第三章 網(wǎng)絡(luò)安全策略

第三章網(wǎng)絡(luò)安全策略及實(shí)施2023/2/51計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.1安全策略概述3.1.1安全策略的定義

“安全策略是對(duì)訪問(wèn)規(guī)則的正式陳述，所有需要訪問(wèn)某個(gè)機(jī)構(gòu)的技術(shù)和信息準(zhǔn)資產(chǎn)的人員都應(yīng)該遵守這些規(guī)則”2023/2/52計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.1.2安全策略的內(nèi)容

權(quán)威的聲明和效力范圍：用以識(shí)別安全策略的發(fā)起者和覆蓋的主題范圍。物理安全策略

:包括環(huán)境安全、設(shè)備安全、媒體安全、信息資產(chǎn)的物理分布、人員的訪問(wèn)控制、審計(jì)記錄、異常情況的追查等。網(wǎng)絡(luò)安全策略:包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的管理、網(wǎng)絡(luò)安全訪問(wèn)措施（防火墻、入侵檢測(cè)系統(tǒng)、VPN等）、安全掃描、遠(yuǎn)程訪問(wèn)、不同級(jí)別網(wǎng)絡(luò)的訪問(wèn)控制方式、識(shí)別/認(rèn)證機(jī)制等。它規(guī)定了組織內(nèi)部用戶(hù)關(guān)于網(wǎng)絡(luò)訪問(wèn)能力的規(guī)范。數(shù)據(jù)加密策略:包括加密算法、適用范圍、密鑰交換和管理等。數(shù)據(jù)備份策略:包括適用范圍、備份方式、備份頻率，備份數(shù)據(jù)的安全存儲(chǔ)、負(fù)責(zé)人等。2023/2/53計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)病毒防護(hù)策略:包括防病毒軟件的安裝、配置、對(duì)軟盤(pán)使用、網(wǎng)絡(luò)下載等作出的規(guī)定等。應(yīng)用系統(tǒng)安全策略:包括WWW訪問(wèn)策略、內(nèi)部郵件與外部郵件的訪問(wèn)策略，數(shù)據(jù)庫(kù)系統(tǒng)安全策略、應(yīng)用服務(wù)器系統(tǒng)安全策略、個(gè)人桌面系統(tǒng)安全策略、其它業(yè)務(wù)相關(guān)系統(tǒng)安全策略等。身份識(shí)別與認(rèn)證策略：用來(lái)規(guī)定用什么樣的技術(shù)和設(shè)備來(lái)確保只有授權(quán)的用戶(hù)才能訪問(wèn)組織的信息與數(shù)據(jù)，包括認(rèn)證及授權(quán)機(jī)制、方式、審計(jì)記錄等。災(zāi)難恢復(fù)與應(yīng)急響應(yīng)策略：用來(lái)規(guī)定如何建立安全事件響應(yīng)小組，如何針對(duì)突發(fā)事件采取的響應(yīng)措施，包括響應(yīng)小組、聯(lián)系方式、事故處理計(jì)劃、控制過(guò)程、恢復(fù)機(jī)制、方式、歸檔管理、硬件、軟件等。主要工作有保護(hù)機(jī)構(gòu)的系統(tǒng)與信息，還原操作，起訴入侵者，減少損失等。2023/2/54計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)密碼管理策略:包括密碼管理方式、密碼設(shè)置規(guī)則、密碼適應(yīng)規(guī)則等。補(bǔ)丁管理策略:包括軟件升級(jí)、系統(tǒng)補(bǔ)丁的更新、測(cè)試、安裝等。系統(tǒng)變更控制策略:包括對(duì)設(shè)備更新、軟件配置、控制措施、數(shù)據(jù)變更管理、一致性管理等。商業(yè)伙伴、客戶(hù)關(guān)系策略:包括合同條款安全策略、客戶(hù)服務(wù)安全建議等。復(fù)查審計(jì)策略:包括對(duì)安全策略的定期復(fù)查與審計(jì)。安全教育策略:包括安全策略的發(fā)布宣傳、執(zhí)行效果的監(jiān)督、安全技能的培訓(xùn)、安全意識(shí)教育等。對(duì)安全控制及過(guò)程的重新評(píng)估、對(duì)系統(tǒng)日志記錄的審計(jì)、對(duì)安全技術(shù)發(fā)展的跟蹤等。2023/2/55計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.1.2網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)安全模型1、保護(hù)階段：身份認(rèn)證和驗(yàn)證，訪問(wèn)控制，數(shù)據(jù)加密，防火墻，漏洞補(bǔ)丁2．監(jiān)控階段：管理員通過(guò)利用網(wǎng)絡(luò)漏洞掃描器，對(duì)網(wǎng)絡(luò)進(jìn)行掃描監(jiān)控，預(yù)先識(shí)別漏洞區(qū)域，進(jìn)行漏洞的修補(bǔ)。通過(guò)IDS系統(tǒng)，對(duì)正在發(fā)生的安全事件進(jìn)行監(jiān)視并響應(yīng)。對(duì)當(dāng)前網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)流有一個(gè)清晰的判斷。3．測(cè)試階段：通過(guò)測(cè)試，知道現(xiàn)有的和最新的攻擊方式，模擬受到安全侵害后的及時(shí)響應(yīng)。4．改進(jìn)過(guò)程：利用監(jiān)視和測(cè)試階段得來(lái)的數(shù)據(jù)去改進(jìn)安全措施，并根據(jù)識(shí)別的漏洞和風(fēng)險(xiǎn)對(duì)安全策略加以調(diào)整。確保得到最新的安全修復(fù)。2023/2/56計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.2網(wǎng)絡(luò)安全策略設(shè)計(jì)與實(shí)施安全策略的制定是比較繁瑣和復(fù)雜的工作，許多安全策略將重點(diǎn)放在了有效實(shí)施的概念上，這種觀點(diǎn)的出發(fā)點(diǎn)在于，如果策略無(wú)法得到實(shí)施，那么制定的策略再好也沒(méi)有可用之處。從安全系統(tǒng)的設(shè)計(jì)人員的角度看，重要的是理解實(shí)施策略有若干不同的方式，而具體的實(shí)施過(guò)程并不屬于安全系統(tǒng)的設(shè)計(jì)人員的考慮范圍。所以，由于用戶(hù)對(duì)網(wǎng)絡(luò)的具體需求不同，可能會(huì)包含不同的設(shè)計(jì)與實(shí)施要求。從大的方面來(lái)說(shuō)，一般需要包括以下幾個(gè)部分：2023/2/57計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.2.1物理安全控制

對(duì)物理基礎(chǔ)設(shè)施、物理設(shè)備的安全和訪問(wèn)的控制。包括選擇適當(dāng)?shù)慕橘|(zhì)類(lèi)型及電纜的鋪設(shè)路線,網(wǎng)絡(luò)資源的存放位置也極為重要,為保護(hù)關(guān)鍵的網(wǎng)絡(luò)資源，必須安裝和充分的使用環(huán)境安全防護(hù)。2023/2/58計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.2.2邏輯安全控制 指在不同網(wǎng)段之間構(gòu)造邏輯邊界，同時(shí)還對(duì)不同網(wǎng)段之間的數(shù)據(jù)流量進(jìn)行控制。邏輯訪問(wèn)控制通過(guò)對(duì)不同網(wǎng)段間的通信進(jìn)行邏輯過(guò)濾來(lái)提供安全保障。對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行子網(wǎng)劃分是進(jìn)行邏輯安全控制的有效方法。需要執(zhí)行兩類(lèi)控制一是預(yù)防性控制，用于識(shí)別每個(gè)授權(quán)用戶(hù)并拒絕非授權(quán)用戶(hù)的訪問(wèn)。二是探測(cè)性控制，用于記錄和報(bào)告授權(quán)用戶(hù)的行為，以及記錄和報(bào)告非授權(quán)的訪問(wèn)，或者對(duì)系統(tǒng)、程序和數(shù)據(jù)的訪問(wèn)企圖。2023/2/59計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.2.3基礎(chǔ)設(shè)備和數(shù)據(jù)完整性1．防火墻2．入侵檢測(cè)系統(tǒng)3．安全審計(jì)系統(tǒng)4．病毒防護(hù)系統(tǒng)如何保證有效通信，對(duì)于網(wǎng)絡(luò)服務(wù)和協(xié)議的選擇是一項(xiàng)復(fù)雜而艱巨的任務(wù)。2023/2/510計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.2.4數(shù)據(jù)保密性 指保證網(wǎng)絡(luò)實(shí)體間通信數(shù)據(jù)的保密，使其不能被非法修改，它屬于加密的范疇。如何確定哪些數(shù)據(jù)需要加密，以及哪些數(shù)據(jù)不需要加密。這個(gè)過(guò)程應(yīng)該使用風(fēng)險(xiǎn)分析步驟來(lái)進(jìn)行決策。2023/2/511計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.2.5用戶(hù)行為控制人員角色管理是整個(gè)網(wǎng)絡(luò)安全的重要組成部分，網(wǎng)絡(luò)中所有的軟硬件系統(tǒng)、安全策略等最終都需要人來(lái)實(shí)踐，所以對(duì)人員角色的定義及行為規(guī)則的制定是非常重要的。應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)安全策略來(lái)為負(fù)責(zé)網(wǎng)絡(luò)基礎(chǔ)設(shè)施維護(hù)和升級(jí)的人員制定特殊的指導(dǎo)方針，以幫助完成各自的任務(wù)。1．安全備份2．審計(jì)跟蹤2023/2/512計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.2.6一個(gè)網(wǎng)絡(luò)安全策略示例2023/2/513計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.3網(wǎng)絡(luò)安全測(cè)試工具的使用3.3.1掃描原理及其工具掃描技術(shù)利用TCP/IP協(xié)議標(biāo)準(zhǔn)和其在各種操作系統(tǒng)中不同的實(shí)現(xiàn)方式，向目標(biāo)主機(jī)的服務(wù)端口發(fā)送探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過(guò)分析響應(yīng)的數(shù)據(jù)包來(lái)判斷服務(wù)端口是打開(kāi)還是關(guān)閉，就可以得知端口提供的服務(wù)或信息。它可以搜集到目標(biāo)主機(jī)的各種信息，如是否能用匿名登陸，是否有可寫(xiě)的FTP目錄，是否能用Telnet等。掃描也可以通過(guò)捕獲本地主機(jī)或服務(wù)器的流入流出數(shù)據(jù)包來(lái)監(jiān)視本地IP主機(jī)的運(yùn)行情況，它能對(duì)接收到的數(shù)據(jù)進(jìn)行分析，幫助人們發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在弱點(diǎn)，掃描工作本身不會(huì)提供侵入一個(gè)系統(tǒng)的詳細(xì)方法，只是系統(tǒng)入侵的前奏。2023/2/514計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)系統(tǒng)掃描通常采用兩種策略，第一種是被動(dòng)式策略，第二種是主動(dòng)式策略。所謂被動(dòng)式策略就是基于主機(jī)之上，對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其它同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查；而主動(dòng)式策略是基于網(wǎng)絡(luò)的，它通過(guò)執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。2023/2/515計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)目前常用的專(zhuān)業(yè)掃描工具有:Superscan:免費(fèi)的掃描軟件，可以在

下載NmapNessusShadowscan等2023/2/516計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)Nmap使用舉例

Nmap是在免費(fèi)軟件基金會(huì)的GNU

General

Public

License

(GPL)下發(fā)布的，可從/nmap站點(diǎn)上免費(fèi)下載。下載格式可以是tgz格式的源碼或RPM格式。目前最新版本號(hào)nmap-4.76。Nmap的語(yǔ)法相當(dāng)簡(jiǎn)單。Nmap的不同選項(xiàng)和-s標(biāo)志組成了不同的掃描類(lèi)型，比如：一個(gè)Ping-scan命令就是"-sP"。在確定了目標(biāo)主機(jī)和網(wǎng)絡(luò)之后，即可進(jìn)行掃描。如果以root來(lái)運(yùn)行Nmap，Nmap的功能會(huì)大大的增強(qiáng)，因?yàn)槌?jí)用戶(hù)可以創(chuàng)建便于Nmap利用的定制數(shù)據(jù)包。2023/2/517計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)在目標(biāo)機(jī)上，Nmap運(yùn)行靈活。使用Nmap進(jìn)行單機(jī)掃描或是整個(gè)網(wǎng)絡(luò)的掃描很簡(jiǎn)單，只要將帶有“/mask”的目標(biāo)地址指定給Nmap即可。地址是“victim/24”，則目標(biāo)是c類(lèi)網(wǎng)絡(luò)，地址是“victim/16”，則目標(biāo)是B類(lèi)網(wǎng)絡(luò)。

另外,Nmap允許你使用各類(lèi)指定的網(wǎng)絡(luò)地址，比如192.168.1.*,是指/24,或,4,8-12，對(duì)所選子網(wǎng)下的主機(jī)進(jìn)行掃描。2023/2/518計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)1.Ping掃描(Ping

Sweeping)入侵者使用Nmap掃描整個(gè)網(wǎng)絡(luò)尋找目標(biāo)。通過(guò)使用"

-sP"命令，進(jìn)行ping掃描。缺省情況下，Nmap給每個(gè)掃描到的主機(jī)發(fā)送一個(gè)ICMP

echo和一個(gè)TCP

ACK,主機(jī)對(duì)任何一種的響應(yīng)都會(huì)被Nmap得到。

舉例：掃描網(wǎng)絡(luò)：

#

nmap

-sP

/242023/2/519計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)2.端口掃描(Port

Scanning)

由于攻擊者使用TCP連接掃描很容易被發(fā)現(xiàn)，因?yàn)镹map將使用connect()系統(tǒng)調(diào)用打開(kāi)目標(biāo)機(jī)上相關(guān)端口的連接，并完成三次TCP握手。黑客登錄到主機(jī)將顯示開(kāi)放的端口。一個(gè)tcp連接掃描使用"-sT"命令如下。

#

nmap

-sT

22023/2/520計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.隱蔽掃描(Stealth

Scanning)

如果一個(gè)攻擊者不愿在掃描時(shí)使其信息被記錄在目標(biāo)系統(tǒng)日志上，TCP

SYN掃描可幫你的忙，它很少會(huì)在目標(biāo)機(jī)上留下記錄，三次握手的過(guò)程從來(lái)都不會(huì)完全實(shí)現(xiàn)。通過(guò)發(fā)送一個(gè)SYN包（是TCP協(xié)議中的第一個(gè)包）開(kāi)始一次SYN的掃描。任何開(kāi)放的端口都將有一個(gè)SYN|ACK響應(yīng)。然而，攻擊者發(fā)送一個(gè)RST替代ACK，連接中止。三次握手得不到實(shí)現(xiàn)，也就很少有站點(diǎn)能記錄這樣的探測(cè)。如果是關(guān)閉的端口，對(duì)最初的SYN信號(hào)的響應(yīng)也會(huì)是RST，讓NMAP知道該端口不在監(jiān)聽(tīng)。"-sS"命令將發(fā)送一個(gè)SYN掃描探測(cè)主機(jī)或網(wǎng)絡(luò)：

#

nmap

-sS

2023/2/521計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)4.UDP掃描(UDP

Scanning)

如果一個(gè)攻擊者尋找一個(gè)流行的UDP漏洞，比如rpcbind漏洞或cDc

Back

Orifice。為了查出哪些端口在監(jiān)聽(tīng)，則進(jìn)行UDP掃描，即可知哪些端口對(duì)UDP是開(kāi)放的。Nmap將發(fā)送一個(gè)O字節(jié)的UDP包到每個(gè)端口。如果主機(jī)返回端口不可達(dá)，則表示端口是關(guān)閉的。但這種方法受到時(shí)間的限制，因?yàn)榇蠖鄶?shù)的UNIX主機(jī)限制ICMP錯(cuò)誤速率。幸運(yùn)的是，Nmap本身檢測(cè)這種速率并自身減速，也就不會(huì)產(chǎn)生溢出主機(jī)的情況。

#

nmap

-sU

2023/2/522計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)5.操作系統(tǒng)識(shí)別(OS

Fingerprinting)

通常一個(gè)入侵者可能對(duì)某個(gè)操作系統(tǒng)的漏洞很熟悉，能很輕易地進(jìn)入此操作系統(tǒng)的機(jī)器。一個(gè)常見(jiàn)的選項(xiàng)是TCP/IP上的指紋，帶有"-O"選項(xiàng)決定遠(yuǎn)程操作系統(tǒng)的類(lèi)型。Nmap通過(guò)向主機(jī)發(fā)送不同類(lèi)型的探測(cè)信號(hào)，縮小查找的操作系統(tǒng)系統(tǒng)的范圍。指紋驗(yàn)證TCP包括使用FIN探測(cè)技術(shù)發(fā)現(xiàn)目標(biāo)機(jī)的響應(yīng)類(lèi)型。有一篇權(quán)威的關(guān)于指紋（fingertprinting）的文章/nmap/nmap-fingerprinting-article.html

Nmap's操作系統(tǒng)的檢測(cè)是很準(zhǔn)確也是很有效的，舉例：使用系統(tǒng)Solaris

10帶有SYN掃描的指紋驗(yàn)證堆棧。

#

nmap

-sS

-O

52023/2/523計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.ident掃描（Ident

Scanning）

一個(gè)攻擊者常常尋找一臺(tái)對(duì)于某些進(jìn)程存在漏洞的電腦。比如,一個(gè)以root運(yùn)行的WEB服務(wù)器。如果目標(biāo)機(jī)運(yùn)行了identd,一個(gè)攻擊者使用Nmap通過(guò)"-I"選項(xiàng)的TCP連接,就可以發(fā)現(xiàn)哪個(gè)用戶(hù)擁有http守護(hù)進(jìn)程。我們將掃描一個(gè)Linux

WEB服務(wù)器為例：

#

nmap

-sT

-p

80

-I

-O

2023/2/524計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)7.其它選項(xiàng)(Options)

除了以上這些掃描，Nmap還提供了無(wú)數(shù)選項(xiàng)。有一個(gè)是"-PT",，我們已經(jīng)介紹過(guò)了。在目標(biāo)機(jī)或網(wǎng)絡(luò)上常見(jiàn)的未經(jīng)過(guò)濾的端口，進(jìn)行TCP

"ping"掃描。

另一個(gè)選項(xiàng)是"-P0"。在缺省設(shè)置下試圖掃描一個(gè)端口之前，Nmap將用TCP

ping"和ICMP

echo命令ping一個(gè)目標(biāo)機(jī)，如果ICMP和TCP的探測(cè)掃描得不到響應(yīng)，目標(biāo)主機(jī)或網(wǎng)絡(luò)就不會(huì)被掃描，即使他們是運(yùn)行著的。而"-P0"選項(xiàng)允許在掃描之前不進(jìn)行ping，即可進(jìn)行掃描。2023/2/525計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)端口掃描的防范:

由于對(duì)目標(biāo)主機(jī)進(jìn)行端口掃描非常簡(jiǎn)單和方便，作為系統(tǒng)管理員或普通的用戶(hù)都需要時(shí)刻關(guān)注所管理的機(jī)器的端口狀況，要最大限度隱藏端口狀況，減少不必要的安全漏洞。防范主機(jī)端口的非法掃描，可以從兩個(gè)方面下手解決，一個(gè)是主機(jī)級(jí)的防范，一個(gè)是網(wǎng)絡(luò)級(jí)的防范。對(duì)于主機(jī)級(jí)的防范，又可以從下面兩個(gè)方面著手。（1）關(guān)閉閑置和有潛在危險(xiǎn)的端口。（2）對(duì)無(wú)法關(guān)閉的端口進(jìn)行監(jiān)控。2023/2/526計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.3.2網(wǎng)絡(luò)監(jiān)聽(tīng)原理及其工具網(wǎng)絡(luò)監(jiān)聽(tīng)工具又被稱(chēng)為嗅探器（Sniffer），它是一種利用計(jì)算機(jī)網(wǎng)絡(luò)接口截獲目的計(jì)算機(jī)的數(shù)據(jù)報(bào)文的技術(shù)，其目的就是截獲通信的內(nèi)容，其手段是對(duì)協(xié)議進(jìn)行分析。網(wǎng)絡(luò)監(jiān)聽(tīng)對(duì)于安全的威脅來(lái)自于其被動(dòng)性和非干繞性，它往往讓網(wǎng)絡(luò)信息泄密變得不容易發(fā)現(xiàn)。監(jiān)聽(tīng)器工作在網(wǎng)絡(luò)的底層，在某個(gè)廣播域中進(jìn)行數(shù)據(jù)包監(jiān)聽(tīng)，它將網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)記錄下來(lái)，可以利用這些記錄分析流量，查找網(wǎng)絡(luò)漏洞，檢測(cè)網(wǎng)絡(luò)性能，以便找出網(wǎng)絡(luò)中可能存在的安全問(wèn)題很多黑客入侵時(shí)都把局域網(wǎng)掃描和監(jiān)聽(tīng)作為實(shí)施入侵的最基本步驟和手段，試圖用這種方法獲取用戶(hù)的密碼等信息。對(duì)入侵活動(dòng)和其它網(wǎng)絡(luò)犯罪進(jìn)行偵查、取證時(shí)，也可以使用網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)來(lái)獲取必要的信息。2023/2/527計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)Sniffer軟件本身處于數(shù)據(jù)鏈路層之上，同物理層和數(shù)據(jù)鏈路層無(wú)關(guān)，因此Sniffer軟件可以運(yùn)行在各種數(shù)據(jù)鏈路層的協(xié)議和物理傳輸介質(zhì)上。

sniffer在以太網(wǎng)下的工作原理2023/2/528計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)Sniffer硬件通常稱(chēng)為協(xié)議分析儀Sniffer分為硬件和軟件兩種。2023/2/529計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)sniffer軟件Windows系統(tǒng)下的：SnifferPro和EtherPeekNXSolaris下的NfswatchUnix/Linux下的Tcpdump和sniffit等2023/2/530計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)1.SnifferPro的使用與說(shuō)明2.Tcpdump的使用與說(shuō)明2023/2/531計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)4．網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)與防范簡(jiǎn)單的現(xiàn)象判斷：較高的通訊丟包率

通過(guò)一些管理軟件，可以看到數(shù)據(jù)包傳送情況，最簡(jiǎn)單是ping命令，它會(huì)告訴用戶(hù)掉了百分之多少的數(shù)據(jù)包。如果網(wǎng)絡(luò)結(jié)構(gòu)正常，在排除病毒的影響外，如果有20％～30％數(shù)據(jù)包丟失，以致數(shù)據(jù)包無(wú)法順暢的到達(dá)目的地，網(wǎng)絡(luò)被監(jiān)聽(tīng)的可能性較大，可能是由于嗅探器攔截?cái)?shù)據(jù)包而導(dǎo)致。網(wǎng)絡(luò)帶寬出現(xiàn)異常

通過(guò)某些帶寬控制器，可以實(shí)時(shí)看到目前網(wǎng)絡(luò)帶寬的分布情況，如果某臺(tái)機(jī)器長(zhǎng)時(shí)間的占用了較大的帶寬，這臺(tái)機(jī)器就有可能在實(shí)施網(wǎng)絡(luò)監(jiān)聽(tīng)。由于監(jiān)聽(tīng)程序要分析和處理大量的數(shù)據(jù)包會(huì)占用很多的CPU資源，如果某臺(tái)機(jī)器服務(wù)性能下降，也應(yīng)該可以察覺(jué)出網(wǎng)絡(luò)通訊速度的變化。2023/2/532計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)防范措施:

（a）采用安全的拓?fù)浣Y(jié)構(gòu)。

（b）采用用加密技術(shù)。

（c）用靜態(tài)的ARP或者IP-MAC對(duì)應(yīng)表代替動(dòng)態(tài)的ARP或者IP-MAC對(duì)應(yīng)表。(d)重視重點(diǎn)區(qū)域的安全防范2023/2/533計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.4路由器安全策略3.4.1路由器訪問(wèn)安全配置secret命令設(shè)置密碼，該加密機(jī)制是IOS采用MD5散列算法進(jìn)行加密。Router（config-t）#enablesecretRouter（config-t）#noenablepasswordRouter（config-t）#servicepassword-encryptionRouter（config-t）#linevty04Router（config-line）#exec-timeout100或者使用基于用戶(hù)名和口令的強(qiáng)認(rèn)證方法。

Router（config-t）#usernameadminpass5434535e2Router（config-t）#aaanew-modelRouter（config-t）#radius-serverhostkeykey-stringRouter（config-t）#aaaauthenticationloginnetadmingroupradiuslocalRouter（config-t）#linevty04Router（config-line）#loginauthennetadmin2023/2/534計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.4.2路由器服務(wù)安全管理1．更新路由器操作系統(tǒng)2.修改默認(rèn)的口令3．關(guān)閉CDP服務(wù)4．禁用HTTP設(shè)置和SNMP5．VTY的服務(wù)控制6．其它需要關(guān)閉的服務(wù)7．封鎖ICMP（互聯(lián)網(wǎng)控制消息協(xié)議）ping請(qǐng)求8．禁用來(lái)自互聯(lián)網(wǎng)的telnet命令9．禁用IP定向廣播10．禁用IP路由和IP重新定向11．包過(guò)濾12．審查安全記錄2023/2/535計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.4.3其它相關(guān)安全問(wèn)題1．系統(tǒng)漏洞問(wèn)題路由器自己的操作系統(tǒng)即網(wǎng)絡(luò)操作系統(tǒng)（IOS）也會(huì)出現(xiàn)漏洞及安全隱患，需要管理員及時(shí)關(guān)注產(chǎn)品信息打上安全補(bǔ)丁，同時(shí)認(rèn)真嚴(yán)格的為IOS作安全備份。2．訪問(wèn)控制問(wèn)題要做好以下兩個(gè)方面的限制，一是限制物理訪問(wèn)，二是限制邏輯訪問(wèn)。3．路由協(xié)議問(wèn)題在路由協(xié)議方面，要避免使用路由信息協(xié)議（RIP），因?yàn)镽IP很容易被欺騙從而接受不合法的路由更新。最好是各個(gè)分支機(jī)構(gòu)都統(tǒng)一配置，使用開(kāi)放最短路徑優(yōu)先協(xié)議（OSPF）。4．配置管理問(wèn)題要有控制存放、檢索及更新路由器配置的配置管理策略，將配置備份文檔妥善保存在安全服務(wù)器上，以防新配置遇到問(wèn)題時(shí)方便更換、重裝或恢復(fù)到原先的配置。2023/2/536計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.4.4訪問(wèn)控制列表的制定

1．標(biāo)準(zhǔn)ACL通過(guò)使用IP包中的源IP地址進(jìn)行過(guò)濾，一個(gè)標(biāo)準(zhǔn)訪問(wèn)控制列表的基本配置語(yǔ)如下所示。access-listaccess-list-number{deny|permit}source[source-wildcard]2．?dāng)U展ACL擴(kuò)展訪問(wèn)列表能夠?qū)?shù)據(jù)包的源地址、目的地址和端口等項(xiàng)目進(jìn)行檢查，它比標(biāo)準(zhǔn)ACL具有更多的匹配選項(xiàng)，功能更加強(qiáng)大和細(xì)化，可以針對(duì)包括協(xié)議類(lèi)型、源地址、目的地址，源端口、目的端口和TCP連接等進(jìn)行過(guò)濾，表號(hào)范圍是100~199或2000~2699。Router#configuretRoute（config）#ipaccess-listextended101Route（config-ext-nacl）#permittcpanyhostestablishedlogRoute（config-ext-nacl）#permittcpanyhosteqwwwlogRoute（config-ext-nacl）#permittcpanyhosteqftplogRoute（config-ext-nacl）#permittcpanyhostlog

2023/2/537計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.4.5使用路由器ACL保護(hù)網(wǎng)絡(luò)1．過(guò)濾TCP協(xié)議access-list100permittcpany0.0.0255eq23access-list100permittcpany55eq25access-list100permittcpany55eq110access-list100permittcpany55eq80access-list100permittcpanyanyestablishedinterfaceserial0ipaccess-group100in

2．過(guò)濾UDP協(xié)議

IP地址為45，假設(shè)端口為137，根據(jù)客戶(hù)機(jī)的端口號(hào)是在1023以上隨機(jī)選擇的這樣一個(gè)規(guī)則，使用如下命令來(lái)抵制利用Netbios漏洞發(fā)起的攻擊。access-list100permitudp450.0.00eq137anygt10233．過(guò)濾ICMP協(xié)議interfaceserial0ipaccess-group100inipaccess-group101outaccess-list100permiticmpany55echo-replyaccess-list100permiticmpany55packet-too-bigaccess-list100permiticmpany55ttl-exceededaccess-list101permiticmp55anyecho-replyaccess-list101permiticmp55anypacket-too-bigaccess-list101permitip55any