网络安全技术基础ppt课件.ppt

第2章 网络安全技术基础,目,1,2,3,4,5,6,录,2.1 网络协议安全,2.2 虚拟专用网技术,2.3 无线网络安全技术,2.4 网络安全管理常用命令,2.5 无线网络安全设置,2.6 本章小结,教 学 目 标,教学目标, 了解网络协议安全及IPv6的安全性, 理解虚拟专用网（VPN）技术,重点, 掌握常用的网络安全管理命令及应用, 掌握无线网络安全技术及安全设置实验,2.1 网络协议安全概述,2.1.1 网络协议安全风险,网络协议攻防成为信息战双方关注的重点。,全球计算机网络广泛使用的是TCP/IP协议族，由于网络协议,本身没有考虑其安全性，而且协议以软件形式实现，不可避,免存在一般软件所固有的漏洞缺陷，所以，网络协议存在着,威胁和风险，对协议的攻击与防范成为信息战中作战双方关,注的重点。2003年美国国内经济不景气，布什政府为了转移,国内民众视线、拉动经济和控制石油资源，借口伊拉克有大,规模杀生性武器和化学武器为由与英国组成联军进行进攻，,利用伊拉克指挥系统的漏洞窃取情报并借助信息战致使其瘫,痪，快速夺取伊拉克。此举曾在一定程度上刺激了美国经济,回转，然而由于伊拉克和阿富汗战局的不确定性，又将美国,拉进伊阿战争的泥潭，这种颓势一直持续到奥巴马政府。,案例2-1,2.1 网络协议安全概述,2.1.1 网络协议安全风险,网络体系层次结构参考模型有OSI模型和TCP/IP模型两种。,OSI模型是国际标准化组织ISO的开放系统互连参考模型。,TCP/IP协议成为了事实上的“网络标准”，成为Internet的基础协议。,计算机网络协议安全风险可归结为3方面：,（1）网络协议设计缺陷和实现中存在的一些安全漏洞；,（2）协议无有效认证机制；（3）网络协议缺乏保密机制。,表1-1 TCP/IP模型和OSI模型对应表,OSI七层网络模型,应用层（Application）,表示层（Presentation）,会话层（Session）,传输层（Transport）,网络层（Network）,数据链路层（Data Link）,物理层（Physical）,传输层,网际层,网络接口,TCP/IP模型,应用层,对应网络协议,TFTP, FTP, NFS, WAIS,Telnet, Rlogin, SNMP, Gopher,SMTP, DNS,TCP, UDP,IP, ICMP, ARP, RARP, AKP, UUCP,FDDI, Ethernet, Arpanet, PDN, SLIP, PPP,IEEE 802.1A, IEEE 802.2到IEEE 802.11,2.1网络协议安全概述,2.1.2 TCP/IP层次安全分析,网络安全由多个安全层构成，每一个安全层都是一个,包含多个特征的实体。在TCP/IP不同层次可增加不同的安,全策略。如图2-1所示。,图2-1 TCP/IP网络安全技术层次体系,2.1网络协议安全概述,2.1.2 TCP/IP层次安全分析,1. 网络接口(物理)层的安全性设施,线路,TCP/IP模型的网络接口层对应着OSI模型的物理层和数据链,路层。主要是物理层安全问题，包括由网络环境及物理特性产生,的网络设施和线路安全性，致使网络系统出现安全风险，如设备,盗损与老化、故障、泄露等。,2. 网络层的安全性保证数据传输,网络层主要保证数据包在网络中正常传输，IP协议族是整个,TCP/IP协议体系结构的重要基础，TCP/IP中所有协议的数据都,以IP数据包形式传输。,3. 传输层的安全性传输控制,数据交换认证,保密/完整性,传输层的主要安全风险和隐患有传输与控制安全、数据交换,与认证安全、数据保密性与完整性等安全风险。,2.1网络协议安全概述,2.1.2 TCP/IP层次安全分析,4. 应用层的安全性,应用层中利用TCP/IP协议运行和管理的程序繁,多。网络安全问题主要出现在需要重点解决的常用,应用协议和应用系统：,（1）超文本传输协议（HTTP）,（2）文件传输协议（FTP）,（3）简单邮件传输协议（SMTP）,（4）域名系统（DNS）,（5）远程登录协议（Telnet）,2.1网络协议安全概述, 2.1.3 IPv6的安全分析, 1. IPv6的特点和优势,(1) .IPv4和IPv6报头如图2-2和2-3所示,图2-2 IPV4的IP报头,图2-3 IPV6基本报头,(2) 提高网络整体性能。（MTU）,(3) 强化网络安全性。（IPSec、AH/ESP）,(4) 提供更好服务质量（QoS） 。,(5) 提供优质组播功能。,(6) 支持即插即用和移动性。,(7) 具有必选的资源预留协议RSVP功能。,2.1网络协议安全概述,2. IPv4与IPv6安全性比较,(1) 原理和特征基本未发生变化的安全问题划分为,三类:网络层以上的安全问题;与网络层数据保密性和完,整性相关的安全问题和与网络层可用性相关的安全问题. 对局域网,如窃听攻击、应用层攻击、中间人攻击、洪泛攻击等. 内的主机,不停的发,(2) 网络层以上（应用）的安全威胁。,送数据包,进行拒绝,(3) 与网络层数据保密性和完整性相关安全问题.,(4) 与网络层可用性相关安全问题：主要是指洪泛 服务攻击,攻击，如TCP SYN flooding攻击。,(5) 原理和特征发生明显变化的安全问题，主要包,括以下4个方面。 侦测， 非授权访问 篡改分组,头部和分段信息; 伪造源地址。,2.1网络协议安全概述,3IPv6的安全机制,（1）协议安全-认证头AH、封装安全有效载荷ESP扩展头,（2）网络安全：, 实现端到端安全, 提供内网安全， 由安全,隧道构建安全VPN, 以隧道嵌套实现网络安全。,（3）其他安全保障-配置、认证、控制、端口限制,4. 移动IPv6的安全性,（1）移动IPv6的特性-无状态地址自动配置、邻居发现,（2）移动IPv6面临的安全威胁-窃听,篡改,Dos,5移动IPv6的安全机制,在注册消息中通过添加序列号以防范重放攻击,，并在协议报文中引入时间随机数,讨论思考：,（1）从互联网发展角度看，网络安全问题的主要原因是什么？,（2）IPv6在安全性方面具有哪些优势？,2.2 虚拟专用网技术,2.2.1 虚拟专用网的概念和结构,虚拟专用网（Virtual Private Network,VPN）是利用,Internet等公共网络的基础设施，通过隧道技术，为用户提,虚拟通道,供的与专用网络具有相同通信功能,的安全数据通道。,VPN可通过特殊加密通信协议,为Internet上异地企业内网之间建立,一条专用通信线路,而无需铺设光缆,等物理线路.系统结构如图 2-4所示.,2.2.2 虚拟专用网的技术特点,(1) 网络安全性强。,(2) 构建成本费用低。,(3) 便于管理和维护。,(4) 应用灵活性强。,(5) 服务质量高。,图2-5 VPN提供的网络安全连接,2.2 虚拟专用网技术,2.2.3 虚拟局域网实现技术,VPN是在Internet等公共网络基础上，综合利用隧,道技术、加解密技术、密钥管理技术和身份认证技术实,现的。,1. 隧道技术,隧道技术是VPN的核心技术，为一种隐式传输数,据的方法。主要利用已有的Internet等公共网络数据通,信方式，在隧道（虚拟通道）一端将数据进行封装，然,后通过已建立的隧道进行传输。,在隧道另一端，进行解封装并将还原的原始数据交,给端设备。在VPN连接中，可根据需要创建不同类型的,VPN隧道，包括自愿隧道和强制隧道两种。,用户或客户端通过发送VPN 请求配置和创建,2.2 虚拟专用网技术,2. 加解密技术,为了重要数据在公共网络传输的安全，VPN采用了加,密机制。,常用的信息加密体系主要包括非对称加密体系和对称,加密体系两类。实际上一般是将二者混合使用，利用非对,称加密技术进行密钥协商和交换，利用对称加密技术进行,数据加密。,1) 对称密钥加密; 2) 非对称密钥加密,3. 密钥管理技术,密钥的管理分发极为重要。密钥的分发采用手工配置,和采用密钥交换协议动态分发两种方式。,4. 身份认证技术,在VPN实际应用中，身份认证技术包括信息认证、用,户身份认证。信息认证用于保证信息的完整性和通信双方,的不可抵赖性，用户身份认证用于鉴别用户身份真实性。,2.2 虚拟专用网技术,2.2.4 虚拟专用网技术应用,1. 远程访问虚拟网,通过一个与专用网相同策略的共享基础设施,可提供对企业,内网或外网的远程访问服务,使用户随时以所需方式访问企业资,源.如模拟、拨号、ISDN、数字用户线路（xDSL）、移动IP和电,缆技术等,可安全连接移动用户、远程工作者或分支机构.,2. 企业内部虚拟网,可在Internet上构建全球的Intranet VPN,企业内部资源只,需连入本地ISP的接入服务提供点POP(Point Of Presence)即可,相互通信，而实现传统WAN组建技术均需要有专线.利用该VPN线,路不仅可保证网络的互联性,而且,可利用隧道、加密等VPN特性,保证在整个VPN上信息安全传输.,2.2 虚拟专用网技术,2.2.4 VPN技术的应用,3企业扩展虚拟网,主要用于企业之间的互连及安全访问服务。可通过专,用连接的共享基础设施，将客户、供应商、合作伙伴或,相关群体连接到企业内部网。企业拥有与专用网络相同,的安全、服务质量等政策。,讨论思考：,（1）VPN的本质是什么？为何VPN需要加密技术辅助？,（2）VPN几种应用的区别是什么？,2.3 无线网络安全技术,2.3.1 无线网络安全问题,随着无线网络技术的广泛应用，其安全性越来越,引起人们的关注。主要包括访问控制和数据加密两个,方面，访问控制保证机密数据只能由授权用户访问，,而数据加密则要求发送的数据只能被授权用户所接受,和使用。,无线网络在数据传输时以微波进行辐射传播，只,要在无线接入点AP（Access Point）覆盖范围内，所,有无线终端都可能接收到无线信号。AP无法将无线信,号定向到一个特定的接受设备，时常有无线网络用户,被他人免费蹭网接入、盗号或泄密等，因此，无线网,络的安全威胁、风险和隐患更加突出。,无线网络安全风险及隐患，如图2-5所示。,2.3 无线网络安全技术,图2-5无线网络安全风险及隐患示意图,2.3 无线网络安全技术,2.3.2 无线网络设备安全措施,1. 无线接入点安全措施,无线接入点AP用于实现无线客户端之间的信号互联和中继，其安,全措施包括：,1) 及时变更管理员密码,有线等效,保密协议,2) WEP加密传输.数据加密是实现网络安全一项重要技术,可通过,案例2-2,对两台设,协议WEP进行。主要用途：,WPA可用暂时密钥完整,备间无线,传输的数,(1)防止数据被途中恶意篡改或伪造。 性协议TKIP（Temporal Key Integrity,据进行加,Protocol）处理WEP难以解决的各设,密方式,用 (2)用WEP加密算法对数据加密。,备共用一个密钥的安全问题。,以防止非 (3)防止未授权用户对网络访问。,法用户窃,3) 禁用DHCP服务 动态主机设置协议/简单网管协议,听/侵入,4)禁止远程管理,初始化字符串（服务集标识）SSID技术可将,5)修改SNMP字符串 一个无线局域网分为几个需要不同身份验证,的子网,各子网都需独立身份验证,只有通过,6) 修改SSID标识,验证的用户才可进入相应子网,防止未授权用,户进入本网,7) 禁止SSID广播,8) 过滤MAC地址(定义网络设备的位置 ),9) 合理放置无线AP,10) WPA用户认证（有WPA 和 WPA2两个标准,是一种保护无线网 (Wi-Fi)安全的系统 ）,Wi-Fi网络安全存取,2.3 无线网络安全技术,2无线路由器安全策略,除了可采用无线AP的安全策略外,还应采用如下安全策略.,(1) 设置网络防火墙，加强防护能力。,(2) 利用IP地址过滤，进一步提高无线网络的安全性。,案例2-3,常见内外网攻击造成掉线问题。网络攻击与侵扰、恶性破,坏及计算机病毒等威胁路由器，致使企事业机构的网络系统掉线断网，对外,网攻击无能为力，而内网的泛洪攻击等却因上网环境及人群复杂很难排查。,2.3.3 IEEE802.1x身份认证,IEEE 802.1x是一种基于端口的网络接入控制技术，以网络设备,的物理接入级（交换机设备的端口.连接在该类端口）对接入设备进,行认证和控制。,IEEE 802.1x认证过程为：,（1）无线客户端向AP发送请求，尝试与AP进行通信。,（2）AP将加密数据发送给验证服务器进行用户身份认证。,（3）验证服务器确认用户身份后，AP允许该用户接入。,（4）建立网络连接后授权用户通过AP访问网络资源。,2.3 无线网络安全技术,2.3.3 无线网络的身份认证,用IEEE 802.1x和EAP作为身份认证的无线网络， 远程用户拨号认,证系统是应用最,可分为如图2-6所示的3个主要部分。,广泛的AAA协议,（1）请求者。运行在无线工作站上的软件客户端。 (认证、授权、审,计（记帐）),（2）认证者。无线访问点。,（3）认证服务器。作为一个认证数据库,通常是一个RADIUS,服务器的形式，如微软公司的IAS等。,互联网认证服务,图2-6 使用802.1x及EAP身份认证的无线网络,2.3 无线网络安全技术,2.3.4 无线网络安全技术应用实例,案例2-4 无线网络在不同应用环境对其安全性需求不同,以(美)Above Cable公司的无线网络安全技术作为实例。,为了更好地发挥无线网络“有线速度无线自由”的特性，,该公司根据长期积累的经验,针对各行业对无线网络的需,求，制定了一系列的安全方案，最大程度上方便用户构,建安全的无线网络,节省不必要的经费。,1. 小型企业及家庭用户,2. 仓库物流、医院、学校和餐饮娱乐行业,3. 公共场所及网络运营商、大中型企业和金融机构,讨论思考：,（1）无线网络安全管理的基本方法是什么？,（2）无线网络在不同环境下的使用对安全性要求有何不同？,2.4 网络安全常用命令,2.4.1 网络连通性及端口扫描命令,常用的网络管理命令有5个:判断主机是否连通的ping,命令,查看IP地址配置情况的ipconfig命令，查看网络连接,状态的netstat命令，进行网络操作的net命令和行定时器,操作的at命令。此外，在具体网络安全管理中，还使用以,下工具。,1. ping命令,ing命令的主要功能是通过发送Internet控制报文协议,ICMP包，检验与另一台TCP/IP主机的IP级连通情况。网,络管理员常用这个命令检测网络的连通性和可到达性。同,时，可将应答消息的接收情况将和往返过程的次数一起进,行显示。,2.4 网络安全常用命令,2.4.1 网络连通性及端口扫描命令,如果只使用不带参数的ping命令，窗口将,会显示命令及其各种参数使用的帮助信息，如图2-7所示。使,用ping命令的语法格式是：ping 对方计算机名或者IP地址。,如果连通的话，返回的连通信息如图2-8所示。,案例2-5,图2-7 使用ping命令的帮助信息,图2-8 利用ping命令检测网络的连通性,2.4 网络安全常用命令,2.4.1 网络连通性及端口扫描命令,2. Quickping和其他命令,Quickping命令可以快速探测网络中运行的所有主,机情况。也可以使用跟踪网络路由程序Tracert命令、,TraceRoute程序和Whois程序进行端口扫描检测与探测，,还可以利用网络扫描工具软件进行端口扫描检测，常用,的网络扫描工具包括：SATAN、NSS、Strobe、,Superscan和SNMP等。,2.4 网络安全常用命令,2.4.2网络配置信息显示及设置命令,ipconfig命令的主要功能是显示所有TCP/IP网络配置信息、,刷新动态主机配置协议DHCP（Dynamic Host Configuration,Protocol）和域名系统DNS设置。,案例2-6 使用不带参数的ipconfig可显示所有适配器的IP地,址,子网掩码和默认网关.在DOS命令行下输入ipconfig命令,如图,2-9所示.利用“ipconfig /all”可查看所有完整的TCP/IP配置信息。,对于具有自动获取IP地址的网卡.则可利用“ipconfig /renew命令”,更新DHCP的配置。,图2-9 用ipconfig命令查看本机IP地址,2.4 网络安全常用命令,2.4.3连接监听端口显示命令,netstat命令的主要功能是显示活动的连接、计算机监听的端口、,以太网统计信息、IP 路由表、IPv4统计信息（IP、ICMP、TCP和UDP,协议）。使用“netstat -an”命令可以查看目前活动的连接和开放的端口，,是网络管理员查看网络是否被入侵的最简单方法。使用的方法如图2-10,所示。 。,图2-10用“netstat -an”命令查看连接和开放的端口,2.4 网络安全常用命令,2.4.4 查询删改用户信息命令,net命令的主要功能是查看计算机上的用户列表、添加和删,除用户、与对方计算机建立连接、启动或者停止某网络服务等.,案例2-7 利用 net user 查看计算机上的用户列表, 以,“ net user用户名密码”给某用户修改密码，如把管理员的,密码修改成 123456 ，如图2-11所示。,还可以用“ net user用户名密码”为用户修改密码 ，如,将管理员密码改为“123456”，如图2-12所示。,图2-11用net user查看计算机上的用户列表,图2-12用net user修改用户密码,2.4 网络安全常用命令,2.4.4 查询删改用户信息命令,建立用户并添加到管理员组.,利用net 命令可以新建一个用户名为jack的用户，,然后，将此用户添加到密码为“123456”的管理员组。如,图2-13所示。,案例名称：添加用户到管理员组,文件名称：2-4-1.bat,net user jack 123456 /add,net localgroup administrators jack /add,net user,案例2-8,图2-13 添加用户到管理员组,2.4 网络安全常用命令,与对方计算机建立信任连接。,拥有某主机的用户名和密码，就可以利用 IPC$（Internet,Protocol Control）与该主机建立信任连接，之后便可以在命令行,下完全控制对方计算机。,得到IP为172.18.25.109计算机的管理员密码为123456可以利,用命令 net use 172.18.25.109ipc$ 123456 /user: administrator，,如图2-14所示。建立连接以后，便可以通过网络操作对方的计算,机，如查看对方计算机上的文件，如图2-15所示。,案例2-9,图2-14 与对方计算机建立信任连接,图2-15 查看对方计算机的文件,2.4 网络安全常用命令,2.4.5 创建任务命令,主要利用at命令在与对方建立信任连接后,创建一个计划,任务, 并设置执行时间。,案例名称：创建定时器,在得知对方系统管理员的密码为123456，并与对,方建立信任连接以后，在对方主机建立一个任务。,执行结果如图2-16所示。,文件名称：2-4-2.bat,net use * /del,net use 172.18.25.109ipc$ 123456,/user:administrator,net time 172.18.25.109,at 8:40 notepad.exe,案例2-10,2.4 网络安全常用命令,2.4.5 创建任务命令,图2-16 创建定时器,讨论思考：,（1）网络安全管理常用的命令有哪几个？,（2）网络安全管理常用的命令格式怎样？,2.5 无线网络安全设置实验, 2.5.1 实验目的,无线网络技术的应用非常广泛，在上述无线网络安全基本,技术及应用的基础上，还要掌握小型无线网络的构建及其安全,设置方法，进一步了解无线网络的安全机制，理解以WEP算法为,基础的身份验证服务和加密服务。, 2.5.2 实验要求,1. 实验设备,本实验需要使用至少两台安装有Windows操作系统的计算,机，并安装有无线网卡。,2. 预习及注意事项,(1) 预习准备,由于本实验内容是对Windows XP操作系统进行无线网络安全,配置，需要提前熟悉Windows XP操作系统的相关操作。,(2) 注意理解实验原理和各步骤的含义,对于操作的每一步要着重理解其原理，对于无线网络安全机,制要充分理解其作用和含义。,(3) 实验学时：2学时（90-100分钟）,2.5 无线网络安全设置实验, 2.5.3 实验内容及步骤, 1. SSID和WEP设置, 在安装了无线网卡的计算机上,从“控制面板”打开“网络连接”窗口,如图2-17所,示. 右击“无线网络连接”图标，在弹出的快捷菜单中选择“属性”选项，打开“无,线网络 属性”对话框，选中“无线网络配置”选项卡中的“用Windows配置我的无线,网络设置”复选框，如图2-18所示。,图2-17 “网络连接”窗口,图2-18 “无线网络连接属性”对话框,2.5 无线网络安全设置实验, 2.5.3 实验内容及步骤, 单击“首选网络“选项组中的“添加”按钮，显示“无线网络属性”对话,框，如图2-19所示。该对话框用来设置网络。, 单击“确定”按钮，返回“无线网络配置”选项卡，所添加的网络显示,在“首选网络”选项组中。, 单击“高级”按钮，打开“高级”对话框，如图2-20所示。选中“仅计算,机到计算机（特定）”单选按钮。 单击“关闭”按钮返回再单击“确定”,图2-19 “无线网络属性”对话框,图2-20 “高级”对话框,2.5 无线网络安全设置实验, 2. 运行无线网络安全向导,Windows提供了“无线网络安全向导”设置无线网络,可将其他计算机加入该网络., 在“无线网络连接”窗口中单击“为家庭或小型办公室设置无线网络”，显示“无,线网络安装向导”对话框，如图2-21所示。, 单击“下一步”按钮，显示“为您的无线网络创建名称”对话框，如图2-22所示。,在“网络名（SSID）”文本框中为网络设置一个名称，如lab。然后选择网络密钥,的分配方式。默认为“自动分配网络密钥”。,图2-21 “无线网络安全向导”对话框,图2-22 “为您的无线网络创建名称”对话框,2.5 无线网络安全设置实验, 2.5.3 实验内容及步骤,如果希望用户必须手动输入密码才能加入网络，可选中“手动分配网,络密钥”单选按钮，然后单击“下一步”按钮，如图2-23所示的“输入无,线网络的WEP密钥”对话框，在这里可以设置一个网络密钥。密钥必,须符合以下条件：一是需要5或13个字符；二是10或26个字符，并使,用0-9和A-F之间的字符。, 单击“下一步”按钮，如图2-24所示的“您想如何设置网络？”对话,框，选择创建无线网络的方法。,图2-23 “输入无线网络的WEP密钥”对话框,图2-24 “您想如何设置网络”对话框,2.5 无线网络安全设置实验, 2.5.3 实验内容及步骤, 可选择使用USB闪存驱动器和手动设,置两种方式。使用闪存方式比较方便，,但如果没有闪存盘，则可选中“手动设置,网络”单选按钮，自己动手将每一台计算,机加入网络。单击“下一步”按钮，显示,“向导成功地完成”对话框，如图2-25所,示，单击“完成”按钮完成安装向导。,按上述步骤在其他计算机中运行“无,线网络安装向导”并将其加入lab网络。,不用无线AP也可将其加入该网络，多台,计算机可组成一个无线网络，从而可以,互相共享文件。, 单击“关闭”和“确定”按钮。在其他计,算机中进行同样设置（须使用同一服务,名），然后在“无线网络配置”选项卡中,重复单击“刷新”按钮，建立计算机之间,无线连接，表示无线网连接已成功。,图2-25 向导成功完成,2.6 本章小结,本章侧重概述网络安全技术基础知识，通过分,析网络协议安全和网络体系层次结构，并介绍了,TCP/IP层次安全。阐述了IPv6的特点优势、IPv6的,安全性和移动IPv6的安全机制。概述了虚拟专用网,VPN的特点、VPN的实现技术和VPN技术的实际应,用。分析了无线网络设备安全管理、IEEE 802.1x,身份认证，以及无线网络安全技术应用实例。简单,介绍了常用网络安全命令(工具)，包括ping、,Quickping、ipconfig、netstat、net、At等。最,后，概述了无线网络安全设置实验，包括实验的内,容、步骤和方法。,