第2章网络安全技术基础

合集下载

《网络安全》第5-6讲(2.4)

2.4 公钥（非对称）密码体制
2.4.2 公钥密码体制的原理
公钥密码体制的基本数学方法和基本原理如下所述。 2．用于构造公钥密码的常用单向函数 1）多项式求根有限域GF(p)上的一个多项式
f ( x) ( x anmod p
当给定多项式的系数和x、p以后，利用Honer算法，最多进行 n次乘法，n-1次加法，就可以求得y的值。但已知多项式的系数a 和y、p以后，要求x，就需要对高次方程求根，至少要进行不小于n2(lbp)2的整数次乘法，当n、p很大时很难求解。
定n以后求p、q的问题称为RSA问题。求n=p×q分解问题有以下几种形式：
（1）分解整数n为p、q；（2）给定整数M、C，求d使得Cd≡M mod n；（3）给定整数k、C，求M使得Mk≡C mod n；（4）给定整数x、C，决定是否存在y使得x≡y2mod n（二次剩余问题）。
遵义师范学院
给定x求y是容易的，但是当p很大时，从x=logby中要计算x是非常困难的。如b=2，p=2100，给定x求y，只需作100次乘法，利用高速计算机可在0.1ms内完成。而给定y求x，所需计算量为1600年。可见，有限域 GF(p)中的指数函数f(x)=bx是一个单向函数。
x=logby
遵义师范学院
遵义师范学院
2.4 公钥（非对称）密码体制
2.4.1 公钥密码体制的基本概念 3.电子签证机关
电子签证机关（即CA）是负责颁发数字证书的权威机构。CA自身拥有密钥对，可以使用私钥完成对其他证书的数字签名，同时也拥有一个对外开放的证书（内含公钥）。网上的公众用户通过验证CA的数字签名建立信任，任何人都可以得到CA的证书（含公钥），用以验证它所签发的其他证书。如果用户想建立自己的证书，首先要向CA提出申请证书的请求。在CA判明申请者的身份后，便为他分配一个密钥对，并且CA将申请者的公钥与身份信息绑在一起，在为之完成数字签名后，便形成证书发给那个用户（申请者）。如果一个用户想鉴别数字证书是否为假冒的，可以用证书发证机构CA的公钥对该证书上的数字签名进行验证，数字签名验证的过程是使用CA公钥解密的过程，验证通过的证书就被认为是有效的。CA在公开密码体系中非常重要，负责签发证书以及证书和密钥的管理等必要工作。CA相当于网上公安机构，专门发放、验证电子身份证。

网络安全基础知识

网络安全基础知识网络安全基础知识网络安全并不单单指网络信息的安全，还有很多其它的知识，下面是店铺为大家整理了相关网络安全基础知识，欢迎参考和阅读，希望大家喜欢。

基本概念网络安全的具体含义会随着“角度”的变化而变化。

比如：从用户(个人、企业等)的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。

主要特性网络安全应具有以下五个方面的特征：保密性：信息不甚露给非授权用户、实体或过程，或供其利用的特性。

完整性：数据未经授权不能进行改变的特性。

即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

可用性：可被授权实体访问并按需求使用的特性。

即当需要时能否存取所需的信息。

例如网络环境下拒绝服务、破坏网络和有关信息的正常运行等都属于对可用性的攻击;可控性：对信息的传播及内容具有控制能力。

可审查性：出现的安全问题时提供依据与手段。

从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、拒绝服务和网络资源非常占用和非常控制等威胁，制止和防御网络黑客的攻击。

对安全保密部门来说，他们希望对非常的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。

从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。

随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互联网(Internet)的企业级计算机处理和世界范围内的信息共享和业务处理。

在处理能力提高的同时，连接能力也在不断的提高。

但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络安全、应用安全和网络管理的安全等。

网络安全技术期末考试

期末考试复习1、考试形式：闭卷2、考试时间:2小时3、试卷题型及分数分配：6种题型，共100分。

（1）单项选择题：1分/题X20题=20分；（2）填空题:1分/空X10空=10分；（3）判断题：1分/题X10题=10分；（4）名词解释：5分/题X4题=20分;（5）简答题：8分/题X3题=24分；（6）论述题：16分/题X1题=16分。

4、考试范围第一章：网络技术基础(1）计算机网络的分类计算机网络可分为局域网、广域网和城域网.●局域网：局域网（Local Area Network，简称LAN）是将较小地理区域内的计算机或数据终端设备连接在一起的通信网络。

局域网覆盖的地理范围比较小,它常用于组建一个企业、校园、楼宇和办公室内的计算机网络。

●广域网：广域网(Wide Area Network，简称WAN)是在一个广阔的地理区域内进行数据、语音、图像等信息传输的通信网络。

广域网覆盖的地理区域较大,它可以覆盖一个城市、一个国家、一个洲乃至整个地球。

广域网覆盖的范围比局域网（LAN)和城域网（MAN）都广。

广域网的通信子网主要使用分组交换技术.广域网的通信子网可以利用公用分组交换网、卫星通信网和无线分组交换网，它将分布在不同地区的局域网或计算机系统互连起来,达到资源共享的目的.如互联网是世界范围内最大的广域网。

城域网：城域网(Metropolitan Area Network，简称MAN)是介于局域网和广域网之间的一种高速网络，它的覆盖范围在一个城市内。

属宽带局域网.由于采用具有有源交换元件的局域网技术,网中传输时延较小，它的传输媒介主要采用光缆，传输速率在l00兆比特/秒以上.（2）DNS服务器的概念DNS（Domain Name System 或Domain Name Service）的缩写，和对应IP地址，并具有将域名转换为IP地址功能的服务器。

其中域名必须对应一个IP地址，而IP地址不一定有域名/服务器模式中的服务器方,IP地址的过程就称为“域名解析”。

[网络与信息安全基础(第2版)][王颖,蔡毅][电子课件] (1)[28页]

个人信息（如生日、名字、反向拼写的登录名、房间中可见的东西）、年份、以及机器中的命令等。不要将口令写下来。不要将口令存于电脑文件中。不要让别人知道。
1.4.1 关于口令安全性（续1）
不要在不同系统上，特别是不同级别的用户上使用同一口令。
为防止眼明手快的人窃取口令，在输入口令时应确认无人在身边。
1.1.2 加强青少年的网络安全意识
1.2 什么是攻击
1.2.1 1.2.2 1.2.3 1.2.4
收集信息的主要方式攻击的主要手段入侵仅发生在入侵行为完全完成，且入侵者已进入目标网络内的行为称为攻击。但更为积极的观点是：所有可能使一个网络受到破坏的行为都称为攻击。即从一个入侵者开始在目标机上工作的那个时刻起，攻击就开始了。
忽或者不配合，那么攻击者就有可能通过这台计算机，从内部来攻击其他的计算机。
6. 保持简单（Simplicity）尽量降低系统的复杂度，越复杂的系统越容易隐藏一些
安全问题，建议不要在一台服务器上配置超过两种以上的应用。
1.5 安全操作系统简介
操作系统是信息系统安全的基础设施，在信息安全方面起着决定性的作用。信息系统安全在硬件方面关键是芯片，在软件方面关键是操作系统。本小节主要讨论操作系统方面的安全问题。
1.2.4 攻击对象排名
主机运行没有必要的服务。未打补丁的、过时的应用软件和硬件固件。信息泄露，通过服务如Gopher、Finger、Telnet、SNMP、
SMTP、Netstat等。盗用信任关系如Rsh、Rlogin、Rexec。配置不当的防火墙或路由器ACL（Access Control List,访问
1.4.3 广域网安全
1．加密技术 2．VPN技术 3．身份认证技术

网络信息安全培训资料

网络信息安全培训资料第1章网络信息安全概述 (4)1.1 网络信息安全的重要性 (4)1.2 网络信息安全的基本概念 (4)1.3 网络信息安全的发展历程 (5)1.4 我国网络信息安全现状与趋势 (5)第2章密码学基础 (6)2.1 密码学的基本概念 (6)2.1.1 加密与解密 (6)2.1.2 密钥 (6)2.1.3 密码体制 (6)2.2 对称加密算法 (6)2.2.1 数据加密标准（DES） (6)2.2.2 高级加密标准（AES） (6)2.3 非对称加密算法 (7)2.3.1 椭圆曲线加密算法（ECC） (7)2.3.2 RSA算法 (7)2.4 哈希算法 (7)2.4.1 安全散列算法（SHA） (7)2.4.2 消息摘要算法（MD） (7)第3章网络攻击技术与防范 (7)3.1 网络攻击手段概述 (7)3.2 黑客攻击技术 (7)3.2.1 口令破解 (7)3.2.2 漏洞利用 (8)3.2.3 网络嗅探与欺骗 (8)3.2.4 持久化攻击 (8)3.3 恶意软件攻击 (8)3.3.1 计算机病毒 (8)3.3.2 木马 (8)3.3.3 蠕虫 (8)3.3.4 勒索软件 (8)3.4 网络安全防护策略 (8)3.4.1 防火墙技术 (9)3.4.2 入侵检测与防御系统 (9)3.4.3 安全配置与漏洞修补 (9)3.4.4 安全意识培训 (9)3.4.5 数据备份与恢复 (9)第4章认证与访问控制 (9)4.1 认证技术 (9)4.1.1 生物认证技术 (9)4.1.2 密码认证技术 (9)4.1.3 令牌认证技术 (9)4.2 访问控制基本概念 (9)4.2.1 访问控制定义 (9)4.2.2 访问控制原则 (10)4.3 常见访问控制方法 (10)4.3.1 自主访问控制（DAC） (10)4.3.2 强制访问控制（MAC） (10)4.3.3 基于角色的访问控制（RBAC） (10)4.3.4 基于属性的访问控制（ABAC） (10)4.4 认证与访问控制的实施 (10)4.4.1 认证实施 (10)4.4.2 访问控制实施 (10)第5章网络安全协议 (11)5.1 安全协议概述 (11)5.2 SSL/TLS协议 (11)5.3 IPSec协议 (11)5.4 虚拟专用网络（VPN） (12)第6章网络设备与系统安全 (12)6.1 网络设备安全 (12)6.1.1 常见网络设备安全风险 (12)6.1.2 网络设备安全防护措施 (13)6.2 操作系统安全 (13)6.2.1 操作系统安全风险 (13)6.2.2 操作系统安全防护措施 (13)6.3 数据库安全 (13)6.3.1 数据库安全风险 (13)6.3.2 数据库安全防护措施 (13)6.4 应用程序安全 (13)6.4.1 应用程序安全风险 (14)6.4.2 应用程序安全防护措施 (14)第7章网络安全监测与审计 (14)7.1 网络安全监测技术 (14)7.1.1 流量监测技术 (14)7.1.2 行为监测技术 (14)7.1.3 日志审计技术 (14)7.2 入侵检测系统（IDS） (14)7.2.1 IDS的分类 (15)7.2.2 IDS的部署方式 (15)7.2.3 IDS的检测技术 (15)7.3 入侵防御系统（IPS） (15)7.3.1 IPS的工作原理 (15)7.3.2 IPS的防御技术 (15)7.3.3 IPS的部署方式 (15)7.4 网络安全审计 (15)7.4.1 网络安全审计的基本要求 (15)7.4.2 网络安全审计的方法 (15)7.4.3 网络安全审计的实施 (15)第8章应急响应与处理 (15)8.1 应急响应基本概念 (15)8.2 处理流程 (16)8.3 调查与分析 (16)8.4 预防与恢复措施 (16)第9章网络安全法律法规与政策 (17)9.1 我国网络安全法律法规体系 (17)9.1.1 宪法层面：宪法为网络安全立法提供了基本原则，明确了国家保障网络安全和数据保护的职责。

HCSCA102 HCNA-Security-CBSN 第二章防火墙基础技术V2.5

19
防火墙的主要功能是策略（policy）和机制（mechanism）的集合，它通过对流经数据流的报文头标识进行识别，以允许合法数据流对特定资源的授权访问，从而防止那些无权访问资源的用户的恶意访问或偶然访问。
实现访问控制的主要工作过程如下： 1. 对于需要转发的报文，防火墙先获取报文头信息，包括IP 层所承载的上层协议的协议号、报文的源地址、目的地址、源端口号和目的端口号。 2. 将报文头信息和设定的访问控制规则进行比较。 3. 根据比较结果，按照访问控制规则设定的动作，允许或拒绝对报文的转发。
防火墙技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙，用以防止火灾发生时的火势蔓延。我们这里讨论的是硬件防火墙，它是将各种安全技术融合在一起，采用专用的硬件结构，选用高速的CPU、嵌入式的操作系统，支持各种高速接口（LAN接口），用来保护私有网络（计算机）的安全，这样的设备我们称为硬件防火墙。硬件防火墙可以独立于操作系统（HP-UNIX、SUN OS、AIX、NT等）、计算机设备（IBM6000、普通PC等）运行。它用来集中解决网络安全问题，可以适合各种场合，同时能够提供高效率的“过滤”。同时它可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性，用户可以根据自己的网络环境的需要配置复杂的安全策略，阻止一些非法的访问，保护自己的网络安全。
15
在防火墙中是以接口为单位来进行分类，即同一个接口所连网络的所有网络设备一定位于同一安全区域中，而一个安全区域可以包含多个接口所连的网络。这里的接口既可以是物理接口，也可以是逻辑接口。所以可以通过子接口或者VLAN IF等逻辑接口实现将同一物理接口所连的不同网段的用户划入不同安全区域的功能。
现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有进出被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进出的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中，所有的计算机之间是被认为“可信任的”，它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行访问。

第02章网络基础与Intranet

因特网并不是指一种具体的物理网络技术，而是将不同的物理网络技术，按某种 (TCP/IP) 协议统一起来的一种高层技术。
2.4 数据通信基础知识
• 2.4.1 信息、数据和信号 1. 数据（Data）和信息（Information）
– 数据是反映客观事物属性的记录 – 信息是客观事物属性的表达
2. 常用二进制代码（比特）: 010011001 3. 数字信号（Signal）和模拟信号
2.1 计算机网络发展的各个阶段
通常将计算机网络的形成与发展进程分为4代： •第一代－面向终端的计算机通信网络
2.1 计算机网络发展的各个阶段
• 第二代－初级计算机网络 • 在20世纪60年代末期至70年代后期，计算机网络在通信网络的基础上，完成了计算机网络体系结构与协议的研究，形成了计算机的初级网络。
• Intranet可以连接到Internet上，并通过防火墙来保护Intranet；也可以局限于企业或机构内部，独立运行。
归纳
• 计算机网络发展过程
• • • • 第一代计算机网络---远程终端联机阶段第二代计算机网络---计算机网络成型阶段第三代计算机网络---计算机网络互联阶段第四代计算机网络---国际互联网与信息高速公路阶段 • ----------------------------------------------------------
2.5 局域网与Intranet
• 2.5.1局域网的组成（图2-4）
传输介质
• 网络传输介质—指在网络中传输信息的载体，常用的传输介质分为有线传输介质和无线传输介质两大类。 • （1）有线传输介质—指在两个通信设备之间实现的物理连接部分。主要有： • 双绞线 • 同轴电缆 • 光纤。 • （2）无线传输介质—利用无线电波在自由空间的传播可以实现多种无线通信。主要有：无线电波、微波、红外线、激光等，信息被加载在电磁波上进行传输。

网络安全通信协议-第二章 TCPIP协议簇的安全架构-716

AP2 5 4 3 2 1
物理传输媒体
2.1 TCP/IP协议簇概述
2.1.4 TCP/IP对等实体之间收发数据示意图
应用层
相同的报文流
应用层
传输层
相同的分组
传输层
Internet层
相同的数据报
接口层
相同的网络帧
Internet层
相同的数据报
接口层相同的网络帧
Internet层
相同的数据报
Internet层
接口层相同的接口层网络帧
物理网络
物理网络
物理网络
2.1 TCP/IP协议簇概述
2.1.5 TCP/IP协议
为了有效维护TCP/IP模型中各通信实体的通信关系，需要明确的、无二义的信息交换格式约定及其语法和语义的各种规范－协议，称为 TCP/IP协议。
TCP/IP协议是由一组协议集合所组成，主要表现在传输层与网络层上。IP协议确定了数据的到达，TCP协议确定了数据的分解与还原。
传输层
提供应用程序(端到端)间的通信，并在IP的基础上提供面向连接的服务。 ¾ 为两个用户进程之间建立、管理和拆除可靠而又有效的端到端连接 ¾ 提供流控制、差错控制和确认机制 ¾ 与网络应用的接口
TCP、UDP协议
2.1 TCP/IP协议簇概述
应用层
向用户提供一组常用的应用程序定义了应用程序使用互联网的规程一些具体应用：如网络故障、文件传输、远程控制以
2.2 TCP/IP协议簇的安全缺陷
网络层的安全隐患
9 IP地址欺骗攻击
2.2 TCP/IP协议簇的安全缺陷
网络层的安全隐患
9 ICMP协议的安全隐患：没有认证机制，黑客可以利用ICMP 进行拒绝服务攻击、数据包截取以及其它类型的攻击。

第二章信息系统安全防范技术

2.2.5计算机病毒的分类
2.2.6计算机病毒的主要症状
2.2.7计算机病毒传播途径

通过不可移动的计算机硬件设备进行传播，这类病毒虽然极少，但破坏力却极强，目前尚没有较好的检测手段对付。通过移动存储介质传播，包括软盘、光盘、U 盘和移动硬盘等，用户之间在互相拷贝文件的同时也造成了病毒的扩散。通过计算机网络进行传播。计算机病毒附着在正常文件中通过网络进入一个又一个系统，其传播速度呈几何级数增长，是目前病毒传播的首要途径。

“黑客”一词是由英语Hacker音译出来的，是指专门研究、发现计算机和网络漏洞的计算机爱好者。黑客对计算机有着狂热的兴趣和执着的追求，他们不断地研究计算机和网络知识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的方法。黑客不干涉政治，不受政治利用，他们的出现推动了计算机和网络的发展与完善。
2.2.8对计算机病毒的错误认识

对染毒软盘DIR操作会导致硬盘被感染将文件改为只读方式可免受病霉的感染病毒能感染写保护的磁盘反病毒软件能够杀除所有已知病毒使用杀毒软件可以免受病毒的侵扰磁盘文件损坏多为病毒所为如果做备份的时候，备份了病霉，那么这些备份是无用的。有两种情况:①软盘备份:备份中含有引导型病毒。这种情况下，只要不用这张软盘试图启动您的计算机，它将和无毒备份一样安全。②磁带备份:备份中的数据文件中不会有病毒，如果其中的可执行文件中含有病毒，那么执行文件就白备份了，但是备份中的数据文件还是可用的。
2.2.3计算机病毒产生原因

①用于版权保护。在计算机发展初期，由于在法律上对于软件版权保护还没有像今天这样完善，因此，很多商业软件被非法复制，软件开发商为了保护自己的利益，就在自己发布的产品中加入了一些特别设计的程序，其目的就是为了防止用户进行非法复制或传播。但是随着信息产业的法制化，用于这种目的的病毒目前已不多见。

网络安全技术培训课件(共43张PPT).ppt

攻击目的窃取信息；获取口令；控制中间站点；获得超级用户权限等
实例：
✓ 1983年，“414黑客”，6名少年黑客被控侵入60多台电脑 ✓ 1987年，赫尔伯特·齐恩（“影子鹰”），闯入没过电话电报公司 ✓ 1988年，罗伯特·莫里斯“蠕虫程序”，造成1500万到1亿美元的经济损失。 ✓ 1990年，“末日军团”，4名黑客中有3人被判有罪。 ✓ 1995年，米特尼克偷窃了2万个信用卡号，8000万美元的巨额损失。 ✓ 1998年2月，德国计算机黑客米克斯特，使用美国七大网站陷于瘫痪状态
➢ TCP FIN扫描：关闭的端口用正确的RST应答发送的对方发送的FIN探测数据包，相反，打开的端口往往忽略这些请求。
➢ Fragmentation扫描：将发送的探测数据包分成一组很小的IP包，接收方的包过滤程序难以过滤。
➢ UDP recfrom（）和write（）扫描
➢ ICMP echo扫描：使用ping命令，得到目标主机是否正在运行的信息。
信息收集
四、入侵检测过程
在网络系统中的不同网段、不同主机收集系统、网络、数据及用户活动的状态和行为等相关数据
信息分析
匹配模式：将收集到的信息与已知的网络入侵和系统已有的模式数据库进行匹配，进而发现违反安全策略的行为。
统计分析
首先给系统对象创建一个统计描述，统计正常使用时的一些测量属性。这个测量属性的平均值将与网络、系统的行为进行比较，是否处于正常范围之内。
➢ TCP反向Ident扫描： ➢ FTP返回攻击 ➢ UDP ICMP端口不能到达扫描
（2）扫描器
定义
一种自动检测远程或本地主机安全弱点的程序，可以不留痕迹地发现远程服务器的各种TCP端口的发配及提供的服务。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

Wi-Fi网络安全存取
2.3 无线网络安全技术
2．无线路由器安全策略
除了可采用无线AP的安全策略外,还应采用如下安全策略. (1) 设置网络防火墙，加强防护能力。 (2) 利用IP地址过滤，进一步提高无线网络的安全性。
案例2-3
常见内外网攻击造成掉线问题。网络攻击与侵扰、恶性破坏及计算机病毒等威胁路由器，致使企事业机构的网络系统掉线断网，对外网攻击无能为力，而内网的泛洪攻击等却因上网环境及人群复杂很难排查。
2.1 网络协议安全性分析
网络协议设计初期只注重了异构网络的互联问题，而忽视
了网络安全风险，同时，由于协议是一个开放体系，也给网路系统的应用带来一定得隐患。计算机网络协议安全风险可归结为3方面：（1）网络协议设计缺陷和实现中存在的一些安全漏洞；
（2）协议无有效认证机制；
（3）网络协议缺乏保密机制。
（1）移动IPv6的特性--无状态地址自动配置、邻居发现（2）移动IPv6面临的安全威胁--窃听,篡改,Dos
5．移动IPv6的安全机制
移动IPv6协议针对上述安全威胁，在注册消息中通过添加序列号以防范重放攻击，并在协议报文中引入时间随机数。
2.2 虚拟专用网技术
2.2.1 虚拟专用网的概念和结构
3. 传输层的安全性—传输控制,数据交换认证,保密/完整性
传输层的主要安全风险和隐患有传输与控制安全、数据交换
与认证安全、数据保密性与完整性等安全风险。
2.1 网络协议安全性分析
4. 应用层的安全性应用层中利用TCP/IP协议运行和管理的程序繁多。网络安全问题主要出现在需要重点解决的常用应用协议和应用系统：
2.2 虚拟专用网技术
3．企业扩展虚拟网主要用于企业之间的互连及安全访问服务。可通过专用连接的共享基础设施，将客专用网络相同的安全、服务质量等政策。
2.3 无线网络安全技术
2.3.1 无线网络安全问题
随着无线网络技术的广泛应用，其安全性越来越引起人们的关注。主要包括访问控制和数据加密两个方面，访问控制保证机密数据只能由授权用户访问，而数据加密则要求发送的数据只能被授权用户所接受和使用。无线网络在数据传输时以微波进行辐射传播，只要在无线接入点AP（Access Point）覆盖范围内，所有无线终端都可能接收到无线信号。AP无法将无线信号定向到一个特定的接受设备，时常有无线网络用户被他人免费蹭网接入、盗号或泄密等，因此，无线网络的安全威胁、风险和隐患更加突出。无线网络安全风险及隐患，如下图所示。
2.1 网络协议安全性分析
2.1.1 网络协议安全风险
网络体系层次结构参考模型有OSI模型和TCP/IP模型两种。OSI模型是国际标准化组织ISO的开放系统互连参考模型，共有七层，设计初衷是
期望为网络体系与协议发展提供一种国际标准，后来由于其过于庞杂，使
TCP/IP协议成为了事实上的“网络标准”，成为Internet的基础协议。 TCP/IP模型由4部分组成对应OSI参考模型的7层体系。
2.1 网络协议安全性分析
2.1.2 TCP/IP层次安全分析
网络安全由多个安全层构成，每一个安全层都是一个包含多个特征的实体。在TCP/IP不同层次可增加不同的安全策略。如图2-1所示。
图2-1 TCP/IP网络安全技术层次体系
2.1 网络协议安全性分析
1. 网络接口(物理)层的安全性—设施,线路
2.2.2 虚拟专用网的技术特点
(1) 网络安全性强。 (2) 构建成本费用低。 (3) 便于管理和维护。 (4) 应用灵活性强。 (5) 服务质量高。
图2-5 VPN提供的网络安全连接
2.2 虚拟专用网技术
2.2.3 虚拟局域网实现技术 VPN是在Internet等公共网络基础上，综合利用隧道技术、加解密技术、密钥管理技术和身份认证技术实现的。 1. 隧道技术隧道技术是VPN的核心技术，为一种隐式传输数据的方法。主要利用已有的Internet等公共网络数据通信方式，在隧道（虚拟通道）一端将数据进行封装，然后通过已建立的隧道进行传输。在隧道另一端，进行解封装并将还原的原始数据交给端设备。在VPN连接中，可根据需要创建不同类型的VPN隧道，包括自愿隧道和强制隧道两种。
（1）超文本传输协议（HTTP）（2）文件传输协议（FTP）（3）简单邮件传输协议（SMTP）（4）域名系统（DNS）（5）远程登录协议（Telnet）
2.1 网络协议安全性分析
2.1.3 IPv6的安全分析 1. IPv6的特点和优势
(1) 极大扩充地址空间及应用.IPv4和IPv6报头如图2-2和2-3所示
2.3 无线网络安全技术
无线网络安全风险及隐患示意图
2.3 无线网络安全技术
2.3.2 无线网络设备安全措施
1. 无线接入点安全措施
无线接入点AP用于实现无线客户端之间的信号互联和中继，其安全措施包括： 1) 及时变更管理员密码有线等效保密协议 2) WEP加密传输.数据加密是实现网络安全一项重要技术,可通过对两台设案例2-2 协议WEP进行。主要用途：备间无线 WPA可用暂时密钥完整传输的数 (1)防止数据被途中恶意篡改或伪造。性协议TKIP（Temporal Key Integrity 据进行加 Protocol）处理WEP难以解决的各设备密方式,用 (2)用WEP加密算法对数据加密。共用一个密钥的安全问题。以防止非 (3)防止未授权用户对网络访问。法用户窃 3) 禁用DHCP服务动态主机设置协议/简单网管协议听/侵入
虚拟专用网（Virtual Private Network,VPN）是利用 Internet等公共网络的基础设施，通过隧道技术，为用户提虚拟通道供的与专用网络具有相同通信功能的安全数据通道。 VPN可通过特殊加密通信协议为Internet上异地企业内网之间建立一条专用通信线路,而无需铺设光缆等物理线路.系统结构如图 2-4所示.
TCP/IP模型的网络接口层对应着OSI模型的物理层和数据链路层。主要是物理层安全问题，包括由网络环境及物理特性产生的网络设施和线路安全性，致使网络系统出现安全风险，如设备盗损与老化、故障、泄露等。
2. 网络层的安全性——保证数据传输
网络层主要保证数据包在网络中正常传输，IP协议族是整个 TCP/IP协议体系结构的重要基础，TCP/IP中所有协议的数据都以IP数据包形式传输。
● 掌握无线网络安全问题及措施
● 掌握常用的网络安全管理命令及应用 ● 掌握无线网络安全技术及安全设置实验
15周末做实验
2.1 网络协议安全性分析
2.1.1 网络协议安全风险
网络协议攻防成为信息战双方关注的重点。全球计算机网络广泛使用的是TCP/IP协议族，由于网络协议本身没有考虑其安全性，而且协议以软件形式实现，不可避免存在一般软件所固有的漏洞缺陷，所以，网络协议存在着威胁和风险，对协议的攻击与防范成为信息战中作战双方关注的重点。
(1) 原理和特征基本未发生变化的安全问题划分为三类:网络层以上的安全问题;与网络层数据保密性和完整性相关的安全问题和与网络层可用性相关的安全问题. 对局域网如窃听攻击、应用层攻击、中间人攻击、洪泛攻击等. 内的主机不停的发 (2) 网络层以上（应用）的安全威胁。送数据包进行拒绝 (3) 与网络层数据保密性和完整性相关安全问题. (4) 与网络层可用性相关安全问题：主要是指洪泛服务攻击攻击，如TCP SYN flooding攻击。 (5) 原理和特征发生明显变化的安全问题，主要包括以下4个方面。① 侦测，② 非授权访问 ③ 篡改分组头部和分段信息; ④ 伪造源地址。
4)禁止远程管理初始化字符串（服务集标识）SSID技术可将 5)修改SNMP字符串一个无线局域网分为几个需要不同身份验证的子网,各子网都需独立身份验证,只有通过 6) 修改SSID标识验证的用户才可进入相应子网,防止未授权用户进入本网 7) 禁止SSID广播 8) 过滤MAC地址(定义网络设备的位置 ) 9) 合理放置无线AP 10) WPA用户认证（有WPA 和 WPA2两个标准,是一种保护无线网 (Wi-Fi)安全的系统）
OSI七层网络模型应用层（Application）表示层（Presentation）会话层（Session）传输层（Transport）网络层（Network）数据链路层（Data Link）物理层（Physical）传输层网际层网络接口 TCP/IP模型应用层对应网络协议 TFTP, FTP, NFS, WAIS Telnet, Rlogin, SNMP, Gopher SMTP, DNS TCP, UDP IP, ICMP, ARP, RARP, AKP, UUCP FDDI, Ethernet, Arpanet, PDN, SLIP, PPP IEEE 802.1A, IEEE 802.2到IEEE 802.11
用户或客户端通过发送VPN 请求配置和创建
2.2 虚拟专用网技术
2. 加解密技术为了重要数据在公共网络传输的安全，VPN采用了加密机制。常用的信息加密体系主要包括非对称加密体系和对称加密体系两类。实际上一般是将二者混合使用，利用非对称加密技术进行密钥协商和交换，利用对称加密技术进行数据加密。 1) 对称密钥加密; 2) 非对称密钥加密 3. 密钥管理技术密钥的管理分发极为重要。密钥的分发采用手工配置和采用密钥交换协议动态分发两种方式。 4. 身份认证技术在VPN实际应用中，身份认证技术包括信息认证、用户身份认证。信息认证用于保证信息的完整性和通信双方的不可抵赖性，用户身份认证用于鉴别用户身份真实性。
2.1 网络协议安全性分析
3．IPv6的安全机制
（1）协议安全-认证头AH、封装安全有效载荷ESP扩展头（2）网络系统安全： ① 实现端到端安全,② 提供内网安全，③ 由安全隧道构建安全VPN,④ 以隧道嵌套实现网络安全。（3）其他安全保障-配置、认证、控制、端口限制