第章网络安全概述与环境配置

计算机系统安全与保护主讲人：李双远吉林化工学院信息中心第一章网络安全概述与环境配置内容提要本章介绍网络安全研究的体系研究网络安全的必要性、研究网络安全社会意义以及目前计算机网络安全的相关法规。介绍了如何评价一个系统或者应用软件的安全等级。网络安全的攻防研究体系网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。网络安全的攻防体系攻击技术如果不知道如何攻击，再好的防守也是经不住考验的，攻击技术主要包括五个方面：1、网络监听：自己不主动去攻击别人，在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。2、网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。3、网络入侵：当探测发现对方存在漏洞以后，入侵到目标计算机获取信息。4、网络后门：成功入侵目标计算机后，为了对“战利品”的长期控制，在目标计算机中种植木马等后门。5、网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。防御技术防御技术包括四大方面：1、操作系统的安全配置：操作系统的安全是整个网络安全的关键。2、加密技术：为了防止被监听和盗取数据，将所有的数据进行加密。3、防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。4、入侵检测：如果网络防线最终被攻破了，需要及时发出被入侵的警报。网络安全的攻防体系为了保证网络的安全，在软件方面可以有两种选择，一种是使用已经成熟的工具，比如抓数据包软件Sniffer，网络扫描工具X-Scan等等，另一种是自己编制程序，目前网络安全编程常用的计算机语言为C、C++或者Perl语言。为了使用工具和编制程序，必须熟悉两方面的知识一方面是两大主流的操作系统：UNIX家族和Window系列操作系统，另一方面是网络协议，常见的网络协议包括：TCP（传输控制协议）IP（网络协议）UDP（用户数据报协议）SMTP（简单邮件传输协议）POP（邮局协议）FTP（文件传输协议）等等。网络安全的层次体系从层次体系上，可以将网络安全分成四个层次上的安全：1、物理安全；2、逻辑安全；3、操作系统安全；4、联网安全。物理安全物理安全主要包括五个方面：1、防盗；2、防火；3、防静电；4、防雷击；5、防电磁泄漏。1、防盗：像其他的物体一样，计算机也是偷窃者的目标，例如盗走软盘、主板等。计算机偷窃行为所造成的损失可能远远超过计算机本身的价值，因此必须采取严格的防范措施，以确保计算机设备不会丢失。物理安全2、防火：计算算机机房发生生火灾一般是是由于电气原原因、人为事事故或外部火火灾蔓延引起起的。电气设设备和线路因因为短路、过过载、接触不不良、绝缘层层破坏或静电电等原因引起起电打火而导导致火灾。人为事故是指指由于操作人人员不慎，吸吸烟、乱扔烟烟头等，使存存在易燃物质质（如纸片、、磁带、胶片片等）的机房房起火，当然然也不排除人人为故意放火火。外部火灾灾蔓延是因外外部房间或其其他建筑物起起火而蔓延到到机房而引起起火灾。物理安全3、防静电：静电是由物体体间的相互摩摩擦、接触而而产生的，计计算机显示器器也会产生很很强的静电。。静电产生后，，由于未能释释放而保留在在物体内，会会有很高的电电位（能量不不大），从而而产生静电放放电火花，造造成火灾。还可能使大规规模集成电器器损坏，这种种损坏可能是是不知不觉造造成的。物理安全利用引雷机理理的传统避雷雷针防雷，不不但增加雷击击概率，而且且产生感应雷雷，而感应雷雷是电子信息息设备被损坏坏的主要杀手手，也是易燃燃易爆品被引引燃起爆的主主要原因。雷击防范的主主要措施是，，根据电气、、微电子设备备的不同功能能及不同受保保护程序和所所属保护层确确定防护要点点作分类保护护；根据雷电和操操作瞬间过电电压危害的可可能通道从电电源线到数据据通信线路都都应做多层保保护。物理安全5、防电磁泄漏漏电子计算机和和其他电子设设备一样，工工作时要产生生电磁发射。。电磁发射包括括辐射发射和和传导发射。。这两种电磁发发射可被高灵灵敏度的接收收设备接收并并进行分析、、还原，造成成计算机的信信息泄露。屏蔽是防电磁磁泄漏的有效效措施，屏蔽蔽主要有电屏屏蔽、磁屏蔽蔽和电磁屏蔽蔽三种类型。逻辑安全计算机的逻辑辑安全需要用用口令、文件件许可等方法法来实现。可以限制登录录的次数或对对试探操作加加上时间限制制；可以用软软件来保护存存储在计算机机文件中的信信息；限制存取的另另一种方式是是通过硬件完完成，在接收收到存取要求求后，先询问问并校核口令令，然后访问问列于目录中中的授权用户户标志号。此外，，有一一些安安全软软件包包也可可以跟跟踪可可疑的的、未未授权权的存存取企企图，，例如如，多多次登登录或或请求求别人人的文文件。。操作系系统安安全操作系系统是是计算算机中中最基基本、、最重重要的的软件件。同一计计算机机可以以安装装几种种不同同的操操作系系统。。如果计计算机机系统统可提提供给给许多多人使使用，，操作作系统统必须须能区区分用用户，，以便便于防防止相相互干干扰。。一些安安全性性较高高、功功能较较强的的操作作系统统可以以为计计算机机的每每一位位用户户分配配账户户。通常，，一个个用户户一个个账户户。操操作系系统不不允许许一个个用户户修改改由另另一个个账户户产生生的数数据。。联网安安全联网的的安全全性通通过两两方面面的安安全服服务来来达到到：1、访问问控制制服务务：用用来保保护计计算机机和联联网资资源不不被非非授权权使用用。2、通信信安全全服务务：用用来认认证数数据机机要性性与完完整性性，以以及各各通信信的可可信赖赖性。。研究网网络安安全的的必要要性网络需需要与与外界界联系系，受受到许许多方方面的的威胁胁物理威威胁系统漏漏洞造造成的的威胁胁身份鉴鉴别威威胁线缆连连接威威胁有害程程序等等方面面威胁胁。物理威威胁物理威威胁包包括四四个方方面：：偷窃窃、废废物搜搜寻、、间谍谍行为为和身身份识识别错错误。。1、偷窃窃网络安安全中中的偷偷窃包包括偷偷窃设设备、、偷窃窃信息息和偷偷窃服服务等等内容容。如如果他他们想想偷的的信息息在计计算机机里，，那他他们一一方面面可以以将整整台计计算机机偷走走，另另一方方面通通过监监视器器读取取计算算机中中的信信息。。2、废物物搜寻寻就是在在废物物（如如一些些打印印出来来的材材料或或废弃弃的软软盘））中搜搜寻所所需要要的信信息。。在微微机上上，废废物搜搜寻可可能包包括从从未抹抹掉有有用东东西的的软盘盘或硬硬盘上上获得得有用用资料料。3、间谍谍行为为是一种种为了了省钱钱或获获取有有价值值的机机密、、采用用不道道德的的手段段获取取信息息。4、身份份识别别错误误非法建建立文文件或或记录录，企企图把把他们们作为为有效效的、、正式式生产产的文文件或或记录录，如如对具具有身身份鉴鉴别特特征物物品如如护照照、执执照、、出生生证明明或加加密的的安全全卡进进行伪伪造，，属于于身份份识别别发生生错误误的范范畴。。这种种行为为对网网络数数据构构成了了巨大大的威威胁。。系统漏漏洞威威胁系统漏漏洞造造成的的威胁胁包括括三个个方面面：乘乘虚而而入、、不安安全服服务和和配置置和初初始化化错误误。1、乘虚虚而入入例如，，用户户A停止了了与某某个系系统的的通信信，但但由于于某种种原因因仍使使该系系统上上的一一个端端口处处于激激活状状态，，这时时，用用户B通过这这个端端口开开始与与这个个系统统通信信，这这样就就不必必通过过任何何申请请使用用端口口的安安全检检查了了。2、不安安全服服务有时操操作系系统的的一些些服务务程序序可以以绕过过机器器的安安全系系统，，互联联网蠕蠕虫就就利用用了UNIX系统中中三个个可绕绕过的的机制制。3、配置置和初初始化化错误误如果不不得不不关掉掉一台台服务务器以以维修修它的的某个个子系系统，，几天天后当当重启启动服服务器器时，，可能能会招招致用用户的的抱怨怨，说说他们们的文文件丢丢失了了或被被篡改改了，，这就就有可可能是是在系系统重重新初初始化化时，，安全全系统统没有有正确确的初初始化化，从从而留留下了了安全全漏洞洞让人人利用用，类类似的的问题题在木木马程程序修修改了了系统统的安安全配配置文文件时时也会会发生生。身份鉴鉴别威威胁身份鉴鉴别造造成威威胁包包括四四个面面：口口令圈圈套、、口令令破解解、算算法考考虑不不周和和编1、口令令圈套套口令圈圈套是是网络络安全全的一一种诡诡计，，与冒冒名顶顶替有有关。。常用用的口口令圈圈套通通过一一个编编译代代码模模块实实现，，它运运行起起来和和登录录屏幕幕一模模一样样，被被插入入到正正常有有登录录过程程之前前，最最终用用户看看到的的只是是先后后两个个登录录屏幕幕，第第一次次登录录失败败了，，所以以用户户被要要求再再输入入用户户名和和口令令。实实际上上，第第一次次登录录并没没有失失败，，它将将登录录数据据，如如用户户名和和口令令写入入到这这个数数据文文件中中，留留待使使用。。2、口令令破解解破解口口令就就像是是猜测测自行行车密密码锁锁的数数字组组合一一样，，在该该领域域中已已形成成许多多能提提高成成功率率的技技巧。。3、算法法考虑虑不周周口令输输入过过程必必须在在满足足一定定条件件下才才能正正常地地工作作，这这个过过程通通过某某些算算法实实现。。在一一些攻攻击入入侵案案例中中，入入侵者者采用用超长长的字字符串串破坏坏了口口令算算法，，成功功地进进入了了系统统。4、编辑辑口令令编辑口口令需需要依依靠操操作系系统漏漏洞，，如果果公司司内部部的人人建立立了一一个虚虚设的的账户户或修修改了了一个个隐含含账户户的口口令，，这样样，任任何知知道那那个账账户的的用户户名和和口令令的人人便可可以访访问该该机器器了。。辑口口令。。线缆连连接威威胁线缆连连接造造成的的威胁胁包括括三个个方面面：窃窃听、、拨号号进入入和冒冒名顶顶替。。1、窃听听对通信信过程程进行行窃听听可达达到收收集信信息的的目的的，这这种电电子窃窃听不不一定定需要要窃听听设备备一定定安装装在电电缆上上，可可以通通过检检测从从连线线上发发射出出来的的电磁磁辐射射就能能拾取取所要要的信信号，，为了了使机机构内内部的的通信信有一一定的的保密密性，，可以以使用用加密密手段段来防防止信信息被被解密密。2、拨号号进入入拥有一一个调调制解解调器器和一一个电电话号号码，，每个个人都都可以以试图图通过过远程程拨号号访问问网络络，尤尤其是是拥有有所期期望攻攻击的的网络络的用用户账账户时时，就就会对对网络络造成成很大大的威威胁。。3、冒名名顶替替通过使使用别别人的的密码码和账账号时时，获获得对对网络络及其其数据据、程程序的的使用用能力力。这这种办办法实实现起起来并并不容容易，，而且且一般般需要要有机机构内内部的的、了了解网网络和和操作作过程程的人人参与与。有害程程序威威胁有害程程序造造成的的威胁胁包括括三个个方面面：病病毒、、代码码炸弹弹和特特洛伊伊木马马。1、病毒毒病毒是是一种种把自自己的的拷贝贝附着着于机机器中中的另另一程程序上上的一一段代代码。。通过过这种种方式式病毒毒可以以进行行自我我复制制，并并随着着它所所附着着的程程序在在机器器之间间传播播。2、代码码炸弹弹代码炸炸弹是是一种种具有有杀伤伤力的的代码码，其其原理理是一一旦到到达设设定的的日期期或钟钟点，，或在在机器器中发发生了了某种种操作作，代代码炸炸弹就就被触触发并并开始始产生生破坏坏性操操作。。代码码炸弹弹不必必像病病毒那那样四四处传传播，，程序序员将将代码码炸弹弹写入入软件件中，，使其其产生生了一一个不不能轻轻易地地找到到的安安全漏漏洞，，一旦旦该代代码炸炸弹被被触发发后，，这个个程序序员便便会被被请回回来修修正这这个错错误，，并赚赚一笔笔钱，，这种种高技技术的的敲诈诈的受受害者者甚至至不知知道他他们被被敲诈诈了，，即便便他们们有疑疑心也也无法法证实实自己己的猜猜测。。3、特洛伊木木马特洛伊木马马程序一旦旦被安装到到机器上，，便可按编编制者的意意图行事。。特洛伊木木马能够摧摧毁数据，，有时伪装装成系统上上已有的程程序，有时时创建新的的用户名和和口令。研究网络安安全的社会会意义目前研究网网络安全已已经不只为为了信息和和数据的安安全性。网络安全已已经渗透到到国家的经经济、军事事等领域。。网络安全与与政治目前政府上上网已经大大规模的发发展起来，，电子政务务工程已经经在全国启启动并在北北京试点。。政府网络络的安全直直接代表了了国家的形形象。1999年到2001年，一些政政府网站，，遭受了四四次大的黑黑客攻击事事件。第一次在99年1月份左右，，美国黑客客组织“美国地下军军团”联合了波兰兰的、英国国的黑客组组织以及世世界上的黑黑客组织，，有组织地地对我们国国家的政府府网站进行行了攻击。。第二次，99年7月份，当台台湾李登辉辉提出了两两国论的时时候。第三次是在在2000年5月8号，美国轰轰炸我国驻驻南联盟大大使馆后。。第四次是在在2001年4月到5月，美机撞撞毁王伟战战机侵入我我海南机场场。网络安全与与经济一个国家信信息化程度度越高，整整个国民经经济和社会会运行对信信息资源和和信息基础础设施的依依赖程度也也越高。我我国计算机机犯罪的增增长速度超超过了传统统的犯罪，，1997年20多起，1998年142起，1999年908起，2000年上半年1420起，再后来来就没有办办法统计了了。利用计计算机实施施金融犯罪罪已经渗透透到了我国国金融行业业的各项业业务。近几几年已经破破获和掌握握100多起，涉及及的金额几几个亿。2000年2月份黑客攻攻击的浪潮潮，是互连连网问世以以来最为严严重的黑客客事件。99年4月26日，台湾人人编制的CIH病毒的大爆爆发，有统统计说我国国大陆受其其影响的PC机总量达36万台之多。。有人估计计在这次事事件中，经经济损失高高达近12亿元。1996年4月16日，美国金金融时报报报道，接入入Internet的计算机，，达到了平平均每20秒钟被黑客客成功地入入侵一次的的新记录。。网络安全与与社会稳定定互连网上散散布一些虚虚假信息、、有害信息息对社会管管理秩序造造成的危害害，要比现现实社会中中一个造谣谣要大的多多。99年4月，河南商商都热线一一个BBS，一张说交交通银行郑郑州支行行行长协巨款款外逃的帖帖子，造成成了社会的的动荡，三三天十万人人上街排队队，一天提提了十多亿亿。2001年2月8日正是春节节，新浪网网遭受攻击击，电子邮邮件服务器器瘫痪了18个小时，造造成了几百百万的用户户无法正常常的联络。。网上不良信信息腐蚀人人们灵魂，，色情资讯讯业日益猖猖獗。1997年5月去过色情情网站浏览览过的美国国人，占了了美国网民民的28.2%。河南郑州州刚刚大专专毕业的杨杨某和何某某，在商丘丘信息港上上建立了一一个个人主主页，用五五十多天的的时间建立立的主页存存了一万多多幅淫秽照照片的网站站、100多部小说和和小电影。。不到54天的时间，，访问他的的人到了30万。网络安全与与军事在第二次世世界大战中中，美国破破译了日本本人的密码码，将山本本的舰队几几乎全歼，，重创了日日本海军。。目前的军军事战争更更是信息化化战争，下下面是美国国三位知名名人士对目目前网络的的描述。美国著名未未来学家阿阿尔温托托尔勒说过过“谁掌握了信信息，控制制了网络，，谁将拥有有整个世界界。美国前总统统克林顿说说过“今后的时代代，控制世世界的国家家将不是靠靠军事，而而是信息能能力走在前前面的国家家”。美国前陆军军参谋长沙沙利文上将将说过“信息时代的的出现，将将从根本上上改变战争争的进行方方式”。我国立法情情况目前网络安安全方面的的法规已经经写入中华华人民共和和国宪法。。于1982年8月23日写入中华华人民共和和国商标法法于1984年3月12日写入中中华人民民共和国国专利法法于1988年9月５日写写入中华华人民共共和国保保守国家家秘密法法于1993年9月2日写入中中华人民民共和国国反不正正当竞争争法。国际立法法情况美国和日日本是计计算机网网络安全全比较完完善的国国家，一一些发展展中国家家和第三三世界国国家的计计算机网网络安全全方面的的法规还还不够完完善。欧洲共同同体是一一个在欧欧洲范围围内具有有较强影影响力的的政府间间组织。。为在共同同体内正正常地进进行信息息市场运运做，该该组织在在诸多问问题上建建立了一一系列法法律，具体包括括：竞争（反反托拉斯斯）法；；产品责责任、商商标和广广告规定定；知识识产权保保护；保保护软件件、数据据和多媒媒体产品品及在线线版权；；数据保保护；跨跨境电子子贸易；；税收；；司法问问题等。。这些法法律若与与其成员员国原有有国家法法律相矛矛盾，则则必须以以共同体体的法律律为准。。我国评价价标准在我国根根据《计算机信信息系统统安全保保护等级级划分准准则》，1999年10月经过国国家质量量技术监监督局批批准发布布准则将将计算机机安全保保护划分分为以下下五个级级别第一级为为用户自自主保护护级：它它的安全全保护机机制使用用户具备备自主安安全保护护的能力力，保护护用户的的信息免免受非法法的读写写破坏。。第二级为为系统审审计保护护级：除除具备第第一级所所有的安安全保护护功能外外，要求求创建和和维护访访问的审审计跟踪踪记录，，使所有有的用户户对自己己的行为为的合法法性负责责。第三级为为安全标标记保护护级：除除继承前前一个级级别的安安全功能能外，还还要求以以访问对对象标记记的安全全级别限限制访问问者的访访问权限限，实现现对访问问对象的的强制保保护。第四级为为结构化化保护级级：在继继承前面面安全级级别安全全功能的的基础上上，将安安全保护护机制划划分为关关键部分分和非关关键部分分，对关关键部分分直接控控制访问问者对访访问对象象的存取取，从而而加强系系统的抗抗渗透能能力第五级为为访问验验证保护护级：这这一个级级别特别别增设了了访问验验证功能能，负责责仲裁访访问者对对访问对对象的所所有访问问活动。。国际评价价标准根据美国国国防部部开发的的计算机机安全标标准——可信任计计算机标标准评价价准则,也就是网网络安全全橙皮书书，一些些计算机机安全级级别被用用来评价价一个计计算机系系统的安安全性。。自从1985年橙皮书书成为美美国国防防部的标标准以来来，就一一直没有有改变过过，多年年以来一一直是评评估多用用户主机机和小型型操作系系统的主主要方法法。其他子系系统（如如数据库库和网络络）也一一直用橙橙皮书来来解释评评估。橙橙皮书把把安全的的级别从从低到高高分成4个类别：：D类、C类、B类和A类，每类类又分几几个级别别，安全级别别类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取监控、高抗渗透能力AA验证设计形式化的最高级描述和验证安全级别别D级是最低低的安全全级别，，拥有这这个级别别的操作作系统就就像一个个门户大大开的房房子，任任何人都都可以自自由进出出，是完完全不可可信任的的。对于硬件件来说，，是没有有任何保保护措施施的，操操作系统统容易受受到损害害，没有有系统访访问限制制和数据据访问限限制，任任何人不不需任何何账户都都可以进进入系统统，不受受任何限限制可以以访问他他人的数数据文件件。属于这个个级别的的操作系系统有：：DOS和Windows98等。安全级别别C1是C类的一个个安全子子级。C1又称选择择性安全全保护系系统，它它描述了了一个典典型的用用在Unix系统上安安全级别别这种级别别的系统统对硬件件又有某某种程度度的保护护，如用用户拥有有注册账账号和口口令，系系统通过过账号和和口令来来识别用用户是否否合法，，并决定定用户对对程序和和信息拥拥有什么么样的访访问权，，但硬件件受到损损害的可可能性仍仍然存在在。用户拥有有的访问问权是指指对文件件和目标标的访问问权。文文件的拥拥有者和和超级用用户可以以改变文文件的访访问属性性，从而而对不同同的用户户授予不不通的访访问权限限。安全级别别使用附加加身份验验证就可可以让一一个C2级系统用用户在不不是超级级用户的的情况下下有权执执行系统统管理任任务。授授权分级级使系统统管理员员能够给给用户分分组，授授予他们们访问某某些程序序的权限限或访问问特定的的目录。。能够达到到C2级别的常常见操作作系统有有：（1）、Unix系统（2）、Novell3.X或者更高高版本（3）、WindowsNT、Windows2000和Windows2003安全级别别B级中有三三个级别别，B1级即标志志安全保保护是支支持多级级安全（（例如：：秘密和和绝密））的第一一个级别别，这个个级别说说明处于于强制性性访问控控制之下下的对象象，系统统不允许许文件的的拥有者者改变其其许可权权限。安全级别别存在保保密、绝绝密级别别，这种种安全级级别的计计算机系系统一般般在政府府机构中中，比如如国防部部和国家家安全局局的计算算机系统统。安全级别别B2级，又叫叫结构保保护级别别它要求求计算机机系统中中所有的的对象都都要加上上标签，，而且给给设备（（磁盘、、磁带和和终端））分配单单个或者者多个安安全级别别。B3级，又叫叫做安全全域级别别,使用安装装硬件的的方式来来加强域域的安全全，例如如，内存存管理硬硬件用于于保护安安全域免免遭无授授权访问问或更改改其他安安全域的的对象。。该级别别也要求求用户通通过一条条可信任任途径连连接到系系统上。。安全级别别A级，又称称验证设设计级别别，是当当前橙皮皮书的最最高级别别，它包包含了一一个严格格的设计计、控制制和验证证过程。。该级别别包含了了较低级级别的所所有的安安全特性性设计必须从数数学角度上进进行验证，而而且必须进行行秘密通道和和可信任分布布分析。可信信任分布的含含义是：硬件件和软件在物物理传输过程程中已经受到到保护，以防防止破坏安全全系统。橙皮书也存在在不足。TCSEC是针对孤立计计算机系统，，特别是小型型机和主机系系统。假设有有一定的物理理保障，该标标准适合政府府和军队，不不适合企业，，这个模型是是静态的。环境配置网络安全是一一门实践性很很强的学科，，包括许多试试验。良好的实验配配置是必须的的。网络安全全实验配置最最少应该有两两个独立的操操作系统，而而且两个操作作系统可以通通过以太网进进行通信。安装VMware虚拟机机考虑两个方面面的因素：1、许多计算机机不具有联网网的条件。2、网络安全实实验对系统具具有破坏性。。这里介绍在一一台计算机上上安装一套操操作系统，然然后利用工具具软件再虚拟拟一套操作为为网络安全的的攻击对象。。首先准备一台台计算机，因因为需要装两两套操作系统统，所以内存存应该比较大大。计算机的的基本配置如如表1-2所示。实验设备设备名称内存建议256M以上CPU1G以上硬盘20G以上网卡10M或者100M网卡操作系统Windows2003ServerSP1以上编程工具VisualC++6.0实验设备在计算机上安安装Windows2003Server，并且打上相相关的补丁，，在本书中操操作系统是Windows2003Server，IP地址设置为10，根据需要可可以设置为其其他的IP地址。如图1-2所示。虚拟机软件VMware需要安装一个个虚拟机软件件VMware，虚拟机上的的操作系统，，可以通过网网卡和实际的的操作系统进进行通信。通通信的过程和和原理，与真真实环境下的的两台计算机机一样。虚拟拟机操作系统统的界面如图图1-3所示。VMWare是一个“虚拟拟PC”软件公司.它的产品可以以使你在一台台机器上同时时运行二个或或更多Windows、DOS、LINUX系统。与“多多启动”系统统相比，VMWare采用了完全不不同的概念。。多启动系统统在一个时刻刻只能运行一一个系统，在在系统切换时时需要重新启启动机器。VMWare是真正“同时时”运行，多多个操作系统在主系统的平平台上，就象象标准Windows应用程序那样切换。而而且每个操作作系统你都可可以进行虚拟拟的分区、配配置而不影响响真实硬盘的的数据，你甚甚至可以通过过网卡将几台台虚拟机用网网卡连接为一一个局域网，，极其方便。。安装在VMware操作系统性能能上比直接安安装在硬盘上上的系统低不不少，因此，，比较适合学学习和测试。。配置VMware虚拟机机安装完虚拟机机以后，就如如同组装了一一台电脑，这这台电脑需要要安装操作系系统。需要在虚拟机机中装操作系系统，选择菜菜单栏“File”下的“New”菜单项，再选选择子菜单“NewVirtualMachine”，如图1-8所示。配置VMware虚拟机机出现新建虚拟拟机向导，这这里有许多设设置需要说明明，不然虚拟拟机可能无法法和外面系统统进行通信。。点击向导界界面的按钮“下一步”，出现安装选选项，如图1-9所示。配置VMware虚拟机机这里有两种选选择，选项“Typical”是典型安装，，选项“Custom”是自定义安装装，选择“Custom”安装方式。点点击按钮“下一步”，进入选择操操作系统界面面，设置将来来要安装的操操作系统类型型，如图1-10所示。配置VMware虚拟机机从图1-10中可以看出几几乎常见的操操作系统在列列表中都有。。选择“WindowsAdvancedServer”，点击按钮“下一步”进入安装目录录选择界面，，如图1-11所示。配置VMware虚拟机机有两个文本框框，上面文本本框是系统的的名字，按照照默认值就可可以，下面的的文本框需要要选择虚拟操操作系统安装装地址。选择择好地址以后后，点击按钮钮“下一步”，出现虚拟机机内存大小的的界面，如图图1-12所示。配置VMware虚拟机机因为安装的是是Windows2000AdvancedServer，所以内存不不能小于128M，如果计算机机内存比较大大的话可以分分配的多一些些，但是不能能超过真实内内存大小，这这里设置为128M，点击按钮“下一步”进入网络连接接方式选择界界面，如图1-13所示。配置VMware虚拟机机VMWare的常用的是两两种联网方式式：（1）UsedBridgednetworking虚拟机操作系系统的IP地址可设置成成与主机操作作系统在同一一网段，虚拟拟机操作系统统相当于网络络内的一台独独立的机器，，网络内其他他机器可访问问虚拟机上的的操作系统，，虚拟机的操操作系统也可可访问网络内内其他机器。。（2）Usernetworkaddresstranslation（NAT）实现主机的操操作系统与虚虚拟机上的操操作系统的双双向访问。但但网络内其他他机器不能访访问虚拟机上上的操作系统统，虚拟机可可通过主机操操作系统的NAT协议访问网络络内其他机器器。一般来说，Bridged方式最方便好好用，因为这这种连接方式式将使虚拟机机就好像是一一台独立的计计算机一样。。配置VMware虚拟机机选择第一种方方式：使用网网桥方式联网网。点击按钮钮“下一步”，出现创建磁磁盘的选择界界面，如图1-14所示。配置VMware虚拟机机有三种选择：：1、Createanewvirtualdisk虚拟机将重新新建立一个虚虚拟磁盘，该该磁盘在实际际计算机操作作系统上就是是一个文件，，而且这个文文件还可以随随意的拷贝。。2、Useanexistingvirtualdisk使用已经建立立好的虚拟磁磁盘。3、Useaphysicaldisk使用实际的磁磁盘，这样虚虚拟机可以方方便的和主机机进行文件交交换，但是这这样的话，虚虚拟机上的操操作系统受到到损害的时候候会影响外面面的操作系统统。配置VMware虚拟机机因为这里是做做网络安全方方面的实验，，尽量的让虚虚拟机和外面面系统隔离，，所以这里选选择第一项。。点击按钮“下一步”，进入硬盘空空间分配界面面，如图1-15所示。配置VMware虚拟机机建立一个虚拟拟的操作系统统，这里按照照默认的4G就够了。点击击按钮“下一步”进入文件存放放路径设置界界面，如图1-16所示。配置VMware虚拟机机整个虚拟机上上操作系统就就包含在这个个文件中，点点击按钮“完成”，可以在VMware的主界面看到到刚才配置的的虚拟机，如如图1-17所示。配置VMware虚拟机机点击绿色的启启动按钮来开开启虚拟机，，如图1-18所示。配置VMware虚虚拟机机可以看看到VMware的的启动动界面面，相相当于于是一一台独独立的的计算算机，，如图图1-18所示示。配置VMware虚虚拟机机在图1-18中可以以看到到，按按下功功能键键“F2”进入系系统设设置界界面，，进入入虚拟拟机的的BIOS（BasicInputandOutSystem）设置置界面面，如如图1-19所示。。配置VMware虚虚拟机机为了使使所有有的网网络安安全攻攻击实实验都都可以以成功功完成成，在在虚拟拟上安安装没没有打打过任任何布布丁的的WindowsAdvancedServer2000。安装装完毕毕后，，虚拟拟机上上的操操作系系统如如图1-20所示。。配置VMware虚虚拟机机这样两两套操操作系系统就就成功功的建建成了了。启启动成成功后后，进进入操操作系系统，，配置置虚拟拟机上上操作作系统统的IP地址，，使之之和主主机能能够通通过网网络进进行通通信，，配置置虚拟拟机操操作系系统的的IP地址是是：09，如图图1-21所示。。配置VMware虚虚拟机机主机和和虚拟拟机在在同一一网段段，并并可以以通信信。利利用Ping指令来来测试试网络络是否否连通通。在在主机机的DOS窗口中中输入入“Ping09”，如图图1-22所示。。网络抓抓包软软件Sniffer利用Sniffer抓包包进入Sniffer主界面面，抓抓包之之前必必须首首先设设置要要抓取取数据据包的的类型型。选选择主主菜单单Capture下的DefineFilter菜单，，如图图1-26所示。。利用Sniffer抓包包在抓包包过滤滤器窗窗口中中，选选择Address选项卡卡，如如图1-27所示。。窗口中中需要要修改改两个个地方方：在在Address下拉列列表中中，选选择抓抓包的的类型型是IP，在在Station1下面面输输入入主主机机的的IP地址址，，主主机机的的IP地址址是是10；在在与与之之对对应应的的Station2下面面输输入入虚虚拟拟机机的的IP地址址，，虚虚拟拟机机的的IP地址址是是09。利用用Sniffer抓抓包包设置置完完毕毕后后，，点点击击该该窗窗口口的的Advanced选项项卡卡，，拖拖动动滚滚动动条条找找到到IP项，，将将IP和ICMP选中中（（IP和ICMP的具具体体解解释释在在第第二二章章，，这这里里只只是是做做相相应应的的设设置置）），，如如图图1-28所示示。。利用用Sniffer抓抓包包向下下拖拖动动滚滚动动条条，，将将TCP和和UDP选选中中，，再再把把TCP下下面面的的FTP和和Telnet两两个个选选项项选选中中，，如如图图1-29所所示示。。利用用Sniffer抓抓包包这样样Sniffer的抓抓包包过过滤滤器器就就设设置置完完毕毕了了，，后后面面的的实实验验也也