计算机三级网络技术知识汇总【10】

第十章 网络安全技术

1. 数据备份策略

1.1 数据备份策略

从备份模式来看，可以分为物理备份和逻辑备份；

从备份策略来看，可以分为完全备份、增量备份和差异备份；

根据备份服务器在备份过程中是否可以接收用户想要和进行数据更新，又可以分为离线备份和在线备份（或者称为冷备份和热备份）；

（1）完全备份

完全备份（full backup）是指对用户所指定的所有数据文件或整个系统进行全面备份，是一种常用的数据备份方式；

优点：直观，容易理解，可以快速的恢复所丢失的数据（数据恢复时间短）

缺点：

① 因为要备份所有的数据，每次备份的工作量很大，所以需要大量的备份介质。

② 不能频繁的备份，否则会存在大量重复的数据，占用大量的备份空间，会增加成本。

③ 备份大量数据时，所需的时间会很长。

（2）增量备份

增量备份（incremental backup）只是备份那些自上次完全备份或增量备份后新创建的、被修改过的文件，即只 备份所有发生变化的文件；

优点：

① 更快、更小（备份速度更快，所占空间更小）；

② 可进行频繁备份（偶尔进行完全备份后，频繁进行增量备份）；

缺点：数据丢失或文件误删除，恢复工作比较麻烦；

（3）差异备份

差异备份（differential backup）与增量备份相似，只备份新创建的或修改过的数据。但两者的区别在于，差异备份是累积的，一个文件只有自上次完全备份后被修改过或者是新创建的，则在以后每次进行差异备份时都会被备份，直到下一次完全备份为止；

优点：无须频繁的做完全备份，工作量小于完全备份，备份所需时间短，节省存储空间；

缺点：每次备份的任务比增量备份的工作量大，但数据恢复相对简单；

完全备份不会检查自上次备份后文件是否被改动过，只是机械地将每个文件读出、写入，而不管文件是否已被 修改；增量备份没有重复的备份数据，备份数据量不大，所需时间很短，差异备份只备份新创建的或修改过的数据 （每次备份存在重复的数据）。

1.2 常用备份设备

廉价冗余磁盘阵列（RAID）是一种广法使用的数据备份设备，同时也是一种数据备份技术。它是指将多个类型、 容量、接口，甚至品牌一致的专用硬盘或普通硬盘连成一个阵列，使其能以某种快速、准确和安全的方式来读写磁 盘数据，从而达到提高数据读取速度和安全性的一种手段。

磁盘阵列的最大也得是数据存储速度特别快，其主要功能是提高网络数据的可用性及存储容量，并将数据有选 择地分布在多个磁盘上，从而提高系统的数据吞吐率；

磁盘阵列有多种部署方式，也称 RAID 级别。不同的 RAID 级别，备份方式也不同。目前主要有 RAID0、RAID1、RAID3、RAID5 等几种，也可以是几种独立方式的组合，如 RAID10 就是 RAID0 和 RAID1 的组合；

RAID1 是需要通过磁盘数据镜像实现数据冗余，传输速度快。而 RAID5 可靠性优于 RAID1。

磁盘阵列需要有磁盘阵列控制器，有些服务器主板中就自带有这个 RAID 控制器，提供了相应的接口。而有些 服务器主板上没有这种控制器，这样在需要配置 RAID 时，就必须**外加一个 RAID 卡（阵列卡）**插入服务器的 PCI 插槽中。

RAID 控制器的磁盘接口通常是 SCSI 接口，不过目前也有一些 RAID 阵列卡提供了 IDE 接口，使 IDE 磁盘也支持 RAID 技术。同时随着 SATA 接口技术的成熟，基于 SATA 接口的 RAID 阵列卡也非常多；有阵列卡提高 2 个甚至4 个磁盘接口通道。

考点：

• 并不是所有服务器都需要外加一个RAID卡才能实现RAID功能，有的是自带的
• RAID卡可以提供SCSI接口、IDE接口和SATA接口
• RAID卡可以提供多个磁盘接口通道
• RAID5 可靠性优于 RAID1
• RAID10 就是 RAID0 和 RAID1 的组合

2. 加密技术

2.1 加密与解密

加密就是利用密码学的方法对信息进行伪装，使得未授权者不能识别和理解其真正的含义，也不能伪造、篡改 和破坏数据；

经过授权的接收者在收到密文后，进行与加密相逆的变换，去掉密文的伪装，恢复明文的过程称为解密；

加密和解密组成加密系统，明文和密文统称为报文。将信息从明文加密成密文，在从密文转换回明文的整个系 统称为密码系统；

对称加密技术（又称为密钥密码技术）是指加密系统的加密密钥和解密密钥相同，或者虽然不同，但可以从其 中一个密钥推导出另一个密钥。使用对称加密方法，加密方和解密方必须使用同一种加密算法和相同的密钥；

2.2 对称密钥技术

（1）**数据加密标准（DES）**算法是最经典的对称密钥加密算法，DES 算法使用 64 位的密钥长度，其中 8 位用 奇偶校验，用户可以使用其余的 56 位。

（2）**国际数据加密（IDEA）**算法是一个对称分组密码，明文和密文都是 64 位，密钥长度为 128 位，它的速度 和能力类似于 DES，但是更加安全。

其他比 DES 更安全的对称加密算法，如 RC2 算法、RC4 算法、Skipjack 算法等。

采用对称加密算法，网络中 N 个用户之间进行加密通信，需要密钥个数是 N(N-1)。*

2.3 非对称密钥技术

非对称加密技术对信息的加密于解密使用不同的密钥，用来加密的密钥是可以公开的，用来解密的私钥是需要 保密的，因此又被称为公钥加密技术；

目前，常用的公钥算法包括：RSA 算法、DSA 算法、ECC 椭圆曲线算法、PKCS 算法与 PGP 算法等。

RSA 公钥加密算法是目前因特网上进行保密通信和数字签名的最有效的加密算法之一，RSA 体制多用在数字签名、密钥管理和认证等方面。

采用非对称密钥技术算法，网络中 N 个用户之间进行加密通信，需要 2N 个密钥。

3. 入侵检测系统-IPS

3.1 入侵检测系统

（1）概念

入侵检测技术就是对入侵行为进行检测的技术。通过收集、分析计算机网络或计算机系统中的一些关键信息， 从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。

① 监视、分析用户和系统的行为；

② 审计系统设置和漏洞；

③ 评估敏感系统和数据的完整性；

④ 对异常行为进行统计分析，识别攻击行为，并向网络管理人员报警；

⑤ 对操作系统进行审计、跟踪管理，识别违反授权的用户活动。

（2）结构

入侵检测系统一般是由事件发生器、时间分析器、响应单元与时间数据库组成。

（3）入侵检测系统分类

根据数据来源和系统结构的不同，入侵检测系统可以分为基于主机的入侵检测系统和基于网络的入侵检测系统；

① 基于主机的入侵检测系统（HIDS）：通常在被重点检测的主机上运行一个代理程序，用于监视、检测对于主 机的攻击行为，通知用户并进行响应。

② 基于网络的入侵检测系统一般通过将网卡设置成“混杂模式”来收集在网上出现的数据帧，可采用的基本识别技术包括：模式匹配、频率或阈值时间的相关性、统计意义上的非正常现象检测（模式、频率、统计、相关性）。

（4）分布式入侵检测系统

分布式入侵检测系统将数据收集和部分数据分析功能分布在网络中的不同主机运行，很大程度上解决了集中式 入侵检测系统处理能力有限、容易单点失效等缺点；

分布式的入侵检测系统有层次式、协作式和对等式 3 种类型。

对等式：对等模型的应用是的分布式入侵检测系统真正的避免了单点失效的发生、健壮性最强；

集中式：出现单点故障影响最严重的入侵检测系统结构。

3.2 入侵检测系统的部署

网络入侵检测系统一般由控制台和探测器组成。

控制台：提供图形界面来进行数据查询，查看警报并配置传感器。一个控制台可以管理多个探测器。

探测器的基本功能是捕获网络数据包，并对数据包进一步分析和判断，当发现可疑事件时触发探测器发送警报。

串入到链路中的探测器部署方式，对原有网络性能影响最大

控制台和探测器之间的通信是加密传输的。

根据网络拓扑结构的不同，入侵检测系统的探测器可以通过三种方式部署在被检测的网络中。

（1）利用交换设备的镜像功能：网络接口卡与交换设备的监控端口连接，通过交换设备的 Span/Mirror 功能将流向各端口的数据包复制一份给监控端口，入侵检测传感器的 Span/Mirror 功能将流向各端口的数据包复制一份给监控 端口，入侵检测传感器从监控端口获得数据包进行分析和处理。

综上：关于入侵检测系统探测器获取网络流量的方法中，在网络链路中串接一台交换机是错误的方法

（2）在网络链路中串接一台集线器：在网络中增加一台集线器改变网络拓扑结构，通过集线器（共享式监听方式）获取数据包。

（3）在网络链路中串接一台（TAP）分路器：入侵检测传感器通过一个 TAP（ 分路器）设备对交换式网络中的数据 包进行分析和处理。

TAP（ 分路器）：将无线通信系统中线路上输入的多种频段信号分离为单一的频段输出到不同的通信线路中；TAP 是 一种容错方案，它提供在全双工或半双工 10M/100M/1000M 网段上察看数据流量的手段；

① TAP 是容错的，如果发生电源故障，原先监控的网段上的通信不受影响；

② TAP 不会影响数据流；

③ TAP 阻止建立于入侵检测系统的直接连接，从而保护它不受攻击。

TAP（分路器）的部署方式：

对于支持多端口探测器，可以将 TAP 的引线分别直接接入探测器的监听端口。（下图所示）

对于不提供多个监控端口的探测器，可以将 TAP 的引出线接到交换机或集线器上，通过一个探测器进行检测。（下图所示）

3.3 入侵防护系统

（1）基本概念

入侵防护系统（IPS），是将防火墙技术和入侵检测技术进行整合并采用 In-line 的工作模式的系统，该系统倾向于提 供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失。

（2）结构

入侵防护系统主要包括嗅探器、日志系统、检测分析组件、状态开关、策略执行组件和控制台 6 个部分；

（3）入侵防护系统的分类

入侵防护系统主要分为基于主机的入侵防护系统、基于网络的入侵防护系统和应用入侵防护系统；

① 基于主机的入侵防护系统（HIPS）：是安装在受保护的主机系统中，检测并阻挡针对本机的威胁和攻击，可以通过监视内核的系统制用来阻挡攻击并记录日志。

HIPS 可以阻断缓冲区溢出、改变登录口令、改写动态链接库或其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。

② 基于网络的入侵防护系统（NIPS）：布置于网络出口处，一般串联与防火墙与路由器之间，网络进出的数据流都必须通过它，从而保护整个网络的安全。

因为攻击的漏报将导致合法的通信被阻断不会导致拒绝服务；而对攻击的误报会导致合法信息被阻断，而性能不足会带来合法通信的延迟、甚至称为网络的瓶颈。

③ 应用入侵防护系统（AIPS）是由基于主机的入侵防护系统发展而来，一般部署在应用服务器前端，进而保证了应 用服务器的安全性。

应用入侵防护系统能够防止诸多入侵，包括 SQL 代码嵌入、缓冲区溢出、畸形数据包、cookie 篡改、参数篡改、强制浏览、数量类型不匹配以及其他已知漏洞攻击（以上入侵方式，基于网络和基于主机的入侵防护系统都难于阻断）。

应用入侵防护系统通常部署在面向互联网的应用系统之前，能够成为应用服务器的重要安全屏障。

4. 防病毒技术和安装及配置

4.1 计算机病毒

计算机病毒是指编制或者在计算机程序中插入的破坏计算功能或者毁坏数据以影响计算机使用，并能自我复制 的一组计算机指令或者程序代码。

计算机病毒特征：

• 非授权可执行性：当用户执行程序时，病毒会伺机窃取到系统的控制权，得以抢先运行；

• 隐蔽性：黏附在正常程序中或磁盘扇区中，设法隐蔽自己，防止用户察觉；

• 传染性：判断计算机病毒的依据，病毒能自我复制，在网络中传播；

• 潜伏性：依附于其他媒体而寄生的能力，在用户程序不察觉的情况下进行传染；

• 表现性或破坏性：体现了病毒设计的真正意图，会对操作系统运行造成不同程度的影响；

• 可触发性：一种条件控制，病毒程序可以依据设计者的要求，在一定条件下实施攻击。

4.2 计算机病毒的分类

计算机病毒按寄生方式分为引导性病毒、文件型病毒和复合型病毒；

计算机病毒分类：

• 引导型病毒：指寄生在磁盘引导区或主引导区的计算机病毒；

• 文件型病毒：指能够寄生在文件中的计算机病毒；

• 复合型病毒：指具有引导型病毒和文件型病毒两种寄生方式的计算机病毒；

计算机病毒按破坏性分为良性病毒和恶性病毒；

计算机病毒分类：

良性病毒：指那些为了表现自身，并不彻底破坏系统和数据，但会占用大量 CPU 时间，增加系统开销；

恶性病毒：破坏系统或数据，造成计算机系统瘫痪的计算机类病毒；

10.4.3 网络病毒

概念：指在网络上传播，并对网络系统进行破坏的病毒。

主要特征：

• 传播方式多样、传播速度快：游离的实物介质、各种通信端口、网络等传播；

• 影响更广：所有具备通信机制的工作站，服务器甚至掌上型移动通信工具；

• 破坏性更强：网络拥塞、重要数据丢失、机密信息丢失；

• 难以控制和根治：网络中可以通过内部机制使整个网络受到影响；

• 编写方式多样、病毒变种多：脚本语言或新的编程语言更易于被修改以产生新的变种；

• 智能化：常用到隐形技术、反跟踪技术、加密技术、自变异技术、自我保护技术、针对某种反病毒技术；

• 混合病毒：兼有病毒、蠕虫和后门黑客程序的功能，破坏性更大。

4.4 恶意代码

概念：是一种程序，通常是在不被察觉的情况把代码寄宿到另一段程序中，进而通过运行有入侵性或破坏性的程序，来达到破坏被感染计算机和网络系统的目的。

（1）蠕虫

计算机蠕虫是一个自我包含的程序（或程序集），它能够传播自身的功能或拷贝自身的片段到其他的计算机系 统（通常是通过网络连接）；与计算机病毒的区别：蠕虫不需要把自身附加在宿主程序上，而是一个独立的程序，能够主动运行。

蠕虫分类：

• 宿主计算机蠕虫：是指整个包含在它所运行的计算机上，并且仅能使用网络连接复制自身到其他的计算 机上；

• 网络蠕虫：由多个部分组成（称为片段），每个部分运行在不同计算机上，并使用网络进行通信。

（2）木马

概念：寄生在用户的计算机系统中，盗用用户信息，并通过网络发送给黑客（木马是没有自我复制功能的恶意程序）；

木马传播途径：

1、通过电子邮件

2、软件下载

3、通过会话软件

4.5 网络版防病毒系统结构

网络版防病毒软件采用分布式的体系结构，整个防病毒体系是由 4 个相互关联的子系统组成：系统中心、服务器端、客户端、管理控制平台。各个子系统协同工作，共同完成对整个网络的病毒防护工作；

• 系统中心：是网络版防病毒系统信息管理和病毒防护的自动控制核心。它能实时记录防护体系每台计算机 上的病毒监控、检测和清除信息。其他子系统只有在系统中心工作后，才可以实现各自的网络防护功能。 （系统中心必须先于其他子系统安装到符合条件的服务器上）

• 服务器端：服务器端是专门为可以用于网络服务器的操作系统而设计的防病毒子系统。

• 客户端：客户端是**专门为网络工作站（客户机）**设计的防病毒子系统，承担中对当前工作站上病毒的实时 监控、检测、清除任务，同时自动向系统中必报告病毒检测情况。

• 管理控制台：专门为网络管理员设计的，对网络防病毒系统进行设置，使用和控制的操作平台。它既可以安装到服务器上，也可以按照到客户机上，根据网络管理员的需要，可自由安装。

4.6 网络版防病毒系统安装

网络版防病毒系统的基本安装对象包括系统中心、服务器端、客户端和管理控制台的安装；

（1）系统中心的安装：

要求：先在服务器上安装系统中心，然后再进行其他模块的安装；

安装系统中心时，安装程序将在该服务器上同时安装一套服务器端系统和一套管理控制台系统。

安装系统中心的计算机应具备条件：全天候开机、可以方便地连接 Internet；

（2）控制台的安装：

通过光盘安装和远程安装两种方式，无论采用何种方式系统管理员都可以将管理控制台安装在其他计算机上；

它既可以安装到服务器上，也可以按照到客户机上，视网络管理员的需要，可自由安装。

（3）服务器和客户端的安装：

本地安装：直接利用安装程序在本地完成安装的方法，客户端和服务器都可以采用这种方式。

客户端远程安装：系统管理员可以通过管理控制台，给指定的系统客户端执行远程安装的操作；

Web 安装：用户通过浏览指定位置的网页版防病毒软件的安装。

脚本登录安装：实现网络版防病毒软件快速自动安装的一种方法。

4.7 网络版防病毒系统的主要参数配置

（1）系统升级设置

从网站升级：系统中心直接通过 Internet 从其官方网站上获取升级文件。

从上级中心升级：下级中心从上级中心获取升级文件。

手动升级：从防病毒系统的官方网站下载升级包，将其复制到系统中心服务器手动进行安装。

（2）扫描设置

扫描设置通常包括文件类型、扫描病毒类型、优化选项、发现病毒后的处理方式、清除病毒失败后的处理方式、 杀病毒结束后的处理方式和病毒隔离系统的设置。

（3）黑白名单设置

在黑白名单设置中，可指定允许或禁止在系统中心注册的 IP 地址。

若白名单为空，则程序根据黑名单来判断是否允许注册；

若白名单存在，先查看对象是否在白名单中，如果不在，就绝）注册；如果在白名单中，同时不在黑名单中， 则接受注册；如果在白名单中同时又在黑名单中，则绝）注册。

（4）端口设置

为了使网络版防病毒软件的通信数据能顺利的通过防火墙，通常系统都会提供用于进行数据通信端口设置的界面。

系统的数据通信端口不是固定的。

5. 防火墙技术

5.1 防火墙的基本概念

防火墙指的是一个由软件和硬件设备组合而成的，在内部网和外部网之间、专用网和公共网之间的界面上构造 的保护屏障，是一种获取安全性的形象说法；

防火墙主要由服务访问规则、验证工具、包过滤和应用网关 4 个部分组成。

通常布置在企业内部网络和外部公告网络之间，企业中一些需要对外提供服务的服务器（如 FTP、WWW、Email）通常部署在防火墙的 DMZ 区。

5.2 防火墙安装与配置

（1）防火墙的网络接口

外部网络区域是指企业外部网络，也称为外网，如 Internet、第三方网络等，是互联网络中不被信任的区域。 当外部区域想要访问内部区域的主机和服务时，可以通过对防火墙进行设置实现外部网络的有限制访问。

内部网络是指企业内部网络，或者企业内部网络的一部分，也称为内网。它是互联网络中的信任区域，应受到防火墙的保护。如企业内部的各个部门之间的局域网。

**DMZ（ 也称停火区）**是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为垒主主机。一般在 停火区内可以放置 Web 服务器、Mail 服务器等。

（2）PIX 525 防火墙访问管理模式

① 非特权模式 PIX 防火墙开机自检后，就是处于非特权模式，系统显示为“pixfirewall”。

② 特权模式输入“enable”进入特权模式，可以改变当前配置，显示为“pixfirewall#”。

输入“enable”进入特权模式，可以改变当前配置，显示为“pixfirewall#”。

③ 配置模式

输入“configure terminal”进入配置模式，绝大部分的系统配置都在这里进行。显示“pixfirewall(config)#”

④ 监视模式

在 PIX 防火墙在开机或重启过程中，按住 Escape 键或发送一个“Break”字符，即可进入监视模式，这里可以更新操作系统映像和进行口令恢复。显示为“monitor>”。

（3）PIX 525 防火墙的基本配置

PIX 防火墙有 9 个基本配置命令：nameif、interface、ip address、nat、global、route、static、conduit、fixup。

① nameif：用于配置防火墙接口的名字，并指定安全级别。

配置示例：

Pix525(config)#nameif ethernet0 outside security0

Pix525(config)#nameif ethernet1 inside secyrity100

Pix525(config)#nameif dmz security50

**分析：**在默认配置中，以太网 0 端口被命令为外部接口（outside），安全级别是 0；以太网 1 端口被命名为内部接口 （inside），安全级别是 100。安全级别取值范围为 1~99，数字越大级别越高。

② nat：指定要进行转换的内部地址。

配置：Pix525(config)#nat(static) 1 192.168.0.4 255.255.255.0

nat 作用是将内网的私有 IP 地址转换为外网的共享 IP 地址。nat 命令总是与 global 命令一起使用，因为 nat 命 令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用 global 所指定的地址池进行访问。

③ global：指定外部地址范围（地址池）。

配置：Pix525(config)#global(outside)1 202.112.10.4-202.112.10.16

内网的主机通过防火墙要访问外网时，防火墙将使用这段 IP 地址池为要访问外网的主机分配一个全局 IP 地址。

④ static：配置静态 nat，static 命令用于创建内部 IP 地址和外部 IP 地址之间的静态映射。

⑤ conduit：管道命令。 conduit 命令配置语法：conduit permit | deny protocol global_ip [port] foreign_ip [netmask]。

其中，

permit | deny 表示允许或拒绝访问；

protocol 指的是连接协议（不止有IPv4和IPv6）。

Global_ip 指的是先前由 global 或 static命令定义的全局 IP 地址；

poet 指的是服务所有作用的端口。

Foreign_ip 表示可访问 global_ip 的外部 IP。

配置 1：Pix525（config）#conduit permit tcp host 192.168.0.3 eq www any

含义：配置允许任何外部主机对全局地址 192.168.0.3 的这台主机进行 HTTP 访问。 fixup：配置 FIXUP 协议。 fixup 命令的作用是启用、禁止、改变一个服务或协议勇敢 PIX 防火墙的端口，由 fixup 命令指定的端口是 PIX

管道命令conduit允许数据流从具有较低安全级接口流向较高安全级接口

防火墙要侦听的服务。

配置 1：启用 FTP 协议，并指定 FTP 的端口号位 22。 Pix525(config)#fixup protocol ftp 22

配置 2：禁用 SMTP 协议。 Pix525(config)#no fixup protocol smtp