ch7网络应用安全

第7章网络应用安全内容提要：远程接入安全

网络协议安全网络应用系统安全小结7.1

远程接入安全远程接入是一项重要的网络应用，在利用公用网络构建单位内部专用网络方面具有广泛应用。返回本章首页7.1.1VPN的定义及特点1．VPN的定义VPN（VirtualPrivateNetwork），顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。返回本章首页VPN在Internet上传输数据时使用了两种技术：隧道技术和加密技术。隧道技术是一种封装数据的方式，以这种方式封装的数据在Internet上是不可识别的，只有对用户端的网络可以识别。加密技术保证链接的安全，使数据在传输中不被第三者看到。返回本章首页2．VPN的分类（1）软件VPN软件VPN顾名思义就是只通过软件实现的VPN安全连接。可以节省大部分投资。（2）硬件VPN硬件VPN是目前应用较多的VPN技术，其突出特点就是安全性高，许多常规网络产品如路由器、防火墙中都集成了VPN功能。返回本章首页3．VPN的特点（1）费用低廉（2）安全性高（3）支持最常用的网络协议（4）有利于IP地址安全（5）网络架构弹性大（6）管理方便灵活（7）完全控制主动权返回本章首页7.1.2VPN的功能及作用VPN本身是一种为远程访问提供安全保障的技术，因此通常用于连接异地局域网，并且实现安全通信。一般来说，VPN有以下3种基本功能，即通过Internet实现远程用户访问、通过Internet实现网络互连、连接内部网络计算机。返回本章首页1．远程用户访问返回本章首页2．网络互连（1）使用专线连接异地局域网异地服务器之间使用各自本地的专用线路，通过本地的ISP连接到Internet。返回本章首页2．网络互连（2）使用拨号线路连接异地局域网

通过拨号方式连接本地ISP。VPN软件使用与本地ISP建立起的连接，在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络。返回本章首页3．连接内部网络计算机采用VPN方案，通过使用一台VPN服务器既能实现与整个企业网络的连接，又可以保证保密数据的安全。此外，可以对所有VPN数据进行加密，从而确保数据的安全性。返回本章首页7.2网络协议安全

TCP/IP协议是Internet的事实上的标准协议，是保证Internet正常运行的基础。由于TCP/IP协议在设计之初在安全性方面考虑不足，随着Internet技术和应用的发展，TCP/IP协议的一些安全问题逐渐显现。返回本章首页7.2.1

TCP/IP协议安全1．TCP/IP协议概述TCP/IP协议是一种异构网络互连的通信协议，通过它实现各种异构网络或异种计算机之间的互连通信，可用于任何类型网络。

TCP/IP协议是由100多个协议组成的协议集。TCP和IP是其中两个最重要的协议。返回本章首页2．TCP/IP协议安全问题

TCP/IP协议的设计初衷是为计算机联网服务的，很少考虑安全性方面的问题。IP协议是无连接协议，IP数据包中的源IP地址只有当数据包到达目的IP地址或被中间路由器由于某种原因丢弃时才会用到。这就为一台主机冒用另外一台主机的IP地址发送数据包创造了条件。返回本章首页2．TCP/IP协议安全问题利用TCP协议进行数据通信前，必须完成建立TCP连接的三次握手过程。典型的拒绝服务攻击方式TCPSYNFlood就是利用TCP协议的这一特性发挥作用。TCP会话劫持是另一种比较常见的TCP协议安全问题，通常也称为中间人攻击。返回本章首页7.2.2HTTP协议安全1．HTTP协议概述HTTP协议是Web站点与Web浏览器之间交互信息的协议，也是目前应用最为普遍的一种协议。HTTP协议是一种无状态协议，即服务器不保留与客户交易时的任何状态。HTTP又是一种面向对象的协议，允许传送任意类型的数据对象。返回本章首页2．HTTP协议安全问题

HTTP协议虽然使用极为广泛，但是却存在不小的安全缺陷，主要是其数据的明文传送和消息完整性检测的缺乏。针对HTTP协议的明文数据传输，最常见的攻击手段是网络监听。HTTP协议唯一的数据完整性检验是在报文头部包含了本次传输数据的长度，而对内容是否被篡改不作确认。返回本章首页7.2.3FTP协议安全1．FTP协议概述FTP协议是TCP/IP协议族中的一种应用层协议，允许用户以文件操作的方式与其他主机相互通信。通过FTP协议，可以在网络上方便地传输文件。返回本章首页2．FTP协议安全问题（1）明文口令返回本章首页2．FTP协议安全问题（2）服务程序版本泄露返回本章首页2．FTP协议安全问题（3）通过FTP服务器进行端口扫描FTP客户端所发送的PORT命令告诉服务器FTP服务器传送数据时应当连向的IP地址和端口号。FTP协议本身并没有要求客户发送的PORT命令中必须指定自己的IP地址。利用这一点，可以通过第三方FTP服务器对目标进行端口扫描，这种方式一般称为FTP代理扫描。返回本章首页2．FTP协议安全问题（4）数据劫持FTP协议本身并没有要求传输命令的客户IP和进行数据传输的客户IP一致，这样就有可能劫持客户和服务器之间传送的数据。返回本章首页7.2.4Telnet协议安全1．Telnet协议概述Telnet协议是是Internet远程登录服务的标准协议。远程登录是指用户使用Telnet命令，使自己的计算机暂时成为远程主机的一个仿真终端的过程。返回本章首页2．Telnet协议安全问题（1）没有加密保护，远程用户登录传送的账户和密码都是明文，使用普通的网络监听工具就可以被截获。（2）没有强力认证过程。只是验证连接者的账户和密码。（3）没有完整性检查。没有办法知道传送的数据是否完整，是否被篡改。（4）传送的数据都没有加密。返回本章首页7.2.5SNMP协议安全1．SNMP协议概述SNMP是目前标准的网络管理协议，其基本功能包括监视网络性能、检测分析网络差错和配置网络设备等。在网络正常工作时，SNMP可实现统计、配置和测试等功能。当网络出故障时，可实现各种差错检测和恢复功能。返回本章首页2．SNMP协议安全问题（1）SNMPv1的消息是以明文形式发送的，而这些消息很容易被网络监听器截获，从中可以得到SNMP通信的通行字信息。利用截获的通行字可以获取有关网络设备的重要信息，甚至可以实现对设备的管控。（2）SNMP默认会启用public和private两个通行字。如果不及时修改，将严重影响网络设备的安全。返回本章首页7.3网络应用系统安全

常用的网络应用包括Web、FTP、电子邮件、即时通信等，下面对其安全配置方法进行简要介绍。返回本章首页7.3.1Web应用安全1．Web服务器安全Web服务器上的漏洞主要涉及以下几方面因素：（1）在Web服务器上存在秘密文件、目录或重要数据；（2）从远程用户向服务器发送消息时，特别是信用卡之类的信息时，中途可能遭恶意用户非法拦截；（3）Web服务器本身存在一些漏洞，使得一些恶意用户可能侵入到主机系统，破坏一些重要的数据，甚至造成系统瘫痪；（4）用CGI脚本编写的程序，当涉及到远程用户从浏览器中输入表格，并进行检索或在主机上直接操作命令时，可能会给Web主机系统造成危险。返回本章首页Web服务器安全应遵循以下原则：（1）限制在Web服务器创建账户；（2）对在Web服务器上创建的账户，在口令长度及定期更改方面做出要求，防止被盗用；（3）尽量与FTP服务器、E-mail服务器等分开，去掉无关的应用；（4）在Web服务器上将那些绝对不用的文件删除掉；（5）定期查看服务器中的日志文件，分析可疑事件；（6）设置好Web服务器上文件的权限和属性，对允许访问的文档分配一个公用组，并只分配它“只读”权限。返回本章首页2．Web浏览器安全配置（1）选择默认安全级别加强Web浏览器安全最简单的方法就是使用一个浏览器预配置的安全级别，操作步骤如下：第1步：打开浏览器IE；第2步：单击“工具”下拉菜单；第3步：选择“Internet选项”；第4步：单击“安全”；第5步：在弹出的窗口里，找到“该区域的安全级别”，如没有看到安全设置的滑块，单击“默认级别”；第6步：设置安全级别：低、中低、中和高。返回本章首页2．Web浏览器安全配置（2）添加受信任的站点

如果选择了高安全级别，你会发现很多经常访问的站点现在无法访问了。要解决这个问题，可以把这些站点加入到受信任站点区域里。返回本章首页2．Web浏览器安全配置（3）禁用自动完成功能第1步：打开浏览器IE；第2步：单击“工具”下拉菜单；第3步：选择“Internet选项”；第4步：弹出对话框，单击“内容”；第5步：单击“自动完成”；第6步：去掉选中的Web地址、表单、表单上的用户名和密码；第7步：单击“清除表单”和“清除密码”，将删除自动完成功能所保存的用户名和密码等信息。返回本章首页7.3.2FTP应用安全1．在Serv-U中创建FTP站点启动Serv-U管理程序，进入管理界面。然后选中“域”，右键选择“新建域”，根据提示新建一个域。返回本章首页选中“用户”，右键选择“新建用户”，根据提示分别设置用户名、密码和主目录，并且选择锁定用户于主目录。返回本章首页2．FTP站点的安全设置（1）账户名与密码设置由于攻击者可以通过暴力猜测的方式来破解FTP服务的账户名和密码，为了防止被暴力破解，应精心设置账户名和密码，保证用户名和密码的复杂性和强度，增加破解的难度。返回本章首页2．FTP站点的安全设置（2）限制连接数量为了防止FTP服务器被拒绝服务攻击或密码猜测，应设置同一IP允许登录的个数和最大用户数量。返回本章首页2．FTP站点的安全设置（3）限制目录与文件访问权限为了防止FTP服务器被滥用，危害服务器上的文件安全，应设置目录与文件的访问权限，根据需要给不同目录与文件赋予不同的访问权限。返回本章首页2．FTP站点的安全设置（4）限制IP地址范围为了将FTP服务器的访问权限限制在一定的范围，拒绝非授权IP地址访问FTP服务器，应设置IP访问规则，允许指定范围内的IP地址访问，或拒绝指定范围内的IP地址访问。返回本章首页2．FTP站点的安全设置（5）启用磁盘配额为了防止用户无限制地上传文件，大量占用FTP服务器的存储空间，应设置磁盘配额，指定用户可以使用的磁盘空间上限。返回本章首页2．FTP站点的安全设置（6）修改BANNER标识为了防止攻击者通过BANNER标识探测FTP服务器的版本信息，应修改BANNER标识信息为其他内容。返回本章首页7.3.3电子邮件安全1．电子邮箱的密码设置（1）尽量不要使用与个人身份紧密相关的字符，如姓名、出生年月、电话号码、家庭住址等作为密码；（2）密码中应该既包含英文字符又包含阿拉伯数字；（3）如果一定要使用熟悉的字符，可以采用字母的大小写、数字、标点的交叉混合组合，比如用数字“0”来代替字母“O”；（4）不要使用易猜字符，如某个单词、姓名或绰号等作为密码，密码中的英文字母或数字也尽量不要照规律排列，如：8765、9999或abcde等出现在密码中是不安全的。此外，用户名也不要出现在密码中；返回本章首页（5）用足系统所规定的字符长度，字符越多，被攻破的可能性越小。密码一般应设置成8位以上；（6）尽量不要“一码多用”，尤其是常用密码，更要分别设置；（7）对于邮箱密码提示问题及其答案，不要选用易于破解的问题及答案；（8）邮箱的密码应该定期更换。为了保证邮箱的安全，一定要养成定期更换密码习惯。对于重要密码，建议至少每三个月左右更换一次。返回本章首页2．电子邮箱的密码使用（1）用公用机器上网，使用浏览器时注意不要选择"将密码加密保存"，以防止密码泄露；（2）重要步骤亲自操作；（3）重要操作不要在网吧等公共场所进行；（4）用公用电脑上网，结束使用时要将上网的历史记录全部清空；（5）当在公共场合使用Web邮箱界面后，离开时请勿必点击菜单栏的退出按钮正常退出邮箱。返回本章首页3．电子邮件加密

电子邮件加密是最常用的安全措施，主要手段包括：（1）利用压缩软件加密邮件（2）使用PGP加密邮件（3）利用Outlook加密邮件返回本章首页7.3.4即时通信工具安全保护即时通信工具的安全应做好以下几点：（1）经常升级即时通信工具版本（2）设置安全的密码（3）申请密码保护（4）防止通信监听返回本章首页7.3.5反网络钓鱼所谓“网络钓鱼(Phishing)”就是向大量用户发送经过伪装、看似正规公司发出的邮件，引诱计算机用户登录其经过伪装的网站，借机骗取用户的登录信息，而后实施财务窃取、破坏等犯罪行为。

网络钓鱼主要有三种方式：电子邮件、盗号木马、网址欺骗。返回本章首页根据网络钓鱼攻击手段的不同，相应的防范措施也不尽相同。（1）针对钓鱼