP網(wǎng)際層協(xié)議1.5.5TCP/IP傳輸層協(xié)議1.5.6TCP/IP應(yīng)用層協(xié)議第1章計算機網(wǎng)絡(luò)安全概述1.5.1TCP/IP概述TCP/IP是目前最流行的商業(yè)化網(wǎng)絡(luò)協(xié)議，盡管它不是某一標(biāo)準(zhǔn)化組織提出的正式標(biāo)準(zhǔn)，但它已經(jīng)被公認(rèn)為目前的工業(yè)標(biāo)準(zhǔn)或“事實標(biāo)準(zhǔn)”。因特網(wǎng)之所以能迅速發(fā)展，就是因為TCP/IP能夠適應(yīng)和滿足世界范圍內(nèi)數(shù)據(jù)通信的需求。1．TCP/IP協(xié)議的特點2．TCP/IP協(xié)議的缺點3．TCP/IP參考模型的層次第1章計算機網(wǎng)絡(luò)安全概述1.5.2TCP/IP參考模型各層的功能TCP/IP參考模型各層的功能如下。1．網(wǎng)絡(luò)接口層2．網(wǎng)際層3．傳輸層4．應(yīng)用層第1章計算機網(wǎng)絡(luò)安全概述1.5.3OSI/ISO與TCP/IP參考模型比較TCP/IP參考模型與OSI參考模型在設(shè)計上都采用了層次結(jié)構(gòu)的思想，不過層次劃分及使用的協(xié)議有很大的區(qū)別。無論是OSI參考模型還是TCP/IP參考模型都不是完美的，都存在某些缺陷。1．OSI參考模型的優(yōu)、缺點2．TCP/IP參考模型的優(yōu)、缺點第1章計算機網(wǎng)絡(luò)安全概述1.5.4TCP/IP網(wǎng)際層協(xié)議在計算機網(wǎng)絡(luò)的眾多協(xié)議中，TCP/IP是應(yīng)用最廣泛的，在TCP/IP層次結(jié)構(gòu)包含的4個層次中，只有3個層次包含實際的協(xié)議。網(wǎng)際層的協(xié)議主要包括：網(wǎng)際協(xié)議、地址解析協(xié)議、網(wǎng)際控制消息協(xié)議和網(wǎng)際主機組管理協(xié)議。1．網(wǎng)際協(xié)議2．地址解析協(xié)議3．網(wǎng)際控制消息協(xié)議4．網(wǎng)際主機組管理協(xié)議第1章計算機網(wǎng)絡(luò)安全概述1.5.5TCP/IP傳輸層協(xié)議傳輸層協(xié)議主要包括傳輸控制協(xié)議和用戶數(shù)據(jù)報協(xié)議。1．傳輸控制協(xié)議2．用戶數(shù)據(jù)報協(xié)議第1章計算機網(wǎng)絡(luò)安全概述1.5.6TCP/IP應(yīng)用層協(xié)議1．超文本傳輸協(xié)議2．文件傳送協(xié)議3．遠(yuǎn)程登錄協(xié)議4．簡單郵件傳送協(xié)議5．域名解析協(xié)議6．簡單網(wǎng)絡(luò)管理協(xié)議7．動態(tài)主機配置協(xié)議第1章計算機網(wǎng)絡(luò)安全概述1.6網(wǎng)絡(luò)安全模型與體系結(jié)構(gòu)1.6.1PDRR安全模型1.6.2PPDR安全模型1.6.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)第1章計算機網(wǎng)絡(luò)安全概述1.6.1PDRR安全模型PDRR即美國國防部提出的常見的“信息安全保障體系”，它概括了網(wǎng)絡(luò)安全的整個環(huán)節(jié)，包括防護（Protection）、檢測（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery）。PDRR模型的名稱也由這四個環(huán)節(jié)的英文單詞首字母結(jié)合而來的，這四個部分構(gòu)成了一個動態(tài)的信息安全周期，如圖1.23。1．防護2．檢測3．響應(yīng)4．恢復(fù)

第1章計算機網(wǎng)絡(luò)安全概述1.6.2PPDR安全模型保護（Protection）：保護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來實現(xiàn)的，主要有防火墻、加密和認(rèn)證等方法。檢測（Detection）：在PPDR模型中，檢測是非常重要的一個環(huán)節(jié)，檢測是動態(tài)響應(yīng)和加強防護的依據(jù)，它也是強制落實安全策略的有力工具，通過不斷地檢測和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點，通過循環(huán)反饋來及時作出有效的響應(yīng)。響應(yīng)（Response）：響應(yīng)在安全系統(tǒng)中占有最重要的地位，是解決潛在安全問題的最有效辦法。從某種意義上講，安全問題就是要解決響應(yīng)和異常處理問題。要解決好響應(yīng)問題，就要指定好響應(yīng)的方案，做好響應(yīng)方案中的一切準(zhǔn)備工作。安全策略(Policy)：安全策略是整個網(wǎng)絡(luò)安全的依據(jù)。第1章計算機網(wǎng)絡(luò)安全概述1.6.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)所謂安全體系結(jié)構(gòu)，指的是一個計劃和一套原則，它應(yīng)該描述：（1）為滿足用戶需求而必須提供的一套安全服務(wù)；（2）要求所有系統(tǒng)元素都要事先的服務(wù)；（3）為應(yīng)付威脅環(huán)境而要求系統(tǒng)元素，達到的安全級別。感謝您的觀看FoundationsofComputerNetworkTechnology計算機網(wǎng)絡(luò)安全技術(shù)ThankYOU!第2章網(wǎng)絡(luò)攻擊與防御計算機網(wǎng)絡(luò)安全技術(shù)CONTENTSCONTENTS01黑客概述02網(wǎng)絡(luò)信息收集03網(wǎng)絡(luò)監(jiān)聽04網(wǎng)絡(luò)入侵實施CONTENTSCONTENTS05拒絕服務(wù)攻擊06ARP欺騙07緩沖區(qū)溢出08入侵檢測與防御系統(tǒng)第2章網(wǎng)絡(luò)攻擊與防御2.1黑客概述2.1.1黑客的由來與分類2.1.2黑客攻擊的主要途徑2.1.3黑客攻擊的目的及過程第2章網(wǎng)絡(luò)攻擊與防御Hacker一詞，最初曾指熱心于計算機技術(shù)、水平高超的電腦高手，尤其是程序設(shè)計人員，逐漸區(qū)分為白帽、灰帽、黑帽等，其中黑帽（BlackHat）實際就是Cracker。在媒體報道中，黑客一詞常指那些軟件駭客（SoftwareCracker），而與黑客（黑帽子）相對的則是白帽子。1．黑客的定義2．黑客的行為發(fā)展趨勢2.1.1黑客的由來與分類第2章網(wǎng)絡(luò)攻擊與防御2.1.2黑客攻擊的主要途徑黑客攻擊主要借助計算機網(wǎng)絡(luò)系統(tǒng)的漏洞。漏洞又稱系統(tǒng)缺陷，是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，它們可使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。1．黑客攻擊的漏洞2．黑客入侵通道第2章網(wǎng)絡(luò)攻擊與防御2.1.3黑客攻擊的目的及過程下面介紹一下黑客攻擊的目的以及攻擊的過程。1．黑客攻擊的目的2．黑客攻擊手段的類型3．黑客攻擊的過程第2章網(wǎng)絡(luò)攻擊與防御2.2網(wǎng)絡(luò)信息收集2.2.1常見的網(wǎng)絡(luò)信息收集技術(shù)2.2.2常見的網(wǎng)絡(luò)掃描器工具2.2.3常用的網(wǎng)絡(luò)命令第2章網(wǎng)絡(luò)攻擊與防御2.2.1常見的網(wǎng)絡(luò)信息收集技術(shù)信息收集是指黑客為了更加有效地實施攻擊而在攻擊前或攻擊過程中對目標(biāo)主機的所有探測活動。信息收集有時也被稱為“踩點”。通?！安赛c”包括以下內(nèi)容，目標(biāo)主機的域名、IP地址、操作系統(tǒng)類型、開放了哪些端口，以及這些端口后面運行著什么樣的應(yīng)用程序，這些應(yīng)用程序有沒有漏洞等。那么如何收集信息呢？可以利用與技術(shù)無關(guān)的“社會工程學(xué)”、搜索引擎以及掃描工具等。1．社會工程學(xué)2．Web搜索與挖掘3．DNS和IP查詢4．網(wǎng)絡(luò)結(jié)構(gòu)探測第2章網(wǎng)絡(luò)攻擊與防御2.2.2常見的網(wǎng)絡(luò)掃描器工具網(wǎng)絡(luò)掃描作為網(wǎng)絡(luò)信息收集中最主要的一人環(huán)節(jié)，其主要是探測目標(biāo)網(wǎng)絡(luò)，找出盡可能多的連接目標(biāo)，然后進一步探測獲取目標(biāo)系統(tǒng)的開放端口、操作系統(tǒng)類型、運行的網(wǎng)絡(luò)服務(wù)、存在的安全漏洞等信息，這些工作可以通過網(wǎng)絡(luò)掃描器來完成。1．X-Scan綜合掃描器工具2．Nmap掃描器工具3．Nessus掃描器工具4．Portscan&Stuff掃描器工具5．Portscan端口掃描工具6．FreePortScanner端口掃描工具第2章網(wǎng)絡(luò)攻擊與防御2.2.3常用的網(wǎng)絡(luò)命令在網(wǎng)絡(luò)設(shè)備調(diào)試的過程中，經(jīng)常會使用網(wǎng)絡(luò)命令對網(wǎng)絡(luò)進行測試，以查看網(wǎng)絡(luò)的運行情況。下面介紹一下網(wǎng)絡(luò)中常用的網(wǎng)絡(luò)命令的用法。1．ping命令2．tracert命令3．nslookup命令4．netstat命令5．ipconfig命令6．a(chǎn)rp命令第2章網(wǎng)絡(luò)攻擊與防御2.3網(wǎng)絡(luò)監(jiān)聽2.3.1Wireshark網(wǎng)絡(luò)分析器2.3.2Charles網(wǎng)絡(luò)封包分析器2.3.3Fiddler調(diào)試代理分析器2.3.4Iptool網(wǎng)路崗抓包第2章網(wǎng)絡(luò)攻擊與防御2.3.1Wireshark網(wǎng)絡(luò)分析器Wireshark（前稱Ethereal）是一個網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是獲取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進行數(shù)據(jù)報文交換。1．Wireshark工具的使用2．Wireshark的工作流程第2章網(wǎng)絡(luò)攻擊與防御2.3.2Charles網(wǎng)絡(luò)封包分析器Charles是常用的截取網(wǎng)絡(luò)封包的工具，為了調(diào)試與服務(wù)器端的網(wǎng)絡(luò)通訊協(xié)議，常常需要截取網(wǎng)絡(luò)封包來進行分析。Charles是通過把自己設(shè)置成系統(tǒng)的網(wǎng)絡(luò)訪問代理服務(wù)器，使得所有的網(wǎng)絡(luò)訪問請求都通過它來完成，從而就可以實現(xiàn)了網(wǎng)絡(luò)封包的截取和分析。1．Charles主要功能如下2．Charles工具的使用第2章網(wǎng)絡(luò)攻擊與防御2.3.3Fiddler調(diào)試代理分析器Fiddler是一個HTTP協(xié)議調(diào)試代理工具，它能夠記錄并檢查所有你的電腦和互聯(lián)網(wǎng)之間的HTTP通訊，設(shè)置斷點，查看所有的“進出”Fiddler的數(shù)據(jù)（指cookie、html、js、css等文件）。Fiddler要比其他的網(wǎng)絡(luò)調(diào)試器要更加簡單，因為它不僅僅暴露http通訊還提供了一個用戶友好的格式。Fiddler支持?jǐn)帱c調(diào)試技術(shù)，當(dāng)你在軟件的菜單rules—automaticbreakpoints選項選擇beforerequest，或者當(dāng)這些請求或響應(yīng)屬性能夠跟目標(biāo)的標(biāo)準(zhǔn)相匹配，F(xiàn)iddler就能夠暫停HTTP通訊，并且允許修改請求和響應(yīng)。這種功能對于安全測試是非常有用的，當(dāng)然也可以用來做一般的功能測試，因為所有的代碼路徑都可以用來演習(xí)。第2章網(wǎng)絡(luò)攻擊與防御2.3.4Iptool網(wǎng)路崗抓包智能平臺管理接口（IntelligentPlatformManagementInterface，IPMI），IPMItool是一個簡單的命令行接口，用于管理基于IPMI啟用的設(shè)備。通過內(nèi)核設(shè)備驅(qū)動程序或通過LAN接口，您可使用此實用程序執(zhí)行IPMI功能。IPMItool使您能夠不依賴于操作系統(tǒng)而管理系統(tǒng)的現(xiàn)場可更換部件、監(jiān)視系統(tǒng)健康狀態(tài)以及監(jiān)視并管理系統(tǒng)環(huán)境，打開網(wǎng)路崗抓包iptool工具軟件的主界面，如圖2.61所示。第2章網(wǎng)絡(luò)攻擊與防御2.4網(wǎng)絡(luò)入侵實施1.4.1OSI參考模型1.4.2OSI參考模型各層的功能1.4.3OSI參考模型數(shù)據(jù)傳輸過程第2章網(wǎng)絡(luò)攻擊與防御2.4.1口令破解入侵者攻擊目標(biāo)時常把破譯用戶的口令作為攻擊的開始。只要入侵者能猜測或者確定用戶的口令，他就能獲得機器或者網(wǎng)絡(luò)的訪問權(quán)，并能訪問到用戶能訪問到的任何資源。如果這個用戶有域管理員或root用戶權(quán)限，這是極其危險的?？诹罟羰呛诳妥钕矚g采用的入侵網(wǎng)絡(luò)的方法。黑客通過獲取系統(tǒng)管理員或其他殊用戶的口令，獲得系統(tǒng)的管理權(quán)，竊取系統(tǒng)信息、磁盤中的文件甚至對系統(tǒng)進行破壞。1．口令破解常用方法2．口令破解實例應(yīng)用第2章網(wǎng)絡(luò)攻擊與防御2.4.2主機IPC$入侵IPC$入侵，即通過使用Windows系統(tǒng)中默認(rèn)啟動的IPC$共享，來達到侵略主機，獲得計算機控制權(quán)的入侵。此類入侵主要利用的是計算機使用者對計算機安全的知識缺乏，通常不會給計算機設(shè)置密碼或者密碼過于簡單，因此才導(dǎo)致被黑客的有機可乘。IPC$是Windows的默認(rèn)共享。其實，這個共享并沒有什么漏洞。我們可以用主機的管理員用戶名和密碼連接。問題就出在管理員密碼了。直至現(xiàn)在為止，世界上起碼有20%的人，把主機密碼設(shè)置為“空”或者“123”等簡單密碼。1．主機IPC$入侵實例應(yīng)用2．如何防范IPC$入侵第2章網(wǎng)絡(luò)攻擊與防御2.5拒絕服務(wù)攻擊2.5.1拒絕服務(wù)攻擊概述2.5.2常見的拒絕服務(wù)攻擊2.5.3分布式拒絕服務(wù)攻擊2.5.4DoS與DDoS攻擊的防護第2章網(wǎng)絡(luò)攻擊與防御2.5.1拒絕服務(wù)攻擊概述拒絕服務(wù)（Denialofservice，DoS），任何對服務(wù)的干涉，使得其可用性降低或者失去可用性均稱為拒絕服務(wù)。例如，一個計算機系統(tǒng)崩潰或其帶寬耗盡或其硬盤被填滿，導(dǎo)致其不能提供正常的服務(wù)，就構(gòu)成拒絕服務(wù)。拒絕服務(wù)攻擊是指造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。1．拒絕服務(wù)攻擊的定義2．拒絕服務(wù)攻擊的目的3．拒絕服務(wù)攻擊的分類第2章網(wǎng)絡(luò)攻擊與防御2.5.2常見的拒絕服務(wù)攻擊拒絕服務(wù)攻擊的攻擊者想盡辦法讓目標(biāo)機器停止提供服務(wù)或資源訪問，這些資源包括磁盤空間、內(nèi)存、進程，甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問，只要能夠?qū)δ繕?biāo)造成麻煩，使某些服務(wù)被暫停甚至主機死機。攻擊者進行拒絕服務(wù)攻擊，實際上是讓服務(wù)器實現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請求；二是使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。下面來介紹一下幾種常見的拒絕服務(wù)攻擊。1．死亡之ping2．Land攻擊3．IP欺騙性攻擊4．Teardrop攻擊5．SYNFlood攻擊6．UDPFlood攻擊第2章網(wǎng)絡(luò)攻擊與防御2.5.3分布式拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊(DistributedDenialofService，DDoS)是指處于不同位置的多個攻擊者同時向一個或數(shù)個目標(biāo)發(fā)動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊。由于攻擊的發(fā)出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務(wù)攻擊，其中的攻擊者可以有多個。1．Smurf攻擊2．Trinoo攻擊3．TFN攻擊4．TFN2攻擊5．Stacheldraht攻擊第2章網(wǎng)絡(luò)攻擊與防御2.5.4DoS與DDoS攻擊的防護DoS攻擊幾乎是從互聯(lián)網(wǎng)絡(luò)的誕生以來，就伴隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展而一直存在也不斷發(fā)展和升級。由于DDoS攻擊具有隱蔽性，因此到目前為止還沒有發(fā)現(xiàn)對DDoS攻擊行為之有效的解決方法，所以要加強安全防范意識，提高網(wǎng)絡(luò)系統(tǒng)的安全性。1．DoS攻擊的防護2．DDoS攻擊防護第2章網(wǎng)絡(luò)攻擊與防御2.6ARP欺騙2.6.1ARP的工作原理2.6.2ARP欺騙攻擊及防御第2章網(wǎng)絡(luò)攻擊與防御2.6.1ARP的工作原理地址解析協(xié)議（AddressResolutionProtocol，ARP），解析IP地址與MAC地址的對應(yīng)關(guān)系，即將IP地址解析為MAC地址。ARP協(xié)議的基本功能就是查詢目標(biāo)設(shè)備的MAC地址，完成數(shù)據(jù)封裝。ARP是一種利用網(wǎng)絡(luò)層地址來取得數(shù)據(jù)鏈路層地址的協(xié)議，如果網(wǎng)絡(luò)層使用IP，數(shù)據(jù)鏈路層使用以太網(wǎng)，那么當(dāng)我們知道某個設(shè)備的IP地址時，就可以利用ARP來取得對應(yīng)的以太網(wǎng)MAC地址。網(wǎng)絡(luò)設(shè)備在發(fā)送數(shù)據(jù)時，當(dāng)網(wǎng)絡(luò)層信息要封裝為數(shù)據(jù)鏈路層信息之前，需要首先取得目的設(shè)備的MAC地址。因此，ARP在網(wǎng)絡(luò)數(shù)據(jù)通信中是非常重要的。

第2章網(wǎng)絡(luò)攻擊與防御2.6.2ARP欺騙攻擊及防御ARP協(xié)議并不是只在發(fā)送了ARP請求后才接收ARP應(yīng)答，當(dāng)計算機接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARP緩存進行更新，將應(yīng)答的IP和MAC地址存儲在ARP緩存中。ARP欺騙攻擊正是利用了ARP緩存表更新的特點，黑客有目的地向被攻擊者發(fā)送虛假的單播ARPrequest或者ARPreply報文。第2章網(wǎng)絡(luò)攻擊與防御2.7緩沖區(qū)溢出2.7.1緩沖區(qū)溢出原理2.7.2緩沖區(qū)溢出的防范措施第2章網(wǎng)絡(luò)攻擊與防御2.7.1緩沖區(qū)溢出原理緩沖區(qū)溢出是針對程序設(shè)計缺陷，向程序輸入緩沖區(qū)寫入使之溢出的內(nèi)容（通常是超過緩沖區(qū)能保存的最大數(shù)據(jù)量的數(shù)據(jù)），從而破壞程序運行、趁中斷之際并獲取程序乃至系統(tǒng)的控制權(quán)。1．緩沖區(qū)2．緩沖區(qū)溢出

第2章網(wǎng)絡(luò)攻擊與防御2.7.2緩沖區(qū)溢出的防范措施緩沖區(qū)溢出是代碼中固有的漏洞，除了在開發(fā)階段要注意編寫正確的代碼之外，對于用戶而言，一般的防范措施如下。（1）關(guān)閉端口或服務(wù)，管理員應(yīng)該知道自己的系統(tǒng)上安裝了什么，并且哪些服務(wù)正在運行。（2）安裝軟件廠商的補丁,漏洞一公布，大的廠商就會及時提供補丁。（3）在防火墻上過濾特殊的流量,無法阻止內(nèi)部人員的溢出攻擊。（4）自己檢查關(guān)鍵的服務(wù)程序，看看是否有可怕的漏洞。（5）以所需要的最小權(quán)限運行軟件。第2章網(wǎng)絡(luò)攻擊與防御2.8入侵檢測與防御系統(tǒng)2.8.1入侵檢測系統(tǒng)2.8.2入侵防御系統(tǒng)第2章網(wǎng)絡(luò)攻擊與防御2.8.1入侵檢測系統(tǒng)入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動的安全防護技術(shù)。不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對IDS的部署，唯一的要求是IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。1．入侵檢測系統(tǒng)的概念2．入侵檢測系統(tǒng)的功能3．入侵檢測系統(tǒng)的安全策略4．入侵檢測系統(tǒng)的優(yōu)缺點5．入侵檢測方法

第2章網(wǎng)絡(luò)攻擊與防御2.8.2入侵防御系統(tǒng)入侵防御系統(tǒng)也像入侵檢測系統(tǒng)一樣，專門深入網(wǎng)絡(luò)數(shù)據(jù)內(nèi)部，查找它所認(rèn)識的攻擊代碼特征，過濾有害數(shù)據(jù)流，丟棄有害數(shù)據(jù)包，并進行記載，以便事后分析。除此之外，更重要的是，大多數(shù)入侵預(yù)防系統(tǒng)同時結(jié)合考慮應(yīng)用程序或網(wǎng)路傳輸中的異常情況，來輔助識別入侵和攻擊。入侵預(yù)防系統(tǒng)一般作為防火墻和防病毒軟件的補充來投入使用，在必要時它還可以為追究攻擊者的刑事責(zé)任而提供法律上有效的證據(jù)。1．入侵預(yù)防技術(shù)2．入侵預(yù)防系統(tǒng)類型3．入侵預(yù)防系統(tǒng)的功能感謝您的觀看FoundationsofComputerNetworkTechnology計算機網(wǎng)絡(luò)安全技術(shù)ThankYOU!第3章計算機病毒與木馬計算機網(wǎng)絡(luò)安全技術(shù)CONTENTSCONTENTS01計算機病毒概述02計算機病毒的危害03計算機病毒的防范04木馬攻擊與防范第3章計算機病毒與木馬3.1計算機病毒概述1.1.1網(wǎng)絡(luò)安全的定義1.1.2網(wǎng)絡(luò)安全的重要性1.1.3網(wǎng)絡(luò)安全脆弱性的原因1.1.4網(wǎng)絡(luò)安全的基本要素1.1.5網(wǎng)絡(luò)安全面臨的威脅第3章計算機病毒與木馬計算機病毒、木馬和惡意軟件問題，是對計算機網(wǎng)絡(luò)系統(tǒng)影響范圍最廣且經(jīng)常遇到的安全威脅和隱患。計算機網(wǎng)絡(luò)系統(tǒng)如果受到計算機病毒和惡意軟件的侵?jǐn)_，就會出現(xiàn)輕者影響系統(tǒng)運行、使用和服務(wù)，重者導(dǎo)致文件和系統(tǒng)損壞，甚至導(dǎo)致服務(wù)器和網(wǎng)絡(luò)系統(tǒng)的癱瘓，所以，加強防范計算機病毒、木馬和惡意軟件極為重要。1．計算機病毒的定義2．計算機病毒的產(chǎn)生及原因3．計算機病毒的發(fā)展歷程3.1.1計算機病毒的基本概念第3章計算機病毒與木馬3.1.2計算機病毒的主要特征計算機病毒的特征主要體現(xiàn)在以下幾個方面。1．傳染性2．破壞性3．隱蔽性4．寄生性5．可執(zhí)行性6．可觸發(fā)性7．攻擊的主動性8．病毒的針對性第3章計算機病毒與木馬3.1.3計算機病毒的分類隨著計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，各種計算機病毒及變種也不斷涌現(xiàn)、快速增長，并且也越來越復(fù)雜，其分類方法也沒有嚴(yán)格的標(biāo)準(zhǔn)，下面將盡量從不同的角度來進行總結(jié)分類。1．按照計算機病毒依附的操作系統(tǒng)分類2．按照病毒攻擊的機型分類3．按照計算機病毒依附的媒體類型分類4．照計算機病毒傳播途徑分類第3章計算機病毒與木馬3.2計算機病毒的危害3.2.1計算機病毒的異常癥狀3.2.2計算機病毒的危害表現(xiàn)第3章計算機病毒與木馬3.2.1計算機病毒的異常癥狀計算機病毒的主要癥狀很多，凡是計算機不正常工作都有可能與病毒有關(guān)。計算機染上病毒后，如果沒有發(fā)作，是很難覺察到的，但是病毒發(fā)作時就很容易從以下癥狀中感覺出來。（1）計算機運行速度明顯變慢。（2）突然經(jīng)常性地死機。（3）經(jīng)常發(fā)生內(nèi)存不足情況。（4）無法正常啟動操作系統(tǒng)。（5）打印和通信異常。（6）無法保存或另存為文件。（7）磁盤容量聚減。（8）自動鏈接陌生網(wǎng)站。第3章計算機病毒與木馬3.2.2計算機病毒的危害表現(xiàn)病毒是引起大多數(shù)軟件故障的主要原因，計算機病毒其實是一種自我復(fù)制能力的程序或腳本語言，這些計算機程序或腳本語言利用計算機的軟件或硬件的缺陷控制或破壞計算機，可使系統(tǒng)運行緩慢、不斷重啟或使用戶無法正常操作計算機，甚至可能在硬件上造成損壞。（1）破壞內(nèi)存。（2）文件丟失或破壞文件。（3）影響計算機運行速度。（4）影響操作系統(tǒng)正常運行。（5）破壞硬盤或BIOS程序。（6）破壞系統(tǒng)數(shù)據(jù)區(qū)。（7）部分文檔自動加密。（8）導(dǎo)致計算機網(wǎng)絡(luò)癱瘓，無法正常提供網(wǎng)絡(luò)服務(wù)。第3章計算機病毒與木馬3.3計算機病毒的防范3.3.1計算機病毒程序的構(gòu)成3.3.2計算機病毒的防范技術(shù)第3章計算機病毒與木馬3.3.1計算機病毒程序的構(gòu)成計算機病毒程序通常由3個模塊和1個標(biāo)志構(gòu)成，即引導(dǎo)模塊、感染模塊、破壞表現(xiàn)模塊和感染標(biāo)志構(gòu)成。1．引導(dǎo)模塊2．感染模塊3．破壞表現(xiàn)模塊4．感染標(biāo)志第3章計算機病毒與木馬3.3.2計算機病毒的防范技術(shù)眾所周知，一個計算機系統(tǒng)要想知道其有無感染病毒，首先要進行檢測，然后才是防治。具體的檢測方法不外乎兩種：自動檢測和人手檢測。自動檢測是由成熟的檢測軟件（殺毒軟件）來看自動完成，無須太多的人工干預(yù)，但是由于現(xiàn)在新病毒出現(xiàn)快、變種多，有時候沒有及時更新病毒庫，所以需要用戶能夠根據(jù)計算機出現(xiàn)的異常情況進行檢測，即人工檢測方法。感染病毒的計算機系統(tǒng)內(nèi)部會發(fā)生某些變化，并在一定的條件下表現(xiàn)出來，因而可以通過直接觀察來判斷系統(tǒng)是否感染病毒。1．計算機病毒診斷方法2．計算機病毒防治第3章計算機病毒與木馬3.4木馬攻擊與防范3.4.1木馬的概述3.4.2木馬的分類3.4.3木馬的工作過程3.4.4木馬的防范技術(shù)第3章計算機病毒與木馬3.4.1木馬的概述木馬病毒是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和攻擊Dos等特殊功能的后門程序。木馬病毒其實是計算機黑客用于遠(yuǎn)程控制計算機的程序，將控制程序寄生于被控制的計算機系統(tǒng)中，里應(yīng)外合，對被感染木馬病毒的計算機實施操作。一般的木馬病毒程序主要是尋找計算機后門，伺機竊取被控計算機中的密碼和重要文件等。可以對被控計算機實施監(jiān)控、資料修改等非法操作，木馬病毒具有很強的隱蔽性，可以根據(jù)黑客意圖突然發(fā)起攻擊。1．特洛伊木馬2．木馬的工作原理3．木馬的特點4．木馬的偽裝方法5．木馬與病毒的區(qū)別6．木馬與遠(yuǎn)程控制程序的區(qū)別第3章計算機病毒與木馬3.4.2木馬的分類自木馬程序誕生至今，已經(jīng)出現(xiàn)了多種類型的木馬，對它們進行完全的列舉和說明是不可能的，更何況大多數(shù)的木馬都不是單一功能的木馬，它們往往是很多種功能的集成品，甚至有很多從未公開的功能在一些木馬中也廣泛地存在著。木馬的數(shù)量龐大，種類也是各異的，常見的木馬可以分為以下幾類。1．遠(yuǎn)程控制木馬2．密碼發(fā)送型木馬3．鍵盤記錄木馬4．破壞類木馬5．下載類木馬6．代理類木馬7．FTP類木馬8．網(wǎng)頁點擊類木馬9．網(wǎng)銀木馬10．DDoS攻擊木馬第3章計算機病毒與木馬3.4.3木馬的工作過程黑客利用木馬進行網(wǎng)絡(luò)入侵時，大致可分為配置木馬、傳播木馬、啟動木馬、建立連接和遠(yuǎn)程控制5個步驟，如圖3.26所示。1．配置木馬2．傳播木馬3．啟動木馬4．建立連接5．遠(yuǎn)程控制第3章計算機病毒與木馬3.4.4木馬的防范技術(shù)為了防范木馬的入侵，應(yīng)該實施如下的安全措施。（1）使用專業(yè)廠商的正版防火墻。（2）注意自己電子郵箱的安全，不要打開陌生人的郵件，更不要在沒有防護措施的情況下，打開或下載郵件中的附件。（3）不要輕易運行別人通過聊天工具發(fā)來的東西，對于從網(wǎng)上下載的資料或工具應(yīng)用使用殺毒軟件查殺確認(rèn)安全后再使用。（4）定期檢查系統(tǒng)的服務(wù)和系統(tǒng)的進程，查看是否有可疑服務(wù)或者可疑進程。（5）使用工具軟件隱藏自身的實際地址，可以減少網(wǎng)絡(luò)的攻擊；不要隱藏文件的擴展名，以便及時地發(fā)現(xiàn)木馬文件。（6）檢測和尋找木馬隱藏的位置。（7）防范端口。（8）刪除可疑程序。（9）健全網(wǎng)站和網(wǎng)絡(luò)游戲的管理。（10）增加網(wǎng)民的防范意識。感謝您的觀看FoundationsofComputerNetworkTechnology計算機網(wǎng)絡(luò)安全技術(shù)ThankYOU!第4章數(shù)據(jù)加密技術(shù)計算機網(wǎng)絡(luò)安全技術(shù)CONTENTSCONTENTS01密碼學(xué)概述02古典密碼學(xué)03對稱加密算法及其應(yīng)用04非對稱加密算法CONTENTSCONTENTS05數(shù)字簽名與認(rèn)證技術(shù)06郵件加密軟件PGP07公鑰基礎(chǔ)設(shè)施和數(shù)字證書第4章數(shù)據(jù)加密技術(shù)4.1密碼學(xué)概述4.1.1密碼學(xué)的基本概念4.1.2密碼學(xué)系統(tǒng)的安全性4.1.3密碼學(xué)的發(fā)展階段第4章數(shù)據(jù)加密技術(shù)密碼是通信雙方按約定的法則進行信息特殊變換的一種重要保密手段。依照這些法則，變明文為密文，稱為加密變換；變密文為明文，稱為解密變換。密碼在早期僅對文字或數(shù)碼進行加、解密變換，隨著通信技術(shù)的發(fā)展，對語音、圖像、數(shù)據(jù)等都可實施加、解密變換。密碼學(xué)是在編碼與破譯的斗爭實踐中逐步發(fā)展起來的，并隨著先進科學(xué)技術(shù)的應(yīng)用，已成為一門綜合性的尖端技術(shù)科學(xué)。它與語言學(xué)、數(shù)學(xué)、電子學(xué)、聲學(xué)、信息論、計算機科學(xué)等有著廣泛而密切的聯(lián)系。它的現(xiàn)實研究成果，特別是各國政府現(xiàn)用的密碼編制及破譯手段都具有高度的機密性。1．密碼學(xué)歷史2．密碼學(xué)專業(yè)術(shù)語4.1.1密碼學(xué)的基本概念第4章數(shù)據(jù)加密技術(shù)4.1.2密碼學(xué)系統(tǒng)的安全性信息安全的5個基本要素保密性、完整性、可用性、可控性、不可否認(rèn)性，而數(shù)據(jù)加密技術(shù)正是保證信息安全基本要素的一個非常重要的手段?？梢哉f沒有密碼學(xué)就沒有信息安全，所以密碼學(xué)是信息安全的一個核心。1．密碼學(xué)與信息安全的關(guān)系2．?dāng)?shù)據(jù)加密技術(shù)第4章數(shù)據(jù)加密技術(shù)4.1.3密碼學(xué)的發(fā)展階段1967年，戴維·卡恩出版的《破譯者》一書中指出“人類使用密碼的歷史幾乎與使用文字的歷史一樣長”，很多考古的發(fā)現(xiàn)也表明古人會用很多奇妙的方法對數(shù)據(jù)進行加密。從整體來看，密碼學(xué)的發(fā)展可以大致分成以下3個階段。1．古典密碼學(xué)階段（第1階段）2．現(xiàn)代密碼學(xué)階段（第2階段）3．公鑰密碼學(xué)階段（第3階段）第4章數(shù)據(jù)加密技術(shù)4.2古典密碼學(xué)4.2.1替換密碼技術(shù)4.2.2換位密碼技術(shù)第4章數(shù)據(jù)加密技術(shù)4.2.1替換密碼技術(shù)在替換密碼技術(shù)中，用一組密文字母來代替明文字母，以達到隱藏明文的目的。最典型的替換密碼技術(shù)是公元前50年左右羅馬朱利葉·凱撒發(fā)明的一種用于戰(zhàn)時秘密通信的方法——“凱撒密碼”。1．凱撒密碼2．Playfair密碼第4章數(shù)據(jù)加密技術(shù)4.2.2換位密碼技術(shù)換位密碼技術(shù)與替換密碼技術(shù)相比，換位密碼技術(shù)并沒有替換明文中的字母，而是通過改變明文字母的排列次序來達到加密的目的。最常用的換位密碼是列換位密碼。下面通過一個例子來說明其工作的原理。第4章數(shù)據(jù)加密技術(shù)4.3對稱加密算法及其應(yīng)用4.3.1對稱加密算法概述4.3.2DES算法4.3.3AES算法4.3.4其他常用的對稱加密算法第4章數(shù)據(jù)加密技術(shù)4.3.1對稱加密算法概述隨著數(shù)據(jù)加密技術(shù)的發(fā)展，現(xiàn)代密碼學(xué)主要有兩種基于密鑰的加密算法，分別是對稱加密算法和公開密鑰算法。對稱加密算法的特點是算法公開、計算量小、加密速度快、加密效率高。1．對稱加密算法的缺點2．對稱加密算法的優(yōu)點3．對稱加密算法的工作方式第4章數(shù)據(jù)加密技術(shù)4.3.2DES算法DES算法為密碼體制中的對稱密碼體制，又被稱為美國數(shù)據(jù)加密標(biāo)準(zhǔn)，是1972年美國IBM公司研制的對稱密碼體制加密算法。明文按64位進行分組，密鑰長64位，密鑰事實上是56位參與DES運算（第8、16、24、32、40、48、56、64位是校驗位，使得每個密鑰都有奇數(shù)個1）分組后的明文組和56位的密鑰按位替代或交換的方法形成密文組的加密方法。DES以算法實現(xiàn)快、密鑰簡短等特點成為現(xiàn)在使用非常廣泛的一種加密標(biāo)準(zhǔn)。1．DES算法的基本思想2．DES算法中S盒的運算3．DES算法的安全性第4章數(shù)據(jù)加密技術(shù)4.3.3AES算法密碼學(xué)中的高級加密標(biāo)準(zhǔn)（AdvancedEncryptionStandard，AES），又稱Rijndael加密法，是美國聯(lián)邦政府采用的一種區(qū)塊加密標(biāo)準(zhǔn)。高級加密標(biāo)準(zhǔn)由美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NationalInstituteofStandardsandTechnology，NIST）于2001年11月26日發(fā)布，并在2002年5月26日成為有效的標(biāo)準(zhǔn)，2006年，高級加密標(biāo)準(zhǔn)已然成為對稱密鑰加密中最流行的算法之一AES是美國聯(lián)邦政府采用的商業(yè)及政府?dāng)?shù)據(jù)加密標(biāo)準(zhǔn)，預(yù)計將在未來幾十年里代替DES在各個領(lǐng)域中得到廣泛應(yīng)用。AES提供128位密鑰，因此，128位AES的加密強度是56位DES加密強度的1000倍還多。假設(shè)可以制造一部可以在1秒內(nèi)破解DES密碼的機器，那么使用這臺機器破解一個128位AES密碼需要大約149億年的時間。更深一步比較而言，宇宙一般被認(rèn)為存在了還不到200億年。因此可以預(yù)計，美國國家標(biāo)準(zhǔn)局倡導(dǎo)的AES即將作為新標(biāo)準(zhǔn)取代DES。第4章數(shù)據(jù)加密技術(shù)4.3.4其他常用的對稱加密算法隨著計算機軟硬件水平的提高，DES算法的安全性也受到了一定的挑戰(zhàn)。為了更進一步提高對稱加密算法的安全性，在DES算法的基礎(chǔ)上發(fā)展了其他對稱加密算法，如三重DES、IDEA等。1．三重DES（TripleDES）算法

2．國際數(shù)據(jù)加密算法（InternationalDataEncryptionAlogorithm，IDEA）第4章數(shù)據(jù)加密技術(shù)4.4非對稱加密算法4.4.1非對稱加密算法概述4.4.2RSA算法第4章數(shù)據(jù)加密技術(shù)4.4.1非對稱加密算法概述1976年，Diffie和Hellman了為解決密鑰管理的問題，在他們具有奠基性意義的著作“密碼學(xué)的新方向”一文中，提出了一種密鑰交換協(xié)議，允許在不安全的媒體上通信雙方交換信息，安全地達成一致的密鑰。在此新思想的基礎(chǔ)上，很快出現(xiàn)了與“傳統(tǒng)密碼體制”相對的“非對稱密鑰密碼體制”，即“公開密鑰密碼體制”。其中加密密鑰和解密密鑰完全不同，不能通過加密密鑰推算出解密密鑰。之所以稱為公開密鑰加密算法，是因為其加密密鑰是公開的，任何人都能通過查找相應(yīng)的公開文檔得到，而解密密鑰是保密的，只有得到相應(yīng)的解密密鑰才能解密信息。在這個系統(tǒng)中，加密密鑰也稱為公開密鑰（PublicKey，公鑰），解密密鑰也稱為私人密鑰（PrivateKey，私鑰）。公開密鑰加密算法的通信模型，如圖4.6所示。第4章數(shù)據(jù)加密技術(shù)4.4.2RSA算法應(yīng)用最廣泛的公開密鑰算法是RSA。RSA算法是在1977年由美國的3位教授羅納德·李維斯特Rivest、阿迪·薩莫爾Shamirh和倫納德·阿德曼Adleman在題為《獲得數(shù)字簽名和公開鑰密碼系統(tǒng)的一種方法》的論文中提出的，算法的名稱取自3位教授的名字。RSA算法是第一個提出的公開密鑰加密算法，是至今為止最為完善的公開密鑰加密算法之一。RSA算法的這3位發(fā)明者也因此在2002年獲得了計算機領(lǐng)域的最高獎——圖靈獎。1．RSA算法的基本思想2．RSA算法的安全性分析3．公共密鑰加密算法在網(wǎng)絡(luò)安全中的應(yīng)用第4章數(shù)據(jù)加密技術(shù)4.5數(shù)字簽名與認(rèn)證技術(shù)4.5.1數(shù)字簽名概述4.5.2數(shù)字簽名的實現(xiàn)方法4.5.3認(rèn)證技術(shù)第4章數(shù)據(jù)加密技術(shù)4.5.1數(shù)字簽名概述數(shù)字簽名（又稱公鑰數(shù)字簽名）是只有信息的發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段數(shù)字串同時也是對信息的發(fā)送者發(fā)送信息真實性的一個有效證明。它是一種類似寫在紙上的普通的物理簽名，但是在使用了公鑰加密領(lǐng)域的技術(shù)來實現(xiàn)的，用于鑒別數(shù)字信息的方法。一套數(shù)字簽名通常定義兩種互補的運算，一個用于簽名，另一個用于驗證。數(shù)字簽名是非對稱密鑰加密技術(shù)與數(shù)字摘要技術(shù)的應(yīng)用。1．?dāng)?shù)字簽名的特點2．?dāng)?shù)字簽名的主要功能第4章數(shù)據(jù)加密技術(shù)4.5.2數(shù)字簽名的實現(xiàn)方法一個完善的數(shù)字簽名應(yīng)該解決以下3個問題。（1）接收方能夠核實發(fā)送方的報文的簽名，如果當(dāng)事雙方對簽名真?zhèn)伟l(fā)生爭議時，則應(yīng)該能夠在第三方監(jiān)督下通過驗證簽名來確認(rèn)其真?zhèn)?。?）發(fā)送方事后不能否認(rèn)自己對報文的簽名。（3）除了發(fā)送方的其他任何人不能偽造簽名，也不能對接收或發(fā)送的信息進行篡改、偽造。在公鑰密碼體系中，數(shù)字簽名是通過私鑰加密報文信息來實現(xiàn)的，其安全性取決于密碼體系的安全性。現(xiàn)在，經(jīng)常采用公開密鑰加密算法實現(xiàn)數(shù)據(jù)簽名，特別是RSA算法。下面簡單地介紹一下數(shù)字簽名的實現(xiàn)思想。第4章數(shù)據(jù)加密技術(shù)4.5.3認(rèn)證技術(shù)認(rèn)證技術(shù)用于驗證傳輸數(shù)據(jù)完整性的過程，一般可以分為消息認(rèn)證和身份認(rèn)證兩種。消息認(rèn)證用于驗證信息的完整性和不可否認(rèn)性，它可以檢測信息是否被篡改或偽造，常見的消息認(rèn)證方法包括散列函數(shù)、消息認(rèn)證碼、數(shù)字簽名等。換句話說，消息認(rèn)證就是驗證所收到的消息是來自真正的發(fā)送方且沒有被修改的，它可以防止偽裝、篡改、順序修改和時延修改等攻擊，也可以防御否認(rèn)攻擊。而身份認(rèn)證是確認(rèn)用戶身份的過程，包括身份識別和身份驗證。1．散列函數(shù)2．消息認(rèn)證碼3．身份認(rèn)證第4章數(shù)據(jù)加密技術(shù)4.6郵件加密軟件PGP4.6.1PGP系統(tǒng)的概述4.6.2PGP系統(tǒng)的基本工作原理第4章數(shù)據(jù)加密技術(shù)4.6.1PGP系統(tǒng)的概述PGP加密軟件是美國人菲利普·齊默曼（PhilipR.Zimmermann）在1991年發(fā)布的一個結(jié)合RSA公開密鑰加密體系和對稱加密體系的郵件軟件包。它是目前世界上最流行的加密軟件，其源代碼是公開的，經(jīng)受住了成千上萬名頂尖黑客的破解挑戰(zhàn)，它是目前世界上最優(yōu)秀、最安全的加密軟件。PGP軟件的功能強大、速度快，在企事業(yè)單位中有著廣泛的用途，尤其在商務(wù)應(yīng)用上，全球百大企業(yè)中有80%使用它進行內(nèi)部人員及外部商業(yè)伙伴的機密數(shù)據(jù)的往來。它不僅可以對郵件進行加密，還具有對文件、文件夾、虛擬驅(qū)動器、整個硬盤、網(wǎng)絡(luò)硬盤、即時通信等進行加密和永久粉碎資料等功能。該軟件的功能主要有兩方面：一方面，PGP可以對所發(fā)送的郵件進行加密，以防止非授權(quán)用戶閱讀，保證信息的機密性（Pvivacy）；另一方面，PGP能對所發(fā)送的郵件進行數(shù)字簽名，從而使接收者確認(rèn)郵件的發(fā)送者，并確認(rèn)郵件沒有被篡改或偽造，即信息的認(rèn)證性（Authentication）。

第4章數(shù)據(jù)加密技術(shù)4.6.2PGP系統(tǒng)的基本工作原理PGP軟件系統(tǒng)中并沒有引入新的算法，只是將現(xiàn)有的被全世界密碼學(xué)者公認(rèn)安全、可信賴的幾種基本密碼算法（如IDEA、AES、RSA、SHA等）組合在一起，把公開密鑰加密體系的安全性和對稱加密體系的高速性結(jié)合起來，在對郵件進行加密時，同時使用了AES等對稱加密算法和RSA等公開密鑰加密算法，并且在數(shù)字簽名和密鑰認(rèn)證管理機制上有巧妙的設(shè)計，讓用戶可以安全地從未見過的人們通信，事先不需要通過任何保密的渠道來傳遞密鑰。下面結(jié)合前面所學(xué)過的知識，簡單地介紹PGP軟件系統(tǒng)的工作原理，如圖4.10所示。第4章數(shù)據(jù)加密技術(shù)4.7公鑰基礎(chǔ)設(shè)施和數(shù)字證書4.7.1PKI的定義及組成4.7.2PKI技術(shù)的優(yōu)勢與應(yīng)用4.7.3數(shù)字證書及其應(yīng)用第4章數(shù)據(jù)加密技術(shù)4.7.1PKI的定義及組成完整的PKI系統(tǒng)必須具有權(quán)威認(rèn)證機構(gòu)（CA）、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用程序接口（ApplicationProgrammingInterface，API）等基本構(gòu)成部分，構(gòu)建PKI也將圍繞著這五大系統(tǒng)來著手構(gòu)建。1．認(rèn)證機構(gòu)（CA）2．?dāng)?shù)字證書庫3．密鑰備份及恢復(fù)系統(tǒng)4．證書作廢系統(tǒng)5．應(yīng)用程序接口（API）

第4章數(shù)據(jù)加密技術(shù)4.7.2PKI技術(shù)的優(yōu)勢與應(yīng)用PKI就是一種基礎(chǔ)設(shè)施，其目標(biāo)就是要充分利用公鑰密碼學(xué)的理論基礎(chǔ)，建立起一種普遍適用的基礎(chǔ)設(shè)施，為各種網(wǎng)絡(luò)應(yīng)用提供全面的安全服務(wù)。1．PKI技術(shù)的優(yōu)勢2．PKI技術(shù)的應(yīng)用第4章數(shù)據(jù)加密技術(shù)4.7.3數(shù)字證書及其應(yīng)用數(shù)字證書是由CA頒發(fā)的，能夠在網(wǎng)絡(luò)中證明用戶身份的權(quán)威的電子文件。它是用戶身份及其公鑰的有機結(jié)合，同時會附上認(rèn)證的簽名信息，使其不能被偽造和篡改。由于以數(shù)字證書為核心的加密技術(shù)可以對互聯(lián)網(wǎng)中傳輸?shù)男畔⑦M行加解密、數(shù)字簽名和驗證簽名，確保了信息的機密性和完整性，因此數(shù)字證書廣泛應(yīng)用于安全電子郵件、安全終端保護、可信網(wǎng)站服務(wù)、身份授權(quán)管理等安全領(lǐng)域。1．?dāng)?shù)字證書的基本內(nèi)容2．?dāng)?shù)字證書的應(yīng)用感謝您的觀看FoundationsofComputerNetworkTechnology計算機網(wǎng)絡(luò)安全技術(shù)ThankYOU!第5章網(wǎng)絡(luò)操作系統(tǒng)管理計算機網(wǎng)絡(luò)安全技術(shù)CONTENTSCONTENTS01LINUX網(wǎng)絡(luò)操作系統(tǒng)概述02虛擬機與網(wǎng)絡(luò)操作系統(tǒng)安裝03操作系統(tǒng)的應(yīng)用程序與管理04使用CRT與FX配置管理操作系統(tǒng)05系統(tǒng)克隆與快照管理第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.1LINUX網(wǎng)絡(luò)操作系統(tǒng)概述5.1LINUX網(wǎng)絡(luò)操作系統(tǒng)概述5.1.1Linux的發(fā)展歷史5.1.2Linux的體系結(jié)構(gòu)5.1.3Linux的版本5.1.4Linux的特性第5章網(wǎng)絡(luò)操作系統(tǒng)管理Linux操作系統(tǒng)是一種類UNIX的操作系統(tǒng)。UNIX是一種主流、經(jīng)典的操作系統(tǒng)，Linux操作系統(tǒng)來源于UNIX，是UNIX在計算機上的完整實現(xiàn)。UNIX操作系統(tǒng)是1969年由肯?湯普森（K.Thompson）工程師在美國貝爾實驗室開發(fā)的一種操作系統(tǒng)，1972年，其與丹尼斯?里奇（D.Ritchie）工程師一起用C語言重寫了UNIX操作系統(tǒng)，大幅提高了其可移植性。由于UNIX具有良好而穩(wěn)定的性能，因此在計算機領(lǐng)域中得到了廣泛應(yīng)用。Linux具有完善的網(wǎng)絡(luò)功能和較高的安全性，繼承了UNIX操作系統(tǒng)卓越的穩(wěn)定性表現(xiàn)，在全球各地的服務(wù)器平臺上的市場份額不斷增加。在高性能計算集群中，Linux處于無可爭議的“霸主”地位，在全球排名前500名的高性能計算機系統(tǒng)中，Linux占了90%以上的份額。5.1.1Linux的發(fā)展歷史第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.1.2Linux的體系結(jié)構(gòu)Linux采用分層設(shè)計，分層結(jié)構(gòu)，如圖5.1所示，它包括4層。每層只能與相鄰的層通信，層間具有從上到下的依賴關(guān)系，靠上的層依賴靠下的層，但靠下的層并不依賴靠上的層，各層系統(tǒng)功能如下。（1）用戶應(yīng)用程序。（2）操作系統(tǒng)服務(wù)。（3）Linux內(nèi)核。（4）硬件系統(tǒng)。第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.1.3Linux的版本Linux是一種誕生于網(wǎng)絡(luò)、成長于網(wǎng)絡(luò)且成熟于網(wǎng)絡(luò)的操作系統(tǒng)，Linux操作系統(tǒng)具有開源的特性，是基于Copyleft（無版權(quán)）的軟件模式發(fā)布的。其實，Copyleft是與Copyright（版權(quán)所有）相對立的新名稱，這造就了Linux操作系統(tǒng)發(fā)行版本多樣化的格局。1．RedHatLinux2．CentOS3．Fedora4．Mandrake5．Debian6．Ubuntu第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.1.4Linux的特性Linux操作系統(tǒng)是目前發(fā)展最快的操作系統(tǒng)之一，這與Linux具有的良好特性是分不開的。它包含了UNIX的全部功能和特性。Linux操作系統(tǒng)作為一款免費、自由、開放的操作系統(tǒng)，發(fā)展勢不可當(dāng)。它高效、安全、穩(wěn)定，支持多種硬件平臺，用戶界面友好，網(wǎng)絡(luò)功能強大，支持多任務(wù)、多用戶。（1）開放性。（2）多用戶。（3）多任務(wù)。（4）良好的用戶界面。（5）設(shè)備獨立性強。（6）豐富的網(wǎng)絡(luò)功能。（7）可靠的安全系統(tǒng)。（8）良好的可移植性。（9）支持多文件系統(tǒng)。第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.2虛擬機與網(wǎng)絡(luò)操作系統(tǒng)安裝5.2.1VMwareWorkstation虛擬機安裝5.2.2Ubuntu網(wǎng)絡(luò)操作系統(tǒng)安裝5.2.3熟悉Ubuntu桌面環(huán)境第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.2.1VMwareWorkstation虛擬機安裝VMwareWorkstation是一款功能強大的桌面虛擬機軟件，可以在單一桌面上同時運行不同操作，并完成開發(fā)、調(diào)試、部署等。第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.2.2Ubuntu網(wǎng)絡(luò)操作系統(tǒng)安裝使用UbuntuLinux操作系統(tǒng)之前用戶必須登錄，然后才能使用系統(tǒng)中的各種資源。登錄的目的就是使系統(tǒng)能夠識別出當(dāng)前的用戶身份，當(dāng)用戶訪問資源時就可以判斷該用戶是否具有相應(yīng)的訪問權(quán)限。登錄Linux系統(tǒng)是使用系統(tǒng)的第一步。用戶應(yīng)該首先擁有一個系統(tǒng)賬戶，作為登錄憑證，然后再進行其他相關(guān)操作。1．系統(tǒng)登錄、注銷與關(guān)機2．活動概覽視圖3．啟動應(yīng)用程序4．將應(yīng)用程序添加到Dash面板5．窗口操作6．使用工作區(qū)7．用戶管理第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.2.3熟悉Ubuntu桌面環(huán)境UbuntuLinux操作系統(tǒng)提供多種圖形化界面的應(yīng)用程序，用戶可以使用相應(yīng)的程序進行管理與使用，下面對常用的圖形化應(yīng)用程序進行介紹。1．Firefox瀏覽器2．Thunderbird郵件/新聞3．文件管理器4．文本編輯器第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.3操作系統(tǒng)的應(yīng)用程序與管理5.3.1常用的圖形界面應(yīng)用程序5.3.2Ubuntu個性化設(shè)置5.3.3Ubuntu命令行終端管理第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.3.1常用的圖形界面應(yīng)用程序UbuntuLinux操作系統(tǒng)提供多種圖形化界面的應(yīng)用程序，用戶可以使用相應(yīng)的程序進行管理與使用，下面對常用的圖形化應(yīng)用程序進行介紹。1．Firefox瀏覽器2．Thunderbird郵件/新聞3．文件管理器4．文本編輯器第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.3.2Ubuntu個性化設(shè)置用戶在開始使用Ubuntu時，往往要根據(jù)自己的需求對桌面環(huán)境進行制定。多數(shù)設(shè)置針對當(dāng)前用戶，不需要用戶認(rèn)證，而有關(guān)系統(tǒng)的設(shè)置則需要擁有超級管理員權(quán)限。1．顯示器設(shè)置2．背景設(shè)置3．外觀設(shè)置4．鍵盤快捷鍵5．網(wǎng)絡(luò)設(shè)置第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.3.3Ubuntu命令行終端管理使用命令管理Linux系統(tǒng)是很基本和很重要的方法。到目前為止，很多重要的任務(wù)依然必須由命令行完成，而且執(zhí)行相同的任務(wù)，使用命令行來完成比使用圖形界面要簡捷高效得多。使用命令行有兩種方式，一種是在桌面環(huán)境中使用仿真終端窗口，另一種是進入文本模式后登錄到終端。1．使用仿真終端窗口2．使用文本模式3．配置超級管理員root4．使用命令行關(guān)閉和重啟系統(tǒng)第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.4使用CRT與FX配置管理操作系統(tǒng)5.4.1使用SecureCRT配置管理Ubuntu系統(tǒng)5.4.2使用SecureFX遠(yuǎn)程連接Ubuntu系統(tǒng)5.4.3CRT無法連接登錄系統(tǒng)的原因及解決方案第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.4.1使用SecureCRT配置管理Ubuntu系統(tǒng)安全遠(yuǎn)程登錄（SecureCombinedRloginandTelnet，SecureCRT）和安全傳輸（SecureFTP和FTPoverSSH2，SecureFX）都是由VanDyke出品的安全外殼（SecureShell，SSH）傳輸工具，SecureCRT可以進行遠(yuǎn)程連接，SecureFX可以進行遠(yuǎn)程可視化文件傳輸。SecureCRT是一種支持SSH（SSH1和SSH2）的終端仿真程序，簡單地說，其為Windows下登錄UNIX或Linux服務(wù)器主機的軟件。為了方便操作，可以使用SecureCRT連接Ubuntu系統(tǒng)進行配置管理。第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.4.2使用SecureFX遠(yuǎn)程連接Ubuntu系統(tǒng)使用SecureFX連接Ubuntu系統(tǒng)，進行文件傳輸，操作過程參考教材。第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.4.3CRT無法連接登錄系統(tǒng)的原因及解決方案導(dǎo)致SecureCRT無法連接Ubuntu系統(tǒng)的原因有很多，具體情況參考教材。第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.5系統(tǒng)克隆與快照管理5.5.1系統(tǒng)克隆5.5.2快照管理第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.5.1系統(tǒng)克隆我們經(jīng)常用虛擬機做各種試驗，初學(xué)者免不了因誤操作導(dǎo)致系統(tǒng)崩潰、無法啟動，或者在做集群的時候，通常需要多臺服務(wù)器進行測試，例如，搭建mysql服務(wù)、redis服務(wù)，tomcat、nginx等。搭建服務(wù)器費時費力，一旦系統(tǒng)崩潰、無法啟動，需要重新安裝操作系統(tǒng)或是部署多臺服務(wù)器的時候，安裝操作系統(tǒng)將會浪費很多時間。那么我們將如何進行操作呢？系統(tǒng)克隆與快照管理將會很好地解決這個問題。我們在虛擬機安裝好原始的操作系統(tǒng)后，進行克隆，克隆出幾份備用，方便日后多臺機器做實驗，這樣就可以避免重新安裝操作系統(tǒng)，既方便又快捷。第5章網(wǎng)絡(luò)操作系統(tǒng)管理5.5.2快照管理VMware快照是VMwareWorkstation里的一個特色功能。當(dāng)用戶創(chuàng)建一個虛擬機快照時，它會創(chuàng)建一個特定的文件delta。delta文件是在基礎(chǔ)虛擬機磁盤文件（VirtualMachineDiskFormat，VMDK）上的變更位圖，因此，它不能增長到比VMDK還大。VMware為虛擬機創(chuàng)建每一個快照時，都會創(chuàng)建一個delta文件；當(dāng)快照被刪除或快照管理里被恢復(fù)時，文件將自動刪除?？煺湛梢詫?dāng)前的遠(yuǎn)行狀態(tài)保存下來，當(dāng)系統(tǒng)出現(xiàn)問題的時候，可以從快照中進行恢復(fù)。感謝您的觀看FoundationsofComputerNetworkTechnology計算機網(wǎng)絡(luò)安全技術(shù)ThankYOU!第6章防火墻與VPN技術(shù)計算機網(wǎng)絡(luò)安全技術(shù)CONTENTSCONTENTS01防火墻概述02防火墻的分類03防火墻的應(yīng)用模式04防火墻設(shè)備連接與配置05VPN技術(shù)06

GRE與IPSEC協(xié)議第6章防火墻與VPN技術(shù)6.1防火墻概述6.1.1防火墻的基本概念6.1.2防火墻端口區(qū)域及控制策略第6章防火墻與VPN技術(shù)在網(wǎng)絡(luò)中，所謂“防火墻”是指一種將內(nèi)部網(wǎng)絡(luò)和公眾訪問網(wǎng)（如Internet）分開的方法，它實際上是一種隔離技術(shù)，屬于經(jīng)典的靜態(tài)安全技術(shù)，用于邏輯隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)。1．防火墻的定義2．防火墻的功能3．防火墻的優(yōu)缺點6.1.1防火墻的基本概念第6章防火墻與VPN技術(shù)6.1.2防火墻端口區(qū)域及控制策略防火墻是設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。這是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊力，它是提供信息安全服務(wù)、實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。1．防火墻端口區(qū)域2．DMZ常規(guī)訪問控制策略第6章防火墻與VPN技術(shù)6.2防火墻的分類6.2.1防火墻使用技術(shù)分類6.2.2防火墻實現(xiàn)方式分類第6章防火墻與VPN技術(shù)6.2.1防火墻使用技術(shù)分類按防火墻使用技術(shù)分類，可以分為包過濾防火墻、代理防火墻、狀態(tài)檢測防火墻、復(fù)合型防火墻和下一代防火墻。1．包過濾防火墻2．代理防火墻3．狀態(tài)檢測防火墻4．復(fù)合型防火墻5．下一代防火墻第6章防火墻與VPN技術(shù)6.2.2防火墻實現(xiàn)方式分類按照防火墻實現(xiàn)方式分類，可以分為硬件防火墻和軟件防火墻。1．硬件防火墻2．軟件防火墻第6章防火墻與VPN技術(shù)6.3防火墻的應(yīng)用模式6.3.1防火墻的體系結(jié)構(gòu)6.3.2防火墻的工作模式第6章防火墻與VPN技術(shù)6.3.1防火墻的體系結(jié)構(gòu)在防火墻與網(wǎng)絡(luò)的配置上，通常有以下三種典型的體系結(jié)構(gòu)，即雙宿主主機體系結(jié)構(gòu)、屏蔽主機體系結(jié)構(gòu)、屏蔽子網(wǎng)體系結(jié)構(gòu)。1．雙宿主主機體系結(jié)構(gòu)2．屏蔽主機體系結(jié)構(gòu)3．屏蔽子網(wǎng)體系結(jié)構(gòu)第6章防火墻與VPN技術(shù)6.3.2防火墻的工作模式防火墻的工作模式包括路由工作模式、透明工作模式和NAT工作模式。如果防火墻的接口可同時工作在透明與路由模式下，那么這種工作模式叫作混合模式。某些防火墻支持最完整的混合工作模式，即支持路由+透明+NAT的最靈活的工作模式，方便防火墻接入各種復(fù)雜的網(wǎng)絡(luò)環(huán)境，以滿足企業(yè)網(wǎng)絡(luò)多樣化的部署需求。1．路由工作模式2．透明工作模式3．NAT工作模式第6章防火墻與VPN技術(shù)6.4防火墻設(shè)備連接與配置6.4.1防火墻設(shè)備連接6.4.2防火墻設(shè)備配置第6章防火墻與VPN技術(shù)6.4.1防火墻設(shè)備連接第6章防火墻與VPN技術(shù)6.4.2防火墻設(shè)備配置1．防火墻基本配置2．防火墻接入Internet配置第6章防火墻與VPN技術(shù)6.5VPN技術(shù)6.5.1VPN技術(shù)的概述6.5.2VPN的分類6.5.3VPN使用的主要技術(shù)第6章防火墻與VPN技術(shù)6.5.1VPN技術(shù)的概述VPN屬于遠(yuǎn)程訪問技術(shù)，簡單地說就是利用公用網(wǎng)絡(luò)架設(shè)專用網(wǎng)絡(luò)。如某公司員工出差到外地，他想訪問企業(yè)內(nèi)網(wǎng)的服務(wù)器資源，這種訪問就屬于遠(yuǎn)程訪問。1．VPN定義2．VPN主要特點3．VPN工作過程第6章防火墻與VPN技術(shù)6.5.2VPN的分類根據(jù)不同的劃分標(biāo)準(zhǔn)，VPN可以按以下幾個標(biāo)準(zhǔn)進行分類劃分。1．按VPN的協(xié)議分類2．按VPN的實現(xiàn)方式分類3．按VPN的服務(wù)類型分類第6章防火墻與VPN技術(shù)6.5.3VPN使用的主要技術(shù)VPN主要采用隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)(KeyManagement)和身份認(rèn)證技術(shù)(Authentication)四項技術(shù)。1．隧道技術(shù)(Tunneling)2．加解密技術(shù)(Encryption&Decryption)3．密鑰管理技術(shù)(KeyManagement)。4．身份認(rèn)證技術(shù)(Authentication)第6章防火墻與VPN技術(shù)6.6GRE與IPSEC協(xié)議6.6.1GRE協(xié)議6.6.2IPSec協(xié)議第6章防火墻與VPN技術(shù)6.6.1GRE協(xié)議GRE協(xié)議提供了將一種協(xié)議的報文封裝在另一種協(xié)議報文中的機制，是一種三層隧道封裝技術(shù)，使報文可以通過GRE協(xié)議隧道進行透明的傳輸，解決了異種網(wǎng)絡(luò)的傳輸問題。1．GRE協(xié)議特點2．GRE協(xié)議封裝后的報文格式3．GRE協(xié)議封裝后的報文格式第6章防火墻與VPN技術(shù)6.6.2IPSec協(xié)議IPSec是對IP的安全性補充，