1、第13章 網 絡 安 全隨著計算機網絡的不斷發展，全球信息化已成為人類發展的大趨勢。但由于計算機網絡具有的連接形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征，致使網絡容易受到黑客、惡意軟件等的種種攻擊，網絡信息安全成為一個令人頭痛的問題。因此，排除自然和人為等諸多因素造成的網絡脆弱性和潛在威脅，確保網絡信息的保密性、完整性和可用性，就成為網絡管理員、網絡工程師要做的頭等大事。13.1 安全威脅來源雖然有許許多多的因素都會對網絡安全產生重大影響，但仔細分析后發現，其實所有的安全威脅大多來源于無意識的失誤、惡意的攻擊和軟件漏洞和后門3個方面。1. 無意的失誤由于無意的失誤而給網絡安全帶來

2、的損害絕不僅僅是網絡管理員，普通用戶在許多時候往往才是網絡安全的“殺手”。網絡管理員的失誤主要表現在對操作系統、應用軟件或網絡設備的配置不當而造成安全漏洞。如用戶權限過大、服務器打開的端口太多、未及時刪除已離職用戶、未進行路由器IP安全設置等。網絡用戶甚至是低級用戶或臨時用戶的失誤，則往往是安全意識不強、口令選擇不慎、將自己的賬號隨意轉借他人，或者與別人共享資源等行為，而給網絡安全帶來了致命的威脅。2. 惡意的攻擊當然，如果只有漏洞和失誤，而沒有人惡意地利用這些漏洞和失誤，那么網絡和數據同樣是安全的。因此，網絡所面臨的最大威脅就是惡意攻擊。惡意攻擊可以分為以下兩種：一種是主動攻擊，它以各種方式

3、有選擇地破壞信息的有效性和完整性，或者造成網絡服務器癱瘓，停止提供各類服務。如UDP洪水、SYN洪水和電子郵件炸彈等，都是利用畸形的或過量的TCPIP包而將服務器摧垮。另一種是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取或破譯等活動以獲得重要機密信息。如特洛伊木馬、緩沖區溢出等，都是通過一小段程序奪取服務器的控制權，實現對服務器的遠程控制。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄露。3. 軟件漏洞和后門絕大部分操作系統或應用軟件都有安全漏洞和后門，而這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。另外，程序員為了方便自己而設置的軟件“后門”，危害更大。雖然一般不為

4、外人所知，但一旦“后門”暴露，其后果可想而知。13.2 網絡安全策略 網絡安全策略主要包括兩大部分，即訪問控制策略和信息加密策略。訪問控制策略是網絡安全防范和保護的主要策略，也是維護網絡系統安全、保護網絡資源的重要手段，用以保證網絡資源不被非法使用和非常訪問。信息加密策略主要是一種補救手段，也就是說，即使信息在傳輸過程中被截獲，也將由于不能解密而無法讀取，從而保證數據的安全。雖然各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。13.2.1 Windows 系統的安全性 Windows Server 2003是一種相對安全的操作系統，利用Wind

5、ows Server 2003全部或部分安全特性的優點，可以明顯地減小危險性。 1. 用戶賬戶 保護計算機和計算機內存儲數據的安全措施之一，就是指定擁有不同訪問權限的用戶賬戶，通過限制賬戶的權限的方式實現對計算機資源訪問的控制。用戶名和密碼用于在登錄Windows Server 2003時進行身份驗證，登錄的身份決定了該用戶是否可以進入該計算機，以及可以在該計算機上做些什么。因此，對用戶賬戶和管理員賬戶的嚴格審批、發放和控制，再輔之以嚴格的賬戶策略，是確保服務器安全的重要手段。(1) 匿名訪問Internet Guest賬戶是在IIS安裝過程中自動創建的。默認狀態下，所有的IIS用戶都使用該賬

6、戶實現對Web或FTP網站的匿名訪問。即所有用戶在通過匿名方式訪問Web或FTP網站時，都被映射為Internet Guest賬戶，并擁有該賬戶所擁有的所有權限，和利用該賬戶從本地直接登錄到服務器時一樣。如果只允許用Internet Guest賬戶遠程訪問服務器，則遠程用戶不必提供自己的用戶名和密碼，但他們只能享有分配給Internet Guest賬戶的權限。這樣做可以防止任何人以騙得或非法獲得的密碼來訪問敏感信息。以上策略可以建立最為安全的系統。需要注意的是，由于Internet Guest賬戶添加在Guest用戶組中，Guest組的設置同樣適用于Internet Guess賬戶，應當重新查

7、看Guest組的設置，以確定它們是否適用于Internet Guest賬戶。(2) 驗證方式 基本驗證和Windows驗證要求用戶必須提供一個合法的Windows Server 2003用戶名和密碼才能訪問服務器，否則將拒絕對服務器的訪問。兩者的區別在于，Windows驗證將用戶名和密碼進行加密后才進行傳輸，從而保證了用戶名和密碼在Internet傳輸中的安全，保證用戶名和密碼不致在傳輸過程中被惡意用戶截獲，從而冒名頂替該用戶登錄服務器竊取敏感資料或對服務器進行破壞。基本驗證方法則不經加密就將用戶名和密碼經由Internet進行傳輸，因此，用戶名和密碼在傳輸過程中極易被截獲，從而對服務器及其中

8、存儲的數據造成難以估量的損失。驗證方法只是利用unencode對資源信息進行了編碼，可以被任何訪問網絡的人輕易地解開，甚至對于那些只能訪問傳送該數據包的某一因特網網段的人來說也是如此。因此，微軟公司只建議使用Windows Server 2003的質詢應答(ChallengeResponse)這一密碼驗證方式。需要注意的是，基本驗證方法在發送用戶名和密碼之前并不將它們加密。而只有通過加密，才能將原始信息混雜在一起，使得除合法接收人之外的使用者很難恢復原始信息。(3) 密碼設置 非法訪問系統的最簡單方法莫過于使用竊取的或者很容易猜到的密碼。因此，要確保所有系統密碼，特別是那些具有管理權限的密碼不

9、被猜破，還應該設置合適的賬戶管理策略來進一步保證系統的安全。可以通過User Manager工具來管理用戶賬戶。 對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶在注冊網絡時，需輸入用戶名和口令，服務器將驗證其合法性。對于用戶名與口令，口令是問題的關鍵所在。據統計，大約80的安全隱患是由于口令設置不當引起的。因此，密碼的設置無疑是十分講求技巧的。眾所周知，如今的一些黑客軟件如Email Crk、天行刺客等都是掛上密碼字典，然后開足馬力一路窮舉，因此，如若密碼設置不當或太大眾化、通俗化，被解破的可能性也就很大。(4) 賬戶管理策略 除了設置用戶密碼，還可以使用User Manag

10、er工具來管理用戶賬戶其他方面。例如，可以用該工具設定一個用戶在被系統拒絕之前，以及當密碼賬戶過期時，允許多少次失敗的登錄嘗試；通過設定密碼過期日期，可以強迫用戶定期更改密碼；限制允許用戶登錄的時間等。 通過建立嚴格的賬戶管理策略并認真遵照執行，特別是對于那些有管理訪問的賬戶，可以有效地挫敗肆意和無意識的密碼攻擊。(5) 管理員組成員 盡量減少管理員組成員的數量，也是最大限度保證網絡安全的重要措施。從某種意義上來講，限制了管理員組的成員，也就限制了有密碼選擇的用戶數目，從而減少易被識破的密碼被作為系統密碼的機會，避免使系統處于危險的境地。 另外，也可以重新命名默認的管理員賬戶，將默認的管理員賬

11、戶“Administrator”屏蔽起來，而啟用其他的賬戶作為管理員賬戶，從而使得入侵者無法得知真正的管理員賬戶，更無從嘗試并猜出該賬戶的密碼。 除此之外，及時并且經常清理那些被廢棄的賬戶(例如員工被辭退或自動離職)，也是保障網絡安全的重要措施。2. NTFS權限控制 Windows 2000/2003所特有的NTFS文件系統，為數據文件提供了安全和訪問控制，可限制特定用戶和服務對某些文件夾、某些文件或某些屬性的訪問。通過訪問控制列表(ACL，Access Control Lists)，使得NTFS文件系統在擁有了安全性的同時，更具有了相當程度的靈活性。(1) 權限控制 NTFS大大增強了系統

12、的安全性，因為用它可以控制哪些用戶和用戶組被許可訪問哪些文件和文件夾，可以進行什么樣的訪問等。例如，可以規定某些用戶對某個特定文件夾只能進行Read Only(只讀)訪問，而其他用戶對同一個文件夾可以進行Read和Write(讀或寫)訪問。利用NTFS也可以控制Internet Guest賬戶能否對某些特定文件或文件夾進行訪問，或者是否需要經過身份驗證的賬戶。(2) 目錄級安全控制 網絡管理員可以控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和目錄有效，用戶還可進一步指定對目錄中子目錄和文件的權限。對目錄和文件的訪問權限一般有8種：系統管理員權限(Supervisor)、

13、讀權限(Read)、寫權限(Write)、創建權限(Create)、刪除權限(Erase)、修改權限(Modify)、文件查找權限(File Scan)和存取控制權限(Access Control)。網絡系統管理員應當為用戶指定適當的訪問權限，并通過訪問權限控制用戶對服務器的訪問。8種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網絡和服務器的安全性。(3) 屬性安全控制 當用戶被允許訪問文件、目錄和網絡設備時，網絡系統管理員還應當為這些文件、目錄和設備指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安

14、全在權限安全的基礎上提供了更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。屬性往往能控制以下幾個方面的權限：向某個文件寫數據、復制一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享和系統屬性等。網絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的刪除、修改和讀取等。 在設定了NTFS權限之后，就必須對Web服務器的驗證機制進行配置，在授予用戶對限制文件進行訪問之前要接受驗證。可以將服務器的驗證特性設置為要求用合法的Windows 2000/2003賬戶用戶名和密碼登錄。步驟 另外，還應該注意到Everyone這個用戶組包括了所有的用戶和用戶組，也包括Interne

15、t Guest賬戶和Guest組。在默認狀態下，Everyone組有對NTFS驅動器上所建立的文件的完全控制權。考慮到服務器安全，在設置Internet或Intranet服務器時，應刪除Everyone組對全部資源的控制權限。如果需要，再給予相應的權限。此外，有關網絡共享的所有不必要的權限都應該刪掉。操作步驟如下。 步驟1) 在資源管理器中，用鼠標右擊欲設置共享權限的文件夾，在顯示的快捷菜單中選擇“共享”命令，顯示如圖13-1所示的屬性對話框。(2) 選擇“共享該文件夾”。如果共享的是某個磁盤，則應先單擊“新建共享”按鈕，顯示如圖13-2所示的“新建共享”對話框。在“共享名”文本框中輸入該磁盤

16、的共享名，而后單擊“確定”按鈕。(3) 單擊“權限”按鈕，顯示如圖13-3所示的對話框。(4) 默認狀態下，所有用戶都對該共享文件夾享有讀取和寫入的權限，并可完全控制該文件夾。若欲指定特定用戶對該文件夾的訪問權限，可先根據需要取消“Everyone”對該共享文件夾的某種或所有權限。(5) 單擊“添加”按鈕，顯示如圖13-4所示“選擇用戶或組”對話框。添加擁有對該文件夾享有訪問權限的用戶，并指定其訪問權限。圖13-1 設置磁盤的共享屬性圖13-2 配置共享名圖13-3 設置共享權限 圖13-4 “選擇用戶或組”對話框步驟 (6) 在名稱列表中選中欲授予權限的用戶組和用戶名，然后單擊“添加”按鈕。

17、重復操作，可添加多個用戶或用戶組。單擊“確定”按鈕，關閉該對話框。 (7) 在名稱列表中選中欲設置權限的用戶或用戶組，然后在下方的權限列表中指定賦予該用戶或用戶組的權限。重復操作，為名稱列表中所有的用戶和用戶組分別設定訪問權限。 (8) 單擊“確定”按鈕。 需要注意的是，如果NTFS的權限設置與IIS權限設置發生沖突，以最嚴格的設置為準。例如，NTFS的權限設置為只讀，而IIS權限設置為完全控制，那么用戶的訪問權限將只能是“只讀”。為了使服務器盡可能地安全，應該重新檢查所有IIS文件夾的安全設置并進行適當的調整。3. Web訪問權限 利用Web訪問權限可以對用戶如何進入Web站點以及如何與We

18、b站點交互進行控制，可以設定正在訪問Web站點的用戶是否可以查看某些特殊網頁，是否可以上載信息，或者是否可以在站點上運行腳本文件。與NTFS權限不同的是，Web服務器權限應用于所有訪問Web站點的用戶。這一差別非常重要，因為NTFS權限只適用于使用Windows Server 2000/2003合法賬戶的某個特定用戶或用戶組。 例如，禁用一個特定文件夾的Web服務器讀權限，就意味著所有用戶都不能查看該文件，而無論這些用戶賬戶和NTFS權限如何。同樣，“允許讀”權限將允許所有用戶查看該文件，除非有NTFS的“拒絕訪問”權限設置。 如果同時設置了Web服務器權限和NTFS權限，那么拒絕訪問權限的優

19、先級將明顯高于“允許訪問”權限。4. 其他Windows Server 2003安全性措施可以通過限制網絡適配卡所使用的協議數量來提高系統的安全性。減少系統上運行服務程序數目可以降低管理失誤的概率。利用控制面板中的服務程序可以禁用那些Internet服務器所不需要的服務。1) 刪除不需要的協議刪除所有與Internet或Intranet服務無關的網絡協議，通常情況下，只保留TCPIP即可。操作步驟如下。(1) 單擊“開始”按鈕，然后將鼠標指向“設置”，并選擇“網絡和撥號連接”命令，顯示如圖13-5所示“網絡和撥號連接”窗口。(2) 右擊“本地連接”圖標，在顯示的快捷菜單中選擇“屬性”命令，顯示如圖