沈鑫剡編著(網(wǎng)絡(luò)安全)教材配套課件第14章

網(wǎng)絡(luò)安全第十四章第14章計(jì)算機(jī)安全技術(shù)本章主要內(nèi)容計(jì)算機(jī)安全威脅和安全技術(shù)；訪問(wèn)控制；Windows7防火墻；Windows7網(wǎng)絡(luò)管理和監(jiān)測(cè)命令。14.1計(jì)算機(jī)安全威脅和安全技術(shù)本講主要內(nèi)容安全威脅；安全技術(shù)。一、安全威脅如圖所示的應(yīng)用環(huán)境下，計(jì)算機(jī)面臨以下安全威脅：病毒；黑客；越權(quán)訪問(wèn)。二、安全技術(shù)基于主機(jī)的防御技術(shù)：病毒防御技術(shù)；個(gè)人防火墻；主機(jī)入侵檢測(cè)系統(tǒng)訪問(wèn)控制。14.2訪問(wèn)控制本講主要內(nèi)容基本術(shù)語(yǔ)；訪問(wèn)控制模型；審計(jì)；Windows7訪問(wèn)控制機(jī)制。一、基本術(shù)語(yǔ)主體（Subject）是指主動(dòng)的實(shí)體，該實(shí)體造成了信息的流動(dòng)和系統(tǒng)狀態(tài)的改變?？腕w（Object）是指包含或接受信息的被動(dòng)實(shí)體。對(duì)客體的訪問(wèn)意味著對(duì)其中所包含的信息的訪問(wèn)。訪問(wèn)是使信息在主體和客體間流動(dòng)的一種交互方式。訪問(wèn)控制是一種具有以下功能的安全機(jī)制，一是能保障授權(quán)用戶獲取所需資源，二是能拒絕非授權(quán)用戶非法獲取資源。身份鑒別一是需要對(duì)主體分配唯一標(biāo)識(shí)符，二是主體能夠提供證明身份的標(biāo)識(shí)信息，授權(quán)是為每一個(gè)用戶設(shè)置訪問(wèn)權(quán)限，某個(gè)用戶的訪問(wèn)權(quán)限是指該用戶允許訪問(wèn)的客體和允許對(duì)客體進(jìn)行的操作。一、基本術(shù)語(yǔ)授權(quán)數(shù)據(jù)庫(kù)中為每一個(gè)用戶設(shè)置了訪問(wèn)權(quán)限，通常由系統(tǒng)管理員為每一個(gè)用戶分配訪問(wèn)權(quán)限。引用監(jiān)視器根據(jù)已經(jīng)完成身份鑒別過(guò)程的用戶和授權(quán)數(shù)據(jù)庫(kù)，確定該用戶允許訪問(wèn)的客體和允許對(duì)客體進(jìn)行的操作。訪問(wèn)控制保障該用戶只能訪問(wèn)允許訪問(wèn)的客體，且只能對(duì)允許訪問(wèn)的客體進(jìn)行允許進(jìn)行的操作。審計(jì)對(duì)用戶使用何種信息資源、在何時(shí)使用、以及如何使用（執(zhí)行何種操作）進(jìn)行記錄和分析。二、訪問(wèn)控制模型訪問(wèn)控制模型分類二、訪問(wèn)控制模型訪問(wèn)控制矩陣中的每一行代表一個(gè)主體，每一列代表一個(gè)客體，行列交叉的單元格給出該行代表的主體允許對(duì)該列代表的客體進(jìn)行的操作。操作操作二、訪問(wèn)控制模型訪問(wèn)控制表（ACL）以客體為中心，為每一個(gè)客體分配訪問(wèn)權(quán)限。如圖所示，客體資源X允許主體用戶A進(jìn)行讀、修改和管理等訪問(wèn)操作，允許主體用戶C進(jìn)行讀訪問(wèn)操作。每一個(gè)客體通過(guò)訪問(wèn)控制表可以很方便地確定該客體允許那些主體進(jìn)行那些訪問(wèn)操作。操作二、訪問(wèn)控制模型訪問(wèn)能力表（ACCL）以主體為中心，為每一個(gè)主體分配訪問(wèn)權(quán)限。如圖所示，主體用戶A具有對(duì)客體資源X和資源Z進(jìn)行讀、修改和管理等訪問(wèn)操作的訪問(wèn)權(quán)限。操作二、訪問(wèn)控制模型訪問(wèn)控制表一般用于對(duì)客體集中管理的應(yīng)用環(huán)境，這種應(yīng)用環(huán)境下，可以為每一個(gè)客體設(shè)置訪問(wèn)控制表。操作二、訪問(wèn)控制模型訪問(wèn)能力表一般用于對(duì)客體分布式管理的應(yīng)用環(huán)境，這種應(yīng)用環(huán)境下，如果采用訪問(wèn)控制表實(shí)施訪問(wèn)控制過(guò)程，用戶A訪問(wèn)資源X和資源Z時(shí)，需要分別由計(jì)算機(jī)A和計(jì)算機(jī)C完成身份鑒別過(guò)程。如果采用訪問(wèn)能力表實(shí)施訪問(wèn)控制過(guò)程，可以由訪問(wèn)控制主機(jī)統(tǒng)一完成身份鑒別過(guò)程。操作二、訪問(wèn)控制模型

在強(qiáng)制訪問(wèn)控制中，每一個(gè)主體和客體賦予一個(gè)安全級(jí)別。安全級(jí)別通常分為絕密級(jí)（T）、秘密級(jí)（S）、機(jī)密級(jí)（C）、限制級(jí)（R）和無(wú)密級(jí)（U）。這些安全級(jí)別之間滿足以下關(guān)系：T＞S＞C＞R＞U，T＞S表示絕密級(jí)高于秘密級(jí)。強(qiáng)制訪問(wèn)控制根據(jù)主體和客體的安全級(jí)別決定以下訪問(wèn)模式。向下讀（RD）當(dāng)主體安全級(jí)別高于客體安全級(jí)別時(shí)，允許主體對(duì)客體進(jìn)行讀操作。向上讀（RU）當(dāng)主體安全級(jí)別低于客體安全級(jí)別時(shí)，允許主體對(duì)客體進(jìn)行讀操作。向下寫（WD）當(dāng)主體安全級(jí)別高于客體安全級(jí)別時(shí)，允許主體對(duì)客體進(jìn)行寫操作。向上寫（WU）當(dāng)主體安全級(jí)別低于客體安全級(jí)別時(shí)，允許主體對(duì)客體進(jìn)行寫操作。操作二、訪問(wèn)控制模型Bell-LaPadula模型簡(jiǎn)稱為BLP模型，BLP模型的訪問(wèn)原則是不上讀/不下寫，以此保證數(shù)據(jù)的保密性。不上讀意味著只有當(dāng)主體安全級(jí)別高于等于客體安全級(jí)別時(shí)，才允許主體對(duì)客體進(jìn)行讀操作。不下寫意味著只有當(dāng)主體安全級(jí)別低于等于客體安全級(jí)別時(shí)，才允許主體對(duì)客體進(jìn)行寫操作。二、訪問(wèn)控制模型Biba模型的訪問(wèn)原則是不下讀/不上寫，以此保證數(shù)據(jù)的完整性。不下讀意味著只有當(dāng)主體安全級(jí)別低于等于客體安全級(jí)別時(shí)，才允許主體對(duì)客體進(jìn)行讀操作。不上寫意味著只有當(dāng)主體安全級(jí)別高于等于客體安全級(jí)別時(shí)，才允許主體對(duì)客體進(jìn)行寫操作。二、訪問(wèn)控制模型如果客體所有權(quán)是企業(yè)，不應(yīng)該基于用戶，而是應(yīng)該基于企業(yè)中的職務(wù)分配客體訪問(wèn)權(quán)限。角色指?jìng)€(gè)體在特定的社會(huì)關(guān)系中的身份及由此而規(guī)定的行為規(guī)范和行為模式的總和。具體地說(shuō)，就是個(gè)人在特定的社會(huì)環(huán)境中相應(yīng)的社會(huì)身份和社會(huì)地位，并按照一定的社會(huì)期望，運(yùn)用一定權(quán)力來(lái)履行相應(yīng)社會(huì)職責(zé)的行為。訪問(wèn)控制模型中的角色用一組對(duì)客體的訪問(wèn)操作來(lái)描述行為，這組訪問(wèn)操作是管理員分配給角色的權(quán)限。三、審計(jì)日志是記錄的事件或統(tǒng)計(jì)數(shù)據(jù)，這些事件或統(tǒng)計(jì)數(shù)據(jù)能提供關(guān)于系統(tǒng)使用及性能方面的信息。審計(jì)是對(duì)日志的分析，并以清晰的、能理解的方式表述分析結(jié)果。審計(jì)使得系統(tǒng)分析員可以評(píng)審資源的使用模式，以便評(píng)價(jià)保護(hù)機(jī)制的有效性。一個(gè)審計(jì)系統(tǒng)通常由日志記錄器、分析器和通告器三部分組成。這三部分分別用于收集數(shù)據(jù)、分析數(shù)據(jù)和通告結(jié)果。三、審計(jì)日志記錄器以二進(jìn)制或可讀的形式記錄事件或統(tǒng)計(jì)數(shù)據(jù)。日志通常記錄與以下活動(dòng)有關(guān)的事件。用于檢測(cè)已知攻擊模式；用于檢測(cè)異常行為和異常信息流。對(duì)于每一個(gè)事件，日志記錄以下信息：事件發(fā)生的日期和時(shí)間，引發(fā)事件的用戶，事件源的位置，事件類型，事件成敗等。三、審計(jì)分析器以日志數(shù)據(jù)為輸入，完成以下分析過(guò)程。潛在侵害分析?？梢允孪葹榉治銎髦贫ㄒ恍┮?guī)則，這些規(guī)則描述了發(fā)生入侵時(shí)的事件模式，一旦分析器在日志記錄的事件中，發(fā)現(xiàn)與規(guī)則匹配的事件模式，意味著系統(tǒng)存在入侵的可能性。異常分析。分析器可以通過(guò)閾值和規(guī)則描述用戶的正常行為，一旦日志記錄的與某個(gè)用戶有關(guān)的統(tǒng)計(jì)數(shù)據(jù)與描述該用戶正常行為的閾值相差甚遠(yuǎn)，可以確定該用戶的行為異常。入侵行為分析。分析器可以加載入侵特征庫(kù)，入侵特征庫(kù)中給出已知入侵的事件模式，一旦日志記錄的事件與入侵特征庫(kù)中某個(gè)已知攻擊的事件模式匹配，確定系統(tǒng)發(fā)生該入侵行為。三、審計(jì)通告器把分析器的分析結(jié)果，以清晰的、能理解的方式通告給系統(tǒng)管理員和其他實(shí)體。四、Windows7訪問(wèn)控制機(jī)制

Windows7采用訪問(wèn)控制表（ACL）機(jī)制實(shí)現(xiàn)資源訪問(wèn)控制過(guò)程，一是通過(guò)創(chuàng)建賬戶來(lái)創(chuàng)建用戶，二是基于資源為每一個(gè)用戶分配權(quán)限。14.3Windows7防火墻本講主要內(nèi)容入站規(guī)則和出站規(guī)則；Windows7防火墻配置實(shí)例；一、入站規(guī)則和出站規(guī)則會(huì)話是兩個(gè)運(yùn)行在不同終端上的進(jìn)程之間的數(shù)據(jù)交換過(guò)程。目前常見(jiàn)的會(huì)話有TCP連接，UDP會(huì)話和ICMPECHO請(qǐng)求、響應(yīng)過(guò)程。一、入站規(guī)則和出站規(guī)則對(duì)于TCP連接，會(huì)話分為三個(gè)階段，一是TCP連接建立階段，二是數(shù)據(jù)傳輸階段，三是TCP連接釋放階段。通過(guò)TCP連接建立過(guò)程創(chuàng)建會(huì)話，并用兩端插口唯一標(biāo)識(shí)創(chuàng)建的會(huì)話，插口由標(biāo)識(shí)終端的32位IP地址和標(biāo)識(shí)進(jìn)程的16位端口號(hào)組成。創(chuàng)建會(huì)話后，所有兩端插口與標(biāo)識(shí)該會(huì)話的兩端插口相同的TCP報(bào)文都是屬于該會(huì)話的TCP報(bào)文。通過(guò)TCP連接釋放過(guò)程刪除會(huì)話。一、入站規(guī)則和出站規(guī)則對(duì)于UDP會(huì)話，傳輸?shù)谝粋€(gè)UDP報(bào)文時(shí)創(chuàng)建UDP會(huì)話，并用該UDP報(bào)文的兩端插口唯一標(biāo)識(shí)該UDP會(huì)話，所有兩端插口與標(biāo)識(shí)該UDP會(huì)話的兩端插口相同的UDP報(bào)文都是屬于該會(huì)話的UDP報(bào)文。如果規(guī)定時(shí)間內(nèi)，一直沒(méi)有傳輸兩端插口與標(biāo)識(shí)該UDP會(huì)話的兩端插口相同的UDP報(bào)文，刪除該UDP會(huì)話。一、入站規(guī)則和出站規(guī)則對(duì)于ICMPECHO請(qǐng)求、響應(yīng)過(guò)程，一次ICMPECHO請(qǐng)求、響應(yīng)過(guò)程屬于一個(gè)會(huì)話，會(huì)話用ICMPECHO報(bào)文兩端IP地址和序號(hào)（或標(biāo)識(shí)符）唯一標(biāo)識(shí)。一、入站規(guī)則和出站規(guī)則對(duì)于TCP連接，會(huì)話發(fā)起方是發(fā)送請(qǐng)求建立TCP連接的請(qǐng)求報(bào)文的一方，響應(yīng)方是發(fā)送同意建立TCP連接的響應(yīng)報(bào)文的一方。對(duì)于UDP報(bào)文，會(huì)話發(fā)起方是發(fā)送創(chuàng)建UDP會(huì)話的第一個(gè)UDP報(bào)文的一方，響應(yīng)方是接收創(chuàng)建UDP會(huì)話的第一個(gè)UDP報(bào)文的一方。對(duì)于ICMPECHO請(qǐng)求、響應(yīng)過(guò)程，會(huì)話發(fā)起方是發(fā)送ICMPECHO請(qǐng)求報(bào)文的一方，響應(yīng)方是發(fā)送對(duì)應(yīng)的ICMPECHO響應(yīng)報(bào)文的一方。一、入站規(guī)則和出站規(guī)則

個(gè)人防火墻的核心功能是阻止會(huì)話建立。對(duì)于會(huì)話發(fā)起方，阻止會(huì)話建立的方法是禁止輸出會(huì)話發(fā)起方發(fā)送的用于創(chuàng)建會(huì)話的報(bào)文。對(duì)于會(huì)話響應(yīng)方，阻止會(huì)話建立的方法是禁止輸入會(huì)話發(fā)起方發(fā)送的用于創(chuàng)建會(huì)話的報(bào)文。一、入站規(guī)則和出站規(guī)則入站規(guī)則用于禁止輸入，或允許輸入會(huì)話發(fā)起方發(fā)送的用于創(chuàng)建會(huì)話的報(bào)文。遠(yuǎn)程IP地址：192.1.1.1遠(yuǎn)程端口號(hào)：任意協(xié)議類型：TCP本地程序：360安全衛(wèi)士禁止或允許連接：允許連接一、入站規(guī)則和出站規(guī)則出站規(guī)則用于禁止輸出，或允許輸出會(huì)話發(fā)起方發(fā)送的用于創(chuàng)建會(huì)話的報(bào)文。遠(yuǎn)程IP地址：192.1.1.1遠(yuǎn)程端口號(hào)：80、443協(xié)議類型：TCP本地程序：InternetExplorer禁止或允許連接：禁止連接二、Windows7防火墻配置實(shí)例Windows7防火墻是操作系統(tǒng)Windows7自帶的個(gè)人防火墻，通過(guò)設(shè)置入站規(guī)則禁止或允許外部終端發(fā)起建立與該計(jì)算機(jī)中某個(gè)進(jìn)程之間的會(huì)話。通過(guò)設(shè)置出站規(guī)則禁止或允許該計(jì)算機(jī)中某個(gè)進(jìn)程發(fā)起建立與外部終端之間的會(huì)話。二、Windows7防火墻配置實(shí)例禁止用戶通過(guò)InternetExplorer訪問(wèn)百度網(wǎng)站的出站規(guī)則如下。遠(yuǎn)程IP地址：112.80.248.74、112.80.248.73和112.80.252.32遠(yuǎn)程端口號(hào)：所有協(xié)議類型：任何本地程序：InternetExplorer禁止或允許連接：禁止連接14.4Windows7網(wǎng)絡(luò)管理和監(jiān)測(cè)命令本講主要內(nèi)容Ping；Tracert；Ipconfig；Arp；Nslookup；Route；Netstat。一、Pingping命令用于檢測(cè)兩個(gè)終端之間的連通性一、Pingping目標(biāo)主機(jī)地址或域名可以攜帶以下參數(shù)。-t：一直進(jìn)行ICMPECHO請(qǐng)求、響應(yīng)過(guò)程，直到輸入ctrl+c鍵。-ncount：將ICMPECHO請(qǐng)求、響應(yīng)過(guò)程進(jìn)行整數(shù)count指定的次數(shù)。-llength：發(fā)送長(zhǎng)度由整數(shù)length指定的ICMPECHO請(qǐng)求報(bào)文，長(zhǎng)度默認(rèn)值是32B。-ittl：將封裝ICMPECHO請(qǐng)求報(bào)文的IP分組的TTL字段值設(shè)置為由整數(shù)ttl指定的值。一、Ping一、Ping黑客常常通過(guò)ping命令進(jìn)行主機(jī)掃描，確定攻擊目標(biāo)是否在線，黑客終端與攻擊目標(biāo)之間是否存在傳輸通路。因此，為安全起見(jiàn)，終端最好通過(guò)設(shè)置防火墻，關(guān)閉ICMPECHO響應(yīng)功能。二、tracert終端A首先將ICMPECHO請(qǐng)求報(bào)文封裝成TTL=1的IP分組。該IP分組傳輸?shù)降谝惶酚善鱎1時(shí)，TTL值減為0，路由器R1向終端A發(fā)送一個(gè)超時(shí)報(bào)文。終端A隨后將ICMPECHO請(qǐng)求報(bào)文封裝成TTL=2的IP分組。該IP分組到達(dá)第二跳路由器R2時(shí)，TTL值減為0，第二跳路由器R2向終端A發(fā)送超時(shí)報(bào)文。該過(guò)程一直進(jìn)行。二、tracert

tracert目標(biāo)主機(jī)地址或域名可以攜帶以下參數(shù)。-d：只列出經(jīng)過(guò)的路由器接口和目標(biāo)主機(jī)的IP地址，不給出這些路由器和目標(biāo)主機(jī)的名字。-h

maximum_hops：指定經(jīng)過(guò)的最大跳數(shù)，整數(shù)maximum_hops是最大跳數(shù)。

-j

host-list：通過(guò)指定經(jīng)過(guò)的路由器接口列表，指定源終端至目的終端的傳輸路徑。二、tracert二、tracert黑客常常用tracert命令了解黑客終端與攻擊目標(biāo)之間的傳輸路徑，了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。因此，與執(zhí)行tracert命令相關(guān)的TTL字段值不斷遞增的ICMPECHO請(qǐng)求報(bào)文也是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)需要監(jiān)測(cè)的信息流類型。三、ipconfigipconfig可以攜帶以下參數(shù)。/all

：顯示完整信息。/renew：為所有網(wǎng)卡重新動(dòng)態(tài)分配IP地址

。/release：釋放為所有網(wǎng)卡分配的動(dòng)態(tài)IP地址。/flushdns：清空本地dns緩沖區(qū)。/displaydns：顯示本地dns緩沖區(qū)內(nèi)容。三、ipconfig四、arp終端A在以太網(wǎng)中廣播ARP請(qǐng)求報(bào)文，請(qǐng)求報(bào)文中給出終端A的IP地址、MAC地址和終端B的IP地址。終端B接收到終端A的ARP請(qǐng)求報(bào)文后，將終端A的IP地址和MAC地址記錄在ARP緩沖區(qū)中，同時(shí)通過(guò)ARP響應(yīng)報(bào)文向終端A發(fā)送自己的IP地址和MAC地址。終端A接收到終端B發(fā)送的ARP響應(yīng)報(bào)文后，將終端B的IP地址和MAC地址記錄在ARP緩沖區(qū)中。四、arparp需要攜帶以下其中一個(gè)參數(shù)。-a：顯示本地ARP緩沖區(qū)內(nèi)容。-d：刪除本地ARP緩沖區(qū)內(nèi)容。-s：在本地ARP緩沖區(qū)中建立IP地址與MAC地址之間的靜態(tài)綁定關(guān)系。參數(shù)為-s的命令格式如下。

arp–sip地址mac地址四、arp四、arpARP欺騙攻擊的目的是在終端的ARP緩沖區(qū)中建立錯(cuò)誤的IP地址與MAC地址之間的動(dòng)態(tài)綁定關(guān)系。因此，如果重要服務(wù)器的IP地址是相對(duì)固定的，終端最好在ARP緩沖區(qū)中建立服務(wù)器IP地址與服務(wù)器MAC地址之間的靜態(tài)綁定關(guān)系。五、nslookupnslookup-qt=類型

目標(biāo)域名

指定的DNS服務(wù)器的IP地址或域名類型有以下選項(xiàng)。A：解析結(jié)果是目標(biāo)域名對(duì)應(yīng)的主機(jī)IP地址。CNAME：解析結(jié)果是目標(biāo)域名對(duì)應(yīng)的別名。MX：解析結(jié)果是目標(biāo)域名所在域的郵件服務(wù)器。NS：解析結(jié)果是負(fù)責(zé)目標(biāo)域名所在域的域名服務(wù)器。五、nslookup五、nslookup五、nslookup由于用戶解析域名時(shí)，可以將著名域名服務(wù)器指定為本地域名服務(wù)器，因此，可以通過(guò)比較解析結(jié)果來(lái)判斷終端配置的本地域名服務(wù)器地址是否正確。六、route對(duì)于如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)，如果只為終端A設(shè)置默認(rèn)網(wǎng)關(guān)地址，會(huì)降低網(wǎng)絡(luò)的傳輸效率。六、route（1）顯示路由項(xiàng)route