第11章网络安全

第11章《局域网组建与管理》电子教案

网络安全学习目标理解网络安全的概念及目标理解防火墙的概念、功能及其类型理解IPSec的工作原理及策略理解VPN的概念、功能和特点，了解VPN的关键技术及实现方式了解网络存在的漏洞、常受的攻击以及保证网络安全的主要技术了解病毒及其防治措施以及如何选择网络防病毒系统掌握IPSec策略的配置及掌握VPN网络的组建方法11.1网络安全概述11.1.1网络安全威胁类型11.1.2网络安全漏洞11.1.3网络攻击11.1.4基本安全技术网络安全本质上就是网络上的信息安全，指网络系统的硬件、软件及其系统中的数据受到保护，不会由于偶然或者恶意的原因而遭到破坏、更改、泄露，系统能连续、可靠和正常地运行，网络服务不中断。网络安全的基本目标是实现信息的机密性、完整性、可用性和合法性。从广义上讲，凡是涉及到网络上信息的机密性、完整性、可用性和合法性的相关技术和理论都是网络安全所要研究的领域。如何更加有效地保护重要的信息数据和提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和解决的一个重要问题。11.1网络安全概述信息泄露或者丢失破坏数据完整性拒绝服务攻击非授权访问利用网络传播病毒11.1.1网络安全威胁类型一个较为通俗的网络安全漏洞定义可描述性为：存在于计算机网络系统中的、可能对系统中的组成和数据造成损害的一切因素。11.1.2网络安全漏洞拒绝服务攻击(DenialofService，DoS)原理

基本原理：借助于网络系统或者网络协议的缺陷和配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或者系统应用死锁，妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损甚至导致服务中断。常见攻击方法：SYNFlood攻击、Smurf、UDP洪水、Land攻击、死亡之Ping和电子邮件炸弹等。防护措施：设置防火墙，关闭外部路由器和防火墙的广播地址，利用防火墙过滤掉UDP应答消息和丢弃ICMP包，尽量关闭不必要的TCP/IP服务。11.1.2网络安全漏洞缓冲区溢出攻击原理

基本原理：向缓冲区中写入超长的、预设的内容，导致缓冲区溢出，覆盖其它正常的程序或者数据，然后让计算机转而运行这行预设的程序，达到执行非法操作、实现攻击的目的。防护措施：程序开发者在开发程序时仔细检查溢出情况，不允许数据溢出缓冲区；网络管理员必须做到及时发现漏洞，并对系统进行补丁修补；条件允许的情况下，还应该定期对系统进行升级。11.1.2网络安全漏洞欺骗类攻击原理

基本原理：主要利用TCP/IP协议自身的缺陷发动攻击。分类：根据假冒方式的不同，可分为IP欺骗、DNS欺骗、电子邮件欺骗和Web欺骗等。防护措施：充分了解主机的系统状况，只启用必用的应用程序和只开放提供服务所用到的端口。11.1.2网络安全漏洞程序错误攻击原理基本原理：主要利用网络主机中存在的服务程序错误和网络协议错误来进行攻击。防护措施：尽快安装漏洞的补丁程序，在没有找到补丁之前，应先安装防火墙，视情况切断主机应用层服务，即禁止从主机的所有端口发出和接收数据包。11.1.2网络安全漏洞后门攻击原理

基本原理：建立后门的常用方法是在主机中安装木马程序。攻击者利用欺骗的手段，通过向主机发送电子邮件或者是文件，并诱使主机的操作员打开或者运行藏有木马程序的邮件及文件；或者是攻击者获得控制权后，自己安装木马程序。防护措施：经常检测系统的程序运行情况，及时发现运行中的不明程序，并用木马专杀工具查杀木马。11.1.2网络安全漏洞目前，危害很大的网络攻击主要来自黑客攻击。黑客常用的几种攻击手段有：(1)口令入侵(2)放置特洛伊木马程序(3)DoS攻击(4)端口扫描(5)网络监听(6)欺骗攻击(7)电子邮件攻击11.1.3网络攻击防火墙技术加密技术用户识别技术访问控制技术网络反病毒技术网络安全漏洞扫描技术入侵检测技术11.1.4基本安全技术11.2基于防火墙的网络安全11.2.1防火墙概述11.2.2防火墙类型11.2.3防火墙应用防火墙名称来自以前防止火灾的构筑物。防火墙是一个分离器，一个限制器，同时也是一个分析器，它有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙的作用是监控进出网络的信息，仅让安全的、符合规则的信息进入内部网络，为用户提供一个安全的网络环境。11.2.1防火墙概述一个好的防火墙系统应具有以下5个方面的特性：所有在内部网络和外部网络之间传输的数据都必须通过防火墙只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙防火墙本身不受各种攻击的影响使用目前新的信息安全技术，比如现代密码技术、一次口令系统和智能卡等人机界面良好，用户配置使用方便，易管理，系统管理员可以方便地对防火墙进行设置，对互联网的访问者、被访问者、访问协议以及访问方式进行控制11.2.1防火墙概述11.2.2防火墙类型包过滤防火墙应用层网关防火墙状态检测防火墙防火墙系统设置时考虑事项

(1)要保护什么样的资源？(2)保护的资源有多重要？(3)允许什么样的用户可以接触这些资源？(4)使用资源时涉及哪些服务？(5)保护资源所消耗的费用是否合理？(6)怎么做防火墙系统的定期检验？11.2.3防火墙应用防火墙产品介绍

网络卫士CiscoPIXFirewall和Cisco1OS防火墙“长城”防火墙其它防火墙11.2.3防火墙应用11.3基于IPSec的网络安全11.3.1IPSec概述11.3.2IPSec策略IPSec是一个工业标准网络安全协议，它为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec的两个基本目标：一是保护IP数据包安全，二是抵御网络攻击提供防护措施。11.3.1IPSec概述IPSec工作原理在进行数据交换之前，先相互验证对方的计算机的身份。验证身份通过之后，在这两台计算机之间建立一种安全协作关系，并且在进行数据传输之前将数据进行加密。通过这三个步骤，可以保证网络的通信安全，即使数据中途被截获，也因为截获者不知道加密的密钥也就无从了解数据的内容。11.3.1IPSec概述在WindowsServer2003中，IPSec策略包括一系列规则(规定哪些数据流可以接受，哪些数据流不能接受)和过滤器(规定数据流的源地址和目标地址)，以便提供一定程度的安全级别。在其IPSec实现中，既有多种预置策略可供用户选择，也可以让用户根据企业安全需求自行创建策略。IPSec策略的实施有两种基本方法：一是在本地计算机上指定策略，二是使用WindowsServer2003“组策略”对象，由其来实施策略。IPSec策略可适用于单机、域、路由器、网站或者各种自定义组织单元等多种场合。11.3.2IPSec策略规则规则规定IPSec策略何时以及如何保护IP通信。根据IP数据流类型、源地址和目的地址，规则应该具有触发和控制安全通信的能力。每一条规则包含一张IP过滤器列表和与之相匹配的安全设置，这些安全设置有过滤器动作、认证方法、IP隧道设置和连接类型。一个IPSec策略包含一至多条规则，这些规则可以同时处于激活状态。IPSec实现中针对各种基于客户机和服务器的通信提供了许多预置规则，用户可以根据实际需求使用或者修改。11.3.2IPSec策略筛选器和筛选器操作

一个筛选器由以下几个参数决定：IP包的源地址和目的地址、包所使用的传输协议类型以及TCP和UDP协议的源和目的端口号。一个筛选器对应于一种特定类型的数据流。筛选器操作为需要受保护的IP通信设置安全需求，这些安全需求包括安全算法、安全协议和使用的密钥属性等。除了为需要受保护的IP通信设置筛选器操作外，还可以将筛选器操作配置成绕过策略和拦截策略。绕过策略，即某些IP通信可以绕过IPSec，不受其安全保护。这类通信主要有以下三种情况：(1)远程主机无法启用IPSec；(2)非敏感数据流无须受保护；(3)数据流本身自带安全措施，例如，使用Kerberosv5、SSL或者PPTP(PointtoPointTunnelingProtocol，点对点隧道协议)。而拦截策略，则用于拦截来自特定地址的通信。11.3.2IPSec策略连接类型

每一条规则都需要指明连接类型，用以规定IPSec策略的适用范围，比如所有网络连接、远程访问或者LAN等。规则的连接属性决定该规则将应用于单种连接还是多种连接。例如，用户可以指明某条安全需求特别高的规则，只应用于远程访问，而不应用于LAN连接。11.3.2IPSec策略认证

一条规则可以指定多种认证方法。IPSec支持的认证方法主要有：(1)Kerberosv5：WindowsServer2003缺省认证协议。该认证方法适用于任何运行Kerberosv5协议的客户机。(2)公钥证书认证：该认证方法适用于Internet访问、远程访问、基于L2TP的通信或者不运行Kerberosv5协议的主机，要求至少配置一个受信赖的认证中心CA。(3)预共享密钥：WindowsServer2003的IKE可以和Microsoft、Entrust和VeriSign等多家公司提供的认证系统相兼容，但在实际应用中不推荐使用预置共享密钥认证。为了避免使用预置共享密钥认证可能带来的风险，一般建议使用Kerberosv5认证或者公钥证书认证。

11.3.2IPSec策略11.4基于VPN的网络安全11.4.1VPN概述11.4.2VPN实现VPN的概念VPN被定义为通过一个公用网络(通常是Internet)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展，它采用隧道技术以及加密、身份认证等方法，在公众网络上构建专用网络，使数据在虚拟网上可以通过安全的“加密隧道”在公用网络中传播。11.4.1VPN概述VPN的分类

根据VPN所起的作用，可以将VPN分为三类：(1)AccessVPN(2)IntranetVPN(3)ExtranetVPN11.4.1VPN概述VPN的特点

一般情况下，一个高效、成功的VPN应具备以下几个特点：(1)安全保障(2)QoS保证(3)可扩充性和灵活性(4)可管理性11.4.1VPN概述VPN的关键技术

目前VPN主要采用四项技术来保证安全，这四项技术分别是：(1)隧道技术(Tunneling)(2)加解密技术(Encryption&Decryption)(3)密钥管理技术(KeyManagement)(4)使用者与设备身份认证技术(Authentication)11.4.1VPN概述Client-LAN和LAN-LAN是两种基本的VPN实现形式。前者实现用户安全的远程访问，后者既可用于组建安全的内联网，又可用于组建企业外联网络系统。

11.4.2VPN实现(1)Client-LAN11.4.2VPN实现(1)Client-LANAccessVPN就是采用Client-LAN这种实现方式。AccessVPN工作时，远程客户通过拨号线路连接到ISP的网络访问服务器（NetworkAccessServer，NAS）上，经过身份认证后，通过公网跟公司内部的VPN网关之间建立一个隧道，利用这个隧道对数据进行加密传输。AccessVPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。11.4.2VPN实现AccessVPN的优势在于：减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络实现本地拨号接入的功能来取代远距离接入或者800电话接入，这样能显著降低远距离通信的费用极大的可扩展性，简便地对加入网络的新用户进行调度远端验证拨入用户服务(RemoteAuthenticationDialInUserService，RADIUS)基于标准，基于策略功能的安全服务将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来

11.4.2VPN实现Client-LAN型的VPN在实现的时候，有客户机驱动连接和网络接入服务器驱动连接两种方式。客户驱动的连接网络接入服务器驱动的连接11.4.2VPN实现(2)LAN-LAN

11.4.2VPN实现(2)LAN-LAN如果要进行企业内部各分支机构的互联或者企业合作者的互联，使用LAN-LANVPN是很好的方式。LAN-LANVPN主要使用IPSec协议来建立加密传输数据的隧道。IntranetVPN主要用于一个企业内部互联使用，ExtranetVPN主要用于企业和企业的合作者互联使用。他们的区别在于ExtranetVPN往往结合PKI使用。11.4.2VPN实现LAN-LANVPN的优势在于：

减少WAN带宽的费用，Internet线路的租用费用远低于专线费用能使用灵活的拓扑结构，包括全网络连接新的站点能更快、更容易地被连接通过设备供应商WAN的连接冗余，可以延长网络的可用时间11.4.2VPN实现LAN-LANVPN具体实现时，有以下几种方式：

VLAN方式MPLSVPN方式IPSecVPN方式11.4.2VPN实现11.5网络病毒的防护11.5.1病毒特性及分类11.5.2病毒传播途径与防治11.5.3网络防病毒系统选型计算机病毒(ComputerVirus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。目前，由于计算机网络及其现代通信技术的发展，从而使病毒的含义有所扩展，一般将病毒、网络蠕虫、黑客有害程序(比如特洛依木马)等都称为病毒。11.5.1病毒特性及分类计算机病毒的特性

传染性隐蔽性潜伏性破坏性针对性衍生性寄生性不可预见性11.5.1病毒特性及分类计算机病毒的分类引导型计算机病毒文件型计算机病毒宏病毒目录(链接)型计算机病毒11.5.1病毒特性及分类计算机病毒的传播途径

通过不可移动的计算机硬件设备进行传播通过移动存储设备来传播通过计算机网络进行传播通过点对点通信系统和无线通道传播11.5.2病毒传播途径与防治计算机病毒的防治

计算机病毒的防治要从防毒、查毒、解毒三方面来进行“防毒”是指根据系统特性，采取相应的系统安全措施预防病毒侵入计算机“查毒”是指对于确定的环境，能够准确地报出病毒名称，该环境包括：内存、文件、引导区（含主导区）、网络等“解毒”是指根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括：内存、引导区（含主引导区）、可执行文件、文档文件、网络等11.5.2病毒传播途径与防治系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。防