計算機06網絡安全

第6章網絡安全

主要內容

?第一節(jié)網絡安全概述

?第二節(jié)威脅網絡安全的因素

?第三節(jié)網絡遭受攻擊的形式

?第四節(jié)網絡安全防范措施

?第五節(jié)網絡安全解決方案

?第六節(jié)防火墻實用技術

?第七節(jié)MSProxyServer的安全

?第八節(jié)WindowsNT中的Web安全

第一節(jié)

主要內容

網絡安全的含義

網絡安全的標準

網絡安全的特征

網絡安全的結構層次

主要的網絡安全威脅

6.1.1網絡安全的含義

網絡安全就其本質而言是網絡上的信息安全。

從廣義上講，凡是涉及到網絡上信息的保密

性、完整性、可用性、真實性和可控性的相

關技術和理論，都是網絡安全的研究領域。

簡單來講，網絡安全可包括如下三個部分：

系統不被侵入。

數據不丟失。

網絡中的計算機不被病毒感染。

6.1.2網絡安全的標準

1.運行系統安全

2.網絡上系統信息的安全

3.網絡上信息傳播的安全

4.網絡上信息內容的安全

6.1.3網絡安全的特征

6.1.4網絡安全的結構層次

網絡的安全層次分為物理安全、控制安全、服務

安全和協議安全。

1.物理安全

?自然災害、物理損壞、設備故障、意外事故等。

?電磁泄漏、信息泄漏、干擾他人、受他人干擾、

乘機而入、痕跡泄露。

?操作失誤、意外疏漏。

?計算機系統機房環(huán)境的安全漏洞。

6.1.4網絡安全的結構層次

2.控制安全

一?計算機操作系統的安全控制

主要用于保護存儲在硬盤上的信息和數據。

?網絡接口模塊的安全控制

在網絡環(huán)境下對來自其他機器的網絡通信進程進

行安全控制。

?網絡互聯設備的安全控制

對整個子網內所有主機的傳輸信息和運行狀態(tài)進

行安全監(jiān)測和控制。

6.1.4網絡安全的結構層次

一3.服務安全

服務安全包括：對等實體認證服務、訪

問控制服務、數據加密服務、數據完整

性服務、數據源點認證服務、禁止否認

服務等。

6.1.4網絡安全的結構層次

4.TCP/IP協議安全

?TCP/IP協議安全主要用于解決下列問題：

?TCP/IP協議數據流采用明文傳輸。

?源地址欺騙(Sourceaddressspoofing)或IP欺

騙(IPspoofing)o

?源路由選擇欺騙(SourceRoutingspoofing)。

?路由信息協議攻擊(RIPAttacks)o

?鑒別攻擊(AuthenticationAttacks)。

?TCP序列號欺騙攻擊(TCPSYNFlooding

Attack),簡稱SYN攻擊。

d?易欺騙性(Easeofspoofing)。

^="1■

6.1.5主要的網絡安全威脅

1.網絡安全威脅的表現形式

自然災害、意外事故。

計算機犯罪。

人為行為，例如使用不當，安全意識差等。

“黑客”行為，由于黑客的入侵或侵擾。

內部泄密。

外部泄密。

信息丟失。

電子諜報，例如信息流量分析、信息竊取等。

信息戰(zhàn)。

網絡協議中的缺陷。

6.1.5主要的網絡安全威脅

2.網絡安全威脅的特征

竊

聽

?假冒合法用戶

重

傳

偽

造?非授權訪問

篡

改?干擾系統的正常運行

服

務?破壞數據完整

?傳播病毒

?行為否認

第二節(jié)

主要內容

?內部因素

?各種外部威脅

?病毒簡介

6.2.1內部因素

Ji.操作系統的脆弱性

2.計算機系統的脆弱性

3.協議安全的脆弱性

4.數據庫管理系統安全的脆弱性

5.人為因素

6.2.2各種外部威脅

1.物理威脅

2.網絡威脅

(1)網絡連接

(2)網絡媒介

3.身份鑒別

4.病毒感染

5.系統漏洞

病毒簡介

病毒是一種暗中侵入計算機并且能夠自主生存的可執(zhí)行程序。

多數病毒程序都有如下共同的組成部分：

復制部分、破壞性代碼、用于進行條件判斷以確定何時執(zhí)行破

壞性代碼。

（1）病毒的分類

文件病毒、引導病毒、混合型病毒、異形病毒、宏病毒

（2）病毒的傳播方式

病毒一旦進入系統以后，通常用以下兩種方式傳播：

1通過磁盤的關鍵區(qū)域：主要感染工作站。

1通過可執(zhí)行文件：主要感染服務器。

（3）病毒的工作方式

變異、觸發(fā)、破壞

病毒簡介

（4）計算機病毒的特征

一傳染性、隱蔽性、潛伏性、破壞性

（5）計算機病毒的破壞行為

?攻擊系統數據區(qū)。

?攻擊文件。

?干擾系統運行。

?干擾鍵盤輸入或屏幕顯示。

?攻擊CMOS。

?干擾打印機的正常工作。

?網絡病毒破壞網絡系統，非法使用網絡資源，

破壞電子郵件，發(fā)送垃圾信息，占用網絡帶寬等。

病毒簡介

網絡病毒的特點

一(6)

傳染方式多、傳染速度快、清除難度大、

破壞性強、激發(fā)形式多樣、潛在性

(7)常見的網絡病毒

電子郵件病毒、Java程序病毒、

ActiveX病毒、網頁病毒

(8)網絡對病毒的敏感性

對文件病毒的敏感性、對引導病毒的敏

感性、對宏扃毒的敏感桂

病毒簡介

(9)網絡計算機病毒的防治

一第一，加強網絡管理人員的網絡安全意識，

對內部網與外界進行的數據交換進行有效的

控制和管理，同時堅決抵制盜版軟件；

第二，以網為本，多層防御，有選擇地加載

保護計算機網絡安全的網絡防病毒產品。

(10)防毒、殺毒軟件的選擇

選購防毒軟件，需要注意的指標包括：掃描

速度、正確識別率、誤報率、技術支持水平、

升級的難易程度、可管理性和警示手段等

第三節(jié)

主要內容

?服務封鎖攻擊

?電子郵件攻擊

?緩沖區(qū)溢出攻擊

?網絡監(jiān)聽攻擊

?黑客技術

——■

--

6.3.1服務封鎖攻擊

.?服務封鎖攻擊是指一個用戶占有大量的共享資

Z源，使系統沒有剩余的資源給其他用戶再提供

?服務的一種攻擊方式。服務封鎖攻擊的結果是

Z降低系統資源的可用性，這些資源可以是CPU

?時間、磁盤空間、MODEM、打印機，甚至是

：|系統管理員的時間。

Z?服務封鎖攻擊是針對IP的核心進行的。

Z?服務封鎖攻擊的方式很多

6.3.2電子郵件攻擊

現在的電子郵件攻擊主要表現如下形式:

?竊取、篡改數據

?偽造郵件

?服務封鎖

?病毒

6.3.3緩沖區(qū)溢出攻擊

緩沖區(qū)是內存中存放數據的地方。在程序試圖將數

據放到機器內存中的某一個位置的時候，如果沒有

足夠的空間就會引發(fā)緩沖區(qū)溢出。

攻擊者可以設置一個超過限緩沖區(qū)長度的字符串，

然后植入緩沖區(qū)，向一個空間有限的緩沖區(qū)植入超

長字符串可能會出現兩個結果，一是過長的字符串

覆蓋了相鄰的存儲單元，引起程序運行失敗，嚴重

時可導致系統崩潰；另一個結果就是利用這種漏洞

可以執(zhí)行任意指令，甚至可以取得系統超級權限

6.3.4網絡監(jiān)聽攻擊

在網絡中，當信息進行傳播的時候，可以利用

某種工具，將網絡接口設置在監(jiān)聽的模式，從

而截獲網絡中正在傳播的信息，然后進行攻擊。

6.3.5黑客技術

黑客(Hacker)一般是指計算機網絡的非法入侵

著。

1.黑客的攻擊步驟

信息收集，對系統的安全弱點進行探測與分析，

實施攻擊。

2.黑客的手法

⑴口令的猜測或獲?。鹤值涔?、假登錄程

序、密碼探測程序、修改系統。

(2)IP欺騙與窺探

(3)掃描

(4)緩沖區(qū)溢出

6.3.5黑客技術

3.防黑客技術

(1)防字典攻擊和口令保護

(2)預防窺探

(3)防止IP欺騙

(4)建立完善的訪問控制策略

(5)信息加密

(6)其他安全防護措施

6.3.5黑客技術

4.黑客攻擊的處理對策

(1)發(fā)現黑客(2)處理原則

(3)發(fā)現黑客后的處理對策

?不理睬。

?使用write或者talk工具詢問他們究竟想要做什么。

?跟蹤這個連接，找到入侵者的來路和身份

?管理員可以使用一些工具來監(jiān)視入侵者。

?殺死這個進程來切斷入侵者與系統的連接。拔下調制解調

器或網線，或者關閉服務器。

?找出安全漏洞并修補漏洞，再恢復系統。

?最后，記錄下整個事件的發(fā)生發(fā)展過程，歸檔保存，并從

中吸取經驗教訓。

第四節(jié)

主要內容

.保護策略

?專用網絡的保護

?個人計算機系統的保護

?上網防范措施

6.4.1保護策略

i.用備份和鏡像技術提高數據可靠性

2.創(chuàng)建安全的網絡環(huán)境

3.數據加密

4.防治病毒

5.安裝補丁程序

6.仔細閱讀日志

7.提防虛假的安全

8.構筑防火墻

6.4.2專用網絡的保護

1.竊聽與監(jiān)視

2.身份鑒別

3.局域網的漏洞

4.過分復雜的安全配置

5.管理失誤是最嚴重的問題

643個人計算機

系統的保護

1.防備來自網絡的病毒

2.不運行來歷不明的軟件

3.加強計算機密碼管理

644上網防范措施

1.設置警告提示

2.使用多種瀏覽器軟件

3.及時進行軟件升級

4.手工修改注冊表

5.使用病毒檢測防護軟件

第五節(jié)

主要內容

?網絡信息安安模型

?安全策略設計依據

?網絡安全解決方案

?網絡安全技術措施

?網絡安全的評估

6.5.1網絡信息安全模型

J1.政策、法律、法規(guī)

2.增強的用戶認證

3.授權

4.加密

5.審計與監(jiān)控

6.5.2安全策略設計依據

制訂網絡安全策略時應考慮如下因素：

一

?對于內部用戶和外部用戶分別提供哪些

服務程序。

?初始投資額和后續(xù)投資額（新的硬件、

一軟件及工作人員）。

?方便程度和服務效率的平衡。

?復雜程度和安全等級的平衡。

?網絡性能。

6.5.4網絡安全技術措施

(1)物理層的安全防護：主要通過制定物理層的管理規(guī)范和措施

來提供安全解決方案。

(2)鏈路層的安全防護：主要是利用鏈路加密措施對數據進行加

密保護。它加密所有用戶數據并在目的結點完成解密。

(3)網絡層的安全防護：網絡層主要采用防火墻作為安全防護手

段，實現初級安全防護。也可以根據一些安全協議實施加密保

護。還可進行入侵檢測。

(4)傳輸層的安全防護：傳輸層處于通信子網和資源子網之間，

起著承上啟下的作用。傳輸層應支持對等實體認證服務、訪

問控制服務、數據保密服務、數據完整性服務、數據源點

認證服務。

(5)應用層的安全防護：可以實施強大的基于用戶的身份認證，

還可加強數據的備份和恢復環(huán)節(jié)。

6.5.4網絡安全技術措施

在實際的安全設計中，往往綜合采用下列技術措施:

i.身份驗證

2.訪問授權(Authorization)

3.實時侵入檢測技術

4.網絡分段

5.選擇集線器

6.VLAN技術

7.VPN技術

8.防火墻技術

6.5.5網絡安全的評估

網絡系統的安全措施應實現如

下目標：

?對存取的控制；

?保持系統和數據的完整；

?能夠對系統進行恢復和對數據

進行備份。

第六節(jié)

主要內容

?防火墻技術概述

?防火墻的類型

?防火墻的配置

6.6.1防火墻技術概述

1.防火墻的組成部分

包過濾器、鏈路級網關和應用級網關或代理服務器。

6.6.1防火墻技術概述

2.防火墻的作用

彌補網絡服務的脆弱性、控制對網絡的存取、集中

一的安全管理、網絡使用情況的記錄及統計

3.防火墻的局限性

繞過防火墻的攻擊、來自內部變節(jié)者和不經心的用

戶帶來的威脅、變節(jié)者或公司內部存在的間諜將數

據拷貝到軟盤、傳送已感染病毒的軟件或文件。

4.基本防火墻壁設計

在設計防火墻時必須確定：防火墻的行為準則、機

構的安全策略、費用、系統的組件或構件。

防火墻有兩種相反的行為準則：

拒絕沒有特別允許的任何服務

1允許沒有特別拒絕的任何服務

6.6.2防火墻的類型

1.包過濾防火墻

如圖所示：

包過濾路由器

□

I

6.6.2防火墻的類型

2.代理防火墻

由代理服務器和過濾路由器組成，它將過

濾器和軟件代理技術結合在一起。

3.雙宿主機防火墻

該防火墻是用主機來執(zhí)行安全管制功能。

一臺雙宿主機配置有多個網卡，分別連接

不同的網絡。

6.6.3防火墻的配置

1.包過濾路由器

2.宿主網關

雙宿主網關僅用一個代理服務器（如圖所示），代理服務器

就是安裝于雙宿主機的代理服務器軟件。

工作站工作站

NIC代理服務器NICInternet

663防火墻的配置

3.主機過濾防火墻

主機過濾防火墻由分組過濾路由器和應用網關組成

（如圖所示）。

工作站

應用網關——過濾路由器

□:'m□

D二□

Dl□

D□

O囂□

D_nJ□

O「□

三

a囂□

p,:□

o二a

一

1

務

月艮

厚

om為

6.6.3防火墻的配置

4.子網過濾防火墻

在主機過濾配置上再加一個路由器，形成一個被稱為非軍事區(qū)

的子網（如圖所示），這個子網還可能被用于信息服務器和其

他要求嚴格控制的系統,形成三道防火線。

〃/〃〃/〃//〃〃〃/〃〃〃//〃〃//〃〃//〃〃///〃〃//〃〃〃////〃/〃///〃〃//〃//〃〃//〃//〃///〃〃//〃////〃////

////〃//

////////7//////////////////〃〃

////////'〃〃〃〃/////////〃/〃/

////////7//////////////////////

〃仁?.，：///////////////////////

////////內部過濾////////應用V/////外部過濾〃/〃〃/

/////////////////////////〃//〃

□□7〃///〃路由器////////網關///////路由器////////

////////'〃/〃//////////////////

—(///////////////////////

///////////////////////////////

工作站工作站

口

工作站服務器

第七節(jié)

M^^roxir^erver^t^^

—

-*■主要內容

I

?代理服務器的工作過程

一

?代理服務器用作防火墻

671代理服務器

的工作過程

?代理服務器攔截網絡內部用戶發(fā)往Internet服務

器的請求。

?它把自己的地址作為源地址，對請求重新打包，

然后把請求發(fā)給目標Web服務器。

?當Web服務器返回一個響應時，這個響應將被發(fā)送

給代理服務器。

?代理服務器確認這個響應是正確的，然后，再轉

發(fā)給內部用戶。

672代理服務器用作防火墻

如圖所不：

□O

鬻I□

□

□□

雷□□□□□Internet

□□□□□

□□□□□

—□□□□□

□□□□□

□DD□□

□oo□□

□ProxyServer

工作站服務器

第八節(jié)

W±ndowBi<T^Web^^

主要內容

:?WindowsNT的安全體系結構

X?WindowsNT4.0本身的安全漏洞

二?WindowsNT登錄安全系統酉己置

?,WindowsNT資源訪問控制安全系統的設置

2?WindowsNT安全審核系統的配置

X?WindowsNT的其他安全配置策略

X?ns4.0的安全漏洞

:?IIS4.0的安全配置方法

6.8.1WindowsNT的

安全體系結構

1.登錄安全系統

包括用戶帳號檢測、密碼檢測、入網時

間限制、入網站點限制、非法者鎖定、

關閉帳號

2.資源訪問權限控制系統

3.WindowsNT安全審核系統

6.8.2WindowsNT4.0

本身的安全漏洞

1.密碼系統的漏洞

一

2.WindowsNT4.0在安裝后，每個盤都會被默認

為共享，這時候，任何用戶都可以用命令行的方

式連接服務器。

3.Administrator帳號漏洞。

4.WindowsNT4.0的139端口

5.安裝了HS來做Web服務器后，需要修改

6.ExchangeServer的系統

6.8.4WindowsNT資源

訪問控制安全系統的設置

1.WindowsNT的資源訪問控制機制

WindowsNT對資源訪問的控制分為

三個層次，這就是共享目錄訪問控

制，目錄訪問控制，文件訪問控制。

2.WindowsNT資源訪問權限的設置

6.8.5WindowsNT安全

審核系統的配置

1.設置安全審核規(guī)則

2.目錄和文件訪問的審核

3.安全審核系統的管理

6.8.6WindowsNT的

其他安全配置策略

(1)使用最新的ServicePack并時常打一些小補丁。

(2)硬盤必須格式化成NTFS格式。

(3)關閉NTFS的8.3格式文件識別

(4)將系統啟動的等待時間設置為0秒。

(5)將Web服務器設置為獨立的服務器。

(6)從NT服務器上移走其他系統。

(7)嚴格審核success/FailedLogin/logoff日志。

(8)隱藏上次登錄用戶名。

(9)將登錄對話框中的“shutdown”按鈕移走。

(10)設定用戶的口令長度，一般可以設到九位。

(11)禁止IP轉發(fā)。

(12)配置TCP/IP過濾。

6.8.7IIS4.0的安全漏洞

在ns4.0里面，在ASP后面加上81%或

一者是82%可以看到ASP的源程序，修改

目錄的執(zhí)行權限也不能排除這個BUG,

唯一可用的辦法就是安裝SP5o

在IIS4.0里面有個叫showcode.asp的程

序，可用于瀏覽ASP文件的源碼。

6.8.8IIS4.0的安全配置方法

(1)設置正確的Server訪問控制權限。

一(2)正確設置虛擬目錄。

(3)正確設置ns日志訪問權限。

(4)適當的設置IP拒絕列表，防止黑客攻擊服務器。

(5)設置并使用SecureSocketsLayero

(6)刪除不使用的組件。

(7)刪除虛擬目錄nSADMPWD。

(8)刪除一些不必要的ScicpMappingo

(9)禁止RDS支持。

(10)使用ns登錄日志。

(11)禁止"ParentPaths”。

(12)禁止遠程調用commandshello

(13)刪除或轉移/msadc/Samples/Selector/目錄下的showcode.asp。

SuccesswithMoneyandJoy

附落人生心語

?成功是一種觀念

?致富是一種義務

?快樂是一種權利

?每個人都有能力、有義

務、有權利辦到成功

致富快樂

附贈人生心語

成成功不是打敗別人

功成功不是超越別人

成功不是名、利、權的獲得

致擁有健康的身體

豐足的物質生活

富平衡的心理狀態(tài)

又才能擁有成功

快SuccesswithMoneyandJoy

戰(zhàn)勝自己

樂貢獻自己

扮演好自己的歷史角色

才能超越自己

融入成功里

附贈人生心語

知人者智，自知者明，勝人者力，自

勝者強。

——老子

附贈人生心語

?成功必須靠百分之九十八的辛勤血

汗，加上百分之二的天才靈感。

?世界上注定只有百分之二十的人會成

功。

附贈人生心語

成猶太諺語中有一句名言，

功會傷人的東西有三個：苦惱、爭吵、空的錢包。

其中最傷人的是——空的錢包。

致金錢本身并沒有善惡，

但沒有錢，

富卻的確是一件不幸的事情。

又所以，我們必須學習

快SuccesswithMoneyandJoy

重視財富，

樂管理財富，

更重要的是栗學會

正確地

使用自己的財富。

附贈人生心語

重財---重視自己的財富

孔子說：“不義而富且貴于我如浮云?！敝灰?/p>

是正正當當的錢，都應該被珍惜、被重視。

附贈人生心語

理財-----管理自己的財富

在貧苦和缺錢里掙扎的人，都有一個共同的特

點，就是不會理財，甚至不懂什么是理財。

附磨人生心語

增貝才----增加自己的財富

勞務收入

收入卜

財務收入

附霜人生心語

守貝才-----保護自己的財富

守財三原則：

?不賭錢

?不借錢

?不投資做生意

附贈人生心語

成

功春有百花秋有月，夏有涼風冬有雪

致若無閑事掛心頭，便是人間好時節(jié)

富

又Successw