企業(yè)網(wǎng)絡的構(gòu)建技術13章

1、第13章 網(wǎng) 絡 安 全隨著計算機網(wǎng)絡的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢。但由于計算機網(wǎng)絡具有的連接形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互聯(lián)性等特征，致使網(wǎng)絡容易受到黑客、惡意軟件等的種種攻擊，網(wǎng)絡信息安全成為一個令人頭痛的問題。因此，排除自然和人為等諸多因素造成的網(wǎng)絡脆弱性和潛在威脅，確保網(wǎng)絡信息的保密性、完整性和可用性，就成為網(wǎng)絡管理員、網(wǎng)絡工程師要做的頭等大事。13.1 安全威脅來源雖然有許許多多的因素都會對網(wǎng)絡安全產(chǎn)生重大影響，但仔細分析后發(fā)現(xiàn)，其實所有的安全威脅大多來源于無意識的失誤、惡意的攻擊和軟件漏洞和后門3個方面。1. 無意的失誤由于無意的失誤而給網(wǎng)絡安全帶來

2、的損害絕不僅僅是網(wǎng)絡管理員，普通用戶在許多時候往往才是網(wǎng)絡安全的“殺手”。網(wǎng)絡管理員的失誤主要表現(xiàn)在對操作系統(tǒng)、應用軟件或網(wǎng)絡設備的配置不當而造成安全漏洞。如用戶權(quán)限過大、服務器打開的端口太多、未及時刪除已離職用戶、未進行路由器IP安全設置等。網(wǎng)絡用戶甚至是低級用戶或臨時用戶的失誤，則往往是安全意識不強、口令選擇不慎、將自己的賬號隨意轉(zhuǎn)借他人，或者與別人共享資源等行為，而給網(wǎng)絡安全帶來了致命的威脅。2. 惡意的攻擊當然，如果只有漏洞和失誤，而沒有人惡意地利用這些漏洞和失誤，那么網(wǎng)絡和數(shù)據(jù)同樣是安全的。因此，網(wǎng)絡所面臨的最大威脅就是惡意攻擊。惡意攻擊可以分為以下兩種：一種是主動攻擊，它以各種方式

3、有選擇地破壞信息的有效性和完整性，或者造成網(wǎng)絡服務器癱瘓，停止提供各類服務。如UDP洪水、SYN洪水和電子郵件炸彈等，都是利用畸形的或過量的TCPIP包而將服務器摧垮。另一種是被動攻擊，它是在不影響網(wǎng)絡正常工作的情況下，進行截獲、竊取或破譯等活動以獲得重要機密信息。如特洛伊木馬、緩沖區(qū)溢出等，都是通過一小段程序奪取服務器的控制權(quán)，實現(xiàn)對服務器的遠程控制。這兩種攻擊均可對計算機網(wǎng)絡造成極大的危害，并導致機密數(shù)據(jù)的泄露。3. 軟件漏洞和后門絕大部分操作系統(tǒng)或應用軟件都有安全漏洞和后門，而這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。另外，程序員為了方便自己而設置的軟件“后門”，危害更大。雖然一般不為

4、外人所知，但一旦“后門”暴露，其后果可想而知。13.2 網(wǎng)絡安全策略 網(wǎng)絡安全策略主要包括兩大部分，即訪問控制策略和信息加密策略。訪問控制策略是網(wǎng)絡安全防范和保護的主要策略，也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段，用以保證網(wǎng)絡資源不被非法使用和非常訪問。信息加密策略主要是一種補救手段，也就是說，即使信息在傳輸過程中被截獲，也將由于不能解密而無法讀取，從而保證數(shù)據(jù)的安全。雖然各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網(wǎng)絡安全最重要的核心策略之一。13.2.1 Windows 系統(tǒng)的安全性 Windows Server 2003是一種相對安全的操作系統(tǒng)，利用Wind

5、ows Server 2003全部或部分安全特性的優(yōu)點，可以明顯地減小危險性。 1. 用戶賬戶 保護計算機和計算機內(nèi)存儲數(shù)據(jù)的安全措施之一，就是指定擁有不同訪問權(quán)限的用戶賬戶，通過限制賬戶的權(quán)限的方式實現(xiàn)對計算機資源訪問的控制。用戶名和密碼用于在登錄Windows Server 2003時進行身份驗證，登錄的身份決定了該用戶是否可以進入該計算機，以及可以在該計算機上做些什么。因此，對用戶賬戶和管理員賬戶的嚴格審批、發(fā)放和控制，再輔之以嚴格的賬戶策略，是確保服務器安全的重要手段。(1) 匿名訪問Internet Guest賬戶是在IIS安裝過程中自動創(chuàng)建的。默認狀態(tài)下，所有的IIS用戶都使用該賬

6、戶實現(xiàn)對Web或FTP網(wǎng)站的匿名訪問。即所有用戶在通過匿名方式訪問Web或FTP網(wǎng)站時，都被映射為Internet Guest賬戶，并擁有該賬戶所擁有的所有權(quán)限，和利用該賬戶從本地直接登錄到服務器時一樣。如果只允許用Internet Guest賬戶遠程訪問服務器，則遠程用戶不必提供自己的用戶名和密碼，但他們只能享有分配給Internet Guest賬戶的權(quán)限。這樣做可以防止任何人以騙得或非法獲得的密碼來訪問敏感信息。以上策略可以建立最為安全的系統(tǒng)。需要注意的是，由于Internet Guest賬戶添加在Guest用戶組中，Guest組的設置同樣適用于Internet Guess賬戶，應當重新查

7、看Guest組的設置，以確定它們是否適用于Internet Guest賬戶。(2) 驗證方式 基本驗證和Windows驗證要求用戶必須提供一個合法的Windows Server 2003用戶名和密碼才能訪問服務器，否則將拒絕對服務器的訪問。兩者的區(qū)別在于，Windows驗證將用戶名和密碼進行加密后才進行傳輸，從而保證了用戶名和密碼在Internet傳輸中的安全，保證用戶名和密碼不致在傳輸過程中被惡意用戶截獲，從而冒名頂替該用戶登錄服務器竊取敏感資料或?qū)Ψ掌鬟M行破壞?；掘炞C方法則不經(jīng)加密就將用戶名和密碼經(jīng)由Internet進行傳輸，因此，用戶名和密碼在傳輸過程中極易被截獲，從而對服務器及其中

8、存儲的數(shù)據(jù)造成難以估量的損失。驗證方法只是利用unencode對資源信息進行了編碼，可以被任何訪問網(wǎng)絡的人輕易地解開，甚至對于那些只能訪問傳送該數(shù)據(jù)包的某一因特網(wǎng)網(wǎng)段的人來說也是如此。因此，微軟公司只建議使用Windows Server 2003的質(zhì)詢應答(ChallengeResponse)這一密碼驗證方式。需要注意的是，基本驗證方法在發(fā)送用戶名和密碼之前并不將它們加密。而只有通過加密，才能將原始信息混雜在一起，使得除合法接收人之外的使用者很難恢復原始信息。(3) 密碼設置 非法訪問系統(tǒng)的最簡單方法莫過于使用竊取的或者很容易猜到的密碼。因此，要確保所有系統(tǒng)密碼，特別是那些具有管理權(quán)限的密碼不

9、被猜破，還應該設置合適的賬戶管理策略來進一步保證系統(tǒng)的安全?？梢酝ㄟ^User Manager工具來管理用戶賬戶。 對網(wǎng)絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶在注冊網(wǎng)絡時，需輸入用戶名和口令，服務器將驗證其合法性。對于用戶名與口令，口令是問題的關鍵所在。據(jù)統(tǒng)計，大約80的安全隱患是由于口令設置不當引起的。因此，密碼的設置無疑是十分講求技巧的。眾所周知，如今的一些黑客軟件如Email Crk、天行刺客等都是掛上密碼字典，然后開足馬力一路窮舉，因此，如若密碼設置不當或太大眾化、通俗化，被解破的可能性也就很大。(4) 賬戶管理策略 除了設置用戶密碼，還可以使用User Manag

10、er工具來管理用戶賬戶其他方面。例如，可以用該工具設定一個用戶在被系統(tǒng)拒絕之前，以及當密碼賬戶過期時，允許多少次失敗的登錄嘗試；通過設定密碼過期日期，可以強迫用戶定期更改密碼；限制允許用戶登錄的時間等。 通過建立嚴格的賬戶管理策略并認真遵照執(zhí)行，特別是對于那些有管理訪問的賬戶，可以有效地挫敗肆意和無意識的密碼攻擊。(5) 管理員組成員 盡量減少管理員組成員的數(shù)量，也是最大限度保證網(wǎng)絡安全的重要措施。從某種意義上來講，限制了管理員組的成員，也就限制了有密碼選擇的用戶數(shù)目，從而減少易被識破的密碼被作為系統(tǒng)密碼的機會，避免使系統(tǒng)處于危險的境地。 另外，也可以重新命名默認的管理員賬戶，將默認的管理員賬

11、戶“Administrator”屏蔽起來，而啟用其他的賬戶作為管理員賬戶，從而使得入侵者無法得知真正的管理員賬戶，更無從嘗試并猜出該賬戶的密碼。 除此之外，及時并且經(jīng)常清理那些被廢棄的賬戶(例如員工被辭退或自動離職)，也是保障網(wǎng)絡安全的重要措施。2. NTFS權(quán)限控制 Windows 2000/2003所特有的NTFS文件系統(tǒng)，為數(shù)據(jù)文件提供了安全和訪問控制，可限制特定用戶和服務對某些文件夾、某些文件或某些屬性的訪問。通過訪問控制列表(ACL，Access Control Lists)，使得NTFS文件系統(tǒng)在擁有了安全性的同時，更具有了相當程度的靈活性。(1) 權(quán)限控制 NTFS大大增強了系統(tǒng)

12、的安全性，因為用它可以控制哪些用戶和用戶組被許可訪問哪些文件和文件夾，可以進行什么樣的訪問等。例如，可以規(guī)定某些用戶對某個特定文件夾只能進行Read Only(只讀)訪問，而其他用戶對同一個文件夾可以進行Read和Write(讀或?qū)?訪問。利用NTFS也可以控制Internet Guest賬戶能否對某些特定文件或文件夾進行訪問，或者是否需要經(jīng)過身份驗證的賬戶。(2) 目錄級安全控制 網(wǎng)絡管理員可以控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和目錄有效，用戶還可進一步指定對目錄中子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有8種：系統(tǒng)管理員權(quán)限(Supervisor)、

13、讀權(quán)限(Read)、寫權(quán)限(Write)、創(chuàng)建權(quán)限(Create)、刪除權(quán)限(Erase)、修改權(quán)限(Modify)、文件查找權(quán)限(File Scan)和存取控制權(quán)限(Access Control)。網(wǎng)絡系統(tǒng)管理員應當為用戶指定適當?shù)脑L問權(quán)限，并通過訪問權(quán)限控制用戶對服務器的訪問。8種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網(wǎng)絡和服務器的安全性。(3) 屬性安全控制 當用戶被允許訪問文件、目錄和網(wǎng)絡設備時，網(wǎng)絡系統(tǒng)管理員還應當為這些文件、目錄和設備指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡服務器的文件、目錄和網(wǎng)絡設備聯(lián)系起來。屬性安

14、全在權(quán)限安全的基礎上提供了更進一步的安全性。網(wǎng)絡上的資源都應預先標出一組安全屬性。屬性往往能控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、復制一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享和系統(tǒng)屬性等。網(wǎng)絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的刪除、修改和讀取等。 在設定了NTFS權(quán)限之后，就必須對Web服務器的驗證機制進行配置，在授予用戶對限制文件進行訪問之前要接受驗證?？梢詫⒎掌鞯尿炞C特性設置為要求用合法的Windows 2000/2003賬戶用戶名和密碼登錄。步驟 另外，還應該注意到Everyone這個用戶組包括了所有的用戶和用戶組，也包括Interne

15、t Guest賬戶和Guest組。在默認狀態(tài)下，Everyone組有對NTFS驅(qū)動器上所建立的文件的完全控制權(quán)?？紤]到服務器安全，在設置Internet或Intranet服務器時，應刪除Everyone組對全部資源的控制權(quán)限。如果需要，再給予相應的權(quán)限。此外，有關網(wǎng)絡共享的所有不必要的權(quán)限都應該刪掉。操作步驟如下。 步驟1) 在資源管理器中，用鼠標右擊欲設置共享權(quán)限的文件夾，在顯示的快捷菜單中選擇“共享”命令，顯示如圖13-1所示的屬性對話框。(2) 選擇“共享該文件夾”。如果共享的是某個磁盤，則應先單擊“新建共享”按鈕，顯示如圖13-2所示的“新建共享”對話框。在“共享名”文本框中輸入該磁盤

16、的共享名，而后單擊“確定”按鈕。(3) 單擊“權(quán)限”按鈕，顯示如圖13-3所示的對話框。(4) 默認狀態(tài)下，所有用戶都對該共享文件夾享有讀取和寫入的權(quán)限，并可完全控制該文件夾。若欲指定特定用戶對該文件夾的訪問權(quán)限，可先根據(jù)需要取消“Everyone”對該共享文件夾的某種或所有權(quán)限。(5) 單擊“添加”按鈕，顯示如圖13-4所示“選擇用戶或組”對話框。添加擁有對該文件夾享有訪問權(quán)限的用戶，并指定其訪問權(quán)限。圖13-1 設置磁盤的共享屬性圖13-2 配置共享名圖13-3 設置共享權(quán)限 圖13-4 “選擇用戶或組”對話框步驟 (6) 在名稱列表中選中欲授予權(quán)限的用戶組和用戶名，然后單擊“添加”按鈕。

17、重復操作，可添加多個用戶或用戶組。單擊“確定”按鈕，關閉該對話框。 (7) 在名稱列表中選中欲設置權(quán)限的用戶或用戶組，然后在下方的權(quán)限列表中指定賦予該用戶或用戶組的權(quán)限。重復操作，為名稱列表中所有的用戶和用戶組分別設定訪問權(quán)限。 (8) 單擊“確定”按鈕。 需要注意的是，如果NTFS的權(quán)限設置與IIS權(quán)限設置發(fā)生沖突，以最嚴格的設置為準。例如，NTFS的權(quán)限設置為只讀，而IIS權(quán)限設置為完全控制，那么用戶的訪問權(quán)限將只能是“只讀”。為了使服務器盡可能地安全，應該重新檢查所有IIS文件夾的安全設置并進行適當?shù)恼{(diào)整。3. Web訪問權(quán)限 利用Web訪問權(quán)限可以對用戶如何進入Web站點以及如何與We

18、b站點交互進行控制，可以設定正在訪問Web站點的用戶是否可以查看某些特殊網(wǎng)頁，是否可以上載信息，或者是否可以在站點上運行腳本文件。與NTFS權(quán)限不同的是，Web服務器權(quán)限應用于所有訪問Web站點的用戶。這一差別非常重要，因為NTFS權(quán)限只適用于使用Windows Server 2000/2003合法賬戶的某個特定用戶或用戶組。 例如，禁用一個特定文件夾的Web服務器讀權(quán)限，就意味著所有用戶都不能查看該文件，而無論這些用戶賬戶和NTFS權(quán)限如何。同樣，“允許讀”權(quán)限將允許所有用戶查看該文件，除非有NTFS的“拒絕訪問”權(quán)限設置。 如果同時設置了Web服務器權(quán)限和NTFS權(quán)限，那么拒絕訪問權(quán)限的優(yōu)

19、先級將明顯高于“允許訪問”權(quán)限。4. 其他Windows Server 2003安全性措施可以通過限制網(wǎng)絡適配卡所使用的協(xié)議數(shù)量來提高系統(tǒng)的安全性。減少系統(tǒng)上運行服務程序數(shù)目可以降低管理失誤的概率。利用控制面板中的服務程序可以禁用那些Internet服務器所不需要的服務。1) 刪除不需要的協(xié)議刪除所有與Internet或Intranet服務無關的網(wǎng)絡協(xié)議，通常情況下，只保留TCPIP即可。操作步驟如下。(1) 單擊“開始”按鈕，然后將鼠標指向“設置”，并選擇“網(wǎng)絡和撥號連接”命令，顯示如圖13-5所示“網(wǎng)絡和撥號連接”窗口。(2) 右擊“本地連接”圖標，在顯示的快捷菜單中選擇“屬性”命令，顯示如圖