網(wǎng)管員必讀-網(wǎng)絡(luò)安全課件

《網(wǎng)管員必讀——網(wǎng)絡(luò)安全》

歡迎詞

非常感謝貴校選擇本書作為教材！《網(wǎng)管員必讀——網(wǎng)絡(luò)安全》一書是近兩年來一直暢銷全國、在各權(quán)威機構(gòu)近兩年的年度IT圖書評比中大獲全勝，獲得過許多第一的《網(wǎng)管員必讀》系列叢書中的一本。同時，該系列有多本圖書輸出到了我國臺灣省。

在此以本書作者身份，祝您們通過對本書的學習能取得實實在在的進步，學到實實在在的網(wǎng)絡(luò)安全管理方面的的知識和培養(yǎng)實實在在的安全策略部署方面的動手實踐能力。歡迎詞非常感謝貴校選擇本書作為教材！《網(wǎng)管員

目錄

第一章企業(yè)網(wǎng)絡(luò)安全概述

第二章惡意軟件的濃度防護

第三章防火墻在網(wǎng)絡(luò)安全中的應用

第四章入侵檢測系統(tǒng)及應用

第五章企業(yè)網(wǎng)絡(luò)安全隔離

第六章Windows用戶賬戶安全策略

第七章公鑰基礎(chǔ)結(jié)構(gòu)

第八章文件加密與數(shù)字簽名

第九章數(shù)據(jù)備份與恢復

第十章遠程網(wǎng)絡(luò)連接的安全配置

教學目的與要求

通過本書的學習學員要達到以下基本目的：了解企業(yè)網(wǎng)絡(luò)中主要的網(wǎng)絡(luò)安全隱患來源了解各種網(wǎng)絡(luò)安全隱患的主要特點和威脅掌握各種安全隱患的安全防護策略和方法以下是學員在學習本書時的基本要求：要全局，不孤立地看待任何一種安全隱患要從網(wǎng)絡(luò)，而不是PC機角度分析安全隱患盡可能親自配置書中介紹的設(shè)備和軟件系統(tǒng)具體內(nèi)容仍在課本上，必須與課本同時使用教學目的與要求

基本教學思路

本書是目前國內(nèi)圖書市場中唯一一本真正從企業(yè)應用角度分析企業(yè)網(wǎng)絡(luò)安全需求、企業(yè)網(wǎng)絡(luò)中可能存在的各種安全隱患，以及應采取的安全策略和安全防護方法的網(wǎng)絡(luò)安全類圖書。本書在教學中，建議授課老師遵循以下教學思路：先要求學生全面預習課本中相應章節(jié)內(nèi)容，然后結(jié)合使用本課件進行教學從網(wǎng)絡(luò)角度分析相應安全隱患的來源結(jié)合實例闡述主要安全隱患的主要特點和威脅學習掌握各種安全隱患預防方法和意義基本第一章企業(yè)網(wǎng)絡(luò)安全概述

本章是本書主要內(nèi)容的綜合闡述章，其目的就是想讓大家事先對企業(yè)網(wǎng)絡(luò)安全隱患有一個比較全面的了解。這樣我們在學習后面各章內(nèi)容時才會有目的地去學習。

本章重點如下：企業(yè)網(wǎng)絡(luò)安全隱患來源病毒的主要特點及常見類型常見的網(wǎng)絡(luò)攻擊類型企業(yè)網(wǎng)絡(luò)安全策略設(shè)計原則企業(yè)網(wǎng)絡(luò)安全策略設(shè)計思路第一章企業(yè)網(wǎng)絡(luò)安全概述本章是本書主要內(nèi)容的綜1.1企業(yè)網(wǎng)絡(luò)安全考慮一般來說企業(yè)網(wǎng)絡(luò)安全隱患有如下幾個方面：病毒入侵和黑客攻擊操作系統(tǒng)安全漏洞用戶密碼和權(quán)限的濫用機密文件的非法操作、訪問與竊取機密部門的非法訪問外網(wǎng)用戶的非法訪問，或入侵數(shù)據(jù)備份和存儲媒體損壞的損壞、丟失1.1企業(yè)網(wǎng)絡(luò)安全考慮一般來說企業(yè)網(wǎng)絡(luò)安全隱患有如下幾個方1.1.1病毒入侵和黑客攻擊的基本防護

這是我們最常見的安全隱患，不僅在企業(yè)網(wǎng)絡(luò)中普遍存在，就在我們平時所用的個人計算機中也是四處肆虐。特別是病毒，它并不是近期隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，早在DOS時代就已非常普遍。

本節(jié)在此只作簡要說明，詳細內(nèi)容參見書本P2~P4頁。

1.病毒和黑客程序簡介

病毒和黑客程序都屬于程序軟件的類型，只不過它們與一般意義的程序軟件在用意上有著明顯的區(qū)別，那就是病毒和黑客程序是專門用來破壞用戶計算機系統(tǒng)、損壞系統(tǒng)硬件，或者使用系統(tǒng)崩潰的，用意不良；而一般的程序軟件則是用來解決用戶工作中的某種需要，或為用戶具體的應用提供平臺。

與病毒程序相伴相隨的就是黑客程序了。它的出現(xiàn)雖然要比病毒程序晚許多，其盛行只是近幾年隨著計算機網(wǎng)絡(luò)的普及才開始的，但是它的威脅性和破壞性比病毒更大。1.1.1病毒入侵和黑客攻擊的基本防護這是

2.病毒和黑客程序的傳播途經(jīng)

病毒和黑客傳播的途經(jīng)非常多，但兩者的傳播途經(jīng)并不一樣。病毒主是通過相互感染進行傳播的，如運行帶病毒的文件、磁盤（包括軟、硬磁盤）、光盤，打開帶病毒的郵件附件、圖片，更主要是通過網(wǎng)絡(luò)滲入，如從互聯(lián)網(wǎng)或局域網(wǎng)上下載帶病毒的文件、在互聯(lián)網(wǎng)上點擊帶病毒的網(wǎng)頁、“熱門”圖片、動畫等。而黑客程序則主要通過黑客工具軟件入侵，或者正常文件攜帶而實現(xiàn)傳播的，當然目前也有通過點擊網(wǎng)上的網(wǎng)頁、“熱門”圖片、動畫等傳播的。所以，我們在預防病毒和黑客程序時要分別對待，要采取不同的預防措施。

3.病毒和黑客程序的查殺

病毒和黑客程序的查殺方法通常是通過專門的病毒和木馬防護軟件進行的。有單機版和網(wǎng)絡(luò)版之分，在網(wǎng)絡(luò)中建議采用網(wǎng)絡(luò)版，以便在整個網(wǎng)絡(luò)中同步殺毒。在這些病毒防護軟件中基本上都同時帶有軟件防火墻系統(tǒng)、漏洞掃描工具和木馬查殺工具。也有一些專門的木馬類查殺工具，如木馬克星、反間諜專家、木馬殺客等。也可通過路由器和防火墻的包、IP地址過濾等功能來阻止。2.病毒和黑客程序的傳播途經(jīng)

病毒1.1.2操作系統(tǒng)安全漏洞攻擊的防護

黑客為了實施他們的攻擊目的，就必須尋一個攻擊入口，這些入口通常就是各種各樣的“安全漏洞”。所有軟件都可能存在安全漏洞，但操作系統(tǒng)的安全漏洞被發(fā)現(xiàn)的最多，也是黑客們認為最有利用價值的，因為利用這些操作系統(tǒng)屬于基礎(chǔ)平臺，通過它們的安全漏洞最容易實現(xiàn)他們預期攻擊目標。同時，操作系統(tǒng)是控制整個計算機和網(wǎng)絡(luò)系統(tǒng)的安全核心，選擇操作系統(tǒng)的安全漏洞進行攻擊，可以迅速產(chǎn)生巨大破壞性，使對方迅速處于癱瘓或崩潰狀態(tài)。本節(jié)詳細內(nèi)容參見書本P4~P7頁。1.操作系統(tǒng)安全漏洞的來源

操作系統(tǒng)的安全漏洞來源可能是多方面的，有些是操作系統(tǒng)程序本身自帶的，這主是由于開發(fā)商在程序開發(fā)時考慮不周造成的。這些漏洞一般都可通過安裝在應用過程中開發(fā)商后面開發(fā)的安全補丁程序來修復。1.1.2操作系統(tǒng)安全漏洞攻擊的防護還有一些是用戶自身配置不當造成的，如打開一些非必要的端口，設(shè)置了過多、過高權(quán)限的磁盤和文件共享；或者用戶權(quán)限配置不當?shù)?。這些漏洞不能通過安裝補丁來修復了，必須由用戶自己重新設(shè)置。

雖然從數(shù)量和見諸媒體的頻率來說，微軟的Windows系統(tǒng)是最經(jīng)常被發(fā)現(xiàn)安全漏洞的，但這并不能說它的安全性就是最差的。事實上像UNIX、Linux之類系統(tǒng)同樣存在安全漏洞，當然不能否認的是，這兩類系統(tǒng)的穩(wěn)定性和安全性確實要稍好于Windows系統(tǒng)，但這也只是Windows為了使用的方便性作出的犧牲

另一方面，由于Windows類操作系統(tǒng)應用面最廣，關(guān)注度最高，受影響面廣，容易操作，所以相對來說黑客們更加喜歡、更加容易分析攻擊它的方法，這樣被發(fā)現(xiàn)的安全漏洞就會感覺到多了。

2.操作系統(tǒng)安全漏洞的發(fā)現(xiàn)

要知道自己的系統(tǒng)到底存在哪些安全漏洞，一般來說只能通過專門的漏洞掃描工具了。目前一些主要殺毒軟件最新版本都帶有安全漏洞掃描功能，如金山毒霸、瑞星等。通過它們可以十分方便地查找自己系統(tǒng)的安全漏洞。

還有一些是用戶自身配置不當造成的，如打開一些除此之外，也有一些專門的漏洞掃描工具，如微軟自己提供的免費MBSA（微軟基準安全分析器），Linux系統(tǒng)中的Nessus等。利用它們掃描發(fā)現(xiàn)漏洞后，還可以自動修復，多數(shù)是一個補丁安裝過程，也有一些需要用戶自己配置的，如注冊表配置、帳戶權(quán)限配置等。

系統(tǒng)補丁的安裝還可利用Windows系統(tǒng)的“自動更新”工具或者“WindowsUpdate”菜單進行。只有這樣才能及時把這些系統(tǒng)漏洞補上，防止黑客們利用這些漏洞進行攻擊。

除了操作系統(tǒng)可能具有安全漏洞外，其他方面也可能有，如網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和服務(wù)器等。所以目前的漏洞掃描工具基本分為三種：基于服務(wù)器的掃描器、基于網(wǎng)絡(luò)的掃描器和基于數(shù)據(jù)庫的掃描器，分別可以對服務(wù)器、網(wǎng)絡(luò)或數(shù)據(jù)庫的安全漏洞進行掃描，并提出安全分析報告。目前還有一些同時支持UNIX、Linux和Windows系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞掃描的工具軟件，如Secuguard、SecuguardNSE等。

【說明】書中P6頁詳細介紹了利用金山毒霸中的漏洞掃描工具查找系統(tǒng)和修復漏洞的步驟。除此之外，也有一些專門的漏洞掃描工具，如微軟1.1.3網(wǎng)絡(luò)用戶密碼盜用和權(quán)限濫用

這是一非常嚴重的安全問題，它同時可以在企業(yè)內(nèi)部和外部網(wǎng)絡(luò)中發(fā)生。有些黑客通過一些諸如木馬類的黑客程序就可以盜取一些用戶的網(wǎng)絡(luò)帳戶和密碼，輕松從內(nèi)部或外部網(wǎng)絡(luò)中登錄進入到企業(yè)網(wǎng)絡(luò)系統(tǒng)中。如果所盜取的用戶帳戶權(quán)限較高，則黑客很輕松地制造出各種網(wǎng)絡(luò)安全事故，甚至毀壞整個企業(yè)網(wǎng)絡(luò)。

用戶帳戶和密碼的盜取可以有多種不同途經(jīng)的：如用戶自己在進入網(wǎng)絡(luò)系統(tǒng)登錄，輸入帳戶和密碼時不小心給人看見了；或者密碼長時間不換，或換來換去都是原來的幾個密碼，這對于那些別有用心的人就很容易猜到。這些可通過網(wǎng)絡(luò)操作系統(tǒng)的密碼策略來預防。

還有一種盜取用戶帳戶和密碼的方法就是通過遠程控制類黑客程序從目標計算機系統(tǒng)中獲取，這類黑客行為就不能僅靠部署系統(tǒng)密碼策略來完全預防了。1.1.3網(wǎng)絡(luò)用戶密碼盜用和權(quán)限濫用這是一最后一種就是那些非法用戶通過各種手段（如窮舉法）猜測來獲取用戶密碼，這種方法難度較大，所花時間也較多，一般不會采取。為了預防這種事件發(fā)生，筆者強烈建議在企業(yè)網(wǎng)絡(luò)中采用強密碼策略，這些將在本書第六章具體介紹。

至于用戶權(quán)限的濫用那主要是因為網(wǎng)絡(luò)管理員沒有正確配置用戶權(quán)限。本來有些用戶的工作只需要一般的用戶權(quán)限，但網(wǎng)絡(luò)管理員為了配置方便，干脆把所有需要某些特權(quán)的用戶都加進了系統(tǒng)管理員組，這樣這些用戶無形之中就具有了非常高的權(quán)限。當這些用戶中有用戶因某種好奇心，或者出于一種對公司，或某員工不滿，想進行一些網(wǎng)絡(luò)破壞活動時就很容易實現(xiàn)了。具體的用戶權(quán)限配置也將在本書的第六章介紹。最后一種就是那些非法用戶通過各種手段（如窮舉1.1.4重要文件或郵件的非法竊取與訪問在企業(yè)網(wǎng)絡(luò)中一般保存著非常多的重要信息，如員工工資、公司財務(wù)報表、公司銷售報告、競標標書等。對于這些重要文件通常需要采取文件加密和網(wǎng)絡(luò)隔離措施來保護，它們將在本書的第八章和第五章詳細介紹。

非法用戶竊取用戶重要文件的另一個重要途經(jīng)就是竊取用戶的郵件。這時除了可對郵件中所發(fā)的文件進行文件加密外，還可對郵件進行數(shù)字簽名，讓對方確認這封郵件確實是自己發(fā)送的，這樣也可確保所接收的文件沒有被篡改。具體的郵件加密和數(shù)字簽名在本書的第八章詳細介紹。1.1.4重要文件或郵件的非法竊取與訪問在企業(yè)1.1.5關(guān)鍵部門的非法訪問不同的隔離需求有不同的隔離措施，如對于一些小型企業(yè)，關(guān)鍵部門人員和重要文件都很少，不必采取價格昂貴的物理網(wǎng)絡(luò)隔離措施，只需要把這個重要文件不設(shè)置共享，并且采取一定的加密措施進行保護即可。如果企業(yè)規(guī)模比較大，關(guān)鍵部門人員和重要數(shù)據(jù)也較多，這時就可考慮物理網(wǎng)絡(luò)隔離措施。網(wǎng)絡(luò)隔離方案總體有三種措施：

其一、按子網(wǎng)掩碼重新劃分子網(wǎng)，把需要保護的關(guān)鍵部門放在單獨的子網(wǎng)中，具體參見《網(wǎng)管員必讀——超級網(wǎng)管經(jīng)驗談》一書。

其二、采用支持VLAN技術(shù)的交換機把需要保護的關(guān)鍵部門用戶劃分在一個單獨的VLAN子網(wǎng)中，具體參見《網(wǎng)管員必讀——網(wǎng)絡(luò)應用》一書。

其三、采用物理隔離卡、網(wǎng)路選擇器、隔離網(wǎng)閘等物理隔離設(shè)備對關(guān)鍵部門網(wǎng)絡(luò)進行隔離。具體將在本書的第五章具體介紹。1.1.5關(guān)鍵部門的非法訪問不同的隔離需求有1.1.6外網(wǎng)的非法入侵

外網(wǎng)入侵的方式有多種方式，如IP電子欺騙、毀損攻擊、拒絕服務(wù)攻擊、郵件洪流攻擊、中間人攻擊、HTTP協(xié)議攻擊和應用層攻擊等。

防止這類外網(wǎng)入侵的主要安全措施就是架設(shè)防火墻。對于個人用戶，出于經(jīng)濟成本、性能需求等各方面的綜合考慮，一般都是選擇個人軟件防火墻，但對于企業(yè)用戶來說，強列建議采用硬件防火墻，當然主要是硬件防火墻的安全防護功能和性能遠比軟件防火墻要好。另外，防火墻不僅可以在內(nèi)、外部網(wǎng)絡(luò)之間架設(shè)，還可在內(nèi)部網(wǎng)絡(luò)的關(guān)鍵部門與其他部門之間架設(shè)，用于保護關(guān)鍵部門。具體將在本書第三章介紹。1.1.6外網(wǎng)的非法入侵外網(wǎng)入侵的方式有1.1.7備份數(shù)據(jù)和存儲媒體的損壞與丟失正由于以上各節(jié)介紹的那么多網(wǎng)絡(luò)安全隱患的存在，所以應非常重視系統(tǒng)或數(shù)據(jù)的備份。個人用戶的備份通常是采取Ghost之類的整盤復制軟件，或者把一些重要數(shù)據(jù)在單獨一個硬盤中，或者刻成光碟備份。對于企業(yè)用戶，通常是采用像磁盤陣列、磁帶、磁帶庫、光盤塔、光盤庫等專用硬件，加上適當?shù)膫浞蒈浖到y(tǒng)組成的數(shù)據(jù)備份與恢復系統(tǒng)進行。

然而即使有了完善的數(shù)據(jù)備份與恢復系統(tǒng)，仍可能存在備份數(shù)據(jù)和備份媒體損壞或丟失的危險。如存儲媒介中的數(shù)據(jù)讀不出來，存儲媒價丟失、損壞等。這就需要我們?yōu)槠髽I(yè)數(shù)據(jù)備份部署完善的容災方案。具體將在本書的第十章介紹，但要了解數(shù)據(jù)存儲與備份的詳細知識和應用方案請參見本系列《網(wǎng)管員必讀——服務(wù)器與數(shù)據(jù)存儲》一書。1.1.7備份數(shù)據(jù)和存儲媒體的損壞與丟失正由1.2認識病毒文件自1946年第一臺諾依曼型計算機ENIAC出世以來，計算機已被應用到人類社會的各個領(lǐng)域。1988年在美國發(fā)現(xiàn)的蠕蟲病毒可以算是病毒的鼻祖了，它是由美國CORNELL大學編寫，雖然設(shè)計之初的出發(fā)點并無惡意，但當時蠕蟲病毒大肆在Internet上傳播，致使數(shù)千臺連網(wǎng)的計算機系統(tǒng)停止運行，成為一時的輿論的焦點。

在國內(nèi)，最初引起人們注意的病毒是20世紀80年代末出現(xiàn)的黑色星期五、米氏病毒、小球病毒等。后來出現(xiàn)的Word宏病毒及Windows95下的CIH病毒，使人們對病毒的認識更加深了一步。1.2認識病毒文件自1946年第一臺諾依曼1.2.1計算病毒的演變

20世紀80年代早期出現(xiàn)了第一批計算機病毒。這些早期的嘗試大部分是試驗性的，僅是相對簡單的自行復制，在執(zhí)行時顯示簡單的惡作劇而已。

1986年，報道了攻擊MS-DOS個人計算機的第一批病毒；人們普遍認為Brain病毒是這些計算機病毒中的第一種病毒。然而，1986年出現(xiàn)的其他首批病毒還包括Virdem（第一個文件病毒）和PC-Write（第一個特洛伊木馬病毒）。隨著更多的人開始研究病毒技術(shù)，病毒的數(shù)量、被攻擊的平臺數(shù)以及病毒的復雜性和多樣性都開始顯著提高。

1990年，網(wǎng)上出現(xiàn)了病毒交流布告欄，成為病毒編寫者合作和共享知識的平臺。接著在1992年，出現(xiàn)了第一個多態(tài)病毒引擎和病毒編寫工具包。隨后病毒就變得越來越復雜，病毒開始訪問電子郵件通訊簿，并將其自身發(fā)送到聯(lián)系人；宏病毒將其自身附加到各種辦公類型的應用程序文件并攻擊這些文件等。1.2.1計算病毒的演變20世紀80年代

隨著計算機網(wǎng)絡(luò)的及其應用的普及，電子郵件、網(wǎng)絡(luò)、網(wǎng)站、共享驅(qū)動器和產(chǎn)品漏洞都為病毒復制和攻擊提供了平臺。在已感染系統(tǒng)上創(chuàng)建的后門使得黑客們可以運行他們所選擇的任何軟件，進行任何惡意的攻擊行為。有些病毒附帶其自身的嵌入式電子郵件引擎，可以使已感染的系統(tǒng)直接通過電子郵件傳播病毒，而繞過此用戶的電子郵件客戶端或服務(wù)器中的任何設(shè)置。

病毒編寫者還開始設(shè)計病毒攻擊的結(jié)構(gòu)并使用社會工程，來開發(fā)具有可信外觀的電子郵件。這種方法旨在獲取用戶的信任，使其打開附加的病毒文件，來顯著地增加大規(guī)模感染的可能性。

雖然惡意軟件演變的同時，防病毒軟件也處在不斷的發(fā)展之中。但是，當前大多數(shù)防病毒軟件幾乎完全依賴于病毒簽名或惡意軟件的識別特性來識別潛在有害的代碼。從一個病毒的初始版本到此病毒的簽名文件被防病毒供應商廣泛分發(fā)之間，仍然存在存活機會。有關(guān)惡意程序的防護知識將在本書第二章具體介紹。隨著計算機網(wǎng)絡(luò)的及其應用的普及，電子郵件、網(wǎng)絡(luò)1.2.2病毒的產(chǎn)生目前有這么多病毒，那究竟是如何產(chǎn)生的呢？究其根源不外乎以下幾個：開玩笑，搞惡作劇測試自己的病毒程序開發(fā)能力出于個人報復用于版權(quán)保護

本節(jié)詳細內(nèi)容參見書本的P11頁。1.2.2病毒的產(chǎn)生目前有這么多病毒，那究竟1.2.3病毒的主要特點病毒也是一種程序文件，它與正常程序相比，具有以下明顯的特點：未經(jīng)授權(quán)而執(zhí)行具有傳染性具有隱蔽性具有潛伏性具有破壞性具有不可預見性

本節(jié)詳細內(nèi)容參見書本的P11~P12頁。1.2.3病毒的主要特點病毒也是一種程序文件1.3病毒的分類

目前來說，病毒的種類非常多，總的來說可以按以下幾個標準來進行劃分。

1.按破壞程度分

按破壞性程度可分為：良性病毒，惡性病毒、極惡性病毒和災難性病毒四種。

2.按傳染方式劃分

按傳染方式分為：引導型病毒、文件型病毒和混合型病毒。

3.按入侵方式分

按入侵方式分為：源代碼嵌入攻擊型病毒、代碼取代攻擊型病毒、系統(tǒng)修改型病毒、外殼附加型病毒。本節(jié)詳細內(nèi)容參見書本的P12~P17頁。1.3病毒的分類目前來說，病毒的種類非常多1.4認識黑客的入侵首先要認識到黑客程序與前面所說的病毒程序一樣，也屬于程序文件，只不過它與病毒文件一樣，開發(fā)者開發(fā)它們的目的不屬于正常的應用，而是用于進行非法的攻擊。但黑客程序與病毒程序又有著本質(zhì)的區(qū)別，有些黑客程序其實本身并不具有多大的危害性，它們自身一般并不破壞目標主機系統(tǒng)和數(shù)據(jù)，只是被黑客們利用進行了一些非法活動。黑客們利用這些黑客程序所獲取的信息或獲取的權(quán)限進行非法的活動，如竊取用戶的銀行卡資料、轉(zhuǎn)移用戶手機上的話費，或者利用獲取的高權(quán)限非法登錄用戶網(wǎng)絡(luò)進行一些破壞活動。同時，黑客程序一般不具有自我復制功能，而這一功能卻是病毒的基本特點。1.4認識黑客的入侵首先要認識到黑客程序與1.4.1黑客攻擊的基本步驟

黑客要實施攻擊，一般來說它必須有三個基本步驟，那就是：踩點、掃描、攻擊?！安赛c”就是尋找攻擊的對象，看哪個目標系統(tǒng)可以實施攻擊；“掃描”就是對確定的攻擊對象用專門的掃描工具軟件進行掃描，以發(fā)現(xiàn)目標存在的安全漏洞，以便采取適當?shù)墓舴椒?；“攻擊”就是通過建立帳戶、安裝遠程控制器、發(fā)現(xiàn)信任關(guān)等手段，最終達到獲取特權(quán)，對目標系統(tǒng)進行破壞的目的。它們都需要借助相應的工具軟件才能完成的。具體參見書本P17~P18頁。1.4.1黑客攻擊的基本步驟黑客要實1.4.2常見攻擊類型雖然黑客攻擊的手法多種多樣，但就目前來說，絕大多數(shù)中初級黑客們所采用的手法和工具仍具有許多共性。從大的方面來劃分的話，歸納起來一般不外乎以下幾種：網(wǎng)絡(luò)報文嗅探嗅探器是利用計算機的網(wǎng)絡(luò)接口，截獲目的計算機數(shù)據(jù)報文的一種技術(shù)。

IP地址欺騙

IP地址欺騙攻擊是黑客們假冒受信主機（要么是通過使用你網(wǎng)絡(luò)IP地址范圍內(nèi)的IP，要么是通過使用你信任，并可提供特殊資源位置訪問的外部IP地址）對目標進行攻擊。密碼攻擊密碼攻擊通過多種不同方法實現(xiàn)，包括蠻力攻擊（bruteforceattack），特洛伊木馬程序，IP欺騙和報文嗅探。1.4.2常見攻擊類型雖然黑客攻擊的手法多拒絕服務(wù)攻擊拒絕服務(wù)（DoS）攻擊是目前最常見的一種攻擊類型。它的最終目的就是使你的網(wǎng)絡(luò)連接堵塞，或者服務(wù)器因疲于處理攻擊者發(fā)送的數(shù)據(jù)包而使服務(wù)器系統(tǒng)的相關(guān)服務(wù)崩潰、系統(tǒng)資源耗盡。應用層攻擊

應用層攻擊能夠使用多種不同的方法來實現(xiàn)，最平常的方法是使用服務(wù)器上通?？烧业降膽密浖ㄈ鏢QLServer、Sendmail、PostScript和FTP）缺陷。通過使用這些缺陷，攻擊者能夠獲得計算機的訪問權(quán)，以及該計算機上運行相應應用程序所需賬戶的許可權(quán)。

本節(jié)詳細內(nèi)容參見書本的P18~P20頁。拒絕服務(wù)攻擊1.4.3常見拒絕服務(wù)攻擊行為特征和防御方法下面是幾種典型的拒絕服務(wù)攻擊行為特征和防御方法：死亡之Ping（Pingofdeath）攻擊“死亡之Ping”的攻擊原理就是來源于一般路由器對包的最大大小有限制（通常是在64KB以內(nèi)），當收到大小超過64KB的ICMP包時就會出現(xiàn)內(nèi)存分配錯誤，導致TCP/IP堆棧崩潰，從而使接受方計算機宕機。利用這一機制，黑客們只需不斷地通過Ping命令向攻擊目標發(fā)送超過64KB的數(shù)據(jù)包，最終使目標計算機的TCP/IP堆棧崩潰。淚滴（Teardrop）攻擊

實施淚滴攻擊的黑客們在截取IP數(shù)據(jù)包后，把偏移字段設(shè)置成不正確的值，這樣接收端在收后這些分拆的數(shù)據(jù)包后就不能按數(shù)據(jù)包中的偏移字段值正確重合這些拆分的數(shù)據(jù)包，但接收端會不斷償試，這樣就可能致使目標計算機操作系統(tǒng)因資源耗盡而崩潰。1.4.3常見拒絕服務(wù)攻擊行為特征和防御方法下

TCPSYN洪水（TCPSYNFlood）攻擊“TCPSYN洪水”攻擊的原理來源就是TCP/IP棧只能等待有限數(shù)量ACK（應答）消息，因為每臺計算機用于創(chuàng)建TCP/IP連接的內(nèi)存緩沖區(qū)都是非常有限的。如果這一緩沖區(qū)充滿了等待響應的初始信息，則該計算機就會對接下來的連接停止響應，直到緩沖區(qū)里的連接超時。

Land攻擊

這類攻擊中的數(shù)據(jù)包源地址和目標地址是相同的，當操作系統(tǒng)接收到這類數(shù)據(jù)包時，不知道該如何處理，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，以此來消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機等現(xiàn)象。

Smurf攻擊

Smurf攻擊利用多數(shù)路由器中具有同時向許多計算機廣播請求的功能。攻擊者偽造一個合法的IP地址，然后由網(wǎng)絡(luò)上所有的路由器廣播要求向受攻擊計算機地址做出回答的請求。由于這些數(shù)據(jù)包表面上看是來自已知地址的合法請求，因此網(wǎng)絡(luò)中的所有系統(tǒng)向這個地址做出回答，最終結(jié)果可導致該網(wǎng)絡(luò)的所有主機都對此ICMP應答請求作出答復，導致網(wǎng)絡(luò)阻塞，這也就達到了黑客們追求的目的了。TCPSYN洪水（TCPSYNFlood）攻擊

Fraggle攻擊

Fraggle攻擊只是對Smurf攻擊作了簡單的修改，使用的是UDP協(xié)議應答消息，而不再是ICMP協(xié)議了（因為黑客們清楚UDP協(xié)議更加不易被用戶全部禁止）。同時Fraggle攻擊使用了特定的端口，攻擊原理與Smurf攻擊基本類似。電子郵件炸彈

電子郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺計算機不斷地向同一地址發(fā)送大量電子郵件來達到攻擊目的，此類攻擊能夠耗盡郵件接受者網(wǎng)絡(luò)的帶寬資源。

【說明】以上各種拒絕服務(wù)攻擊的具體原理和防御方法參見書本中的P20~P22頁。Fraggle攻擊

Fraggle攻擊只是對S1.4.4其他攻擊方式行為特征和防御方法除了前面介紹的那么多典型的拒絕服務(wù)類型攻擊外，還有一些常見的其他類型攻擊方式，如利用型攻擊、信息收集型攻擊和假消息攻擊。

在利用型攻擊類型中主要包括：口令猜測攻擊、特洛伊木馬攻擊和緩沖區(qū)溢出攻擊三類。而信息收集型攻擊類型中主要包括：地址掃描、端口掃描、反響映射、體系結(jié)構(gòu)刺探、利用信息服務(wù)對DNS域進行轉(zhuǎn)換、Finger服務(wù)和LDAP服務(wù)等幾類。假消息攻擊類型中主要包括：DNS高速緩存污染和偽造電子郵件兩種。

本節(jié)詳細內(nèi)容參見書本的P22~P24頁。1.4.4其他攻擊方式行為特征和防御方法除1.4.5黑客攻擊的十大最新發(fā)展趨勢當前黑客攻擊技術(shù)呈以下幾十個方面的發(fā)展趨：攻擊工具功能不斷增強，攻擊過程實現(xiàn)自動化攻擊工具越來越智能化攻擊門檻越來越低受攻擊面更廣變種病毒數(shù)量不斷翻番，防不勝防漏洞發(fā)現(xiàn)得更快防火墻也開始變得“無奈”國產(chǎn)木馬、后門程序成為主流“網(wǎng)絡(luò)釣魚”形式的詐騙活動增多黑客攻擊“合法化”、“組織化”本節(jié)詳細內(nèi)容參見書本的P24~P26頁。1.4.5黑客攻擊的十大最新發(fā)展趨勢當前黑客攻擊技1.5企業(yè)網(wǎng)絡(luò)八大安全認識誤區(qū)

常見的企業(yè)網(wǎng)絡(luò)安全認識誤區(qū)有如下八個方面：安裝了防火墻就安全了安裝了最新的殺毒軟件就不怕病毒了在每臺機中安裝單機版殺毒軟件與網(wǎng)絡(luò)版殺毒軟件等效只要不上網(wǎng)就不會有病毒文件設(shè)置只讀就可以避免病毒安裝多個不同的殺毒和防火墻軟件就越安全等有需要時，再建設(shè)花費太大，投資不起

本節(jié)詳細內(nèi)容參見書本的P27~P29頁。1.5企業(yè)網(wǎng)絡(luò)八大安全認識誤區(qū)常見的企業(yè)網(wǎng)絡(luò)安全1.6企業(yè)網(wǎng)絡(luò)安全策略設(shè)計

網(wǎng)絡(luò)安全問題的解決，三分靠技術(shù)，七分靠管理。根據(jù)調(diào)查表明，網(wǎng)絡(luò)安全的威脅60%來自網(wǎng)絡(luò)內(nèi)部，如網(wǎng)絡(luò)用戶不及時升級系統(tǒng)補丁、升級病毒庫；私設(shè)代理服務(wù)器、私自訪問外部網(wǎng)絡(luò)等。如果僅通過防火墻和在網(wǎng)絡(luò)設(shè)備上配置訪問控制策略是不夠的，因為防火墻的防范原則只是“防外不防內(nèi)”。

作為一個企業(yè)網(wǎng)絡(luò)管理員，有責任為自己所在企業(yè)設(shè)置一個全面而系統(tǒng)的安全防范策略。這個安全策略必須是從用戶接入終端、網(wǎng)絡(luò)設(shè)備到中心服務(wù)器提供等一系列端到端的安全解決方案，而不僅是表現(xiàn)上的病毒防護系統(tǒng)和防火墻的安裝。1.6企業(yè)網(wǎng)絡(luò)安全策略設(shè)計網(wǎng)絡(luò)安全問題的1.6.1什么是企業(yè)網(wǎng)絡(luò)安全策略

企業(yè)網(wǎng)絡(luò)安全策略就是一份從整個企業(yè)網(wǎng)絡(luò)安全角度出發(fā)而編寫的管理性項目文件。它必須從整個企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全角度考慮，而不是像我們平常所認為僅是外部網(wǎng)絡(luò)的病毒入侵和黑客攻擊。從整體情況來看，一個標準企業(yè)的安全策略應該能夠隨著客戶基礎(chǔ)的增長，策略系統(tǒng)可以進行相應地進行有效升級。它既包括防止來自外部網(wǎng)絡(luò)所帶來的網(wǎng)絡(luò)攻擊，同時也包括防止企業(yè)內(nèi)部網(wǎng)絡(luò)的攻擊；既包括通常意義上所說的病毒入侵和黑客攻擊，又包括內(nèi)部網(wǎng)絡(luò)中的非法文件訪、數(shù)據(jù)存儲和備份的安全等，是一個龐大的系統(tǒng)工程。1.6.1什么是企業(yè)網(wǎng)絡(luò)安全策略企業(yè)網(wǎng)絡(luò)安1.6.2企業(yè)網(wǎng)絡(luò)安全策略設(shè)計的十大原則

網(wǎng)絡(luò)安全策略設(shè)計應遵循以下十大項原則：木桶原則整體性原則均衡性原則可行性原則等級性原則一致性原則易操作性原則技術(shù)與管理相結(jié)合原則統(tǒng)籌規(guī)劃，分步實施原則動態(tài)發(fā)展原則

本節(jié)詳細內(nèi)容參見書本的P30~P32頁。1.6.2企業(yè)網(wǎng)絡(luò)安全策略設(shè)計的十大原則網(wǎng)絡(luò)安全策1.6.3安全隱患分析和基于系統(tǒng)結(jié)構(gòu)信息的收集

企業(yè)網(wǎng)絡(luò)安全隱患可以分為：網(wǎng)絡(luò)安全隱患、物理安全隱患、網(wǎng)絡(luò)服務(wù)器自身安全隱患三大類。

本節(jié)詳細內(nèi)容參見書本的P32~P35頁。1.網(wǎng)絡(luò)安全隱患企業(yè)網(wǎng)絡(luò)方面的安全隱患主要表現(xiàn)在以下方面：網(wǎng)絡(luò)拓撲不合理帶來的安全隱患病毒和黑客安全隱患數(shù)據(jù)下載和數(shù)據(jù)存儲安全隱用戶身份認證安全隱防火墻