企业网络的构建技术13章

1、第13章 网 络 安 全随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有的连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络容易受到黑客、恶意软件等的种种攻击，网络信息安全成为一个令人头痛的问题。因此，排除自然和人为等诸多因素造成的网络脆弱性和潜在威胁，确保网络信息的保密性、完整性和可用性，就成为网络管理员、网络工程师要做的头等大事。13.1 安全威胁来源虽然有许许多多的因素都会对网络安全产生重大影响，但仔细分析后发现，其实所有的安全威胁大多来源于无意识的失误、恶意的攻击和软件漏洞和后门3个方面。1. 无意的失误由于无意的失误而给网络安全带来

2、的损害绝不仅仅是网络管理员，普通用户在许多时候往往才是网络安全的“杀手”。网络管理员的失误主要表现在对操作系统、应用软件或网络设备的配置不当而造成安全漏洞。如用户权限过大、服务器打开的端口太多、未及时删除已离职用户、未进行路由器IP安全设置等。网络用户甚至是低级用户或临时用户的失误，则往往是安全意识不强、口令选择不慎、将自己的账号随意转借他人，或者与别人共享资源等行为，而给网络安全带来了致命的威胁。2. 恶意的攻击当然，如果只有漏洞和失误，而没有人恶意地利用这些漏洞和失误，那么网络和数据同样是安全的。因此，网络所面临的最大威胁就是恶意攻击。恶意攻击可以分为以下两种：一种是主动攻击，它以各种方式

3、有选择地破坏信息的有效性和完整性，或者造成网络服务器瘫痪，停止提供各类服务。如UDP洪水、SYN洪水和电子邮件炸弹等，都是利用畸形的或过量的TCPIP包而将服务器摧垮。另一种是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取或破译等活动以获得重要机密信息。如特洛伊木马、缓冲区溢出等，都是通过一小段程序夺取服务器的控制权，实现对服务器的远程控制。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄露。3. 软件漏洞和后门绝大部分操作系统或应用软件都有安全漏洞和后门，而这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外，程序员为了方便自己而设置的软件“后门”，危害更大。虽然一般不为

4、外人所知，但一旦“后门”暴露，其后果可想而知。13.2 网络安全策略 网络安全策略主要包括两大部分，即访问控制策略和信息加密策略。访问控制策略是网络安全防范和保护的主要策略，也是维护网络系统安全、保护网络资源的重要手段，用以保证网络资源不被非法使用和非常访问。信息加密策略主要是一种补救手段，也就是说，即使信息在传输过程中被截获，也将由于不能解密而无法读取，从而保证数据的安全。虽然各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。13.2.1 Windows 系统的安全性 Windows Server 2003是一种相对安全的操作系统，利用Wind

5、ows Server 2003全部或部分安全特性的优点，可以明显地减小危险性。 1. 用户账户 保护计算机和计算机内存储数据的安全措施之一，就是指定拥有不同访问权限的用户账户，通过限制账户的权限的方式实现对计算机资源访问的控制。用户名和密码用于在登录Windows Server 2003时进行身份验证，登录的身份决定了该用户是否可以进入该计算机，以及可以在该计算机上做些什么。因此，对用户账户和管理员账户的严格审批、发放和控制，再辅之以严格的账户策略，是确保服务器安全的重要手段。(1) 匿名访问Internet Guest账户是在IIS安装过程中自动创建的。默认状态下，所有的IIS用户都使用该账

6、户实现对Web或FTP网站的匿名访问。即所有用户在通过匿名方式访问Web或FTP网站时，都被映射为Internet Guest账户，并拥有该账户所拥有的所有权限，和利用该账户从本地直接登录到服务器时一样。如果只允许用Internet Guest账户远程访问服务器，则远程用户不必提供自己的用户名和密码，但他们只能享有分配给Internet Guest账户的权限。这样做可以防止任何人以骗得或非法获得的密码来访问敏感信息。以上策略可以建立最为安全的系统。需要注意的是，由于Internet Guest账户添加在Guest用户组中，Guest组的设置同样适用于Internet Guess账户，应当重新查

7、看Guest组的设置，以确定它们是否适用于Internet Guest账户。(2) 验证方式 基本验证和Windows验证要求用户必须提供一个合法的Windows Server 2003用户名和密码才能访问服务器，否则将拒绝对服务器的访问。两者的区别在于，Windows验证将用户名和密码进行加密后才进行传输，从而保证了用户名和密码在Internet传输中的安全，保证用户名和密码不致在传输过程中被恶意用户截获，从而冒名顶替该用户登录服务器窃取敏感资料或对服务器进行破坏。基本验证方法则不经加密就将用户名和密码经由Internet进行传输，因此，用户名和密码在传输过程中极易被截获，从而对服务器及其中

8、存储的数据造成难以估量的损失。验证方法只是利用unencode对资源信息进行了编码，可以被任何访问网络的人轻易地解开，甚至对于那些只能访问传送该数据包的某一因特网网段的人来说也是如此。因此，微软公司只建议使用Windows Server 2003的质询应答(ChallengeResponse)这一密码验证方式。需要注意的是，基本验证方法在发送用户名和密码之前并不将它们加密。而只有通过加密，才能将原始信息混杂在一起，使得除合法接收人之外的使用者很难恢复原始信息。(3) 密码设置 非法访问系统的最简单方法莫过于使用窃取的或者很容易猜到的密码。因此，要确保所有系统密码，特别是那些具有管理权限的密码不

9、被猜破，还应该设置合适的账户管理策略来进一步保证系统的安全。可以通过User Manager工具来管理用户账户。 对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户在注册网络时，需输入用户名和口令，服务器将验证其合法性。对于用户名与口令，口令是问题的关键所在。据统计，大约80的安全隐患是由于口令设置不当引起的。因此，密码的设置无疑是十分讲求技巧的。众所周知，如今的一些黑客软件如Email Crk、天行刺客等都是挂上密码字典，然后开足马力一路穷举，因此，如若密码设置不当或太大众化、通俗化，被解破的可能性也就很大。(4) 账户管理策略 除了设置用户密码，还可以使用User Manag

10、er工具来管理用户账户其他方面。例如，可以用该工具设定一个用户在被系统拒绝之前，以及当密码账户过期时，允许多少次失败的登录尝试；通过设定密码过期日期，可以强迫用户定期更改密码；限制允许用户登录的时间等。 通过建立严格的账户管理策略并认真遵照执行，特别是对于那些有管理访问的账户，可以有效地挫败肆意和无意识的密码攻击。(5) 管理员组成员 尽量减少管理员组成员的数量，也是最大限度保证网络安全的重要措施。从某种意义上来讲，限制了管理员组的成员，也就限制了有密码选择的用户数目，从而减少易被识破的密码被作为系统密码的机会，避免使系统处于危险的境地。 另外，也可以重新命名默认的管理员账户，将默认的管理员账

11、户“Administrator”屏蔽起来，而启用其他的账户作为管理员账户，从而使得入侵者无法得知真正的管理员账户，更无从尝试并猜出该账户的密码。 除此之外，及时并且经常清理那些被废弃的账户(例如员工被辞退或自动离职)，也是保障网络安全的重要措施。2. NTFS权限控制 Windows 2000/2003所特有的NTFS文件系统，为数据文件提供了安全和访问控制，可限制特定用户和服务对某些文件夹、某些文件或某些属性的访问。通过访问控制列表(ACL，Access Control Lists)，使得NTFS文件系统在拥有了安全性的同时，更具有了相当程度的灵活性。(1) 权限控制 NTFS大大增强了系统

12、的安全性，因为用它可以控制哪些用户和用户组被许可访问哪些文件和文件夹，可以进行什么样的访问等。例如，可以规定某些用户对某个特定文件夹只能进行Read Only(只读)访问，而其他用户对同一个文件夹可以进行Read和Write(读或写)访问。利用NTFS也可以控制Internet Guest账户能否对某些特定文件或文件夹进行访问，或者是否需要经过身份验证的账户。(2) 目录级安全控制 网络管理员可以控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和目录有效，用户还可进一步指定对目录中子目录和文件的权限。对目录和文件的访问权限一般有8种：系统管理员权限(Supervisor)、

13、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)和存取控制权限(Access Control)。网络系统管理员应当为用户指定适当的访问权限，并通过访问权限控制用户对服务器的访问。8种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。(3) 属性安全控制 当用户被允许访问文件、目录和网络设备时，网络系统管理员还应当为这些文件、目录和设备指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安

14、全在权限安全的基础上提供了更进一步的安全性。网络上的资源都应预先标出一组安全属性。属性往往能控制以下几个方面的权限：向某个文件写数据、复制一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享和系统属性等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的删除、修改和读取等。 在设定了NTFS权限之后，就必须对Web服务器的验证机制进行配置，在授予用户对限制文件进行访问之前要接受验证。可以将服务器的验证特性设置为要求用合法的Windows 2000/2003账户用户名和密码登录。步骤 另外，还应该注意到Everyone这个用户组包括了所有的用户和用户组，也包括Interne

15、t Guest账户和Guest组。在默认状态下，Everyone组有对NTFS驱动器上所建立的文件的完全控制权。考虑到服务器安全，在设置Internet或Intranet服务器时，应删除Everyone组对全部资源的控制权限。如果需要，再给予相应的权限。此外，有关网络共享的所有不必要的权限都应该删掉。操作步骤如下。 步骤1) 在资源管理器中，用鼠标右击欲设置共享权限的文件夹，在显示的快捷菜单中选择“共享”命令，显示如图13-1所示的属性对话框。(2) 选择“共享该文件夹”。如果共享的是某个磁盘，则应先单击“新建共享”按钮，显示如图13-2所示的“新建共享”对话框。在“共享名”文本框中输入该磁盘

16、的共享名，而后单击“确定”按钮。(3) 单击“权限”按钮，显示如图13-3所示的对话框。(4) 默认状态下，所有用户都对该共享文件夹享有读取和写入的权限，并可完全控制该文件夹。若欲指定特定用户对该文件夹的访问权限，可先根据需要取消“Everyone”对该共享文件夹的某种或所有权限。(5) 单击“添加”按钮，显示如图13-4所示“选择用户或组”对话框。添加拥有对该文件夹享有访问权限的用户，并指定其访问权限。图13-1 设置磁盘的共享属性图13-2 配置共享名图13-3 设置共享权限 图13-4 “选择用户或组”对话框步骤 (6) 在名称列表中选中欲授予权限的用户组和用户名，然后单击“添加”按钮。

17、重复操作，可添加多个用户或用户组。单击“确定”按钮，关闭该对话框。 (7) 在名称列表中选中欲设置权限的用户或用户组，然后在下方的权限列表中指定赋予该用户或用户组的权限。重复操作，为名称列表中所有的用户和用户组分别设定访问权限。 (8) 单击“确定”按钮。 需要注意的是，如果NTFS的权限设置与IIS权限设置发生冲突，以最严格的设置为准。例如，NTFS的权限设置为只读，而IIS权限设置为完全控制，那么用户的访问权限将只能是“只读”。为了使服务器尽可能地安全，应该重新检查所有IIS文件夹的安全设置并进行适当的调整。3. Web访问权限 利用Web访问权限可以对用户如何进入Web站点以及如何与We

18、b站点交互进行控制，可以设定正在访问Web站点的用户是否可以查看某些特殊网页，是否可以上载信息，或者是否可以在站点上运行脚本文件。与NTFS权限不同的是，Web服务器权限应用于所有访问Web站点的用户。这一差别非常重要，因为NTFS权限只适用于使用Windows Server 2000/2003合法账户的某个特定用户或用户组。 例如，禁用一个特定文件夹的Web服务器读权限，就意味着所有用户都不能查看该文件，而无论这些用户账户和NTFS权限如何。同样，“允许读”权限将允许所有用户查看该文件，除非有NTFS的“拒绝访问”权限设置。 如果同时设置了Web服务器权限和NTFS权限，那么拒绝访问权限的优

19、先级将明显高于“允许访问”权限。4. 其他Windows Server 2003安全性措施可以通过限制网络适配卡所使用的协议数量来提高系统的安全性。减少系统上运行服务程序数目可以降低管理失误的概率。利用控制面板中的服务程序可以禁用那些Internet服务器所不需要的服务。1) 删除不需要的协议删除所有与Internet或Intranet服务无关的网络协议，通常情况下，只保留TCPIP即可。操作步骤如下。(1) 单击“开始”按钮，然后将鼠标指向“设置”，并选择“网络和拨号连接”命令，显示如图13-5所示“网络和拨号连接”窗口。(2) 右击“本地连接”图标，在显示的快捷菜单中选择“属性”命令，显示如图