网络安全技术及应用 教学课件 作者 刘京菊 ch7 网络应用安全.pptVIP

第7章 网络应用安全;7.1 远程接入安全 ;7.1.1 VPN的定义及特点; VPN在Internet上传输数据时使用了两种技术：隧道技术和加密技术。 隧道技术是一种封装数据的方式，以这种方式封装的数据在Internet上是不可识别的，只有对用户端的网络可以识别。 加密技术保证链接的安全，使数据在传输中不被第三者看到。;2．VPN的分类 （1）软件VPN 软件VPN顾名思义就是只通过软件实现的VPN安全连接。可以节省大部分投资。 （2）硬件VPN 硬件VPN是目前应用较多的VPN技术，其突出特点就是安全性高，许多常规网络产品如路由器、防火墙中都集成了VPN功能。;3．VPN的特点 （1）费用低廉 （2）安全性高 （3）支持最常用的网络协议 （4）有利于IP地址安全 （5）网络架构弹性大 （6）管理方便灵活 （7）完全控制主动权;7.1.2 VPN的功能及作用;1．远程用户访问;2．网络互连 （1??使用专线连接异地局域网 异地服务器之间使用各自本地的专用线路，通过本地的ISP连接到Internet。;2．网络互连 （2）使用拨号线路连接异地局域网 通过拨号方式连接本地ISP。VPN软件使用与本地ISP建立起的连接，在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络。;3．连接内部网络计算机 采用VPN方案，通过使用一台VPN服务器既能实现与整个企业网络的连接，又可以保证必威体育官网网址数据的安全。 此外，可以对所有VPN数据进行加密，从而确保数据的安全性。;7.2 网络协议安全;7.2.1 TCP/IP协议安全;2．TCP/IP协议安全问题 TCP/IP协议的设计初衷是为计算机联网服务的，很少考虑安全性方面的问题。 IP协议是无连接协议，IP数据包中的源IP地址只有当数据包到达目的IP地址或被中间路由器由于某种原因丢弃时才会用到。这就为一台主机冒用另外一台主机的IP地址发送数据包创造了条件。;2．TCP/IP协议安全问题 利用TCP协议进行数据通信前，必须完成建立TCP连接的三次握手过程。典型的拒绝服务攻击方式TCP SYN Flood就是利用TCP协议的这一特性发挥作用。 TCP会话劫持是另一种比较常见的TCP协议安全问题，通常也称为中间人攻击。;7.2.2 HTTP协议安全;2．HTTP协议安全问题 HTTP协议虽然使用极为广泛，但是却存在不小的安全缺陷，主要是其数据的明文传送和消息完整性检测的缺乏。 针对HTTP协议的明文数据传输，最常见的攻击手段是网络监听。 HTTP协议唯一的数据完整性检验是在报文头部包含了本次传输数据的长度，而对内容是否被篡改不作确认。;7.2.3 FTP协议安全;2．FTP协议安全问题 （1）明文口令 ;2．FTP协议安全问题 （2）服务程序版本泄露 ;2．FTP协议安全问题 （3）通过FTP服务器进行端口扫描 FTP客户端所发送的PORT命令告诉服务器FTP服务器传送数据时应当连向的IP地址和端口号。FTP协议本身并没有要求客户发送的PORT命令中必须指定自己的IP地址。利用这一点，可以通过第三方FTP服务器对目标进行端口扫描，这种方式一般称为FTP代理扫描。 ;2．FTP协议安全问题 （4）数据劫持 FTP协议本身并没有要求传输命令的客户IP和进行数据传输的客户IP一致，这样就有可能劫持客户和服务器之间传送的数据。 ;7.2.4 Telnet协议安全;2．Telnet协议安全问题 （1）没有加密保护，远程用户登录传送的账户和密码都是明文，使用普通的网络监听工具就可以被截获。 （2）没有强力认证过程。只是验证连接者的账户和密码。 （3）没有完整性检查。没有办法知道传送的数据是否完整，是否被篡改。 （4）传送的数据都没有加密。;7.2.5 SNMP协议安全;2．SNMP协议安全问题 （1）SNMPv1的消息是以明文形式发送的，而这些消息很容易被网络监听器截获，从中可以得到SNMP通信的通行字信息。利用截获的通行字可以获取有关网络设备的重要信息，甚至可以实现对设备的管控。 （2）SNMP默认会启用public和private两个通行字。如果不及时修改，将严重影响网络设备的安全。;7.3 网络应用系统安全;7.3.1 Web应用安全;Web服务器安全应遵循以下原则： （1）限制在Web服务器创建账户； （2）对在Web服务器上创建的账户，在口令长度及定期更改方面做出要求，防止被盗用； （3）尽量与FTP服务器、E-mail