Internet網(wǎng)絡(luò)安全

1、2022-2-231本章學習目標: 本章主要讓讀者了解Internet網(wǎng)絡(luò)所存在的潛在威脅，以及如何防范這些威脅。通過對本章的學習，讀者應該掌握以下主要內(nèi)容： =掌握網(wǎng)絡(luò)安全的基本概念和內(nèi)容。=了解什么是防火墻以及它的幾種類型、體系結(jié)構(gòu)和采用的主要技術(shù)。=在Internet網(wǎng)絡(luò)上，如何對個人計算機中的內(nèi)容進行保護。 2022-2-2329.1 計算機網(wǎng)絡(luò)安全基礎(chǔ)知識 9.2 防火墻技術(shù) 9.3 Internet網(wǎng)絡(luò)上個人計算機的保護 2022-2-2339.1.1 網(wǎng)絡(luò)安全的含義 網(wǎng)絡(luò)安全的一個通用定義： 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到

2、破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務不中斷。網(wǎng)絡(luò)安全又分為：（l）運行系統(tǒng)安全，即保證信息處理和傳輸系統(tǒng)的安全。 （2）網(wǎng)絡(luò)上系統(tǒng)信息的安全。 （3）網(wǎng)絡(luò)上信息傳播的安全。全。 （4）網(wǎng)絡(luò)上信息內(nèi)容的安全。 2022-2-234（1）保密性：信息不泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。（2）完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可用性：可被授權(quán)實體訪問并按需求使用的特性，即當需要時應能存取所需的信息。網(wǎng)絡(luò)環(huán)境下拒絕服務、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊。（4）可控性：對信息的傳播及內(nèi)

3、容具有控制能力。 2022-2-235（1）非授權(quán)訪問（unauthorized access）：一個非授權(quán)的人的入侵。（ 2 ） 信 息 泄 露 （ d i s c l o s u r e o f information）：造成將有價值的和高度機密的信息暴露給無權(quán)訪問該信息的人的所有問題。（3）拒絕服務（denial of service）：使得系統(tǒng)難以或不可能繼續(xù)執(zhí)行任務的所有問題。 2022-2-236 主機安全技術(shù)。 身份認證技術(shù)。 訪問控制技術(shù)。 密碼技術(shù)。 防火墻技術(shù)。 安全審計技術(shù)。 安全管理技術(shù)。 2022-2-2371.網(wǎng)絡(luò)用戶的安全責任 2.系統(tǒng)管理員的安全責任 3.正確利

4、用網(wǎng)絡(luò)資源 4.檢測到安全問題時的對策 2022-2-238計算機網(wǎng)絡(luò)安全受到的威脅包括： “黑客”的攻擊 計算機病毒 拒絕服務攻擊（Denial of Service Attack） 2022-2-239（1）非授權(quán)訪問。這主要的是指對網(wǎng)絡(luò)設(shè)備以及信息資源進行非正常使用或超越權(quán)限使用。（2）假冒合法用戶，主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)，以達到占用合法用戶資源的目的。（3）數(shù)據(jù)完整性受破壞。 干擾系統(tǒng)的正常運行，改變系統(tǒng)正常運行的方向，以及延時系統(tǒng)的響應時間。（4）病毒。（5）通信線路被竊聽等。 2022-2-2310（1）計算機系統(tǒng)的脆弱性主要來自于操作系統(tǒng)的不安全性

5、，在網(wǎng)絡(luò)環(huán)境下，還來源于通信協(xié)議的不安全性。 （2）存在超級用戶，如果入侵者得到了超級用戶口令，整個系統(tǒng)將完全受控于入侵者。（3）計算機可能會因硬件或軟件故障而停止運轉(zhuǎn)，或被入侵者利用并造成損失。 2022-2-2311 當前計算機網(wǎng)絡(luò)系統(tǒng)都使用的TCPIP協(xié)議以及FTP、E-mail、NFS等都包含著許多影響網(wǎng)絡(luò)安全的因素，存在許多漏洞。眾所周知的是Robert Morries在 VAX機上用 C編寫的一個GUESS軟件，它根據(jù)對用戶名的搜索猜測機器密碼口令的程序，自在1988年11月開始在網(wǎng)絡(luò)上傳播以后，幾乎每年都給Internet造成上億美元的損失 2022-2-2312 不管是什么樣的

6、網(wǎng)絡(luò)系統(tǒng)都離不開人的管理，但又大多數(shù)缺少安全管理員，特別是高素質(zhì)的網(wǎng)絡(luò)管理員。此外，缺少網(wǎng)絡(luò)安全管理的技術(shù)規(guī)范，缺少定期的安全測試與檢查，更缺少安全監(jiān)控。令人擔憂的許多網(wǎng)絡(luò)系統(tǒng)已使用多年，但網(wǎng)絡(luò)管理員與用戶的注冊、口令等還是處于缺省狀態(tài)。 2022-2-23131. 1. 網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)安全措施 要實施一個完整的網(wǎng)絡(luò)安全系統(tǒng)，至少應該包括三類措施：（1）社會的法律、法規(guī)以及企業(yè)的規(guī)章制度和安全教育等外部軟件環(huán)境。（2）技術(shù)方面的措施，如網(wǎng)絡(luò)防毒、信息加密、存儲通信、授權(quán)、認證以及防火墻技術(shù)。（3）審計和管理措施，這方面措施同時也包含了技術(shù)與社會措施。 2022-2-2314為網(wǎng)絡(luò)安全系統(tǒng)提供

7、適當安全的常用方法：（1）修補系統(tǒng)漏洞（2）病毒檢查（3）加密（4）執(zhí)行身份鑒別（5）防火墻（6）捕捉闖入者（7）直接安全（8）空閑機器守則（9）廢品處理守則（10）口令守則2022-2-23159.2.1什么是防火墻 防火墻起源于一種古老的安全防護措施。防火墻技術(shù)就是一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間實現(xiàn)控制策略的系統(tǒng)，主要是為了用來保護內(nèi)部的網(wǎng)絡(luò)不易受到來自Internet的侵害。圖為防火墻示意圖。2022-2-2316 （1）過濾不安全服務和非法用戶，禁止末授權(quán)的用戶訪問受保護網(wǎng)絡(luò)。 （2）控制對特殊站點的訪問。防火墻可以允許受保護網(wǎng)的一部分主機被外部網(wǎng)訪問，

8、而另一部分被保護起來，防止不必要訪問。如受保護網(wǎng)中的Mail、FTP、WWW 服務器等可允許被外部網(wǎng)訪問，而其他訪問則被主機禁止。有的防火墻同時充當對外服務器，而禁止對所有受保護網(wǎng)內(nèi)主機的訪問。 （3）提供監(jiān)視Internet安全和預警的方便端點。防火墻可以記錄下所有通過它的訪問，并提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。 2022-2-2317（1）不能防范繞過防火墻的攻擊。 （2）一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸。 （3）不能防止數(shù)據(jù)驅(qū)動式攻擊。 （4）難以避免來自內(nèi)部的攻擊。 2022-2-23181.網(wǎng)絡(luò)級防火墻 網(wǎng)絡(luò)級防火墻也稱包過濾防火墻，通常由一個路由器或一臺充當路由器的計

9、算機組成。2.應用級防火墻 應用級防火墻通常指運行代理（Proxy）服務器軟件的一臺計算機主機。3.電路級防火墻 電路級防火墻也稱電路層網(wǎng)關(guān)，是一個具有特殊功能的防火墻，它可以由應用層網(wǎng)關(guān)來完成。電路層網(wǎng)關(guān)只依賴于TCP連接，并不進行任何附加的包處理或過濾。 2022-2-23191.雙重宿主主機體系結(jié)構(gòu) 雙重宿主主機體系結(jié)構(gòu)是指在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的接口處使用至少兩個網(wǎng)絡(luò)設(shè)備，這些網(wǎng)絡(luò)設(shè)備可以是路由器或普通計算機，其中一個連接內(nèi)部網(wǎng)絡(luò)（稱為內(nèi)部分組過濾器），另一個連接外部網(wǎng)絡(luò)（稱為外部分組過濾器），它們之間由設(shè)備連接，如圖所示。 2022-2-2320 這種結(jié)構(gòu)由硬件和軟件共同完成，硬件主要

10、是指路由器，軟件主要是指過濾器，它們共同完成外界計算機訪問內(nèi)部網(wǎng)絡(luò)時從IP地址或域名上的限制，也可以指定或限制內(nèi)部網(wǎng)絡(luò)訪問Internet。路由器僅對主機的特定的PORT（端口）上數(shù)據(jù)通訊加以路由，而過濾器則執(zhí)行篩選、過濾、驗證及其安全監(jiān)控，這樣可以在很大程度上隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間不正常的訪問登錄。 2022-2-2321 子網(wǎng)過濾體系結(jié)構(gòu)添加了額外的安全層到主機過濾體系結(jié)構(gòu)中，即通過添加參數(shù)網(wǎng)絡(luò)，更進一步地把內(nèi)部網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)隔離開。 （1）參數(shù)網(wǎng)絡(luò) （2）堡壘主機 （3）內(nèi)部路由器 （4）外部路由器 2022-2-2322定義：包過濾（Packet Filter）是在網(wǎng)絡(luò)

11、層中對數(shù)據(jù)包實施有選擇的通過。 1. 包過濾是如何工作的 （1）將包的目的地址作為判據(jù)；（2）將包的源地址作為判據(jù)；（3）將包的傳送協(xié)議作為判據(jù)。包過濾系統(tǒng)只能進行類似以下情況的操作：（1）不讓任何用戶從外部網(wǎng)用Telnet登錄；（2）允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件；（3）只允許某臺機器通過NNTP往內(nèi)部網(wǎng)發(fā)新聞。 包過濾不允許進行如下的操作：（1）允許某個用戶從外部網(wǎng)用Telnet登錄而不允許其它用戶進行這種操作。（2）允許用戶傳送一些文件而不允許用戶傳送其它文件。 2022-2-2323（1）包過濾的優(yōu)點）包過濾的優(yōu)點 包過濾方式有許多優(yōu)點，而其主要優(yōu)點之一是僅用一個放置在重要

12、位置上的包過濾路由器就可保護整個網(wǎng)絡(luò)。如果內(nèi)部網(wǎng)絡(luò)中的站點與Internet網(wǎng)絡(luò)之間只有一臺路由器，那么不管內(nèi)部網(wǎng)絡(luò)規(guī)模有多大，只要在這臺路由器上設(shè)置合適的包過濾，內(nèi)部網(wǎng)絡(luò)中的站點就可獲得很好的網(wǎng)絡(luò)安全保護。（2）包過濾的缺點）包過濾的缺點 在機器中配置包過濾規(guī)則比較困難； 對系統(tǒng)中的包過濾規(guī)則的配置進行測試也較麻煩； 許多產(chǎn)品的包過濾功能有這樣或那樣的局限性，要找一個比較完整的包過濾產(chǎn)品比較困難。 2022-2-2324 在配置包過濾路由器時，首先要確定哪些服務允許通過而哪些服務應被拒絕，并將這些規(guī)定翻譯成有關(guān)的包過濾規(guī)則。有關(guān)服務翻譯成包過濾規(guī)則時非常重要的幾個概念。（1）協(xié)議的雙向性。協(xié)

13、議總是雙向的，協(xié)議包括一方發(fā)送一個請求，而另一方返回一個應答。在制定包過濾規(guī)則時，要注意包是從兩個方向來到路由器的。（2）“往內(nèi)”與“往外”的含義。在制定包過濾規(guī)則時，必須準確理解“往內(nèi)”與“往外”的包和“往內(nèi)”與“往外”的服務這幾個詞的語義。 （3）“默認允許”與“默認拒絕”。網(wǎng)絡(luò)的安全策略中的有兩種方法：默認拒絕（沒有明確地指明被允許就應被拒絕）與默認允許（沒有明確地指明被拒絕就應被允許）。從安全角度來看，用默認拒絕應該更合適。 2022-2-2325 包的構(gòu)造有點像洋蔥一樣，它是由各層連接的協(xié)議組成的。每一層，包都由包頭與包體兩部分組成。在包頭中存放與這一層相關(guān)的協(xié)議信息，在包體中，存放

14、包在這一層的數(shù)據(jù)信息。這些數(shù)據(jù)信息也包含了上層的全部信息（即上一層包頭和包體信息）。在每一層上對包的處理是將從上層獲取的全部信息作為包體，然后根據(jù)本層的協(xié)議再加上包頭。這種對包的層次性操作（每一層均加裝一個包頭）一般稱為封裝。 2022-2-2326 過濾路由器可以利用包過濾手段來提高網(wǎng)絡(luò)的安全性。（1）包過濾和網(wǎng)絡(luò)策略 （2）一個簡單的包過濾模型 （3）包過濾器操作 2022-2-23279.3.1 Internet網(wǎng)絡(luò)病毒的防范 1.殺病毒軟件 （1）金山毒霸的啟動 （2）查殺病毒 按上述方法打開金山毒霸,顯示出金山毒霸的主界面，如圖所示。在金山毒霸主界面左側(cè)的列表框中，選擇需要進行查殺病

15、毒的文件夾，并將其選中（即打）。 2022-2-2328然后，在金山毒霸主界面的右邊“控制中心”內(nèi)，單擊“開始查毒”，程序就開始開始查殺病毒了。這時，程序切換到“查毒結(jié)果”界面,如圖所示。如果發(fā)現(xiàn)病毒，程序?qū)棾觥鞍l(fā)現(xiàn)病毒”窗口詢問對此要進行的下一步操作。選擇相應的操作后，即可繼續(xù)進行查毒。 如果沒有發(fā)現(xiàn)病毒，程序?qū)崾居脩簟安《緳z測完畢”單擊“確認”鍵，返回“控制中心”界面 2022-2-2329 金山毒霸提供了一個重要的功能，就是病毒防火墻，這對于經(jīng)常上網(wǎng)的用戶十分有用。啟動該程序后，會駐留于內(nèi)存中，自動運行于后臺，并會在任意應用程序?qū)ξ募M行操作、接收電子郵件、從網(wǎng)絡(luò)下載文件、打開光盤

16、時進行病毒監(jiān)控，徹底的防止病毒入侵。如果檢查到病毒，將根據(jù)對其屬性的設(shè)置做出相應的反應。 2022-2-2330 目前，很多網(wǎng)站都提供這種在線殺毒，如網(wǎng)易（，如圖所示） 2022-2-2331 個人用戶只能使用應用級防火墻。這種防火墻一般都是使用包過濾和協(xié)議過濾等技術(shù)實現(xiàn)的，能有效地防止用戶數(shù)據(jù)直接暴露在Internet中，并記錄主機和Internet數(shù)據(jù)交換的情況，從而保證了用戶的安全。下面以“天網(wǎng)防火墻”為例來介紹如何構(gòu)建個人防火墻。2022-2-2332（）單擊主界面上的“系統(tǒng)設(shè)置”按鈕，出現(xiàn)系統(tǒng)設(shè)置對話框（）若選擇“開機后自動啟動防火墻”，那么每次開機后，防火墻會自動啟動。（）“防火墻

17、自定義規(guī)則”中的“重置”按鈕主要用于把程序本身所提供的默認規(guī)則覆蓋掉當前的規(guī)則。如果用戶把安全規(guī)則調(diào)亂了，可以用這個功能恢復系統(tǒng)默認規(guī)則。（）單擊“瀏覽”按鈕，選擇報警時的聲音文件，在用戶設(shè)置的規(guī)則中有報警設(shè)置時，將會以這個聲音文件報警。單擊“重置”按鈕，可以將報警聲音文件恢復成系統(tǒng)默認文件。 2022-2-2333（）啟動天網(wǎng)防火墻 （）單擊主界面上的“自定義IP規(guī)則”圖形按鈕 （）用戶可以單擊“自定義IP規(guī)則”后面的按鈕來完成增加、修改、刪除、保存應用、向上、向下等操作。按鈕圖標的具體說明如圖所示。 2022-2-2334（1）從列表框中選擇要修改的規(guī)則，然后，單擊工具條上的“修改”按鈕，

18、出現(xiàn) “規(guī)則修改”對話框。（2）首先輸入規(guī)則的“名稱”和“說明”，以便于查找和閱讀。（3）通過“數(shù)據(jù)包方向”列表框，選擇該規(guī)則來決定對進入計算機的數(shù)據(jù)包還是輸出計算機的數(shù)據(jù)包有效，用戶可以選擇“接收”、“發(fā)送”和“接收或發(fā)送”種規(guī)則。（4）通過“對方的IP地址”框，用戶可以確定選擇數(shù)據(jù)包從哪里來或是到哪里去，有四種設(shè)置。 任何地址 局域網(wǎng)網(wǎng)絡(luò)地址 指定地址 指定的網(wǎng)絡(luò)地址 2022-2-2335（5）設(shè)置該規(guī)則所對應的協(xié)議，有IP、TCP、UDP、ICMP和IGMP這5個面板。（6）設(shè)置對數(shù)據(jù)包采取的行動。 通行：指讓該數(shù)據(jù)包暢通無阻的進入或輸出。 攔截：指讓該數(shù)據(jù)包無法進入或輸出。 繼續(xù)下一規(guī)則：指不對該數(shù)據(jù)包作任何處理，由該規(guī)則的下一條規(guī)則來確定對該包的處理。（7）當設(shè)置完畢后，單擊“確定”按鈕，返回到 “自定義IP規(guī)則”的界面。 2022-2-2336 天網(wǎng)防火墻中的各種規(guī)則是按照從上而下的順序依次起作用的，用戶可以自行調(diào)整規(guī)則的次序，使重要的規(guī)則先起作用。（1）由于規(guī)則判斷是由上而下的，用戶可以通過單擊“規(guī)則上下移動”按鈕調(diào)整規(guī)則的順序（注意：只有相同協(xié)議的規(guī)則才可以調(diào)整相互順序）。 （2）當調(diào)整好順序后，可按保存按鈕保存用戶的修改。當規(guī)則增加或修改后，