Internet安全.ppt

第3章 Internet安全 3.1 Internet安全概述 3.2 防火墙技术 3.3 VPN技术 3.4 网络入侵检测 3.5 IP协议安全 3.6 电子商务应用安全协议 引例——万事达系统遇袭事件 万事达系统遇袭事件不是网络时代的个案，网站遇袭时间早已不是新闻，难道Internet毫无安全可言吗？ 3.1 Internet安全概述 3.1.1 网络层安全 3.1.2 应用层安全 3.1.3 系统安全 3.1.1 网络层安全 网络层安全指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护。 典型的网络层安全服务包括： 认证和完整性 保密性 访问控制 3.1.2 应用层安全 应用层安全指的是建立在某个特定的应用程序内部，不依赖于任何网络层安全措施而独立运行的安全措施。 应用层安全措施包括： 认证 访问控制 保密性 数据完整性 不可否认性 与Web、与信息传送有关的安全措施 3.1.3 系统安全 系统安全是指对特定终端系统及其局部环境的保护，而不考虑对网络层安全或应用层安全措施所承担的通信保护。 系统安全措施包括： 确保在安装的软件中没有已知的安全缺陷 确保系统的配置能使入侵风险降至最低 确保所下载的软件其来源是可信任的和可靠的 确保系统能得到适当管理以使侵入风险最小 确保采用合适的审计机制，以便能防止对系统的成功入侵和采取新的合适的防御性措施 3.2 防火墙技术 3.2.1 防火墙的基本概念 3.2.2 防火墙的基本原理 3.2.3 防火墙的实现方式 3.2.1 防火墙的基本概念 防火墙（firewall）是在两个网络之间强制实施访问控制策略的一个系统或一组系统。 狭义——指安装了防火墙软件的主机或路由器系统。 3.2.1 防火墙的基本概念 防火墙的功能： 过滤不安全的服务和非法用户 控制对特殊站点的访问 作为网络安全的集中监视点 防火墙的不足之处： 不能防范不经由防火墙的攻击——e.g.拨号 不能防止受到病毒感染的软件或文件的传输 不能防止数据驱动式攻击 3.2.2 防火墙的基本原理 1.包过滤型防火墙 3.2.2 防火墙的基本原理 2.应用网关型防火墙 3.2.2 防火墙的基本原理 3.代理服务型防火墙 3.2.3 防火墙的实现方式 包过滤路由器 双穴防范网关 过滤主机网关 过滤子网防火墙 3.3 VPN技术 虚拟专用网络(virtual private network, VPN)技术为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。 3.3.1 VPN的基本功能 一个成功的VPN方案应能满足： 用户身份验证 地址管理 数据加密 密钥管理 多协议支持 3.3.2 VPN的安全策略 隧道技术 加解密技术 密钥管理技术 使用者与设备身份认证技术 3.4 网络入侵检测 3.4.1 网络入侵检测的原理 检测策略 基于主机的检测 基于应用程序的检测 基于目标的检测 基于网络的检测 3.4.2 网络入侵检测的主要方法 异常检测 误用检测 3.5 IP协议安全 3.5.1 IP安全体系结构 IPsec文档 IPsec的服务 IPsec安全结构 3.5.2 认证头协议(AH) 3.5.3 分组加密协议(ESP) 3.5.4 安全关联 3.5.5 密钥交换 3.5.6 Ipsec的应用 3.5.1 IP安全体系结构 IPsec的基本功能包括： 在IP层提供安全服务 选择需要的安全协议 决定使用的算法 保存加密使用的密钥 IPsec文档 3.5.1 IP安全体系结构 IPsec的服务 访问控制 无连接完整性 数据源的鉴别 拒绝重放的分组 机密性 有限的通信量机密性 IPsec安全结构 安全协议——AH和ESP 安全关联（SA） 密钥交换——手工和自动（IKE） 认证和加密算法 3.5.2 认证头协议AH AH的功能 AH的格式 AH的两种模式 认证算法 3.5.3 分组加密协议ESP ESP的功能 主要支持IP数据项的机密性 也可提供认证服务 ESP的格式 ESP的两种模式 传输模式 隧道模式 ESP的处理 输出包处理 输入包处理 3.5.4 安全关联（SA） 安全关联的概念 一个SA是在发送者和接收者这两个IPsec系统之间的一个简单的单向逻辑连接 SA三元组：Security Parameter Index, IP Destination Address, Security Protocol 安全关联的类型 传输模式 隧道模式 SPD和SAD 3.5.5 密钥交换 IPsec的密钥交换包括密钥的确定和分配 两种类型 手工方式 自动方式 3.5.6 Ipsec的应用 Ipsec的优