1、2022-6-9網(wǎng)絡(luò)安全概述1本章主要內(nèi)容：本章主要內(nèi)容：9.1 網(wǎng)絡(luò)通信的安全性網(wǎng)絡(luò)通信的安全性 9.2 網(wǎng)絡(luò)通信存在的安全威脅網(wǎng)絡(luò)通信存在的安全威脅9.3 調(diào)制解調(diào)器的安全調(diào)制解調(diào)器的安全 9.4 IP安全安全 2022-6-9網(wǎng)絡(luò)安全概述2l網(wǎng)絡(luò)通信線路的安全網(wǎng)絡(luò)通信線路的安全l網(wǎng)絡(luò)通信存在的安全威脅網(wǎng)絡(luò)通信存在的安全威脅l IP安全、安全、Psec的概念的概念2022-6-9網(wǎng)絡(luò)安全概述3l不同層的安全不同層的安全lIP安全機(jī)制安全機(jī)制2022-6-9網(wǎng)絡(luò)安全概述4熟練掌握以下內(nèi)容熟練掌握以下內(nèi)容：l網(wǎng)絡(luò)通信線路的安全網(wǎng)絡(luò)通信線路的安全 l傳輸過程中威脅傳輸過程中威脅lIP基礎(chǔ)知識(shí)、基

2、礎(chǔ)知識(shí)、IP安全和安全和IPsec安全安全了解以下內(nèi)容：了解以下內(nèi)容：l不同層的安全不同層的安全lRAS的安全性的安全性2022-6-9網(wǎng)絡(luò)安全概述5隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)很重要的問題。為了能夠已經(jīng)成為一個(gè)很重要的問題。為了能夠使網(wǎng)絡(luò)上的各種資源達(dá)到網(wǎng)絡(luò)共享的目使網(wǎng)絡(luò)上的各種資源達(dá)到網(wǎng)絡(luò)共享的目的，就必須保證計(jì)算機(jī)通信網(wǎng)絡(luò)具有很的，就必須保證計(jì)算機(jī)通信網(wǎng)絡(luò)具有很高的通信安全性。不僅要充分認(rèn)識(shí)計(jì)算高的通信安全性。不僅要充分認(rèn)識(shí)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的脆弱性和面臨的各種威脅，機(jī)網(wǎng)絡(luò)系統(tǒng)的脆弱性和面臨的各種威脅，還要采取各種卓有成效的安全策略

3、，保還要采取各種卓有成效的安全策略，保證計(jì)算機(jī)網(wǎng)絡(luò)具有高度的保密性和完整證計(jì)算機(jī)網(wǎng)絡(luò)具有高度的保密性和完整性。性。2022-6-9網(wǎng)絡(luò)安全概述6l線路安全線路安全 l不同層的安全不同層的安全 2022-6-9網(wǎng)絡(luò)安全概述7l如果所有的系統(tǒng)和所有連接到系統(tǒng)的網(wǎng)絡(luò)和連接到系如果所有的系統(tǒng)和所有連接到系統(tǒng)的網(wǎng)絡(luò)和連接到系統(tǒng)的終端都封閉在一個(gè)環(huán)境里，那通信是安全的，但統(tǒng)的終端都封閉在一個(gè)環(huán)境里，那通信是安全的，但是，現(xiàn)在通信網(wǎng)絡(luò)業(yè)的發(fā)達(dá)，所有系統(tǒng)不可能封閉在是，現(xiàn)在通信網(wǎng)絡(luò)業(yè)的發(fā)達(dá)，所有系統(tǒng)不可能封閉在一個(gè)環(huán)境中，因此當(dāng)系統(tǒng)的通信線在這個(gè)封閉的環(huán)境一個(gè)環(huán)境中，因此當(dāng)系統(tǒng)的通信線在這個(gè)封閉的環(huán)境外，問題

4、便會(huì)隨之而來。外，問題便會(huì)隨之而來。l用一種簡(jiǎn)單但很昂貴的高新技術(shù)給電纜加壓，可以獲用一種簡(jiǎn)單但很昂貴的高新技術(shù)給電纜加壓，可以獲得通信的物理安全。這一技術(shù)是為美國電話技術(shù)而開得通信的物理安全。這一技術(shù)是為美國電話技術(shù)而開發(fā)的。通信電纜密封在塑料套管中，并在線纜的兩端發(fā)的。通信電纜密封在塑料套管中，并在線纜的兩端充氣加壓。線上連接了帶有報(bào)警器的顯示器，用來測(cè)充氣加壓。線上連接了帶有報(bào)警器的顯示器，用來測(cè)量壓力。如果壓力下降，則意味著電纜可能被破壞了，量壓力。如果壓力下降，則意味著電纜可能被破壞了，維修人員將被派出維修出現(xiàn)問題的電纜。維修人員將被派出維修出現(xiàn)問題的電纜。2022-6-9網(wǎng)絡(luò)安全概

5、述8l電纜加壓技術(shù)提供了安全的通信線路。不是將電纜加壓技術(shù)提供了安全的通信線路。不是將電纜埋在地下，而是架線于整座樓中，每寸電電纜埋在地下，而是架線于整座樓中，每寸電纜都暴露在外。如果任何人企圖割電纜，監(jiān)視纜都暴露在外。如果任何人企圖割電纜，監(jiān)視器會(huì)自動(dòng)報(bào)警。如果有人成功地在電纜上接上器會(huì)自動(dòng)報(bào)警。如果有人成功地在電纜上接上了自己的通訊設(shè)備，安全人員定期檢查電纜的了自己的通訊設(shè)備，安全人員定期檢查電纜的總長(zhǎng)度，就會(huì)發(fā)現(xiàn)電纜的拼接處。加壓電纜是總長(zhǎng)度，就會(huì)發(fā)現(xiàn)電纜的拼接處。加壓電纜是屏蔽在波紋鋁鋼包皮中的，因此幾乎沒有電磁屏蔽在波紋鋁鋼包皮中的，因此幾乎沒有電磁輻射，如果要用電磁感應(yīng)竊密，勢(shì)必會(huì)

6、動(dòng)用大輻射，如果要用電磁感應(yīng)竊密，勢(shì)必會(huì)動(dòng)用大量可見的設(shè)備，因此很容易被發(fā)覺。量可見的設(shè)備，因此很容易被發(fā)覺。2022-6-9網(wǎng)絡(luò)安全概述91. Internet層的安全性l對(duì)于對(duì)于Internet層的安全協(xié)議進(jìn)行標(biāo)準(zhǔn)化的工作已經(jīng)進(jìn)行的很多，比較典層的安全協(xié)議進(jìn)行標(biāo)準(zhǔn)化的工作已經(jīng)進(jìn)行的很多，比較典型的有美國國家安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)為型的有美國國家安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)為“安全數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)安全數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)（SDNS）”的一部分而制定的的一部分而制定的“安全協(xié)議安全協(xié)議3號(hào)（號(hào)（SP3）”；由國際標(biāo)準(zhǔn)；由國際標(biāo)準(zhǔn)化組織為化組織為“無連接網(wǎng)絡(luò)協(xié)議（無連接網(wǎng)絡(luò)協(xié)議（CLNP）”制定的制定的“網(wǎng)絡(luò)層安

7、全協(xié)議網(wǎng)絡(luò)層安全協(xié)議（NLSP）”；由美國國家科技研究所提出的；由美國國家科技研究所提出的“集成化集成化NLSP”等。這些等。這些協(xié)議用的都是協(xié)議用的都是IP封裝技術(shù)。封裝技術(shù)。lInternet 工程特譴組工程特譴組IETF（Internet Engineering Task Force）已經(jīng)特）已經(jīng)特許許Internet協(xié)議安全協(xié)議（協(xié)議安全協(xié)議（IPSEC）工作組對(duì)）工作組對(duì)IP安全協(xié)議（安全協(xié)議（IPSP）和對(duì)）和對(duì)應(yīng)的應(yīng)的Internet密鑰管理協(xié)議（密鑰管理協(xié)議（IKMP）進(jìn)行標(biāo)準(zhǔn)化工作。）進(jìn)行標(biāo)準(zhǔn)化工作。IPSP的主要目的的主要目的是使需要使用安全措施的用戶能夠使用相應(yīng)的加密安全

8、體制。該體制既是使需要使用安全措施的用戶能夠使用相應(yīng)的加密安全體制。該體制既能在目前通行的能在目前通行的IP V4下工作，也能在下工作，也能在IP V6下工作。該體制必須能實(shí)行下工作。該體制必須能實(shí)行多種安全策略，但要避免給不使用該體制的人造成不利影響。按照以上多種安全策略，但要避免給不使用該體制的人造成不利影響。按照以上要求，要求，IPSEC工作組制定了一個(gè)規(guī)范：認(rèn)證頭（工作組制定了一個(gè)規(guī)范：認(rèn)證頭（Authentication Header，AH）和封裝安全有效負(fù)荷（）和封裝安全有效負(fù)荷（Encapsulating Security Payload，ESP）。簡(jiǎn)言之，）。簡(jiǎn)言之，AH提供提

9、供IP包的真實(shí)性和完整性，包的真實(shí)性和完整性，ESP提供提供機(jī)要內(nèi)容。機(jī)要內(nèi)容。2022-6-9網(wǎng)絡(luò)安全概述10lIP AH 指一段消息認(rèn)證代碼（指一段消息認(rèn)證代碼（Message Authentication Code，MAC），在發(fā)送），在發(fā)送IP包之前，它已經(jīng)被事先計(jì)算好。發(fā)送方用加密包之前，它已經(jīng)被事先計(jì)算好。發(fā)送方用加密密鑰算出密鑰算出AH，接收方用同一或另一密鑰對(duì)之進(jìn)行驗(yàn)證。如果收，接收方用同一或另一密鑰對(duì)之進(jìn)行驗(yàn)證。如果收發(fā)雙方使用的是單鑰體制，那它們就使用同一密鑰；如果收發(fā)雙發(fā)雙方使用的是單鑰體制，那它們就使用同一密鑰；如果收發(fā)雙方使用的是公鑰體制，那它們就使用不同的密鑰。方使

10、用的是公鑰體制，那它們就使用不同的密鑰。RFC 1828首首次規(guī)定了加封狀態(tài)下次規(guī)定了加封狀態(tài)下AH的計(jì)算和驗(yàn)證中要采用帶密鑰的的計(jì)算和驗(yàn)證中要采用帶密鑰的MD5算算法。而與此同時(shí)，法。而與此同時(shí)，MD5和加封狀態(tài)都被批評(píng)為加密強(qiáng)度太弱，并和加封狀態(tài)都被批評(píng)為加密強(qiáng)度太弱，并有替換的方案提出。有替換的方案提出。lIP ESP的基本想法是對(duì)整個(gè)的基本想法是對(duì)整個(gè)IP包進(jìn)行封裝，或者只對(duì)包進(jìn)行封裝，或者只對(duì)ESP內(nèi)上層內(nèi)上層協(xié)議的數(shù)據(jù)（運(yùn)輸狀態(tài)）進(jìn)行封裝，并對(duì)協(xié)議的數(shù)據(jù)（運(yùn)輸狀態(tài)）進(jìn)行封裝，并對(duì)ESP的絕大部分?jǐn)?shù)據(jù)進(jìn)的絕大部分?jǐn)?shù)據(jù)進(jìn)行加密。在管道狀態(tài)下，為當(dāng)前已經(jīng)加密的行加密。在管道狀態(tài)下，為當(dāng)前

11、已經(jīng)加密的ESP附加了一個(gè)新的附加了一個(gè)新的IP頭（純文本），它可以用來對(duì)頭（純文本），它可以用來對(duì)IP包在包在Internet上作路由選擇。上作路由選擇。接受方把這個(gè)接受方把這個(gè)IP 頭去掉，再對(duì)頭去掉，再對(duì)ESP 進(jìn)行解密，處理并去掉進(jìn)行解密，處理并去掉ESP 頭。再對(duì)原來的頭。再對(duì)原來的IP 包或更高層的協(xié)議的數(shù)據(jù)像普通的包或更高層的協(xié)議的數(shù)據(jù)像普通的IP包那樣進(jìn)包那樣進(jìn)行處理。行處理。2022-6-9網(wǎng)絡(luò)安全概述11lInternet層安全性的主要優(yōu)點(diǎn)是它的透明性，也就是說，層安全性的主要優(yōu)點(diǎn)是它的透明性，也就是說，提供完全服務(wù)并不需要應(yīng)用程序、其它通信層協(xié)議和提供完全服務(wù)并不需要應(yīng)用

12、程序、其它通信層協(xié)議和網(wǎng)絡(luò)部件做任何改動(dòng)。它的主要缺點(diǎn)是網(wǎng)絡(luò)部件做任何改動(dòng)。它的主要缺點(diǎn)是Internet層一般層一般對(duì)屬于不同進(jìn)度和相應(yīng)條例的包不作區(qū)別。對(duì)所有去對(duì)屬于不同進(jìn)度和相應(yīng)條例的包不作區(qū)別。對(duì)所有去網(wǎng)絡(luò)中同一地址的包，它將按照同樣的加密密鑰和訪網(wǎng)絡(luò)中同一地址的包，它將按照同樣的加密密鑰和訪問控制策略來處理。這可能導(dǎo)致提供不了所需的功能，問控制策略來處理。這可能導(dǎo)致提供不了所需的功能，也會(huì)導(dǎo)致性能下降。也會(huì)導(dǎo)致性能下降。l簡(jiǎn)而言之，簡(jiǎn)而言之，Internet層是非常適合提供基于主機(jī)對(duì)主機(jī)層是非常適合提供基于主機(jī)對(duì)主機(jī)的安全服務(wù)的。相應(yīng)的安全協(xié)議可以用來在的安全服務(wù)的。相應(yīng)的安全協(xié)議可

13、以用來在Internet上上建立安全的建立安全的IP通道和虛擬私有網(wǎng)。例如，利用它對(duì)通道和虛擬私有網(wǎng)。例如，利用它對(duì)IP包的加密和解密功能，可以簡(jiǎn)捷地強(qiáng)化防火墻系統(tǒng)的包的加密和解密功能，可以簡(jiǎn)捷地強(qiáng)化防火墻系統(tǒng)的防衛(wèi)能力。防衛(wèi)能力。2022-6-9網(wǎng)絡(luò)安全概述122. 傳輸層的安全性l在在Internet應(yīng)用編程中，通常使用廣義的進(jìn)程間通信應(yīng)用編程中，通常使用廣義的進(jìn)程間通信（IPC）機(jī)制來與不同層次的安全協(xié)議打交道。比較流）機(jī)制來與不同層次的安全協(xié)議打交道。比較流行的兩個(gè)行的兩個(gè)IPC編程界面是編程界面是BSD Sockets和傳輸層界面和傳輸層界面（TLI）.Netscape通信公司遵循了

14、這個(gè)思路，制定了通信公司遵循了這個(gè)思路，制定了建立在可靠的傳輸服務(wù)（如建立在可靠的傳輸服務(wù)（如TCP/IP可提供）基礎(chǔ)上的可提供）基礎(chǔ)上的安全套接層協(xié)議（安全套接層協(xié)議（SSL）。）。SSL版本版本3于于1995年年2月制月制定，它主要包含以下兩個(gè)協(xié)議：定，它主要包含以下兩個(gè)協(xié)議：l（1）SSL記錄協(xié)議：它涉及應(yīng)用程序提供的信息的分記錄協(xié)議：它涉及應(yīng)用程序提供的信息的分段、壓縮、數(shù)據(jù)認(rèn)證和加密。段、壓縮、數(shù)據(jù)認(rèn)證和加密。SSL v3提供對(duì)數(shù)據(jù)認(rèn)證提供對(duì)數(shù)據(jù)認(rèn)證用的用的MD5和和SHA以及數(shù)據(jù)加密用的以及數(shù)據(jù)加密用的R4和和DES等的支持，等的支持，用來對(duì)數(shù)據(jù)進(jìn)行認(rèn)證和加密的密鑰可以通過和用來對(duì)

15、數(shù)據(jù)進(jìn)行認(rèn)證和加密的密鑰可以通過和SSL的的握手協(xié)議來協(xié)商。握手協(xié)議來協(xié)商。2022-6-9網(wǎng)絡(luò)安全概述13（2）SSL握手協(xié)議：它用來交換版本號(hào)、加密握手協(xié)議：它用來交換版本號(hào)、加密算法、（相互）身份認(rèn)證并交換密鑰，算法、（相互）身份認(rèn)證并交換密鑰，SSL v3提供對(duì)提供對(duì)Deffie-Hellman密鑰交換算法、基于密鑰交換算法、基于RSA的密鑰交換機(jī)制和另一種實(shí)現(xiàn)在的密鑰交換機(jī)制和另一種實(shí)現(xiàn)在Fortezza chip 上的密鑰交換機(jī)制的支持。上的密鑰交換機(jī)制的支持。l傳輸層安全機(jī)制的主要缺點(diǎn)就是要對(duì)傳輸層傳輸層安全機(jī)制的主要缺點(diǎn)就是要對(duì)傳輸層IPC界面和應(yīng)用程序兩端都進(jìn)行修改和基于界面

16、和應(yīng)用程序兩端都進(jìn)行修改和基于UDP的通信很難在傳輸層建立起安全機(jī)制來。的通信很難在傳輸層建立起安全機(jī)制來。傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程對(duì)進(jìn)程的（而不是主機(jī)對(duì)主機(jī)的）安全服務(wù)。對(duì)進(jìn)程的（而不是主機(jī)對(duì)主機(jī)的）安全服務(wù)。2022-6-9網(wǎng)絡(luò)安全概述143. 應(yīng)用層的安全性l在應(yīng)用層提供安全服務(wù)的方法比較多。在在應(yīng)用層提供安全服務(wù)的方法比較多。在RFC 1421至至1424中中,IETF規(guī)定了私用強(qiáng)化郵件（規(guī)定了私用強(qiáng)化郵件（PEM）來為基于）來為基于SMTP的電子郵件系統(tǒng)提供安全服務(wù)。而的電子郵件系統(tǒng)提供安全服務(wù)。而Internet業(yè)界業(yè)界采納采

17、納PEM的步子還是比較慢的主要原因是的步子還是比較慢的主要原因是PEM依賴于依賴于一個(gè)現(xiàn)存的、完全可操作的一個(gè)現(xiàn)存的、完全可操作的PKI（公鑰基礎(chǔ)結(jié)構(gòu)）。（公鑰基礎(chǔ)結(jié)構(gòu)）。PEM PKI是按層次組織的，由下述三個(gè)層次構(gòu)成：是按層次組織的，由下述三個(gè)層次構(gòu)成：l（1）頂層為）頂層為Internet安全政策登記機(jī)構(gòu)（安全政策登記機(jī)構(gòu)（IPRA）l（2）次層為安全政策證書頒發(fā)機(jī)構(gòu)（）次層為安全政策證書頒發(fā)機(jī)構(gòu)（PCA）l（3）底層為證書頒發(fā)機(jī)構(gòu)（）底層為證書頒發(fā)機(jī)構(gòu)（CA）2022-6-9網(wǎng)絡(luò)安全概述15lS-HTTP是是Web上使用的超文本傳輸協(xié)議的安全增強(qiáng)上使用的超文本傳輸協(xié)議的安全增強(qiáng)版本，由

18、企業(yè)集成技術(shù)公司設(shè)計(jì)。版本，由企業(yè)集成技術(shù)公司設(shè)計(jì)。S-HTTP提供了文件提供了文件級(jí)的安全機(jī)制，因此每個(gè)文件都可以被設(shè)成私人級(jí)的安全機(jī)制，因此每個(gè)文件都可以被設(shè)成私人/簽字簽字狀態(tài)。用作加密及簽名的算法可以由參與通信的收發(fā)狀態(tài)。用作加密及簽名的算法可以由參與通信的收發(fā)雙方協(xié)商。雙方協(xié)商。S-HTTP提供了對(duì)多種單向散列（提供了對(duì)多種單向散列（Hash）函數(shù)的支持，如：函數(shù)的支持，如：MD2、MD5和和SHA；對(duì)多種單鑰體；對(duì)多種單鑰體制的支持，如：制的支持，如：DES、3DES、RC2、RC4和和CDMF；對(duì)數(shù)字簽名體制的支持，如：對(duì)數(shù)字簽名體制的支持，如：RSA和和DSS。l目前還沒有目前

19、還沒有Web安全性的公認(rèn)標(biāo)準(zhǔn)，安全性的公認(rèn)標(biāo)準(zhǔn)，S-HTTP和和SSL是是從不同角度提供從不同角度提供Web安全性的。安全性的。S-HTTP對(duì)單個(gè)文件對(duì)單個(gè)文件作作“私人私人/簽字簽字”之區(qū)分，而之區(qū)分，而SSL則把則把 2022-6-9網(wǎng)絡(luò)安全概述16l參與通信的相應(yīng)進(jìn)程之間的數(shù)據(jù)通道按參與通信的相應(yīng)進(jìn)程之間的數(shù)據(jù)通道按“私用私用”和和“已已認(rèn)證認(rèn)證”進(jìn)行監(jiān)管。進(jìn)行監(jiān)管。Terisa公司的公司的SecereWeb工具軟件包工具軟件包可以用來為任何可以用來為任何Web提供安全功能。該工具軟件包提供提供安全功能。該工具軟件包提供有有RSA數(shù)據(jù)安全公司的加密算法庫，并提供對(duì)數(shù)據(jù)安全公司的加密算法庫

20、，并提供對(duì)SSL和和S-HTTP的全面支持。的全面支持。l另一個(gè)重要的應(yīng)用是電子商務(wù)，尤其是信用卡交易。為另一個(gè)重要的應(yīng)用是電子商務(wù)，尤其是信用卡交易。為了使了使Internet上的信用卡交易安全起見，上的信用卡交易安全起見，MasterCard公公司和其它一些國際信用卡公司指定了安全電子付費(fèi)協(xié)議司和其它一些國際信用卡公司指定了安全電子付費(fèi)協(xié)議（SEPP），），Visa國際公司和微軟公司制定了安全交易國際公司和微軟公司制定了安全交易技術(shù)（技術(shù)（STT）協(xié)議。同時(shí)，）協(xié)議。同時(shí)，MasterCard、Visa國際和國際和微軟已經(jīng)同意聯(lián)手推出微軟已經(jīng)同意聯(lián)手推出Internet上的安全信用卡交易服

21、上的安全信用卡交易服務(wù)。他們發(fā)布了相應(yīng)的安全付費(fèi)的方法。這套機(jī)制的后務(wù)。他們發(fā)布了相應(yīng)的安全付費(fèi)的方法。這套機(jī)制的后臺(tái)有一個(gè)頒發(fā)證書的基礎(chǔ)機(jī)構(gòu)，提供對(duì)臺(tái)有一個(gè)頒發(fā)證書的基礎(chǔ)機(jī)構(gòu)，提供對(duì)X.509證書的支證書的支持。持。2022-6-9網(wǎng)絡(luò)安全概述17l9.2.1 傳輸過程中的威脅l9.2.2 TCP/IP協(xié)議的脆弱性2022-6-9網(wǎng)絡(luò)安全概述18l1安全威脅l計(jì)算機(jī)網(wǎng)絡(luò)通信安全即數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸過計(jì)算機(jī)網(wǎng)絡(luò)通信安全即數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸過程的安全，是指如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^程的安全，是指如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^程中不被泄露與不被攻擊的問題。當(dāng)網(wǎng)絡(luò)中的程中不被泄露與不被攻擊的問題。當(dāng)網(wǎng)絡(luò)

22、中的計(jì)算機(jī)通信雙方的發(fā)送方給接收方發(fā)送信息時(shí)，計(jì)算機(jī)通信雙方的發(fā)送方給接收方發(fā)送信息時(shí)，在傳輸?shù)倪^程中可能會(huì)有截獲、竊聽、篡改和在傳輸?shù)倪^程中可能會(huì)有截獲、竊聽、篡改和偽造四種攻擊類型發(fā)生。偽造四種攻擊類型發(fā)生。l1）截獲）截獲l信息被非法用戶截獲，這時(shí)接收方?jīng)]有接收到信息被非法用戶截獲，這時(shí)接收方?jīng)]有接收到應(yīng)該接收的信息，從而使信息中途丟失。應(yīng)該接收的信息，從而使信息中途丟失。2022-6-9網(wǎng)絡(luò)安全概述192）竊聽）竊聽l信息雖然沒有丟失，接收方也接收到了應(yīng)該接收的信息，信息雖然沒有丟失，接收方也接收到了應(yīng)該接收的信息，但該信息已被不該看的人看到。如果傳輸?shù)男畔⑹怯嘘P(guān)但該信息已被不該看的人

23、看到。如果傳輸?shù)男畔⑹怯嘘P(guān)政治、軍事或經(jīng)濟(jì)信息方面的重要信息，那么就有可能政治、軍事或經(jīng)濟(jì)信息方面的重要信息，那么就有可能造成嚴(yán)重的問題。造成嚴(yán)重的問題。3）篡改）篡改l信息表面上雖然沒有丟失，接收方也接收到了信息，但信息表面上雖然沒有丟失，接收方也接收到了信息，但該信息在傳輸?shù)倪^程中已被截獲并被修改過，或插入了該信息在傳輸?shù)倪^程中已被截獲并被修改過，或插入了欺騙性的信息，實(shí)際上接收方所接收的信息是錯(cuò)誤的。欺騙性的信息，實(shí)際上接收方所接收的信息是錯(cuò)誤的。4）偽造）偽造l發(fā)送方并沒有發(fā)送信息給接收方，而接收方收到的信息發(fā)送方并沒有發(fā)送信息給接收方，而接收方收到的信息是第三方偽造的，如果接收方不能

24、通過有效辦法發(fā)現(xiàn)這是第三方偽造的，如果接收方不能通過有效辦法發(fā)現(xiàn)這一情況，那就有可能會(huì)出現(xiàn)嚴(yán)重的后果。一情況，那就有可能會(huì)出現(xiàn)嚴(yán)重的后果。2022-6-9網(wǎng)絡(luò)安全概述202防范措施加密l防止網(wǎng)絡(luò)竊聽最好的方法就是給網(wǎng)上的信息加密，使得防止網(wǎng)絡(luò)竊聽最好的方法就是給網(wǎng)上的信息加密，使得偵聽程序無法識(shí)別這些信息模式。加密也可以提高終端偵聽程序無法識(shí)別這些信息模式。加密也可以提高終端和網(wǎng)絡(luò)通信的安全，有三種方法加密傳輸數(shù)據(jù)。和網(wǎng)絡(luò)通信的安全，有三種方法加密傳輸數(shù)據(jù)。1）鏈接加密）鏈接加密l在網(wǎng)絡(luò)節(jié)點(diǎn)間加密，在節(jié)點(diǎn)間傳輸加密，傳送到節(jié)點(diǎn)后在網(wǎng)絡(luò)節(jié)點(diǎn)間加密，在節(jié)點(diǎn)間傳輸加密，傳送到節(jié)點(diǎn)后解密，同節(jié)點(diǎn)之間用

25、不同的密碼。解密，同節(jié)點(diǎn)之間用不同的密碼。2）節(jié)點(diǎn)加密）節(jié)點(diǎn)加密l與鏈接加密類似，不同的只是當(dāng)數(shù)據(jù)在節(jié)點(diǎn)間傳送時(shí)，與鏈接加密類似，不同的只是當(dāng)數(shù)據(jù)在節(jié)點(diǎn)間傳送時(shí)，不用明碼格式傳送，而是用特殊的加密硬件進(jìn)行解密和不用明碼格式傳送，而是用特殊的加密硬件進(jìn)行解密和重加密，這種專用硬件通常旋轉(zhuǎn)在安全保險(xiǎn)箱中。重加密，這種專用硬件通常旋轉(zhuǎn)在安全保險(xiǎn)箱中。2022-6-9網(wǎng)絡(luò)安全概述213）首尾加密）首尾加密l這種方法的優(yōu)點(diǎn)是網(wǎng)絡(luò)上的每個(gè)用戶（通常是每個(gè)機(jī)器這種方法的優(yōu)點(diǎn)是網(wǎng)絡(luò)上的每個(gè)用戶（通常是每個(gè)機(jī)器的一個(gè)用戶）可以有不同的加密關(guān)鍵詞，并且網(wǎng)絡(luò)本身的一個(gè)用戶）可以有不同的加密關(guān)鍵詞，并且網(wǎng)絡(luò)本身不需要

26、增添任何專門的加密設(shè)備。缺點(diǎn)是每個(gè)系統(tǒng)必須不需要增添任何專門的加密設(shè)備。缺點(diǎn)是每個(gè)系統(tǒng)必須有一個(gè)加密設(shè)備和相應(yīng)的軟件（管理加密關(guān)鍵詞）。或有一個(gè)加密設(shè)備和相應(yīng)的軟件（管理加密關(guān)鍵詞）?；蛘呙總€(gè)系統(tǒng)必須自己完成加密工作（當(dāng)數(shù)據(jù)傳輸速率是者每個(gè)系統(tǒng)必須自己完成加密工作（當(dāng)數(shù)據(jù)傳輸速率是按兆位秒的單位計(jì)算時(shí)，加密任務(wù)的計(jì)算量是非常大按兆位秒的單位計(jì)算時(shí)，加密任務(wù)的計(jì)算量是非常大的）。終端數(shù)據(jù)加密是一種特殊情況，此時(shí)鏈接加密法的）。終端數(shù)據(jù)加密是一種特殊情況，此時(shí)鏈接加密法和首尾加密法是一樣的方法，終端和計(jì)算機(jī)都是即為節(jié)和首尾加密法是一樣的方法，終端和計(jì)算機(jī)都是即為節(jié)點(diǎn)又為終止端點(diǎn)。點(diǎn)又為終止端點(diǎn)。2

27、022-6-9網(wǎng)絡(luò)安全概述221. TCP/IP協(xié)議的特點(diǎn)l為了能使全世界各地的網(wǎng)絡(luò)作為因特網(wǎng)的子網(wǎng)接入，并為了能使全世界各地的網(wǎng)絡(luò)作為因特網(wǎng)的子網(wǎng)接入，并允許連入各個(gè)子網(wǎng)的計(jì)算機(jī)在具有不同類型和使用不同允許連入各個(gè)子網(wǎng)的計(jì)算機(jī)在具有不同類型和使用不同操作系統(tǒng)的情況下，保證因特網(wǎng)能夠正常工作，要求所操作系統(tǒng)的情況下，保證因特網(wǎng)能夠正常工作，要求所有連入因特網(wǎng)的計(jì)算機(jī)都使用相同的通信協(xié)議，即有連入因特網(wǎng)的計(jì)算機(jī)都使用相同的通信協(xié)議，即TCP/IP協(xié)議。協(xié)議。lTCP/IP協(xié)議包括協(xié)議包括TCP協(xié)議、協(xié)議、IP協(xié)議及其他一些協(xié)議。協(xié)議及其他一些協(xié)議。TCP協(xié)議主要用于在應(yīng)用程序之間傳送數(shù)據(jù)，而協(xié)議

28、主要用于在應(yīng)用程序之間傳送數(shù)據(jù)，而IP協(xié)議協(xié)議主要用于在主機(jī)之間傳送數(shù)據(jù)。雖然主要用于在主機(jī)之間傳送數(shù)據(jù)。雖然TCP/IP協(xié)議都不是協(xié)議都不是OSI標(biāo)準(zhǔn)，但它們被認(rèn)為是公認(rèn)的事實(shí)上的標(biāo)準(zhǔn)，是因特標(biāo)準(zhǔn)，但它們被認(rèn)為是公認(rèn)的事實(shí)上的標(biāo)準(zhǔn)，是因特網(wǎng)中計(jì)算機(jī)之間通信時(shí)必須共同遵循的一種通信協(xié)議。網(wǎng)中計(jì)算機(jī)之間通信時(shí)必須共同遵循的一種通信協(xié)議。它不僅規(guī)定了計(jì)算機(jī)之間通信的所有細(xì)節(jié)，每臺(tái)計(jì)算機(jī)它不僅規(guī)定了計(jì)算機(jī)之間通信的所有細(xì)節(jié)，每臺(tái)計(jì)算機(jī)信息表示的格式與含義，還規(guī)定了計(jì)算機(jī)之間通信所使信息表示的格式與含義，還規(guī)定了計(jì)算機(jī)之間通信所使用的控制信息和接到控制信息的所做出的反應(yīng)。用的控制信息和接到控制信息的所

29、做出的反應(yīng)。2022-6-9網(wǎng)絡(luò)安全概述231. TCP/IP協(xié)議的特點(diǎn)lTCP/IP協(xié)議可以免費(fèi)使用，是開放的協(xié)議標(biāo)準(zhǔn)。它獨(dú)立協(xié)議可以免費(fèi)使用，是開放的協(xié)議標(biāo)準(zhǔn)。它獨(dú)立于特定的網(wǎng)絡(luò)硬件、計(jì)算機(jī)硬件和操作系統(tǒng)，具有標(biāo)準(zhǔn)于特定的網(wǎng)絡(luò)硬件、計(jì)算機(jī)硬件和操作系統(tǒng)，具有標(biāo)準(zhǔn)化的高層協(xié)議，可以提供多種可靠的用戶服務(wù)，使得整化的高層協(xié)議，可以提供多種可靠的用戶服務(wù)，使得整個(gè)個(gè)TCP/IP設(shè)備在網(wǎng)中都具有唯一的地址。設(shè)備在網(wǎng)中都具有唯一的地址。l基于基于TCP/IP協(xié)議的服務(wù)有很多，常用如協(xié)議的服務(wù)有很多，常用如WWW服務(wù)、服務(wù)、FTP服務(wù)；人們不太熟悉的有服務(wù)；人們不太熟悉的有TFTP服務(wù)、服務(wù)、NFS服

30、務(wù)和服務(wù)和Finger服務(wù)等，這些服務(wù)都在不同程度上存在著安全缺服務(wù)等，這些服務(wù)都在不同程度上存在著安全缺陷。當(dāng)用戶使用防火墻保護(hù)站點(diǎn)時(shí)，就要考慮好應(yīng)允許陷。當(dāng)用戶使用防火墻保護(hù)站點(diǎn)時(shí)，就要考慮好應(yīng)允許提供那些服務(wù)、禁止那些服務(wù)等。提供那些服務(wù)、禁止那些服務(wù)等。2022-6-9網(wǎng)絡(luò)安全概述24l2. TCP/IP 協(xié)議的安全缺陷lTCP/IP協(xié)議是因特網(wǎng)使用的最基本的通信協(xié)議，由于該協(xié)協(xié)議是因特網(wǎng)使用的最基本的通信協(xié)議，由于該協(xié)議在創(chuàng)建時(shí)只是想要擴(kuò)展它，在定義議在創(chuàng)建時(shí)只是想要擴(kuò)展它，在定義TCP/IP和其他相關(guān)協(xié)和其他相關(guān)協(xié)議時(shí)沒有考慮其安全性?，F(xiàn)存的議時(shí)沒有考慮其安全性?，F(xiàn)存的TCP/IP

31、協(xié)議有一些安全缺協(xié)議有一些安全缺陷，它們是：易被竊聽和欺騙、脆弱的陷，它們是：易被竊聽和欺騙、脆弱的TCP/IP服務(wù)、擴(kuò)大服務(wù)、擴(kuò)大了訪問權(quán)限、復(fù)雜的配置等。了訪問權(quán)限、復(fù)雜的配置等。l（1）易被竊聽和欺騙）易被竊聽和欺騙lTCP/IP協(xié)議中存在的漏洞之一是無法證實(shí)一臺(tái)主機(jī)的身份，協(xié)議中存在的漏洞之一是無法證實(shí)一臺(tái)主機(jī)的身份，并且比較容易冒充其他主機(jī)。在因特網(wǎng)這個(gè)特定環(huán)境下，要并且比較容易冒充其他主機(jī)。在因特網(wǎng)這個(gè)特定環(huán)境下，要在主機(jī)之間提供安全并且秘密的傳輸信道是比較困難的。因在主機(jī)之間提供安全并且秘密的傳輸信道是比較困難的。因此此TCP/IP協(xié)議常常受到協(xié)議常常受到IP欺騙和網(wǎng)絡(luò)窺探攻擊。

32、欺騙和網(wǎng)絡(luò)窺探攻擊。2022-6-9網(wǎng)絡(luò)安全概述25l因特網(wǎng)上的大多數(shù)信息是沒有加密的，口令系統(tǒng)是目前暴因特網(wǎng)上的大多數(shù)信息是沒有加密的，口令系統(tǒng)是目前暴露最多的網(wǎng)絡(luò)弱點(diǎn)。網(wǎng)絡(luò)安全問題中約露最多的網(wǎng)絡(luò)弱點(diǎn)。網(wǎng)絡(luò)安全問題中約80%是由不安全的是由不安全的口令造成的，破解口令的工具軟件可從網(wǎng)上免費(fèi)獲得，因口令造成的，破解口令的工具軟件可從網(wǎng)上免費(fèi)獲得，因此，要經(jīng)常更換因特網(wǎng)上的口令，以免受到攻擊。此，要經(jīng)常更換因特網(wǎng)上的口令，以免受到攻擊。l在合理的網(wǎng)絡(luò)中，系統(tǒng)管理員通過嗅探器可以方便地判斷在合理的網(wǎng)絡(luò)中，系統(tǒng)管理員通過嗅探器可以方便地判斷網(wǎng)絡(luò)問題，例如：可確定出：哪臺(tái)主機(jī)正占據(jù)著主要通信網(wǎng)絡(luò)問題

33、，例如：可確定出：哪臺(tái)主機(jī)正占據(jù)著主要通信協(xié)議？多少通信量屬于哪個(gè)網(wǎng)絡(luò)協(xié)議？報(bào)文發(fā)送占用多少協(xié)議？多少通信量屬于哪個(gè)網(wǎng)絡(luò)協(xié)議？報(bào)文發(fā)送占用多少時(shí)間？相互主機(jī)的報(bào)文傳送間隔時(shí)間？等等。同樣，如果時(shí)間？相互主機(jī)的報(bào)文傳送間隔時(shí)間？等等。同樣，如果黑客使用嗅探器的話，也可以獲得和管理員一樣多的信息。黑客使用嗅探器的話，也可以獲得和管理員一樣多的信息。這將對(duì)網(wǎng)絡(luò)安全造成極大的威脅，給用戶帶來不可估量的這將對(duì)網(wǎng)絡(luò)安全造成極大的威脅，給用戶帶來不可估量的嚴(yán)重后果。嚴(yán)重后果。l實(shí)現(xiàn)竊聽和欺騙行為的工具有很多，而且在網(wǎng)上都是免費(fèi)實(shí)現(xiàn)竊聽和欺騙行為的工具有很多，而且在網(wǎng)上都是免費(fèi)提供的。提供的。2022-6-9

34、網(wǎng)絡(luò)安全概述26（3）缺乏安全策略）缺乏安全策略l在因特網(wǎng)上，很多站點(diǎn)在防火墻的配置上幾乎在因特網(wǎng)上，很多站點(diǎn)在防火墻的配置上幾乎都無意識(shí)地?cái)U(kuò)大了訪問的權(quán)限，結(jié)果權(quán)限被內(nèi)都無意識(shí)地?cái)U(kuò)大了訪問的權(quán)限，結(jié)果權(quán)限被內(nèi)部人員濫用，這種行為沒有得到網(wǎng)絡(luò)管理人員部人員濫用，這種行為沒有得到網(wǎng)絡(luò)管理人員的有效制止，使黑客通過一些服務(wù)，從中獲得的有效制止，使黑客通過一些服務(wù)，從中獲得了有用的信息。了有用的信息。(4)復(fù)雜的系統(tǒng)配置復(fù)雜的系統(tǒng)配置l由于訪問控制的配置比較復(fù)雜，有時(shí)會(huì)出現(xiàn)錯(cuò)由于訪問控制的配置比較復(fù)雜，有時(shí)會(huì)出現(xiàn)錯(cuò)誤的配置，結(jié)果使黑客有機(jī)可乘，給網(wǎng)絡(luò)安全誤的配置，結(jié)果使黑客有機(jī)可乘，給網(wǎng)絡(luò)安全帶來危

35、害。帶來危害。2022-6-9網(wǎng)絡(luò)安全概述273. TCP/IP服務(wù)的脆弱性（1） WWW服務(wù)服務(wù) WWW（World Wide Web，中文名為萬，中文名為萬維網(wǎng)）服務(wù)可以說是因特網(wǎng)上最方便、最維網(wǎng)）服務(wù)可以說是因特網(wǎng)上最方便、最常用和最受用戶歡迎的服務(wù)，它是由瑞士常用和最受用戶歡迎的服務(wù)，它是由瑞士日內(nèi)瓦歐洲粒子物理實(shí)驗(yàn)室發(fā)明的，目前日內(nèi)瓦歐洲粒子物理實(shí)驗(yàn)室發(fā)明的，目前正廣泛用于電子商務(wù)、遠(yuǎn)程教育、遠(yuǎn)程醫(yī)正廣泛用于電子商務(wù)、遠(yuǎn)程教育、遠(yuǎn)程醫(yī)療與信息服務(wù)等領(lǐng)域。療與信息服務(wù)等領(lǐng)域。2022-6-9網(wǎng)絡(luò)安全概述28超文本是超文本是WWW實(shí)現(xiàn)的關(guān)鍵技術(shù)之一，是實(shí)現(xiàn)的關(guān)鍵技術(shù)之一，是WWW的信息組

36、織的信息組織形式。形式。WWW是以超文本標(biāo)注語言是以超文本標(biāo)注語言HTML與超文本傳輸協(xié)與超文本傳輸協(xié)議議HTTP為基礎(chǔ)的，集合了因特網(wǎng)上所有的為基礎(chǔ)的，集合了因特網(wǎng)上所有的HTTP服務(wù)器，服務(wù)器，用超文本把用超文本把Web站點(diǎn)上的文件（包括文本、圖形、聲音、站點(diǎn)上的文件（包括文本、圖形、聲音、視頻以及其他形式）以主頁的形式連在一起存儲(chǔ)在視頻以及其他形式）以主頁的形式連在一起存儲(chǔ)在WWW服務(wù)器中。不管文件在何處，都可通過服務(wù)器中。不管文件在何處，都可通過Netscape Navigator和和 MicrosoftInternet Explorer瀏覽器搜索。瀏覽器搜索。信息資源用戶通過游覽器向

37、信息資源用戶通過游覽器向WWW服務(wù)器發(fā)出請(qǐng)求，服務(wù)器發(fā)出請(qǐng)求，WWW服務(wù)器則根據(jù)請(qǐng)求內(nèi)容從中選中某個(gè)頁面發(fā)給客戶服務(wù)器則根據(jù)請(qǐng)求內(nèi)容從中選中某個(gè)頁面發(fā)給客戶端，經(jīng)過游覽器的解釋后將圖、文、聲并茂的畫面呈現(xiàn)給端，經(jīng)過游覽器的解釋后將圖、文、聲并茂的畫面呈現(xiàn)給用戶，用戶通過頁面中的鏈接就可訪問用戶，用戶通過頁面中的鏈接就可訪問WWW服務(wù)器及其服務(wù)器及其他類型的網(wǎng)絡(luò)信息資源。當(dāng)用戶使用瀏覽器時(shí)，實(shí)際上是他類型的網(wǎng)絡(luò)信息資源。當(dāng)用戶使用瀏覽器時(shí)，實(shí)際上是在申請(qǐng)相應(yīng)的服務(wù)器。而這些服務(wù)器本身就存在著不安全在申請(qǐng)相應(yīng)的服務(wù)器。而這些服務(wù)器本身就存在著不安全隱患。隱患。2022-6-9網(wǎng)絡(luò)安全概述29(2)

38、 電子郵件服務(wù)電子郵件服務(wù)l電子郵件服務(wù)又稱電子郵件服務(wù)又稱E-mail服務(wù)，目前服務(wù)，目前E-mail地址已成為人地址已成為人們的通信地址，為因特網(wǎng)用戶之間發(fā)送和接收消息提供了們的通信地址，為因特網(wǎng)用戶之間發(fā)送和接收消息提供了一種現(xiàn)代化通信手段，在國際交往和電子商務(wù)中起到了很一種現(xiàn)代化通信手段，在國際交往和電子商務(wù)中起到了很重要的作用。重要的作用。l郵件服務(wù)器主要負(fù)責(zé)接收用戶送來的郵件，然后根據(jù)收件郵件服務(wù)器主要負(fù)責(zé)接收用戶送來的郵件，然后根據(jù)收件人的地址發(fā)送到對(duì)方的郵件服務(wù)器中。同時(shí)它還能接收由人的地址發(fā)送到對(duì)方的郵件服務(wù)器中。同時(shí)它還能接收由其他郵件服務(wù)器發(fā)來的郵件，并根據(jù)收件人的地址分

39、發(fā)到其他郵件服務(wù)器發(fā)來的郵件，并根據(jù)收件人的地址分發(fā)到相應(yīng)的電子郵箱中。電子郵件附著的相應(yīng)的電子郵箱中。電子郵件附著的Word文件或其他文文件或其他文件中有可能帶有病毒，郵件箱被塞滿的情況時(shí)有發(fā)生，電件中有可能帶有病毒，郵件箱被塞滿的情況時(shí)有發(fā)生，電子郵件炸彈令人煩惱，郵件溢出是子郵件炸彈令人煩惱，郵件溢出是E-mail的一個(gè)安全問題。的一個(gè)安全問題。2022-6-9網(wǎng)絡(luò)安全概述30(3) 文件傳輸服務(wù)文件傳輸服務(wù)l文件傳輸服務(wù)主要是指文件傳輸服務(wù)主要是指FTP和和TFTP，這兩個(gè)服務(wù)都是用，這兩個(gè)服務(wù)都是用于傳輸文件的，但由于用的場(chǎng)合不同，所以安全等級(jí)也不于傳輸文件的，但由于用的場(chǎng)合不同，所

40、以安全等級(jí)也不同。同。TFTP服務(wù)用于局域網(wǎng)，在無盤工作站啟動(dòng)時(shí)用于傳服務(wù)用于局域網(wǎng)，在無盤工作站啟動(dòng)時(shí)用于傳輸系統(tǒng)文件，因?yàn)樗粠魏伟踩J(rèn)證而且安全性極差，輸系統(tǒng)文件，因?yàn)樗粠魏伟踩J(rèn)證而且安全性極差，所以常被人用來竊取密碼文件所以常被人用來竊取密碼文件/etc/passwd。FTP服務(wù)對(duì)服務(wù)對(duì)于局域網(wǎng)和廣域網(wǎng)都可以用來下載任何類型的文件。網(wǎng)上于局域網(wǎng)和廣域網(wǎng)都可以用來下載任何類型的文件。網(wǎng)上有許多匿名有許多匿名FTP服務(wù)站點(diǎn)，其中有許多免費(fèi)的軟件、圖片服務(wù)站點(diǎn)，其中有許多免費(fèi)的軟件、圖片和游戲，匿名和游戲，匿名FTP是人們常使用的一種服務(wù)方式。當(dāng)然，是人們常使用的一種服務(wù)方式。當(dāng)然，

41、FTP服務(wù)的安全性要好一些，起碼它需要輸入用戶名稱和服務(wù)的安全性要好一些，起碼它需要輸入用戶名稱和口令，而匿名口令，而匿名FTP服務(wù)就像匿名服務(wù)就像匿名WWW服務(wù)一樣是不需要服務(wù)一樣是不需要口令的，但用戶權(quán)利同時(shí)也會(huì)受到嚴(yán)格的限制，匿名口令的，但用戶權(quán)利同時(shí)也會(huì)受到嚴(yán)格的限制，匿名FTP存在一定的安全隱患。存在一定的安全隱患。2022-6-9網(wǎng)絡(luò)安全概述31（4）Finger服務(wù)服務(wù)lFinger服務(wù)用于查詢用戶的信息，包括網(wǎng)服務(wù)用于查詢用戶的信息，包括網(wǎng)上成員的真實(shí)姓名、用戶名、最近的登陸上成員的真實(shí)姓名、用戶名、最近的登陸時(shí)間和地點(diǎn)等，也可以用來顯示當(dāng)前登陸時(shí)間和地點(diǎn)等，也可以用來顯示當(dāng)前

42、登陸在機(jī)器上的所有用戶名，這對(duì)于入侵者來在機(jī)器上的所有用戶名，這對(duì)于入侵者來說是無價(jià)之寶。因?yàn)樗芨嬖V入侵者在本說是無價(jià)之寶。因?yàn)樗芨嬖V入侵者在本機(jī)上的有效的登陸名，然后入侵就可以注機(jī)上的有效的登陸名，然后入侵就可以注意它們的活動(dòng)。意它們的活動(dòng)。2022-6-9網(wǎng)絡(luò)安全概述329.3.1 撥號(hào)調(diào)制解調(diào)器訪問安全9.3.2 RAS的安全性概述2022-6-9網(wǎng)絡(luò)安全概述33l調(diào)制解調(diào)器是人們常用的一種通信設(shè)備，計(jì)算機(jī)是通過調(diào)調(diào)制解調(diào)器是人們常用的一種通信設(shè)備，計(jì)算機(jī)是通過調(diào)制解調(diào)器與電話線路連接實(shí)現(xiàn)遠(yuǎn)程通信。在發(fā)送端，調(diào)制制解調(diào)器與電話線路連接實(shí)現(xiàn)遠(yuǎn)程通信。在發(fā)送端，調(diào)制解調(diào)器將計(jì)算機(jī)產(chǎn)生的數(shù)

43、字信號(hào)轉(zhuǎn)換成電話交換網(wǎng)可以傳解調(diào)器將計(jì)算機(jī)產(chǎn)生的數(shù)字信號(hào)轉(zhuǎn)換成電話交換網(wǎng)可以傳送的模擬信號(hào)；在接收端，調(diào)制解調(diào)器將接收到的模擬數(shù)送的模擬信號(hào)；在接收端，調(diào)制解調(diào)器將接收到的模擬數(shù)據(jù)信號(hào)還原成數(shù)字信號(hào)傳送給計(jì)算機(jī)。用戶計(jì)算機(jī)無論在據(jù)信號(hào)還原成數(shù)字信號(hào)傳送給計(jì)算機(jī)。用戶計(jì)算機(jī)無論在什么地方，都可通過調(diào)制解調(diào)器和電話線訪問因特網(wǎng)或局什么地方，都可通過調(diào)制解調(diào)器和電話線訪問因特網(wǎng)或局域網(wǎng)。因此域網(wǎng)。因此,調(diào)制解調(diào)器已經(jīng)給人們的工作和學(xué)習(xí)帶來了調(diào)制解調(diào)器已經(jīng)給人們的工作和學(xué)習(xí)帶來了非常大的便利。但是，調(diào)制解調(diào)器在給人們帶來方便的同非常大的便利。但是，調(diào)制解調(diào)器在給人們帶來方便的同時(shí)也帶來了危險(xiǎn)，黑客可以

44、利用調(diào)制解調(diào)器入侵網(wǎng)絡(luò)。時(shí)也帶來了危險(xiǎn)，黑客可以利用調(diào)制解調(diào)器入侵網(wǎng)絡(luò)。l目前有很多加強(qiáng)撥號(hào)調(diào)制解調(diào)器安全的方法，如：使用一目前有很多加強(qiáng)撥號(hào)調(diào)制解調(diào)器安全的方法，如：使用一次性口令、基于位置的身份驗(yàn)證、設(shè)置回呼安全機(jī)制、增次性口令、基于位置的身份驗(yàn)證、設(shè)置回呼安全機(jī)制、增加核實(shí)身份服務(wù)器等。這些方法不是互相排斥的，而是相加核實(shí)身份服務(wù)器等。這些方法不是互相排斥的，而是相輔相成的，如果能將這些方法配合使用一定會(huì)收到事半功輔相成的，如果能將這些方法配合使用一定會(huì)收到事半功倍的效果。倍的效果。2022-6-9網(wǎng)絡(luò)安全概述34（1）使用一次性口令）使用一次性口令l口令可以是靜態(tài)的，要妥善保管好用戶口

45、令，不口令可以是靜態(tài)的，要妥善保管好用戶口令，不要將它寫在明顯的、別人能找到的地方，如本上要將它寫在明顯的、別人能找到的地方，如本上或桌子上。最好使用一次性口令，并且要考慮到或桌子上。最好使用一次性口令，并且要考慮到使用相對(duì)較安全的口令。避免使用用戶名或其變使用相對(duì)較安全的口令。避免使用用戶名或其變化形式、自己或親友的生日、常用英文單詞以及化形式、自己或親友的生日、常用英文單詞以及5或或5位以下的字符等容易破解的作為口令，以保位以下的字符等容易破解的作為口令，以保護(hù)好撥號(hào)服務(wù)器。在電話線上竊聽口令不像在局護(hù)好撥號(hào)服務(wù)器。在電話線上竊聽口令不像在局域網(wǎng)上那樣簡(jiǎn)單，因?yàn)槿肭终咝枰烟结槻迦腚娪蚓W(wǎng)上

46、那樣簡(jiǎn)單，因?yàn)槿肭终咝枰烟结槻迦腚娫捑€來竊聽電話。話線來竊聽電話。2022-6-9網(wǎng)絡(luò)安全概述35（2）基于位置的身份驗(yàn)證）基于位置的身份驗(yàn)證l利用利用GPS全球定位系統(tǒng)判斷用戶是否在規(guī)全球定位系統(tǒng)判斷用戶是否在規(guī)定的位置上進(jìn)行撥號(hào)入網(wǎng)，如果不是在規(guī)定的位置上進(jìn)行撥號(hào)入網(wǎng)，如果不是在規(guī)定的位置上，則拒絕入網(wǎng)。這種基于位置定的位置上，則拒絕入網(wǎng)。這種基于位置的身份驗(yàn)證方法，由于的身份驗(yàn)證方法，由于GPS定位系統(tǒng)的關(guān)定位系統(tǒng)的關(guān)系，所以技術(shù)上還不太成熟，另外，由于系，所以技術(shù)上還不太成熟，另外，由于其價(jià)格昂貴，所以，這樣方法遠(yuǎn)還沒有普其價(jià)格昂貴，所以，這樣方法遠(yuǎn)還沒有普及，不過如果在特殊場(chǎng)合，它

47、還是非常有及，不過如果在特殊場(chǎng)合，它還是非常有用的，比如在軍事領(lǐng)域等。用的，比如在軍事領(lǐng)域等。2022-6-9網(wǎng)絡(luò)安全概述36（3）設(shè)置回呼安全機(jī)制）設(shè)置回呼安全機(jī)制l使用安全性能較好的調(diào)制解調(diào)器，如回?fù)苷{(diào)制解使用安全性能較好的調(diào)制解調(diào)器，如回?fù)苷{(diào)制解調(diào)器、安靜調(diào)制解調(diào)器等?；?fù)苷{(diào)制解調(diào)器的功調(diào)器、安靜調(diào)制解調(diào)器等。回?fù)苷{(diào)制解調(diào)器的功能是：當(dāng)用戶輸入的用戶名和口令被系統(tǒng)檢驗(yàn)為能是：當(dāng)用戶輸入的用戶名和口令被系統(tǒng)檢驗(yàn)為是一個(gè)合法的遠(yuǎn)程客戶后就會(huì)斷開連接，查到該是一個(gè)合法的遠(yuǎn)程客戶后就會(huì)斷開連接，查到該用戶提供的或預(yù)置的電話號(hào)碼后，重新?lián)芙性撾娪脩籼峁┑幕蝾A(yù)置的電話號(hào)碼后，重新?lián)芙性撾娫捥?hào)碼并建立

48、連接。之后用戶重新輸入用戶名和話號(hào)碼并建立連接。之后用戶重新輸入用戶名和口令而進(jìn)入該系統(tǒng)?？诹疃M(jìn)入該系統(tǒng)。l安靜調(diào)制解調(diào)器在登錄完成之前不會(huì)發(fā)出特殊的安靜調(diào)制解調(diào)器在登錄完成之前不會(huì)發(fā)出特殊的建立連接信號(hào)，這樣就可以防止別人按順序搜索建立連接信號(hào)，這樣就可以防止別人按順序搜索計(jì)算機(jī)撥號(hào)系統(tǒng)的電話號(hào)碼。計(jì)算機(jī)撥號(hào)系統(tǒng)的電話號(hào)碼。2022-6-9網(wǎng)絡(luò)安全概述37（4）增加核實(shí)身份服務(wù)器）增加核實(shí)身份服務(wù)器l在因特網(wǎng)上增加一個(gè)用于核實(shí)身份的服務(wù)在因特網(wǎng)上增加一個(gè)用于核實(shí)身份的服務(wù)器，這樣，用戶只有通過該服務(wù)器驗(yàn)證才器，這樣，用戶只有通過該服務(wù)器驗(yàn)證才能進(jìn)入該系統(tǒng)，同時(shí)該服務(wù)器對(duì)登錄情況能進(jìn)入該系統(tǒng)

49、，同時(shí)該服務(wù)器對(duì)登錄情況進(jìn)行審計(jì)，以幫助在事后發(fā)現(xiàn)誰以及何時(shí)進(jìn)行審計(jì)，以幫助在事后發(fā)現(xiàn)誰以及何時(shí)進(jìn)入該系統(tǒng)。進(jìn)入該系統(tǒng)。2022-6-9網(wǎng)絡(luò)安全概述38網(wǎng)絡(luò)的安全性是因特網(wǎng)的一個(gè)重要問題，特別是當(dāng)遠(yuǎn)程用戶網(wǎng)絡(luò)的安全性是因特網(wǎng)的一個(gè)重要問題，特別是當(dāng)遠(yuǎn)程用戶訪 問 網(wǎng) 絡(luò) 資 源 時(shí) ， 其 安 全 性 更 顯 得 尤 其 重 要 。 在訪 問 網(wǎng) 絡(luò) 資 源 時(shí) ， 其 安 全 性 更 顯 得 尤 其 重 要 。 在Windows NT操作系統(tǒng)域中，主域控制器是通過操作系統(tǒng)域中，主域控制器是通過RAS服務(wù)服務(wù)器實(shí)現(xiàn)其安全性的。器實(shí)現(xiàn)其安全性的。RAS服務(wù)器只允許合法的域用戶訪服務(wù)器只允許合法的

50、域用戶訪問，并且對(duì)已認(rèn)證和注冊(cè)的信息加密。如果遠(yuǎn)程用戶和問，并且對(duì)已認(rèn)證和注冊(cè)的信息加密。如果遠(yuǎn)程用戶和RAS服務(wù)器之間的物理連接被破壞，那么既使黑客得到服務(wù)器之間的物理連接被破壞，那么既使黑客得到了數(shù)據(jù)也是不能解密的。為了簡(jiǎn)化用戶賬號(hào)的管理，了數(shù)據(jù)也是不能解密的。為了簡(jiǎn)化用戶賬號(hào)的管理，RAS服務(wù)器的遠(yuǎn)程用戶使用相同的賬號(hào)數(shù)據(jù)庫，而不需服務(wù)器的遠(yuǎn)程用戶使用相同的賬號(hào)數(shù)據(jù)庫，而不需要不同的賬號(hào)數(shù)據(jù)庫。對(duì)于非授權(quán)用戶來說，要不同的賬號(hào)數(shù)據(jù)庫。對(duì)于非授權(quán)用戶來說，RAS服務(wù)服務(wù)器不僅能夠拒絕訪問，同時(shí)還能夠及時(shí)了解它的目的和企器不僅能夠拒絕訪問，同時(shí)還能夠及時(shí)了解它的目的和企圖，并對(duì)該事件進(jìn)行記錄

51、等。圖，并對(duì)該事件進(jìn)行記錄等。2022-6-9網(wǎng)絡(luò)安全概述39l通過在通過在RAS客戶和客戶和RAS服務(wù)器之間連接一個(gè)中間服務(wù)器之間連接一個(gè)中間的安全性主機(jī)，而使為的安全性主機(jī)，而使為RAS配置另一個(gè)級(jí)別的安配置另一個(gè)級(jí)別的安全機(jī)制成為可能。當(dāng)使用中間的安全性主機(jī)時(shí)，全機(jī)制成為可能。當(dāng)使用中間的安全性主機(jī)時(shí)，用戶先要接受中間的安全性主機(jī)的審核，才能登用戶先要接受中間的安全性主機(jī)的審核，才能登錄到錄到RAS服務(wù)器上。服務(wù)器上。l另外，另外，RAS可以提供回呼安全機(jī)制，即允許計(jì)算可以提供回呼安全機(jī)制，即允許計(jì)算機(jī)用戶建立從機(jī)用戶建立從RAS客戶到客戶到RAS服務(wù)器之間的初始服務(wù)器之間的初始連接。連

52、接。RAS服務(wù)器首先檢驗(yàn)該客戶是否為合法客服務(wù)器首先檢驗(yàn)該客戶是否為合法客戶，如果是合法的遠(yuǎn)程客戶并且這個(gè)用戶使用了戶，如果是合法的遠(yuǎn)程客戶并且這個(gè)用戶使用了回呼安全機(jī)制，則回呼安全機(jī)制，則RAS服務(wù)器就中斷連接，立即服務(wù)器就中斷連接，立即重新?lián)芙杏脩籼峁┑幕蝾A(yù)置的重新?lián)芙杏脩籼峁┑幕蝾A(yù)置的RAS客戶的電話號(hào)客戶的電話號(hào)碼，并且重新檢驗(yàn)客戶的合法性。碼，并且重新檢驗(yàn)客戶的合法性。2022-6-9網(wǎng)絡(luò)安全概述409.4.1 IPSec概述9.4.2 IP和Ipv69.4.3 IPSec：AH和ESP9.4.4 IPSec：IKE2022-6-9網(wǎng)絡(luò)安全概述41lIPSec(Internet安全協(xié)

53、議安全協(xié)議)是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議，為全協(xié)議，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù)護(hù)TCPIP通信免遭竊聽和篡改，可以有效抵御通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊。IPSec有兩個(gè)基本目標(biāo)：保護(hù)有兩個(gè)基本目標(biāo)：保護(hù)IP數(shù)據(jù)數(shù)據(jù)包安全和為抵御網(wǎng)絡(luò)攻擊提供防護(hù)措施。包安全和為抵御網(wǎng)絡(luò)攻擊提供防護(hù)措施。lIPsec是是IPV6的一個(gè)組成部分，也是的一個(gè)組成部分，也是IPV4的一個(gè)的一個(gè)可選擴(kuò)展協(xié)議?？蛇x擴(kuò)展協(xié)議。IPsec彌補(bǔ)了彌補(bǔ)了IPV4在協(xié)議設(shè)計(jì)時(shí)在協(xié)議設(shè)計(jì)時(shí)缺乏安全性考慮的不足。缺乏安全性考慮的不足。lIPsec提供三種不

54、同的形式來保護(hù)通過公有或私提供三種不同的形式來保護(hù)通過公有或私有有IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù)。網(wǎng)絡(luò)傳送的私有數(shù)據(jù)。2022-6-9網(wǎng)絡(luò)安全概述421） 認(rèn)證：通過認(rèn)證可以確定所接受的數(shù)據(jù)與所發(fā)認(rèn)證：通過認(rèn)證可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是否一致，同時(shí)可以確定申請(qǐng)發(fā)送者在送的數(shù)據(jù)是否一致，同時(shí)可以確定申請(qǐng)發(fā)送者在實(shí)際上是真實(shí)的，還是偽裝的發(fā)送者。實(shí)際上是真實(shí)的，還是偽裝的發(fā)送者。2）數(shù)據(jù)完整性：通過驗(yàn)證，保證數(shù)據(jù)在從原發(fā)地）數(shù)據(jù)完整性：通過驗(yàn)證，保證數(shù)據(jù)在從原發(fā)地到目的地的傳送過程中沒有發(fā)生任何無法檢測(cè)的到目的地的傳送過程中沒有發(fā)生任何無法檢測(cè)的丟失與改變。丟失與改變。3）保密：使相應(yīng)的接收者能

55、獲取發(fā)送的真正內(nèi)容，）保密：使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無關(guān)的接收者無法獲知數(shù)據(jù)真正的內(nèi)容。而無關(guān)的接收者無法獲知數(shù)據(jù)真正的內(nèi)容。lIPsec有三個(gè)基本要素來提供以上三種保護(hù)形式：有三個(gè)基本要素來提供以上三種保護(hù)形式：驗(yàn)證頭（驗(yàn)證頭（AH）、封裝安全載荷（）、封裝安全載荷（ESP）和互聯(lián)網(wǎng)）和互聯(lián)網(wǎng)密鑰管理協(xié)議（密鑰管理協(xié)議（IKMP）。）。2022-6-9網(wǎng)絡(luò)安全概述431.IPSec安全體系結(jié)構(gòu) 目前，目前，IPSec已成為已成為IP安全體系結(jié)構(gòu)的標(biāo)準(zhǔn)，包括以下內(nèi)容：安全體系結(jié)構(gòu)的標(biāo)準(zhǔn)，包括以下內(nèi)容： 1) 體系結(jié)構(gòu)。覆蓋了定義體系結(jié)構(gòu)。覆蓋了定義IP安全技術(shù)的一般性概念、安全需

56、求、定義安全技術(shù)的一般性概念、安全需求、定義和機(jī)制。和機(jī)制。 2）ESP協(xié)議。覆蓋了使用協(xié)議。覆蓋了使用ESP進(jìn)行分組加密和可選的鑒別有關(guān)分組進(jìn)行分組加密和可選的鑒別有關(guān)分組的格式和一般問題。的格式和一般問題。 3) AH協(xié)議。覆蓋了使用協(xié)議。覆蓋了使用AH進(jìn)行分組鑒別的分組的格式和一般問題進(jìn)行分組鑒別的分組的格式和一般問題 4) 加密算法。一組文檔描述了怎樣將不同的加密算法用加密算法。一組文檔描述了怎樣將不同的加密算法用ESP。 5) 鑒別算法。一組文檔描述了怎樣將不同的鑒別算法用于鑒別算法。一組文檔描述了怎樣將不同的鑒別算法用于AH和和ESP可選的鑒別選項(xiàng)。可選的鑒別選項(xiàng)。 6) 密鑰管理

57、。描述密鑰管理機(jī)制的文檔。密鑰管理。描述密鑰管理機(jī)制的文檔。 7) 解釋域。包含了其他文檔需要的為了彼此問相互聯(lián)系的一些值。解釋域。包含了其他文檔需要的為了彼此問相互聯(lián)系的一些值。 8) 策略。決定兩個(gè)實(shí)體之間能否通信，以及如何進(jìn)行通信。策略。決定兩個(gè)實(shí)體之間能否通信，以及如何進(jìn)行通信。2022-6-9網(wǎng)絡(luò)安全概述442. IPsec的優(yōu)勢(shì)l與目前與目前TCP層或應(yīng)用層的安全解決方案相比，層或應(yīng)用層的安全解決方案相比，IPSec大致有以下的優(yōu)大致有以下的優(yōu)勢(shì)：勢(shì)：1） IPsec在傳輸層以上的應(yīng)用程序來說是透明的。由于在傳輸層以上的應(yīng)用程序來說是透明的。由于IPSec位于較低位于較低的網(wǎng)絡(luò)層，

58、所以不會(huì)牽動(dòng)上層的的網(wǎng)絡(luò)層，所以不會(huì)牽動(dòng)上層的TCP層或應(yīng)用層。層或應(yīng)用層。2） 當(dāng)當(dāng)IPSec路由或防火墻上安裝路由或防火墻上安裝IPsec時(shí)，無需更改用戶或服務(wù)器系統(tǒng)時(shí)，無需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。執(zhí)行中的軟件設(shè)置。執(zhí)行IPsec后，就會(huì)為周邊的通信提供強(qiáng)有力的安全后，就會(huì)為周邊的通信提供強(qiáng)有力的安全保障。保障。3） IPsec對(duì)終端用戶來說是透明的，因此不必對(duì)用戶進(jìn)行安全培訓(xùn)。對(duì)終端用戶來說是透明的，因此不必對(duì)用戶進(jìn)行安全培訓(xùn)。4） IPsec還可以為個(gè)體用戶提供安全保障，保護(hù)企業(yè)內(nèi)部的敏感信息，還可以為個(gè)體用戶提供安全保障，保護(hù)企業(yè)內(nèi)部的敏感信息，提供較大的管理彈性。提供較大

59、的管理彈性。5）目前因特網(wǎng)的路由協(xié)議，主要是由路由器之間彼此交換路由信息而）目前因特網(wǎng)的路由協(xié)議，主要是由路由器之間彼此交換路由信息而建立整個(gè)路由架構(gòu)。由于建立整個(gè)路由架構(gòu)。由于IPSec可確保路由器之間的通訊安全，也因可確保路由器之間的通訊安全，也因此可加強(qiáng)路由架構(gòu)的安全性，減少破壞的可能性。此可加強(qiáng)路由架構(gòu)的安全性，減少破壞的可能性。2022-6-9網(wǎng)絡(luò)安全概述453. IPSec的運(yùn)作方式 IPSec的運(yùn)作需先經(jīng)過以下的步驟：的運(yùn)作需先經(jīng)過以下的步驟：1） 在初始化時(shí)，雙方必須建立安全聯(lián)結(jié)在初始化時(shí)，雙方必須建立安全聯(lián)結(jié)(Security Associations)。這個(gè)步驟的主要目的是

60、讓雙方。這個(gè)步驟的主要目的是讓雙方對(duì)于如何使用對(duì)于如何使用IPSec的方式達(dá)成共識(shí)，例如，選的方式達(dá)成共識(shí)，例如，選擇何種安全功能；決定加密的算法；使用密鑰的擇何種安全功能；決定加密的算法；使用密鑰的原則等等。原則等等。 2) 密鑰交換。這個(gè)步驟主要是利用非對(duì)稱加密法，密鑰交換。這個(gè)步驟主要是利用非對(duì)稱加密法，讓雙方各自擁有相同的密鑰讓雙方各自擁有相同的密鑰(Secret Key，專指，專指對(duì)稱式加密法所用的密鑰對(duì)稱式加密法所用的密鑰)。 3) 開始以安全的管道來傳輸信息。開始以安全的管道來傳輸信息。2022-6-9網(wǎng)絡(luò)安全概述46目前的全球因特網(wǎng)所采用的協(xié)議族是目前的全球因特網(wǎng)所采用的協(xié)議族