第章网络安全精品.pptVIP

新型态病毒攻击方式 病毒邮件的大量涌进,传递病毒与阻绝邮件服务 利用IE的漏洞自动从internet下载病毒程序 利用网络共享,散播病毒文件 利用系统或应用程序的安全性漏洞,直接从远程进行攻击 修改系统ini文件或建立开机服务项目,使病毒程序会在每次开机时自动执行 信道安全 链路加密方式 节点对节点加密 端对端加密方式（面向协议加密） 清华大学移动数字图书馆 TWIMS 防火墙技术 包过滤型防火墙 根据事先建立的安全访问控制策略（源IP地址、目的IP地址、端口号等），对数据包进行独立筛选，允许或是禁止其通过 清华大学移动数字图书馆 TWIMS 防火墙技术 状态监测防火墙 将属于同一会话的数据包看做一个整体的数据流，并试图跟踪会话的状态，从数据包之间的相互联系上去发现和抵御入侵攻击 清华大学移动数字图书馆 TWIMS 防火墙技术 应用程序代理防火墙 应用级网关(Application-level Gateway) 工作在应用层，作为在客户机与真实的服务器的中间人 对于每一个特定的网络应用，代理防火墙上都必须要有特定的代理服务程序与之相对应，如果某一项网络服务，防火墙中没有它的代理程序，那么该项服务将不被支持 清华大学移动数字图书馆 TWIMS 防火墙的缺陷 清华大学移动数字图书馆 TWIMS 已授权访问中的攻击行为 访问控制策略本身就存在漏洞 攻击行为是从内网发起的 如果内部网络中存在后门，数据包可以不经过防火墙而直接进入到内网 虚拟专用网VPN VPN通过加密和认证机制提供安全性保障，弥补了TCP/IP协议在安全性方面的不足。 清华大学移动数字图书馆 TWIMS 虚拟专用网VPN (Virtual private Network) 是一种在不安全的公用网络上建立安全传输通道，使地理位置独立分散的用户从逻辑上连接起来的一种类似于专用网络的安全服务 安全隧道技术(Secure Tunneling)就是利用一种网络协议来传输另一种网络协议的技术 封装：在隧道的一端给数据加上隧道协议头 解封传输：被封装的数据能都在某网络中传输 解封：在隧道的另一端去掉该数据携带的隧道协议头 清华大学移动数字图书馆 TWIMS 虚拟专用网VPN IP协议 传输协议Udp/TCP 封装协议 原始数据 PPTP SSL L2TP IPSec 清华大学移动数字图书馆 TWIMS IPSec是因特网工程任务组（IETF）定义的一种协议套件，由一系列协议组成。对 Internet 的安全业务提供低层的支持。 AH（Authentication Header，认证头）协议 认证 ESP（Encapsulate Security Payload，封装安全载荷）协议 加密 IPSec的传输模式 清华大学移动数字图书馆 TWIMS IP协议包头 AH协议 ESP协议 传输协议UDP/TCP 原始数据 发送方将IP包头、高层的数据、公共密钥这三部分通过某种散列算法进行计算，得出AH包头中的验证数据，并将AH 包头加入数据包中； 当数据传输到接收方时，接收方将收到的IP包头、数据、公共密钥以相同的散列算法进行运算，并把得出的结果同收到数据包中的AH 包头进行比较； 如果结果相同则表明数据在传输过程中没有被修改，并且是从真正的信息源处发出的。 ESP 把需要保护的用户数据进行加密， 并放到IP包中，正常传输时，只有高层协议（TCP、UDP、ICMP 等)及数据进行加密。源地址、目的地址以及所有IP包头的内容都不加密。 IPSec实现安全隧道技术 清华大学移动数字图书馆 TWIMS 新的IP协议包头 AH协议 ESP协议 IP协议头 传输协议UDP/TCP 原始数据 IPSec隧道方式： 整个用户的IP数据包被用来计算ESP包头 整个IP包被加密并和ESP包头一起被封装在一个新的IP包内 当数据在Internet上传送时，真正的源地址和目的地址被隐藏起来 4.3 Web安全 主要集中于对网络连接和传输层的保护 SSL协议与电子商务 双向认证，安全传输 为了向客户机证明身份，服务器需提供CA发放的服务器证书 通过对CA在该证书公钥的签名认证可知该服务器的商家是否是一个合法公司。 验证后，浏览器中的SSL随机产生一个数作为传输密钥，用服务器证书中已经验证过的服务器公钥加密后传给服务器，于是开始了基于HTTP的通信。 在SSL中，为防止客户欺诈，服务器也可以要求提供浏览器用户的证书，但这需要给所有用户都颁发证书 清华大学移动数字图书馆 TWIMS SSL不是专门为支付卡交易设计的 ，缺少电子商务协议中要求的许多功能 Ex：在涉及多方的电子交易中，只能提供交易中客户与服务器间的双方认证，而电子商务往往是客户、网站、银行三家协作完成, SSL协议并不能协调各方间