第一章網(wǎng)絡(luò)安全概述

課程名稱：計算機(jī)網(wǎng)絡(luò)安全教材：《計算機(jī)網(wǎng)絡(luò)安全》《網(wǎng)絡(luò)安全技術(shù)項目化教程》教師：梁存E-mail：liangcun121206@126.comTel評方式：總評=30%平時成績+70%期末成績平時成績包括考勤、課堂紀(jì)律、平時作業(yè)等。期末考試為筆試，總分100分，涉及填空題，單選題，判斷題，計算題，綜合題。課程概覽項目1：網(wǎng)絡(luò)安全概述（虛擬機(jī)）項目2：網(wǎng)絡(luò)攻擊與防范（探測系統(tǒng)密碼+IPS$空連接）項目3：拒絕服務(wù)與數(shù)據(jù)庫安全(ddos攻擊,漏洞)項目4：計算機(jī)病毒與密碼(宏病毒,木馬加殼)項目5：安全防護(hù)與入侵檢測（sniffer軟件）項目6：加密技術(shù)與虛擬專用網(wǎng)（加密軟件，PGP，VPN）項目7：防火墻技術(shù)（系統(tǒng)防火墻，天網(wǎng)防火墻）項目8：網(wǎng)絡(luò)應(yīng)用服務(wù)安全配置（搭建WEB，F(xiàn)TP）項目9：無線網(wǎng)絡(luò)安全（無線路由）本課程實驗第一章網(wǎng)絡(luò)安全概述1.1網(wǎng)絡(luò)安全的內(nèi)涵1.2網(wǎng)絡(luò)安全分析1.3網(wǎng)絡(luò)安全的現(xiàn)狀和發(fā)展趨勢背景據(jù)國外媒體報道，全球計算機(jī)行業(yè)協(xié)會(CompTIA)近日評出了“全球最急需的10項IT技術(shù)”，結(jié)果安全和防火墻技術(shù)排名首位。全球最急需的10項IT技術(shù):1.安全/防火墻/數(shù)據(jù)隱私類技術(shù)。6．軟件。

2．網(wǎng)絡(luò)/網(wǎng)絡(luò)基礎(chǔ)設(shè)施。7．應(yīng)用層面技術(shù)。

3．操作系統(tǒng)。8．特定編程語言。

4．硬件。9．Web技術(shù)。

5．非特定性服務(wù)器技術(shù)。10．RF移動/無線技術(shù)。由上可見，排名第一的，就是安全問題，這說明安全方面的問題是全世界都急需解決的問題，我們所面臨的網(wǎng)絡(luò)安全狀況有多尷尬，可想而知。背景在網(wǎng)絡(luò)高速發(fā)展的過程中，人們在享受網(wǎng)絡(luò)帶來便利的同時，網(wǎng)絡(luò)的安全也日益受到威脅。網(wǎng)絡(luò)攻擊行為日趨復(fù)雜，各種方法相互融合，使網(wǎng)絡(luò)安全防御更加困難。黑客攻擊行為組織性更強(qiáng)，攻擊目標(biāo)從單純的追求“榮耀感”向獲取多方面實際利益的方向轉(zhuǎn)移，網(wǎng)上木馬、間諜程序、惡意網(wǎng)站、網(wǎng)絡(luò)仿冒等的出現(xiàn)和日趨泛濫；背景智能手機(jī)、平板電腦等無線終端的處理能力和功能通用性提高，使其日趨接近個人計算機(jī)，針對這些無線終端的網(wǎng)絡(luò)攻擊已經(jīng)開始出現(xiàn)，并將進(jìn)一步發(fā)展?？傊W(wǎng)絡(luò)安全問題變得更加錯綜復(fù)雜，影響將不斷擴(kuò)大，很難在短期內(nèi)得到全面解決。安全問題已經(jīng)擺在了非常重要的位置上，網(wǎng)絡(luò)安全如果不加以防范，會嚴(yán)重地影響到網(wǎng)絡(luò)的應(yīng)用。1995年，米特尼克闖入許多計算機(jī)網(wǎng)絡(luò)，偷竊了2萬個信用卡號，他曾闖入“北美空中防務(wù)指揮系統(tǒng)”，破譯了美國著名的“太平洋電話公司”在南加利福尼亞州通信網(wǎng)絡(luò)的“改戶密碼”，入侵過美國DEC等5家大公司的網(wǎng)絡(luò)，造成8000萬美元的損失。1999年，臺灣大學(xué)生陳盈豪制造的CIH病毒在4月26日發(fā)作，引起全球震撼，有6千多萬臺計算機(jī)受害。2002年，黑客用DDos攻擊影響了13個根DNS中的8個，作為整個Internet通信路標(biāo)的關(guān)鍵系統(tǒng)遭到嚴(yán)重的破壞。2006年，“熊貓燒香”木馬致使我國數(shù)百萬計算機(jī)用戶受到感染，并波及周邊國家。2007年2月，“熊貓燒香”制作者李俊被捕。2008年，一個全球性的黑客組織，利用ATM欺詐程序在一夜之間從世界49個城市的銀行中盜走了900萬美元。2009年，韓國遭受有史以來最猛烈的一次黑客攻擊。韓國總統(tǒng)府、國會、國情院和國防部等國家機(jī)關(guān)，以及金融界、媒體和防火墻企業(yè)網(wǎng)站遭受攻擊，造成網(wǎng)站一度無法訪問。2010年，“維基解密”網(wǎng)站在《紐約時報》、《衛(wèi)報》和《鏡報》配合下，在網(wǎng)上公開了多達(dá)9.2萬份的駐阿美軍秘密文件，引起軒然大波。2011年，堪稱中國互聯(lián)網(wǎng)史上最大泄密事件發(fā)生。12月中旬，CSDN網(wǎng)站用戶數(shù)據(jù)庫被黑客在網(wǎng)上公開，大約600余萬個注冊郵箱賬號和與之對應(yīng)的明文密碼泄露。2012年1月12日，CSDN泄密的兩名嫌疑人已被刑事拘留。其中一名為北京籍黑客，另一名為外地黑客。以上僅僅是一些個案，事實上，這樣的案例不勝枚舉，而且計算機(jī)犯罪案件有逐年增加的趨勢。據(jù)美國的一項研究顯示，全球互聯(lián)網(wǎng)每39秒就發(fā)生了一次黑客事件，其中大部分黑客沒有固定的目標(biāo)。因此，網(wǎng)絡(luò)系統(tǒng)必須有足夠強(qiáng)大的安全體系，無論是局域網(wǎng)還是廣域網(wǎng)，無論是單位還是個人，網(wǎng)絡(luò)安全的目標(biāo)是全方位在防范各種威脅以確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。1.1網(wǎng)絡(luò)安全的內(nèi)涵1.1.1網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。技術(shù)方面主要側(cè)重于如何防范外部非法攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個重要問題。1.1.2網(wǎng)絡(luò)安全的特征網(wǎng)絡(luò)安全一般應(yīng)包括了以下五個基本特征：保密性：確保信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。完整性：確保數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯裕捍_?？杀皇跈?quán)實體訪問并按需求使用的特性。即當(dāng)需要時能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊。可控性：確保對信息的傳播及內(nèi)容具有控制能力?？蓪彶樾裕捍_保出現(xiàn)的安全問題時提供依據(jù)與手段。1.1網(wǎng)絡(luò)安全的內(nèi)涵1.3.2網(wǎng)絡(luò)安全所涉及的內(nèi)容網(wǎng)絡(luò)安全是一門交叉學(xué)科，除了涉及數(shù)學(xué)、通信、計算機(jī)等自然科學(xué)外，還涉及法律、心理學(xué)等社會科學(xué)，是一個多領(lǐng)域的復(fù)雜系統(tǒng)。一般地，把網(wǎng)絡(luò)安全涉及的內(nèi)容分為物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、管理安全等五個方面，如圖1-2所示。1.物理安全物理安全，也稱實體安全，是指保護(hù)計算機(jī)設(shè)備、設(shè)施(網(wǎng)絡(luò)及通信線路)免遭地震、水災(zāi)、火災(zāi)等自然災(zāi)害和環(huán)境事故(如電磁污染等)，以及人為操作失誤及計算機(jī)犯罪行為導(dǎo)致的破壞。保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理安全，是整個計算機(jī)信息系統(tǒng)安全的前提。物理安全主要包括以下3個方面。(1)環(huán)境安全：對系統(tǒng)所有環(huán)境的安全保護(hù)，如區(qū)域保護(hù)(電子監(jiān)控)和災(zāi)難保護(hù)(災(zāi)難的預(yù)警、應(yīng)急處理、恢復(fù)等)。(2)設(shè)備安全：主要包括設(shè)備的防盜、防毀(接地保護(hù))、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等。(3)媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。2.網(wǎng)絡(luò)安全在網(wǎng)絡(luò)安全中，在內(nèi)部網(wǎng)與外部網(wǎng)之間，可以設(shè)置防火墻來實現(xiàn)內(nèi)外網(wǎng)的隔離和訪問控制，是保護(hù)內(nèi)部網(wǎng)安全的最主要的措施，同時也是最有效、最經(jīng)濟(jì)的措施之一。網(wǎng)絡(luò)安全檢測工具通常是一個網(wǎng)絡(luò)安全性的評估分析軟件或者硬件，用此類工具可以檢測出系統(tǒng)的漏洞或潛在的威脅，以達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。備份是為了盡可能快地全面恢復(fù)運(yùn)行計算機(jī)系統(tǒng)所需要的數(shù)據(jù)和系統(tǒng)信息。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件出現(xiàn)故障或人為操作失誤時起到保護(hù)作用，也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時起到保護(hù)作用，同時也是系統(tǒng)災(zāi)難恢復(fù)的前提之一。3.系統(tǒng)安全一般，人們對網(wǎng)絡(luò)和操作系統(tǒng)的安全很重視，而對數(shù)據(jù)庫的安全不夠重視，其實數(shù)據(jù)庫系統(tǒng)也是一種很重要的系統(tǒng)軟件，與其他軟件一樣需要保護(hù)。4.應(yīng)用安全應(yīng)用安全建立在系統(tǒng)平臺之上，人們普遍會重視系統(tǒng)安全，而忽視應(yīng)用安全。主要原因有：①對應(yīng)用安全缺乏認(rèn)識；②應(yīng)用系統(tǒng)過于靈活，需要掌握較高的相關(guān)安全技術(shù)。網(wǎng)絡(luò)安全、系統(tǒng)安全和數(shù)據(jù)安全的技術(shù)實現(xiàn)有很多固定的規(guī)則，應(yīng)用安全則不同，客戶的應(yīng)用往往各不相同，必須投入相對更多的人力物力，而且沒有現(xiàn)成的工具，只能根據(jù)經(jīng)驗來手動完成。5.管理安全安全是一個整體，完整的安全解決方案不僅包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和應(yīng)用安全等技術(shù)手段，還需要以人為核心的策略和管理支持。網(wǎng)絡(luò)安全至關(guān)重要的往往不是技術(shù)手段，而是對人的管理。無論采用了多么先進(jìn)的技術(shù)設(shè)備，只要安全管理上有漏洞，那么這個系統(tǒng)的安全就沒有保障。在網(wǎng)絡(luò)安全管理中，專家們一致認(rèn)為是“30%的技術(shù)，70%的管理”。同時，網(wǎng)絡(luò)安全不是一個目標(biāo)，而是一個過程，而且是一個動態(tài)的過程。這是因為制約安全的因素都是動態(tài)變化的，必須通過一個動態(tài)的過程來保證安全。例如，Windows操作系統(tǒng)經(jīng)常發(fā)布安全漏洞，在沒有發(fā)現(xiàn)系統(tǒng)漏洞之前，大家可能認(rèn)為自己的系統(tǒng)是安全的，實際上系統(tǒng)已經(jīng)處于威脅之中了，所以要及時地更新補(bǔ)丁。安全是相對的，沒有絕對的安全，需要根據(jù)客戶的實際情況，在實用和安全之間找一個平衡點。從總體上來看，網(wǎng)絡(luò)安全涉及網(wǎng)絡(luò)系統(tǒng)的多個層次和多個方面，同時，也是一個動態(tài)變化的過程。網(wǎng)絡(luò)安全實際上是一個系統(tǒng)工程，既涉及對外部攻擊的有效防范，又包括制定完善的內(nèi)部安全保障制度；既涉及防病毒攻擊，又涵蓋實時檢測、防黑客攻擊等內(nèi)容。因此，網(wǎng)絡(luò)安全解決方案不應(yīng)僅僅提供對于某種安全隱患的防范能力，還應(yīng)涵蓋對于各種可能造成網(wǎng)絡(luò)安全問題隱患的整體防范能力；同時，還應(yīng)該是一種動態(tài)的解決方案，能夠隨著網(wǎng)絡(luò)安全需求的增加而不斷改進(jìn)和完善。1.3網(wǎng)絡(luò)安全的現(xiàn)狀和發(fā)展趨勢1.3.1概況2008年，兩大公司用不同的標(biāo)準(zhǔn)對新增病毒進(jìn)行了統(tǒng)計，得出相同的結(jié)論：2008年的病毒數(shù)量比2007年有很大增長（瑞星統(tǒng)計為增長12倍以上，金山統(tǒng)計為增長48倍）。其中“網(wǎng)頁掛馬”所傳播的木馬、后門等病毒占據(jù)90%以上，網(wǎng)頁瀏覽已經(jīng)成為病毒傳播的最主要渠道。從病毒的運(yùn)作模式看2008年病毒多采用下載器關(guān)閉安全軟件，然后下載大量盜號木馬到用戶電腦的方式盜取用戶網(wǎng)游賬號、網(wǎng)銀賬號等虛擬財產(chǎn)，再發(fā)送到黑客的數(shù)據(jù)庫，具有極其明顯的經(jīng)濟(jì)利益特征。1.3.2電腦病毒疫情統(tǒng)計1.3網(wǎng)絡(luò)安全的現(xiàn)狀和發(fā)展趨勢瑞星公司2004-2008年新增病毒樣本數(shù)統(tǒng)計瑞星公司分析2008年各類病毒比例圖2.金山安全中心2008年電腦病毒疫情統(tǒng)計金山安全中心分析2008年各類病毒比例圖1.3.3計算機(jī)病毒、木馬的特點分析1.病毒制造趨于“機(jī)械化”2.病毒制造具有明顯的模塊化、專業(yè)化特征3.病毒產(chǎn)業(yè)互聯(lián)網(wǎng)化（1）漏洞的挖掘和交易

（2）網(wǎng)頁掛馬的策略（3）網(wǎng)頁掛馬常用的漏洞漏洞名稱在別利用漏洞中所占比例AdobeFlashPlayer18%RealPlayer10/1110%MicrosoftDateAccessComponents(ms06-014)8%Windowsant(ms07-017)8%迅雷看看ActiveX7%暴風(fēng)影音ⅡActiveX7%PPLIVEActiveX7%PPSActiveX7%MicrosoftOffice2003(ms08-011)5%MicrosoftOffice(ms08-056)5%WindowsMediaPlayer(ms08-053)3%MicrosoftGDI+(ms08-021)3%超星閱讀器ActiveX3%聯(lián)眾世界ActiveX3%新浪ActiveX3%百度搜霸ActiveX3%說明：以上數(shù)據(jù)來源于瑞星全球反病毒監(jiān)測網(wǎng)表1-1常用軟件被利用統(tǒng)計表1.3.4病毒互聯(lián)網(wǎng)化的影響1.3.4病毒互聯(lián)網(wǎng)化的影響1.互聯(lián)網(wǎng)化制造病毒的三大手段病毒產(chǎn)業(yè)的互聯(lián)網(wǎng)化，使得黑客可以利用互聯(lián)網(wǎng)來加速病毒的制造，提高制造病毒的效率。黑客常用的三大手段包括：①采用效率更高的病毒生產(chǎn)軟件，這些軟件可以通過加殼、加花等方式，把已有病毒改造成殺毒軟件無法識別的版本，從而可以自動生產(chǎn)出大量新木馬病毒。這類機(jī)器自動制造的病毒，占據(jù)了新增病毒的很大部分。②租用更好的服務(wù)器、更大的帶寬，為“木馬下載器”下載病毒提供硬件上的便利。由于黑客產(chǎn)業(yè)的豐厚利潤，黑客團(tuán)伙有經(jīng)濟(jì)條件改善自己的“生產(chǎn)環(huán)境”，以求更豐厚的利潤。③利用互聯(lián)網(wǎng)論壇、博客等，雇傭“軟件民工”來編寫更強(qiáng)的驅(qū)動，加入木馬中與殺毒軟件對抗?，F(xiàn)在很多木馬病毒都會自帶Rootkits驅(qū)動，這些驅(qū)動可以關(guān)閉殺毒軟件、修改系統(tǒng)設(shè)置和文件，使木馬更容易入侵用戶電腦。而編寫Rootkits在很大程度上屬于“體力勞動”，普通計算機(jī)專業(yè)大學(xué)生經(jīng)過幾個月的編程訓(xùn)練即可勝任此工作。大量軟件民工的加入，使得黑客產(chǎn)業(yè)鏈條更趨向“正規(guī)化、專業(yè)化”，效率也更高。2.病毒互聯(lián)網(wǎng)化的影響病毒制造的互聯(lián)網(wǎng)化，使得整個黑客產(chǎn)業(yè)制造病毒的效率大大提高，從而給反病毒廠商帶來很多問題。如：①新病毒巨量增加、單個病毒的生存期縮短，現(xiàn)有病毒監(jiān)測技術(shù)無法及時截獲新樣本。②即使能夠截獲，則每天高達(dá)數(shù)十萬的新樣本數(shù)量，也在嚴(yán)重考驗著反病毒廠商對于病毒的分析、處理能力。③即使能夠分析處理，則如何能夠讓用戶在最短時間內(nèi)獲取相應(yīng)的病毒庫，成為一個重要的問題。

針對以上的問題，殺毒軟件的設(shè)計思想、設(shè)計初衷就面臨巨大的改變：應(yīng)該把病毒阻擋在電腦之外，在盜號木馬、病毒剛剛出現(xiàn)在互聯(lián)網(wǎng)上，還沒有來得及對客戶端（用戶電腦）發(fā)動攻擊時即將其屏蔽。這種技術(shù)的實現(xiàn)，需要殺毒軟件的完全互聯(lián)網(wǎng)化，讓互聯(lián)網(wǎng)本身成為一個巨大的殺毒軟件。3.直接影響用戶對整個互聯(lián)網(wǎng)行業(yè)的信心①木馬點擊器侵襲搜索引擎②Flash插件漏洞侵襲視頻網(wǎng)站等③木馬帶來假流量，動搖新經(jīng)濟(jì)基礎(chǔ)④盜號木馬危及網(wǎng)游、網(wǎng)銀等⑤盜號木馬侵襲網(wǎng)絡(luò)下載1.3.5反病毒技術(shù)發(fā)展趨勢“云安全（CloudSecurity）”計劃是網(wǎng)絡(luò)時代信息安全的最新體現(xiàn)，它融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術(shù)和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，推送到Server端進(jìn)行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。云安全是我國企業(yè)創(chuàng)造的概念，在國際云計算領(lǐng)域獨樹一幟?！霸瓢踩奔夹g(shù)應(yīng)用后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網(wǎng)絡(luò)服務(wù)，實時進(jìn)行采集、分析以及處理。整個互聯(lián)網(wǎng)就是一個巨大的“殺毒軟件”，參與者越多，每個參與者就越安全，整個互聯(lián)網(wǎng)就會更安全。目前，瑞星、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全衛(wèi)士、卡卡上網(wǎng)安全助手等眾多殺毒廠商都在布局“云安全”領(lǐng)域，相繼推出了各自的“云安全”解決方案。瑞星基于“云安全”策略開發(fā)的2009新品，每天攔截數(shù)百萬次木馬攻擊，其中2009年1月8日一天就達(dá)到了765萬余次。趨勢科技“云安全”已經(jīng)在全球建立了5大數(shù)據(jù)中心，幾萬部在線服務(wù)器。據(jù)悉，“云安全”可以支持平均每天55億條點擊查詢，每天收集分析2.5億個樣本，資料庫第一次命中率就可以達(dá)到99%。借助“云安全”，趨勢科技現(xiàn)在每天阻斷的病毒感染最高達(dá)1000萬次。我們有理由相信，“云安全”將是大勢所趨，而“云安全”時代的到來，也必將伴隨著安全行業(yè)的一場巨大變革。實驗：虛擬機(jī)技術(shù)1.虛擬機(jī)技術(shù)虛擬機(jī)(VirtualMachine)指通過軟件模擬的具有完整硬件系統(tǒng)功能的、運(yùn)行在一個完全隔離環(huán)境中的完整計算機(jī)系統(tǒng)。通過虛擬機(jī)軟件，可以在一臺物理計算機(jī)上模擬出一臺或多臺虛擬的計算機(jī)，這些虛擬機(jī)完全就像真正的計算機(jī)那樣進(jìn)行工作，例如可以安裝操作系統(tǒng)、安裝應(yīng)用程序、訪問網(wǎng)絡(luò)資源等等。對于用戶而言，它只是運(yùn)行在用戶物理計算機(jī)上的一個應(yīng)用程序，但是對于在虛擬機(jī)中運(yùn)行的應(yīng)用程序而言，它就是一臺真正的計算機(jī)。因此，當(dāng)在虛擬機(jī)中進(jìn)行軟件評測時，可能系統(tǒng)一樣會崩潰，但是，崩潰的只是虛擬機(jī)上的操作系統(tǒng)，而不是物理計算機(jī)上的操作系統(tǒng)，并且，使用虛擬機(jī)的“Undo”(恢復(fù))功能，可以馬上恢復(fù)虛擬機(jī)到安裝軟件之前的狀態(tài)。