第11章网络安全技术.pdf

计算机网络安全教程 第11章 网络安全技术 第11章 网络安全技术 重点内容： 链路加密与端到端加密 防火墙功能及分类 入侵检测习题模型、分类及部署 VPN类型、工作原理 计算机网络安全教程 1、链路加密 一、网络数据加密 1、链路加密 一、网络数据加密 链路加密可用于任何类型的数据通信链路。因为链路加密须要对 通过这条链路的所有数据进行加密，通常在物理层或数据链路层实施 加密机制。链路加密方式如下图所示。 链路加密的工作原理是，数据报P（明文）经发送端的加密设备 处理后（加密动作为E，使用密钥K1）变成C1（密文），发送到链路l 上传输，到达中间节点1。在中间节点1内，首先由解密设备将C1进行 解密操作（解密动作为D，密钥使用K1），恢复为P，再进行相关处 理。在发送到链路2之前，再由加密设备对P进行加密（使用密钥 K2）。在中间节点2和接收端也采取类似的处理过程。 计算机网络安全教程 1、链路加密 一、网络数据加密 1、链路加密 一、网络数据加密 链路加密的优点： 对用户透明，能提供流量必威体育官网网址性，密钥管理简单，提供主机鉴 别，加密和解密都是在线进行的。 链路加密的缺点： 数据仅在传输线路上是加密的，在发送主机和中问节点上都是暴 露的明文形式，容易受到攻击。 计算机网络安全教程 2、端到端加密 一、网络数据加密 2、端到端加密 一、网络数据加密 端到端加密是指数据在发送端被加密后，通过网络传输，到达接 收端后才被解密。端到端加密方式如下图所示。 在端到端加密方式中，数据在发送端被加密后，一直保持加密状 态在网络中传输。 这样做有两个好处，一是避免了每段链路的加密解密开销，二是 不用担心数据在中间节点被暴露。 计算机网络安全教程 2、端到端加密 一、网络数据加密 2、端到端加密 一、网络数据加密 端到端加密方式中，加密机制可放置在不同的位置，如应用层、 网络层或数据链路层.端到端加密方式通常采用软件来实现。端到端 加密方式的主要优点是，在发送端和中间节点上数，据都是加密的， 安全性好。这种方式提供了更灵活的保护手段，能针对用户和应用实 现加密，用户可以有选择地应用加密，并能提供用户鉴别。 主要缺点：不能提供流量必威体育官网网址性，需要用户来选择加密方法和决 定算法，每对用户需要一组密钥，密钥管理系统复杂。这种方式只有 在需要时才进行加密，即加密是离线的。 计算机网络安全教程 1、防火墙的功能 二、防火墙 1、防火墙的功能 二、防火墙 防火墙就是位于内部网络或Web站点与Internet之间的一个路由 器或一台计算机，又称堡垒主机，它是对所有网络通信流进行过滤的 节点，是两个或多个安全域之间通信流的唯一通道，如下图所示。 防火墙通过审查经过堡垒主机的每一个数据包，判断它是否匹配 事先设置的过滤规则（又称访问控制列表ACL，Access Control List）。如满足，根据控制机制做出相应的动作，不满足则将数据包 丢弃，以保护网络的安全。 计算机网络安全教程 1、防火墙的功能 二、防火墙 1、防火墙的功能 二、防火墙 防火墙根据ACL对数据包进行匹配操作时，有两种基本策略： 第一种，除非规则指明的数据包允许通过, 其余数据包均被禁止 通过，这种称为限制策略。 第二种，除非规则指明的数据包禁止通过, 其余数据包均允许通 过，这种称为宽松策略。 为了提高安全性，通常防火墙均采用限制策略，但限制策略配置 过程相对会复杂一些。 计算机网络安全教程 1、防火墙的功能 二、防火墙 1、防火墙的功能 二、防火墙 防火墙实现以下