第11章《局域網組建與管理》電子教案

網絡安全學習目標理解網絡安全的概念及目標理解防火墻的概念、功能及其類型理解IPSec的工作原理及策略理解VPN的概念、功能和特點，了解VPN的關鍵技術及實現方式了解網絡存在的漏洞、常受的攻擊以及保證網絡安全的主要技術了解病毒及其防治措施以及如何選擇網絡防病毒系統掌握IPSec策略的配置及掌握VPN網絡的組建方法11.1網絡安全概述11.1.1網絡安全威脅類型11.1.2網絡安全漏洞11.1.3網絡攻擊11.1.4基本安全技術網絡安全本質上就是網絡上的信息安全，指網絡系統的硬件、軟件及其系統中的數據受到保護，不會由于偶然或者惡意的原因而遭到破壞、更改、泄露，系統能連續、可靠和正常地運行，網絡服務不中斷。網絡安全的基本目標是實現信息的機密性、完整性、可用性和合法性。從廣義上講，凡是涉及到網絡上信息的機密性、完整性、可用性和合法性的相關技術和理論都是網絡安全所要研究的領域。如何更加有效地保護重要的信息數據和提高計算機網絡系統的安全性已經成為所有計算機網絡應用必須考慮和解決的一個重要問題。11.1網絡安全概述信息泄露或者丟失破壞數據完整性拒絕服務攻擊非授權訪問利用網絡傳播病毒11.1.1網絡安全威脅類型一個較為通俗的網絡安全漏洞定義可描述性為：存在于計算機網絡系統中的、可能對系統中的組成和數據造成損害的一切因素。11.1.2網絡安全漏洞拒絕服務攻擊(DenialofService，DoS)原理

基本原理：借助于網絡系統或者網絡協議的缺陷和配置漏洞進行網絡攻擊，使網絡擁塞、系統資源耗盡或者系統應用死鎖，妨礙目標主機和網絡系統對正常用戶服務請求的及時響應，造成服務的性能受損甚至導致服務中斷。常見攻擊方法：SYNFlood攻擊、Smurf、UDP洪水、Land攻擊、死亡之Ping和電子郵件炸彈等。防護措施：設置防火墻，關閉外部路由器和防火墻的廣播地址，利用防火墻過濾掉UDP應答消息和丟棄ICMP包，盡量關閉不必要的TCP/IP服務。11.1.2網絡安全漏洞緩沖區溢出攻擊原理

基本原理：向緩沖區中寫入超長的、預設的內容，導致緩沖區溢出，覆蓋其它正常的程序或者數據，然后讓計算機轉而運行這行預設的程序，達到執行非法操作、實現攻擊的目的。防護措施：程序開發者在開發程序時仔細檢查溢出情況，不允許數據溢出緩沖區；網絡管理員必須做到及時發現漏洞，并對系統進行補丁修補；條件允許的情況下，還應該定期對系統進行升級。11.1.2網絡安全漏洞欺騙類攻擊原理

基本原理：主要利用TCP/IP協議自身的缺陷發動攻擊。分類：根據假冒方式的不同，可分為IP欺騙、DNS欺騙、電子郵件欺騙和Web欺騙等。防護措施：充分了解主機的系統狀況，只啟用必用的應用程序和只開放提供服務所用到的端口。11.1.2網絡安全漏洞程序錯誤攻擊原理基本原理：主要利用網絡主機中存在的服務程序錯誤和網絡協議錯誤來進行攻擊。防護措施：盡快安裝漏洞的補丁程序，在沒有找到補丁之前，應先安裝防火墻，視情況切斷主機應用層服務，即禁止從主機的所有端口發出和接收數據包。11.1.2網絡安全漏洞后門攻擊原理

基本原理：建立后門的常用方法是在主機中安裝木馬程序。攻擊者利用欺騙的手段，通過向主機發送電子郵件或者是文件，并誘使主機的操作員打開或者運行藏有木馬程序的郵件及文件；或者是攻擊者獲得控制權后，自己安裝木馬程序。防護措施：經常檢測系統的程序運行情況，及時發現運行中的不明程序，并用木馬專殺工具查殺木馬。11.1.2網絡安全漏洞目前，危害很大的網絡攻擊主要來自黑客攻擊。黑客常用的幾種攻擊手段有：(1)口令入侵(2)放置特洛伊木馬程序(3)DoS攻擊(4)端口掃描(5)網絡監聽(6)欺騙攻擊(7)電子郵件攻擊11.1.3網絡攻擊防火墻技術加密技術用戶識別技術訪問控制技術網絡反病毒技術網絡安全漏洞掃描技術入侵檢測技術11.1.4基本安全技術11.2基于防火墻的網絡安全11.2.1防火墻概述11.2.2防火墻類型11.2.3防火墻應用防火墻名稱來自以前防止火災的構筑物。防火墻是一個分離器，一個限制器，同時也是一個分析器，它有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。防火墻的作用是監控進出網絡的信息，僅讓安全的、符合規則的信息進入內部網絡，為用戶提供一個安全的網絡環境。11.2.1防火墻概述一個好的防火墻系統應具有以下5個方面的特性：所有在內部網絡和外部網絡之間傳輸的數據都必須通過防火墻只有被授權的合法數據，即防火墻系統中安全策略允許的數據，可以通過防火墻防火墻本身不受各種攻擊的影響使用目前新的信息安全技術，比如現代密碼技術、一次口令系統和智能卡等人機界面良好，用戶配置使用方便，易管理，系統管理員可以方便地對防火墻進行設置，對互聯網的訪問者、被訪問者、訪問協議以及訪問方式進行控制11.2.1防火墻概述11.2.2防火墻類型包過濾防火墻應用層網關防火墻狀態檢測防火墻防火墻系統設置時考慮事項

(1)要保護什么樣的資源？(2)保護的資源有多重要？(3)允許什么樣的用戶可以接觸這些資源？(4)使用資源時涉及哪些服務？(5)保護資源所消耗的費用是否合理？(6)怎么做防火墻系統的定期檢驗？11.2.3防火墻應用防火墻產品介紹

網絡衛士CiscoPIXFirewall和Cisco1OS防火墻“長城”防火墻其它防火墻11.2.3防火墻應用11.3基于IPSec的網絡安全11.3.1IPSec概述11.3.2IPSec策略IPSec是一個工業標準網絡安全協議，它為IP網絡通信提供透明的安全服務，保護TCP/IP通信免遭竊聽和篡改，可以有效抵御網絡攻擊，同時保持易用性。IPSec的兩個基本目標：一是保護IP數據包安全，二是抵御網絡攻擊提供防護措施。11.3.1IPSec概述IPSec工作原理在進行數據交換之前，先相互驗證對方的計算機的身份。驗證身份通過之后，在這兩臺計算機之間建立一種安全協作關系，并且在進行數據傳輸之前將數據進行加密。通過這三個步驟，可以保證網絡的通信安全，即使數據中途被截獲，也因為截獲者不知道加密的密鑰也就無從了解數據的內容。11.3.1IPSec概述在WindowsServer2003中，IPSec策略包括一系列規則(規定哪些數據流可以接受，哪些數據流不能接受)和過濾器(規定數據流的源地址和目標地址)，以便提供一定程度的安全級別。在其IPSec實現中，既有多種預置策略可供用戶選擇，也可以讓用戶根據企業安全需求自行創建策略。IPSec策略的實施有兩種基本方法：一是在本地計算機上指定策略，二是使用WindowsServer2003“組策略”對象，由其來實施策略。IPSec策略可適用于單機、域、路由器、網站或者各種自定義組織單元等多種場合。11.3.2IPSec策略規則規則規定IPSec策略何時以及如何保護IP通信。根據IP數據流類型、源地址和目的地址，規則應該具有觸發和控制安全通信的能力。每一條規則包含一張IP過濾器列表和與之相匹配的安全設置，這些安全設置有過濾器動作、認證方法、IP隧道設置和連接類型。一個IPSec策略包含一至多條規則，這些規則可以同時處于激活狀態。IPSec實現中針對各種基于客戶機和服務器的通信提供了許多預置規則，用戶可以根據實際需求使用或者修改。11.3.2IPSec策略篩選器和篩選器操作

一個篩選器由以下幾個參數決定：IP包的源地址和目的地址、包所使用的傳輸協議類型以及TCP和UDP協議的源和目的端口號。一個篩選器對應于一種特定類型的數據流。篩選器操作為需要受保護的IP通信設置安全需求，這些安全需求包括安全算法、安全協議和使用的密鑰屬性等。除了為需要受保護的IP通信設置篩選器操作外，還可以將篩選器操作配置成繞過策略和攔截策略。繞過策略，即某些IP通信可以繞過IPSec，不受其安全保護。這類通信主要有以下三種情況：(1)遠程主機無法啟用IPSec；(2)非敏感數據流無須受保護；(3)數據流本身自帶安全措施，例如，使用Kerberosv5、SSL或者PPTP(PointtoPointTunnelingProtocol，點對點隧道協議)。而攔截策略，則用于攔截來自特定地址的通信。11.3.2IPSec策略連接類型

每一條規則都需要指明連接類型，用以規定IPSec策略的適用范圍，比如所有網絡連接、遠程訪問或者LAN等。規則的連接屬性決定該規則將應用于單種連接還是多種連接。例如，用戶可以指明某條安全需求特別高的規則，只應用于遠程訪問，而不應用于LAN連接。11.3.2IPSec策略認證

一條規則可以指定多種認證方法。IPSec支持的認證方法主要有：(1)Kerberosv5：WindowsServer2003缺省認證協議。該認證方法適用于任何運行Kerberosv5協議的客戶機。(2)公鑰證書認證：該認證方法適用于Internet訪問、遠程訪問、基于L2TP的通信或者不運行Kerberosv5協議的主機，要求至少配置一個受信賴的認證中心CA。(3)預共享密鑰：WindowsServer2003的IKE可以和Microsoft、Entrust和VeriSign等多家公司提供的認證系統相兼容，但在實際應用中不推薦使用預置共享密鑰認證。為了避免使用預置共享密鑰認證可能帶來的風險，一般建議使用Kerberosv5認證或者公鑰證書認證。

11.3.2IPSec策略11.4基于VPN的網絡安全11.4.1VPN概述11.4.2VPN實現VPN的概念VPN被定義為通過一個公用網絡(通常是Internet)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。VPN是對企業內部網的擴展，它采用隧道技術以及加密、身份認證等方法，在公眾網絡上構建專用網絡，使數據在虛擬網上可以通過安全的“加密隧道”在公用網絡中傳播。11.4.1VPN概述VPN的分類

根據VPN所起的作用，可以將VPN分為三類：(1)AccessVPN(2)IntranetVPN(3)ExtranetVPN11.4.1VPN概述VPN的特點

一般情況下，一個高效、成功的VPN應具備以下幾個特點：(1)安全保障(2)QoS保證(3)可擴充性和靈活性(4)可管理性11.4.1VPN概述VPN的關鍵技術

目前VPN主要采用四項技術來保證安全，這四項技術分別是：(1)隧道技術(Tunneling)(2)加解密技術(Encryption&Decryption)(3)密鑰管理技術(KeyManagement)(4)使用者與設備身份認證技術(Authentication)11.4.1VPN概述Client-LAN和LAN-LAN是兩種基本的VPN實現形式。前者實現用戶安全的遠程訪問，后者既可用于組建安全的內聯網，又可用于組建企業外聯網絡系統。

11.4.2VPN實現(1)Client-LAN11.4.2VPN實現(1)Client-LANAccessVPN就是采用Client-LAN這種實現方式。AccessVPN工作時，遠程客戶通過撥號線路連接到ISP的網絡訪問服務器（NetworkAccessServer，NAS）上，經過身份認證后，通過公網跟公司內部的VPN網關之間建立一個隧道，利用這個隧道對數據進行加密傳輸。AccessVPN最適用于公司內部經常有流動人員遠程辦公的情況。出差員工利用當地ISP提供的VPN服務，就可以和公司的VPN網關建立私有的隧道連接。11.4.2VPN實現AccessVPN的優勢在于：減少用于相關的調制解調器和終端服務設備的資金及費用，簡化網絡實現本地撥號接入的功能來取代遠距離接入或者800電話接入，這樣能顯著降低遠距離通信的費用極大的可擴展性，簡便地對加入網絡的新用戶進行調度遠端驗證撥入用戶服務(RemoteAuthenticationDialInUserService，RADIUS)基于標準，基于策略功能的安全服務將工作重心從管理和保留運作撥號網絡的工作人員轉到公司的核心業務上來

11.4.2VPN實現Client-LAN型的VPN在實現的時候，有客戶機驅動連接和網絡接入服務器驅動連接兩種方式。客戶驅動的連接網絡接入服務器驅動的連接11.4.2VPN實現(2)LAN-LAN

11.4.2VPN實現(2)LAN-LAN如果要進行企業內部各分支機構的互聯或者企業合作者的互聯，使用LAN-LANVPN是很好的方式。LAN-LANVPN主要使用IPSec協議來建立加密傳輸數據的隧道。IntranetVPN主要用于一個企業內部互聯使用，ExtranetVPN主要用于企業和企業的合作者互聯使用。他們的區別在于ExtranetVPN往往結合PKI使用。11.4.2VPN實現LAN-LANVPN的優勢在于：

減少WAN帶寬的費用，Internet線路的租用費用遠低于專線費用能使用靈活的拓撲結構，包括全網絡連接新的站點能更快、更容易地被連接通過設備供應商WAN的連接冗余，可以延長網絡的可用時間11.4.2VPN實現LAN-LANVPN具體實現時，有以下幾種方式：

VLAN方式MPLSVPN方式IPSecVPN方式11.4.2VPN實現11.5網絡病毒的防護11.5.1病毒特性及分類11.5.2病毒傳播途徑與防治11.5.3網絡防病毒系統選型計算機病毒(ComputerVirus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義為：“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。目前，由于計算機網絡及其現代通信技術的發展，從而使病毒的含義有所擴展，一般將病毒、網絡蠕蟲、黑客有害程序(比如特洛依木馬)等都稱為病毒。11.5.1病毒特性及分類計算機病毒的特性

傳染性隱蔽性潛伏性破壞性針對性衍生性寄生性不可預見性11.5.1病毒特性及分類計算機病毒的分類引導型計算機病毒文件型計算機病毒宏病毒目錄(鏈接)型計算機病毒11.5.1病毒特性及分類計算機病毒的傳播途徑

通過不可移動的計算機硬件設備進行傳播通過移動存儲設備來傳播通過計算機網絡進行傳播通過點對點通信系統和無線通道傳播11.5.2病毒傳播途徑與防治計算機病毒的防治

計算機病毒的防治要從防毒、查毒、解毒三方面來進行“防毒”是指根據系統特性，采取相應的系統安全措施預防病毒侵入計算機“查毒”是指對于確定的環境，能夠準確地報出病毒名稱，該環境包括：內存、文件、引導區（含主導區）、網絡等“解毒”是指根據不同類型病毒對感染對象的修改，并按照病毒的感染特性所進行的恢復。該恢復過程不能破壞未被病毒修改的內容。感染對象包括：內存、引導區（含主引導區）、可執行文件、文檔文件、網絡等11.5.2病毒傳播途徑與防治系統對于計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。防