計算機網絡安全技術安全基礎Mr.ruiwu@網絡安全技術

隨著計算機網絡技術的發展，網絡的安全性和可靠性成為各層用戶所共同關心的問題。人們都希望自己的網絡能夠更加可靠地運行，不受外來入侵者的干擾和破壞，所以解決好網絡的安全性和可靠性，是保證網絡正常運行的前提和保障。Internet防火墻學生區InfoGateIIS服務Web服務DMZ區教工區安全垃圾郵內容審計件網關過濾數據庫服務器群應用服務器群Mr.ruiwu@1、網絡安全要求網絡安全，是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然或者惡意的攻擊而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不會中斷。身份認證完整性保密性授權和訪問控制可用性不可抵賴性Mr.ruiwu@2、網絡安全威脅

一般認為，黑客攻擊、計算機病毒和拒絕服務攻擊等3個方面是計算機網絡系統受到的主要威脅。黑客攻擊計算機病毒拒絕服務攻擊黑客使用專用工具和采取各種入侵手段非法進入網絡、攻擊網絡,并非法使用網絡資源。

計算機病毒侵入網絡，對網絡資源進行破壞，使網絡不能正常工作，甚至造成整個網絡的癱瘓。攻擊者在短時間內發送大量的訪問請求，而導致目標服務器資源枯竭，不能提供正常的服務。Mr.ruiwu@3、網路安全漏洞

網絡安全漏洞實際上是給不法分子以可乘之機的“通道”,大致可分為以下3個方面。網絡的漏洞

服務器的漏洞操作系統的漏洞包括網絡傳輸時對協議的信任以及網絡傳輸漏洞，比如IP欺騙和信息腐蝕就是利用網絡傳輸時對IP和DNS的信任。利用服務進程的bug和配置錯誤,任何向外提供服務的主機都有可能被攻擊。這些漏洞常被用來獲取對系統的訪問權。Windows和UNIX操作系統都存在許多安全漏洞,如Internet蠕蟲事件就是由UNIX的安全漏洞引發的。Mr.ruiwu@4、網絡安全攻擊要保證運行在網絡環境中的信息安全,首先要解決的問題是如何防止網絡被攻擊。根據SteveKent提出的方法,網絡安全攻擊可分為被動攻擊和主動攻擊兩大類，如圖所示。圖:網絡安全攻擊分類被動攻擊

截獲(秘密)分析信息內容通信量分析主動攻擊

拒絕篡改偽造重放(可用性)(完整性)(真實性)(時效性)被動攻擊不修改信息內容，所以非常難以檢測，因此防護方法重點是加密。主動攻擊是對數據流進行破壞、篡改或產生一個虛假的數據流。Mr.ruiwu@5、網絡安全破壞

1中斷（Interruption）：中斷是對可利用性的威脅。例如破壞信息存儲硬件、切斷通信線路、侵犯文件管理系統等。2竊取（Interception）：入侵者竊取信息資源是對保密性的威脅。入侵者竊取線路上傳送的數據，或非法拷貝文件和程序等。3篡改（Modification）：篡改是對數據完整性的威脅。例如改變文件中的數據，改變程序功能，修改網上傳送的報文等。4假冒（Fabrication）：入侵者在系統中加入偽造的內容，如像網絡用戶發送虛假的消息、在文件中插入偽造的記錄等。網絡安全破壞的技術手段是多種多樣的，了解最通常的破壞手段，有利于加強技術防患。Mr.ruiwu@網絡安全的評價標準計算機系統的安全等級由低到高順序：D；C1C2；B1B2B3；A。如圖所示。TCSEC安全體系可信計算機系統評測準則C2：受控訪問保護C1：自主安全保護A1：驗證設計D1：最小保護B2：結構安全保護B1：標志安全保護B3：安全域C類A類D類B類Mr.ruiwu@1、國際評價標準20世紀90年代開始，一些國家和國際組織相繼提出了新的安全評測準則。1991年,毆共體發布了“信息技術安全評測準則”；1993年，加拿大發布了“加拿大可信計算機產品評測準則”；1993年6月,上述國家共同起草了一份通用準則,并將CC推廣為國際標準。國際安全評測標準的發展如圖所示。1993年加拿大可信計算機產品評測準則1991年歐洲信息技術安全評測準則1991年美國聯邦政府評測標準1983年美國國防部可信計算機評測準則1996年國際通用準則（CC）1999年CC成為國際標準國際安全評測標準的發展與聯系Mr.ruiwu@2、我國評價標準分如下五個級別

1級用戶自主保護級：它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。2級系統審計保護級：除具備第一級外，要求創建和維護訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負責。3級安全標記保護級：除具備上一級外，要求以訪問對象標記的安全級別限制訪問者的訪問權限，實現對訪問對象的強制保護。4級結構化保護級：在繼承前面功能基礎上，將安全保護機制劃分為關鍵部分和非關鍵部分，從而加強系統的抗滲透能力。5級訪問驗證保護級：這一個級別特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動。Mr.ruiwu@網絡安全措施

在網絡設計和運行中應考慮一些必要的安全措施，以便使網絡得以正常運行。網絡的安全措施主要從物理安全、訪問控制、傳輸安全和網絡安全管理等4個方面進行考慮。

1、物理安全措施

物理安全性包括機房的安全、所有網絡的網絡設備（包括服務器、工作站、通信線路、路由器、網橋、磁盤、打印機等）的安全性以及防火、防水、防盜、防雷等。網絡物理安全性除了在系統設計中需要考慮之外，還要在網絡管理制度中分析物理安全性可能出現的問題及相應的保護措施。

2、訪問控制措施

訪問控制措施的主要任務是保證網絡資源不被非法使用和非常規訪問。其包括以下８個方面：Mr.ruiwu@網絡安全措施

1入網訪問控制：控制哪些用戶能夠登錄并獲取網絡資源，控制準許用戶入網的時間和入網的范圍。2網絡的權限控制：是針對網絡非法操作所提出的一種安全保護措施，用戶和用戶組被授予一定的權限。3目錄級安全控制：系統管理權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限和存取控制權限8種。4屬性安全控制：網絡管理員給文件、目錄等指定訪問屬性，將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。5網絡服務器安全控制：包括設置口令鎖定服務器控制臺，設定登錄時間限制、非法訪問者檢測和關閉的時間間隔等。Mr.ruiwu@網絡安全措施

6網絡檢測和鎖定控制：網絡管理員對網絡實施監控，服務器應記錄用戶對網絡資源的訪問，對于非法訪問應報警。7

網絡端口和節點的安全控制：網絡服務器端口使用自動回呼設備、靜默調制解調器加以保護,并以加密形式識別節點的身份。8防火墻控制：防火墻成為是互連網絡上的首要安全技術，是設置在網絡與外部之間的一道屏障。

3、網絡通信安全措施

⑴建立物理安全的傳輸媒介

⑵對傳輸數據進行加密：保密數據在進行數據通信時應加密，包括鏈路加密和端到端加密。Mr.ruiwu@網絡安全管理措施除了技術措施外，加強網絡的安全管理，制定相關配套檢查和互協滲透測試安全設計設備配置安全漏洞分析安全策略安全需求安全結構安全評估安全評估安全評估的規章制度、確定安全管理等級、明確安全管理范圍、采取系統維護方法和應急措施等,對網絡安全、可靠地運行，將起到很重要的作用。實際上，網絡安全策略是一個綜合,要從可用性、實用性、完整性、可靠性和保密性等方面綜合考慮，才能得到有效的安全策略。Mr.ruiwu@防火墻的邏輯結構示意圖

1、什么是防火墻

為了防止病毒和黑客，可在該網絡和Internet之間插入一個中介系統，豎起一道用來阻斷來自外部通過網絡對本網絡的威脅和入侵的安全屏障，其作用與古代防火磚墻有類似之處，人們把這個屏障就叫做“防火墻”，其邏輯結構如下圖所示。防火墻技術

外部網絡內部網絡Mr.ruiwu@防火墻的基本概念2、防火墻的基本特性

①所有內部和外部網絡之間傳輸的數據必須通過防火墻。②只有被授權的合法數據即防火墻系統中安全策略允許的數據可以通過防火墻。③防火墻本身不受各種攻擊的影響。

3、防火墻的基本準則

⑴過濾不安全服務：防火墻應封鎖所有的信息流,然后對希望提供的安全服務逐項開放，把不安全的服務或可能有安全隱患的服務一律扼殺在萌芽之中。

⑵過濾非法用戶和訪問特殊站點：防火墻允許所有用戶和站點對內部網絡進行訪問，然后網絡管理員按照IP地址對未授權的用戶或不信任的站點進行逐項屏蔽。Mr.ruiwu@防火墻的基本功能

1、作為網絡安全的屏障

防火墻作為阻塞點、控制點，能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。

2、可以強化網絡安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件（口令、加密、身份認證、審計等）配置在防火墻上。

3、對網絡存取和訪問進行監控審計

所有的外部訪問都經過防火墻時，防火墻就能記錄下這些訪問，為網絡使用情況提供統計數據。當發生可疑信息時防火墻能發出報警，并提供網絡是否受到監測和攻擊的詳細信息。

4、可以防止內部信息的外泄

利用防火墻可以實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。Mr.ruiwu@防火墻的基本類型1、網絡級防火墻（NetworkGateway）網絡級防火墻主要用來防止整個網絡出現外來非法的入侵。包過濾路由器的工作原理示意圖內部網絡物理層分組過濾規則數據鏈跑層Internet外部網絡網絡層物理層數據鏈跑層網絡層包過濾路由器Mr.ruiwu@防火墻的基本類型

2、應用級防火墻（ApplicationGateway）

這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。它的核心技術就是代理服務器技術。在外部網絡向內部網絡申請服務時發揮了中間轉接的作用。代理防火墻的最大缺點是速度相對比較慢。應用級代理工作原理下圖所示。應用級代理工作原理示意圖內部網絡真正服務器代理服務器實際的連接實際的連接外部網絡客戶虛擬的連接Internet防火墻Mr.ruiwu@防火墻的基本類型

3、電路級防火墻（Gateway）

電路級防火墻也稱電路層網關,是一個具有特殊功能的防火墻。電路級網關只依賴于TCP連接，并不進行任何附加的包處理或過濾。與應用級防火墻相似,電路級防火墻也是代理服務器,只是它不需要用戶配備專門的代理客戶應用程序。另外,電路級防火墻在客戶與服務器間創建了一條電路,雙方應用程序都不知道有關代理服務的信息。

4、狀態監測防火墻（StatefuinspectionGateway）

狀態檢測是比包過濾更為有效的安全控制方法。對新建的應用連接,狀態檢測檢查預先設置的安全規則,允許符合規則的連接通過,并在內存中記錄下該連接的相關信息,生成狀態表。對該連接的后續數據包,只要符合狀態表就可以通過。Mr.ruiwu@防火墻的基本結構

1、雙宿主機網關（DualHomedGateway）雙宿主機網關是用一臺裝有兩個網絡適配器的雙宿主機做防火墻,其中一個是網卡,與內網相連；另一個可以是網卡、調制解調器或ISDN卡。雙宿主機網關的弱點是一旦入侵者攻入堡壘主機并使其具有路由功能，則外網用戶均可自由訪問內網。雙宿主機網關工作原理圖如圖7-13所示。雙宿堡壘主機Internet雙宿堡壘主機內網Mr.ruiwu@防火墻的基本結構

2、屏蔽主機網關（ScreenedHostGateway）

⑴單宿堡壘主機：是屏蔽主機網關的一種簡單形式,單宿堡壘主機只有一個網卡，并與內部網絡連接。通常在路由器上設立過濾規則，并使這個單宿堡壘主機成為可以從Internet上訪問的唯一主機。而Intranet內部的客戶機，可以受控地通過屏蔽主機和路由器訪問Internet,其工作原理圖如下圖所示。屏蔽主機網關單宿堡壘主機Internet雙宿堡壘主機內網Mr.ruiwu@防火墻的基本結構

⑵雙宿堡壘主機：是屏蔽主機網關的另一種形式,與單宿堡壘主機相比，雙宿堡壘主機有兩塊網卡，一塊連接內部網絡，一塊連接路由器。雙宿堡壘主機在應用層提供代理服務比單宿堡壘主機更加安全。屏蔽主機網關雙宿堡壘主機工作原理圖如下圖所示。屏蔽主機網關雙宿堡壘主機Internet雙宿堡壘主機內網Mr.ruiwu@防火墻的安全標準與產品

1、防火墻的安全標準

⑴Secure/WAN（S/WAN）標準⑵FWPD（FireWallProductDeveloper）聯盟制訂的防火墻測試標準

2、常見的防火墻產品Mr.ruiwu@網絡病毒的類型

1、GPI（GetPasswordI）病毒

GPI病毒是由歐美地區興起的專攻網絡的一類病毒，該病毒的威力在于“自上而下”，可以“逆流而上”的傳播。

2、電子郵件病毒由于電子郵件的廣泛使用，E-mail已成為病毒傳播的主要途徑之一。

3、網頁病毒網頁病毒主要指Java及ActiveX病毒，它們大部分都保存在網頁中，所以網頁也會感染病毒。

4、網絡蠕蟲程序是一種通過間接方式復制自身的非感染型病毒，它的傳播速度相當驚人，給人們帶來難以彌補的損失。Mr.ruiwu@網絡管理技術

1、網絡管理的定義網絡管理是一項復雜的系統工程,它涉及到以下3個方面。

⑴網絡服務提供：是指向用戶提供新的服務類型、增加網絡設備、提高網絡性能等。

⑵網絡維護：是指網絡性能監控、故障報警、故障診斷、故障隔離與恢復等。

⑶網絡處理：是指網絡線路、設備利用率、數據的采集、分析，以及提高網絡利用率的各種控制。

2、網絡管理標準化

在ISO的OSI-RM的基礎上，由AT&T、英國電信等100多著名大公司組成的OSI/NMF(網絡管理論壇）定義了OSI網絡管理框架下的5個管理功能區域，并形成了多項協議。7.6.1網絡管理的基本概念Mr.ruiwu@網絡管理的邏輯結構

被管系統管理信息庫進程管理代理被管對象管理系統管理協議通知執行管理操作通知操作圖7-24網絡管理系統邏輯模型1、網絡管理系統的邏輯模型

⑴被管對象：經過抽象的網絡元素，對應于網絡中具體可以操作的數據。⑵管理進程：負責對網絡設備進行全面管理與控制的軟件。⑶管理信息庫：可看作為管理進程的一部分,用于記錄網絡中被管理對象的狀態參數值。⑷管理協議：負責在管理系統與被管對象之間傳遞命令和負責解釋管理操作命令。Mr.ruiwu@網絡管理的邏輯結構圖7-25Internet網絡管理邏輯模型2、Internet網絡管理邏輯模型由于TCP/IP的廣泛使用，Internet網絡管理模型也受到了廣泛的重視，幾乎成了事實上的國際標準。Internet的網絡管理模型如圖7-25所示。

這種管理機構能為管理進程提供透明的管理環境,一個外部代理能夠管理多個網絡資源。網絡管理進程（網控中心）管理代理被管對象管理代理被管對象外部代理被管對象Mr.ruiwu@ISO網路管理功能域

配置管理性能管理計費管理安全管理故障管理系統管理功能：對象管理狀態管理關系屬性日志控制負荷監測告警報告事件報告測試管理/測試報告記賬表安全審查追蹤等圖7-26OSI網絡管理功能模塊之間的關系

為了實現對網絡中的所有對象進行管理，OSI定義了網絡管理統一的國際性標準（5個基本功能域），基本模塊的相互關系如圖7-26所示。Mr.ruiwu@ISO網路管理功能域

1、配置管理（ConfigurationManagement，CM）配置管理是ISO網絡管理功能域中的第一個管理模塊,它具有以下4項基本功能。

1配置信息具有自動獲取功能：一個大型網絡需要管理的設備很多，因此，網絡管理系統應該具有配置信息自動獲取的功能。2具有自動配置功能：通過網絡管理協議標準設置配置信息、自動登錄到設備進行配置的信息、修改管理性能配置信息。3配置一次性檢查：在網絡配置中，對網絡正常運行影響最大的主要是路由器端口配置和路由器信息配置和檢查。4用戶操作記錄功能：在配置管理中對用戶操作進行記錄并保存,以便管理人員隨時查看用戶在特定時間進行特定配置操作。Mr.ruiwu@ISO網路管理功能域2、性能管理（PerformanceManagement，PM）性能管理的功能是負責監視整個網絡的性能，性能管理的目標是收集和統計數據。性能管理主要包括以下內容：

1

信息收集：要實現性能管理，首先必須要從被管對象中收集與性能有關的那些數據，然后進行信息統計、分析和監測。2信息統計：統計被管對象與性能有關的歷史數據的產生、記錄和維護。3信息分析：分析被管的性能數據和網絡線路質量，以判斷是否處于正常水平，為網絡進一步規劃與調整提供依據。4信息監測：監測網絡對象的性能，為每個重要的變量決定一個合適的性能閥值，超過該限值時將報警發送到網絡管理系統。Mr.ruiwu@ISO網路管理功能域3、故障管理（FaultManagement，FM）故障管理是在系統出現異常情況下的管理操作，找出故障的位置并進行恢復。故障管理包括以下4個步驟。

1檢測故障：通過檢測來判斷故障類型或被動接收網絡上的各種事件信息，對其中的關鍵部分保持跟蹤,并生成網絡故障記錄。2隔離故障：通過診斷、測試，識別故障根源，對根源故障進行隔離。3修復故障：對不嚴重的簡單故障由網絡設備進行檢測、診斷和恢復；對于嚴重的故障，報警提醒管理者進行維修和更換。4記錄故障監測結果：記錄排除故障的步驟和與故障相關的值班員日志，構造排錯行記錄，以反映故障整個過程的各個方面。Mr.ruiwu@ISO網路管理功能域4、安全管理（SecurityManagement，SM）安全管理模塊的功能分為網絡管理本身的安全和被管網絡對象的安全。安全管理的功能主要包括以下4個方面：

1授權管理：分配權限給所請求的實體。2訪問控制管理：訪問控制管理：分配口令、進入或修改訪問控制表和能力表。3安全管理：安全檢查跟蹤和事件處理。4密鑰管理：進行密鑰分配。Mr.ruiwu@ISO網路管理功能域

5、計費管理（AccountingManagement，AM）計費管理模塊的功能是在有償使用的網絡上統計有哪些用戶，使用何種信道，傳輸多少數據，訪問什么資源信息，即統計不同線路和各類資源的利用情況。計費管理的目標是提高網絡資源的利用率，以便使一個或一組用戶可以按規則利用網絡資源。由于網絡資源可以根據其能力的大小而合理地分配，這樣的規則使網絡故障降低到最小限度，也可以使所有用戶對網絡的訪問更加公平。為了實現合理計費，計費管理必須和性能管理相結合。計費管理包括：計費數據采集、數據管理與數據維護、政策比較與決策支持、數據分析與費用計算等。Mr.ruiwu@簡單網絡管理協議

為了更好地進行網絡管理，許多國際標準化組織都提出了自己的網絡管理標準和網絡管理方案，網絡管理協議主要有CMIP、SNMP和CMOT三種。目前使用最廣泛的網絡管理協議是簡單網絡管理協議（SNMP）。

1、SNMP的結構為了提高網絡管理系統的效率，SNMP在傳輸層采用了用戶數據報協議（UDP)，針對Internet飛速發展和協議的不斷擴充和完善，SNMP盡可能地降低管理代理的軟件成本和資源要求,提供較強的遠程管理,以適應對Internet資源的管理。并且,SNMP結構具有可擴充性,以適應網絡系統的發展。SNMP的結構如圖7-27所示。Mr.ruiwu@簡單網絡管理協議圖7-27SNMP的功能結構主機管理代理MIB網關MIB終端服務器管理代理MIB管理進程管理代理

⑴管理進程（manager）：協助網絡管理員對整個網絡或網絡中的設備進行日常管理的一組軟件，一般運行在網絡管理站（網絡管理中心）的主機上。

⑵管理代理（agent）：是一種在被管理的網絡設備中運行的軟件，負責執行管理進程的管理操作。

⑶管理信息庫：是一個概念上的數據庫,由管理對象組成,每個管理代理屬于本地的管理對象，各管理代理控制的管理對象共同組成全網管理信息庫。Mr.ruiwu@簡單網絡管理協議圖7-28SNMP工作方式示意圖中心MIB本地MIB本地MIB應答應答請求請求AgentManagerAgent2、SNMP的工作方式管理進程（Manager）和管理代理（Agent）之間主要以請求/應答方式工作。Manager向Agent發出請求命令，獲取或設置網絡元素（被管設備）參數；Agent向Manager返回“應答”響應，報告“請求”的執行結果。Interne