1、Computer Network Technology計算機網絡技術第2版 第8章 網絡安全第8章 網絡安全學習目標:了解網絡安全基本知識掌握計算機病毒的基本知識理解計算機病毒的原理和木馬原理掌握防火墻技術掌握數字加密和數字簽名原理 8.1 網絡安全概述網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。8.1.1網絡安全隱患安全隱患主要有以下幾種：1黑客入侵 黑客（hacker）一般指一些惡意（一般是非法地）試圖破解或破壞某個程序、系統及網絡安全的人。8.1.1網絡安全隱患2計算機病毒的攻擊 計算機

2、病毒是對網絡安全最嚴重的威脅。3陷阱和特洛伊木馬 在合法程序中插入惡意源代碼以實現非授權進程，從而達到某種特定目的。4來自內部人員的攻擊 指在信息安全處理系統范圍內或對信息安全處理系統有直接訪問權限的人對網絡的攻擊。8.1.1網絡安全隱患5修改或刪除關鍵信息 通過對原始內容進行一定的修改或刪除，從而達到某種破壞網絡安全的目的。6拒絕服務 當一個授權實體不能獲得應有的對網絡資源的訪問或緊急操作被延遲時，就發生了拒絕服務。7人為地破壞網絡設施，造成網絡癱瘓 人為地從物理上對網絡設施進行破壞，使網絡不能正常運行。8.1.2網絡攻擊網絡攻擊分為兩類:（1）被動攻擊 攻擊者簡單地監視所有信息流以獲得某些

3、秘密。這種攻擊可以基于網絡或者基于系統。對付這類攻擊的重點是預防，主要手段是數據加密。（2）主動攻擊 攻擊者試圖突破網絡的安全防線。這種攻擊涉及網絡傳輸數據的修改或創建錯誤數據信息，主要攻擊形式有假冒、重放、欺騙、消息篡改、拒絕服務等。主要手段有防火墻、入侵檢測系統等。8.1.3網絡基本安全技術網絡安全基本措施有防火墻、數字加密、數字簽名、身份認證。（1）防火墻：設置在被保護的內部網絡和有危險性的外部網絡之間的一道屏障，系統管理員按照一定的規則控制數據包在內外網之間的進出。（2）數字加密：通過對傳輸的信息進行一定的重新組合，而使只有通信雙方才能識別原有信息的一種手段。 （3）數字簽名：可以被用

4、來證明數據的真實發送者，當數字簽名用在存儲的數據或程序時，可以用來驗證其完整性。 （4）身份認證：用多種方式來驗證用戶的合法性，如密碼技術、指紋識別、智能IC卡、網銀U盾等。8.2 計算機病毒與木馬8.2.1計算機病毒的基本知識 計算機病毒是指編寫或者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。1計算機病毒的特點寄生性傳染性隱蔽性潛伏性破壞性8.2.1計算機病毒的基本知識2計算機病毒的分類 一般將病毒大致分為：傳統病毒、宏病毒、惡意腳本、木馬程序、黑客程序、蠕蟲程序、破壞性程序。（1）傳統病毒 包括文件型病毒和感染引導扇區的引導型病毒

5、，如CIH病毒。（2）宏病毒（macro） 利用Word、Excel等的宏腳本功能進行傳播的病毒，如梅麗莎（macro. melissa）病毒。（3）惡意腳本（script） 進行破壞的腳本程序，包括HTML腳本、批處理腳本、Visual Basic和JavaScript腳本等，如歡樂時光（VBS. Happytime）。8.2.1計算機病毒的基本知識2計算機病毒的分類（4）木馬（trojan）程序 當病毒程序被激活或啟動后用戶無法終止其運行，如QQ盜號木馬。（5）黑客（hack）程序 利用網絡攻擊其他計算機的網絡工具。（6）蠕蟲（worm）程序 蠕蟲病毒是一種可以利用操作系統的漏洞、電子郵件

6、、P2P軟件等自動傳播自身的病毒，如沖擊波。 （7）破壞性程序（harm） 病毒啟動后，破壞用戶的計算機系統，如刪除文件、格式化硬盤等。如bat文件、可執行文件等。8.2.2計算機病毒工作原理1程序型病毒工作原理 通過網絡、U盤和光盤等為載體傳播，主要感染.exe和.dll等可執行文件和動態連接庫文件，當染毒文件被運行，病毒就進入內存，并獲取了內存控制權，開始感染所有之后運行的文件。2引導型病毒工作原理 引導型病毒把自己寫入磁盤引導區，這樣，只要磁盤被讀寫，病毒就首先被讀取入內存。 8.2.3木馬原理木馬的全稱是特洛伊木馬，是一種惡意程序。木馬在宿主機器上運行，可在用戶毫無察覺的情況下，讓攻擊

7、者獲得遠程訪問和控制用戶計算機的權限。木馬包括客戶端和服務器端兩個部分。著名的有“冰河”“灰鴿子”“QQ盜號木馬”等。8.2.4常見autorun.inf文件 autorun.inf文件本身并不是一個病毒文件，它可以實現雙擊盤符自動運行某個程序的功能，病毒利用這個文件的特點，自動運行一些病毒程序。 打開方式（中毒）8.2.4常見autorun.inf文件 autorun.inf文件可以雙擊打開，或者把名稱改為autorun.txt再打開，查看修改內容。 autorun.inf文件圖標autorun.inf文件的內容8.2.5殺毒軟件工作原理 病毒特征碼:病毒是用某種語言寫出來的一段代碼，每種病

8、毒都會具有一些獨一無二的特征叫作病毒特征碼。病毒庫：殺毒軟件公司找到病毒特征碼，更新其病毒庫。 殺毒軟件的殺毒引擎根據自己獨特的技術（算法）對磁盤文件進行高速檢查，發現病毒并殺毒。8.3 防火墻8.3.1防火墻的基本概念 防火墻是網絡安全的保障，可以實現內部可信任網絡與外部不可信任網絡（互聯網）之間或內部網絡不同區域之間的隔離與訪問控制，阻止外部網絡中的惡意程序訪問內部網絡資源，防止更改、復制、損壞用戶的重要信息。8.3.1防火墻的基本概念防火墻是一種網絡安全保障方式，主要目的是通過檢查入、出一個網絡的所有連接，來防止某個需要保護的網絡遭受外部網絡的干擾和破壞。從邏輯上講，防火墻是一個分離器、

9、限制器、分析器，可有效地檢查內部網絡和外部網絡之間的任何活動。從物理上講，防火墻是集成在網絡特殊位置的一組硬件設備路由器和三層交換機、PC之間。防火墻可以是一個獨立的硬件系統，也可以是一個軟件系統。8.3.2防火墻的分類按照工作的網絡層次和作用對象可分為4種類型。1包過濾防火墻又被稱為訪問控制表（Access Control List，ACL），它根據預先靜態定義好的規則審查內、外網之間通信的數據包是否與自己定義的規則（分組包頭源地址、目的地址端口號、協議類型等）相一致，從而決定是否轉發數據包。工作于網絡層和傳輸層。8.3.2防火墻的分類1包過濾防火墻包過濾防火墻的優點（1）不用改動用戶主機上

10、的客戶端程序。（2）可以與現有設備集成，也可以通過獨立的包過濾軟件實現。（3）成本低廉、速度快、效率高，可以在很大程度上滿足企業的需要。包過濾防火墻的缺點（1）工作在網絡層，不能檢測對于高層的攻擊。（2）如果使用很復雜的規則，會大大降低工作效率。（3）需要手動建立安全規則，要求管理人員清楚了解網絡需求。（4）包過濾主要依據IP包頭中的各種信息，但IP包頭信息可以被偽造，這樣就可以輕易地繞過包過濾防火墻。8.3.2防火墻的分類2應用程序代理防火墻又稱為應用網關防火墻，可在網關上執行一些特定的應用程序和服務器程序，實現協議的過濾和轉發功能。工作于應用層。 其特點是完全阻隔了網絡信息流。8.3.2防

11、火墻的分類3復合型防火墻基于包過濾的方法與應用程序代理的方法結合起來形成復合型防火墻產品。（1）屏蔽主機防火墻體系結構 分組過濾路由器或防火墻與Internet相連，同時一個堡壘主機安裝在內部網絡，通過在分組過濾路由器或防火墻上設置過濾規則，使堡壘主機成為Internet上其他節點所能到達的唯一節點，從而確保內部網絡不受未授權外部用戶攻擊。（2）屏蔽子網防火墻體系結構 堡壘主機放在一個子網內形成非軍事化區，兩個分組過濾路由器放在該子網的兩端，使該子網與Internet及內部網絡分離。堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎。8.3.2防火墻的分類4個人防火墻人防火墻軟件一般集成在

12、殺毒軟件當中，它是應用程序級的，在某一臺計算機上運行，保護其不受外部網絡的攻擊。一般的個人防火墻都具有“學習”機制，就是說一旦主機防火墻收到一種新的網絡通信要求，它會詢問用戶是允許還是拒絕，并應用于以后該通信要求。8.3.3網絡地址轉換NAT技術網絡地址轉換NAT的作用原理就是通過替換一個數據包的源地址和目的地址，來保證這個數據包能被正確識別。通過這種地址映射技術，內部計算機上使用私有地址，當內部網絡計算機通過路由器向外部網絡發送數據包時，私有地址被轉換成合法的IP地址（全局地址）在Internet上使用。NAT技術解決了IPv4版本IP地址不足問題提高了網絡的安全性。缺點是增加了網絡延遲。8

13、.4 數字加密與數字簽名8.4.1數字加密1數字加密的原理 數據加密是指將原始的數據通過一定的加密方式加密成非授權人難以理解的數據，授權人在接收到加密數據后，會利用自己知道的解密方式把數據還原成原始數據。 數據加密的常用術語。（1）明文：沒有加密的原始數據。（2）密文：加密后的數據。（3）加密：把明文轉換成密文的過程。（4）解密：把密文轉換成明文的過程。（5）算法：加密或解密過程中使用的一系列運算方式。（6）密鑰：用于加密或解密的一個字符串。8.4.1數字加密2經典的數字加密技術 （1）替換加密 用某個字母替換另一個字母，替換的方式事先確定，例如替換方式是字母按順序往后移5位，hello在網絡

14、中傳輸時就用mjqqt。 數據加密的常用術語。（2）換位加密 按照一定的規律重新排列傳輸數據。例如預先設置換位的順序是4213，明文bear在網絡中傳輸時就是reba。8.4.1數字加密3秘密密鑰與公開密鑰加密技術 （1）秘密密鑰技術也叫作對稱密鑰加密技術。特點是把算法和密鑰分開進行處理，密鑰最為關鍵，而且在加密和解密過程中，使用的密鑰相同。著名密鑰加密算法是數據加密標準（Data Encryption Standard，DES）。8.4.1數字加密3秘密密鑰與公開密鑰加密技術 （2）公開密鑰加密技術也叫作非對稱密鑰加密技術。加密和解密過程中使用兩個不同的密鑰，兩個密鑰在數學上是相關的，成對出

15、現，但互相不能破解。著名的公開密鑰加密算法是RSA（三位發明者名字首字母組合）。8.4.2數字簽名數字簽名是指在計算機網絡中，用電子簽名來代替紙質文件或協議的簽名，以保證信息的完整性、真實性和發送者的不可否認性。利用報文摘要和公開密鑰加密技術相結合的方式進行數字簽名。 1報文摘要設計思想是把一個任意長度的明文數據轉換成一個固定長度的比特串，在簽名時，只要對這個報文摘要簽名即可，不用對整個明文數據進行簽名。（1）處理任意長度的數據，生成固定大小的比特串。（2）生成的比特串是不可預見的，看上去與原始明文沒有任何聯系，原始明文有任何變化，新的比特串會與原來的不同。（3）生成的比特串具有不可逆性，不能通過它還原成原始明文。8.4.2數字簽名2數字簽名的過程（1）發送端把明文利用單向散列函數轉換成消息摘要。（2）發送者利用自己的私鑰對消息摘要進行簽名。（3）發送端把明文和簽名的消息摘要通過網絡傳遞給接收端。（4）接收端對明文和消息摘要分別處理，明文通過單向散列函數轉換為消息摘要，簽名的消息