第11章網(wǎng)絡(luò)安全

第11章《局域網(wǎng)組建與管理》電子教案

網(wǎng)絡(luò)安全學習目標理解網(wǎng)絡(luò)安全的概念及目標理解防火墻的概念、功能及其類型理解IPSec的工作原理及策略理解VPN的概念、功能和特點，了解VPN的關(guān)鍵技術(shù)及實現(xiàn)方式了解網(wǎng)絡(luò)存在的漏洞、常受的攻擊以及保證網(wǎng)絡(luò)安全的主要技術(shù)了解病毒及其防治措施以及如何選擇網(wǎng)絡(luò)防病毒系統(tǒng)掌握IPSec策略的配置及掌握VPN網(wǎng)絡(luò)的組建方法11.1網(wǎng)絡(luò)安全概述11.1.1網(wǎng)絡(luò)安全威脅類型11.1.2網(wǎng)絡(luò)安全漏洞11.1.3網(wǎng)絡(luò)攻擊11.1.4基本安全技術(shù)網(wǎng)絡(luò)安全本質(zhì)上就是網(wǎng)絡(luò)上的信息安全，指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不會由于偶然或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)能連續(xù)、可靠和正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全的基本目標是實現(xiàn)信息的機密性、完整性、可用性和合法性。從廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的機密性、完整性、可用性和合法性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。如何更加有效地保護重要的信息數(shù)據(jù)和提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計算機網(wǎng)絡(luò)應(yīng)用必須考慮和解決的一個重要問題。11.1網(wǎng)絡(luò)安全概述信息泄露或者丟失破壞數(shù)據(jù)完整性拒絕服務(wù)攻擊非授權(quán)訪問利用網(wǎng)絡(luò)傳播病毒11.1.1網(wǎng)絡(luò)安全威脅類型一個較為通俗的網(wǎng)絡(luò)安全漏洞定義可描述性為：存在于計算機網(wǎng)絡(luò)系統(tǒng)中的、可能對系統(tǒng)中的組成和數(shù)據(jù)造成損害的一切因素。11.1.2網(wǎng)絡(luò)安全漏洞拒絕服務(wù)攻擊(DenialofService，DoS)原理

基本原理：借助于網(wǎng)絡(luò)系統(tǒng)或者網(wǎng)絡(luò)協(xié)議的缺陷和配置漏洞進行網(wǎng)絡(luò)攻擊，使網(wǎng)絡(luò)擁塞、系統(tǒng)資源耗盡或者系統(tǒng)應(yīng)用死鎖，妨礙目標主機和網(wǎng)絡(luò)系統(tǒng)對正常用戶服務(wù)請求的及時響應(yīng)，造成服務(wù)的性能受損甚至導致服務(wù)中斷。常見攻擊方法：SYNFlood攻擊、Smurf、UDP洪水、Land攻擊、死亡之Ping和電子郵件炸彈等。防護措施：設(shè)置防火墻，關(guān)閉外部路由器和防火墻的廣播地址，利用防火墻過濾掉UDP應(yīng)答消息和丟棄ICMP包，盡量關(guān)閉不必要的TCP/IP服務(wù)。11.1.2網(wǎng)絡(luò)安全漏洞緩沖區(qū)溢出攻擊原理

基本原理：向緩沖區(qū)中寫入超長的、預(yù)設(shè)的內(nèi)容，導致緩沖區(qū)溢出，覆蓋其它正常的程序或者數(shù)據(jù)，然后讓計算機轉(zhuǎn)而運行這行預(yù)設(shè)的程序，達到執(zhí)行非法操作、實現(xiàn)攻擊的目的。防護措施：程序開發(fā)者在開發(fā)程序時仔細檢查溢出情況，不允許數(shù)據(jù)溢出緩沖區(qū)；網(wǎng)絡(luò)管理員必須做到及時發(fā)現(xiàn)漏洞，并對系統(tǒng)進行補丁修補；條件允許的情況下，還應(yīng)該定期對系統(tǒng)進行升級。11.1.2網(wǎng)絡(luò)安全漏洞欺騙類攻擊原理

基本原理：主要利用TCP/IP協(xié)議自身的缺陷發(fā)動攻擊。分類：根據(jù)假冒方式的不同，可分為IP欺騙、DNS欺騙、電子郵件欺騙和Web欺騙等。防護措施：充分了解主機的系統(tǒng)狀況，只啟用必用的應(yīng)用程序和只開放提供服務(wù)所用到的端口。11.1.2網(wǎng)絡(luò)安全漏洞程序錯誤攻擊原理基本原理：主要利用網(wǎng)絡(luò)主機中存在的服務(wù)程序錯誤和網(wǎng)絡(luò)協(xié)議錯誤來進行攻擊。防護措施：盡快安裝漏洞的補丁程序，在沒有找到補丁之前，應(yīng)先安裝防火墻，視情況切斷主機應(yīng)用層服務(wù)，即禁止從主機的所有端口發(fā)出和接收數(shù)據(jù)包。11.1.2網(wǎng)絡(luò)安全漏洞后門攻擊原理

基本原理：建立后門的常用方法是在主機中安裝木馬程序。攻擊者利用欺騙的手段，通過向主機發(fā)送電子郵件或者是文件，并誘使主機的操作員打開或者運行藏有木馬程序的郵件及文件；或者是攻擊者獲得控制權(quán)后，自己安裝木馬程序。防護措施：經(jīng)常檢測系統(tǒng)的程序運行情況，及時發(fā)現(xiàn)運行中的不明程序，并用木馬專殺工具查殺木馬。11.1.2網(wǎng)絡(luò)安全漏洞目前，危害很大的網(wǎng)絡(luò)攻擊主要來自黑客攻擊。黑客常用的幾種攻擊手段有：(1)口令入侵(2)放置特洛伊木馬程序(3)DoS攻擊(4)端口掃描(5)網(wǎng)絡(luò)監(jiān)聽(6)欺騙攻擊(7)電子郵件攻擊11.1.3網(wǎng)絡(luò)攻擊防火墻技術(shù)加密技術(shù)用戶識別技術(shù)訪問控制技術(shù)網(wǎng)絡(luò)反病毒技術(shù)網(wǎng)絡(luò)安全漏洞掃描技術(shù)入侵檢測技術(shù)11.1.4基本安全技術(shù)11.2基于防火墻的網(wǎng)絡(luò)安全11.2.1防火墻概述11.2.2防火墻類型11.2.3防火墻應(yīng)用防火墻名稱來自以前防止火災(zāi)的構(gòu)筑物。防火墻是一個分離器，一個限制器，同時也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻的作用是監(jiān)控進出網(wǎng)絡(luò)的信息，僅讓安全的、符合規(guī)則的信息進入內(nèi)部網(wǎng)絡(luò)，為用戶提供一個安全的網(wǎng)絡(luò)環(huán)境。11.2.1防火墻概述一個好的防火墻系統(tǒng)應(yīng)具有以下5個方面的特性：所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)都必須通過防火墻只有被授權(quán)的合法數(shù)據(jù)，即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)，可以通過防火墻防火墻本身不受各種攻擊的影響使用目前新的信息安全技術(shù)，比如現(xiàn)代密碼技術(shù)、一次口令系統(tǒng)和智能卡等人機界面良好，用戶配置使用方便，易管理，系統(tǒng)管理員可以方便地對防火墻進行設(shè)置，對互聯(lián)網(wǎng)的訪問者、被訪問者、訪問協(xié)議以及訪問方式進行控制11.2.1防火墻概述11.2.2防火墻類型包過濾防火墻應(yīng)用層網(wǎng)關(guān)防火墻狀態(tài)檢測防火墻防火墻系統(tǒng)設(shè)置時考慮事項

(1)要保護什么樣的資源？(2)保護的資源有多重要？(3)允許什么樣的用戶可以接觸這些資源？(4)使用資源時涉及哪些服務(wù)？(5)保護資源所消耗的費用是否合理？(6)怎么做防火墻系統(tǒng)的定期檢驗？11.2.3防火墻應(yīng)用防火墻產(chǎn)品介紹

網(wǎng)絡(luò)衛(wèi)士CiscoPIXFirewall和Cisco1OS防火墻“長城”防火墻其它防火墻11.2.3防火墻應(yīng)用11.3基于IPSec的網(wǎng)絡(luò)安全11.3.1IPSec概述11.3.2IPSec策略IPSec是一個工業(yè)標準網(wǎng)絡(luò)安全協(xié)議，它為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護TCP/IP通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時保持易用性。IPSec的兩個基本目標：一是保護IP數(shù)據(jù)包安全，二是抵御網(wǎng)絡(luò)攻擊提供防護措施。11.3.1IPSec概述IPSec工作原理在進行數(shù)據(jù)交換之前，先相互驗證對方的計算機的身份。驗證身份通過之后，在這兩臺計算機之間建立一種安全協(xié)作關(guān)系，并且在進行數(shù)據(jù)傳輸之前將數(shù)據(jù)進行加密。通過這三個步驟，可以保證網(wǎng)絡(luò)的通信安全，即使數(shù)據(jù)中途被截獲，也因為截獲者不知道加密的密鑰也就無從了解數(shù)據(jù)的內(nèi)容。11.3.1IPSec概述在WindowsServer2003中，IPSec策略包括一系列規(guī)則(規(guī)定哪些數(shù)據(jù)流可以接受，哪些數(shù)據(jù)流不能接受)和過濾器(規(guī)定數(shù)據(jù)流的源地址和目標地址)，以便提供一定程度的安全級別。在其IPSec實現(xiàn)中，既有多種預(yù)置策略可供用戶選擇，也可以讓用戶根據(jù)企業(yè)安全需求自行創(chuàng)建策略。IPSec策略的實施有兩種基本方法：一是在本地計算機上指定策略，二是使用WindowsServer2003“組策略”對象，由其來實施策略。IPSec策略可適用于單機、域、路由器、網(wǎng)站或者各種自定義組織單元等多種場合。11.3.2IPSec策略規(guī)則規(guī)則規(guī)定IPSec策略何時以及如何保護IP通信。根據(jù)IP數(shù)據(jù)流類型、源地址和目的地址，規(guī)則應(yīng)該具有觸發(fā)和控制安全通信的能力。每一條規(guī)則包含一張IP過濾器列表和與之相匹配的安全設(shè)置，這些安全設(shè)置有過濾器動作、認證方法、IP隧道設(shè)置和連接類型。一個IPSec策略包含一至多條規(guī)則，這些規(guī)則可以同時處于激活狀態(tài)。IPSec實現(xiàn)中針對各種基于客戶機和服務(wù)器的通信提供了許多預(yù)置規(guī)則，用戶可以根據(jù)實際需求使用或者修改。11.3.2IPSec策略篩選器和篩選器操作

一個篩選器由以下幾個參數(shù)決定：IP包的源地址和目的地址、包所使用的傳輸協(xié)議類型以及TCP和UDP協(xié)議的源和目的端口號。一個篩選器對應(yīng)于一種特定類型的數(shù)據(jù)流。篩選器操作為需要受保護的IP通信設(shè)置安全需求，這些安全需求包括安全算法、安全協(xié)議和使用的密鑰屬性等。除了為需要受保護的IP通信設(shè)置篩選器操作外，還可以將篩選器操作配置成繞過策略和攔截策略。繞過策略，即某些IP通信可以繞過IPSec，不受其安全保護。這類通信主要有以下三種情況：(1)遠程主機無法啟用IPSec；(2)非敏感數(shù)據(jù)流無須受保護；(3)數(shù)據(jù)流本身自帶安全措施，例如，使用Kerberosv5、SSL或者PPTP(PointtoPointTunnelingProtocol，點對點隧道協(xié)議)。而攔截策略，則用于攔截來自特定地址的通信。11.3.2IPSec策略連接類型

每一條規(guī)則都需要指明連接類型，用以規(guī)定IPSec策略的適用范圍，比如所有網(wǎng)絡(luò)連接、遠程訪問或者LAN等。規(guī)則的連接屬性決定該規(guī)則將應(yīng)用于單種連接還是多種連接。例如，用戶可以指明某條安全需求特別高的規(guī)則，只應(yīng)用于遠程訪問，而不應(yīng)用于LAN連接。11.3.2IPSec策略認證

一條規(guī)則可以指定多種認證方法。IPSec支持的認證方法主要有：(1)Kerberosv5：WindowsServer2003缺省認證協(xié)議。該認證方法適用于任何運行Kerberosv5協(xié)議的客戶機。(2)公鑰證書認證：該認證方法適用于Internet訪問、遠程訪問、基于L2TP的通信或者不運行Kerberosv5協(xié)議的主機，要求至少配置一個受信賴的認證中心CA。(3)預(yù)共享密鑰：WindowsServer2003的IKE可以和Microsoft、Entrust和VeriSign等多家公司提供的認證系統(tǒng)相兼容，但在實際應(yīng)用中不推薦使用預(yù)置共享密鑰認證。為了避免使用預(yù)置共享密鑰認證可能帶來的風險，一般建議使用Kerberosv5認證或者公鑰證書認證。

11.3.2IPSec策略11.4基于VPN的網(wǎng)絡(luò)安全11.4.1VPN概述11.4.2VPN實現(xiàn)VPN的概念VPN被定義為通過一個公用網(wǎng)絡(luò)(通常是Internet)建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN是對企業(yè)內(nèi)部網(wǎng)的擴展，它采用隧道技術(shù)以及加密、身份認證等方法，在公眾網(wǎng)絡(luò)上構(gòu)建專用網(wǎng)絡(luò)，使數(shù)據(jù)在虛擬網(wǎng)上可以通過安全的“加密隧道”在公用網(wǎng)絡(luò)中傳播。11.4.1VPN概述VPN的分類

根據(jù)VPN所起的作用，可以將VPN分為三類：(1)AccessVPN(2)IntranetVPN(3)ExtranetVPN11.4.1VPN概述VPN的特點

一般情況下，一個高效、成功的VPN應(yīng)具備以下幾個特點：(1)安全保障(2)QoS保證(3)可擴充性和靈活性(4)可管理性11.4.1VPN概述VPN的關(guān)鍵技術(shù)

目前VPN主要采用四項技術(shù)來保證安全，這四項技術(shù)分別是：(1)隧道技術(shù)(Tunneling)(2)加解密技術(shù)(Encryption&Decryption)(3)密鑰管理技術(shù)(KeyManagement)(4)使用者與設(shè)備身份認證技術(shù)(Authentication)11.4.1VPN概述Client-LAN和LAN-LAN是兩種基本的VPN實現(xiàn)形式。前者實現(xiàn)用戶安全的遠程訪問，后者既可用于組建安全的內(nèi)聯(lián)網(wǎng)，又可用于組建企業(yè)外聯(lián)網(wǎng)絡(luò)系統(tǒng)。

11.4.2VPN實現(xiàn)(1)Client-LAN11.4.2VPN實現(xiàn)(1)Client-LANAccessVPN就是采用Client-LAN這種實現(xiàn)方式。AccessVPN工作時，遠程客戶通過撥號線路連接到ISP的網(wǎng)絡(luò)訪問服務(wù)器（NetworkAccessServer，NAS）上，經(jīng)過身份認證后，通過公網(wǎng)跟公司內(nèi)部的VPN網(wǎng)關(guān)之間建立一個隧道，利用這個隧道對數(shù)據(jù)進行加密傳輸。AccessVPN最適用于公司內(nèi)部經(jīng)常有流動人員遠程辦公的情況。出差員工利用當?shù)豂SP提供的VPN服務(wù)，就可以和公司的VPN網(wǎng)關(guān)建立私有的隧道連接。11.4.2VPN實現(xiàn)AccessVPN的優(yōu)勢在于：減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費用，簡化網(wǎng)絡(luò)實現(xiàn)本地撥號接入的功能來取代遠距離接入或者800電話接入，這樣能顯著降低遠距離通信的費用極大的可擴展性，簡便地對加入網(wǎng)絡(luò)的新用戶進行調(diào)度遠端驗證撥入用戶服務(wù)(RemoteAuthenticationDialInUserService，RADIUS)基于標準，基于策略功能的安全服務(wù)將工作重心從管理和保留運作撥號網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來

11.4.2VPN實現(xiàn)Client-LAN型的VPN在實現(xiàn)的時候，有客戶機驅(qū)動連接和網(wǎng)絡(luò)接入服務(wù)器驅(qū)動連接兩種方式?？蛻趄?qū)動的連接網(wǎng)絡(luò)接入服務(wù)器驅(qū)動的連接11.4.2VPN實現(xiàn)(2)LAN-LAN

11.4.2VPN實現(xiàn)(2)LAN-LAN如果要進行企業(yè)內(nèi)部各分支機構(gòu)的互聯(lián)或者企業(yè)合作者的互聯(lián)，使用LAN-LANVPN是很好的方式。LAN-LANVPN主要使用IPSec協(xié)議來建立加密傳輸數(shù)據(jù)的隧道。IntranetVPN主要用于一個企業(yè)內(nèi)部互聯(lián)使用，ExtranetVPN主要用于企業(yè)和企業(yè)的合作者互聯(lián)使用。他們的區(qū)別在于ExtranetVPN往往結(jié)合PKI使用。11.4.2VPN實現(xiàn)LAN-LANVPN的優(yōu)勢在于：

減少WAN帶寬的費用，Internet線路的租用費用遠低于專線費用能使用靈活的拓撲結(jié)構(gòu)，包括全網(wǎng)絡(luò)連接新的站點能更快、更容易地被連接通過設(shè)備供應(yīng)商WAN的連接冗余，可以延長網(wǎng)絡(luò)的可用時間11.4.2VPN實現(xiàn)LAN-LANVPN具體實現(xiàn)時，有以下幾種方式：

VLAN方式MPLSVPN方式IPSecVPN方式11.4.2VPN實現(xiàn)11.5網(wǎng)絡(luò)病毒的防護11.5.1病毒特性及分類11.5.2病毒傳播途徑與防治11.5.3網(wǎng)絡(luò)防病毒系統(tǒng)選型計算機病毒(ComputerVirus)在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義為：“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。目前，由于計算機網(wǎng)絡(luò)及其現(xiàn)代通信技術(shù)的發(fā)展，從而使病毒的含義有所擴展，一般將病毒、網(wǎng)絡(luò)蠕蟲、黑客有害程序(比如特洛依木馬)等都稱為病毒。11.5.1病毒特性及分類計算機病毒的特性

傳染性隱蔽性潛伏性破壞性針對性衍生性寄生性不可預(yù)見性11.5.1病毒特性及分類計算機病毒的分類引導型計算機病毒文件型計算機病毒宏病毒目錄(鏈接)型計算機病毒11.5.1病毒特性及分類計算機病毒的傳播途徑

通過不可移動的計算機硬件設(shè)備進行傳播通過移動存儲設(shè)備來傳播通過計算機網(wǎng)絡(luò)進行傳播通過點對點通信系統(tǒng)和無線通道傳播11.5.2病毒傳播途徑與防治計算機病毒的防治

計算機病毒的防治要從防毒、查毒、解毒三方面來進行“防毒”是指根據(jù)系統(tǒng)特性，采取相應(yīng)的系統(tǒng)安全措施預(yù)防病毒侵入計算機“查毒”是指對于確定的環(huán)境，能夠準確地報出病毒名稱，該環(huán)境包括：內(nèi)存、文件、引導區(qū)（含主導區(qū)）、網(wǎng)絡(luò)等“解毒”是指根據(jù)不同類型病毒對感染對象的修改，并按照病毒的感染特性所進行的恢復。該恢復過程不能破壞未被病毒修改的內(nèi)容。感染對象包括：內(nèi)存、引導區(qū)（含主引導區(qū)）、可執(zhí)行文件、文檔文件、網(wǎng)絡(luò)等11.5.2病毒傳播途徑與防治系統(tǒng)對于計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。防