1、賈鐵元素軍沈?qū)W東蘇慶剛等編著了機(jī)械工業(yè)出版社，負(fù)責(zé)網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，第2章網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)，本章介紹重要的網(wǎng)絡(luò)連接協(xié)議安全網(wǎng)絡(luò)安全層次體系安全服務(wù)與安全反應(yīng)歷程虛擬網(wǎng)絡(luò)專線VPN技術(shù)無線局域網(wǎng)安全常用的網(wǎng)絡(luò)指令，網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 第2章網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)教育目標(biāo)網(wǎng)絡(luò)連接協(xié)議安全理解網(wǎng)絡(luò)安全階層系統(tǒng)安全服務(wù)和安全機(jī)構(gòu)掌握虛擬網(wǎng)絡(luò)專線VPN技術(shù)掌握無線LAN安全掌握常用的網(wǎng)絡(luò)指令、網(wǎng)絡(luò)安全技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)、 2.1網(wǎng)絡(luò)連接協(xié)議安全概要2.1.1網(wǎng)絡(luò)連接協(xié)議安全分析1 .物理層安全物理層安全威脅主要是指由于網(wǎng)絡(luò)周邊環(huán)境和物理特性導(dǎo)致網(wǎng)絡(luò)設(shè)備和線路不能使用導(dǎo)致網(wǎng)絡(luò)系統(tǒng)不能使用

2、。 2 .網(wǎng)絡(luò)層保密工作網(wǎng)絡(luò)層的保密工作威脅主要分為IP欺騙和ICMP (網(wǎng)際網(wǎng)絡(luò)控制信息連接協(xié)議)攻擊兩種。 3 .跨通訊端口層安全跨通訊端口層主要包括跨通訊端口控制連接協(xié)議TCP和用戶數(shù)據(jù)報(bào)連接協(xié)議UDP。 TCP是一個(gè)面向連接的連接協(xié)議，用于許多網(wǎng)際網(wǎng)絡(luò)服務(wù)，以確保數(shù)據(jù)的可靠性。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用，第二章網(wǎng)絡(luò)保密工作技術(shù)基礎(chǔ)，4 .應(yīng)用層和網(wǎng)絡(luò)層的保密工作問題可分解為網(wǎng)絡(luò)層、執(zhí)行操作系統(tǒng)、數(shù)據(jù)庫保密工作問題。 需要重點(diǎn)解決的特殊應(yīng)用系統(tǒng)保密工作問題主要有Telnet、FTP、SMTP、DNS、NFS (實(shí)現(xiàn)男公關(guān)間文件系統(tǒng)共享)、BOOTP (實(shí)現(xiàn)顯示蘇克雷男公關(guān)啟動)、RPC (實(shí)

3、現(xiàn)遠(yuǎn)程男公關(guān)程序運(yùn)行)、SNMP (簡易網(wǎng)絡(luò)管理原型) 、網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)、2.1.2典型的網(wǎng)絡(luò)安全協(xié)議1. IPSec保密工作連接協(xié)議互聯(lián)網(wǎng)安全連接協(xié)議IPSec (internet協(xié)議安全) 是一系列的保密工作IP連接協(xié)議定徑套，其在IP報(bào)文分組級提供IP業(yè)務(wù)保護(hù)，并且其基本的目的是通過在IP協(xié)議中引入密碼學(xué)的保密工作機(jī)制，并使用現(xiàn)代密碼學(xué)方法支持安全和認(rèn)證服務(wù)，用戶選擇性地使用，以獲得期望的安全服務(wù)2 .安全套接層連接協(xié)議安全套接層連接協(xié)議由安全套接層記錄連接協(xié)議和安全套接層握手協(xié)議兩層組成，主要的優(yōu)點(diǎn)是SSL協(xié)議獨(dú)立于應(yīng)用層，是實(shí)現(xiàn)傳輸層間密碼傳輸?shù)?/p>

4、最廣泛的協(xié)議。網(wǎng)絡(luò)保密工作技術(shù)與應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)基礎(chǔ)、2.2.1開放式系統(tǒng)互聯(lián)互通參考模型OSI/RM開放式系統(tǒng)互聯(lián)互通參考模型7層協(xié)議的主要功能表和網(wǎng)絡(luò)安全技術(shù)與應(yīng)用、第2章網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)、 2.2.1開放式系統(tǒng)互聯(lián)互通參考模型、網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)基礎(chǔ)、2.2.2網(wǎng)際網(wǎng)絡(luò)網(wǎng)絡(luò)體系分層網(wǎng)際網(wǎng)絡(luò)目前使用的連接協(xié)議是TCP/IP協(xié)議。 TCP/IP連接協(xié)議是物理網(wǎng)絡(luò)層連接協(xié)議、網(wǎng)際網(wǎng)絡(luò)層連接協(xié)議、傳輸層連接協(xié)議、應(yīng)用層協(xié)議四層結(jié)構(gòu)的連接協(xié)議族。 TCP/IP群組的4層連接協(xié)議、OSI參考模型的7層連接協(xié)議和共同連接協(xié)議的對應(yīng)關(guān)系如下圖所示。網(wǎng)絡(luò)保密工作技術(shù)

5、和應(yīng)用、第二章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)、2.2.3為了更好地理解網(wǎng)絡(luò)保密工作層次的特征體系，也可以將計(jì)算機(jī)網(wǎng)絡(luò)保密工作視為多個(gè)保密工作單元針織面料的集合。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用，第2章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)， 2.3保密工作服務(wù)和保密工作反應(yīng)歷程2.3.1保密工作服務(wù)的基本類型1 .對象身份驗(yàn)證保密工作服務(wù)2 .接入控制保密工作服務(wù)3 .數(shù)據(jù)安全服務(wù)4 .數(shù)據(jù)完整性安全服務(wù)5 .防否認(rèn)安全服務(wù)， 作為通訊端口網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)2.3.2保密工作服務(wù)的基本反應(yīng)歷程的網(wǎng)絡(luò)信息安全保障反應(yīng)歷程(Security mechanisms )定義了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全服務(wù)的技術(shù)

6、措施，主要包括可用的方法保密工作反應(yīng)歷程是保密工作服務(wù)乃至整個(gè)網(wǎng)絡(luò)的信息安全保障系統(tǒng)的核心和重要要素。保密工作反應(yīng)歷程與保密工作服務(wù)相關(guān)，可分為兩類，一類是用于實(shí)現(xiàn)保密工作服務(wù)，另一類是用于加強(qiáng)對防偽系統(tǒng)的管理的管理功能。 為實(shí)現(xiàn)網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第二章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)、保密工作服務(wù)功能，ISO對情報(bào)系統(tǒng)保密工作架構(gòu)制定的開放系統(tǒng)互聯(lián)互通(OSI )基本參考模式ISO7498提出了8種保密工作機(jī)制，并提出網(wǎng)絡(luò)信息安全的基本機(jī)制1 .加密法機(jī)構(gòu)2 .數(shù)字簽名機(jī)構(gòu)3 .訪問控制機(jī)制4 .數(shù)據(jù)完全性機(jī)構(gòu)5 .身份驗(yàn)證交換機(jī)制6 .通訊業(yè)務(wù)填充機(jī)構(gòu)7 .路由控制機(jī)構(gòu)8 .公證機(jī)構(gòu)，網(wǎng)絡(luò)安全

7、技術(shù)與應(yīng)用，第2章網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)，2.3.3安全服務(wù)與安全機(jī)構(gòu)之間的關(guān)系(1)安全服務(wù)與安全機(jī)構(gòu)之間的對應(yīng)關(guān)系涉及多方面、網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第二章網(wǎng)絡(luò)保密工作技術(shù)基礎(chǔ)、2.3.3保密工作服務(wù)和保密工作反應(yīng)歷程的關(guān)系(2)保密工作服務(wù)和保密工作反應(yīng)歷程的對應(yīng)關(guān)系可以體現(xiàn)在許多方面，并表明具體的關(guān)系(續(xù)) 、網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第二章網(wǎng)絡(luò)保密工作技術(shù)基礎(chǔ)、2.4虛擬私有網(wǎng)絡(luò)VPN技術(shù)虛擬私有網(wǎng)絡(luò)(Virtual Private Network，技術(shù)在公用網(wǎng)絡(luò)上建構(gòu)專用通信網(wǎng)，數(shù)據(jù)通過安全的“加密法管”傳播至公用網(wǎng)絡(luò)。 使用公共數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ糜芯€局域網(wǎng)建構(gòu)的、特殊設(shè)計(jì)的硬件和軟件，是在經(jīng)

8、直接共享IP網(wǎng)絡(luò)建立的隧道中完成的虛擬網(wǎng)絡(luò)專線。 VPN使遠(yuǎn)程網(wǎng)絡(luò)之間的安全點(diǎn)到點(diǎn)連接成為可能。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)、2.4.1 VPN的構(gòu)成和特點(diǎn)1. VPN的構(gòu)成和類型VPN可以理解為虛擬的企業(yè)內(nèi)部網(wǎng)絡(luò)專線。 VPN的核心是利用公用網(wǎng)絡(luò)來建構(gòu)虛擬私有網(wǎng)絡(luò)。 VPN連接由客戶端、隧道和服務(wù)器三部分組成。 (1)虛擬網(wǎng)絡(luò)網(wǎng)站數(shù)據(jù)庫VPN(2)企業(yè)內(nèi)虛擬網(wǎng)絡(luò)企業(yè)內(nèi)部互聯(lián)網(wǎng)VPN(3)企業(yè)擴(kuò)展虛擬網(wǎng)絡(luò)Extranet VPN這3種類型。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第二章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)、2. VPN的結(jié)構(gòu)和特征(1) VPN能夠通過特殊的加密通訊協(xié)議，建立自己的通

9、訊線路來連接到網(wǎng)際網(wǎng)絡(luò)上不同位置的兩個(gè)或多個(gè)企業(yè)企業(yè)內(nèi)部互聯(lián)網(wǎng)，并鋪設(shè)了專線在實(shí)際的應(yīng)用中，用戶需要高效且成功的VPN VPN具有四個(gè)特征： (1)保密工作保證(2)服務(wù)質(zhì)量(QoS )保證(3)可擴(kuò)展性和靈活性。 (4)可管理性、網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)、2. VPN的結(jié)構(gòu)和特征(2) VPN的結(jié)構(gòu)如下圖所示。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)基礎(chǔ)、2.4.2 VPN的主要保密工作技術(shù)(1)VPN傳輸保密工作水平高的專用信息，因此VPN用戶重視數(shù)據(jù)的保密工作。 目前，VPN主要采用隧道技術(shù)、解密技術(shù)、密鑰管理技術(shù)、用戶身份驗(yàn)證技術(shù)、保密工作工具和客戶端

10、管理5種技術(shù)來保證安全。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)、2.4.2 VPN的主要保密工作技術(shù)(2)客戶機(jī)使用VPN隧道時(shí)，數(shù)據(jù)通訊在到達(dá)VPN閘道器之前維持被加密法的狀態(tài)，該閘道器位于無線訪問接入點(diǎn)后，如圖所示。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)、2.4.3 IPSec概要1. IPSec連接協(xié)議集群IPSec定義了標(biāo)準(zhǔn)且強(qiáng)大的綜合性反應(yīng)歷程，通過利用IPSec可以向IP和上層連接協(xié)議(例如TCP、UDP )提供保密工作保證。 IPSec的目標(biāo)是為IPv4和IPv6提供強(qiáng)大的互操作性、高質(zhì)量、基于密碼的保密工作功能，并在IP層提供多種保密工作服務(wù)，如接入

11、控制、數(shù)據(jù)完整性和機(jī)密性。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)、2. IPSec的實(shí)現(xiàn)方式和實(shí)施(1) IPSec的實(shí)現(xiàn)方式有傳輸模式和隧道模式2種。(1)傳輸模式在兩臺男公關(guān)之間使用，保護(hù)跨通訊端口層的連接協(xié)議首部，實(shí)現(xiàn)端到端的安全性。 如圖所示。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第二章網(wǎng)絡(luò)保密工作技術(shù)基礎(chǔ)、2. IPSec的實(shí)現(xiàn)方式和實(shí)施(2) (2)隧道模式用于男公關(guān)和路由器或兩個(gè)路由器之間，保護(hù)整個(gè)IP報(bào)文分組。 如圖所示。 IPSec可以在最終男公關(guān)和/或閘道器/路由器上實(shí)現(xiàn)和配置。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)基礎(chǔ)、2.5無線局域網(wǎng)保密工作2.5.1無線電網(wǎng)絡(luò)

12、保密工作簡介1 .無線電網(wǎng)絡(luò)保密工作問題無線電網(wǎng)絡(luò)的數(shù)據(jù)傳輸利用微波進(jìn)行輻射傳播，故Access Point (AP ) 在下一個(gè)壟斷范圍內(nèi)，無線保密工作問題是特別顯著的，因?yàn)樗袩o線終端都可以接收無線信號，且AP不能將該無線信號指引到特定的接收設(shè)備。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用，第二章網(wǎng)絡(luò)保密工作技術(shù)基礎(chǔ)2 .合十禮無線保密工作激勵技術(shù)(1)接入控制(2)數(shù)據(jù)加密法(3)新一代合十禮無線保密工作技術(shù)IEEE802.11i (4) TKIP (5) AES (6) 通訊端口接入控制技術(shù)(IEEE802.1x )和EAP)(7) WPA(WiFi Protected Access )規(guī)范網(wǎng)絡(luò)保密工作技

13、術(shù)和應(yīng)用，第2章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)， 3 .無線電網(wǎng)絡(luò)保密工作上的危險(xiǎn)無線電網(wǎng)絡(luò)選擇以特定的無線電波傳輸，并且在該傳送頻率的范圍內(nèi)，具有適當(dāng)接收設(shè)備的任何人能夠捕獲該頻率的信號并進(jìn)入營銷對象網(wǎng)絡(luò)，因此保密工作風(fēng)險(xiǎn)和威脅更大。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)基礎(chǔ)、2.5.2合十禮無線保密工作反應(yīng)歷程和策略1 .合十禮無線保密工作反應(yīng)歷程(1)隱藏SSID (2) MAC地址過濾(3) WEP加密(4) AP隔離(5) 802.1x連接協(xié)議(6) WPA (7) WPA2 (8) 802.11i、網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用第2章網(wǎng)絡(luò)保密工作技術(shù)基礎(chǔ)2 .合十禮無線網(wǎng)絡(luò)保密工作策略(1

14、)制定全面的保密工作策略(2) (3)使用VPN技術(shù)對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行選擇加密；(4)限制文件網(wǎng)站數(shù)據(jù)庫；(5)使用端點(diǎn)掃描技術(shù)(在WLAN中使用WPA或802.1x技術(shù)) 保持結(jié)果不變的網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用，第2章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)，2.5.3無線電網(wǎng)絡(luò)保密工作技術(shù)的應(yīng)用表現(xiàn)了不同的保密工作水平和典型情況下的應(yīng)用技術(shù)。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)、2.6中經(jīng)常使用的網(wǎng)絡(luò)命令2.6.1 ping命令ping命令功能，通過發(fā)送ICMP數(shù)據(jù)包，來驗(yàn)證與其他TCP/IP男公關(guān)的IP級別連接狀況。 網(wǎng)絡(luò)管理者經(jīng)常使用這個(gè)命令檢查網(wǎng)絡(luò)的連接性和到達(dá)性。 另一方面，隨著往返過程的

15、次數(shù)而顯示響應(yīng)消息的接收狀況。 如果只使用不帶殘奧儀表的ping命令，則窗口將顯示該命令及其各種殘奧儀表使用的幫助信息。 使用ping命令的語法形式是ping對方的計(jì)算機(jī)名或IP地址、網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)、2.6.2 ipconfig命令ipconfig命令功能顯示所有的TCP/IP網(wǎng)絡(luò)構(gòu)成信息， 更新動態(tài)主機(jī)配置協(xié)議DHCP (動態(tài)配置協(xié)議)和域名系統(tǒng)DNS設(shè)置。 使用沒有殘奧儀表的ipconfig，可以看到所有適配器的IP地址、子網(wǎng)掩碼和缺省網(wǎng)關(guān)。 可以使用ipconfig /all命令查看所有TCP/IP配置信息。 對于自動獲取IP地址的網(wǎng)卡，可以使用ip

16、config /renew命令更新DHCP配置。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)、2.6.3 netstat命令netstat命令的功能有：活動連接、計(jì)算機(jī)監(jiān)聽的通訊端口、以太網(wǎng)統(tǒng)計(jì)、IP路由選擇表、IPv4統(tǒng)計(jì)信息(IP、ICMP、TCP、UDP “netstat -an”命令允許查看當(dāng)前活動的連接和打開的通訊端口，這是網(wǎng)絡(luò)管理員檢查網(wǎng)絡(luò)是否被入侵的最簡單方法。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)、2.6.4 net命令net命令的功能是顯示計(jì)算機(jī)上的用戶列表、添加和刪除用戶、與對方計(jì)算機(jī)建立連接、啟動或停止某個(gè)網(wǎng)絡(luò)服務(wù)等。使用net user查看計(jì)算機(jī)上的用戶列表，并使用net user用戶名密碼更改用戶密碼。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第2章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)、2.6.5 At命令at命令功能在建立與對方的信任連接后，制作計(jì)劃塔斯克，并設(shè)定執(zhí)行時(shí)間。網(wǎng)絡(luò)保密工作技術(shù)和應(yīng)用、第二章網(wǎng)絡(luò)保密工作技術(shù)的基礎(chǔ)、本章總結(jié)作為“網(wǎng)絡(luò)保密工作的基礎(chǔ)”對網(wǎng)絡(luò)連接協(xié)議的安全性分析和網(wǎng)絡(luò)保密工作的層次結(jié)構(gòu)進(jìn)行了概述的開放式系統(tǒng)互聯(lián)互通參考模型， 分析了網(wǎng)際網(wǎng)絡(luò)網(wǎng)