计算机网络教程第3版电子教案CH7网络安全3ed.pptVIP

课件制作人：谢希仁 谢钧 浏览器中的SSL/TLS选项 课件制作人：谢希仁 谢钧 7.6.3 应用层的安全协议 PGP (Pretty Good Privacy) PGP 是由Phil Zimmermann于1995开发的一个安全电子邮件软件。 虽然 PGP 已被广泛使用，但 PGP 并不是因特网的正式标准。 PGP通过报文摘要和数字签名技术为电子邮件提供完整性和不可否认，使用对称密钥和公钥的组合加密来提供机密性。 课件制作人：谢希仁 谢钧 PGP发件方处理过程 发件方私钥 E-mail 散列 加密 摘要 已签名的摘要 ? E-mail 一次性密钥 加密 收件方公钥 ? 加密 课件制作人：谢希仁 谢钧 PGP发件方处理过程 发件方 公钥 散列 E-mail 一次性密钥 收件方私钥 加密的邮件 及其摘要 解密 加密的密钥 解密 解密 摘要 摘要 比较 课件制作人：谢希仁 谢钧 7.7 系统安全：防火墙与入侵检测 恶意用户或软件通过网络对计算机系统的攻击已成为当今计算机安全最严重的威胁之一。 防火墙(firewall)作为一种访问控制技术，通过严格控制进出网络边界的分组，禁止任何不必要的通信，从而减少潜在入侵的发生，尽可能降低这类安全威胁所带来的安全风险。 入侵检测系统(Intrusion Detection System)通过对进入网络的分组进行深度分析与检测发现疑是入侵行为的网络活动，并进行报警以便进一步采取相应措施。 课件制作人：谢希仁 谢钧 7.7.1 防火墙(firewall) 防火墙(firewall)是把一个组织的内部网络与其他网络（通常就是因特网）隔离开的软件和硬件的组合。根据访问控制策略，它允许一些分组通过，而禁止另一些分组通过。访问控制策略由使用防火墙的组织根据自己的安全需要自行制订。 防火墙内的网络称为“可信网络”(trusted network)，而将外部的因特网称为“不可信网络”(untrusted network)。 课件制作人：谢希仁 谢钧 防火墙在互连网络中的位置 G 内部网络 可信网络 不可信网络 分组过滤 路由器 R 分组过滤 路由器 R 应用网关 外局域网 内局域网 防火墙 因特网 课件制作人：谢希仁 谢钧 防火墙技术一般分为两类 (1) 分组过滤路由器——是一种具有分组过滤功能的路由器，它根据过滤规则对进出内部网络的分组执行转发或者丢弃（即过滤）。过滤规则基于分组的网络层或运输层首部的信息，例如：源/目的IP地址、源/目的端口、协议类型、标志位等等。 (2)应用网关——在应用层通信中扮演报文中继的角色。一种网络应用需要一个应用网关。在应用网关中可以实现基于应用层数据的过滤和高层用户鉴别。 课件制作人：谢希仁 谢钧 7.7.2 入侵检测系统 防火墙试图在入侵行为发生之前阻止所有可疑的通信。但事实是不可能阻止所有的入侵行为，有必要采取措施在入侵已经开始，但还没有造成危害或在造成更大危害前，及时检测到入侵，以便尽快阻止入侵，把危害降低到最小。这就需要入侵检测系统。 课件制作人：谢希仁 谢钧 7.7.2 入侵检测系统 入侵检测系统(Intrusion Detection System, IDS) 对进入网络的分组执行深度分组检查，当观察到可疑分组时，向网络管理员发出告警或执行阻断操作（由于IDS的“误报”率通常较高，多数情况不执行自动阻断）。 IDS能用于检测多种网络攻击，包括网络映射、端口扫描、DoS攻击、蠕虫和病毒、系统漏洞攻击等。 课件制作人：谢希仁 谢钧 两种入侵检测方法 入侵检测方法一般可以分为基于特征的入侵检测和基于异常的入侵检测两种。 课件制作人：谢希仁 谢钧 基于特征的入侵检测 基于特征的IDS维护一个所有已知攻击标志性特征的数据库。 每个特征是一个与某种入侵活动相关联的规则集，这些规则可能基于单个分组的首部字段值或数据中特定比特串，或者与一系列分组有关。 当发现有与某种攻击特征匹配的分组或分组序列时，则认为可能检测到某种入侵行为。 这些特征和规则通常由网络安全专家生成，机构的网络管理员定制并将其加入到数据库中。 课件制作人：谢希仁 谢钧 基于异常的入侵检测 基于特征的IDS只能检测已知攻击。基于异常的IDS可检测未知攻击。 基于异常的IDS通过观察正常运行的网络流量，学习正常流量的统计特性和规律，当检测到网络中流量某种统计规律不符合正常情况时，则认为可能发生了入侵行为。 但区分正常流和统计异常流是一个非常困难的事情。至今为止，大多数部署的IDS主要是基于特征的，尽管某些IDS包括了某些基于异常的特性。 课件制作人：谢希仁 谢钧 报文鉴别码 MAC函数 MAC ? MAC MAC函数 ? MAC 相同? 是 否 接收 被篡改 ? ? 发送