【大學(xué)課件】網(wǎng)絡(luò)安全基礎(chǔ)

1、http:/ 網(wǎng)絡(luò)安全基礎(chǔ)計(jì)算機(jī)技術(shù)正在日新月異地迅猛發(fā)展，功能強(qiáng)大的計(jì)算機(jī)和intranet/internet正在世界范圍內(nèi)普及。信息化和網(wǎng)絡(luò)化是當(dāng)今世界經(jīng)濟(jì)與社會發(fā)展的大趨勢，信息資源的深入開發(fā)利用以及各行各業(yè)的信息化、網(wǎng)絡(luò)化已經(jīng)迅速展開；全社會廣泛應(yīng)用信息技術(shù)，計(jì)算機(jī)網(wǎng)絡(luò)廣泛應(yīng)用為人們所關(guān)注。面對當(dāng)前嚴(yán)重危害計(jì)算機(jī)網(wǎng)絡(luò)的種種威脅，必須采取有力的措施來保證計(jì)算機(jī)網(wǎng)絡(luò)的安全。但是現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)大多數(shù)在建立之初都忽略了安全問題，即使考慮了安全，也僅把安全機(jī)制建立在物理安全機(jī)制上。本章分析了計(jì)算機(jī)網(wǎng)絡(luò)安全體系的含義以及其安全機(jī)制，并對當(dāng)前網(wǎng)絡(luò)安全應(yīng)涉及的一些內(nèi)容做了介紹。2.1 網(wǎng)絡(luò)安全體系結(jié)

2、構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)是網(wǎng)絡(luò)安全最高層的抽象描述，在大規(guī)模的網(wǎng)絡(luò)工程建設(shè)與管理和網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)開發(fā)的過程中，需要從全局的體系結(jié)構(gòu)和考慮安全問題的整體解決方案角度出發(fā)，才能保證網(wǎng)絡(luò)安全功能的完備性與一致性，降低安全的風(fēng)險(xiǎn)、代價(jià)和管理的費(fèi)用。因此，安全體系結(jié)構(gòu)對于網(wǎng)絡(luò)安全的理解、設(shè)計(jì)、實(shí)現(xiàn)與管理都具有重大意義。2.1.1 開放系統(tǒng)互連參考模型層次名稱主要功能功能概述應(yīng)用樣例7應(yīng)用層具體應(yīng)用功能，解決做什么提供(osi)用戶服務(wù)，如文件傳輸、電子郵件、網(wǎng)絡(luò)管理等telnet、http6表示層表示、表達(dá)、解決像什么實(shí)現(xiàn)不同格式和編碼之間的交換，傳遞數(shù)據(jù)的語法及語義ascii、jpeg、ebcdic

3、5會話層如何檢查？對方是誰在兩個(gè)應(yīng)用進(jìn)程之間建立和管理不同形式的通信對話。其數(shù)據(jù)流方向控制有三種，即單工、半雙工、雙工操作系統(tǒng)、應(yīng)用訪問規(guī)劃4傳輸層對方在何處提供傳遞方式，進(jìn)行多路利用，實(shí)現(xiàn)端點(diǎn)間的數(shù)據(jù)交換、為會話層實(shí)現(xiàn)提供透明的、可靠的數(shù)據(jù)傳輸服務(wù)tcp、udp、spx3網(wǎng)絡(luò)層數(shù)據(jù)走什么路徑到達(dá)通過分組交換和路由選擇為傳輸層實(shí)體提供端到端的交換網(wǎng)絡(luò)數(shù)據(jù)，傳送功能使得傳輸層擺脫路由選擇、交換方式、擁擠控制等網(wǎng)絡(luò)傳輸細(xì)節(jié)，實(shí)現(xiàn)數(shù)據(jù)傳輸ip、ipx2數(shù)據(jù)鏈路層每一步應(yīng)該怎樣走進(jìn)行二進(jìn)制數(shù)據(jù)塊傳送，并進(jìn)行差錯(cuò)檢測和數(shù)據(jù)流控制。它分為兩個(gè)子層，即介質(zhì)訪問控制協(xié)議(mac)和邏輯鏈路控制協(xié)議(llc)8

4、02.3/802.2、hdlc2.1.2 internet網(wǎng)絡(luò)體系層次結(jié)構(gòu)internet目前使用的協(xié)議是tcp/ip協(xié)議。tcp/ip協(xié)議是一個(gè)4層結(jié)構(gòu)的集網(wǎng)絡(luò)通信、應(yīng)用、服務(wù)、管理等多種功能的協(xié)議族，這4層協(xié)議分別是物理網(wǎng)絡(luò)接口層協(xié)議、網(wǎng)際層協(xié)議、傳輸層協(xié)議和應(yīng)用層協(xié)議。tcp/ip族的4層協(xié)議與osi參考模型的7層協(xié)議和常用協(xié)議的對應(yīng)關(guān)系如圖2-1所示。2.1.3 網(wǎng)絡(luò)安全層次特征體系1. 安全特性的安全問題2. osi參考模型的安全問題3. 系統(tǒng)單元的安全問題4. 物理環(huán)境的安全問題5. 網(wǎng)絡(luò)系統(tǒng)本身的安全問題6. 應(yīng)用系統(tǒng)的安全問題7. 網(wǎng)絡(luò)管理的安全問題2.1.4 ipv6的安全性

5、ipv6是internet protocol version 6的縮寫，也被稱作下一代互聯(lián)網(wǎng)協(xié)議，它是由ietf(互聯(lián)網(wǎng)工程任務(wù)組)設(shè)計(jì)的用來代替現(xiàn)行的ipv4協(xié)議的一種新的ip協(xié)議。 1. ipv6概述2. ipv6安全性分析(1)防火墻的設(shè)計(jì) (2)入侵檢測系統(tǒng)(ids)的設(shè)計(jì) 2.2 網(wǎng)絡(luò)協(xié)議安全分析計(jì)算機(jī)網(wǎng)絡(luò)互連使得網(wǎng)絡(luò)通信和信息共享變得更為便捷，同時(shí)也將開放的系統(tǒng)暴露在易受攻擊的環(huán)境中。tcp/ip的安全脆弱性大致可歸結(jié)為以下3點(diǎn)：(1)無驗(yàn)證通信雙方真實(shí)性的能力，缺乏有效的認(rèn)證機(jī)制。(2)無保護(hù)網(wǎng)上數(shù)據(jù)隱私性的能力，缺乏保密機(jī)制。(3)協(xié)議自身設(shè)計(jì)細(xì)節(jié)和實(shí)現(xiàn)中存在一些安全漏洞，容易

6、引發(fā)各種安全攻擊。2.2.1 物理層安全物理層安全威脅主要指網(wǎng)絡(luò)環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用而造成的網(wǎng)絡(luò)系統(tǒng)的不可用，如設(shè)備被盜、意外故障、設(shè)備損毀與老化、信息探測與竊聽等。由于以太網(wǎng)中采用廣播方式，因此，在某個(gè)廣播域中利用嗅探器可以在設(shè)定的端口偵聽和分析信息包，致使本廣播域的信息傳遞暴露無遺。所以需將兩個(gè)網(wǎng)絡(luò)從物理上隔斷，同時(shí)保證在邏輯上兩個(gè)網(wǎng)絡(luò)能夠連通。物理層安全措施相對較少。2.2.2 網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層的安全威脅主要有兩類：ip欺騙和icmp(因特網(wǎng)控制信息協(xié)議)攻擊。ipsec(internet協(xié)議安全)是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議，為ip網(wǎng)絡(luò)通信提供了透明的安全服務(wù)，保護(hù)

7、tcp/ip通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。ipsec在tcp/ip協(xié)議棧中所處的層次如圖2-3所示。 http ftp smtp tcp tcp ip/ipsec tcp 2.2.2 網(wǎng)絡(luò)層安全1. ipsec協(xié)議的安全特征1)不可否認(rèn)性2)反重播性3)數(shù)據(jù)完整性4)數(shù)據(jù)可靠性(加密)5)認(rèn)證數(shù)據(jù)源2. ipsec協(xié)議的優(yōu)點(diǎn)2.2.3 傳輸層安全傳輸層安全措施主要取決于具體的協(xié)議。傳輸層主要包括傳輸控制協(xié)議(tcp)和用戶數(shù)據(jù)報(bào)協(xié)議(udp)。tcp是一個(gè)面向連接的協(xié)議，保證數(shù)據(jù)的可靠性。tcp用于多數(shù)的互聯(lián)網(wǎng)服務(wù)，如http、ftp和smtp。最常見的是netsc

8、ape通信公司設(shè)計(jì)的安全套接層協(xié)議(secure sockets layer，ssl)，ssl結(jié)構(gòu)如圖2-5所示。 http ftp smtp ssl 協(xié)商層 ssl 記錄層 tcp ip 2.2.3 傳輸層安全1. ssh協(xié)議2. ssl協(xié)議3. 傳輸層安全協(xié)議 應(yīng)用程序 tcp/ip tcp/ip 應(yīng)用程序 ssl 握手協(xié)議 ssl 記錄協(xié)議 ssl 握手協(xié)議 ssl 記錄協(xié)議 2.2.4 應(yīng)用層及網(wǎng)絡(luò)應(yīng)用安全1. 簡單郵件傳輸協(xié)議(smtp)2. 文件傳輸協(xié)議(ftp)3. 超文本傳輸協(xié)議(http)4. 簡單網(wǎng)絡(luò)管理協(xié)議(snmp)5. 域名系統(tǒng)(dns)6. 安全http協(xié)議7. 安

9、全telnet協(xié)議8. 安全文件傳輸協(xié)議1)ftp模型2)ftp協(xié)議的安全擴(kuò)展3) 協(xié)議的安全問題及防范措施|(1) 漏洞。漏洞。 |(2) 反彈攻擊。反彈攻擊。 2.2.5 安全協(xié)議的最新發(fā)展安全協(xié)議的研究主要包括兩方面內(nèi)容，即安全協(xié)議的安全性分析研究和各種實(shí)用安全協(xié)議的設(shè)計(jì)與分析研究。安全協(xié)議的安全性分析方法主要有兩類：一類是攻擊檢驗(yàn)方法，另一類是形式化分析方法，其中安全協(xié)議的形式化分析方法是安全協(xié)議研究中最關(guān)鍵的研究問題之一。從大的方面講，在協(xié)議形式化分析方面比較成功的研究思路可以分為3種：第一種思路是基于推理知識和信念的模態(tài)邏輯；第二種思路是基于狀態(tài)搜索工具和定理證明技術(shù)；第三種思路是

10、基于新的協(xié)議模型發(fā)展證明的正確性理論。2.3 安全服務(wù)與安全機(jī)制為實(shí)現(xiàn)開放系統(tǒng)互連環(huán)境下的信息安全，iso/tc97技術(shù)委員會制定了iso 7482-2國際標(biāo)準(zhǔn)。它從體系結(jié)構(gòu)的角度，描述了實(shí)現(xiàn)osi參考模型之間的安全通信所必須提供的安全服務(wù)和安全機(jī)制，建立了開放系統(tǒng)互聯(lián)標(biāo)準(zhǔn)的安全體系結(jié)構(gòu)框架，為網(wǎng)絡(luò)安全的研究奠定了基礎(chǔ)。2.3.1 安全服務(wù) 1. 對象認(rèn)證 2. 訪問控制 3. 數(shù)據(jù)保密性 1)信息保密 2)選擇保密 3)業(yè)務(wù)流保密 4. 數(shù)據(jù)完整性 1) 連接的完整性(包括有恢復(fù)的和無恢復(fù)的) 2) 選擇段有連接的完整性 3) 無連接的完整性 4) 選擇段無連接完整性 5. 防抵賴 1) 發(fā)

11、送防抵賴 2) 遞交防抵賴 3) 公證2.3.2 安全機(jī)制1. 加密機(jī)制2. 數(shù)字簽名機(jī)制3. 訪問控制機(jī)制4. 數(shù)據(jù)完整性機(jī)制5. 鑒別交換機(jī)制6. 通信業(yè)務(wù)填充機(jī)制7. 公證機(jī)制2.3.3 安全機(jī)制與安全服務(wù)之間的關(guān)系安全機(jī)制安全服務(wù)加密數(shù)字簽名訪問控制數(shù)據(jù)完整性驗(yàn)證交換信息流填充路由控制仲裁對等實(shí)體驗(yàn)證yyy數(shù)據(jù)源驗(yàn)證yy訪問控制服務(wù)y連接的保密性yy無連接的保密性yy選擇域的保密性y信息流的保密性yyy帶恢復(fù)的連接完整性y不帶恢復(fù)連接的完整性yy選擇域的連接完整性yy無連接的完整性yyy選擇域的無連接完整性yyy2.4 網(wǎng)絡(luò)操作命令為了能夠進(jìn)行網(wǎng)絡(luò)管理，需要使用到以下這些常用的網(wǎng)絡(luò)命令

12、。2.4.1 ipconfig1. 使用ipconfig/all命令查看配置如圖2-9所示的ipconfig/all命令輸出，把該計(jì)算機(jī)配置成靜態(tài)配置ip地址，并使用dns服務(wù)器解析名稱。2. 使用ipconfig/renew命令刷新配置2.4.2 pingping命令有助于驗(yàn)證ip級的連通性。發(fā)現(xiàn)和解決問題時(shí)，可以使用ping命令向目標(biāo)主機(jī)名或ip地址發(fā)送icmp回應(yīng)請求。 ping命令的格式及其參數(shù)如圖2-10所示。ping命令有兩種常見的用法：一個(gè)是ping ip地址；另一種是ping主機(jī)域名。2.4.3 arp使用arp命令可以解決硬件地址的問題。地址解析協(xié)議(arp)允許主機(jī)查找同一

13、物理網(wǎng)絡(luò)上主機(jī)的媒體訪問控制地址(如果給出后者的ip地址)。 可以使用arp命令查看和修改本地計(jì)算機(jī)上的arp表項(xiàng)。arp命令對于查看arp緩存和解決地址解析問題非常有用，如圖2-11所示。2.4.4 nbtstatnbtstat命令是解決netbios名稱解析問題的有用工具，可以使用nbtstat命令刪除或更正預(yù)加載的項(xiàng)目。nbtstat n：顯示由服務(wù)器或重定向器之類的程序在系統(tǒng)上本地注冊的名稱。nbtstat c：顯示netbios名稱緩存，包含其他計(jì)算機(jī)的名稱對地址的映射。nbtstat r：清除名稱緩存，然后從lmhosts文件重新加載。nbtstat rr：釋放在wins服務(wù)器上注

14、冊的netbios名稱，然后刷新它們的注冊。nbtstat a name：對 name選項(xiàng)指定的計(jì)算機(jī)執(zhí)行netbios適配器狀態(tài)命令。適配器狀態(tài)命令將返回計(jì)算機(jī)的本地netbios名稱表，以及適配器的媒體訪問控制地址。nbtstat s：列出當(dāng)前的netbios會話及其狀態(tài)(包括統(tǒng)計(jì))。 2.4.5 netstat 可以使用netstat命令顯示協(xié)議統(tǒng)計(jì)信息和當(dāng)前的tcp/ip網(wǎng)絡(luò)連接。 netstat a：顯示所有連接和監(jiān)聽窗口。 netstat b：顯示包含于創(chuàng)建每個(gè)連接或監(jiān)聽端口的可執(zhí)行組件。在某些情況下已知可執(zhí)行組件擁有多個(gè)獨(dú)立組件，并且在這些情況下包含于創(chuàng)建連接或監(jiān)聽端口的組件序列

15、被顯示。 netstat e：顯示以太網(wǎng)統(tǒng)計(jì)信息。此選項(xiàng)可以與-s選項(xiàng)組合使用。 netstat -n：以數(shù)字形式顯示地址和端口號。 netstat -o：顯示與每個(gè)連接相關(guān)的所屬進(jìn)程id。 netstat -p proto：顯示proto指定的協(xié)議的連接；proto可以是下列協(xié)議之一；tcp、udp、tcpv6或udpv6。如果與-s選項(xiàng)一起使用以顯示按協(xié)議統(tǒng)計(jì)信息，proto可以使下列協(xié)議之一：ip、ipv6、icmp、icmpv6、tcp、tcpv6、udp或udpv6。 netstat r：顯示路由表。 netstat -s：顯示按協(xié)議統(tǒng)計(jì)信息。默認(rèn)顯示ip、ipv6、icmp、icm

16、pv6、tcp、tcpv6、udp和udpv6的統(tǒng)計(jì)信息。 netstat -p：用于指定默認(rèn)情況的子集。 netstat -v：與-b選項(xiàng)一起使用時(shí)將顯示包含于為所有可執(zhí)行組件創(chuàng)建連接或監(jiān)聽端口的組件。2.4.6 tracerttracert(跟蹤路由)是路由跟蹤實(shí)用程序，用于確定ip數(shù)據(jù)訪問目標(biāo)所采取的路徑。tracert命令用ip生存時(shí)間(ttl)字段和icmp錯(cuò)誤消息來確定從一個(gè)主機(jī)到網(wǎng)絡(luò)上其他主機(jī)的路由。通過向目標(biāo)發(fā)送不同的ip生存時(shí)間(ttl)值的“internet控制消息協(xié)議(icmp)”回應(yīng)數(shù)據(jù)包，tracert診斷程序確定到達(dá)目標(biāo)所采取的路由。要求路徑上的每個(gè)路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包之前至少將數(shù)據(jù)包上的ttl值遞減1。數(shù)據(jù)包上的ttl減為0時(shí)，路由器應(yīng)該將“icmp已超時(shí)”的消息發(fā)回源系統(tǒng)。2.4.7 net1. net start命令2. net stop 命令3. net user命令4. net localgroup命令5. net share命令2.4.8 nslookupnslookup工具包含在windows nt和windows 2000中，并總是隨同bind軟件包一起提供。它可以提供許多選項(xiàng)，并提供一種方法從頭到尾地跟蹤dns查詢，是用來進(jìn)行手動dns查詢最常用的工具。 nslookup可以用于