网络工程师__网络安全

温州大学城市学院网络系Network.wzu.edu.cn1第六章网络安全2温州大学城市学院网络系network.wzu.edu.cn应用层安全协议—S-HTTPS-HTTP：安全的超文本传输协议，是一个面向报文的安全通信协议，是HTTP协议的扩展其设计目的是保证商业贸易信息的传输安全，促进电子商务的发展然而由于SSL的迅速出现，S-HTTP未能得到广泛的应用3温州大学城市学院网络系network.wzu.edu.cnPGP1991年开发的电子邮件加密软件包使用最为广泛的电子邮件加密软件，其原因：能够在各种平台上免费使用基于比较安全的加密算法具有广泛的应用领域，既可用于加密文件，也可用于个人安全通信不是由政府或标准化组织开发和控制的PGP提供两种服务：数据加密和数字签名PGP使用RSA公钥证书进行身份认证使用IDEA进行数据加密使用MD5进行数据完整性验证PGP证书格式的特点是单个证书可能包含多个标签4温州大学城市学院网络系network.wzu.edu.cnS/MIME是RSA数据安全公司开发的软件提供的安全服务有：报文完整性验证、数字签名和数据加密5温州大学城市学院网络系network.wzu.edu.cn安全的电子交易(SET)是一个安全协议和报文格式的集合SET提供以下3种服务：在交易涉及的各方之间提供安全信道使用X。509数字证书实现安全的电子交易保证信息的机密性6温州大学城市学院网络系network.wzu.edu.cnSET交易过程客户在银行开通了VISA银行帐户客户收到一个数字证书第三方零售商从银行收到了自己的数字证书，其中包含零售商的公钥和银行的公钥客户通过网页或电话发出订单客户通过浏览器验证了零售商的证书，确认零售商是合法的浏览器发出定购报文，这个报文是通过零售商的公钥加密的，而支付信息是通过银行的公钥加密的零售商检查客户的数字证书以验证客户的佥性零售商把订单信息发给银行银行验证零售商和定购信息银行进行数字签名，零售商就可以签署订单了7温州大学城市学院网络系network.wzu.edu.cnKerberos是一项认证服务解决的问题是：在公开的分布式环境中，工作站上的用户希望访问颁布在网络的服务器，希望网络服务器能限制授权用户的访问有两个Kerberos版本很常用，第4版和第5版8温州大学城市学院网络系network.wzu.edu.cn网络安全级别1983年美国国防部发表的《可信计算机标准评价准则》把计算机安全等级分为4类7级：D级：最低安全保护级，不设置任何安全保护措施，软硬件都容易被侵袭，DOS，WINDOWS95/98C1级：选择性安全保护级，对硬件采取简单的安全措施，用户要有登录认证和访问权限限制，但不能控制已登录用户的访问级别，早期的UNIX，NETWARE3.0以下版本系统C2级：访问控制环境保护级，比C1级增加了几个特征，如系统审计、安全事件等，UNIX、NETWARE3.X及以上、WINDOWSNT9温州大学城市学院网络系network.wzu.edu.cn网络安全级别（续）B1级：标记安全保护级，支持多级安全，该级别是支持秘密、绝密信息保护的第一个级别，主要为政府机构和防御承包商B2级：结构化安全保护级，对系统中所有对象都加上标记，并给各设备分配安全级别B3级：安全域级，要求用户工作站或终端通过可信任途径连接网络系统A级：验证设计安全级，是最高安全级，包含了低级别所有的特征。10温州大学城市学院网络系network.wzu.edu.cn防火墙防火墙可由计算机硬件和软件系统组成内部网和外部网进行互连时，必须使用一个中间设备，这个中间设备可以是专门的互连设备（如路由器或网关），也可以是网络中的某个节点这个中间设备至少具有两个物理链路，一条通往外部网络，一条通往内部网络，防火墙的作用是防止不希望的、未授权的通信进出受保护的网络，从而使机构强化自己的网络安全政策11温州大学城市学院网络系network.wzu.edu.cn防火墙的发展第一代防火墙，1983年出现，几乎是与路由器同时问世的，它采用了包过滤技术，也可称为包过滤防火墙第二代防火墙，应用型防火墙（代理防火墙）的初步结构第三代防火墙：1992年USC开发出了基于动态包过滤技术的第三代防火墙，即目前所说的状态检测防火墙第四代防火墙：具有安全操作系统的防火墙第五代防火墙：自适应代理防火墙技术12温州大学城市学院网络系network.wzu.edu.cn防火墙的基本类型包过滤防火墙：又被称为访问控制列表，可以与路由器集成，也可以用独立的包过滤软件实现应用网关防火墙：在网关上执行一些特定的应用程序和服务器程序，实现协议过滤和转发功能，工作在应用层代理服务防火墙：使用代理技术来阻断内部和外部网络之间的通信，其基本策略为：不允许外部连接到内部安全网络允许内部主机使用代理服务器访问Internet只有那些认为“可以信赖的”代理服务才允许通过13温州大学城市学院网络系network.wzu.edu.cn状态检测防火墙：也叫自适应防火墙或动态包过滤防火墙，通过状态检测技术动态记录、维护各个连接的协议状态，并在网络层和IP之间插入一个检查模块，对IP包的信息进行分析检测，以决定是否允许通过防火墙自适应代理技术：整合动态包过滤防火墙和应用代理技术，本质上是状态防火墙防火墙的基本类型14温州大学城市学院网络系network.wzu.edu.cn防火墙的设计设计原则：由内到外，由外到内的业务流均要经过防火墙只允许本地安全策略认可的业务通过防火墙，实行默认拒绝原则严格限制外部网络的用户进入内部网络具有透明性，方便内部网络用户，保证正常的信息通过具有抗穿透攻击能力，强化记录，审计和报警15温州大学城市学院网络系network.wzu.edu.cn防火墙的网络拓扑结构屏蔽路由器，又称包过滤路由器，对进出内部网络的所有信息进行分析，并按照一定的安全策略进行限制，使用一台过滤路由器来实现双宿主主机：是包过滤网关的一种替代，由一台至少装有两块网卡的保垒主机作防火墙，保垒主机的IP转发功能被禁止，通过提供代理服务来处理请求，实现了“默认拒绝”策略，但容易成系统瓶颈16温州大学城市学院网络系network.wzu.edu.cn防火墙的网络拓扑结构主机过滤结构：是包过滤和代理的结合，它由一台过滤路由器与外部网络相连，再通过一个可提供安全保护的主机(保垒主机)与内部网络连接。通常在路由器上设立过滤规则，并使这个堡垒主机成为唯一可以从外部网络直接到达的主机，确保内部网络不受未被授权的外部用户的攻击17温州大学城市学院网络系network.wzu.edu.cn防火墙的网络拓扑结构屏蔽子网结构：是双宿主主机和被屏蔽主机的变形，在主机过滤结构中又增加了一个额外的安全层次而构成的，在内部网络和外部网络之间建立一个被隔离的子网，用两台过滤路由器将这一子网分别与内部网络和外部网络分开18温州大学城市学院网络系network.wzu.edu.cn防火墙的功能网络安全的屏障强化网络安全策略对网络存取和访问进行监控审计防止内部信息的外泄安全策略检查实施NAT的理想平台19温州大学城市学院网络系network.wzu.edu.cn防火墙的局限性不能防范内部人员的攻击不能防范绕过它的连接不能防御全部威胁不能防御恶意程序和病毒20温州大学城市学院网络系network.wzu.edu.cn个人防火墙是应用程序级的21温州大学城市学院网络系network.wzu.edu.cn个人防火墙的特点优点：增加了保护功能易于配置缺点：端口通信受限集中管理比较困难性能限制22温州大学城市学院网络系network.wzu.edu.cn病毒的类型寄生病毒：将自己附加到可执行文件中，当被感染的程序执行时，通过找到其他可执行文件并感染之存储器驻留病毒：寄宿在主存中，作为驻留程序的一部他引导区病毒：感染主引导记录或引导记录隐形病毒：能够在反病毒软件检测时隐藏自己多形病毒：每次感染时会改变的病毒23温州大学城市学院网络系network.wzu.edu.cn24温州大学城市学院网络系network.wzu.edu.cn25温州大学城市学院网络系network.wzu.edu.cn26温州大学城市学院网络系network.wzu.edu.cn