第9章网络安全与网络管理

中国经济出版社高等院校工科规划教材计算机网络技术与应用2第9章网络安全与网络管理《计算机网络技术与应用》3本章内容网络安全基础网络攻击防火墙技术加密、认证和访问控制技术网络管理应用案例——瑞星软件防火墙第9章网络安全与网络管理49.1网络安全基础网络安全概述网络安全面临的主要威胁第9章网络安全与网络管理59.1.1网络安全概述网络安全体系需要在以下几个方面提供安全服务：保密性（Confidentiality）身份认证（Authentication）不可抵赖性（Non-reputation）数据完整性（DataIntegrity）访问控制（AccessControl）第9章网络安全与网络管理69.1.2网络安全面临的主要威胁网络安全威胁的主要类型：信息泄漏信息破坏拒绝服务第9章网络安全与网络管理7网络通信过程中面临的主要威胁第9章网络安全与网络管理对网络通信的主动攻击和被动攻击89.2网络攻击网络攻击概述拒绝服务攻击恶意代码第9章网络安全与网络管理99.2.1网络攻击概述网络攻击人员系统漏洞远程攻击第9章网络安全与网络管理10网络攻击人员攻击动机：获取利益、被关注、危害他人。攻击人员的类型：黑客：挑战网络系统的安全性，窃取敏感数据。间谍：窃取敌对方的军事、政治、经济等方面的机密信息。公司人员：入侵竞争对手的网络系统，以获取某种经济利益，也可以被看做是工业间谍的一种。组织内部人员：出于好奇、报复、自我保护、获取经济利益等目的而对内部网络进行入侵。犯罪人员：主要是为了牟取经济利益而对目标网络进行入侵。恐怖主义者：对计算机网络进行入侵，以达到各种恐怖目的。第9章网络安全与网络管理11系统漏洞漏洞是指系统在硬件、软件或防护策略上的缺陷。漏洞的存在很广泛，几乎所有的网络结点（如路由器、防火墙、服务器、客户机等）都可能存在漏洞。漏洞的发现和修正通常存在这样一个周期：系统发布和使用→漏洞暴露（出现有效的攻击）→发布补丁进行系统修正→新的漏洞出现（出现新的有效攻击）。第9章网络安全与网络管理12远程攻击的过程寻找目标主机和收集目标信息Ping，TraceRoute，测试目标主机可能开放了哪些服务和端口。获取目标主机的管理权限暴力破解、利用系统漏洞和使用木马程序等。隐蔽自己的攻击行为清除日志记录、隐藏进程、隐藏连接等。对主机实施破坏或将主机作为傀儡主机以攻击其他主机为以后的攻击留出后门修改目标主机的系统配置，在目标主机上安装各种远程操作程序。第9章网络安全与网络管理139.2.2拒绝服务攻击拒绝服务攻击的类型分布式拒绝服务攻击第9章网络安全与网络管理14拒绝服务攻击的类型拒绝服务攻击的类型主要有：洪泛攻击、PingofDeath攻击、SYN攻击、泪滴攻击、Smurf攻击等。第9章网络安全与网络管理15Smurf攻击Smurf攻击结合使用了ICMP回复和IP欺骗的方法，通过向目标系统发送大量网络数据，造成目标系统拒绝服务。ICMP（网际控制报文协议）用于处理错误信息和交换控制信息，通过该协议，可以确定网络中的某台主机是否响应，从而为判断主机是否出现故障提供依据。第9章网络安全与网络管理16Smurf攻击的过程（1）攻击者向网络上的路由器发送ICMP请求，找出网络上回应ICMP请求的路由器。（2）用伪造的IP源地址向路由器的广播地址发送ICMP消息，这个伪造的IP地址是被攻击主机的IP地址。（3）路由器将ICMP消息广播到网络上与其相连的每一台主机。（4）这些主机进行ICMP回应，向这个伪造的IP地址（即目标主机的IP地址）发送大量的响应数据包，从而影响被攻击主机的性能并导致被攻击主机边界的网络阻塞。第9章网络安全与网络管理17Smurf攻击原理图第9章网络安全与网络管理18Smurf攻击例如，采用300kbps流量的ICMPEcho(PING)包广播到200台主机，会产生200个ping回应，从而产生60Mbps的流量。这些流量流向被攻击的主机，会造成该主机的服务停止。为了防御此类攻击，应采取以下措施：关闭主机或路由器广播地址对ping请求的响应功能。对路由器进行配置，使其不直接将数据包转发给广播地址。第9章网络安全与网络管理19分布式拒绝服务攻击第9章网络安全与网络管理209.2.3恶意代码恶意代码（MaliciousCode）又称为恶意软件（MaliciousSoftware,Malware），是能够在计算机系统上进行非授权操作的代码。恶意代码具有以下特征：恶意的目的、本身是程序，通过执行发生作用。恶意代码的主要类型包括：病毒、蠕虫、特洛伊木马、逻辑炸弹、恶意网页、流氓软件和后门程序等。第9章网络安全与网络管理21计算机病毒《中华人民共和国计算机信息系统安全保护条例》中对计算机病毒给出的定义是：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”从该定义可以看出，计算机病毒具有两大特征：破坏性和传染性。第9章网络安全与网络管理22计算机病毒计算机病毒代码的结构包含三个部分：引导部分、传染部分和表现部分。引导部分负责将病毒主体加载到内存，为实施传染做准备。传染部分负责将病毒代码复制到新的传染目标上去。表现部分是指在一定的触发条件下进行病毒发作。第9章网络安全与网络管理23计算机病毒计算机病毒的防治包括防毒、查毒和解毒。病毒的检测方法主要包括：特征代码法校验和法行为监测法软件模拟法第9章网络安全与网络管理24蠕虫代码蠕虫代码主要是通过网络漏洞进行传播和扩散。蠕虫代码包括三个基本模块：传播模块、隐藏模块和操作模块。传播模块负责通过网络进行蠕虫代码的传播；隐藏模块负责在入侵目标主机后进行蠕虫程序的隐藏，以防止被发现；操作模块负责对计算机执行控制、监视或破坏操作。第9章网络安全与网络管理25蠕虫代码关键的传播模块又可分为三个子模块：扫描、攻击和复制。扫描模块负责在网络上寻找存在漏洞的主机，将其作为下一步攻击的对象。攻击模块负责对存在漏洞的主机进行攻击，获取该主机的高层权限（如管理员权限）。复制模块负责将蠕虫程序通过网络复制到目标主机，并在新的主机上启动蠕虫程序。第9章网络安全与网络管理26蠕虫程序与普通病毒的比较第9章网络安全与网络管理蠕虫程序普通病毒存在形式独立程序寄宿在宿主文件上复制形式对自身进行复制将病毒代码插入到宿主文件中传染机制主动传播借助于宿主程序的运行进行传播传染对象网络上的其他计算机本地文件27特洛伊木马特洛伊木马程序是一种恶意程序，它表面上执行正常功能，实际上隐蔽地执行恶意操作，实施对主机的非授权访问。完整的木马程序包括两个部分：服务器端程序和控制端程序。“中了木马”是指被安装了木马的服务器端程序，这时控制端可以通过与服务器端的连接，对服务器端的主机进行各种控制，如上传和下载文件，窃取账号和密码，修改注册表信息，控制鼠标、键盘，重启计算机等。木马程序在传播时，往往与正常文件绑定在一起，因此很难被发现。例如，某些软件下载网站的软件中就有可能被绑定了木马程序。第9章网络安全与网络管理28木马程序的特点隐蔽性虽然它在系统启动时就自动运行，但是通常不会在任务管理器中出现，甚至不会在服务管理器中出现。自动加载运行木马程序为了控制服务器端，通常在系统启动时开始运行。与目标建立连接控制端木马程序通常利用TCP和UDP与目标主机的指定端口建立连接。许多木马程序在主机上具有多重备份，可以相互恢复。当一个木马文件被删除后，其他木马文件会进行恢复和运行。第9章网络安全与网络管理29逻辑炸弹逻辑炸弹是一种特殊的程序，在满足某种逻辑条件时，它会被激活，并产生破坏。逻辑炸弹程序没有传播功能，它只针对特定的受害者。第9章网络安全与网络管理30恶意网页恶意网页是指网页中含有恶意代码，能够对访问者的电脑进行非法设置或攻击。恶意网页的几种典型破坏包括：修改IE的起始页。修改IE工具栏，如工具按钮、地址栏等。修改或禁止IE的右键功能。下载木马程序。禁止对注册表进行修改。第9章网络安全与网络管理31流氓软件流氓软件是一类特殊的软件，一方面，它具有正常的功能（如下载、多媒体播放等），另一方面，它包含一些恶意行为（如弹出广告、在系统中开后门等），会对用户带来某种程度的危害。其特点包括：强制安装。难以卸载。弹出广告。浏览器劫持。恶意收集用户信息。恶意卸载。恶意捆绑。故意妨碍其他同类软件使用的行为。第9章网络安全与网络管理329.3防火墙技术防火墙的基本概念包过滤防火墙代理服务器防火墙第9章网络安全与网络管理33防火墙的基本概念第9章网络安全与网络管理34防火墙的优点和局限性防火墙的优点防火墙作为内部网络的访问控制点，可以禁止未经授权的用户（攻击者、破坏者、网络间谍等）通过外部网络访问内部网络，也禁止某些易受攻击的服务进入或离开受保护的内网。防火墙可以为内部网络的主机提供集中的安全保护。防火墙可以记录和统计网络的使用情况。防火墙的局限性防火墙不能防范来自内部网络的攻击。不能防范绕过防火墙的攻击。不能防范计算机病毒。第9章网络安全与网络管理359.3.2包过滤防火墙包过滤防火墙通常由路由器来实现，也被称为包过滤路由器或屏蔽路由器。包过滤防火墙对进出网络的IP包进行监视和过滤，对不安全的包进行屏蔽。包过滤规则的设计是该类防火墙的关键所在——严密的包过滤规则能够加强防火墙的安全性。第9章网络安全与网络管理36包过滤防火墙示意图第9章网络安全与网络管理37包过滤路由器包过滤路由器对进出的IP包进行审查，将其与预先设计好的各种包过滤规则相匹配，从而决定是否丢弃或拒绝某些IP包。包过滤路由器在审查IP包时，主要是对IP包的包头信息进行分析，而不考虑包所携带的数据内容。包头信息主要包括：源IP地址、目的IP地址、封装的协议（TCP、UDP、ICMP）、TCP/UDP源端口、TCP/UDP目的端口等。另外，在进行包过滤时，还要利用路由器的IP包输入接口和IP包输出接口等信息。第9章网络安全与网络管理38某些常用网络服务使用的端口第9章网络安全与网络管理服务名称端口号协议说明ftp-data20TCPFTP数据ftp21TCPFTP控制telnet23TCP远程登录协议smtp25TCP简单邮件传输协议DNS53TCP,UDP域名系统http80TCP超文本传输协议pop3110TCP邮局协议snmp161TCP,UDP简单网络管理协议https443TCP,UDP基于SSL的http39包过滤防火墙对数据包的处理过程第9章网络安全与网络管理40包过滤防火墙过滤规则的设定下面是一个包过滤防火墙访问控制规则的例子：允许网络202.206.215.0访问主机222.199.135.0的http服务（80端口）；允许IP地址为202.206.215.7和202.206.215.8的主机通过Telnet（23端口）连接到主机222.199.135.1上；允许任意IP地址的主机访问主机222.199.136.0提供的DNS服务（53端口）；不允许其他数据包的进入。第9章网络安全与网络管理419.3.3代理服务器防火墙代理服务器防火墙是一种特定的服务器程序，它是基于软件的，与基于路由器的包过滤防火墙有较大的不同。代理服务器防火墙位于外部网络与内部网络之间，它接收客户端的请求，然后根据已制定好的安全控制规则决定是否将其转发给真正的服务器。第9章网络安全与网络管理42代理服务器的主要功能接收和解释客户端发来的请求。作为新的客户端创建与服务器的连接。接收服务器发来的响应。解释服务器发来的响应并将其转发给客户端。第9章网络安全与网络管理43代理服务器的工作原理第9章网络安全与网络管理44代理服务器防火墙的优缺点代理服务器的主要优点包括：与包过滤