1、第第8 8章章 网络安全管理网络安全管理 8.18.1网络安全的重要性网络安全的重要性 8.28.2网络管理网络管理 8.38.3网络安全管理网络安全管理 8.48.4防火墙技术防火墙技术 8.58.5入侵检测技术入侵检测技术 8.68.6网络防病毒技术网络防病毒技术 8.78.7网络文件的备份与恢复网络文件的备份与恢复 8.88.8实训:实训:Windows XPWindows XP下的安全管理配置下的安全管理配置 上一页上一页下一页下一页目目 录录结结 束束本本 节节8.1 8.1 网络安全的重要性网络安全的重要性 计算机犯罪正在引起社会的普遍关注,对社会计算机犯罪正在引起社会的普遍关注,
2、对社会也构成了很大的威胁。目前计算机犯罪案件正在也构成了很大的威胁。目前计算机犯罪案件正在以每年以每年100%的速率增长;黑客攻击事件则以每年的速率增长;黑客攻击事件则以每年10倍的速率增长;计算机病毒的增长速度更加迅倍的速率增长;计算机病毒的增长速度更加迅速,目前已经出现了速,目前已经出现了4万多种病毒,它对计算机网万多种病毒,它对计算机网络带来了很大的威胁。络带来了很大的威胁。网络为人们提供了很多宝贵的信息,使得人们网络为人们提供了很多宝贵的信息,使得人们可以不受地理位置与时间的限制,相互交换信息,可以不受地理位置与时间的限制,相互交换信息,合作研究,学习新的知识,了解各国科学、文化合作研
3、究,学习新的知识,了解各国科学、文化发展。与此同时,也有一些不道德的用户利用网发展。与此同时,也有一些不道德的用户利用网络发表不负责或损害他人利益的消息,窃取商业络发表不负责或损害他人利益的消息,窃取商业情报与科研机密,危及个人稳私。情报与科研机密,危及个人稳私。上一页上一页下一页下一页目目 录录结结 束束本本 节节8.2 8.2 网络管理网络管理 8.2.1 网络管理概述网络管理概述 随着网络事业的蓬勃发展,网络对于人们的随着网络事业的蓬勃发展,网络对于人们的意义越来越重要。网络环境已经成为一个现代化意义越来越重要。网络环境已经成为一个现代化企事业单位的工作基础,成为维持业务正常运转企事业单
4、位的工作基础,成为维持业务正常运转的基本条件。人们对网络的依赖程度不断增加的的基本条件。人们对网络的依赖程度不断增加的同时,网络本身的功能及结构也变得越来越复杂。同时,网络本身的功能及结构也变得越来越复杂。计算机网络由一系列的计算机、数据通信设备等计算机网络由一系列的计算机、数据通信设备等硬件系统,以及应用、管理软件系统所构成。随硬件系统,以及应用、管理软件系统所构成。随着网络规模的扩大,以及网络资源的种类和数量着网络规模的扩大,以及网络资源的种类和数量的增多,网络管理工作也显得尤为重要。人们需的增多,网络管理工作也显得尤为重要。人们需要管理维护网络,保持网络的正常运行,以期得要管理维护网络,
5、保持网络的正常运行,以期得到更好的网络服务到更好的网络服务 上一页上一页下一页下一页目目 录录结结 束束本本 节节8.2.2 网络管理中心与网络管理功能网络管理中心与网络管理功能 1网络管理中心网络管理中心网络管理中心通常由一组功能不同的控制设备网络管理中心通常由一组功能不同的控制设备组成,它们指挥和控制网络中的其它设备一起完组成,它们指挥和控制网络中的其它设备一起完成网络管理的任务。网络管理中心向网络中的各成网络管理的任务。网络管理中心向网络中的各种设备(包括网络交换节点、集中器和线路设备种设备(包括网络交换节点、集中器和线路设备等)发出各种控制命令,这些设备执行命令并返等)发出各种控制命令
6、,这些设备执行命令并返回结果。除此之外,网络管理中心还可以直接收回结果。除此之外,网络管理中心还可以直接收集其它设备周期或随时发来的各种统计信息和报集其它设备周期或随时发来的各种统计信息和报警报告,对其进行分析,并确定进一步的控制操警报告,对其进行分析,并确定进一步的控制操作。作。 上一页上一页下一页下一页目目 录录结结 束束本本 节节2网络管理功能网络管理功能一个功能完善的网络管理系统,对网络的使用一个功能完善的网络管理系统,对网络的使用有着极为重要的意义。它通常具有以下五个方面有着极为重要的意义。它通常具有以下五个方面的功能。的功能。 配置管理配置管理配置管理是指网络中每个设备的功能、相互
7、间配置管理是指网络中每个设备的功能、相互间的连接关系和工作参数,它反映了网络的状态。的连接关系和工作参数,它反映了网络的状态。 故障管理故障管理故障管理是用来维持网络的正常运行的。网络故障管理是用来维持网络的正常运行的。网络故障管理包括及时发现网络中发生的故障,找出故障管理包括及时发现网络中发生的故障,找出网络故障产生的原因,必要时启动控制功能来排网络故障产生的原因,必要时启动控制功能来排除故障。控制功能包括诊断测试、故障修复或恢除故障。控制功能包括诊断测试、故障修复或恢复、启动备用设备等。复、启动备用设备等。上一页上一页下一页下一页目目 录录结结 束束本本 节节 性能管理性能管理网络性能管理
8、活动是持续地评测网络运行中的网络性能管理活动是持续地评测网络运行中的主要性能指标,以检验网络服务是否达到了预定主要性能指标,以检验网络服务是否达到了预定的水平,找出已经发生或潜在的瓶颈,报告网络的水平,找出已经发生或潜在的瓶颈,报告网络性能的变化趋势,为网络管理决策提供依据。性性能的变化趋势,为网络管理决策提供依据。性能管理指标通常包括网络响应时间、吞吐量、费能管理指标通常包括网络响应时间、吞吐量、费用和网络负载。用和网络负载。 记帐管理记帐管理记帐管理主要对用户使用网络资源的情况进行记帐管理主要对用户使用网络资源的情况进行记录并核算费用。记录并核算费用。 安全管理安全管理安全管理功能是用来保
9、护网络资源的安全。安安全管理功能是用来保护网络资源的安全。安全管理活动能够利用各种层次的安全防卫机制,全管理活动能够利用各种层次的安全防卫机制,使非法入侵事件尽可能少发生;能够快速检测未使非法入侵事件尽可能少发生;能够快速检测未授权的资源使用,并查出侵入点,对非法活动进授权的资源使用,并查出侵入点,对非法活动进行审查与追踪;能够使网络管理人员恢复部分受行审查与追踪;能够使网络管理人员恢复部分受破坏的文件。破坏的文件。上一页上一页下一页下一页目目 录录结结 束束本本 节节8.3 8.3 网络安全管理网络安全管理 8.3.1 威胁网络安全的主要因素威胁网络安全的主要因素 1人为的无意失误人为的无意
10、失误 2人为的恶意攻击人为的恶意攻击人为攻击又可以分为两类:一是主动攻击,人为攻击又可以分为两类:一是主动攻击,即以各种方式有选择的破坏系统和数据的有效性即以各种方式有选择的破坏系统和数据的有效性和完整性;二是被动攻击,即在不影响网络和应和完整性;二是被动攻击,即在不影响网络和应用系统正常运行的情况下,进行截获、窃取或破用系统正常运行的情况下,进行截获、窃取或破译等以获得重要机密信息。译等以获得重要机密信息。 3网络软件系统的漏洞和网络软件系统的漏洞和“后门后门”网络软件系统不可能百分之百无缺陷和无漏洞,网络软件系统不可能百分之百无缺陷和无漏洞,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。这些
11、漏洞和缺陷恰恰是黑客进行攻击的首选目标。 上一页上一页下一页下一页目目 录录结结 束束本本 节节8.3.2 网络安全防范策略网络安全防范策略 面对各种对网络安全的威胁,网络安全防范是面对各种对网络安全的威胁,网络安全防范是每个网络系统设计人员和网络管理员的重要任务每个网络系统设计人员和网络管理员的重要任务和职责。采用何种控制技术保证网络的安全访问,和职责。采用何种控制技术保证网络的安全访问,同时禁止非法者进入,已经成为网络建设及安全同时禁止非法者进入,已经成为网络建设及安全的重大对策问题。本章将在后面的几节中重点介的重大对策问题。本章将在后面的几节中重点介绍几种网络安全防范技术,其中包括防火墙
12、技术、绍几种网络安全防范技术,其中包括防火墙技术、入侵检测技术、网络防病毒技术等。入侵检测技术、网络防病毒技术等。 上一页上一页下一页下一页目目 录录结结 束束本本 节节8.4 8.4 防火墙技术防火墙技术 8.4.1 防火墙的概念防火墙的概念 防火墙(防火墙(firewall)在计算机界是一种逻辑装置,)在计算机界是一种逻辑装置,用来保护内部的网络不受来自外界的侵害,是近用来保护内部的网络不受来自外界的侵害,是近年来日趋成熟的保护计算机网络安全的重要措施。年来日趋成熟的保护计算机网络安全的重要措施。防火墙是一种隔离控制技术,它的作用是在某个防火墙是一种隔离控制技术,它的作用是在某个机构的网络
13、和不安全的网络(如机构的网络和不安全的网络(如Internet)之间设)之间设置屏障,阻止对信息资源的非法访问,防火墙也置屏障,阻止对信息资源的非法访问,防火墙也可以被用来阻止保密信息从企业的网络上被非法可以被用来阻止保密信息从企业的网络上被非法传出。传出。防火墙是在两个网络通讯时执行的一种访问控防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许网络管理人员制尺度,它能允许网络管理人员“同意同意”的人和的人和数据进入他的网络,同时将网络管理人员数据进入他的网络,同时将网络管理人员“不同不同意意”的人和数据拒之门外,阻止网络中的黑客来的人和数据拒之门外,阻止网络中的黑客来访问企业的网络,防
14、止他们更改、拷贝、毁坏企访问企业的网络,防止他们更改、拷贝、毁坏企业的重要信息。业的重要信息。 上一页上一页下一页下一页目目 录录结结 束束本本 节节8.4.2 防火墙的作用防火墙的作用 可以对网络安全进行集中控制和管理。防火可以对网络安全进行集中控制和管理。防火墙系统在企业内部与外部网络之间构筑的屏障,墙系统在企业内部与外部网络之间构筑的屏障,将承担风险的范围从整个内部网络缩小到组成防将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上,在结构上形成一火墙系统的一台或几台主机上,在结构上形成一个控制中心;并在这里将来自外部网络的非法攻个控制中心;并在这里将来自外部网络的非法攻
15、击或未授权的用户挡在被保护的内部网络之外,击或未授权的用户挡在被保护的内部网络之外,加强了网络安全,并简化了网络管理。加强了网络安全,并简化了网络管理。 控制对特殊站点的访问。防火墙能控制对特控制对特殊站点的访问。防火墙能控制对特殊站点的访问,如有些主机能被外部网络访问,殊站点的访问,如有些主机能被外部网络访问,而有些则要被保护起来,防止不必要的访问。而有些则要被保护起来,防止不必要的访问。 防火墙可作为企业向外部用户发布信息的中防火墙可作为企业向外部用户发布信息的中心联系点。防火墙系统可作为心联系点。防火墙系统可作为Internet信息服务器信息服务器的安装地点,对外发布信息。防火墙可以配置
16、允的安装地点,对外发布信息。防火墙可以配置允许外部用户访问这些服务器,而又禁止外部未授许外部用户访问这些服务器,而又禁止外部未授权的用户对内部网络上的其他系统资源进行访问。权的用户对内部网络上的其他系统资源进行访问。上一页上一页下一页下一页目目 录录结结 束束本本 节节 可以节省网络管理费用。使用防火墙就可以可以节省网络管理费用。使用防火墙就可以将安全软件都放在防火墙上进行集中管理;而不将安全软件都放在防火墙上进行集中管理;而不必将安全软件分散到各个主机上去管理。必将安全软件分散到各个主机上去管理。 对网络访问进行记录和统计。如果所有对对网络访问进行记录和统计。如果所有对Internet的访问
17、都经过防火墙,那么,防火墙就能的访问都经过防火墙,那么,防火墙就能记录下这些访问,并能提供网络使用情况的统计记录下这些访问,并能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能够报警并提数据。当发生可疑动作时,防火墙能够报警并提供网络是否受到监测和攻击的详细信息。供网络是否受到监测和攻击的详细信息。 审计和记录审计和记录Internet使用量。网络管理员可以使用量。网络管理员可以在此向管理部门提供在此向管理部门提供Internet连接的费用情况,查连接的费用情况,查出潜在的带宽瓶颈的位置,并能够根据机构的核出潜在的带宽瓶颈的位置,并能够根据机构的核算模式提供部门级的记费。算模式提供部门级
18、的记费。 上一页上一页下一页下一页目目 录录结结 束束本本 节节8.4.3 防火墙的安全控制模型防火墙的安全控制模型 通常有两种模型可供选择:通常有两种模型可供选择: 没有被列为允许访问的服务都是被禁止的。没有被列为允许访问的服务都是被禁止的。 没有被列为禁止访问的服务都是被允许的。没有被列为禁止访问的服务都是被允许的。如果防火墙采取第一种安全控制模型,那么,如果防火墙采取第一种安全控制模型,那么,需要确定所有可以被提供的服务以及它们的安全需要确定所有可以被提供的服务以及它们的安全特性,然后,开放这些服务,并将所有其他未被特性,然后,开放这些服务,并将所有其他未被列入的服务排除在外,禁止访问。
19、如果防火墙采列入的服务排除在外,禁止访问。如果防火墙采取第二种模型,则正好相反,需要确定哪些被认取第二种模型,则正好相反,需要确定哪些被认为是不安全的服务,禁止其访问;而其他服务则为是不安全的服务,禁止其访问;而其他服务则被认为是安全的,允许访问。被认为是安全的,允许访问。 上一页上一页下一页下一页目目 录录结结 束束本本 节节8.4.4 防火墙的实现技术防火墙的实现技术 1包过滤型包过滤型包过滤技术是防火墙的一种最基本的实现技术,包过滤技术是防火墙的一种最基本的实现技术,其技术依据是网络中的分包传输技术。网络上的其技术依据是网络中的分包传输技术。网络上的数据都是以数据都是以“包包”为单位进行
20、传输的,数据被分为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、包含一些特定信息,如数据的源地址、目标地址、TCP/IP源端口和目标端口等。防火墙通过读取数源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些据包中的地址信息来判断这些“包包”是否来自可是否来自可信任的安全站点,一旦发现来自危险站点的数据信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。员也可以根据实际
21、情况灵活制订判断规则。上一页上一页下一页下一页目目 录录结结 束束本本 节节包过滤技术的优点是简单实用,实现成本较低,包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入无法识别基于应用层的
22、恶意侵入 上一页上一页下一页下一页目目 录录结结 束束本本 节节2代理型代理型 代理服务技术是防火墙技术中使用得较多的技代理服务技术是防火墙技术中使用得较多的技术,也是一种安全性能较高的技术,它的安全性术,也是一种安全性能较高的技术,它的安全性要高于包过滤技术,并已经开始向应用层发展。要高于包过滤技术,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真
23、正的客户机。当客户机需代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。企业内部网络系统。 上一页上一页下一页下一页目目 录录结结 束束本本 节节3监测型监测型监测型防火
24、墙是新一代的产品,这一技术实际监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络
25、外部的攻击,同时之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。上也超越了前两代产品。 上一页上一页下一页下一页目目 录录结结 束束本本 节节8.4.5 防火墙系统的基本组件防火墙系统的基本组件 1屏蔽路由器屏蔽路由器(Screening Rout
26、er)屏蔽路由器,是根据安全的需要,对所有要通屏蔽路由器,是根据安全的需要,对所有要通行的行的IP包进行过滤和路由的一台路由器。一般屏包进行过滤和路由的一台路由器。一般屏蔽路由器会允许内部网络的蔽路由器会允许内部网络的IP包发往包发往Internet,而,而对从对从Internet网上发来的网上发来的IP包,则要仔细检查,根包,则要仔细检查,根据路由器上的访问控制表据路由器上的访问控制表(ACL),有选择性地允,有选择性地允许或阻止它们的通行。许或阻止它们的通行。 上一页上一页下一页下一页目目 录录结结 束束本本 节节2壁垒主机壁垒主机(Bastion Host)壁垒主机的硬件是一台普通的主机
27、,软件上配壁垒主机的硬件是一台普通的主机,软件上配置了代理服务程序,从而具备强大、完备的安全置了代理服务程序,从而具备强大、完备的安全功能,它是内部网络与功能,它是内部网络与Internet之间的通信桥梁。之间的通信桥梁。它中继所有的网络通信服务,并具有授权认证、它中继所有的网络通信服务,并具有授权认证、访问控制、日志记录、审计报告和监控等功能。访问控制、日志记录、审计报告和监控等功能。 上一页上一页下一页下一页目目 录录结结 束束本本 节节3应用网关应用网关(Application Gateway)应用网关是在一台双目主机上的运行应用网关应用网关是在一台双目主机上的运行应用网关代理服务程序。
28、代理某种代理服务程序。代理某种Internet网络服务并进行网络服务并进行安全检查,每一个应用网关代理服务程序都是为安全检查,每一个应用网关代理服务程序都是为一种网络应用服务而定制的程序,如一种网络应用服务而定制的程序,如FTP代理、代理、Telnet代理、代理、SMTP代理等。应用网关是建立在应代理等。应用网关是建立在应用层上的具有协议过滤和转发功能的一种防火墙。用层上的具有协议过滤和转发功能的一种防火墙。上一页上一页下一页下一页目目 录录结结 束束本本 节节8.4.6 防火墙的部署防火墙的部署 首先,应该安装防火墙的位置是公司内部网络首先,应该安装防火墙的位置是公司内部网络与外部与外部In
29、ternet的接口处,以阻挡来自外部网络的的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网设置有虚拟局域网(VLAN),则应该在各个,则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网还应该同时将总部与各分支机构组成虚拟专用网(VPN)。请记住,安装防火墙的基本原则是请记住,安装防火墙的基本原则是:只要有恶意只要有恶意侵入的可能,无
30、论是内部网络还是与外部网络的侵入的可能,无论是内部网络还是与外部网络的连接处,都应该安装防火墙。连接处,都应该安装防火墙。 上一页上一页下一页下一页目目 录录结结 束束本本 节节8.4.7 防火墙系统的局限性防火墙系统的局限性 防火墙把外部网络当成不可信网络,主要是防火墙把外部网络当成不可信网络,主要是用来预防来自外部网络的攻击。它把内部网络当用来预防来自外部网络的攻击。它把内部网络当成可信任网络。然而事实证明,成可信任网络。然而事实证明,50%以上的黑客以上的黑客入侵都来自于内部网络,但是对此防火墙却无能入侵都来自于内部网络,但是对此防火墙却无能为力。为力。 需特殊的较为封闭的网络拓扑结构支
31、持,以需特殊的较为封闭的网络拓扑结构支持,以网络服务的灵活性、多样性和开放性为代价。网络服务的灵活性、多样性和开放性为代价。 防火墙系统防范的对象是来自网络外部的攻防火墙系统防范的对象是来自网络外部的攻击,而不能防范不经由防火墙的攻击。击,而不能防范不经由防火墙的攻击。 防火墙只允许来自外部网络的一些规则允许防火墙只允许来自外部网络的一些规则允许的服务通过,这样反而会抑制一些正常的信息通的服务通过,这样反而会抑制一些正常的信息通信,从某种意义上说大大削弱了信,从某种意义上说大大削弱了Internet应有的功应有的功能,特别是对电子商务发展较快的今天,防火墙能,特别是对电子商务发展较快的今天,防
32、火墙的使用很容易错失商机。的使用很容易错失商机。 上一页上一页下一页下一页目目 录录结结 束束本本 节节8.5 8.5 入侵检测技术入侵检测技术 8.5.1 入侵者常用手段分析入侵者常用手段分析 1信息收集信息收集 使用使用SNMP(简单网络管理协议简单网络管理协议) 使用使用TraceRoute程序程序 使用使用Whois服务服务 DNS服务服务 Finger协议协议 Ping实用程序实用程序 自动自动Wardialing软件软件上一页上一页下一页下一页目目 录录结结 束束本本 节节2系统安全弱点的探测系统安全弱点的探测在收集到攻击目标的一批网络信息之后,黑客在收集到攻击目标的一批网络信息之
33、后,黑客会探测网络上的每台主机,以寻求该系统的安全会探测网络上的每台主机,以寻求该系统的安全漏洞或安全弱点。漏洞或安全弱点。 自编程序自编程序对某些产品或者系统,已经发现了一些安全漏对某些产品或者系统,已经发现了一些安全漏洞,黑客发现这些洞,黑客发现这些“补丁补丁”程序的接口后会自己程序的接口后会自己编写程序,通过该接口进入目标系统,这时该目编写程序,通过该接口进入目标系统,这时该目标系统对于黑客来讲就变得没有任何屏障了。标系统对于黑客来讲就变得没有任何屏障了。 利用公开的工具利用公开的工具像像Internet的电子安全扫描程序的电子安全扫描程序ISS(Internet Security Sc
34、anner)、审计网络用的安全分析工具、审计网络用的安全分析工具SATAN(Security Analysis Tool for Auditing Network)等这样的工具,可以对整个网络或子网等这样的工具,可以对整个网络或子网进行扫描,寻找安全漏洞。进行扫描,寻找安全漏洞。上一页上一页下一页下一页目目 录录结结 束束本本 节节3网络攻击网络攻击 该黑客可以试图毁掉攻击入侵的痕迹,并在该黑客可以试图毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或后受到损害的系统上建立另外的新的安全漏洞或后门,以便在先前的攻击点被发现之后,继续访问门,以便在先前的攻击点被发现之后,继续访问这
35、个系统。这个系统。 该黑客可能在目标系统中安装探测器软件,该黑客可能在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探所在系统的活动,包括特洛伊木马程序,用来窥探所在系统的活动,收集黑客感兴趣的一切信息,如收集黑客感兴趣的一切信息,如Telnet和和FTP的帐的帐号名和口令等等。号名和口令等等。 该黑客可能进一步发现受损系统在网络中的该黑客可能进一步发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任等级信任等级,这样黑客就可以通过该系统信任等级展开对整个系统的攻击。展开对整个系统的攻击。 如果该黑客在这台受损系统上获得了特许访如果该黑客在这台受损系统上获得了特许访问权,那么它就
36、可以读邮件,搜索和盗窃私人文问权,那么它就可以读邮件,搜索和盗窃私人文件,毁坏重要数据,破坏整个系统的信息,造成件,毁坏重要数据,破坏整个系统的信息,造成不堪设想的后果。不堪设想的后果。上一页上一页下一页下一页目目 录录结结 束束本本 节节8.5.2 常用工具介绍常用工具介绍1扫描器扫描器在网络安全领域,扫描器是最出名的破解工具。在网络安全领域,扫描器是最出名的破解工具。所谓扫描器,实际上是自动检测远程或本地主机所谓扫描器,实际上是自动检测远程或本地主机安全性弱点的程序。扫描器选通安全性弱点的程序。扫描器选通TCP/IP端口和服端口和服务,并记录目标机的回答,以此获得关于目标机务,并记录目标机
37、的回答,以此获得关于目标机的信息。理解和分析这些信息,就可能发现破坏的信息。理解和分析这些信息,就可能发现破坏目标机安全性的关键因素。目标机安全性的关键因素。2口令入侵口令入侵所谓的口令入侵,是指破解口令或屏蔽口令保所谓的口令入侵,是指破解口令或屏蔽口令保护。但实际上,真正的加密口令是很难逆向破解护。但实际上,真正的加密口令是很难逆向破解的。黑客们常用的口令入侵工具所采用的技术是的。黑客们常用的口令入侵工具所采用的技术是仿真对比,利用与原口令程序相同的方法,通过仿真对比,利用与原口令程序相同的方法,通过对比分析,用不同的加密口令去匹配原口令。对比分析,用不同的加密口令去匹配原口令。 上一页上一
38、页下一页下一页目目 录录结结 束束本本 节节3特洛依木马特洛依木马(trojan horse)所谓特洛依程序是指任何提供了隐藏的、用户所谓特洛依程序是指任何提供了隐藏的、用户不希望的功能的程序。它可以以任何形式出现,不希望的功能的程序。它可以以任何形式出现,可能是任何由用户或客户引入到系统中的程序。可能是任何由用户或客户引入到系统中的程序。特洛依程序提供或隐藏了一些功能,这些功能可特洛依程序提供或隐藏了一些功能,这些功能可以泄漏一些系统的私有信息,或者控制该系统。以泄漏一些系统的私有信息,或者控制该系统。 4网络嗅探器网络嗅探器(Sniffer)Sniffer用来截获网络上传输的信息,用在以太
39、用来截获网络上传输的信息,用在以太网或其它共享传输介质的网络上。放置网或其它共享传输介质的网络上。放置Sniffer,可使网络接口处于广播状态,从而截获网上传输可使网络接口处于广播状态,从而截获网上传输的信息。利用的信息。利用Sniffer可截获口令、秘密的和专有可截获口令、秘密的和专有的信息,用来攻击相邻的网络。的信息,用来攻击相邻的网络。Sniffer的威胁还的威胁还在于被攻击方无法发现。在于被攻击方无法发现。Sniffer是被动的程序,是被动的程序,本身在网络上不留下任何痕迹。本身在网络上不留下任何痕迹。 5破坏系统破坏系统常见的破坏装置有邮件炸弹和病毒等。其中邮常见的破坏装置有邮件炸弹
40、和病毒等。其中邮件炸弹的危害性较小,而病毒的危害性则很大。件炸弹的危害性较小,而病毒的危害性则很大。 上一页上一页下一页下一页目目 录录结结 束束本本 节节8.5.3 入侵检测和漏洞检测系统入侵检测和漏洞检测系统 1入侵检测和漏洞检测系统的作用入侵检测和漏洞检测系统的作用入侵检测和漏洞检测系统是网络安全系统的一入侵检测和漏洞检测系统是网络安全系统的一个重要组成部分,它不但可以实现复杂烦琐的信个重要组成部分,它不但可以实现复杂烦琐的信息系统安全管理,而且还可以从目标信息系统和息系统安全管理,而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部网络资源中采集信息,分析来自网络外部和
41、内部的入侵信号和网络系统中的漏洞,有时还能实时的入侵信号和网络系统中的漏洞,有时还能实时地对攻击做出反应。地对攻击做出反应。入侵检测具有监视分析用户和系统的行为、审入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行反安全法规的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审为等功能,使系统管
42、理员可以较有效地监视、审计、评估自己的系统。计、评估自己的系统。 上一页上一页下一页下一页目目 录录结结 束束本本 节节2入侵检测入侵检测 常用的入侵检测技术常用的入侵检测技术入侵检测技术可分为五种入侵检测技术可分为五种: 基于应用的监控技术。基于应用的监控技术。 基于主机的监控技术。基于主机的监控技术。 基于目标的监控技术。基于目标的监控技术。 基于网络的监控技术。基于网络的监控技术。 综合以上综合以上4种方法进行监控。种方法进行监控。 上一页上一页下一页下一页目目 录录结结 束束本本 节节 入侵检测技术的选用入侵检测技术的选用 信息收集分析时间:可分为固定时间间隔和信息收集分析时间:可分为
43、固定时间间隔和实时收集分析两种。实时收集分析两种。 采用的分析类型:可分为签名分析、统计分采用的分析类型:可分为签名分析、统计分析和完整性分析。析和完整性分析。 侦测系统对攻击和误用的反应:有些基于网侦测系统对攻击和误用的反应:有些基于网络的侦测系统可以针对侦测到的问题作出反应,络的侦测系统可以针对侦测到的问题作出反应,这一特点使得网络管理员对付诸如拒绝服务一类这一特点使得网络管理员对付诸如拒绝服务一类的攻击变得非常容易。的攻击变得非常容易。 侦测系统的管理和安装:用户采用侦测系统侦测系统的管理和安装:用户采用侦测系统时,需要根据本网的一些具体情况而定。时,需要根据本网的一些具体情况而定。 侦
44、测系统的完整性:所谓完整性就是系统自侦测系统的完整性:所谓完整性就是系统自身的安全性。身的安全性。 设置诱骗服务器:有的侦测系统还在安全构设置诱骗服务器:有的侦测系统还在安全构架中提供了诱骗服务器,以便更准确地确定攻击架中提供了诱骗服务器,以便更准确地确定攻击的威胁程度。的威胁程度。 上一页上一页下一页下一页目目 录录结结 束束本本 节节3漏洞检测漏洞检测 分类分类漏洞检测技术可分为漏洞检测技术可分为5种种: 基于应用的检测技术。它采用被动的、非破基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏坏性的办法检查应用软件包的设置,发现安全漏洞。洞。 基于主机的检测技
45、术。它采用被动的、非破基于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。坏性的办法对系统进行检测。 基于目标的检测技术。它采用被动的、非破基于目标的检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库、坏性的办法检查系统属性和文件属性,如数据库、注册号等。注册号等。 基于网络的检测技术。它采用积极的、非破基于网络的检测技术。它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。坏性的办法来检验系统是否有可能被攻击崩溃。 综合的技术。综合的技术。 上一页上一页下一页下一页目目 录录结结 束束本本 节节 特点特点 检测分析的位置:在漏洞检测中,第一步是检测分析
46、的位置:在漏洞检测中,第一步是收集数据,第二步是数据分析。收集数据,第二步是数据分析。 报表与安装:漏洞检测系统生成的报表是理报表与安装:漏洞检测系统生成的报表是理解系统安全状况的关键,它记录了系统的安全特解系统安全状况的关键,它记录了系统的安全特征,针对发现的漏洞提出需要采取的措施。征,针对发现的漏洞提出需要采取的措施。 检测后的解决方案:一旦检测完毕,如果发检测后的解决方案:一旦检测完毕,如果发现了漏洞,那么系统可有多种反应机制。现了漏洞,那么系统可有多种反应机制。 检测系统本身的完整性:同样,这里有许多检测系统本身的完整性:同样,这里有许多设计、安装、维护检测系统要考虑的安全问题。设计、
47、安装、维护检测系统要考虑的安全问题。上一页上一页下一页下一页目目 录录结结 束束本本 节节4实现模型实现模型入侵检测和漏洞检测系统的实现是和具体的网入侵检测和漏洞检测系统的实现是和具体的网络拓扑密切相关的,不同的网络拓扑对入侵检测络拓扑密切相关的,不同的网络拓扑对入侵检测和漏洞检测系统的结构和功能有不同的要求。通和漏洞检测系统的结构和功能有不同的要求。通常情况下该系统在网络系统中可设计为两个部分常情况下该系统在网络系统中可设计为两个部分:安全服务器安全服务器(Security server)和侦测代理和侦测代理(Agent) 上一页上一页下一页下一页目目 录录结结 束束本本 节节8.6 8.6
48、 网络防病毒技术网络防病毒技术 8.6.1 计算机病毒的特点和发展趋势计算机病毒的特点和发展趋势1计算机病毒及其特征计算机病毒及其特征计算机病毒,是指破坏计算机功能或者毁坏数计算机病毒,是指破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。与生物病毒一样,电脑病机指令或者程序代码。与生物病毒一样,电脑病毒具有传染性和破坏性;但是,与之不同的是,毒具有传染性和破坏性;但是,与之不同的是,它不是天然存在的,而是一段比较精巧严谨的代它不是天然存在的,而是一段比较精巧严谨的代码,按照严格的秩序组织起来,与所在的系统或码,按照
49、严格的秩序组织起来,与所在的系统或网络环境相适应并与之配合,是人为特制的具有网络环境相适应并与之配合,是人为特制的具有一定长度的程序。一定长度的程序。 上一页上一页下一页下一页目目 录录结结 束束本本 节节计算机病毒有以下明显的特征计算机病毒有以下明显的特征: 计算机病毒是一段可执行的程序。计算机病毒是一段可执行的程序。 计算机病毒具有传染性。计算机病毒具有传染性。 计算机病毒具有潜伏性。计算机病毒具有潜伏性。 计算机病毒一般都有一个触发条件。计算机病毒一般都有一个触发条件。 破坏性。破坏性。 有针对性。有针对性。 计算机病毒具有衍生性。计算机病毒具有衍生性。 上一页上一页下一页下一页目目 录
50、录结结 束束本本 节节2常见的计算机病毒常见的计算机病毒 宏病毒宏病毒 文件型病毒文件型病毒 引导型病毒引导型病毒 混合病毒混合病毒 多态病毒多态病毒 隐秘病毒隐秘病毒 反制病毒反制病毒 特洛伊木马程序特洛伊木马程序 蠕虫程序蠕虫程序上一页上一页下一页下一页目目 录录结结 束束本本 节节3网络环境下病毒的传播与破坏方式网络环境下病毒的传播与破坏方式 通过共享资源传播通过共享资源传播病毒先传染网络中的一台客户计算机,在计算病毒先传染网络中的一台客户计算机,在计算机内存驻留,通过查找网络上的共享资源来传播机内存驻留,通过查找网络上的共享资源来传播病毒。病毒。 通过网页恶意脚本传播通过网页恶意脚本传
