沈鑫剡编著(网络安全)教材配套课件第12章

合集下载

沈鑫剡编著(网络安全)教材配套课件第10章

虚拟专用网络
三、 VPN分类
Web 服务器 HTTP HTTPS 终端 SSL VPN 网关 SMTP+POP3 FTP FTP 服务器邮件服务器
SSL VPN
远程终端通过HTTPS访问SSL VPN网关。以此实现远程终端与SSL VPN网关之间的双向身份鉴别，保证远程终端与SSL VPN网关之间传输的数据的保密性和完整性。 SSL VPN网关作为中继设备，可以将远程终端访问内部网络资源的请求消息转发给内部网络中的服务器，也将内部网络服务器发送的响应消息，转发给远程终端。
缺点：互连子网的专用点对点物理链路的低效率、高费用和不方便。
计算机网络安全
虚拟专用网络
一、企业网和远程接入
Modem PSTN 终端
实现远程接入的网络结构
可以随时随地连接到PSTN ；可以按需建立与路由器R之间的语音信道。
R
内部网络

缺点：需要支付昂贵的长途费用；语音信道利用率不高；语音信道的数据传输速率受到严格限制。
第一次交互过程双方约定安全传输通道使用的加密算法3DES和报文摘要算法MD5，同时完成用于生成密钥种子KS的随机数YA和YB的交换过程。
第二次交互过程双方约定安全关联使用的安全协议ESP，ESP使用的加密算法AES和MAC算法HMAC-MD5-96。同时通过证书和数字签名完成双方身份鉴别过程。第二次交互过程双方传输的信息是用3DES加密算法和通过密钥种子KS推导出的密钥K加密后的密文。
虚拟专用网络
三、 VPN分类
内部网络 Web 服务器
Internet 终端 SSL VPN 网关
邮件服务器
FTP 服务器
SSL VPN
SSLVPN也是一种实现远程终端访问内部网络资源的技术，SSL VPN的核心设备是SSL VPN网关，SSL VPN网关一端连接互联网，另一端连接内部网络。

沈鑫剡编著(网络安全)教材配套课件第11章

计算机网络安全
防火墙
五、防火墙的局限性

无法防御网络内部终端发起的攻击；无法阻止病毒传播；无法防御利用防火墙安全策略允许的信息传输过程实施的攻击行为。
计算机网络安全
防火墙
11.2 分组过滤器
本讲主要内容无状态分组过滤器；有状态分组过滤器。
计算机网络安全
防火墙
一、无状态分组过滤器
防火墙的作用是控制网络1与网络2之间传输的信息流，所谓控制是指允许网络1与网络2之间传输某种类型的信息流，阻断另一种类型的信息流网络1与网络2之间的传输过程。允许和阻断操作的依据是为防火墙配置的安全策略。
计算机网络安全
防火墙
三、防火墙分类
防火墙
个人防火墙
网络防火墙
分组过滤器
分组过滤器电路层代理Biblioteka 计算机网络安全防火墙
一、引出防火墙的原因
数据交换过程 Internet 路由器数据交换过程用户终端黑客终端
内部网络
安全的网络系统既要能够保障正常的数据交换过程，又要能够阻止用于实施攻击的数据交换过程。防火墙一是能够检测出用于实施攻击的信息流，并阻断这样的信息流。二是能够允许正常信息流通过。
计算机网络安全
防火墙
一、无状态分组过滤器
路由器R1接口1输入方向的过滤规则集如下。 ①协议类型＝TCP，源IP地址＝192.1.1.1/32，源端口号＝*，目的IP地址＝192.1.2.7/32，目的端口号＝80；正常转发。 ②协议类型＝TCP，源IP地址＝192.1.1.7/32，源端口号＝21，目的IP地址＝192.1.2.1/32，目的端口号＝*；正常转发。 ③协议类型＝TCP，源IP地址＝192.1.1.7/32，源端口号＝20，目的IP地址＝192.1.2.1/32，目的端口号＝*；正常转发。 ④协议类型＝*，源IP地址＝any，目的IP地址＝any；丢弃。

沈鑫剡编著《路由和交换技术》(第2版)配套课件第10章

IPv6
二、复杂的分组首部

随着链路带宽的提高，结点转发操作已经成为性能瓶颈；每一个转发结点需要重新计算检验和；每一个转发结点需要处理可选项。
路由和交换技术
IPv6
三、QoS实现困难

没有单独的流标识字段，需要通过源和目的IP地址、源和目的端口号确定属于同一流的IP分组；流分类由转发结点完成，增加了转发结点的处理负担。
路由和交换技术
IPv6
二、IPv6地址分类
10bit 1111111010 54bit 0 64bit 接口标识符
链路本地地址

128bit地址长度为IPv6地址分类提供了方便；链路本地地址是传输网络内有效的地址，只能用于同一传输网络内两个端点之间的IPv6分组的传输；链路本地地址能够通过链路层地址，如 MAC地址，自动生成。

路由和交换技术
IPv6
10.4 IPv6网络实现通信过程
本讲主要内容网络结构和基本配置；邻站发现协议；路由器建立路由表过程。
路由和交换技术
IPv6
一、网络结构和基本配置
路由器 R1 路由表目的网络距离下一跳路由器转发端口 2001::/64 1 直接 1 2002::/64 2 FE80::2E0:FCFF:FE00:3 2 2001::1/64 2 1 R1 路由器 R2 路由表目的网络距离下一跳路由器转发端口 2001::/64 2 FE80::2E0:FCFF:FE00:2 1 2002::/64 1 直接 2 1 R2 2002::1/64 2
路由和交换技术
IPv6
二、IPv6地址分类
MAC地址为0012:3400:ABCD

沈鑫剡编著教材配套课件第章2

计算机网络安全第二十九页，编辑于星期五：十二点四十五分
。
黑客攻击机制
四、 ARP欺骗攻击
2．ARP欺骗攻击过程
计算机网络安全第三十页，编辑于星期五：十二点四十五分。
黑客攻击机制
四、 ARP欺骗攻击
2．ARP欺骗攻击过程
① 黑客终端发送将IP A和MAC C绑定的ARP请求报文；
② 路由器缓冲区中记录IP A和MAC C绑定项； ③ 路由器将目的IP地址为IP A的IP分组封装成以
转发项，这些转发项耗尽交换机转发表的存储空间，当交换机接收到终端B发送的源MAC地址为
MAC B的MAC帧时，由于转发表的存储空间已经耗尽，因此，无法添加新的MAC地址为MAC B 的转发项，导致交换机以广播方式完成MAC帧终端A至终端B传
输过程。
计算机网络安全第十五页，编辑于星期五：十二点四十五分。
黑客攻击机制
一、嗅探攻击原理和后果
2．嗅探攻击后果嗅探攻击后果有以下三点。一是破坏
信息的保密性。二是嗅探攻击是实现数据流分析攻击的前提。三是实施重放攻击。
计算机网络安全第十二页，编辑于星期五：十二点四十五分。
黑客攻击机制
二、集线器和嗅探攻击
由于集线器接收到MAC
帧后，通过除接收端口以外
MAC C为目的MAC地址的MAC帧。
计算机网络安全第三十一页，编辑于星期五：十二点四十五分
。
黑客攻击机制
四、 ARP欺骗攻击
3．ARP欺骗攻击防御机制
终端没有鉴别ARP请求和响应报文中IP地址与MAC地址绑定项真伪的功能，因此，需要以太网交换机提供鉴别ARP请求和响应报文中IP地址与MAC地址绑定项真伪的功能，以太网交换机只继续转发包含正确的IP地址与MAC地址绑定项的ARP请求和响应报文。

沈鑫剡编著(网络安全)教材配套课件第12章

计算机网络安全
入侵防御系统
三、网络入侵检测机制
Web 服务器请求终端 SYN,SEQ=X SYN,SEQ=Y,ACK（X+1） ACK（Y+1） HTTP 请求 HTTP 响应 FIN,SEQ=U ACK（U+1） FIN,SEQ=V ACK （V+1）
计算机网络安全
应用层协议检测将监测HTTP 请求、响应过程是否如图所示，响应消息内容和请求消息内容是否一致，一旦发现异常，确定为攻击信息。
计算机网络安全
入侵防御系统
四、入侵检测系统的两种应用方式
关键链路关键链路 IDS 关键链路 IDS
在线方式
杂凑方式
在线方式下，IDS位于关键链路的中间，所以经过该关键链路传输的信息必须经过IDS。杂凑方式下，IDS不会影响信息流在关键链路的传输过程，只是被动地获取信息，对获取的信息进行检测。
无法防御以下攻击过程内部网络终端遭受的 XSS攻击；内部网络蔓延蠕虫病毒；内部网络终端发送垃圾邮件。
计算机网络安全
入侵防御系统
二、引出IDS的原因
引入入侵检测系统（IDS），IDS可以获取流经内部网络中和非军事区中的关键链路的信息，能够对这些信息进行检测，发现包含在这些信息中与实施上述攻击过程有关的有害信息，并予以反制。
计算机网络安全
入侵防御系统
七、入侵检测系统不足

主机入侵防御系统是被动防御，主动防御是在攻击信息到达主机前予以干预，并查出攻击源，予以反制。另外，每一台主机安装主机入侵防御系统的成本和使安全策略一致的难度都是主机入侵防御系统的不足；网络入侵防御系统能够实现主动防御，但只保护部分网络资源，另外对未知攻击行为的检测存在一定的难度。

计算机网络安全课件(沈鑫剡)第4章PPT课件

LAN 4
终端 A IP A
R1 IP H
LAN4 1
黑客终端
R2
R3
终端 B
IP B
黑客终端伪造路由项过程
• 黑客终端伪造和LAN4直接相连的路由项，并通过路由消息将该路由项组播给路由器R1、R2；
• 路由器R1将通往LAN4传输路径的下一跳改为黑客终端； • 所有LAN1中终端发送给LAN4中终端的IP分组都被错误地转发给黑客
路由器 R1 正确路由表
路由器 R1 错误路由表
子网距离 LAN 1 1 LAN 2 1 LAN 3 2 LAN 4 3
下一跳直接直接
IP R IP R
子网距离 LAN 1 1 LAN 2 1 LAN 3 2 LAN 4 2
下一跳直接直接
IP R IP HLAN 1LAN 2 IP RLAN 3
第1页/共38页
4.1 以太网安全技术
• 以太网接入控制 ➢ 访问控制列表； ➢ 安全端口； ➢ 802.1X接入控制过程。 • 以太网其他安全功能 ➢ 防站表溢出攻击功能； ➢ 防DHCP欺骗； ➢ 防ARP欺骗攻击。
第2页/共38页
以太网接入控制
• 黑客攻击内部网络的第一步是接入内部网络，而以太网是最常见的直接用于接入用户终端的网络，只允许授权用户终端接入以太网是抵御黑客攻击的关键步骤；
IP 接口
VLAN 2 VLAN 3
192.1.2.254 192.1.3.254
192.1.2.0/24
192.1.3.0/24
终端 B 终端 C
Web 接口 192.1.1.0/24
终端 A
终端 A 终端 B 终端 C 终端 D
物理网络

沈鑫剡计算机网络技术及应用无线局域网PPT课件

不是
随机生成退避时间
持续 DIFS 是信道空闲？
不是
信道不忙不是且 NAV=0？
是
持续 DIFS 不是信道空闲？
是
退避时间不是到？
是信道不忙？
发送数据
• CSMA/CA算法的特点是争用总线，即信道持续空闲DIFS时间，认为信道空闲；
• 通过NAV预约信道，预留时间通过 MAC帧中的持续时间字段给出，预约时间内等同于信道忙；
• 如果终端第一次发送数据时检测到信道忙，在等待信道由忙转为空闲的时间内，可能有多个终端开始检测信道，因此，发生冲突的概率较大，需要进入退避时间。
第24页/共42页
三、DCF和CSMA/CA
AP
①
BSS
④ ②⑤ ⑥ ③
①:数据 ②ACK ③:数据 ④:ACK ⑤:数据 ⑥:ACK 终端 A
DCF操作过程
三、无线局域网拓扑结构
AP1 DS
BSS1
终端 B 终端 C
1 S1 2
AP2 BSS2
终端 D 终端 E 终端 F
（3）扩展服务集是一个
。
A．冲突域
B．广播域
C．所有终端都能接收到任何目的地址MAC帧的传输区域
D．多个广播域构成的传输区域
选择答案，并简要回答为什么？
第13页/共42页
四、无线局域网标准
终端 B
终端 C
实现终端A至终端C，终端B至AP的数据传输过程
第25页/共42页
三、DCF和CSMA/CA
终端 A 检测信道
数据
终端 A
DIFS
信道忙
AP 终端 B 检测信道
时隙
ACK
SIFS

沈鑫剡编著《信息安全实用教程》第1章配套课件

信息安全实用技术计算机基础与计算思维
概述
二、互联网应用
微信扫码支付涉及的安全问题如何确保预支付请求中指明的商家与发送预支付请求的商家是一致的；如何确保预支付请求传输过程中不被篡改；如何确保预支付交易链接传输过程中不被篡改；如何确保支付验证传输过程中不被篡改；如何确保支付授权传输过程中不被截获；如何确保微信客户端和商家后台系统无法否认曾经发送过的信息；如何确保微信客户端和微信支付系统能够正常工作。
信息安全实用技术计算机基础与计算思维
概述
二、互联网应用
用户 ①商品名称、数量商家
③账号、用户名、密码、动态口令银行
②商品清单、支付金额
网上购物涉及的数据交换过程
信息安全实用技术计算机基础与计算思维
概述
二、互联网应用
网上购物涉及的安全问题商家链接的银行支付界面有可能是伪造的银行支付界面；用户与银行之间交换的与鉴别用户身份和完成网上支付过程有关的数据在传输过程中有可能被截获；商家与银行之间交换的与支付有关的数据，在传输过程中有可能被篡改；用户和商家可能否认曾经发送过的信息；用户终端和商家的电商平台可能无法正常工作。
信息安全实用技术计算机基础与计算思维
概述
一、互联网和移动互联网
Internet GPRS 3G 4G

无线局域网

移动终端无线通信网络移动互联网应用
笔记本计算机
平板电脑
智能手机
信息安全实用技术计算机基础与计算思维
概述
一、互联网和移动互联网
智能手机（移动终端）特点方便携带；方便使用；方便连接；方便身份鉴别；丰富的传感器；移动通信设备。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

计算机网络安全
入侵防御系统
三、网络入侵检测机制
服务器黑客终端建立 TCP 连接 TCP 报文 TCP 报文 TCP 报文 TCP 报文 TCP 报文 TCP 报文释放 TCP 连接时间
具有交互特性的TCP连接的规则如下：相邻TCP报文的最小间隔：500ms 相邻TCP报文的最大间隔：30s 相邻间隔， TCP报文包含的最小背靠背的情况字节数：20B TCP报文包含的最大字节数：100B 背靠背TCP报文的最小比例：50% TCP小报文的最小比例：80%
Internet 网络入侵防御系统

192.1.1.1/24 192.1.1.3/24 Web 服务器 FTP 服务器
计算机网络安全
入侵防御系统
三、网络入侵检测机制
攻击特征 1 攻击特征 2 阶段 2 攻击特征 3 攻击特征 4 事件轴阶段 1 阶段 3 阶段 4
有状态攻击特征可以用事件轴的方式给出攻击过程中每一个阶段的攻击特征。
计算机网络安全
入侵防御系统
三、网络入侵检测机制
协议译码 IP分组的正确性，如首部字段值是否合理，整个 TCP首部是否包含单片数据中，各个分片的长度之和是否超过64KB等； TCP报文的正确性，如经过TCP连接传输的TCP 报文的序号和确认序号之间是否冲突，连续发送的TCP报文序号范围和另一方发送的窗口是否冲突，各段数据的序号范围是否重叠等；应用层报文的正确性，请求、响应过程是否合乎协议规范；各个字段值是否合理，端口号是否和默认应用层协议匹配等。
计算机网络安全
入侵防御系统
三、网络入侵检测机制
攻击特征检测从已知的攻击信息流中提取出有别于正常信息流的特征信息；特征信息分为元攻击特征和有状态攻击特征；元攻击特征是单个独立的攻击特征，只要信息流中出现和元攻击特征相同的位流或字节流模式，即可断定发现攻击；有状态攻击特征是将整个会话分成若干阶段，攻击特征分散出现在多个阶段对应的信息流中，只有按照阶段顺序，在每一个检测到指定的攻击特征才可断定发现攻击；攻击特征只能检测出已知攻击，即提取出攻击特征的攻击行为。
二、信息捕获机制
终端 B
3 终端 C 1
交换机 1 2 1 2 交换机 2 探测模式探测器
利用跨交换机端口境像捕获信息机制
终端 A

跨交换机端口境像功能是将需要检测的端口和连接探测模式的探测器端口之间交换路径所经过交换机端口划分为一个特定的VLAN；从检测端口进入的信息除了正常转发外，在该特定VLAN内广播。
计算机网络安全
入侵防御系统
二、信息捕获机制
终端 B
交换机终端 C 1 2 探测模式探测器
终端 A

虚拟策略路由

通过分类器鉴别出具有指定源和目的IP地址、源和目的端口号等属性参数的IP分组；为这些IP分组选择特定的传输路径；虚拟访问控制列表允许这些IP分组既正常转发，又从特定传输路径转发；通过特定传输路径转发的IP分组到达探测器。
计算机网络安全
入侵防御系统
三、入侵检测系统通用框架结构
规则设计与修改
事件发生器
事件
更新规则事件分析器提取规则更新处理意见事件数据库
历史活动状态
响应单元
计算机网络安全
入侵防御系统
三、入侵检测系统通用框架结构
1．事件发生器通用框架统一将需要入侵检测系统分析的数据称为事件，事件发生器的功能是提供事件。 2．事件分析器事件分析器根据事件数据库中的入侵特征描述、用户历史行为模型等信息，对事件发生器提供的事件进行分析，得出事件是否合法的结论。 3．响应单元响应单元是根据事件分析器的分析结果做出反应的单元。 4．事件数据库事件数据库中存储用于作为判别事件是否合法的依据的信息。
的情况，异常信息流的特征、源和目的IP 地址，可能实施的攻击等。记录下有关异常信息流的一切信息，以便对其进行分析。计算机网络安全
入侵防御系统
六、入侵检测系统工作过程
路由器 Internet NIDS 交换机集线器服务器 NIDS
在线方式下，网络入侵检测系统（NIDS）捕获内网和外网之间传输的信息的过程；杂凑方式下，网络入侵检测系统（NIDS）捕获终端和服务器间传输的信息的过程。
计算机网络安全
入侵防御系统
三、网络入侵检测机制
Web 服务器请求终端 SYN,SEQ=X SYN,SEQ=Y,ACK（X+1） ACK（Y+1） HTTP 请求 HTTP 响应 FIN,SEQ=U ACK（U+1） FIN,SEQ=V ACK （V+1）
计算机网络安全
应用层协议检测将监测HTTP 请求、响应过程是否如图所示，响应消息内容和请求消息内容是否一致，一旦发现异常，确定为攻击信息。
终端 A

端口境像功能是将交换机某个端口（如图中的端口2）作为另一个端口（如图中的端口1）的境像，这样，所有从该端口输出的信息流，都被复制到境像端口，由于境像端口和其他交换机端口之间的境像关系是动态的，因此，连接在端口2的探测器，可以捕获从交换机任意端口输出的信息流。
计算机网络安全
入侵防御系统
计算机网络安全
入侵防御系统
三、网络入侵检测机制
发生概率重叠部分
攻击过程
正常访问常检测的困难之处在于正常信息流和异常信息流的测量值之间存在重叠部分，必须在误报和漏报之间平衡；根据被保护资源的重要性确定基准值（靠近A点或B点)。
计算机网络安全
入侵防御系统
四、安全策略配置实例
网络安全
第十二章
© 2006工程兵工程学院计算机教研室
入侵防御系统
第12章入侵检测系统
本章主要内容 IDS概述；网络入侵检测系统；主机入侵检测系统。
计算机网络安全
入侵防御系统
12.1 IDS概述
本讲主要内容入侵定义和手段；引出IDS的原因；入侵检测系统通用框架结构；入侵检测系统的两种应用方式； IDS分类；入侵检测系统工作过程；入侵检测系统不足；入侵检测系统发展趋势；入侵检测系统的评价指标。
入侵防御系统
九、入侵检测系统的评价指标
１．正确性正确性要求入侵检测系统减少误报，误报是把正常的信息交换过程或网络资源访问过程作为攻击过程予以反制和报警的情况。 2．全面性全面性要求入侵检测系统减少漏报，漏报与误报相反，是把攻击过程当作正常的信息交换过程或网络资源访问过程不予干预，从而使黑客攻击成功的情况。 3．性能性能是指捕获和检测信息流的能力。
计算机网络安全
入侵防御系统
五、IDS分类
路由器 Internet 网络入侵防御系统管理服务器主机入侵防御系统交换机重要服务器重要终端

入侵防御系统分为主机入侵防御系统和网络入侵防御系统；主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程，以此发现攻击行为、管制流出主机的信息流，保护主机资源；网络入侵防御系统通过检测流经关键网段的信息流，发现攻击行为，实施反制过程，以此保护重要网络资源；主机入侵防御系统和网络入侵防御系统相辅相成，构成有机的防御体系。
计算机网络安全
入侵防御系统
八、入侵检测系统发展趋势

融合到操作系统中主机入侵防御系统的主要功能是监测对主机资源的访问过程，对访问资源的合法性进行判别，这是操作系统应该集成的功能。集成到网络转发设备中所有信息流都需经过转发设备进行转发，因此，转发设备是检测信息流的合适之处。
计算机网络安全
计算机网络安全
入侵防御系统
七、入侵检测系统不足

主机入侵防御系统是被动防御，主动防御是在攻击信息到达主机前予以干预，并查出攻击源，予以反制。另外，每一台主机安装主机入侵防御系统的成本和使安全策略一致的难度都是主机入侵防御系统的不足；网络入侵防御系统能够实现主动防御，但只保护部分网络资源，另外对未知攻击行为的检测存在一定的难度。
入侵防御系统
三、网络入侵检测机制
异常检测基于统计机制，在一段时间内，对流经特定网段的信息流进行统计，如单位时间特定源和目的终端之间的流量、不同应用层报文分布等，将这些统计值作为基准统计值。然后，实时采集流经该网段的信息流，并计算出单位时间内的统计值，然后和基准统计值比较，如果多个统计值和基准统计值存在较大偏差，断定流经该网段的信息流出现异常；基于规则机制，通过分析大量异常信息流，总结出一些特定异常信息流的规则，一旦流经该网段的信息流符合某种异常信息流对应的规则，断定该信息流为异常信息流。
计算机网络安全
入侵防御系统
六、入侵检测系统工作过程
网络入侵检测系统工作过程得到流经关键网捕获信息；段的信息流。检测异常信息；异常指包含非法代码，包含非法字段值，与已知攻击特征匹配等。反制异常信息；反制是丢弃与异常信息具有相同源IP地址，或者相同目的IP地址的IP分组，释放传输报警；异常信息的TCP连接等。登记。向网络安全管理员报告检测到异常信息流
无法防御以下攻击过程内部网络终端遭受的 XSS攻击；内部网络蔓延蠕虫病毒；内部网络终端发送垃圾邮件。
计算机网络安全
入侵防御系统
二、引出IDS的原因
引入入侵检测系统（IDS），IDS可以获取流经内部网络中和非军事区中的关键链路的信息，能够对这些信息进行检测，发现包含在这些信息中与实施上述攻击过程有关的有害信息，并予以反制。
计算机网络安全
入侵防御系统
六、入侵检测系统工作过程
主机入侵检测系统工作过程拦截主机资源访问操作请求和网络信息流；采集相应数据；确定操作请求和网络信息流的合法性；反制动作；登记和分析。主机攻击行为的最终目标是非法访问网络资源，或者感染病毒，这些操作的实施一般都需要调用操作系统提供的服务，因此，首要任务是对调用操作系统服务的请求进行检测，根据调用发起进程，调用进程所属用户，需要访问的主机资源等信息确定调用的合法性。同时，需要对进出主机的信息进行检测，发现非法代码和敏感信息。