網(wǎng)絡(luò)安全防護

1、2020年國家2020年9月14日至20日網(wǎng)絡(luò)安全防護 隨著計算機網(wǎng)絡(luò)應(yīng)用的不斷普及，網(wǎng)絡(luò)資源和網(wǎng)絡(luò)應(yīng)用服務(wù)日益豐富，計算機網(wǎng)絡(luò)安全問題已經(jīng)成為網(wǎng)絡(luò)建設(shè)和發(fā)展中的熱門話題。在計算機網(wǎng)絡(luò)建設(shè)中，必須采取相應(yīng)措施，保證網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷；并且應(yīng)保護系統(tǒng)中的硬件、軟件及數(shù)據(jù)，使其不因偶然的或者惡意的原因而遭受到破壞、更改、泄露。本項目的主要目標是了解常用的網(wǎng)絡(luò)安全技術(shù)；熟悉常見網(wǎng)絡(luò)掃描工具；理解防火墻和防病毒軟件的作用并能夠正確安裝使用。本項目主要內(nèi)容任務(wù)8.1了解常用網(wǎng)絡(luò)安全技術(shù) 任務(wù)8.2使用網(wǎng)絡(luò)掃描工具 任務(wù)8.3認識和設(shè)置防火墻 任務(wù)8.4安裝和使用防病毒軟件 任務(wù)8

2、.1了解常用網(wǎng)絡(luò)安全技術(shù) 【任務(wù)目的】（1）了解計算機網(wǎng)絡(luò)面臨的安全風險；（2）了解常見的網(wǎng)絡(luò)攻擊手段；（3）理解計算機網(wǎng)絡(luò)采用的主要安全措施?！竟ぷ鳝h(huán)境與條件】（1）校園網(wǎng)工程案例及相關(guān)文檔；（2）企業(yè)網(wǎng)工程案例及相關(guān)文檔；（3）能夠接入Internet的PC。8.1.1計算機網(wǎng)絡(luò)安全的內(nèi)容 計算機網(wǎng)絡(luò)的安全性問題實際上包括兩方面的內(nèi)容：一是網(wǎng)絡(luò)的系統(tǒng)安全，二是網(wǎng)絡(luò)的信息安全。由于計算機網(wǎng)絡(luò)最重要的資源是它向用戶提供的服務(wù)及所擁有的信息，因而計算機網(wǎng)絡(luò)的安全性可以定義為：保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性。前者要求網(wǎng)絡(luò)向所有用戶有選擇地隨時提供各自應(yīng)得到的網(wǎng)絡(luò)服務(wù)，后者則要求網(wǎng)絡(luò)保證信息

3、資源的保密性、完整性、可用性和準確性。 8.1.2常見的網(wǎng)絡(luò)攻擊手段 目前網(wǎng)絡(luò)攻擊通常采用以下手段：1. 掃描攻擊掃描使網(wǎng)絡(luò)攻擊的第一步，主要是利用專門工具對目標系統(tǒng)進行掃描，以獲得操作系統(tǒng)種類或版本、IP地址、域名或主機名等有關(guān)信息，然后分析目標系統(tǒng)可能存在的漏洞，找到開放端口后進行入侵。掃描應(yīng)包括主機掃描和端口掃描，常用的掃描方法有手工掃描和工具掃描。2. 安全漏洞攻擊主要利用操作系統(tǒng)或應(yīng)用軟件自身具有的Bug進行攻擊。例如可以利用目標操作系統(tǒng)收到了超過它所能接收到的信息量時產(chǎn)生的緩沖區(qū)溢出進行攻擊等。8.1.2常見的網(wǎng)絡(luò)攻擊手段 3. 口令入侵通常要攻擊目標時，必須破譯用戶的口令，只要攻

4、擊者能猜測用戶口令，就能獲得機器訪問權(quán)。 4. 木馬程序木馬是一個通過端口進行通信的網(wǎng)絡(luò)客戶機/服務(wù)器程序，可以通過某種方式使木馬程序的客戶端駐留在目標計算機里，可以隨計算機啟動而啟動，從而實現(xiàn)對目標計算機遠程操作。5. DoS攻擊DoS（Denial of Service，拒絕服務(wù)攻擊）的主要目標是使目標主機耗盡系統(tǒng)資源，從而阻止授權(quán)用戶的正常訪問，最終導(dǎo)致目標主機死機。 8.1.3常用網(wǎng)絡(luò)安全措施 1. 訪問控制2. 數(shù)據(jù)加密3. 數(shù)字簽名4. 數(shù)據(jù)備份5. 病毒防御6. 系統(tǒng)漏洞檢測與安全評估7. 部署防火墻8. 部署IDS9. 部署IPS10. 部署VPN11. 部署UTM【任務(wù)實施】

5、 實施1分析校園網(wǎng)采用的網(wǎng)絡(luò)安全技術(shù)實施2分析其他計算機網(wǎng)絡(luò)采用的網(wǎng)絡(luò)安全技術(shù)任務(wù)8.2使用網(wǎng)絡(luò)掃描工具 【任務(wù)目的】（1）了解網(wǎng)絡(luò)安全掃描技術(shù)的基本知識；（2）了解端口掃描技術(shù)的基本知識；（3）熟悉常用網(wǎng)絡(luò)掃描工具SuperScan的使用方法?！竟ぷ鳝h(huán)境與條件】（1）安裝好Windows Server 2003或其他Windows操作系統(tǒng)的計算機；（2）能夠正常運行的網(wǎng)絡(luò)環(huán)境（也可使用VMware等虛擬機軟件）；（3）網(wǎng)絡(luò)掃描工具SuperScan。8.2.1網(wǎng)絡(luò)安全掃描技術(shù) 網(wǎng)絡(luò)安全掃描技術(shù)是一種基于Internet遠程檢測目標網(wǎng)絡(luò)或本地主機安全性脆弱點的技術(shù)。通過網(wǎng)絡(luò)安全掃描，管理員能夠

6、發(fā)現(xiàn)所維護服務(wù)器的端口分配情況、服務(wù)開放情況、相關(guān)服務(wù)軟件的版本和這些服務(wù)及軟件存在的安全漏洞。網(wǎng)絡(luò)安全掃描技術(shù)采用積極的、非破壞性的辦法來檢驗系統(tǒng)是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對系統(tǒng)進行攻擊，并對結(jié)果進行分析，這種技術(shù)通常被用來進行模擬攻擊實驗和安全審計。8.2.1網(wǎng)絡(luò)安全掃描技術(shù) 1. 網(wǎng)絡(luò)安全掃描的步驟第1階段：發(fā)現(xiàn)目標主機或網(wǎng)絡(luò)。第2階段：發(fā)現(xiàn)目標后進一步搜集目標信息，包括操作系統(tǒng)類型、運行的服務(wù)以及服務(wù)軟件的版本等。第3階段：根據(jù)搜集到的信息判斷或者進一步測試系統(tǒng)是否存在安全漏洞。2. 網(wǎng)絡(luò)安全掃描技術(shù)的分類包括有Ping掃射（Ping Sweep）、操作系統(tǒng)探測（O

7、perating System Identification）、訪問控制規(guī)則探測（Firewalking）、端口掃描（Port Scan）以及漏洞掃描（Vulnerability Scan）等。 8.2.2端口掃描技術(shù) 1. 端口掃描技術(shù)的原理端口掃描技術(shù)是向目標主機的各服務(wù)端口發(fā)送探測數(shù)據(jù)包，通過對目標主機響應(yīng)的分析來判斷相應(yīng)服務(wù)端口的狀態(tài)，從而得知目標主機當前提供的服務(wù)或其他信息。2. 端口掃描技術(shù)的類型（1）全連接掃描全連接掃描是TCP端口掃描的基礎(chǔ)，常用的全連接掃描有TCP connect（）掃描和TCP反向ident掃描等。（2）半連接（SYN）掃描若端口掃描沒有完成完整的TCP連接

8、，在掃描主機和目標主機指定端口建立連接時只完成了前兩次握手，在第三步時，掃描主機中斷了本次連接。 【任務(wù)實施】 實施1利用SuperScan進行網(wǎng)絡(luò)掃描實施2對SuperScan相關(guān)選項進行設(shè)置任務(wù)8.3認識和設(shè)置防火墻 【任務(wù)目的】（1）了解防火墻的功能和類型；（2）理解防火墻組網(wǎng)的常見形式；（3）掌握Windows系統(tǒng)內(nèi)置防火墻的啟動和設(shè)置方法?！竟ぷ鳝h(huán)境與條件】（1）安裝好Windows Server 2003或其他Windows操作系統(tǒng)的計算機；（2）能夠正常運行的網(wǎng)絡(luò)環(huán)境（也可使用VMware等虛擬機軟件）；（3）校園網(wǎng)或其他網(wǎng)絡(luò)工程案例及相關(guān)文檔。8.3.1防火墻的功能 防火墻作為

9、一種網(wǎng)絡(luò)安全技術(shù)，最初被定義為一個實施某些安全策略保護一個安全區(qū)域（局域網(wǎng)），用以防止來自一個風險區(qū)域（Internet或有一定風險的網(wǎng)絡(luò)）的攻擊的裝置。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，人們逐漸意識到網(wǎng)絡(luò)風險不僅來自與網(wǎng)絡(luò)外部還有可能來自于網(wǎng)絡(luò)內(nèi)部，并且在技術(shù)上也有可能實施更多的解決方案，所以現(xiàn)在通常將防火墻定義為“在兩個網(wǎng)絡(luò)之間實施安全策略要求的訪問控制系統(tǒng)”。8.3.2防火墻的實現(xiàn)技術(shù) 1. 包過濾型防火墻數(shù)據(jù)包過濾技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行分析、選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，稱為訪問控制表。通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允

10、許該數(shù)據(jù)包通過。如果檢查數(shù)據(jù)包所有的條件都符合規(guī)則，則允許進行路由；如果檢查到數(shù)據(jù)包的條件不符合規(guī)則，則阻止通過并將其丟棄。 8.3.2防火墻的實現(xiàn)技術(shù) 2. 應(yīng)用層代理防火墻應(yīng)用層代理防火墻技術(shù)是在網(wǎng)絡(luò)的應(yīng)用層實現(xiàn)協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、記錄和統(tǒng)計，形成報告。這種防火墻能很容易運用適當?shù)牟呗詤^(qū)分一些應(yīng)用程序命令，像HTTP中的“put”和“get”等。應(yīng)用層代理防火墻打破了傳統(tǒng)的客戶機/服務(wù)器模式，每個客戶機/服務(wù)器的通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務(wù)器。這樣就將內(nèi)部和外部系

11、統(tǒng)隔離開來，從系統(tǒng)外部對防火墻內(nèi)部系統(tǒng)進行探測將變得非常困難。8.3.3防火墻的組網(wǎng)方式 1. 邊緣防火墻結(jié)構(gòu)邊緣防火墻結(jié)構(gòu)是以防火墻為網(wǎng)絡(luò)邊緣，分別連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（Internet）的網(wǎng)絡(luò)結(jié)構(gòu)。當選擇該結(jié)構(gòu)時，內(nèi)外網(wǎng)絡(luò)之間不可直接通信，但都可以和防火墻進行通信，可以通過防火墻對內(nèi)外網(wǎng)絡(luò)之間的通信進行限制，以保證網(wǎng)絡(luò)安全。 2. 三向外圍網(wǎng)絡(luò)結(jié)構(gòu)在該結(jié)構(gòu)中，防火墻有三個網(wǎng)絡(luò)接口，分別連接到內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和外圍網(wǎng)絡(luò)（也稱DMZ區(qū)、網(wǎng)絡(luò)隔離區(qū)或被篩選的子網(wǎng)）。緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，可以放置一些必須公開的服務(wù)器設(shè)施，通過外圍網(wǎng)絡(luò)，可以更加有效地保護內(nèi)部網(wǎng)絡(luò)。

12、 8.3.3防火墻的組網(wǎng)方式 3. 前端防火墻和后端防火墻結(jié)構(gòu)在這種結(jié)構(gòu)中，前端防火墻負責連接外圍網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，后端防火墻負責連接外圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)。當選擇該結(jié)構(gòu)時，如果攻擊者試圖攻擊內(nèi)部網(wǎng)絡(luò)，必須破壞兩個防火墻，必須重新配置連接三個網(wǎng)的路由，難度很大。因此這種結(jié)構(gòu)具有很好的安全性，但成本較高。8.3.4Windows防火墻 Windows防火墻通過阻止未授權(quán)用戶通過網(wǎng)絡(luò)或Internet訪問來幫助和保護計算機。當 Internet 或網(wǎng)絡(luò)上的某人嘗試連接到本地計算機時，這種嘗試被稱為“未經(jīng)請求的請求”。當本地計算機收到未經(jīng)請求的請求時，Windows防火墻會阻止該連接。如果用戶所運行的程序

13、（如即時消息程序或多人網(wǎng)絡(luò)游戲）需要從Internet或網(wǎng)絡(luò)接收信息，那么防火墻會詢問用戶阻止連接還是取消阻止（允許）連接。如果用戶選擇取消阻止連接，Windows防火墻將創(chuàng)建一個“例外”，這樣當該程序日后需要接收信息時，防火墻將允許該連接。 【任務(wù)實施】 實施1啟用Windows防火墻實施2設(shè)置Windows防火墻允許ping命令運行實施3設(shè)置Windows防火墻允許應(yīng)用程序運行實施4認識企業(yè)級網(wǎng)絡(luò)防火墻任務(wù)8.4安裝和使用防病毒軟件 【任務(wù)目的】（1）了解計算機病毒的傳播方式和防御方法；（2）理解局域網(wǎng)中常用的防病毒方案；（3）掌握防病毒軟件的安裝方法；（4）掌握防病毒軟件的配置方法?！竟?/p>

14、作環(huán)境與條件】（1）安裝好Windows Server 2003或其他Windows操作系統(tǒng)的計算機；（2）能夠正常運行的網(wǎng)絡(luò)環(huán)境（也可使用VMware等虛擬機軟件）；（3）防病毒軟件（本次實訓(xùn)中以Norton AntiVirus Online為例，也可以選擇其他軟件）；（4）校園網(wǎng)或其他網(wǎng)絡(luò)工程案例及相關(guān)文檔。8.4.1計算機病毒及其傳播方式 一般認為，計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。由此可知，計算機病毒與生物病毒一樣具有傳染性和破壞性；但是計算機病毒不是天然存在的，而是一段比較精巧嚴謹?shù)拇a，

15、按照嚴格的秩序組織起來，與所在的系統(tǒng)或網(wǎng)絡(luò)環(huán)境相適應(yīng)并與之配合，是人為特制的具有一定長度的程序。 8.4.1計算機病毒及其傳播方式 計算機病毒的傳播主要有以下幾種方式：通過不可移動的計算機硬件設(shè)備進行傳播，即利用專用的ASIC芯片和硬盤進行傳播。這種病毒雖然很少，但破壞力極強，目前還沒有很好的檢測手段。通過移動存儲設(shè)備進行傳播，即利用U盤、移動硬盤、軟盤等進行傳播。通過計算機網(wǎng)絡(luò)進行傳播。隨著Internet的發(fā)展，計算機病毒也走上了高速傳播之路，通過網(wǎng)絡(luò)傳播已經(jīng)成為計算機病毒傳播的第一途徑。計算機病毒通過網(wǎng)絡(luò)傳播的方式主要有通過共享資源傳播、通過網(wǎng)頁惡意腳本傳播、通過電子郵件傳播等。通過點對

16、點通信系統(tǒng)和無線通道傳播。8.4.2計算機病毒的防御 1. 防御計算機病毒的原則 2. 計算機病毒的解決方法對于普通用戶來說，一旦發(fā)現(xiàn)計算機中毒，應(yīng)主要依靠防病毒軟件對病毒進行查殺。查殺時應(yīng)注意以下問題：在查殺病毒之前，應(yīng)備份重要的數(shù)據(jù)文件。啟動防病毒軟件，應(yīng)對系統(tǒng)內(nèi)存及磁盤系統(tǒng)進行掃描。發(fā)現(xiàn)病毒后，一般應(yīng)使用防病毒軟件清除文件中的病毒，如果可執(zhí)行文件中的病毒不能被清除，一般應(yīng)將該文件刪除，然后重新安裝相應(yīng)的應(yīng)用程序。某些病毒在Windows系統(tǒng)正常模式下可能無法完全清除，此時可能需要通過重新啟動計算機、進入安全模式或使用急救盤等方式運行防病毒軟件進行清除。8.4.3局域網(wǎng)防病毒方案 1. 分

17、布式防病毒方案 在這種方案中，局域網(wǎng)的服務(wù)器和客戶機分別安裝單機版的防病毒軟件，這些防病毒軟件之間沒有任何聯(lián)系，甚至可能是不同廠家的產(chǎn)品。分布式防病毒方案的優(yōu)點是用戶可以對客戶機進行分布式管理，客戶機之間互不影響，而且單機版的防病毒軟件價格比較便宜。其主要缺點是沒有充分利用網(wǎng)絡(luò)，客戶機和服務(wù)器在病毒防護上各自為戰(zhàn)，防病毒軟件之間無法共享病毒庫。每當病毒庫升級時，每個服務(wù)器和客戶機都需要不挺的下載新的病毒庫，對于有上百臺或更多計算機的局域網(wǎng)來說，這一方面會增加局域網(wǎng)對Internet的數(shù)據(jù)流量，另一方面也會增加網(wǎng)絡(luò)管理的難度。8.4.3局域網(wǎng)防病毒方案 2. 集中式防病毒方案 集中式防病毒方案通常由防病毒軟件的服務(wù)器端和工作站端組成，通?？梢岳镁W(wǎng)絡(luò)中的任意一臺主機構(gòu)建防病毒服務(wù)器，其他計算機安裝防病毒軟件的工作站端并接受防病毒服務(wù)器的管理。 在集中式防病毒方案中，防病毒服務(wù)器自動連接Internet的防病毒軟件升級服務(wù)器下載最新的病毒庫升級文件，防病毒工作站自動從局域網(wǎng)的防病毒服務(wù)器上下載并更新自己的病毒庫文件，因此不需要對