沈鑫剡编著(网络安全)教材配套课件第9章.pptx
- 文档编号:2641970
- 上传时间:2022-11-04
- 格式:PPTX
- 页数:52
- 大小:1.63MB
沈鑫剡编著(网络安全)教材配套课件第9章.pptx
《沈鑫剡编著(网络安全)教材配套课件第9章.pptx》由会员分享,可在线阅读,更多相关《沈鑫剡编著(网络安全)教材配套课件第9章.pptx(52页珍藏版)》请在冰豆网上搜索。
2006工程兵工程学院计算机教研室网络安全第九章安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全第第9章章互连网安全技术互连网安全技术本章主要内容本章主要内容n互连网安全技术互连网安全技术概述;概述;n安全安全路由;路由;n流量管制流量管制;nNATNAT;nVRRPVRRP。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全9.1互连网安全技术概述互连网安全技术概述本讲主要内容本讲主要内容n路由器和互连网结构;路由器和互连网结构;n互连网安全技术范畴和功能。
互连网安全技术范畴和功能。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、一、路由器和互连网结构路由器和互连网结构11互连网结构互连网结构安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、一、路由器和互连网结构路由器和互连网结构11互连网结构互连网结构多个不同类型的网络通过路由器连接多个不同类型的网络通过路由器连接在一起,路由器采用数据报交换方式,通在一起,路由器采用数据报交换方式,通过路由项指出通往每一个网络的传输路径,过路由项指出通往每一个网络的传输路径,路由表是路由项的集合。
路由表是路由项的集合。
连接在不同传输网络上的两个主机之连接在不同传输网络上的两个主机之间的传输路径分为两个层次,一是传输网间的传输路径分为两个层次,一是传输网络建立的连接在同一传输网络上的两个结络建立的连接在同一传输网络上的两个结点之间的传输路径。
二是点之间的传输路径。
二是IPIP传输路径,由传输路径,由源和目的主机、路由器和传输网络组成。
源和目的主机、路由器和传输网络组成。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、一、路由器和互连网结构路由器和互连网结构22路由器作用路由器作用路由器的作用主要有三个,一是通过路由器的作用主要有三个,一是通过多个连接不同类型的传输网络的接口实现多个连接不同类型的传输网络的接口实现不同类型传输网络的互连,二是建立用于不同类型传输网络的互连,二是建立用于指明通往互连网中每一个网络的传输路径指明通往互连网中每一个网络的传输路径的路由项,三是实现的路由项,三是实现IPIP分组的转发过程。
分组的转发过程。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、一、路由器和互连网结构路由器和互连网结构黑客攻击行为可以分为针对主机的攻击黑客攻击行为可以分为针对主机的攻击行为、针对传输网络的攻击行为和针对路由行为、针对传输网络的攻击行为和针对路由器的攻击行为。
器的攻击行为。
33针对路由器的攻击针对路由器的攻击n路由项欺骗攻击;路由项欺骗攻击;n拒绝服务攻击。
拒绝服务攻击。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、互连网安全技术范畴和功能二、互连网安全技术范畴和功能11互连网安全技术范畴互连网安全技术范畴互连网安全技术可以分为三类,第一类互连网安全技术可以分为三类,第一类是有着专门用途的安全技术,如防火墙、入是有着专门用途的安全技术,如防火墙、入侵检测系统和虚拟专用网(侵检测系统和虚拟专用网(VPNVPN)等。
第二类)等。
第二类是有着一般用途的安全技术,如防路由项欺是有着一般用途的安全技术,如防路由项欺骗、骗、NATNAT、流量管制等。
第三类是用于提高互、流量管制等。
第三类是用于提高互连网可靠性、容错性的技术,如虚拟路由器连网可靠性、容错性的技术,如虚拟路由器冗余协议(冗余协议(VRRPVRRP)等。
)等。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、互连网安全技术范畴和功能二、互连网安全技术范畴和功能只讨论有着一般用途的安全技术和用于只讨论有着一般用途的安全技术和用于提高互连网可靠性、容错性的技术。
提高互连网可靠性、容错性的技术。
22互连网安全技术功能互连网安全技术功能n安全路由;安全路由;n流量管制;流量管制;nNATNAT;nVRRPVRRP。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全9.2安全路由安全路由本讲主要内容本讲主要内容n防路由项欺骗攻击机制防路由项欺骗攻击机制;n路由项过滤路由项过滤;n单播反向路径验证单播反向路径验证;n策略路由策略路由。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、防路由项欺骗攻击机制一、防路由项欺骗攻击机制1路由项欺骗攻击过程路由项欺骗攻击过程安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、防路由项欺骗攻击机制一、防路由项欺骗攻击机制1路由项欺骗攻击过程路由项欺骗攻击过程黑客终端发送一项黑客终端发送一项LAN4LAN4与其直接相连的路与其直接相连的路由项;由项;路由器路由器R1R1将通往将通往LAN4LAN4传输路径上的下一跳传输路径上的下一跳改为黑客终端;改为黑客终端;路由器路由器R1R1将目的网络是将目的网络是LAN4LAN4的的IPIP分组转发分组转发给黑客终端。
给黑客终端。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、防路由项欺骗攻击机制一、防路由项欺骗攻击机制22路由项源端鉴别和完整性检测路由项源端鉴别和完整性检测路由器接收到路由消息后,必须确认是路由器接收到路由消息后,必须确认是合法路由器发送的,且路由消息包含的路由合法路由器发送的,且路由消息包含的路由项没有被篡改后,才对路由消息进行处理,项没有被篡改后,才对路由消息进行处理,并根据处理结果修改路由表。
并根据处理结果修改路由表。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、防路由项欺骗攻击机制一、防路由项欺骗攻击机制22路由项源端鉴别和完整性检测路由项源端鉴别和完整性检测某个路由器组播某个路由器组播路由消息时,该路由路由消息时,该路由器根据路由消息和密器根据路由消息和密钥钥KK计算散列消息鉴计算散列消息鉴别码(别码(HMACHMAC),并将),并将HMACHMAC附在路由消息后附在路由消息后面一起组播给其他相面一起组播给其他相邻路由器。
邻路由器。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、防路由项欺骗攻击机制一、防路由项欺骗攻击机制22路由项源端鉴别和完整性检测路由项源端鉴别和完整性检测其他相邻路其他相邻路由器接收到该路由器接收到该路由消息后,首先由消息后,首先根据路由消息和根据路由消息和密钥密钥KK计算计算HMACHMAC,然后将计算结,然后将计算结果和附在路由消果和附在路由消息后面的息后面的HMACHMAC比比较,如果相同,较,如果相同,表明发送者和接表明发送者和接收者具有相同密收者具有相同密钥,且路由消息钥,且路由消息在传输过程中没在传输过程中没有被篡改。
有被篡改。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、路由二、路由项过滤项过滤路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络匹配的路由项,这样做的目的是为了保证一些内部网络的对外部路由匹配的路由项,这样做的目的是为了保证一些内部网络的对外部路由器的透明性。
器的透明性。
三个网络,其三个网络,其中两个是内部中两个是内部网络。
网络。
过滤器中的目过滤器中的目的网络包含两的网络包含两个内部网络。
个内部网络。
路由消息中不包含路由消息中不包含被过滤器屏蔽掉的被过滤器屏蔽掉的两个内部网络。
两个内部网络。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、单三、单播反向路径验证播反向路径验证n单播反向路径验证的目的是丢弃伪造源单播反向路径验证的目的是丢弃伪造源IPIP地址的地址的IPIP分组;分组;n路由器通过检测接收路由器通过检测接收IPIP分组的端口和通往源终端的端口是否相同确分组的端口和通往源终端的端口是否相同确定源定源IPIP地址是否伪造。
地址是否伪造。
193.1.1.5193.1.1.7193.1.1.5安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全四、策略路由四、策略路由n策略路由允许为符合特定条件的策略路由允许为符合特定条件的IPIP分组选择特殊的传输路径,分组选择特殊的传输路径,这种特殊的传输路径往往不是根据路由协议产生的通往该这种特殊的传输路径往往不是根据路由协议产生的通往该IPIP分组目的地的传输路径。
分组目的地的传输路径。
n策略路由项分为两部分,一部分是策略路由项分为两部分,一部分是IPIP分组分类条件,它由分组分类条件,它由IPIP首部和首部和TCPTCP首部字段值组成,和这些字段值相同的首部字段值组成,和这些字段值相同的IPIP分组作为分组作为符合分类条件的符合分类条件的IPIP分组。
另一部分是下一跳地址。
分组。
另一部分是下一跳地址。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全9.3流量管制流量管制本讲主要内容本讲主要内容n拒绝服务攻击和流量管制拒绝服务攻击和流量管制;n信息流分类信息流分类;n管制算法;管制算法;n流量管制抑止拒绝服务攻击机制。
流量管制抑止拒绝服务攻击机制。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、拒绝服务攻击和流量管制一、拒绝服务攻击和流量管制SYNSYN泛洪攻击过程泛洪攻击过程安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、拒绝服务攻击和流量管制一、拒绝服务攻击和流量管制分布式拒绝服务(分布式拒绝服务(DDoSDDoS)攻击过程)攻击过程安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、拒绝服务攻击和流量管制一、拒绝服务攻击和流量管制拒绝服务攻击的共同点是黑客终端向拒绝服务攻击的共同点是黑客终端向攻击目标超量发送报文,因此,只要能够攻击目标超量发送报文,因此,只要能够限制某类报文的流量,就能够抑制拒绝服限制某类报文的流量,就能够抑制拒绝服务攻击。
务攻击。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、信息流分类二、信息流分类信息流分类是要从信息流分类是要从IPIP分组流中分离出分组流中分离出属于特定应用的一组属于特定应用的一组IPIP分组,如需要分离分组,如需要分离出建立出建立TCPTCP连接过程中的第一个请求报文,连接过程中的第一个请求报文,需要从需要从IPIP分组流中分离出具有如下特征的分组流中分离出具有如下特征的IPIP分组:
分组:
nIPIP首部协议字段值:
首部协议字段值:
66(TCPTCP););nTCPTCP首部控制标志位:
首部控制标志位:
SYN=1SYN=1,ACK=0ACK=0。
安全网络技术安全网络技术安全网络技术安全网络技术计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、管制三、管制算法算法n漏斗管制算法保证信息流恒速输出;漏斗管制算法保证信息流恒速输出;n突发性信息流存储在分组输出队列,队列稳定器以指定速
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 沈鑫剡 编著 网络安全 教材 配套 课件