网络工程概论第5章 网 络 安 全
合集下载
第5章无线局域网
802.11网络的基本元素——BSS
基本服务集BSS:Basic Service Set,将无线局域网进行结构化的 划分后,每个单元称为一个BSS
5.1.3 无线局域网的拓扑结构
1. 基本服务集和无线局域网的设备类型
Stations (STA):任何的无线终端设备 AP (Access Point):一种特殊的STA SSID:Service Set ID 服务集识别码
常见有PCI接口、Mini PCI接口、PCMCIA接口、 USB接口。
2.无线路由器的选择
(1)采用的无线网络标准 IEEE 802.11b:家庭用户以及各种小型局域网用户
适用 IEEE 802.11g:兼容IEEE 802.11b IEEE 802.11n等
(2)有效传输距离 对于无线网络设备而言相当重要,影响联网效果。 实际应用应看重信号穿透能力,可采用天线或其它提高发 射功率的方法。
ESS (Extended Service Set):是采用相同的SSID的多个BSS 形成的更大规模的虚拟BSS
2. 对等无线网络
WLAN有两种主要的拓扑结构 对等无线网络:无基础设施拓扑结构 结构化无线网络:有基础设施拓扑结构,基础设施
是指用户已经建立的有线局域网或无线基站。
对等无线局域网又称为临时结构网络或特定结构网络(Ad Hoc Networking),这是因为无线站点之间的连接都是临时 的、随意的、不断变化的,它们在互相能到达的范围内动态 地建立并配置它们之间的通信链路。这种拓扑结构对于小型 无线网络来说,是一种最方便的连接方式,最适用于需要临 时搭建网络的场合,如运动会、展览会、抢险救灾等。
(3)红外线技术 红外线是一种光线,具有普通光的性质,可以以
网络安全课程,第5章 防火墙技术讲稿(三)
1、屏蔽主机体系结构(主机过滤体系结构)
在主机过 滤体系结构 中提供安全 保护的主机 仅仅与内部 网相连。 主机过滤 结构还有一 台单独的路 由器(过滤 路由器)。 在这种体 系结构中, 主要的安全 由数据包过 滤提供,其 结构如右图 所示。
屏蔽主机体系结构(主机过滤体系结构)
在屏蔽主机防火墙结构中,分组过滤路由器或 防火墙与Internet相连,对数据包进行过滤。 同时一个堡垒机安装在内部网络,通过在分 组过滤路由器或防火墙上过滤规则的设置, 使堡垒机成为Internet上其它节点所能到达的 唯一节点,这确保了内部网络不受未授权外 部用户的攻击。
补充教学内容:防火墙的体系结构
重 点: 1:屏蔽主机体系结构 重 点: 2:双宿主机防火墙 重难点: 3:被屏蔽主机防火墙 重难点: 4:被屏蔽子网防火墙 难 点: 5:分布式防火墙体系结构 6:防火墙的分类 7:防火墙的性能及选购 8:防火墙技术的敝端 9:防火墙技术的发展趋势 10:实训
防火墙的体系结构概述
内部路由器(也叫阻塞路由器)
内部路由器的主要功能:是保护内部网免受来自外
部网与参数网络的侵扰,内部路由器为用户的防火墙执行大 部分的数据包过滤工作。它允许从内部网络到Internet的有 选择的出站服务。这些服务使用户的站点能使用数据包过滤 而不是代理服务 。 滤工作,它允许某些站点的包过滤系统认为符合安全规则的 服务在内外部网之间互传。根据各站点的需要和安全规则, 可允许的服务是以下这些外向服务中的若干种,如:Telnet、 FTP、WAIS、Archie、Gopher或者其它服务。 部网之间传递的各种服务和内部网与外部网之间传递的各种 服务不完全相同,即内部路由器所允许的在堡垒主机(在外 围网上)和用户内部网之间的服务,可以不同于内部路由器 所允许的在Internet和用户内部网之间的服务。
计算机网络与信息安全 第5章习题
6.下列选项中,属于黑客入侵常用手段的是( ) A.口令设置 B.邮件群发 C.窃取情报 D.IP欺骗
一、选择题
7.下列人为的恶意攻击行为中,属于主动攻击的是( ) A.身份假冒 B.数据窃听 C.数据流分析 D.非法访问
8.数据保密性指的是( ) A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密 B.提供链接实体身份的鉴别 C.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方 发送的信息完全一致。 D.确保数据是由合法实体发出
第5章 网络安全
习题
一、选择题
1.网络上的“黑客”是指( )
A.晚上上网的人
B.匿名上网的人
பைடு நூலகம்
C.不花钱上网的人
D.在网络上私闯他人计算机系统的人
2.网络防火墙的作用是( ) A.建立内部信息和功能之间与外部信息和功能之间的屏障 B.防止系统感染病毒和非法访问 C.防止黑客访问 D.防止内部信息外泄
3.实体安全技术包括( ) A.环境安全 B.设备安全 C.人员安全 D.媒体安全
一、选择题
4.安全账户管理(SAM)数据库可以由_________用户复制。( )
A. Administrator账户
B. Administrator组中的所有成员
C.备份操作员
D.服务器操作员
5.下列关于服务器操作员对账户管理的做法中,正确的是( ) A.审计系统上的账号,建立一个使用者列表 B.制定管理制度,规范增加账号的操作,及时移走不再使用的账号 C.经常检查确认有没有增加新的账号,不使用的账号是否已被删除 D.对所有的账号运行口令破解工具,以寻找弱口令或没有口令的账号
9.下列选项中,不是维护网络安全措施的是( )
第05章网络安全技术与应用
第5章 网络安全技术与应用
(3)应用代理网关技术 )
计 算 机 网 络 工 程
应用代理网关( 应用代理网关(Application Gateway)技术也 ) 称应用代理技术, 称应用代理技术,是建立在网络应用层上的协议 过滤, 过滤,它针对特别的网络应用服务协议即数据过 滤协议, 滤协议,并且能够对数据包分析并形成相关的报 告。 应用代理技术又分为“第一代应用网关代理” 应用代理技术又分为“第一代应用网关代理”和 第二代自适应代理”。 “第二代自适应代理 。 自适应代理( 自适应代理(Adaptive proxy)技术结合了应用 ) 代理技术的安全性和包过滤技术的高速度等优点
第5章 网络安全技术与应用
防火墙的发展
计 算 机 网 络 工 程
第一阶段: 第一阶段:基于路由器的防火墙 第二阶段: 第二阶段:用户化的防火墙 第三阶段: 第三阶段:建立在通用操作系统上的防火墙 第四阶段: 第四阶段:具有专用安全操作系统的防火墙 第四代防火墙是一个双端口或多端口结构的专用 网络硬件设备。它将网关与安全系统合二为一, 网络硬件设备。它将网关与安全系统合二为一, 并集成了路由器功能。具有透明的访问方式、 并集成了路由器功能。具有透明的访问方式、灵 活的代理系统、多级的过滤技术、路由技术、 活的代理系统、多级的过滤技术、路由技术、网 络地址转换技术、 网关技术、 络地址转换技术、Internet网关技术、用户鉴别 网关技术 与加密、用户定制服务、审计和告警、 与加密、用户定制服务、审计和告警、网络诊断 数据备份与保全等技术和功能。 、数据备份与保全等技术和功能。
第5章 网络安全技术与应用
1、网络信息与安全 、
计 算 机 网 络 工 程
信息安全—是防止对知识、事实、 信息安全 是防止对知识、事实、数据或能力非 是防止对知识 授权使用、误用、 授权使用、误用、篡改或拒绝使用所采取的措施 。维护信息自身的安全就要抵抗对信息的安全威 胁。 网络信息安全—是指保护网络信息安全而采取的 网络信息安全 是指保护网络信息安全而采取的 措施或表示网络信息的一种安全状态。 措施或表示网络信息的一种安全状态。网络信息 安全以信息安全为目标,以网络安全为手段。 安全以信息安全为目标,以网络安全为手段。
网络工程概论
第一章计算机网络概论1:计算机网络是指由通信线路连接的许多自主工作的计算机构成的集合体。
计算机连网的目的是实现资源共享,包括信息资源、软件资源、和硬件资源的共享。
2:计算机网络通信采用包交换方式,所谓的数据包就是一个比特串3:P2图1-2 虚线框外的方块节点表示连网的计算机,所有的计算机及其外围设备构成了资源子网;虚线框内的圆圈结点表示网络交换设备(路由器,交换机等),所有的交换设备构成了通信子网。
从源计算机发出的信息被打成多个数据包,包中含有目标地址和源地址4:可以根据不同的标准对计算机网络进行分类。
从网络覆盖范围来分类,可以分为局域网(Local Area Network LAN),城域网(Metropolitan Area Network MAN),广域网(Wide Area Network WAN)5:局域网特点:(1):采用规则的拓扑结构(总线型,环型,星型,不规则型等)(2):采用广播通信的方式,一个站点发送的信息要广播到全网,但是只有目标站点接受(3):由于通信距离短,所有通信速率高,传播速度快(4)由一个组织所有,按照组织的管理策略进行管理,提供组织内部的网络应用6:城域网采用的方式也是广播方式7:广域网采用分组交换的通信方式8:按照使用方式可以把计算机网络分为校园网(Campus Network)和企业网(Enterprise Network)9:一个校园网或企业网可以由内联网(Intranet)和外联网(Extranet)组成10:内联网是采用Internet技术(TCP/IP协议和B/S结构)建立的校园网和企业网,用防火墙限制与外部进行信息交换,以确保内部信息安全11:外联网是校园网或企业网的延伸部分,通过Internet上的安全通道与内部网进行通信,例如一个企业的重要客户可以通过外联网与企业内部网进行通信12:按照网络提供的服务可以把网络分为通信网和信息网13:按照网络服务的范围可以把网络分为公用网和专用网14:通信网提供远程连网服务,各种校园网和企业网通过远程连接形成了互联网,提供连网服务的供应商叫做ISP(Internet Service Provider)15:信息网提供Web信息浏览、文件下载和电子邮件传送等多种增值服务,提供信息服务的供应商叫做ICP(Internet Content Provider)16:面向社会提供电话服务的通信网络称为公共交换电话网(Public Switched Telephone Network PSTN)17:分组交换就是把信息打包成为“分组”,通过数字电话网传送二进制数据信息。
无线局域网第5章无线局域网安全课件
第6章:安全的无线局域网
WLAN安全概述 安全的小型无线局域网 安全的中型无线局域网 安全的大型无线局域网 802.1X认证的无线局域网
WLAN安全概述---安全威胁
未经授权的接入 MAC地址欺骗 无线窃听 企业级入侵
WLAN系统安全要求
机密性 合法性 数据完整性 不可否认性 访问控制 可用性健壮性
802.1X认证的无线局域网
安装与配置RADIUS服务器
配置802.1X认证客户端-XP
配置802.1X认证客户端-XP
配置802.1X认证客户端-XP
配置802.1X认证客户端-XP
配置802.1X认证客户端-XP
配置802.1X认证客户端-证客户端-WIN7
配置802.1X认证客户端-WIN7
配置802.1X认证客户端-WIN7
小型802.1X认证无线局域网
中型802.1X认证无线局域网
大型802.1X认证无线局域网
总结
WLAN安全概述 安全的小型无线局域网 安全的中型无线局域网 安全的大型无线局域网 802.1X认证的无线局域网
或WPA 6)配置无线射频接口,并应用无线虚接口与无线
服务模板 7)无线终端接入WLAN,测试网络连通性
安全的大型无线局域网 WEP加密的WLAN
具体配置思路
1)配置FIT AC地址,并确保网络连通 2)在FIT AC上创建DHCP服务器,并配置地址池、
默认网关与DNS服务器地址,确保FIT AP自动获取 IP,并与AC相通 3)创建无线虚接口 4)配置FIT AP注册 5)配置无线服务模板,设置WEP加密,绑定无线 虚接口 6)配置无线射频接口,并应用无线服务模板 7)无线终端接入WLAN,测试网络连通性
WLAN安全概述 安全的小型无线局域网 安全的中型无线局域网 安全的大型无线局域网 802.1X认证的无线局域网
WLAN安全概述---安全威胁
未经授权的接入 MAC地址欺骗 无线窃听 企业级入侵
WLAN系统安全要求
机密性 合法性 数据完整性 不可否认性 访问控制 可用性健壮性
802.1X认证的无线局域网
安装与配置RADIUS服务器
配置802.1X认证客户端-XP
配置802.1X认证客户端-XP
配置802.1X认证客户端-XP
配置802.1X认证客户端-XP
配置802.1X认证客户端-XP
配置802.1X认证客户端-证客户端-WIN7
配置802.1X认证客户端-WIN7
配置802.1X认证客户端-WIN7
小型802.1X认证无线局域网
中型802.1X认证无线局域网
大型802.1X认证无线局域网
总结
WLAN安全概述 安全的小型无线局域网 安全的中型无线局域网 安全的大型无线局域网 802.1X认证的无线局域网
或WPA 6)配置无线射频接口,并应用无线虚接口与无线
服务模板 7)无线终端接入WLAN,测试网络连通性
安全的大型无线局域网 WEP加密的WLAN
具体配置思路
1)配置FIT AC地址,并确保网络连通 2)在FIT AC上创建DHCP服务器,并配置地址池、
默认网关与DNS服务器地址,确保FIT AP自动获取 IP,并与AC相通 3)创建无线虚接口 4)配置FIT AP注册 5)配置无线服务模板,设置WEP加密,绑定无线 虚接口 6)配置无线射频接口,并应用无线服务模板 7)无线终端接入WLAN,测试网络连通性
电大-网络实用技术第5章 网络安全
5.1.2 计算机网络安全威胁
5.1.2 网络系统的威胁 • 对系统的攻击范围,可从随便浏览信息到使用特殊
技术对系统进行攻击,以便得到有针对性的、敏感 的信息。
• 这些攻击又可分为被动攻击和主动攻击。
5.1.2 计算机网络安全威胁
5.1.2 网络系统的威胁
• 被动攻击和主动攻击有以下四种具体类型: 窃取(Interception) 攻击者未经授权浏览了信息资源。这
网络安全是一个范围较广的研究领域,人们一般都只是在该 领域中的一个小范围做自己的研究,开发能够解决某种特殊 的网络安全问题方案。比如,有人专门研究加密和鉴别,有 人专门研究入侵和检测,有人专门研究黑客攻击等。网络安 全体系结构就是从系统化的角度去理解这些安全问题的解决 方案,对研究、实现和管理网络安全的工作具有全局指导作 用。
5.1.2 计算机网络安全威胁
5.1.2 网络系统的威胁 1.无意威胁
无意威胁是在无预谋的情况下破坏系统的安全性、可靠性或信息 的完整性。无意威胁主要是由一些偶然因素引起,如软、硬件的 机能失常,人为误操作,电源故障和自是“人为攻击”。由于网络本身存在脆弱性, 因此总有某些人或某些组织想方设法利用网络系统达到某种目的, 如从事工业、商业或军事情报搜集工作的“间谍”,对相应领域 的网络信息是最感兴趣的,他们对网络系统的安全构成了主要威 胁。
5.1.2 计算机网络安全威胁
5.1.2 网络系统的威胁 网络系统面临的威胁主要来自外部的人为影响和
自然环境的影响,它们包括对网络设备的威胁和 对网络中信息的威胁。这些威胁的主要表现有: 非法授权访问,假冒合法用户,病毒破坏,线路 窃听,黑客入侵,干扰系统正常运行,修改或删 除数据等。这些威胁大致可分为无意威胁和故意 威胁两大类。
第5章-网络管理与安全电子教案
5.2 设置访问权限
5.2.1 设置组的访问权限 5.2.2 设置用户的访问权限
5.2.1 设置组的访问权限
【任务5.6】设置组的访问权限
任务描述: 小华将奥运志愿者申请资料共享给其他用户, 但是他很担心有的用户因操作不当而删改申请资 料,他需要对共享文件夹设置权限,保证申请资 料信息的准确性。
5.1.1 建立用户和组
【任务5.1】创建新用户
任务描述: 小华把自己的两台计算机连网之后,把台式 机设置成了服务器,为了安全起见,其他计算机 要想访问此服务器,必须用安全的用户名和密码 登录。小华要事先在服务器上建立一个用户。
5.1.1 建立用户和组
【任务5.1】创建新用户
任务分析: 用户登录网络使用服务器资源时,每一个使 用计算机的用户都应该拥有一个用户账号。创建 新用户是一项非常重要的工作。在Windows 2003 server操作系统中创建一个新用户,用户账号为 “stu1”,全名为“小华”,描述为“第1组”, 密码设置为“server”,选择“密码永不过期”。
【任务5.5】设置共享文件夹
任务描述: 小华有一份申请奥运志愿者的报名资料, 想将资料放到服务器中给其他用户共享,号 召朋友们都积极加入为奥运做贡献的行列中。
5.2 设置访问权限
【任务5.5】设置共享文件夹
任务分析: 使多个网络用户共享文件夹内资源,需要 对文件夹设置共享功能,同时,可以设置共享 文件夹允许登录的用户数量。设置文件夹test 为共享文件夹,用户数限制为“允许最多用 户”。
5.2 设置访问权限
在高级安全设置对话框的“权限”选项卡中, 设置共享文件夹的共享权限,这些共享权限仅应用 于通过网络访问资源的用户。 •所有用户有只读访问权限 •管理员有完全访问权限,其他用户有只读访问权限 •管理员有完全访问权限,其他用户有读写访问权限 •使用自定义共享和文件夹权限
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5.3 认 证 技 术
5.3.1 基于共享密钥的认证
5.3.2
基于公钥算法的认证
5.3.3
数字签名
• 与人们手写签名的作用一样,数字签名系 统向通信双方提供服务,使得A向B发送签 名的消息P,以便实现以下目的。
(1)B可以验证消息P确实来源于A; (2)A以后不能否认发送过P; (3)B不能编造或改变消息P。
• 数字证书中还包括密钥的有效时间、发证 机构的名称、证书的序列号等信息。
• 数字证书的格式遵循ITU-T X.509国际标准。
5.4.2
数字证书的获取
• CA为用户产生的证书,具有以下特性。
(1)只要得到CA的公钥,就能由此 得到CA为用户签署的公钥。 (2)除CA外,其他人不能以不被察 觉的方式修改证书的内容。
( 1 ) A 从目录中获取由 X1 签署的 X2 的证书 X1《X2》,因为 A知道 X1的公 开密钥,所以能验证X2的证书,并从 中得到X2的公开密钥。 (2)A再从目录中获取由X2签署的B 的证书 X2《B》,并通过 X2 的公开密 钥对此加以验证,然后从中得到 B 的 公开密钥。
5.4.3
1.基于密钥的数字签名
2.基于公钥的数字签名
5.3.4
报文摘要
1.MD5算法
• 思想就是用足够复杂的方法把报文比特充 分“弄乱”,使得每一个输出比特都受到每 一个输入比特的影响。
(1)分组和填充 (2)附加 (3)初始化 (4)处理
2.安全散列算法
• 这种算法接受的输入报文小于264位,产生 160位的报文摘要。 • 该算法设计的目标是使得找出一个能够匹 配给定的散列值的文本实际是不可能计算的。
• CRL必须由该CA签字,然后存放于目录 中以供查询。
• CRL中的数据域包括发行者CA的名称、 建立CRL的日期、计划公布下一CRL的日 期以及每一个被吊销的证书数据域(该证 书的序列号和被吊销的日期)。
5.4.4
密钥管理
• 密钥是加密算法中的可变部分,在采用加 密技术保护的信息系统中,其安全性取决于 对密钥的保护,而不是对算法或硬件的保护。
3.IDEA
• 这种算法使用128位的密钥,把明文分成 64位的块,进行8轮迭代加密。
4.高级加密标准AES
5.流加密算法和RC4
• 所谓流加密就是将数据流与密钥生成的二 进制比特流进行异或运算的加密过程。
① 利用密钥K生成一个密钥流KS(伪随机 序列); ② 用密钥流KS与明文P进行“异或”运算, 产生密文C。
数字证书的吊销
• 从证书格式上可以看到,每一证书都有一 个有效期,然而有些证书还未到截止日期 就会被发放该证书的CA吊销,这可能是由 于用户的私钥已被泄露,或者该用户不再 由该CA来认证,或者CA为该用户签署证 书的私钥已经泄露。
• 为此,每个CA还必须维护一个证书吊销 列表CRL(Certificate Revocation List), 其中存放所有未到期而被提前吊销的证书。
5.1.2
网络攻击的类型
(1)被动攻击 (2)主动攻击 (3)物理临近攻击 (4)内部人员攻击 (5)病毒 (6)特洛伊木马
5.1.3
网络安全技术分类
(1)访问控制 (2)数据加密 (3)身份认证 (4)数据完整性认证
(5)数字签名 (6)安全审计 (7)防火墙 (8)内容过滤
5.2 数 据 加 密
5.4 数字证书与密钥管理
5.4.1 X.509数字证书
• 数字证书是各类终端实体和最终用户在网 上进行信息交流及商务活动的身份证明, 在电子交易的各个环节,交易的各方都需 验证对方数字证书的有效性,从而取得互 相信任。
• 数字证书采用公钥体制。每个用户具有一 个仅为本人所知的私钥,用它进行解密和 签名所共享,用于加 密和认证。
对密钥的威胁有: 私钥的泄露; 私钥或公钥的真实性(Authenticity)丧失; 私钥或公钥未经授权使用,例如使用失效的 密钥或违例使用密钥。
• 设用户A从证书发放机构X1处获取了证书, 用户B从X2处获取了证书。 • 如果A不知X2的公钥,他虽然能读取B的 证书,但却无法验证用户B证书中X2的签 名,因此B的证书对A是没有用处的。
• 然而,如果两个证书发放机构X1和X2彼 此间已经安全地交换了公开密钥,则A可 通过以下过程获取B的公开密钥。
5.2.1 经典加密技术
(1)替换加密(substitution) (2)换位加密(transposition) (3)一次性填充(one-time pad)
5.2.2
信息加密原理
• 现代加密技术主要依赖于加密算法和密钥 这两个要素。
• 一般的保密通信模型如图5-2所示。
• 在发送端,把明文P用加密算法E和密钥K 加密,变换成密文C,即 C = E(K, P)
• 在接收端利用解密算法D和密钥K对C解 密得到明文P,即 P = D(K, C)
• 各种加密方法的核心思想都是利用替换和 换位机制把原来表示信息的明文充分弄乱, 使得第三者无法理解。
5.2.3
现代加密技术
1.DES
2.三重DES
• 假设两个密钥分别是K1和K2,其算法的 步骤如下: ① 用密钥K1进行DES加密; ② 用K2对步骤1的结果进行DES解密; ③ 对步骤2的结果使用密钥K1进行DES加密。
C P KS ( K )
• 解密过程则是用密钥流与密文C进行“异 或”运算,产生明文P
P C KS ( K )
6.公钥加密算法
• 设P为明文,C为密文,E为公钥控制的加 密算法, D 为私钥控制的解密算法,这些 参数满足下列3个条件。
(1)D(E(P))=P; (2)不能由E导出D; (3)选择明文攻击不能破解E。 加密时计算C=E(P),解密时计算 P=D(C)。
第5章 网 络 安 全
5.1 5.2
网络安全的基本概念 数据加密 认证技术 数字证书与密钥管理
5.3
5.4
5.5 5.6 5.7 5.8
虚拟专用网 防 火 墙
病毒防护
可信任系统
5.1 网络安全的基本概念
5.1.1 网络安全威胁
(1)窃听 (2)假冒 (3)重放
(4)流量分析 (5)破坏数据完整性 (6)拒绝服务 (7)资源的非授权访问