计算机网络安全复习

《计算机网络安全》课程期末复习指导

第1章 绪论

1. 什么是网络安全

所谓“安全”，字典中的定义是为防范间谍活动或蓄意破坏、犯罪、攻击而采取的措施；将安全的一般含义限定在计算机网络范畴，网络安全就是为防范计算机网络硬件、软件、数据偶然或蓄意被破坏、篡改、窃听、假冒、泄露、非法访问并保护网络系统持续有效工作的措施总和。 ? 2. 网络安全保护范围

网络安全与信息安全、计算机系统安全和密码安全密切相关，但涉及的保护范围不同。信息安全所涉及的保护范围包括所有信息资源；计算机系统安全将保护范围限定在计算机系统硬件、软件、文件和数据范畴，安全措施通过限制使用计算机的物理场所和利用专用软件或操作系统来实现；密码安全是信息安全、网络安全和计算机系统安全的基础与核心，也是身份认证、访问控制、拒绝否认和防止信息窃取的有效手段。

。

3. 网络安全目标

? 网络安全的最终目标就是通过各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、有效性、可控性和拒绝否认性。

1

? 1）保密性 保密性（Confidentiality）是指信息系统防止信息非法泄露的特性，信息只限于授权用户使用。保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现。信息加密是防止信息非法泄露的最基本手段。 ? 2）完整性 完整性（Integrity）是指信息未经授权不能改变的特性。完整性与保密性强调的侧重点不同，保密性强调信息不能非法泄露，而完整性强调信息在存储和传输过程中不能被偶然或蓄意修改、删除、伪造、添加、破坏或丢失，信息在存储和传输过程中必须保持原样。

? 3）有效性 有效性（Availability）是指信息资源容许授权用户按需访问的特性（信息系统面向用户服务的安全特性）。信息系统只有持续有效，授权用户才能随时、随地根据自己的需要访问信息系统提供的服务。 ? 4、软件漏洞

? 软件漏洞（Flaw）是指在设计与编制软件时没有考虑对非正常输入进行处理或错误代码而造成的安全隐患，也称为软件脆弱性（Vulnerability）或软件隐错（Bug）。 ?

? 5、网络系统面临的威胁

? 网络系统面临的威胁主要来自外部的人为影响和自然环境的影响，其中包括对网络设备的威胁和对网络中信息的威胁。这些威胁主

2

要表现为：非法授权访问、假冒合法用户、病毒破坏、线路窃听、黑客入侵、干扰系统正常运行、修改或删除数据等。这些威胁大致可分为无意威胁和故意威胁两大类。

1）无意威胁 无意威胁是在无预谋的情况下破坏系统的安全性、可靠性或信息的完整性等。

2）故意威胁 故意威胁实际上就是“人为攻击”。由于网络本身存在脆弱性，因此总有某些人或某些组织想方设法利用网络系统达到某种目的。

攻击者对系统的攻击范围从随便浏览信息到使用特殊技术对系统进行攻击，以便得到有针对性的信息。这些攻击又可分为被动攻击和主动攻击。 被动攻击是指攻击者只通过监听网络线路上的信息流获得信息内容，或获得信息的长度、传输频率等特征，以便进行信息流量分析攻击。 主动攻击是指攻击者对传输中的信息或存储的信息进行各种非法处理，有选择地更改、插入、延迟、删除或复制这些信息。

3

6、网络信息安全框架

网络信息安全可看成一个由多个安全单元组成的集合。其中，每个单元都是一个整体，包含了多个特性。一般来说，人们从3个主要特性——安全特性、安全层次和系统单元来理解安全单元。该安全单元集合可用一个三维安全空间来描述，如图所示。该三维安全空间反映了信息系统安全需求和安全结构的共性。

4

应用级传输层网络层链路层物理层OSI安全层次保密完整可用认证安全特性系统单元物理网络系统应用管理网络信息安全框架

7、P2DR模型

P2DR模型是一种常用的网络安全模型，如图所示。P2DR模型包含4个主要部分：安全策略、防护、检测和响应。防护、检测和响

应组成了一个所谓的“完整”、“动态”的安全循环。

防 护安全策略

P2DR网络安全模型

8、实体安全技术和访问控制技术

1）实体安全技术 网络实体安全（物理安全）保护就是指采取一定措施对网络的硬件系统、数据和软件系统等实体进行保护和对自然与人为灾害进行防御。

2）访问控制技术 访问控制就是规定哪些用户可访问网络系统，对要求入网的用户进行身份验证和确认，这些用户能访问系统的哪些资源，他们对于这些资源能使用到什么程度等。

5

检 测响 应

加密技术

1. 密码学的发展

密码学的发展可分为两个主要阶段：第一个阶段是传统密码学阶段，即古代密码学阶段，该阶段基本上依靠人工和机械对信息进行加密、传输和破译；第二阶段是计算机密码学阶段，该阶段又可细分为两个阶段，即使用传统方法的计算机密码学阶段和使用现代方法的计算机密码学阶段。在20世纪70年代，密码学的研究出现了两大成果，一个是1977年美国国家标准局（NBS）颁布的联邦数据加密标准（DES），另一个是1976年由Diffie和Hellman提出的公钥密码体制的新概念。

DES将传统的密码学发展到了一个新的高度，而公钥密码体制的提出被公认是实现现代密码学的基石。 2、加解密过程

通用的数据加密模型如图所示。

从图可见，加密算法实际上是要完成其函数c=f (P, Ke)的运算。对于一个确定的加密密钥Ke，加密过程可看作是只有一个自变量的函

6

发送端明文P加密（E）密文C接收端解密（D）明文P加密密钥Ke攻击者解密密钥Kd数，记作Ek，称为加密变换。因此加密过程也可记为：

即加密变换作用到明文P后得到密文C。 3、对称密钥密码和非对称密钥密码

C=Ek (P)

按加密和解密密钥的类型划分： 加密和解密过程都是在密钥的作用下进行的。如果加密密钥和解密密钥相同或相近，由其中一个很容易地得出另一个，这样的系统称为对称密钥密码系统。在这种系统中，加密和解密密钥都需要保密。对称密钥密码系统也称为单密钥密码系统或传统密钥密码系统。

如果加密密钥与解密密钥不同，且由其中一个不容易得到另一个，则这种密码系统是非对称密钥密码系统。这两个不同的密钥，往往其中一个是公开的，另一个是保密的。非对称密钥密码系统也称为双密钥密码系统或公开密钥密码系统。 4、数据加密标准DES

DES算法是最具有代表性的分组加密算法。它将明文按64位分组，输入的每一组明文在密钥控制下，也生成64位的密文。DES的整个体制是公开的，系统的安全性完全依赖于密钥的保密性。 5、DES的特点及应用

（1）DES算法的特点： DES算法具有算法容易实现、速度快、通用性强等优点；但也有密钥位数少、保密强度较差和密钥管理复杂等缺点。

7

（2）DES的主要应用，包括： ① 计算机网络通信。对计算机网络通信中的数据提供保护是DES的一项重要应用，但这些保护的数据一般只限于民用敏感信息，即不在政府确定的保密范围之内的信息。

② 电子资金传送系统。采用DES的方法加密电子资金传送系统中的信息，可准确、快速地传送数据，并可较好地解决信息安全的问题。 ③ 保护用户文件。用户可自选密钥，用DES算法对重要文件加密，防止未授权用户窃密。 ④ 用户识别。DES还可用于计算机用户识别系统中。

6、公钥体制的概念

与对称密钥加密方法不同，公开密钥密码系统采用两个不同的密钥来对信息进行加密和解密，也称为“非对称式加密方法”。 7、公钥算法的应用

使用公开密钥对文件进行加密传输的实际过程包括如下4个步骤：

（1）发送方生成一个加密数据的会话密钥，并用接收方的公开密钥对会话密钥进行加密，然后通过网络传输到接收方。

（2）发送方对需要传输的文件用会话密钥进行加密，然后通过网络把加密后的文件传输到接收方。

（3）接收方用自己的私钥对发送方加过密的会话密钥进行解密后得到加密文件的会话密钥。

8

（4）接受方用会话密钥对发送方加过密的文件进行解密得到文件的明文形式。 8、RSA算法

目前，最著名的公开密钥密码算法是RSA，它是由美国麻省理工学院MIT的3位科学家Rivest、Shamir和Adleman于1976年提出的，故名RSA，并在1978年正式发表。

假设用户A在系统中要进行数据加密和解密，则可根据以下步骤选择密钥和进行密码变换。

（1）随机地选取两个不同的大素数p和q（一般为100位以上的十进制数）予以保密。

（2）计算n=p·q，作为A的公开模数。

（3）计算Euler函数： ?(n)=(p-1)·(q-1) mod n （4）随机地选取一个与（p-1）·（q-1）互素的整数e，作为A的公开密钥。

（5）用欧几里德算法，计算满足同余方程

e·d≡1 (mod?(n)) 的解d，作为A用户的保密密钥。

（6）任何向A发送明文的用户，均可用A的公开密钥e和公开模数n，根据式

C=Me (mod n) 计算出密文C。

（7）用户A收到C后，可利用自己的保密密钥d，根据式

9

M=Cd (mod n) 还原出明文M。 9、通信安全

通信过程中，通过在通信线路上搭线可以窃取（窃听）传输的信息，还可以使用相应设施接收线路上辐射的信息，这些都是通信中的线路安全问题。

10、TCP/IP服务的脆弱性

基于TCP/IP协议的服务很多，常用的有Web服务、FTP服务、电子邮件服务等；人们不太熟悉的有TFTP服务、NFS服务、Finger服务等。这些服务都在不同程度上存在安全缺陷。

（1）电子邮件程序存在漏洞：电子邮件附着的文件中可能带有病毒，邮箱经常被塞满，电子邮件炸弹令人烦恼，还有邮件溢出等。

（2）简单文件传输协议TFTP服务用于局域网，它没有任何安全认证，安全性极差，常被人用来窃取密码文件。

（3）匿名FTP服务存在一定的安全隐患：有些匿名FTP站点为用户提供了一些可写的区域，用户可以上传一些信息到站点上，因此可能会浪费用户的磁盘空间、网络带宽等资源，还可能造成“拒绝服务”攻击。

（4）Finger服务可查询用户信息，包括网上成员姓名、用户名、最近的登录时间、地点和当前登录的所有用户名等，这也为入侵者提供了必要的信息和方便。 11、通信加密

10

网络中的数据加密可分为两个途径，一种是通过硬件实现数据加密，一种是通过软件实现数据加密。通过硬件实现网络数据加密有3种方式：链路加密、节点加密和端一端加密；软件数据加密就是指使用前述的加密算法进行加密。

（1）链路加密 链路加密（Link Encryption）是指传输数据仅在数据链路层上进行加密。如图所示。

P节点1节点2节点3节点nPECL1DECL2DECLn-1D

链路加密

（2）节点加密 节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。节点加密指每对节点共用一个密钥，对相邻两节点间（包括节点本身）传送的数据进行加密保护。

（3）端—端加密 端点加密的目的是对源端用户到目的端用户的数据提供加密保护。端—端加密（又称脱线加密或包加密）要求传送的数据从源端到目的端一直保持密文状态，数据在发送端被加密，在接收端解密，中间节点处不以明文的形式出现。

11

12、通信加密方式的比较和选择

① 链路加密的特点：加密方式比较简单，实现也较容易；可防止报文流量分析的攻击；一个链路被攻破，不影响其他链路上的信息；一个中间节点被攻破时，通过该节点的所有信息将被泄露；加密和维护费用大，用户费用很难合理分配；链路加密只能认证节点，而不面向用户，因此链路加密不能提供用户鉴别。

② 端-端加密的特点：可提供灵活的保密手段，例如主机到主机、主机到终端、主机到进程的保护；加密费用低，并能准确分配；加密在网络应用层实现，可提高网络加密功能的灵活性；加密可使用软件实现，使用起来很方便；不能防止信息流量分析攻击； ③ 加密方式的选择：从以上两种加密方式可知，链路加密对用户系统比较容易，使用的密钥较少，而端-端加密比较灵活。因此，用户在选择通信方式时可作如下考虑：在需要保护的链路数少，且要求实时通信，不支持端-端加密的远程调用等通信场合，宜采用端-端加密方式；在多个网络互联的环境中，宜采用端-端加密方式；在需要抵御信息系统流量分析场合，可采用链路加密和端-端加密相结合的加密方式。

12

总而言之，与链路加密方式相比，端-端加密具有成本低、保密性强、灵活性好等优点，因此应用更为广泛。 访问控制

访问控制的概念及含义

访问控制是在身份认证的基础上，根据用户身份对得出的资源访问请求加以控制，是针对越权使用资源的现象进行防御的措施。访问控制具体包括两个方面含义：

1）指用户的身份验证即对用户进入系统的控制，最简单常用的方法是用户帐号与口令验证；

2）用户进入系统后根据用户的身份对其访问资源的行为加以限制，最常用的方法是访问权限和资源属性限制。 4、访问控制系统中的3个要素

⑴主体是指发出资源访问操作请求的主动方，是动作的发起者。 ⑵客体是接受其他实体访问的被动方，是在访问中必须进行控制的资源。

⑶访问策略就是一套访问的规则，用以确定一个主体是否对客体拥有访问的能力。它决定了主体与客体之间交互作用可行的操作。 5、访问控制的类型

13

访问控制以其不同的实现方法可以分为自主访问控制、强制访问控制、基于角色的访问控制、基于任务的访问控制和基于对象的访问控制等。

⑴自主访问控制DAC（Discretionary Access Control） 自主访问控制是一种最为普遍的访问控制手段，是指在系统允许经过身份验证和授权之后，有访问许可的主体能够直接或间接地向其他主体转让访问权。

⑵强制访问控制MAC（Mandatory Access Control） 强制访问控制是用户和客体资源都被赋予了一定的安全级别，用户不能改变自身和客体的安全级别，是有管理员才能确定用户的和用户组的访问权限。

⑶基于角色的访问控制RBAC（Role-base Access Control） 基于角色的访问控制的基本思想就是要求确定每一个用户在系统中所扮演的角色，不同的角色具有不同的访问权限，这些权限由系统管理员分配给角色。

⑷基于任务的访问控制TBAC（task-based access control） 基于任务的访问控制是从应用和企业层角度来解决安全问题，而已往的访问控制是从系统的角度出发。它采用“面向任务”的观点，从任务的角度来建立安全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理。

14

身份识别

1．口令安全面临的威胁

口令机制是一种最简单、最常用的系统或应用程序访问控制的方法。尽管目前许多计算机系统和网络的进入或登录都是采用口令来防止非法用户的入侵，然而口令系统却是非常脆弱的。其安全威胁主要来自于：

（1）非法用户利用有问题而缺少保护的口令进行攻击 （2）屏蔽口令 （3）窃取口令 （4）木马攻击 （5）安全意识淡薄 2、身份识别与鉴别的概念

身份识别是指用户向系统出示自己身份证明的过程；身份鉴别是系统核查用户的身份证明的过程，实质上是查明用户是否具有他所请求资源的存储和使用权。人们通常把这两项工作统称为身份鉴别，也称为身份认证。信息技术领域的身份鉴别通常是通过将一个证据与实体身份绑定来实现的。实体可能是用户、主机、应用程序甚至进程。证据与身份之间是一一对应的关系，双方通信过程中，一方实体向另一方提供这个证据证明自己的身份，另一方通过相应的机制来验证证据，以确定该实体是否与证据所宣称的身份一致。

15

3、身份鉴别的任务

计算机系统中的身份鉴别技术一般涉及两方面的内容，即识别和验证。识别信息一般是非秘密的，而验证信息必须是秘密的。所谓“识别”，就是要明确访问者是谁，即识别访问者的身份，且必须对系统中的每个合法用户都有识别能力。要保证识别的有效性，必须保证任意两个不同的用户都不能具有相同的标识符，通过唯一标识符ID，系统可以识别出访问系统的每一个用户。所谓“验证”，是指在访问者声明自己的身份（向系统输入它的标识符）后，系统必须对它所声明的身份进行验证，以防假冒，实际上就是证实用户的身份。验证过程中用户必须出具能够证明他的身份的特殊信息，这个信息是秘密的，任何其他用户都不能拥有。只有识别与验证过程都正确后，系统才会允许用户访问系统资源。 4、身份鉴别技术

身份鉴别技术包括：囗令机制、智能卡和主体特征鉴别。囗令机制是用户和系统相互约定的代码，智能卡是用户进入系统的硬件认证设备，主体特征鉴别是利用人体的生物特征（包括：指纹、虹膜、脸部和掌纹等）进行认证。 5、身份鉴别的过程

用户认证系统主要是通过数字认证技术确认用户的身份，从而提供相应的服务。决定身份真实性的身份鉴别过程包括如下两个步骤： （1）为实体赋予身份，并绑定身份，决定身份的表现方式 身份的赋予必须由具有更高优先权的实体进行。这些被充分信任的实

16

体可通过类似于驾照检查或指纹验证等办法，来确定实体的真实性，随后赋予真实实体相应的身份信息。

（2）通信与鉴别 对实体的访问请求，必须鉴别其身份。认证的基本模式可分为3类： ① 用户到主机。 ② 点对点认证。

③ 第三方的认证：由充分信任的第三方提供认证信息。 6、基于生理特征的识别技术 （1）指纹识别

指纹是指手指末梢乳突纹凸起形成的纹线图案，其稳定性、唯一性早已获得公认。目前指纹识别技术主要是利用指纹纹线所提供的细节特征（即纹线的起、终点、中断处、分叉点、汇合点、转折点）的位置、类型、数目和方向的比对来鉴别身份。 （2）虹膜识别

虹膜是指位于瞳孔和巩膜间的环状区域，每个人虹膜上的纹理、血管、斑点等细微特征各不相同，且一生中几乎不发生变化。 （3）视网膜识别

人体的血管纹路也是具有独特性的。人的视网膜上血管的图样可以利用光学方法透过人眼晶体来测定。 （4）面部识别

面部识别技术通过对面部特征和它们之间的关系（眼睛、鼻子和嘴的位置以及它们之间的相对位置）来进行识别。

17

（5）手形识别

手形识别技术主要是利用手掌、手指及手指各关节的长、宽、厚等三维尺寸和连接特征来进行身份鉴别。 （6）红外温谱图

人的身体各个部位都在向外散发热量，而每个人的生物特征都不同，从而导致其发热强度不同。 （7）语音识别

语音识别利用说话者发声频率和幅值的不同来辨识身份。 语音识别大体分两类：一是依赖特定文字识别；另一种是不依赖特定文字识别，即说话者可随意说任何词语，由系统找出说话者发音中具有共性的特征进行识别。

（8）味纹识别

人的身体是一种味源，人类的气味虽然会受到饮食、情绪、环境、时间等因素的影响和干扰，其成分和含量会发生一定的变化，但作为由基因决定的那一部分气味——味纹却始终存在，而且终生不变，可以作为识别任何一个人的标记。 （9）基因DNA识别

脱氧核糖核酸DNA存在于一切有核的动（植）物中，生物的全部遗传信息都储存在DNA分子里。 由于不同的人体细胞中具有不同的DNA分子结构，且在整个人类范围内具有唯一性和永久性，因此除了对双胞胎个体的鉴别可能失去它应有的功能外，这种方法具有绝对的权威性和准确性。

18

7、PKI的概念

（1）PKI的定义 PKI是一个用公钥概念与技术来实施和提供安全服务的普遍适用的安全基础设施。 PKI是一个为综合数字信息系统提供广泛需要的加密和数字签名服务的基础设施，其主要职责是管理密钥和证书，建立和维护一个值得信任的网络环境。PKI能够为跨越各种领域的广泛应用提供加密和数字签名服务。 PKI是由认证机构、策略和技术标准、必要的法律组成。

8、PKI原理

其基本原理是：由一个密钥进行加密的信息内容，只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者，私钥则需要十分安全地存放起来。使用中，甲方可以用乙方的公钥对数据进行加密并传送给乙方，乙方可以使用自己的私钥完成解密。公钥通过电子证书与其拥有者的姓名、工作单位、邮箱地址等捆绑在一起，由权威机构认证、发放和管理。 9、PKI的安全服务功能

PKI的主要功能是提供身份认证、机密性、完整性和不可否认性服务。

① 身份认证。信息的接收者应该能够确认信息的来源，使得交易双方的身份不能被入侵者假冒或伪装。

② 机密性。确保一个计算机系统中的信息和被传输的信息仅能被授权读取的各方得到。

19

③ 信息的完整性。信息的完整性就是防止非法篡改信息，例如修改、复制、插入和删除等。

④ 信息的不可否认性。不可否认用于从技术上保证实体对他们行为的诚实，即参与交互的双方都不能事后否认自己曾经处理过的每笔业务。 10、PKI的目的

? 从广义上讲，任何提供公钥加密和数字签名服务的系统，都可叫做PKI系统，PKI的主要目的是通过自动管理密钥和证书，能够为用户建立起一个安全的网络运行环境，使用户能够在多种应用环境下方便地使用加密和数字签名技术，从而确保网上数据的机密性、完整性、有效性。

11、PKI的实体构成

从广义上讲，PKI体系是一个集网络建设、软硬件开发、信息安全技术、策略管理和相关法律政策为一体的大型的、复杂的、分布式的综合系统。一个典型、完整、有效的PKI系统至少应由以下部分组成：认证中心CA、证书库（Certificate Repository，CR）、应用程序接口（Application Programming Interface，API）、密钥备份及恢复系统和证书废除系统、客户端证书处理系统。除此之外，一个PKI系统的运行少不了证书的申请者和证书信任方的参与。 12、PKI的系统功能 （1）证书申请和审批 （2）产生、验证和分发密钥

20

（3）证书签发和下载 （4）签名和验证 （5）证书的获取 （6）证书和目录查询 （7）证书撤销 （8）密钥备份和恢复 （9）自动密钥更新 （10）密钥历史档案 （11）交叉认证 （12）客户端软件 （13）时间戳服务

防火墙工作原理及应用

1．防火墙的基本概念

防火墙通常是指设置在不同网络（例如可信任的内部网络和不可信的外部网络）或网络安全域之间的一系列部件的组合。它是一种必不可少的安全增长点，是设置在被保护网络和外部网络之间的一道屏障，也是不同网络或网络安全域之间信息的唯一出入口，能根据网络安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础和核心控制设备，能够有效地监控内部网和互联网之间的任何活

21

动，防止发生不可预测的、潜在破坏性的侵入，从而保证内部网络的安全。

网络防火墙

2．

防火墙的主要功能

图6-1 网络防火墙Internet内 部 网防火墙的主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问。防火墙的功能主要表现在以下4个方面： （1）防火墙是网络安全的屏障 （2）防火墙可以强化网络安全策略 （3）对网络存取和访问进行监控审计 （4）防止内部信息的外泄 3．防火墙的局限性

（1）防火墙不能防范不经由防火墙的攻击

22

（2）防火墙不能防止感染了病毒的软件或文件的传输 （3）防火墙不能防止数据驱动型攻击 （4）防火墙不能防范恶意的内部人员入侵 （5）防火墙不能防范不断更新的攻击方式 （6）防火墙难于管理和配置，易造成安全漏洞 （7）很难为用户在防火墙内外提供一致的安全策略

总之，一方面，防火墙在当今Internet世界中的存在是有生命力的；另一方面，防火墙不能替代内部谨慎的安全措施。因此，它不是解决所有网络安全问题的万能药方，而只是网络安全策略中的一个组成部分。 4．防火墙的分类

1）基于实现方法分类 ，包括：软件防火墙、硬件防火墙和专用防火墙

2）基于防火墙技术原理分类 ，包括：网络层防火墙技术和应用层防火墙技术。具体实现有包过滤防火墙、代理服务器防火墙、状态检测防火墙和自适应代理防火墙等。

3）基于防火墙硬件环境分类 ，包括：基于路由器的防火墙和基于主机系统的防火墙。

4）基于防火墙的功能分类 ，包括：FTP防火墙、Telnet防火墙、E-mail防火墙、病毒防火墙、个人防火墙等。 5。包过滤技术

23

包过滤（Packet Filtering，PF）是防火墙为系统提供安全保障的主要技术，可在网络层对进出网络的数据包进行有选择的控制与操作。包过滤操作一般都是在选择路由的同时，在网络层对数据包进行选择或过滤。

选择的依据是系统内设置的过滤逻辑，即访问控制表（Access Control Table，ACT）。由它指定允许哪些类型的数据包可以流入或流出内部网络。一般过滤规则是以IP数据包信息为基础，对IP数据包的源地址、目的地址、传输方向、分包、IP数据包封装协议、TCP/UDP目标端口号等进行筛选、过滤。

6。包过滤技术的优点

包过滤防火墙逻辑简单，价格低廉，易于安装和使用，网络性能和透明性好。

（1）不用改动应用程序

（2）一个过滤路由器能协助保护整个网络 。 （3）数据包过滤对用户透明 。 （4）过滤路由器速度快、效率高

总之，包过滤技术是一种通用、廉价、有效的安全手段。 7。包过滤技术的缺点 （1）安全性较差 （2）一些应用协议不适用

（3）正常的数据包过滤路由器无法执行某些安全策略

24

（4）不能彻底防止地址欺骗 （5）数据包工具存在很多局限性

包过滤是第一代防火墙技术，本身存在较多缺陷，不能提供较高的安全性。因此，在实际应用中，很少把包过滤技术当作单独的安全解决方案，通常是把它与应用网关配合使用或与其他防火墙技术揉合在一起使用，共同组成防火墙系统。 8。包过滤防火墙和代理防火墙技术比较 包过滤防火墙 代理防火墙 内置了专门为提高安全性而编制的代理应用程序， 价格较低 能够透彻地理解相关服务的命令，对来往的数据包 进行安全化处理 优 工作在IP和TCP层，所以点 处理数据包的速度快、 效率高 免了数据驱动式攻击 的发生，安全性好 能生成各项记录；能灵活、完全提供透明的服务，用户不用地控制进出的流量和内容； 改变客户端程序 能过滤数据内容 缺 定义复杂，容易出现因配置

不允许数据包直接通过火墙，避对于每项服务，代理可能要求不25

点 不当带来的问题 允许数据包直接通过，存在遭受数据驱动式攻击 的潜在危险 同的服务器 速度较慢 对用户不透明，用户需要改变客不能彻底防止地址欺骗 户端程序 数据包中只有来自哪台机器的信息，不包含来自 哪个用户的信息，不支持用户认证 不能理解特定服务的上下文环境，相应控制只能在高层由代理服务和应用层网关来完成 不提供日志功能 速度较慢，不太适用于高速网（ATM或 千兆位Intranet等）之间的应用 不能改进底层协议的安全性 不能保证免受所有协议弱点的限制 （1）代理服务器对整个IP数据包的数据进行扫描，因此能够比包过滤器提供更详细的日志文件。

（2）如果数据包和包过滤规则匹配，就允许数据包通过防火墙；而代理服务器要用新的源IP地址重建数据包，这样对外隐藏了内部用户。

26

（3）使用代理服务器，意味着在Internet上必须有一个服务器，且内部主机不能直接与外部主机相连，因此带有恶意攻击的外部数据包也就不能到达内部主机。

（4）对网络通信而言，如果包过滤器由于某种原因不能工作，可能出现的结果是所有的数据包都能到达内部网；而如果代理服务器由于某种原因不能工作，整个网络通信将被终止。

计算机病毒防治

1．计算机病毒的概念

计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。

计算机病毒赖以生存的基础是现代计算机都具有相同的工作原理和操作系统的脆弱性，以及网络协议中的安全漏洞。特别是在个人计算机中，系统的基本控制功能对用户是公开的，可以通过调用和修改系统的中断，取得对系统的控制权，从而对系统程序和其他程序进行任意处理。

2. 计算机病毒的特点

1） 发生侵害的主动性 2） 传染性 3） 隐蔽性

27

4） 表现性 5） 破坏性 6）难确定性 3。计算机病毒的分类

1）按其破坏性，可分为：良性病毒和恶性病毒。

2）按其传染途径，可分为：驻留内存型病毒和非驻留内存型病毒。 3）按连接方式，可分为：源码型、入侵型、操作系统型和外壳型病毒。

4）按寄生方式， 可分为：引导型病毒、文件型病毒以及集两种病毒特性于一体的复合型病毒和宏病毒、网络病毒。

5）其他一些分类方式，按照计算机病毒攻击的操作系统；按照计算机病毒激活的时间；按计算机病毒攻击的机型。 4。计算机病毒的工作机理

计算机病毒能够感染的只有可执行代码，按照可执行代码的种类可以将计算机病毒分为引导型病毒、文件型病毒、宏病毒和网络病毒四大类。

（1） 引导型病毒的工作机理 引导扇区是硬盘或软盘的第一个扇区，是存放引导指令的地方，这些引导指令对于操作系统的装载起着十分重要的作用。一般来说，引导扇区在CPU的运行过程中最先获得对CPU的控制权，病毒一旦控制了引导扇区，也就意味着病毒控制了整个计算机系统。 引导型病毒程序会用自己的代码替换原始的引导扇区信息，并把这些信息转移到磁盘的其他扇区中。当

28

系统需要访问这些引导数据信息时，病毒程序会将系统引导到存储这些引导信息的新扇区，从而使系统无法发觉引导信息的转移，增强了病毒自身的隐蔽性。

（2） 文件型病毒的工作机理 文件型病毒攻击的对象是可执行程序，病毒程序将自己附着或追加在后缀名为.exe或.com的可执行文件上。当感染了该类病毒的可执行文件运行时，病毒程序将在系统中进行它的破坏行动。同时，它将驻留在内存中，试图感染其他文件。当该类病毒完成了它的工作之后，其宿主程序才得到运行，使一切看起来很正常。

（3）宏病毒的工作机理 为了减少用户的重复劳作，例如进行相似的操作，Office提供了一种所谓宏的功能。利用这个功能，用户可以把一系列的操作记录下来，作为一个宏。之后只要运行这个宏，计算机就能自动地重复执行那些定义在宏中的所有操作。这种宏操作一方面方便了普通的计算机用户，另一方面却也给病毒制造者提供了可乘之机。宏病毒是一种专门感染 Office系列文档的恶性病毒。

（4）网络病毒的工作机理 Remote Explorer的破坏作用： 一方面它需要通过网络方可实施有效的传播；另一方面，它要想真正地攻入网络（无论是局域网还是广域网），本身必须具备系统管理员的权限，如果不具备此权限，则它只能够对当前被感染的主机中的文件和目录起作用。 该病毒仅在Windows NT Server和Windows NT Workstation平台上起作用，专门感染.exe文件。

29

5。常见的恶意代码

恶意代码是一种程序，它通常 在不被察觉的情况下把代码寄宿到另一段程序中，从而达到破坏被感染的计算机数据、运行具有入侵性或破坏性的程序、破坏被感染的系统数据的安全性和完整性的目的。

常见的恶意代码分类如下：

需要宿主的程序恶意代码可以独立运行的程序病毒细菌蠕虫

后门逻辑炸弹特洛伊木马

复制

恶意代码分类示意图

6。木马

“特洛伊木马”的英文名称为Trojan Horse（其名称取自希腊神话的《特洛伊木马记》），是指表面看上去对人们有用或有趣，但实际上却有害的东西，并且它的破坏性是隐蔽的。 计算机中的木马是一种基于远程控制的黑客工具，采用客户机/服务器工作模式。它通常包含控制端和被控制端两部分。被控制端的木马程序一旦植入受害者的计算机（简称宿主）中，操纵者就可以在控制端实时监视该用

30

户的一切操作，有的放矢地窃取重要文件和信息，甚至还能远程操控受害计算机对其他计算机发动攻击。木马的控制端和被控制端通过网络进行交互。

“特洛伊木马”是一种恶意程序，它们悄悄地在寄宿主机上运行，在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。木马的运行，可以采用以下3种模式。

（1）潜伏在正常的程序应用中，附带执行独立的恶意操作。

（2）潜伏在正常的程序应用中，但会修改正常的应用进行恶意操作。

（3）完全覆盖正常的程序应用，执行恶意操作。 7。木马的工作过程

木马对网络主机的入侵过程，可大致分为6个步骤。 （1）配置木马 （2）传播木马 （3）运行木马 （4）信息泄露 （5）连接建立 （6）远程控制 8。木马的危害

木马是一种远程控制工具，以简便、易行、有效而深受黑客青睐。木马主要以网络为依托进行传播，窃取用户隐私资料是其主要目

31

的；而且多具有引诱性与欺骗性，是病毒新的危害趋势。 木马可以说是一种后门程序，它会在受害者的计算机系统里打开一个“后门”，黑客经由这个被打开的特定“后门”进入系统，然后就可以随心所欲地操纵计算机了。 木马不仅是一般黑客的常用工具，更是网上情报刺探的一种主要手段，对国家安全造成了巨大威胁。 9。蠕虫的定义

蠕虫是一种通过网络进行传播的恶性代码。它具有普通病毒的一些共性，例如传播性、隐蔽性、破坏性等；同时也具有一些自己的特征，例如不利用文件寄生、可对网络造成拒绝服务、与黑客技术相结合等。蠕虫的传染目标是网络内的所有计算机。在破坏性上，蠕虫病毒也不是普通病毒所能比的，网络的发展使得蠕虫可以在短短的时间内蔓延到整个网络，造成网络瘫痪。 10。蠕虫的传播

蠕虫程序的一般传播过程如下：

（1）扫描。由蠕虫的扫描功能模块负责收集目标主机的信息，寻找可利用的漏洞或弱点。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。扫描采用的技术方法包括用扫描器扫描主机，探测主机的操作系统类型、主机名、用户名、开放的端口、开放的服务、开放的服务器软件版本等。 （2）攻击。攻击模块按步骤自动攻击前面扫描中找到的对象，取得该主机的权限（一般为管理员权限），获得一个Shell。

32

（3）复制。复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机中并启动。 11。网络病毒

计算机网络病毒实际上是一个笼统的概念。一种情况是，计算机网络病毒专指在网络上传播并对网络进行破坏的病毒；另一种情况是，计算机网络病毒指的是HTML病毒、E-mail病毒、Java病毒等与Internet有关的病毒。

1）网络病毒的传播方式 事实上，并不是所有的病毒都能够通过计算机网络进行传播。 网络病毒的出现和传播成为当前影响Internet正常运转的主要障碍。网络病毒首先来自于文件下载。 网络病毒的另一种主要来源是电子邮件。 随着即时聊天工具的流行，通过聊天工具进行病毒传播成为网络病毒传播的第三大途径。

2）网络病毒的特点 计算机网络的主要特点是资源共享，一旦共享资源感染上病毒，网络各节点间信息的频繁传输将把病毒传染到共享的所有机器上，从而形成多种共享资源的交叉感染。病毒的迅速传播、再生、发作将造成比单机病毒更大的危害。

在网络环境中，网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有如下一些新特点。 （1）感染速度快。 （2）扩散面广。

（3）传播的形式复杂多样。

33

（4）难以彻底清除。 （5）破坏性大。 3）网络防病毒技术

（1）实时监视技术 实时监视技术通过修改操作系统，使操作系统本身具备防病毒功能，拒病毒于计算机系统之外。该技术可时刻监视系统中的病毒活动、系统状况以及软盘、光盘、互联网、电子邮件上的病毒传染，将病毒阻止在操作系统外部。

（2）全平台防病毒技术 目前病毒活跃的平台有DOS、Windows、Windows NT、NetWare、Exchange等。为了使防病毒软件做到与系统的底层无缝连接，实时地检查和清除病毒，必须在不同的平台上使用相应平台的防病毒软件。 12。网络病毒的防治特点

网络病毒的防治工作具有如下特点。

（1）网络防病毒技术的安全度是基于“木桶理论”的。被计算机安全界广泛采用的著名的“木桶理论”认为，整个系统的安全防护能力取决于系统中安全防护能力最薄弱的环节。

（2）网络防病毒技术尤其是网络病毒实时监测技术应符合“最小占用”原则。

（3）网络防病毒技术的兼容性是网络防病毒的重点与难点。

34

入侵检测系统

1．网络入侵检测

网络入侵检测是指从计算机网络的若干关键点收集信息并对其进行分析，从中查找网络中是否有违反安全策略的行为或遭到入侵的迹象，并依据既定的策略采取一定的软件与硬件的组合措施予以防治。

网络入侵检测技术是网络动态安全的核心技术，相关设备和系统是整个安全防护体系的重要组成部分。目前，防火墙沿用的仍是静态安全防御技术，对于网络环境下日新月异的攻击手段缺乏主动的响应，不能提供足够的安全保护；而网络入侵检测系统却能对网络入侵事件和过程作出实时响应，与防火墙共同成为网络安全的核心设备。 2．入侵检测的发展史

入侵检测技术的发展已经历了4个主要阶段： 第一阶段是以协议解码和模式匹配为主的技术，其优点是对于已知的攻击行为非常有效，各种已知的攻击行为可以对号入座，误报率低；缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测，漏报率高。 第二阶段是以模式匹配+简单协议分析+异常统计为主的技术，其优点是能够分析处理一部分协议，可以进行重组；缺点是匹配效率较低，管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。第三阶段是以完全协议分析+模式匹配+异常统计为主的技术，其优点是误报率、漏报率和滥报率较低，效率高，可管理性强，并在此基础上实现了多级分布式的检测管理；

35

缺点是可视化程度不够，防范及管理功能较弱。 第四阶段是以安全管理+协议分析+模式匹配+异常统计为主的技术，其优点是入侵管理和多项技术协同工作，建立全局的主动保障体系，具有良好的可视化、可控性和可管理性。以该技术为核心，可构造一个积极的动态防御体系，即入侵管理系统IMS。

随着时代的发展，入侵检测技术将朝着3个方向发展： （1）分布式入侵检测：第一层含义，即针对分布式网络攻击的检测方法；第二层含义，即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。

（2）智能化入侵检测：即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。 （3）全面的安全防御方案：即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位对所关注的网络作出全面的评估，然后提出可行的整体解决方案。 3．入侵检测原理与系统结构 入侵检测可分为实时入侵检测和事后入侵检测，如下图所示。

36

实时入侵检测原理 事后入侵检测原理

1） 实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。

2） 事后入侵检测由网络管理人员定期或不定期进行，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复；但是其入侵检测的能力不如实时入侵检测系统。 4。入侵检测系统的模型

入侵检测系统至少应该包含3个模块，即提供信息的信息源、发现入侵迹象的分析器和入侵响应部件。为此，美国国防部高级计划局提出了公共入侵检测模型（Common Intrusion Detection Framework，

用户历史行为专家知识神经网络模型入侵？是断开连接收集证据数据恢复否入侵检测检测用户当前操作用户当前操作入侵检测专家知识断开连接收集证据数据恢复 37

CIDF），阐述了一个入侵检测系统IDS的通用模型。它将一个入侵检测系统分为4个组件，如图所示。

入侵检测系统的组成

5。入侵检测系统的部署

入侵检测系统（IDS）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或采取主动反应措施的网络设备。

IDS在交换式网络中的位置一般选择在尽可能靠近攻击源和受保护的资源处（通常是在服务器区域的交换机上、Internet接入路由器之后的第一台交换机上或重点保护网段的局域网交换机上）。经典入侵检测系统的部署方式如图所示。

38

事件产生器（Event Generators）事件分析器（Event Analyzers）响应单元（Response Units ）事件数据库（Event Databases ）源于网络上的数据包

经典的入侵检测系统的部署方式

6。网络系统漏洞的概念

网络系统漏洞也称为网络系统的脆弱性、缺陷等，是指网络系统的软件、硬件或策略上的不安全因素。网络系统漏洞可以分为两类：软漏洞和硬漏洞。软漏洞是由网络系统配置不当引起的；硬漏洞是软件或硬件厂商的生产过程造成的。网络系统的脆弱性是网络安全评估的测试对象，评估者对其的理解和测试方法是影响评估结果的决定因素。

7。网络扫描技术

网络扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。扫描采取模拟攻击的形式，对目标可能存在的已知安全漏洞逐项进行检查。目标可以是工作站、服务器、交换机、路由器和数据库应用等。通过扫描，系统管理员能够发现所维护的Web服务器的各种TCP/IP端口的分配、开放的服务、Web服务的软件版本及软件呈现在Internet上的安全漏洞，并根据扫描结果提供周

39

密、可靠的分析报告。网络扫描技术与防火墙、安全监控系统互相配合就能够为网络提供很高的安全性。

一次完整的网络安全扫描，分为如下3个阶段。 （1）第一阶段：发现目标主机或网络。

（2）第二阶段：发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。 （3）第三阶段：根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。 8。网络监听的原理

目前很流行的以太网协议的工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目的地址一致的那台主机才能接收。但是，当主机工作在监听模式下时，无论数据包中的目的地址是什么，主机都将接收。

当数字信号到达一台主机的网络接口时，正常情况下网络接口读入数据帧，进行检查，如果数据帧中携带的物理地址是自己的或者是广播地址，则将数据帧交给上层IP协议软件，否则就将该帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下时，所有的数据帧都将被交给上层协议软件处理。而且，当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发往与自己

40

本文来源：https://www.bwwdw.com/article/i1bg.html