第十四章 网络安全管理配置

1. 第十四章 网络安全管理配置

2. 第十四章 网络安全管理配置 学习目的与要求 本章主要介绍计算机网络中相关网络安全的知识，网络安全技术的应用，防火墙的配置，网络故障工具，网络分析软件，基于Web服务的安全配置。通过本章学习，读者可以了解网络安全的概念、网络安全的实现技术，掌握基于Windows系统的防火墙配置，掌握网络故障的诊断、网络分析软件的使用，掌握Web服务的安全配置方法。

3. 第十四章 网络安全管理配置 • 14.1 网络安全基本概念 • 14.2 网络安全实现技术介绍 • 14.3 网络防火墙配置 • 14.4 网络故障诊断工具使用 • 14.5 网络分析软件sniffer使用 • 14.6 Web服务器上设置SSL协议

4. 14.1 网络安全基本概念 • 14.1.1 网络安全的概念 • 计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可靠性、可用性、完整性和保密性。 • (1) 可靠性：是指保证网络系统不因各种因素的影响而终端正常工作。 • (2) 可用性：是指在保证软件和数据完整的同时，还要能使其被正常利用和操作。 • (3) 完整性：是指保护网络系统中存储和传输的软件(程序)与数据不被非法操作，即保证数据不被插入、替换和删除，数据分组不丢失、乱序，数据库中的数据或系统汇总的程序不被破坏等。 • (4) 保密性：主要指利用密码技术对软件和数据进行加密处理，保证在系统中存储和网络上传输的软件和数据不被无关人员识别。

5. 14.1 网络安全基本概念 • 14.1.2 网络安全隐患 • (1)黑客(Hacker)经常会侵入网络中的计算机系统。 • (2)TCP/IP通信协议缺乏使传输过程中的信息不被窃取的安全措施。 • (3)Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。 • (4)应用层支持的服务协议缺乏足够的安全性。 • (5)使用电子邮件来传输重要机密信息会存在着很大的危险。 • (6)计算机病毒通过Internet的传播给上网用户带来极大的危害。

6. 14.1 网络安全基本概念 • 14.1.3 网络安全防范的内容 • 一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。网络安全防范的重点主要有如下几个方面： • (1)中断：当网络上的用户在通信时，破坏者可以中断他们之间的通信 • (2)篡改：当网络用户在发送报文时，报文在转发的过程中不被其他用户修改 • (3)伪造：网络用户非法获取合法用户的权限并以其身份与其他用户进行通信 • (4)截获：网络上的其他用户非法获得其他用户的通信内容 • (5)恶意程序：包含计算机病毒、蠕虫、木马、逻辑炸弹在内的各种对计算机的正常运行产生速度、性能、存储空间影响的程序

7. 14.2 网络安全实现技术介绍 • 1. 数据加密技术 • 根据密钥类型不同可以将现代密码技术分为两类：对称加密算法(私钥密码体系)和非对称加密算法(公钥密码体系)。目前最著名的对称加密算法有数据加密标准DES和欧洲数据加密标准IDEA等。 • 在实际应用中通常将公钥密码体系和数字签名算法结合使用，在保证数据传输完整性的同时完成对用户的身份认证。

8. 14.2 网络安全实现技术介绍 • 2. 防火墙技术 • 目前的防火墙系统根据其实现的方式大致可分为两种，即包过滤防火墙和应用层网关。 • 包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包，根据防火墙的访问控制策略对数据包进行过滤，只准许授权的数据包通行。 • 应用层网关位于TCP/IP协议的应用层，实现对用户身份的验证，接收被保护网络和外部之间的数据流并对之进行检查。在防火墙技术中，应用层网关通常由代理服务器来实现。

9. 14.2 网络安全实现技术介绍 • 3. 网络安全扫描技术 • (1)网络远程安全扫描 • (2)防火墙系统扫描 • (3)Web网站扫描 • (4)系统安全扫描

10. 14.2 网络安全实现技术介绍 • 4. 网络入侵检测技术 • 网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等。

11. 14.2 网络安全实现技术介绍 • 5. 黑客诱骗技术 • 黑客诱骗技术是近期发展起来的一种网络安全技术，通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐(Honeypot)系统，其最重要的功能是特殊设置的对于系统中所有操作的监视和记录，网络安全专家通过精心的伪装使得黑客在进入到目标系统后，仍不知晓自己所有的行为已处于系统的监视之中。

12. 14.2 网络安全实现技术介绍 • 6. 网络安全技术的综合利用 • 目前常用的自适应网络安全管理模型，通过防火墙、网络安全扫描、网络入侵检测等技术的结合来实现网络系统动态的可适应的网络安全目标。这种网络安全管理模型认为任何网络系统都不可能防范所有的安全风险，因此在利用防火墙系统实现静态安全目标的基础上，必须通过网络安全扫描和实时的网络入侵检测，实现动态的、自适应的网络安全目标。该模型利用网络安全扫描主动找出系统的安全隐患，对风险作半定量的分析，提出修补安全漏洞的方案，并自动随着网络环境的变化，通过入侵特征的识别，对系统的安全作出校正，从而将网络安全的风险降低到最低点。

13. 14.3 网络防火墙配置 • 14.3.1 Windows XP SP2自带防火墙简介 • Windows XP SP2在安全方面做了重大的调整，安全设计融合到整个操作系统中，防火墙屏障、操作系统补丁和更新病毒库等理念形成一个安全体系，而防火墙是这个安全体系的第一道屏障，它提供了一个强大的保护层，可以阻止恶意用户和程序依靠未经请求的传入流量攻击计算机。Windows XP SP2防火墙又称ICF(Internet Connection frewall)，已经具备个人防火墙的基本功能，它是一种能够阻截所有传入的未经请求的流量的状态防火墙。这些流量既不是响应计算机请求而发送的流量(请求流量)，也不是事先指定允许传入的未经请求的流量(异常流量)。

14. 14.3 网络防火墙配置 • 14.3.2 Windows XP SP2自带防火墙的配置 • 点击【开始】－【设置】－【控制面板】－【Windows防火墙】将进入ICF配置界面，如图所示。

15. 14.3 网络防火墙配置 • 1. 【常规】 • 用于防火墙的启停设置。 • (1)【启用(推荐)】为启动本机防火墙； • (2)【关闭(不推荐)】为关闭本机防火墙； • (3)【不允许例外】选项选中时，Windows防火墙将阻止所有连接到本计算机的请求，即使请求来自【例外】选项卡上列出的程序或服务也是如此。

16. 14.3 网络防火墙配置 • 2. 【例外】 • 例外选项卡用于添加程序和端口例外，以允许特定类型的传入通信。在此选项卡中，可以为每个例外设置范围，如图所示。

17. 14.3 网络防火墙配置 • (1)【添加程序(R)】 • 用于进行有互联网访问要求的例外程序的添加，如QQ程序等，点击按钮后系统显示如图所示界面，用户可选择需要添加的已注册可执行程序。

18. 14.3 网络防火墙配置 • 如果程序列表中没有所需程序，可点击【浏览】按钮手动添加一个可执行文件如图所示。 • 选中需添加的文件，点击【打开】添加入程序列表。

19. 14.3 网络防火墙配置 • 用户选定程序后，可点击【更改范围】，改变选定程序可访问的地址访问，界面如图所示，用户可根据需要选择任何计算机，我的网络(子网)或自定义IP地址。

20. 14.3 网络防火墙配置 • (2)【添加端口(O)】 • 用户如需开放本机端口供其他用户访问，可点击此按钮，弹出如图所示界面。

21. 14.3 网络防火墙配置 • (3)【编辑(E)…】 • 用户如需对已有程序和服务的访问规则进行修改，可点击【编辑】按钮进行变更。 • (4)【删除(D)】 • 用户如需删除已有程序或服务的访问规则，可点击此按钮进行删除。 • 3. 【高级】 • 高级选项卡用于进行防火墙的进一步设置，用户可进行网卡相关的访问规则设定、安全日志的记录、ICMP的设置等更高级特性。

22. 14.4 网络故障诊断工具使用 • 14.4.1 IP测试工具Ping • 使用Ping命令可以向计算机发送ICMP(Internet控制消息协议)数据包并监听回应数据包，以校验与远程计算机或本地计算机的连接；Ping还可以测试计算机名/域名和IP地址，如果能够成功校验IP地址却不能成功校验计算机名或域名，则说明名称解析存在问题。 • 1. 命令格式 • ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS] [-r count] [-s count] [[-j host-list] | [-k host-list]] [-w timeout] target_name

23. 14.4 网络故障诊断工具使用 • 2. 返回值

24. 14.4 网络故障诊断工具使用 • 14.4.2 测试TCP/IP协议配置工具ipconfig • IPConfig实用程序可用于显示当前的TCP/IP配置的设置值。这些信息一般用来检验人工配置的TCP/IP设置是否正确。IPConfig可以让我们了解自己的计算机是否成功的租用到一个IP地址，如果租用到则可以了解它目前分配到的是什么地址。了解计算机当前的IP地址、子网掩码和缺省网关实际上是进行测试和故障分析的必要项目。 • 命令格式如下： • ipconfig [/? | /all | /renew [adapter] | /release [adapter] | /flushdns | /displaydns | /registerdns | /showclassid adapter | /setclassid adapter [classid] ]

25. 14.4 网络故障诊断工具使用

26. 14.4 网络故障诊断工具使用 • 14.4.3 跟踪工具Tracert • tracert 命令显示用于将数据包从计算机传递到目标位置的一组 IP 路由器，以及每个跃点所需的时间。如果数据包不能传递到目标，tracert 命令将显示成功转发数据包的最后一个路由器。当数据报从我们的计算机经过多个网关传送到目的地时，Tracert命令可以用来跟踪数据报使用的路由(路径)。命令格式如下： • tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name

27. 14.5 网络分析软件sniffer使用 • 14.5.1 sniffer简介 • 1. 工作原理 • SNIFFER要捕获的东西必须是要物理信号能收到的报文信息。 • 交换HUB记住一个口的MAC是通过接收来自这个口的数据后并记住其源MAC，就像一个机器的IP与MAC对应的ARP列表，交换HUB维护一个物理口(就是HUB上的网线插口，这之后提到的所有HUB口都是指网线插口)与MAC的表，所以可以欺骗交换HUB的。 • Sniffer就是一种能将本地网卡状态设成‘杂收’状态的软件，当网卡处于这种”杂收”方式时，该网卡具备”广播地址”，它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。

28. 14.5 网络分析软件sniffer使用 • 2. 危害 • 嗅探器能够捕获口令。这大概是绝大多数非法使用sniffer的理由，sniffer可以记录到明文传送的userid和passwd。 • 能够捕获专用的或者机密的信息。比如金融账号，许多用户很放心在网上使用自己的信用卡或现金账号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、账号和pin。比如偷窥机密或敏感的信息数据，通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。 • 可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限。 • 窥探低级的协议信息。

29. 14.5 网络分析软件sniffer使用 • 14.5.2 sniffer配置 • 下面以SnifferPro 4.7界面为例，简要介绍一下sniffer的配置过程 • 1. 捕获数据包前的准备工作 • 在默认情况下，sniffer将捕获其接入碰撞域中流经的所有数据包，为了快速定位网络问题所在，有必要对所要捕获的数据包作过滤。Sniffer提供了捕获数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。定义过滤规则的做法一般如下：

30. 14.5 网络分析软件sniffer使用 • (1)在主界面选择capture－define filter选项，选择Address属性页，这是最常用的定义。其中包括MAC地址、ip地址和ipx地址的定义。以定义IP地址过滤为例，如图所示。

31. 14.5 网络分析软件sniffer使用 • (2) 选择Advance属性页，定义希望捕获的相关协议的数据包。如图所示。

32. 14.5 网络分析软件sniffer使用 • (3)选择Buffer属性页，定义捕获数据包的缓冲区。如图所示。 • 最后点击Profiles进行配置信息保存，以供随后使用。

33. 14.5 网络分析软件sniffer使用 • (4)选择菜单中Capture－Select Filter选择过滤器，选择适当的过滤器，如图所示。

34. 14.5 网络分析软件sniffer使用 • 2. 进行数据捕获 • 选择Capture－Start，启动捕获引擎。Sniffer可以实时监控主机、协议、应用程序、不同包类型等的分布情况，选择Monitor菜单，如图所示。

35. 14.5 网络分析软件sniffer使用 • (1)Dashboard：可以实时统计每秒钟接收到的包的数量、出错包的数量、丢弃包的数量、广播包的数量、多播包的数量以及带宽的利用率等。 • (2)Host Table：可以查看通信量最大的前10位主机。 • (3)Matrix:通过连线，可以形象的看到不同主机之间的通信。 • (4)Application Response Time：可以了解到不同主机通信的最小、最大、平均响应时间方面的信息。 • (5)History Samples：可以看到历史数据抽样出来的统计值。 • (6)Protocol distribution：可以实时观察到数据流中不同协议的分布情况。 • (7)Global Statics：可以获取全局数据报信息。

36. 14.5 网络分析软件sniffer使用 • 3.捕获数据包后的分析工作 • 要停止sniffer捕获包时，点选Capture－Stop或者Capture－Stop and Display，前者停止捕获包，后者停止捕获包并把捕获的数据包进行解码和显示，如图所示。

37. 14.6 Web服务器上设置SSL协议 • 安全套接字层(SSL)是用于服务器之上的一个加密系统，它可以确保在客户机与服务器之间传输的数据仍然是安全与隐密的。要使服务器和客户机使用 SSL 进行安全的通信，服务器必须有两样东西： • 密钥对(Key pair) —— 一个密钥对包括一个公钥和一个私钥。这两个密钥用来对消息进行加密和解密，以确保在因特网上传输时的隐密性和机密性。 • 证书(Certificate) —— 证书用来进行身份验证或者身份确认。证书可以是自签(self-signed)证书，也可以是颁发(issued)证书。自签证书是为自己私有的 Web 网络创建的证书。颁发证书是认证中心(certificate authority，CA)或者证书签署者提供(颁发)给你的证书。

38. 14.6 Web服务器上设置SSL协议 • SSL 使用安全握手来初始化客户机与服务器之间的安全连接。在握手期间，客户机和服务器对它们将要为此会话使用的密钥及加密方法达成一致。客户机使用服务器证书验证服务器。握手之后，SSL 被用来加密和解密 HTTPS(组合 SSL 和 HTTP 的一个独特协议)请求和服务器响应中的所有信息，包括： • 客户机正在请求的 URL。 • 提交的表单的内容。 • 访问授权信息(比如用户名和密码)。 • 所有在客户机与服务器之间发送的数据。

39. 14.6 Web服务器上设置SSL协议 • 下面以Windows 2003 Server平台上，IIS(Internet Information Server) 6.0Web服务器中建立支持SSL协议的站点为例，说明SSL协议的配置和使用。

40. 14.6 Web服务器上设置SSL协议 • 1.在服务器上生成密钥 • (1)点击【开始】－【控制面板】－【管理工具】－【Internet信息服务管理器】，显示如图所示界面，选择需增加SSL支持的站点(此例中为Web1)。鼠标右键选择【属性】，显示如图所示的界面。

41. 14.6 Web服务器上设置SSL协议 • (2)点击【服务器证书】，开始创建密钥，显示如图所示，点击【下一步】。

42. 14.6 Web服务器上设置SSL协议 • (3) 如图所示，选择新建证书，点击【下一步】继续。

43. 14.6 Web服务器上设置SSL协议 • (4)如图所示，选择【现在准备证书请求，但稍后发送】，选择【下一步】继续。

44. 14.6 Web服务器上设置SSL协议 • (5)如图所示，输入证书名称，并选择密钥位数，点击【下一步】继续。

45. 14.6 Web服务器上设置SSL协议 • (6)如图所示，输入本服务器所在单位名称及部门名称，此为证书验证所必须的，应填写真实信息，输入完成后点击【下一步】继续。

46. 14.6 Web服务器上设置SSL协议 • (7) 如图所示，输入公用名称，注意此公用名称应为此Web服务器在互联网上或局域网上的访问地址(域名或主机名)，如访问名称变更(如域名变更或主机名变更)则证书需要重新申请。

47. 14.6 Web服务器上设置SSL协议 • (8)如图所示，录入公司所在地理位置后，点击【下一步】继续。

48. 14.6 Web服务器上设置SSL协议 • (9)如图所示，选择所生成密钥文件的存储路径和文件名，点击【下一步】继续。

49. 14.6 Web服务器上设置SSL协议 • (10) 如图所示，选择【下一步】完成证书生成。