第 6 章 网络安全

主 要 内 容• 第一节 网络安全概述

• 第二节 威胁网络安全的因素

• 第三节 网络遭受攻击的形式

• 第四节 网络安全防范措施

• 第五节 网络安全解决方案

• 第六节 防火墙实用技术

• 第七节 MS Proxy Server的安全

• 第八节 Windows NT中的Web安全

第一节

网络安全概述

主 要 内 容• 网络安全的含义

• 网络安全的标准

• 网络安全的特征

• 网络安全的结构层次

• 主要的网络安全威胁

6.1.1 网络安全的含义 网络安全就其本质而言是网络上的信息安全。从广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全的研究领域。

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常的运行，网络服务不中断。

6.1.2 网络安全的标准 1 ．运行系统安全，即保证信息处理及传输系统的安全。

2 ．网络上系统信息的安全：包括口令鉴别、

权限控制、病毒防治等。3 ．网络上信息传播的安全，即信息传播后的安全，包括信息过滤等。侧重于非法信息的传播。

4 ．网络上信息内容的安全：侧重于信息的保密性、真实性和完整性。

6.1.3 网络安全的特征 网络安全应具有以下四个方面的特征：          保密性：指信息不泄露给非授权的用户、实体或过程，或供其利用的特性。          完整性：指数据未经授权不能进行改变的特性，即信息在存储和传 输过程中保持不被修改、不被破坏和丢失的特性。          可用性：指可被实休访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。          可控性：指对信息的传播即内容具有控制能力。

6.1.5 主要的网络安全威胁 1 ．网络安全威胁的表现形式   自然灾害、意外事故。   计算机犯罪。   人为行为，例如使用不当，安全意识差等。  “ 黑客”行为，由于黑客的入侵或侵扰。    内部泄密。    外部泄密。    信息丢失。 电子谍报，例如信息流量分析、信息窃取等。    信息战。    网络协议中的缺陷。

6.1.5 主要的网络安全威胁

假冒合法用户    非授权访问   干扰系统的正常运行    破坏数据完整    传播病毒

    窃听    重传    伪造    篡改    服务封锁攻击    行为否认

2 ．网络安全威胁的特征

第二节

威胁网络安全的因素

主 要 内 容

• 内部因素

• 各种外部威胁

• 病毒简介

6.2.1 内部因素 1 ．操作系统的脆弱性：

a 、体系结构本身就是不安全的一种因素

b 、可以创建进行又是一个不安全的因素

c 、远程过程调用服务（ RPC ）以及它所安排的无口令入口也是黑客的一个通道

2 ．计算机系统的脆弱性 ： 主要来自于操作系统的不安全性和通信协议的不安全性

3 ．协议安全的脆弱性 ：网络中使用的 TCP/IP协议以及 FTP 、 E-mail 、 NFS 等都包含着影响网络安全的因素。

安全的因素。黑客经常采用 SOCK 、 TCP 预测或使用远程访问 (RPC) 进行直接扫描等方法对防火墙进行攻击。

4 ．数据库管理系统安全的脆弱性：它必须与操作系统的安全配套，可见它是一个先天足儿。

5 ．人为因素 ：缺少安全管理员，特别是高素质的网络管理员。缺少安全管理规范，缺少安全检查、测试，缺少安全监控等因素。

6.2.2 各种外部威胁 1 ．物理威胁：指用于保护计算机硬件和存储介质的装置和工作程序。常见物理安全有偷窃、废物搜寻和间谍活动等。它是计算机安全的最重要方面。 2 ．网络威胁： （ 1 ）电子窃听 （ 2 ）拨号的安全问题 （ 3 ）冒名顶替现象

3 ．身份鉴别：是计算机判断一种是否有权使用 它的过程。目前的监别一般是以口令形式的，但是它十分脆弱，却实现简单，所以仍被广泛使用。 a 、口令圈套， b 、密码字典 4 ．病毒感染 5 ．系统漏洞：也被称为陷阱，它通常是由操作系统的开发者有意设置的，这样它们就能够在用户失去了对系统的所有访问权时仍能进入系统。 TCP/IP 中存在的很多的安全漏洞

病毒简介

病毒是一种暗中侵入计算机并且能够自主生存的可执行程序。多数病毒程序都有如下共同的组成部分：复制部分、破坏性代码、用于进行条件判断以确定何时执行破坏性代码。 （ 1 ）病毒的分类

文件病毒、引导病毒、混合型病毒、异形病毒 、宏病毒

（ 2 ）病毒的传播方式 病毒一旦进入系统以后，通常用以下两种方式传播：l 通过磁盘的关键区域：主要感染工作站。l 通过可执行文件：主要感染服务器。（ 3 ）病毒的工作方式 变异 、触发 、破坏

病毒简介

（ 6 ）网络病毒的特点 传染方式多 、传染速度快 、清除难度大 、

破坏性强 、激发形式多样 、潜在性 （ 7 ）常见的网络病毒 电子邮件病毒 、 Java程序病毒 、 ActiveX

病毒 、网页病毒 （ 8 ）网络对病毒的敏感性 对文件病毒的敏感性 、对引导病毒的敏感

性 、对宏病毒的敏感性

病毒简介

（ 9 ）网络计算机病毒的防治第一，加强网络管理人员的网络安全意识，对内部网与外界进行的数据交换进行有效的控制和管理，同时坚决抵制盗版软件；第二，以网为本，多层防御，有选择地加载保护计算机网络安全的网络防病毒产品。（ 10 ）防毒、杀毒软件的选择 选购防毒软件，需要注意的指标包括：扫描速度、正确识别率、误报率、技术支持水平、升级的难易程度、可管理性和警示手段等

目前常见网络病毒及处理• 冲击波（ Worm.Blaster ）病毒• 病毒介绍： • 该病毒运行时会不停地利用 IP扫描技术寻找

网络上系统为 Win2K 或 XP 的计算机，找到后就利用 DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。

• 病毒发作现象：• 系统资源被大量占用，有时会弹出 RPC 服务终止的对话框，并且系统反复重启 , 不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重影响， DNS和 IIS 服务遭到非法拒绝等。

• 病毒详细说明：• 1. 病毒运行时会将自身复制到 window目录下，

并命名为： msblast.exe 。• 2. 病毒运行时会在系统中建立一个名为：“ BI

LLY” 的互斥量，目的是病毒只保证在内存中有一份病毒体，为了避免用户发现。

目前常见网络病毒及处理

目前常见网络病毒及处理• 3. 病毒运行时会在内存中建立一个名为：

“ msblast.exe” 的进程，该进程就是活的病毒体。

• 4. 病毒会修改注册表，在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中添加以下键值： "windows auto update"="msblast.exe" ，以便每次启动系统时，病毒都会运行。

• 5. 病毒体内隐藏有一段文本信息：• I just want to say LOVE YOU SAN!!• billy gates why do you make this possible ? Stop

making money and fix your software!!

•6. 病毒会以 20秒为间隔，每 20秒检测一次网络状态，当网络可用时，病毒会在本地的 UDP/69端口上建立一个 tftp 服务器，并启动一个攻击传播线程，不断地随机生成攻击地址，进行攻击，另外该病毒攻击时，会首先搜索子网的 IP地址，以便就近攻击。•7. 当病毒扫描到计算机后，就会向目标计算机的 TCP/135端口发送攻击数据。•8. 当病毒攻击成功后，便会监听目标计算机的TCP/4444端口作为后门，并绑定 cmd.exe 。然后蠕虫会连接到这个端口，发送 tftp命令，回连到发起进攻的主机，将 msblast.exe 传到目标计算机上并运行。

•9. 当病毒攻击失败时，可能会造成没有打补丁的 Windows 系统 RPC 服务崩溃， Windows XP 系统可能会自动重启计算机。该蠕虫不能成功攻击 Windows Server2003 ，但是可以造成 Windows Server2003 系统的 RPC 服务崩溃，默认情况下是系统反复重启。•10. 病毒检测到当前系统月份是 8月之后或者日期是 15日之后，就会向微软的更新站点 "windowsupdate.com" 发动拒绝服务攻击，使微软网站的更新站点无法为用户提供服务。

• 手工清除方案：• 一、 DOS环境下清除该病毒：• 1. 当用户中招出现以上现象后，用 DOS 系统启动盘启动进入 DOS环境下，进入 C 盘的操作系统目录 .

• CD C:\windows ( 或 CD　 c:\winnt)• 2. 查找目录中的“ msblast.exe” 病毒文件。• dir msblast.exe /s/p• 3.找到后进入病毒所在的子目录，然后直接将该病毒文件删除。

• Del msblast.exe

目前常见网络病毒及处理

• 二、 在安全模式下清除病毒• 如果用户手头没有 DOS启动盘，还有一个方

法，就是启动系统后进入安全模式，然后搜索C 盘，查找msblast.exe 文件，找到后直接将该文件删除，然后再次正常启动计算机即可。

• 给系统打补丁方案：• 当用户手工清除了病毒体后，应上网下载相应

的补丁程序，用户可以先进入微软网站，下载相应的系统补丁，给系统打上补丁。

目前常见网络病毒及处理

目前常见网络病毒及处理• “硬盘杀手”病毒• “硬盘杀手”病毒的破坏力全面超越 CIH 病

毒：它利用网络漏洞和共享目录进行网络感染，传播能力也远远超过 CIH! 运行时会首先将自己复制到系统目录下，然后修改注册表进行自启动。病毒会通过 9X 系统的漏洞和共享文件夹进行疯狂网络传播，即使网络共享文件夹有共享密码，病毒也能传染。如果是 NT 系列系统，则病毒会通过共享文件夹感染网络。病毒会获取当前时间，如果病毒已经运行两天，则病毒会在 C 盘下写入病毒文件，此文件会改写硬盘分区表，当系统重启时，会出现病毒信息，并将硬盘上所有数据都破坏掉。

1 、由于该病毒在局域网内发播速度极快，所以局域网用户最好使用网络版杀毒软件，并进行全网查杀。

2 、检查注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 是否存在键值 mqbkup 或者 mqbkupdbs ，如果存在请删除此键值。

3 、如果用户的机器操作系统是 Windows 9X ，请用户打开Windows 系统目录下的 Win.ini 文件，删除 run=c:\windows\mqbkup.exe所在的行。

4 、在程序任务列表中删除 mqbkup.exe 。

5 、如果系统已经重新启动，请立即关闭机器，切断电源，以免硬盘数据进一步丢失。

• 特洛伊 Win32.Revcuss.H • 破坏性： 中 04年 11月 15• 病毒特性：• Win32.Revcuss.H 是尝试盗取用户网络银行信息的特洛伊。这个变体病毒针对英国的几个金融机构，它是大小为 27 ， 136字节的 Win32 可执行文件。

• 感染方式：• 运行时， Win32.Revcuss.H把自己拷贝到：• " %System%\userhandler.exe • " %Windows%\winuser.exe• 病毒修改注册键值来确保每次系统运行时都执行 userha

ndler.exe ：• HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

UserHandler="%System%\userhandler.exe"

目前常见网络病毒及处理

危害：

盗取敏感信息

最初，运行时， Revcuss利用系统 Inter资源管理器 PHP 文件发送请求：

" vb-aus.com " puterpaul.co.uk 用这个 IP地址： 67.15.72.14

病毒会隐藏它的特性，并创建新的 'Desktop' ，名称是 'Default000' 。

它阻止的所有资源管理器有下列标题：

Abbey anking Barclays Ibank ..... Transfer to another organisation – Create welcome to smile banking

一旦建立，它使用下列地址核对用户的银行帐户：https://ibank.barclays.co.uk/fp/ .... https://membership details below

https://cukehb2.cd.citibank.co.uk/HomeBankingSecure/Pers/StartSession.asp

https://www1.net.hsbc.com/code/public/en_US/login/poplogin.jhtml

检测 / 清除

KILL 安全胄甲 inoculateIT v23.67.28vet 11.x/8726 版可检测 / 清除此病毒

• “幽灵（ I-Worm.Ghost ）”病毒：蠕虫病毒，通过邮件传播，依赖系统： WIN9X/NT/2000/XP 。

• 病毒第一次运行时，会把自己复制到Windows 系统的字体目录下，文件名随机产生。当目录下的病毒得以运行时，会把自己复制到 C 盘根目录下，文件名为“ Windows.exe”和“ Ghost.bat” 。

• 在 C 盘根目录下的文件夹里释放一个自己的副本，文件名跟所在的文件夹名相同。复制自己的同时，生成病毒自己的“ Desktop.ini”和“ Folder.htt” 文件，这两个文件可以使目录被用户打开时病毒得以运行，大量病毒的复制使系统运行速度变慢。遍历 Outlook的邮件地址列表，向这些地址发送病毒邮件。

目前常见网络病毒及处理

• 病毒名称： Win32 .Zafi.D ( 扎非 )• 其他病毒名 ： W32/Zafi.d@MM （ McAfee ）• W32.Erkez.D@mm （ Symantec ）• WORM_ZAFI.D(Trend Micro)• Worm.Zafi.d （金山）• I-Worm.Zafi.d （瑞星）• I-Worm/Zafi.d(江民 )• 感染系统： Windows 2000, Windows 98, Windows

Me, Windows NT, • Windows XP

目前常见网络病毒及处理

• 04年 12月 20国家计算机病毒应急处理中心通过对互联网的监测，发现病毒 Worm_Zafi.d 。该蠕虫通过邮件和网络共享进行传播，并将自己伪装为圣诞节电子贺卡，发给用户。病毒还将自己伪装为新版的聊天工具

• ICQ 2005 或 音频播放软件 winamp 5.7 放到共享目录中，诱使用户打开。用户运行后，会弹出一个对话框故意报告压缩包损坏，以麻痹用户。病毒会在感染机器上开启一个后门，供远程黑客控制。

目前常见网络病毒及处理

• 病毒特征： • 1 、生成病毒文件• 病毒运行后在 %System％目录下生成 Norton Update.exe和 C:\s.

cm 。• （其中， %System% 为系统文件夹，在默认情况下，在 Window

s 95/98/Me 中为 C:\Windows\System 、在 Windows NT/2000 中为 C:\Winnt\System32 、在 Windows XP 中为 C:\Windows\System32 ）

• 病毒还会将自己复制在 %System％目录下，名为 {随机字符 }.dll 文件。病毒还会试图在任何包含字符「 shar」的文件夹中建立本身的副本，副本名称为 :winamp 5.7 new!.exe 、 ICQ 2005a new!.exe 。

• 2 、修改注册表项• 病毒创建注册表项，使得自身能够在系统启动时自动运行，在

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中添加值“ Wxp4” = “%System%\Norton Update.exe” 。这样可以在每次开机时自动运行，文件名伪装为 Norton 的升级程序。同时，病毒还会在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ 中添加Wxp4 ，把自身一些信息保存到注册表中的该键内。

目前常见网络病毒及处理

• 3 、通过电子邮件传播• 病毒电子邮件特征如下：• 主题 :( 为下列名称之一 )• Merry Christmas! boldog karacsony.. Feliz Navidad! ecard.ru • Christmas Kort! Christmas Vykort! Christmas Postkort! Christ

mas postikorti! Christmas - Kartki! Weihnachten card. Prettige rstdagen!

• Christmas pohlednice Joyeux Noel! Buon Natale! • 正文 :( 为以下之一 )• Happy HollyDays! :) [Sender] Kellemes Unnepeket! :) [Sende

r]• Feliz Navidad! :) [Sender] :) [Sender] Glaedelig Jul! :) [Sender]• God Jul! :) [Sender] God Jul! :) [Sender] Iloista Joulua! :) [Sen

der]• Naulieji Metai! :) [Sender] Wesolych Swiat! :) [Sender] Fr?hl

iche Weihnachten! :) [Sender] Prettige Kerstdagen! :) [Sender] Veselé Vánoce! :) [Sender] Joyeux Noel! :) [Sender] Buon Natale!

• 附件 :(包含以下扩展名 ) .bat .cmd .com .pif .zip

• 4 、病毒运行• 当病毒发出的邮件被阅读或者共享驱动器中的文件被

激活的时候，病毒就会开始运行。病毒在运行的时候会显示如下消息框：

• 为了避免轻易被检测或清除，该病毒会结束以下名称中包含如下字符串的进程：

• msconfig • reged • task • 5 、后门功能• 该病毒还具有后门功能，它会打开 TCP端口 8181 ，允许远程用户对具有安全漏洞的系统上载文件。

目前常见网络病毒及处理

• 手工清除病毒：• 1 、 结束病毒进程 • 打开Windows任务管理器 , 在 Windows 95/98/ME 系统上 , 按下• CTRL+ALT+DELETE• 在 Windows NT/2000/XP 系统上 , 按下 CTRL+SHIFT+ESC, 并点击进程

标签 在运行的程序列表中，找到下面的进程： NORTON UPDATE.EXE ，结束该进程，即可。

• 2 、删除病毒文件 • 右击开始，点击搜索或寻找，这取决于当前运行的 Windows版本。 在名称输入框中，输入： Norton Update.exe和 s.cm ，找到文件然后选择删除。

• 3 、修改注册表• 打开注册表编辑器。点击开始 -> 运行，输入 REGEDIT ，依次双击左边

的面板中 HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，找到右侧面板中 "Wxp4" = "%System%\Norton Update.exe" ，并将其删除。

• 依次双击左边的面板 ,双击并删除下面的项目• HKEY_LOCAL_MACHINE>Software>Microsoft>wxp4

目前常见网络病毒及处理

• qq 病毒• “爱情森林”病毒和“ QQ 伪装专家”• 病毒类型：木马病毒• “QQ 窃手”病毒 蠕虫病毒

目前常见网络病毒及处理

• RedLof 病毒（红色结束符）简介• 此病毒感染脚本类型的文件。该病毒能够疯狂

感染文件夹，会在感染的文件夹下产生两个文件，一个名为： desktop.ini 的目录配置文件，一个名为： folder.htt 的病毒体文件，当用户双击鼠标进入被感染的文件夹时，病毒就会被激活，而病毒每激活一次，在内存中就复制一次，所以当用户多次进入被感染的文件夹时，病毒就会大量进入内存，使计算机运行速度越来越慢，而且其还会随着信件模板，进行网络传播。

目前常见网络病毒及处理

病毒发作现象：

一、 如果对脚本文件比较熟悉，比如说网页设计人员等，可以查找一些自己熟悉的 vbs,htm, html 等类型的文件，用编辑工具查看其内容，看是否能发现可疑代码。

二、 病毒会在感染文件夹时，产生两个病毒文件： desktop.ini和 folder.htt 。

三、 该病毒会使计算机运行速度变慢。

解决方案：

1 、用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“红色结束符”（ Script.RedLof.htm ）病毒，用户可以将病毒文件直接删除来消除病毒的影响，但如果想彻底地清除此病毒，最好还是用《瑞星杀毒软件 2003版》的最新版本进行彻底清除。

2 、用户在杀毒过程中要关闭所有 WINDOWS窗口，禁止使用 WEB 方式浏览“资源管理器”或“我的电脑”等。

3 、在 Windows操作系统环境下，要打开文件监控功能，先查杀内存然后在查杀所有硬盘文件。

4 、在杀完毒之后应立即重新启动计算机。

5 、如果用户在 Windows操作系统环境下不能完全地清除此病毒，请到纯 DOS操作环境下进行杀毒，将此病毒全部清除掉。

• Win32.Atak.D （艾塔克） 04年 12月 06

• 病毒名： Win32.Atak.D类型： 蠕虫

• 病毒特性：Win32.Atak.D 是通过邮件传染的蠕虫病毒。它是大小为 12,037字节的 FSG Win32 可执行 程序。

• 感染方式：执行时， Atak.D 拷贝自己到%System%\a1g.exe 并且编辑 win.ini 以确保每次系统运行时执行这个文件：[WINDOWS]load = %System%\a1g.exe在 Windows NT/2000/XP/2003 中 , 可以自动转化，修改下列注册键值： HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%System%\a1g.exe"注： '%System%' 是一个可变的路径 . 病毒通过查询操作系统来决定当前系统文件夹的位置。 Windows 2000 and NT默认的系统安装路径是 C:\Winnt\System32; 95,98 和 ME 的是 C:\Windows\System; XP 的是 C:\Windows\System32.

目前常见网络病毒及处理

传染方式：通过邮件传播检测与清除：KILL 安全胄甲 InoculateIT 23.67.54 Vet 11.x/8778 可检测并清除。

第三节

网络遭受攻击的形式

6.3.1 服务封 -锁攻击 • 服务封锁攻击是指一个用户占有大量的共享资源，

使系统没有剩余的资源给其他用户再提供服务的一种攻击方式。服务封锁攻击的结果是降低系统资源的可用性，这些资源可以是 CPU 时间、磁盘空间、MODEM 、打印机，甚至是系统管理员的时间。

• 服务封锁攻击是针对 IP 的核心进行的。• 服务封锁攻击的方式很多

6.3.2 电子邮件攻击

现在的电子邮件攻击主要表现如下形式：   窃取、篡改数据   伪造邮件   服务封锁   病毒

6.3.3 缓冲区溢出攻击

缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候，如果没有足够的空间就会引发缓冲区溢出。攻击者可以设置一个超过限缓冲区长度的字符串，然后植入缓冲区，向一个空间有限的缓冲区植入超长字符串可能会出现两个结果，一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重时可导致系统崩溃；另一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统超级权限

6.3.4 网络监听攻击

在网络中，当信息进行传播的时候，可以利用

某种工具，将网络接口设置在监听的模式，从而截获网络中正在传播的信息，然后进行攻击。

第四节

网络安全防范措施

6.4.1 物理安全防范

1 、电梯和楼梯不可直接进入机房。2 、要有足够照明，防止非法进入的设备3 、外部容易进出口处要设置栅栏或者监控设备及报警系统。4 、供电系统要独立5 、微机室 100m 内不得有危险设施（易燃易爆物品等）6 、设备要加锁或是胶粘等7 、防静电、防尘、放火、防水措施（地线、隔离墙等）

6.4.2　网络安全的常规防护措施

• 1 ．采用备份来避免损失• 2 ．帮助用户自助• 3 ．预防引导病毒• 4 ．预防文件病毒• 5 ．将访问控制加到 PC 机• 6 ．防止无意的信息披露• 7 ．使用服务器安全

• 8 ．使用网络操作系统的安全功能• 9 ．阻止局外人攻击• 10 ．不要促成过早的硬件故障• 11 ．为灾难准备硬件• 12 ．学习数据恢复的基本知识• 13 ．制定安全恢复策略

返回本节

6.4.3　网络安全控制措施

• 1 ．物理访问控制• 2 ．逻辑访问控制• 3 ．组织方面的控制• 4 ．人事控制• 5 ．操作控制

• 6 ．应用程序开发控制• 7 ．工作站控制• 8 ．服务器控制• 9 ．数据传输保护

返回本节

6.4.5　网络安全实施过程中需要注意的一些问题

• 1 ．网络安全分级应以风险为依据• 2 ．有效防止部件被毁坏或丢失可以得到最佳收益

• 3 ．安全概念确定在设计早期• 4 ．完善规则• 5 ．注重经济效益规则

•6 ．对安全防护措施进行综合集成•7 ．尽量减少与外部的联系•8 ．一致性与平等原则•9 ．可以接受的基本原则•10 ．时刻关注技术进步

返回本节

第五节

网络安全解决方案

6.5.1 网络信息安全模型

1 ．政策、法律、法规

2 ．增强的用户认证

3 ．授权

4 ．加密

5 ．审计与监控

6.5.2 安全策略设计依据 制订网络安全策略时应考虑如下因素： 对于内部用户和外部用户分别提供哪些服务程序。 初始投资额和后续投资额（新的硬件、软件及工

作人员）。 方便程度和服务效率的平衡。 复杂程度和安全等级的平衡。 网络性能。

6.5.3 网络安全解决方案

1 ．信息包筛选

2 ．应用网关

3 ．加密与确认

6.5.4 网络安全技术措施 （ 1 ）物理层的安全防护：主要通过制定物理层的管理规范和措施

来提供安全解决方案。（ 2 ）链路层的安全防护：主要是利用链路加密措施对数据进行加

密保护。它加密所有用户数据并在目的结点完成解密。（ 3 ）网络层的安全防护：网络层主要采用防火墙作为安全防护手段，实现初级安全防护。也可以根据一些安全协议实施加密保护。还可进行入侵检测。

（ 4 ）传输层的安全防护：传输层处于通信子网和资源子网之间，起着承上启下的作用。传输层应支持对等实体认证服务、 访问控制服务、 数据保密服务、 数据完整性服务、 数据源点认证服务。

（ 5 ）应用层的安全防护：可以实施强大的基于用户的身份认证，还可加强数据的备份和恢复环节。

6.5.4 网络安全技术措施

在实际的安全设计中，往往综合采用下列技术措施：1 ．身份验证2 ．访问授权（ Authorization ） 3 ．实时侵入检测技术 4 ．网络分段 5 ．选择集线器 6 ． VLAN技术 7 ． VPN技术 8 ．防火墙技术

6.5.5 网络安全的评估

网络系统的安全措施应实现如下目标：

 对存取的控制； 保持系统和数据的完整； 能够对系统进行恢复和对数据

进行备份。

第六节

防火墙实用技术

• 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施

6.6.1 防火墙技术概述 1 ．防火墙的组成部分包过滤器、链路级网关和应用级网关或代理服务器。典型的防火墙如图所示。

I nternet

外部（I SP）包过滤器

内部包过滤器

堡垒主机（应用或链路级网关）

企业I ntranet

6.6.1 防火墙技术概述 2 ．防火墙的作用  弥补网络服务的脆弱性、 控制对网络的存取、集中的

安全管理、 网络使用情况的记录及统计3 ．防火墙的局限性 绕过防火墙的攻击、来自内部变节者和不经心的用户带来的威胁、变节者或公司内部存在的间谍将数据拷贝到软盘、传送已感染病毒的软件或文件。

4 ．基本防火墙壁设计 在设计防火墙时必须确定：防火墙的行为准则、机构的

安全策略、费用、系统的组件或构件。 防火墙有两种相反的行为准则： 拒绝没有特别允许的任何服务l          允许没有特别拒绝的任何服务

6.6.2 防火墙的类型1 ．包过滤防火墙 如图所示 ：

工作站

工作站

工作站

服务器

I nternet包过滤路由器

6.6.2 防火墙的类型2 ．代理防火墙 由代理服务器和过滤路由器组成，它将过滤器和软件代理技术结合在一起。

3 ．双宿主机防火墙 该防火墙是用主机来执行安全管制功能。

一台双宿主机配置有多个网卡，分别连接不同的网络。

6.6.3 防火墙的配置 1 ．包过滤路由器 2 ．双宿主网关 双宿主网关仅用一个代理服务器（如图所示），代理服务器就是安装于双宿主机的代理服务器软件。

工作站

工作站

工作站

服务器

I nternet代理服务器NI C NI C

6.6.3 防火墙的配置 3 ．主机过滤防火墙 主机过滤防火墙由分组过滤路由器和应用网关组成

（如图所示）。

工作站

工作站

工作站

服务器

I nternet应用网关 过滤路由器

6.6.3 防火墙的配置 4 ．子网过滤防火墙 在主机过滤配置上再加一个路由器，形成一个被称为非军事区

的子网（如图所示），这个子网还可能被用于信息服务器和其他要求严格控制的系统，形成三道防火线。

工作站

工作站

工作站

服务器

内部过滤路由器

外部过滤路由器

应用网关

I nternet

• （ 1 ）代理防火墙的原理：• 代理防火墙通过编程来弄清用户应

用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代理防火墙的工作原理如图所示。

6.6.4 代理防火墙

•（ 2 ）应用层网关型防火墙：• 主要保存 Internet上那些最常用和最近访问过的内容：在 Web上，代理首先试图在本地寻找数据，如果没有，再到远程服务器上去查找。为用户提供了更快的访问速度，并且提高了网络安全性。应用层网关的工作原理如图上所示。应用层网关防火墙最突出的优点就是安全，缺点就是速度相对比较慢。

• （ 3 ）电路层网关防火墙• 在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包，如图左所示。电路层网关防火墙的工作原理如图右所示电路层网关防火墙的特点是将所有跨越防火墙的网络通信链路分为两段。

代理防火墙• （ 4 ）代理技术的优点• 1 ）代理易于配置。 2 ）代理能生成各项记录。 3 ）代理能灵活、完全地控制进出流量、内容。 4 ）代理能过滤数据内容。 5 ）代理能为用户提供透明的加密机制。 6 ）代理可以方便地与其他安全手段集成。

代理防火墙• （ 5 ）代理技术的缺点• 1 ）代理速度较路由器慢。 2 ）代理对

用户不透明。 3 ）对于每项服务代理可能要求不同的服务器。 4 ）代理服务不能保证免受所有协议弱点的限制。 5 ）代理不能改进底层协议的安全性。

表 9.1　两种防火墙技术

6.6.5 ．两种防火墙技术的对比

6.6.6　防火墙的主要技术及实现方式

• 1 ．双端口或三端口的结构• 2 ．透明的访问方式• 3 ．灵活的代理系统• 4 ．多级的过滤技术• 5 ．网络地址转换技术（ NAT ）• 6 ．网络状态监视器

• 7 ． Internet 网关技术• 8 ．安全服务器网络（ SSN ）• 9 ．用户鉴别与加密• 10 ．用户定制服务• 11 ．审计和告警• 12 ．应用网关代理

• 13 ．回路级代理服务器• 14 ．代管服务器• 15 ． IP 通道（ IP Tunnels ）• 16 ．隔离域名服务器（ Split Domain Na

me Sever ）• 17 ．邮件转发技术（ Mail Forwarding ）

6.6.7　Windows 2000环境下防火墙及 NAT 的实现

•1 ．实现方法• 通过网络地址转换把内部地址转换成统一的外部地址，避免了使用代理服务所引起的账号安全问题和代理服务端口被利用的危险。同时为了避免各种代理服务端口探测和其他各种常用服务端口的探测，可以启用 Microsoft Proxy Server 的动态包过滤功能和 IP 分段过滤，达到端口隐形的效果。

　动态包过滤规则

• 2 ．案例环境• 假定有一台Web 服务器（ WWW ），地址为 10.1.0.20 ，其完整域名为： www.target.com ，对应解析的 IP地址为 192.168.0.10 ，，在其上装有两块网卡，命名为本地连接 1和本地连接 2 ，它们的 IP地址分别为： 10.1.0.1和 192.168.0.9 。

• 3 ． MS Windows 2000 NAT 网络地址转换的实现

• （ 1 ）路由和远程访问服务• （ 2 ）网络地址转换的实现 :静态路由、

网络地址转换、地址和特殊端口、 IP地址欺骗过滤。

　地址和特殊端口配置

内部地址欺骗过滤配置

外部地址欺骗过滤配置

• 4 ． MS Proxy Server 动态包过滤和反向代理

• Proxy Server 功能的配置界面如图所示。• （ 1 ） MS Proxy Server动态过滤记录文

件的详细说明如表所示。 • （ 2 ） MS Proxy Server动态包过滤的实

现如表所示。

Proxy Server功能的配置界面

　一条记录条目的说明

第七节

MS Proxy Server的安全

6.7.1代理服务器的工作过程

  代理服务器拦截网络内部用户发往 Internet服务器的请求。

  它把自己的地址作为源地址，对请求重新打包，然后把请求发给目标 Web 服务器。

  当 Web 服务器返回一个响应时，这个响应将被发送给代理服务器。

   代理服务器确认这个响应是正确的，然后，再转发给内部用户。

6.7.2代理服务器用作防火墙 如图所示：

工作站

工作站

工作站

服务器

I nternet

Proxy Server

理论课程到此结束

谢谢使用！