第5章网络安全.ppt

* 计算机系统安全原理与技术 * 5.16 因特网的网络安全协议族IPsec都包含哪些主要的内容？ 5.17 AH和ESP有哪些相同点、哪些不同点? 5.18 简述隧道技术的工作原理。 5.19 什么是PKI？PKI的基本结构是什么？PKI提供哪些安全服务？ 5.20 为什么提出了“数字证书”的概念？数字证书中存放了哪些信息，它们有什么作用？ * 计算机系统安全原理与技术 * 5.21 PMI和PKI相比有哪些改进？PMI系统可以脱离PKI系统单独运行吗？ 5.22 IPv6的安全机制有哪些应用? 5.23 IPv6在网络层的安全性上得到了很大的增强。但是为什么又说：“它的应用也带来的一些新的问题，且对于现行的网络安全体系提出了新的要求和挑战。”？ * 计算机系统安全原理与技术 * 5.24 防火墙应用设计：考虑这样一个实例，一个A类子网络，认为站点上有黄色的BBS，所以希望阻止网络中的用户访问该点的BBS；再假设这个站点的BBS服务是通过Telnet方式提供的，那么需要阻止到那个站点的出站Telnet服务，对于Internet的其他站点，允许内部的网用户通过Telnet方式访问，但不允许其他站点以Telnet方式访问网络；为了收发电子邮件，允许SMTP出站入站服务，邮件服务器是IP地址为；对于WWW服务，允许内部网用户访问Internet上任何网络和站点，但只允许一个公司(因为是合作伙伴关系，公司的网络为)的网络访问内部WWW服务器，内部WWW服务器的IP地址为。请设定合理的过滤规则表。 * 计算机系统安全原理与技术 * 5.25 实验：安装配置开放源码的入侵检测系统snort。 5.26 实验：Win2000 Server中的入侵检测。本实验指的是利用Win2000 Server自身的功能及系统管理员自己编写的软件/脚本进行入侵的检测。实验主要内容包括：基于80端口入侵的检测；基于安全日志的检测；文件访问日志与关键文件保护；进程监控；注册表校验；端口监控；终端服务的日志监控；陷阱技术。 5.27 实验：在Windows 2000服务器上为Web应用程序(站点)配置SSL。 * * * * * * * * * * * * * ARP欺骗，路由欺骗 * * * * * 计算机系统安全原理与技术 * 5.6 网络安全协议 5.6.1 Kerberos协议 5.6.2 SSL协议 5.6.3 IPsec协议 * 计算机系统安全原理与技术 * 5.6.1 Kerberos协议 Kerberos系统使用56位DES加密算法加密网络连接，并且提供用户身份的认证。Kerberos环境依赖于Kerberos认证服务器的存在，它执行密钥管理和控制的功能。Kerberos认证服务器维护一个保存所有客户密钥的数据库。每当两个用户要进行安全通信及认证请求时，Kerberos认证服务器就产生会话密钥。 * 计算机系统安全原理与技术 * Kerberos的主要功能 认证 授权 记账与审计 * 计算机系统安全原理与技术 * Keberos认证协议 * 计算机系统安全原理与技术 * Kerberos会话密钥交换过程 * 计算机系统安全原理与技术 * Kerberos的不足 (1) 它增加了网络环境管理的复杂性，系统管理必须维护Kerberos认证服务器以支持网络。如果Kerberos认证服务器停止访问或不可访问，用户就不能使用网络 (2) 如果Kerberos认证服务器遭到入侵，整个网络的安全性就被破坏 (3) 对Kerberos配置文件的维护是比较复杂而且很耗时 (4) 一些Kerberos实现对多用户系统是不安全的 (5) Kerberos无法防止拒绝服务的攻击 (6) Kerberos无法防止口令破解程序的攻击 * 计算机系统安全原理与技术 * 5.6.2 SSL协议 SSL(Security Socket Layer)是NetsCape公司于1996年推出的安全协议 它为网络应用层的通信提供了认证、数据必威体育官网网址和数据完整性的服务，较好地解决了Internet上数据安全传输的问题。 SSL的主要目的是为网络环境中两个通信应用进程（Client与Server）之间提供一个安全通道。 * 计算机系统安全原理与技术 * SSL安全协议 该协议共分上、下两层。下层是SSL记录协议（SSL Record Protocol） 作用是对上层传来的数据加密后传输。SSL记录协议可以建立在任何可靠的传输协议之上（如TCP）。上层是SSL握手协议（SSL Handshake Protocol），它的主要作用是 ：Client和Server之间互相验证身份 ；Client和Server之间协商安全参数 。 * 计算机系统安全原理与技术 * SSL与T