计算机网络安全网络安全概述与实验环境配置.ppt

《计算机网络安全网络安全概述与实验环境配置.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全网络安全概述与实验环境配置.ppt（52页珍藏版）》请在三一办公上搜索。

1、第1章 前言,1,一、研究网络安全的社会意义,目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的经济、军事等领域。,网络安全与政治,目前政府上网已经大规模的发展起来，电子政务工程已经在全国启动并在北京试点。政府网络的安全直接代表了国家的形象。1999年到2001年，一些政府网站，遭受了四次大的黑客攻击事件。第一次在99年1月份左右，美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织以及世界上的黑客组织，有组织地对我们国家的政府网站进行了攻击。第二次，99年7月份，当台湾李登辉提出了两国论的时候。第三次是在2000年5月8号，美国轰炸我国驻南联盟大使馆后。第四次是在2

2、001年4月到5月，美机撞毁王伟战机侵入我海南机场。,网络安全与经济,一个国家信息化程度越高，整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。我国计算机犯罪的增长速度超过了传统的犯罪，1997年20多起，1998年142起，1999年908起，2000年上半年1420起，再后来就没有办法统计了。利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。近几年已经破获和掌握100多起，涉及的金额几个亿。2000年2月份黑客攻击的浪潮，是互连网问世以来最为严重的黑客事件。99年4月26日，台湾人编制的CIH病毒的大爆发，有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在

3、这次事件中，经济损失高达近12亿元。1996年4月16日，美国金融时报报道，接入Internet的计算机，达到了平均每20秒钟被黑客成功地入侵一次的新记录。,网络安全与社会稳定,互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害，要比现实社会中一个造谣要大的多。99年4月，河南商都热线一个BBS，一张说交通银行郑州支行行长协巨款外逃的帖子，造成了社会的动荡，三天十万人上街排队，一天提了十多亿。2001年2月8日正是春节，新浪网遭受攻击，电子邮件服务器瘫痪了18个小时，造成了几百万的用户无法正常的联络。网上不良信息腐蚀人们灵魂，色情资讯业日益猖獗。1997年5月去过色情网站浏览过的美国人

4、，占了美国网民的28.2%。河南郑州刚刚大专毕业的杨某和何某，在商丘信息港上建立了一个个人主页，用五十多天的时间建立的主页存了一万多幅淫秽照片的网站、100多部小说和小电影。不到54天的时间，访问他的人到了30万。,网络安全与军事,在第二次世界大战中，美国破译了日本人的密码，将山本的舰队几乎全歼，重创了日本海军。目前的军事战争更是信息化战争，下面是美国三位知名人士对目前网络的描述。美国著名未来学家阿尔温 托尔勒说过“谁掌握了信息，控制了网络，谁将拥有整个世界。美国前总统克林顿说过“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家”。美国前陆军参谋长沙利文上将说过“信息时代的出

5、现，将从根本上改变战争的进行方式”。,我国立法情况,目前网络安全方面的法规已经写入中华人民共和国宪法。于1982年8月23日写入中华人民共和国商标法于1984年3月12日写入中华人民共和国专利法于1988年9月日写入中华人民共和国保守国家秘密法于1993年9月2日写入中华人民共和国反不正当竞争法。,国际立法情况,美国和日本是计算机网络安全比较完善的国家，一些发展中国家和第三世界国家的计算机网络安全方面的法规还不够完善。欧洲共同体是一个在欧洲范围内具有较强影响力的政府间组织。为在共同体内正常地进行信息市场运做，该组织在诸多问题上建立了一系列法律，具体包括：竞争（反托拉斯）法；产品责任、商标和广告

6、规定；知识产权保护；保护软件、数据和多媒体产品及在线版权；数据保护；跨境电子贸易；税收；司法问题等。这些法律若与其成员国原有国家法律相矛盾，则必须以共同体的法律为准。,我国评价标准,在我国根据计算机信息系统安全保护等级划分准则，1999年10月经过国家质量技术监督局批准发布准则将计算机安全保护划分为以下五个级别第一级为用户自主保护级：它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。第二级为系统审计保护级：除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。第三级为安全标记保护级：除继承前一个级别的安全功能外，

7、还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。第四级为结构化保护级：在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力第五级为访问验证保护级：这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。,国际评价标准,根据美国国防部开发的计算机安全标准可信任计算机标准评价准则（Trusted Computer Standards Evaluation Criteria：TCSEC），也就是网络安全橙皮书，一些计算机安全级别被用来评价一个计算机系统的安全性。

8、自从1985年橙皮书成为美国国防部的标准以来，就一直没有改变过，多年以来一直是评估多用户主机和小型操作系统的主要方法。其他子系统（如数据库和网络）也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别：D类、C类、B类和A类，每类又分几个级别，,安全级别,安全级别,D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人都可以自由进出，是完全不可信任的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有：DOS和Windows98等。

9、,安全级别,C1是C类的一个安全子级。C1又称选择性安全保护（Discretionary Security Protection）系统，它描述了一个典型的用在Unix系统上安全级别这种级别的系统对硬件又有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不通的访问权限。,安全级别,使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员

10、能够给用户分组，授予他们访问某些程序的权限或访问特定的目录。能够达到C2级别的常见操作系统有：（1）、Unix系统（2）、Novell 3.X或者更高版本（3）、Windows NT、Windows 2000和Windows 2003,安全级别,B级中有三个级别，B1级即标志安全保护（Labeled Security Protection），是支持多级安全（例如：秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。安全级别存在保密、绝密级别，这种安全级别的计算机系统一般在政府机构中，比如国防部和国家安全局的计算机系统。,安全级别,B2级，又

11、叫结构保护级别（Structured Protection），它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。B3级，又叫做安全域级别（Security Domain），使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。,安全级别,A级，又称验证设计级别（Verified Design），是当前橙皮书的最高级别，它包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性设计必须从数学角度上进行验证，而且必须进行秘密通道和可信任

12、分布分析。可信任分布（Trusted Distribution）的含义是：硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。橙皮书也存在不足。TCSEC是针对孤立计算机系统，特别是小型机和主机系统。假设有一定的物理保障，该标准适合政府和军队，不适合企业，这个模型是静态的。,二、网络安全实验环境配置,网络安全是一门实践性很强的学科，包括许多试验。良好的实验配置是必须的。网络安全实验配置最少应该有两个独立的操作系统，而且两个操作系统可以通过以太网进行通信。,安装VMware虚拟机,考虑两个方面的因素：1、许多计算机不具有联网的条件。2、网络安全实验对系统具有破坏性。这里介绍在一台计算机上

13、安装一套操作系统，然后利用工具软件再虚拟一套操作为网络安全的攻击对象。首先准备一台计算机，因为需要装两套操作系统，所以内存应该比较大。计算机的基本配置如表1-2所示。,实验设备,实验设备,在计算机上安装Windows 2000 Server，并且打上相关的布丁，在本书中操作系统是Windows 2000 Server，IP地址设置为172.18.25.110，根据需要可以设置为其他的IP地址。如图1-2所示。,虚拟机软件VMware,需要安装一个虚拟机软件VMware，虚拟机上的操作系统，可以通过网卡和实际的操作系统进行通信。通信的过程和原理，与真实环境下的两台计算机一样。虚拟机操作系统的界面

14、如图1-3所示。,配置VMware虚拟机,安装完虚拟机以后，就如同组装了一台电脑，这台电脑需要安装操作系统。需要在虚拟机中装操作系统，选择菜单栏“File”下的“New”菜单项，再选择子菜单“New Virtual Machine”，如图1-8所示。,配置VMware虚拟机,出现新建虚拟机向导，这里有许多设置需要说明，不然虚拟机可能无法和外面系统进行通信。点击向导界面的按钮“下一步”，出现安装选项，如图1-9所示。,配置VMware虚拟机,这里有两种选择，选项“Typical”是典型安装，选项“Custom”是自定义安装，选择“Custom”安装方式。点击按钮“下一步”，进入选择操作系统界面，

15、设置将来要安装的操作系统类型，如图1-10所示。,配置VMware虚拟机,从图1-10中可以看出几乎常见的操作系统在列表中都有。选择“Windows Advanced Server”，点击按钮“下一步”进入安装目录选择界面，如图1-11所示。,配置VMware虚拟机,有两个文本框，上面文本框是系统的名字，按照默认值就可以，下面的文本框需要选择虚拟操作系统安装地址。选择好地址以后，点击按钮“下一步”，出现虚拟机内存大小的界面，如图1-12所示。,配置VMware虚拟机,因为安装的是Windows 2000 Advanced Server，所以内存不能小于128M，如果计算机内存比较大的话可以分配

16、的多一些，但是不能超过真实内存大小，这里设置为128M，点击按钮“下一步”进入网络连接方式选择界面，如图1-13所示。,配置VMware虚拟机,VMWare的常用的是两种联网方式：（1）Used Bridged networking虚拟机操作系统的IP地址可设置成与主机操作系统在同一网段，虚拟机操作系统相当于网络内的一台独立的机器，网络内其他机器可访问虚拟机上的操作系统，虚拟机的操作系统也可访问网络内其他机器。（2）User network address translation（NAT）实现主机的操作系统与虚拟机上的操作系统的双向访问。但网络内其他机器不能访问虚拟机上的操作系统，虚拟机可通过

17、主机操作系统的NAT协议访问网络内其他机器。一般来说，Bridged方式最方便好用，因为这种连接方式将使虚拟机就好像是一台独立的计算机一样。,配置VMware虚拟机,选择第一种方式：使用网桥方式联网。点击按钮“下一步”，出现创建磁盘的选择界面，如图1-14所示。,配置VMware虚拟机,有三种选择：1、Create a new virtual disk虚拟机将重新建立一个虚拟磁盘，该磁盘在实际计算机操作系统上就是一个文件，而且这个文件还可以随意的拷贝。2、Use an existing virtual disk使用已经建立好的虚拟磁盘。3、Use a physical disk使用实际的磁盘，

18、这样虚拟机可以方便的和主机进行文件交换，但是这样的话，虚拟机上的操作系统受到损害的时候会影响外面的操作系统。,配置VMware虚拟机,因为这里是做网络安全方面的实验，尽量的让虚拟机和外面系统隔离，所以这里选择第一项。点击按钮“下一步”，进入硬盘空间分配界面，如图1-15所示。,配置VMware虚拟机,建立一个虚拟的操作系统，这里按照默认的4G就够了。点击按钮“下一步”进入文件存放路径设置界面，如图1-16所示。,配置VMware虚拟机,整个虚拟机上操作系统就包含在这个文件中，点击按钮“完成”，可以在VMware的主界面看到刚才配置的虚拟机，如图1-17所示。,配置VMware虚拟机,点击绿色的

19、启动按钮来开启虚拟机，如图1-18所示。,配置VMware虚拟机,可以看到VMware的启动界面，相当于是一台独立的计算机，如图1-18所示。,配置VMware虚拟机,在图1-18中可以看到，按下功能键“F2”进入系统设置界面，进入虚拟机的BIOS（Basic Input and Out System）设置界面，如图1-19所示。,配置VMware虚拟机,为了使所有的网络安全攻击实验都可以成功完成，在虚拟上安装没有打过任何布丁的Windows Advanced Server 2000。安装完毕后，虚拟机上的操作系统如图1-20所示。,配置VMware虚拟机,这样两套操作系统就成功的建成了。启动

20、成功后，进入操作系统，配置虚拟机上操作系统的IP地址，使之和主机能够通过网络进行通信，配置虚拟机操作系统的IP地址是：172.18.25.109，如图1-21所示。,配置VMware虚拟机,主机和虚拟机在同一网段，并可以通信。利用Ping指令来测试网络是否连通。在主机的DOS窗口中输入“Ping 172.18.25.109”，如图1-22所示。,网络抓包软件Sniffer,利用Sniffer抓包,进入Sniffer主界面，抓包之前必须首先设置要抓取数据包的类型。选择主菜单Capture下的Define Filter菜单，如图1-26所示。,利用Sniffer抓包,在抓包过滤器窗口中，选择Add

21、ress选项卡，如图1-27所示。窗口中需要修改两个地方：在Address下拉列表中，选择抓包的类型是IP，在Station1下面输入主机的IP地址，主机的IP地址是172.18.25.110；在与之对应的Station2下面输入虚拟机的IP地址，虚拟机的IP地址是172.18.25.109。,利用Sniffer抓包,设置完毕后，点击该窗口的Advanced选项卡，拖动滚动条找到IP项，将IP和ICMP选中（IP和ICMP的具体解释在第二章，这里只是做相应的设置），如图1-28所示。,利用Sniffer抓包,向下拖动滚动条，将TCP和UDP选中，再把TCP下面的FTP和Telnet两个选项选中

22、，如图1-29所示。,利用Sniffer抓包,这样Sniffer的抓包过滤器就设置完毕了，后面的实验也采用这样的设置。选择菜单栏Capture下Start菜单项，启动抓包以后，在主机的DOS窗口中Ping虚拟机，如图1-31所示。,利用Sniffer抓包,等Ping指令执行完毕后，点击工具栏上的停止并分析按钮，如图1-32所示。,利用Sniffer抓包,在出现的窗口选择Decode选项卡，可以看到数据包在两台计算机间的传递过程，如图1-33所示。,主机配置,Sniffer将Ping的数据包成功获取了。实验中的主机除此之外还要安装VC+6.0。主机软件推荐配置如表1-3所示。,虚拟机配置,虚拟机配置,实验中的很多程序属于木马和病毒程序，除了做实验以外，在主机上和虚拟机上不要加载任何的防火墙或者防病毒监控软件。,本章习题,【1】、网络攻击和防御分别包括哪些内容？【2】、从层次上，网络安全可以分成哪几层，每层有什么特点？【3】、为什么要研究网络安全？【4】、请分别举两个例子说明对于网络安全与政治、经济、社会稳定和军事的联系。【5】、国内和国际对于网络安全方面有哪些立法？【6】、网络安全橙皮书指的是什么？包括哪些内容？【7】、使用Sniffer抓取主机到虚拟机或者到其他电脑的数据包，并做简要的分析。（上机完成）,