《《局域网技术与组网工程(第二版)》-苏英如-电子教案 08局域网安全》由会员分享,可在线阅读,更多相关《《局域网技术与组网工程(第二版)》-苏英如-电子教案 08局域网安全(51页珍藏版)》请在金锄头文库上搜索。
1、第8章 局域网安全,8.1 网络安全隐患 8.2 防火墙技术 8.3 用ISA Server 2000保护局域网 8.4 网络病毒及防杀 8.5 安全防范原则与安全教育 8.6 网络安全措施,计算机网络犯罪及特点,据伦敦英国银行协会统计,全球每年因计算机犯罪造成的损失大约为80亿美元。而计算机安全专家则指出,实际损失金额应在100亿美元以上。 网络犯罪的特点是,罪犯不必亲临现场、所遗留的证据很少且有效性低。并且,与此类犯罪有关的法律还有待于进一步完善。 遏制计算机犯罪的有效手段是从软、硬件建设做起,力争防患于未然,例如,可购置防火墙(firewall)、对员工进行网络安全培训,增强其防范意识等
2、。,8.1 网络安全隐患,Internet的前身是APPANET,而APPNET最初是为军事机构服务的,对网络安全的关注较少。 在进行通信时,Internet用户的数据被拆成一个个数据包,然后经过若干结点辗转传递到终点。在Internet上,数据传递是靠TCP/IP实现的。 但是TCP/IP在传递数据包时,并未对其加密。换言之,在数据包所经过的每个结点上,都可直接获取这些数据包,并可分析、存储之。如果数据包内含有商业敏感数据或个人隐私信息,则任何人都可轻易解读。,先天性安全漏洞:,8.1 网络安全隐患,1. 窃听(Eavesdropping) 最简易的窃听方式是将计算机连入网络,利用专门的工具
3、软件对在网络上传输的数据包进行分析。进行窃听的最佳位置是网络中的路由器,特别是位于关卡处的路由器,它们是数据包的集散地,在该处安装一个窃听程序,可以轻易获取很多秘密。,几种常见的盗窃数据或侵入网络的方法:,窃听程序的基本功能是收集、分析数据包,高级的窃听程序还提供生成假数据包、解码等功能,甚至可锁定某源服务器(或目标服务器)的特定端口,自动处理与这些端口有关的数据包。利用上述功能,可监听他人的联网操作、盗取信息。,以图为例,说明普通网络通信遭窃听的可能性。其中,假设数据由网络传送至网络。,可被窃听的位置至少包括: l 网络中的计算机 l 数据包在Internet上途经的每一路由器。 l 网络中
4、的计算机。,2. 窃取(Spoofing),这种入侵方式一般出现在使用支持信任机制网络中。在这种机制下,通常,用户只需拥有合法帐号即可通过认证,因此入侵者可以利用信任关系,冒充一方与另一方连网,以窃取信息。,假设某入侵者欲利用主机A入侵某公司的的内部网络主机B,则其步骤大致如下: 1.确定要入侵的主机B。 2.确定主机B所信任的主机A。,3.利用主机X在短时间内发送大量的数据包给A,使之穷于应付。 4.利用主机X向B发送源地址为A的数据包。,窃取技术的要点如图所示:,3. 会话窃夺(Spoofing),会话劫夺指入侵者首先在网络上窥探现有的会话,发现有攻击价值的会话后,便将参与会话的一方截断,
5、并顶替被截断方继续与另一方进行连接,以窃取信息。,会话劫夺不像窃取那样容易防范。对于由外部网络入侵内部网络的途径,可用防火墙切断,但对于内、外部网络之间的会话,除了采用数据加密手段外,没有其他方法可保绝对安全。,以图为例,当主机A正与主机B进行会话时,X切入会话,并假冒B的名义发送数据包给A,通知其中断会话,然后X顶替A继续与B进行会话。,会话劫夺过程示意图,4. 利用操作系统漏洞,任何操作系统都难免存在漏洞,包括新一代操作系统。操作系统的漏洞大致可分为两部分: 一部分是由设计缺陷造成的。包括协议方面的、网络服务方面的、共用程序库方面的等等。,另一部分则是由于使用不得法所致。这种由于系统管理不
6、善所引发的漏洞主要是系统资源或帐户权限设置不当。,5. 盗用密码,盗用密码是最简单和狠毒的技巧。通常有两种方式:, 密码被盗用,通常是因为用户不小心被他人“发现”了。而“发现”的方法一般是“猜测”。猜密码的方式有多种,最常见的是在登录系统时尝试不同的密码,系统允许用户登录就意味着密码被猜中了。, 另一种比较常见的方法是先从服务器中获得被加密的密码表,再利用公开的算法进行计算,直到求出密码为止,这种技巧最常用于Unix系统。,6. 木马、病毒、暗门, 计算机技术中的木马,是一种与计算机病毒类似的指令集合,它寄生在普通程序中,并在暗中进行某些破坏性操作或进行盗窃数据。木马与计算机病毒的区别是,前者
7、不进行自我复制,即不感染其他程序。, 暗门(trapdoor)又称后门(backdoor),指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。, 病毒是一种寄生在普通程序中、且能够将自身复制到其他程序、并通过执行某些操作,破坏系统或干扰系统运行的“坏”程序。其不良行为可能是悄悄进行的,也可能是明目张胆实施的,可能没有破坏性,也可能毁掉用户几十年的心血。病毒程序除可从事破坏活动外,也可能进行间谍活动,例如,将服务器内的数据传往某个主机等。,木马、病毒和暗门都可能对计算机数据资源的安全构成威胁(例如数据被窜改、毁坏或外泄等)。免受木马、病毒和暗门威胁的最有效的方法是不要运
8、行来历不明的程序。,7. 隐秘通道,安装防火墙、选择满足工业标准的的安全结构、对进出网络环境的存储媒体实施严格管制,可起到一定的安全防护作用,但仍然不能保证绝对安全。,例如,系统内的木马可以使用如下手段数将据送达外界:约定木马忙碌代表1,不忙碌代表0,当木马忙碌时,因其占用系统资源,计算机的响应速度将便慢,否则,响应速度较高。外界接应者可每隔一秒,对计算机的响应速度测试一次,以得知木马是否忙碌,从而可获得数据。 但是,通过隐秘通道外运数据的速度通常甚低。,8.2 防火墙技术,8.2. 1 防火墙技术概述,防火墙是用来连接两个网络并控制两个网络之间相互访问的系统,如下页图所示。它包括用于网络连接
9、的软件和硬件以及控制访问的方案。用于对进出的所有数据进行分析,并对用户进行认证,从而防止有害信息进入受保护网,为网络提供安全保障。,防火墙是一类防范措施的总称。这类防范措施简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。它可以在IP层设置屏障,也可以用应用层软件来阻止外来攻击。,防火墙的主要功能如下: 过滤不安全服务和非法用户,禁止未授权的用户访问受保护网络。 控制对特殊站点的访问。 提供监视Internet安全和预警的端点。,防火墙并非万能,影响网络安全的因素很多,对于以下情况它无能为力: (1)不能防范绕过防火墙的攻击。 (2)一般的防火墙不能防止受到病毒感染的软件或文件的传
10、输。 (3)不能防止数据驱动式攻击。 (4)难以避免来自内部的攻击。,再次指出,防火墙只是网络安全防范策略的一部分,而不是解决所有网络安全问题的灵丹妙药。,8.2.2 防火墙的类型,一般说来,只有在Intranet与外部网络连接时才需要防火墙,当然,在Intranet内部不同的部门之间的网络有时也需要防火墙。不同的连接方式和功能对防火墙的要求也不一样,为了满足各种网络连接的要求,目前防火墙按照防护原理可以分为三种类型,每类防火墙保护Intranet的方法各不相同。,1. 网络级防火墙,网络级防火墙也称包过滤防火墙,通常由一部路由器或一部充当路由器的计算机组成。Internet/Intranet
11、上的所有信息都是以IP数据包的形式传输的,两个网络之间的数据传送都要经过防火墙。包过滤路由器对所接收的每个数据包进行审查,以便确定其是否与某一条包过滤规则匹配。,包过滤防火墙是一种基于网络层的安全技术,对于应用层上的黑客行为无能为力。这一类的防火墙产品主要有防火墙路由器、在充当路由器的计算机上运行的防火墙软件等。,2. 应用级防火墙,应用级防火墙通常指运行代理(Proxy)服务器软件的一部计算机主机。采用应用级防火墙时,Intranet与Internet间是通过代理服务器连接的,二者不存在直接的物理连接,代理服务器的工作就是把一个独立的报文拷贝从一个网络传输到另一个网络。,这种方式的防火墙把I
12、ntranet与Internet物理隔开,能够满足高安全性的要求。但由于该软件必须分析网络数据包并作出访问控制决定,从而影响网络的性能。,3. 电路级防火墙,电路级防火墙也称电路层网关,是一个具有特殊功能的防火墙,它可以由应用层网关来完成.它就像电线一样,只是在内部连接和外部连接之间来回拷贝字节。但是由于连接要穿过防火墙,其隐藏了受保护网络的有关信息。,与应用级防火墙相似,电路级防火墙也是代理服务器,只是它不需要用户配备专门的代理客户应用程序。另外,电路级防火墙在客户与服务器间创建了一条电路,双方应用程序都不知道有关代理服务的信息。,4.状态监测防火墙,在网关上使用执行网络安全策略的监测模块,
13、在不影响网络正常运行的前提下,采用抽取相关数据的方法,对网络通信的各层实时监测,提取状态信息作为执行安全策略的参考。一旦某个访问违反安全规则,就会被拒绝访问并记录之。,状态监测防火墙的智能化程度较高,安全性较好,但会影响网络速度,配置也较复杂。,8.2.3 防火墙的结构,构建防火墙系统的目的是为了最大程度地保护Intranet的安全,前面提到的防火墙的三种类型也各有其优缺点。将它们正确地组合使用,形成了目前流行的防火墙结构。,1双宿主机网关,双宿堡垒主机,2. 屏蔽主机网关,屏蔽主机网关易于实现也很安全,因此应用广泛。它有单宿堡垒主机和双宿堡垒主机两种类型。,3屏蔽子网,这种方法是在内部网络与
14、外部网络之间建立一个起隔离作用的子网。,8.3.1 ISA Server 2000简介 8.3.2 ISA Server安装方案规划 8.3.3 ISA Server的安装 8.3.4 为本地客户端建立安全的Internet连接 8.3.5 建立访问策略 8.3.6 安全发布服务器,8.3 用ISA Server 2000保护局域网,8.3.1 ISA Server 2000简介 ISA Server 2000(以下简称ISA Server)是微软推出的基于Windows 2000的企业级防火墙和Web缓存服务器。 防火墙用于保护网络资源免受黑客入侵和拒绝未经授权的访问;Web缓存服务器用于为
15、用户提供更高的Web访问速度。 1ISA Server的版本 2ISA Server的用途 3ISA Server的可伸缩性 4ISA Server的可扩展性 5ISA Server的体系结构 6ISA Server的管理功能,8.3.2 ISA Server安装方案规划,8.3.2.1 ISA Server对运行平台的要求 1最低要求 2防火墙要求,3正向缓存要求,4发布和反向缓存要求,4发布和反向缓存要求,8.3.2.2 安装ISA Server阵列时应考虑的事项 若需若干计算机共同承担网络负载,则应考虑安装ISA Server计算机阵列。 阵列安装完成后,其中所有的服务器即可共享相同的配
16、置,这样可有效地降低管理成本。 ISA Server企业版允许将企业策略应用于阵列,这意味着管理人员可对企业中的全部阵列实施集中管理。 欲将ISA Server计算机安装成阵列成员,该计算机必须是某个Windows 2000域的成员。,8.3.2.3 ISA Server的模式 防火墙或集成模式。 缓存或集成模式。,8.3.2.4 ISA Server网络的典型拓扑结构 1小型办公室方案 2企业方案 3Web发布方案,4边界网络(DMZ)方案 背靠背边界网络。 Three-homed ISA Server。,8.3.3 ISA Server的安装,8.3.4 为本地客户端建立安全的Internet连接 8.3.4.1 ISA Server本地客户端的类型,8.3.4.2 安全网络地址转换客户端的配置 8.3.4.3 防火墙客户端的配置 8.3.4.4 Web代理客户端的配置,8.3.4.5 为本地客户端开通Internet连
