《基于任務(wù)驅(qū)動(dòng)模式的計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)》課件-第10章

項(xiàng)目十網(wǎng)絡(luò)的安全與維護(hù)任務(wù)一認(rèn)知網(wǎng)絡(luò)安全任務(wù)二認(rèn)知網(wǎng)絡(luò)管理任務(wù)三認(rèn)知加密和認(rèn)證任務(wù)四認(rèn)知防火墻項(xiàng)目實(shí)踐一：應(yīng)用Win7防火墻配置簡(jiǎn)易防火墻項(xiàng)目實(shí)踐二：配置天網(wǎng)防火墻項(xiàng)目實(shí)踐三：使用注冊(cè)表設(shè)置永久隱藏文件夾小結(jié)習(xí)題

任務(wù)一認(rèn)知網(wǎng)絡(luò)安全一、安全加固個(gè)人用戶操作系統(tǒng)通過(guò)系統(tǒng)內(nèi)核加固對(duì)用戶信息的保密性、完整性、可靠性進(jìn)行有效的保護(hù)，以守住數(shù)據(jù)安全的最后一道防線，正在成為繼應(yīng)用層網(wǎng)絡(luò)安全產(chǎn)品之后又一行之有效的技術(shù)手段。操作系統(tǒng)內(nèi)核加固技術(shù)是按照國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南的要求對(duì)操作系統(tǒng)內(nèi)核實(shí)施保護(hù)，對(duì)網(wǎng)絡(luò)中的不安全因素實(shí)現(xiàn)“有效控制”，從而構(gòu)建一個(gè)具有“安全內(nèi)核”的操作系統(tǒng)，使“加固”后的操作系統(tǒng)的安全等級(jí)能夠符合國(guó)家信息安全第三級(jí)及三級(jí)以上的主要功能要求。

圖10-1所示為網(wǎng)絡(luò)數(shù)據(jù)通信過(guò)程示意圖。圖10-1網(wǎng)絡(luò)數(shù)據(jù)通信過(guò)程示意圖

在網(wǎng)絡(luò)中部署操作系統(tǒng)內(nèi)核加固技術(shù)產(chǎn)品是十分重要的。以下是個(gè)人操作系統(tǒng)安全加固措施：

(1)慎用軟件、光盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)；

(2)不要輕易打開(kāi)電子郵件中的附件；

(3)瀏覽網(wǎng)頁(yè)(特別是個(gè)人網(wǎng)頁(yè))時(shí)要謹(jǐn)慎；

(4)使用免費(fèi)、共享軟件時(shí)要注意先查毒；

(5)系統(tǒng)賬戶不要輕易使用空口令或弱密碼；

(6)使用共享文件夾要謹(jǐn)慎；

(7)系統(tǒng)補(bǔ)丁更新要及時(shí)；

(8)選用并正確使用反病毒軟件；

(9)選用安全的瀏覽器；

(10)防御U盤(pán)病毒；

(11)防御APR欺騙。

二、使用殺毒軟件完成病毒防治

殺毒軟件也稱反病毒軟件或防毒軟件，是用于消除電腦病毒、木馬和惡意軟件等計(jì)算機(jī)威脅的一類軟件。殺毒軟件通常集成監(jiān)控識(shí)別、病毒掃描和清除以及自動(dòng)升級(jí)等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能，是計(jì)算機(jī)防御系統(tǒng)(包含殺毒軟件、防火墻、特洛伊木馬和其他惡意軟件的查殺程序、入侵預(yù)防系統(tǒng)等)的重要組成部分。

圖10-2所示為瑞星殺毒軟件的主界面。圖10-2瑞星殺毒軟件主界面

1.殺毒軟件的任務(wù)

殺毒軟件的任務(wù)是實(shí)時(shí)監(jiān)控和掃描磁盤(pán)。部分殺毒軟件通過(guò)在系統(tǒng)中添加驅(qū)動(dòng)程序的方式進(jìn)駐系統(tǒng)，并且隨操作系統(tǒng)啟動(dòng)。大部分殺毒軟件還具有防火墻功能。

2.殺毒軟件的殺毒原理

殺毒軟件的實(shí)時(shí)監(jiān)控方式因軟件而異。有的殺毒軟件通過(guò)在內(nèi)存里劃分一部分空間，將電腦里流過(guò)內(nèi)存的數(shù)據(jù)與殺毒軟件自身所帶的病毒庫(kù)(包含病毒定義)的特征碼相比較，以判斷是否為病毒。另一些殺毒軟件則在所劃分到的內(nèi)存空間里面，虛擬執(zhí)行系統(tǒng)或用戶提交的程序，根據(jù)其行為或結(jié)果作出判斷。而掃描磁盤(pán)的方式則和上面提到的實(shí)時(shí)監(jiān)控的第一種工作方式一樣，只是殺毒軟件會(huì)將磁盤(pán)上所有的文件(或者用戶自定義的掃描范圍內(nèi)的文件)做一次檢查。

3.殺毒軟件的特點(diǎn)

殺毒軟件具有如下共同的特點(diǎn)：

(1)殺毒軟件不可能查殺所有病毒。

(2)殺毒軟件能查到的病毒不一定都能殺掉。

(3)一臺(tái)電腦每個(gè)操作系統(tǒng)下不能同時(shí)安裝兩套或兩套以上的殺毒軟件(除非有兼容或綠色版，其實(shí)很多殺毒軟件的兼容性很好，國(guó)產(chǎn)殺毒軟件幾乎不用擔(dān)心兼容性問(wèn)題)。

(4)殺毒軟件對(duì)被感染的文件殺毒有多種方式。

①清除：清除被蠕蟲(chóng)感染的文件，清除后文件恢復(fù)正常。這就相當(dāng)于，如果人生病，則“清除”是指給這個(gè)人治病，“刪除”則是指人生病后直接殺死。

②刪除：刪除病毒文件。這類文件不是被感染的文件，本身就含毒，無(wú)法清除，可以刪除。

③禁止訪問(wèn)：禁止訪問(wèn)病毒文件。在發(fā)現(xiàn)病毒后用戶如選擇不處理則殺毒軟件可能將病毒禁止訪問(wèn)。用戶打開(kāi)病毒文件時(shí)會(huì)彈出錯(cuò)誤提示“該文件不是有效的Win32文件”。

④隔離：病毒刪除后轉(zhuǎn)移到隔離區(qū)。用戶可以從隔離區(qū)找回刪除的文件。隔離區(qū)的文件不能運(yùn)行。

⑤不處理：不處理該病毒。如果用戶暫時(shí)不知道是不是病毒可以暫時(shí)先不處理。

(5)大部分殺毒軟件是滯后于計(jì)算機(jī)病毒的(像微點(diǎn)之類的第三代殺毒軟件可以查殺未知病毒，但仍需升級(jí))。所以，除了及時(shí)更新升級(jí)軟件版本和定期掃描，還要注意充實(shí)自己的計(jì)算機(jī)安全及網(wǎng)絡(luò)安全知識(shí)，做到不隨意打開(kāi)陌生的文件或者不安全的網(wǎng)頁(yè)，不瀏覽不健康的站點(diǎn)，注意更新自己的隱私密碼，配套使用安全助手與個(gè)人防火墻等，這樣才能更好地維護(hù)好自己的電腦以及網(wǎng)絡(luò)安全。

4.殺毒軟件的安裝

安裝殺毒軟件是最好的病毒防范和清除措施，它可以讓計(jì)算機(jī)避免很多問(wèn)題的產(chǎn)生。例如，在服務(wù)器中上傳的網(wǎng)站程序如果含有木馬，則會(huì)立即被檢査出來(lái)并拒絕在服務(wù)器中扎根。下面以安裝瑞星殺毒軟件2013版為例來(lái)介紹殺毒軟件的安裝過(guò)程。瑞星殺毒軟件2013版是基于新一代虛擬機(jī)脫殼引擎、采用三層主動(dòng)防御策略開(kāi)發(fā)的新一代信息安全產(chǎn)品，其安裝步驟如下：

(1)啟動(dòng)安裝程序。先把瑞星殺毒軟件下載版安裝程序保存到用戶電腦中的指定目錄，再找到該目錄，雙擊運(yùn)行安裝程序即可啟動(dòng)瑞星殺毒軟件安裝程序，如圖10-3所示。安裝程序啟動(dòng)完成后會(huì)彈出“最終用戶許可協(xié)議”對(duì)話框，閱讀協(xié)議后單擊“我接受”單選按鈕，如圖10-4所示。然后單擊“下一步”按鈕，接下來(lái)會(huì)給出安裝提示，用戶只要按照相應(yīng)提示就可以輕松進(jìn)行安裝了。圖10-3啟動(dòng)瑞星殺毒軟件安裝程序圖10-4接受用戶許可協(xié)議

(2)完成安裝，當(dāng)軟件安裝成功后會(huì)出現(xiàn)“結(jié)束”對(duì)話框，默認(rèn)是啟動(dòng)“運(yùn)行設(shè)置向?qū)А薄ⅰ斑\(yùn)行瑞星殺毒軟件主程序”和“運(yùn)行監(jiān)控中心”，如圖10-5所示。當(dāng)用戶點(diǎn)擊“完成”按鈕后，就完成了整個(gè)瑞星殺毒軟件下載版的安裝，這時(shí)會(huì)自動(dòng)運(yùn)行設(shè)置向?qū)?，按照自己的需求進(jìn)行每一項(xiàng)的具體設(shè)置，然后單擊“下一步”按鈕完成各項(xiàng)設(shè)置。(用戶也可以通過(guò)打鉤的方法，自行改變要啟動(dòng)的程序。)圖10-5殺毒軟件完成安裝

(3)輸入產(chǎn)品序列號(hào)和用戶ID，啟動(dòng)殺毒軟件，當(dāng)出現(xiàn)如圖10-6所示的窗口后，在相應(yīng)位置輸入用戶購(gòu)買殺毒軟件時(shí)獲得的產(chǎn)品序列號(hào)和用戶ID，單擊“確定”按鈕，通過(guò)驗(yàn)證后則會(huì)提示“您的瑞星殺毒軟件現(xiàn)在可以正常使用”，如圖10-7所示。圖10-6輸入產(chǎn)品序列號(hào)和用戶ID圖10-7注冊(cè)完成

需要說(shuō)明的是，殺毒軟件最適合在無(wú)毒的環(huán)境中安裝，這樣的防御效果最好。安裝操作系統(tǒng)后，首先要安裝殺毒軟件并全盤(pán)掃描，接著再創(chuàng)建或復(fù)制數(shù)據(jù)。這里要解釋以下兩個(gè)問(wèn)題：

第一個(gè)問(wèn)題是：為什么殺毒軟件本身也會(huì)中毒?例如，因?yàn)椴《靖腥玖瞬《編?kù)文件，導(dǎo)致殺毒軟件已經(jīng)無(wú)法進(jìn)行病毒庫(kù)的更新操作了。

其原因如下：

①如果電腦中已經(jīng)感染了病毒，那么“自我保護(hù)”功能不強(qiáng)的殺毒軟件就會(huì)立即被

感染。

②殺毒軟件如果長(zhǎng)期沒(méi)有進(jìn)行病毒庫(kù)的更新，那么其對(duì)病毒的識(shí)別能力就會(huì)大大下降，一旦發(fā)生把“病毒當(dāng)好人”的情況，自然就會(huì)中招。

③殺毒軟件主要是針對(duì)病毒進(jìn)行設(shè)計(jì)的，它在防黑方面的功能往往還有所欠缺。如果黑客成功入侵了電腦，那么只需暫時(shí)停用殺毒軟件，就可以在Win7系統(tǒng)中為所欲為了。

第二個(gè)問(wèn)題是：為什么安裝了殺毒軟件，電腦還會(huì)中毒?其原因如下：

①殺毒軟件如果“殺毒本領(lǐng)不強(qiáng)”，那么反被病毒所殺也就可以理解了。連自身都不能保證安全的殺毒軟件，肯定不能保護(hù)系統(tǒng)的安全。

②殺毒軟件如果長(zhǎng)期不更新病毒庫(kù)，對(duì)新病毒就不能及時(shí)地識(shí)別出來(lái)，自然就會(huì)對(duì)新病毒的傳播“睜一只眼閉一只眼了”。

③病毒如果“偽裝”技術(shù)太好，那么殺毒軟件也有可能被“蒙騙”。例如，病毒將自身的源代碼進(jìn)行加密處理、對(duì)自身進(jìn)行加充處理、修改入門(mén)點(diǎn)防止殺毒軟件進(jìn)行特征碼對(duì)比，等等。

5.殺毒軟件的使用

安裝瑞星殺毒軟件下載版成功后建議立即智能升級(jí)軟件至最新版本，并進(jìn)行全盤(pán)查殺。建議下載最新版用戶手冊(cè)并仔細(xì)閱讀，了解各項(xiàng)設(shè)置和功能。

1)殺毒軟件智能升級(jí)

當(dāng)瑞星殺毒軟件下載版安裝完成后，可以通過(guò)以下三種方法啟動(dòng)升級(jí)程序。

方法一：進(jìn)入瑞星殺毒軟件下載版主界面，單擊下方的“升級(jí)”按鈕進(jìn)行智能升級(jí)，如圖10-8所示。

圖10-8升級(jí)殺毒軟件

方法二：?jiǎn)螕羧鹦菤⒍拒浖螺d版“實(shí)時(shí)監(jiān)控”(綠色小傘)圖標(biāo)，在彈出的菜單中選擇“啟動(dòng)智能升級(jí)”命令，如圖10-9所示。圖10-9啟動(dòng)智能升級(jí)

方法三：在操作系統(tǒng)開(kāi)始菜單的程序中找到瑞星殺毒軟件下載版，然后在里面找到“升級(jí)程序”，單擊即可進(jìn)行瑞星殺毒軟件下載版的智能升級(jí)，如圖10-10所示。圖10-10啟用升級(jí)程序更新殺毒軟件

2)進(jìn)行系統(tǒng)漏洞掃描

應(yīng)經(jīng)常進(jìn)行系統(tǒng)漏洞掃描，獲取系統(tǒng)漏洞的補(bǔ)丁包，進(jìn)行系統(tǒng)漏洞的更新。瑞星漏洞掃描是對(duì)Windows系統(tǒng)存在的“系統(tǒng)漏洞”和“安全設(shè)置缺陷”進(jìn)行檢查，并提供相應(yīng)的補(bǔ)丁下載和安全設(shè)置缺陷修補(bǔ)的工具。

(1)啟動(dòng)漏洞掃描。啟動(dòng)瑞星漏洞掃描的方法有以下兩種：

方法一：在瑞星殺毒軟件下載版主程序界面中，依次選擇“工具列表”→“漏洞掃描”→“運(yùn)行”，如圖10-11所示。圖10-11瑞星殺毒軟件主程序界面

方法二：依次選擇“開(kāi)始”→“程序”→“瑞星殺毒軟件下載版”→“瑞星工具”→“瑞星漏洞掃描”，啟動(dòng)系統(tǒng)漏洞掃描程序，如圖10-12所示。圖10-12啟動(dòng)系統(tǒng)漏洞掃描程序

(2)使用漏洞掃描。勾選“安全漏洞”和“安全設(shè)置”選項(xiàng)，單擊“開(kāi)始掃描”進(jìn)行系統(tǒng)漏洞掃描，如圖10-13所示。圖10-13使用漏洞掃描

(3)閱讀掃描報(bào)告。掃描結(jié)束自動(dòng)顯示掃描報(bào)告，內(nèi)容包括掃描時(shí)間、發(fā)現(xiàn)的安全漏洞、未修復(fù)的安全設(shè)置等。單擊“查看詳細(xì)”，可以分別查看安全漏洞和未修復(fù)的安全設(shè)置的詳細(xì)信息。

(4)安全漏洞的修復(fù)。選擇“掃描報(bào)告”→“發(fā)現(xiàn)的安全漏洞”→“查看詳細(xì)”選項(xiàng)可以查看詳細(xì)的安全漏洞信息，也可直接進(jìn)入“安全漏洞”頁(yè)進(jìn)行查看。

(5)“安全設(shè)置”漏洞的修復(fù)。選擇“掃描報(bào)告”→“未修復(fù)的安全設(shè)置”→“查看詳細(xì)”選項(xiàng)可以查看詳細(xì)的安全設(shè)置信息，也可直接進(jìn)入“安全設(shè)置”頁(yè)進(jìn)行查看。

(6)進(jìn)行漏洞的更新。當(dāng)漏洞信息的相關(guān)補(bǔ)丁文件下載到本地后，可以直接運(yùn)行補(bǔ)丁文件，進(jìn)行系統(tǒng)文件的更新。在更新的過(guò)程中更新程序可能要求重新啟動(dòng)計(jì)算機(jī)，這些步驟都是微軟公司根據(jù)補(bǔ)丁程序的需要進(jìn)行的必要操作。

(7)“安全設(shè)置”漏洞的修復(fù)。對(duì)由于用戶的設(shè)置而造成的系統(tǒng)的安全隱患，漏洞掃描已經(jīng)給出了相應(yīng)的解釋，對(duì)于某些設(shè)置，漏洞掃描是可以進(jìn)行自動(dòng)修復(fù)的，而對(duì)無(wú)法自動(dòng)修復(fù)的設(shè)置，則需要用戶的參與。例如，不安全的共享、過(guò)多的管理員賬號(hào)、系統(tǒng)管理員賬號(hào)的密碼為空等情況需要用戶手動(dòng)更改解決。

任務(wù)二認(rèn)知網(wǎng)絡(luò)管理

網(wǎng)絡(luò)管理是指對(duì)網(wǎng)絡(luò)運(yùn)行的狀態(tài)進(jìn)行監(jiān)測(cè)和控制，使其能夠有效、可靠、安全、經(jīng)濟(jì)地提供服務(wù)。網(wǎng)絡(luò)管理的對(duì)象包括硬件資源和軟件資源。網(wǎng)絡(luò)管理的目標(biāo)是：網(wǎng)絡(luò)服務(wù)有質(zhì)量保證，網(wǎng)絡(luò)能夠穩(wěn)定運(yùn)轉(zhuǎn)；網(wǎng)絡(luò)能夠支持多廠商生產(chǎn)的異種設(shè)備；網(wǎng)絡(luò)傳輸信息的安全性高；網(wǎng)絡(luò)建設(shè)運(yùn)營(yíng)成本低；網(wǎng)絡(luò)的業(yè)務(wù)不單一化，而是向綜合業(yè)務(wù)發(fā)展。圖10-14所示為網(wǎng)絡(luò)管理界面。圖10-14網(wǎng)絡(luò)管理界面

天易成網(wǎng)絡(luò)管理軟件采用C/S架構(gòu)，能夠完成監(jiān)控電腦安裝驅(qū)動(dòng)和服務(wù)，作為系統(tǒng)服務(wù)在后臺(tái)運(yùn)行，起實(shí)際管理作用；控制臺(tái)界面安裝在監(jiān)控電腦或局域網(wǎng)內(nèi)任意電腦中，只起配置和查看作用，不需要的時(shí)候可以關(guān)閉；管理員可以通過(guò)局域網(wǎng)內(nèi)任意其他電腦進(jìn)行管理；管理員在軟件主界面選中電腦，點(diǎn)擊右鍵給電腦配置管理策略來(lái)管理電腦等。完成網(wǎng)絡(luò)管理的步驟如下：

(1)登錄軟件，界面如圖10-15所示。

●服務(wù)端IP：此處填安裝監(jiān)控軟件電腦的IP。如果是本機(jī)，則填。

●用戶名：默認(rèn)，不能修改。

●密碼：用戶可隨意設(shè)置一個(gè)軟件使用密碼。圖10-15登錄界面

(2)選擇控制模式。單擊“設(shè)置向?qū)А?，根?jù)網(wǎng)絡(luò)結(jié)構(gòu)和需要，選擇合適的控制模式，如圖10-16所示。圖10-16選擇控制模式

(3)監(jiān)控配置。選擇“監(jiān)控網(wǎng)卡”，配置名稱根據(jù)需要自行命名，輸入需要控制的IP范圍，如圖10-17所示。圖10-17配置需要控制的IP范圍

(4)設(shè)置網(wǎng)絡(luò)帶寬，如圖10-18所示。圖10-18設(shè)置網(wǎng)絡(luò)帶寬

(5)其他設(shè)置，設(shè)置向?qū)Ы缑嫒鐖D10-19所示。

●開(kāi)機(jī)自動(dòng)開(kāi)始管理：監(jiān)控電腦開(kāi)機(jī)后無(wú)需登錄Windows，軟件根據(jù)配置自動(dòng)開(kāi)始管理網(wǎng)絡(luò)。

●阻止運(yùn)行ARP防火墻或ARP靜態(tài)綁定的主機(jī)上網(wǎng)：僅適用ARP網(wǎng)關(guān)模式。被控電腦如果使用ARP防火墻會(huì)掉線。

●啟用自動(dòng)均分網(wǎng)絡(luò)帶寬模式：被管理的電腦平均使用上網(wǎng)帶寬。

●定時(shí)清除不活動(dòng)主機(jī)：軟件每隔一段時(shí)間會(huì)清除一次不活動(dòng)主機(jī)。

●提高線程優(yōu)先級(jí)：可提高本軟件線程運(yùn)行的優(yōu)先級(jí)別(建議用戶選擇)。

●限速方式：若選擇“智能方式”，則被管理電腦的網(wǎng)速會(huì)稍有波動(dòng)，但能充分使用上網(wǎng)帶寬；若選擇“精確方式”，則被管理電腦的網(wǎng)速能精確控制，但會(huì)浪費(fèi)部分上網(wǎng)帶寬。

●區(qū)分電腦方式：非VLAN網(wǎng)絡(luò)環(huán)境選擇“以MAC區(qū)分電腦”，VLAN網(wǎng)絡(luò)環(huán)境選擇“以IP區(qū)分電腦”。

圖10-19設(shè)置向?qū)Ы缑?/p>

(6)開(kāi)始管理。在如圖10-20所示的網(wǎng)絡(luò)管理系統(tǒng)主界面點(diǎn)擊“開(kāi)始管理”，開(kāi)始進(jìn)行網(wǎng)絡(luò)管理。

●主機(jī)列表：顯示局域網(wǎng)內(nèi)的電腦信息。

●日志記錄：滾動(dòng)顯示管理信息，并錄入日志數(shù)據(jù)庫(kù)。圖10-20網(wǎng)絡(luò)管理主界面

(7)日志查詢。可通過(guò)IP、網(wǎng)卡地址、關(guān)鍵字、日期等查詢電腦的上網(wǎng)行為。

(8)查詢?nèi)粘９芾砣罩尽?/p>

(9)查詢電腦每天的上網(wǎng)流量。

(10)查詢電腦的聊天內(nèi)容。

(11)將所有配置和策略導(dǎo)出成文件并保存。

任務(wù)三認(rèn)知加密和認(rèn)證1.加密技術(shù)數(shù)據(jù)加密技術(shù)不僅具有對(duì)信息進(jìn)行加密的功能，還具有數(shù)字簽名、身份驗(yàn)證、秘密分存、系統(tǒng)安全等功能。因此，使用數(shù)據(jù)加密技術(shù)不僅可以保證信息的安全性，還可以保證信息的完整性和正確性。圖10-21所示為數(shù)據(jù)加密技術(shù)的實(shí)現(xiàn)原理示意圖。圖10-21數(shù)據(jù)加密技術(shù)實(shí)現(xiàn)原理示意圖

2.對(duì)稱加密技術(shù)

如果在一個(gè)密碼體系中，加密密鑰和解密密鑰相同，就稱為對(duì)稱加密算法。其實(shí)現(xiàn)原理如圖10-22所示。典型的對(duì)稱加密算法主要有數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)、高級(jí)加密標(biāo)準(zhǔn)(AES)和國(guó)際數(shù)據(jù)加密算法(IDEA)。其中DES(DataEncryptionStandard)算法是美國(guó)政府在1977年采納的數(shù)據(jù)加密標(biāo)準(zhǔn)，是由IBM公司為非機(jī)密數(shù)據(jù)加密所設(shè)計(jì)的方案，后來(lái)被國(guó)際標(biāo)準(zhǔn)局采納為國(guó)際標(biāo)準(zhǔn)。DES以算法實(shí)現(xiàn)快、密鑰簡(jiǎn)短等特點(diǎn)成為現(xiàn)在使用非常廣泛的一種加密標(biāo)準(zhǔn)。圖10-22對(duì)稱加密技術(shù)實(shí)現(xiàn)原理示意圖

3.非對(duì)稱加密技術(shù)

若加密密鑰和解密密鑰不相同，從其中一個(gè)難以推出另一個(gè)，則稱為非對(duì)稱密鑰或雙鑰密碼體制。采用雙鑰密碼體制的主要特點(diǎn)是加密和解密功能分開(kāi)，因而可以實(shí)現(xiàn)多個(gè)用戶加密的消息只能由一個(gè)用戶讀解，或只能由一個(gè)用戶加密消息而使多個(gè)用戶可以讀解。在使用雙鑰體制時(shí)，每個(gè)用戶都有一對(duì)預(yù)先選定的密鑰：一個(gè)是可以公開(kāi)的，以K1表示；另一個(gè)是秘密的，以K2表示。公開(kāi)的密鑰K1可以像電話號(hào)碼一樣進(jìn)行注冊(cè)公布(如圖10-23所示)，因此雙鑰體制又稱做公鑰體制。最有名的雙鑰密碼體制是1977年由Rivest、Shamir和Adleman等三人提出的RSA密碼算法。圖10-23公開(kāi)密鑰算法通信模型

4.認(rèn)證技術(shù)

認(rèn)證技術(shù)一般可分為三個(gè)層次：安全管理協(xié)議、認(rèn)證體制和密碼體制。安全管理協(xié)議的主要任務(wù)是在安全體制的支持下，建立、強(qiáng)化和實(shí)施整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全策略；認(rèn)證體制在安全管理協(xié)議的控制和密碼體制的支持下，完成各種認(rèn)證功能；密碼體制是認(rèn)證技術(shù)的基礎(chǔ)，它為認(rèn)證體制提供數(shù)學(xué)方法支持。

一個(gè)安全的認(rèn)證體制至少應(yīng)該滿足以下要求：

(1)接收者能夠檢驗(yàn)和證實(shí)消息的合法性、真實(shí)性和完整性；

(2)消息的發(fā)送者對(duì)所發(fā)的消息不能抵賴，有時(shí)也要求信息的接收者不能否認(rèn)收到信息；

(3)除了合法的消息發(fā)送者外，其他人不能偽造發(fā)送消息。

任務(wù)四認(rèn)?知?防?火?墻防火墻是在兩個(gè)網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許用戶“同意”的人和數(shù)據(jù)進(jìn)入用戶的網(wǎng)絡(luò)，同時(shí)將用戶“不同意”的人和數(shù)據(jù)拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)用戶的網(wǎng)絡(luò)，如圖10-24所示。換句話說(shuō)，如果不通過(guò)防火墻，公司內(nèi)部的人就無(wú)法訪問(wèn)Internet，Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻。圖10-24防火墻

圖10-25所示為企業(yè)網(wǎng)中常見(jiàn)防火墻的部署位置示意圖。圖10-25企業(yè)網(wǎng)中常見(jiàn)防火墻部署位置示意圖

1．防火墻的功能

作為一種被廣泛使用的網(wǎng)絡(luò)設(shè)備，防火墻主要具備以下功能：

(1)防火墻是網(wǎng)絡(luò)安全的屏障。一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。

(2)防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次加密口令系統(tǒng)和其他身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中于防火墻之中。

(3)對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

(4)防止內(nèi)部信息的外泄。通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透露內(nèi)部細(xì)節(jié)如Finger、DNS等的服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名以及最后登錄時(shí)間和使用的Shell類型等，其所顯示的信息非常容易被攻擊者所獲悉，攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意，等等。

(5)防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN(虛擬專用網(wǎng))。

2.防火墻的類型

1)網(wǎng)絡(luò)層防火墻

網(wǎng)絡(luò)層防火墻可視為一種IP封包過(guò)濾器，運(yùn)作在底層的TCP/IP協(xié)議堆棧上，如圖10-26所示。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過(guò)，其余的一概禁止穿越防火墻。這些規(guī)則通常可以經(jīng)由管理員定義或修改，不過(guò)某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。我們也能以另一種較寬松的角度來(lái)制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行。

現(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。較新的防火墻能利用封包的多樣屬性如來(lái)源IP地址、來(lái)源端口號(hào)、目的IP地址或端口號(hào)、服務(wù)類型(如WWW或FTP)等進(jìn)行過(guò)濾，也能經(jīng)由通信協(xié)議、TTL值、來(lái)源的網(wǎng)域名稱或網(wǎng)段等屬性進(jìn)行過(guò)濾。

圖10-26網(wǎng)絡(luò)層防火墻

2)應(yīng)用層防火墻

應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運(yùn)作的，用戶使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流或使用FTP時(shí)的數(shù)據(jù)流都屬于這一層，如圖10-27所示。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。防火墻借由監(jiān)測(cè)所有的封包并找出不符合規(guī)則的內(nèi)容，可以防范電腦蠕蟲(chóng)或木馬程序的快速蔓延。不過(guò)就實(shí)現(xiàn)而言，這個(gè)方法既繁且雜(軟件有千百種)，所以大部分防火墻都不會(huì)考慮以這種方法進(jìn)行設(shè)計(jì)。圖10-27應(yīng)用層防火墻

3)XML防火墻

XML防火墻是一種新型的應(yīng)用層防火墻，如圖10-28所示。代理服務(wù)、代理服務(wù)設(shè)備(可能是一臺(tái)專屬的硬件或只是普通機(jī)器上的一套軟件)也能像應(yīng)用程序一樣回應(yīng)輸入封包(如連接要求)，同時(shí)封鎖其他的封包，達(dá)到類似于防火墻的效果。代理使外在網(wǎng)絡(luò)竄改一個(gè)內(nèi)部系統(tǒng)更加困難，并且一個(gè)內(nèi)部系統(tǒng)誤用不一定會(huì)導(dǎo)致一個(gè)安全漏洞打開(kāi)。但是相反地，入侵者也許劫持一個(gè)公開(kāi)的系統(tǒng)，使它作為代理人為入侵者自己的目的服務(wù)。圖10-28XML防火墻

項(xiàng)目實(shí)踐一：應(yīng)用Win7防火墻配置簡(jiǎn)易防火墻

實(shí)踐目標(biāo)：●用Win7防火墻來(lái)保護(hù)系統(tǒng)安全。實(shí)踐環(huán)境：●?Windows操作系統(tǒng)的計(jì)算機(jī)，具備Internet環(huán)境。

Win7防火墻的配置步驟如下：

1.?Win7防火墻的啟動(dòng)

(1)在Win7桌面上，單擊“開(kāi)始”→“控制面板”命令，打開(kāi)控制面板主頁(yè)，然后找到“Windows防火墻”功能，如圖10-29所示。圖10-29控制面板主頁(yè)

(2)默認(rèn)情況下Windows防火墻會(huì)啟用，通過(guò)“控制面板”主頁(yè)進(jìn)入“系統(tǒng)和安全”界面，可以看到Windows防火墻的功能選項(xiàng)，可以直接進(jìn)行檢查防火墻狀態(tài)和允許程序通過(guò)防火墻等功能操作，如圖10-30所示。圖10-30“系統(tǒng)和安全”界面

2.Win7防火墻的基本設(shè)置

(1)針對(duì)每個(gè)網(wǎng)絡(luò)配置文件(家庭、辦公室和公共場(chǎng)所)微調(diào)所需的保護(hù)和通知功能，可以為不同的網(wǎng)絡(luò)環(huán)境提供量身定制的保護(hù)。在檢查防火墻狀態(tài)時(shí)，可以看到用戶電腦所處的網(wǎng)絡(luò)情況、防火墻是否啟用、活動(dòng)的網(wǎng)絡(luò)、通知狀態(tài)等，如圖10-31所示。圖10-31Win7防火墻程序通信設(shè)置

(2)在允許程序通過(guò)Windows防火墻通信界面可以直接勾選允許的程序和功能，也可以添加、更改或刪除所有允許的程序和端口，如圖10-32所示。

注意：在添加允許程序時(shí)，可以在圖10-31所示的窗口中單擊右下角的“允許運(yùn)行另一程序”，即可選擇要添加的程序。圖10-32Win7防火墻添加程序設(shè)置

3.?Win7防火墻的高級(jí)設(shè)置

在Windows防火墻的高級(jí)設(shè)置中，可以允許規(guī)則進(jìn)行詳細(xì)定制，設(shè)置入站規(guī)則、出站規(guī)則、連接安全規(guī)則等，進(jìn)行如端口、協(xié)議、安全連接及作用域等增強(qiáng)網(wǎng)絡(luò)安全的策略，還可以查看活動(dòng)網(wǎng)絡(luò)、防火墻狀態(tài)、連接安全規(guī)則、安全關(guān)聯(lián)等，如圖10-33所示。圖10-33Win7防火墻的高級(jí)設(shè)置界面

項(xiàng)目實(shí)踐二：配置天網(wǎng)防火墻

實(shí)踐目的：●天網(wǎng)防火墻的配置與運(yùn)用。實(shí)踐環(huán)境：●?Windows操作系統(tǒng)的計(jì)算機(jī)，具備Internet環(huán)境。

配置天網(wǎng)防火墻的操作步驟如下：

(1)啟動(dòng)防火墻配置向?qū)?，把防火墻默認(rèn)安全級(jí)別調(diào)整為“中”級(jí)，如圖10-34所示。圖10-34防火墻配置向?qū)?/p>

(2)當(dāng)觀看電影時(shí)，會(huì)自動(dòng)啟動(dòng)tv380的網(wǎng)絡(luò)插件，此時(shí)防火墻會(huì)彈出圖10-35(a)所示的窗口，在左下角“該程序以后都按照這次的操作運(yùn)行”前的方框處打鉤，以免每次瀏覽網(wǎng)站時(shí)彈出窗口。修改自定義級(jí)別選項(xiàng)的最后一條規(guī)則“禁止所有人鏈接UDP端口”，如圖10-35(b)所示。圖10-35自定義級(jí)別界面

(3)在“修改IP規(guī)則”界面中將“數(shù)據(jù)包方向”改為“接收或發(fā)送”、“數(shù)據(jù)包協(xié)議類型”改為“UDP”，在“本地端口”下“已授權(quán)程序開(kāi)放的端口”前的方框處打鉤，其他為默認(rèn)選項(xiàng)，如圖10-36所示。設(shè)置結(jié)束后一定要單擊存盤(pán)圖標(biāo)，以免以后使用時(shí)再次更改。圖10-36修改IP規(guī)則

(4)進(jìn)行天網(wǎng)防火墻設(shè)置，如圖10-37所示。圖10-37天網(wǎng)防火墻設(shè)置

(5)單擊IP規(guī)則管理，再單擊增加規(guī)則，如圖10-38所示。

●對(duì)方IP地址：選擇指定網(wǎng)絡(luò)地址，“地址”為8，“掩碼”為。

●本地端口：從0到65535。

●對(duì)方端口：從0到65535。

●當(dāng)滿足上面條件時(shí)：選擇“通行”。

完成以上設(shè)置后，單擊“確定”按鈕，再單擊保存按鈕保存設(shè)