第四部分网络应用与信息安全

第四部分

网络应用与信息安全第四部分网络应用与信息安全网络应用Windows中的组策略信息保密与安全虚拟专网VPN网络攻击与防范网关级防病毒企业级防火墙ISA漏洞扫描1.网络应用配置IP地址文件共享打印机共享网络打印机配置IP地址配置IP地址依次单击“开始”→“设置”→“控制面板”→“网络连接”打开TCP/IP属性：右击“本地连接”，选择“属性”，打开所示“本地连接属性”对话框。在“本地连接属性”对话框中选择“Internet协议（TCP/IP）”，点击“属性”按钮，打开“Internet协议（TCP/IP）属性”对话框文件共享网络中的每个用户都可以设置自己的共享资源，并可以访问网络中其他用户的共享资源。每个用户都可以设置并管理自己计算机上的共享资源，并可根据需要增加或删除共享打印机共享添加网络打印机添加网络打印机添加网络打印机第四部部分网网络络应用用与信信息安安全网络应应用Windows中的的组策策略信息保保密与与安全全虚拟专专网VPN网络攻攻击与与防范范网关级级防病病毒企业级级防火火墙ISA漏洞扫扫描2.Windows中的的组策策略什么是是组策策略组策略略的用用途组策略略的配配置什么么是是组组策策略略注册册表表是是Windows系系统统中中保保存存系系统统软软件件和和应应用用软软件件配配置置的的数数据据库库，，而而随随着着Windows功功能能越越来来越越丰丰富富，，注注册册表表里里的的配配置置项项目目也也越越来来越越多多，，很很多多配配置置都都可可以以自自定定义义设设置置，，但但这这些些配配置置分分布布在在注注册册表表的的各各个个角角落落，，如如果果是是手手工工配配置置，，可可以以想想像像是是多多么么困困难难和和烦烦杂杂而组组策策略略则则将将系系统统重重要要的的配配置置功功能能汇汇集集成成各各种种配配置置模模块块，，供供用用户户直直接接使使用用，，从从而而达达到到方方便便管管理理计计算算机机的的目目的的其实实简简单单地地说说，，组组策策略略设设置置就就是是在在修修改改注注册册表表中中的的配配置置。。当当然然，，组组策策略略使使用用了了更更完完善善的的管管理理组组织织方方法法，，可可以以对对各各种种对对象象中中的的设设置置进进行行管管理理和和配配置置，，远远比比手手工工修修改改注注册册表表方方便便、、灵灵活活，，功功能能也也更更加加强强大大组策略的的版本一种为Windows2000/XP/2003系统统默认安安装的““组策略略管理控控制台””，只要要点击““开始→→运行””命令，，输入““gpedit.msc”并并回车即即可打开开组策略略（注意意：Home版版无组策策略）一种就是是Windows98的““系统策策略编辑辑器”，，默认没没有安装装，只有有在Win98安装盘盘上的\tools\reskit\netadmin\poledit目目录下，，双击poledit.exe文件件才可以以直接运运行“系系统策略略编辑器器”第四部部分网网络络应用用与信信息安安全网络应应用Windows中的的组策策略信息保保密与与安全全虚拟专专网VPN网络攻攻击与与防范范网关级级防病病毒企业级级防火火墙ISA漏洞扫扫描3.信信息保保密与与安全全传统密密码学学：如如凯撒撒密码码现代密密码学学：加密方方式1）私私钥密密码：：DES、、IDEA2）公公钥密密码：：RSA、、DSA信息完完整性性保护护：MD5、SHA-1数字签签名网络安安全密码学学基本本知识识明文：：加密密前的的原始始信息息密文：：加密密后的的信息息加密：：将明明文进进行数数据变变换形形成密密文的的过程程解密：将密密文进行数数据变换恢恢复成明文文的过程密钥：控制制加密和解解密运算的的符号序列列密码系统要要求：使用用方便，而而且系统的的保密不依依赖于对加加密算法和和脱密算法法的保密，，而只依赖赖于密钥的的保密。因因此，当密密文和对应应的明文被被非法截取取后，仍不不容易确定定解密变换换。其次，，从截取的的密文中极极难确定其其对应的明明文凯撒密码凯撒密码是是每一字母母向前推移移K位例如，K=5便便有如下的的明文与密密文的对应应关系。明明文：：abcde密密文：FGHIJ若令26个个字母分别别对应于0～25，，如下：abc……xyz012……232425则凯撒密码码加密交换换为C=m+kmod26其中m是明明文，C为为对应的密密文序列。。k为加密密用的移位位数，也称称为密钥。。mod为为模。现代密码学学类似于凯撒撒密码这样样的早期密密码学术还还有很多，，我们称为为传统密码码学，其最最大的特点点就是加密密体制非常常简单，没没有将数学学真正应用用到密码学学中到了近现代代，对密码码的使用和和破解已经经非常频繁繁，甚至出出现了专门门的密码机机1942年年，美国从从破译日本本海军密报报中，获悉悉日军对中中途岛地区区的作战意意图和兵力力部署，从从而能以劣劣势兵力击击破日本海海军的主力力，扭转了了太平洋地地区的战局局，最终赢赢得了二次次世界大战战的胜利，，这也从反反面说明了了密码学在在社会发展展中正扮演演着越来越越重要的角角色网络领域的的密码学密码技术在在计算机网网络领域的的应用已经经相当广泛泛了，主主要体现在在以下四个个方面：数据保密身份认证信息完整性性保护数字签名和和抗抵赖数据据保保密密在数数据据的的传传输输过过程程中中，，为为了了保保证证数数据据的的隐隐秘秘性性，，加加密密是是非非常常必必要要的的，，目目前前的的加加密密技技术术按按使使用用的的密密钥钥体体制制不不同同可可以以分分为为：：私钥密码体制制：对称加密密公钥密码体制制：非对称加加密混合密码体制制私钥密码体制制私钥密码体制制又可以称为为对称加密体体制，是一一种使用比较较广泛的普通通加密体制该体制最大的的特点就是加加密和解密使使用相同的密密钥。密钥在在加密过程中中起到非常重重要的作用，，它就好比保保险柜的密码码，只要拥有有密码的人都都可以打开保保险柜。由于于使用的是相相同的密钥，，所以加密的的速度非常快快，实现比较较容易现在以私钥密密码体制为原原理的加密算算法有很多，，比较著名的的有：DES（数据加密密标准）、、IDEA（（国际数据加加密算法）DES加密算算法DataEncryptionStandard(数数据加密标准准)美国商务部标标准局为了能能在政府部门门进行信息处处理的同时保保护电子计算算机信息的安安全，自1971年开始始研究密码的的标准化，并并于1973年开始征集集密码方案IBM公司研研制并提出的的方案，1977年作为为DES公开开发表，成为为美国的标准准加密方式DES加密算算法随后既在国际际上广泛流传传开来，这个个算法因为包包含一些机密密设计元素，，相关的短密密钥长度以及及被怀疑内含含国家安全局局（NSA））的后门而在在开始是有争争议的DES现在已已经不视为一一种安全的加加密算法，因因为它使用的的56位秘钥钥过短穷举法几天就就可以解密以现代计算能能力，24小小时内即可能能被破解。也也有一些分析析报告提出了了该算法的理理论上的弱点点，虽然实际际情况未必出出现。该标准准在最近已经经被高级加密密标准（AES）所取代代国际数据加密密算法(IDEA)国际数据加密密算法(IDEA)是瑞瑞士的著名学学者在1990年正式公公布并在以后后，这种算法法是在DES算法的基础础上发展出来来的，类似于于三重DES。发展IDEA也是因因为感到DES具有密钥钥太短等缺点点，已经过时时。IDEA的密钥为128位，这这么长的密钥钥在今后若干干年内应该是是安全的类似于DES，IDEA算法也是一一种数据块加加密算法，它它设计了一系系列加密轮次次，每轮加密密都使用从完完整的加密密密钥中生成的的一个子密钥钥由于IDEA是在美国之之外提出并发发展起来的，，避开了美国国法律上对加加密技术的诸诸多限制，因因此，有关IDEA算法法和实现技术术的书籍都可可以自由出版版和交流，可可极大地促进进IDEA的的发展和完善善公钥密码体制制公钥密码体制制的基本原理理是在加密和和解密的过程程中使用不同同的密钥，加加密密钥（公公钥）可以由由解密密钥（（私钥）根据据算法得出，，算法是公开开的，但由加加密密钥根据据算法推知解解密密钥的计计算是不可行行的公钥密码体制制可看成银行行的储蓄账号号，任何人都都可以很公开开地往账号里里存钱，但不不可以随意从从账号里取钱钱与私钥密码体体制相比，公公钥密码体制制具有以下一一些优点：密钥分配安全全，可以公公开分配。例例如：某人可可以将自己的的公钥公布在在网上，方便便其他人使用用进行加密。。密钥数量明显显要少于私钥钥密码体制，，大家可以共共享同一个公公钥可以用来签名名和抗抵赖。。采用公钥密码码体制的算法法有：RSA、DSA等等RSA加密算算法RSA加密算算法是一种非非对称加密演演算法，第一一个能同时用用于加密和数数字签名的算算法，也易于于理解和操作作在公钥加密标标准和电子商商业中RSA被广泛使用用。RSA是是1977年年由：罗纳德·李维维斯特（RonRivest）阿迪·萨莫尔尔（AdiShamir）伦纳德·阿德德曼（LeonardAdleman）一起提出的，，当时他们三三人都在麻省省理工学院工工作，RSA就是他们三三人姓氏开头头字母拼在一一起组成的信息完整性保保护在数据传输过过程当中，怎怎样保证不被被篡改，是至至关重要的典型的的散列列函数数有：：MD5、、SHA-1等等MD5MD5(Message-DigestAlgorithm5信信息-摘要要算法法5)，，用于于确保保信息息传输输完整整一致致，是是计算算机广广泛使使用的的哈希希算法法之一一将数据据（如如汉字字）运运算为为另一一固定定长度度值是是杂凑凑算法法的基基础原原理，，MD5的的前身身有MD2、MD3和MD4。MD5的破破解2004年年8月月17日的的美国国加州州国际际密码码学会会议上上，来来自中中国山山东大大学的的王小小云教教授做做了破破译MD5、HAVAL-128、MD4和和RIPEMD算法法的报报告，，公布布了MD系系列算算法的的破解解结果果，宣宣告了了固若若金汤汤的世世界通通行密密码标标准MD5的堡堡垒轰轰然倒倒塌，，引发发了密密码学学界的的轩然然大波波。令世界顶尖尖密码学家家想象不到到的是，破破解MD5之后，2005年年2月，王王小云教授授又破解了了另一国际际密码SHA-1，，因为SHA－1在在美国等国国际社会有有更加广泛泛的应用，，密码被破破的消息一一出，在国国际社会的的反响可谓谓石破天惊惊。换句话话说，王小小云的研究究成果表明明了从理论论上讲电子子签名可以以伪造，必必须及时添添加限制条条件，或者者重新选用用更为安全全的密码标标准，以保保证电子商商务的安全全。身份认证KerberosKerberos是是一种计算算机网络认认证协议，，它允许某某实体在非非安全网络络环境下通通信，向另另一个实体体以一种安安全的方式式证明自己己的身份。。它也指由由麻省理工工实现此协协议，并发发布的一套套免费软件件它的设计主主要针对客客户-服务务器模型，，并提供了了一系列交交互认证-用户和服服务器都能能验证对方方的身份。。Kerberos协议可以以保护网络络实体免受受窃听和重重复攻击Kerberos协协议基于对对称密码学学，并需要要一个值得得信赖的第第三方。Kerberos协协议的扩展展可以为认认证的某些些阶段提供供公钥密码码学支持数字签名DigitalSignature数字签名是是一种类似似写在纸上上的普通的的物理签名名，但是使使用了公钥钥加密领域域的技术实实现，用于于鉴别数字字信息的方方法。一套套数字签名名通常定义义两种互补补的运算，，一个用于于签名，另另一个用于于验证数字签名DigitalSignature数字签名DigitalSignatureIE中的数数字签名数字签名DigitalSignature数字签名技技术是不对对称加密算算法的典型型应用，其其应用过程程是，数据据源发送方方使用自己己的私钥对对数据校验验和或其他他与数据内内容有关的的变量进行行加密处理理，完成对对数据的合合法“签名名”，数据据接收方则则利用对方方的公钥来来解读收到到的“数字字签名”，，并将解读读结果用于于对数据完完整性的检检验，以确确认签名的的合法性数字签名技技术是在网网络系统虚虚拟环境中中确认身份份的重要技技术，完全全可以代替替现实过程程中的“亲亲笔签字””，在技术术和法律上上有保证第四部分网网络应用用与信息安安全网络应用Windows中的的组策略信息保密与与安全虚拟专网VPN网络攻击与与防范网关级防病病毒企业级防火火墙ISA漏洞扫描4.虚拟专专网VPNVPN(VirtualPrivateNetwork)即：虚拟拟专用网络络，顾名思思义，虚拟拟专网可以以把它理解解成是虚拟拟出来的企企业内部专专线它可以通过过特殊的加加密的通讯讯协议在连连接在Internet上的的位于不同同地方的两两个或多个个企业内部部网之间建建立一条专专有的通讯讯线路，就就好比是架架设了一条条专线一样样，但是它它并不需要要真正的去去铺设光缆缆之类的物物理线路这就好比比去电信信局申请请专线，，但是不不用给铺铺设线路路的费用用，也不不用购买买路由器器等硬件件设备。。VPN技术原原是路由由器具有有的重要要技术之之一，目目前在交交换机，，防火墙墙设备或或Windows2000等软件件里也都都支持VPN功功能，一一句话，，VPN的核心心就是在在利用公公共网络络建立虚虚拟私有有网。虚拟专网网VPN虚拟专网网（VPN）被被定义为为通过一一个公用用网络（（通常是是因特网网）建立立一个临临时的、、安全的的连接，，是一条条穿过混混乱的公公用网络络的安全全、稳定定的隧道道虚拟专网网VPN协议IPSec:IPsec(缩写写IPSecurity)是保护护IP协协议安全全通信的的标准，，它主要要对IP协议分分组进行行加PPTP:PointtoPointTunnelingProtocol--点到点点隧道协议L2F:Layer2Forwarding第二二层转发协议议L2TP:Layer2TunnelingProtocol第二层层隧道协议GRE：VPN的第三层层隧道协议第四部分网网络应用与信信息安全网络应用Windows中的组策策略信息保密与安安全虚拟专网VPN网络攻击与防防范网关级防病毒毒企业级防火墙墙ISA漏洞扫描5.网络攻击击和防范网络攻击步骤骤网络攻击种类类常见黑客工具具基本防范方法法网络攻击步骤骤网络攻击种类类口令攻击特洛伊木马“网络钓鱼””攻击电子邮件攻击击中间人攻击网络监听利用黑客工具具攻击利用安全漏洞洞攻击端口扫描攻击击常见黑客工具具嗅探监听：如如SnifferPro、Ethereal漏洞扫描：如如X-scan、流光密码破解：如如LC4和和PasswareKit拒绝服务：Xdos是是最强的DDos攻击击工具远程控制：：如灰鸽子子基本防范方方法提高安全意意识：关闭闭不必要的的服务、端端口使用防毒、、防黑等防防火墙软件件设置代理服服务器，隐隐藏自己的的IP地地址其它防范方方法：及时时打补丁、、升级杀毒毒软件、做做好备份第四部分网网络应用用与信息安安全网络应用Windows中的的组策略信息保密与与安全虚拟专网VPN网络络攻攻击击与与防防范范网关关级级防防病病毒毒企业级级防火火墙ISA漏洞扫扫描6.网网关级级防病病毒早期的的防病病毒工工作很很多分分摊到到了网网络中中的每每台主主机；；每台台主机机都装装上了了防病病毒软软件和和个人人软件件防火火墙，，表面面上看看来防防护很很好，，但实实际上上这样样会带带来一一个很很严重重的问问题如果网网络中中的某某台主主机因因为病病毒库库未及及时更更新或或者其其它误误操作作而感感染了了病毒毒，可可能会会在瞬瞬间导导致网网络出出现不不正常常的状状况，，甚至至会严严重影影响到到网络络的正正常使使用，，这样样的后后果对对于现现在的的企业业来讲讲是非非常可可怕的的网关级级防病病毒网关级级防病病毒软软件正正是为为解决决这样样的问问题而而产生生的考虑到到企业业网络络环境境的复复杂性性，一一个网网关级级防病病毒软软件不不仅要要能保保护文文件服服务，，同时时也要要对邮邮件服服务器器、员员工用用PC等等所所有计计算机机设备备进行行保护护能从邮邮件、、FTP文文件件、网网页、、软盘盘、光光盘等等所有有可能能带来来病毒毒的信信息源源进行行监控控和病病毒拦拦截企业版版杀毒毒软件件企业版版杀毒毒软件件是各各杀毒毒软件件厂商商针对对大型型局域域网推推出的的反病病毒解解决方方案，，它分分为服服务器器端和和客户户端两两个部部分【服务务器】】端安安装在在局域域网服服务器器上，，负责责到外外网服服务器器下载载最新新病毒毒库和和程序序版本本，并并分发发到网网内各各客户户端【客户户端】】是一一个具具有完完整功功能的的可供供免费费安装装的杀杀毒软软件，，和普普通单单机版版杀毒毒软件件不同同之处处在于于它不不是到到外网网服务务器下下载更更新病病毒库库，而而是到到局域域网内内服务务器端端下载载更新新，所所以不不用连连接外外网就就可升升级病病毒库库，并并且下下载速速度更更快企业版杀杀毒软件件瑞星企业业版杀毒毒软件诺顿企业业版防病病毒软件件江民杀毒毒软件KV网络络版卡巴斯基基开放空空间安全全解决方方案趋势企业业版杀毒毒软件第四部分分网络络应用与与信息安安全网络应用用Windows中的组组策略信息保密密与安全全虚拟专网网VPN网络攻击击与防范范网关级防防病毒企业级防防火墙ISA漏洞扫描描7.企业业级防火火墙防火墙防火墙第四部分分网络络应用与与信息安安全网络应用Windows中的组策策略信息保密与安安全虚拟专网VPN网络攻击与防防范网关级防病毒毒企业级防火墙墙ISA漏洞扫描8.ISA对企业来讲，，我们需要拥拥有多层体系系结构和高级级策略引擎的的工具来满足足需要而MicrosoftInternetSecurityandAcceleration(ISA)Server2006正是是这样一款为为高性能构建建的软件，它它主要功能有有企业级防火火墙、安全服服务器发布、、虚拟专网和和网页缓存等等，给我们所所需要的安全全级别和资源源平衡提供了了精确的控制制ISAServer2006一般般安装在局局域网和Internet之之间，它通通过策略进进行控制，，有标准版版和企业版版之分，标标准版是单单纯地通过过防火墙原原则内的访访问规则来来筛选进出出ISAServer的的流量。企企业版除了了包含标准准版的所有有功能之外外还具备阵阵