《网络安全实用教程》配套(人民邮电出版)ch10

第10章Internet安全与应用本章有五小节：10.1电子邮件安全10.2Internet电子欺骗与防范10.3Internet连接防火墙与Windows防火墙应用10.4VPN安全10.5InternetExplorer安全应用实例10．1电子邮件安全10.1.1电子邮件的安全漏洞1．电子邮件协议常用的电子邮件协议有SMTP和POP3，它们都属于TCP/IP协议簇。默认状态下，分别通过TCP端口25和110建立连接。SMTP是一组用于从源地址到目的地址传输邮件的规范，用来控制邮件的中转方式。POP协议负责从邮件服务器中检索电子邮。10．1电子邮件安全10.1.1电子邮件的安全漏洞2．电子邮件的安全漏洞(1)缓存漏洞(2)Web信箱漏洞(3)历史记录漏洞(4)密码漏洞(5)攻击性代码漏洞10．1电子邮件安全10.1.2电子邮件安全技术与策略1．电子邮件安全技术(1)端到端的安全电子邮件技术端到端的安全电子邮件技术可保证邮件从被发出到被接收的整个过程中，内容保密，无法修改，并且不可否认。目前，成熟的端到端安全电子邮件标准有PGP和S/MIME。(2)传输层的安全电子邮件技术目前主要有两种方式实现电子邮件在传输过程中的安全，一种是利用SSLSMTP和SSLPOP，另一种是利用VPN或者其他的IP通道技术，将所有的TCP/IP传输(包括电子邮件)封装起来。10．1电子邮件安全10.1.2电子邮件安全技术与策略2．电子邮件安全策略(1)选择安全的客户端软件(2)利用防火墙技术(3)对邮件进行加密(4)利用病毒查杀软件(5)对邮件客户端进行安全配置10．1电子邮件安全10.1.3电子邮件安全应用实例1．Web邮箱安全配置Web邮箱有很多种，用户根据个人习惯选择合适的邮箱，下面以163邮箱为例，介绍Web邮箱的安全配置。10．1电子邮件安全10.1.3电子邮件安全应用实例1．Web邮箱安全配置(1)防密码嗅探163邮箱在登录时采用了SSL加密技术，它对用户提交的所有数据先进行加密，然后再提交到网易邮箱，从而可以有效防止黑客盗取用户名、密码和邮件内容，保证了用户邮件的安全。用户在输入用户名和密码时，选择“SSL安全登录”即可实现该功能。当用户单击“登录”或回车后，会发现地址栏中的http://瞬间变成https://，之后就又恢复成http://，这就是SSL加密登。10．1电子邮件安全10.1.3电子邮件安全应用实例1．Web邮箱安全配置(2)来信分类功能邮箱的来信分类功能是根据用户设定的分类规则，将来信投入指定文件来，或者拒收来信。这样，不仅能够防止垃圾邮件，还可以过滤掉一些带病毒的邮件，减少了病毒感染的机会。10．1电子邮件安全10.1.3电子邮件安全应用实例1．Web邮箱安全配置(2)来信分类功能登录网易邮箱，点击“设置”进入“邮箱设置”界面。选择“邮件收发设置”→“来信分类”→“新建来信分类”，打开“编辑分类规则”界面，设置分类规则。10．1电子邮件安全10.1.3电子邮件安全应用实例1．Web邮箱安全配置(3)反垃圾邮件处理默认情况下网易邮箱具有反垃圾邮件的功能，用户通过单击“设置”→“反垃圾设置”→“反垃圾级别”，打开“反垃圾级别”界面。10．1电子邮件安全10.1.3电子邮件安全应用实例1．Web邮箱安全配置(4)黑名单和白名单用户通过点击“设置”→“反垃圾设置”→“黑名单设置”或“白名单设置”，打开黑名单和白名单的设置界面。10．1电子邮件安全10.1.3电子邮件安全应用实例2．Foxmail客户端软件的安全配置使用邮件客户端可以不用登录Web页就能收发邮件，如果用户有多个Web邮箱，还可集中到同一个客户端下，省掉了登录多个邮箱的麻烦。Foxmail使用多种技术对邮件进行判别，能够准确识别垃圾邮件与非垃圾邮件，最大限度地减少用户因为处理垃圾邮件而浪费的时间。数字签名和加密功能，可以确保电子邮件的真实性和保密性。10．1电子邮件安全10.1.3电子邮件安全应用实例2．Foxmail客户端软件的安全配置(1)邮箱访问口令由于邮件客户端软件将多个电子邮件账户实时登录在计算机上，因此为了防止当用户离开自己计算机时被别人非法查阅邮件信息，最好为邮箱设置账户访问口令。单击菜单栏中的“邮箱”→“设置邮箱账户访问口令”，弹出“口令”对话框。10．1电子邮件安全10.1.3电子邮件安全应用实例2．Foxmail客户端软件的安全配置(1)邮箱访问口令10．1电子邮件安全10.1.3电子邮件安全应用实例2．Foxmail客户端软件的安全配置(2)垃圾邮件设置Foxmail6.5提供了强大的反垃圾邮件功能，用户通过单击“工具”→“反垃圾邮件功能设置”命令，就会弹出“反垃圾邮件设置”对话框，它包括常规、规则过滤、贝叶斯过滤、黑名单和白名单选项卡。10．1电子邮件安全10.1.3电子邮件安全应用实例2．Foxmail客户端软件的安全配置(2)垃圾邮件设置10．1电子邮件安全10.1.3电子邮件安全应用实例2．Foxmail客户端软件的安全配置(2)垃圾邮件设置在“规则过滤”选项卡中，将“使用规则判定接收到的邮件是否为垃圾邮件”选中，然后根据当前邮箱遭受垃圾邮件的多少来决定“过滤强度”的强弱。10．1电子邮件安全10.1.3电子邮件安全应用实例2．Foxmail客户端软件的安全配置(2)垃圾邮件设置“贝叶斯过滤”是一种智能型的反垃圾邮件设计，它通过让Foxmail不断的对垃圾与非垃圾邮件的分析学习，来提高自身对垃圾邮件的识别准确率。10．1电子邮件安全10.1.3电子邮件安全应用实例2．Foxmail客户端软件的安全配置(2)垃圾邮件设置单击“学习”按钮，弹出邮件学习向导，可通过“浏览”选择要学习的内容，如选择学习的类型是“按垃圾邮件标记学习”。单击“下一步”按钮，弹出学习过程窗口。如果发现学习结果不再有用，可单击“贝叶斯过滤”选项卡中的“高级”按钮，清除学习记录。10．1电子邮件安全10.1.3电子邮件安全应用实例2．Foxmail客户端软件的安全配置(2)垃圾邮件设置10．1电子邮件安全10.1.3电子邮件安全应用实例2．Foxmail客户端软件的安全配置(2)垃圾邮件设置在“黑名单”选项卡中，用户只需要单击“添加”按钮，将一些确认的垃圾邮件地址输入到黑名单中就可完成对该邮件地址发来的所有邮件的监控。10．1电子邮件安全10.1.3电子邮件安全应用实例2．Foxmail客户端软件的安全配置(3)邮件加密Foxmail全面支持安全电子邮件技术，兼容多种加密、解密算法，可应用于各种重要商务活动中处理机密信息时加密邮件、接收和发送数字签名10．1电子邮件安全10.1.3电子邮件安全应用实例2．Foxmail客户端软件的安全配置(3)邮件加密申请完数字证书，在发送加密并且签名的邮件前，还要进行如下设置。单击“工具”→“系统设置”命令，弹出“设置”对话框，选择“安全”选项卡。将“对所有待发邮件的内容和附件进行加密”和“对所有待发邮件进行签名”选中，单击“确定”按钮，完成设置。这样一些机密的邮件就可以安全的发送到目的邮箱了。10．1电子邮件安全10.1.3电子邮件安全应用实例3．OutlookExpress客户端软件的安全配置(1)工具“选项”设置:在OutlookExpress菜单栏中单击“工具”→“选项”，弹出“选项”对话框进行以下安全配置:①邮件加密和签名设置②回执选项设置③使用纯文本格式④备份邮件资料10．1电子邮件安全10.1.3电子邮件安全应用实例3．OutlookExpress客户端软件的安全配置(1)工具“选项”设置10．1电子邮件安全10.1.3电子邮件安全应用实例3．OutlookExpress客户端软件的安全配置(2)邮件规则的设置在OutlookExpress“工具”菜单栏的“邮件规则”选项中，可以对邮件、新闻及发件人名单进行设置并过滤符合相关条件的垃圾邮件。10.2Internet电子欺骗与防范10.2.1ARP电子欺骗1．ARP协议ARP是负责将IP地址转化成对应的MAC地址的协议。为了得到目的主机的MAC地址，源主机就要查找其ARP缓存，若没有找到，源主机就会发送一个ARP广播请求数据包。此ARP请求数据包包含源主机的IP地址、MAC地址和目的主机的IP地址。它向以太网上的每一台主机询问“如果你是这个IP地址，请回复你的MAC地址”。只有具有此IP地址的主机收到这份广播报文后，向源主机回送一个包含其MAC地址的ARP应答。10.2.1ARP电子欺骗2．ARP欺骗攻击原理ARP请求是以广播方式进行的，主机在没有接到请求的情况下也可以随意发送ARP响应数据包，且任何ARP响应都是合法的，无需认证，自动更新ARP缓存，这些都为ARP欺骗提供了条件。10.2Internet电子欺骗与防范10.2.1ARP电子欺骗2．ARP欺骗攻击原理当LAN中的某台主机B向主机A发送一个自己伪造的ARP应答，如果这个应答是B冒充C伪造的，即IP地址为C的IP地址，而MAC地址是B的。当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，建立新的IP地址和MAC地址的映射关系，从而，B取得了A的信任。这样，以后A要发送给C的数据包就会直接发送到B的手里。10.2Internet电子欺骗与防范10.2.1ARP电子欺骗2．ARP欺骗攻击原理例子：一个入侵者想非法进入某台主机，他知道这台主机的防火墙只对192.0.0.3开放23号端口(Telnet)，而他必须要使用Telnet来进入这台主机，所以他要进行如下操作：10.2Internet电子欺骗与防范10.2.1ARP电子欺骗2．ARP欺骗攻击原理(1)研究192.0.0.3主机，发现如果他发送一个洪泛(Flood)包给192.0.0.3的139端口，该机器就会应包而死。(2)主机发到192.0.0.3的IP包将无法被机器应答，系统开始更新自己的ARP对应表，将192.0.0.3的项目删去。(3)入侵者把自己的IP改成192.0.0.3，再发一个ping命令给主机，要求主机更新ARP转换表。10.2Internet电子欺骗与防范10.2.1ARP电子欺骗2．ARP欺骗攻击原理(4)主机找到该IP，然后在APR表中加入新的IP地址与MAC地址的映射关系。(5)这样，防火墙就失效了，入侵者的MAC地址变为合法，可以使用Telnet进入主机了。现在，假如该主机不只提供Telnet，还提供r命令(如rsh、rcopy、rlogin)，那么，所有的安全约定都将无效，入侵者可放心地使用该主机的资源而不用担心被记录什么。10.2Internet电子欺骗与防范10.2.1ARP电子欺骗3．ARP欺骗攻击的防御采用如下措施可有效的防御ARP攻击：(1)不要把网络的安全信任关系仅建立在IP地址或MAC地址的基础上，而是应该建立在IP+MAC基础上(即将IP和MAC两个地址绑定在一起)。(2)设置静态的MAC地址到IP地址的对应表，不要让主机刷新设定好的转换表。(3)除非很有必要，否则停止使用ARP，将ARP作为永久条目保存在对应表中。(4)使用ARP服务器，通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播，确保这台ARP服务器不被攻击10.2Internet电子欺骗与防范10.2.1ARP电子欺骗3．ARP欺骗攻击的防御(5)定期清除计算机中的ARP缓存信息，达到防范ARP欺骗攻击的目的。(6)使用ARP监控服务器。当进行数据传输时，客户端把ARP数据包捕获发送给服务器端，由服务器端进行处理。(7)划分多个范围较小的VLAN，一个VLAN内发生的ARP欺骗不会影响到其他VLAN内的主机通信，缩小了ARP欺骗攻击影响的范围。(8)使用交换机的端口绑定功能。(9)使用防火墙连续监控网络。10.2Internet电子欺骗与防范10.2.2DNS电子欺骗1．DNS欺骗DNS欺骗是攻击者冒充域名服务器的一种欺骗行为。DNS欺骗攻击是危害性较大，攻击