第7章-網(wǎng)絡(luò)安全

第7章網(wǎng)絡(luò)安全網(wǎng)絡(luò)管理員考試培訓(xùn)考點(diǎn)1網(wǎng)絡(luò)安全基礎(chǔ)一、網(wǎng)絡(luò)安全基本概念網(wǎng)絡(luò)安全的基本要素：機(jī)密性、完整性、可用性、可控性與可審查性。網(wǎng)絡(luò)安全威脅：非授權(quán)訪問、信息泄露或丟失、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、利用網(wǎng)絡(luò)傳播病毒。網(wǎng)絡(luò)安全控制技術(shù)：防火墻技術(shù)、加密技術(shù)、用戶識(shí)別技術(shù)、訪問控制技術(shù)、網(wǎng)絡(luò)反病毒技術(shù)、網(wǎng)絡(luò)安全漏洞掃描技術(shù)、入侵檢測(cè)技術(shù)。二、黑客的攻擊手段口令入侵：使用某些合法用戶的賬號(hào)和口令登錄到目的主機(jī)，然后再實(shí)施攻擊活動(dòng)。放置特洛伊木馬：特洛伊木馬程序是指非法駐留在目標(biāo)計(jì)算機(jī)里，在目標(biāo)計(jì)算機(jī)啟動(dòng)的時(shí)候自動(dòng)運(yùn)行，并在目標(biāo)計(jì)算機(jī)上執(zhí)行一些事先約定的操作，如竊取口令等。Dos攻擊：也稱拒絕服務(wù)攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。二、黑客的攻擊手段端口掃描：利用掃描器偵知目標(biāo)主機(jī)的掃描端口是否處于激活狀態(tài)、主機(jī)提供了哪些服務(wù)、提供的服務(wù)中是否含有某些缺陷等。網(wǎng)絡(luò)監(jiān)聽：網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接收方是誰(shuí)。二、黑客的攻擊手段欺騙攻擊：攻擊者創(chuàng)造一個(gè)易于誤解的上下文環(huán)境，以誘使受攻擊者進(jìn)入并且做出缺乏安全考慮的決策。電子郵件攻擊：主要表現(xiàn)為向目標(biāo)信箱發(fā)送電子郵件炸彈。所謂的郵件炸彈實(shí)質(zhì)上就是發(fā)送地址不詳且容量龐大的郵件垃圾。三、可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)美國(guó)可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）TCSEC將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級(jí)、7個(gè)安全級(jí)別：D、C1、C2、B1、B2、B3、A1。四、網(wǎng)絡(luò)安全技術(shù)（1）數(shù)據(jù)加密技術(shù)分為對(duì)稱密鑰加密和非對(duì)稱密鑰加密。對(duì)稱密鑰加密發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的/對(duì)稱的密鑰對(duì)明文進(jìn)行加密和解密運(yùn)算。常用的對(duì)稱加密算法有：DES、IDEA等算法。非對(duì)稱密鑰加密每個(gè)用戶都有一對(duì)密鑰：公開密鑰和私有密鑰。公鑰對(duì)外公開，私鑰由個(gè)人秘密保存；用其中一把密鑰來加密，另一把密鑰來解密。常用算法有RSA算法。四、網(wǎng)絡(luò)安全技術(shù)（2）加密算法數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）：加密前，先對(duì)整個(gè)明文進(jìn)行分組。每一個(gè)組長(zhǎng)為64位。然后對(duì)每個(gè)64位二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，經(jīng)過16輪迭代，產(chǎn)生一組64位密文數(shù)據(jù)。最后將各組密文串接起來，即得出整個(gè)密文。使用的密鑰為64位。實(shí)際密鑰長(zhǎng)度為56位，有8位用于奇偶校驗(yàn)。RSA算法：基于數(shù)論中尋求兩個(gè)大素?cái)?shù)比較簡(jiǎn)單，而將它們的乘積分解開則極其困難。每個(gè)用戶有兩個(gè)密鑰：私有密鑰和公共密鑰，私有密鑰用于解密和數(shù)字簽名，公共密鑰用于加密和驗(yàn)證簽名。四、網(wǎng)絡(luò)安全技術(shù)（3）報(bào)文摘要通過一個(gè)單向的散列函數(shù)，以變長(zhǎng)的信息輸入，把其壓縮成一個(gè)定長(zhǎng)的值輸出。主要算法有MD5和SHA兩種。（4）數(shù)字簽名用于確認(rèn)發(fā)送者身份和消息完整性的一個(gè)加密的消息摘要。數(shù)字簽名應(yīng)滿足以下3點(diǎn)：接收者能夠核實(shí)發(fā)送者發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名接收者不能偽造對(duì)報(bào)文的簽名四、網(wǎng)絡(luò)安全技術(shù)（5）數(shù)字證書解決了公開密鑰密碼體制下密鑰的發(fā)布和管理問題，用戶可以公開其公鑰，而保留其私鑰。一般包含用戶身份信息、用戶公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。數(shù)字證書是由認(rèn)證中心（CA）簽發(fā)的?？键c(diǎn)2防火墻一、防火墻簡(jiǎn)介（1）防火墻通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。（2）實(shí)現(xiàn)方式硬件防火墻：通過硬件和軟件的組合來達(dá)到隔離內(nèi)、外部網(wǎng)絡(luò)的目的。軟件防火墻：通過純軟件的方式來實(shí)現(xiàn)隔離內(nèi)、外部網(wǎng)絡(luò)的目的?？键c(diǎn)2防火墻（3）防火墻的相關(guān)概念非信任網(wǎng)絡(luò)（公共網(wǎng)絡(luò)）：處于防火墻之外的公共開放網(wǎng)絡(luò)，一般指因特網(wǎng)。信任網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)）：位于防火墻之內(nèi)的可信網(wǎng)絡(luò)，是防火墻要保護(hù)的目標(biāo)DMZ（非軍事化區(qū)）：也稱周邊網(wǎng)絡(luò)，可以位于防火墻之外也可以位于防火墻之內(nèi)。安全敏感度和保護(hù)強(qiáng)度較低。非軍事化區(qū)一般用來放置提供公共網(wǎng)絡(luò)服務(wù)的設(shè)備?？尚胖鳈C(jī)：位于內(nèi)部網(wǎng)的主機(jī)，且具有可信任的安全特性。考點(diǎn)2防火墻公網(wǎng)IP地址：由因特網(wǎng)信息中心統(tǒng)一管理分配的IP地址?？稍谝蛱鼐W(wǎng)上使用。保留IP地址：專門保留用于內(nèi)部網(wǎng)的IP地址。包過濾：防火墻對(duì)每個(gè)數(shù)據(jù)包進(jìn)行允許或拒絕的決定，具體地說，就是根據(jù)數(shù)據(jù)包的頭部按照規(guī)則進(jìn)行判斷，決定繼續(xù)轉(zhuǎn)發(fā)還是丟棄。網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）：防火墻將內(nèi)部網(wǎng)主機(jī)不可路由的保留地址轉(zhuǎn)換成公共網(wǎng)絡(luò)可識(shí)別的公共地址，可以達(dá)到節(jié)省IP和隱藏內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息等目的。二、防火墻基本分類及實(shí)現(xiàn)原理包過濾型防火墻：工作在OSI模型的網(wǎng)絡(luò)層。通過訪問控制表，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，來確定是否允許該數(shù)據(jù)包通過。代理服務(wù)器型防火墻：又稱為應(yīng)用級(jí)防火墻，它工作在OSI模型的應(yīng)用層，是設(shè)置在Internet防火墻網(wǎng)關(guān)上的應(yīng)用，是在網(wǎng)管員允許下或拒絕的特定的應(yīng)用程序或特定服務(wù)，同時(shí)，還可應(yīng)用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。二、防火墻基本分類及實(shí)現(xiàn)原理監(jiān)測(cè)型防火墻：新一代的產(chǎn)品，已經(jīng)超越了最初的防火墻定義，能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)地、實(shí)時(shí)的監(jiān)測(cè)。并在對(duì)這些數(shù)據(jù)分析的基礎(chǔ)上，能夠有效地判斷出各層中的非法入侵。三、防火墻規(guī)則配置包過濾功能：通過制定過濾規(guī)則集，對(duì)數(shù)據(jù)包頭的源地址、目的地址和端口號(hào)、協(xié)議類型等標(biāo)志，判斷是否允許通過。對(duì)于滿足過濾規(guī)則的數(shù)據(jù)包，根據(jù)規(guī)則的策略決定放過或者丟棄，不滿足規(guī)則的包則被丟棄。防火墻的規(guī)則配置是面向網(wǎng)口設(shè)備的，每個(gè)網(wǎng)口上的規(guī)則是指：每個(gè)接口設(shè)備接收到的數(shù)據(jù)包要經(jīng)過這些規(guī)則的過濾。每條規(guī)則詳細(xì)描述了源/目的地址、目的端口、協(xié)議、數(shù)據(jù)流向、狀態(tài)檢測(cè)和策略等信息。考點(diǎn)3入侵檢測(cè)一、入侵檢測(cè)系統(tǒng)概述（1）入侵檢測(cè)系統(tǒng)（IDS）通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。（2）分類根據(jù)進(jìn)行入侵分析的數(shù)據(jù)來源的不同，分為2種：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）考點(diǎn)3入侵檢測(cè)（3）入侵系統(tǒng)的功能檢測(cè)并分析用戶和系統(tǒng)的活動(dòng)；檢查系統(tǒng)配置和漏洞；評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識(shí)別已知的攻擊行為；統(tǒng)計(jì)分析異常行為；操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)。（4）入侵檢測(cè)系統(tǒng)工作流程信息收集：采集必要的數(shù)據(jù)用于入侵分析。數(shù)據(jù)過濾及縮略：根據(jù)預(yù)定義的設(shè)置，進(jìn)行必要的數(shù)據(jù)過濾及縮略，從而提高檢測(cè)、分析的效率?？键c(diǎn)3入侵檢測(cè)信號(hào)分析：對(duì)收集到的信息，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。報(bào)警及響應(yīng)：一旦檢測(cè)到違反安全策略的行為或者事件，進(jìn)行報(bào)警及響應(yīng)。主要響應(yīng)方式有：記錄日志、發(fā)出報(bào)警聲、發(fā)送電子郵件通知管理員、切斷連接等安全控制。（5）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的必要性防火墻只能對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析，對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)生的事件完全無能為力。入侵檢測(cè)是網(wǎng)絡(luò)安全的第二道閘門，是防火墻的必要補(bǔ)充，構(gòu)成完整的網(wǎng)絡(luò)安全解決方案。二、入侵檢測(cè)系統(tǒng)部署共享環(huán)境：在共享介質(zhì)的環(huán)境下，傳感器能夠監(jiān)聽到整個(gè)沖突域的流量，所以只需要把傳感器的監(jiān)聽端口接到Hub上即可。交換環(huán)境：在交換環(huán)境下，每個(gè)交換機(jī)的端口都是一個(gè)獨(dú)立的沖突域，因此傳感器不能直接監(jiān)聽到交換機(jī)其他端口的流量，通常可以采用以下幾種方法解決。方法一：在交換機(jī)和路由器之間接入一個(gè)Hub方法二：采用交換機(jī)端口鏡向功能考點(diǎn)四漏洞掃描一、漏洞掃描技術(shù)漏洞是指計(jì)算機(jī)系統(tǒng)在硬件、軟件、協(xié)議軟件、具體實(shí)現(xiàn)以及系統(tǒng)安全策略等方面存在的缺陷和不足。漏洞掃描技術(shù)是檢測(cè)系統(tǒng)安全脆弱性的一種安全技術(shù)。漏洞掃描工具雖不是實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)上的入侵，但是能夠測(cè)試和評(píng)價(jià)系統(tǒng)的安全性，并及時(shí)發(fā)現(xiàn)安全漏洞。漏洞掃描系統(tǒng)是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序，是一種檢測(cè)遠(yuǎn)程或本地系統(tǒng)安全脆弱性的技術(shù)?？键c(diǎn)四漏洞掃描二、工作原理網(wǎng)絡(luò)漏洞掃描系統(tǒng)通過遠(yuǎn)程檢測(cè)目標(biāo)主機(jī)TCP/IP不同端口的服務(wù)，記錄目標(biāo)給予的回答。漏洞處理策略最常見的漏洞主要包含以下類型：CGI腳本、POP3、FTP、SSH、HTTP、SMTP、IMAP、后門、RPC、DNS漏洞等。根據(jù)不同的漏洞類型會(huì)有不同的漏洞處理策略?？键c(diǎn)5網(wǎng)絡(luò)防病毒系統(tǒng)一、計(jì)算機(jī)病毒的概念計(jì)算機(jī)病毒是指計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼，就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。二、計(jì)算機(jī)病毒的特性計(jì)算機(jī)病毒具有以下特性：傳染性、隱蔽性、潛伏性、破壞性、針對(duì)性、衍生性、寄生性、未知性?？键c(diǎn)5網(wǎng)絡(luò)防病毒系統(tǒng)三、計(jì)算機(jī)病毒的分類根據(jù)其感染的途徑以及采用的技術(shù)區(qū)分，計(jì)算機(jī)病毒可分為引導(dǎo)型、文件型、宏病毒型和目錄型計(jì)算機(jī)病毒。文件型病毒：以感染COM、EXE等可執(zhí)行文件為主，病毒以這些可執(zhí)行文件為載體，當(dāng)運(yùn)行可執(zhí)行文件時(shí)就可以激活病毒。引導(dǎo)型病毒：隱藏在硬盤或軟盤的引導(dǎo)區(qū)宏病毒：一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒?？键c(diǎn)5網(wǎng)絡(luò)防病毒系統(tǒng)目錄（鏈接）計(jì)算機(jī)病毒：修改文件存儲(chǔ)位置信息達(dá)到傳染的目的。四、基于網(wǎng)絡(luò)的防病毒系統(tǒng)網(wǎng)絡(luò)病毒其傳播方式有以下幾種：病毒直接從有病毒復(fù)制到服務(wù)器中病毒先傳染工作站，在工作站內(nèi)存駐留，等運(yùn)行網(wǎng)絡(luò)盤內(nèi)程序時(shí)再傳染給服務(wù)器。病毒先傳染工作站，在工作站內(nèi)存駐留，在運(yùn)行時(shí)直接通過映像路徑傳染到服務(wù)器。如果遠(yuǎn)程工作站被病毒侵入，病毒也可以通過通信中數(shù)據(jù)交換進(jìn)入網(wǎng)絡(luò)服務(wù)器中。考點(diǎn)5網(wǎng)絡(luò)防病毒系統(tǒng)網(wǎng)絡(luò)病毒防護(hù)策略如下：防毒一定要實(shí)現(xiàn)全方位、多層次防毒。網(wǎng)關(guān)防毒是整體防毒的首要防線。沒有管理的防毒系統(tǒng)是無效的防毒系統(tǒng)。服務(wù)是整體防毒系統(tǒng)中極為重要的一環(huán)。網(wǎng)絡(luò)防毒系統(tǒng)的組織形式如下：系統(tǒng)中心統(tǒng)一管理遠(yuǎn)程安裝升級(jí)一般客戶端的防毒防病毒過濾網(wǎng)關(guān)硬件防病毒網(wǎng)關(guān)考點(diǎn)6安全協(xié)議一、安全套接層（SSL）SSL提供了兩臺(tái)計(jì)算機(jī)之間的安全連接，對(duì)整個(gè)會(huì)話進(jìn)行了加密，從而保證了安全傳輸，工作在應(yīng)用層和傳輸層之間。SSL具有以下三個(gè)基本功能：驗(yàn)證身份、數(shù)據(jù)的機(jī)密性、報(bào)文的完整性?？键c(diǎn)6安全協(xié)議二、安全電子交易SETSET（SecureElectronicTransaction，安全電子交易），用于電子商務(wù)的行為規(guī)范，是一種應(yīng)用在Internet上、以信用卡為基礎(chǔ)的電子付款系統(tǒng)規(guī)范，目的就是為了保證網(wǎng)絡(luò)交易的安全。SET主要使用“電子認(rèn)證”技術(shù)作為保密電子交易安全進(jìn)行的基礎(chǔ)，其認(rèn)證過程使用RSA和DES算法?？键c(diǎn)6安全協(xié)議三、電子郵件安全——PGPPGP（PrettyGoodPrivacy）是一個(gè)完整的電子郵件安全軟件包，包括加密、鑒別、電子簽名和壓縮等技術(shù)。PGP支持三種RSA密鑰長(zhǎng)度：384bit（偶爾使用）、512bit（商用）和1024位（軍用）?？键c(diǎn)7其他網(wǎng)絡(luò)安全措施一、物理安全物理安全是保護(hù)計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、設(shè)施等免遭地震、水災(zāi)、火災(zāi)等事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。包括：環(huán)境安全、設(shè)備安全、媒介安全、防火安全、保密安全。二、電磁泄密及防護(hù)泄密渠道：計(jì)算機(jī)及網(wǎng)絡(luò)的數(shù)據(jù)信息可通過處理器的輻射、通信線路的輻射、轉(zhuǎn)換設(shè)備的輻射、輸出設(shè)備的輻射到空中傳播，從而被別人竊取。考點(diǎn)7其他網(wǎng)絡(luò)安全措施防范技術(shù)：干擾技術(shù)、屏蔽技術(shù)和Tempest