企業(yè)網(wǎng)絡(luò)的構(gòu)建技術(shù)13章

1、第13章 網(wǎng) 絡(luò) 安 全隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢(shì)。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有的連接形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)容易受到黑客、惡意軟件等的種種攻擊，網(wǎng)絡(luò)信息安全成為一個(gè)令人頭痛的問題。因此，排除自然和人為等諸多因素造成的網(wǎng)絡(luò)脆弱性和潛在威脅，確保網(wǎng)絡(luò)信息的保密性、完整性和可用性，就成為網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)工程師要做的頭等大事。13.1 安全威脅來源雖然有許許多多的因素都會(huì)對(duì)網(wǎng)絡(luò)安全產(chǎn)生重大影響，但仔細(xì)分析后發(fā)現(xiàn)，其實(shí)所有的安全威脅大多來源于無意識(shí)的失誤、惡意的攻擊和軟件漏洞和后門3個(gè)方面。1. 無意的失誤由于無意的失誤而給網(wǎng)絡(luò)安全帶來

2、的損害絕不僅僅是網(wǎng)絡(luò)管理員，普通用戶在許多時(shí)候往往才是網(wǎng)絡(luò)安全的“殺手”。網(wǎng)絡(luò)管理員的失誤主要表現(xiàn)在對(duì)操作系統(tǒng)、應(yīng)用軟件或網(wǎng)絡(luò)設(shè)備的配置不當(dāng)而造成安全漏洞。如用戶權(quán)限過大、服務(wù)器打開的端口太多、未及時(shí)刪除已離職用戶、未進(jìn)行路由器IP安全設(shè)置等。網(wǎng)絡(luò)用戶甚至是低級(jí)用戶或臨時(shí)用戶的失誤，則往往是安全意識(shí)不強(qiáng)、口令選擇不慎、將自己的賬號(hào)隨意轉(zhuǎn)借他人，或者與別人共享資源等行為，而給網(wǎng)絡(luò)安全帶來了致命的威脅。2. 惡意的攻擊當(dāng)然，如果只有漏洞和失誤，而沒有人惡意地利用這些漏洞和失誤，那么網(wǎng)絡(luò)和數(shù)據(jù)同樣是安全的。因此，網(wǎng)絡(luò)所面臨的最大威脅就是惡意攻擊。惡意攻擊可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式

3、有選擇地破壞信息的有效性和完整性，或者造成網(wǎng)絡(luò)服務(wù)器癱瘓，停止提供各類服務(wù)。如UDP洪水、SYN洪水和電子郵件炸彈等，都是利用畸形的或過量的TCPIP包而將服務(wù)器摧垮。另一種是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取或破譯等活動(dòng)以獲得重要機(jī)密信息。如特洛伊木馬、緩沖區(qū)溢出等，都是通過一小段程序奪取服務(wù)器的控制權(quán)，實(shí)現(xiàn)對(duì)服務(wù)器的遠(yuǎn)程控制。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄露。3. 軟件漏洞和后門絕大部分操作系統(tǒng)或應(yīng)用軟件都有安全漏洞和后門，而這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。另外，程序員為了方便自己而設(shè)置的軟件“后門”，危害更大。雖然一般不為

4、外人所知，但一旦“后門”暴露，其后果可想而知。13.2 網(wǎng)絡(luò)安全策略 網(wǎng)絡(luò)安全策略主要包括兩大部分，即訪問控制策略和信息加密策略。訪問控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段，用以保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。信息加密策略主要是一種補(bǔ)救手段，也就是說，即使信息在傳輸過程中被截獲，也將由于不能解密而無法讀取，從而保證數(shù)據(jù)的安全。雖然各種安全策略必須相互配合才能真正起到保護(hù)作用，但訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。13.2.1 Windows 系統(tǒng)的安全性 Windows Server 2003是一種相對(duì)安全的操作系統(tǒng)，利用Wind

5、ows Server 2003全部或部分安全特性的優(yōu)點(diǎn)，可以明顯地減小危險(xiǎn)性。 1. 用戶賬戶 保護(hù)計(jì)算機(jī)和計(jì)算機(jī)內(nèi)存儲(chǔ)數(shù)據(jù)的安全措施之一，就是指定擁有不同訪問權(quán)限的用戶賬戶，通過限制賬戶的權(quán)限的方式實(shí)現(xiàn)對(duì)計(jì)算機(jī)資源訪問的控制。用戶名和密碼用于在登錄Windows Server 2003時(shí)進(jìn)行身份驗(yàn)證，登錄的身份決定了該用戶是否可以進(jìn)入該計(jì)算機(jī)，以及可以在該計(jì)算機(jī)上做些什么。因此，對(duì)用戶賬戶和管理員賬戶的嚴(yán)格審批、發(fā)放和控制，再輔之以嚴(yán)格的賬戶策略，是確保服務(wù)器安全的重要手段。(1) 匿名訪問Internet Guest賬戶是在IIS安裝過程中自動(dòng)創(chuàng)建的。默認(rèn)狀態(tài)下，所有的IIS用戶都使用該賬

6、戶實(shí)現(xiàn)對(duì)Web或FTP網(wǎng)站的匿名訪問。即所有用戶在通過匿名方式訪問Web或FTP網(wǎng)站時(shí)，都被映射為Internet Guest賬戶，并擁有該賬戶所擁有的所有權(quán)限，和利用該賬戶從本地直接登錄到服務(wù)器時(shí)一樣。如果只允許用Internet Guest賬戶遠(yuǎn)程訪問服務(wù)器，則遠(yuǎn)程用戶不必提供自己的用戶名和密碼，但他們只能享有分配給Internet Guest賬戶的權(quán)限。這樣做可以防止任何人以騙得或非法獲得的密碼來訪問敏感信息。以上策略可以建立最為安全的系統(tǒng)。需要注意的是，由于Internet Guest賬戶添加在Guest用戶組中，Guest組的設(shè)置同樣適用于Internet Guess賬戶，應(yīng)當(dāng)重新查

7、看Guest組的設(shè)置，以確定它們是否適用于Internet Guest賬戶。(2) 驗(yàn)證方式 基本驗(yàn)證和Windows驗(yàn)證要求用戶必須提供一個(gè)合法的Windows Server 2003用戶名和密碼才能訪問服務(wù)器，否則將拒絕對(duì)服務(wù)器的訪問。兩者的區(qū)別在于，Windows驗(yàn)證將用戶名和密碼進(jìn)行加密后才進(jìn)行傳輸，從而保證了用戶名和密碼在Internet傳輸中的安全，保證用戶名和密碼不致在傳輸過程中被惡意用戶截獲，從而冒名頂替該用戶登錄服務(wù)器竊取敏感資料或?qū)Ψ?wù)器進(jìn)行破壞。基本驗(yàn)證方法則不經(jīng)加密就將用戶名和密碼經(jīng)由Internet進(jìn)行傳輸，因此，用戶名和密碼在傳輸過程中極易被截獲，從而對(duì)服務(wù)器及其中

8、存儲(chǔ)的數(shù)據(jù)造成難以估量的損失。驗(yàn)證方法只是利用unencode對(duì)資源信息進(jìn)行了編碼，可以被任何訪問網(wǎng)絡(luò)的人輕易地解開，甚至對(duì)于那些只能訪問傳送該數(shù)據(jù)包的某一因特網(wǎng)網(wǎng)段的人來說也是如此。因此，微軟公司只建議使用Windows Server 2003的質(zhì)詢應(yīng)答(ChallengeResponse)這一密碼驗(yàn)證方式。需要注意的是，基本驗(yàn)證方法在發(fā)送用戶名和密碼之前并不將它們加密。而只有通過加密，才能將原始信息混雜在一起，使得除合法接收人之外的使用者很難恢復(fù)原始信息。(3) 密碼設(shè)置 非法訪問系統(tǒng)的最簡(jiǎn)單方法莫過于使用竊取的或者很容易猜到的密碼。因此，要確保所有系統(tǒng)密碼，特別是那些具有管理權(quán)限的密碼不

9、被猜破，還應(yīng)該設(shè)置合適的賬戶管理策略來進(jìn)一步保證系統(tǒng)的安全?？梢酝ㄟ^User Manager工具來管理用戶賬戶。 對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問的第一道防線。用戶在注冊(cè)網(wǎng)絡(luò)時(shí)，需輸入用戶名和口令，服務(wù)器將驗(yàn)證其合法性。對(duì)于用戶名與口令，口令是問題的關(guān)鍵所在。據(jù)統(tǒng)計(jì)，大約80的安全隱患是由于口令設(shè)置不當(dāng)引起的。因此，密碼的設(shè)置無疑是十分講求技巧的。眾所周知，如今的一些黑客軟件如Email Crk、天行刺客等都是掛上密碼字典，然后開足馬力一路窮舉，因此，如若密碼設(shè)置不當(dāng)或太大眾化、通俗化，被解破的可能性也就很大。(4) 賬戶管理策略 除了設(shè)置用戶密碼，還可以使用User Manag

10、er工具來管理用戶賬戶其他方面。例如，可以用該工具設(shè)定一個(gè)用戶在被系統(tǒng)拒絕之前，以及當(dāng)密碼賬戶過期時(shí)，允許多少次失敗的登錄嘗試；通過設(shè)定密碼過期日期，可以強(qiáng)迫用戶定期更改密碼；限制允許用戶登錄的時(shí)間等。 通過建立嚴(yán)格的賬戶管理策略并認(rèn)真遵照?qǐng)?zhí)行，特別是對(duì)于那些有管理訪問的賬戶，可以有效地挫敗肆意和無意識(shí)的密碼攻擊。(5) 管理員組成員 盡量減少管理員組成員的數(shù)量，也是最大限度保證網(wǎng)絡(luò)安全的重要措施。從某種意義上來講，限制了管理員組的成員，也就限制了有密碼選擇的用戶數(shù)目，從而減少易被識(shí)破的密碼被作為系統(tǒng)密碼的機(jī)會(huì)，避免使系統(tǒng)處于危險(xiǎn)的境地。 另外，也可以重新命名默認(rèn)的管理員賬戶，將默認(rèn)的管理員賬

11、戶“Administrator”屏蔽起來，而啟用其他的賬戶作為管理員賬戶，從而使得入侵者無法得知真正的管理員賬戶，更無從嘗試并猜出該賬戶的密碼。 除此之外，及時(shí)并且經(jīng)常清理那些被廢棄的賬戶(例如員工被辭退或自動(dòng)離職)，也是保障網(wǎng)絡(luò)安全的重要措施。2. NTFS權(quán)限控制 Windows 2000/2003所特有的NTFS文件系統(tǒng)，為數(shù)據(jù)文件提供了安全和訪問控制，可限制特定用戶和服務(wù)對(duì)某些文件夾、某些文件或某些屬性的訪問。通過訪問控制列表(ACL，Access Control Lists)，使得NTFS文件系統(tǒng)在擁有了安全性的同時(shí)，更具有了相當(dāng)程度的靈活性。(1) 權(quán)限控制 NTFS大大增強(qiáng)了系統(tǒng)

12、的安全性，因?yàn)橛盟梢钥刂颇男┯脩艉陀脩艚M被許可訪問哪些文件和文件夾，可以進(jìn)行什么樣的訪問等。例如，可以規(guī)定某些用戶對(duì)某個(gè)特定文件夾只能進(jìn)行Read Only(只讀)訪問，而其他用戶對(duì)同一個(gè)文件夾可以進(jìn)行Read和Write(讀或?qū)?訪問。利用NTFS也可以控制Internet Guest賬戶能否對(duì)某些特定文件或文件夾進(jìn)行訪問，或者是否需要經(jīng)過身份驗(yàn)證的賬戶。(2) 目錄級(jí)安全控制 網(wǎng)絡(luò)管理員可以控制用戶對(duì)目錄、文件、設(shè)備的訪問。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和目錄有效，用戶還可進(jìn)一步指定對(duì)目錄中子目錄和文件的權(quán)限。對(duì)目錄和文件的訪問權(quán)限一般有8種：系統(tǒng)管理員權(quán)限(Supervisor)、

13、讀權(quán)限(Read)、寫權(quán)限(Write)、創(chuàng)建權(quán)限(Create)、刪除權(quán)限(Erase)、修改權(quán)限(Modify)、文件查找權(quán)限(File Scan)和存取控制權(quán)限(Access Control)。網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限，并通過訪問權(quán)限控制用戶對(duì)服務(wù)器的訪問。8種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時(shí)又能有效地控制用戶對(duì)服務(wù)器資源的訪問，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。(3) 屬性安全控制 當(dāng)用戶被允許訪問文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員還應(yīng)當(dāng)為這些文件、目錄和設(shè)備指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安

14、全在權(quán)限安全的基礎(chǔ)上提供了更進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。屬性往往能控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫數(shù)據(jù)、復(fù)制一個(gè)文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享和系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件，防止用戶對(duì)目錄和文件的刪除、修改和讀取等。 在設(shè)定了NTFS權(quán)限之后，就必須對(duì)Web服務(wù)器的驗(yàn)證機(jī)制進(jìn)行配置，在授予用戶對(duì)限制文件進(jìn)行訪問之前要接受驗(yàn)證?？梢詫⒎?wù)器的驗(yàn)證特性設(shè)置為要求用合法的Windows 2000/2003賬戶用戶名和密碼登錄。步驟 另外，還應(yīng)該注意到Everyone這個(gè)用戶組包括了所有的用戶和用戶組，也包括Interne

15、t Guest賬戶和Guest組。在默認(rèn)狀態(tài)下，Everyone組有對(duì)NTFS驅(qū)動(dòng)器上所建立的文件的完全控制權(quán)。考慮到服務(wù)器安全，在設(shè)置Internet或Intranet服務(wù)器時(shí)，應(yīng)刪除Everyone組對(duì)全部資源的控制權(quán)限。如果需要，再給予相應(yīng)的權(quán)限。此外，有關(guān)網(wǎng)絡(luò)共享的所有不必要的權(quán)限都應(yīng)該刪掉。操作步驟如下。 步驟1) 在資源管理器中，用鼠標(biāo)右擊欲設(shè)置共享權(quán)限的文件夾，在顯示的快捷菜單中選擇“共享”命令，顯示如圖13-1所示的屬性對(duì)話框。(2) 選擇“共享該文件夾”。如果共享的是某個(gè)磁盤，則應(yīng)先單擊“新建共享”按鈕，顯示如圖13-2所示的“新建共享”對(duì)話框。在“共享名”文本框中輸入該磁盤

16、的共享名，而后單擊“確定”按鈕。(3) 單擊“權(quán)限”按鈕，顯示如圖13-3所示的對(duì)話框。(4) 默認(rèn)狀態(tài)下，所有用戶都對(duì)該共享文件夾享有讀取和寫入的權(quán)限，并可完全控制該文件夾。若欲指定特定用戶對(duì)該文件夾的訪問權(quán)限，可先根據(jù)需要取消“Everyone”對(duì)該共享文件夾的某種或所有權(quán)限。(5) 單擊“添加”按鈕，顯示如圖13-4所示“選擇用戶或組”對(duì)話框。添加擁有對(duì)該文件夾享有訪問權(quán)限的用戶，并指定其訪問權(quán)限。圖13-1 設(shè)置磁盤的共享屬性圖13-2 配置共享名圖13-3 設(shè)置共享權(quán)限 圖13-4 “選擇用戶或組”對(duì)話框步驟 (6) 在名稱列表中選中欲授予權(quán)限的用戶組和用戶名，然后單擊“添加”按鈕。

17、重復(fù)操作，可添加多個(gè)用戶或用戶組。單擊“確定”按鈕，關(guān)閉該對(duì)話框。 (7) 在名稱列表中選中欲設(shè)置權(quán)限的用戶或用戶組，然后在下方的權(quán)限列表中指定賦予該用戶或用戶組的權(quán)限。重復(fù)操作，為名稱列表中所有的用戶和用戶組分別設(shè)定訪問權(quán)限。 (8) 單擊“確定”按鈕。 需要注意的是，如果NTFS的權(quán)限設(shè)置與IIS權(quán)限設(shè)置發(fā)生沖突，以最嚴(yán)格的設(shè)置為準(zhǔn)。例如，NTFS的權(quán)限設(shè)置為只讀，而IIS權(quán)限設(shè)置為完全控制，那么用戶的訪問權(quán)限將只能是“只讀”。為了使服務(wù)器盡可能地安全，應(yīng)該重新檢查所有IIS文件夾的安全設(shè)置并進(jìn)行適當(dāng)?shù)恼{(diào)整。3. Web訪問權(quán)限 利用Web訪問權(quán)限可以對(duì)用戶如何進(jìn)入Web站點(diǎn)以及如何與We

18、b站點(diǎn)交互進(jìn)行控制，可以設(shè)定正在訪問Web站點(diǎn)的用戶是否可以查看某些特殊網(wǎng)頁，是否可以上載信息，或者是否可以在站點(diǎn)上運(yùn)行腳本文件。與NTFS權(quán)限不同的是，Web服務(wù)器權(quán)限應(yīng)用于所有訪問Web站點(diǎn)的用戶。這一差別非常重要，因?yàn)镹TFS權(quán)限只適用于使用Windows Server 2000/2003合法賬戶的某個(gè)特定用戶或用戶組。 例如，禁用一個(gè)特定文件夾的Web服務(wù)器讀權(quán)限，就意味著所有用戶都不能查看該文件，而無論這些用戶賬戶和NTFS權(quán)限如何。同樣，“允許讀”權(quán)限將允許所有用戶查看該文件，除非有NTFS的“拒絕訪問”權(quán)限設(shè)置。 如果同時(shí)設(shè)置了Web服務(wù)器權(quán)限和NTFS權(quán)限，那么拒絕訪問權(quán)限的優(yōu)

19、先級(jí)將明顯高于“允許訪問”權(quán)限。4. 其他Windows Server 2003安全性措施可以通過限制網(wǎng)絡(luò)適配卡所使用的協(xié)議數(shù)量來提高系統(tǒng)的安全性。減少系統(tǒng)上運(yùn)行服務(wù)程序數(shù)目可以降低管理失誤的概率。利用控制面板中的服務(wù)程序可以禁用那些Internet服務(wù)器所不需要的服務(wù)。1) 刪除不需要的協(xié)議刪除所有與Internet或Intranet服務(wù)無關(guān)的網(wǎng)絡(luò)協(xié)議，通常情況下，只保留TCPIP即可。操作步驟如下。(1) 單擊“開始”按鈕，然后將鼠標(biāo)指向“設(shè)置”，并選擇“網(wǎng)絡(luò)和撥號(hào)連接”命令，顯示如圖13-5所示“網(wǎng)絡(luò)和撥號(hào)連接”窗口。(2) 右擊“本地連接”圖標(biāo)，在顯示的快捷菜單中選擇“屬性”命令，顯示如圖