第8章-网络管理与安全.ppt

1%大连理工大学出版社地址：大连市软件园路80号发行：0411-84708842E-mail:新世纪高职高专教材编审委员会 组编主编：边倩 陈晓范 鞠光明“十二五”职业教育国家规划教材经全国职业教育教材审定委员会审定计算机网络技术计算机网络技术计算机网络技术计算机网络技术（基础篇（基础篇（基础篇（基础篇 第六版）第六版）第六版）第六版）-高职计算机应用技术专业高职计算机应用技术专业高职计算机应用技术专业高职计算机应用技术专业-2 过渡页TRANSITION PAGE第 2 页 第8章 网络管理与安全训教训教重点重点n网络管理内容nSNMP的工作原理n加密方法n防火墙技术分类n入侵检测的方法nVPN技术的实现方法 3 过渡页TRANSITION PAGE第 3 页 第8章 网络管理与安全能力能力目标目标n 掌握网络管理的内容和方法n 掌握网络管理协议SNMP的工作原理n 了解网络安全基本知识n 熟悉常见的网络安全技术 4 第8章网络管理与安全8.1 网络管理 随着计算机网络的发展与普及，呈现出以下三大特点：一是网络系统规模不断扩大；随着计算机网络的发展与普及，呈现出以下三大特点：一是网络系统规模不断扩大；二是网络系统复杂度增加；三是在一个网络内经常会由于集成了多个计算机和网络厂家二是网络系统复杂度增加；三是在一个网络内经常会由于集成了多个计算机和网络厂家的产品而出现在一个网内存在多个网管的现象。计算机网络从小型的、互不相连的网络的产品而出现在一个网内存在多个网管的现象。计算机网络从小型的、互不相连的网络发展成大型的、相互连接的、复杂的计算机网络，所使用的设备也越来越复杂，因而这发展成大型的、相互连接的、复杂的计算机网络，所使用的设备也越来越复杂，因而这些网络的管理也越来越繁杂，因此，网络管理协议的设计就被提到议事日程上。些网络的管理也越来越繁杂，因此，网络管理协议的设计就被提到议事日程上。5 第8章网络管理与安全 网络管理涉及以下三个方面：网络管理涉及以下三个方面：（1 1）网络服务提供是指向用户提供新的服务类型、增加网络设备、提高网络性能。）网络服务提供是指向用户提供新的服务类型、增加网络设备、提高网络性能。（2 2）网络维护是指网络性能监控、故障报警、故障诊断、故障隔离与恢复。）网络维护是指网络性能监控、故障报警、故障诊断、故障隔离与恢复。（3 3）网络处理是指网络线路、设备利用率数据的采集与分析，以及提高网络利用率的）网络处理是指网络线路、设备利用率数据的采集与分析，以及提高网络利用率的各种控制。各种控制。8.1.1 网络管理概述8.1 网络管理 6 第8章网络管理与安全 目前存在两种类型的网络管理问题：一种是与软件相关的问题；另一种是与硬件相关目前存在两种类型的网络管理问题：一种是与软件相关的问题；另一种是与硬件相关的问题。目前国际标准化组织的问题。目前国际标准化组织ISOISO定义了网络管理的五个功能域：定义了网络管理的五个功能域：（1 1）配置管理：管理所有的网络设备，包含各设备参数的配置与设备账目的管理。）配置管理：管理所有的网络设备，包含各设备参数的配置与设备账目的管理。（2 2）故障管理：找出故障的位置并进行恢复。）故障管理：找出故障的位置并进行恢复。（3 3）性能管理：统计网络的使用状况，根据网络的使用情况进行扩充，确定设置的）性能管理：统计网络的使用状况，根据网络的使用情况进行扩充，确定设置的规划。规划。（4 4）安全管理：限制非法用户窃取或修改网络中的重要数据等。）安全管理：限制非法用户窃取或修改网络中的重要数据等。（5 5）计费管理：记录用户使用网络资源的数量，调整用户使用网络资源的配额和记）计费管理：记录用户使用网络资源的数量，调整用户使用网络资源的配额和记账收费。账收费。8.1 网络管理8.1.1 网络管理概述 7 第8章网络管理与安全 为了更好地进行网络管理，许多国际标准化组织都提出了各自的网络管理标准和网络为了更好地进行网络管理，许多国际标准化组织都提出了各自的网络管理标准和网络管理方案，目前使用最广泛的网络管理协议是简单网络管理协议管理方案，目前使用最广泛的网络管理协议是简单网络管理协议SNMPSNMP，其管理对象包括网，其管理对象包括网桥、路由器、交换机等内存和处理能力有限的网络互连设备。桥、路由器、交换机等内存和处理能力有限的网络互连设备。SNMP SNMP首先是由首先是由InternetInternet工程任务组织（工程任务组织（IETFIETF）的研究小组为了解决）的研究小组为了解决InternetInternet上的路由上的路由器管理问题而提出的，该协议已经发展了三代，现在的版本是器管理问题而提出的，该协议已经发展了三代，现在的版本是SNMP V3SNMP V3，主要用来管理，主要用来管理 InternetInternet上众多厂家生产的软硬件平台。上众多厂家生产的软硬件平台。SNMPSNMP已成为一个事实上的工业标准，被广泛应用已成为一个事实上的工业标准，被广泛应用在国际上的网络管理领域，是在国际上的网络管理领域，是InternetInternet组织用来管理因特网和以太网的网络管理协议。组织用来管理因特网和以太网的网络管理协议。8.1 网络管理8.1.2 网络管理协议 8 第8章网络管理与安全 SNMPSNMP的设计思想是：通过的设计思想是：通过SNMPSNMP的的PDUPDU（协（协议数据单元）来与被管理的对象交换信息，议数据单元）来与被管理的对象交换信息，这些对象有特有的属性和值。这些对象有特有的属性和值。SNMP SNMP采用简化的面向对象的方法来实现采用简化的面向对象的方法来实现对网络设施的管理，对网络设施的管理，SNMPSNMP管理模型由以下四管理模型由以下四个部分组成：被管对象、网络管理员、网络个部分组成：被管对象、网络管理员、网络管理信息、网络管理协议。这些部分组成了管理信息、网络管理协议。这些部分组成了如图如图9-19-1所示的结构。所示的结构。8.1 网络管理8.1.2 网络管理协议 9 第8章网络管理与安全 1.SNMP1.SNMP1.SNMP1.SNMP的工作原理的工作原理的工作原理的工作原理 SNMP SNMP使用嵌入到网络设施中的代理软件来收集网络的通信信息和有关网络设备的统使用嵌入到网络设施中的代理软件来收集网络的通信信息和有关网络设备的统计数据。代理软件不断地收集统计数据，并把这些数据记录到一个管理信息库（计数据。代理软件不断地收集统计数据，并把这些数据记录到一个管理信息库（MIB)MIB)中，中，网络管理员通过向代理的网络管理员通过向代理的MIBMIB发出查询信号可以得到这些信息。虽然发出查询信号可以得到这些信息。虽然MIBMIB计算器将统计数计算器将统计数据的总和记录下来，但它无法对日常通信量进行历史分析。为了能全面地查看一天的通据的总和记录下来，但它无法对日常通信量进行历史分析。为了能全面地查看一天的通信流量和变化率，管理人员必须不断地轮询信流量和变化率，管理人员必须不断地轮询SNMPSNMP代理，每分钟轮询一次。这样，网络管代理，每分钟轮询一次。这样，网络管理员可以使用理员可以使用SNMPSNMP来评价网络的运行状况，并揭示出通信的趋势。先进的来评价网络的运行状况，并揭示出通信的趋势。先进的SNMPSNMP网络管理网络管理站甚至可以通过编程来自动关闭端口或采取其他矫正措施来处理历史的网络数据。站甚至可以通过编程来自动关闭端口或采取其他矫正措施来处理历史的网络数据。8.1 网络管理8.1.2 网络管理协议 10 第8章网络管理与安全 2.SNMP的报文格式 SNMP SNMP使用使用UDPUDP作为第四层协议作为第四层协议(传输层协议传输层协议)，进行无连接操作。管理进程和代理进，进行无连接操作。管理进程和代理进程之间的每个消息都是一个单独的数据报。数据报会有丢失的情况，因此，程之间的每个消息都是一个单独的数据报。数据报会有丢失的情况，因此，SNMPSNMP有超时有超时和重传的机制。和重传的机制。SNMP SNMP消息报文包含两个部分：消息报文包含两个部分：SNMPSNMP报头和协议数据单元报头和协议数据单元PDUPDU。如图。如图8-28-2所示。所示。8.1 网络管理8.1.2 网络管理协议 11 第8章网络管理与安全 1.计算机网络安全概念 计算机网络安全的定义涉及计算机科学、网络技术、通信技术、密码技术、信息安计算机网络安全的定义涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科。全技术、应用数学、数论、信息论等多种学科。网络安全从其本质上来讲就是网络上的信息安全，是指网络系统的硬件、软件及网络安全从其本质上来讲就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。从广义来说，凡是涉及网络上信息的保密性、连续可靠正常地运行，网络服务不中断。从广义来说，凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。不可。8.2 计算机网络安全技术8.2.1 计算机网络安全概述 12 第8章网络管理与安全 2.网络安全的内容 计算机网络计算机网络的安全性问题实际上包括两方面的内容：一是网络的系统安全，二是网的安全性问题实际上包括两方面的内容：一是网络的系统安全，二是网络的信息安全。具体而言，就是要具备如下特性。络的信息安全。具体而言，就是要具备如下特性。（1）可靠性）可靠性（2）可用性）可用性（3）保密性）保密性（4）完整性）完整性（5）不可抵赖性）不可抵赖性8.2 计算机网络安全技术8.2.1 计算机网络安全概述 13 第8章网络管理与安全 3.网络安全策略 网络网络安全管理主要是配合行政手段，从技术上实现安全管理，从范畴上讲，涉及四安全管理主要是配合行政手段，从技术上实现安全管理，从范畴上讲，涉及四个方面：个方面：物理安全策略物理安全策略访问控制策略访问控制策略信息加密策略信息加密策略网络安全管理策略网络安全管理策略8.2 计算机网络安全技术8.2.1 计算机网络安全概述 14 第8章网络管理与安全 4.计算机网络面临的威胁 （1 1）在计算机网络上进行通信时，面临的威胁主要包括：）在计算机网络上进行通信时，面临的威胁主要包括：截获，攻击者从网络上窃听信息。截获，攻击者从网络上窃听信息。中断，攻击者有意中断网络上的通信。中断，攻击者有意中断网络上的通信。篡改，攻击者有意更改网络上的信息。篡改，攻击者有意更改网络上的信息。伪造，攻击者使用假的信息在网络上传输。伪造，攻击者使用假的信息在网络上传输。8.2 计算机网络安全技术8.2.1 计算机网络安全概述 15 第8章网络管理与安全 （2 2）计算机网络系统自身面临的威胁包括：）计算机网络系统自身面临的威胁包括：物理设备的安全威胁。常见的威胁有偷窃、废物搜寻和间谍活动等。例如，因物理设备的安全威胁。常见的威胁有偷窃、废物搜寻和间谍活动等。例如，因为计算机里存储的数据价值远远超过计算机本身，所以计算机偷窃行为造成的损失往为计算机里存储的数据价值远远超过计算机本身，所以计算机偷窃行为造成的损失往往数倍于被偷设备的价值。往数倍于被偷设备的价值。计算机系统的脆弱性。主要来自计算机操作系统和网络通信协议的不安全性。计算机系统的脆弱性。主要来自计算机操作系统和网络通信协议的不安全性。8.2 计算机网络安全技术8.2.1 计算机网络安全概述 16 第8章网络管理与安全常见的盗窃数据或侵入网络的方法。常见的盗窃数据或侵入网络的方法。（1）窃听）窃听（2）窃取）窃取（3）会话窃夺）会话窃夺（4）利用操作系统漏洞）利用操作系统漏洞（5）盗用密码）盗用密码（6）木马、病毒、暗门）木马、病毒、暗门（7）隐秘通道）隐秘通道8.2 计算机网络安全技术8.2.1 计算机网络安全概述 17 第8章网络管理与安全 1.网络安全规范和措施 计算机网络计算机网络安全是一个涉及面非常广泛的问题。在技术方面包括计算机技术、通安全是一个涉及面非常广泛的问题。在技术方面包括计算机技术、通信技术和安全技术；在基础理论方面包括数学、密码学等多个学科；在实际应用环境信技术和安全技术；在基础理论方面包括数学、密码学等多个学科；在实际应用环境中，还涉及管理和法律等方面。所以，计算机网络的安全性是不可判定的，也就是说中，还涉及管理和法律等方面。所以，计算机网络的安全性是不可判定的，也就是说无法用形式化的方法（比如数学公式）来证明的，只能针对具体的攻击来讨论其安全无法用形式化的方法（比如数学公式）来证明的，只能针对具体的攻击来讨论其安全性。试图设计绝对安全可靠的网络也是不可能的。性。试图设计绝对安全可靠的网络也是不可能的。所以所以，解决网络安全问题必须全方位地考虑，包括采取安全的技术、加强安全检，解决网络安全问题必须全方位地考虑，包括采取安全的技术、加强安全检测与评估、构筑安全体系结构、加强安全管理、制定网络安全方面的法律和法规等。测与评估、构筑安全体系结构、加强安全管理、制定网络安全方面的法律和法规等。8.2 计算机网络安全技术8.2.2 网络安全评估 18 第8章网络管理与安全 1.加密技术 （1 1）加密技术概念）加密技术概念 加密加密技术是计算机网络采取的主要安全保密措施，是最常用的安全保密手段，利技术是计算机网络采取的主要安全保密措施，是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。加密技术的应用是多方面的，但最为广泛的还是在电子商务和段还原（解密）。加密技术的应用是多方面的，但最为广泛的还是在电子商务和VPNVPN上上的应用，深受广大用户的喜爱。的应用，深受广大用户的喜爱。所谓所谓加密是指将数据信息（即明文）转换为不可识别的形式（即密文）的过程，加密是指将数据信息（即明文）转换为不可识别的形式（即密文）的过程，目的是使不应该了解该数据信息的人不能够知道或识别。将密文转换还原为明文的过目的是使不应该了解该数据信息的人不能够知道或识别。将密文转换还原为明文的过程就是解密。程就是解密。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 19 第8章网络管理与安全 （2 2）加密技术类型）加密技术类型 加密技术包括两个元素：算法和密钥。算法是将普通的文本与一串数字（密钥）加密技术包括两个元素：算法和密钥。算法是将普通的文本与一串数字（密钥）的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为对称式加密法（私人密钥加密）和非对称式加密法（公开密钥加密）。加密的技术分为对称式加密法（私人密钥加密）和非对称式加密法（公开密钥加密）。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 20 第8章网络管理与安全 对称式加密法：又称为秘密钥匙加密法或传统加密法。其特点是文件加密和解对称式加密法：又称为秘密钥匙加密法或传统加密法。其特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥，如图密使用相同的密钥，即加密密钥也可以用作解密密钥，如图9-49-4所示。对称加密算法所示。对称加密算法使用起来简单快捷，密钥较短，且破译困难。使用起来简单快捷，密钥较短，且破译困难。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 21 第8章网络管理与安全 非对称式加密法：又称公用钥匙加密法非对称式加密法：又称公用钥匙加密法,是近代密码学新兴的一个领域。是近代密码学新兴的一个领域。与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickeypublickey）和私有）和私有密钥密钥 （privatekeyprivatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称式加密法。非对称式加密法。即公用钥匙加密法的特色是完成一次加、解密操作时，需要使用一即公用钥匙加密法的特色是完成一次加、解密操作时，需要使用一对钥匙。对钥匙。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 22 第8章网络管理与安全 （3 3 3 3）PKIPKIPKIPKI功能作用功能作用功能作用功能作用 PKI PKI（Public Key Infrastructure Public Key Infrastructure 的缩写）公钥基础设施，是一种遵循既定标准的的缩写）公钥基础设施，是一种遵循既定标准的密钥管理平台密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。证书管理体系。原有原有的单密钥加密技术采用特定加密密钥加密数据，的单密钥加密技术采用特定加密密钥加密数据，采用采用此加密技术的理论基础的加密方法如果用于网络传输数据加密，则不可避免地此加密技术的理论基础的加密方法如果用于网络传输数据加密，则不可避免地出现安全漏洞。出现安全漏洞。区别区别于原有的单密钥加密技术，于原有的单密钥加密技术，PKIPKI采用非对称的加密算法，即由原文加密成密文的采用非对称的加密算法，即由原文加密成密文的密钥不同于由密文解密为原文的密钥，以避免第三方获取密钥后将密文解密。密钥不同于由密文解密为原文的密钥，以避免第三方获取密钥后将密文解密。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 23 第8章网络管理与安全 （4 4 4 4）证书签发机构）证书签发机构）证书签发机构）证书签发机构CACACACA CA CA是负责签发证书、认证证书、管理已颁发证书的机关，是是负责签发证书、认证证书、管理已颁发证书的机关，是PKIPKI的核心。它要制定的核心。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。的身份和公钥的拥有权。CA CA也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证CACA的签字从而的签字从而信任信任CACA，任何人都可以得到，任何人都可以得到 CA CA 的证书（含公钥），用以验证它所签发的证书。的证书（含公钥），用以验证它所签发的证书。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 24 第8章网络管理与安全 （5 5 5 5）证书）证书）证书）证书 证书证书实际是由证书签证机关（实际是由证书签证机关（CACA）签发的对用户的公钥的认证。）签发的对用户的公钥的认证。证书证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法普遍遵循效期等等。目前，证书的格式和验证方法普遍遵循X.509 X.509 国际标准。国际标准。如何如何在电子文档上实现签名的目的呢？我们可以使用数字签名。在电子文档上实现签名的目的呢？我们可以使用数字签名。RSARSA公钥体制可实现公钥体制可实现对数字信息的数字签名，方法如下：对数字信息的数字签名，方法如下：信息信息发送者用其私钥对从所传报文中提取出的特征数据（或称数字指纹）进行发送者用其私钥对从所传报文中提取出的特征数据（或称数字指纹）进行RSARSA算算法操作，以保证发信人无法抵赖曾发过该信息（即不可抵赖性），同时也确保信息报文在法操作，以保证发信人无法抵赖曾发过该信息（即不可抵赖性），同时也确保信息报文在传递过程中未被篡改（即完整性）。当信息接收者收到报文后，就可以用发送者的公钥对传递过程中未被篡改（即完整性）。当信息接收者收到报文后，就可以用发送者的公钥对数字签名进行验证。数字签名进行验证。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 25 第8章网络管理与安全 （6 6 6 6）数字证书简介）数字证书简介）数字证书简介）数字证书简介 数字数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中，证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中，使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对（公钥和私钥）所有使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对（公钥和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。数字证书在用户公钥后附加了用户信息及数字证书在用户公钥后附加了用户信息及CACA的签名。公钥是密钥对的一部分，另一部分是的签名。公钥是密钥对的一部分，另一部分是私钥。私钥。由由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件，发送者要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。同样，为信件，发送者要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。同样，为证实发件人的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥证实发件人的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥对签名进行验证，以确认发送者的身份。对签名进行验证，以确认发送者的身份。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 26 第8章网络管理与安全 （7 7 7 7）安全套接字层（）安全套接字层（）安全套接字层（）安全套接字层（SSLSSLSSLSSL）SSL SSL是一种广泛实施的公钥加密。是一种广泛实施的公钥加密。SSLSSL最初由网景公司（最初由网景公司（NetscapeNetscape）开发，是互联网浏览）开发，是互联网浏览器和器和WebWeb服务器用于传输机密信息的互联网安全协议。服务器用于传输机密信息的互联网安全协议。SSLSSL现在已经成为总体安全协议传输层现在已经成为总体安全协议传输层安全（安全（TLSTLS）的一部分。）的一部分。在在浏览器中，可以通过多种不同方式知道何时使用安全协议（例如浏览器中，可以通过多种不同方式知道何时使用安全协议（例如TLSTLS）。浏览器地址）。浏览器地址栏中的栏中的“httphttp”中被替换为中被替换为“httpshttps”，在浏览器窗口底部的状态栏中还会看到一个小的挂，在浏览器窗口底部的状态栏中还会看到一个小的挂锁符号。锁符号。公公钥加密占用大量计算资源，所以大多数系统结合使用公钥和对称密钥。当两台计算机钥加密占用大量计算资源，所以大多数系统结合使用公钥和对称密钥。当两台计算机发起安全会话时，一台计算机创建一个对称密钥，并将其发送给使用公钥加密的另一台计算发起安全会话时，一台计算机创建一个对称密钥，并将其发送给使用公钥加密的另一台计算机，然后这两台计算机使用对称密钥加密进行通信。一旦完成会话，每台计算机都会丢弃该机，然后这两台计算机使用对称密钥加密进行通信。一旦完成会话，每台计算机都会丢弃该会话使用的对称密钥。进行新的会话要求创建新的对称密钥，然后重复上述过程。会话使用的对称密钥。进行新的会话要求创建新的对称密钥，然后重复上述过程。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 27 第8章网络管理与安全 （8 8 8 8）网络加密的四种类型）网络加密的四种类型）网络加密的四种类型）网络加密的四种类型 无客户端无客户端SSLSSL：SSLSSL的原始应用。在这种应用中，一台主机计算机在加密的链路上直接的原始应用。在这种应用中，一台主机计算机在加密的链路上直接连接到一个来源连接到一个来源(如如WebWeb服务器、邮件服务器、目录等服务器、邮件服务器、目录等)。配置配置VPNVPN设备的无客户端设备的无客户端SSLSSL：这种使用：这种使用SSLSSL的方法对于主机来说与第一种类似。但是，的方法对于主机来说与第一种类似。但是，加密通讯的工作是由加密通讯的工作是由VPNVPN设备完成的，而不是由在线资源完成的设备完成的，而不是由在线资源完成的(如如WebWeb或者邮件服务器或者邮件服务器)。主机至网络：在上述两个方案中，主机在一个加密的频道直接连接到一个资源。在这主机至网络：在上述两个方案中，主机在一个加密的频道直接连接到一个资源。在这种方式中，主机运行客户端软件种方式中，主机运行客户端软件(SSL(SSL或者或者IPsecIPsec客户端软件客户端软件)连接到一台连接到一台VPNVPN设备并且成为包设备并且成为包含这个主机目标资源的那个网络的一部分。含这个主机目标资源的那个网络的一部分。网络至网络：有许多方法能够创建这种类型加密的隧道网络至网络：有许多方法能够创建这种类型加密的隧道VPNVPN。但是，要使用的技术几。但是，要使用的技术几乎总是乎总是IPsecIPsec。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 28 第8章网络管理与安全 （9 9 9 9）加密技术的应用）加密技术的应用）加密技术的应用）加密技术的应用 加密加密技术的应用是多方面的，但最为广泛的还是在电子商务和技术的应用是多方面的，但最为广泛的还是在电子商务和VPNVPN上的应用，下面分上的应用，下面分别介绍。别介绍。加密技术在电子商务方面的应用加密技术在电子商务方面的应用 电子商务电子商务（E-businessE-business）要求顾客可以在网上进行各种商务活动，不必担心自己的）要求顾客可以在网上进行各种商务活动，不必担心自己的信用卡会被人盗用。在过去，用户为了防止信用卡的号码被窃取到，一般是通过电话订信用卡会被人盗用。在过去，用户为了防止信用卡的号码被窃取到，一般是通过电话订货，然后使用用户的信用卡进行付款。现在人们开始用货，然后使用用户的信用卡进行付款。现在人们开始用RSARSA的加密技术，提高信用卡交易的加密技术，提高信用卡交易的安全性，从而使电子商务走向实用成为可能。的安全性，从而使电子商务走向实用成为可能。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 29 第8章网络管理与安全 加密技术在加密技术在VPNVPN中的应用中的应用 现在，越来越多的公司走向国际化，一个公司可能在多个国家都有办事机构或销售现在，越来越多的公司走向国际化，一个公司可能在多个国家都有办事机构或销售中心，每一个机构都有各自的局域网，但在当今的网络社会人们的要求不仅如此，用户中心，每一个机构都有各自的局域网，但在当今的网络社会人们的要求不仅如此，用户希望将这些希望将这些LANLAN连接在一起组成一个公司的广域网，这个要求在现在已不是什么难事了。连接在一起组成一个公司的广域网，这个要求在现在已不是什么难事了。目前，一般使用租用专用线路来连接这些局域网，他们考虑的就是网络的安全问题。目前，一般使用租用专用线路来连接这些局域网，他们考虑的就是网络的安全问题。现在具有加密现在具有加密/解密功能的路由器已广泛使用，这就使人们通过互联网连接这些局域网成解密功能的路由器已广泛使用，这就使人们通过互联网连接这些局域网成为可能，这就是我们通常所说的虚拟专用网（为可能，这就是我们通常所说的虚拟专用网（Virtual Private NetworkVirtual Private Network，VPNVPN）。）。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 30 第8章网络管理与安全 2.防火墙 （1 1）防火墙的概念）防火墙的概念 所谓所谓“防火墙防火墙”(Firewall)(Firewall)，是指在两个网络之间加强访问控制的一整套装置，通，是指在两个网络之间加强访问控制的一整套装置，通常是软件和硬件的组合体。或者说，防火墙是用来在一个可信网络（如内部网）与一个常是软件和硬件的组合体。或者说，防火墙是用来在一个可信网络（如内部网）与一个不可信网络（如外部网）间起保护作用的一整套装置，在内部网和外部网之间的界面上不可信网络（如外部网）间起保护作用的一整套装置，在内部网和外部网之间的界面上构造一个保护层，它强制所有的访问或连接都必须经过这一保护层，按照一定的安全策构造一个保护层，它强制所有的访问或连接都必须经过这一保护层，按照一定的安全策略在此进行检查和连接，只有被授权的通信才能通过此保护层，从而保护内部网资源免略在此进行检查和连接，只有被授权的通信才能通过此保护层，从而保护内部网资源免遭非法入侵，并监视网络运行状态，实现了对计算机的保护功能。遭非法入侵，并监视网络运行状态，实现了对计算机的保护功能。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 31 第8章网络管理与安全8.2 计算机网络安全技术8.2.3 常见的网络安全技术 32 第8章网络管理与安全 （2 2）防火墙的功能）防火墙的功能 访问控制访问控制对内部与外部、内部不同部门之间实行的隔离。对内部与外部、内部不同部门之间实行的隔离。授权认证授权认证授权并对不同用户访问权限的隔离。授权并对不同用户访问权限的隔离。安全检查安全检查对流入网络内部的信息流进行检查或过滤，防止病毒和恶意攻击的干对流入网络内部的信息流进行检查或过滤，防止病毒和恶意攻击的干扰破坏扰破坏(安全隔离安全隔离)。加密加密提供防火墙与移动用户之间在信息传输方面的安全保证，同时也保证防火提供防火墙与移动用户之间在信息传输方面的安全保证，同时也保证防火墙与防火墙之信息安全。墙与防火墙之信息安全。对网络资源实施不同的安全对策，提供多层次和多级别的安全保护。对网络资源实施不同的安全对策，提供多层次和多级别的安全保护。集中管理和监督用户的访问。集中管理和监督用户的访问。报警功能和监督记录。报警功能和监督记录。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 33 第8章网络管理与安全 （3 3）防火墙的分类）防火墙的分类 根据防火墙在体系结构中的逻辑位置和网络中的物理位置及其具备的功能，构成根据防火墙在体系结构中的逻辑位置和网络中的物理位置及其具备的功能，构成防火墙系统的两个基本部件是包过滤路由器（防火墙系统的两个基本部件是包过滤路由器（packet filtering routerpacket filtering router）和应用级网）和应用级网关（关（application gatewayapplication gateway）。最简单的防火墙由一个包过滤路由器组成，而复杂的防）。最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成。目前的防火墙产品主要有包过滤路由火墙系统由包过滤路由器和应用级网关组合而成。目前的防火墙产品主要有包过滤路由器、应用层网关器、应用层网关(代理服务器代理服务器)、主机屏蔽防火墙、子网屏蔽防火墙等类型。、主机屏蔽防火墙、子网屏蔽防火墙等类型。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 34 第8章网络管理与安全 包过滤路由器：包过滤路由器是在一般路由器的基础上增加了一些新的安全控制包过滤路由器：包过滤路由器是在一般路由器的基础上增加了一些新的安全控制功能，是一个检查通过它的数据报的路由器，包过滤路由器的标准由网络管理员在网络功能，是一个检查通过它的数据报的路由器，包过滤路由器的标准由网络管理员在网络访问控制表中设定，以检查数据报的源地址、目的地址及每个访问控制表中设定，以检查数据报的源地址、目的地址及每个IPIP数据报的端口。数据报的端口。此类防火墙易于实现对用户透明的访问，且费用较低。但包过滤路由器无法有效地此类防火墙易于实现对用户透明的访问，且费用较低。但包过滤路由器无法有效地区分同一区分同一IPIP地址的不同用户，因此安全地址的不同用户，因此安全性较差。如图性较差。如图8-78-7所示。所示。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 35 第8章网络管理与安全 应用级防火墙：又称应用级网关或双宿主网关，是在网络应用层上建立协议过滤应用级防火墙：又称应用级网关或双宿主网关，是在网络应用层上建立协议过滤和转发功能。采用协议代理服务，即在运行防火墙软件的堡垒主机（和转发功能。采用协议代理服务，即在运行防火墙软件的堡垒主机（Bastion HostBastion Host）上）上运行代理服务程序运行代理服务程序ProxyProxy。应用型防火墙不允许网络间的直接业务联系，而是以堡垒主机。应用型防火墙不允许网络间的直接业务联系，而是以堡垒主机作为数据转发的中转站。堡垒主机是一个具有两个网络界面的主机，每一个网络界面与作为数据转发的中转站。堡垒主机是一个具有两个网络界面的主机，每一个网络界面与它所对应的网络进行通信，它既能作它所对应的网络进行通信，它既能作为服务器接收外来请求，又能作为客户为服务器接收外来请求，又能作为客户转发请求。如图转发请求。如图8-88-8所示。所示。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 36 第8章网络管理与安全 主机屏蔽防火墙：主机屏蔽防火墙由一个只需单个网络端口的应用型防火墙和一主机屏蔽防火墙：主机屏蔽防火墙由一个只需单个网络端口的应用型防火墙和一个包过滤路由器组成。它将物理地址连接在网络总线上，它的逻辑功能仍工作在应用层个包过滤路由器组成。它将物理地址连接在网络总线上，它的逻辑功能仍工作在应用层上，所有业务通过它进行代理服务，数据报要通过路由器和堡垒主机两道防线。上，所有业务通过它进行代理服务，数据报要通过路由器和堡垒主机两道防线。外出的数据报首先经过堡垒主机上的应用服务代理检查，然后被转发到包过滤路由外出的数据报首先经过堡垒主机上的应用服务代理检查，然后被转发到包过滤路由器，最后由包过滤路由器转发到外部网络上。所谓堡垒主机，是防火墙关键部位、运行器，最后由包过滤路由器转发到外部网络上。所谓堡垒主机，是防火墙关键部位、运行应用级网关软件的计算机系统。主机屏蔽防火墙设置了两层安全保护，因此相对比较安应用级网关软件的计算机系统。主机屏蔽防火墙设置了两层安全保护，因此相对比较安全。全。如图如图9-99-9所示。所示。8.2 计算机网络安全技术8.2.3 常见的网络安全技术 37 第8章网络管理与安全8.2 计算机网络安全技术8.2.3 常见的网络安全技术 38 第8章网络管理与安全 子网屏蔽防火墙：子网屏蔽防火墙的保护作用比主机屏蔽防火墙更进了一步，它子网屏蔽防火墙：子网屏蔽防火墙的保护作用比主机屏蔽防火墙更进了一步，它在被保护的内网与外网之间加入了一个由两个包过滤在被保护的内网与外网之间加入了一个由两个包过滤路由器和一台堡垒机组