电大计算机网络小抄章节1315.docx

1、电大计算机网络小抄章节1315网络安全研究的主要问题 v 1网络防攻击技术和入侵检测技术v 2网络安全漏洞与对策的研究v 3网络中的信息安全问题 v 4防抵赖问题v 5网络内部安全防范v 6网络防病毒技术v 7网络数据备份与恢复、灾难恢复问题 网络安全标准 v 网络安全标准指的是在网络架设、管理以及网络安全系统的设计与开发过程中，需要参考的网络安全体系结构。v 目的是保证网络安全功能的完备性和一致性，降低安全代价和管理开销。ISO/OSI安全体系结构 v 核心内容是保证异构计算机系统之间交换信息的安全。v 在OSI安全参考模型中给出了OSI网络层次、安全服务和安全机制之间的逻辑关系。v 定义了

2、5大类安全服务，提供了8大类安全机制以及相应的开放系统互联的安全管理。ISO安全体系结构的安全服务 v 安全服务是一种由系统提供的对资源进行特殊保护的进程或通信服务。v ISO安全体系结构定义了五大类型共14项特定安全服务。 认证服务，又称鉴别服务 访问控制服务 数据保密性服务 数据完整性服务 抗抵赖性服务ISO安全体系结构的安全机制 安全服务通过安全机制来支持,两类机制： 在特定的协议层实现-特定安全机制 不属于任何的协议层或安全服务-普遍安全机制 网络安全技术v ISO安全体系结构安全机制的架设是通过网络安全技术来实现的。v 网络安全技术可分为： 身份验证技术。 数据完整性技术。 跟踪审计

3、技术。 信息伪装技术。加密与认证技术 v 加密(Encryption)指将一个信息经过加密钥匙及加密函数转换,变成无意义的密文v 密码算法是一个复杂的函数变换，C = F(M, Key ）。v 密文可以通过不安全渠道送给收信人，但密钥的传递必须通过安全渠道。v 目前流行的密码算法主要有DES、RSA，IDEA，DSA等 密码算法分类v (1)按加密和解密密钥的类型不同,分为： 对称密钥密码算法 非对称密钥密码算法v (2)按加密时对明文的处理方式的不同，分为： 分组密码算法 序列密码算法密钥密码体系v 对称密钥加密 对称密钥加密又称私钥算法加密。 常用算法：DES、Triple DES、IDE

4、A 、blowfish和Twofish v 非对称密钥密码体系 是指加密解密双方拥有不同的密钥。 常见的非对称密钥密码算法有RSA、ElGamal和椭圆曲线密码。 数字签名技术v 公钥加密技术不能确认真正的发送者。v 数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等问题。v 数字签名一般采用非对称加密技术(如RSA)。v 数字签名普遍用于银行、电子贸易等。 身份认证技术v 身份认证（Identification and Authentication）可以定义为：为了使某些授予许可权限的权威机构、组织和个人满意，而提供所要求的证明自己身份的过程。v 身份认证可以通过以下3种基本途径

5、之一或它们的组合实现： (1)所知（Knowledge）：个人所掌握的密码、口令； (2)所有（Possesses）：个人身份证、护照、信用卡、钥匙； (3)个人特征（Characteristics）：人的指纹、声音、笔迹、手型、脸型、血型、视网膜、虹膜、DNA，以及个人动作方面的特征；计算机及网络系统中常用的身份认证方式v (1)用户名/密码方式 v (2)智能卡认证 v (3)动态口令 v (4)USB Key认证v (5)生物识别技术防火墙技术 v 防火墙概述 防火墙（Firewall）是对一个安全网络和一个不安全网络之间的数据流加以控制。 防火墙的作用(1)网络的安全屏障(2)强化网络

6、安全策略(3)对网络存取和访问进行监控审计(4)防止内部信息的外泄防火墙的缺点 (1)不能防范恶意的知情者(2)不能防范不通过它的连接(3)不能防备全部的威胁(4)防火墙不能防范病毒包过滤路由器 v 包过滤防火墙基于路由器，因此它也称为筛选路由器。应用级网关v 应用级网关是基于代理服务的防火墙。v 所谓代理服务，即防火墙内外的计算机系统应用层的链接是在两个终止于代理服务的链接来实现的。v 外部用户只能看到代理服务器，内部网络只接收代理服务器的服务请求。v 需要对每一种服务设计一个代理软件模块来进行安全控制。防火墙的体系结构v 1屏蔽路由器(Screening Router)v 2双宿主机网关(

7、Dual-Homed Gateway)v 3屏蔽主机网关(Screened Gateway)v 4屏蔽子网(Screened Subnet) v 常见的网络攻击方法 1口令窃取 2木马程序攻击 3欺骗攻击 3欺骗攻击 5网络监听 6寻找系统漏洞 7拒绝服务攻击v 入侵检测（Intrusion Detection） 通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象.v 入侵检测系统（Intrusion Detection System） 是对计算机和网络资源的恶意使用行为进行识别的系统.入侵检测系统分类 v （1）基于主机的入侵检测

8、系统。v （2）基于网络的入侵检测系统。v （3）分布式入侵检测系统。入侵检测的基本方法(1)模式匹配(2)协议分析(3)专家系统(4)统计分析(5)基于技术发展的入侵检测方法v 计算机病毒的定义 计算机病毒(Computer Virus) “指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 v 计算机病毒的分类 根据病毒存在的媒体，病毒可以划分为： 网络病毒 文件病毒 引导型病毒 混合型病毒v 根据病毒传染的方法可分为： 驻留型病毒。 非驻留型病毒。v 根据病毒破坏的能力可划分为： 无害型 无危险型 危险型 非常危险型网

9、络病毒计算机病毒一般通过有盘工作站的软盘和硬盘进入网络，然后开始在网上的传播。网络工作站防病毒方法 1基于工作站的防治方法(1)防病毒软件(2)病毒防护芯片(3)多用无盘工作站2基于服务器的防治方法集中式实时扫毒。v 网络管理 指网络使用期内为保证用户安全、可靠、正常使用网络服务而从事的全部操作和维护性活动。v 计算机网络管理分为两类： 第一类是计算机网络应用程序、用户帐号和存取权限的管理，属于与软件有关的网络管理问题； 第二类是对构成计算机网络的硬件的管理，包括对工作站、服务器、网卡、路由器、网桥和集线器等的管理。v 网络管理涉及以下三个方面：(1)网络服务(2)网络维护 (3)网络处理v

10、网络管理系统是一个软硬件结合以软件为主的分布式网络应用系统，可以帮助网络管理者维护和监视网络的运行，生成网络信息日志，分析和研究网络。网络管理模型 (1)管理者(2)管理代理(3)网络管理信息库（MIB）(4)网络管理协议OSI管理功能域v ISO 定义了网络管理的五个功能域： 1故障管理(Fault Management) 2计费管理(Accounting Management) 3配置管理(Configuration Management) 4性能管理(Performance Management) 5安全管理(Security Management) 故障管理(Fault Managem

11、ent)v 是对网络环境中的问题和故障进行定位的过程。v 包括故障检测、隔离和纠正三方面，主要功能：(1)维护并检查错误日志 (2)接受错误检测报告并做出响应 (3)跟踪、辨认故障 (4)执行诊断测试 (5)纠正错误，重新开始服务 计费管理v 计费管理负责控制和监测网络操作的费用和代价。v 计费管理的功能包括：(1)统计网络利用率等数据，提供给网络管理员确定费率的依据。(2)根据用户对网络资源使用情况，公平合理的收取费用。(3)提供费用统计和账单审查服务。(4)当多个资源同时用来提供一项服务时，能计算各个资源的费用。配置管理v 配置管理是发现和设置网络设备的过程。v 配置管理的功能主要包括：(

12、1)设置开放系统中有关路由操作的参数。 (2)被管对象和被管对象组属性的管理。 (3)初始化或关闭被管理对象。 (4)根据要求收集系统当前状态的有关信息。 (5)获取系统重要变化的信息，维护最新的设备清单并根据数据产生报告。(6)更改系统的配置，提供远程修改设备配置的手段。性能管理v 用于对系统运行及通信效率等系统性能进行评价。v 典型的网络性能管理分为性能监测和网络控制两部分。典型的功能包括： (1)收集并统计与被管理对象性能有关的参数、历史数据等信息。(2)维护并检查系统状态日志，检测性能故障，报告性能事件。(3)确定自然和人工状况下系统的性能。(4)以保证网络性能为目的，对被管理对象和被

13、管理对象组进行控制。安全管理v 安全管理的目的是确保网络资源不被非法使用，防止网络资源由于入侵者攻击而遭到破坏。v 安全管理提供的主要功能有：(1)支持身份鉴别，控制和维护访问权限。(2)支持密钥管理。(3)维护和检查安全日志。简单网络管理协议SNMPv SNMP为网络管理系统提供网络设备监视、网络参数设定、网络流量的统计与分析及发现故障。v SNMP的管理模型是“管理者代理”模型。SNMP的管理模型 v SNMP管理器也称管理进程，SNMP管理器运行在网络工作站或网管中心的主机上。v SNMP管理器负责完成各种网络管理功能，通过被管理设备中管理代理对网络设备和资源进行管理。网络安全测评 v

14、目的是通过网络安全测评，认清网络的脆弱性和潜在威胁，能够快速查出网络上存在的安全隐患、网络系统中存在的安全漏洞等。v 网络安全测评的前提是：设备安装环境是安全的、设备的质量是可靠的、外部运行环境是不安全的、内部运行环境是相对安全的、系统管理员是可信任的。网络安全测评标准v 1.可信计算机标准评价准则v 2.计算机信息安全保护等级划分准则 可信计算机标准评价准则v 1983年美国国防部发表的可信计算机标准评价准则，简称TCSEC，又称桔皮书v 把计算机安全等级分为4类7个级别。依据安全性从低到高的级别，依次为D、C1、C2、B1、B2、B3、A，每个级别包括了它下级的所有特性。v TCSEC标准

15、是计算机网络安全测评的第一个正式标准。网络安全测评内容v 网络安全测评的内容大致有以下几个方面：(1)安全策略测评(2)网络物理安全测评(3)网络体系的安全性测评(4)安全服务测评(5)病毒防护安全性测评(6)其它测评，如审计的安全性测评、备份的安全性测评、紧急事件响应测评、安全组织和管理测评等网络服务Web Service v 网络就是计算机。v SOA（Service-Oriented Architecture)，即面向服务的架构从应用角度提出了解决这个大机器之复杂性所采用的设计原则。v Web服务是一种实现SOA的技术架构。 使用SOAP 协议在服务提供者与服务使用者之间进行通信； 通过

16、WSDL协议定义服务接口； 使用UDDI协议进行注册和查找。v Web Services是一种基于服务组建的开放软件平台。 SOA体系构架v SOA是一种架构模型。v SOA的关键是“服务”的概念。v W3C将服务定义为：“服务提供者完成一组工作，为服务使用者交付所需的最终结果。最终结果通常会使使用者的状态发生变化，但也可能使提供者的状态改变，或者双方都产生变化”。 SOA体系构架的三种角色v Service provider：对外提供服务，并且通过注册来发布服务信息；v Service broker：提供服务的发布和定位功能；v Service requester：通过服务代理查询所需服务，

17、并通过服务提供者绑定服务。 SOA的含义v SOA是指为了解决在Internet环境下业务集成的需要，通过连接能完成特定任务的独立功能实体实现的一种软件系统架构。这个定义有下面两点含义：1) 软件系统架构：SOA不是一种语言，是一种软件系统架构，它尝试给出在特定环境下推荐采用的一种架构，从这个角度上来说，它更像一种模式(Pattern)。2) SOA最主要的应用场合在于解决在Internet环境下的不同商业应用之间的业务集成问题。SOA的三大基本特征 1.独立的功能实体 2.大数据量低频率访问 3.基于文本的消息传递 HTTP协议：一个典型的SOA实现v HTTP协议满足SOA的特点： 独立的

18、功能实体：作为服务器端的Web服务器是绝对不会因为客户端的状况变化而改变。 大数据量低频率访问：对于一个HTTP请求来说，客户端与服务器之间访问的边界非常简单：就是一个请求，一个响应，没有任何其它的信息往返。 基于文本的消息传递：所有内容都是以格式化的文本方式传递。交换技术 v 二层交换技术v 三层交换技术v 第四层交换技术 二层交换技术v 工作流程如下： （1） 当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的； （2） 再去读取包头中的目的MAC地址，并在地址表中查找相应的端口； （3） 如表中有与这目的MAC地址对应的端口，

19、把数据包直接复制到这端口上； （4） 如表中找不到相应的端口则把数据包广播到所有端口上，通过学习机制得到MAC表项。 三层交换技术v 是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合。v 三层交换原理： 发送站点A在开始发送时，把自己的IP地址与B站的IP地址比较，判断B站是否与自己在同一子网内。 若目的站B与发送站A在同一子网内，则进行二层的转发。 若两个站点不在同一子网内，发送站A要向“缺省网关”发出ARP(地址解析)封包，实现三层交换。第四层交换技术v 第四层交换机是采用第四层交换技术而开发出来的交换机产品，它工作于OSIRM模型的第四层，即传输层，直接面对具体应用。v 第四

20、层交换机支持的协议是各种各样的，如HTTP，FTP、Telnet、SSL等。v 在第四层交换中为每个供搜寻使用的服务器组设立虚IP地址（VIP），每组服务器支持某种应用。网格技术v 它将分布在不同地理位置的计算资源包括CPU、存储器、数据库等，通过高速的互联网组成充分共享的资源集成，从而提供一种高性能计算、管理及服务的资源能力。v 通过网格计算技术，位于日内瓦的西欧高能物理研究中心工作人员，在网上操作，就可以把任务交给位于法国里昂的计算机集群上去完成。开放网格服务结构 v 开放网格服务结构OGSA是Global Grid Forum4的重要标准建议，被称为是下一代的网格结构。v OGSA的目的

21、就是要将Globus的一些功能融合到Web Service这个框架中。v OGSA是面向服务的结构，将所有事务都表示成一个Grid服务。Internet的各种接入方式 v 基于传统电信网的有线接入； ADSL接入 ISDN接入v 基于有线电视网（Cable Modem）接入；v 以太网接入；v 光纤接入技术 ；v 无线接入技术PPPoE技术v 1998年Redback网络公司联合UUNET公司和RouterWare软件公司开发了以太网上点对点协议PPPoE（PPP over Ethernet）技术。v 1999年2月被IETF接收，以RFC2516发布。v PPPoE提供通过接入设备把以太网的

22、多个主机连接到远程访问设备的功能。ADSL接入技术v DSL（数字用户线路，Digital Subscriber Line）是以铜电话线为传输介质的点对点传输技术，它包括HDSL、SDSL 、VDSL 、ADSL和RADSL等，一般称之为xDSL。v 电话铜线理论上有2MHz的带宽，ADSL在电话线上产生了同时工作的三个信息通道。 一个为标准电话服务的通道 一个速率为32Kbps-1.0Mbps的上行通道 一个速率为512bps-8Mbps的下行通道ISDN专线接入技术v 综合业务数字网（Integrated Service Digital Network），简称ISDN。v 是通过对电话网进

23、行数字化改造而来的。v 以支持一系列广泛的业务，包括语音、数据、传真、可视图文等。v 一对普通的用户线最多可连接8个终端提供多种通信的综合服务。基于有线电视网（Cable Modem）接入技术 v CATV是一种电视电缆技术v 有线电视网是单向的，只有下行信道。v HFC（Hybrid Fiber Coax：混合光纤同轴电缆网）。v Cable Modem（电缆调制解调器）是一种通过有线电视网络进行高速数据接入的装置。速度范围为500K10Mb/s。 光纤接入技术v 所谓光纤接入网（OAN：Optical Access Network）就是指采用光纤传输技术的接入网，泛指本地交换机或远端模块与

24、用户之间采用光纤通信或部分采用光纤通信的系统 。v 光纤接入的特点： （1）带宽宽 （2）网络的可升级性能好 （3）双向传输 （4）接入简单、费用少无线接入技术v 无线接入技术是指在终端用户和交换端局间的接入网，全部或部分采用无线传输方式，提供固定或移动接入服务的技术。 v 无线接入的实现主要基于以下几种类型的技术： （1）蜂窝技术 （2）数字无绳技术 （3）点对点微波技术 （4）卫星技术 （5）蓝牙技术 web2.0技术与概念v Web2.0就是让互联网用户从信息接受者转变成为信息制造者和传播者，从受众转向主体，从单个个体转向社团的新型互联网服务模式与理念。 v Web2.0成型的核心应用元

25、素包括： 1. Blog博客/网志 2. RSS站点摘要 3. WIKI百科全书 4.网摘网页书签 5.SNS社会网络 6. P2P 对等联网 7. IM即时通讯 多网融合技术 v 多网融合有两层含义：（1）在数据传输方面。以前分别基于PSTN电话网上的语音数据和基于有线电视同轴电缆上的视频数据，以及基于IP的信息数据，都被整合在一个网络中进行传输，这个物理媒介就是融合网络。（2）在应用层面。把以前各种异构网络上的应用全部整合到一个IP网络上，从而实现在应用上的大统一。 IP多媒体子系统（IMS） v IMS最初是3GPP组织制定的3G网络核心技术标准，纳入NGN（下一代网络）的核心标准框架。v IMS具备实现网络的融合能力。v IMS提出了全IP的网络架构，采用SIP协议进行控制，实现移动性管理、多媒体会话信令和载体业务传输，实现端到端的IP业务。 v IMS到目前为止有R5、R6和R7三个版本。IMS体系结构v 最底层为承载层，用于提供IMS SIP会话的接入和传输，承载网必须是基于分组交换的。v 中间层为信令控制层，由网络控制服务器组成，负责管理呼叫或会话设置、修改和释放。v 最上面一层是应用层，由应用和内容服务器组成。