计算机网络安全(笔记).doc

1 网络安全基础知识1.1网络安全简介1.1.1物理安全1、防盗；2、防火；3、防静电；4、防雷击；5、防电磁泄漏1.1.2逻辑安全计算机的逻辑安全是计算机安全的最基本要求，可以通过设置口令字、文件授权、账号存取等方法来实现。1.1.3操作系统安全1.1.4联网安全联网的安全性是进行网络通信的最基本保证。1.2网络安全面临的威胁人为的恶意攻击，是计算机网络面临的最大威胁。1.2.1物理威胁1、偷窃；2、废物搜寻；3、间谍行为；4、线缆连接；5、身份识别错误1.2.2系统漏洞造成的威胁1、乘虚而入；2、不安全服务；3、配置和初始化；1.2.3身份鉴别威胁1、口令圈套；2、破解口令；3、算法考虑不周；4、编辑口令1.2.4线缆连接威胁1、窃听；2、拨号进入；3、冒名顶替1.2.5有害程序1、病毒；2、代码炸弹；3、特洛伊木马；4、更新或下载；代码炸弹，是一种具有杀伤力的代码，其原理是一旦到达设定的日期或钟点，或当机器中发生了某种操作，代码炸弹就被触发并开始产生破坏性操作。代码炸弹属于有害程序威胁。特洛伊木马是包括病毒、代码炸弹、蠕虫等诸多恶意代码程序的总称。这类程序一旦被安装到机器上，便可按编制者的意图行事。1.3网络出现安全威胁的原因1.3.1薄弱的认证环节1.3.2系统的易被监视性1.3.3易欺骗性1.3.4有缺陷的局域网服务和相互信任的主机1.3.5复杂的设置和控制1.3.6无法估计主机的安全性1.4网络安全机制1.4.1加密机制1.4.2访问控制机制访问控制可以防止未经授权的用户非法使用系统资源。1.4.3数据完整性机制1.4.4数字签名机制数字签名机制主要解决以下安全问题：（1）、否认；（2）、伪造；（3）、冒充；（4）、篡改1.4.5交换鉴别机制用于交换鉴别的技术有以下两种：（1）、口令；（2）、密码技术1.4.6公证机制1.4.7流量填充机制1.4.8路由控制机制1.5小结2 物理和环境安全2.1物理与环境安全的重要性2.2静电的危害与防范2.2.1静电对计算机的危害2.2.2静电的防范措施（1）、应加强操作者自身预防静电意识；（2）、机房装修时要建立接地系统和采取防静电地板；（3）、计算机安装时主机箱要有导线与接地系统相接；（4）、计算机维修要注意3个方面的防护：维修工具要接地放电，不要直接触碰各类元器件；释放身体携带的静电。2.3雷击的危害与防范2.3.1雷击的危害2.3.2雷击的防范措施2.4地震、火灾和水患2.4.1地震的危害2.4.2火灾及其防范1、隔离；2、火灾报警系统；3、灭火设施；4、管理措施2.4.3水患的危害及其防范2.5鼠类的危害2.5.1鼠类对网络的危害2.5.2网络设备防鼠的措施2.6对光缆施工的安全要求1、施工准备；2、安装注意事项；3、施工记录与文件保存2.7小结3 操作系统安全3.1安全等级标准3.1.1美国的可信计算机系统评估准则3.1.2中国国家标准计算机信息安全保护等级划分准则3.2漏洞和后门3.2.1漏洞的概念3.2.2漏洞的类型1、允许拒绝服务的漏洞“拒绝服务”是一种常见的恶作剧式的攻击方式，它使服务器忙于处理一些乱七八糟的任务，消耗大量的处理时间，以至于服务器无暇顾及用户的请求。允许拒绝服务的漏洞则可能导致拒绝服务发生。拒绝服务是网络攻击的一种类型。常见的一种危险。该漏洞的等级：属于C类，不太重要的漏洞。该类漏洞存在的原因：这些漏洞存在于操作系统网络传送本身。该类漏洞弥补的方法：当存在这种漏洞时，必须通过软件开发者或销售商的弥补予以纠正。2、允许有限权限的本地用户未经授权提高其权限的漏洞属于B类该类漏洞存在的原因：由应用程序中的一些缺陷引起。补救的方法：系统管理员通过运行登陆工具检查出入侵者。3、允许外来团体（在远程主机上）未经授权访问网络的漏洞属于A类存在的原因：由于较差的系统管理或设置有误造成的。补救的方法：建议删掉这些脚本。3.2.3漏洞对网络安全的影响1、漏洞影响Internet的可靠性和可用性Internet的脆弱性也是一种漏洞。Internet是逐步发展和演变而来的，其可靠性和可用性存在很多弱点。随着经济和普通活动对网络依赖程度的加深，网络的故障和瘫痪将会给国家、组织和企业造成巨大的损失。2、漏洞导致Internet上黑客入侵和计算机犯罪显然黑客入侵和计算机犯罪给Internet的安全造成了严重的威胁。3、漏洞致使Internet遭受网络病毒和其他软件的攻击病毒的机理和变种不断演变，为检测和消除带来了更大的难度，成为计算机和网络发展的一大公害。它破坏计算机的正常工作以及信息的正常存储。严重时，可以使计算机系统陷于瘫痪。3.2.4漏洞对网络安全的影响漏洞与后门是不同的，漏洞是难以预知的，后门则是人为故意设置的。3.3Windows NT系统安全3.4UNIX系统安全3.4.1UNIX系统的安全等级3.4.2UNIX系统的安全性1、控制台安全；2、口令安全；3、网络文件系统（1）用户本人；（2）用户所有组的用户；（3）系统中除上面两种用户外的其他用户4、FTP安全 FTP是文件传输协议3.5 Windows 2000的安全3.6Windows XP的安全3.6.1Windows XP的安全性1、完善的用户管理功能；2、透明的软件限制策略；3、支持NTFS文件系统以及加密文件系统EFS4、安全的网络访问特性（1）、补丁自动更新，为用户“减负”；（2）、系统自带Internet连接防火墙；（3）、关闭“后门”3.6.2Windows XP的安全策略1、常规的安全防护；2、禁止远程协助，屏蔽闲置的端口；3、禁止终端服务远程控制；4 网络通信安全4.1 网络通信的安全性网络通信安全的内容可以概括为以下几个方面：（1）、保密性。保密性是指防止静态信息被非授权访问和防止动态信息被截取解密。（2）、完整性。同保密性不同，完整性要求在存储或传输时信息的内容和顺序都不被伪造、乱序、重置、插入和修改。（3）、可靠性。可靠性是指信息的可信度，包括信息的完整性、准确性和发送人的身份认证等方面。（4）、实用性。实用性即信息的加密密钥不可丢失，丢失了密钥的信息也就丢失了信息的实用性。（5）、可用性。可用性是指主机存放静态信息的可用性和可操作性。病毒常常破坏信息的可用性。（6）、占用性。占用性是指存储信息的主机、磁盘等信息载体被盗用，导致对信息占用权的丧失。4.1.1线路安全4.1.2不同层的安全1、Internet层的安全性2、传输层的安全性传输层安全机制的主要优点是提供基于进程对进程的安全服务。3、应用层的安全性4.2 网络通信存在的安全威胁4.2.1传输过程中的威胁1、被截获；2、窃听；3、篡改；4、伪造； 4种攻击类型4.2.2TCP/IP协议的脆弱性1、最简单的“黑客入侵”TCP/IP顺序号预测入侵方式，将使用网络给计算机附址的方式和包裹交换的顺序来企图访问网络。2、TCP协议劫持入侵也许对连接于因特网服务器的最大威胁是TCP劫持入侵（即主动嗅探）。3、嗅探入侵被动嗅探入侵是一个黑客实施一次实际劫持或IP模仿入侵的第一步。4、TCP ACK风暴4.3 调制解调器的安全4.3.1拨号调制解调器访问安全4.3.2RAS的安全性概述在windows NT操作系统域中，主域控制器是通过RAS服务器实现其安全性的。RAS服务器只允许合法的域用户访问，并且对已认证和注册的信息加密。RAS服务器的远程用户使用相同的账号数据库。对于非授权用户来说，RAS服务器不仅能够拒绝访问，同时还能够及时了解它的目的和企图，并对该事件进行记录等。RAS可以提供回呼安全机制配置服务器使之支持DRAS连接器，远程动态控制，包括5个基本内容：（1）、配置客户端；（2）、配置RAS服务器；（3）、配置TCP/IP地址池；（4）、配置名称解析；（5）、添加和配置DRAS连接器。名称解析式连接器操作性的基础。要使HOSTS功能正常，保存它时应不带文件扩展名。A类地址，默认网络掩码为B类地址，默认网络掩码为C类地址，默认网络掩码为1、IP地址盗用方法分析静态修改IP地址成对修改IP-MAC地址动态修改IP地址2、防范技术研究针对IP盗用问题，网络专家采用了各种防范技术。（1）、交换机控制。解决IP地址的最彻底的方法是使用交换机进行控制。（2）、路由器隔离。路由器隔离技术能成对修改IP-MAC地址，对这样的IP地址盗用它就无能为力了。（3）、防火墙与代理服务器。密封保密负载（ESP）隧道模式的ESP用来给整个IP分组加密。保证网络安全准则1、 防止特洛伊木马安全准则2、 定期升级系统3、 安装防火墙4、 禁止文件共享5 Web安全5.1 Web技术简介5.1.2Web浏览器Web浏览器用于阅览Web信息的客户端的应用软件。5.1.3HTTP协议HTTP是WWW浏览器和WWW服务器之间的应用层通信协议。5.1.5CGI公共网关接口CGI标准接口的功能就是在超文本文档与服务器应用程序之间传递信息。5.2 Web的安全需求5.2.1Web的优点与缺点Web的精华是交互性，这也正是它的致命弱点。5.2.2Web安全风险与体系结构最常见也是最有效的保护是使用防火墙来保护Web站点，防止入侵者的袭击。5.3 Web服务器的安全策略5.3.2定制Web服务器的安全策略和安全机制安全策略是由个人或组织针对安全而制定的一整套规则和决策。安全机制是实现安全策略的手段或技术。5.4 Web浏览器安全策略（1）、IP地址和缓冲窥探。（2）、Cookie。Cookie是一个保存在客户机中的简单的文本文件，这个文件与特定的Web文档关联在一起，用户浏览一页Web页时可以存储有关用户的信息。6 数据安全6.1 数据加密6.1.1数据加密的基本概念加密和解密过程都是通过特定的密码算法来实现的，这些算法称为密码体制。数据加密的作用：（1）、保密性；（2）、认证；（3）、完整性；（4）、不可抵赖性6.1.2传统数据加密技术传统加密技术从本质上来说都是使用代替密码和置换密码进行加密的。置换密码，不隐藏原明文中的字符，它所做的只是按照一定的密钥将明文中的字符顺序打乱，从而达到保密的效果。一次一密是唯一能够提供完全保密性的系统。6.1.3对称加密技术和公钥加密技术1、 对称加密技术在对称加密技术中，加密和解密过程采用一把相同的密钥，通信时双方都必须具备这把密钥，并保证密钥不被泄露。通信双方采用对称加密技术进行通信时，必须先约定一个密钥，这种约定密钥的过程称为“分发密钥”。有了密钥后，发送方使用这一密钥，并采用合适的加密算法将所要发送的明文转变为密文。密文到达接收方后，接收方用解密算法，并把密钥作为算法的一个运算因子，将密文转变为原来的明文。加密方法的安全性依赖于密钥的秘密性。对称加密系统最大的问题是密钥的分发和管理非常复杂、代价高昂。2、 公钥的加密技术RSA算法是迄今为止理论上最成功的公钥密码体制使用公钥密码体制对数据进行加密解密时使用一对密码，其中一个用于加密，而另外一个用于解密，这两个密码分别称为加密密钥和解密密钥，也称为公钥和私钥。加密密钥可以向外界公开，而解密密钥由自己保管，必须严格保密。以Alice和Bob之间的数据通信为例，当Alice要发送数据给Bob的过程如下：（1）、Alice和Bob选用一个公用密码系统；（2）、Bob将他的公钥传送给Alice；（3）、Alice用Bob的公钥加密她的消息，然后传送给Bob；（4）、Bob用他的私钥解密Alice的消息。优点：（1）、公钥算法的密钥分配和管理很简单；（2）、公钥加密系统还能够很容易地实现数字签名；（3）、安全性更高；6.1.4对称加密技术-DES算法对称密钥密码体制中最著名的算法是DES1、DES算法简介DES密文分组长度也是64位，使用的密钥长度为64位，共8个字节。6.1.5公钥加密技术-RSA算法RSA算法主要用于数据加密和数字签名，而数字签名可以确认信息的真实性和来源的可靠性。6.2 数据压缩数据压缩通过减少计算机中所存储数据或计算机之间通信数据的冗余度，达到增大数据密度，较少占用空间的目的。常用工具：winrar、winzip6.3 数据备份数据备份的种类：完全备份、增量备份和系统备份。（1）、完全备份是指将指定目录下的所有数据都备份在磁盘或磁带中。（2）、增量备份是指如果数据有变动或数据变动达到指定的阀值时才对数据进行备份。（3）、系统备份是指对整个系统进行的备份。数据备份计划：第一步，确定数据将受到的安全威胁；第二步，确定敏感数据；第三步，对将要进行备份的数据进行评估；第四步，确定备份所采取的方式及工具；第五步，配备相应的硬件设备，建立备份制度，实施备份工作。6.3.3磁盘复制工具GhostGhost是著名的硬盘复制备份工具，因为它可以将一个硬盘中的数据完全相同地复制到另一个硬盘中。7 病毒7.1 计算机病毒简介7.1.1病毒的概念7.1.2病毒的发展史7.1.3 病毒的特点1、传染性；2、破坏性；3、隐蔽性；4、潜伏性；5、不可预见性计算机病毒发作的触发条件主要有3种：（1）、利用系统时钟提供的时间作为触发器；（2）、利用病毒体自带的计数器作为触发器；（3）、利用计算机内执行的某些特定操作作为触发器；7.1.4 病毒的分类从传染方式划分4类：系统引导病毒、文件型病毒、复合型病毒和宏病毒。1、 系统引导病毒引导型病毒是一种在ROW BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。2、 文件型病毒文件型病毒是指感染文件、并能通过被感染的文件进行传染扩散的计算机病毒。3、 复合型病毒4、 宏病毒宏病毒一般是指用VB书写的病毒程序，是一种寄存在文档或模板的宏中的计算机病毒。7.1.5 病毒的结构计算机病毒一般由引导部分、传染部分、表现部分组成。7.1.6 病毒的识别与防治7.2 网络病毒及其防治7.2.1网络病毒的特点1、传染方式多；2、传播速度快；3、清除难度大；4、扩散面广；5、破坏性强7.2.2网络病毒的传播7.2.3网络病毒的防治7.2.4网络反病毒技术的特点7.2.5病毒防火墙的反病毒特点病毒防火墙最重要的特性是“实时性”7.3 典型病毒介绍7.3.1宏病毒宏病毒，是一种寄存在文档或模板的宏中的计算机病毒。Word宏病毒有如下特点：（1）、以数据文件方式传播，隐蔽性好，传播速度快，难于杀除；（2）、制作宏病毒以及在原型病毒上变种非常方便；（3）、破坏可能性极大；（4）、宏病毒的兼容性不高。7.3.2电子邮件病毒传播途径主要是通过电子邮件，所以才被称为“邮件病毒”。7.3.3几个病毒实例CIH病毒每月26日都会爆发；“爱虫”病毒是一种蠕虫病毒，它是通过Microsoft Outlook电子邮件系统传播的。8 黑客攻击与防范8.1 黑客与入侵者8.1.1黑客与入侵者8.1.2黑客攻击的目的1、非法获取目标系统的访问权限网络监听就是黑客窃取用户口令的常用方式2、窃取信息这是黑客进行攻击最直接、最明显的目的3、篡改数据4、利用有关资源8.1.3黑客攻击的三个阶段工作流程是：收集情报，远程攻击，远程登录，取得普通用户权限，进一步取得超级用户权限，设置后门，清除日志1、 确定攻击的目标攻击者在进行一次完整的攻击之前首先确定攻击要达到的目标2、 收集与攻击目标相关的信息，发现目标系统的安全漏洞3、 攻击的实施阶段大多数攻击成功的范例还是利用了系统软件本身的漏洞；其中利用缓冲区溢出进行的攻击最为普通。一般黑客为了下次再进入系统时方便一点，黑客常常会设置后门。8.1.4黑客攻击手段1、网络监听网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。2、端口扫描3、利用系统的漏洞4、获取口令主要3种：一是默认的登录界面攻击法；二是通过网络监听非法得到用户口令；三是利用一些专门软件强行破解用户口令。5、特洛伊木马术6、电子邮件攻击CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目标邮箱空间被占用完而无法使用。电子邮件攻击主要表现为两种方式：1、邮件炸弹；2、电子邮件欺骗。电子邮件欺骗，攻击者佯称自己为系统管理员，给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木马程序。8.2 黑客攻击常用工具8.2.1网络监听网卡一般有4种接收模式：（1）、广播模式；（2）、组播模式；（3）、正常模式；（4）、混杂模式一个监听要完成的事情主要有三件：（1）、把网卡置于混杂模式；（2）、捕获数据包；（3）、分析数据包；如何防止被监听：（1）、追踪扫描进程；（2）、合理地划分网段；（3）、通信数据加密；（4）、查找监听主机；（5）、Flood测试；8.2.2扫描器1、扫描器简介扫描器是自动检测远程或本地主机安全性漏洞的程序包，黑客的基本武器。扫描器可分为端口扫描器、漏洞扫描器和解析扫描器等。2、扫描器工作原理ICMP ping是最简单的扫描手段；端口扫描是最常见的网络扫描形式；端口扫描大致包括TCP端口扫描、UDP端口扫描、FTP代理扫描和认证扫描等。TCP connect（）扫描，这是最基本的TCP扫描方式。TCP ACK扫描，这项高级的扫描方法通常用来穿过防火墙的规则集。如何防止扫描攻击：（1）、不要打开任何多余的端口；（2）、终止不需要的服务；（3）、应用所有最新的系统修补程序；（4）、采用严格的防火墙规则；8.3 黑客攻击常见的形式8.3.2拒绝服务1、邮件炸弹邮件炸弹是一种最简单的DoS攻击。2、FloodFlood是DoS攻击的一种方法，具有高带宽的计算机可以通过大量发送TCP、UDP、ICMP echo request的报文，将低带宽的计算机“淹没”。4、 DDos分布式拒绝服务，它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布式的、协作的大规模攻击方式，主要瞄准比较大的站点，利用一批受控制的机器向一台机器发起攻击，令人难以防备，因此具有较大的破坏性。5、 SmurfSmurf是一种简单而有效的DoS攻击。8.3.3特洛伊木马木马的分类：（1）、远程控制型木马；现在最流行的木马（2）、发送密码型木马；（3）、破坏型木马；（4）、FTP型木马；木马的传播方式：（1）、通过E-mail（2）、通过软件下载；（3）、通过交互脚本；（4）、通过系统漏洞；木马使用的伪装方法：（1）、修改图标；（2）、出错显示；（3）、捆绑文件；（4）、自我销毁；8.4 黑客攻击的防范8.4.1发现黑客判断是否有黑客入侵：1、 利用扫描痕迹判断；2、 利用系统的异常现象判断；3、 利用端口知识分析；4、 利用日志文件；8.5 网络入侵检测模型入侵检测技术是主动保护自己免受攻击的一种网络安全技术。基于主机的入侵检测系统数据源为系统的审计日志；基于网络的入侵检测系统数据源为网络上的信息流；根据检测方式入侵检测系统可分为两类：异常检测和误用检测。9 防火墙技术9.1 防火墙简介9.1.1防火墙的概念所谓“防火墙”，是指一种内部网和公众访问网分开的方法，它实际上是一种隔离技术。9.1.2防火墙的功能特点1、防火墙是网络安全的屏障；2、存取控制；3、控制对特殊站点的访问；4、集中化的安全管理；5、对网络访问进行记录和统计；6、防止内部信息的外泄；9.1.3防火墙的安全设计IP层的安全包括两个功能：认证和保密9.2防火墙的类型9.2.1包过滤防火墙包过滤防火墙是最简单的防火墙包过滤防火墙的优点：（1）、价格较低；（2）、数据包过滤对用户透明；（3）、对网络性能的影响很小；（4）、过滤路由器速度快、效率高；9.2.2代理服务器防火墙代理服务器通常也称作应用级防火墙。代理服务器技术是防火墙技术中最受推崇的一种安全技术措施，它可以将被保护的网络内部结构屏蔽起来，增强网络的安全性能，同时可以用于实施较强的数据流监控、过滤、记录和报告等功能。9.2.3状态监视器防火墙状态监视器