计算机组网与维护技术.ppt

计算机组网与维护技术,第 9章 网络安全与管理技术,第9章 网络安全与管理技术,*9.1 网络安全问题概述 9.1.1 网络安全的概念 9.1.2 网络安全控制模型 9.1.3 安全威胁*9.2 网络安全技术 9.2.1 加密与认证技术 9.2.2 数字签名技术 9.2.3 入侵检测技术 9.2.4 放火墙技术*9.3 网络管理技术*9.4 计算机病毒,9.1 网络安全问题概述,网络安全的概念 网络安全是指:网络系统的硬件、软件及其系统中的数据受到保护，不会由于偶然或恶意的原因而遭到破坏、更改、泄露等意外发生。,9.1 网络安全问题概述,网络安全一般可以理解为：1运行系统安全，即保证信息处理和传输系统的安全。2网络上系统信息的安全。3网络上信息内容的安全。网络安全应包括以下几个方面：物理安全、人员安全、符合瞬时电磁脉冲辐射标准（TEMPEST）、信息安全、操作安全、通信安全、计算机安全和工业安全。如图9-1所示。,9.1 网络安全问题概述,9.1 网络安全问题概述,网络安全控制模型,对手,图10-2 网络安全模型,9.1 网络安全问题概述,这种通用模型指出了设计特定安全服务的4个基本任务：（1）设计执行与安全性相关的转换算法，该算法必须使对手不能破坏算法以实现其目的。（2）生成算法使用的保密信息。（3）开发分发和共享保密信息的方法。（4）指定两个主体要使用的协议，并利用安全算法和保密信息来实现特定的安全服务。,9.1 网络安全问题概述,9.1.3 安全威胁,安全威胁是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是某种威胁的具体实现。针对网络安全的威胁主要有三：(1)人为的无意失误(2)人为的恶意攻击(3)网络软件的漏洞和“后门”,9.1 网络安全问题概述,对于计算机或网络安全性的攻击，最好通过在提供信息时查看计算机系统的功能来记录其特性。当信息从信源向信宿流动时，图9-3列出了信息正常流动和受到各种类型的攻击的情况。,9.1 网络安全问题概述,中断是指系统资源遭到破坏或变得不能使用，这是对可用性的攻击。截取是指未授权的实体得到了资源的访问权，这是对保密性的攻击。未授权实体可能是一个人、一个程序或一台计算机。修改是指未授权的实体不仅得到了访问权，而且还篡改了资源，这是对完整性的攻击。截取是指未授权的实体得到了资源的访问权，这是对保密性的攻击。未授权实体可能是一个人、一个程序或一台计算机。捏造是指未授权的实体向系统中插入伪造的对象，这是对真实性的攻击。,9.1 网络安全问题概述,以上攻击可分为被动攻击和主动攻击两种:被动攻击的特点是偷听或监视传送，其目的是获得正在传送的消息。被动攻击有：泄露信息内容和通信量分析等。主动攻击涉及修改数据或创建错误的数据流，它包括假冒、重放、修改消息和拒绝服务等。,9.1 网络安全问题概述,另外，从网络高层协议的角度，攻击方法可以概括地分为两大类：服务攻击与非服务攻击。服务攻击（Application Dependent Attack）是针对某种特定网络服务的攻击。非服务攻击（Application Independent Attack）不针对某项具体应用服务，而是基于网络层等低层协议而进行的。,9.1 网络安全问题概述,2基本的威胁网络安全的基本目标是实现信息的机密性、完整性、可用性和合法性。4个基本的安全威胁直接反映了这4个安全目标。一般认为，目前网络存在的威胁主要表现在：（1）信息泄漏或丢失。（2）破坏数据完整性。（3）拒绝服务攻击。（4）非授权访问。,9.1 网络安全问题概述,3主要的可实现的威胁这些威胁可以使基本威胁成为可能，因此十分重要。它包括两类：渗入威胁和植入威胁。（1）主要的渗入威胁有：假冒、旁路控制、授权侵犯。假冒：这是大多数黑客采用的攻击方法。某个未授权实体使守卫者相信它是一个合法的实体，从而攫取该合法用户的特权。旁路控制：攻击者通过各种手段发现本应保密却又暴露出来的一些系统“特征”，利用这些“特征”，攻击者绕过防线守卫者渗入系统内部。授权侵犯：也称为“内部威胁”，授权用户将其权限用于其它未授权的目的。（2）主要的植入威胁有：特洛伊木马、陷门。特洛伊木马：攻击者在正常的软件中隐藏一段用于其它目的的程序，这段隐藏的程序段常常以安全攻击作为其最终目标。陷门：陷门是在某个系统或某个文件中设置的“机关”，使得当提供特定的输入数据时，允许违反安全策略。,9.1 网络安全问题概述,4潜在的威胁 对基本威胁或主要的可实现的威胁进行分析，可以发现某些特定的潜在威胁，而任意一种潜在的威胁都可能导致发生一些更基本的威胁。,9.2 网络安全技术,加密与认证技术 1密码学的基本概念 密码学（或称密码术）是保密学的一部分。保密学是研究密码系统或通信安全的科学，它包含两个分支：密码学和密码分析学。密码学是对信息进行编码实现隐蔽信息的一门学问。密码分析学是研究分析破译密码的学问。两者相互独立，而又相互促进。,9.2 网络安全技术,采用密码技术可以隐藏和保护需要保密的消息，使未授权者不能提取信息。明文：需要隐藏的消息称为明文。密文：明文被变换成另一种隐藏形式称为密文。加密：把明文变换成密文的过程称为加密。解密：加密的逆过程，即从密文恢复出明文的过程称为解密。加密算法：对明文进行加密时采用的一组规则称为加密算法。加秘密钥：加密算法所使用的密钥称为加秘密钥。解密密钥：对密文解密时采用的一组规则称为解密算法，解密算法所使用的密钥称为解密密钥。,9.2 网络安全技术,密码系统通常从3个独立的方面进行分类:（1）按将明文转换成密文的操作类型可分为：置换密码和易位密码。所有加密算法都是建立在两个通用原则之上的：置换和易位。置换：是将明文的每个元素（比特、字母、比特或字母的组合）映射成其它元素。易位:是对明文的元素进行重新布置。,9.2 网络安全技术,（2）按明文的处理方法可分为：分组密码和序列密码。分组密码或称为块密码（block cipher）一次处理一块输入元素，每个输入块生成一个输出块。序列密码或称为流密码（stream cipher）对输入元素进行连续处理，每次生成一个输出块。,9.2 网络安全技术,（3）按密钥的使用个数可分为：对称密码体制和非对称密码体制。如果发送方使用的加密密钥和接收方使用的解密密钥相同，或者从其中一个密钥易于得出另一个密钥，这样的系统就叫作对称的、单密钥或常规加密系统。如果发送方使用的加密密钥和接收方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥，这样的系统就叫作不对称的、双密钥或公钥加密系统。,9.2 网络安全技术,2加密技术 数据加密技术可以分为3类:对称型加密、非对称型加密和不可逆加密。目前经常使用的一些对称加密算法有：数据加密标准（Data Encryption Standard,DES）三重DES（3DES，或称TDEA）。Rivest Cipher5（RC-5）国际数据加密算法（International Data Encryption Algorithm,IDEA）,9.2 网络安全技术,不对称型加密算法也称公开密钥算法，其特点是：有两个密钥（即公用密钥和私有密钥），只有两者搭配使用才能完成加密和解密的全过程。在网络系统中得到应用的不常规加密算法有：RSA算法和美国国家标准局提出的DSA算法（Digital signature Algorithm）。,9.2 网络安全技术,加密技术用于网络安全通常有两种形式，即面向网络或面向应用服务。面向网络服务的加密技术通过工作在网络层或传输层，使用经过加密的数据包传送、认证网络路由及其它网络协议所需的信息，从而保证网络的连通性和可用性不受损害。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法，这一类加密技术的优点在于实现相对较为简单，不需要对电子信息（数据包）所经过的网络的安全性能提出特殊要求，对电子邮件数据实现了端到端的安全保障。,9.2 网络安全技术,从通信网络的传输方面，数据加密技术还可分为以下3类：链路加密方式、节点到节点方式和端到端方式。链路加密方式是一般网络通信安全主要采用的方式。它对网络上传输的数据报文进行加密。节点到节点加密方式是为了解决在节点中数据是明文的缺点，在中间节点里装有加、解密的保护装置，由这个装置来完成一个密钥向另一个密钥的交换。在端到端加密方式中，由发送方加密的数据在没有到达最终目的节点之前是不被解破的。加、解密只在源、宿节点进行。,9.2 网络安全技术,3认证技术 认证技术是实现计算机网络安全的关键技术之一，认证主要是指对某个实体的身份加以鉴别、确认，从而证实是否名符其实或者是否有效的过程。认证的基本思想是验证某一实体的一个或多个参数的真实性和有效性。,9.2 网络安全技术,网络用户的身份认证可以通过下述3种基本途径之一或它们的组合来实现。（1）所知（Knowledge）个人所掌握的密码、口令等。（2）所有（Possessses）个人的身份认证、护照、信用卡、钥匙等。（3）个人特征（Characteristics）人的指纹、声音、笔记、手型、血型、视网膜、DNA、以及个人动作方面的特征等。,9.2 网络安全技术,9.2.2 数字签名技术 数字签名提供了一种签别方法，普遍用于银行、电子商业等，以解决下列问题：（1）伪造：接收者伪造一份文件，声称是对方发送的；（2）冒充：网上的某个用户冒充另一个用户发送或接收文件；（3）篡改：接收者对收到的文件进行局部的修改。（4）抵赖：发送者或接收者最后不承认自己发送或接收的文件。,9.2 网络安全技术,数字签名一般往往通过公开密钥来实现。在公开密钥体制下，加密密钥是公开的，加密和解密算法也是公开的，保密性完全取决于解密密钥的秘密。只知道加密密钥不可能计算出解密密钥，只有知道解密密钥的合法解密者，才能正确解密，将密文还原成明文。从另一角度，保密的解密密钥代表解密者的身份特征，可以作为身份识别参数。因此，可以用解密密钥进行数字签名，并发送给对方。接收者接收到信息后，只要利用发信方的公开密钥进行解密运算，如能还原出明文来，就可证明接收者的信息是经过发信方签名了的。接收者和第三者不能伪造签名的文件，因为只有发信方才知道自己的解密密钥，其他人是不可能推导出发信方的私人解密密钥的。这就符合数字签名的唯一性、不可仿冒、不可否认的特征和要求。,9.2 网络安全技术,9.2.3 入侵检测技术 入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，简称IDS）。IDS是一种网络安全系统，当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时，IDS能够检测出来，并进行报警，通知网络该采取措施进行响应。,9.2 网络安全技术,图9-4入侵检测/响应流程图,9.2 网络安全技术,1入侵检测分类按照检测类型划分从技术上划分入侵检测有两种检测模型：（1）异常检测模型（Anomaly Detection）：检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。（2）误用检测模型（Misuse Detection）：检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。,9.2 网络安全技术,按照检测对象划分：（1）基于主机：系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。（2）基于网络：系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。（3）混合型：综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。,9.2 网络安全技术,2入侵检测过程分析 入侵检测过程分析过程分为三部分：信息收集、信息分析和结果处理。（1）信息收集：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。（2）信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。（3）结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。,9.2 网络安全技术,3检测和访问控制技术将共存共荣 以IDS为代表的检测技术和以防火墙为代表的访问控制技术从根本上来说是两种截然不同的技术行为。（1）防火墙是网关形式，要求高性能和高可靠性。因此防火墙注重吞吐率、延时、HA等方面的要求。防火墙最主要的特征应当是通（传输）和断（阻隔）两个功能，所以其传输要求是非常高的。（2）而IDS是一个以检测和发现为特征的技术行为，其追求的是漏报率和误报率的降低。其对性能的追求主要在：抓包不能漏、分析不能错，而不是微秒级的快速结果。IDS由于较高的技术特征，所以其计算复杂度是非常高的。,9.2 网络安全技术,9.2.4 防火墙技术 一个防火墙可以是一个实现安全功能的路由器、个人计算机、主机或主机的集合等。防火墙能有效的对网络进行保护,防止其它网络的入侵，归纳起来，防火墙具有以下作用：（1）控制进出网络的信息流向和信息包；（2）提供对系统的访问控制；（3）提供使用和流量的日志和审计；（4）增强保密性。使用防火墙可以阻止攻击者获取攻击网络系统的有用信息。（5）隐藏内部IP地址及网络结构的细节；（6）记录和统计网络利用数据以及非法使用数据。,9.2 网络安全技术,1防火墙系统结构防火墙的系统结构一般分为以下几种：（1）屏蔽路由器 一般采用路由器连接内网和外网，如图9-5所示,图9-5屏蔽路由器实现防火墙,9.2 网络安全技术,（2）双目主机结构 它包含一个有两个网络接口的代理服务器系统，关闭正常IP路由功能，并安装运行网络代理服务程序。有一个包过滤防火墙，用于连接Internet，如图9-6所示。,图9-6 双目主机实现防火墙,9.2 网络安全技术,（3）屏蔽主机结构 实际上是屏蔽路由器加壁垒主机模式，屏蔽路由器位于内外网之间，提供主要的安全功能，在网络层次化结构中基于低三层实现包过滤；壁垒主机位于内网，提供主要的面向外部的应用服务，基于网络层次化结构的最高层应用层实现应用过滤，如图9-7所示。,图9-7 屏蔽主机实现防火墙,9.2 网络安全技术,（4）屏蔽子网结构 将网络划分为三个部分：Internet(外网)、DMZ（分军事区）、内网。Internet与DMZ区通过外部屏蔽路由器隔离，DMZ区与内网通过内部屏蔽路由器隔离，如图9-8所示。,图9-8 屏蔽子网防火墙,9.2 网络安全技术,2防火墙分类 从构成上可以将防火墙分为以下几类：（1）硬件防火墙（2）软件防火墙（3）软硬结合防火墙,9.2 网络安全技术,3 防火墙的设计策略 防火墙设计策略基于特定的防火墙，定义完成服务访问策略的规则。通常有两种基本的设计策略：允许任何服务除非被明确禁止；禁止任何除非被明确允许。第一种的特点是“在被判有罪之前，任何嫌疑人都是无罪的”，它好用但不安全。第二种是“宁可错杀一千，也不放过一个”，它安全但不好用。在实用中防火墙通常采用第二种设计策略，但多数防火墙都会在两种策略之间采取折衷。,9.2 网络安全技术,（1）防火墙实现站点安全策略的技术 最初防火墙主要用来提供服务控制，但是现在已经扩展为提供如下4种服务了：服务控制。方向控制。用户控制。行为控制。,9.2 网络安全技术,（2）防火墙在大型网络系统中的部署 根据网络系统的安全需要，可以在如下位置部署防火墙：在局域网内的VLAN之间控制信息流向时加入防火墙。Internet与Internet之间连接时加入防火墙。在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，总部的局域网和各分支机构连接时，一般通过公网ChinaPac，ChinaDD和NFrame Relay等连接，需要采用防火墙隔离，并利用某些软件提供的功能构成虚拟专网VPN。,9.2 网络安全技术,总部的局域网和分支机构的局域网是通过Internet连接的，需要各自安装防火墙，并组成虚拟专网。在远程用户拨号访问时，加入虚拟专网。利用一些防火墙软件提供的负载平衡功能，ISP可在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制和日志记录等功能。两网对接时，可利用硬件防火墙作为网关设备实现地址转换（NAT）、地址映射（MAP）、网络隔离（DMZ，De-Militarized Zone，非军事区，其名称来源于朝鲜战争的三八线）及存取安全控制，消除传统软件防火墙的瓶颈问题。,9.3 网络管理技术,网络管理包括5个功能：配置管理、故障管理、性能管理、安全管理、计费管理。随着计算机网络的发展与普及，一方面对于如何保证网络的安全，组织网络高效运行提出了迫切的要求；另一方面，计算机网络日益庞大，使管理更加复杂。这主要表现在如下几个方面：（1）网络覆盖范围越来越大。（2）网络用户数目不断增加。（3）网络共享数据量剧增。（4）网络通信量剧增。（5）网络应用软件类型不断增加。（6）网络对不同操作系统的兼容性要求不断提高。,9.3 网络管理技术,1 ISO网络管理模式 目前国际标准化组织ISO在网络管理的标准化上作了许多工作，它特别定义了网络管理的五个功能域：配置管理管理所有的网络设备，包括各设备参数的配置与设备账目的管理。故障管理找出故障的位置并进行恢复。性能管理统计网络的使用状况，根据网络的使用情况进行扩充，确定设置的规划。安全管理限制非法用户窃取或修改网络中的重要数据等。计费管理记录用户使用网络资源的数据，调整用户使用网络资源的配额和记账收费。,9.3 网络管理技术,2公共管理信息协议CMIP 目前使用的标准网络管理协议包括：简单网络管理协议（SNMP）、公共管理信息服务/协议（CMIS/CMIP）和局域网个人管理协议（LMMP）等。CMIP的优点是安全性高，功能强大，不仅可用于传输管理数据，而且可执行一定的任务。但由于CMIP对系统的处理能力要求过高，操作复杂，覆盖范围广，因而难以实现，限制了它的使用范围。CMIP采用管理者/代理模型，当对网络实体进行监控时，管理者只需向代理发出一个监控请求，代理会自动监视指定的对象，并在异常事件（如线路故障）发生时向管理者发出指示。CMIP的这种管理监控方式称为委托监控，委托监控的主要优点是开销小、反应及时，缺点是对代理的资源要求高。,9.3 网络管理技术,3简单网络管理协议SNMP SNMP是由因特网工程任务组IETF（the Internet Engineering Task Force）提出的面向Internet的管理协议，其管理对象包括网桥、路由器、交换机等内存和处理能力有限的网络互联设备。SNMP采用轮询监控的方式，管理者隔一定时间间隔向代理请求管理信息，管理者根据返回的管理信息判断是否有异常事件发生。SNMP位于ISO/OSI参考模型的应用层，它遵循ISO的网络管理模型。SNMP模型由管理节点和代理节点构成，采用的是代理/管理站模型，如图9-9所示。,9.3 网络管理技术,9.3 网络管理技术,管理节点一般是面向工程应用的工作站级计算机，拥有很强的处理能力，在它的上面运行SNMP管理软件。代理节点可以是网络上任何类型的节点，如主机、服务器、路由器、交换机等，这些设备运行SNMP代理进程，用于接受和发送SNMP数据包，代理节点只需与管理节点通信，它们占用很少的处理器和内存资源。,9.3 网络管理技术,SNMP是一个应用层协议，在TCP/IP网络中，它使用传输层和网络层的服务向其对等层传输消息。物理层协议和链路层协议依赖于所使用的媒介。一般以所希望的传输效率为基础，根据要完成的特定网络管理功能选择传输层协议。SNMPv2规范定义了可以使用的5种传输服务，如图9-10所示。这5种传输层映射是：（1）UDP：用户数据报协议。（2）CLNS：OSI无连接的传输服务。（3）CONS：OSI面向连接的传输服务。（4）DDP：Apple Talk的DDP传输服务。（5）IPX：Novell公司的网间分组交换协议。,9.3 网络管理技术,图9-10 SNMP传输层映射,9.4 计算机病毒,计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。1病毒的种类 病毒的种类多种多样，主要有以下6种。（1）文件型的病毒（2）引导扇区病毒（3）宏病毒（4）欺骗病毒（5）多形性病毒（6）伙伴病毒,9.4 计算机病毒,2网络病毒的特点（1）破坏性强。（2）传播性强。（3）具有潜伏性和可激发性。（4）针对性强。（5）扩散面广。,9.4 计算机病毒,3病毒的传播途径 计算机病毒有以下4种传播途径。第一种途径：通过不可移动的计算机硬件设备进行传播，这些设备通常有计算机专用芯片和硬盘等。第二种途径：通过移动存储设备来传播，这些设备包括软盘、磁盘等。第三种途径：通过计算机网络进行传播。第四种途径：通过点对点通信系统和无线通道传播。,9.4 计算机病毒,4病毒的防治 目前广泛使用的主要检测病毒的方法有特征代码法、校验和法、行为监测法、感染实验法等。特征代码法被用于SCAN、CPAV等著名的病毒监测工具中。校验和法是对正常文件的内容计算其校验和，将该校验和写入文件中或写入别的文件中保存。行为监测法是利用病毒的行为特性来检测病毒的。感染实验法利用了病毒的最重要的特征感染特性。,9.4 计算机病毒,与传统防杀毒模式相比，病毒防火墙在网络病毒的防治上有着明显的优越性。首先，它对病毒的过滤有良好的实时性。其次，病毒防火墙能有效地阻止病毒通过网络向本地计算机系统入侵。再者，病毒防火墙的“双向过滤”功能保证了本系统不会向远程（网络）资源传播病毒 最后，病毒防火墙还具有操作更简便、更透明的好处，有了它自动、实时的保护，用户再也无需隔三差五就得停下正常工作而去费时费力地查毒、杀毒了。,