網(wǎng)絡(luò)安全防護(hù)

1、2020年國(guó)家2020年9月14日至20日網(wǎng)絡(luò)安全防護(hù) 隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的不斷普及，網(wǎng)絡(luò)資源和網(wǎng)絡(luò)應(yīng)用服務(wù)日益豐富，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為網(wǎng)絡(luò)建設(shè)和發(fā)展中的熱門話題。在計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)中，必須采取相應(yīng)措施，保證網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷；并且應(yīng)保護(hù)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，使其不因偶然的或者惡意的原因而遭受到破壞、更改、泄露。本項(xiàng)目的主要目標(biāo)是了解常用的網(wǎng)絡(luò)安全技術(shù)；熟悉常見(jiàn)網(wǎng)絡(luò)掃描工具；理解防火墻和防病毒軟件的作用并能夠正確安裝使用。本項(xiàng)目主要內(nèi)容任務(wù)8.1了解常用網(wǎng)絡(luò)安全技術(shù) 任務(wù)8.2使用網(wǎng)絡(luò)掃描工具 任務(wù)8.3認(rèn)識(shí)和設(shè)置防火墻 任務(wù)8.4安裝和使用防病毒軟件 任務(wù)8

2、.1了解常用網(wǎng)絡(luò)安全技術(shù) 【任務(wù)目的】（1）了解計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)；（2）了解常見(jiàn)的網(wǎng)絡(luò)攻擊手段；（3）理解計(jì)算機(jī)網(wǎng)絡(luò)采用的主要安全措施?！竟ぷ鳝h(huán)境與條件】（1）校園網(wǎng)工程案例及相關(guān)文檔；（2）企業(yè)網(wǎng)工程案例及相關(guān)文檔；（3）能夠接入Internet的PC。8.1.1計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容 計(jì)算機(jī)網(wǎng)絡(luò)的安全性問(wèn)題實(shí)際上包括兩方面的內(nèi)容：一是網(wǎng)絡(luò)的系統(tǒng)安全，二是網(wǎng)絡(luò)的信息安全。由于計(jì)算機(jī)網(wǎng)絡(luò)最重要的資源是它向用戶提供的服務(wù)及所擁有的信息，因而計(jì)算機(jī)網(wǎng)絡(luò)的安全性可以定義為：保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性。前者要求網(wǎng)絡(luò)向所有用戶有選擇地隨時(shí)提供各自應(yīng)得到的網(wǎng)絡(luò)服務(wù)，后者則要求網(wǎng)絡(luò)保證信息

3、資源的保密性、完整性、可用性和準(zhǔn)確性。 8.1.2常見(jiàn)的網(wǎng)絡(luò)攻擊手段 目前網(wǎng)絡(luò)攻擊通常采用以下手段：1. 掃描攻擊掃描使網(wǎng)絡(luò)攻擊的第一步，主要是利用專門工具對(duì)目標(biāo)系統(tǒng)進(jìn)行掃描，以獲得操作系統(tǒng)種類或版本、IP地址、域名或主機(jī)名等有關(guān)信息，然后分析目標(biāo)系統(tǒng)可能存在的漏洞，找到開放端口后進(jìn)行入侵。掃描應(yīng)包括主機(jī)掃描和端口掃描，常用的掃描方法有手工掃描和工具掃描。2. 安全漏洞攻擊主要利用操作系統(tǒng)或應(yīng)用軟件自身具有的Bug進(jìn)行攻擊。例如可以利用目標(biāo)操作系統(tǒng)收到了超過(guò)它所能接收到的信息量時(shí)產(chǎn)生的緩沖區(qū)溢出進(jìn)行攻擊等。8.1.2常見(jiàn)的網(wǎng)絡(luò)攻擊手段 3. 口令入侵通常要攻擊目標(biāo)時(shí)，必須破譯用戶的口令，只要攻

4、擊者能猜測(cè)用戶口令，就能獲得機(jī)器訪問(wèn)權(quán)。 4. 木馬程序木馬是一個(gè)通過(guò)端口進(jìn)行通信的網(wǎng)絡(luò)客戶機(jī)/服務(wù)器程序，可以通過(guò)某種方式使木馬程序的客戶端駐留在目標(biāo)計(jì)算機(jī)里，可以隨計(jì)算機(jī)啟動(dòng)而啟動(dòng)，從而實(shí)現(xiàn)對(duì)目標(biāo)計(jì)算機(jī)遠(yuǎn)程操作。5. DoS攻擊DoS（Denial of Service，拒絕服務(wù)攻擊）的主要目標(biāo)是使目標(biāo)主機(jī)耗盡系統(tǒng)資源，從而阻止授權(quán)用戶的正常訪問(wèn)，最終導(dǎo)致目標(biāo)主機(jī)死機(jī)。 8.1.3常用網(wǎng)絡(luò)安全措施 1. 訪問(wèn)控制2. 數(shù)據(jù)加密3. 數(shù)字簽名4. 數(shù)據(jù)備份5. 病毒防御6. 系統(tǒng)漏洞檢測(cè)與安全評(píng)估7. 部署防火墻8. 部署IDS9. 部署IPS10. 部署VPN11. 部署UTM【任務(wù)實(shí)施】

5、 實(shí)施1分析校園網(wǎng)采用的網(wǎng)絡(luò)安全技術(shù)實(shí)施2分析其他計(jì)算機(jī)網(wǎng)絡(luò)采用的網(wǎng)絡(luò)安全技術(shù)任務(wù)8.2使用網(wǎng)絡(luò)掃描工具 【任務(wù)目的】（1）了解網(wǎng)絡(luò)安全掃描技術(shù)的基本知識(shí)；（2）了解端口掃描技術(shù)的基本知識(shí)；（3）熟悉常用網(wǎng)絡(luò)掃描工具SuperScan的使用方法?！竟ぷ鳝h(huán)境與條件】（1）安裝好Windows Server 2003或其他Windows操作系統(tǒng)的計(jì)算機(jī)；（2）能夠正常運(yùn)行的網(wǎng)絡(luò)環(huán)境（也可使用VMware等虛擬機(jī)軟件）；（3）網(wǎng)絡(luò)掃描工具SuperScan。8.2.1網(wǎng)絡(luò)安全掃描技術(shù) 網(wǎng)絡(luò)安全掃描技術(shù)是一種基于Internet遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)或本地主機(jī)安全性脆弱點(diǎn)的技術(shù)。通過(guò)網(wǎng)絡(luò)安全掃描，管理員能夠

6、發(fā)現(xiàn)所維護(hù)服務(wù)器的端口分配情況、服務(wù)開放情況、相關(guān)服務(wù)軟件的版本和這些服務(wù)及軟件存在的安全漏洞。網(wǎng)絡(luò)安全掃描技術(shù)采用積極的、非破壞性的辦法來(lái)檢驗(yàn)系統(tǒng)是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對(duì)系統(tǒng)進(jìn)行攻擊，并對(duì)結(jié)果進(jìn)行分析，這種技術(shù)通常被用來(lái)進(jìn)行模擬攻擊實(shí)驗(yàn)和安全審計(jì)。8.2.1網(wǎng)絡(luò)安全掃描技術(shù) 1. 網(wǎng)絡(luò)安全掃描的步驟第1階段：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)。第2階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等。第3階段：根據(jù)搜集到的信息判斷或者進(jìn)一步測(cè)試系統(tǒng)是否存在安全漏洞。2. 網(wǎng)絡(luò)安全掃描技術(shù)的分類包括有Ping掃射（Ping Sweep）、操作系統(tǒng)探測(cè)（O

7、perating System Identification）、訪問(wèn)控制規(guī)則探測(cè)（Firewalking）、端口掃描（Port Scan）以及漏洞掃描（Vulnerability Scan）等。 8.2.2端口掃描技術(shù) 1. 端口掃描技術(shù)的原理端口掃描技術(shù)是向目標(biāo)主機(jī)的各服務(wù)端口發(fā)送探測(cè)數(shù)據(jù)包，通過(guò)對(duì)目標(biāo)主機(jī)響應(yīng)的分析來(lái)判斷相應(yīng)服務(wù)端口的狀態(tài)，從而得知目標(biāo)主機(jī)當(dāng)前提供的服務(wù)或其他信息。2. 端口掃描技術(shù)的類型（1）全連接掃描全連接掃描是TCP端口掃描的基礎(chǔ)，常用的全連接掃描有TCP connect（）掃描和TCP反向ident掃描等。（2）半連接（SYN）掃描若端口掃描沒(méi)有完成完整的TCP連接

8、，在掃描主機(jī)和目標(biāo)主機(jī)指定端口建立連接時(shí)只完成了前兩次握手，在第三步時(shí)，掃描主機(jī)中斷了本次連接。 【任務(wù)實(shí)施】 實(shí)施1利用SuperScan進(jìn)行網(wǎng)絡(luò)掃描實(shí)施2對(duì)SuperScan相關(guān)選項(xiàng)進(jìn)行設(shè)置任務(wù)8.3認(rèn)識(shí)和設(shè)置防火墻 【任務(wù)目的】（1）了解防火墻的功能和類型；（2）理解防火墻組網(wǎng)的常見(jiàn)形式；（3）掌握Windows系統(tǒng)內(nèi)置防火墻的啟動(dòng)和設(shè)置方法?！竟ぷ鳝h(huán)境與條件】（1）安裝好Windows Server 2003或其他Windows操作系統(tǒng)的計(jì)算機(jī)；（2）能夠正常運(yùn)行的網(wǎng)絡(luò)環(huán)境（也可使用VMware等虛擬機(jī)軟件）；（3）校園網(wǎng)或其他網(wǎng)絡(luò)工程案例及相關(guān)文檔。8.3.1防火墻的功能 防火墻作為

9、一種網(wǎng)絡(luò)安全技術(shù)，最初被定義為一個(gè)實(shí)施某些安全策略保護(hù)一個(gè)安全區(qū)域（局域網(wǎng)），用以防止來(lái)自一個(gè)風(fēng)險(xiǎn)區(qū)域（Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）的攻擊的裝置。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，人們逐漸意識(shí)到網(wǎng)絡(luò)風(fēng)險(xiǎn)不僅來(lái)自與網(wǎng)絡(luò)外部還有可能來(lái)自于網(wǎng)絡(luò)內(nèi)部，并且在技術(shù)上也有可能實(shí)施更多的解決方案，所以現(xiàn)在通常將防火墻定義為“在兩個(gè)網(wǎng)絡(luò)之間實(shí)施安全策略要求的訪問(wèn)控制系統(tǒng)”。8.3.2防火墻的實(shí)現(xiàn)技術(shù) 1. 包過(guò)濾型防火墻數(shù)據(jù)包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，稱為訪問(wèn)控制表。通過(guò)檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源地址、目的地址、所用端口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合來(lái)確定是否允

10、許該數(shù)據(jù)包通過(guò)。如果檢查數(shù)據(jù)包所有的條件都符合規(guī)則，則允許進(jìn)行路由；如果檢查到數(shù)據(jù)包的條件不符合規(guī)則，則阻止通過(guò)并將其丟棄。 8.3.2防火墻的實(shí)現(xiàn)技術(shù) 2. 應(yīng)用層代理防火墻應(yīng)用層代理防火墻技術(shù)是在網(wǎng)絡(luò)的應(yīng)用層實(shí)現(xiàn)協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯，并在過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、記錄和統(tǒng)計(jì)，形成報(bào)告。這種防火墻能很容易運(yùn)用適當(dāng)?shù)牟呗詤^(qū)分一些應(yīng)用程序命令，像HTTP中的“put”和“get”等。應(yīng)用層代理防火墻打破了傳統(tǒng)的客戶機(jī)/服務(wù)器模式，每個(gè)客戶機(jī)/服務(wù)器的通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到服務(wù)器。這樣就將內(nèi)部和外部系

11、統(tǒng)隔離開來(lái)，從系統(tǒng)外部對(duì)防火墻內(nèi)部系統(tǒng)進(jìn)行探測(cè)將變得非常困難。8.3.3防火墻的組網(wǎng)方式 1. 邊緣防火墻結(jié)構(gòu)邊緣防火墻結(jié)構(gòu)是以防火墻為網(wǎng)絡(luò)邊緣，分別連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（Internet）的網(wǎng)絡(luò)結(jié)構(gòu)。當(dāng)選擇該結(jié)構(gòu)時(shí)，內(nèi)外網(wǎng)絡(luò)之間不可直接通信，但都可以和防火墻進(jìn)行通信，可以通過(guò)防火墻對(duì)內(nèi)外網(wǎng)絡(luò)之間的通信進(jìn)行限制，以保證網(wǎng)絡(luò)安全。 2. 三向外圍網(wǎng)絡(luò)結(jié)構(gòu)在該結(jié)構(gòu)中，防火墻有三個(gè)網(wǎng)絡(luò)接口，分別連接到內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和外圍網(wǎng)絡(luò)（也稱DMZ區(qū)、網(wǎng)絡(luò)隔離區(qū)或被篩選的子網(wǎng)）。緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，可以放置一些必須公開的服務(wù)器設(shè)施，通過(guò)外圍網(wǎng)絡(luò)，可以更加有效地保護(hù)內(nèi)部網(wǎng)絡(luò)。

12、 8.3.3防火墻的組網(wǎng)方式 3. 前端防火墻和后端防火墻結(jié)構(gòu)在這種結(jié)構(gòu)中，前端防火墻負(fù)責(zé)連接外圍網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，后端防火墻負(fù)責(zé)連接外圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)。當(dāng)選擇該結(jié)構(gòu)時(shí)，如果攻擊者試圖攻擊內(nèi)部網(wǎng)絡(luò)，必須破壞兩個(gè)防火墻，必須重新配置連接三個(gè)網(wǎng)的路由，難度很大。因此這種結(jié)構(gòu)具有很好的安全性，但成本較高。8.3.4Windows防火墻 Windows防火墻通過(guò)阻止未授權(quán)用戶通過(guò)網(wǎng)絡(luò)或Internet訪問(wèn)來(lái)幫助和保護(hù)計(jì)算機(jī)。當(dāng) Internet 或網(wǎng)絡(luò)上的某人嘗試連接到本地計(jì)算機(jī)時(shí)，這種嘗試被稱為“未經(jīng)請(qǐng)求的請(qǐng)求”。當(dāng)本地計(jì)算機(jī)收到未經(jīng)請(qǐng)求的請(qǐng)求時(shí)，Windows防火墻會(huì)阻止該連接。如果用戶所運(yùn)行的程序

13、（如即時(shí)消息程序或多人網(wǎng)絡(luò)游戲）需要從Internet或網(wǎng)絡(luò)接收信息，那么防火墻會(huì)詢問(wèn)用戶阻止連接還是取消阻止（允許）連接。如果用戶選擇取消阻止連接，Windows防火墻將創(chuàng)建一個(gè)“例外”，這樣當(dāng)該程序日后需要接收信息時(shí)，防火墻將允許該連接。 【任務(wù)實(shí)施】 實(shí)施1啟用Windows防火墻實(shí)施2設(shè)置Windows防火墻允許ping命令運(yùn)行實(shí)施3設(shè)置Windows防火墻允許應(yīng)用程序運(yùn)行實(shí)施4認(rèn)識(shí)企業(yè)級(jí)網(wǎng)絡(luò)防火墻任務(wù)8.4安裝和使用防病毒軟件 【任務(wù)目的】（1）了解計(jì)算機(jī)病毒的傳播方式和防御方法；（2）理解局域網(wǎng)中常用的防病毒方案；（3）掌握防病毒軟件的安裝方法；（4）掌握防病毒軟件的配置方法?！竟?/p>

14、作環(huán)境與條件】（1）安裝好Windows Server 2003或其他Windows操作系統(tǒng)的計(jì)算機(jī)；（2）能夠正常運(yùn)行的網(wǎng)絡(luò)環(huán)境（也可使用VMware等虛擬機(jī)軟件）；（3）防病毒軟件（本次實(shí)訓(xùn)中以Norton AntiVirus Online為例，也可以選擇其他軟件）；（4）校園網(wǎng)或其他網(wǎng)絡(luò)工程案例及相關(guān)文檔。8.4.1計(jì)算機(jī)病毒及其傳播方式 一般認(rèn)為，計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。由此可知，計(jì)算機(jī)病毒與生物病毒一樣具有傳染性和破壞性；但是計(jì)算機(jī)病毒不是天然存在的，而是一段比較精巧嚴(yán)謹(jǐn)?shù)拇a，

15、按照嚴(yán)格的秩序組織起來(lái)，與所在的系統(tǒng)或網(wǎng)絡(luò)環(huán)境相適應(yīng)并與之配合，是人為特制的具有一定長(zhǎng)度的程序。 8.4.1計(jì)算機(jī)病毒及其傳播方式 計(jì)算機(jī)病毒的傳播主要有以下幾種方式：通過(guò)不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播，即利用專用的ASIC芯片和硬盤進(jìn)行傳播。這種病毒雖然很少，但破壞力極強(qiáng)，目前還沒(méi)有很好的檢測(cè)手段。通過(guò)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播，即利用U盤、移動(dòng)硬盤、軟盤等進(jìn)行傳播。通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播。隨著Internet的發(fā)展，計(jì)算機(jī)病毒也走上了高速傳播之路，通過(guò)網(wǎng)絡(luò)傳播已經(jīng)成為計(jì)算機(jī)病毒傳播的第一途徑。計(jì)算機(jī)病毒通過(guò)網(wǎng)絡(luò)傳播的方式主要有通過(guò)共享資源傳播、通過(guò)網(wǎng)頁(yè)惡意腳本傳播、通過(guò)電子郵件傳播等。通過(guò)點(diǎn)對(duì)

16、點(diǎn)通信系統(tǒng)和無(wú)線通道傳播。8.4.2計(jì)算機(jī)病毒的防御 1. 防御計(jì)算機(jī)病毒的原則 2. 計(jì)算機(jī)病毒的解決方法對(duì)于普通用戶來(lái)說(shuō)，一旦發(fā)現(xiàn)計(jì)算機(jī)中毒，應(yīng)主要依靠防病毒軟件對(duì)病毒進(jìn)行查殺。查殺時(shí)應(yīng)注意以下問(wèn)題：在查殺病毒之前，應(yīng)備份重要的數(shù)據(jù)文件。啟動(dòng)防病毒軟件，應(yīng)對(duì)系統(tǒng)內(nèi)存及磁盤系統(tǒng)進(jìn)行掃描。發(fā)現(xiàn)病毒后，一般應(yīng)使用防病毒軟件清除文件中的病毒，如果可執(zhí)行文件中的病毒不能被清除，一般應(yīng)將該文件刪除，然后重新安裝相應(yīng)的應(yīng)用程序。某些病毒在Windows系統(tǒng)正常模式下可能無(wú)法完全清除，此時(shí)可能需要通過(guò)重新啟動(dòng)計(jì)算機(jī)、進(jìn)入安全模式或使用急救盤等方式運(yùn)行防病毒軟件進(jìn)行清除。8.4.3局域網(wǎng)防病毒方案 1. 分

17、布式防病毒方案 在這種方案中，局域網(wǎng)的服務(wù)器和客戶機(jī)分別安裝單機(jī)版的防病毒軟件，這些防病毒軟件之間沒(méi)有任何聯(lián)系，甚至可能是不同廠家的產(chǎn)品。分布式防病毒方案的優(yōu)點(diǎn)是用戶可以對(duì)客戶機(jī)進(jìn)行分布式管理，客戶機(jī)之間互不影響，而且單機(jī)版的防病毒軟件價(jià)格比較便宜。其主要缺點(diǎn)是沒(méi)有充分利用網(wǎng)絡(luò)，客戶機(jī)和服務(wù)器在病毒防護(hù)上各自為戰(zhàn)，防病毒軟件之間無(wú)法共享病毒庫(kù)。每當(dāng)病毒庫(kù)升級(jí)時(shí)，每個(gè)服務(wù)器和客戶機(jī)都需要不挺的下載新的病毒庫(kù)，對(duì)于有上百臺(tái)或更多計(jì)算機(jī)的局域網(wǎng)來(lái)說(shuō)，這一方面會(huì)增加局域網(wǎng)對(duì)Internet的數(shù)據(jù)流量，另一方面也會(huì)增加網(wǎng)絡(luò)管理的難度。8.4.3局域網(wǎng)防病毒方案 2. 集中式防病毒方案 集中式防病毒方案通常由防病毒軟件的服務(wù)器端和工作站端組成，通常可以利用網(wǎng)絡(luò)中的任意一臺(tái)主機(jī)構(gòu)建防病毒服務(wù)器，其他計(jì)算機(jī)安裝防病毒軟件的工作站端并接受防病毒服務(wù)器的管理。 在集中式防病毒方案中，防病毒服務(wù)器自動(dòng)連接Internet的防病毒軟件升級(jí)服務(wù)器下載最新的病毒庫(kù)升級(jí)文件，防病毒工作站自動(dòng)從局域網(wǎng)的防病毒服務(wù)器上下載并更新自己的病毒庫(kù)文件，因此不需要對(duì)