沈鑫剡编著(网络安全)教材配套课件第14章

网络安全第十四章第14章计算机安全技术本章主要内容计算机安全威胁和安全技术；访问控制；Windows7防火墙；Windows7网络管理和监测命令。14.1计算机安全威胁和安全技术本讲主要内容安全威胁；安全技术。一、安全威胁如图所示的应用环境下，计算机面临以下安全威胁：病毒；黑客；越权访问。二、安全技术基于主机的防御技术：病毒防御技术；个人防火墙；主机入侵检测系统访问控制。14.2访问控制本讲主要内容基本术语；访问控制模型；审计；Windows7访问控制机制。一、基本术语主体（Subject）是指主动的实体，该实体造成了信息的流动和系统状态的改变。客体（Object）是指包含或接受信息的被动实体。对客体的访问意味着对其中所包含的信息的访问。访问是使信息在主体和客体间流动的一种交互方式。访问控制是一种具有以下功能的安全机制，一是能保障授权用户获取所需资源，二是能拒绝非授权用户非法获取资源。身份鉴别一是需要对主体分配唯一标识符，二是主体能够提供证明身份的标识信息，授权是为每一个用户设置访问权限，某个用户的访问权限是指该用户允许访问的客体和允许对客体进行的操作。一、基本术语授权数据库中为每一个用户设置了访问权限，通常由系统管理员为每一个用户分配访问权限。引用监视器根据已经完成身份鉴别过程的用户和授权数据库，确定该用户允许访问的客体和允许对客体进行的操作。访问控制保障该用户只能访问允许访问的客体，且只能对允许访问的客体进行允许进行的操作。审计对用户使用何种信息资源、在何时使用、以及如何使用（执行何种操作）进行记录和分析。二、访问控制模型访问控制模型分类二、访问控制模型访问控制矩阵中的每一行代表一个主体，每一列代表一个客体，行列交叉的单元格给出该行代表的主体允许对该列代表的客体进行的操作。操作操作二、访问控制模型访问控制表（ACL）以客体为中心，为每一个客体分配访问权限。如图所示，客体资源X允许主体用户A进行读、修改和管理等访问操作，允许主体用户C进行读访问操作。每一个客体通过访问控制表可以很方便地确定该客体允许那些主体进行那些访问操作。操作二、访问控制模型访问能力表（ACCL）以主体为中心，为每一个主体分配访问权限。如图所示，主体用户A具有对客体资源X和资源Z进行读、修改和管理等访问操作的访问权限。操作二、访问控制模型访问控制表一般用于对客体集中管理的应用环境，这种应用环境下，可以为每一个客体设置访问控制表。操作二、访问控制模型访问能力表一般用于对客体分布式管理的应用环境，这种应用环境下，如果采用访问控制表实施访问控制过程，用户A访问资源X和资源Z时，需要分别由计算机A和计算机C完成身份鉴别过程。如果采用访问能力表实施访问控制过程，可以由访问控制主机统一完成身份鉴别过程。操作二、访问控制模型

在强制访问控制中，每一个主体和客体赋予一个安全级别。安全级别通常分为绝密级（T）、秘密级（S）、机密级（C）、限制级（R）和无密级（U）。这些安全级别之间满足以下关系：T＞S＞C＞R＞U，T＞S表示绝密级高于秘密级。强制访问控制根据主体和客体的安全级别决定以下访问模式。向下读（RD）当主体安全级别高于客体安全级别时，允许主体对客体进行读操作。向上读（RU）当主体安全级别低于客体安全级别时，允许主体对客体进行读操作。向下写（WD）当主体安全级别高于客体安全级别时，允许主体对客体进行写操作。向上写（WU）当主体安全级别低于客体安全级别时，允许主体对客体进行写操作。操作二、访问控制模型Bell-LaPadula模型简称为BLP模型，BLP模型的访问原则是不上读/不下写，以此保证数据的保密性。不上读意味着只有当主体安全级别高于等于客体安全级别时，才允许主体对客体进行读操作。不下写意味着只有当主体安全级别低于等于客体安全级别时，才允许主体对客体进行写操作。二、访问控制模型Biba模型的访问原则是不下读/不上写，以此保证数据的完整性。不下读意味着只有当主体安全级别低于等于客体安全级别时，才允许主体对客体进行读操作。不上写意味着只有当主体安全级别高于等于客体安全级别时，才允许主体对客体进行写操作。二、访问控制模型如果客体所有权是企业，不应该基于用户，而是应该基于企业中的职务分配客体访问权限。角色指个体在特定的社会关系中的身份及由此而规定的行为规范和行为模式的总和。具体地说，就是个人在特定的社会环境中相应的社会身份和社会地位，并按照一定的社会期望，运用一定权力来履行相应社会职责的行为。访问控制模型中的角色用一组对客体的访问操作来描述行为，这组访问操作是管理员分配给角色的权限。三、审计日志是记录的事件或统计数据，这些事件或统计数据能提供关于系统使用及性能方面的信息。审计是对日志的分析，并以清晰的、能理解的方式表述分析结果。审计使得系统分析员可以评审资源的使用模式，以便评价保护机制的有效性。一个审计系统通常由日志记录器、分析器和通告器三部分组成。这三部分分别用于收集数据、分析数据和通告结果。三、审计日志记录器以二进制或可读的形式记录事件或统计数据。日志通常记录与以下活动有关的事件。用于检测已知攻击模式；用于检测异常行为和异常信息流。对于每一个事件，日志记录以下信息：事件发生的日期和时间，引发事件的用户，事件源的位置，事件类型，事件成败等。三、审计分析器以日志数据为输入，完成以下分析过程。潜在侵害分析。可以事先为分析器制定一些规则，这些规则描述了发生入侵时的事件模式，一旦分析器在日志记录的事件中，发现与规则匹配的事件模式，意味着系统存在入侵的可能性。异常分析。分析器可以通过阈值和规则描述用户的正常行为，一旦日志记录的与某个用户有关的统计数据与描述该用户正常行为的阈值相差甚远，可以确定该用户的行为异常。入侵行为分析。分析器可以加载入侵特征库，入侵特征库中给出已知入侵的事件模式，一旦日志记录的事件与入侵特征库中某个已知攻击的事件模式匹配，确定系统发生该入侵行为。三、审计通告器把分析器的分析结果，以清晰的、能理解的方式通告给系统管理员和其他实体。四、Windows7访问控制机制

Windows7采用访问控制表（ACL）机制实现资源访问控制过程，一是通过创建账户来创建用户，二是基于资源为每一个用户分配权限。14.3Windows7防火墙本讲主要内容入站规则和出站规则；Windows7防火墙配置实例；一、入站规则和出站规则会话是两个运行在不同终端上的进程之间的数据交换过程。目前常见的会话有TCP连接，UDP会话和ICMPECHO请求、响应过程。一、入站规则和出站规则对于TCP连接，会话分为三个阶段，一是TCP连接建立阶段，二是数据传输阶段，三是TCP连接释放阶段。通过TCP连接建立过程创建会话，并用两端插口唯一标识创建的会话，插口由标识终端的32位IP地址和标识进程的16位端口号组成。创建会话后，所有两端插口与标识该会话的两端插口相同的TCP报文都是属于该会话的TCP报文。通过TCP连接释放过程删除会话。一、入站规则和出站规则对于UDP会话，传输第一个UDP报文时创建UDP会话，并用该UDP报文的两端插口唯一标识该UDP会话，所有两端插口与标识该UDP会话的两端插口相同的UDP报文都是属于该会话的UDP报文。如果规定时间内，一直没有传输两端插口与标识该UDP会话的两端插口相同的UDP报文，删除该UDP会话。一、入站规则和出站规则对于ICMPECHO请求、响应过程，一次ICMPECHO请求、响应过程属于一个会话，会话用ICMPECHO报文两端IP地址和序号（或标识符）唯一标识。一、入站规则和出站规则对于TCP连接，会话发起方是发送请求建立TCP连接的请求报文的一方，响应方是发送同意建立TCP连接的响应报文的一方。对于UDP报文，会话发起方是发送创建UDP会话的第一个UDP报文的一方，响应方是接收创建UDP会话的第一个UDP报文的一方。对于ICMPECHO请求、响应过程，会话发起方是发送ICMPECHO请求报文的一方，响应方是发送对应的ICMPECHO响应报文的一方。一、入站规则和出站规则

个人防火墙的核心功能是阻止会话建立。对于会话发起方，阻止会话建立的方法是禁止输出会话发起方发送的用于创建会话的报文。对于会话响应方，阻止会话建立的方法是禁止输入会话发起方发送的用于创建会话的报文。一、入站规则和出站规则入站规则用于禁止输入，或允许输入会话发起方发送的用于创建会话的报文。远程IP地址：192.1.1.1远程端口号：任意协议类型：TCP本地程序：360安全卫士禁止或允许连接：允许连接一、入站规则和出站规则出站规则用于禁止输出，或允许输出会话发起方发送的用于创建会话的报文。远程IP地址：192.1.1.1远程端口号：80、443协议类型：TCP本地程序：InternetExplorer禁止或允许连接：禁止连接二、Windows7防火墙配置实例Windows7防火墙是操作系统Windows7自带的个人防火墙，通过设置入站规则禁止或允许外部终端发起建立与该计算机中某个进程之间的会话。通过设置出站规则禁止或允许该计算机中某个进程发起建立与外部终端之间的会话。二、Windows7防火墙配置实例禁止用户通过InternetExplorer访问百度网站的出站规则如下。远程IP地址：112.80.248.74、112.80.248.73和112.80.252.32远程端口号：所有协议类型：任何本地程序：InternetExplorer禁止或允许连接：禁止连接14.4Windows7网络管理和监测命令本讲主要内容Ping；Tracert；Ipconfig；Arp；Nslookup；Route；Netstat。一、Pingping命令用于检测两个终端之间的连通性一、Pingping目标主机地址或域名可以携带以下参数。-t：一直进行ICMPECHO请求、响应过程，直到输入ctrl+c键。-ncount：将ICMPECHO请求、响应过程进行整数count指定的次数。-llength：发送长度由整数length指定的ICMPECHO请求报文，长度默认值是32B。-ittl：将封装ICMPECHO请求报文的IP分组的TTL字段值设置为由整数ttl指定的值。一、Ping一、Ping黑客常常通过ping命令进行主机扫描，确定攻击目标是否在线，黑客终端与攻击目标之间是否存在传输通路。因此，为安全起见，终端最好通过设置防火墙，关闭ICMPECHO响应功能。二、tracert终端A首先将ICMPECHO请求报文封装成TTL=1的IP分组。该IP分组传输到第一跳路由器R1时，TTL值减为0，路由器R1向终端A发送一个超时报文。终端A随后将ICMPECHO请求报文封装成TTL=2的IP分组。该IP分组到达第二跳路由器R2时，TTL值减为0，第二跳路由器R2向终端A发送超时报文。该过程一直进行。二、tracert

tracert目标主机地址或域名可以携带以下参数。-d：只列出经过的路由器接口和目标主机的IP地址，不给出这些路由器和目标主机的名字。-h

maximum_hops：指定经过的最大跳数，整数maximum_hops是最大跳数。

-j

host-list：通过指定经过的路由器接口列表，指定源终端至目的终端的传输路径。二、tracert二、tracert黑客常常用tracert命令了解黑客终端与攻击目标之间的传输路径，了解网络拓扑结构。因此，与执行tracert命令相关的TTL字段值不断递增的ICMPECHO请求报文也是网络入侵检测系统需要监测的信息流类型。三、ipconfigipconfig可以携带以下参数。/all

：显示完整信息。/renew：为所有网卡重新动态分配IP地址

。/release：释放为所有网卡分配的动态IP地址。/flushdns：清空本地dns缓冲区。/displaydns：显示本地dns缓冲区内容。三、ipconfig四、arp终端A在以太网中广播ARP请求报文，请求报文中给出终端A的IP地址、MAC地址和终端B的IP地址。终端B接收到终端A的ARP请求报文后，将终端A的IP地址和MAC地址记录在ARP缓冲区中，同时通过ARP响应报文向终端A发送自己的IP地址和MAC地址。终端A接收到终端B发送的ARP响应报文后，将终端B的IP地址和MAC地址记录在ARP缓冲区中。四、arparp需要携带以下其中一个参数。-a：显示本地ARP缓冲区内容。-d：删除本地ARP缓冲区内容。-s：在本地ARP缓冲区中建立IP地址与MAC地址之间的静态绑定关系。参数为-s的命令格式如下。

arp–sip地址mac地址四、arp四、arpARP欺骗攻击的目的是在终端的ARP缓冲区中建立错误的IP地址与MAC地址之间的动态绑定关系。因此，如果重要服务器的IP地址是相对固定的，终端最好在ARP缓冲区中建立服务器IP地址与服务器MAC地址之间的静态绑定关系。五、nslookupnslookup-qt=类型

目标域名

指定的DNS服务器的IP地址或域名类型有以下选项。A：解析结果是目标域名对应的主机IP地址。CNAME：解析结果是目标域名对应的别名。MX：解析结果是目标域名所在域的邮件服务器。NS：解析结果是负责目标域名所在域的域名服务器。五、nslookup五、nslookup五、nslookup由于用户解析域名时，可以将著名域名服务器指定为本地域名服务器，因此，可以通过比较解析结果来判断终端配置的本地域名服务器地址是否正确。六、route对于如图所示的网络结构，如果只为终端A设置默认网关地址，会降低网络的传输效率。六、route（1）显示路由项route