第三章 网络安全策略

第三章网络安全策略及实施2023/2/51计算机网络安全基础3.1安全策略概述3.1.1安全策略的定义

“安全策略是对访问规则的正式陈述，所有需要访问某个机构的技术和信息准资产的人员都应该遵守这些规则”2023/2/52计算机网络安全基础3.1.2安全策略的内容

权威的声明和效力范围：用以识别安全策略的发起者和覆盖的主题范围。物理安全策略

:包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。网络安全策略:包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。它规定了组织内部用户关于网络访问能力的规范。数据加密策略:包括加密算法、适用范围、密钥交换和管理等。数据备份策略:包括适用范围、备份方式、备份频率，备份数据的安全存储、负责人等。2023/2/53计算机网络安全基础病毒防护策略:包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。应用系统安全策略:包括WWW访问策略、内部邮件与外部邮件的访问策略，数据库系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其它业务相关系统安全策略等。身份识别与认证策略：用来规定用什么样的技术和设备来确保只有授权的用户才能访问组织的信息与数据，包括认证及授权机制、方式、审计记录等。灾难恢复与应急响应策略：用来规定如何建立安全事件响应小组，如何针对突发事件采取的响应措施，包括响应小组、联系方式、事故处理计划、控制过程、恢复机制、方式、归档管理、硬件、软件等。主要工作有保护机构的系统与信息，还原操作，起诉入侵者，减少损失等。2023/2/54计算机网络安全基础密码管理策略:包括密码管理方式、密码设置规则、密码适应规则等。补丁管理策略:包括软件升级、系统补丁的更新、测试、安装等。系统变更控制策略:包括对设备更新、软件配置、控制措施、数据变更管理、一致性管理等。商业伙伴、客户关系策略:包括合同条款安全策略、客户服务安全建议等。复查审计策略:包括对安全策略的定期复查与审计。安全教育策略:包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识教育等。对安全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等。2023/2/55计算机网络安全基础3.1.2网络安全模型网络安全模型1、保护阶段：身份认证和验证，访问控制，数据加密，防火墙，漏洞补丁2．监控阶段：管理员通过利用网络漏洞扫描器，对网络进行扫描监控，预先识别漏洞区域，进行漏洞的修补。通过IDS系统，对正在发生的安全事件进行监视并响应。对当前网络上传输的数据流有一个清晰的判断。3．测试阶段：通过测试，知道现有的和最新的攻击方式，模拟受到安全侵害后的及时响应。4．改进过程：利用监视和测试阶段得来的数据去改进安全措施，并根据识别的漏洞和风险对安全策略加以调整。确保得到最新的安全修复。2023/2/56计算机网络安全基础3.2网络安全策略设计与实施安全策略的制定是比较繁琐和复杂的工作，许多安全策略将重点放在了有效实施的概念上，这种观点的出发点在于，如果策略无法得到实施，那么制定的策略再好也没有可用之处。从安全系统的设计人员的角度看，重要的是理解实施策略有若干不同的方式，而具体的实施过程并不属于安全系统的设计人员的考虑范围。所以，由于用户对网络的具体需求不同，可能会包含不同的设计与实施要求。从大的方面来说，一般需要包括以下几个部分：2023/2/57计算机网络安全基础3.2.1物理安全控制

对物理基础设施、物理设备的安全和访问的控制。包括选择适当的介质类型及电缆的铺设路线,网络资源的存放位置也极为重要,为保护关键的网络资源，必须安装和充分的使用环境安全防护。2023/2/58计算机网络安全基础3.2.2逻辑安全控制 指在不同网段之间构造逻辑边界，同时还对不同网段之间的数据流量进行控制。逻辑访问控制通过对不同网段间的通信进行逻辑过滤来提供安全保障。对内部网络进行子网划分是进行逻辑安全控制的有效方法。需要执行两类控制一是预防性控制，用于识别每个授权用户并拒绝非授权用户的访问。二是探测性控制，用于记录和报告授权用户的行为，以及记录和报告非授权的访问，或者对系统、程序和数据的访问企图。2023/2/59计算机网络安全基础3.2.3基础设备和数据完整性1．防火墙2．入侵检测系统3．安全审计系统4．病毒防护系统如何保证有效通信，对于网络服务和协议的选择是一项复杂而艰巨的任务。2023/2/510计算机网络安全基础3.2.4数据保密性 指保证网络实体间通信数据的保密，使其不能被非法修改，它属于加密的范畴。如何确定哪些数据需要加密，以及哪些数据不需要加密。这个过程应该使用风险分析步骤来进行决策。2023/2/511计算机网络安全基础3.2.5用户行为控制人员角色管理是整个网络安全的重要组成部分，网络中所有的软硬件系统、安全策略等最终都需要人来实践，所以对人员角色的定义及行为规则的制定是非常重要的。应当根据网络安全策略来为负责网络基础设施维护和升级的人员制定特殊的指导方针，以帮助完成各自的任务。1．安全备份2．审计跟踪2023/2/512计算机网络安全基础3.2.6一个网络安全策略示例2023/2/513计算机网络安全基础3.3网络安全测试工具的使用3.3.1扫描原理及其工具扫描技术利用TCP/IP协议标准和其在各种操作系统中不同的实现方式，向目标主机的服务端口发送探测数据包，并记录目标主机的响应。通过分析响应的数据包来判断服务端口是打开还是关闭，就可以得知端口提供的服务或信息。它可以搜集到目标主机的各种信息，如是否能用匿名登陆，是否有可写的FTP目录，是否能用Telnet等。扫描也可以通过捕获本地主机或服务器的流入流出数据包来监视本地IP主机的运行情况，它能对接收到的数据进行分析，帮助人们发现目标主机的某些内在弱点，扫描工作本身不会提供侵入一个系统的详细方法，只是系统入侵的前奏。2023/2/514计算机网络安全基础系统扫描通常采用两种策略，第一种是被动式策略，第二种是主动式策略。所谓被动式策略就是基于主机之上，对系统中不合适的设置、脆弱的口令以及其它同安全规则抵触的对象进行检查；而主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。2023/2/515计算机网络安全基础目前常用的专业扫描工具有:Superscan:免费的扫描软件，可以在

下载NmapNessusShadowscan等2023/2/516计算机网络安全基础Nmap使用举例

Nmap是在免费软件基金会的GNU

General

Public

License

(GPL)下发布的，可从/nmap站点上免费下载。下载格式可以是tgz格式的源码或RPM格式。目前最新版本号nmap-4.76。Nmap的语法相当简单。Nmap的不同选项和-s标志组成了不同的扫描类型，比如：一个Ping-scan命令就是"-sP"。在确定了目标主机和网络之后，即可进行扫描。如果以root来运行Nmap，Nmap的功能会大大的增强，因为超级用户可以创建便于Nmap利用的定制数据包。2023/2/517计算机网络安全基础在目标机上，Nmap运行灵活。使用Nmap进行单机扫描或是整个网络的扫描很简单，只要将带有“/mask”的目标地址指定给Nmap即可。地址是“victim/24”，则目标是c类网络，地址是“victim/16”，则目标是B类网络。

另外,Nmap允许你使用各类指定的网络地址，比如192.168.1.*,是指/24,或,4,8-12，对所选子网下的主机进行扫描。2023/2/518计算机网络安全基础1.Ping扫描(Ping

Sweeping)入侵者使用Nmap扫描整个网络寻找目标。通过使用"

-sP"命令，进行ping扫描。缺省情况下，Nmap给每个扫描到的主机发送一个ICMP

echo和一个TCP

ACK,主机对任何一种的响应都会被Nmap得到。

举例：扫描网络：

#

nmap

-sP

/242023/2/519计算机网络安全基础2.端口扫描(Port

Scanning)

由于攻击者使用TCP连接扫描很容易被发现，因为Nmap将使用connect()系统调用打开目标机上相关端口的连接，并完成三次TCP握手。黑客登录到主机将显示开放的端口。一个tcp连接扫描使用"-sT"命令如下。

#

nmap

-sT

22023/2/520计算机网络安全基础3.隐蔽扫描(Stealth

Scanning)

如果一个攻击者不愿在扫描时使其信息被记录在目标系统日志上，TCP

SYN扫描可帮你的忙，它很少会在目标机上留下记录，三次握手的过程从来都不会完全实现。通过发送一个SYN包（是TCP协议中的第一个包）开始一次SYN的扫描。任何开放的端口都将有一个SYN|ACK响应。然而，攻击者发送一个RST替代ACK，连接中止。三次握手得不到实现，也就很少有站点能记录这样的探测。如果是关闭的端口，对最初的SYN信号的响应也会是RST，让NMAP知道该端口不在监听。"-sS"命令将发送一个SYN扫描探测主机或网络：

#

nmap

-sS

2023/2/521计算机网络安全基础4.UDP扫描(UDP

Scanning)

如果一个攻击者寻找一个流行的UDP漏洞，比如rpcbind漏洞或cDc

Back

Orifice。为了查出哪些端口在监听，则进行UDP扫描，即可知哪些端口对UDP是开放的。Nmap将发送一个O字节的UDP包到每个端口。如果主机返回端口不可达，则表示端口是关闭的。但这种方法受到时间的限制，因为大多数的UNIX主机限制ICMP错误速率。幸运的是，Nmap本身检测这种速率并自身减速，也就不会产生溢出主机的情况。

#

nmap

-sU

2023/2/522计算机网络安全基础5.操作系统识别(OS

Fingerprinting)

通常一个入侵者可能对某个操作系统的漏洞很熟悉，能很轻易地进入此操作系统的机器。一个常见的选项是TCP/IP上的指纹，带有"-O"选项决定远程操作系统的类型。Nmap通过向主机发送不同类型的探测信号，缩小查找的操作系统系统的范围。指纹验证TCP包括使用FIN探测技术发现目标机的响应类型。有一篇权威的关于指纹（fingertprinting）的文章/nmap/nmap-fingerprinting-article.html

Nmap's操作系统的检测是很准确也是很有效的，举例：使用系统Solaris

10带有SYN扫描的指纹验证堆栈。

#

nmap

-sS

-O

52023/2/523计算机网络安全基础6.ident扫描（Ident

Scanning）

一个攻击者常常寻找一台对于某些进程存在漏洞的电脑。比如,一个以root运行的WEB服务器。如果目标机运行了identd,一个攻击者使用Nmap通过"-I"选项的TCP连接,就可以发现哪个用户拥有http守护进程。我们将扫描一个Linux

WEB服务器为例：

#

nmap

-sT

-p

80

-I

-O

2023/2/524计算机网络安全基础7.其它选项(Options)

除了以上这些扫描，Nmap还提供了无数选项。有一个是"-PT",，我们已经介绍过了。在目标机或网络上常见的未经过滤的端口，进行TCP

"ping"扫描。

另一个选项是"-P0"。在缺省设置下试图扫描一个端口之前，Nmap将用TCP

ping"和ICMP

echo命令ping一个目标机，如果ICMP和TCP的探测扫描得不到响应，目标主机或网络就不会被扫描，即使他们是运行着的。而"-P0"选项允许在扫描之前不进行ping，即可进行扫描。2023/2/525计算机网络安全基础端口扫描的防范:

由于对目标主机进行端口扫描非常简单和方便，作为系统管理员或普通的用户都需要时刻关注所管理的机器的端口状况，要最大限度隐藏端口状况，减少不必要的安全漏洞。防范主机端口的非法扫描，可以从两个方面下手解决，一个是主机级的防范，一个是网络级的防范。对于主机级的防范，又可以从下面两个方面着手。（1）关闭闲置和有潜在危险的端口。（2）对无法关闭的端口进行监控。2023/2/526计算机网络安全基础3.3.2网络监听原理及其工具网络监听工具又被称为嗅探器（Sniffer），它是一种利用计算机网络接口截获目的计算机的数据报文的技术，其目的就是截获通信的内容，其手段是对协议进行分析。网络监听对于安全的威胁来自于其被动性和非干绕性，它往往让网络信息泄密变得不容易发现。监听器工作在网络的底层，在某个广播域中进行数据包监听，它将网络传输的数据记录下来，可以利用这些记录分析流量，查找网络漏洞，检测网络性能，以便找出网络中可能存在的安全问题很多黑客入侵时都把局域网扫描和监听作为实施入侵的最基本步骤和手段，试图用这种方法获取用户的密码等信息。对入侵活动和其它网络犯罪进行侦查、取证时，也可以使用网络监听技术来获取必要的信息。2023/2/527计算机网络安全基础Sniffer软件本身处于数据链路层之上，同物理层和数据链路层无关，因此Sniffer软件可以运行在各种数据链路层的协议和物理传输介质上。

sniffer在以太网下的工作原理2023/2/528计算机网络安全基础Sniffer硬件通常称为协议分析仪Sniffer分为硬件和软件两种。2023/2/529计算机网络安全基础sniffer软件Windows系统下的：SnifferPro和EtherPeekNXSolaris下的NfswatchUnix/Linux下的Tcpdump和sniffit等2023/2/530计算机网络安全基础1.SnifferPro的使用与说明2.Tcpdump的使用与说明2023/2/531计算机网络安全基础4．网络监听的检测与防范简单的现象判断：较高的通讯丢包率

通过一些管理软件，可以看到数据包传送情况，最简单是ping命令，它会告诉用户掉了百分之多少的数据包。如果网络结构正常，在排除病毒的影响外，如果有20％～30％数据包丢失，以致数据包无法顺畅的到达目的地，网络被监听的可能性较大，可能是由于嗅探器拦截数据包而导致。网络带宽出现异常

通过某些带宽控制器，可以实时看到目前网络带宽的分布情况，如果某台机器长时间的占用了较大的带宽，这台机器就有可能在实施网络监听。由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，如果某台机器服务性能下降，也应该可以察觉出网络通讯速度的变化。2023/2/532计算机网络安全基础防范措施:

（a）采用安全的拓扑结构。

（b）采用用加密技术。

（c）用静态的ARP或者IP-MAC对应表代替动态的ARP或者IP-MAC对应表。(d)重视重点区域的安全防范2023/2/533计算机网络安全基础3.4路由器安全策略3.4.1路由器访问安全配置secret命令设置密码，该加密机制是IOS采用MD5散列算法进行加密。Router（config-t）#enablesecretRouter（config-t）#noenablepasswordRouter（config-t）#servicepassword-encryptionRouter（config-t）#linevty04Router（config-line）#exec-timeout100或者使用基于用户名和口令的强认证方法。

Router（config-t）#usernameadminpass5434535e2Router（config-t）#aaanew-modelRouter（config-t）#radius-serverhostkeykey-stringRouter（config-t）#aaaauthenticationloginnetadmingroupradiuslocalRouter（config-t）#linevty04Router（config-line）#loginauthennetadmin2023/2/534计算机网络安全基础3.4.2路由器服务安全管理1．更新路由器操作系统2.修改默认的口令3．关闭CDP服务4．禁用HTTP设置和SNMP5．VTY的服务控制6．其它需要关闭的服务7．封锁ICMP（互联网控制消息协议）ping请求8．禁用来自互联网的telnet命令9．禁用IP定向广播10．禁用IP路由和IP重新定向11．包过滤12．审查安全记录2023/2/535计算机网络安全基础3.4.3其它相关安全问题1．系统漏洞问题路由器自己的操作系统即网络操作系统（IOS）也会出现漏洞及安全隐患，需要管理员及时关注产品信息打上安全补丁，同时认真严格的为IOS作安全备份。2．访问控制问题要做好以下两个方面的限制，一是限制物理访问，二是限制逻辑访问。3．路由协议问题在路由协议方面，要避免使用路由信息协议（RIP），因为RIP很容易被欺骗从而接受不合法的路由更新。最好是各个分支机构都统一配置，使用开放最短路径优先协议（OSPF）。4．配置管理问题要有控制存放、检索及更新路由器配置的配置管理策略，将配置备份文档妥善保存在安全服务器上，以防新配置遇到问题时方便更换、重装或恢复到原先的配置。2023/2/536计算机网络安全基础3.4.4访问控制列表的制定

1．标准ACL通过使用IP包中的源IP地址进行过滤，一个标准访问控制列表的基本配置语如下所示。access-listaccess-list-number{deny|permit}source[source-wildcard]2．扩展ACL扩展访问列表能够对数据包的源地址、目的地址和端口等项目进行检查，它比标准ACL具有更多的匹配选项，功能更加强大和细化，可以针对包括协议类型、源地址、目的地址，源端口、目的端口和TCP连接等进行过滤，表号范围是100~199或2000~2699。Router#configuretRoute（config）#ipaccess-listextended101Route（config-ext-nacl）#permittcpanyhostestablishedlogRoute（config-ext-nacl）#permittcpanyhosteqwwwlogRoute（config-ext-nacl）#permittcpanyhosteqftplogRoute（config-ext-nacl）#permittcpanyhostlog

2023/2/537计算机网络安全基础3.4.5使用路由器ACL保护网络1．过滤TCP协议access-list100permittcpany0.0.0255eq23access-list100permittcpany55eq25access-list100permittcpany55eq110access-list100permittcpany55eq80access-list100permittcpanyanyestablishedinterfaceserial0ipaccess-group100in

2．过滤UDP协议

IP地址为45，假设端口为137，根据客户机的端口号是在1023以上随机选择的这样一个规则，使用如下命令来抵制利用Netbios漏洞发起的攻击。access-list100permitudp450.0.00eq137anygt10233．过滤ICMP协议interfaceserial0ipaccess-group100inipaccess-group101outaccess-list100permiticmpany55echo-replyaccess-list100permiticmpany55packet-too-bigaccess-list100permiticmpany55ttl-exceededaccess-list101permiticmp55anyecho-replyaccess-list101permiticmp55anypacket-too-bigaccess-list101permitip55any