局域网系统安全防范教材

提升网络技术打造网络技能人才 本章内容本章内容7.1 7.2 7.3 防火墙技术防火墙技术 7.4 7.5 虚拟专用网技术虚拟专用网技术 7.6 课后小结与习题课后小结与习题第7章提升网络技术打造网络技能人才【知识目标】【知识目标】1.掌握网络存在的安全威胁以及防范手段。掌握网络存在的安全威胁以及防范手段。2.掌握网络防毒的基本知识。掌握网络防毒的基本知识。3.了解入侵检测系统基础知识。了解入侵检测系统基础知识。4.掌握防火墙的基本原理与典型应用技术。掌握防火墙的基本原理与典型应用技术。5.了解漏洞扫描原理与常见的漏洞扫描软件。了解漏洞扫描原理与常见的漏洞扫描软件。6.了解了解VPN的具体应用。的具体应用。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才【技能目标】【技能目标】1.能利用漏洞扫描工具检测系统漏洞，分析漏洞扫描结果，并制定相应的修补措施。2.能完成防火墙（硬件）以及网络防病毒软件的部署设计。3.能对服务器进行安全设置。4.能建立配置VPN连接。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.1 局域网安全分析与入侵检测局域网安全分析与入侵检测 计算机网络的不断发展已经使全球信息化成为人类发展的大趋势，但是，由于计算机网络的自身缺陷+开放性+黑客攻击，所以网上信息的安全和保密是一个至关重要的问题。特别是对于军用的自动化指挥网络、国家安全系统和银行系统等传输敏感数据的计算机网络系统而言，其网上信息的安全和保密尤为重要。因此，网络安全措施应是能全方位的，而且针对各种不同的威胁，只有这样才能确保网络信息的保密性、完整性和可用性。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.1.1 网络安全管理与安全威胁学习目标：网络安全管理与安全威胁学习目标：1.网络安全的含义网络安全的含义2.网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不被偶然的或者恶意的攻击而遭到破坏、更改和泄露，而且网络系统连续可靠地正常运行。而实际上，网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护局域网组建与维护网络安全模型网络安全模型提升网络技术打造网络技能人才2.网络安全的威胁网络安全的威胁第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才DDoS攻击的过程攻击的过程 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护局域网组建与维护网络漏洞或系统漏洞攻击网络漏洞或系统漏洞攻击 提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护局域网组建与维护3.网络安全策略网络安全策略（1）物理安全策略：物理安全策略的目的是保护计算机系统、网络服务器和打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击。这种安全策略需要验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护局域网组建与维护（2）访问控制策略：访问控制策略是网络安全防范和保护的主要策略，包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制，以及防火墙控制等，主要任务是保证网络资源不被非法使用和非正常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护局域网组建与维护（3）信息加密策略：信息加密策略的目的是保护网络中的数据、文件、密码和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密3种。链路加密的目的是保护网络节点之间的链路信息安全；端点加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。信息加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。用户可根据网络情况酌情选择上述加密方式。提升网络技术打造网络技能人才第7章局域网系统安全防范局域网组建与维护局域网组建与维护（4）网络安全管理策略：在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络安全可靠地运行将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。提升网络技术打造网络技能人才7.2.2 系统安全漏洞分析系统安全漏洞分析1什么是漏洞什么是漏洞 计算机系统是由若干描述实体配置的当前状态所组成的，这些状态可分为授权状态、非授权状态以及易受攻击状态、不易受攻击状态。容易受攻击的状态是指通过授权的状态转变从非授权状态可以到达的授权状态。受损状态是指已完成这种转变的状态，攻击是非受损状态到受损状态的状态转变过程。漏洞就是指区别于所有非受损状态的容易受攻击的状态特征。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才漏洞特点：漏洞特点：编程过程中出现逻辑错误是很普遍的现象，这些错误绝大多数都是由于疏忽造成的。数据处理 例如对变量赋值 比数值计算更容易出现逻辑错误，过小和过大的程序模块都比中等程序模块更容易出现错误。漏洞和具体的系统环境密切相关。在不同种类的软、硬件设备中，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。漏洞问题与时间紧密相关。随着时间的推移，旧的漏洞会不断得到修补或纠正，新的漏洞会不断出现，因而漏洞问题会长期存在。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才端口类型端口类型一种是一种是TCP端口，一种是端口，一种是UDP端口。计算机之间相端口。计算机之间相互通信的时候，分为两种方式：一种是发送信息以互通信的时候，分为两种方式：一种是发送信息以后，可以确认信息是否到达，也就是有应答的方式，后，可以确认信息是否到达，也就是有应答的方式，这种方式大多采用这种方式大多采用TCP协议；一种是发送以后就不协议；一种是发送以后就不管了，不去确认信息是否到达，这种方式大多采用管了，不去确认信息是否到达，这种方式大多采用UDP协议。对应这两种协议的服务提供的端口，也协议。对应这两种协议的服务提供的端口，也就分为就分为TCP端口和端口和UDP端口。端口。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才常见常见TCP端口端口 第7章局域网系统安全防范局域网组建与维护局域网组建与维护常见常见UDP端口端口 提升网络技术打造网络技能人才2漏洞扫描工具漏洞扫描工具 第一种针对一个连续网段扫描特定端口。这种工具常用于寻找特定主机或者特定服务，比如WEB服务器，也可以用来检测是否中了木马，比如检测7626端口来检测冰河。这种工具有NetBrute等。第二种针对一台特定的服务器扫描所有端口。这种工具常用于攻击一台特定主机以前搜集此主机的大致信息，确定攻击方案。这种工具有SuperScan等。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才X-SCAN界面设置界面设置 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才X-SCAN扫描网段结果扫描网段结果 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才补充：补充：SuperScan软件介绍软件介绍：小巧易用，使用方法比较简单，而且，软件对常用端口有介绍；可以选择需要扫描的端口也可以选择所有端口；可以选择扫描多个网段；其他功能，比如取得计算机主机名计算机，设定扫描速度。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 SuperScan界面组成界面组成 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 SuperScan端口设置端口设置 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 SuperScan端口扫描结果端口扫描结果 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才SuperScan使用注意要点：使用注意要点：1）明确扫描目的。任何对目标主机的扫描都会给目标主机带来一定的额外负载，当扫描端口较多的时候，扫描者就有必要考虑扫描的目的。如果只是常规维护，当然扫描的时候在主机负载较少的时候最好；如果为了攻击作准备，最好扫描以前考虑清除对目标计算机产生的影响同时考虑是否触犯国家有关法律法规。2）扫描结果的查看。扫描结束以后，很多使用者发现目标计算机一个端口也没有打开！其实不是这样的，软件设计者在设计软件的时候没有注意结果栏背景色，所以，在扫描的IP地址前面有一个小小的号不能清楚地看见，这时候，我们点击【Expand all】展开所有接点才会出现图7-9所示的结果。3）扫描速度的考虑。如果扫描目标较多，建议晚上进行第二天早上再看结果，因为实在速度不是很快。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才服务器端口的设置服务器端口的设置（）系统设置（）系统设置：TCP/IP删选界面删选界面 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才(2)补充补充 软件设置软件设置 1）阻止通过Internet连接特定端口的PortBlocker PortBlocker设置界面 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 2）IP地址限制和端口转向的地址限制和端口转向的PortMapping PortMapping设置界面 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才选择【选择【Port Redirection】，出现端口设置界面】，出现端口设置界面,在图中界面我们可以设置端口、端口对应的协议（TCP、UDP）、转向的目标（计算机名或者IP地址）已经接口（来自局域网还是互联网）。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.2.3 网络安全防御技术网络安全防御技术 网络的防御措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。安全问题，可分为两种硬件系统和软件系统的安全问题：、硬件系统的安全防护：分为两种：物理安全和设置安全。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才（）物理安全：物理安全：是指防止意外事件或人为破坏具体的物理设备，如服务器、交换机、路由器等。要严禁无关人员进入机房，特别是网络中心机房这些敏感地带。（）设置安全：设置安全：是指在设备上进行必要的设置（如服务器、交换机的密码等），防止黑客取得硬件设备的远程控制权。如果网络管理员没有在服务器或可网管的交换机上设置必要的密码口令，那么就会使懂得网络设备管理技术的人可以通过网络来窃取到服务器或交换机的相关控制权。并有可能成为他们从事一些非法行为的掩护体，这是非常危险的。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才校园网的网络结构 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才、软件系统的安全防护、软件系统的安全防护（）安装补丁程序（）安装补丁程序任何操作系统都有漏洞，网络系统管理员应该及任何操作系统都有漏洞，网络系统管理员应该及时地装上系统时地装上系统“补丁补丁”。目前大部分校园服务器应。目前大部分校园服务器应用的多是用的多是WindowsNT/2000操作系统，由于微软的操作系统，由于微软的操作系统经常被人作为攻击的对象，所以被找出漏操作系统经常被人作为攻击的对象，所以被找出漏洞也特多，为弥补操作系统的安全漏洞，微软公司洞也特多，为弥补操作系统的安全漏洞，微软公司也会不定时地在其网站上提供了许多补丁程序。也会不定时地在其网站上提供了许多补丁程序。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才（）安装和设置防火墙（）安装和设置防火墙现在有许多基于硬件或软件的防火墙，如华现在有许多基于硬件或软件的防火墙，如华为、神州数码、联想、瑞星等厂商的产品。对为、神州数码、联想、瑞星等厂商的产品。对于校园网来说，安装防火墙是非常必要的。防于校园网来说，安装防火墙是非常必要的。防火墙对于非法访问具有委好的预防作用，但并火墙对于非法访问具有委好的预防作用，但并浊有了防火墙之后就可以什么事也不用担忧了，浊有了防火墙之后就可以什么事也不用担忧了，防火墙是要进行适当的设置才能起到相关的保防火墙是要进行适当的设置才能起到相关的保护作用。护作用。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才（）安装网络杀毒软件（）安装网络杀毒软件与网络黑客的攻击相比，网络病毒也同样令人与网络黑客的攻击相比，网络病毒也同样令人不可小看。而领教过不可小看。而领教过“尼姆达尼姆达”病毒和病毒和“CIH”病毒的厉害后，大家都知道需要在网络服务上病毒的厉害后，大家都知道需要在网络服务上安装网络版的杀毒软件来扼杀病毒的传播。安装网络版的杀毒软件来扼杀病毒的传播。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才（）设置帐号和密码保护（）设置帐号和密码保护帐号和密码保护可以说是系统的第一道防线，目帐号和密码保护可以说是系统的第一道防线，目前网上大部分对系统的攻击都是从截获或猜测密前网上大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统，那么前面的防码开始的。一旦黑客进入了系统，那么前面的防卫措施就几乎没有作用了，所以对服务器系统管卫措施就几乎没有作用了，所以对服务器系统管理员的帐号和密码进行严格管理是保证系统安全理员的帐号和密码进行严格管理是保证系统安全是非常重要的措施。是非常重要的措施。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才（）监测系统日志（）监测系统日志通过运行系统日志程序，系统会自动记录下所通过运行系统日志程序，系统会自动记录下所有用户访问系统的使用资源的情况。这包括最有用户访问系统的使用资源的情况。这包括最近登录时间、使用的帐号、进行的活动等。日近登录时间、使用的帐号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，志程序会定期生成报表，通过对报表进行分析，可以知道是否有异常现象。可以知道是否有异常现象。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才（）关闭不需要的服务和端口（）关闭不需要的服务和端口服务器操作系统在安装的时候，会启动一些不需要的服务器操作系统在安装的时候，会启动一些不需要的服务，这样不仅浪费系统的资源，而且也会令系统安服务，这样不仅浪费系统的资源，而且也会令系统安全性降低。对于假期期间不用的服务器，可以完全关全性降低。对于假期期间不用的服务器，可以完全关闭；对于假期期间要使用的服务器，应关闭不需要的闭；对于假期期间要使用的服务器，应关闭不需要的服务，如服务，如Telnet等。另外，还要关掉没有必要开的等。另外，还要关掉没有必要开的TCP端口。端口。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才（）定期对服务器进行备份（）定期对服务器进行备份为防止不可预料的系统故障或用户不小心的非为防止不可预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。同时，应该将修改过的重进行每周一次的备份。同时，应该将修改过的重要文件存放在不同的服务器上，以免出现系统崩要文件存放在不同的服务器上，以免出现系统崩溃时数据的损失。这样可地将系统恢复到正常状溃时数据的损失。这样可地将系统恢复到正常状态。态。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才3.局域网安全局域网安全解决方法(1)网络分段网络分段是控制网络广播风暴的一种基本手段，但同时也是网络安全采用的一项重要措施，其目的是将非法用户与敏感的网络资源相互隔离，防止其非法侦听，网络分段可分为物理分段和逻辑分段两种方式。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才(2)以交换式集线器代替共享式集线器以交换式集线器代替共享式集线器以局域网的中心交换机进行网络分段后，也并不就是说以太网侦听的危险就没有了。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行通讯时，两台机间的数据包依然会被同一台集线器上的其他用户所侦听。这里有一种危险的情况是：当用户Telnet到一台主机后，由于Telnet程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息）发布于在这段网络之中。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才(3)VLAN的划分的划分解决以太网的广播问题，使用VLAN技术是比较有效的手段。将以太网通信变为点到点通信，能够防止大部分基于网络侦听的入侵。VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。目前，大多数的交换机都支持RIP和OSPF这两种国际标准的路由协议。交换式集线器和VLAN交换机都是采用交换技术作为核心，它们控制广播及防范黑客非常有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术造成麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPAN(Switch Port Analyzer)功能的交换机。这种交换机允许系统管理员交全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的监控设备或协议分析设备。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才4.广域网安全广域网安全性主要包括：除了发送方和接收方外，其他人是无法知悉的（隐私性）。传输过程中不被篡改（真实性）。发送方能确知接收方不是假冒的（非伪装性）。发送方不能否认自己的发送行为(不可抵赖性)。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 广域网安全广域网安全方法：（）加密技术加密型网络网络技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才（）（）VPN技术技术VPN（虚拟专网）技术的核心是采用隧道技术，将企业专网的数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据被窃。VPN可以在Internet、服务提供商的IP帧中继或ATM网上建立。企业通过公网建立VPN，就如同通过自己的专用网建立内部网一样，享有较高的安全性、优先性、可靠性和可管理性，而其建立周期、投入资金和维护费用却大大降低，同时还为移动计算提供了可能。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才（）身份认证技术（）身份认证技术对于从外部拨号访问内部网的用户，由于使用公共电话网进行数据传输所带来的风险，必须更加严格控制其安全性。一种常见的做法是采用身份认证技术，对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术有Cisco公司提出的TACACS+以及业界标准的RADIUS。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才5.外部网安全外部网安全对外部网安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。而外部网安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的外部网安全设计中，往往采取上述三种技术相结合的方式。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.2.4 入侵检测系统入侵检测系统1 入侵检测系统简介入侵检测系统简介入侵检测（Intrusion Detection），顾名思义，是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System,简称IDS）。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才防火墙与防火墙与IDS结合的整体模型图结合的整体模型图 第7章局域网系统安全防范局域网组建与维护局域网组建与维护模式库模式库匹配防火墙少量钻入防火墙入侵者网 站 内 部网 站 外 部外来入侵者被防火墙挡住的入侵报警提升网络技术打造网络技能人才IDS防护过程：防护过程：当有外来入侵者的时候，一部分入侵由于没有获得防火墙的信任，首先就被防火墙隔离在外，而另一部分骗过防火墙的攻击，或者干脆是内部攻击没经过防火墙的，再一次受到了入侵检测系统的盘查，受到怀疑的数据包经预处理模块分检后，送到相应的模块里去进一步检查，当对规则树进行扫描后，发现某些数据包与规则库中的某些攻击特征相符，立即切断这个IP的访问请求，或者报警。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才IDS具有以下主要作用：具有以下主要作用：通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生；检测其他安全措施未能阻止的攻击或安全违规行为；检测黑客在攻击前的探测行为，预先给管理员发出警报；报告计算机系统或网络中存在的安全威胁；提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补；在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才2 入侵检测系统的分类入侵检测系统的分类（1）一般划分为：主机型和网络型。一般划分为：主机型和网络型。主机型入侵检测系统（Host-based IDS，HIDS）往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。主机型IDS的缺点显而易见：必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等，但是内在结构却没有任何束缚，同时可以利用操作系统本身提供的功能、并结合异常分析，更准确的报告攻击行为。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才网络型入侵检测系统(Network-based IDS，NIDS)NIDS的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式（promisc mode）,监听所有本网段内的数据包并进行判断是否有黑客/骇客试图进入系统(或者进行拒绝服务攻击DoS)。一个典型的例子是一个系统观察到一个目标主机的很多不同端口的大量TCP连接请求(SYN),来发现是否有人正在进行TCP的端口扫描。一个NIDS可以运行在目标主机上观察他自己的流量(通常集成在协议栈或服务本身),也可以运行在独立主机上观察整个网络的流量(集线器,路由器,探测器probe)。注意一个网络IDS监视很多主机。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才入侵检测的部署点入侵检测的部署点可以划分为4个位置：DMZ区、外网入口、内网主干、关键子网 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才3.IDS存在的问题存在的问题4.(1)误/漏报率高 5.ids常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测，而统计方法中的阈值难以有效确定，太小的值会产生大量的误报，太大的值又会产生大量的漏报。而在协议分析的检测方式中，一般的ids只简单地处理了常用的如http、ftp、smtp等，其余大量的协议报文完全可能造成ids漏报，如果考虑支持尽量多的协议类型分析，网络的成本将无法承受。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才(2)没有主动防御能力没有主动防御能力 ids技术采用了一种预设置式、特征分析式工作原理，所以检测规则的更新总是落后于攻击手段的更新。(3)缺乏准确定位和处理机制 ids仅能识别ip地址，无法定位ip地址，不能识别数据来源。ids系统在发现攻击事件的时候，只能关闭网络出口和服务器等少数端口，但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。(4)性能普遍不足 现在市场上像东软NetEye IDS、瑞星、东方龙马等公司提供的NIDS产品大多采用的是特征检测技术，这种ids产品已不能适应交换技术和高带宽环境的发展，在大流量冲击、多ip分片情况下都可能造成ids的瘫痪或丢包，形成dos攻击。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才4.IDS产品产品 由于目前IDS产品普遍存在的问题，为提供给客户网络安全保障的一个高效能且功能完整的网络入侵侦测防御系统，网络安全专家们提出了蓝盾入侵检测系统，它彻底解决了其它IDS系统存在的千兆丢包问题，是一种积极主动的安全防护系统，而且融合了多种国际先进技术和设计，采用了智能模式匹配与复杂协议分析融合技术、跨网段检测及集中管理技术、远程在线升级技术等，具有千兆网络支持，超大背景流量过滤功能，提供了对内部攻击、外部攻击和误操作的实时监控。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才蓝盾入侵检测系统功能界面：第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 蓝盾入侵检测系统突破传统方法，国际首创“反向拍照技术”，不但能捕捉到黑客的IP和其它入侵信息，还能给黑客拍一张“全身照”，为有关部门进一步追踪黑客和取证提供了有力的依据。已被各级政府机关、公安、军队和大、中企业使用，用户反应良好。同类著名产品还有清华紫光入侵检测系统、硬件入侵检测系统安全、方通入侵检测系统解决方案、瑞星入侵检测系统等。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.2 局域网安全策略与实施7.2.1 服务器安全设置服务器安全设置用户安全设置用户安全设置(1)禁用Guest账号：在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。(2)限制不必要的用户：去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才(3)创建两个管理员账号：创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators 权限的用户只在需要的时候使用。(4)把系统Administrator账号改名：大家都知道，Windows 2003 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。(5)创建一个陷阱用户：即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才(6)把共享文件的权限从Everyone组改成授权用户：任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定要改。(7)开启用户策略：使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。(8)不让系统显示上次登录的用户名：默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才密码安全设置密码安全设置(1)使用安全密码：一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。(2)设置屏幕保护密码：这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。(3)开启密码策略：注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天。(4)考虑使用智能卡来代替密码：对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 系统安全设置(1)使用NTFS格式分区：最好把服务器的所有分区都改成NTFS格式，NTFS文件系统要比FAT、FAT32的文件系统安全得多。(2)运行防毒软件：杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，因此要注意经常运行程序并升级病毒库。(3)到微软网站下载最新的补丁程序：很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出现很久了，还放着服务器的漏洞不补给人家当靶子用。经常访问微软和一些安全站点，下载最新的Service Pack和漏洞补丁，是保障服务器长久安全的惟一方法。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才(4)关闭默认共享：Windows 2003安装好以后，系统会创建一些隐藏的共享，你可以在Cmd下打“Net Share”查看他们。网上有很多关于IPC入侵的文章，都利用了默认共享连接。要禁止这些共享，打开“管理工具计算机管理共享文件夹共享”在相应的共享文件夹上按右键，点停止共享即可。(5)锁住注册表：在Windows 2003中，只有Administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才(6)禁止用户从软盘和光驱启动系统：一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。当然，把机箱锁起来仍不失为一个好方法。(7)利用Windows 2003的安全配置工具来配置安全策略：微软提供了一套基于MMC（管理控制台）安全配置和分析工具，利用它们你可以很方便地配置你的服务器以满足你的要求。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 服务安全设置服务安全设置(1)关闭不必要的端口：关闭端口意味着减少功能，在安全和功能上面需要你做一点决策。如果服务器安装在防火墙的后面，冒险就会少些。但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客入侵。在系统目录中的system32driversetcservices 文件中有知名端口和服务的对照表可供参考。具体方法为：打开“网上邻居/属性/本地连接/属性/internet 协议(TCP/IP)/属性/高级/选项/TCP/IP筛选/属性”打开“TCP/IP筛选”，添加需要的TCP、UDP协议即可。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才(2)设置好安全记录的访问权限：安全记录在默认情况下是没有保护的，把它设置成只有Administrators和系统账户才有权访问。(3)把敏感文件存放在另外的文件服务器中：虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据（文件、数据表、项目文件等）存放在另外一个安全的服务器中，并且经常备份它们。(4)禁止建立空连接：默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把“Local_MachineSystemCurrentControlSetControlLSARestrictAnonymous”的值改成“1”即可。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.2.2.客户端安全策略实施客户端安全策略实施 启动“本地安全策略”：单击“控制面板管理工具本地安全策略”后，会进入“本地安全策略”的主界面。在此可通过菜单栏上的命令设置各种安全策略，并可选择查看方式，导出列表及导入策略等操作。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才、加固系统账户(1)禁止枚举账号：在“本地安全策略”左侧列表的“安全设置”目录树中，逐层展开“本地策略安全选项”。查看右侧的相关策略列表，在此找到“网络访问:不允许SAM账户和共享的匿名枚举”，用鼠标右键单击，在弹出菜单中选择“属性”，而后会弹出一个对话框，在此激活“已启用”选项，最后点击“应用”按钮使设置生效。(2)账户管理：在“本地策略安全选项”分支中，找到“账户:来宾账户状态”策略，点右键弹出菜单中选择“属性”，而后在弹出的属性对话框中设置其状态为“已停用”，最后“确定”退出。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才查看“账户:重命名系统管理员账户”这项策略，调出其属性对话框 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才、指派本地用户权利如果你是系统管理员身份，可以指派特定权利给组账户或单个用户账户。在“安全设置”中，定位于“本地策略用户权利指派”，而后在其右侧的设置视图中，可针对其下的各项策略分别进行安全设置 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才3 活用活用IP策略策略我们知道，无论是木马、后门，还是漏洞、嗅探，大多都是通过端口作为通道。因此，我们需要关闭那些可能成为入侵通道的端口。你可以上网查询一下相关危险端口的资料，以做到有备而战。4加强密码安全在“安全设置”中，先定位于“账户策略密码策略”，在其右侧设置视图中，可酌情进行相应的设置，以使我们的系统密码相对安全，不易破解。如防破解的一个重要手段就是定期更新密码，大家可据此进行如下设置:鼠标右键单击“密码最长存留期”，在弹出菜单中选择“属性”，在弹出的对话框中，大家可自定义一个密码设置后能够使用的时间长短(限定于1至999之间)。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.2.3 组策略实施组策略实施组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如，可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上（在计算机启动或停止时，以及用户登录或注销时）运行的脚本，甚至可配置Internet Explorer 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 1)启动活动目录服务:在“程序管理工具配置服务器”选项中，选定左边的“Active Directory”，启动活动目录安装向导。设置过程中关键是要将服务器设置为第一个域目录树，DNS域名输入ISP提供的域名，若不连接国际互联网，也可任意设定。2)打开组策略控制台:启动“Active Directory目录和用户”项，在右面对象容器树中的根目录上单击右键，然后单击“属性”项，在新打开的窗口中单击“组策略”选项卡，即可打开组策略控制台。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才3)设置组策略:Windows 组策略有100多个与安全有关的设置和450多个基于注册表的设置，为管理用户计算机环境提供了众多的选项，某一选项一旦被设置将会作用于登录到域上的所有用户和工作站。这里将几个常用策略的设置步骤介绍一下，作为策略设置的参考。启用“登录屏幕”上不显示上次登录的用户名:这一选项可以保护用户账号的安全，阻止账号盗用行为的发生。该选项所处位置按照“计算机配置安全设置本地策略安全选项”的顺序查找，双击该选项，选择“启用”。当用户下次登录域时，该项策略将被应用在用户操作的工作站上。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才 启动“活动桌面墙纸”:使用此选项，局域网上登录域的所有计算机将使用同一桌面墙纸，并且不能被更改。因此，可以通过这一项策略的设置，防止临时用户随意更换桌面墙纸，使局域网中的工作站具有相同的界面。该选项所处的位置是“用户配置管理模板桌面活动桌面”第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.2.4 内网安全策略内网安全策略在保护内网时要注意内网安全与网络边界安全的不同，网络边界安全技术防范来自Internet上的攻击，内网安全威胁主要源于企业内部。恶性的黑客攻击事件一般都会先控制局域网络内部的一台Server，然后以此为基地，对Internet上其他主机发起恶性攻击。因此，应在边界展开黑客防护措施，同时建立并加强内网防范策略。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才对于VPN的访问，可以利用登录控制权限列表来限制VPN用户的登录权限的级别；为限制合作企业网访问内部资源可以将他们所需要访问的资源放置在相应的DMZ中，不允许他们对内网其他资源的访问；实施智能的自动执行；关掉无用的网络服务器；保护重要资源；在无线网络中排除无意义的无线访问点，确保无线网络访问的强制性和可利用性，并提供安全的无线访问接口，建立可靠的无线访问；第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才在边界防火墙之外建立过客访问网络块，限制过客访问内网的权限；创建虚拟边界防护，使攻击者无法通过受攻击的主机来攻击内网；有的用户或许对网络安全知识非常欠缺可靠的安全决策，企业网要引导用户自动的响应网络安全策略消除网络用户中存在的安全隐患。在技术上，采用安全交换机、重要数据的备份、使用代理网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等等措施也不可缺少。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.3 防火墙技术7.3.1 防火墙技术防火墙技术1什么是防火墙？什么是防火墙？防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才防火墙逻辑结构 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才2防火墙能做什么？防火墙能做什么？（1）防火墙是网络安全的屏障：防火墙是网络安全的屏障：（2）防火墙可以强化网络安全策略：防火墙可以强化网络安全策略：（3）对网络存取和访问进行监控审计：对网络存取和访问进行监控审计：（4）防止内部信息的外泄：防止内部信息的外泄：第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才3防火墙的种类防火墙的种类 （1）分组过滤型防火墙：分组过滤或包过滤，是一种通用、廉价、有效的安全手段。（2）应用代理型防火墙（Application Proxy）：也叫应用网关（Application Gateway）,它作用在应用层（3）复合型防火墙：由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。屏蔽主机防火墙体系结构 屏蔽子网防火墙体系结构：第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才应用代理应用代理防火墙逻辑图逻辑图 第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才4.防火墙发展的新技术趋势防火墙发展的新技术趋势（1）新需求引发的技术走向：防火墙技术的发展离不开社会需求的变化，着眼未来，我们注意到以下几个新的需求。1)远程办公的增长。在家办公要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。现在一些厂商推出的 VPN（虚拟专用网）技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性，又能成为识别入侵行为的手段。2)内部网络“包厢化”（compartmentalizing）。人们通常认为处在防火墙保护下的内网是可信的，只有 Internet 是不可信的。由于黑客攻击技术和工具在 Internet 上随手可及，使得内部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也可能是内网用户，不再存在一个可信网络环境。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才（2）黑客攻击引发的技术走向:防火墙作为内网的贴身保镖，黑客攻击的特点也决定了防火墙的技术走向。例如从受攻击的协议和端口来看，排在第一位的就是 HTTP 协议（80 端口）。因此，无论是未来的防火墙技术还是现在应用的防火墙产品，都应尽可能将 80 端口关闭。1)数据包的深度检测。IT 业界权威机构 Gartner 认为代理不是阻止未来黑客攻击的关键，但是防火墙应能分辨并阻止数据包的恶意行为，包检测的技术方案需要增加签名检测(signature inspection)等新的功能，以查找已经的攻击，并分辨出哪些是正常的数据流，哪些是异常数据流。2)协同性。从黑客攻击事件分析，对外提供 Web 等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为，这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同，共同完成保护网络安全的任务。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.3.2 企业防火墙部署实例企业防火墙部署实例1.普通企业环境普通企业环境2.利用防火墙将网络分为三个安全区域，企业内部网络，外部网络和服务器专网(DMZ区)。内部网络一般采用私有的IP地址，DMZ的服务器可以采用公网地址，也可以采用私有地址，但是需要在防火墙上做相应的地址转换来保证外部用户对服务器的正常访问。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才安全策略是：外部网络不允许访问内部网络，内部网络用户可以根据不同的权限访问Internet资源；内部用户和外部用户只允许访问DMZ区指定服务器的指定服务。具体的环境如图：第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才.高可靠性配置的部署高可靠性配置的部署高可靠性网络的部署是为了避免因为网络的故障和设备的停工造成的损失。配置防火墙冗余总共需要三套IP地址，其中每个防火墙有一套自己真实的地址(内部地址，外部地址和DMZ区地址)，另外两个防火墙还共享一套虚拟的地址，而真正起作用的正是这套真实的地址，内部用户的网关以及外部的一些相关的路由设置都需要指向这个虚拟的地址。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才防火墙本身的冗余配置图第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才整体链路的冗余配置如图：第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才.分布式网络环境的部署分布式网络环境的部署分布式的环境一般分为一个中心节点和多个分支节点，一般来说，中心节点采用性能高的防火墙，可以采用双机热备份的模式，保证网络的可靠性；另外也可以通过VPN功能实现与总部的信息通讯的安全；对于没有专线的分支节点，可以采用防火墙自带的对子网拨号的VPN功能，也能够实现与总部之间的安全通讯。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才分布式网络环境的部署图第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才7.4 局域网防病毒技术7.4.1 网络防病毒技术网络防病毒技术1.分布式杀毒技术：是一种建立在集中式管理基础上的网络防病毒技术。安装在网络系统中特定计算机的中央控制台和安装在每台计算机上的杀毒软件，共同构筑成协调一致的病毒防护体系。网络管理员只需通过控制台，就可管理整个网络的所有杀毒程序，掌管全网各节点的病毒防护状况，对各节点统一实施病毒特征代码库和杀毒软件的联网升级和更新。第7章局域网系统安全防范局域网组建与维护局域网组建与维护提升网络技术打造网络技能人才2、病毒源监控技术：密切关注和测控外部网络中的病毒动向，将所有病毒堵截在网络入口处，是当前网络防病毒技术的一个重点。例如用于Internet访问代理服务器的模块、用于邮件服务器的模块、用于文件服务器的模块和用于客户计算机的模块，形成一个全方位的防病毒解决方案，构成了一道网关防毒网。第7章局域网系统安全防范局域网组建与维护局域网组建与维护、数字免疫系统(DigitalImmuneSystem)是赛门铁克公司与IBM公司共同合作研究开发的一项网络防病毒技术。采用该技术的网络防病毒产品能够应付网络病毒的爆发和极端恶意事件的发生。在网络系统的管理中，数字免疫系统能够根据网络管理员的要求，自动进行病毒检测和分析，还可以自动监视计算机和网络中的可疑行为，为网络防病毒产品对付未知病毒提供依据。提升网