- 网络安全技术及应用实践教程
- 贾铁军 蒋建军主编
- 21595字
- 2021-03-30 13:53:58
第1章 网络安全基础
进入21世纪现代信息化社会,随着网络技术的快速发展和广泛应用,网络安全问题日益突出,已经引起世界各国的高度重视,并成为一个热门研究和人才需求的新领域。网络空间安全不仅关系到国家安全和社会稳定,也关系到信息化建设的健康发展、用户资产和信息资源的安全,其重要性和紧迫性更加突出。
教学目标
●掌握网络安全的基本概念、目标和内容
●掌握网络安全技术的相关概念、种类和模型
●理解网络安全面临的威胁及发展态势
●了解网络实体安全、隔离技术及应用
●理解构建和设置虚拟局域网VLAN的方法
教学课件
第1章 课件资源
1.1 知识要点
【案例1-1】 2016年,近70%网友曾遭遇电信网络诈骗。2016年,山东女大学生被骗近万元学费导致猝死、清华大学教授被骗上千万元等案件,使电信网络诈骗案件成为备受瞩目的社会热点之一。公安等相关部门为破解这个多年顽疾进行了重点整治。2016年前10个月,全国共破获电信诈骗案件9.3万起,收缴赃款赃物价值人民币23.8亿元,为群众挽回经济损失48.7亿元。2015年,全国共发生电信网络诈骗案59万余起,被骗222亿元。
教学视频
第1章 微视频
1.1.1 网络安全的概念和内容
1.网络安全的相关概念、目标和特征
(1)网络安全与网络空间安全相关概念
信息安全(Information Security)是指系统的硬件、软件及其信息受到保护,并持续正常地运行和服务。信息安全的实质是保护信息系统和信息资源免受各种威胁、干扰和破坏,即保证信息的安全性;主要目标是防止信息被非授权泄露、更改、破坏,或被非法的系统辨识与控制,确保信息的保密性、完整性、可用性、可控性和可审查性(信息安全五大特征)。在《计算机信息系统安全保护条例》中指出,计算机信息系统的安全保护,应当保障计算机及其相关的配套设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统安全运行。
国际标准化组织(ISO)对于信息安全给出的定义是:为数据处理系统建立和采取的技术及管理保护,保护计算机硬件、软件、数据不因偶然及恶意的原因而遭到破坏、更改和泄漏。
知识拓展
信息安全内涵的变化
网络安全(Network Security)是指利用网络技术、管理和控制等措施,保证网络系统和信息的保密性、完整性、可用性、可控性和可审查性。即保证网络系统及数据资源得到安全保护,不受干扰破坏和非授权使用。ISO/IEC27032:2012中网络安全的定义则是指对网络的设计、实施和运营等过程中的信息及其相关系统的安全保护。
注意:网络安全不局限于计算机网络安全,还包括手机网络安全等。实际上,网络安全是一个相对的概念,世界上不存在绝对的安全,过分提高网络的安全性可能会降低网络传输速度,浪费资源和增加成本。
特别理解
网络安全概念的内涵
网络空间安全(Cyberspace Security)是研究网络空间中的信息在产生、传输、存储及处理等环节中所面临的威胁和防御措施,以及网络和系统本身的威胁和防护机制。不仅包括传统信息安全所研究的信息的保密性、完整性和可用性,还包括构成网络空间基础设施的安全和可信。首先需要明确信息安全、网络安全及网络空间安全这3个概念的异同,三者均属于非传统安全,均聚焦于信息安全问题。网络安全及网络空间安全的核心是信息安全,只是出发点和侧重点有所差别。
(2)网络安全的目标及特征
网络安全的目标是指在网络的信息传输、存储与处理的整个过程中,提高物理上、逻辑上的防护、监控、反应恢复和对抗的要求。网络安全的主要目标是通过各种技术与管理等手段,实现网络信息的保密性、完整性、可用性、可控性和可审查性(网络信息安全五大特征)。其中保密性、完整性和可用性是网络安全的基本要求。
知识拓展
网络空间安全与网络安全的关系
网络安全包括两个方面,一个是网络系统的安全,另一个是网络信息(数据)的安全。网络安全的最终目标和关键是保护网络信息的安全。网络信息安全的特征反映了网络安全的具体目标要求。
1)保密性(Confidentiality)。也称机密性,是指不将有用信息泄漏给非授权用户的特性。可以通过信息加密、身份认证、访问控制和安全通信协议等技术实现。信息加密是防止信息非法泄露的最基本手段,主要强调有用信息只被授权对象使用的特征。
2)完整性(Integrity)。是指信息在传输、交换、存储和处理过程中,保持信息不被破坏或修改、不丢失,以及信息未经授权不能改变的特性,也是最基本的安全特征。
3)可用性。也称有效性(Availability),是指信息资源可被授权实体按要求访问、正常使用或在非正常情况下能恢复使用的特性(系统面向用户服务的安全特性)。在系统运行时,正确存取所需信息;当系统遭受意外攻击或破坏时,可以迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能,保障为用户提供服务。
4)可控性(Controllability)。是指网络系统和信息在传输范围和存放空间内的可控程度,是对网络系统和信息传输的控制能力特性。
5)可审查性。又称拒绝否认性(No-repudiation)、抗抵赖性或不可否认性,是指网络通信双方在信息交互过程中,确信参与者本身和所提供信息的真实同一性,即所有参与者不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。
2.网络安全的内容及侧重点
(1)网络安全涉及的内容
通常,网络安全的内容包括操作系统安全、数据库安全、网络及站点安全、病毒与防护、访问控制、加密与鉴别等方面,具体内容将在后续章节中分别进行详细介绍。也可从层次结构上将网络安全所涉及的内容概括为以下5个方面。
1)实体安全。也称物理安全,是指保护网络设备、设施及其他媒介免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施及过程。具体参见1.3节的介绍。
2)系统安全。主要包括网络系统安全(含应用系统)、操作系统安全和数据库系统安全。主要以网络系统的特点、条件和管理要求为依据,通过有针对性地为系统提供安全策略机制、保障措施、应急修复方法、安全要求和管理规范等,确保整个网络系统安全。
3)运行安全。包括相关系统的运行安全和访问控制安全,如用防火墙进行内外网隔离、访问控制和系统恢复。运行安全包括内外网隔离机制、应急处置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁处理、跟踪最新安全漏洞、灾难恢复机制与预防、安全审计、系统改造、网络安全咨询等。
4)应用安全。由应用软件平台安全和应用数据安全两部分组成。应用安全包括业务应用软件的程序安全性测试分析、业务数据的安全检测与审计、数据资源访问控制验证测试、实体身份鉴别检测、业务数据备份与恢复机制检查、数据唯一性或一致性、防冲突检测、数据保密性测试、系统可靠性测试和系统可用性测试等。
5)管理安全。也称安全管理,主要是指对人员、网络系统和应用与服务等要素的安全管理,涉及各种法律、法规、政策、策略、机制、规范、标准、技术手段和措施等内容。主要包括法律法规管理、政策策略管理、规范标准管理、人员管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运营管理、机房管理和安全培训管理等。
广义网络安全的主要内容如图1-1所示。依据网络信息安全法律法规,以实体安全为基础,以管理和运行安全保障操作系统安全、网络安全(狭义)和应用安全及正常运行与服务。网络安全的相关内容及其相互关系如图1-2所示。
知识拓展
网络安全层次结构的其他特点
图1-1 网络安全的主要内容
图1-2 网络安全的相关内容及其相互关系
(2)网络安全保护范畴及侧重点
【案例1-2】 国家网络与信息安全中心紧急通报:2017年5月12日20时左右,新型“蠕虫”式勒索病毒爆发,很快就有100多个国家和地区的数万台计算机感染了该勒索病毒,我国部分Windows操作系统用户已经被感染。有关安全机构提醒广大计算机用户尽快升级并安装补丁,相关用户可打开并启用Windows防火墙,进入“高级设置”,禁用“文件和打印机共享”设置;或启用个人防火墙关闭445、135、137、138及139等高风险端口。
网络安全涉及的内容包括技术和管理等多个方面,需要相互补充、综合协同防范。技术方面主要侧重于防范外部非法攻击,管理方面则侧重于内部人为因素的管理。如何更有效地保护重要数据、提高网络系统的安全性,已经成为必须解决的一个重要问题。
网络安全的关键及核心是确保网络系统中的信息安全,凡涉及网络信息的可靠性、保密性、完整性、有效性、可控性和可审查性的理论、技术与管理,都属于网络安全的研究范畴,不同人员或部门对网络安全内容的侧重点有所不同。
1)网络安全工程人员。更注重成熟的网络安全解决方案和新型网络安全产品,注重网络安全工程建设开发与管理、安全防范工具、操作系统防护技术和安全应急处理措施等。
特别理解
网络安全保护的范畴
2)网络安全研究人员。注重从理论上采用数学等方法精确描述安全问题的特征,之后通过安全模型等解决具体的网络安全问题。
3)网络安全评估人员。主要关注网络安全评价标准与准则、安全等级划分、安全产品测评方法与工具、网络信息采集、网络攻击及防御技术和采取的有效措施等。
4)网络管理员或安全管理员。主要侧重网络安全管理策略、身份认证、访问控制、入侵检测、防御与加固、网络安全审计、应急响应和计算机病毒防治等安全技术和措施。主要职责是配置与维护网络,在保护授权用户方便、快捷地访问网络资源的同时,必须防范非法访问、病毒感染、黑客攻击、服务中断和垃圾邮件等各种威胁,一旦系统遭到破坏,使数据或文件破坏或丢失,可以采取相应的应急响应和恢复等措施。
5)国家安全保密人员。注重网络信息泄露、窃听和过滤的各种技术手段,以避免涉及国家政治、军事及经济等重要机密信息的无意或有意泄露;抑制和过滤威胁国家安全的暴力与邪教等信息的传播,以免给国家的稳定带来不利影响,甚至危害国家安全。
知识拓展
公共安全机构的要求
6)国防军事相关人员。更关心信息对抗、信息加密、安全通信协议、无线网络安全、入侵攻击、应急处理和网络病毒传播等网络安全综合技术,以此夺取网络信息优势、扰乱敌方指挥系统、摧毁敌方网络基础设施,打赢未来信息战争。
注意:所有网络用户都应关心网络安全问题,注意保护个人隐私和商业信息不被窃取、篡改、破坏和非法存取,确保网络信息的保密性、完整性、有效性和可审查性。
1.1.2 网络安全技术概述
1.网络安全技术的概念和通用技术
(1)网络安全技术相关概念
网络安全技术(Network Security Technology)是指为解决网络安全问题进行有效监控和管理,保障数据及系统安全的技术手段。主要包括实体安全技术、网络系统安全技术、数据安全、密码及加密技术、身份认证、访问控制、防恶意代码、检测防御、管理与运行安全技术等,以及确保安全服务和安全机制的策略等。
通过对网络系统的扫描、检测和评估,可以预测主体受攻击的可能性,以及风险和威胁。由此可以识别检测对象的系统资源,分析被攻击的可能指数,了解系统的安全风险和隐患,评估所存在的安全风险程度及等级。国防、证券及银行等一些非常重要的网络,安全性的要求最高,不允许受到入侵和破坏,扫描和评估技术标准更为严格。
监控和审计是与网络安全密切相关的技术。主要通过对网络通信过程中可疑、有害信息或异常行为进行记录,为事后处理提供依据,对黑客形成强有力的威慑,提高网络整体安全性。例如,局域网监控可提供内部网异常行为监控机制。
(2)通用的网络安全技术
通用的网络安全技术主要可以归纳为三大类。
1)预防保护类。包括身份认证、访问管理、加密、防恶意代码、入侵防御和加固等。
2)检测跟踪类。对网络客体的访问行为需要进行监控、检测和审计跟踪,防止在访问过程中可能产生的安全事故。
3)响应恢复类。网络或数据一旦发生重大安全故障,需要采取应急预案和有效措施,确保在最短的时间内对其事件进行应急响应和备份恢复,尽快将损失和影响降至最低。
特别理解
网络安全技术的内涵
【案例1-3】 某银行以网络安全业务价值链的概念,将网络安全的技术手段分为预防保护类、检测跟踪类和响应恢复类三大类,如图1-3所示。
图1-3 常用的网络安全技术
主要的通用网络安全技术有8种,分别如下。
1)身份认证(Identity and Authentication)。通过网络身份的一致性确认,保护网络授权用户的正确存储、同步、使用、管理和控制,防止别人冒用或盗用的技术手段。
2)访问管理(Access Management)。保障授权用户在其权限内对授权资源进行正当使用,防止非授权使用的措施。
知识拓展
网络安全技术的缺陷
3)加密(Cryptograghy)。加密技术是最基本的网络安全手段,包括加密算法、密钥长度确定、密钥生命周期(生成、分发、存储、输入/输出、更新、恢复和销毁等)安全措施和管理等。
4)防恶意代码(Anti-Malicode)。建立健全恶意代码(计算机病毒及流氓软件)的预防、检测、隔离和清除机制,预防恶意代码入侵,迅速隔离和查杀已感染病毒,识别并清除网内恶意代码。
5)加固(Hardening)。对系统漏洞及隐患采取必要的安全防范措施,主要包括安全性配置、关闭不必要的服务端口、系统漏洞扫描、渗透性测试、安装或更新安全补丁、增设防御功能和对特定攻击的预防手段等,提高系统自身的安全。
6)监控(Monitoring)。通过监控用户主体的各种访问行为,确保对网络等客体的访问过程中有效地采用合适的安全技术手段。
7)审核跟踪(Audit Trail)。对网络系统异常访问、探测及操作等事件进行及时核查、记录和追踪。利用多项审核跟踪不同活动。
8)备份恢复(Backup and Recovery)。在网络系统出现异常、故障或入侵等意外情况时,及时恢复系统和数据而进行的预先备份等技术方法。备份恢复技术主要包括4个方面:备份技术、容错技术、冗余技术和不间断电源保护。
(3)网络空间安全新技术
网络空间安全新技术主要包括以下几种。
1)智能移动终端恶意代码检测技术。针对智能移动终端恶意代码研发的新型恶意代码检测技术,是在原有PC机已有的恶意代码检测技术的基础上,结合智能移动终端的特点引入的新技术。在检测方法上分为动态监测和静态检测两种。
2)可穿戴设备安全防护技术。一种是生物特征识别技术,英特尔等将其应用于可穿戴设备,对用户的身份进行验证,若验证不通过将不提供服务。另一种是入侵检测与病毒防御工具,在设备中引入异常检测及病毒防护模块。
3)云存储安全技术。包括①云容灾技术。用物理隔离设备和特殊算法,实现资源的异地分配。当设备意外损毁后,可利用储存在其他设备上的冗余信息恢复出原数据。②可搜索加密与数据完整性校验技术。可通过关键字搜索云端的密文数据。③基于属性的加密技术。支持一对多加密模式,在基于属性的加密系统中,用户向属性中心提供属性列表信息或访问结构,中心返回私钥给用户。
4)后量子密码。量子计算机的快速并行计算能力,可将计算难题化解为可求解问题。
知识拓展
密码加密新技术
2.网络安全常用模型
借助网络安全模型可以构建网络安全体系和结构,并进行具体的网络安全解决方案的制定、规划、设计和实施等,也可以用于实际应用网络安全实施过程的描述和研究。
(1)网络安全PDRR模型
PDRR模型是常用的描述网络安全整个过程和环节的网络安全模型,包括防护(Pro-tection)、检测(Detection)、响应(Reaction)和恢复(Recovery),如图1-4所示。
图1-4 网络安全PDRR模型
在上述模型的基础上,以“检查准备(In-spection)、防护加固(Protection)、检测发现(Detection)、快速反应(Reaction)、确保恢复(Recovery)、反省改进(Reflection)”为原则,经过改进得到另一个网络安全生命周期模型——IPDRRR(Inspection,Protection,Detection,Reac-tion,Recovery,Reflection)模型,如图1-5所示。
(2)网络安全通用模型
利用互联网将数据报文从源站主机传输到目的站主机,需要协同处理与交换。通过建立逻辑信息通道,可以确定从源站经过网络到目的站的路由及两个主体协同使用TCP/IP的通信协议。其网络安全通用模型如图1-6所示,缺点是并非所有情况都通用。
图1-5 网络IPDRRR模型
对网络信息进行安全处理,需要可信的第三方进行两个主体在报文传输中的身份认证。构建网络安全系统时,网络安全模型的基本任务主要有4个:选取一个秘密信息或报文;设计一个实现安全的转换算法;开发一个分发和共享秘密信息的方法;确定两个主体使用的网络协议,以便利用秘密算法与信息实现特定的安全服务。
(3)网络访问安全模型
图1-6 网络安全通用模型
在访问网络过程中,针对黑客攻击、病毒侵入及非授权访问等情况,常采用网络访问安全模型,如图1-7所示。黑客攻击有两类威胁:一类是访问威胁,即非授权用户截获或修改数据;另一类是服务威胁,即服务流激增以禁止合法用户使用。非授权访问的安全机制可分为两类:一类是网闸功能,包括基于口令的登录过程可拒绝所有非授权访问,以及屏蔽逻辑用于检测并拒绝病毒、蠕虫和其他类似攻击;另一类是内部的安全控制,若非授权用户得到访问权,第二道防线将对其进行防御,包括各种内部监控和分析,以检查入侵者。
图1-7 网络访问安全模型
(4)网络安全防御模型
“防患于未然”是最好的保障,网络安全的关键是预防,同时做好内网与外网的隔离保护。可以通过如图1-8所示的网络安全防御模型构建的系统来保护内网。
图1-8 网络安全防御模型
1.1.3 网络安全建设发展现状及趋势
1.国外网络安全建设发展状况
国外的网络安全建设和发展主要体现在以下8个方面。
1)完善法律法规和制度建设。世界很多发达国家从立法、管理、监督和教育等方面都采取了相应的有效措施,以加强对网络的规范管理。一些国家以网络实名制进行具体的网络管理,为网络安全奠定了重要基础,同时也起到了重大威慑作用。
2)信息安全保障体系。面对各种网络威胁和安全隐患暴露出的问题,促使很多发达国家正在完善各种以深度防御为重点的整体安全平台——网络信息安全保障体系。
3)网络系统安全测评。网络系统安全测评技术主要包括安全产品测评和基础设施安全性测评技术。
4)网络安全防护技术。在对各种传统的网络安全技术进行更深入的探究的同时,创新和改进新技术、新方法,研发新型的智能入侵防御系统、统一威胁资源管理与加固等多种新技术。
5)故障应急响应处理。在很多灾难性事件中,可以看出应急响应技术极为重要。主要包括3个方面:突发事件处理(包括备份恢复技术)、追踪取证的技术手段,以及事件或具体攻击的分析。
6)网络系统生存措施。
【案例1-4】 美国国防部五角大楼,2001年9月11日,遭到被劫持客机的撞击。由于利用网络系统生存措施和应急响应,使得遭受重大袭击后仅几小时就成功地恢复了其网络系统的主要功能,这得益于在西海岸的数据备份和有效的远程恢复技术。
7)网络安全信息关联分析。美国等国家在捕获攻击信息和新型扫描技术等方面取得了突破,有效地克服了面对各种庞杂多变的网络攻击和威胁。仅对单个系统入侵监测和漏洞扫描,很难及时将不同安全设备和区域的信息进行关联分析,也无法快速、准确地掌握攻击策略信息等。
8)密码新技术研究。我国在密码新技术研究方面取得了一些国际领先成果。在深入进行传统密码技术研究的同时,重点进行量子密码等新技术的研究,主要包括两个方面:一方面是利用量子计算机对传统密码体制进行分析;另一方面是利用量子密码学实现信息加密和密钥管理。
2.我国网络安全建设发展现状
我国极为重视网络安全建设,并采取了一系列重大举措,主要体现在以下几个方面。
1)强化网络安全管理与保障。国家高度重视并成立“国家网络信息安全领导小组”,并进一步加强和完善了网络安全方面的法律法规、准则与规范、规划与策略、规章制度、保障体系、管理技术、机制与措施、管理方法和安全管理人员队伍及其素质能力等。
知识拓展
我国网络信息安全建设发展阶段
2)安全风险评估分析。必须对规范要求进行安全风险评估和分析,定期对现有网络进行安全风险评估和分析,并及时采取有效措施进行安全管理和防范。
3)网络安全技术研究。我国对网络安全工作高度重视,并在《国家安全战略纲要》中将网络空间安全纳入国家安全战略。同时在国家重大高新技术研究项目等方面给予大量支持,在密码技术和可信计算等方面取得重大成果。
知识拓展
系统自主研发建设
4)网络安全测试与评估。测试与评估的标准正在不断完善,相应的自动化工具有所加强;测试与评估的手段不断提高,渗透性测试的技术方法正在增强,评估网络整体安全性进一步提高。
5)应急响应与系统恢复。应急响应能力是衡量网络系统生存性的重要指标。目前,我国应急处理的能力正在加强,缺乏系统性和完整性的问题正在改善,对检测系统漏洞、入侵行为和安全突发事件等方面的研究进一步提高。但在跟踪定位、现场取证及攻击隔离等方面的技术研究和产品尚存不足。
在系统恢复方面以磁盘镜像备份、数据备份为主,以提高系统的可靠性。系统恢复和数据恢复技术的研究仍显不足,应加强先进的远程备份和异地备份技术的研究,而在远程备份中数据一致性、完整性和访问控制等技术尤为关键。
6)网络安全检测技术。网络安全检测是信息保障的动态措施,通过入侵检测、漏洞扫描等手段,定期对系统进行安全检测和评估,及时发现安全问题;进行安全预警和漏洞修补,防止发生重大信息安全事故。我国的安全检测技术和方法正在改进,并将入侵检测、漏洞扫描及路由等安全技术相结合,努力实现跨越多边界的网络攻击事件的检测、追踪和取证。
3.网络安全技术的发展趋势
网络安全技术的发展趋势主要体现在以下几个方面。
1)网络安全技术不断提高。随着网络安全威胁的不断增加和变化,网络安全技术也在不断创新和提高,从传统安全技术向可信技术、深度包检测、终端安全管控和Web安全技术等新技术发展。同时,也不断出现云安全、智能检测、智能防御技术、加固技术、网络隔离、可信服务、虚拟技术、信息隐藏技术和软件安全扫描等新技术。其中,可信技术是一个系统工程,包含可信计算技术、可信对象技术和可信网络技术,可提供从终端到网络系统的整体安全可信环境。
2)安全管理技术高度集成。网络安全技术优化集成已成趋势,如杀毒软件与防火墙集成、虚拟网VPN与防火墙的集成、入侵检测系统(Intrusion Detection System,IDS)与防火墙的集成,以及安全网关、主机安全防护系统和网络监控系统等集成技术。
3)新型网络安全平台。统一威胁管理可将各种威胁进行整体安全防护管理,是实现网络安全的重要手段和发展趋势,已成为集多种网络安全防护技术于一体的解决方案,在保障网络安全的同时大大降低运维成本。主要包括网络安全平台(身份认证、访问控制、密码加密、病毒防范等)、统一威胁管理工具和日志审计分析系统等。
知识拓展
网络安全服务和人才需求
4)高质量服务和高水平人才。网络安全威胁的严重性及新变化,对解决网络安全技术和经验要求更高,急需高质量的网络安全服务和高水平的人才。
5)特殊专用安全工具。对网络安全危害大且影响范围广的一些特殊威胁,应采用特殊专用工具,如专门针对分布式拒绝服务攻击的防御系统,专门解决网络安全认证、授权与计费的认证系统、入侵检测系统等。
1.2 案例分析 网络空间安全威胁
1.2.1 网络空间安全威胁及现状分析
网络空间已经成为继陆、海、空、天之后的第五大战略空间,是影响国家安全、社会稳定、经济发展和文化传播的核心、关键和基础,其安全性至关重要,急需解决。
1)法律法规、安全管理和意识欠缺。世界各国在网络空间安全保护方面,制定的各种法律法规和管理政策等相对滞后、不完善且更新不及时。安全意识薄弱,管理不当。
2)网络安全规范和标准不统一。网络安全是一个系统工程,需要统一规范和标准。
3)政府与企业的侧重点及要求不一致。政府注重信息资源及网络安全的可管性和可控性,企业则注重其经济效益、可用性和可靠性。
4)网络系统的安全威胁及隐患。计算机及手机网络的开放性、交互性和分散性等特点,以及网络系统自身存在的缺陷、安全漏洞和隐患,致使网络存在巨大的威胁和风险,时常受到侵扰和攻击,也影响了正常的网络应用和服务。
知识拓展
网络安全规范的不足
【案例1-5】 我国网络遭受攻击近况。根据国家互联网应急中心(CNCERT)抽样监测结果和国家信息安全漏洞共享平台(CNVD)发布的数据,2017年8月,国内被篡改网站数量为6109个,被植入后门的网站达4247个,针对国内网站的仿冒页面数量为1572个;被篡改政府网站数量为111个,被植入后门的政府网站数量为299个;感染网络病毒的终端数为208万个,信息系统漏洞为1380个,其中高危漏洞498个,可被远程攻击的漏洞1277个。
5)网络技术和手段滞后。网络安全技术研发及更新滞后于出现的需要解决的安全问题,更新不及时、不完善。
6)网络安全威胁新变化,黑客利益产业链惊人。移动安全、大数据、云安全、社交网络和物联网等成为新的攻击点。黑客产业链和针对性攻击普遍且呈现上升趋势。
【案例1-6】 中国黑客利益产业链巨大。据调查显示,2017年中国的木马产业链一年收入上百亿元。湖北某地警方破获一起制造和传播具有远程控制功能的木马病毒网络犯罪团伙,是国内破获的首个上下游产业链完整的木马犯罪案件。嫌疑人杨某等编写、贩卖木马程序。原本互不相识的几位犯罪嫌疑人,在不到半年的时间就非法获利近200万元。木马程序灰鸽子产业链如图1-9所示。
图1-9 黑客木马程序灰鸭子产业链
1.2.2 网络安全威胁的种类及途径
1.网络安全威胁的种类
网络安全威胁主要来自人为因素、系统和运行环境等,包括网络系统问题和网络数据(信息)的威胁和隐患。网络安全威胁主要表现为非法授权访问、窃听、黑客入侵、假冒合法用户、病毒破坏、干扰系统正常运行、篡改或破坏数据等。这些威胁性攻击大致可分为主动攻击和被动攻击两大类。
知识拓展
主动攻击与被动攻击的区别
【案例1-7】 美国网络间谍活动公诸于世。2013年曾参加美国安全局网络监控项目的斯诺登曝光“棱镜计划”,公开美国多次秘密利用超级软件监控包括其盟友政要在内的网络用户和电话。谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype和YouTube等公司还提供漏洞参数、开放服务器等,使其轻易监控有关国家机构或上百万网民的邮件、即时通话及相关数据。网络安全威胁的种类如表1-1所示。
表1-1 网络安全威胁的种类
(续)
2.网络安全威胁的主要途径
世界各种计算机网络、手机网络或电视机网络被入侵攻击的事件频发,其途径、种类各异,且变化多端。大量网络系统的功能、网络资源和应用服务等已经成为黑客攻击的主要目标。目前,网络的主要应用包括电子商务、网上银行、股票、证券、即时通信、邮件、网游及文件下载等,都存在大量安全隐患。
【案例1-8】 中国已成为被监控的重要目标,脱网也会被攻击。美国《纽约时报》2014年1月曝光了美国国家安全局(National Security Agency,NSA)的“量子”项目,该项目将一种秘密技术植入脱网的计算机,并更改其数据。2008年以来一直使用这种秘密技术。该技术通过安装在计算机内的微电路板和USB连线发送秘密无线电波来实现监视,并已植入全球10万台计算机。其中最重要的监控对象包括中国军方。美国专家以“肆无忌惮”来评价NSA的行为,称“白宫曾义正词严地批评中国黑客盗取我们的军事、商业机密,原来我们一直在对中国做同样的事情”。
网络安全威胁的主要途径如图1-10所示。
图1-10 网络安全威胁的主要途径
1.2.3 网络安全的威胁及风险分析
网络安全的威胁及风险涉及网络设计、结构、层次、范畴和管理机制等方面,要做好网络安全防范,必须认真、深入地分析和研究网络系统的安全风险及隐患。
1.网络系统安全威胁及风险
1)网络系统面临的威胁和风险。互联网创建初期只用于计算和科学研究,其设计及技术基础并不安全。现代互联网的快速发展和广泛应用,使其具有开放性、国际性和自由性等特点,也出现了一些网络系统的安全风险和隐患,主要因素包括7个方面:网络开放性隐患多、网络共享风险大、系统结构复杂有漏洞、身份认证难、边界难确定受威胁、传输路径与结点隐患多,以及信息高度聚集易受攻击。
2)网络服务协议的安全威胁。常用的互联网服务安全包括Web浏览服务安全、文件传输(FTP)服务安全、E-mail服务安全、远程登录(Telnet)安全、DNS域名安全和设备的实体安全。网络运行机制依赖网络协议,不同结点间的信息交换以约定机制通过协议中的数据单元实现。TCP/IP在设计初期只注重异构网的互联,并没考虑安全问题,Internet的广泛应用使其安全威胁对系统安全产生极大风险。互联网基础协议TCP/IP、FTP、E-mail、RPC(远程进程调用)和NFS等不仅公开,且存在安全漏洞。
2.操作系统的漏洞及隐患
操作系统安全(Operation System Secure)是指操作系统本身及运行的安全,通过对系统软硬件资源的整体有效控制,并对所管理的资源提供安全保护。操作系统是网络系统中最基本、最重要的系统软件,在设计与开发时由于难以避免的疏忽而留下漏洞和隐患。
1)体系结构和研发漏洞。网络系统的威胁主要来自操作系统的漏洞。
2)创建进程的隐患。支持进程的远程创建与激活、所创建的进程继承原进程的权限,这种机制时常给黑客提供了远端服务器安装“间谍软件”的可乘之机。
3)服务及设置的风险。操作系统的部分服务程序可能绕过防火墙、查杀病毒软件等。
4)配置和初始化错误。网络系统一旦出现严重故障,必须关掉某台服务器以维护其某个子系统,再重新启动服务器时,可能会发现个别文件丢失或被篡改。
知识拓展
网络协议本身缺陷
3.防火墙的局限性及风险
防火墙能够较好地阻止外网基于IP包头的攻击和非信任地址的访问,却无法阻止基于数据内容的黑客攻击和病毒入侵,也无法控制内网之间的攻击行为。需要采用入侵检测系统、入侵防御系统及统一威胁管理(Unified Threat Management,UTM)等技术来弥补防火墙的安全局限性,应对各种网络攻击,以扩展系统管理员的防范能力(包括安全审计、监视、进攻识别和响应)。防火墙安全技术和方法将在第8章具体介绍。
4.网络数据库的安全风险
数据库技术是信息资源管理和数据处理的核心技术,也是各种应用系统处理业务数据的关键,是信息化建设的重要组成部分。网络系统需要在数据库中存取并调用大量重要数据。数据库技术的核心是数据库管理系统(DBMS),主要用于集中管理数据资源信息,实现数据资源共享、减少数据冗余,确保系统数据的保密性、完整性和可靠性。各类应用系统都以数据库为支撑平台。数据库安全不仅包括数据库系统本身的安全,还包括最核心、最关键的数据(信息)安全,需要确保数据的安全可靠和正确有效和完整性。数据库存在的不安全因素包括非法用户窃取信息资源,授权用户超出权限进行数据访问、更改和破坏等。数据库安全技术和应用将在第10章具体介绍。
知识拓展
网络数据库的安全性
5.网络安全管理及其他问题
网络安全是一项系统工程,需要各方面协同管理。安全管理产生的漏洞和疏忽属于人为因素,缺乏完善的相关法律法规、管理技术规范和安全管理组织及人员,缺少定期的安全检查、测试和实时有效的安全监控,将是网络安全的最大问题。
【案例1-9】 中国是网络安全最大的受害国。国家互联网应急中心(CNCERT)监测的数据显示,中国遭受境外网络攻击的情况日趋严重。CNCERT抽样监测发现,2013年1月1日至2月28日,国外6747台木马或僵尸网络服务器控制了中国国内的190万余台主机(“肉鸡”);其中位于美国的2194台控制服务器控制了中国国内128.7万台主机,无论是按照控制服务器数量还是控制中国主机数量排名,美国都位列第一。
1)网络安全相关法律法规和管理政策问题。网络安全相关的法律法规不健全,面临管理体制、保障体系、机制、权限、监控、管理策略、管理措施和审计等问题。
2)管理漏洞和操作人员问题。主要是管理疏忽、失误、误操作及水平能力等。例如,安全配置不当所造成的安全漏洞,用户安全意识不强与疏忽,以及密码选择不慎等都会对网络安全构成威胁。疏于管理与防范,甚至个别内部人员贪心、邪念成为最大威胁。
3)实体管理、运行环境安全及传输安全是网络安全的重要基础。在光纤通信、同轴电缆、微波通信和卫星通信中窃听指定的信息很难,但是,没有绝对安全的通信线路,例如,电磁干扰泄漏等安全问题。
1.2.4 网络空间安全威胁的发展态势
【案例1-10】 随着互联网技术和应用的快速发展,全球互联网用户数量和隐患急剧增加。据估计,到2020年,全球网络用户将上升至50亿户,移动用户将上升至100亿户。中国互联网用户数量急剧增加,网民规模、宽带网民数及国家顶级域名注册量3项指标位居世界第一。各种操作系统及应用程序的漏洞隐患不断出现,与发达国家相比,中国在网络安全技术、网络用户安全防范能力和意识方面较为薄弱,极易成为攻击利用的主要目标。
我国网络安全监管机构对近几年网络安全威胁,特别是新出现的网络攻击手段等多次进行深入分析和研究,发现各种网络攻击工具更加简单化、智能化、自动化。攻击手段更加复杂多变,攻击目标直指网络基础协议和操作系统,黑客培训更加广泛,甚至通过网络传授即可达到“黑客技术”速成。对网络安全监管部门、科研机构及信息化网络建设、管理、开发、设计和使用提出了新课题与挑战。
中国电子信息产业发展研究院在对国内外网络安全问题进行认真分析研究的基础上,提出未来网络安全威胁的趋势主要包括以下几个方面。
1)网络空间国际军备竞赛加剧。
2)网络空间国际话语权争夺更激烈。
知识拓展
未来网络空间安全威胁
3)可能发生有组织的大规模网络攻击。
4)移动互联网安全事件增加。
5)智能互联设备成为网络攻击的新目标。
6)工业控制系统的安全风险加大。
7)可能发生大规模信息泄露事件。
8)网络安全事件将造成更大损失。
9)我国信息安全产业将快速发展。
∗1.3 知识拓展 实体安全与隔离技术
1.3.1 实体安全的概念及内容
1.实体安全的概念
实体安全(Physical Security)也称物理安全,是指保护网络设备、设施及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施及过程;主要是对计算机及网络系统的环境、场地、设备和人员等采取各种安全技术和措施。
实体安全是整个网络系统安全的重要基础和保障,主要侧重环境、场地和设备的安全,以及实体访问控制和应急处置计划等。计算机网络系统受到的威胁和隐患,很多是与计算机网络系统的环境、场地、设备和人员等方面有关的实体安全问题。
实体安全的目的是保护计算机、网络服务器、交换机、路由器及打印机等硬件实体和通信设施免受自然灾害、人为失误、犯罪行为的破坏,确保系统有一个良好的电磁兼容工作环境,将有害的攻击进行有效隔离。
2.实体安全的内容及措施
实体安全的内容主要包括环境安全、设备安全和媒体安全3个方面,主要指五项防护(简称5防):防盗、防火、防静电、防雷击和防电磁泄漏。特别应当加强对重点数据中心、机房、服务器、网络及其相关设备和媒体等实体安全的防护。
1)防盗。由于网络核心部件是偷窃者的主要目标,而且这些设备存放着大量重要资料,被偷窃所造成的损失可能远远超过计算机及网络设备本身的价值,因此,必须采取严格防范措施,以确保计算机、服务器及网络等相关设备不丢失。
2)防火。网络中心的机房发生火灾一般是由于电气故障、人为事故或外部火灾蔓延等引起的。电气设备和线路因为短路、过载、接触不良、绝缘层被破坏或静电等原因,引起电打火而导致火灾。人为事故是指由于操作人员不慎,如吸烟、乱扔烟头等,使存在易燃物质(如纸片、磁带和胶片等)的机房起火,也不排除人为故意放火。外部火灾蔓延是因外部房间或其他建筑物起火而蔓延到机房而引起火灾。
3)防静电。一般静电是由物体间的相互摩擦、接触而产生的。计算机显示器也会产生很强的静电,静电产生后,由于未能释放而存储在显示器内会有形成很高的电位,随着能量不断增加,从而产生静电火花放电,造成火灾,可能使大规模集成电路损坏。
4)防雷击。采用传统避雷针防雷,不仅增大了雷击可能性,而且产生的感应雷可能损坏电子信息设备,也是易燃易爆物品被引燃起爆的主要原因。
5)防电磁泄漏。计算机、服务器及网络等设备,工作时会产生电磁泄漏发射。电磁泄漏发射主要包括辐射发射和传导发射。若电磁发射被高灵敏度的接收设备接收、分析和还原,会造成信息泄露。
知识拓展
防范雷击的安全措施
1.3.2 媒体安全与物理隔离技术
1.媒体及其数据的安全保护
媒体及其数据的安全保护,主要是指对媒体数据和媒体本身的安全保护。
知识拓展
屏蔽防范电磁泄露措施
1)媒体安全。媒体安全主要指对媒体及其数据的安全保管,目的是保护存储在媒体上的重要资料。
保护媒体的安全措施主要有两个方面:媒体的防盗与防毁。防毁是指防霉和防砸,以及其他可能的破坏或影响。
2)媒体数据安全。媒体数据安全主要指对媒体数据的保护。为了防止被删除或被销毁的敏感数据被他人恢复,必须对媒体机密数据进行安全删除或安全销毁。
保护媒体数据安全的措施主要有以下3种。
1)媒体数据的防盗,如防止媒体数据被非法复制。
2)媒体数据的销毁,包括媒体的物理销毁(如媒体粉碎等)和媒体数据的彻底销毁(如消磁等),防止媒体数据删除或销毁后被他人恢复而泄露信息。
3)媒体数据的防毁,防止媒体数据的损坏或丢失等。
2.物理隔离技术
物理隔离技术是一种以隔离方式进行防护的手段。目的是在现有安全技术的基础上,将威胁隔离在可信网络之外,在保证可信网络内部信息安全的前提下,完成内外网络数据的安全交换。
(1)物理隔离的安全要求物理隔离的安全要求主要有3点。
1)隔断内外网络传导。在物理传导上使内外网络隔断,确保外部网不能通过网络连接而侵入内部网;同时防止内部网信息通过网络连接泄漏到外部网。
知识拓展
物理隔离技术需求
2)隔断内外网络辐射。在物理辐射上隔断内部网与外部网,确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。
3)隔断不同存储环境。在物理存储上隔断两个网络环境,对于断电后会遗失信息的部件,如内存等,应在网络转换时进行清除处理,防止残留信息出网;对于断电非遗失性设备,如磁带机、硬盘等存储设备,内部网与外部网信息要分开存储。
(2)物理隔离技术的3个阶段
第一阶段:彻底物理隔离。利用物理隔离卡、安全隔离计算机和交换机使网络隔离,两个网络之间无信息交流,所以也就可以抵御所有的网络攻击,它们适用于一台终端(或一个用户)需要分时访问两个不同的、物理隔离的网络应用环境。
第二阶段:协议隔离。协议隔离是采用专用协议(非公共协议)来对两个网络进行隔离,并在此基础上实现两个网络之间的信息交换。协议隔离技术由于存在直接的物理和逻辑连接,仍然是数据包的转发,一些攻击依然出现。
第三阶段:网闸隔离技术。主要通过网闸等隔离技术对高速网络进行物理隔离,使高效的内外网数据仍然可以正常进行交换,而且控制网络的安全服务及应用。
(3)物理隔离的性能要求
采取安全措施可能对性能产生一定的影响,物理隔离将导致网络性能降低和内外网数据交换不方便。
知识拓展
物理隔离的优缺点
1.4 要点小结
本章主要结合典型案例概述了网络安全的威胁及发展态势、网络安全存在的问题、网络安全威胁途径及种类,并对产生网络安全的风险的系统问题、操作系统漏洞、网络数据库问题、防火墙局限性、管理和其他各种因素进行了概要分析。着重介绍了信息安全的概念和属性特征,以及网络安全的概念、目标、内容和侧重点。
本章重点概述了网络安全技术的概念、常用的网络安全技术(身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复)和网络安全模型。接着介绍了国内外网络安全建设与发展的概况,概要分析了国际领先技术、国内存在的主要差距和网络安全技术的发展趋势。最后,概述了实体安全的概念、内容、媒体安全与物理隔离技术。
网络安全的最终目标和关键是保护网络系统的信息资源安全,做好预防、“防患于未然”是确保网络安全的最好举措。世界上并没有绝对的安全,网络安全是一个系统工程,需要多方面互相密切配合、综合防范才能收到实效。
∗1.5 实验一 构建虚拟局域网VLAN
虚拟局域网(Virtual Local Area Network,VLAN)是一种将局域网设备从逻辑上划分成多个网段,从而实现虚拟工作组的数据交换技术。主要应用于交换机和路由器。虚拟机(Virtual Machine,VM)是运行在主机系统中的虚拟系统,可以模拟物理计算机的硬件控制模式,具有系统运行的大部分功能和部分其他扩展功能。虚拟技术不仅经济,而且可用于模拟具有一定风险性的、与网络安全相关的各种实验或测试。
1.5.1 实验目的
通过安装和配置虚拟机,建立一个虚拟局域网,主要具有3个目的。
1)为网络安全试验做准备。利用虚拟机软件可以构建虚拟网,模拟复杂的网络环境,可以让用户在单机上实现多机协同作业,进行网络协议分析等功能。
2)网络安全实验可能对系统具有一定的破坏性,虚拟局域网可以保护物理主机和网络的安全。而且一旦虚拟系统瘫痪后,也可以在数秒内得到恢复。
3)利用VMware Workstation Pro 12虚拟机安装Windows 10,可以实现在一台机器上同时运行多个操作系统,以及一些其他操作功能,如屏幕捕捉、历史重现等。
1.5.2 实验要求及方法
1.实验要求
(1)预习准备
由于本实验内容是为了后续的网络安全实验做准备,因此,最好提前做好虚拟局域网“预习”或对有关内容进行一些了解。
1)Windows 10原版光盘镜像:Windows 10开发者预览版下载(微软官方原版)。
2)VMware 12虚拟机软件下载:VMware Workstation Pro 12正式版发布下载(支持Windows 8,For Windows主机)。
(2)注意事项及特别提醒
安装VMware时,需要将设置中的软盘移除,以免可能影响Windows10的声音或网络。
由于网络安全技术更新快,技术、方法和软硬件产品种类繁多,可能具体版本和界面等方面不尽一致或有所差异。特别是在具体实验步骤中更应当多注重关键的技术方法,做到“举一反三、触类旁通”,不要死钻“牛角尖”,过分抠细节。
(3)注意实验步骤和要点
安装完虚拟软件并设置后,需要重新启动才可正常使用。
实验用时:2学时(90120分钟)。
2.实验方法
构建虚拟局域网(VLAN)的方法很多。可用Windows自带的连接设置方式,通过“网上邻居”建立。也可在Windows Server 2016运行环境下,安装虚拟机软件。主要利用虚拟存储空间和操作系统提供的技术支持,使虚拟机上的操作系统通过网卡与实际操作系统进行通信。真实机和虚拟机可以通过以太网通信,形成小型的局域网环境。
1)利用虚拟机软件在一台计算机中安装多台虚拟主机,构建虚拟局域网,可以模拟复杂的真实网络环境,让用户在单机上实现多机协同作业。
2)由于虚拟局域网是一个“虚拟系统”,所以一旦遇到网络攻击甚至是系统瘫痪,实际的物理网络系统并没有受到影响和破坏,所以,虚拟局域网可在较短时间内得到恢复。
3)在虚拟局域网中,可以实现在一台机器上同时运行多个操作系统。
1.5.3 实验内容及步骤
VMware Workstation是一款功能强大的桌面虚拟软件,可在安全、可移植的虚拟机中运行多种操作系统和应用软件,为用户提供同时运行不同的操作系统,以及进行开发、测试、部署新应用程序的最佳解决方案。通过虚拟机可以构建虚拟局域网(VLAN)。
VMware基于VLAN,可为分布在不同范围、不同物理位置的计算机组建虚拟局域网,形成一个具有资源共享、数据传送及远程访问等功能的局域网。
利用VMware 12虚拟机安装Windows 10,并建立虚拟局域网VLAN。
1)安装VMware 12。安装并选择虚拟机向导界面如图1-11和图1-12所示。
图1-11 VMware 12安装界面
图1-12 选择新建虚拟机向导界面
2)用Workstation“虚拟机向导”界面,从磁盘或ISO映像在虚拟机中安装Windows10,分别如图1-13和图1-14所示。
图1-13 “新建虚拟机向导”对话框
图1-14 选择客户机操作系统
3)借助Workstation Pro,可以充分利用Windows 10最新功能(如私人数字助理Cor-tana、Edge网络浏览器中的墨迹书写功能等),为Windows 10设备构建通用应用。甚至可以要求Cortana直接从Windows 10启动VMware Workstation。
4)设置虚拟机名称及虚拟机放置位置,具体如图1-15所示。
5)配置虚拟机大小(磁盘空间需留有余地),如图1-16所示。
6)已准备好创建虚拟机,如图1-17所示,启动虚拟机。可查看有关信息,并解决出现的问题。进入放置虚拟机的文件夹,找到扩展名为.vmx的文件,用记事本程序打开,如图1-18所示,然后保存再重新启动。
图1-15 设置虚拟机名称及放置位置
图1-16 配置虚拟机大小
图1-17 已准备好创建虚拟机
图1-18 查看有关信息并处理有关问题
∗1.6 选做实验 配置虚拟局域网VLAN
1.6.1 实验目的
1)进一步理解虚拟局域网VLAN的应用。
2)掌握虚拟局域网VLAN的基本配置方法。
3)了解VLAN中继协议(VTP)的应用。
1.6.2 预备知识
VLAN技术是交换技术的重要组成部分,也是交换机的重要技术部分。将物理上直接相连的网络从逻辑上划分成多个子网,如图1-19所示。每个VLAN对应一个广播域,只有在同一个VLAN中的主机才可直接通信,处于同一交换机但不同VLAN上的主机不能直接进行通信,不同VLAN之间的主机通信需要引入第三层交换技术才可解决。
图1-19 将网络从逻辑上划分成多个子网
1.VLAN的特点
(1)广播控制
二层交换机的使用可以减少冲突域,但是并不会减少广播域,当大量广播信息出现在LAN上时,可能会产生可怕的网络风暴。每个VLAN对应一个广播域,所以,不是同一个VLAN成员的交换机,所有的端口都会进行广播过滤,只让与自己是同一VLAN的端口的广播通过并在VLAN中传播,这样可以降低网络中出现网络风暴的可能性。
(2)安全控制
同一VLAN中的主机才可以直接互相通信,可以在不用关心设备的位置的前提下,控制非授权用户访问VLAN。
(3)灵活性与可扩展性
只要把某一端口配置到VLAN中,就可以让与其相连的主机访问该VLAN,极大地提高了网络配置的安全性。当VLAN比较大时,创建更多的VLAN并配置相应的端口到相应的VLAN中,就可以方便地解决网络的扩展问题。
2.VLAN的配置方式
1)静态VLAN:由网络管理人员使用网络管理软件或直接设置交换机的端口,使其直接从属于某个VLAN。这些端口一直保持这种从属属性,直到网络管理员重新设置。
2)动态VLAN:通过使用智能化软件,自动确定端口的从属。端口通过借助网络包的MAC地址、逻辑地址或协议类型来确定VLAN的从属。当某一主机刚连接入网时,交换机端口还没有分配,于是交换机通过读取接入主机的MAC地址,然后查找VLAN管理数据库,就可以动态地把该端口划入合适的VLAN。这样一旦网络管理员配置好后,用户计算机就可以灵活地改变交换机的端口,而不用改变用户的VLAN从属属性。
3)多VLAN端口:上面两种配置方式只能让一台主机从属于一个固定的VLAN,而多VLAN端口支持某一用户或端口可以同时访问多个VLAN。这种方式增加了灵活性,但是也增加了安全隐患。
3.VLAN的识别方法
在交换式网络中,有两种不同类型的交换链路:访问链路(AccessLinks)和中继链路(Trunk Links)。访问链路在一个广播域中转发数据,只是用来转送VLAN本地部分的端口间的数据;中继链路主要用在同一VLAN跨交换机时,两个交换机间端口数据的交换,同一中继链路可以承载多个VLAN的数据,可以在多个VLAN中转发数据,也可以使单个端口同时成为多个VLAN的一部分。如果设置跨交换机的VLAN,那么一定要设置专门的中继端口,建立中继链路;如果不存在跨交换机的VLAN,交换机会自动使用访问链路传送数据。
当数据帧在穿越交换机结构(共享相同VLAN信息的多个交换机)和VLAN时,会在每个帧上添加相应的VLAN标志,以识别这个数据帧属于哪个VLAN。实现这种识别的方法有两种:一种是交换机链路(Inter-Switch Link,ISL),是Cisco设备专用的方法,只用于Fast Ethernet和Gigabit Ethernet链路。另一种是IEEE 802.1Q,是由IEEE制定的统一规范,各公司的设备均支持这种方式。
4.VLAN中继协议
VLAN中继协议(VLAN Trunk Protocol,VTP)的基本目标是跨交换式互联网络,管理所有已经配置好的VLAN,并在那个网络上维护其一致性。VTP允许管理员对VLAN进行添加、删除和更名,并将这些信息传播到VTP域中的所有交换机上。
在VTP管理VLAN之前,必须先创建一台VTP服务器。所有需要共享VLAN信息的服务器必须使用同样的域名,而且交换机一次只能在一个域中。
交换机用VTP通告检测附加的VLAN,然后准备用新近定义的VLAN在它们的中继端口上接收信息。更新被当作修订号送出,修订号等于通知加1,任何时候交换机看见了更高的修订号,就知道正在接收的信息是新信息,将用收到的新信息覆盖当前的VLAN关系表。
在VTP域中的交换机有3种操作模式。
1)服务器模式(Server)。对大部分交换机来说,这是默认的模式。在VTP域中,至少需要一台服务器模式的交换机,以便在整个域中传播VLAN信息。交换机必须在服务器模式下,才能在VTP域中创建、添加、改动或删除VLAN。在服务器模式下,对交换机所做的任何改动都将通告到整个VTP域中的每个交换机。
2)客户机模式(Client)。在客户机模式下,交换机不能创建、添加、改动或删除VLAN,只能接收VLAN信息更新。如果想让一台交换机改到服务器模式,可以先让其成为客户机模式,以便它接收所有VLAN的正确信息后自我更新,再改到服务器模式。
3)透明模式(Transparent)。在透明模式下,交换机可以创建、添加、改动或删除VLAN,但不接收VLAN更新,只进行转发。
5.VLAN之间的通信
VLAN在OSI模型的第2层创建网络分段,并分隔数据流,如果要在VLAN之间进行通信,则必须使用第3层的设备,如使用路由器或三层交换机。
1.6.3 实验要求及配置
Cisco 3750交换机、PC、串口线和交叉线等。
1.单一交换机上VLAN的配置
1)实现单一交换机上VLAN配置的拓扑图,如图1-20所示。
图1-20 实现单一交换机上VLAN配置的拓扑图
2)1、4列计算机连接到3750交换机上,为第一组,建立的VLAN为VLAN4、VLAN14;2、5列计算机连接到2950-2交换机上,为第二组,建立的VLAN为VLAN4、VLAN14;3、6列计算机连接到2950-1交换机上,为第三组,建立的VLAN为VLAN4、VLAN14。
3)每组在建立VLAN前先测试连通性,然后建立VLAN,把计算机相连的端口分别划入不同的VLAN,再测试连通性,分别记录测试结果。
4)删除建立的VLAN和VLAN划分,恢复设备配置原状。
2.跨交换机VLAN的配置
1)实现跨交换机VLAN配置的拓扑图如图1-21所示,三组交换机使用交叉线互联后,配置Trunk链路。
图1-21 实现跨交换机VLAN配置的拓扑图
2)测试相同VLAN主机间的连通性,并测试不同VLAN间的主机的连通性,分别记录测试结果。
3)删除建立的VLAN和端口VLAN划分,恢复设备配置原状。
1.6.4 实验步骤
主要介绍单一交换机上VLAN的配置操作。
1.测试两台计算机的连通性
在Windows操作系统界面上单击“开始”按钮,选择“运行”命令,在打开的窗口中输入cmd,并按<Enter>键进入命令提示符界面,如图1-22所示。
图1-22 输入cmd进入命令提示符界面
1)组内两台计算机在命令提示符下互相ping,观察结果。
2)如果显示:
Reply from 192.168.∗.∗:bytes=32 time<1ms TTL=128
说明与同组组员计算机间的网络层已连通,若都显示:
Request timed out.
表明与同组成员计算机在网络层未连通。在实验前组员间应该能互相ping通,若不通则需要检查计算机的IP地址配置是否正确。
2.配置VLAN的具体方法
下面以第一组、第一行操作为例介绍配置VLAN的方法。
1)添加第一个VLAN并将端口划入新的VLAN中,如图1-23和图1-24所示。
L1-3750#conft
L1-3750(config)#vlan4 //添加第一个VLAN
L1-3750(config-vlan)#name V4 //为创建的VLAN命名为V4
L1-3750(config-vlan)#exit
L1-3750(config-if)#intf1/0/11 //本组计算机连接的交换机端口,务必查看清楚
L1-3750(config-if)#switchport mode access //设置端口模式为access
L1-3750(config-if)#switchport access vlan4 //将端口划入新建的VLAN中
L1-3750(config-if)#exit
L1-3750(config)#
图1-23 添加第一个VLAN显示界面
图1-24 在端口划入VLAN显示界面
在DOS下,使用ping命令测试两台计算机的连通性,并且记录结果,如图1-25所示。
2)添加第二个VLAN,并把端口划入VLAN。
L1-3750(config)#vlan 14
L1-3750(config-vlan)#name v14
L1-3750(config-vlan)#exit
L1-3750(config-if)#int f1/0/12
L1-3750(config-if)#switchport mode access
L1-3750(config-if)#switchport access vlan 14
L1-3750(config-if)#end
在DOS下,使用ping命令测试两台计算机的连通性,并且记录结果,如图1-26所示。
图1-25 添加第一个VLAN后测试两台计算机的连通性
图1-26 添加第二个VLAN后测试两台计算机的连通性
3)检查配置。查看当前交换机上已配上的端口,如图1-27所示。
图1-27 查看当前交换机上已配上的端口
3.删除VLAN
为需要配置的端口编号。
L1-3750#configt
L1-3750(config)#int f1/0/11
L1-3750(config-if)#no switchport access vlan4 //端口重新划入VLAN1
L1-3750(config-if)#int f1/0/12
L1-3750(config-if)#no switchport access vlan 14
L1-3750(config)#no vlan 4
L1-3750(config)#no vlan1 4
在DOS下测试两台计算机的连通性,并且记录结果。
跨交换机VLAN的配置如下。
注意:两个交换机相连的端口分别配置trunk封装。
1)3750交换机。
L1-3750(config)#int f1/0/1
L1-3750(config)#switchport mode trunk
2)2950-2交换机:
L1-2950-2(config)#int f0/1
L1-2950-2(config)#switchport mode trunk
L1-2950-2(config)#int f0/2
L1-2950-2(config)#switchport mode trunk
3)2950-1交换机。
L1-2950-1(config)#int f0/1
L1-2950-1(config)#switchport mode trunk
单台交换机的配置参考以上步骤,在DOS下使用ping命令分别测试相同VLAN与不同VLAN主机的连通情况,并且记录结果。
4)删除trunk封装。
L1-3750(config)#int f1/0/1
L1-3750(config)#no switchport mode trunk
L1-2950-2(config)#int f0/1
L1-2950-2(config)#no switchport mode trunk
L1-2950-2(config)#int f0/2
L1-2950-2(config)#no switchport mode trunk
1.7 练习与实践一
1.选择题
(1)计算机网络安全是指利用计算机网络技术,管理和控制等措施,保证在网络环境中数据的( )、完整性、可用性、可控性和可审查性受到保护。
A.保密性 B.抗攻击性
C.网络服务管理性 D.控制安全性
(2)网络安全的实质和关键是保护网络的( )安全。
A.系统 B.软件
C.信息 D.网站
(3)实际上,网络安全包括两大方面的内容,一方面是( ),另一方面是网络的信息安全。
A.网络服务安全 B.网络设备安全
C.网络环境安全 D.网络的系统安全
(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了( )。
A.保密性 B.完整性
C.可用性 D.可控性
(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于( )。
A.破坏数据完整性 B.非授权访问
C.信息泄漏 D.拒绝服务攻击
(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是( )的重要组成部分。
A.信息安全学科 B.计算机网络学科
C.计算机学科 D.其他学科
(7)实体安全包括( )。
A.环境安全和设备安全 B.环境安全、设备安全和媒体安全
C.物理安全和环境安全 D.其他方面
(8)在网络安全中,常用的关键技术可以归纳为( )三大类。
A.计划、检测、防范 B.规划、监督、组织
C.检测、防范、监督 D.预防保护、检测跟踪、响应恢复
2.填空题
(1)网络信息安全的五大要素和技术特征,分别是____、____、____、____和____。
(2)从层次结构上,计算机网络安全所涉及的内容包括____、____、____、____和____等5个方面。
(3)网络安全的目标是在计算机网络的信息传输、存储与处理的整个过程中,提高____的防护、监控、反应恢复和____的能力。
(4)网络安全关键技术分为____、____、____、____、____、____、____和____八大类。
(5)网络安全技术的发展趋势具有____、____、____、____的特点。
(6)国际标准化组织(ISO)提出信息安全的定义是:为数据处理系统建立和采取的____保护,保护计算机硬件、软件、数据不因____的原因而遭到破坏、更改和泄漏。
(7)利用网络安全模型可以构建____,进行具体的网络安全方案的制定、规划、设计和实施等,也可以用于实际应用过程的。
3.简答题
(1)威胁网络安全的因素有哪些?
(2)网络安全的概念是什么?
(3)网络安全的目标是什么?
(4)网络安全的主要内容包括哪些方面?
(5)简述网络安全的保护范畴。
(6)网络管理或安全管理人员对网络安全的侧重点是什么?
(7)什么是网络安全技术?什么是网络安全管理技术?
(8)简述常用网络安全关键技术的内容。
(9)画出网络安全通用模型,并进行说明。
(10)网络安全的实质和关键是网络信息安全吗?
4.实践题
(1)安装、配置并构建虚拟局域网(上机完成)。
下载并安装一种虚拟机软件,配置虚拟机并构建虚拟局域网。
(2)下载并安装一种网络安全检测软件,对校园网进行安全检测和简要分析。
(3)通过调研及参考资料,写出一份网络安全威胁的具体分析报告。