网络管理与信息安全
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Configuration Management (配置管理) Fault Management (故障管理)
Performance Management (性能管理)
Security Management (安全管理)
Accounting Management (计费管理)
2. 网络信息安全
2.1 网络安全隐患 计算机网络连接形式的多样性,终端分布的不均匀性和网 络的开放性,互联性等,导致网络易首到攻击或信息安全 隐患。
防火墙的主要功能如下: 过滤不安全服务(脆弱服务)和非法用户,禁 止未授权的用户访问受保护网络。
控制外部网络对内部网络和对特殊站点的访问。
提供监视Internet安全和预警的端点。
隐藏内部网络的拓扑,地址等信息,保证内网 的安全。
防火墙的分类:
包过滤型防火墙 依据IP,port , acl , tcp标志位(SYS,FIN, ACK,UNG,PSH,RST)等
传统的加密算法: 优点: 算法简单,易于实现 缺点: 容易被破解 用途: 作为复杂编码过程的中间步骤
数据加密标准(DES , Data Encryption Standard)
IBM 1972 年研制成功 1977年,成为美国国家标准
DES算法思想: 将整个明文分成一系列64位(8个字节)的明文 块,每块采用DES算法生成64位密文块,最后串 接所有的密文块形成整个密文。
左半边 32位
L0
+
DES 加密标准
输入 明文X(64位)
初始变换
由初始64位(其中8位 是奇偶校验位)密钥经
过若干变化生成
X0 (64位) 右半边
32位
R0
K1 (48位)
f
L 1=R0 +
R1 =L0 + f(R0 ,K1 )
f
K2 (48位)
L 2=R1 +
R2 =L1 + f(R1 ,K12 )
设明文 X=19 ,则对应密文 Y=Xe mod N=195 mod 119 = 66
解密时密文 Y=66 ,则对应明文 X=Yd mod N=6677mod 119 = 19
混合加密
综合利用DES运行高效的特点和RSA安全性 特点与密钥管理优势
思想: ➢利用DES算法对明文进行加密,保证加密的 高效性。 ➢利用RSA算法对DES中用到的密钥进行加密 传输,保证密钥分发的安全性。
P=7,Q=17 计算 N=PQ=7X17=119
Z=(P-1)X(Q-1)=96 从[0,95]中选择一个与96互素的数e,如选e=5
计算d ,使得d满足公式 ed=1 mod Z ,计算知 d=77
加密密钥: PK=(e,N)=(5,119) 解密密钥: SK=(d,N)=(77,119)
加密时,将明文划分成一个个分组,使每个组的二进制 值不超过N,即119。
Iptables –t nat –A POSTROUTING –o eth0 –s 172.16.0.0/16 –j SNAT –tosource $ FW_IP
防火墙并非万能,影响网络安全的因素很多, 对于以下情况它无能为力:
(1)不能防范绕过防火墙的攻击。 (2)一般的防火墙不能防止受到病毒感染的软 件或文件的传输。 (3)不能防止数据驱动式攻击。 (4)难以避免来自内部的攻击。
f
K3 (48位)
L15=R14 +
R =L + f(R ,K )
15 14
14 15
f
K 16 (48位)
R16=L15+ f(R15,K16 )
L16=R15
R16L1(6 64位)
逆初始变换
输出 密闭文Y(64位)
DES算法的保密性仅取决于对密钥的保密,而 算法是公开的。
DES密钥长64位(除去8个奇偶校验位,实际 有用的是54位),所以主密钥选择空间为256
例如:明文:pleasetransferonemilliondollarstome
密码:megabuck
me g a buck
7 4 5 128 36
pl an em do om
e a se t r s f eron i l l i on l l ars t e a b cd e
发送顺序: afllaselabtoosdlnmomesilernntepaedoerirc
Hacker(黑客)
Cracker(骇客,怪客)
网络面临的威胁:
人为的无意失误
人为的恶意攻击 Active attack(积极攻击) 有选择地破坏系统的正常运行,破坏信息的 有效性和完整性 Passive attack(消极攻击) 在不影响系统正常运行的情况下,进行截获, 窃取,破译重要的机密信息。
系统以及网络软件的漏洞和“后门”
网络安全对策 物理安全策略 访问控制策略 信息加密策略 非技术性的安全管理策略
数据加密算法
明文P 加密算法E
加密密钥Ke
C=EKe (P)
明文P 解密算法D
密文C
解密密钥Kd
P=DKd(C)=DKd(E Ke(P))
传统加密算法:
① 替换加密(Substitution Cipher,置换 ) 算法
DES使用相同的加密密钥和解密密钥,加密和
解密算法也相同
对称密钥算法
16次迭代过程相似,可以采用硬件进行移位和逻辑运 算,易于实现,运行速度快。
但是密码分配是一个问题,尤其是多用户时需要每对 通信用户需要一个密钥。
公开密钥算法
密钥成对出现,一个为加密密钥,一个为解密密 钥,加密密钥和解密密钥不同,且不可能从一个 推出另一个。
例如:RSA ,背包密码, McEliece密码, DiffeHellman, 椭圆曲线等
RSA算法 RSA算法安全依据:根据数论,寻找两个大素数比较简单, 而将它们的乘积分解开则极其困难。
RSA 算法思想: ① 选择两个大整数P和Q ,一般要求大于10 100 ② 计算N=PQ和Z=(P-1)(Q-1) ③ 选择一个与Z互素的整数,记为d ④ 计算满足下列条件的e,记为 ed =1 mod Z
$FW_IP=“163.26.197.8”
举例
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD ACCEPT
Icmp报文 8---回应 0---请求
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp --icmp-type 0 -j ACCEPT iptables -A INPUT -i eth1 -P icmp --icmp-type 8 -j ACCEPT iptables -A OUTPUT -o eth1 -p icmp --icmp-type 0 -j accept
加密密钥(e,N)------公开密钥 解密密钥(d,N)-------私密密钥
加密时将明文分割成一定大小的二进制块P,P可以看成 一个整数,要求0≤P≤N,若P的长度为k,则2k ≤ N
对P加密 C=P e mod N 对C解密 P=C dmod N
RSA举例
选择两个素数(这里显然无法选择100位以上的素数)
iptables -A FORWARD -p TCP -i eth0 -o eth1 –d 211.198.2.5 --dport 80 -j ACCEPT
iptables -A FORWARD -p TCP -i eth0 -o eth1 –d 211.198.2.5 --dport 20 –j ACCEPT
代理服务式防火墙(应用层网关级防火墙) 特殊应用层服务代理访问(FTP,WWW, Telent, E-mail等)
状态检测型防火墙 依据网络状态信息迁移动态分析
包过滤防火墙举例----iptables
PRE-ROUTING
Fra Baidu bibliotek
FORWARD
POST-ROUTING
INPUT
OUTPUT
本地进程
Netfilter框架
网络管理与信息安全
1.Network management (网络管理)
网络管理:通过某种方式对网络状态进行调整,使网络 能正常,高效地运行。其目的是使网络中的各种资源 得到更加高效的利用,当网络出现故障时能及时作 出报告和处理,并协调,保持网络的高效运行等。
根据ISO提出的网络管理模型,网络管理有五大功能:
最早最简单的编码方法,将明文中的每 个字母替换成另一个字母
方法一:字母的ASCII码值一个定值
例: +2 attack
cvvcem
方法二:使用固定映射表加密
例: attack
qzzqea
② 变位加密(Transposition Cipher, 转置) 算法 发送时按照某种方式改变原来字母的先后顺序
iptables -A FORWARD -p TCP -i eth0 -o eth1 –d 211.198.2.5 --dport 21 –j ACCEPT
Iptables –A OUTPUT –oeth0 –p udp –s $FW_IP –sport 1024:65535 –d any/0 – dport 53 –j ACCEPT
Intranet
防火墙(firewall)
防火墙
Internet
防火墙是一种用来加强网络之间访问控制的特殊网络互联设 备,它在内部网络(可信网络)和外部网络(不可信网络)之间形成 一道安全保护屏障,它对网络之间传输的数据信息和链接方式 按照一定的安全策略进行检查,来决定网络之间的通信是否被 允许,从而保护内部网络的信息不受外部非授权用户的访问,以 及内部非法向外部传递信息。
Performance Management (性能管理)
Security Management (安全管理)
Accounting Management (计费管理)
2. 网络信息安全
2.1 网络安全隐患 计算机网络连接形式的多样性,终端分布的不均匀性和网 络的开放性,互联性等,导致网络易首到攻击或信息安全 隐患。
防火墙的主要功能如下: 过滤不安全服务(脆弱服务)和非法用户,禁 止未授权的用户访问受保护网络。
控制外部网络对内部网络和对特殊站点的访问。
提供监视Internet安全和预警的端点。
隐藏内部网络的拓扑,地址等信息,保证内网 的安全。
防火墙的分类:
包过滤型防火墙 依据IP,port , acl , tcp标志位(SYS,FIN, ACK,UNG,PSH,RST)等
传统的加密算法: 优点: 算法简单,易于实现 缺点: 容易被破解 用途: 作为复杂编码过程的中间步骤
数据加密标准(DES , Data Encryption Standard)
IBM 1972 年研制成功 1977年,成为美国国家标准
DES算法思想: 将整个明文分成一系列64位(8个字节)的明文 块,每块采用DES算法生成64位密文块,最后串 接所有的密文块形成整个密文。
左半边 32位
L0
+
DES 加密标准
输入 明文X(64位)
初始变换
由初始64位(其中8位 是奇偶校验位)密钥经
过若干变化生成
X0 (64位) 右半边
32位
R0
K1 (48位)
f
L 1=R0 +
R1 =L0 + f(R0 ,K1 )
f
K2 (48位)
L 2=R1 +
R2 =L1 + f(R1 ,K12 )
设明文 X=19 ,则对应密文 Y=Xe mod N=195 mod 119 = 66
解密时密文 Y=66 ,则对应明文 X=Yd mod N=6677mod 119 = 19
混合加密
综合利用DES运行高效的特点和RSA安全性 特点与密钥管理优势
思想: ➢利用DES算法对明文进行加密,保证加密的 高效性。 ➢利用RSA算法对DES中用到的密钥进行加密 传输,保证密钥分发的安全性。
P=7,Q=17 计算 N=PQ=7X17=119
Z=(P-1)X(Q-1)=96 从[0,95]中选择一个与96互素的数e,如选e=5
计算d ,使得d满足公式 ed=1 mod Z ,计算知 d=77
加密密钥: PK=(e,N)=(5,119) 解密密钥: SK=(d,N)=(77,119)
加密时,将明文划分成一个个分组,使每个组的二进制 值不超过N,即119。
Iptables –t nat –A POSTROUTING –o eth0 –s 172.16.0.0/16 –j SNAT –tosource $ FW_IP
防火墙并非万能,影响网络安全的因素很多, 对于以下情况它无能为力:
(1)不能防范绕过防火墙的攻击。 (2)一般的防火墙不能防止受到病毒感染的软 件或文件的传输。 (3)不能防止数据驱动式攻击。 (4)难以避免来自内部的攻击。
f
K3 (48位)
L15=R14 +
R =L + f(R ,K )
15 14
14 15
f
K 16 (48位)
R16=L15+ f(R15,K16 )
L16=R15
R16L1(6 64位)
逆初始变换
输出 密闭文Y(64位)
DES算法的保密性仅取决于对密钥的保密,而 算法是公开的。
DES密钥长64位(除去8个奇偶校验位,实际 有用的是54位),所以主密钥选择空间为256
例如:明文:pleasetransferonemilliondollarstome
密码:megabuck
me g a buck
7 4 5 128 36
pl an em do om
e a se t r s f eron i l l i on l l ars t e a b cd e
发送顺序: afllaselabtoosdlnmomesilernntepaedoerirc
Hacker(黑客)
Cracker(骇客,怪客)
网络面临的威胁:
人为的无意失误
人为的恶意攻击 Active attack(积极攻击) 有选择地破坏系统的正常运行,破坏信息的 有效性和完整性 Passive attack(消极攻击) 在不影响系统正常运行的情况下,进行截获, 窃取,破译重要的机密信息。
系统以及网络软件的漏洞和“后门”
网络安全对策 物理安全策略 访问控制策略 信息加密策略 非技术性的安全管理策略
数据加密算法
明文P 加密算法E
加密密钥Ke
C=EKe (P)
明文P 解密算法D
密文C
解密密钥Kd
P=DKd(C)=DKd(E Ke(P))
传统加密算法:
① 替换加密(Substitution Cipher,置换 ) 算法
DES使用相同的加密密钥和解密密钥,加密和
解密算法也相同
对称密钥算法
16次迭代过程相似,可以采用硬件进行移位和逻辑运 算,易于实现,运行速度快。
但是密码分配是一个问题,尤其是多用户时需要每对 通信用户需要一个密钥。
公开密钥算法
密钥成对出现,一个为加密密钥,一个为解密密 钥,加密密钥和解密密钥不同,且不可能从一个 推出另一个。
例如:RSA ,背包密码, McEliece密码, DiffeHellman, 椭圆曲线等
RSA算法 RSA算法安全依据:根据数论,寻找两个大素数比较简单, 而将它们的乘积分解开则极其困难。
RSA 算法思想: ① 选择两个大整数P和Q ,一般要求大于10 100 ② 计算N=PQ和Z=(P-1)(Q-1) ③ 选择一个与Z互素的整数,记为d ④ 计算满足下列条件的e,记为 ed =1 mod Z
$FW_IP=“163.26.197.8”
举例
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD ACCEPT
Icmp报文 8---回应 0---请求
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp --icmp-type 0 -j ACCEPT iptables -A INPUT -i eth1 -P icmp --icmp-type 8 -j ACCEPT iptables -A OUTPUT -o eth1 -p icmp --icmp-type 0 -j accept
加密密钥(e,N)------公开密钥 解密密钥(d,N)-------私密密钥
加密时将明文分割成一定大小的二进制块P,P可以看成 一个整数,要求0≤P≤N,若P的长度为k,则2k ≤ N
对P加密 C=P e mod N 对C解密 P=C dmod N
RSA举例
选择两个素数(这里显然无法选择100位以上的素数)
iptables -A FORWARD -p TCP -i eth0 -o eth1 –d 211.198.2.5 --dport 80 -j ACCEPT
iptables -A FORWARD -p TCP -i eth0 -o eth1 –d 211.198.2.5 --dport 20 –j ACCEPT
代理服务式防火墙(应用层网关级防火墙) 特殊应用层服务代理访问(FTP,WWW, Telent, E-mail等)
状态检测型防火墙 依据网络状态信息迁移动态分析
包过滤防火墙举例----iptables
PRE-ROUTING
Fra Baidu bibliotek
FORWARD
POST-ROUTING
INPUT
OUTPUT
本地进程
Netfilter框架
网络管理与信息安全
1.Network management (网络管理)
网络管理:通过某种方式对网络状态进行调整,使网络 能正常,高效地运行。其目的是使网络中的各种资源 得到更加高效的利用,当网络出现故障时能及时作 出报告和处理,并协调,保持网络的高效运行等。
根据ISO提出的网络管理模型,网络管理有五大功能:
最早最简单的编码方法,将明文中的每 个字母替换成另一个字母
方法一:字母的ASCII码值一个定值
例: +2 attack
cvvcem
方法二:使用固定映射表加密
例: attack
qzzqea
② 变位加密(Transposition Cipher, 转置) 算法 发送时按照某种方式改变原来字母的先后顺序
iptables -A FORWARD -p TCP -i eth0 -o eth1 –d 211.198.2.5 --dport 21 –j ACCEPT
Iptables –A OUTPUT –oeth0 –p udp –s $FW_IP –sport 1024:65535 –d any/0 – dport 53 –j ACCEPT
Intranet
防火墙(firewall)
防火墙
Internet
防火墙是一种用来加强网络之间访问控制的特殊网络互联设 备,它在内部网络(可信网络)和外部网络(不可信网络)之间形成 一道安全保护屏障,它对网络之间传输的数据信息和链接方式 按照一定的安全策略进行检查,来决定网络之间的通信是否被 允许,从而保护内部网络的信息不受外部非授权用户的访问,以 及内部非法向外部传递信息。