[精选]计算机网络安全课程15224.pptx

《[精选]计算机网络安全课程15224.pptx》由会员分享，可在线阅读，更多相关《[精选]计算机网络安全课程15224.pptx（60页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机网络计算机网络(第第3版版)吴功宜吴功宜 编著编著普通高等教育精品教材普通高等教育精品教材普通高等教育普通高等教育“十一五十一五”国家级规划教材国家级规划教材第第9章章 网络安全网络安全本章学习要求本章学习要求：了解：了解：网络安全的重要性与研究的主要内容。网络安全的重要性与研究的主要内容。了解：了解：当前网络安全形势的变化。当前网络安全形势的变化。理解：理解：密码体制基本概念及其在网络安全中的应用。密码体制基本概念及其在网络安全中的应用。掌握：掌握：网络安全协议的概念及应用。网络安全协议的概念及应用。掌握：掌握：防火墙的概念及应用。防火墙的概念及应用。掌握：掌握：入侵检测的基本概念与方

2、法。入侵检测的基本概念与方法。掌握：掌握：网络业务持续性规划技术基本概念与方法。网络业务持续性规划技术基本概念与方法。理解：理解：恶意代码与网络病毒防治的基本概念与方法。恶意代码与网络病毒防治的基本概念与方法。计算机网络第9章 网络安全3本章知识点结构本章知识点结构计算机网络第9章 网络安全49.1 网络安全的基本概念网络安全的基本概念9.1.1 网络安全重要性与特点网络安全重要性与特点网络安全是网络技术研究中一个永恒的主题网络安全是网络技术研究中一个永恒的主题网络安全是一个系统的社会工程网络安全是一个系统的社会工程趋利性是当前网络攻击的主要动机趋利性是当前网络攻击的主要动机网络安全关乎国家安

3、全与社会稳定网络安全关乎国家安全与社会稳定计算机网络第9章 网络安全59.1.2 网络安全服务功能与法律法规网络安全服务功能与法律法规网络安全服务的基本功能网络安全服务的基本功能:可用性可用性机密性机密性完整性完整性不可否认性不可否认性可控性可控性计算机网络第9章 网络安全69.1.3 网络安全威胁的发展趋势网络安全威胁的发展趋势 恶意代码保持快速增长的势头恶意代码保持快速增长的势头对移动终端设备攻击的威胁快速上升对移动终端设备攻击的威胁快速上升针对应用软件漏洞的攻击更为突出针对应用软件漏洞的攻击更为突出针对搜索引擎的攻击呈快速上升趋势针对搜索引擎的攻击呈快速上升趋势假冒软件的攻击将转变攻击方

4、式假冒软件的攻击将转变攻击方式利用社交网络、高仿网站与钓鱼欺诈发起攻击利用社交网络、高仿网站与钓鱼欺诈发起攻击僵尸网络将会出现新的变种僵尸网络将会出现新的变种垃圾邮件正在变换新的活动方式垃圾邮件正在变换新的活动方式计算机网络第9章 网络安全79.1.4 网络安全研究的主要问题网络安全研究的主要问题信息被攻击的信息被攻击的4种基本类型种基本类型计算机网络第9章 网络安全8可能存在的网络攻击与威胁可能存在的网络攻击与威胁计算机网络第9章 网络安全99.1.5 网络攻击的主要类型网络攻击的主要类型漏洞攻击漏洞攻击欺骗攻击欺骗攻击 DoS与与DDoS对防火墙的攻击对防火墙的攻击恶意软件与病毒攻击恶意软

5、件与病毒攻击计算机网络第9章 网络安全10DDoS攻击过程示意图攻击过程示意图计算机网络第9章 网络安全119.2 加密与认证技术加密与认证技术9.2.1 密码算法与密码体制的基本概念密码算法与密码体制的基本概念加密与解密过程示意图加密与解密过程示意图计算机网络第9章 网络安全12易位密码方法原理示意图易位密码方法原理示意图计算机网络第9章 网络安全13密钥长度与密钥个数密钥长度与密钥个数计算机网络第9章 网络安全14密钥长度（密钥长度（bit）组合个数组合个数40240=109951162777656256=7.205759403793101664264=1.8446744073711019

6、1122112=5.19229685853510331282128=3.40282366920910389.2.2 对称密码体系对称密码体系对称加密的工作原理对称加密的工作原理计算机网络第9章 网络安全159.2.3 非对称密码体系非对称密码体系非对称加密的工作原理非对称加密的工作原理计算机网络第9章 网络安全169.2.4 公钥基础设施公钥基础设施PKIPKI工作原理示意图工作原理示意图计算机网络第9章 网络安全179.2.5 数字签名技术数字签名技术数字签名的工作原理示意图数字签名的工作原理示意图计算机网络第9章 网络安全189.2.6 身份认证技术的发展身份认证技术的发展所知所知：个人所

7、掌握的密码、口令个人所掌握的密码、口令所有所有：个人的身份证、护照、信用卡、钥匙个人的身份证、护照、信用卡、钥匙个人特征个人特征：人的指纹、声音、笔迹、手型、脸人的指纹、声音、笔迹、手型、脸 型、血型、视网膜、虹膜、型、血型、视网膜、虹膜、DNA，以及个人动作方面的特征以及个人动作方面的特征根据安全要求和用户可接受的程度，以及成本根据安全要求和用户可接受的程度，以及成本等因素，可以选择适当的组合，来设计一个自等因素，可以选择适当的组合，来设计一个自动身份认证系统。动身份认证系统。计算机网络第9章 网络安全199.3 网络安全协议网络安全协议9.3.1 网络安全协议的基本概念网络安全协议的基本概

8、念网络安全协议设计的要求是实现协议执网络安全协议设计的要求是实现协议执行过程中的认证性、机密性、完整性与行过程中的认证性、机密性、完整性与不可否认性。不可否认性。网络安全协议的研究与标准的制定涉及网络安全协议的研究与标准的制定涉及网络层、传输层与应用层。网络层、传输层与应用层。计算机网络第9章 网络安全209.3.2 网络层安全与网络层安全与IPSec协议、协议、IPSec VPNIPSec安全体系结构安全体系结构IPSec的安全服务是在的安全服务是在IP层提供的。层提供的。IPSec安全体系主要是由：认证头协议、封装安全载荷安全体系主要是由：认证头协议、封装安全载荷协议与协议与Interne

9、t密钥交换协议等组成。密钥交换协议等组成。认证头协议用于增强认证头协议用于增强IP协议的安全性，提供对协议的安全性，提供对IP分组分组源认证、源认证、IP分组数据传输完整性与防重放攻击的安全分组数据传输完整性与防重放攻击的安全服务。服务。封装安全载荷协议提供对封装安全载荷协议提供对IP分组源认证、分组源认证、IP分组数据分组数据完整性、秘密性与防重放攻击的安全服务。完整性、秘密性与防重放攻击的安全服务。Internet密钥交换协议用于协商密钥交换协议用于协商AH协议与协议与ESP协议所协议所使用的密码算法与密钥管理体制。使用的密码算法与密钥管理体制。IPSec对于对于IPv4是可选的，而是是可

10、选的，而是IPv6基本的组成部分。基本的组成部分。计算机网络第9章 网络安全21AH协议基本工作原理协议基本工作原理传输模式的传输模式的AH协议原理示意图协议原理示意图计算机网络第9章 网络安全22隧道模式隧道模式ESP工作原理示意图工作原理示意图计算机网络第9章 网络安全239.3.4 传输层安全与传输层安全与SSL、TLP协议协议SSL协议在层次结构中的位置协议在层次结构中的位置计算机网络第9章 网络安全249.3.4 应用层安全与应用层安全与PGP、SET协议协议数字信封工作原理示意图数字信封工作原理示意图计算机网络第9章 网络安全25SET结构示意图结构示意图计算机网络第9章 网络安全

11、269.4 防火墙技术防火墙技术9.4.1 防火墙的基本概念防火墙的基本概念防火墙的位置与作用防火墙的位置与作用计算机网络第9章 网络安全279.4.2 包过滤路由器包过滤路由器包过滤路由器的结构包过滤路由器的结构计算机网络第9章 网络安全28包过滤的工作流程包过滤的工作流程计算机网络第9章 网络安全29 包过滤路由器作为防火墙的结构包过滤路由器作为防火墙的结构计算机网络第9章 网络安全30包过滤规则表包过滤规则表计算机网络第9章 网络安全319.4.3 应用级网关的概念应用级网关的概念典型的多归属主机结构示意图典型的多归属主机结构示意图计算机网络第9章 网络安全32应用级网关原理示意图应用级

12、网关原理示意图计算机网络第9章 网络安全33应用代理工作原理示意图应用代理工作原理示意图计算机网络第9章 网络安全349.4.4 防火墙的系统结构防火墙的系统结构应用级网关结构示意图应用级网关结构示意图计算机网络第9章 网络安全35采用采用S-B1配置的防火墙系统结构配置的防火墙系统结构计算机网络第9章 网络安全36包过滤路由器的转发过程包过滤路由器的转发过程计算机网络第9章 网络安全37S-B1配置的防火墙系统层次结构示意图配置的防火墙系统层次结构示意图计算机网络第9章 网络安全38S-B1-S-B1配置的防火墙系统结构示意图配置的防火墙系统结构示意图计算机网络第9章 网络安全399.4.5

13、 防火墙报文过滤规则制定方法防火墙报文过滤规则制定方法用防火墙保护的内部网络结构示意图用防火墙保护的内部网络结构示意图计算机网络第9章 网络安全40ICMP报文过滤规则报文过滤规则计算机网络第9章 网络安全41对对Web访问的报文过滤规则访问的报文过滤规则计算机网络第9章 网络安全42对对FTP访问报文的过滤规则访问报文的过滤规则计算机网络第9章 网络安全43E-Mail服务的报文过滤规则服务的报文过滤规则计算机网络第9章 网络安全449.5 入侵检测技术入侵检测技术9.5.1 入侵检测的基本概念入侵检测的基本概念入侵检测系统（入侵检测系统（IDS）是对计算机和网络资源）是对计算机和网络资源的

14、恶意使用行为进行识别的系统。的恶意使用行为进行识别的系统。它的目的是监测和发现可能存在的攻击行为，它的目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户包括来自系统外部的入侵行为和来自内部用户的非授权行为，并采取相应的防护手段。的非授权行为，并采取相应的防护手段。计算机网络第9章 网络安全45入侵检测系统的基本功能主要有入侵检测系统的基本功能主要有：监控、分析用户和系统的行为监控、分析用户和系统的行为检查系统的配置和漏洞检查系统的配置和漏洞评估重要的系统和数据文件的完整性评估重要的系统和数据文件的完整性对异常行为的统计分析，识别攻击类型，并向对异常行为的统计分析，识别

15、攻击类型，并向网络管理人员报警网络管理人员报警对操作系统进行审计、跟踪管理，识别违反授对操作系统进行审计、跟踪管理，识别违反授权的用户活动权的用户活动计算机网络第9章 网络安全46入侵检测系统入侵检测系统IDS的通用框架结构的通用框架结构计算机网络第9章 网络安全479.5.2 入侵检测的基本方法入侵检测的基本方法基于主机的入侵检测系统的基本结构基于主机的入侵检测系统的基本结构计算机网络第9章 网络安全48基于网络的入侵检测系统的基本结构基于网络的入侵检测系统的基本结构计算机网络第9章 网络安全499.5.3 蜜罐技术的基本概念蜜罐技术的基本概念蜜罐（蜜罐（honeypot）是一个包含漏洞的诱

16、骗系统，通过）是一个包含漏洞的诱骗系统，通过模拟一个主机、服务器或其他网络设备，给攻击者提模拟一个主机、服务器或其他网络设备，给攻击者提供一个容易攻击的目标，用来被攻击和攻陷。供一个容易攻击的目标，用来被攻击和攻陷。设计蜜罐系统希望达到以下设计蜜罐系统希望达到以下三三个主要目的：个主要目的：转移网络攻击者对有价值的资源的注意力，保护网转移网络攻击者对有价值的资源的注意力，保护网 络络中中有价值的资源。有价值的资源。通过对攻击者的攻击目标、企图、行为与破坏方式通过对攻击者的攻击目标、企图、行为与破坏方式 等数据的收集、分析，了解网络安全状态，研究相等数据的收集、分析，了解网络安全状态，研究相 应

17、的对策。应的对策。对入侵者的行为和操作过程进行记录，为起诉入侵对入侵者的行为和操作过程进行记录，为起诉入侵 者搜集有用的证据。者搜集有用的证据。计算机网络第9章 网络安全509.6 网络业务持续性规划技术网络业务持续性规划技术9.6.1 网络文件备份与恢复的重要性网络文件备份与恢复的重要性网络文件备份恢复属于日常网络与信息系统维护的范网络文件备份恢复属于日常网络与信息系统维护的范畴，而业务持续性规划涉及对突发事件对网络与信息畴，而业务持续性规划涉及对突发事件对网络与信息系统影响的预防技术。系统影响的预防技术。由于自然灾害与人为的破坏，造成网络基础设施的破由于自然灾害与人为的破坏，造成网络基础设

18、施的破坏，将导致信息系统业务流程的非计划性中断。坏，将导致信息系统业务流程的非计划性中断。网络业务持续性规划技术针对可能出现的突发事件，网络业务持续性规划技术针对可能出现的突发事件，提前做好预防突发事件出现造成重大后果的预案，控提前做好预防突发事件出现造成重大后果的预案，控制突发事件对网络信息系统关键业务流程所造成的影制突发事件对网络信息系统关键业务流程所造成的影响。响。计算机网络第9章 网络安全519.6.2 业务持续性规划技术研究业务持续性规划技术研究业务持续性规划技术包括的基本内容业务持续性规划技术包括的基本内容：规划的方法学问题规划的方法学问题风险分析方法风险分析方法数据恢复规划数据恢

19、复规划计算机网络第9章 网络安全529.7 恶意代码与网络防病毒技术恶意代码与网络防病毒技术9.7.1 恶意代码的定义与演变过程恶意代码的定义与演变过程恶意传播代码（恶意传播代码（MMC）也称作）也称作“恶意代码恶意代码”或或“恶意程序恶意程序”。恶意代码是指：能够从一台计算机传播到另一恶意代码是指：能够从一台计算机传播到另一台计算机，从一个网络传播到一个网络的程序，台计算机，从一个网络传播到一个网络的程序，目的是在用户和网络管理员不知情的情况下对目的是在用户和网络管理员不知情的情况下对系统进行故意地修改。系统进行故意地修改。恶意代码具有如下三个共同的特征：恶意的目恶意代码具有如下三个共同的特

20、征：恶意的目的、本身是程序、通过执行发生作用。的、本身是程序、通过执行发生作用。计算机网络第9章 网络安全53恶意代码发展阶段划分恶意代码发展阶段划分：第一代：第一代：DOS病毒（病毒（1986年年1995年）年）第二代：宏病毒（第二代：宏病毒（1995年年2000年）年）第三代：网络蠕虫病毒（第三代：网络蠕虫病毒（1999年年2004年）年）第四代：趋利性恶意代码（第四代：趋利性恶意代码（2005年至今）年至今）计算机网络第9章 网络安全549.7.2 病毒的基本概念病毒的基本概念病毒（病毒（viruses）程序名称来源类似于生物学的）程序名称来源类似于生物学的病毒。病毒是指一段程序代码，通

21、过对其他程病毒。病毒是指一段程序代码，通过对其他程序进行修改，感染这些程序，使之成为含有该序进行修改，感染这些程序，使之成为含有该病毒程序的一个拷贝。病毒程序的一个拷贝。一般病毒具有两种基本的功能：一般病毒具有两种基本的功能：感染其他程序感染其他程序 破坏程序或系统的正常运行，或植入攻击破坏程序或系统的正常运行，或植入攻击计算机网络第9章 网络安全559.7.3 蠕虫的基本概念蠕虫的基本概念蠕虫是一种依靠自复制能力进行传播的程序。蠕虫是一种依靠自复制能力进行传播的程序。蠕虫可以利用电子邮件、聊天室等应用程序进蠕虫可以利用电子邮件、聊天室等应用程序进行传播。行传播。蠕虫可以将自己附在一封要发送出

22、的邮件上，蠕虫可以将自己附在一封要发送出的邮件上，或者在两个互相信任的系统之间，通过一条简或者在两个互相信任的系统之间，通过一条简单的单的FTP命令来传播。命令来传播。蠕虫一般不寄生在其他文件或引导区中。蠕虫一般不寄生在其他文件或引导区中。计算机网络第9章 网络安全569.7.4 特洛伊木马的基本概念特洛伊木马的基本概念特洛伊木马程序简称为特洛伊木马程序简称为“木马程序木马程序”。木马程序是专为欺骗用户，让用户以为它是友好程序木马程序是专为欺骗用户，让用户以为它是友好程序而设计的。而设计的。木马程序不改变或感染其他的文件，它只是伪装成一木马程序不改变或感染其他的文件，它只是伪装成一种正常程序，

23、随着其他的一些应用程序，装到用户计种正常程序，随着其他的一些应用程序，装到用户计算机中，但是程序是个什么的用户并不知道。算机中，但是程序是个什么的用户并不知道。木马程序不具备自我复制与传播能力，而是以伪装的木马程序不具备自我复制与传播能力，而是以伪装的欺骗手段诱使用户去激活木马程序。木欺骗手段诱使用户去激活木马程序。木马程序可以远程操控远程计算机，下载、安装其他恶马程序可以远程操控远程计算机，下载、安装其他恶意代码，窃取用户信息，删除数据和破坏系统。意代码，窃取用户信息，删除数据和破坏系统。很多木马程序就是后面程序。很多木马程序就是后面程序。计算机网络第9章 网络安全579.7.5 垃圾邮件的

24、基本概念垃圾邮件的基本概念垃圾邮件的定义垃圾邮件的定义：收件人事先没有提出要求或者不同意接收的广收件人事先没有提出要求或者不同意接收的广告、电子刊物、各种形式的宣传品等宣传性的告、电子刊物、各种形式的宣传品等宣传性的电子邮件。电子邮件。收件人无法拒收的电子邮件。收件人无法拒收的电子邮件。隐藏发件人身份、地址、标题等信息的电子邮隐藏发件人身份、地址、标题等信息的电子邮件。件。含有虚假的信息源、发件人、路由等信息的电含有虚假的信息源、发件人、路由等信息的电子邮件。子邮件。计算机网络第9章 网络安全58垃圾邮件的危害垃圾邮件的危害：垃圾邮件的仓储、传输占有了大量的网络存储资源与垃圾邮件的仓储、传输占

25、有了大量的网络存储资源与传输带宽，影响了正常的电子邮件服务。传输带宽，影响了正常的电子邮件服务。垃圾邮件的清理需要耗费用户大量的时间、精力与费垃圾邮件的清理需要耗费用户大量的时间、精力与费用，大大地降低了电子邮件使用效率与信任度。用，大大地降低了电子邮件使用效率与信任度。垃圾邮件经常包含了大量诈骗、色情，甚至是反动的垃圾邮件经常包含了大量诈骗、色情，甚至是反动的内容，对社会形成了危害。内容，对社会形成了危害。垃圾邮件常包含了病毒、网络钓鱼链接或挂马网站链垃圾邮件常包含了病毒、网络钓鱼链接或挂马网站链接，成为病毒传播的重要载体，威胁互联网的安全。接，成为病毒传播的重要载体，威胁互联网的安全。垃圾

26、邮件常常被攻击者利用，造成某些电子邮件服务垃圾邮件常常被攻击者利用，造成某些电子邮件服务器的瘫痪与资源耗尽，严重地影响系统的正常运行。器的瘫痪与资源耗尽，严重地影响系统的正常运行。垃圾邮件的泛滥严重地影响着垃圾邮件的泛滥严重地影响着ISP的服务质量与形象，的服务质量与形象，甚至使它们的甚至使它们的IP地址因大量转发地址因大量转发垃圾邮件而被封杀。垃圾邮件而被封杀。计算机网络第9章 网络安全599、静夜四无邻，荒居旧业贫。3月-233月-23Monday,March 20,202310、雨中黄叶树，灯下白头人。11:15:3311:15:3311:153/20/2023 11:15:33 AM1

27、1、以我独沈久，愧君相见频。3月-2311:15:3311:15Mar-2320-Mar-2312、故人江海别，几度隔山川。11:15:3311:15:3311:15Monday,March 20,202313、乍见翻疑梦，相悲各问年。3月-233月-2311:15:3311:15:33March 20,202314、他乡生白发，旧国见青山。20 三月 202311:15:33 上午11:15:333月-2315、比不了得就不比，得不到的就不要。三月 2311:15 上午3月-2311:15March 20,202316、行动出成果，工作出财富。2023/3/20 11:15:3311:15:

28、3320 March 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。11:15:33 上午11:15 上午11:15:333月-239、没有失败，只有暂时停止成功！。3月-233月-23Monday,March 20,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。11:15:3311:15:3311:153/20/2023 11:15:33 AM11、成功就是日复一日那一点点小小努力的积累。3月-2311:15:3311:15Mar-2320-Mar-2312、世间成事，不求其绝对圆满，留一份不足，可得无限完美。11:15:3311:15

29、:3311:15Monday,March 20,202313、不知香积寺，数里入云峰。3月-233月-2311:15:3311:15:33March 20,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。20 三月 202311:15:33 上午11:15:333月-2315、楚塞三湘接，荆门九派通。三月 2311:15 上午3月-2311:15March 20,202316、少年十五二十时，步行夺得胡马骑。2023/3/20 11:15:3311:15:3320 March 202317、空山新雨后，天气晚来秋。11:15:33 上午11:15 上午11:15:333月-239

30、、杨柳散和风，青山澹吾虑。3月-233月-23Monday,March 20,202310、阅读一切好书如同和过去最杰出的人谈话。11:15:3311:15:3311:153/20/2023 11:15:33 AM11、越是没有本领的就越加自命不凡。3月-2311:15:3311:15Mar-2320-Mar-2312、越是无能的人，越喜欢挑剔别人的错儿。11:15:3311:15:3311:15Monday,March 20,202313、知人者智，自知者明。胜人者有力，自胜者强。3月-233月-2311:15:3311:15:33March 20,202314、意志坚强的人能把世界放在手中

31、像泥块一样任意揉捏。20 三月 202311:15:33 上午11:15:333月-2315、最具挑战性的挑战莫过于提升自我。三月 2311:15 上午3月-2311:15March 20,202316、业余生活要有意义，不要越轨。2023/3/20 11:15:3311:15:3320 March 202317、一个人即使已登上顶峰，也仍要自强不息。11:15:33 上午11:15 上午11:15:333月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉