《網(wǎng)絡(luò)安全技術(shù)原理與實踐》課件第一章 網(wǎng)絡(luò)安全概論

1.1網(wǎng)絡(luò)安全的定義

物理安全邏輯安全操作系統(tǒng)安全網(wǎng)絡(luò)數(shù)據(jù)傳輸安全高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材物理安全高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材

指用來保護(hù)計算機(jī)硬件和存儲介質(zhì)的裝置和工作程序。物理安全包括防盜、防火、防靜電、防雷擊和防電磁泄漏等內(nèi)容。邏輯安全

計算機(jī)的邏輯安全需要用口令字、文件許可、加密、檢查日志等方法來實現(xiàn)。防止黑客入侵主要依賴于計算機(jī)的邏輯安全。可以通過以下措施來加強(qiáng)計算機(jī)的邏輯安全：（1）限制登錄的次數(shù)，對試探操作加上時間限制；（2）把重要的文檔、程序和文件加密；（3）限制存取非本用戶自己的文件，除非得到明確的授權(quán)；（4）跟蹤可疑的、未授權(quán)的存取企圖等等。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材操作系統(tǒng)安全

操作系統(tǒng)是計算機(jī)中最基本、最重要的軟件。同一計算機(jī)可以安裝幾種不同的操作系統(tǒng)。如果計算機(jī)系統(tǒng)需要提供給許多人使用，操作系統(tǒng)必須能區(qū)分用戶，防止他們相互干擾。一些安全性高、功能較強(qiáng)的操作系統(tǒng)可以為計算機(jī)的每個用戶分配賬戶。不同賬戶有不同的權(quán)限。操作系統(tǒng)不允許一個用戶修改由另一個賬戶產(chǎn)生的數(shù)據(jù)。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材網(wǎng)絡(luò)數(shù)據(jù)傳輸安全

主要是保護(hù)數(shù)據(jù)在網(wǎng)絡(luò)信息系統(tǒng)中傳輸、交換和存儲的保密性、完整性、真實性、可靠性、可用性和不可抵賴性等。而加密技術(shù)則是數(shù)據(jù)傳輸安全的核心。它通過加密算法將數(shù)據(jù)從明文加密為密文并進(jìn)行通信，密文即使被黑客截取也很難被破譯，然后通過對應(yīng)解密技術(shù)解密密文還原明文。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材1.2網(wǎng)絡(luò)常見的安全威脅惡意代碼攻擊網(wǎng)絡(luò)協(xié)議攻擊拒絕服務(wù)攻擊Web攻擊高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材惡意代碼攻擊

惡意代碼是計算機(jī)按照攻擊者意圖執(zhí)行以達(dá)到惡意目標(biāo)的指令集。木馬（Trojan）指通過特定的程序木馬程序來控制另一臺計算機(jī)。木馬通常有兩個可執(zhí)行程序，一個是控制端，另一個是被控制端。僵尸網(wǎng)絡(luò)（Botnet）僵尸網(wǎng)絡(luò)是可被攻擊者遠(yuǎn)程控制的被攻陷主機(jī)所組成的網(wǎng)絡(luò)。計算機(jī)病毒（ComputerVirus）計算機(jī)病毒是能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼，通過編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用。蠕蟲（Worm）蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它是一類自主運(yùn)行的惡意代碼。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材網(wǎng)絡(luò)協(xié)議攻擊高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材

TCP/IP協(xié)議由網(wǎng)間層的IP協(xié)議和傳輸層的TCP協(xié)議組成，它定義了網(wǎng)絡(luò)設(shè)備接入Internet的方式及網(wǎng)絡(luò)設(shè)備間傳輸數(shù)據(jù)的標(biāo)準(zhǔn)網(wǎng)絡(luò)接口層主要負(fù)責(zé)定義網(wǎng)絡(luò)介質(zhì)的物理特性，包括機(jī)械特性、電子特性、功能特性和規(guī)程特性等。網(wǎng)間層負(fù)責(zé)網(wǎng)絡(luò)設(shè)備之間的通信，即點到點通信。并提供基本的數(shù)據(jù)包封裝等功能。傳輸層負(fù)責(zé)提供應(yīng)用程序間的數(shù)據(jù)傳送服務(wù)，也稱為端到端的通信。應(yīng)用層負(fù)責(zé)應(yīng)用程序間的溝通。拒絕服務(wù)攻擊攻擊

拒絕服務(wù)（DenialofService，DOS）就是故意的攻擊網(wǎng)絡(luò)協(xié)議缺陷或直接通過野蠻手段耗盡被攻擊對象的資源，使受害主機(jī)或網(wǎng)絡(luò)不能及時接收處理外界請求，或無法及時回應(yīng)外界請求的能力，甚至導(dǎo)致系統(tǒng)崩潰、網(wǎng)絡(luò)癱瘓。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材

Web攻擊高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材

當(dāng)前,Web普遍采用三級層次的體系結(jié)構(gòu)?？蛻舳撕头?wù)器端程序通過TCP/IP協(xié)議層之上的超文本傳輸（HTTP）協(xié)議來進(jìn)行信息傳輸和事物處理。根據(jù)Web應(yīng)用程序的特點，Web相關(guān)的安全問題通常分為客戶端安全和服務(wù)器端安全?？蛻舳税踩年P(guān)鍵問題主要是客戶端的web瀏覽器和主機(jī)操作系統(tǒng)的漏洞存在，導(dǎo)致網(wǎng)站掛馬攻擊等。服務(wù)器端的安全主要在于要實施攻擊,攻擊者首先必須獲得對目標(biāo)主機(jī)的控制權(quán)。1.3網(wǎng)絡(luò)攻擊技術(shù)網(wǎng)絡(luò)掃描技術(shù)網(wǎng)絡(luò)嗅探技術(shù)偽裝技術(shù)高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材網(wǎng)絡(luò)掃描技術(shù)

網(wǎng)絡(luò)掃描技術(shù)是一種通常使用TCP或者UDP來嘗試建立到目標(biāo)的連接，通過目標(biāo)的響應(yīng)來搜集有用信息的一種對遠(yuǎn)程主機(jī)或本地主機(jī)安全性脆弱點探測的技術(shù)。網(wǎng)絡(luò)掃描的技術(shù)類型主要包括：主機(jī)掃描、端口掃描、漏洞掃描等。這種技術(shù)通常被用于攻擊的第一步，潛在攻擊者利用該技術(shù)對目標(biāo)環(huán)境有大概認(rèn)識，了解目標(biāo)主機(jī)的操作系統(tǒng)類型及運(yùn)行服務(wù)，并利用這些信息發(fā)現(xiàn)目標(biāo)主機(jī)的可利用隱患。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材網(wǎng)絡(luò)嗅探技術(shù)

網(wǎng)絡(luò)嗅探是一種有用的網(wǎng)絡(luò)信息搜集技術(shù)，主要在目標(biāo)網(wǎng)絡(luò)內(nèi)放置相應(yīng)工具實施網(wǎng)絡(luò)嗅探，監(jiān)聽網(wǎng)絡(luò)中正在傳輸?shù)脑紨?shù)據(jù)包，并通過協(xié)議分析技術(shù)來重構(gòu)解析出有價值的信息，如用戶名和口令、開放的網(wǎng)絡(luò)共享等信息。嗅探技術(shù)主要利用在非交換式的以太網(wǎng)中，網(wǎng)卡處于混雜模式下，對目的地址不會進(jìn)行任何判斷，而直接將它收到的所有報文都傳遞給操作系統(tǒng)進(jìn)行處理這一特點，因此，攻擊者只需要將獲取網(wǎng)絡(luò)中某臺主機(jī)的訪問權(quán)限，將該主機(jī)網(wǎng)卡設(shè)置為混雜模式即可捕獲網(wǎng)絡(luò)中所有的以太網(wǎng)幀。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材偽裝技術(shù)

網(wǎng)絡(luò)攻擊過程中，攻擊者需要注意如何隱藏網(wǎng)絡(luò)上的蹤跡。當(dāng)攻擊者成功獲取了存取權(quán)限且完成了自己的預(yù)定目標(biāo)后，他還有最后一個工作要完成--隱藏攻擊蹤跡。這其中包括重新進(jìn)入系統(tǒng)，將所有能夠表明他曾經(jīng)來過的證據(jù)隱藏起來，包括系統(tǒng)日志文件清除，IP地址偽裝、偽裝MAC地址等技術(shù)。1.4網(wǎng)絡(luò)安全防御技術(shù)防火墻技術(shù)入侵檢測系統(tǒng)虛擬專用網(wǎng)絡(luò)技術(shù)高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材P2DR模型示意圖高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材防火墻技術(shù)

防火墻（firewall）是一種形象的說法。對于網(wǎng)絡(luò)，它通常是網(wǎng)絡(luò)防御的第一道防線，其核心思想就是阻塞防火墻外部到防火墻內(nèi)部機(jī)器的網(wǎng)絡(luò)連接。它決定了哪些內(nèi)部服務(wù)可以被外界訪問、可以被哪些人訪問，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻可以在網(wǎng)絡(luò)協(xié)議棧的各個層次上實施網(wǎng)絡(luò)訪問控制機(jī)制，對網(wǎng)絡(luò)流量和訪問進(jìn)行檢查和控制，防火墻技術(shù)可以分為包過濾，電路級網(wǎng)關(guān)和應(yīng)用層代理技術(shù)。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）是對傳統(tǒng)安全產(chǎn)品的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)可分為主機(jī)型（Host-basedIDS,HIDS）和網(wǎng)絡(luò)型(Network-basedIDS,NIDS)，主機(jī)型入侵檢測系統(tǒng)往往以系統(tǒng)日志，應(yīng)用程序日志等作為數(shù)據(jù)源，保護(hù)的一般是所在系統(tǒng)；網(wǎng)絡(luò)型入侵檢測系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡(luò)上的數(shù)據(jù)包，一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個網(wǎng)段的監(jiān)測任務(wù)。高等學(xué)校電子信息類“十三五”規(guī)劃教材應(yīng)用型網(wǎng)絡(luò)與信息安全工程技術(shù)人才培養(yǎng)系列教材虛擬專用網(wǎng)絡(luò)技術(shù)

虛擬專用網(wǎng)絡(luò)（VirtualPrivateN