计算机网络安全：第9章 网络安全基础

第9章网络安全基础

学习目标计算机网络技术在不断发展着，其安全不容忽视，因为计算机网络的安全直接关系到该网络的稳定性和保密性。在本章中，将对计算机网络安全相关的基础知识进行简单的介绍。本章要点网络安全概述网络安全的策略防火墙技术的使用黑客的防范网络安全产品简介数据加密与备份访问控制局域网的日常维护网络安全概述在人们广泛使用计算机网络的今天，计算机网络对安全要求越来越高。下面将简单介绍计算机网络安全的相关知识。计算机网络安全的定义影响网络安全的因素网络安全的目标计算机网络安全的定义从计算机系统安全的定义中，总结出计算机网络安全的定义为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。因此，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露。影响网络安全的因素目前，影响计算机网络安全的因素主要分为对网络中信息的威胁和对网络中设备的威胁两种。可以将其归纳总结为以下几个方面。物理破坏：各种网络硬件设备是组成计算机网络的重要部件之一，这些设备可能会遇到诸如地震、雷击、火灾等来自自然界的破坏；此外，还会遭遇人为的破坏，比如盗窃、操作失误等。影响网络安全的因素系统软件缺陷：目前，计算机网络操作系统以及各种程序由于种种原因，都会存在一些无法避免的缺陷和漏洞，黑客们许多针对网络的攻击都是通过利用这些漏洞来进行的。人为失误：在对网络进行管理时，总是无法避免人为失误。网络黑客攻击：黑客攻击是目前最让人头疼的一种影响网络安全的重要因素，因为黑客的攻击手段和方法数以万计，用户是无法真正对其进行全面防范的，只能针对某些常见的攻击手段进行检测和防御。影响网络安全的因素计算机病毒：计算机病毒的危害性众所周知。如今网络上传播的计算机病毒，其传播范围更广，破坏性更大。病毒会对网络资源进行破坏，干扰网络的正常工作，甚至造成整个网络瘫痪。因此，计算机病毒是影响网络安全的一个重要因素。网络安全的目标根据网络安全的定义和影响网络安全的因素，网络安全的目标是需要该网络能够达到或具有可靠、可用、完整、保密和真实等特点。一个安全的计算机网络，不仅要保护计算机网络设备和计算机网络系统的安全，还要保护数据安全。网络安全防范的重点主要应该放在防范计算机病毒和防范黑客这两个方面。计算机网络安全策略计算机网络安全受到多方面的威胁，所以必须采用必要的安全策略，才能够保证网络正常运行。下面介绍几种常见的网络安全策略。物理安全策略访问控制策略物理安全策略所谓物理安全策略，是指保护网络硬件系统，其中包括网络服务器、工作站和其他计算机设备等硬件实体，以及通信链路和配套设施不被人为破坏或免受自然灾害损害。通常情况下，需要加强设备运行环境的安全保护和执行严格的安全管理制度。访问控制策略网络安全防范和保护的主要策略是对计算机和网络设备进行访问控制，其目的是保护网络资源不被非法使用和非法访问。具体内容包括以下两个方面：权限控制：进入系统的用户被赋予一定的操作权限。通过这些权限，可以限制用户只能访问某些目录、文件和其他资源等，并只能进行指定的相关操作，不能越权使用系统。身份认证：对用户入网访问时进行身份识别。常用的技术是验证用户的用户名和口令，只有全部确认无误后，用户才能进入网络系统，否则系统拒绝访问。防火墙技术防火墙技术是专门为增强计算机网络安全性而创建的一种技术手段，它使得网络更加稳定和安全，在下面将详细介绍防火墙技术的相关知识。防火墙的概念防火墙的功能防火墙的基本类型防火墙的选择防火墙的概念在计算机网络中，防火墙技术是指能够增强内部网络安全性的一组系统，它用于加强网络间的访问控制，防止外部用户非法使用内部网络的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。防火墙的功能防火墙的功能比较具有针对性，一般而言，防火墙具有以下几个功能。过滤进出网络的数据包：防火墙能够对进出网络的所有数据进行检测，从而筛选过滤出对网络有害、具有恶意的数据，确保网络的安全。保护端口信息：保护并隐藏计算机在Internet上的端口信息，黑客不能扫描到端口信息，便不能进入计算机系统，攻击也就无从谈起。防火墙的功能管理进出网络的访问行为：可以对进出网络的访问进行管理，限制或禁止某些访问行为。此外，防火墙还可以对一些恶意的访问行为进行封堵，使其无法访问。过滤后门程序：黑客和木马程序的危害性极大，通过使用防火墙，能够对其进行有效的防范，防火墙可以把特洛伊木马和其他“后门”程序过滤掉。保护个人资料：当不明程序在改动或复制用户的计算机资料时，防火墙会发出警告并进行阻止，保护计算机中的个人资料不被泄露。防火墙的功能对攻击行为进行检测和报警：安装有防火墙的计算机，能够检测是否有攻击行为的发生，有则发出报警，并给出攻击的详细信息。提供安全状况报告：防火墙可以提供计算机的安全状况报告，以便及时对安全防范措施进行调整，让用户做到知己知彼，百战不殆。防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。防火墙的基本类型防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，从总体来讲，可以分为分组过滤和应用代理两大类：分组过滤（PacketFiltering）：这类防火墙位于网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过。防火墙的基本类型应用代理（ApplicationProxy）：这类防火墙，通常人们也称之为应用网关（ApplicationGateway）。它作用在应用层，其特点是完全“阻隔”了网络之间的通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。防火墙的选择如何选择适合的防火墙呢？通常情况下，用户在选择防火墙时，应该从以下几个方面来考虑：防火墙种类用户结点数折衷考虑考虑NAT功能考虑VPN功能日志功能防火墙规则防火墙种类目前，市场上有6种基本类型的防火墙，分别是嵌入式防火墙、基于企业软件的防火墙、基于企业硬件的防火墙、SOHO软件防火墙、SOHO硬件防火墙和特殊防火墙。用户应该按自己的需要选择防火墙的种类。用户结点数考虑保护的结点数是选择防火墙的又一重要方面。要加以保护的结点数决定了采用防火墙的种类。折衷考虑软件防火墙具有比硬件防火墙更灵活的性能，但是安装软件防火墙需要选择硬件平台和操作系统。而硬件防火墙经过厂商的预先包装，启动及运作要比软件防火墙快得多。目前，几乎所有防火墙都捆绑了网络地址转换（NAT）功能。NAT能够把专用或非法IP地址转换成合法的公共地址。NAT结构可分为以下4类。一对一寻址：这是NAT最基本的形式，可以把内部IP地址映射到不同的外部公共IP地址。考虑NAT功能考虑NAT功能多对一寻址：这种类型是多个内部IP地址可以映射到一个外部IP地址，如果有一个内部DHCP作用域，并把它映射到一个外部IP地址，建议采用多对一寻址。多对多寻址：将其他网络上几组不同的IP地址映射成内部或外部的IP地址。一对多寻址：使用于需要把一个IP地址分成两个地址的负载均衡场合。如果需要部署一个庞大、复杂的电信级网络，这就需要使用NAT的高级特性。考虑VPN功能具有VPN功能的防火墙可以确保隐私和数据的完整性。提醒用户注意，VPN必须有两个端点，如果没有第二个端点连接至VPN，就无须购买具有VPN功能的防火墙。VPN技术是通过加密隧道发送数据，从而把数据与外界隔离开来。日志功能防火墙的又一重要特性是日志功能。用户最好选择能够记录多种事件的日志、过滤多种事件的防火墙。过滤器能够使用户以合理、易懂的方式查看不同的事件。用户应该能够根据IP地址、网络号、连接类型、域名和日期时间等基本过滤器过滤事件。防火墙规则每一个防火墙都有一个规则文件，该文件是防火墙上最重要的配置文件。防火墙规则对防火墙允许哪些类型的流量进出网络作出规定。一些防火墙具有自动给规则排列次序的特性。具有这一特性的防火墙最好同时具有开启及关闭该特性的功能。自动次序独立规则制订是一个出色的特性，它能帮助用户合理地为规则排列次序。防范黑客目前，黑客对计算机网络的攻击非常频繁，因为它具有不可预测性和灵活性，因此对其进行防范也非常困难。在防范黑客攻击时，需要对黑客的定义和攻击方法机型了解，这样才能够有的放矢，更好地确保网络的安全。防范黑客黑客的定义黑客攻击的方法技术防范措施黑客的定义什么是“黑客”呢？早期，“黑客”一词是没有贬义的，不过，随着少数人利用非法手段获得的系统访问权闯入远程计算机系统，破坏重要数据，这样的人开始玷污了“黑客”的名声，“黑客”才逐渐演变成入侵者、破坏者的代名词。虽然现在对黑客的准确定义仍有不同的意见，但是，从计算机网络信息安全角度来说，“黑客”普遍是指对计算机系统的非法侵入者。黑客攻击的方法黑客的攻击方法非常繁多，其采用的主要攻击方式有利用默认账号进行攻击、获取密码、网页欺骗、放置特洛伊木马、系统漏洞、炸弹攻击、电子邮件攻击等。利用默认账号进行攻击获取密码网页欺骗技术放置特洛伊木马系统漏洞炸弹攻击电子邮件攻击利用默认账号进行攻击大家都知道，很多操作系统都有默认的用户名和密码，甚至没有设置用户密码。获取密码黑客通过各种手段，可以得到用户登录服务器的密码，以便获得服务器的控制权。获取密码的方法主要有网络监听、强行破解和获取密码文件3种。网络监听：黑客利用网络监听的方法可以接收到网络上传输的所有信息，如果信息没有加密，监听者可以获得该网段内所有的用户账号和密码。获取密码强行破解：黑客通过强行破解就如同拿着一般万能钥匙，通过这把钥匙来破解和打开网络中一扇扇被锁着的门。获取密码：当一个黑客获得一个用户登录服务器的密码文件后，可以非常容易地获取用户密码。网页欺骗技术所谓的网页欺骗技术，实际上是通过网页作掩护，引诱用户单击某个网络链接打开一个特殊的网页，从而向黑客服务器发出请求，致使黑客软件骗过操作系统和防火墙，名正言顺地对系统进行攻击。放置特洛伊木马特洛伊木马经常被黑客伪装成工具软件或游戏软件等。一旦这些工具软件或游戏软件程序被打开或被执行后，特洛伊木马就会在本地计算机中执行程序指令，这时远程的黑客即可通过该程序得到计算机的控制权，然后就可以任意地复制、删除或修改计算机中的文件、修改参数设定以及查看整个硬盘中的内容等。系统漏洞目前，众多的操作系统都存在着系统漏洞，许多黑客利用这些系统漏洞来直接攻击计算机，以窃取资源。通常这种系统漏洞也被戏称为“后门”程序。炸弹攻击炸弹攻击的目的在于让目标结点或主机出现超负荷运转、网络堵塞等故障，从而造成攻击目标的系统崩溃，以达到攻击的目的。常见的炸弹攻击有邮件炸弹攻击、逻辑炸弹攻击以及聊天室炸弹攻击等。电子邮件攻击电子邮件攻击分为邮件炸弹和邮件欺骗两种方式，下面将分别讲解。邮件炸弹：指用伪造的IP地址和电子邮件地址向攻击目标的电子邮箱中发送数以千万次，甚至无穷多次相同内容的垃圾邮件，致使该电子邮箱爆满而不能使用，同时还可能会影响邮件服务器的正常运行，甚至造成邮件服务器系统崩溃。邮件欺骗：黑客以系统管理员的邮件地址给用户发送消息，佯称自己为系统管理员，要求用户更改密码，并发送回服务器，这样黑客便轻而易举地得到了该电子邮箱的密码。技术防范措施了解了黑客常用的攻击方法后，用户可以根据自己的实际情况，采取相应的措施对黑客攻击进行防范，下面讲解几种常用的防范黑客的技术：删掉不必要的协议：对于服务器和主机系统来说，通常情况下，安装TCP/IP协议就够了，其他的协议均可以删除。当需要某个网络协议时，重新安装即可。取消文件夹隐藏共享：如果用户使用Windows2000/XP系统，不妨将已经打开的默认共享关闭，以提高系统的安全性。技术防范措施关闭“文件和打印共享”：当用户长时间不需要使用文件和打印共享功能时，可以将它关闭。因为“文件和打印共享”功能也是黑客入侵的很好的安全漏洞。关闭不必要的端口：黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序，则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口。安装安全软件：用户应该在计算机中安装并使用必要的防黑软件、杀毒软件和防火墙。在计算机连接到网络时将其打开，这样可以确保系统的安全。技术防范措施电子邮件接收：在接收电子邮件时，不要打开身份不明的电子邮件及其附件。防止IP地址泄漏：大多数黑客和黑客软件都需要先查探到对方的IP地址后，才能对其发动攻击，如IPHunter就是一种专门用于窃取IP地址的软件。因此，要想防御黑客攻击，就得保护好自己的IP地址。网络安全产品简介为了增强计算机网络的安全性，需要在计算机中安装必要的杀毒软件和防火墙软件，这样才能够更加稳定地使用该网络。数据的加密与备份对计算机中的数据进行加密和备份操作，能够让这些资料更加安全，防止恶意病毒的破坏和重要信息被窃取。数据的加密数据的备份数据的加密用户如果使用Windows2000/XP操作系统，可以使用一种最为简单的数据加密方法，即Windows2000/XP内置的加密文件系统（EFS，EncryptingFilesSystem）。【例13-1】在WindowsXP操作系统中对文件夹进行加密。数据的备份用户使用计算机时，为了防止某些重要的数据（如公司机密文件）被病毒或黑客破坏，可以将其进行备份。数据备份的方法有多种，比如直接将数据复制到U盘等其他存储设备中，同样也可以使用Windows自带的备份工具进行。【例13-2】使用Windows备份工具备份“我的文档和设置”。【例13-3】使用Windows备份工具还原“我的文档和设置”。访问控制对计算机中的一些重要文件或者文件夹进行访问控制，这样可以增强这些文件的安全性。在计算机中设置访问控制的方法比较简单，即设置文件或者文件夹权限即可。在NTFS格式的磁盘分区中可为每个用户或用户组单独设置文件和文件夹访问权限。【例13-4】设置、查看、更改或删除文件和文件夹权限。【例13-5】设置共享文件夹访问权限。设置、查看或删除共享文件夹或驱动器权限。小型局域网安全与维护目前，许多的公司和家庭都组建了适合自己的小型局域网。在使用这个局域网的同时，也需要对其进行更好的维护，这样才能够保证网络高效、安全地运行。一般情况下，这类局域网的维护分为硬件维护与软件维护两个方面，下面分别进行简单的介绍。局域网硬件的维护局域网软件的维护局域网硬件的维护在局域网中，接入网络中的各台计算机、网络连接介质以及网络连接设备等都属于硬件维护的范畴。这类设备和部件都是电子类产品，由于使用年限和环境的影响，或多或少都会产生设备和线路老化，如何对这些设备进行维护呢？下面分别进行介绍。查看设备运行状态检查设备散热性能保持网络设备的清洁查看设备运行状态使用网络的同时，需要采用一些专用的软件对网络中的硬件设备和线路进行监测，以及时了解网络的运行状态；此外，还需要对网络中各个设备进行定期的检查，以便及时发现和解决网络中出现的问题。检查设备散热性能在计算机网络中，需要对网络设备的散热性进行检查，这是因为大多数设备在工作过程中会产生热能，使设备运行时温度升高。保持网络设备的清洁由于处于局域网中的网络设备，如集线器、交换机、路由器、Modem以及网卡等，长期裸露在环境中使用，势必会在网络设备外部和内部聚积过多的灰尘，这样会导致网络设备发生故障，甚至损坏。局域网软件的维护相对于局域网硬件维护，局域网软件的维护包括的内容显得更多一些。其中主要包括网络操作系统的维护、网络协议的调试、重要数据的备份以及网络安全等。网络操作系统的维护网络协议的调试重要