《网络安全技术资料》第2章 网络安全技术基础幻灯片资料.ppt

第2章 网络安全技术基础 上海教育高地建设项目 高等院校规划教材 （第2版） 上海市精品课程 网络安全技术 美国新增40支网络部队。据环球时报综合报道， 美国网络战司令部司令亚历山大2013年3月12日在国会宣布，将新增40支网络部队。此前，美国官方和军方论及该国网络政策时，基本都是宣称要保护美国免遭外国黑客攻击，而不是主动攻击。美国这种变化让人想起它备受争议的“先发制人”，增加了国际社会的不安全感。美国国家情报总监克拉珀在国会宣称，网络威胁已取代恐怖主义成美国最大威胁。中国现代国际关系研究院学者李伟14日对《环球时报》说，“美国精心一步步设局，公开寻求互联网霸权，这可能引发互联网军备竞赛”。 2.1 网络协议安全概述 2.1.1 网络协议的安全风险 案例2-1 2.1 网络协议安全概述 2.1.1 网络协议的安全风险 网络体系层次结构参考模型有OSI模型和TCP/IP模型两种。OSI模型是国际标准化组织ISO的开放系统互连参考模型，共有七层，设计初衷是期望为网络体系与协议发展提供一种国际标准，后来由于其过于庞杂，使TCP/IP协议成为了事实上的“网络标准”，作为Internet的基础协议。 TCP/IP模型由4部分组成。这4层体系大致对应OSI参考模型的7层体系。TCP/IP协议栈更注重互连设备间的数据传送，而非严格的功能层次划分。 计算机网络依靠其协议实现互连结点之间的通信与数据交换,在设计之初只注重异构网的互联，忽略了安全性问题，而且,是一个开放体系,有计算机网络及其部件所能够完成的基本功能,这种开放性及缺陷将网络系统处于安全风险和隐患的环境. 计算机网络协议安全风险可归结为3方面： （1）协议自身的设计缺陷和实现中存在的一些安全漏洞； （2）根本无有效认证机制；（3）缺乏保密机制。 图2-1 TCP/IP网络安全技术层次体系 网络安全由多个安全层构成，每一个安全层都是一个包含多个特征的实体。在TCP/IP不同层次可增加不同的安全策略。如图2-1所示。 2.1.2 TCP/IP层次安全性 2.1 网络协议安全概述 1. 网络接口(物理)层的安全性—设施,线路 2. 网络层的安全性——保证数据传输 3. 传输层的安全性—传输控制,数据交换认证,保密/完整性 4. 应用层的安全性 应用层中利用TCP/IP协议运行和管理的程序繁多。网络安全问题主要出现在需要重点解决的常用应用系统，包括HTTP、FTP、SMTP、DNS、Telnet等。 TCP/IP网络安全技术层次体系 2.1 网络协议安全概述 2.1.3 IPv6的安全性概述 1. IPv6的优势及特点 (1) 扩展地址空间及应用.IPv4和IPv6的报头如图2-2和图2-3所示 图2-2 IPV4的IP报头 图2-3 IPV6基本报头 (2) 提高网络整体性能。 (3) 加强网络安全性能。 (4) 提供更好服务质量。 (5) 实现更好地组播功能。 (6) 支持即插即用和移动性。 (7) 提供必选的资源预留协议RSVP功能。 2.1 网络协议安全概述 2. IPv4与IPv6安全问题比较 　　(1) 原理和特征基本未发生变化的安全问题划分为三类:网络层以上的安全问题;与网络层数据保密性和完整性相关的安全问题和与网络层可用性相关的安全问题.如窃听攻击、应用层攻击、中间人攻击、洪泛攻击等. 　　(2) 网络层以上（应用）的安全问题。 　　(3) 与网络层数据保密性和完整性相关安全问题. 　　(4) 与网络层可用性相关安全问题：主要是指洪泛攻击，如TCP SYN flooding攻击。 (5) 原理和特征发生明显变化的安全问题，主要包括以下4个方面。① 侦测，② 非授权访问 ③ 篡改分组头部和分段信息; ④ 伪造源地址。 对局域网内的主机不停的发送数据包进行拒绝服务攻击 2.1 网络协议安全概述 3．IPv6的安全机制 （1）协议安全-认证头AH、封装安全有效载荷ESP扩展头 （2）网络安全： ① 实现端到端安全,② 提供内网安全，③ 由安全隧道构建安全VPN,④ 以隧道嵌套实现网络安全。 （3）