计算机网络安全基础 第4版 普通高等教育“十一五”国家级规划教材 作者 袁津生 吴砚农 第7章.pptVIP

计算机网络安全基础（第4版） 第7章 网络安全技术 网络安全技术从理论上来说分为：攻击技术和防御技术。攻击技术包括：网络监听、网络扫描、网络入侵、网络后门等；防御技术包括：加密技术、防火墙技术、入侵检测技术、虚拟专用网技术和网络安全协议等。 对于攻击技术我们在第九章中加以介绍，本章主要介绍网络安全协议、网络加密技术、防火墙技术、入侵检测技术和虚拟专用网等网络安全防御技术。 7.1 网络安全协议及传输技术 安全协议本质上是关于某种应用的一系列规定，包括功能、参数、格式和模式等，连通的各方只有共同遵守协议，才能相互操作。 大部分安全措施都采用特定的协议来实现，如在网络层加密和认证采用IPSec（IP Security）协议、在传输层加密和认证采用SSL协议等。 7.1 网络安全协议及传输技术 7.1 网络安全协议及传输技术 1.安全协议概述 （1）应用层安全协议 主要有以下五个协议： ●安全Shell（SSH）协议 ●SET（Secure Electronic Transaction）协议 ●S-HTTP ● PGP协议 ● S/MIME协议 7.1 网络安全协议及传输技术 （2）传输层安全协议 ●安全套接层（Secure Socket Layer，SSL）协议工作在传输层，独立于上层应用，为应用提供一个安全的点点通信隧道。SSL机制由协商过程和通信过程组成，协商过程用于确定加密机制、加密算法、交换会话密钥服务器认证以及可选的客户端认证，通信过程秘密传送上层数据。 ●私密通信技术（Private Communication Technology，PCT）协议与SSL协议有很多相似之处。现在PCT协议已经同SSL协议合并为TLS（传输层安全）协议，只是习惯上仍然把TLS协议称为SSL协议。 7.1 网络安全协议及传输技术 （3）网络层安全协议 为开发在网络层保护IP数据的方法，IETF成立了IP安全协议工作组（IPSec），定义了一系列在IP层对数据进行加密的协议，包括： ① IP验证头（Authentication Header，AH）协议； ② IP封装安全载荷（Encryption Service Payload，ESP）协议； ③ Internet密钥交换（Internet Key Exchange，IKE）协议。 7.1 网络安全协议及传输技术 2.网络层安全协议IPSec IPSec是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击。 IPSec有两个基本目标：保护IP数据包安全；为抵御网络攻击提供防护措施。 IPSec结合密码保护服务、安全协议组和动态密钥管理，三者共同实现这两个目标，它不仅能为局域网与拨号用户、域、网站、远程站点以及Extrant之间的通信提供有效且灵活的保护，而且还能用来筛选特定数据流。 7.1 网络安全协议及传输技术 IPSec提供3种不同的形式来保护通过公有或私有IP网络传送的私有数据。 （1）认证。通过认证可以确定所接受的数据与所发送的数据是否一致，同时可以确定申请发送者在实际上是真实的，还是伪装的发送者。 （2）数据完整验证。通过验证，保证数据在从原发地到目的地的传送过程中没有发生任何无法检测的丢失与改变。 （3）保密。使相应的接收者能获取发送的真正内容，而无关的接收者无法获知数据的真正内容。 7.1 网络安全协议及传输技术 IPSec通过使用两种通信安全协议： 认证头（Authentication Header，AH）协议、封装安全载荷（Encryption Service Payload，ESP）协议，并使用像Internet密钥交换（Internet Key Exchange，IKE）协议之类的协议来共同实现安全性。 7.1 网络安全协议及传输技术 3.IPSec安全传输技术 IPsec既可以用来直接加密主机之间的网络通信 (也就是传输模式)；也可以用来在两个子网之间建造 “虚拟隧道” 用于两个网络之间的安全通信 (也就是隧道模式)。 后一种更多的被称为是虚拟专用网 (VPN)。 IPSec提供三种形式来保护传送的数据： 认证：可以确定所接受的数据与所发送的数据是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。 数据完整：保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。 机密性：使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。 7.1 网络安全协议及传输技术 安全协议包括验证头（AH）和封装安全载荷（ESP）。他们既可用来保护一个完整的IP载荷，亦可用来保护某个IP载荷