范文一:《网络安全原理与技术》重点
A卷
一、选择题(15*2=30分)4,6,10,11,7,8,4,12,1,5,13,6,12,4,10
二、填空题(15*1=15分)6,8,10,13,11,12,6
三、判断题(10*1=10分)5,11,10,11,10,12,11,11,6,6
四、名词解释(4*5=20分)1,10,12,3
五、问答题(10+15=25分)2,6
B卷
一、选择题(15*2=30分)4,12,11,4,5,8,12,13,6,5,6,8,12,11,13
二、填空题(15*1=15分)6,6,5,3,4,4,11
三、判断题(10*1=10分)5,10,3,11,11,12,7,10,13,14
四、名词解释(4*5=20分)3,4,6,7
五、问答题(10+15=25分)8,5
第一章
主动防御技术:数据加密解密、数字认证、身份验证、授权和虚拟网络等技术。
被动防御技术:病毒防护、防火墙、入侵检测、安全扫描、安全审计、物理及管理安全等技术。(这里是一选择题。给个你让你选择哪个是主动防御或是被动防御)
重放攻击:在网络上截取一个消息或部分消息的数据流,该消息中包含了重要的信息或者授权信息,在必要的时候非法入侵者把该数据流重新发送到目的地而非法获取授权,或者达到恶意的目的,以搅乱系统的正常运行。(此名词解释纯属猜测,老师还有说非法访问,拒绝服务等。这个是举例子的说)
网络安全体系:网络的安全性,系统的安全性,用户的安全性,应用程序的安全性,数据的安全性。
第二章
交换机中安全技术:流量控制技术、访问控制列表(ACL)技术。
生成树攻击:
生成树协议可以防止冗余的交换环境出现回路。
若网络并不复杂的话,建议采用手工转换的方法,而禁止使用生成树协议。
(第二章只考一个问答题,但是老师在生成树协议那里讲了半节课,建议看下吧。理解好。还有MAC地址攻击,ARP欺骗.范围不详,都看看吧。坑吖)
第三章
ARP缓存中毒:目标机器收到了一个虚假ARP响应,其中包含了网络中另外一台机器原硬件地址对路由器IP地址的映射。这样,该机器的ARP缓存将被更新。
预防ARP重定向攻击的最好方法是利用硬件和入侵检测系统。
ARP攻击只能用于本地网络的假冒。这意味着黑客必须已经获得网络中某台机器的访问权限。
死亡之ping.(p49)
Smurf攻击:Smurf攻击是以最初发动这种攻击的程序名Smurf来命名的。这种攻击方法结合IP地址欺骗和ICMP回复方法使大量网络通信充斥目标系统,使得目标系统拒绝为正常系统进行服务。
LAND攻击:利用TCP初始连接建立期间的应答方式存在的问题,攻击的关键在于服务器
端和客户端给自序列号。(p54LAND攻击示意图)
去同步技术:可以用于TCP会话劫持的攻击技术。P56
P59 FRAGGLF的拒绝服务攻击
(以上内容均为老师略有提及,具体考虾米不详,所以说,我觉得老师的重点很坑爹。)
第四章
攻击的步骤:目标探测和扫描,获得权限,保持连接和消除痕迹。
目标探测利用以下四种检测技术:
(1)基于应用的检测技术 (2)基于主机的检测技术
(3)基于目标漏洞的检测 (4)基于网络的检测技术。
扫描技术:利用TCP/IP协议标准在各操作系统中的不同实现,通过向被扫描的对象发送不同信息的分组,根据被扫描的不同响应来获得系统安全信息的技术。
端口扫描技术(给某一种技术来选择是否是端口扫描技术,P75~76,估计是选择题。)
缓冲区溢出:一种常见且危害很大的系统攻击手段,通过向程序的缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令,以打到其攻击的目的。
拒绝服务是网络信息系统由于某种原因不能为授权用户提供正常的服务。
DDOS攻击(分布式拒绝服务):P91那个图
攻击者在客户端操纵攻击过程。每个主控端是一台已被入侵并运行了特定程序的系统主机。每个主控端主机能够控制多个分布端。每个分布端也是一台已被入侵并运行某种特定程序的系统主机。
第五章
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
病毒的基本特征:传染性、非授权性,隐蔽性,可触发性,破坏性或表现性,不可预见行。 按传染方式分类:引导型病毒,文件型病毒,混合型病毒。
病毒的逻辑结构:感染标志、引导模块、感染模块、破坏模块。
宏病毒感染的文件类型:word,execl,Access,PowerPoint,visio.P109
P112网络蠕虫与一般病毒的区别。
第六章
密码学分为:
密码编码学:如何达到信息的秘密性、鉴别性的科学。
密码分析学:如何破解密码系统,或伪造信息使密码系统误以为是真的科学。
一个密码体制是满足以下条件的五元组(M,C,K,EK,DK)。
(1)明文空间M:表示所有明文的集合。
(2)密文空间C:表示所有密文的集合。
(3)密钥空间K:表示所有密钥的集合,通常每个密钥K都是由加密密钥Ke和解密密钥Kd组成的二元组,记为K= (4)加密算法EK:由加密密钥控制的加密变换。 (5)解密算法DK:由解密密钥控制的解密变换。 对称密码与公钥密码两者之间有什么区别?P124 给一个密码来判断是对称还是非对称。 P129 传统加密技术要用到两种基本技巧:代换和置换。 代换密码:凯撒密码 置换密码 分组密码:混乱和扩散是现在密码学的设计基础。 数据加密标准DES 分组密码工作模式:电子密码本模式(ECB)、密码分组链模式(CBC)、密码反馈模式(CFB)、输出反馈模式(OFB)。P145.计数模式(CTR) P149 RSA加密算法的过程 第七章 数字水印:一种将具有特定著作权人身份意义的标记(水印),利用数字嵌入的方式隐藏在数字图像、声音、文档、视频等数字媒体产品中,用来证明创作者对其作品的所有权(或者保护作品的完整性),一旦发生版权纠纷,就通过对水印的检测和分析来验证版权的归属或作品的完整可靠性,从而成为知识产权保护和多媒体防伪的有效手段。 第八章 PKI体系结构由公开密钥密码技术、数字证书、CA(证书发放机构)和关于公开密钥的安全策略等基本成分共同组成的。 P179 图8-1严格层次结构模型 P180 图8-2 分布式信任结构模型 PKI公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。 一个CA可以由安全服务器、注册机构(RA)、CA服务器、LDAP服务器和数据库服务器组成。图8-5 P183 PMI是在PKI解决了信任和统一的安全认证问题后提出的,其目的是解决统一的授权管理和访问控制问题。 第十章 防火墙的概念 防火墙是一种高级访问控制设备,位于两个或多个网络之间,是不同网络安全域之间的通信流的唯一通道,执行网络间安全控制和策略的一组组件的集合。它可以是软件,也可以是硬件,或是两者并用。防火墙本身具有自我免疫的能力,能够抵制各种攻击,同时防火墙还应具有完善的日志、报警和监控功能以及良好的用户接口。 防火墙的分类:软件防火墙和硬件防火墙。 防火墙的设计策略和安全策略。P219 一般情况下,防火墙可以选择下面两种通用网络服务访问策略中的一个,或者两者结合起来使用。 (1)允许从内部站点访问Internet而不允许从Internet访问内部站点。 (2)只允许从Internet访问特定的服务。 防火墙一般执行以下两种基本设计策略中的一种。 (1)除非明确不允许,否则允许某种服务。 (2)除非明确允许,否则将禁止某种服务。 防火墙技术分为三大类:包过滤、应用代理、状态监视。 第十一章 入侵检测就是通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。 入侵检测系统的分类:根据分类技术的分类可以分为异常检测和特征检测。 IDS的标准化(P256) 入侵保护系统(P266) 第十二章 虚拟专用网(**)能够利用Internet或其他公共互联网络的基础设施为用户创建隧道,实现不同网络的组件和资源之间的相互连接,提供了专用网络一样的安全和功能保障。 一般网络链接通常由三部分组成:客户机、传输介质和服务器。**同样也是由这三部分组成,不同的是**连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如Internet或intranet。 **使用了三个方面的技术保证了通信的安全性:隧道协议、身份认证和数据加密。 **的组网方式:远程访问虚拟专用网(Access **)、企业内部虚拟专用网(Intranet **)和企业扩展虚拟专用网(Extranet VAP). P272 图12-3 和图12-4 **的关键技术:隧道技术与安全技术。 P276 图12-7 目前**隧道协议主要有以下几种:L2F、点到点隧道协议PPTP、第二层隧道协议L2TP、第三层隧道协议GRE和IPSec协议、SOCKS v5协议及MPLS协议等。 P227 L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。其中建立过程如下: (1)用户通过Modem与NAS建立连接; (2)用户通过NAS的L2TP接入服务器身份认证; (3)在政策配置文件或NAS与政策服务器进行协商的基础上,NAS和L2TP接入服务器动态地建立一条L2TP隧道; (4)用户与L2TP接入服务器之间建立一条点到点协议(PPP)访问服务隧道。 (5)用户通过该隧道获得**服务。 P281 标题的都要。。。 P283 使用IPSec可以防范以下几种网络攻击。 IPSec协议主要由Internet密钥交换协议(IKE)、认证头(AH)以及安全载荷封装(ESP)三个子协议组成。 IPSec安全体系结构如图12-8所示,它包括以下组件。 (1)安全体系结构。 (2)封装安全载荷 (3)认证头 (4)加密算法 (5)认证算法 (6)密钥管理 IPSec的工作模式:传输模式和隧道模式 图12-9 认证头协议用于IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务,AH不提供对通信数据的加密服务。 P288 图12-14 图12-15 安全关联概念 第十三章 有两种实现选择:一是SSL(或TLS)可以作为基本协议族的一个部分提供,因此对应程序透明;二是SSL嵌入到软件中,如嵌入到Web浏览器与WEB服务器。P297 SSL协议由两层组成:握手协议层和记录协议层。 以上内容均为我在老师那里听到的,如有遗漏或是错漏,概不负责。 看在偶熬夜打出来的重点份上,考完试你们意思意思请偶吃顿饭吧。补充补充偶消耗的能量,呜呜呜~求抱大腿,偶表示作弊不会抄,抄好摊开在桌面让偶抄抄也好,太坑爹了,不想背吖...... 2014/12/9Nmap 扫描原理与用法 ?-?网络安全技术修炼 ?-?博客频道 ?-?CSDN.NET 2014/12/9Nmap 扫描原理与用法 ?-?网络安全技术修炼 ?-?博客频道 ?-?CSDN.NET 其中 Profile 栏位,用于选择 “Zenmap 默认提供的 Profile” 或 “ 用户创建的 Profile” ; Command 栏位,用于显示选择 Profile 对应的命令或者用户自行指定的命令; Topology 选项卡,用于显示扫描到的目标机与本机之间的拓扑结 构。 1.2????功能架构图 Nmap 包含四项基本功能: 1.?主机发现(Host?Discovery) 2.?端口扫描(Port?Scanning) 3.?版本侦测(Version?Detection) 4.?操作系统侦测(Operating?System?Detection) 而这四项功能之间,又存在大致的依赖关系(通常情况下的顺序关系,但特殊应用另外考虑),首先需要进行主 机发现,随后确定端口状况,然后确定端口上运行具体应用程序与版本信息,然后可以进行操作系统的侦测。而 在四项基本功能的基础上, Nmap 提供防火墙与 IDS (IntrusionDetection?System,入侵检测系统)的规避技巧, 可以综合应用到四个基本功能的各个阶段;另外 Nmap 提供强大的 NSE (Nmap?Scripting?Language)脚本引擎 功能,脚本可以对基本功能进行补充和扩展。 Nmap 源码分析(端口扫描) Nmap 源码分析(主机发现) Nmap 源码分析(服务与版本扫描) 评论排行 Nmap 源码分析(基本框架) Nmap 扫描原理与用法 Nmap 源码分析(脚本引擎) Nmap 源码分析(端口扫描) Nmap 源码分析(服务与版本扫描) Nmap 用法的思维导图 Google 搜索技巧与黑客入侵 Nmap 源码分析(主机发现) Nmap 源码分析(操作系统扫描) 网络安全书籍介绍 推荐文章 最新评论 Nmap 扫描原理与用法 j441746426:?有理有据有例子, 令人信服。 Nmap 源码分析(基本框架) bj015852:?膜拜一下!楼主总结 这么多真是辛苦了!感谢! Nmap 用法的思维导图 bj015852:?非常赞!!很有帮助 的图。不知道是谁画的。 Nmap 扫描原理与用法 lcltmac :?博主您好,小弟我最近也 在研究 Nmap ,拜读了您的博 客,很受启发,不知可否加个 qq ,方便交流,谢谢!! Nmap 扫描原理与用法 Enockipp :?很好, mark Nmap 源码分析(端口扫描) schoolers :?mark Nmap 源码分析(脚本引擎) kx4xrl :?请教,这些流程图是用什 么工具画的。很清晰。 Nmap 源码分析(基本框架) 季风 :?最近正在分析 nmap 源码, 楼主厉害啊,学习啦! Nmap 源码分析(脚本引擎) AspirationFlow :?@fighter_lp:不 好意思,现在才看到你的留言。 你可以尝试在命令行里加入 -d选 项(表示输出调试 ... Nmap 源码分析(基本框架) salarycd :?楼主好,因为我也最近 在看关于扫描工具方面的东西, 感觉 Nmap 功能相当强大,尤其 在操作系统判断方面相关 ... (2528) (1960) (1697) (6) (3) (3) (2) (1) (1) (0) (0) (0) (0) 2014/12/9Nmap 扫描原理与用法 ?-?网络安全技术修炼 ?-?博客频道 ?-?CSDN.NET ? ? 2?????Nmap基本扫描方法 Nmap 主要包括四个方面的扫描功能,主机发现、端口扫描、应用与版本侦测、操作系统侦测。在详细讲解每个 具体功能之前,首先可以看看 Nmap 的典型用法。 2.1????用法引入 2.1.1????确定端口状况 如果直接针对某台计算的 IP 地址或域名进行扫描,那么 Nmap 对该主机进行主机发现过程和端口扫描。该方式执 行迅速,可以用于确定端口的开放状况。 命令形式 : nmap?targethost 可以确定目标主机在线情况及端口基本状况。 ? 2.1.2????完整全面的扫描 如果希望对某台主机进行完整全面的扫描,那么可以使用 nmap 内置的 -A选项。使用了改选项, nmap 对目标主 机进行主机发现、端口扫描、应用程序与版本侦测、操作系统侦测及调用默认 NSE 脚本扫描。 命令形式: nmap?–T4?–A?–v?targethost 其中 -A选项用于使用进攻性(Aggressive )方式扫描; -T4指定扫描过程使用的时序(Timing ),总有 6个级别 (0-5),级别越高,扫描速度越快,但也容易被防火墙或 IDS 检测并屏蔽掉,在网络通讯状况良好的情况推荐 使用 T4; -v表示显示冗余(verbosity )信息,在扫描过程中显示扫描的细节,从而让用户了解当前的扫描状 态。 2014/12/9Nmap 扫描原理与用法 ?-?网络安全技术修炼 ?-?博客频道 ?-?CSDN.NET 例如,扫描局域网内地址为 192.168.1.100的电脑。显而易见,扫描出的信息非常丰富,在对 192.168.1.100的 扫描报告部分中(以红框圈出),可以看到主机发现的结果 “Host?is?up” ;端口扫描出的结果,有 996个关闭端 口, 4个开放端口(在未指定扫描端口时, Nmap 默认扫描 1000个最有可能开放的端口);而版本侦测针对扫描 到的开放状况进一步探测端口上运行的具体的应用程序和版本信息; OS 侦测对该目标主机的设备类型与操作系 统进行探测;而绿色框图是 nmap 调用 NSE 脚本进行进一步的信息挖掘的显示结果。 ? 2.2????主机发现 主机发现(Host?Discovery),即用于发现目标主机是否在线(Alive ,处于开启状态)。 2.2.1????主机发现原理 主机发现发现的原理与 Ping 命令类似,发送探测包到目标主机,如果收到回复,那么说明目标主机是开启的。 Nmap 支持十多种不同的主机探测方式,比如发送 ICMP?ECHO/TIMESTAMP/NETMASK报文、发送 TCPSYN/ACK包、发送 SCTP?INIT/COOKIE-ECHO包,用户可以在不同的条件下灵活选用不同的方式来探测目 标机。 主机发现基本原理:(以 ICMP?echo方式为例) Nmap 的用户位于源端, IP 地址 192.168.0.5,向目标主机 192.168.0.3发送 ICMP?Echo?Request。如果该请求报 文没有被防火墙拦截掉,那么目标机会回复 ICMP?Echo?Reply包回来。以此来确定目标主机是否在线。 默认情况下, Nmap 会发送四种不同类型的数据包来探测目标主机是否在线。 1.??????ICMP?echo?request 2.??????a?TCP?SYN?packet?to?port?443 3.??????a?TCP?ACK?packet?to?port?80 4.??????an?ICMP?timestamp?request 依次发送四个报文探测目标机是否开启。只要收到其中一个包的回复,那就证明目标机开启。使用四种不同类型 的数据包可以避免因防火墙或丢包造成的判断错误。 2.2.2????主机发现的用法 通常主机发现并不单独使用,而只是作为端口扫描、版本侦测、 OS 侦测先行步骤。而在某些特殊应用(例如确 定大型局域网内活动主机的数量),可能会单独专门适用主机发现功能来完成。 不管是作为辅助用法还是专门用途,用户都可以使用 Nmap 提供的丰富的选项来定制主机发现的探测方式。 [plain]? 01.?‐sL:?List?Scan?列表扫描,仅将指定的目标的 IP 列举出来,不进行主机发现。 ?? 02.??? 03.?‐sn:?Ping?Scan?只进行主机发现,不进行端口扫描。 ?? 04.??? 05.?‐Pn:?将所有指定的主机视作开启的,跳过主机发现的过程。 ?? 06.??? 07.?‐PS/PA/PU/PY[portlist]:?使用 TCPSYN/ACK或 SCTP?INIT/ECHO方式进行发现。 ?? 08.??? 09.?‐PE/PP/PM:?使用 ICMP?echo,?timestamp,?and?netmask?请求包发现主机。 ‐PO[protocollist]:?使用 IP 协议包 探测对方主机是否开启。 ?? 10.??? 11.?‐n/‐R:?‐n 表示不进行 DNS 解析; ‐R 表示总是进行 DNS 解析。 ?? 12.??? 13.?‐‐dns‐servers? 14.??? 15.?‐‐system‐dns:?指定使用系统的 DNS 服务器 ?? 16.??? 17.?‐‐traceroute:?追踪每个路由节点 ?? 其中,比较常用的使用的是 -sn,表示只单独进行主机发现过程; -Pn表示直接跳过主机发现而进行端口扫描等高 级操作(如果已经确知目标主机已经开启,可用该选项); -n,如果不想使用 DNS 或 reverse?DNS解析,那么可 以使用该选项。 2.2.3????使用演示 探测 scanme.nmap.org 下面以探测 scanme.nmap.org ?的主机为例,简单演示主机发现的用法。 2014/12/9Nmap 扫描原理与用法 ?-?网络安全技术修炼 ?-?博客频道 ?-?CSDN.NET 命令如下: nmap?–sn?–PE?–PS80,135?–PU53?scanme.nmap.org 使用 Wireshark 抓包,我们看到, scanme.nmap.org?的 IP 地址 182.140.147.57发送了四个探测包:ICMPEcho , 80和 135端口的 TCP?SYN包, 53端口的 UDP 包(DNS?domain)。而收到 ICMP?Echo的回复与 80端口的回复。 从而确定了 scanme.nmap.org 主机正常在线。 探测局域网内活动主机 扫描局域网 192.168.1.100-192.168.1.120范围内哪些 IP 的主机是活动的。 命令如下: nmap?–sn?192.168.1.100-120 从结果中,可以看到这个 IP 范围内有三台主机处于活动状态。 从 Wireshark 抓取的包中,可以看到发送的探测包的情况: 在局域网内, Nmap 是通过 ARP 包来询问 IP 地址上的主机是否活动的,如果收到 ARP 回复包,那么说明主机在 线。 例如,某条 ARP 回复的报文详细信息如下: ? 2014/12/9Nmap 扫描原理与用法 ?-?网络安全技术修炼 ?-?博客频道 ?-?CSDN.NET 2.3????端口扫描 端口扫描是 Nmap 最基本最核心的功能,用于确定目标主机的 TCP/UDP端口的开放情况。 默认情况下, Nmap 会扫描 1000个最有可能开放的 TCP 端口。 Nmap 通过探测将端口划分为 6个状态: 1.?open :端口是开放的。 2.?closed :端口是关闭的。 3.?filtered :端口被防火墙 IDS/IPS屏蔽,无法确定其状态。 4.?unfiltered :端口没有被屏蔽,但是否开放需要进一步确定。 5.?open|filtered:端口是开放的或被屏蔽。 6.?closed|filtered?:端口是关闭的或被屏蔽。 2.3.1????端口扫描原理 Nmap 在端口扫描方面非常强大,提供了十多种探测方式。 2.3.1.1????TCP?SYN?scanning 这是 Nmap 默认的扫描方式,通常被称作半开放扫描(Half-open?scanning)。该方式发送 SYN 到目标端口,如 果收到 SYN/ACK回复,那么判断端口是开放的;如果收到 RST 包,说明该端口是关闭的。如果没有收到回复, 那么判断该端口被屏蔽(Filtered )。因为该方式仅发送 SYN 包对目标主机的特定端口,但不建立的完整的 TCP 连接,所以相对比较隐蔽,而且效率比较高,适用范围广。 TCP?SYN探测到端口关闭: TCP?SYN探测到端口开放: 2.3.1.2????TCP?connect?scanning TCP?connect 方式使用系统网络 API?connect向目标主机的端口发起连接,如果无法连接,说明该端口关闭。该 方式扫描速度比较慢,而且由于建立完整的 TCP 连接会在目标机上留下记录信息,不够隐蔽。所以, TCP connect 是 TCP?SYN无法使用才考虑选择的方式。 TCP?connect探测到端口关闭: TCP?connect探测到端口开放: 2.3.1.3????TCP?ACK?scanning 向目标主机的端口发送 ACK 包,如果收到 RST 包,说明该端口没有被防火墙屏蔽;没有收到 RST 包,说明被屏 蔽。该方式只能用于确定防火墙是否屏蔽某个端口,可以辅助 TCP?SYN的方式来判断目标主机防火墙的状况。 TCP?ACK探测到端口被屏蔽: 2014/12/9 Nmap 扫描原理与用法 ?-?网络安全技术修炼 ?-?博客频道 ?-?CSDN.NET TCP?ACK探测到端口未被屏蔽: 2.3.1.4????TCP?FIN/Xmas/NULL?scanning 这三种扫描方式被称为秘密扫描(Stealthy?Scan),因为相对比较隐蔽。 FIN 扫描向目标主机的端口发送的 TCP FIN 包或 Xmas?tree包 /Null包,如果收到对方 RST 回复包,那么说明该端口是关闭的;没有收到 RST 包说明端口 可能是开放的或被屏蔽的(open|filtered)。 其中 Xmas?tree包是指 flags 中 FIN?URG?PUSH被置为 1 的 TCP 包; NULL 包是指所有 flags 都为 0的 TCP 包。 TCP?FIN探测到主机端口是关闭的: TCP?FIN探测到主机端口是开放或屏蔽的: ? 2.3.1.5????UDP?scanning UDP 扫描方式用于判断 UDP 端口的情况。向目标主机的 UDP 端口发送探测包,如果收到回复 “ICMP?port unreachable” 就说明该端口是关闭的;如果没有收到回复,那说明 UDP 端口可能是开放的或屏蔽的。因此,通 过反向排除法的方式来断定哪些 UDP 端口是可能出于开放状态。 UDP 端口关闭: UDP 端口开放或被屏蔽: 2.3.1.6????其他方式 除上述几种常用的方式之外, Nmap 还支持多种其他探测方式。例如使用 SCTP?INIT/COOKIE-ECHO方式来探测 SCTP 的端口开放情况;使用 IP?protocol方式来探测目标主机支持的协议类型(TCP/UDP/ICMP/SCTP等等); 使用 idle?scan方式借助僵尸主机(zombie?host,也被称为 idle?host,该主机处于空闲状态并且它的 IPID 方式为 递增。详细实现原理参见:http://nmap.org/book/idlescan.html)来扫描目标在主机,达到隐蔽自己的目的;或 者使用 FTP?bounce?scan,借助 FTP 允许的代理服务扫描其他的主机,同样达到隐藏自己的身份的目的。 2014/12/9Nmap 扫描原理与用法 ?-?网络安全技术修炼 ?-?博客频道 ?-?CSDN.NET ? 2.3.2????端口扫描用法 端口扫描用法比较简单, Nmap 提供丰富的命令行参数来指定扫描方式和扫描端口。 具体可以参见如下描述。 2.3.2.1????扫描方式选项 [plain]? 01.?‐sS/sT/sA/sW/sM:指定使用 ?TCP?SYN/Connect()/ACK/Window/Maimon?scans的方式来对目标主机进行扫描。 ??02.??? 03.???‐sU:?指定使用 UDP 扫描方式确定目标主机的 UDP 端口状况。 ?? 04.??? 05.???‐sN/sF/sX:?指定使用 TCP?Null,?FIN,?and?Xmas?scans秘密扫描方式来协助探测对方的 TCP 端口状态。 ??06.??? 07.???‐‐scanflags? 08.??? 09.???‐sI? zombie?host) ?? 10.??? 11.???‐sY/sZ:?使用 SCTP?INIT/COOKIE‐ECHO 来扫描 SCTP 协议端口的开放的情况。 ?? 12.??? 13.???‐sO:?使用 IP?protocol?扫描确定目标机支持的协议类型。 ?? 14.??? 15.???‐b? 2.3.2.2????端口参数与扫描顺序 [plain]? 01.?‐p? 02.??? 03.?实例 :?‐p22;?‐p1‐65535;?‐p?U:53,111,137,T:21‐25,80,139,8080,S:9(其中 T 代表 TCP 协议、 U 代表 UDP 协议、 S 代表 SCTP 协议) ?? 04.??? 05.?‐F:?Fast?mode?–?快速模式,仅扫描 TOP?100的端口 ?? 06.??? 07.?‐r:?不进行端口随机打乱的操作(如无该参数, nmap 会将要扫描的端口以随机顺序方式扫描,以让 nmap 的扫描不易 被对方防火墙检测到)。 ?? 08.??? 09.?‐‐top‐ports? 10.??? 11.?‐‐port‐ratio? ? 2.3.3????端口扫描演示 这里,我们以扫描局域网内 192.168.1.100主机为例。 命令如下: nmap?–sS?–sU?–T4?–top-ports?300?192.168.1.100 参数 -sS表示使用 TCP?SYN方式扫描 TCP 端口; -sU表示扫描 UDP 端口; -T4表示时间级别配置 4级; --top-ports 300表示扫描最有可能开放的 300个端口(TCP 和 UDP 分别有 300个端口)。 2014/12/9Nmap 扫描原理与用法 ?-?网络安全技术修炼 ?-?博客频道 ?-?CSDN.NET 从上图中,我们看到扫描结果,横线处写明有共有 589端口是关闭的;红色框图中列举出开放的端口和可能是开 放的端口。 2.4????版本侦测 版本侦测,用于确定目标主机开放端口上运行的具体的应用程序及版本信息。 Nmap 提供的版本侦测具有如下的优点: 高速。并行地进行套接字操作,实现一组高效的探测匹配定义语法。 尽可能地确定应用名字与版本名字。 支持 TCP/UDP协议,支持文本格式与二进制格式。 支持多种平台服务的侦测,包括 Linux/Windows/Mac?OS/FreeBSD等系统。 如果检测到 SSL ,会调用 openSSL 继续侦测运行在 SSL 上的具体协议(如 HTTPS/POP3S/IMAPS)。 如果检测到 SunRPC 服务,那么会调用 brute-force?RPC?grinder进一步确定 RPC 程序编号、名字、版本 号。 支持完整的 IPv6功能,包括 TCP/UDP,基于 TCP 的 SSL 。 通用平台枚举功能(CPE ) 广泛的应用程序数据库(nmap-services-probes)。目前 Nmap 可以识别几千种服务的签名,包含了 180多种不同的协议。 2.4.1????版本侦测原理 简要的介绍版本的侦测原理。 版本侦测主要分为以下几个步骤: 1.?首先检查 open 与 open|filtered状态的端口是否在排除端口列表内。如果在排除列表,将该端口剔除。 2.?如果是 TCP 端口,尝试建立 TCP 连接。尝试等待片刻(通常 6秒或更多,具体时间可以查询文件 nmap-services-probes中 Probe?TCP?NULL?q||对应的 totalwaitms )。通常在等待时间内,会接收到目标机发送 的 “WelcomeBanner” 信息。 nmap 将接收到的 Banner 与 nmap-services-probes中 NULL?probe中的签名进 行对比。查找对应应用程序的名字与版本信息。 3.?如果通过 “Welcome?Banner” 无法确定应用程序版本,那么 nmap 再尝试发送其他的探测包(即从 nmap-services-probes中挑选合适的 probe ),将 probe 得到回复包与数据库中的签名进行对比。如果反复探测 都无法得出具体应用,那么打印出应用返回报文,让用户自行进一步判定。 4.?如果是 UDP 端口,那么直接使用 nmap-services-probes中探测包进行探测匹配。根据结果对比分析出 UDP 应用服务类型。 5.?如果探测到应用程序是 SSL ,那么调用 openSSL 进一步的侦查运行在 SSL 之上的具体的应用类型。 6.?如果探测到应用程序是 SunRPC ,那么调用 brute-force?RPC?grinder进一步探测具体服务。 2.4.2????版本侦测的用法 版本侦测方面的命令行选项比较简单。 [plain]? 01.?‐sV:?指定让 Nmap 进行版本侦测 ?? 02.??? 2014/12/9Nmap 扫描原理与用法 ?-?网络安全技术修炼 ?-?博客频道 ?-?CSDN.NET 03.?‐‐version‐intensity? 04.??? 05.?‐‐version‐light:?指定使用轻量侦测方式 ?(intensity?2)?? 06.??? 07.?‐‐version‐all:?尝试使用所有的 probes 进行侦测 ?(intensity?9)?? 08.??? 09.?‐‐version‐trace:?显示出详细的版本侦测过程信息。 ?? 2.4.3????版本侦测演示 命令: nmap?–sV?192.168.1.100 对主机 192.168.1.100进行版本侦测。 从结果中,我们可以看到 996个端口是关闭状态,对于 4个 open 的端口进行版本侦测。图中红色为版本信息。红 色线条划出部分是版本侦测得到的附加信息,因为从应用中检测到微软特定的应用服务,所以推断出对方运行的 Windows 的操作系统。 2.5????OS侦测 操作系统侦测用于检测目标主机运行的操作系统类型及设备类型等信息。 Nmap 拥有丰富的系统数据库 nmap-os-db,目前可以识别 2600多种操作系统与设备类型。 2.5.1????OS侦测原理 Nmap 使用 TCP/IP协议栈指纹来识别不同的操作系统和设备。在 RFC 规范中,有些地方对 TCP/IP的实现并没有 强制规定,由此不同的 TCP/IP方案中可能都有自己的特定方式。 Nmap 主要是根据这些细节上的差异来判断操作 系统的类型的。 具体实现方式如下: 1.?Nmap 内部包含了 2600多已知系统的指纹特征(在文件 nmap-os-db文件中)。将此指纹数据库作为进行 指纹对比的样本库。 2.?分别挑选一个 open 和 closed 的端口,向其发送经过精心设计的 TCP/UDP/ICMP数据包,根据返回的数据 包生成一份系统指纹。 3.?将探测生成的指纹与 nmap-os-db中指纹进行对比,查找匹配的系统。如果无法匹配,以概率形式列举出 可能的系统。 2.5.2????OS侦测用法 OS 侦测的用法简单, Nmap 提供的命令比较少。 [plain]? 01.?‐O:?指定 Nmap 进行 OS 侦测。 ?? 02.??? 03.?‐‐osscan‐limit:?限制 Nmap 只对确定的主机的进行 OS 探测(至少需确知该主机分别有一个 open 和 closed 的端 口)。 ?? 04.??? 05.?‐‐osscan‐guess:?大胆猜测对方的主机的系统类型。由此准确性会下降不少,但会尽可能多为用户提供潜在的操作 系统。 ?? 2.5.3????OS侦测演示 2014/12/9 Nmap 扫描原理与用法 ?-?网络安全技术修炼 ?-?博客频道 ?-?CSDN.NET 命令: nmap?–O?192.168.1.100 从上图中可看到,指定 -O选项后先进行主机发现与端口扫描,根据扫描到端口来进行进一步的 OS 侦测。获取的 结果信息有设备类型,操作系统类型,操作系统的 CPE 描述,操作系统细节,网络距离等。 3?????Nmap高级用法 3.1????防火墙 /IDS规避 防火墙与 IDS 规避为用于绕开防火墙与 IDS (入侵检测系统)的检测与屏蔽,以便能够更加详细地发现目标主机 的状况。 Nmap 提供了多种规避技巧,通常可以从两个方面考虑规避方式:数据包的变换(Packet?Change)与时序变换 (Timing?Change)。 3.1.1????规避原理 3.1.1.1????分片(Fragmentation ) 将可疑的探测包进行分片处理(例如将 TCP 包拆分成多个 IP 包发送过去),某些简单的防火墙为了加快处理速度 可能不会进行重组检查,以此避开其检查。 3.1.1.2????IP诱骗(IP?decoys) 在进行扫描时,将真实 IP 地址和其他主机的 IP 地址(其他主机需要在线,否则目标主机将回复大量数据包到不存 在的主机,从而实质构成了拒绝服务攻击)混合使用,以此让目标主机的防火墙或 IDS 追踪检查大量的不同 IP 地 址的数据包,降低其追查到自身的概率。注意,某些高级的 IDS 系统通过统计分析仍然可以追踪出扫描者真实 IP 地址。 3.1.1.3????IP伪装(IP?Spoofing) 顾名思义, IP 伪装即将自己发送的数据包中的 IP 地址伪装成其他主机的地址,从而目标机认为是其他主机在与之 通信。需要注意,如果希望接收到目标主机的回复包,那么伪装的 IP 需要位于统一局域网内。另外,如果既希望 隐蔽自己的 IP 地址,又希望收到目标主机的回复包,那么可以尝试使用 idle?scan或匿名代理(如 TOR )等网络 技术。 3.1.1.4????指定源端口 某些目标主机只允许来自特定端口的数据包通过防火墙。例如 FTP 服务器配置为:允许源端口为 21号的 TCP 包 通过防火墙与 FTP 服务端通信,但是源端口为其他端口的数据包被屏蔽。所以,在此类情况下,可以指定 Nmap 将发送的数据包的源端口都设置特定的端口。 3.1.1.5????扫描延时 某些防火墙针对发送过于频繁的数据包会进行严格的侦查,而且某些系统限制错误报文产生的频率(例如, Solaris?系统通常会限制每秒钟只能产生一个 ICMP 消息回复给 UDP 扫描),所以,定制该情况下发包的频率和发 包延时可以降低目标主机的审查强度、节省网络带宽。 3.1.1.6????其他技术 Nmap 还提供多种规避技巧,比如指定使用某个网络接口来发送数据包、指定发送包的最小长度、指定发包的 MTU 、指定 TTL 、指定伪装的 MAC 地址、使用错误检查和(badchecksum )。 更多信息 http://nmap.org/book/man-bypass-firewalls-ids.html? 3.1.2????规避用法 2014/12/9Nmap 扫描原理与用法 ?-?网络安全技术修炼 ?-?博客频道 ?-?CSDN.NET [plain]? 01.?‐f;?‐‐mtu? 02.??? 03.?‐D? 04.??? 05.?‐S? 06.??? 07.?‐e? 08.??? 09.?‐g/‐‐source‐port? 10.??? 11.?‐‐data‐length? 12.??? 13.?‐‐ip‐options? 14.??? 15.?‐‐ttl? 16.??? 17.?‐‐spoof‐mac? 18.??? 19.?‐‐badsum:?使用错误的 checksum 来发送数据包(正常情况下,该类数据包被抛弃,如果收到回复,说明回复来自防 火墙或 IDS/IPS)。 ?? 3.1.3????规避演示 使用命令: nmap?-v?-F?-Pn?-D192.168.1.100,192.168.1.102,ME?-e?eth0?-g?3355?192.168.1.1 其中, -F表示快速扫描 100个端口; -Pn表示不进行 Ping 扫描; -D表示使用 IP 诱骗方式掩盖自己真实 IP (其中 ME 表示自己 IP ); -e?eth0表示使用 eth0网卡发送该数据包; -g?3355表示自己的源端口使用 3355; 192.168.1.1是 被扫描的目标 IP 地址。 我们可以从 Wireshark 中看到数据包的流动情况:对于每个探测包, Nmap 都使用 -D选项指定的 IP 地址发送不同 的数据包,从而达到扰乱对方防火墙 /IDS检查的目的(更好的方式 -D选项中嵌入 RND 随机数,这样更具有迷惑 性)。当探测到 80端口时候,目标主机向我们回复了 SYN/ACK包回来(当然也向其他诱骗的 IP 回复 SYN/ACK包,我们无法接收到),证明 80端口是开放的。 ? 2014/12/9Nmap 扫描原理与用法 ?-?网络安全技术修炼 ?-?博客频道 ?-?CSDN.NET 3.2????NSE脚本引擎 NSE 脚本引擎(Nmap?Scripting?Engine)是 Nmap 最强大最灵活的功能之一,允许用户自己编写脚本来执行自 动化的操作或者扩展 Nmap 的功能。 NSE 使用 Lua 脚本语言,并且默认提供了丰富的脚本库,目前已经包含 14个类别的 350多个脚本。 NSE 的设计初衷主要考虑以下几个方面: 网络发现(Network?Discovery) 更加复杂的版本侦测(例如 skype 软件) 漏洞侦测 (Vulnerability?Detection) 后门侦测 (Backdoor?Detection) 漏洞利用 (Vulnerability?Exploitation) ? 3.2.1????NSE创建脚本方法 下面以 daytime.nse 脚本为例说明一下 NSE 格式。 NSE 的使用 Lua 脚本,并且配置固定格式,以减轻用户编程负担。通常的一个脚本分为几个部分: description 字段:描述脚本功能的字符串,使用双层方括号表示。 comment 字段:以 --开头的行,描述脚本输出格式 author 字段:描述脚本作者 license 字段:描述脚本使用许可证,通常配置为 Nmap 相同的 license categories 字段:描述脚本所属的类别,以对脚本的调用进行管理。 rule 字段 :描述脚本执行的规则,也就是确定触发脚本执行的条件。在 Nmap 中有四种类型的规则, prerule 用于 在 Nmap 没有执行扫描之前触发脚本执行,这类脚本并不需用到任何 Nmap 扫描的结果; hostrule 用在 Nmap 执行 完毕主机发现后触发的脚本,根据主机发现的结果来触发该类脚本; portrule 用于 Nmap 执行端口扫描或版本侦 测时触发的脚本,例如检测到某个端口时触发某个脚本执行以完成更详细的侦查。 postrule 用于 Nmap 执行完毕 所有的扫描后,通常用于扫描结果的数据提取和整理。在上述实例中,只有一个 portrule ,说明该脚本在执行端 口扫描后,若检测到 TCP?13号端口开放,那么触发该脚本的执行。 action 字段 :脚本执行的具体内容。当脚本通过 rule 字段的检查被触发执行时,就会调用 action 字段定义的函 数。 3.2.2????NSE脚本用法 Nmap 提供不少脚本使用的命令行参数。 [plain]? 01.?‐sC:?等价于 ?‐‐script=default,使用默认类别的脚本进行扫描。 ?? 02.??? 03.?‐‐script= 04.??? 05.?‐‐script‐args= 06.??? 07.?‐‐script‐args‐file=filename:?使用文件来为脚本提供参数 ?? 08.??? 09.?‐‐script‐trace:?显示脚本执行过程中发送与接收的数据 ?? 10.??? 11.?‐‐script‐updatedb:?更新脚本数据库 ?? 12.??? 13.?‐‐script‐help= 2014/12/9Nmap 扫描原理与用法 ?-?网络安全技术修炼 ?-?博客频道 ?-?CSDN.NET 主题推荐 dns 服务器 ftp 服务器 operating?system开源社区 思维导图 猜你在找 轻量级网页安全漏洞扫描工具-Wapiti libpcap使用 下一篇 C语言编程快速解决爱因斯坦谜题 3.2.3????NSE用法演示 配合脚本扫描 192.168.1.1,查看能否获得有用的信息。 命令如下: nmap?–sV?–p?80?–v?–script?default,http*192.168.1.1 从上图中,我们可以看到 Nmap 扫描到对方 80端口是开放的,然后使用了大量的名字为 http 开头的脚本对其进行 扫描。扫描过程发现在 http-auth脚本执行,出现了 “Basic?relm=TP-LINK?Wireless?N?router?WR740” 字样(红线 划出部分),这里已经挖掘对方的设备类型与具体版本信息。如果我们知道更多关于 WR740已知的漏洞,那么 就可以进行更进一步的渗透测试了。 4?????参考资料 4.1????书籍 Nmap?Network?Scanning Nmap 创始人 Fyodor 编写的 Nmap 的权威指南,非常详尽地描述 Nmap 的实现原理及使用方法。 Nmap 官方文档 正是来自该书部分章节。 Secrets?of?Network?Cartography 该书对 Nmap 的实现原理及使用场景有比较丰富的介绍。 Nmap?in?the?Enterprise:?Your?Guide?to?Network?Scanning这本书描述 Nmap 在企业领域的运用。 Nmap?mindmap.pdf 这 nmap 使用方法的思维导图(一页纸的图片),对 Nmap 用法整理很完整。 ? 4.2????网站 官网:www.nmap.org 安全工具排名:http://sectools.org/? 《网络安全原理与应用》考核说明 课程名称:网络安全原理与应用 适用专业:网络系统管理专业 课程类型: 专业技术学习领域必修课 总 学 时:64课时 先修课程:数据库基础 企业网络基础 计算机安装与维护 C语言编程实训 考核内容(知识点):(附 分值比重建议) 第一章 计算机网络安全概述 (10分) 网络安全的定义 安全就是最大程度地减少数据和资源被攻击的可能性 网络安全的5个基本要素 1、 保密性 2、 完整性 3、 可用性 4、 可控性 5、 不可否认性 网络安全所涉及的内容 1、 物理安全 2、 系统安全 3、 网络安全 4、 应用安全 5、 管理安全 网络安全防护体系结构图 第二章 黑客常用的系统攻击方法 (20分) 黑客入侵攻击的一般过程(6步骤) 1、 确认攻击的目标 2、 收集被攻击对象的相关信息 3、 利用适当的工具进行扫描 4、 建立模拟环境,进行模拟攻击 5、 实施攻击 6、 清除痕迹 使用X-SCAN扫描弱口令的方法及其密码字典的设置 %null% %username% 123456 12345678 123456789 111111 11111111 扫描参数,扫描模块,nt-server弱口令 网络监听的原理 Sniffer工作的基本原理就是让网卡接收一切所能接收的数据。Sniffer工作的过程基本上可以分为3步:把网卡置于混杂模式;捕获数据包;分析数据包 交换机端口镜像功能的配置命令 若将交换机端口f0/1设置为监听端口,端口f0/2作为被监听端口,且所有流入数据被监听。完成该端口镜像功能的配置命令 Switch(config)# monitor session 1 source interface f0/2 rx Switch(config)#monitor session 1 destination interface f0/1 Sniffer软件对一个特定协议类型数据包捕获的设置方法 IPC入侵、映射网络驱动盘及远程执行文件等入侵命令的使用(重点考核命令操作) 木马的工作过程 1、 配置木马 2、 传播木马 3、 启动木马 4、 建立连接 5、 远程控制 能判断出拒绝服务攻击与分布式拒绝服务攻击的区别 dos凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击,但是DDOS和DOS还是有所不同,DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务,常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。 第三章 计算机病毒(15分) 计算机病毒的定义 一般来说,凡事能够引起计算机故障、破坏计算机数据的程序或指令集合统称为计算机病毒,依据此定义,逻辑炸弹、蠕虫等均可称为计算机病毒 计算机病毒的发展阶段 1、 DOS引导阶段 2、 DOS可执行阶段 3、 伴随阶段 4、 多行阶段 5、 生成器、变体机阶段 6、 网络、蠕虫阶段 7、 视窗阶段 8、 宏病毒阶段 9、 邮件病毒阶段 10、 手持移动设备病毒阶段 计算机病毒的特征 1、 传染性 2、 破坏性 3、 潜伏性及可触发性 4、 非授权性 5、 隐蔽性 6、 不可预见性 引导型病毒和文件型病毒的感染过程 计算机病毒的结构 1、 引导模块 2、 传染模块 3、 表现模块 计算机防病毒技术的种类 1、 特征代码法 2、 校验和法 3、 行为监测法 4、 虚拟机技术 使用单机杀毒软件的设置方法 第四章 数据加密技术 (20分) 密码学的三个发展阶段。 1、 第1阶段:古典密码学阶段 2、 第2阶段:现代密码学阶段 3、 第3阶段:公钥密码学阶段 利用单表及多表替换技术、换位密码技术进行加解密计算 对称及非堆成加密算法的通信模型 对称加密及非对称加密技术各自优点及缺点 对称算法,数据加密标准,速度较快,适用于加密大量数据的场合。 对称式加密就是加密和解密使用同一个密钥,通常称之为“Session Key ”这种加密技术目前被广泛采用,如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法,它的Session Key长度为56Bits。 非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必需配对使用,否则不能打开加密文件。这里 的“公钥”是指可以对外公布的,“私钥”则不能,只能由持有人一个人知道。它的优越性就在这里,因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方,不管用什么方法都有可能被别窃听到。而非对称式的加密方法有两个密钥,且其中的“公钥”是可以公开的,也就不怕别人知道,收件人解密时只要用自己的私钥即可以,这样就很好地避免了密钥的传输安全性问题 数字签名的通信模型 报文鉴别的实现示意图 PGP工作原理及使用方法 第五章 防火墙技术(25分) 防火墙在网络中的安装位置结构图(untrust\trust\DMZ区域) 防火墙的功能 在逻辑上,防火墙是一个分离器、一个限制器、也是一个分析器,有效地监控了内部网和internet之间的任何活动,保证了内部网络的安全。 通过结构图判断防火墙体系结构类型 1、 双宿主主机体系结构 2、 被屏蔽主机体系结构 3、 被屏蔽子网体系结构 防火墙技术分类 1、 包过滤防火墙 2、 代理防火墙 3、 状态检测防火墙 4、 复合型防火墙 网关包过滤防火墙的ACL和NAT技术的应用及配置方法(重点掌握) 瑞星个人防火墙的使用 第六章 不涉及(本课不考核,该章内容在winserver2003课程中考 核) 第七章 web的安全性 (5分) 了解web服务器存在的漏洞 1、 操作系统本身的安全漏洞 2、 明文和弱口令漏洞 3、 Web服务器本身存在的一些安全漏洞使一些人能入侵到主机系 统破坏一些重要的数据,甚至造成系统瘫痪 4、 CGI安全方面的漏洞 比较各种身份验证方式的安全性高低(匿名、基本、摘要、window身份验证) 申请、安装数字证书的方法 第八章 网络安全工程(5分) 网络安全策略制定原则 1、 适用性原则 2、 动态性原则 3、 简单性原则 4、 系统性原则 5、 最小授权原则 掌握常用的网络安全策略 1、 网络规划安全策略 2、 网络管理员安全策略 3、 访问服务器网络安全策略 4、 远程访问服务安全策略 5、 系统用户的安全策略 6、 上网用户的安全策略 7、 远程但闻用户的安全策略 网络安全性等级划分 第一级:用户自主保护级 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级 第五级:访问验证保护级 随着计算机网络的不断发展和普及,计算机带来了无穷的资源,随之而来的网络安全问题也显得尤为重要。近两年间,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理。随着网络规模的急剧膨胀。网络用户的快速增长,如何保证网络能正常的运行不受各种网络黑客的侵害就成了不可回避的一个紧迫问题。解决网络安全问题刻不容缓。 计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,信息数据的保密性,完整性,完整性,可用性,可控性和真实性受到保护。 关键词:安全管理技术;信息安全;防火墙技术;病毒防治 随着信息化的不断扩展,各类网络版应用软件推广应用,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。现代网络技术中最关键也是最容易被忽视的安全性问题,现在已经成为人们关注的焦点,也成为热门研究和人才需要的新领域。未了保证网络信息俺去以及网络硬件及系统的正常顺利运转是基本前提,因此计算机网络和技术安全建设就显得尤为重要。 一、 网络安全技术:网络安全技术的种类有很多,具体包括:密码学中的加密技术、消息鉴别与数字证书、网络安全协议、防火墙、病毒知识与防护、入侵检测技术、网络系统安全。目前,我国信息网络安全技术及产品发展迅速,其中,计算机病毒防治、防火墙、安全网管、黑客入侵检测及预警、网络安全漏洞扫描、主页自动保护、有害信息检测、访问控制等一些关键性产品已实现国产化。但是,正如《国家信息安全报告》强调指出:“这些产品安全技术的完善性、规范性、实用性还存在许多不足,特别是在多平台的兼容性、多协性的适应性、多接口的满足性方面存在很大距离,理论基础和自主技术手段也需要发展和强化”。 通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与审查性。 二、 网络安全现状 网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自何处。 风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析,分析必须包括所有有关的成分。 1.广域网安全风险分析 广域网安全系统包括技术和管理两个面,涵盖物理层、系统层、网络层、应用层和管理层各个层上面的诸多风险类。网络哪个层上面的网络措施不到位,都回存在很大的安全隐患,都有可能造成网络中断。 1)信息与网络安全的防御能力较弱。 2)对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。 我国从发达国家和跨国公司引进和购买了大量的信息技术和设备,但由于受技术水平等限制,许多单位和部门对从外国引进的关键信息设备可能预做手脚的情况却无从检测和排除,以致我们几乎是在“抱着定时炸弹”工作。 3)基础信息产业博瑞,核心技术严重依赖国外。 4)信息安全管理机构缺乏权威。 信息安全特别是在经济等领域的安全管理条块分割、相互隔离,缺乏沟通和下调。没有国家级的信息安全最高权威机构以及与国家信息化程相一致的信息安全工程规划。 5)信息犯罪在我国有快速发展之趋势。 随着信息设备特别是互联网的大幅普及,各类信息犯罪活到亦呈现出快速发展趋势。今年来,境外一些**势力还在因特网上频频发散反动言论,而各种电脑病毒及黑客对计算机网络的侵害屡屡发生。据不完全统计,我国目前已发现的 计算机病毒约有2000-3000多种,而且还在以更快的速度增加着。 6)信息安全技术设备的研发和应用有待提高。 2.局域网安全风险分析 局域网是指在小范围内有服务器和多台电脑组成的工作组互联网络。由于通过交换器和服务器连接网内每一台电脑,因此局域网内的传输速率不较低,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传输提供了有效地通道和数据信息的安全埋下了隐患。欺骗性的软件使用数据安全性降低。 由于局域网很大的一部分用处是自愿共享,而且正是由于共享资源的“数据开放性”导致数据信息容易被篡改和删除,数据安全性较低,例如“网络钓鱼攻击”,钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件,意图已有收信人给出的敏感信息。最长用的手法是冒充一些真正的网站来骗取用户的敏感的数据(户名、口令、账号ID、ATM PIN码或信用卡详情等)。由于大型网站反应比较迅速,而且所踢狗的安全功能不断增强,网络钓鱼已经越来越多地把目光对准了较小的网站,同时由于用户缺乏数据备份等数据安全方面知识和售段,因此会造成经常性的信息对视等现象发生。 三、 信息系统安全技术分类 建立信息安全保障体系,需要从便捷方位、检测和安全反应等着手。信息安全技术考试从边界方向建立信息安全保障体系综合技术方向发展 1.边界方位技术 边界方位技术主要提高抵御能力,可分为物理实体的防护技术和信息防护(防泄漏、放破坏)技术。 物理实体防御技术:主要是对有形的信息载体实施保护,使之不被偷窃、复制或丢失。如磁盘信息消除技术,室内防盗报警技术,密码锁、指纹锁、眼底锁等。信息载体的传输、使用、保管、销毁等各个环节都可应用这类技术。信息防护技术:主要是对信息的处理过程和传输过程实施保护,使之不被非法入侵、外传、窃听、干扰、拷贝。 信息处理的防护主要有二种技术:一种是软硬件加密保护技术,如口令证、密码技术、防病毒技术等;另一种是网络保密技术,主要是指防止内部网秘密信息非法外传的保密网关、安全路由器、防火墙等。 信息传输的防护也有两种技术:一种是对信息传输信道采取措施,如专网通信技术、光纤同喜技术、干扰技术等;另一种是对传递信息使用密码技术进行加密,是窃听这既是截获信息也无法知悉其真实内容。常用的加密设备有电话保密机 传真保密机、电子邮件密码系统等。 2.检测技术 系统运行过程中,检测信息是否被窃取,系统是否遭到入侵,并找出泄露的原因和攻击的来源。 入侵检测技术是发现“敌人”渗透企图和入侵行为的技术。现实情况表明,网络信息系统越来越复杂,系统设计漏洞和管理漏洞层出不穷。在近年发生的网络攻击时间中,突破边界防卫系统的案例并不多见,黑客们的攻击行动主要是利用各种漏洞长驱直入,使边界防卫设施形同虚设。 3.安全反应技术 将“敌人”攻击为怀降低到最小限度的技术。安全的网络信息形同必须具备在被攻陷后迅速恢复的能力。 综合安全保障体系:实施防御、常规评估和基础设施。 实施防御:入侵基础、应急响应、灾难恢复和防守反击等。入侵检测模块对通过防火墙的数据流进一步检查,阻止恶意攻击;应急响应模块对攻击时间进行应急处理;灾难恢复模块按照策略对遭受破坏的信息进行恢复;防守反击模块按照策略实施反击。 常规评估:利用脆弱性数据库检测系统存在的安全隐患,为实时防御和常规评估系统。 对抗性:防护技术与攻击技术相伴而生,相对抗而存在和发展。 多样性:设计的技术种类很多,如涉及有线无线通信技术、计算机技术、电子技术等;服务对象多,服务范围广,涉及到办公自动化的所有设备和人类信息交流的全过程。 密码性:攻击者和防护者总是力图隐蔽自己所采用的技术手段和方法,避免对方有针对性地采用更先进的技术措施。 四、 计算机系统安全主要应解决好的以下问题 1. 物理链路的安全,通过采用链路加密、专网技术和通信线路管制的手段提高通信线路的安全防护能力。 2. 系统的安全,通过采用技术手段和防护设备提高系统对攻击者的抵御能力。 3. 信息的安全,通过采用加密的手段确保计算机系统中存储、处理、传输的信息不被非法访问、截收、更改、复制、破坏、删除。 4. 设备环境的安全,通过一定的技术手段确保信息设备的电磁泄漏辐射符合保密标注,安放设备的房间安全可靠等。 5. 技术手段与管理、教育相结合,通过健全法律、法章制度和加强思想教育杜绝管理上的漏洞和思想认识上的漏洞。 6. 服务器区域没有进行独立防护。局域网内计算机的数据快速、便捷快递,造就了病毒感染的直接性和快速性,如果局域网中服务器区域不进行独立保护,其中一台电脑感染病毒,并且拖过服务器进行信息传递,就会感染服务器,这样的局域网中任何一台通过服务器信息传递的电脑,就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击,但无法抵挡来自局域网内部的攻击。 五、 密码学中的加密技术 1. 密码学的基本概念 密码编码是密码体制的设计学,二密码分析学则是在未知密钥的情况下从密文推演出文明或密钥的技术。密码编码与密码分析学合起来即为密码学。如果不论截取者获得多少密文,但在密文中都没有足够的信息来唯一地确定出对应的明文,则这一密码体制称为无条件安全的,或称为理论上是不可破的。因此,人们关心的是要研制出在计算机(而不是理论上)是不可破的密码体制。如果一个密码体制中的密码不能被可以使用的计算资源破译,则这一密码体制称为在计算上是安全的。 2. 密码分析者常用的方法 穷举攻击:尝试密钥空间中所有可能的密钥,从统计学的角度讲,要尝试完密钥空间中大约一半的密钥才可能碰到正确的密钥。今天标准的对称密钥的长度是128bit,档密钥空间增大时,尝试的次数必然增大,从而增加穷举攻击的难度 六、 消息鉴别与数字证书 1. 数字签名机制 数字签名是消息安全的一个重要研究领域,使用数字签名的主要目的与手写签名一样:证明消息发布者的设分。 数字签名实现以下几个目的: 1)可信:接受者通过签名可以确信消息来自声明的发送者。 2)不可伪造:签名应当是独一无二,其他人无法假冒和伪造。 3)不可重用:签名是消息的一部分,不能被挪用到其他文件上。 2. 数字签名的基本原理 数字签名实际上是附加在数据单元上一些数据或是对数据单元所作的密码变换。这种数据或交换能使数据单元的接受者确认数据单元的来源和数据的完整性。 签名机制的基本特征是该签名只有通过签名者的私有信息才能产生,即一个签名者的签名只能唯一由他自己生成。 当首犯双方发生争执的时候,第三方(仲裁机构)能够根据信息上的数字签名来裁定这条信息是否确实由送方发出,从而实现抵赖服务。 3. 数字证书 数字证书就是网络通信中标志通信各方身份信息的一系列数据,就像实现生活中我们拥有一张身份证和驾驶执照一样,它可以表明持证人的身份或持证人具有某种资格。 以数字证书为核心的加密技术可以对网络上传输的信息进行加密、解密、数字签名和签名验证,确保网上传递信息的机密性、完整性、以及交易实体身份的真实性,签名的不可否认性,从而保证网络应用的安全性。 4. 数字证书的分类 1) 个人证书:书中包含个人身份信息和个人的公钥,用于标识书持有人的个人身份。数字安全证书和对应的私钥存储于E-key中,用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中表明身份。 2) 企业或机构身份证书:证书中包含企业信息和企业的公钥,用于标识证书持有企业的身份。数字安全证书对应的私钥储存与E-key或IC卡中,可以用于企业在电子商务方面的对外活动,如合同签定、网上证券交易、交易支付信息等方面。 3) 支付网关证书:支付网关证书是正式签发中心针对支付网签发的数字证书, 是支付网实现数据加解密的主要工具,用于数字签名和信息加密。支付网关证书只能在有效状态下使用,且不能被申请转让。 4) 服务器证书:符合X.509标准的数字安全证书,证书中包含服务器信息和服务器的公钥,在网络通讯中用于标识和验证服务器的身份。数字安全证书和对应的私钥存储于E-key中。服务器软件利用证书机制保证与其他服务器或客户端通信时双方的者实行、安全性、可信任度等。 5) 企业或机构代码签名证书是CA中心发给软件提供商的数字证书,包含软件提供商的身份信息、公钥及CA的签名。软件提供商使用代码签名证书对软件进行签名后放到Internet上,当用户在Internet上下载前,没有遭到修改或破坏。 6) 安全电子邮件证书:符合X.509标准的数字安全证书,通话IE或Netscape申请,用IE申请这书存储于WINDOWS的注册表中,用NETSCAPE申请的存储于个人用户目录下的文件中。用于安全电子邮件或向需要客户签证的WEB服务器(https服务)表明身份。 7) 个代码签名证书:个人代码签名证书是CA中心签发给软件提供人的数字证书,包含软件提供个人的身份信息、公钥及CA的签名。当用户在Internet上下载该软件时,将会得到提示,从而可以确信:软件的来源,软件自签名后到下载前,没有遭到破坏。 七、 网络安全协议 1. SLL的协议 SSL(Secure Socket Layer)是Netscape公司设计的主要用于web的安全传输协议。 2. SSL协议的位置 SLL协议要求建立在可靠的传输层协议{如:TCP}之上。SSL协议的优势在于它是与应用层协议独立无关的。 3. 主要功能 1)SSL服务器认证:允许用户query服务器身份。支持SSL协议的客户机软件能使用公钥密码标准技术检查服务器证书、公用ID身份有效和是否游客户信任的CA类表内的认证机构发放。 2)SSL客户机认证:允许服务器确认用户身份。使用应用于服务器认证同样的技术,支持SSL协议的服务器软件能加成客户证书、公用ID身份是否有效和身份由在服务器信任的认证机构列表内的CA发放。 3)机密性:一个加密的SSL链接要求所有的客机与服务器之间发送的信息由发送方软件加密和由接受方软件解密,这样提供了高度机密性。 4)完整性:所有拖过加密SSL链接的数据都被一种检测篡改的机制所保护,这种机制自动地决定出书中的数据是否已经被更改。 4. 四个目标 1)加密安全性:在双方之间建立安全的链接。 2)协同工作能力:独立程序员能够使用SSL3.0开发应用,然后在不知道他人代码的情况下成功的交换加密参数。 3)可扩展性:SSL致力于提供一种框架,在必须时新的公钥和大批加密方法可选的绘画缓冲方案以降低链接数量,建设网络操作行为。 八、 安全服务 网络是个冬天的系统,他的变化包括网络设备的调整,网络配置的变化,各 种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,打算随着网络结构和应用的不断变化,安全策略可能失效,必须即使进行相应的调整。针对以上问题和网管人员的不足。 1. 通信伙伴认证 通信伙伴认证服务的作用是通信伙伴之间相互确认的身份,防止他人插入通信过程。认证一般在通信之前进行。但是不要的时候也可以在通信过程中随时进行。认证有两种形式,一种是检查一方标识的单方认证,一种是通信双方相互检查对方标识的相互认证。 2. 访问控制 访问控制服务的作用是保证只有被授权的用户访问网络和利用资源。访问控制的基本原理是检查用户标识,口令,根据授予的权限限制其对资源的利用范围和程度。 访问控制服务通过服务控制机制实现。 3. 资料保密 数据保密服务的作用是防止资料被无权者阅读。数据保密既包括存储中的数据,也包括出书中数据。保密查以对待特定档,通信链路,甚至档中指定的字段进行。数据保密服务可以通过加密器机制和路由控制机制实现。 4. 业务流分析保护 业务流分析保护服务的作用是防止通过分析业务流来获取业务量特征,信息长度以及信息源和目的地等信息。 业务流分析保护服务可以加密机制,伪装业务流机制,路由控制机制实现。 5. 数据完整性保护 数据完整性保护服务的作用是保护存储和传输中的数据不被删除、更改、插入和重复,必要时刻服务也可以包含一定的恢复功能。 资料完整性保护服务可以通过加密机制,数字签名机制以及数据完整性机制实现。 6. 签字 签字服务是用发送签字的备份来对信息的接受进行确认,以证明和承认信息是由签字者发出或接收的。这个服务的作用在于避免通信双方对信息的来源发生争议。 签字服务同福哦数字签名机制及其公证机制实现。 九、 防火墙技术 1. 防火墙的基本概念 所谓“防火墙”,是指一种将内部网和公众网络分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通信时执行的一种访问控制手段,他能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度的组织网络中的黑客来访问你的网络,防止他们更改、复制和毁坏你的重要信息。 2. 防火墙的功能 1)过滤掉不安全服务和非法用户 2)控制对特殊站点的访问 3)提供监视Internet安全和预警的方便端点 3. 防火墙的不足 1)防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受 限制的向外拨号,一些用户可以形成与Internet的直接的链接,从而绕过防火墙,造成一个潜在的后门攻击渠道。 2)防火墙不能防止感染了病毒的软件或文件的传输。这只能在每天主机上装上反病毒软件。 3)防火墙不能防止数据驱动攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。 十、 病毒知识与防护 1. 计算机病毒的概念 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 2. 病毒发展史 第一次提出病毒一词,计算机之父冯?诺依曼半世纪于艳丽电脑病毒的出现——称为病毒。 第一次试验证明了计算机病毒的存在,1983年11月3日,弗雷德?科恩博士研制出一种在运行中可以复制自身的破坏性程序,伦?艾德勒曼将它命名为计算机病毒,并在每周一次的计算机安全讨论会长正式提出,8小时后专家们在VAX11/750计算机系统上运行,第一次病毒试验成功。 第一个PC机病毒,1986年发现巴基斯坦大脑,它是属于引导区型病毒,是由巴基斯坦的巴锡特和阿姆杰德两兄弟设计的。在一年内流传到世界各地。 第一个中国发现的病毒,1989年发现的“小球”病毒。 3. 局域网病毒防治 病毒的入侵必将对系统资源构成威胁,影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短时间内使整个网络处于瘫痪状态,从而造成巨大的损失。因此,防治病毒的侵入要比发现和消除病毒更要。防毒的重点是控制病毒的传染。病毒的关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防毒体系本身是建立在每个局域网的防病毒系统上的,主要从以下几个方面制定有针对性的防病毒策略: 1)增加安全意识和安全意识,对工作人员定期培训。首先明确病毒的危害,文件共享的时候尽量控制权限和增加密码,对来历不明的文件运行前要进行查杀等,都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒,主管能动性起重要性作用。 2)小心使用移动储存设备。在使用移动储存设备之前进行病毒的扫描和查杀,也可以把病毒拒绝在外。 3)挑选网络版杀毒软件。一般而言,查杀是否彻底,界面是否友好、方便,能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。 通过以上策略的设置,能够及时发现网络运行中村中的问题,快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点,及时、准确的切断安全事件发生点和网络。 局域网安全控制与病毒防治是一项长期二艰巨的任务,需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全监理已不再像单台计算机安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。 4. 广域网病毒的十项防范措施 1)尽量使用无盘工作站,不用或少用有软驱的工作站。工作站是网络的门户,只要把好这一关,就能够有效的防止病毒入侵。 2)采用专用文件服务器,将硬盘划分开出一“NetWare”分区,用软盘启动文件服务器。这种方法启动速度虽慢,但却增强了系统的安全线。 3)少用“Supervision”登陆,建立用户组或功能化的用户,适当将其部分权限下放。这样赋予组管理员某些权限和责任,既能简化管理,又能保证网络安全系统的安全。 4)运行NetWare提供的“SECURITY”使用程序,找出网络系统中最薄弱的环节,检测并堵塞潜在的漏洞。“SWCURITY”能发现网络中许多问题,诸如口令不保密、未指定用户口令、与管理员同等权限、在任何卷的根目录下都有访问特权、在标准目录中的权限超过了应有的范围等问题。 5)正确设置文件属性,合理规范用户的访问权限。NetWare提供了目录与文件访问权限和属性两种安全性措施,可有效地防止病毒侵入,具体措施如下: a. 一般不允许多个用户对同一目录有“读”和“写”权,不允许对其他用户的死人目录有“读”和“写”权。 b. 将所有用户对PUBUC\LOGIN等目录的权限设置为“读”和“写”。将扩展名为EXE和COM的文件属性设为“只读”和“只写”,这种设置还可将文件属性“Delete Inhibitor”和“Rename Inhibitor”等赋予文件。 c. 组目录只允许含有数据文件,一般用户只能“Read”和“Scan”等。 d. 特殊情况小授权一个用户在某些目录中有“Access Control”和“Supervision”权。 6)对非共享软件,将其执行文件和覆盖文件如*.COM\*.EXE\*OVL等备份到文件服务器上,定期从服务器上拷贝到本地硬盘上进行重写操作。 7)接收远程文件输入时,一定不要将文件直接写入硬盘,而应将远程输入文件写到软盘上,然后对其进行查毒,确认无毒后再拷贝到本地硬盘上。 8)采用工作站防病毒芯片,在工作站的DOS引导过程中,防毒芯片即获控制权,这样可防止引导型本地。 9)采用优秀的网络防毒软件。 10) 建立健全的网络系统管理制度,严格操作规程和规章制度,定期作文件备份和病毒检测。 结 论 随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题,网络安全性是一涉及面很广泛的问题,其中他会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时。他关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和回放的问题,以及发送者是否曾发过该条消息的问题。 本论文从多方面描述了网络安全的解决方案,目的在于为用户提供信息的报名,认证和完整性的保护机制,使网络中的服务,数据以及系统免侵扰和破坏。要做到全面的网络安全,需要综合考虑各个方面,包括系统自身的硬件和软件安全,也包括完善的网络管理制度以及先进的网络安全技术等。未来的信息网络安全技术可从数据的加、解密算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件加密和网络保护、安全监听系统和防病毒软件等领域来进行考虑和完善。 参考文献 【1】 杨永高.基于TCP/IP协议的IP网关的设计与实现【J】.小型微型计算机系 统.1966::12-14 【2】 李鸿培.入侵检测中几个关键问题的研究【D】.西安:西安电子科技大 学.2001::45-130 【3】 杨水利、金毅 多项目决策问题的一种求解方法 中国运筹学学会第五届学 术议论文集 西安电子科技大学出版社(ISBN7-5606-0488-9/O.0030)96年10月 【4】 冯普胜.ARP 病毒处理方法【J】.内蒙古电力技术.2008(5) 【5】 王秀和、杨明.计算机网络安全技术浅析【J】.中国教育技术设备.2007(5) 【6】 李辉.计算机网络安全与对策【J】.潍坊学院学报.2007(3) 致谢 我的论文是在我的导师王建新老师的亲切关怀和悉心指导下完成的。老师渊博的专业知识,严谨的治学态度,精益求精的工作作风,诲人不倦的高尚师德,严以律己、宽以待人的崇高风范,朴实无华、平易近人的人格魅力对我影响深远。不仅是我树立了远大的学术目标、掌握了基本的研究方法,还使我明白了许多待人接物与人处事的道路。他严肃的科学态度,严谨的治学精神,精益求精的工作作风,深深地感染和激励着我。从课题的选择到项目的最终完成,每一步都是在王师的指导下完成了,倾注了老师大量的心血,并且王老师都始终给予我细心的指导和不懈的支持。在此谨向王老师致以诚挚的谢意和崇高的敬意。 在此,我还要感谢在一起愉快的度过大学生活的每个可爱的同学们和尊敬的老师们,正是由于你们的帮助和支持,我才能克服一个一个的困难和疑惑,直至本文的顺利完成。 在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚的谢意!谢谢你们! 网 络 安 全 与 技 术 计算机网络安全之防火墙概述 随着计算机网络技术的普及和越来越广泛地应用于工业、农业、交通等国民经济各个领域和国防建设和军事领域,计算机网络时常出现的安全问题日益增多,存在的安全隐患,促使人们采取各种方案保护计算机网络的安全。21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我们将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我们要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。 网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样 化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。 信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。 网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。?? 虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。 自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。 防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。 作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。 防火墙大家也都不陌生,目前网络上面也提供很多的免费防火墙下载,比较常见的防火墙有ARP防火墙、ddos防火墙、360防火墙等等。其实防火墙按照特性分为三类:软件防火墙、硬件防火墙、芯片级防火墙,他们的特点和作用如下: 1.软件防火墙 软件防火墙是我们使用最多的防火墙,软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过 于(Checkpoint)。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。 2.硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上所谓二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的(Unix、Linux和FreeBSD)系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS操作系统本身的安全性影响。 传统硬件防火墙一般至少应具备三个端口,分别接(内网,外网和DMZ区)非军事化区,现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。 3.芯片级防火墙 "芯片级"防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有(NetScreen、FortiNet、Cisco)等。这类防火墙由于是专用OS操作系统,因此防火墙本身的漏洞比较少,不过价格相对比较高昂。 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。 1.包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个 数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。 2.网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。 在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。 3.代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。 4.监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品 虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。 实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。 当前信息安全技术发展迅速,但没有任一种解决方案可以防御所有危及信息安全的攻击,这是“矛”与“盾”的问题,需要不断吸取新的技术,取众家所长,才能使“盾”更坚,以防御不断锋利的“矛”,因此,要不断跟踪新技术,对所采用的信息安全技术进行升级完善,以确保相关利益不受侵犯。 我国信息网络安全技术的研究和产品开发尚处于起步阶段,就更需要我们去研究、开发和探索,以走有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国网络信息的安全,推动我国围民经济的高速发展。 转载请注明出处范文大全网 » 《网络安全原理与技术》重点范文二:Nmap扫描原理与用法 - 网络安全技术修炼
范文三:《网络安全原理与技术》考试重点
范文四:网络安全与技术
范文五:网络安全与技术