沈鑫剡編著(網(wǎng)絡(luò)安全)教材配套課件第14章

網(wǎng)絡(luò)安全第十四章第14章計(jì)算機(jī)安全技術(shù)本章主要內(nèi)容計(jì)算機(jī)安全威脅和安全技術(shù)；訪問控制；Windows7防火墻；Windows7網(wǎng)絡(luò)管理和監(jiān)測命令。14.1計(jì)算機(jī)安全威脅和安全技術(shù)本講主要內(nèi)容安全威脅；安全技術(shù)。一、安全威脅如圖所示的應(yīng)用環(huán)境下，計(jì)算機(jī)面臨以下安全威脅：病毒；黑客；越權(quán)訪問。二、安全技術(shù)基于主機(jī)的防御技術(shù)：病毒防御技術(shù)；個(gè)人防火墻；主機(jī)入侵檢測系統(tǒng)訪問控制。14.2訪問控制本講主要內(nèi)容基本術(shù)語；訪問控制模型；審計(jì)；Windows7訪問控制機(jī)制。一、基本術(shù)語主體（Subject）是指主動的實(shí)體，該實(shí)體造成了信息的流動和系統(tǒng)狀態(tài)的改變?？腕w（Object）是指包含或接受信息的被動實(shí)體。對客體的訪問意味著對其中所包含的信息的訪問。訪問是使信息在主體和客體間流動的一種交互方式。訪問控制是一種具有以下功能的安全機(jī)制，一是能保障授權(quán)用戶獲取所需資源，二是能拒絕非授權(quán)用戶非法獲取資源。身份鑒別一是需要對主體分配唯一標(biāo)識符，二是主體能夠提供證明身份的標(biāo)識信息，授權(quán)是為每一個(gè)用戶設(shè)置訪問權(quán)限，某個(gè)用戶的訪問權(quán)限是指該用戶允許訪問的客體和允許對客體進(jìn)行的操作。一、基本術(shù)語授權(quán)數(shù)據(jù)庫中為每一個(gè)用戶設(shè)置了訪問權(quán)限，通常由系統(tǒng)管理員為每一個(gè)用戶分配訪問權(quán)限。引用監(jiān)視器根據(jù)已經(jīng)完成身份鑒別過程的用戶和授權(quán)數(shù)據(jù)庫，確定該用戶允許訪問的客體和允許對客體進(jìn)行的操作。訪問控制保障該用戶只能訪問允許訪問的客體，且只能對允許訪問的客體進(jìn)行允許進(jìn)行的操作。審計(jì)對用戶使用何種信息資源、在何時(shí)使用、以及如何使用（執(zhí)行何種操作）進(jìn)行記錄和分析。二、訪問控制模型訪問控制模型分類二、訪問控制模型訪問控制矩陣中的每一行代表一個(gè)主體，每一列代表一個(gè)客體，行列交叉的單元格給出該行代表的主體允許對該列代表的客體進(jìn)行的操作。操作操作二、訪問控制模型訪問控制表（ACL）以客體為中心，為每一個(gè)客體分配訪問權(quán)限。如圖所示，客體資源X允許主體用戶A進(jìn)行讀、修改和管理等訪問操作，允許主體用戶C進(jìn)行讀訪問操作。每一個(gè)客體通過訪問控制表可以很方便地確定該客體允許那些主體進(jìn)行那些訪問操作。操作二、訪問控制模型訪問能力表（ACCL）以主體為中心，為每一個(gè)主體分配訪問權(quán)限。如圖所示，主體用戶A具有對客體資源X和資源Z進(jìn)行讀、修改和管理等訪問操作的訪問權(quán)限。操作二、訪問控制模型訪問控制表一般用于對客體集中管理的應(yīng)用環(huán)境，這種應(yīng)用環(huán)境下，可以為每一個(gè)客體設(shè)置訪問控制表。操作二、訪問控制模型訪問能力表一般用于對客體分布式管理的應(yīng)用環(huán)境，這種應(yīng)用環(huán)境下，如果采用訪問控制表實(shí)施訪問控制過程，用戶A訪問資源X和資源Z時(shí)，需要分別由計(jì)算機(jī)A和計(jì)算機(jī)C完成身份鑒別過程。如果采用訪問能力表實(shí)施訪問控制過程，可以由訪問控制主機(jī)統(tǒng)一完成身份鑒別過程。操作二、訪問控制模型

在強(qiáng)制訪問控制中，每一個(gè)主體和客體賦予一個(gè)安全級別。安全級別通常分為絕密級（T）、秘密級（S）、機(jī)密級（C）、限制級（R）和無密級（U）。這些安全級別之間滿足以下關(guān)系：T＞S＞C＞R＞U，T＞S表示絕密級高于秘密級。強(qiáng)制訪問控制根據(jù)主體和客體的安全級別決定以下訪問模式。向下讀（RD）當(dāng)主體安全級別高于客體安全級別時(shí)，允許主體對客體進(jìn)行讀操作。向上讀（RU）當(dāng)主體安全級別低于客體安全級別時(shí)，允許主體對客體進(jìn)行讀操作。向下寫（WD）當(dāng)主體安全級別高于客體安全級別時(shí)，允許主體對客體進(jìn)行寫操作。向上寫（WU）當(dāng)主體安全級別低于客體安全級別時(shí)，允許主體對客體進(jìn)行寫操作。操作二、訪問控制模型Bell-LaPadula模型簡稱為BLP模型，BLP模型的訪問原則是不上讀/不下寫，以此保證數(shù)據(jù)的保密性。不上讀意味著只有當(dāng)主體安全級別高于等于客體安全級別時(shí)，才允許主體對客體進(jìn)行讀操作。不下寫意味著只有當(dāng)主體安全級別低于等于客體安全級別時(shí)，才允許主體對客體進(jìn)行寫操作。二、訪問控制模型Biba模型的訪問原則是不下讀/不上寫，以此保證數(shù)據(jù)的完整性。不下讀意味著只有當(dāng)主體安全級別低于等于客體安全級別時(shí)，才允許主體對客體進(jìn)行讀操作。不上寫意味著只有當(dāng)主體安全級別高于等于客體安全級別時(shí)，才允許主體對客體進(jìn)行寫操作。二、訪問控制模型如果客體所有權(quán)是企業(yè)，不應(yīng)該基于用戶，而是應(yīng)該基于企業(yè)中的職務(wù)分配客體訪問權(quán)限。角色指個(gè)體在特定的社會關(guān)系中的身份及由此而規(guī)定的行為規(guī)范和行為模式的總和。具體地說，就是個(gè)人在特定的社會環(huán)境中相應(yīng)的社會身份和社會地位，并按照一定的社會期望，運(yùn)用一定權(quán)力來履行相應(yīng)社會職責(zé)的行為。訪問控制模型中的角色用一組對客體的訪問操作來描述行為，這組訪問操作是管理員分配給角色的權(quán)限。三、審計(jì)日志是記錄的事件或統(tǒng)計(jì)數(shù)據(jù)，這些事件或統(tǒng)計(jì)數(shù)據(jù)能提供關(guān)于系統(tǒng)使用及性能方面的信息。審計(jì)是對日志的分析，并以清晰的、能理解的方式表述分析結(jié)果。審計(jì)使得系統(tǒng)分析員可以評審資源的使用模式，以便評價(jià)保護(hù)機(jī)制的有效性。一個(gè)審計(jì)系統(tǒng)通常由日志記錄器、分析器和通告器三部分組成。這三部分分別用于收集數(shù)據(jù)、分析數(shù)據(jù)和通告結(jié)果。三、審計(jì)日志記錄器以二進(jìn)制或可讀的形式記錄事件或統(tǒng)計(jì)數(shù)據(jù)。日志通常記錄與以下活動有關(guān)的事件。用于檢測已知攻擊模式；用于檢測異常行為和異常信息流。對于每一個(gè)事件，日志記錄以下信息：事件發(fā)生的日期和時(shí)間，引發(fā)事件的用戶，事件源的位置，事件類型，事件成敗等。三、審計(jì)分析器以日志數(shù)據(jù)為輸入，完成以下分析過程。潛在侵害分析?？梢允孪葹榉治銎髦贫ㄒ恍┮?guī)則，這些規(guī)則描述了發(fā)生入侵時(shí)的事件模式，一旦分析器在日志記錄的事件中，發(fā)現(xiàn)與規(guī)則匹配的事件模式，意味著系統(tǒng)存在入侵的可能性。異常分析。分析器可以通過閾值和規(guī)則描述用戶的正常行為，一旦日志記錄的與某個(gè)用戶有關(guān)的統(tǒng)計(jì)數(shù)據(jù)與描述該用戶正常行為的閾值相差甚遠(yuǎn)，可以確定該用戶的行為異常。入侵行為分析。分析器可以加載入侵特征庫，入侵特征庫中給出已知入侵的事件模式，一旦日志記錄的事件與入侵特征庫中某個(gè)已知攻擊的事件模式匹配，確定系統(tǒng)發(fā)生該入侵行為。三、審計(jì)通告器把分析器的分析結(jié)果，以清晰的、能理解的方式通告給系統(tǒng)管理員和其他實(shí)體。四、Windows7訪問控制機(jī)制

Windows7采用訪問控制表（ACL）機(jī)制實(shí)現(xiàn)資源訪問控制過程，一是通過創(chuàng)建賬戶來創(chuàng)建用戶，二是基于資源為每一個(gè)用戶分配權(quán)限。14.3Windows7防火墻本講主要內(nèi)容入站規(guī)則和出站規(guī)則；Windows7防火墻配置實(shí)例；一、入站規(guī)則和出站規(guī)則會話是兩個(gè)運(yùn)行在不同終端上的進(jìn)程之間的數(shù)據(jù)交換過程。目前常見的會話有TCP連接，UDP會話和ICMPECHO請求、響應(yīng)過程。一、入站規(guī)則和出站規(guī)則對于TCP連接，會話分為三個(gè)階段，一是TCP連接建立階段，二是數(shù)據(jù)傳輸階段，三是TCP連接釋放階段。通過TCP連接建立過程創(chuàng)建會話，并用兩端插口唯一標(biāo)識創(chuàng)建的會話，插口由標(biāo)識終端的32位IP地址和標(biāo)識進(jìn)程的16位端口號組成。創(chuàng)建會話后，所有兩端插口與標(biāo)識該會話的兩端插口相同的TCP報(bào)文都是屬于該會話的TCP報(bào)文。通過TCP連接釋放過程刪除會話。一、入站規(guī)則和出站規(guī)則對于UDP會話，傳輸?shù)谝粋€(gè)UDP報(bào)文時(shí)創(chuàng)建UDP會話，并用該UDP報(bào)文的兩端插口唯一標(biāo)識該UDP會話，所有兩端插口與標(biāo)識該UDP會話的兩端插口相同的UDP報(bào)文都是屬于該會話的UDP報(bào)文。如果規(guī)定時(shí)間內(nèi)，一直沒有傳輸兩端插口與標(biāo)識該UDP會話的兩端插口相同的UDP報(bào)文，刪除該UDP會話。一、入站規(guī)則和出站規(guī)則對于ICMPECHO請求、響應(yīng)過程，一次ICMPECHO請求、響應(yīng)過程屬于一個(gè)會話，會話用ICMPECHO報(bào)文兩端IP地址和序號（或標(biāo)識符）唯一標(biāo)識。一、入站規(guī)則和出站規(guī)則對于TCP連接，會話發(fā)起方是發(fā)送請求建立TCP連接的請求報(bào)文的一方，響應(yīng)方是發(fā)送同意建立TCP連接的響應(yīng)報(bào)文的一方。對于UDP報(bào)文，會話發(fā)起方是發(fā)送創(chuàng)建UDP會話的第一個(gè)UDP報(bào)文的一方，響應(yīng)方是接收創(chuàng)建UDP會話的第一個(gè)UDP報(bào)文的一方。對于ICMPECHO請求、響應(yīng)過程，會話發(fā)起方是發(fā)送ICMPECHO請求報(bào)文的一方，響應(yīng)方是發(fā)送對應(yīng)的ICMPECHO響應(yīng)報(bào)文的一方。一、入站規(guī)則和出站規(guī)則

個(gè)人防火墻的核心功能是阻止會話建立。對于會話發(fā)起方，阻止會話建立的方法是禁止輸出會話發(fā)起方發(fā)送的用于創(chuàng)建會話的報(bào)文。對于會話響應(yīng)方，阻止會話建立的方法是禁止輸入會話發(fā)起方發(fā)送的用于創(chuàng)建會話的報(bào)文。一、入站規(guī)則和出站規(guī)則入站規(guī)則用于禁止輸入，或允許輸入會話發(fā)起方發(fā)送的用于創(chuàng)建會話的報(bào)文。遠(yuǎn)程IP地址：192.1.1.1遠(yuǎn)程端口號：任意協(xié)議類型：TCP本地程序：360安全衛(wèi)士禁止或允許連接：允許連接一、入站規(guī)則和出站規(guī)則出站規(guī)則用于禁止輸出，或允許輸出會話發(fā)起方發(fā)送的用于創(chuàng)建會話的報(bào)文。遠(yuǎn)程IP地址：192.1.1.1遠(yuǎn)程端口號：80、443協(xié)議類型：TCP本地程序：InternetExplorer禁止或允許連接：禁止連接二、Windows7防火墻配置實(shí)例Windows7防火墻是操作系統(tǒng)Windows7自帶的個(gè)人防火墻，通過設(shè)置入站規(guī)則禁止或允許外部終端發(fā)起建立與該計(jì)算機(jī)中某個(gè)進(jìn)程之間的會話。通過設(shè)置出站規(guī)則禁止或允許該計(jì)算機(jī)中某個(gè)進(jìn)程發(fā)起建立與外部終端之間的會話。二、Windows7防火墻配置實(shí)例禁止用戶通過InternetExplorer訪問百度網(wǎng)站的出站規(guī)則如下。遠(yuǎn)程IP地址：112.80.248.74、112.80.248.73和112.80.252.32遠(yuǎn)程端口號：所有協(xié)議類型：任何本地程序：InternetExplorer禁止或允許連接：禁止連接14.4Windows7網(wǎng)絡(luò)管理和監(jiān)測命令本講主要內(nèi)容Ping；Tracert；Ipconfig；Arp；Nslookup；Route；Netstat。一、Pingping命令用于檢測兩個(gè)終端之間的連通性一、Pingping目標(biāo)主機(jī)地址或域名可以攜帶以下參數(shù)。-t：一直進(jìn)行ICMPECHO請求、響應(yīng)過程，直到輸入ctrl+c鍵。-ncount：將ICMPECHO請求、響應(yīng)過程進(jìn)行整數(shù)count指定的次數(shù)。-llength：發(fā)送長度由整數(shù)length指定的ICMPECHO請求報(bào)文，長度默認(rèn)值是32B。-ittl：將封裝ICMPECHO請求報(bào)文的IP分組的TTL字段值設(shè)置為由整數(shù)ttl指定的值。一、Ping一、Ping黑客常常通過ping命令進(jìn)行主機(jī)掃描，確定攻擊目標(biāo)是否在線，黑客終端與攻擊目標(biāo)之間是否存在傳輸通路。因此，為安全起見，終端最好通過設(shè)置防火墻，關(guān)閉ICMPECHO響應(yīng)功能。二、tracert終端A首先將ICMPECHO請求報(bào)文封裝成TTL=1的IP分組。該IP分組傳輸?shù)降谝惶酚善鱎1時(shí)，TTL值減為0，路由器R1向終端A發(fā)送一個(gè)超時(shí)報(bào)文。終端A隨后將ICMPECHO請求報(bào)文封裝成TTL=2的IP分組。該IP分組到達(dá)第二跳路由器R2時(shí)，TTL值減為0，第二跳路由器R2向終端A發(fā)送超時(shí)報(bào)文。該過程一直進(jìn)行。二、tracert

tracert目標(biāo)主機(jī)地址或域名可以攜帶以下參數(shù)。-d：只列出經(jīng)過的路由器接口和目標(biāo)主機(jī)的IP地址，不給出這些路由器和目標(biāo)主機(jī)的名字。-h

maximum_hops：指定經(jīng)過的最大跳數(shù)，整數(shù)maximum_hops是最大跳數(shù)。

-j

host-list：通過指定經(jīng)過的路由器接口列表，指定源終端至目的終端的傳輸路徑。二、tracert二、tracert黑客常常用tracert命令了解黑客終端與攻擊目標(biāo)之間的傳輸路徑，了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。因此，與執(zhí)行tracert命令相關(guān)的TTL字段值不斷遞增的ICMPECHO請求報(bào)文也是網(wǎng)絡(luò)入侵檢測系統(tǒng)需要監(jiān)測的信息流類型。三、ipconfigipconfig可以攜帶以下參數(shù)。/all

：顯示完整信息。/renew：為所有網(wǎng)卡重新動態(tài)分配IP地址

。/release：釋放為所有網(wǎng)卡分配的動態(tài)IP地址。/flushdns：清空本地dns緩沖區(qū)。/displaydns：顯示本地dns緩沖區(qū)內(nèi)容。三、ipconfig四、arp終端A在以太網(wǎng)中廣播ARP請求報(bào)文，請求報(bào)文中給出終端A的IP地址、MAC地址和終端B的IP地址。終端B接收到終端A的ARP請求報(bào)文后，將終端A的IP地址和MAC地址記錄在ARP緩沖區(qū)中，同時(shí)通過ARP響應(yīng)報(bào)文向終端A發(fā)送自己的IP地址和MAC地址。終端A接收到終端B發(fā)送的ARP響應(yīng)報(bào)文后，將終端B的IP地址和MAC地址記錄在ARP緩沖區(qū)中。四、arparp需要攜帶以下其中一個(gè)參數(shù)。-a：顯示本地ARP緩沖區(qū)內(nèi)容。-d：刪除本地ARP緩沖區(qū)內(nèi)容。-s：在本地ARP緩沖區(qū)中建立IP地址與MAC地址之間的靜態(tài)綁定關(guān)系。參數(shù)為-s的命令格式如下。

arp–sip地址mac地址四、arp四、arpARP欺騙攻擊的目的是在終端的ARP緩沖區(qū)中建立錯(cuò)誤的IP地址與MAC地址之間的動態(tài)綁定關(guān)系。因此，如果重要服務(wù)器的IP地址是相對固定的，終端最好在ARP緩沖區(qū)中建立服務(wù)器IP地址與服務(wù)器MAC地址之間的靜態(tài)綁定關(guān)系。五、nslookupnslookup-qt=類型

目標(biāo)域名

指定的DNS服務(wù)器的IP地址或域名類型有以下選項(xiàng)。A：解析結(jié)果是目標(biāo)域名對應(yīng)的主機(jī)IP地址。CNAME：解析結(jié)果是目標(biāo)域名對應(yīng)的別名。MX：解析結(jié)果是目標(biāo)域名所在域的郵件服務(wù)器。NS：解析結(jié)果是負(fù)責(zé)目標(biāo)域名所在域的域名服務(wù)器。五、nslookup五、nslookup五、nslookup由于用戶解析域名時(shí)，可以將著名域名服務(wù)器指定為本地域名服務(wù)器，因此，可以通過比較解析結(jié)果來判斷終端配置的本地域名服務(wù)器地址是否正確。六、route對于如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)，如果只為終端A設(shè)置默認(rèn)網(wǎng)關(guān)地址，會降低網(wǎng)絡(luò)的傳輸效率。六、route（1）顯示路由項(xiàng)route