第9章網絡安全基礎

學習目標計算機網絡技術在不斷發展著，其安全不容忽視，因為計算機網絡的安全直接關系到該網絡的穩定性和保密性。在本章中，將對計算機網絡安全相關的基礎知識進行簡單的介紹。本章要點網絡安全概述網絡安全的策略防火墻技術的使用黑客的防范網絡安全產品簡介數據加密與備份訪問控制局域網的日常維護網絡安全概述在人們廣泛使用計算機網絡的今天，計算機網絡對安全要求越來越高。下面將簡單介紹計算機網絡安全的相關知識。計算機網絡安全的定義影響網絡安全的因素網絡安全的目標計算機網絡安全的定義從計算機系統安全的定義中，總結出計算機網絡安全的定義為：通過采用各種技術和管理措施，使網絡系統正常運行，從而確保網絡數據的可用性、完整性和保密性。因此，建立網絡安全保護措施的目的是確保經過網絡傳輸和交換的數據不會發生增加、修改、丟失和泄露。影響網絡安全的因素目前，影響計算機網絡安全的因素主要分為對網絡中信息的威脅和對網絡中設備的威脅兩種。可以將其歸納總結為以下幾個方面。物理破壞：各種網絡硬件設備是組成計算機網絡的重要部件之一，這些設備可能會遇到諸如地震、雷擊、火災等來自自然界的破壞；此外，還會遭遇人為的破壞，比如盜竊、操作失誤等。影響網絡安全的因素系統軟件缺陷：目前，計算機網絡操作系統以及各種程序由于種種原因，都會存在一些無法避免的缺陷和漏洞，黑客們許多針對網絡的攻擊都是通過利用這些漏洞來進行的。人為失誤：在對網絡進行管理時，總是無法避免人為失誤。網絡黑客攻擊：黑客攻擊是目前最讓人頭疼的一種影響網絡安全的重要因素，因為黑客的攻擊手段和方法數以萬計，用戶是無法真正對其進行全面防范的，只能針對某些常見的攻擊手段進行檢測和防御。影響網絡安全的因素計算機病毒：計算機病毒的危害性眾所周知。如今網絡上傳播的計算機病毒，其傳播范圍更廣，破壞性更大。病毒會對網絡資源進行破壞，干擾網絡的正常工作，甚至造成整個網絡癱瘓。因此，計算機病毒是影響網絡安全的一個重要因素。網絡安全的目標根據網絡安全的定義和影響網絡安全的因素，網絡安全的目標是需要該網絡能夠達到或具有可靠、可用、完整、保密和真實等特點。一個安全的計算機網絡，不僅要保護計算機網絡設備和計算機網絡系統的安全，還要保護數據安全。網絡安全防范的重點主要應該放在防范計算機病毒和防范黑客這兩個方面。計算機網絡安全策略計算機網絡安全受到多方面的威脅，所以必須采用必要的安全策略，才能夠保證網絡正常運行。下面介紹幾種常見的網絡安全策略。物理安全策略訪問控制策略物理安全策略所謂物理安全策略，是指保護網絡硬件系統，其中包括網絡服務器、工作站和其他計算機設備等硬件實體，以及通信鏈路和配套設施不被人為破壞或免受自然災害損害。通常情況下，需要加強設備運行環境的安全保護和執行嚴格的安全管理制度。訪問控制策略網絡安全防范和保護的主要策略是對計算機和網絡設備進行訪問控制，其目的是保護網絡資源不被非法使用和非法訪問。具體內容包括以下兩個方面：權限控制：進入系統的用戶被賦予一定的操作權限。通過這些權限，可以限制用戶只能訪問某些目錄、文件和其他資源等，并只能進行指定的相關操作，不能越權使用系統。身份認證：對用戶入網訪問時進行身份識別。常用的技術是驗證用戶的用戶名和口令，只有全部確認無誤后，用戶才能進入網絡系統，否則系統拒絕訪問。防火墻技術防火墻技術是專門為增強計算機網絡安全性而創建的一種技術手段，它使得網絡更加穩定和安全，在下面將詳細介紹防火墻技術的相關知識。防火墻的概念防火墻的功能防火墻的基本類型防火墻的選擇防火墻的概念在計算機網絡中，防火墻技術是指能夠增強內部網絡安全性的一組系統，它用于加強網絡間的訪問控制，防止外部用戶非法使用內部網絡的資源，保護內部網絡的設備不被破壞，防止內部網絡的敏感數據被竊取。防火墻的功能防火墻的功能比較具有針對性，一般而言，防火墻具有以下幾個功能。過濾進出網絡的數據包：防火墻能夠對進出網絡的所有數據進行檢測，從而篩選過濾出對網絡有害、具有惡意的數據，確保網絡的安全。保護端口信息：保護并隱藏計算機在Internet上的端口信息，黑客不能掃描到端口信息，便不能進入計算機系統，攻擊也就無從談起。防火墻的功能管理進出網絡的訪問行為：可以對進出網絡的訪問進行管理，限制或禁止某些訪問行為。此外，防火墻還可以對一些惡意的訪問行為進行封堵，使其無法訪問。過濾后門程序：黑客和木馬程序的危害性極大，通過使用防火墻，能夠對其進行有效的防范，防火墻可以把特洛伊木馬和其他“后門”程序過濾掉。保護個人資料：當不明程序在改動或復制用戶的計算機資料時，防火墻會發出警告并進行阻止，保護計算機中的個人資料不被泄露。防火墻的功能對攻擊行為進行檢測和報警：安裝有防火墻的計算機，能夠檢測是否有攻擊行為的發生，有則發出報警，并給出攻擊的詳細信息。提供安全狀況報告：防火墻可以提供計算機的安全狀況報告，以便及時對安全防范措施進行調整，讓用戶做到知己知彼，百戰不殆。防止內部信息的外泄：通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。防火墻的基本類型防火墻技術可根據防范的方式和側重點的不同而分為很多種類型，從總體來講，可以分為分組過濾和應用代理兩大類：分組過濾（PacketFiltering）：這類防火墻位于網絡層和傳輸層，根據分組包頭源地址、目的地址和端口號、協議類型等標志確定是否允許數據包通過。防火墻的基本類型應用代理（ApplicationProxy）：這類防火墻，通常人們也稱之為應用網關（ApplicationGateway）。它作用在應用層，其特點是完全“阻隔”了網絡之間的通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。防火墻的選擇如何選擇適合的防火墻呢？通常情況下，用戶在選擇防火墻時，應該從以下幾個方面來考慮：防火墻種類用戶結點數折衷考慮考慮NAT功能考慮VPN功能日志功能防火墻規則防火墻種類目前，市場上有6種基本類型的防火墻，分別是嵌入式防火墻、基于企業軟件的防火墻、基于企業硬件的防火墻、SOHO軟件防火墻、SOHO硬件防火墻和特殊防火墻。用戶應該按自己的需要選擇防火墻的種類。用戶結點數考慮保護的結點數是選擇防火墻的又一重要方面。要加以保護的結點數決定了采用防火墻的種類。折衷考慮軟件防火墻具有比硬件防火墻更靈活的性能，但是安裝軟件防火墻需要選擇硬件平臺和操作系統。而硬件防火墻經過廠商的預先包裝，啟動及運作要比軟件防火墻快得多。目前，幾乎所有防火墻都捆綁了網絡地址轉換（NAT）功能。NAT能夠把專用或非法IP地址轉換成合法的公共地址。NAT結構可分為以下4類。一對一尋址：這是NAT最基本的形式，可以把內部IP地址映射到不同的外部公共IP地址。考慮NAT功能考慮NAT功能多對一尋址：這種類型是多個內部IP地址可以映射到一個外部IP地址，如果有一個內部DHCP作用域，并把它映射到一個外部IP地址，建議采用多對一尋址。多對多尋址：將其他網絡上幾組不同的IP地址映射成內部或外部的IP地址。一對多尋址：使用于需要把一個IP地址分成兩個地址的負載均衡場合。如果需要部署一個龐大、復雜的電信級網絡，這就需要使用NAT的高級特性。考慮VPN功能具有VPN功能的防火墻可以確保隱私和數據的完整性。提醒用戶注意，VPN必須有兩個端點，如果沒有第二個端點連接至VPN，就無須購買具有VPN功能的防火墻。VPN技術是通過加密隧道發送數據，從而把數據與外界隔離開來。日志功能防火墻的又一重要特性是日志功能。用戶最好選擇能夠記錄多種事件的日志、過濾多種事件的防火墻。過濾器能夠使用戶以合理、易懂的方式查看不同的事件。用戶應該能夠根據IP地址、網絡號、連接類型、域名和日期時間等基本過濾器過濾事件。防火墻規則每一個防火墻都有一個規則文件，該文件是防火墻上最重要的配置文件。防火墻規則對防火墻允許哪些類型的流量進出網絡作出規定。一些防火墻具有自動給規則排列次序的特性。具有這一特性的防火墻最好同時具有開啟及關閉該特性的功能。自動次序獨立規則制訂是一個出色的特性，它能幫助用戶合理地為規則排列次序。防范黑客目前，黑客對計算機網絡的攻擊非常頻繁，因為它具有不可預測性和靈活性，因此對其進行防范也非常困難。在防范黑客攻擊時，需要對黑客的定義和攻擊方法機型了解，這樣才能夠有的放矢，更好地確保網絡的安全。防范黑客黑客的定義黑客攻擊的方法技術防范措施黑客的定義什么是“黑客”呢？早期，“黑客”一詞是沒有貶義的，不過，隨著少數人利用非法手段獲得的系統訪問權闖入遠程計算機系統，破壞重要數據，這樣的人開始玷污了“黑客”的名聲，“黑客”才逐漸演變成入侵者、破壞者的代名詞。雖然現在對黑客的準確定義仍有不同的意見，但是，從計算機網絡信息安全角度來說，“黑客”普遍是指對計算機系統的非法侵入者。黑客攻擊的方法黑客的攻擊方法非常繁多，其采用的主要攻擊方式有利用默認賬號進行攻擊、獲取密碼、網頁欺騙、放置特洛伊木馬、系統漏洞、炸彈攻擊、電子郵件攻擊等。利用默認賬號進行攻擊獲取密碼網頁欺騙技術放置特洛伊木馬系統漏洞炸彈攻擊電子郵件攻擊利用默認賬號進行攻擊大家都知道，很多操作系統都有默認的用戶名和密碼，甚至沒有設置用戶密碼。獲取密碼黑客通過各種手段，可以得到用戶登錄服務器的密碼，以便獲得服務器的控制權。獲取密碼的方法主要有網絡監聽、強行破解和獲取密碼文件3種。網絡監聽：黑客利用網絡監聽的方法可以接收到網絡上傳輸的所有信息，如果信息沒有加密，監聽者可以獲得該網段內所有的用戶賬號和密碼。獲取密碼強行破解：黑客通過強行破解就如同拿著一般萬能鑰匙，通過這把鑰匙來破解和打開網絡中一扇扇被鎖著的門。獲取密碼：當一個黑客獲得一個用戶登錄服務器的密碼文件后，可以非常容易地獲取用戶密碼。網頁欺騙技術所謂的網頁欺騙技術，實際上是通過網頁作掩護，引誘用戶單擊某個網絡鏈接打開一個特殊的網頁，從而向黑客服務器發出請求，致使黑客軟件騙過操作系統和防火墻，名正言順地對系統進行攻擊。放置特洛伊木馬特洛伊木馬經常被黑客偽裝成工具軟件或游戲軟件等。一旦這些工具軟件或游戲軟件程序被打開或被執行后，特洛伊木馬就會在本地計算機中執行程序指令，這時遠程的黑客即可通過該程序得到計算機的控制權，然后就可以任意地復制、刪除或修改計算機中的文件、修改參數設定以及查看整個硬盤中的內容等。系統漏洞目前，眾多的操作系統都存在著系統漏洞，許多黑客利用這些系統漏洞來直接攻擊計算機，以竊取資源。通常這種系統漏洞也被戲稱為“后門”程序。炸彈攻擊炸彈攻擊的目的在于讓目標結點或主機出現超負荷運轉、網絡堵塞等故障，從而造成攻擊目標的系統崩潰，以達到攻擊的目的。常見的炸彈攻擊有郵件炸彈攻擊、邏輯炸彈攻擊以及聊天室炸彈攻擊等。電子郵件攻擊電子郵件攻擊分為郵件炸彈和郵件欺騙兩種方式，下面將分別講解。郵件炸彈：指用偽造的IP地址和電子郵件地址向攻擊目標的電子郵箱中發送數以千萬次，甚至無窮多次相同內容的垃圾郵件，致使該電子郵箱爆滿而不能使用，同時還可能會影響郵件服務器的正常運行，甚至造成郵件服務器系統崩潰。郵件欺騙：黑客以系統管理員的郵件地址給用戶發送消息，佯稱自己為系統管理員，要求用戶更改密碼，并發送回服務器，這樣黑客便輕而易舉地得到了該電子郵箱的密碼。技術防范措施了解了黑客常用的攻擊方法后，用戶可以根據自己的實際情況，采取相應的措施對黑客攻擊進行防范，下面講解幾種常用的防范黑客的技術：刪掉不必要的協議：對于服務器和主機系統來說，通常情況下，安裝TCP/IP協議就夠了，其他的協議均可以刪除。當需要某個網絡協議時，重新安裝即可。取消文件夾隱藏共享：如果用戶使用Windows2000/XP系統，不妨將已經打開的默認共享關閉，以提高系統的安全性。技術防范措施關閉“文件和打印共享”：當用戶長時間不需要使用文件和打印共享功能時，可以將它關閉。因為“文件和打印共享”功能也是黑客入侵的很好的安全漏洞。關閉不必要的端口：黑客在入侵時常常會掃描你的計算機端口，如果安裝了端口監視程序，則會有警告提示。如果遇到這種入侵，可用工具軟件關閉用不到的端口。安裝安全軟件：用戶應該在計算機中安裝并使用必要的防黑軟件、殺毒軟件和防火墻。在計算機連接到網絡時將其打開，這樣可以確保系統的安全。技術防范措施電子郵件接收：在接收電子郵件時，不要打開身份不明的電子郵件及其附件。防止IP地址泄漏：大多數黑客和黑客軟件都需要先查探到對方的IP地址后，才能對其發動攻擊，如IPHunter就是一種專門用于竊取IP地址的軟件。因此，要想防御黑客攻擊，就得保護好自己的IP地址。網絡安全產品簡介為了增強計算機網絡的安全性，需要在計算機中安裝必要的殺毒軟件和防火墻軟件，這樣才能夠更加穩定地使用該網絡。數據的加密與備份對計算機中的數據進行加密和備份操作，能夠讓這些資料更加安全，防止惡意病毒的破壞和重要信息被竊取。數據的加密數據的備份數據的加密用戶如果使用Windows2000/XP操作系統，可以使用一種最為簡單的數據加密方法，即Windows2000/XP內置的加密文件系統（EFS，EncryptingFilesSystem）。【例13-1】在WindowsXP操作系統中對文件夾進行加密。數據的備份用戶使用計算機時，為了防止某些重要的數據（如公司機密文件）被病毒或黑客破壞，可以將其進行備份。數據備份的方法有多種，比如直接將數據復制到U盤等其他存儲設備中，同樣也可以使用Windows自帶的備份工具進行。【例13-2】使用Windows備份工具備份“我的文檔和設置”。【例13-3】使用Windows備份工具還原“我的文檔和設置”。訪問控制對計算機中的一些重要文件或者文件夾進行訪問控制，這樣可以增強這些文件的安全性。在計算機中設置訪問控制的方法比較簡單，即設置文件或者文件夾權限即可。在NTFS格式的磁盤分區中可為每個用戶或用戶組單獨設置文件和文件夾訪問權限。【例13-4】設置、查看、更改或刪除文件和文件夾權限。【例13-5】設置共享文件夾訪問權限。設置、查看或刪除共享文件夾或驅動器權限。小型局域網安全與維護目前，許多的公司和家庭都組建了適合自己的小型局域網。在使用這個局域網的同時，也需要對其進行更好的維護，這樣才能夠保證網絡高效、安全地運行。一般情況下，這類局域網的維護分為硬件維護與軟件維護兩個方面，下面分別進行簡單的介紹。局域網硬件的維護局域網軟件的維護局域網硬件的維護在局域網中，接入網絡中的各臺計算機、網絡連接介質以及網絡連接設備等都屬于硬件維護的范疇。這類設備和部件都是電子類產品，由于使用年限和環境的影響，或多或少都會產生設備和線路老化，如何對這些設備進行維護呢？下面分別進行介紹。查看設備運行狀態檢查設備散熱性能保持網絡設備的清潔查看設備運行狀態使用網絡的同時，需要采用一些專用的軟件對網絡中的硬件設備和線路進行監測，以及時了解網絡的運行狀態；此外，還需要對網絡中各個設備進行定期的檢查，以便及時發現和解決網絡中出現的問題。檢查設備散熱性能在計算機網絡中，需要對網絡設備的散熱性進行檢查，這是因為大多數設備在工作過程中會產生熱能，使設備運行時溫度升高。保持網絡設備的清潔由于處于局域網中的網絡設備，如集線器、交換機、路由器、Modem以及網卡等，長期裸露在環境中使用，勢必會在網絡設備外部和內部聚積過多的灰塵，這樣會導致網絡設備發生故障，甚至損壞。局域網軟件的維護相對于局域網硬件維護，局域網軟件的維護包括的內容顯得更多一些。其中主要包括網絡操作系統的維護、網絡協議的調試、重要數據的備份以及網絡安全等。網絡操作系統的維護網絡協議的調試重要