企业网络的构建技术13章讲述.ppt

第13章 网 络 安 全 随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有的连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络容易受到黑客、恶意软件等的种种攻击，网络信息安全成为一个令人头痛的问题。因此，排除自然和人为等诸多因素造成的网络脆弱性和潜在威胁，确保网络信息的保密性、完整性和可用性，就成为网络管理员、网络工程师要做的头等大事。 13.1 安全威胁来源 虽然有许许多多的因素都会对网络安全产生重大影响，但仔细分析后发现，其实所有的安全威胁大多来源于无意识的失误、恶意的攻击和软件漏洞和后门3个方面。 1. 无意的失误 由于无意的失误而给网络安全带来的损害绝不仅仅是网络管理员，普通用户在许多时候往往才是网络安全的“杀手”。 网络管理员的失误主要表现在对操作系统、应用软件或网络设备的配置不当而造成安全漏洞。如用户权限过大、服务器打开的端口太多、未及时删除已离职用户、未进行路由器IP安全设置等。网络用户甚至是低级用户或临时用户的失误，则往往是安全意识不强、口令选择不慎、将自己的账号随意转借他人，或者与别人共享资源等行为，而给网络安全带来了致命的威胁。 2. 恶意的攻击 当然，如果只有漏洞和失误，而没有人恶意地利用这些漏洞和失误，那么网络和数据同样是安全的。因此，网络所面临的最大威胁就是恶意攻击。恶意攻击可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性，或者造成网络服务器瘫痪，停止提供各类服务。如UDP洪水、SYN洪水和电子邮件炸弹等，都是利用畸形的或过量的TCP／IP包而将服务器摧垮。另一种是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取或破译等活动以获得重要机密信息。如特洛伊木马、缓冲区溢出等，都是通过一小段程序夺取服务器的控制权，实现对服务器的远程控制。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄露。 3. 软件漏洞和后门 绝大部分操作系统或应用软件都有安全漏洞和后门，而这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外，程序员为了方便自己而设置的软件“后门”，危害更大。虽然一般不为外人所知，但一旦“后门”暴露，其后果可想而知。 13.2 网络安全策略 网络安全策略主要包括两大部分，即访问控制策略和信息加密策略。访问控制策略是网络安全防范和保护的主要策略，也是维护网络系统安全、保护网络资源的重要手段，用以保证网络资源不被非法使用和非常访问。信息加密策略主要是一种补救手段，也就是说，即使信息在传输过程中被截获，也将由于不能解密而无法读取，从而保证数据的安全。虽然各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。 13.2.1 Windows 系统的安全性 Windows Server 2003是一种相对安全的操作系统，利用Windows Server 2003全部或部分安全特性的优点，可以明显地减小危险性。 1. 用户账户 保护计算机和计算机内存储数据的安全措施之一，就是指定拥有不同访问权限的用户账户，通过限制账户的权限的方式实现对计算机资源访问的控制。用户名和密码用于在登录Windows Server 2003时进行身份验证，登录的身份决定了该用户是否可以进入该计算机，以及可以在该计算机上做些什么。因此，对用户账户和管理员账户的严格审批、发放和控制，再辅之以严格的账户策略，是确保服务器安全的重要手段。 (1) 匿名访问 Internet Guest账户是在IIS安装过程中自动创建的。默认状态下，所有的IIS用户都使用该账户实现对Web或FTP网站的匿名访问。即所有用户在通过匿名方式访问Web或FTP网站时，都被映射为Internet Guest账户，并拥有该账户所拥有的所有权限，和利用该账户从本地直接登录到服务器时一样。 如果只允许用Internet Guest账户远程访问服务器，则远程用户不必提供自己的用户名和密码，但他们只能享有分配给Internet Guest账户的权限。这样做可以防止任何人以骗得或非法获得的密码来访问敏感信息。以上策略可以建立最为安全的系统。 需要注意的是，由于Internet Guest账户添加在Guest用户组中，Guest组的设置同样适用于Internet Guess账户，应当重新查看Guest组的设置，以确定它们是否适用于Internet Guest账户。 (2) 验证方式 基本验证和Windows验证要求用户必须提供一个合法的Windows Server 2003用户名和密码才能访问服务器，否则将拒绝对服务器的访问。两者的区别在于，Windows验证将用户名和密码进行加密后才进行传输，从而保证了用户名和密码在Inter