企业网络的构建技术13章.pdfVIP

第13章网络安全

随着计算机网络的不断发展，全球信息化已成为人类发展的大

趋势。但由于计算机网络具有的连接形式多样性、终端分布不

均匀性和网络的开放性、互联性等特征，致使网络容易受到黑

客、恶意软件等的种种攻击，网络信息安全成为一个令人头痛

的问题。因此，排除自然和人为等诸多因素造成的网络脆弱性

和潜在威胁，确保网络信息的保密性、完整性和可用性，就成

为网络管理员、网络工程师要做的头等大事。

13.1安全威胁来源

•虽然有许许多多的因素都会对网络安全产生重大影响，但仔细分析后发现，其实所有的安全威胁大

多来源于无意识的失误、恶意的攻击和软件漏洞和后门3个方面。

•1.无意的失误

•由于无意的失误而给网络安全带来的损害绝不仅仅是网络管理员，普通用户在许多时候往往才是网

络安全的“杀手”。

•网络管理员的失误主要表现在对操作系统、应用软件或网络设备的配置不当而造成安全漏洞。如用

户权限过大、服务器打开的端口太多、未及时删除已离职用户、未进行路由器IP安全设置等。网络

用户甚至是低级用户或临时用户的失误，则往往是安全意识不强、口令选择不慎、将自己的账号随

意转借他人，或者与别人共享资源等行为，而给网络安全带来了致命的威胁。

•2.恶意的攻击

•当然，如果只有漏洞和失误，而没有人恶意地利用这些漏洞和失误，那么网络和数据同样是安全的。

因此，网络所面临的最大威胁就是恶意攻击。恶意攻击可以分为以下两种：一种是主动攻击，它以

各种方式有选择地破坏信息的有效性和完整性，或者造成网络服务器瘫痪，停止提供各类服务。如

UDP洪水、SYN洪水和电子邮件炸弹等，都是利用畸形的或过量的TCP／IP包而将服务器摧垮。另

一种是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取或破译等活动以获得重要

机密信息。如特洛伊木马、缓冲区溢出等，都是通过一小段程序夺取服务器的控制权，实现对服务

器的远程控制。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄露。

•3.软件漏洞和后门

•绝大部分操作系统或应用软件都有安全漏洞和后门，而这些漏洞和缺陷恰恰是黑客进行攻击的首选

目标。另外，程序员为了方便自己而设置的软件“后门”，危害更大。虽然一般不为外人所知，但一

旦“后门”暴露，其后果可想而知。

13.2网络安全策略

•网络安全策略主要包括两大部分，即访问控制策

略和信息加密策略。访问控制策略是网络安全防

范和保护的主要策略，也是维护网络系统安全、

保护网络资源的重要手段，用以保证网络资源不

被非法使用和非常访问。信息加密策略主要是一

种补救手段，也就是说，即使信息在传输过程中

被截获，也将由于不能解密而无法读取，从而保

证数据的安全。虽然各种安全策略必须相互配合

才能真正起到保护作用，但访问控制可以说是保

证网络安全最重要的核心策略之一。

13.2.1Windows系统的安全性

•WindowsServer2003是一种相对安全的操作系统，利用

WindowsServer2003全部或部分安全特性的优点，可以

明显地减小危险性。

•1.用户账户

•保护计算机和计算机内存储数据的安全措施之一，就是指

定拥有不同访问权限的用户账户，通过限制账户的权限的

方式实现对计算机资源访问的控制。用户名和密码用于在

登录WindowsServer2003时进行身份验证，登录的身份

决定了该用户是否可以进入该计算机，以及可以在该计算

机上做些什么。因此，对用户账户和管理员账户的严格审

批、发放和控制，再辅之以严格的账户策略，是确保服务

器安全的重要手段。

(1)匿名访问

•InternetGuest账户是在IIS安装过程中自动创建的。默认状态下，所

有的IIS用户都使用该账户实现对Web或FTP网站的匿名访问。即所有

用户在通过匿名方式访问Web或FTP网站时，都被映射为Internet

Guest账户，并拥有该账户所拥有的所有权限，和利用该账户从本地

直接登录到服务器时一样。

•如果只允许用InternetGuest账户远程访问服务器，则远程用户