企业网络安全概述

第8章企业网络安全概述8.1企业网络面临的主要威胁8.2网络安全处理过程8.3网络安全技术8.4网络攻击与防范8.5企业网络安全设计考虑8.6企业网络安全管理8.7无线网络安全8.1企业网络面临的主要威胁

企业网是实现企业信息化的基础，网络安全是实现信息化顺利进行的基本保障。信息化和网络安全之间的关系是矛盾对立的，信息化要求越高，网络安全面临的威胁则越大，对企业网的安全性能要求也就更高。因此，对于组建企业网络，不仅要保证网络的先进性还应切实保障网络的安全性。下一页返回8.1企业网络面临的主要威胁8.1.1来自外部的威胁网络安全的目的是维护信息的机密性、完整性、可用性、可控制和可审查性，要实现上述目的主要有两方面的工作，一是维护信息自身的安全，二是保障信息载体的安全。信息和信息载体面临的外部威胁主要包括以下几个部分：1.自然灾害2.恶意攻击3.病毒破坏4.垃圾邮件5.经济和商业间谍6.电子商务和电子支付的安全隐患下一页返回上一页8.1企业网络面临的主要威胁8.1.2来自内部的威胁企业网络内部威胁主要包括对网络设备的威胁、操作系统的威胁、网络应用服务的威胁、企业内部人员的有意破坏和无意破坏等。返回上一页8.2网络安全处理过程图8-1为网络安全处理过程1.评估阶段任务和目标（1）确定网络信息资产的价值。（2）确定网络安全风险对组织的重要性。（3）确定网络安全面临的主要威胁。（4）确定网络系统的主要漏洞。（5）确定如何将风险降到最低或可接受水平的应对措施。下一页返回8.2网络安全处理过程2.策略制定阶段任务和目标（1）在评估基础上确定安全策略及其过程。（2）确定网络期望的安全状态。（3）确定网络安全组织成员。（4）确定网络构建、实施期间需要做的工作。3.安全实施阶段任务和目标（1）实施网络安全计划的制定。（2）技术工具的选择。（3）物理控制的实施。（4）网络安全人员的使用与管理。下一页返回上一页8.2网络安全处理过程4.培训阶段任务和目标让所有网络使用人员熟悉安全系统的操作流程和注意事项。5.审计阶段任务和目标（1）确保安全策略中所规定安全要求均达到期望值。（2）确保安全措施得到正确的配置。返回上一页8.3网络安全技术

介绍几种主要的、流行的网络安全技术。8.3.1加密技术加密技术是一项非常全面的安全技术解决方案，它不仅包括密码的应用，还包括身份鉴别、IP安全、Web安全、远程管理的安全性等。其中密码学包含了信息加密、数字证书、数字信封、数字指纹、数字签名等。身份识别技术是加密技术的又一重要应用。加密技术渗透到了企业网络的每一个领域，是实现企业网络安全的最重要的保障手段之一。以下将简要介绍加密技术的相关概念和在企业组网中的主要应用。下一页返回8.3网络安全技术1.加密的概念数据加密的基本过程就是对文件或数据按某种算法进行重新编码，使其成为不可读的一段代码，通常称为“密文”，加密后的密文只能在输入相应的密钥之后才能显示出原来的明文内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来的数据明文。下一页返回上一页8.3网络安全技术2.加密技术的重要性加密技术的重要性是由多种因素组成的。其一是在互联网上进行文件传输、电子邮件商务往来本身存在的许多不安全因素，特别是对于一些大公司和一些机密文件在网络上的传输，而且这种不安全性是互联网存在的基础——TCP/IP协议所固有的，包括一些基于TCP/IP的服务；另一方面，网络给众多的商家带来了无限的商机，文件传输、电子邮件商务成为了众多商家进行商业活动的不二选择，加密在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。其中密码的传输极为重要，许多安全防护体系是基于密码的，密码的泄露在某种意义上来讲意味着其安全体系的全面崩溃。下一页返回上一页8.3网络安全技术3.加密技术的分类加密技术大体分为涉密载体（涉密物体）加密技术和涉密信息（信息处理和信息传输）加密技术，涉密载体加密技术主要是对有形的涉密信息载体（即实物）实施保护，使之不被窃取、复制或丢失。涉密信息保密技术主要是对涉密信息的处理过程和传输过程实施保护，使之不被非法入侵、外传、窃听、干扰、破坏、复制。加密技术所采用的加密算法通常分为3大类：对称加密技术、非对称加密技术和单向散列函数。下一页返回上一页8.3网络安全技术

对称加密技术在加密和解密过程中使用同一个密钥，通常称之为共享密钥（SessionKey）。这种加密技术目前被广泛采用，如美国政府所采用的AES高级加密标准就是一种典型的对称加密技术。非对称加密技术加密和解密使用两个不同的密钥，分别称为“公钥”和“私钥”，用公钥加密的数据必须用私钥才能解密，而用私钥加密的数据只有公钥才能解密。“公钥”通常用于对外公布，以方便对方加密要在网络中传输的重要数据。“私钥”则进行严格保密，一般用以解密对方使用公钥加密的重要数据信息。下一页返回上一页8.3网络安全技术

对称加密技术和非对称加密技术各有优点和缺点，对称加密技术的优点即非对称加密技术的缺点，对称加密技术的缺点则刚好是非对称加密技术的优点。如对称加密技术加密速度快，适合加密长数据，但加密和解密使用同一个密钥，密钥的传输容易造成密钥的泄露。而非对称加密技术则加密速度慢，不适合加密长数据，但由于加密和解密使用两个不同的密钥，解密密钥一般不用在网络上进行传输，从而保证了密钥的安全。因此最安全的加密技术解决方案应是两种密码技术的结合，用对称加密技术加密数据，而用非对称加密技术加密共享密钥。下一页返回上一页8.3网络安全技术4.加密系统的选择企业在选择加密系统时应结合自身的业务流程、信息处理需要以及面对的安全威胁，并综合考虑产品的实现、性价比、部署后能产生的积极影响等因素。（1）加密系统主要用在业务的什么方面？企业面临的主要安全威胁？这些问题决定了企业对加密系统性能优先考虑的方向，（2）硬件加密系统还是软件加密系统？硬件加密系统的处理速度远超软件系统，但较高的采购成本限制了它的应用范围，只适用于对加解密性能要求较敏感的使用环境。软件加密系统的优点在于实现的灵活性和采购维护成本低。下一页返回上一页8.3网络安全技术（3）加密系统的实现和性能。加密系统的实现主要使用什么加密算法，该加密算法的强度如何，密钥长度是多少都需要考虑，相对来说，密钥长度越长加密系统也就越安全，但加解密操作所耗时间也越长。在处理数据量巨大或时间敏感性强的情况下，加密系统的性能也成为一个决定性的因素。下一页返回上一页8.3网络安全技术（4）加密系统安全性。企业在选择时除了要考虑加密系统所实现的加密功能的安全性之外，还应该考虑加密系统自身的安全性，（5）密钥的生成、分发和保存方式。密钥的生成和分发方式是选择、部署加密系统的重要环节，如果密钥的分发保存环节不安全，那整个加密系统的功能实现都将受到威胁。（6）加密系统维护成本。任何系统的部署使用都不是一劳永逸的，加密系统也不例外，维护成本包括设备、软件的维护、人员培训等，一个需要复杂的维护的加密系统必定会成为企业信息部门的噩梦，而运行不稳定、缺少维护的加密系统也会使企业的加密保护策略形同虚设。因此，加密系统的维护成本也是企业选择加密系统时的重要考虑因素。下一页返回上一页8.3网络安全技术5.密钥的管理要管理好密钥就必须采用安全的密钥分配方式，对于共享密钥一般存在以下几种密钥的分配方式（安全级别由低到高）：（1）直接发送。（2）第三方选取和发送。（3）加密发送。（4）通过加密信道发送。下一页返回上一页8.3网络安全技术

需要注意的是安全系数和成本代价是矛盾对立的，越安全的分配技术代表着越高的成本实现的复杂程度。非对称加密技术的密钥分配方式主要包括（安全级别有低到高）：（1）公开发布。（2）公用目录表。（3）公钥管理机构。密钥的管理除采取适当的密钥分配方式还应注意以下几个方面的事宜：（1）密钥的时效性。（2）密钥的长度。（3）密钥的存储。下一页返回上一页8.3网络安全技术6.加密技术的应用电子商务的安全性要求体现在以下几个环节：●网络节点的安全；网络节点的安全性依靠防火墙保证，防火墙是在连接Internet和Intranet时保证安全性最为有效的方法，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的分析和判断。●通信的安全；数据通信的安全主要依靠对通信数据的加密来保证。在通信链路上的数据安全，一定程度上取决于加密的算法和加密的强度下一页返回上一页8.3网络安全技术●应用程序的安全；即使正确地配置了访问控制规则，要满足计算机系统的安全性也是不充分的，因为编程错误也可能引致攻击。●用户的认证管理。加密技术解决了电子商务中企业用户身份认证的问题。身份认证用以确认信息发送者的身份和验证信息的完整性，即确认信息在传送或存储过程中未被篡改过。下一页返回上一页8.3网络安全技术8.3.2身份识别技术常见的身份识别技术包括：●可重用密码；●OTP；●智能卡；●生物特征识别；●Kerberos；●PKI；●RADIUS和TACACS+。下一页返回上一页8.3网络安全技术1.可重用密码可重用密码如操作系统的用户名/密码，在网络中到处可见。这种技术简单、管理方便，但是其健壮性直接与密码策略相关，很容易受到攻击，如暴力攻击、木马攻击。制定相关严谨的密码策略并严格执行是确保可重用密码技术安全的重要保障。下一页返回上一页8.3网络安全技术2.OTPOTP表示一次性密码，是一种成熟的也更健壮的身份识别技术。大多数OTP是基于双要素认证原则的。要认证一个系统，用户需要拥有（如令牌卡）认证器和知道识别码（如个人识别码PIN）。生成同步密码的方法随OTP系统的不同而不同。在一种比较流行的OTP方法中，令牌卡在一个时间间隔内（通常为每60s）生成登录密码，这个看上去随机生成的数字串实际上与OTP服务器和令牌上运行的数学算法紧密相关。一个由令牌生成的登录密码可能类似FRT5AT89。PIN要么与算法一起使用生成登录密码，要么与登录密码一起使用。如，生成一个登录密码FRT5AT89，则结合PIN4560产生OTP4560FRT5AT89。下一页返回上一页8.3网络安全技术3.智能卡智能卡是功能齐全的计算机。它有自己的内存、微处理器和智能卡读取器的串行接口。所有这些都被包含在信用卡大小或是更小的物体里（比如全球移动通信系统GSM电话里的客户身份识别卡SIM）。4.生物特征识别生物特征识别结合“你是什么”的思想作为认证的一个要素。生物特征识别可包括语音识别、指纹、面部识别和虹膜扫描。下一页返回上一页8.3网络安全技术5.KerberosKerberos是为TCP/IP网络系统设计的可信的第三方认证协议，用以在公开的分布式环境中提供网络通信方之间相互认证的手段。6.PKIPKI（PublicKeyInfrastructure，公钥基础设施）是一种用于检验用户身份识别的数字证书的机制。7.安全协议Radius和Tacacs+下一页返回上一页8.3网络安全技术RADIUS和TACACS+是为网络提供集中认证服务的协议。两者都在有一个包含用户名、密码和访问权限数据库的集中式服务器的前提下工作。当某个用户在使用RADIUS和TACACS+的设备上进行认证时，该设备会发送登录信息到中央服务器，来自服务器的响应确定是否授予该用户访问权。因为RADIUS和TACACS+服务器执行认证、授权和记账，它们通常被称为AAA服务器。

RADIUS和TACACS+作为网络系统集中管理用户名和密码的一种形式，应贯穿网络安全设计的全过程。它的实施场合包括网络设备（路由器、交换机和防火墙）的管理员认证和远程访问服务器（拨号和虚拟专用网）的用户认证。下一页返回上一页8.3网络安全技术8.3.3主机和应用服务安全主机和应用服务安全技术主要保护终端系统的操作系统、文件系统和应用的安全，其主要技术包括：●文件系统完整性检查；●主机防火墙；●主机入侵检测系统；●主机防病毒。下一页返回上一页8.3网络安全技术1.文件系统完整性检查文件系统完整性检查是企业重要主机和服务器的基本安全技术。该技术通过对重要信息的完整性检查来判断信息是否被非法篡改。文件系统校验器通过文件系统内重要文件里储存的散列值来工作。在这种方式下，如果某个后门、病毒或其他攻击修改了重要的文件系统，只要重新计算其散列值并与存储的散列值进行比较，很快就能发现这一修改。虽然该技术不能阻止攻击，但是检测出来的攻击反映了系统安全隐患的事实，需要立即着手修复，以免造成更大的系统破坏和信息损失，对于维护企业利益有着举足轻重的作用。下一页返回上一页8.3网络安全技术2.基于主机的防火墙基于主机的防火墙运行在工作站上时，一般也将其称为个人防火墙，主要用于保护主机系统不受危害，如当木马与服务端连接时，主机防火墙将发现该连接请求，并及时地通知用户是否允许该网络连接。还可以将主机防火墙设置成默认拒绝所有对该主机发起的网络连接请求，这样将把大部分的攻击挡在系统之外，当然所有的正常网络连接也会被拒绝，使用时需多加考虑。下一页返回上一页8.3网络安全技术3.主机入侵检测系统基于主机的入侵检测系统（HIDS）通常安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其主体活动十分可疑，入侵检测系统就会采取相应措施，如报警或断开网络连接。4.主机防病毒主机防病毒是计算机安全的一项基础技术。它可能是世界上实施最为广泛的安全附加技术了。在企业网络中的所有服务器和所有基于Windows用户主机上安装主机防病毒软件是实现主机安全的又一不错选择。

下一页返回上一页8.3网络安全技术

主机防病毒系统通过建立一个病毒特征库来工作。通过比较，一旦发现病毒，所有好的防病毒系统都有清除病毒的能力，或在病毒无法清除时，也能够隔离受病毒感染的文件以防止病毒的扩散。这种检测病毒的方法称为特征检查法，系统的病毒防范能力直接取决于病毒特征库的病毒特征记录。因此及时的升级病毒库是保证主机防病毒系统安全性的重要措施。主机防病毒系统的特征检查法的最大缺陷在于它无法发现“零日病毒”，即刚刚诞生并刚在网络上传播的病毒，由于这时病毒库中还没有该类病毒的特征，因此无法进行准确的检查。但往往是这样的病毒给企业网络造成了最严重的损失。下一页返回上一页8.3网络安全技术

合理的利用上述主机和应用服务安全技术是保障主机和应用安全的重要手段。对于企业网络建议包括以下几点：●所有的主机和服务器使用主机防病毒系统；●所有的服务器上使用文件系统校验技术；●关键服务器上使用HIDS；●移动用户使用基于主机的防火墙技术。下一页返回上一页8.3网络安全技术8.3.4网络防火墙技术网络防火墙（即通常提及的硬件防火墙）通常作为企业网络边界的关键点，用以强化网络之间的访问控制，可以将其定义为在两个或多个网络之间实施安全策略要求的访问控制系统。虽然防火墙的引入会导致网络应用问题并影响网络性能，但不可否认它是企业网络安全的主要防卫者。1.防火墙的功能1）防火墙是网络安全的屏障下一页返回上一页8.3网络安全技术2）防火墙可以强化网络安全策略3）对网络存取和访问进行监控审计4）防止内部信息的外泄2.防火墙的工作原理防火墙的工作原理是按照事先规定好的配置和规则，检测并过滤所有通向非信任区域和从非信任区域传来的信息，只允许授权的数据通过，并记录信息有关的连接来源、服务器提供的通信量以及试图闯入网络的任何非法活动，以便跟踪处理。下一页返回上一页8.3网络安全技术3.防火墙的类型防火墙根据防范的方式和侧重点的不同大致可以分为两类：包过滤防火墙和应用代理防火墙。包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则在数据流中被丢弃。下一页返回上一页8.3网络安全技术

包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足绝大多数企业的安全要求。下一页返回上一页8.3网络安全技术

应用代理型防火墙工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。其典型网络结构如图8-2所示。在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，第一代应用网关型代理防火墙和第二代自适应代理防火墙。4.防火墙的选购应该客观地看到，没有一个防火墙的设计能够适用于所有的环境，因此企业应结合站点的特点并根据防火墙的性能指标以及功能指标来选择合适的防火墙。下一页返回上一页8.3网络安全技术1）防火墙的性能指标（1）吞吐量。（2）时延。（3）丢包率。（4）并发连接数。（5）平均无故障间隔时间。（6）支持的最大用户数。下一页返回上一页8.3网络安全技术2）防火墙的功能指标（1）网络接口。（2）协议支持。（3）加密支持。（4）认证支持。（5）访问控制。（6）防御功能。（7）安全特性。（8）管理功能。（9）记录和报表功能。下一页返回上一页8.3网络安全技术

此外在选购防火墙时还应审核防火墙是否具备国内有关部门的许可证、类别和号码，这是防火墙合格与可销售的关键因素。一般包括公安部的销售许可证、国家信息安全测评中心的认证证书、总参的国防通信入网证和国家保密局的推荐证明等。下一页返回上一页8.3网络安全技术8.3.5入侵检测系统入侵检测（IntrusionDetection），顾名思义，是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点进行信息收集并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，IDS）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大地简化管理员的工作，保证网络安全的运行。下一页返回上一页8.3网络安全技术1.入侵检测系统的主要功能（1）监测并分析用户和系统的活动。（2）核查系统配置和漏洞。（3）评估系统关键资源和数据文件的完整性。（4）识别已知的攻击行为。（5）统计分析异常行为。（6）操作系统日志管理，并识别违反安全策略的用户活动。下一页返回上一页8.3网络安全技术2.入侵检测系统的分类从应用角度入侵检测系统可分为主机型和网络型。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设为混杂模式（PromiscMode），监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。下一页返回上一页8.3网络安全技术3.入侵检测技术入侵检测技术从时间上可分为实时入侵检测和事后入侵检测两种。实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。下一页返回上一页8.3网络安全技术

事后入侵检测是由管理员定期或不定期进行的检测，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。从技术上，入侵检测也可分为两类：一种基于标志（Signature-based），另一种基于异常情况（Anomaly-based）。对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。下一页返回上一页8.3网络安全技术

而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况进行比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。

下一页返回上一页8.3网络安全技术

两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广泛、甚至未发觉的攻击。如果条件允许，两者结合的检测会达到更好的效果。下一页返回上一页8.3网络安全技术4.NIDS的连接方式

NIDS通过对网络流量的分析来检测异常情况，这决定了其特殊的连接方式和在网络中所处的位置。其特殊的连接方式和位置体现在两个方面，首先要保证NIDS探测器所处的位置能够抓取到想分析的网络流量；其次要保证能够对所有数据流量进行分析，避免由于丢包而出现漏报的情况。下一页返回上一页8.3网络安全技术

在传统的共享型网络中，由于集线器转发所有数据包到每一个端口，因此入侵检测系统的连接方式比较简单，如图8-3所示。在现代交换型网络中，由于交换机的智能特性，NIDS在连接时需对交换机进行特殊配置，其连接方式如图8-4所示。在千兆或万兆网络中，由于网络流量巨大，为保证对所有流量进行分析，NIDS可以采取如图8-5所示的连接方式。下一页返回上一页8.3网络安全技术8.3.6VPN技术

VPN（VirtualPrivateNetwork，虚拟专用网）是当今应用非常普及的远程安全网络构建技术。它可在公用网络上（一般是因特网）构建私人的专用网络，是对企业内部网的极大扩展。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。实现安全传输的同时，通过将数据流转移到低成本的公用网络上，VPN还将大幅度地减少企业花费在城域网和远程网络连接上的费用。下一页返回上一页8.3网络安全技术VPN提供的主要功能特性包括以下几点：（1）安全保障。（2）服务质量保障。（3）可扩充性和灵活性。（4）可管理性。（5）降低成本。1.VPN的分类根据VPN的作用，可以将VPN分为3类：VPDN、IntranetVPN和ExtranetVPN。1）VPDN（VirtualPrivateDialNetwork）在远程用户或移动雇员和公司内部网之间的VPN，称为VPDN。下一页返回上一页8.3网络安全技术2）IntranetVPN在公司远程分支机构的LAN和公司总部LAN之间的VPN。3）ExtranetVPN在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN。2.VPN的隧道协议

VPN区别于一般网络互联的关键在于隧道的建立，然后数据包经过加密后，按隧道协议进行封装、传送以保安全性。一般在数据链路层实现数据封装的协议叫第二层隧道协议，常用的有PPTP、L2TP等；在网络层实现数据封装的协议叫第三层隧道协议，如GRE、IPSec；另外，SOCKSv5协议则在TCP层实现数据安全。下一页返回上一页8.3网络安全技术3.VPN设备及连接方式很多类型的设备都能够使用VPN隧道来传输加密数据。这些设备之间的典型连接形式有如下几种：（1）两台路由器直接通过隧道相连，如图8-6所示。（2）PC到路由器/VPN集中器：移动用户通过这种方式连接到网络，如图8-7所示。（3）一台路由器连接多台路由器：每条隧道都是一条点到点的连接，如图8-8所示。（4）路由器/PC到防火墙：防火墙对跨越网络边界的数据流进行监视，并根据安全策略对其进行限制，如图8-9所示。下一页返回上一页8.3网络安全技术4.VPN典型应用方案图VPN典型应用方案图如图8-10所示。返回上一页8.4网络攻击与防范

攻击是指任何的非授权行为，攻击的范围从简单的使服务器无法提供正常的服务到完全破坏和控制服务器。在网络上成功实施的攻击级别依赖于用户采用的安全措施。知己知彼，百战不殆，掌握必要的攻击原理和手段是更好地部署企业防御措施的先决条件。下一页返回8.4网络攻击与防范8.4.1网络攻防概述1.攻击分类从高层次角度看，网络攻击主要分为以下两类。被动攻击（PassiveAttacks），攻击者通过监听网络流量以获取信息。这种攻击可以是基于网络（跟踪通信链路）或基于系统（秘密抓取数据的木马）的，被动攻击很容易阻止，但难以检测。主动攻击（ActiveAttacks），攻击者试图突破用户的安全防线。这种攻击涉及到数据的修改或创建错误流，主要攻击形式有假冒、重放、欺骗、消息篡改、拒绝服务等。主动攻击容易检测，但是难以阻止。下一页返回上一页8.4网络攻击与防范2.攻击者类型脚本人员的高层次攻击者往往掌握了一定的攻击技术并颇具经验，他们拥有对特定目标构思并发起新型攻击的能力，对于这类攻击者，一般称之为“解密者”。他们攻击的目的性相对明确，通常是为了商业竞争而窃取机密信息，或出于报复和对社会的不满。最高级别的攻击者，我们通常称之为“黑客”或“骇客”，他们一般是收入丰厚的企业间谍、政府的信息作战群体、政治流氓或恐怖分子。他们的攻击目标一般比较特殊，且对网络的威胁极大。但是能够真正称之为“黑客”的只是攻击者中数量极小的一部分。下一页返回上一页8.4网络攻击与防范3.攻击原理一般攻击者的攻击步骤都有一定的规律性，攻击之前必须先“踩点”，收集目标信息，然后对采集到的信息进行分析，查找系统漏洞进而想方设法建立入侵通道并实施攻击，最后为全身而退清理入侵痕迹。一般攻击步骤如下：1）隐藏攻击位置攻击者一般会选择采取利用跳板攻击的方式，这样能够隐藏真实攻击位置，防止反入侵系统的跟踪。“肉鸡”指的是网络中防御力量非常薄弱，很容易被入侵的计算机，这些计算机通常能够轻易地被攻击者远程控制用以发起对攻击目标的入侵。下一页返回上一页8.4网络攻击与防范2）寻找目标主机并分析目标主机攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址，域名是为了便于记忆主机的IP地址而另起的名字，只要利用域名和IP地址就可以顺利地找到目标主机。当然，知道了要攻击目标的位置还是远远不够的，还必须将主机的操作系统类型及其所提供的服务等资料作个全面的了解。此时，攻击者们会使用一些扫描器工具轻松获取目标主机运行的是哪种操作系统的哪个版本，系统有哪些账户，WWW、FTP、Telnet、SMTP等服务器程序是何种版本等资料，为入侵作好充分的准备。下一页返回上一页8.4网络攻击与防范3）获取账号和密码，登录主机攻击者要想入侵一台主机，首先要有该主机的一个账号和密码，否则连登录都无法进行。这样常迫使他们先设法盗窃账户文件进行破解，从中获取某用户的账户和口令，再寻觅合适时机以此身份进入主机。当然，利用某些工具或系统漏洞登录主机也是攻击者常用的一种手段。4）获得控制权攻击者用FTP、Telnet等工具利用系统漏洞进入目标主机系统获得控制权之后，一般还需清除记录和留下后门。他们会更改某些系统设置、在系统中置入木马或其他一些远程操纵程序，以便日后可以不被觉察的再次进入系统。下一页返回上一页8.4网络攻击与防范5）窃取网络资源和特权攻击者找到攻击目标后，出于不同的目的，一般会采取相应的动作，如下载敏感信息，窃取重要系统的账号密码、信用卡信息，或致使网络瘫痪等。下一页返回上一页8.4网络攻击与防范4.实现网络攻击的原理和常用手法1）口令入侵所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击活动。2）放置特洛伊木马程序特洛伊木马程序可以直接侵入用户的计算机并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的计算机中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。下一页返回上一页8.4网络攻击与防范

当你连接到因特网上时，这个程序就会通知攻击者，来报告你的IP地址以及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。下一页返回上一页8.4网络攻击与防范3）WWW的欺骗技术网上用户可以利用浏览器进行各种各样的Web站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务活动等。然而网络用户很有可能访问到被黑客篡改过的网页，网页上的信息是虚假的，如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的。一般Web欺骗使用两种技术手段，URL地址重写技术和相关信息掩盖技术。下一页返回上一页8.4网络攻击与防范4）电子邮件攻击电子邮件是互联网上运用的十分广泛的一种通信方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反应缓慢，甚至瘫痪。下一页返回上一页8.4网络攻击与防范5）网络监听网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段内传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具（如Sniffer、ethereal等）就可轻而易举地截取包括口令和账号在内的信息资料。下一页返回上一页8.4网络攻击与防范6）利用黑客软件攻击利用黑客软件攻击是互联网上比较多的一种攻击手法。BackOrifice2000、冰河等都是比较著名的特洛伊木马，它们可以非法地取得用户计算机的超级用户级权利，可以对其进行完全的控制，除了可以进行文件操作外，同时也可以进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和客户端，当黑客进行攻击时，会使用客户端程序登录已安装好服务器端程序的计算机，这些服务器端程序都比较小，一般会附带于某些软件上。有可能当用户下载了一个小游戏并运行时，黑客软件的服务器端就安装完成了，而且大部分黑客软件的重生能力比较强，给用户进行清除造成一定的麻烦。下一页返回上一页8.4网络攻击与防范7）安全漏洞攻击许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的，如缓冲区溢出攻击。由于很多系统不检查程序与缓冲之间变化的情况就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。若攻击者特别配置了一串准备用作攻击的字符，他甚至可以访问根目录，从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3在根目录下运行的这一漏洞发动攻击，破坏根目录，从而获得超级用户的权限。下一页返回上一页8.4网络攻击与防范8）端口扫描攻击所谓端口扫描，就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦听目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等。常用的扫描方式有：TCPConnect()扫描、TCPSYN扫描、TCPFIN扫描等。下一页返回上一页8.4网络攻击与防范8.4.2端口扫描计算机端口是计算机服务程序与外界通信的窗口或通道，任何一个协议或服务运行的前提是对应端口得以打开，如正在运行Web服务的计算机的80端口肯定是处于开启状态的，其他客户端与Web服务器的通信都是通过80端口来建立连接和实现信息传递的。端口是计算机与外界进行交流的通道，同时也是攻击者入侵的门路。1.端口扫描工作原理下一页返回上一页8.4网络攻击与防范

扫描器通过选用远程TCP/IP不同的端口服务，并记录目标给予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息（比如：是否能用匿名登录！是否有可写的FTP目录，是否能用Telnet等）。扫描器3项主要功能：（1）发现主机或网络的能力；（2）探测运行服务及服务版本的能力；（3）通过测试服务发现漏洞的能力。下一页返回上一页8.4网络攻击与防范2.常用的端口扫描技术1）TCPconnect()扫描2）TCPSYN扫描3）TCPFIN扫描4）IP段扫描5）UDPrecvfrom()和write()扫描6）ICMPecho扫描下一页返回上一页8.4网络攻击与防范8.4.3网络嗅探1.网络嗅探原理传统的网络嗅探在局域网中非常容易实现，因为传统网络是基于媒介共享的共享型网络，本地网络中任一计算机发送的数据，无论目标是谁，本地网络中所有的计算机的网卡都会收到该数据，并且检查数据中的目标MAC地址是否指向本身，正常情况下，如果是的话，网卡将接收数据并提交操作系统处理，如果不是的话，则丢弃该数据。上述提及的“正常情况”指的是网卡驱动程序设置的接收模式为直接方式。网卡通常会有4种接收方式：广播方式、组播方式、直接方式和混杂模式。下一页返回上一页8.4网络攻击与防范2.网络嗅探威胁网络嗅探属于被动攻击方式，由于其被动性和非干扰性，网络嗅探具有很高的隐蔽性，网络信息泄露变得很难被检测，对网络的威胁非常大。网络嗅探的主要影响如下：（1）网络嗅探使得机密信息很容易被窃取，信息的机密性受到严重威胁。（2）网络嗅探导致了网络用户身份的真实性问题。（3）网络嗅探促使很多攻击成为可能，如中间人攻击、重放攻击等。（4）网络嗅探能够被用来分析网络结构，进行网络渗透。下一页返回上一页8.4网络攻击与防范3.网络嗅探防范防范传统网络嗅探的措施主要包括：（1）对网络进行逻辑分段或物理分段。（2）使用交换机取代集线器，实现传统网络到现代网络的过度。（3）使用加密技术。（4）划分VLAN。下一页返回上一页8.4网络攻击与防范8.4.4缓冲区溢出攻防缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区攻击可以导致程序运行失败、系统宕机、重新启动等。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。1.缓冲区溢出原理下一页返回上一页8.4网络攻击与防范

缓冲区是内存中存放数据的地方。在程序试图将数据放到主机内存中的某一个位置的时候，因为没有足够的空间就会发生缓冲区溢出。而人为的溢出则是有一定企图的，攻击者写一个超过缓冲区长度的字符串，植入到缓冲区，然后再向一个有限空间的缓冲区中植入超长的字符串，这时可能会出现两个结果：一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；另一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统超级管理员权限。下一页返回上一页8.4网络攻击与防范

仅仅单个的缓冲区溢出并不是问题的根本所在，但如果溢出送到能够以root权限运行命令的区域，一旦运行这些命令，那就等于把主机拱手相让了。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序：example1.cvoidfunc1(char*input){charbuffer[16];strcpy(buffer，input);}上面的strcpy()将直接把input中的内容copy到buffer中。这样只要input的长度大于16，下一页返回上一页8.4网络攻击与防范

就会造成buffer的溢出，使程序运行出错。当然，随便往缓冲区中填内容造成它溢出一般只会出现Segmentationfault错误，而不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其他命令。如果该程序属于root且有suid权限的话，攻击者就获得了一个有root权限的shell，便可以对系统进行任意操作了。下一页返回上一页8.4网络攻击与防范2.缓冲区溢出防范1）编写正确的代码2）不可执行堆栈数据段3）利用程序编译器执行边界检查4）指针完整性检查下一页返回上一页8.4网络攻击与防范8.4.5拒绝服务攻防1.拒绝服务攻击概念拒绝服务（DenialofService，DoS）是一种简单又很有效的进攻方式。攻击的主要目的是瘫痪服务器，使其不能正常的提供服务，或堵塞组织网络，造成网络瘫痪。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。下一页返回上一页8.4网络攻击与防范导致DoS攻击发生的原因主要有：1）软件的缺陷某些软件由于开发过程中的疏忽，致使其对于某些特定类型的数据报文或请求不能正常处理，从而导致软件崩溃甚至系统崩溃。2）协议漏洞3）资源的有限性下一页返回上一页8.4网络攻击与防范2.分布式拒绝服务攻击概述

DDoS是英文DistributedDenialofService的缩写，意即“分布式拒绝服务”，它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式。DDoS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“泛洪攻击”。下一页返回上一页8.4网络攻击与防范3.网络泛洪的防范措施1）增加网络带宽、提高服务器硬件性能、采用高性能的网络设备这项措施就好比是在家里增加电话数量，该措施对于防止轻量级的DDoS攻击有一定的效果。2）关闭不必要的服务，减少泛洪攻击通道关闭不必要的服务就关闭了部分计算机对外通信的端口，从而减少攻击的入侵通道。关闭不必要的服务是最大程度减少各种攻击发生的非常直接有效的措施。下一页返回上一页8.4网络攻击与防范3）对协议进行相关操作对通信协议进行相关的设置操作是防范网络泛洪的又一有效措施，如限制服务器同时打开SYN半连接数目，缩短SYN半连接的失效时间对于防御SYNFlood攻击是非常有效的。4）及时更新系统或软件补丁及时更新系统或软件补丁，消除系统或软件漏洞有利于防止DoS攻击。5）访问控制列表（ACL）6）TCP拦截7）采用分布内容的负载均衡系统8）将重要的信息系统置于不同的WAN链路上返回上一页8.5企业网络安全设计考虑

企业网络安全设计是网络设计中极为重要的内容。企业网络信息系统是计算机技术和通信技术相结合的产物，是计算机资源在更广泛的地理区域内的共享，具有分布广泛性、体系结构开放性、资源共享性、通信信道的共同性等特点。正是由于这些特点，在增加了网络系统的实用性的同时，也带来了系统的脆弱性，特别是在用户识别和存取控制方面存在着薄弱环节。下一页返回8.5企业网络安全设计考虑

安全控制的具体方法主要包括物理访问控制与逻辑访问控制。对网络中任何节点的物理访问都应受到物理访问控制的限制，如通信链路中的电缆、接线柜以及网络中的路由器、交换机等设备的物理访问控制。逻辑访问控制主要用于识别并验证用户，将用户限制在被授权的活动和资源范围内，它主要包括对资源提供选择性保护，使用户对不同的数据库具有不同的访问权限，提供访问级别和撤销授权的能力，用唯一的用户ID来识别每一个用户。提供鉴别能力使系统能够验证一个用户的确切身份。记录资源利用情况，并将该信息报告给适当的工作人员。当然，一个好的企业网络安全设计需要在性能与安全性、操作简易性与安全性、成本投入与安全性之间寻求平衡。下一页返回上一页8.5企业网络安全设计考虑8.5.1物理安全以下规则可以帮助网络设计人员强化网络物理安全。●控制对设施的物理访问；●防止非安全位置的密码恢复机制；●清楚电缆线路问题；●清楚物理PC安全威胁。下一页返回上一页8.5企业网络安全设计考虑1.控制对设施的物理访问大多数企业通过以下机制（安全级别从低到高）来实现物理安全。（1）钥匙访问。（2）钥匙卡访问。（3）带十字转门的钥匙卡访问。下一页返回上一页8.5企业网络安全设计考虑

钥匙访问是最常用的、传统的物理安全机制，较多的用于小型企业中。该访问方式要求访问人员必须拥有开锁的钥匙。虽然该方式实现非常简单，没有技术要求，成本低，但是也存在很多的不足，如员工非正常离开公司，可能导致钥匙的丢失；不能对员工每次的访问进行数据统计；钥匙很容易被复制；钥匙是单要素认证形式等。下一页返回上一页8.5企业网络安全设计考虑

在较大企业中，更常用的是钥匙卡访问形式，该方式能够提供更高的安全性。钥匙卡是在身份识别技术中介绍的智能卡。使用钥匙卡系统的优势在于一张卡可以控制对多个位置的访问；万一卡丢失，可以方便地利用系统禁用丢失的卡；可以对访问人员进行访问记录。其缺陷在于与钥匙访问形式一样，属于单要素认证形式；智能卡系统较钥匙访问形式成本高；一旦中央认证系统出现故障，所有用户将无法对设施进行正常访问。下一页返回上一页8.5企业网络安全设计考虑2.防止非安全位置的密码恢复机制有些设备可以在有攻击者对系统进行物理访问时进行控制，阻止其进行密码恢复。例如，在Cisco高端路由器和交换机上可以进行相应命令的设置。

Router（config）#noservicepassword-recovery

当在路由器或交换机上输入此命令时，如果中断启动过程，则只允许用户将系统重新设置为出厂时的默认配置。如果没有进行上述命令的配置，攻击者就可以清除密码并访问原来的配置。在不安全的分支机构或者是在无法保证网络设备物理安全的位置进行上述配置是非常有意义的。下一页返回上一页8.5企业网络安全设计考虑3.清楚线缆线路问题现有流行的传输介质主要有两种：5类或更高的UTP和光纤。UTP电缆很容易被窃听，而且目前的攻击技术同样能够实现对光纤的窃听，因此在企业组网过程中，必须重视攻击者直接访问物理介质的风险，因为这种攻击方式通常能够绕过其他安全控制，使攻击者很容易就能够访问信息。下一页返回上一页8.5企业网络安全设计考虑4.清楚物理PC安全威胁重要敏感的信息不仅存在于服务器中，还存储于PC中。这与现有企业员工一样，服务器资源是在需要时使用的，而感兴趣的信息通常存储在本地PC中。因此，关注员工PC安全，防止重要信息泄露，对于保障企业网络安全有着非常重要的意义。下一页返回上一页8.5企业网络安全设计考虑8.5.2二层安全

Layer2安全是信息安全方面最易被忽视的一个方面，常常被安全审核错过，特别是当那些审核更多的聚焦在策略之上，而不是实际部署的时候。攻击者不关心策略，他们只会利用任何可用的安全漏洞。在获得网络中单台PC的根用户权限后，他们第一时间要做的事情之一，就是实施Layer2攻击。下面以Cisco设备为例讲述如何强化Layer2安全。下一页返回上一页8.5企业网络安全设计考虑1.启用SSH，禁止Telnet2.强化VTP及SNMP的安全3.关闭空闲的交换机端口4.阻止CAM表格以及DHCP耗尽5.DHCP/MAC/IP欺骗防护下一页返回上一页8.5企业网络