计算机网络网络安全课件

计算机网络安全全景探索第一章网络安全基础与威胁概述网络安全的定义与重要性机密性完整性确保信息不被未授权访问者获取，保护敏感数据的隐私性保证数据在存储、传输过程中不被篡改，维护信息的准确性可用性可审计性确保授权用户能够及时、可靠地访问所需的信息资源与服务记录并追踪系统操作行为，为安全事件调查提供证据支持网络安全威胁的多样性主动攻击被动攻击攻击者主动采取行动破坏系统或数据攻击者隐蔽地收集信息而不改变系统拒绝服务攻击（DoS/DDoS）消耗系统网络窃听监听网络流量获取敏感信息资源使服务瘫痪数据篡改修改传输中的数据包内容流量分析通过分析通信模式推断信息身份伪造冒充合法用户获取访问权限密码破解使用暴力或字典攻击获取凭证恶意代码注入植入病毒、木马等恶意程序网络安全模型与防护策略边界防护层部署防火墙、入侵检测系统，构建第一道安全屏障网络防护层实施网络隔离、访问控制和流量监测机制主机防护层加强操作系统安全配置，部署防病毒软件和主机入侵检测应用防护层实施应用程序安全开发、漏洞扫描与补丁管理数据防护层采用加密技术、数据备份和访问权限控制保护核心资产纵深防御（Defense-in-Depth）策略强调多层次、多维度的安全防护体系当某一层防御被突破时，其他层级仍能提供保护，显著提高整体安全性网络攻击与防御对抗网络安全是攻击者与防御者之间持续的技术博弈现代网络攻击呈现出自动化、智能化和组织化特征，防御体系必须不断演进以应对新兴威胁第二章网络协议安全隐患与防护剖析TCP/IP协议族的安全漏洞，掌握各层级协议的防护技术与最佳实践协议族的安全风险TCP/IP12欺骗攻击地址欺骗ARP IP攻击者发送伪造的ARP响应，将目标主机的流量重定向到攻击者机器，实伪造源IP地址发送恶意数据包，隐藏攻击来源或绕过基于IP的访问控制现中间人攻击•常用于DDoS攻击和身份伪装•可导致数据窃听和会话劫持•防护措施入口过滤、反向路径转发验证•防护措施静态ARP绑定、ARP监测工具34缓存投毒会话劫持DNS TCP向DNS服务器注入虚假解析记录，将用户重定向到恶意网站攻击者预测或捕获TCP序列号，插入伪造数据包或劫持已建立的连接•可用于钓鱼攻击和流量劫持•可获取敏感数据或执行未授权操作•防护措施DNSSEC、DNS查询随机化•防护措施加密通信、序列号随机化TCP/IP协议设计之初未充分考虑安全性，许多核心协议缺乏身份认证和加密机制，为攻击者提供了可乘之机网络层与传输层安全技术协议架构协议保障IPSec SSL/TLSIPSec在IP层提供端到端的安全通信在传输层上提供应用数据的安全传输握手协议协商加密算法和密钥认证头（AH）提供数据完整性和记录协议封装和加密应用数据来源认证警告协议处理错误和安全事件封装安全载荷（ESP）提供加密和TLS

1.3版本进一步强化了安全性，减少了握可选的认证手延迟密钥交换（IKE）自动协商安全参数和密钥支持传输模式和隧道模式，广泛应用于VPN构建最佳实践在组织内部网络使用IPSec构建站点到站点VPN，为远程访问用户部署SSL VPN，实现灵活的安全接入应用层安全挑战协议风险邮件安全解析威胁HTTP SMTPDNS明文传输导致数据泄露和中间人攻击缺乏发件人验证，易被利用进行钓鱼和垃圾邮域名劫持和缓存投毒导致流量重定向件防护全面部署HTTPS，使用HSTS强制安全防护启用DNSSEC，使用可信DNS解析器连接防护实施SPF、DKIM和DMARC认证机制防范邮件钓鱼攻击

1.部署邮件过滤网关，识别恶意链接和附件

2.启用多因素认证，防止凭证盗用

3.开展员工安全意识培训，提高识别能力

4.建立钓鱼邮件报告机制，快速响应威胁网站防篡改技术采用Web应用防火墙（WAF）过滤恶意请求，实施文件完整性监控及时发现篡改，定期进行漏洞扫描和渗透测试，使用内容分发网络（CDN）提供额外防护层网络协议栈的分层防护从物理层到应用层，每一层都需要针对性的安全措施只有构建全方位、多层次的协议安全体系，才能有效抵御复杂的网络攻击第三章身份认证与访问控制技术探索现代身份认证机制与访问控制模型，确保只有合法用户能够访问授权资源身份认证机制详解知识因子认证拥有因子认证生物因子认证基于用户所知的信息进行验证，如密码、PIN码基于用户所拥有的物理设备，如智能卡、USB令基于用户独特的生理或行为特征，如指纹、虹膜、或安全问题答案实现简单但易受暴力破解和社牌或手机提供比单纯密码更高的安全性，但存面部识别或声纹提供高度安全性且难以伪造，会工程学攻击威胁建议使用强密码策略并定期在设备丢失或被盗的风险常与其他因子组合使但需要专用硬件支持，且存在隐私保护问题更新用认证协议原理KerberosKerberos是一种基于票据的网络认证协议，广泛应用于企业环境其核心思想是通过可信第三方（密钥分发中心KDC）实现客户端与服务器之间的双向认证认证服务（AS）验证用户身份，颁发票据授予票据（TGT）票据授予服务（TGS）基于TGT颁发服务访问票据服务访问客户端使用票据访问目标服务Kerberos使用对称加密保护通信，票据具有时效性以降低被截获的风险访问控制模型与策略访问控制列表（）基于角色的访问控制（）ACL RBACACL明确定义哪些用户或组可以对特定资源执行哪些操作RBAC将权限分配给角色，用户通过角色获得权限•简单直观，易于理解和实施•简化权限管理，降低维护成本•细粒度控制，精确到单个资源•支持职责分离和最小权限原则•管理复杂度随用户和资源增加而提升•适合大型组织和复杂权限需求广泛应用于文件系统、网络设备和数据库角色可以继承和组合，提供灵活的授权机制系统登录安全与口令管理010203强密码策略多因素认证登录监控要求长度、复杂度和定期更换结合两种或以上认证因子记录和分析登录行为异常0405会话管理密码存储设置超时和并发限制使用加盐哈希算法保护数字签名与公钥基础设施（）PKI数字签名生成签名传输签名验证发送方使用私钥对消息摘要加密，生成数字签名数字签名与原始消息一起发送给接收方接收方使用发送方公钥解密签名，验证消息完整性和来源体系架构PKI公钥基础设施提供了管理数字证书和公钥的完整框架核心组件应用场景证书颁发机构（CA）颁发和撤销数字证书•HTTPS网站身份认证注册机构（RA）验证证书申请者身份•电子邮件加密和签名证书库存储和分发证书•代码签名验证证书撤销列表（CRL）公布已撤销证书•VPN和无线网络认证PKI通过信任链模型建立分层的信任关系，根CA的可信性是整个体系安全的基础认证流程KerberosKerberos通过时间戳和会话密钥机制，在开放网络中实现安全认证，有效防止重放攻击和中间人攻击第四章恶意代码与防病毒技术深入了解各类恶意代码的特征、传播机制与防御策略，构建全面的反恶意软件防护体系恶意代码分类与传播机制计算机病毒蠕虫能够自我复制并感染其他程序的恶意代码需要宿主程序才能运行，通过文件共享、移动能够独立传播的自包含程序，无需宿主即可运行利用系统漏洞或网络协议快速扩散存储设备传播•邮件蠕虫通过电子邮件传播•引导扇区病毒感染磁盘引导区•网络蠕虫扫描并攻击网络主机•文件型病毒附着在可执行文件•移动蠕虫感染移动设备•多态病毒改变自身代码躲避检测木马勒索软件伪装成合法软件的恶意程序，为攻击者提供远程控制或窃取数据的后门加密用户数据并索要赎金的恶意软件，造成严重经济损失和业务中断•远程访问木马（RAT）完全控制受害系统•加密型使用强加密算法锁定文件•键盘记录器记录用户按键获取密码•锁屏型阻止用户访问系统•银行木马窃取金融凭证•数据泄露威胁双重勒索策略逻辑炸弹宏病毒与网络病毒在特定条件触发时执行恶意操作的代码片段，常由内部人员植入宏病毒利用Office等软件的宏功能传播，通过文档共享快速扩散网络病毒则专门设计用于攻击网络基础设施和Web应用•时间炸弹在特定时间触发•条件炸弹满足特定条件时激活•难以检测和预防恶意代码的检测与清除病毒扫描技术行为分析与主动防御特征码检测匹配已知病毒的二进制特征，快速但无法识别新病毒实时监控监测文件操作、注册表修改、网络连接等系统活动启发式分析根据可疑行为模式判断，可检测未知威胁但误报率较高异常检测识别偏离正常行为的操作，如大量文件加密、可疑进程注入沙箱技术在隔离环境中运行可疑程序，观察其行为特征主动防御阻止未授权的系统修改，限制可疑程序的权限云查杀利用云端威胁情报库实现快速识别和响应机器学习训练模型识别新型和变种恶意代码病毒清除与系统修复隔离感染文件1防止病毒进一步传播清除恶意代码2删除或修复受感染对象修复系统配置3恢复被篡改的注册表和系统文件验证清除效果4全盘扫描确认威胁已消除加固防护措施5修补漏洞防止再次感染病毒免疫技术通过修改系统配置或创建免疫文件，使系统对特定病毒产生免疫力，即使病毒进入系统也无法激活典型案例勒索病毒事件回顾WannaCry事件概述2017年5月，WannaCry勒索软件在全球范围内爆发,在短短几天内感染了150多个国家的超过30万台计算机该病毒利用Windows系统的EternalBlue漏洞快速传播，加密用户文件并索要比特币赎金传播路径影响范围

1.利用SMB协议漏洞扫描互联网•医疗系统英国NHS服务中断

2.通过445端口渗透未打补丁系统•制造业工厂生产线停摆

3.自动在内网横向传播•交通运输火车站、机场受影响

4.执行加密并显示赎金要求•教育机构大学网络瘫痪•政府部门公共服务受阻防御措施与启示及时安装安全补丁关闭不必要的端口和服务微软早在事件前两个月已发布补丁，但许多组织未及时更新定期补丁管理至限制SMB等危险协议的外部访问，减少攻击面关重要实施网络隔离定期备份重要数据分段管理网络，防止蠕虫在内网快速横向传播使用离线备份策略，确保在遭受勒索攻击时能够恢复数据恶意代码传播链现代恶意代码往往采用多阶段攻击链，从初始感染到最终载荷执行，每个环节都需要针对性的检测和防御措施第五章网络安全防御技术与设备掌握核心网络安全设备的工作原理与部署策略,构建多层次的防御体系保护组织网络防火墙与入侵检测系统（）IDS防火墙类型与策略设计包过滤防火墙状态检测防火墙基于IP地址、端口号和协议类型过滤数据包跟踪连接状态,识别合法的会话流量应用层防火墙代理防火墙深度检测应用数据,防御应用层攻击作为中介代理所有通信,提供高级安全控制防火墙策略设计应遵循最小权限原则默认拒绝所有流量,仅明确允许必要的通信定期审查和更新规则,删除过时策略入侵检测与防御系统入侵检测系统（）入侵防御系统（）IDS IPS监控网络或主机活动,识别可疑行为并发出警报在IDS基础上增加主动防御能力网络IDS（NIDS）分析网络流量内联部署所有流量经过IPS主机IDS（HIDS）监控系统日志和文件自动阻断实时拦截恶意流量特征检测匹配已知攻击模式协议验证强制执行协议标准异常检测识别偏离基线的行为虚拟补丁防御未修补的漏洞IDS仅报警不阻断,需人工或自动化系统响应IPS需要精确调优以平衡安全性和业务连续性虚拟专用网络（）技术VPNVPN工作原理与安全优势VPN在公共网络上建立加密隧道,使远程用户能够安全访问企业内网资源通过封装和加密技术,VPN提供了机密性、完整性和身份认证保障隧道建立1协商加密算法和密钥2身份认证验证VPN客户端和服务器身份数据封装3将原始数据包封装到VPN包中4加密传输通过公共网络安全传输解封装5目的端解密并还原数据常见VPN协议比较协议安全性速度适用场景PPTP低快已过时,不推荐使用L2TP/IPSec高中站点到站点连接SSL VPN高中远程访问,无需客户端WireGuard很高很快现代VPN首选方案网络隔离与访问控制技术物理隔离使用独立网络设备和传输介质,完全隔离敏感系统适用于高安全级别环境,但管理复杂且成本高虚拟局域网（）VLAN在同一物理网络上创建逻辑隔离的网段,灵活性高且易于管理通过交换机配置实现不同VLAN间的访问控制安全区域划分根据安全级别和业务功能将网络划分为不同区域,如DMZ、内网、管理网在区域边界部署防火墙进行严格控制网络访问控制（）NAC在设备接入网络前进行身份认证和安全检查,确保只有合规设备能够访问网络支持

802.1X认证和终端安全状态评估零信任架构假设网络内外均不可信,对每个访问请求进行严格验证和授权实施微分段、最小权限和持续验证策略最佳实践采用纵深防御策略,结合多种隔离技术例如,使用VLAN进行基础隔离,在关键边界部署防火墙,对敏感系统实施物理隔离,整体架构遵循零信任原则企业网络安全架构综合运用防火墙、IDS/IPS、VPN和访问控制技术,构建多层防御体系边界防护、内部隔离和安全监控相结合,确保网络的全方位安全第六章网络安全最新发展与实战应用探索前沿技术带来的安全挑战与机遇,掌握应对新型威胁的策略和方法软件定义网络（）与安全挑战SDN架构简介SDN软件定义网络通过将控制平面与数据平面分离,实现网络的集中管理和动态配置SDN控制器作为网络大脑,通过开放接口统一管理网络设备应用层运行各种网络应用和服务,如负载均衡、安全策略管理等控制层SDN控制器集中管理网络,计算路由并下发流表数据层网络交换设备根据流表转发数据包安全威胁与防护策略SDN主要安全威胁防护措施控制器攻击控制器成为单点故障和攻击目标控制器冗余部署分布式控制器提高可用性南向接口攻击伪造流表劫持网络流量通信加密使用TLS保护控制通道北向接口攻击恶意应用获取网络控制权应用审计严格验证第三方应用权限侧信道攻击通过流表分析推断网络拓扑异常检测监控控制器和交换机行为SDN安全优势集中控制使安全策略部署更加灵活快速,可动态隔离受感染设备,实时调整防护策略应对新威胁人工智能在网络安全中的应用自动化响应与决策对抗样本攻击与防御辅助威胁检测AIAI驱动的安全编排与自动响应（SOAR）系统快攻击者通过精心设计的输入欺骗AI模型做出错误机器学习模型分析海量日志和流量数据,识别异速处理安全事件根据威胁情报和历史数据自动判断例如,在恶意软件中添加微小扰动使其逃常模式和未知威胁深度学习算法检测复杂的攻执行隔离、阻断和修复操作,缩短响应时间避检测防御策略包括对抗训练、输入验证和模击链和APT活动,大幅提升检测效率和准确性型鲁棒性增强在安全领域的双刃剑效应AI积极应用潜在威胁•自动化恶意软件分析•AI生成的钓鱼内容更逼真•网络流量异常检测•自动化攻击工具降低门槛•钓鱼邮件识别•深度伪造技术用于欺诈•漏洞发现与优先级排序•AI模型本身存在安全漏洞•安全态势感知与预测•隐私侵犯和数据滥用风险构筑坚固的网络安全防线持续学习安全意识跟踪最新威胁和技术发展培养全员安全文化合规管理纵深防御满足法律法规要求构建多层次防护体系协同合作快速响应共享威胁情报与经验建立应急处置机制网络安全是一场永无止境的攻防博弈威胁在不断演进,防护也必须持续优化没有绝对的安全,只有相对的安全和不懈的努力守护数字未来的使命在数字化时代,网络安全不仅是技术问题,更是关系到个人隐私、企业发展和国家安全的战略问题每一位网络参与者都应当承担起安全责任:个人用户提高安全意识,养成良好的网络使用习惯企业组织建立完善的安全管理体系,投入充足资源保障安全安全从业者不断精进技术,勇于应对新挑战。