第9章网络安全与管理.ppt

S/MIME标准 S/MIME（Secure Multi－Part Intermail Mail Extension）标准 S/MIME也利用单向散列算法和公钥与私钥的加密体系。 整个信任关系基本是树状的Tree of Trust 第六十三页，共八十七页。 三、Web安全 安全套接层协议（Security Socket Layer，SSL） SSL协议是用来保护网络传输信息的，它工作在传输层之上，应用层之下。 SSL协议是一个分层协议，由底层的记录层协议（Record Protocol）和上层的消息子层组成 第六十四页，共八十七页。 Web安全（2） 安全电子交易协议（Secure Electonic Transcation，SET） SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的， SET支付系统主要由持卡人、商家、发卡行、收单银行、支付网关、认证中心等六个部分组成。 双重签名技术（Dual Signatures） 第六十五页，共八十七页。 密钥的分发和管理 问题: 当Alice获取Bob的公钥时 (可以从网站、 e-mail, 甚至软盘), 如何能够使她相信这就是 Bob的公钥, 而不是 Trudy的? 解决办法: 具有公信力的认证机构（certificationauthority ，CA） 第三十一页，共八十七页。 认证机构CA 认证机构(CA)为特定的实体管理公开密钥. 实体（个人或路由器）可以在CA注册公开密钥. 实体提供 “身份证明” 给 CA. CA 创建信任状将实体与公开密钥进行绑定. 由CA对信任状进行数字签名. 第三十二页，共八十七页。 认证机构CA 当 Alice需要Bob的公开密钥时: 获取Bob信任状 (从Bob 或其他什么地方). 把 CA提供的公开密钥对Bob的信任状进行认证和解码,从而得到 Bob的公开密钥 第三十三页，共八十七页。 9.3 网络安全技术 一、防火墙Firewall 网络防火墙用来加强网络之间访问控制。 防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源。 图9.5 防火墙逻辑位置示意图 第三十四页，共八十七页。 防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。它具有以下三个方面的基本特性： 内、外网间的所有数据流都须经过防火墙; 只有符合安全策略的数据流才能通过防火墙； 防火墙自身应具有强的抗攻击免疫力。 1、防火墙基本特征 第三十五页，共八十七页。 2、防火墙的功能 具体来说，防火墙主要有以下功能： 创建一个阻塞点 隔离不同网络，防止内部信息的外泄 强化安全策略 有效地审计和记录内、外部网络上的活动 第三十六页，共八十七页。 3、防火墙的基本类型 防火墙的基本类型： 包过滤型 网络地址转换（NAT） 代理型 监测型 第三十七页，共八十七页。 包过滤 Packet filtering 包过滤又称“报文过滤”，它是防火墙最基本的过滤技术。 防火墙根据数据包头所含的源、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、源、目的端口等信息，确定该数据包是否允许通过。 第三十八页，共八十七页。 代理型防火墙 代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品。 代理服务器位于客户机与服务器之间，客户首先将数据请求发给代理服务器，由代理服务器向服务器索取数据，然后再将数据传输给客户机。 第三十九页，共八十七页。 二、网络入侵与安全检测 入侵检测IDS的定义： 对主机或网络系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性的计算机安全技术。 入侵检测可以分为信息收集和数据分析两个部分。 第四十页，共八十七页。 入侵检测分类 根据采用的技术来分： 异常检测（Anomaly detection） 特征检测（Signature-based detection） 按检测的对象来分： 基于主机的入侵检测系统 基于网络的入侵检测系统 基于网关的入侵检测系统 第四十一页，共八十七页。 异常检测 前提：入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围 过程： 监控 ?量化?比较?判定 ? 修正 特点: 漏报率低，误报率高 第四十二页，共八十七页。 三、虚拟专用网VPN VPN网络的任意两个结点之间的连接并没有传统专网所需的端到端的物理链路。 VPN是架构在公用网络服务商所提供的网络平