搜索
计算机网络安全与应用技术高职高专计算机专业系列教材袁家政编著总目录第1章计算机网络安全的基础知识第2章密码技术第3章防火墙技术第4章计算机及网络系统的安全性第5章WindowsNT/2000的安全与保护措施第6章黑客原理与防范措施第7章网络病毒与防治第8章Internet的安全性第9章计算机网络安全的实训问题第1章计算机网络安全的基础知识1.1计算机网络基础知识1.2计算机网络存在的安全问题1.3网络安全体系结构1.4网络安全技术1.5实现网络安全的策略问题1.6计算机网络安全立法1.7网络安全的发展方向1.8本章小结练习题随着计算机技术的飞速发展,信息和网络已经成为社会发展的重要保证。信息与网络涉及到国家的政府、军事、文教等诸多领域,在计算机网络中存储、传输和处理的信息有许多是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息,其中有很多是敏感信息甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如,信息泄漏、信息窃取、数据删除与添加、计算机病毒等)。因此计算机网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题,其重要性正随着全球信息化步伐的加快而变得越来越重要。计算机网络安全主要涉及网络信息的安全和网络系统本身的安全。在计算机网络中存在着各种资源设施,随时存储和传输的大量数据;这些设施可能遭到攻击和破坏,数据在存储和传输过程中可能被盗用、暴露或篡改。另外,计算机网络本身可能存在某些不完善之处,网络软件也有可能遭受恶意程序的攻击而使整个网络陷于瘫痪。同时网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。本章介绍计算机网络安全的基本知识,主要包括以下内容:计算机网络基础知识;计算机网络存在的安全问题;网络安全的体系结构;网络安全技术;网络安全的策略及实现;计算机网络安全立法;计算机网络安全的发展方向。1.1计算机网络基础知识为了更好地学习网络安全知识,掌握网络的攻防策略,学习一些相关的计算机网络基础知识是非常必要的。1.1.1计算机网络体系结构1.计算机网络计算机网络,可以用一句简单的话概括:“通过通信线路连接起来的自治的计算机集合”。这句话包括以下3个方面的含义。(1)必须有两台或两台以上的具有独立功能的计算机系统相互连接起来,以达到共享资源为目的,才能构成网络。这里所指的两台计算机系统的位置要有一定的距离,且每个计算机系统能够独立地工作,能够自行处理数据,而无需其他系统的帮助。并行机虽然有多个处理器,但它不属于两个具有独立功能的计算机系统互连在一起,因此也不属于网络。(2)两台或两台以上的计算机连接,互相通信交换信息,必须有一条通道。这条通道的连接是物理的,由物理介质和通信设备实现。它们可以是铜线、光缆等“有线”介质,也可以是微波、红外线或卫星等“无线”介质。(3)计算机系统之间交换信息,必须有某种约定和规则,这就是协议。这些协议可以由硬件或软件来完成。综合以上3个方面的内容,可以把计算机网络归纳为:把分布在不同地点且具有独立功能的多个计算机系统通过通信设备和线路连接起来,在功能完善的网络软件和协议的管理下,以实现网络中资源共享为目标的系统。2.计算机网络协议在计算机网络中不同系统的两个实体之间只有在通信的基础上,才有可能相互交换信息,并共享网络资源。一般来说,实体是能发送和接收信息的任何东西,可以指用户应用程序、文件传送包、数据库管理系统、电子邮件设备和终端等。系统可包含一个或多个实体(如主机和终端等)。两个实体之间若要能通信,就必须能够相互理解,共同遵守有关实体的某种互相能接受的规则。这些规则的集合称为协议。因此协议可被定义为实体之间控制数据交换的规则的集合。简单说,协议就是通信双方的约定。一个网络协议主要由以下3个要素组成。(1)语法:即数据与控制信息的结构或格式;(2)语义:即需要发出何种控制信息,完成何种动作以及做出何种应答;(3)同步:即实体通信实现顺序的详细说明。由此可见,网络协议是计算机网络不可缺少的组成部分。3.通信子网及子网信道类型计算机网络主要由计算机系统(包括计算机和终端)、网络节点(通信处理机)和通信链路(通信线路和网络设备)等网络单元组成。从功能上可以将计算机网络分为资源子网和通信子网,网络上的每一个连接称为节点,节点有两类:一类是转接节点,主要承担通信子网的信息传输和转接的作用;另一类是访问节点,是资源子网中的计算机或终端,主要是信息资源的来源和发送信息的目的地。不同类型的网络,其通信子网的物理组成各不相同。局域网最简单,它的通信子网由物理传媒介质和主机网络接板(网卡)组成。而广域网,除物理传媒介质和主机网络接板(网卡)外,必须靠通信子网的转接节点传递信息。对于通信子网的设计,如果从通信信道类型分类有两种类型:点对点通信方式和广播式通信子网。(1)点对点通信,如图1.1所示。在该种类型网中,任何一段物理链路,都惟一连接一对节点。如果不在同一段物理链路的一对节点中通信,必须通过其他节点转接。采用点对点通信的基本拓扑结构有:星形、树形、环形及不规则形和全部互连等。图1.1(2)广播式通信,如图1.2所示。在该种通信子网中只有一个公共通信信道,为所有节点共享使用,任一时刻只允许一个节点使用公用信道。当一个节点利用公共通信信道发送数据时,必须携带目的地址,只有地址符合的那个节点,才能接收到数据,其他节点都不能收到数据。图1.24.计算机网络体系结构为了简化问题、减少协议设计的复杂性,大多数网络都采用一种层次结构,按层或级的方式来组织。因此,协议也是分层次的。每一层都建立在下层之上,每一层的目的都是为上层提供一定的服务,并对上层屏蔽其服务的实现细节。各层协议互相协作,构成一个整体。常称之为协议簇(protocolfamily)或协议套(protocolsuite)。网络分层体系结构模型的概念,为计算机网络协议的设计和实现提供了很大的方便。在体系结构中最著名的是国际标准化组织(ISO)于1981年颁布的开放系统互连参考模型(opensysteminterconnectionreferencemodel,OSI)。OSI定义了异种互联网标准的框架结构,受到计算机和通信行业的极大关注。OSI不断发展,得到了国际上的承认,成为其他各计算机网络系统结构靠拢的标准,大大地推动了计算机网络和计算机通信的发展。在这里“系统”是指一台或多台计算机,外部设备、终端、信息传输设备、操作员及相应软件的集合。“开放”是指按照OSI参考模型建立的任意两系统之间的连接或操作。当一个系统能按照OSI标准与另一个系统进行通信时,就称该系统为开放系统。可见,开放系统要求建立一整套能保证全部级别都能进行通信的标准。OSI开放系统互连参考模型,如图1.3所示。它采用结构描述方法,即分层描述的方法,将整个网络的通信功能划分成7个部分(也叫7个层次),每层各自完成一定的功能。由低层至高层分别称为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。这种划分使每一层都能执行本层所承担的具体任务,且功能相对独立,通过接口与其相邻层连接。这里接口指相邻层之间的连接,依靠各层之间的接口或功能的组合,实现两系统间、各结点间信息的传输。图1.3(1)物理层(physicallayer)物理层涉及到通信在信道上传输的原始比特流,主要处理与物理传输介质有关的机械的、电气的、功能的和规程的接口。物理层与具体设备有关,如光纤及收发器、网卡和集线器等。(2)数据链路层(datalinklayer)数据链路层的主要任务是加强物理层传输原始比特的功能,使之对网络层显现为一条无差错的链路。它通过将传输的数据增加同步信息、校验信息及地址信息封装成数据帧;同时提供数据帧传输顺序的控制、差错检测与控制和数据流量控制以保证数据传输的正确性。(3)网络层(networklayer)确定数据分组从源端到目的端如何选择路由。即通过路径选择将信息从最合适的路径由发送端传送到接收端,防止通信子网信息流量过大造成网络阻塞及数据丢失。(4)传输层(transportlayer)传输层的基本功能是从会话层接收数据,并且在必要时把它分成较小的单元,传递给网络层,并确保到达对方的各段信息正确无误,从某种意义上讲,传输层使会话层不受硬件技术变化的影响。传输层也要决定向会话层,最终向网络用户提供什么样的服务。最流行的传输连接是一条无错的、按发送顺序传输报文或字节的点到点的信道。传输层是真正的从源到目标(端-端)的层。也就是说,源端机上的某程序,利用报文头和控制报文与目标机上的类似程序进行对话。在传输层以下的各层中,协议是每台机器和它直接相邻的机器间的协议,而不是最终的源端机与目标机之间的协议,在它们中间可能还有多个路由器。传输层主要完成的功能如下:①分割和重组报文;②提供可靠的“端-端”的服务;③传输层的流量控制;④提供面向连接的和面向无连接数据传输服务。(5)会话层(sessionlayer)会话层允许不同机器上的用户建立会话(session)关系。会话层服务之一是管理对话。会话层允许信息同时双向传输或任一时刻只能单向传输。若属于后者,则类似半双工通信,会话层将记录此时该轮到哪一方了。与会话有关的服务是令牌管理(tokenmanagement)和同步(synchronization)。(6)表示层(presentationlayer)表示层主要完成以下特定的功能:①对数据编码格式进行转换;②数据压缩与恢复;③建立数据交换格式;④数据的安全与保密;⑤其他特殊服务。(7)应用层(applicationlayer)应用层包含大量人们普遍需要的协议和提供许多应用软件包。例如FTP、E-mail等程序及应用软件包。应用层完成的主要功能如下:①作为用户应用程序与网络间的接口;②使用户的应用程序能够与网络进行交互式联系。在OSI7层模型中,每一层都提供一些明确的网络功能。一般数据通信子网中的交换节点只包含OSI模型的下3层,表示节点的这3个层次又称为中继开放系统。若从功能角度看,下面4层主要提供通信传输功能,以节点到节点之间的通信为主;高层协议(会话层、表示层和应用层)则以提供用户与应用程序之间的处理功能为主。简而言之,低4层协议属于通信功能,高3层属于处理功能。若从产品看,低3层协议一般由硬件完成,高层协议由软件完成。例如,网卡和网桥完成物理层和数据链路层的功能,路由器完成网络层的功能,而电子邮件软件完成应用层的功能。在实际网络系统中,OSI中的会话层和表示层很少使用。1.1.2Internet网络1.Internet物理结构Internet连接了不同国家与地区无数不同类型的电脑,可能是某个校园网的大型主机,也可能是某个办公室的个人电脑。硬件千差万别,使用的操作系统与软件也各不相同,要保证这些电脑之间能够畅通无阻地交换信息,必须有相通的语言,即统一的通信协议。Internet是一个计算机网络的网络或叫做网间网(把全世界各种各样的网络都联接到一起所形成的网络),那么Internet是怎么把这些网络连接到一起的呢?Internet是用一种称为路由器的专用计算机将网络互联在一起的,如图1.4所示。当然,单纯将计算机硬件互联在一起并不能形成Internet,互联的计算机还需要在软件的指挥下才能正常地工作。图1.42.TCP/IP协议在Internet中使用的一个关键的协议是网与网之间的协议,也叫做网际协议(IP),IP精确地定义了分组必须怎样组成,以及路由器必须怎样将每一个分组递交到其目的地。连接到Internet上的每台计算机都必须遵守网际协议IP的约定。每台发送信息的计算机必须按IP定义的格式产生分组。接收信息的计算机也需按IP的约定从中提取信息。由此可见,实现该操作的软件(IP软件)是最基本的软件,所有Internet服务都使用IP来发送或接收分组,所以通常每台计算机在通信时都必须使IP软件驻留在内存中,以便时刻准备发送或接收分组。IP分组也称为IP数据包。IP分组的发送就像电报局处理电报一样,一旦发送方准备好