计算机网络计算机网络吴功宜吴功宜 编著编著普通高等教育精品教材普通高等教育精品教材普通高等教育普通高等教育 十一五十一五 国家级规划教材国家级规划教材第第9章章 网络安全网络安全本章学习要求：本章学习要求：了解：了解： 网络安全的重要性与研究的主要内容网络安全的重要性与研究的主要内容. .了解：了解： 当前网络安全形势的变化当前网络安全形势的变化. .理解：理解： 密码体制基本概念及其在网络安全中的应用密码体制基本概念及其在网络安全中的应用. .掌握：掌握： 网络安全协议的概念及应用网络安全协议的概念及应用. .掌握：掌握： 防火墙的概念及应用防火墙的概念及应用. .掌握：掌握： 入侵检测的基本概念与方法入侵检测的基本概念与方法. .掌握：掌握： 网络业务持续性规划技术基本概念与方法网络业务持续性规划技术基本概念与方法. .理解：理解： 恶意代码与网络病毒防治的基本概念与方法恶意代码与网络病毒防治的基本概念与方法. .计算机网络第计算机网络第9 9章章 网络安全网络安全3本章知识点结构本章知识点结构计算机网络第计算机网络第9 9章章 网络安全网络安全49.1 网络安全的基本概念网络安全的基本概念9.1.1 网络安全重要性与特点网络安全重要性与特点网络安全是网络技术研究中一个永恒的主题网络安全是网络技术研究中一个永恒的主题网络安全是一个系统的社会工程网络安全是一个系统的社会工程趋利性是当前网络攻击的主要动机趋利性是当前网络攻击的主要动机网络安全关乎国家安全与社会稳定网络安全关乎国家安全与社会稳定计算机网络第计算机网络第9 9章章 网络安全网络安全59.1.2 网络安全服务功能与法律法规网络安全服务功能与法律法规网络安全服务的基本功能网络安全服务的基本功能: :可用性可用性机密性机密性完整性完整性不可否认性不可否认性可控性可控性计算机网络第计算机网络第9 9章章 网络安全网络安全69.1.3 网络安全威胁的发展趋势网络安全威胁的发展趋势 恶意代码保持快速增长的势头恶意代码保持快速增长的势头对移动终端设备攻击的威胁快速上升对移动终端设备攻击的威胁快速上升针对应用软件漏洞的攻击更为突出针对应用软件漏洞的攻击更为突出针对搜索引擎的攻击呈快速上升趋势针对搜索引擎的攻击呈快速上升趋势假冒软件的攻击将转变攻击方式假冒软件的攻击将转变攻击方式利用社交网络、高仿网站与钓鱼欺诈发起攻击利用社交网络、高仿网站与钓鱼欺诈发起攻击僵尸网络将会出现新的变种僵尸网络将会出现新的变种垃圾邮件正在变换新的活动方式垃圾邮件正在变换新的活动方式计算机网络第计算机网络第9 9章章 网络安全网络安全79.1.4 网络安全研究的主要问题网络安全研究的主要问题信息被攻击的信息被攻击的4种基本类型种基本类型计算机网络第计算机网络第9 9章章 网络安全网络安全8可能存在的网络攻击与威胁可能存在的网络攻击与威胁计算机网络第计算机网络第9 9章章 网络安全网络安全99.1.5 网络攻击的主要类型网络攻击的主要类型漏洞攻击漏洞攻击欺骗攻击欺骗攻击 DoS与与DDoS对防火墙的攻击对防火墙的攻击恶意软件与病毒攻击恶意软件与病毒攻击计算机网络第计算机网络第9 9章章 网络安全网络安全10DDoS攻击过程示意图攻击过程示意图计算机网络第计算机网络第9 9章章 网络安全网络安全119.2 加密与认证技术加密与认证技术9.2.1 密码算法与密码体制的基本概念密码算法与密码体制的基本概念加密与解密过程示意图加密与解密过程示意图计算机网络第计算机网络第9 9章章 网络安全网络安全12易位密码方法原理示意图易位密码方法原理示意图计算机网络第计算机网络第9 9章章 网络安全网络安全13密钥长度与密钥个数密钥长度与密钥个数计算机网络第计算机网络第9 9章章 网络安全网络安全14密钥长度（密钥长度（bit）组合个数组合个数40240=109951162777656256=7.205759403793101664264=1.84467440737110191122112=5.19229685853510331282128=3.40282366920910389.2.2 对称密码体系对称密码体系对称加密的工作原理对称加密的工作原理计算机网络第计算机网络第9 9章章 网络安全网络安全159.2.3 非对称密码体系非对称密码体系非对称加密的工作原理非对称加密的工作原理计算机网络第计算机网络第9 9章章 网络安全网络安全169.2.4 公钥基础设施公钥基础设施PKIPKI工作原理示意图工作原理示意图计算机网络第计算机网络第9 9章章 网络安全网络安全179.2.5 数字签名技术数字签名技术数字签名的工作原理示意图数字签名的工作原理示意图计算机网络第计算机网络第9 9章章 网络安全网络安全189.2.6 身份认证技术的发展身份认证技术的发展所知：个人所掌握的密码、口令所知：个人所掌握的密码、口令所有：个人的所有：个人的#、护照、信用卡、钥匙、护照、信用卡、钥匙个人特征：人的指纹、声音、笔迹、手型、脸个人特征：人的指纹、声音、笔迹、手型、脸 型、血型、视网膜、虹膜、型、血型、视网膜、虹膜、DNA, 以及个人动作方面的特征以及个人动作方面的特征根据安全要求和用户可接受的程度根据安全要求和用户可接受的程度,以及成本等以及成本等因素因素,可以选择适当的组合可以选择适当的组合,来设计一个自动身来设计一个自动身份认证系统份认证系统.计算机网络第计算机网络第9 9章章 网络安全网络安全199.3 网络安全协议网络安全协议9.3.1 网络安全协议的基本概念网络安全协议的基本概念网络安全协议设计的要求是实现协议执行网络安全协议设计的要求是实现协议执行过程中的认证性、机密性、完整性与不过程中的认证性、机密性、完整性与不可否认性可否认性.网络安全协议的研究与标准的制定涉及网网络安全协议的研究与标准的制定涉及网络层、传输层与应用层络层、传输层与应用层.计算机网络第计算机网络第9 9章章 网络安全网络安全209.3.2 网络层安全与网络层安全与IPSec协议、协议、IPSec VPNIPSec安全体系结构安全体系结构IPSec的安全服务是在的安全服务是在IP层提供的层提供的.IPSec安全体系主要是由：认证头协议、封装安全载荷协安全体系主要是由：认证头协议、封装安全载荷协议与议与Internet密钥交换协议等组成密钥交换协议等组成.认证头协议用于增强认证头协议用于增强IP协议的安全性协议的安全性,提供对提供对IP分组源认分组源认证、证、IP分组数据传输完整性与防重放攻击的安全服务分组数据传输完整性与防重放攻击的安全服务.封装安全载荷协议提供对封装安全载荷协议提供对IP分组源认证、分组源认证、IP分组数据完分组数据完整性、秘密性与防重放攻击的安全服务整性、秘密性与防重放攻击的安全服务.Internet密钥交换协议用于协商密钥交换协议用于协商AH协议与协议与ESP协议所使用协议所使用的密码算法与密钥管理体制的密码算法与密钥管理体制.IPSec对于对于IPv4是可选的是可选的,而是而是IPv6基本的组成部分基本的组成部分.计算机网络第计算机网络第9 9章章 网络安全网络安全21AH协议基本工作原理协议基本工作原理传输模式的传输模式的AH协议原理示意图协议原理示意图计算机网络第计算机网络第9 9章章 网络安全网络安全22隧道模式隧道模式ESP工作原理示意图工作原理示意图计算机网络第计算机网络第9 9章章 网络安全网络安全239.3.4 传输层安全与传输层安全与SSL、TLP协议协议SSL协议在层次结构中的位置协议在层次结构中的位置计算机网络第计算机网络第9 9章章 网络安全网络安全249.3.4 应用层安全与应用层安全与PGP、SET协议协议数字信封工作原理示意图数字信封工作原理示意图计算机网络第计算机网络第9 9章章 网络安全网络安全25SET结构示意图结构示意图计算机网络第计算机网络第9 9章章 网络安全网络安全269.4 防火墙技术防火墙技术9.4.1 防火墙的基本概念防火墙的基本概念防火墙的位置与作用防火墙的位置与作用计算机网络第计算机网络第9 9章章 网络安全网络安全279.4.2 包过滤路由器包过滤路由器包过滤路由器的结构包过滤路由器的结构计算机网络第计算机网络第9 9章章 网络安全网络安全28包过滤的工作流程包过滤的工作流程计算机网络第计算机网络第9 9章章 网络安全网络安全29 包过滤路由器作为防火墙的结构包过滤路由器作为防火墙的结构计算机网络第计算机网络第9 9章章 网络安全网络安全30包过滤规则表包过滤规则表计算机网络第计算机网络第9 9章章 网络安全网络安全319.4.3 应用级网关的概念应用级网关的概念典型的多归属主机结构示意图典型的多归属主机结构示意图计算机网络第计算机网络第9 9章章 网络安全网络安全32应用级网关原理示意图应用级网关原理示意图计算机网络第计算机网络第9 9章章 网络安全网络安全33应用代理工作原理示意图应用代理工作原理示意图计算机网络第计算机网络第9 9章章 网络安全网络安全349.4.4 防火墙的系统结构防火墙的系统结构应用级网关结构示意图应用级网关结构示意图计算机网络第计算机网络第9 9章章 网络安全网络安全35采用采用S-B1配置的防火墙系统结构配置的防火墙系统结构计算机网络第计算机网络第9 9章章 网络安全网络安全36包过滤路由器的转发过程包过滤路由器的转发过程计算机网络第计算机网络第9 9章章 网络安全网络安全37S-B1配置的防火墙系统层次结构示意图配置的防火墙系统层次结构示意图计算机网络第计算机网络第9 9章章 网络安全网络安全38S-B1-S-B1配置的防火墙系统结构示意图配置的防火墙系统结构示意图计算机网络第计算机网络第9 9章章 网络安全网络安全399.4.5 防火墙报文过滤规则制定方法防火墙报文过滤规则制定方法用防火墙保护的内部网络结构示意图用防火墙保护的内部网络结构示意图计算机网络第计算机网络第9 9章章 网络安全网络安全40ICMP报文过滤规则报文过滤规则计算机网络第计算机网络第9 9章章 网络安全网络安全41对对Web访问的报文过滤规则访问的报文过滤规则计算机网络第计算机网络第9 9章章 网络安全网络安全42对对FTP访问报文的过滤规则访问报文的过滤规则计算机网络第计算机网络第9 9章章 网络安全网络安全43E-Mail服务的报文过滤规则服务的报文过滤规则计算机网络第计算机网络第9 9章章 网络安全网络安全449.5 入侵检测技术入侵检测技术9.5.1 入侵检测的基本概念入侵检测的基本概念入侵检测系统入侵检测系统IDS是对计算机和网络资源的是对计算机和网络资源的恶意使用行为进行识别的系统恶意使用行为进行识别的系统.它的目的是监测和发现可能存在的攻击行为它的目的是监测和发现可能存在的攻击行为,包括包括来自系统外部的入侵行为和来自内部用户的非来自系统外部的入侵行为和来自内部用户的非授权行为授权行为,并采取相应的防护手段并采取相应的防护手段.计算机网络第计算机网络第9 9章章 网络安全网络安全45入侵检测系统的基本功能主要有：入侵检测系统的基本功能主要有：监控、分析用户和系统的行为监控、分析用户和系统的行为检查系统的配置和漏洞检查系统的配置和漏洞评估重要的系统和数据文件的完整性评估重要的系统和数据文件的完整性对异常行为的统计分析对异常行为的统计分析, ,识别攻击类型识别攻击类型, ,并向网络并向网络管理人员报警管理人员报警对操作系统进行审计、跟踪管理对操作系统进行审计、跟踪管理, ,识别违反授权的识别违反授权的用户活动用户活动计算机网络第计算机网络第9 9章章 网络安全网络安全46入侵检测系统入侵检测系统IDS的通用框架结构的通用框架结构计算机网络第计算机网络第9 9章章 网络安全网络安全479.5.2 入侵检测的基本方法入侵检测的基本方法基于主机的入侵检测系统的基本结构基于主机的入侵检测系统的基本结构计算机网络第计算机网络第9 9章章 网络安全网络安全48基于网络