第五章 网络安全及管理
5.1 网络安全基础
5.1.1 网络安全的基本概念
1.网络安全基本要素(5个)
**机密性:**确保信息不暴露给未授权的实体或进程。
**完整性:**只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。
**可用性:**得到授权的实体在需要时可访问数据,即攻击者不能占用所有资源而阻碍授权者的工作。
**可控性:**可以控制授权范围内的信息流向及行为方式。
**可审查性:**对出现的网络安全问题提供调查的依据和手段。
2.网络安全威胁(5个方面)
**非授权访问:**没有预先经过同意就使用网络或计算机资源则被看作非授权访问,包括有意避开系统访问控制机制对网络设备及资源进行非正常使用,或擅自扩大权限越权访问信息。非授权访问的主要形式为假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
**信息泄露或丢失:**指敏感数据在有意或无意中被泄露出去或丢失,通常包括信息在传输中丢失或泄露、信息在存储介质中丢失或泄露以及通过建立隐蔽隧道等窃取敏感信息等。
**破坏数据完整性:**以非法手段窃得数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。
**拒绝服务攻击:**它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序,使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
**利用网络传播病毒:**通过网络传播计算机病毒的破坏性大大高于单机系统,而且用户很难防范。
3.网络安全防范措施(7个方面)
(1)部署网络安全防护系统:如防火墙、入侵防御系统、入侵检测系统、高级威胁检测系统等。
(2)部署应用安全防护系统:如web应用防火墙、网页防篡改系统、漏洞扫描系统、上网行为管理系统等。
(3)部署数据安全防护系统:如数据库审计系统、数据防泄漏系统、数据脱敏系统等。
(4)部署主机安全防护系统:如防病毒软件、主机安全防护系统等。
(5)部署安全管理系统,如堡垒机、日志审计与分析系统、全流量威胁分析响应系统、统一安全管理平台等。
(6)完善安全管理制度:建立健全各类网络安全管理制度和管理规范;组建网络安全管理机构和技术团队,明确岗位分工和职责。
(7)配置合理的安全防护策略,并能及时调整完善。
5.1.2 计算机信息系统等级保护
| 保护等级 | 侵害对象和程度 |
|---|---|
| 第一级 | 对公民、法人和其他组织的合法权益造成一般损害;不危害国家安全、社会秩序和公共利益 |
| 第二级 | 对公民、法人和其他组织的合法权益产生严重损害,或对社会秩序和公共利益造成危害;不危害国家安全 |
| 第三级 | 对公民、法人和其他组织的合法权益产生特别严重损害,或对社会秩序和公共利益造成严重危害;对国家安全造成危害 |
| 第四级 | 对社会秩序和公共利益造成特别严重危害;对国家安全造成严重危害 |
| 第五级 | 对国家安全造成特别严重危害 |
5.2 信息加密技术
信息安全的核心是加密技术。
传统的加密系统是以密钥为基础的,是一种对称加密,用户使用同一个密钥加密和解密。
公钥则是一种非对称加密方法,加密者和解密者各自拥有不同的密钥。
5.2.1 数据加密原理
一般的保密通信模型
在发送端,把明文P用加密算法E和密钥K加密,交换成密文C,即 C = E(K,P)
在接收端利用解密算法D和密钥K对C解密得到明文P,即 P = D(K,C)
加/解密函数E和D是公开的,而密钥K是秘密的。在传输过程中,窃听者得到的是无法理解的密文,又得不到密钥,这就达到了对第三者保密的目的。
5.2.2 现代加密技术
现代密码体制使用的基本方法仍然是替换和换位,但是采用更加复杂的加密算法和简单的密钥。另外,增加了对付主动攻击的手段,如加入随机的冗余信息,以防止制造假信息;加入时间控制信息,以防止旧信息重放。
1.DES
2.IDEA
3.AES
4.流加密算法和RC4
5.公钥加密算法
6.RSA算法
5.3 认证
认证分为实体认证和消息认证。
实体认证:是识别通信对方的身份,防止假冒,可以使用数字签名的方法。
消息认证:是验证消息在传送或存储过程中有没有被篡改,通常使用消息摘要的方法。
5.3.1 基于共享密钥的认证
通信双方有一个共享的密钥,则可以确认对方的真实身份。这种算法依赖于双方都信赖的密钥分发中心KDC。
5.3.2 基于公钥的认证
通信双方都用对方的公钥加密,用各自的私钥解密。采用PKI的公钥密码体制,由CA为每个用户的公钥签发公钥证书,通过验证公钥证书的合法性来认证公钥,从而保证公钥的合法性。
5.4 数字签名
数字签名系统向通信双方提供服务,使得A向B发送签名的信息P,以便达到如下目的:
(1)B可以验证消息P确实来源于A。
(2)A以后不能否认发送过P。
(3)B不能编造或改变消息P。
数字签名的方式:基于密钥的数字签名、基于公钥的数字签名。
5.5 报文摘要
报文摘要是原报文的唯一的压缩表示,代表了原来报文的特征,所以也叫作数字指纹。
散列(Hash)算法:将任意长度的二进制串映射为固定长度的二进制串,这个长度较小的二进制串称为散列值。
5.5.1 报文摘要算法(MD5)
使用最广泛的报文摘要算法是MD5,其基本思想就是用足够复杂的发放把报文比特充分"弄乱",使得每一个输出比特都受到每一个输入比特的影响。
具体操作步骤:分组和填充;附加;初始化;处理。
5.5.2 安全散列算法(SHA-1)
安全散列算法(The Secure Hash Algorithm,SHA)由美国国家标准和技术协会于1993年提出,并被定义为安全散列标准(SHS)。
SHA算法的缺点是速度比MD5慢,但是SHA的报文摘要更长,更有利于对抗野蛮攻击。
5.6 数字证书
数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方的数字证书的有效性,从而解决相互间的信任问题。
数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密和解密。
数字证书的格式遵循ITUT X.509国际标准。
数字证书的一般格式:
(1)版本号:用于区分X.509的不同版本。
(2)序列号:由同一发行者(CA)发放的每个证书的序列号是唯一的。
(3)签名算法:签署证书所用的算法及其参数。
(4)发行者:指建立和签署证书的CA在X.509标准中的名字。
(5)有效期:包括证书有效期的起始时间和终止时间。
(6)主体名:证书持有者的名称及有关信息。
(7)公钥:有效的公钥及其使用方法。
(8)发行者ID:任选的名字唯一地标识证书的发行者。
(9)主体ID:任选的名字唯一地标识证书的持有者。
(10)扩展域:添加的扩充信息。
(11)认证机构的签名:用CA私钥对证书的签名。
5.7 应用层安全协议
5.7.1 S-HTTP
S-HTTP(secure HTTP,安全的超文本传输协议)是一个面向报文的安全通信协议,是HTTP协议的扩展,其设计的目的是保证商业贸易信息的传输安全,促进电子商务的发展。
由于SSL的迅速出现,S-HTTP未得到广泛的应用。目前,SSL 基本取代了S-HTTP。大多数Web交易均采用传统的HTTP协议,并使用经过SSL加密的HTTP报文来传输敏感的交易信息。
5.7.2 PGP
PGP(pretty good privacy,优良保密协议)是电子邮件加密协议包,已经成为使用最广泛的电子邮件加密软件。PGP提供数据加密和数字签名两种服务。
5.7.3 S/MIME
S/MIME(安全多用途因特网邮件扩展),是RSA数据安全公司开发的软件,提供的安全服务有报文完整性验证、数字签名和数据加密。
5.7.4 安全的电子交易
安全的电子交易(SET)是一个安全协议和报文格式的集合,通过数字证书和数字签名机制,使得客户可以与供应商进行安全的电子交易。
SET提供了3中服务:在交易涉及的各方之间提供安全信道;使用X.509数字证书实现安全的电子交易;保证信息的机密性。
5.7.5 Kerberos
Kerberos 是一项认证服务,它要解决的问题是在公开的分布式环境中,工作站上的用户希望访问分布在网络上的服务器,希望服务器能限制授权用户的访问,并能对服务请求进行认证。
5.8 网络安全防护系统
5.8.1 防火墙(FW)
1.防火墙概述
防火墙是由软件系统和硬件设备组合而成的,部署于两个信任程度不同的网络之间,通过对网络间的通信进行控制实现网络边界防护,通过配置统一的安全策略防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。
防火墙配置中常见的网络区域划分:
(1)非信任网络(untrust):也称公共网络,不信任的接口:用来连接Internet的接口,处于防火墙之外的公共开放网络。
(2)信任网络(trust):也称内部网络,位于防火墙之内的可信网络,是防火墙要保护的目标。
(3)DMZ(非军事化区):也称周边网络,可以位于防火墙之外,也可以位于防火墙之内,安全敏感度和保护度较低。一般用来放置提供公共网络服务的设备。
防火墙常见的部署方式:
(1)路由模式:防火墙的接口工作在三层模式,一般部署在网关位置,除实现网络安全防护功能外,还实现路由、NAT(网络地址转换)等路由器功能。
(2)透明模式:防火墙的接口工作在二层模式,接入防火墙后不用调整现有网络结构和配置,仅实现网络安全防护功能。
(3)混合模式:防火墙的接口中既有二层接口也有三层接口。例如在需要配置双机冗余的场景,业务接口配置二层模式,而心跳通信接口配置三层模式。
2.防火墙的功能
(1)根据配置的访问控制规则,对进出的数据包进行过滤,滤掉不安全或者未授权的服务和非法用户。
(2)NAT地址转换,包括SNAT(源地址转换)和DNAT(目标地址转换)。防火墙将私网IP转换为公网IP称为SNAT;将公网IP转换为私网IP称为DNAT。
(3)路由、VLAN、链路聚合网络功能。
(4)记录通过防火墙的网络连接活动,实现网络监控。
5.8.2 Web应用防火墙(WAF)
1.web应用防火墙概述
web应用防火墙(web application firewall,WAF)是一种用于HTTP应用的防火墙,工作在应用层,除了拦截具体的IP地址或端口,WAF可以更深入地检测web流量,通过匹配web攻击特征库,发现攻击并阻断。
2.web应用防火墙的功能
(1)web攻击防护,通过特征匹配阻断SQL注入、跨站脚本攻击、web扫描等攻击行为。
(2)web登录攻击防护,包括暴力破解防护、撞库防护、弱口令防护等。
(3)漏洞利用防护,包括反序列化漏洞利用、远程命令执行利用等其他软件漏洞利用攻击防护。
(4)web恶意行为防护,包括恶意注册防护、高频交易防护、薅羊毛行为防护、短信验证码滥刷防护等。
(5)恶意流量防护,包括CC攻击防护、人机识别、TCP Flood攻击防护等。
5.8.3 入侵检测系统
1.入侵检测系统概述
入侵检测系统(intrusion detect system,IDS)作为防火墙的合理补充,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,在不影响网络性能的情况下能对网络进行监测,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
2.入侵检测系统的功能
(1)监测并分析用户和系统的网络活动。
(2)匹配特征库,识别已知的网络攻击、信息破坏、有害程序和漏洞等攻击行为。
(3)统计分析异常行为。
(4)发现异常行为时,可与防火墙联动,由防火墙对网络攻击行为实施阻断。
5.8.4 入侵防御系统
入侵防御系统(intrusion prevention system,IPS)作为防火墙的有效补充,通常串接部署,IPS集成大量的已知入侵威胁特征库,对网络流量进行检测,当发现异常流量时,可以实时阻断,实现入侵防护。
入侵防御系统的功能:
(1)监测并分析用户和系统的网络活动。
(2)匹配特征库,识别已知的网络攻击、信息破坏、有害程序和漏洞等攻击行为,并阻断攻击。
(3)统计分析异常行为。
5.8.5 漏洞扫描系统
漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。
5.8.6 网络防病毒系统
1.计算机病毒的概念
计算机病毒是一段非常短的(通常只有几千个字节)会不断自我复制、隐藏和感染其他程序或计算机的程序代码。
携带计算机病毒的计算机程序称为计算机病毒载体或被感染程序。
2.计算机病毒的特性
(1)传染性、(2)隐蔽性、(3)潜伏性、(4)破坏性、(5)针对性、(6)衍生性、(7)寄生性、(8)未知性
3.典型网络病毒
(1)宏病毒
宏病毒是一种寄存在文档的宏中的计算机病毒,即应用软件的相关应用文档内含有称为宏的可执行代码的病毒,办公文档和电子邮件是宏病毒的常用载体,宏病毒能够感染运行不同操作系统平台的计算机。
(2)特洛伊木马
特洛伊木马是一种秘密潜伏的能够通过远程网络进行控制的恶意程序。完整的木马程序一般由两个部分组成,一个是服务端(被控制端),一个是客户端(控制端)。
(3)蠕虫病毒
蠕虫病毒是利用网络进行复制和传播的计算机病毒。它的传染途径是网络和电子邮件。
典型的蠕虫病毒:冲击波、爱虫、求职信和熊猫烧香等。
(4)CIH病毒
CIH病毒属文件型病毒,破坏力非常强,主要感染Windows 95/98的可执行文件,病毒发作后,硬盘数据全部丢失,甚至主板上BIOS中的原内容也会被彻底破坏,造成主机无法启动,重要数据丢失。
(5)勒索病毒
勒索病毒是近年来影响力最大的病毒之一,最有名的为 WannaCry 勒索病毒,该病毒利用Windows操作系统的SMB服务(445端口)的漏洞进行传播,能够在短时间内感染一个局域网内的全部计算机。
4.网络防病毒软件
防病毒软件是一种用于预防、检测和删除恶意软件的计算机程序。
防病毒软件的功能:
(1)系统中心统一管理。
(2)病毒防御。
(3)系统防御。
(4)网络防御。
(5)访问控制。
5.9 网络管理
5.9.1 简单网络管理协议
简单网络管理协议(SNMP)由一系列协议组和规范组成,提供了一种从网络上的设备中收集网络管理信息的方法。
SNMP的体系机构分为SNMP管理者和SNMP代理者。
从被管理设备中收集数据的方法有两种,一种是轮询方法,另一种是基于中断的方法。
5.9.2 网络诊断和配置命令
1.ipconfig命令
ipconfig命令可以显示所有网卡的TCP/IP配置参数,可以刷新动态主机配置协议(DHCP)和域名系统(DNS)的设置。
| 参数 | 作用 |
|---|---|
| /? | 显示帮助信息 |
| /all | 显示所有网卡的TCP/IP配置信息 |
| /renew | 更新网卡的DHCP配置。只能用于动态配置IP地址的计算机 |
| /release | 向DHCP服务器发送DHCP Release 请求,释放网卡的DHCP配置参数和当前使用的IP地址 |
| /flushdhs | 刷新客户端DNS缓存的内容 |
| /displaydns | 显示客户端DNS缓存的内容。 |
| /registerdns | 刷新所有DHCP租约,重新注册DNS名字 |
| /showclassid Adapter | 显示网卡的DHCP类别ID。 |
2.ping命令
ping命令通过发送ICMP回声请求报文来检验与另外一个计算机的连接。常用于排除连接故障的测试命令。
| 参数 | 作用 |
|---|---|
| -t | 持续发送回声请求直至输入Ctrl+break或Ctrl+C中断,前者显示统计信息,后者不显示统计信息 |
| -a | 用IP地址表示目标,进行反向名字解析,如果命令执行成功,则显示对应的主机名 |
| -n Count | 说明发送回声请求的次数,默认为4次 |
| -l Size | 说明回声请求报文的字节数,默认是32,最大为65527 |
| -f | 在IP头中设置不分段标志,用于测试通道上传输的最大报文长度 |
| -i TTL | 说明IP头中TTL字段的值,通常取主机的TTL值。对于Windows XP主机,这个值是128,最大为255 |
| -v ToS | 说明IP头中ToS(type of service)字段的值,默认是0 |
| -r Count | 在IP头中添加路由记录选项,count表示源和目标之间的跃点数,其值为1-9 |
| -s Count | 在IP头中添加时间戳选项,用于记录到达每一跃点的时间,count的值为1-4 |
| -j HostList | 在IP头中使用松散路由选项,hostlist指明中间节点的地址或名称,最多9个,用空格分开。 |
| -k HostList | 在IP头中使用严格路由选项,hostlist指明中间节点的地址或名称,最多9个,用空格分开。 |
| -w Timeout | 指明等待回声响应的时间(ms),如果响应超时,则显示出错信息"request timed out",默认超时间隔为4s |
| TargetName | 用IP地址或主机名表示目标设备 |
3.Arp命令
arp命令用于显示或修改地址解析协议缓存表的内容,计算机上安装的每个网卡各有一个缓存表,缓存表项是IP地址与网卡地址对。
| 参数 | 作用 |
|---|---|
| -a | 显示所有接口的ARP缓存表 |
| -g | 与参数-a相同 |
| -d | 删除由InetAddr指示的ARP缓存表项 |
| -s | 添加一个静态的ARP表项。 |
4.netstat命令
netstat命令用于显示TCP连接、计算机正在监听的端口、以太网统计信息、IP路由表、IPv4统计信息及IPv6统计信息等。
| 参数 | 作用 |
|---|---|
| -a | 显示所有活动的TCP连接,以及正在监听的TCP和UDP端口 |
| -e | 显示以太网统计信息,例如发送和接收到的字节数以及出错的次数等。可以与-s参数联合使用 |
| -n | 显示活动的TCP连接,地址和端口号以数字形式表示 |
| -o | 显示活动的TCP连接以及每个连接对应的进程ID |
| -p protocol | 用标识符protocol指定要显示的协议。 |
| -s | 显示每个协议的统计数据 |
| -r | 显示IP路由表的内容,作用等价于路由打印命令route print |
5.tracert命令
tracert命令的功能是确定到达目标的路径,并显示通路上每一个中间路由器的IP地址。
| 参数 | 作用 |
|---|---|
| -d | 不进行名字解析,显示中间节点的IP地址 |
| -h MaximumHops | 说明地址搜索的最大跃点数,默认值是30跳 |
| -j HostList | 说明发送回声请求报文要使用IP头中的松散路由选项 |
| -w Timeout | 说明等待ICMP回声响应报文的时间(ms),如果接收超时,则显示星号"*",默认超时间隔是4s |
6.nslookup命令
nslookup命令用于显示DNS查询信息,诊断和排除DNS故障。
nslookup有交互式和非交互式两种工作方式。
(一)非交互式工作方式
非交互式工作,就是只使用一次nslookup命令后又返回Cmd.exe提示符下。
(1)应用默认的DNS服务器根据域名查找IP地址.
例如:nslookup nsl.isi.edu
(2)nslookup命令后面可以跟随一个或多个命令行选项(option)。
例如,要把默认的查询类型改为主机信息,把超时间隔改为5s,查询的域名为nsl.isi.edu,
则可以使用如下命令:nslookup -type=hinfo -timeout=5 nsl.isi.edu
(二)交互式工作方式
如果需要查找多项数据,可以使用nslookup的交互式工作方式。
在Cmd.exe提示符下输入nslookup后回车,就可以进入交互式工作方式,命令提示符会变成""。
在命令提示符下输入help或?,会显示可用的命令列表;如果输入exit,则返回Cmd.exe提示符。
| 命令 | 作用 |
|---|---|
| set all | 列出当前设置的默认选项 |
| set type=mx | 查询本地域的邮件交换器信息 |
| server NAME | 由当前默认服务器切换到指定的名字服务器NAME |
| ls | 用于区域传输,罗列出本地区域中的所有主机信息 |
| set type | 设置查询的资源记录类型 |
| set type=any | 对查询的域名显示各种可用的信息资源记录 |
| set degug | 显示查询过程的详细信息 |