Internet代理服务与网络安全.ppt

《Internet代理服务与网络安全.ppt》由会员分享，可在线阅读，更多相关《Internet代理服务与网络安全.ppt（76页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第第6章章 Internet代理服务与网络安全代理服务与网络安全 主要内容：主要内容：代理服务器的基本概念代理服务器的基本概念常用的代理服务器软件的使用常用的代理服务器软件的使用代理服务器应用实例代理服务器应用实例网络安全与防火墙技术网络安全与防火墙技术6.1 代理服务器（代理服务器（Proxy Servers）的基本概念）的基本概念 一、位置与作用一、位置与作用：位位于于Intranet内内部部网网与与Internet之之间间，负负责责在在内内部部网网和和Internet之间进行数据的转发。之间进行数据的转发。它是一台连接有它是一台连接有2块或以上网络适配器块或以上网络适配器(网卡网卡)的计

2、算机。的计算机。InternetIntranet（内部网）代理服务器代理服务器代理服务器（代理服务器（Proxy）的作用：）的作用：一、提高访问速度。一、提高访问速度。二、二、Proxy可以起到防火墙的作用。可以起到防火墙的作用。三、通过代理服务器访问一些不能直接访问的网站。三、通过代理服务器访问一些不能直接访问的网站。四、安全性得到提高。四、安全性得到提高。采用代理服务器（采用代理服务器（Proxy）可以实现以下功能：）可以实现以下功能：可以使多台计算机连入可以使多台计算机连入Internet，而不需要每台计算机而不需要每台计算机都具有有效的都具有有效的IP地址。地址。可以对内部用户使用可以

3、对内部用户使用Internet的进行信息流量的统计和的进行信息流量的统计和计算。计算。可以对内部访问权限和访问内容进行控制和管理。可以对内部访问权限和访问内容进行控制和管理。可以对所有用户访问可以对所有用户访问Internet进行总体经费控制和管理。进行总体经费控制和管理。可以保证内部网络的安全。可以保证内部网络的安全。二、工作原理二、工作原理(P180)：代代理理服服务务器器对对硬硬件件平平台台没没有有特特别别要要求求。只只要要能能连连接接上上网网就就可可以以了了。主主要要部部分分是是代代理理服服务务软软件件，而而软软件件的的核核心心是是应应用用代代理程序。它决定了代理服务器所能实现的功能。

4、理程序。它决定了代理服务器所能实现的功能。Intranet客户Internet服务器Proxy server客户代理服务器代理访问控制转发应答转发应答应答应答请求转发请求转发请求请求1、Proxy的安装条件的安装条件安装代理服务器的计算机必须具备两个网络接口：一个通安装代理服务器的计算机必须具备两个网络接口：一个通过网卡连接内部局域网；另一个网络接口连接过网卡连接内部局域网；另一个网络接口连接Internet。就。就是说代理服务器软件需要安装在一台同时外部网和内部网的是说代理服务器软件需要安装在一台同时外部网和内部网的计算机上。故安装了代理服务器的计算机又称为计算机上。故安装了代理服务器的计算

5、机又称为“双端口主双端口主机机”或或“双宿主机双宿主机”。2、Proxy的工作方式的工作方式代理服务器一方面接受或解释客户端连接，另一方面连接代理服务器一方面接受或解释客户端连接，另一方面连接Internet服务器，是客户端服务器，是客户端/服务器的桥梁。由于内部网上服务器的桥梁。由于内部网上的计算机没有真正与的计算机没有真正与Internet相连必须通过代理服务器与相连必须通过代理服务器与Internet对话，因此，代理服务器对本地局域网来说是服务对话，因此，代理服务器对本地局域网来说是服务器，而对远程的目的服务器而言，又是一个客户机。器，而对远程的目的服务器而言，又是一个客户机。3、代理服

6、务器的工作原理、代理服务器的工作原理Proxy的主要部件是一个的主要部件是一个Socket池。内部网用户的池。内部网用户的客户程序（如浏览器）先向客户程序（如浏览器）先向Proxy发出发出Socket连接请连接请求，求，Proxy立即响应并根据不同的网络应用层协议分配立即响应并根据不同的网络应用层协议分配一个或多个一个或多个Socket与客户程序连接，用于命令和数据与客户程序连接，用于命令和数据的传输，的传输，Proxy分配分配Socket与远程服务器连接并转发与远程服务器连接并转发客户机请求。远程服务器相应后，客户机请求。远程服务器相应后，Proxy又将该响应传又将该响应传给客户机。建立连接

7、后，保持两组给客户机。建立连接后，保持两组Socket状态和数据状态和数据流一致，完成代理功能。流一致，完成代理功能。4、应用代理程序的工作过程：、应用代理程序的工作过程：应用代理程序启动，留听某个应用端口；应用代理程序启动，留听某个应用端口；客客户户需需应应用用代代理理程程序序提提供供代代理理程程服服务务，向向代代理理服服务务器器发出连接请求；发出连接请求；应应用用代代理理程程序序被被激激活活，客客户户向向PS发发出出代代理理信信息息(要要求求代代理的理的Server地址，主机名，端口等地址，主机名，端口等)应用代理程序向相应服务器发出连接请求；应用代理程序向相应服务器发出连接请求；代代理理

8、服服务务器器与与服服务务器器之之间间建建立立连连接接，从从而而使使客客户户与与服服务器之间建立虚连接；务器之间建立虚连接；客户和服务器之间通过代理服务器中转进行数据交换；客户和服务器之间通过代理服务器中转进行数据交换；交换结束，连接拆除。交换结束，连接拆除。三、代理服务器阵列三、代理服务器阵列：对于一个大规模的内部网络，往往需要设立多个代理对于一个大规模的内部网络，往往需要设立多个代理服务器协同工作。根据这些代理服务器的互联关系，可分服务器协同工作。根据这些代理服务器的互联关系，可分为如下几种类型：为如下几种类型：1 1、阵列型缓存：、阵列型缓存：将一个网络中的多个代理服务器配置将一个网络中的

9、多个代理服务器配置成一个大型的代理服务器缓存阵列，逻辑上是一个单独的成一个大型的代理服务器缓存阵列，逻辑上是一个单独的缓存。阵列成员可以按需任意增减。缓存。阵列成员可以按需任意增减。2 2、层次型缓存：、层次型缓存：由一些独立的代理服务器级联组成的。由一些独立的代理服务器级联组成的。3 3、组合型缓存、组合型缓存四、功能四、功能(P182-184)：节省节省IP地址地址构筑内部与外部网络之间的防火墙构筑内部与外部网络之间的防火墙通过缓存区的使用降低网络通信费用通过缓存区的使用降低网络通信费用访问权限控制和信息流量计费管理访问权限控制和信息流量计费管理对访问内容进行控制对访问内容进行控制反向代理

10、功能反向代理功能6.2 常用软件常用软件目目前前代代理理服服务务器器软软件件很很多多，功功能能也也十十分分强强大大，一一般般都都可可以以提提供供WWW浏浏览览、FTP文文件件下下载载、Telnet远远程程登登录录、Email的的接接收收和和发发送送、TCP/UDP映映射射、Socks代代理理服服务务等等功功能能。目目前前绝绝大大部部分分的的Internet应应用用都都可可以以通通过过代代理理方方式式实现。在中小规模的内部网络中主要有：实现。在中小规模的内部网络中主要有：WinGate WinRoute SyGate6.2.1WinGateWinGate分为服务器和客户端两部分，服务器可运行于分

11、为服务器和客户端两部分，服务器可运行于Win9X/ME/NT/2000/XP等平台。等平台。1、内部局域网的准备、内部局域网的准备2、安装代理服务器、安装代理服务器3、安装客户端软件、安装客户端软件4、WinGate代理服务器的配置代理服务器的配置WinGate官方下载网站：官方下载网站：安装分服务器和客户端。如果是服务器安装，就选择第二项！安装分服务器和客户端。如果是服务器安装，就选择第二项！WinGate安装完成之后，机器会要求重启。启动后安装完成之后，机器会要求重启。启动后WinGate有后台服务和相关程序，在开始有后台服务和相关程序，在开始程序程序WinGateStartWinGate

12、Engine，开始服务。，开始服务。右边为常用的功能设置，分为三页：右边为常用的功能设置，分为三页：System（系统页），（系统页），services（服务页），（服务页），users（用户页）。（用户页）。所有的服务的设置都差不多，例如：当中的所有的服务的设置都差不多，例如：当中的wwwproxyserver的设置。单击右键，会弹出菜单。的设置。单击右键，会弹出菜单。其中的属性对话框：其中的属性对话框：例子：我想允许例子：我想允许test只使用只使用pop3服务，而且只能在服务，而且只能在192.168.101.*里使用。里使用。6.2.2WinRoute如果说如果说WinGateWinG

13、ate侧重于实现代理功能的话，侧重于实现代理功能的话，WinRouteWinRoute则则除了具有代理服务器的功能外，还具有除了具有代理服务器的功能外，还具有NATNAT（Network Network Address TranslationAddress Translation：网络地址转换）、防火墙、邮件：网络地址转换）、防火墙、邮件服务器、服务器、DHCPDHCP服务器、服务器、DNSDNS服务器等功能，可为用户提供服务器等功能，可为用户提供一个功能强大的软网关。一个功能强大的软网关。WinRouteWinRoute目前的版本是目前的版本是4.14.1，网站地址：，网站地址：案例：案例：

14、用用WinRoute实现全自动实现全自动Internet共享共享 v功能设想：功能设想：1.每天早上打开每天早上打开WinRoute主机，自动拨号上网。主机，自动拨号上网。、2.根据时间表根据时间表(图图2)，自动控制每台机器的上网权限。，自动控制每台机器的上网权限。3.3.已经允许上网的机器到规定时间自动断线。已经允许上网的机器到规定时间自动断线。4.4.开始被拒绝上网的机器到了规定时间自动上线。开始被拒绝上网的机器到了规定时间自动上线。5.临临时时需需要要改改变变时时可可以以进进行行手手动动设设置置，在在下下次次启启动动后后仍按原来的时间表来控制。仍按原来的时间表来控制。v实现原理：实现原

15、理：1.1.WinRouteWinRoute主主机机安安装装还还原原精精灵灵，设设置置为为启启动动自自动动还还原原，保证每次重新启动后恢复原始设置。保证每次重新启动后恢复原始设置。2.2.利利用用WinRouteWinRoute的的固固定定拨拨号号功功能能，进进行行自自动动拨拨号号、断断线无限次重拨。线无限次重拨。3.3.利利用用WinRouteWinRoute的的封封包包过过滤滤器器设设置置规规则则，决决定定与与哪哪些些机器进行数据交换。机器进行数据交换。4.4.利用利用WinRouteWinRoute的时间表，决定某一时段上网与否。的时间表，决定某一时段上网与否。5.利用利用WinRout

16、e的地址组，决定某台机器上网与否。的地址组，决定某台机器上网与否。v方案实施：方案实施：1.1.设置自动拨号设置自动拨号 2.2.设置时间表设置时间表 3.3.设置地址组设置地址组4.4.设置封包过滤器规则（只设置允许上网的情况）设置封包过滤器规则（只设置允许上网的情况）6.2.3SyGateSyGate是一个功能强大的共享软件，利用一条电话线、是一个功能强大的共享软件，利用一条电话线、一个一个MODEM就可将整个局域网中所有就可将整个局域网中所有PC与与Internet相连。相连。特别适合于中小型公司、企事业单位的办公室以及拥有多台特别适合于中小型公司、企事业单位的办公室以及拥有多台电脑的家

17、庭用户。电脑的家庭用户。SyGate是作为网关与是作为网关与Internet相连的，因此只需在具有相连的，因此只需在具有MODEM的那台计算机上安装的那台计算机上安装SyGate，其它计算机不需要安，其它计算机不需要安装任何软件。和其它装任何软件。和其它Proxy软件相比，软件相比，SyGate具有无可比拟具有无可比拟的易用性。主要特点有：的易用性。主要特点有：（1）便于安装；）便于安装；（2）易于使用；）易于使用；（3）管理方便；）管理方便；（4）防火墙保护）防火墙保护案例：案例：用用SyGate实现共享调制解调器实现共享调制解调器 SyGate设置对话框设置对话框 SyGate支持支持IC

18、Q的设置的设置 6.3 代理服务器应用实例代理服务器应用实例 6.3.1局域网共享拔号连接局域网共享拔号连接在在很很多多场场合合下下，在在已已建建成成的的小小型型局局域域内内计计算算机机数数量量不不是是太太多多，希希望望所所有有计计算算机机都都能能接接入入Internet，对对接接入入速速度度要要求求不不太太高高，但但要要求求费费用用低低廉廉。这这时时只只需需一一台台计计算算机机采采用用MODEM拨拨号号、ISDN或或ADSL接接入入，其其它它计计算算机机则则通通过过安安装代理服务器来实现对装代理服务器来实现对Internet的访问。的访问。小型局域网通过代理服务器访问小型局域网通过代理服务器

19、访问Internet的具体步骤的具体步骤如下：如下：1、工作站和服务器的准备、工作站和服务器的准备2、网络的连接、网络的连接3、内部、内部IP地址的分配地址的分配4、内部网络的连通、内部网络的连通5、Internet连接的建立连接的建立6、代理服务器的安装和设置、代理服务器的安装和设置7、客户端配置、客户端配置“代理型代理型”共享方案的拓扑结构共享方案的拓扑结构“代理型代理型”共享方案的局域网设置共享方案的局域网设置 例如：对等网共享例如：对等网共享Modem一一般般家家庭庭的的组组网网方方式式大大多多采采用用对对等等网网，每每台台机机器器既既可可是是 服服 务务 器器，有有 是是 客客 户户

20、 端端，经经 济济 实实 惠惠，在在 Windows95/98/Me下下就就可可以以创创建建。但但将将其其中中一一台台换换成成Windows2000Professional，数据的安全性会更好。，数据的安全性会更好。两两种种方方式式一种在接触电缆连接（花费小，单向共享，距离短）一种在接触电缆连接（花费小，单向共享，距离短）一种用网卡和同轴电缆连接（花费多些，但更好）一种用网卡和同轴电缆连接（花费多些，但更好）应用设备：应用设备：PCIPCI网网卡卡（2 2块块，有有同同轴轴电电缆缆接接口口）,2,2个个终终端端器器，一一段段同同轴电缆，轴电缆，2 2个个T T型接头。型接头。网卡网卡计算机计算

21、机计算机计算机网卡网卡同轴电缆同轴电缆Internet安装：安装：1、安装、安装PCI网卡网卡(系统自动搜寻，安装驱动系统自动搜寻，安装驱动)2、网络设置、网络设置“控制面板控制面板”“网络网络”“配置配置”“添加添加”在网络组件中选在网络组件中选“协议协议”“添加添加”厂商中选厂商中选“Microsoft”网络协议选网络协议选“TCP/IP”“确定确定”一般还选择一般还选择“IPX/SPX兼容协议兼容协议”，还可加上，还可加上“NetBEUI”协协议议在在“要安装的网络组件要安装的网络组件”栏中，选栏中，选“客户客户”“添加添加”再选再选“Microsoft”和和“Microsoft网络客户

22、网络客户”“确定确定”在在“要安装的网络组件要安装的网络组件”拦中，选拦中，选“服务服务”“添加添加”，选，选“Microsoft网络上的文件与打印机共享网络上的文件与打印机共享”“确定确定”“网络网络”“标识标识”设置：计算机名、工作组及说明，设置：计算机名、工作组及说明，以保网上识别该计算机以保网上识别该计算机“网络网络”“访问控制访问控制”选选“共享级访问控制共享级访问控制”，在其中一台机器上安装好在其中一台机器上安装好Modem，并设置，并设置Internet连接连接在客户端和服务器上安装在客户端和服务器上安装WinGate在客户端选择在客户端选择“Configurethismachi

23、neasaWinGateInternetClient”在服务器选择在服务器选择“ConfigurethismachineasaWinGateServer”安装完后，设置安装完后，设置TCP/IP协议：协议：a“网络网络”“配置配置”选选TCP/IP“属性属性”b在在“TCP/IP属性属性”对话框中，对话框中，“指定指定IP地址地址”：IP地址：地址：192、168、0、1子网掩码：子网掩码：255、255、255、0c“DNS配置配置”：“启用启用DNS”主机：主机：Seruer域：域：corrDNS服务器地址：服务器地址：ISP的的DNS服务器地址或服务器地址或Microsoft的的域名服务

24、器域名服务器单击单击“添加添加”重启，运行重启，运行WinGate。设置客户端设置客户端Internet连接共享连接共享需要时需要时TCP/IP协议属性和协议属性和WinGateClientApplet程程序进行设置。序进行设置。6.3.2基于校园网的应用基于校园网的应用目前很多学校都建立了校园网，但分配到一个部门的端目前很多学校都建立了校园网，但分配到一个部门的端口和口和IPIP地址不够用。端口可以用地址不够用。端口可以用HUBHUB扩展，但扩展，但IPIP地址却限制地址却限制了上网的机器数量。这时只能通过代理服务器来解决。安了上网的机器数量。这时只能通过代理服务器来解决。安装步骤与上述例子

25、类似，（在装步骤与上述例子类似，（在WinRoute中讲过一个案例中讲过一个案例）但应注意两点：但应注意两点：1 1、InternetInternet连接的建立：连接的建立：用作代理服务器的计算机上应安装两块网卡，一块连接用作代理服务器的计算机上应安装两块网卡，一块连接校园网（设定校园网分配的校园网（设定校园网分配的IPIP地址），另一块连接内部网地址），另一块连接内部网（设定内部网的（设定内部网的IPIP地址），地址），DNSDNS和网关地址按校园网的要求和网关地址按校园网的要求配置。配置。2 2、代理服务器、代理服务器、WebWeb服务器和邮件服务器的建立：服务器和邮件服务器的建立：除建立

26、代理服务器外，还可建立除建立代理服务器外，还可建立WebWeb服务器、服务器、FTPFTP和邮件和邮件服务器。服务器。6.4 网络安全与防火墙技术网络安全与防火墙技术 随随着着网网络络应应用用技技术术的的不不断断深深入入，网网络络安安全全的的问问题题日日益益突突出出，各各种种电电脑脑黑黑客客和和计计算算机机病病毒毒制制造造者者利利用用各各种种技技术术手手段段破破坏坏计计算算机机和和网网络络系系统统的的工工作作，因因此此要要求求技技术术人人员员在在网网络络建建设设和和网网络络管管理理中中时时刻刻注注意意安安全全问问题题。并并且且要要求求能能全全方方位位的的针针对对各各种种不不同同的的威威胁胁，提

27、提出出相相应应的的方方法法来来确确保网络信息的保密性、完整性和可用性。保网络信息的保密性、完整性和可用性。网络安全网络安全线路传输安全线路传输安全服务器安全（重点）服务器安全（重点）6.4.1网络安全性规划与配置网络安全性规划与配置网络安全主要包括线路传输的安全和服务器的网络安全主要包括线路传输的安全和服务器的 安全两方安全两方面，尤其是后者更重要。在服务器的系统安全方面，应该从面，尤其是后者更重要。在服务器的系统安全方面，应该从以下几方面考虑：以下几方面考虑：1 1、安全可靠的防御体系结构、安全可靠的防御体系结构服务器的安全，必须在建立时就考虑安全可靠的防御体系服务器的安全，必须在建立时就考

28、虑安全可靠的防御体系结构，一般的防御层次如下：结构，一般的防御层次如下：（1 1）路由器：）路由器：这是第一层。用来过滤某些这是第一层。用来过滤某些IP地址和服务地址和服务（如只提供（如只提供Web服务，不提供服务，不提供FTP、Telnet等服务）。等服务）。（2 2）防火墙系统：）防火墙系统：过滤过滤IP和服务，建立和服务，建立VPN等认证机制，等认证机制，正确进行配置。正确进行配置。（3 3）入侵监测系统）入侵监测系统被动地监测网络上的所有数据包，检测是否有危险或被动地监测网络上的所有数据包，检测是否有危险或恶意的不安全的操作访问，以便采取不同的对策。恶意的不安全的操作访问，以便采取不同

29、的对策。（4 4）操作系统安全）操作系统安全（5 5）WebWeb服务器软件的安全服务器软件的安全对操作系统和服务器软件必须进行正确的配置，以保对操作系统和服务器软件必须进行正确的配置，以保证系统的安全。证系统的安全。2 2、服务器的选用、服务器的选用应选用高可靠性的专用服务器。应选用高可靠性的专用服务器。采用硬件冗余方法来提高服务器的容错能力。采用硬件冗余方法来提高服务器的容错能力。3 3、操作系统的选择、操作系统的选择目前服务器采用的操作系统主要有：目前服务器采用的操作系统主要有：Unix和和Windows NT。选用时应注意如下几点：选用时应注意如下几点：应选用安全级别高的操作系统（安全

30、级别由低至高依次应选用安全级别高的操作系统（安全级别由低至高依次为：为：D、C1、C2、B1、B2、B3和和A7个级别）。个级别）。应选用成熟稳定的系统。应选用成熟稳定的系统。及时了解新系统的安全漏洞并及时下载安装安全补丁程及时了解新系统的安全漏洞并及时下载安装安全补丁程序。序。4 4、服务器软件的选用、服务器软件的选用选用服务器软件时应考虑是否适应现有环境，是否达选用服务器软件时应考虑是否适应现有环境，是否达到业务要求，在增加其它软件时是否可能造成新的安全漏到业务要求，在增加其它软件时是否可能造成新的安全漏洞。一般来说应考虑以下因素：洞。一般来说应考虑以下因素：易于同外部信息整合易于同外部信

31、息整合有良好的用户管理接口，最好是图形界面有良好的用户管理接口，最好是图形界面适应目前的需要，并足够开放，易于扩展适应目前的需要，并足够开放，易于扩展有良好的技术支持有良好的技术支持5 5、服务器软件的安全配置、服务器软件的安全配置Internet服务器安装完成后，必须进行一些必要的安全特服务器安装完成后，必须进行一些必要的安全特性方面的配置，主要有：性方面的配置，主要有：区分客户可访问和不可访问部分，使敏感数据不对用户区分客户可访问和不可访问部分，使敏感数据不对用户开放。开放。对于对于Web服务器，要检查所使用的服务器，要检查所使用的Applet和脚本，尤其和脚本，尤其是与客户交互作用的脚本

32、，防止外部用户执行非法指令。是与客户交互作用的脚本，防止外部用户执行非法指令。排除站点的安全漏洞，加装补丁程序，监测兼容性问题。排除站点的安全漏洞，加装补丁程序，监测兼容性问题。关闭无关的服务和帐户，尽量减少拥有过多权限的用户关闭无关的服务和帐户，尽量减少拥有过多权限的用户设置监控机制，监控来访用户的情况，提高安全性。设置监控机制，监控来访用户的情况，提高安全性。6.4.2Internet服务器的安全防范服务器的安全防范Internet的交互性既是它的优势，也是易受攻击的弱点，的交互性既是它的优势，也是易受攻击的弱点，被攻击或入侵的主要类型有：被攻击或入侵的主要类型有：1 1、密码破译、密码破

33、译服务器上的许多重要信息（如密码、口令）均采用加密服务器上的许多重要信息（如密码、口令）均采用加密方式存储在系统中，加密后的信息，权限大的用户可以直方式存储在系统中，加密后的信息，权限大的用户可以直接看到，但其它用户也可能利用系统漏洞等方法得到，并接看到，但其它用户也可能利用系统漏洞等方法得到，并用解密工具得到加密前的明码。因此要增强密码的强度，用解密工具得到加密前的明码。因此要增强密码的强度，同时应定期更换密码。同时应定期更换密码。v一段破译日期型密码的一段破译日期型密码的BASIC小程序：小程序：Open“Dates”for output as#1Open“Dates”for output

34、 as#1 For I=1 to 12 For I=1 to 12 For J=1 to 31 For J=1 to 31 I1$=I1$=rtrimrtrim$(1trim$($(1trim$(strstr$(I)$(I)J1$=J1$=rtrimrtrim$(1trim$($(1trim$(strstr$(J)$(J)If If lenlen(I1$)=1 then I1$=“0”+I1$(I1$)=1 then I1$=“0”+I1$If If lenlen(J1$)=1 then J1$=“0”+J1$(J1$)=1 then J1$=“0”+J1$Out$=I1$+J1$Out$=I

35、1$+J1$Print#1,Out$Print#1,Out$Next I Next I Next J Next JCloseClose2 2、未授权访问、未授权访问服务器上的未授权访问将破坏文件的私有性、机密性服务器上的未授权访问将破坏文件的私有性、机密性和完整性。要控制未授权访问可采取以下几种方法：和完整性。要控制未授权访问可采取以下几种方法：通过通过IP地址来控制：此方法是在地址来控制：此方法是在Web服务器上设置拒服务器上设置拒绝某些绝某些IP地址的访问，但非法用户可以伪造地址的访问，但非法用户可以伪造IP地址或域地址或域名。名。通过用户名通过用户名/口令限制方法：可通过设置对口令的要口

36、令限制方法：可通过设置对口令的要求和输入错误口令的次数进行限制。求和输入错误口令的次数进行限制。通过信息加密的方法：采用安全性能更好的非对称加通过信息加密的方法：采用安全性能更好的非对称加密系统。这时密码是成对的，一个用于编码，一个用于密系统。这时密码是成对的，一个用于编码，一个用于解码收发双方各有一个，这就可防止信息在传输过程中解码收发双方各有一个，这就可防止信息在传输过程中被截取。被截取。3 3、信息截取、信息截取当服务器和用户交换信息时，在适当的地方安装能俘获当服务器和用户交换信息时，在适当的地方安装能俘获网络报文的设备或软件（如嗅探器：网络报文的设备或软件（如嗅探器：Sniffer），

37、就可能截），就可能截取用户信息。为避免信息被截取，可采用以下方法：取用户信息。为避免信息被截取，可采用以下方法：检测和消灭嗅探器软件：检测和消灭嗅探器软件：主要检查网络接口是否有杂收主要检查网络接口是否有杂收模式。因为只有在该模式下才能截取本不应该接收的数据模式。因为只有在该模式下才能截取本不应该接收的数据包。包。将数据隐藏或加密：将数据隐藏或加密：这样可使嗅探器发现不了或截取了这样可使嗅探器发现不了或截取了也没用。由于嗅探器软件不能跨过交换机、路由器和网桥也没用。由于嗅探器软件不能跨过交换机、路由器和网桥三种网络设备进行信息截取，因此可灵活应用这三种设备三种网络设备进行信息截取，因此可灵活应

38、用这三种设备进行网络分割，使之收集的信息减少而增强进行网络分割，使之收集的信息减少而增强Web系统的安系统的安全。全。4 4、系统中的漏洞和病毒、系统中的漏洞和病毒利用系统漏洞，黑客可以对服务器发出指令，非法利用系统漏洞，黑客可以对服务器发出指令，非法取得系统文件并无限制地向服务器发出大量指令，最终取得系统文件并无限制地向服务器发出大量指令，最终导致整个系统崩溃。因此网络管理员应能及时发现漏洞导致整个系统崩溃。因此网络管理员应能及时发现漏洞并及时修复。此外要特别注意对病毒进行检查的工作，并及时修复。此外要特别注意对病毒进行检查的工作，尤其在上传文件时。尤其在上传文件时。案例：案例：拒绝服务攻击

39、（拒绝服务攻击（DoS攻击），是攻击），是Denial of Service的简称。的简称。分布式拒绝服务（分布式拒绝服务（DDoS：Distributed Denial of Service）攻击。）攻击。分布式拒绝服务分布式拒绝服务（DDoS：Distributed Denial of Service）攻击指借助于客户）攻击指借助于客户/服务器技术，将多个计算服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将

40、击者使用一个偷窃帐号将DDoS主控程序安装在一个计主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在通讯，代理程序已经被安装在Internet上的许多计算机上的许多计算机上。代理程序收到指令时就发动攻击。利用客户上。代理程序收到指令时就发动攻击。利用客户/服务服务器技术，主控程序能在几秒钟内激活成百上千次代理程器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。序的运行。DoS攻击主要是利用了攻击主要是利用了TCP连接的三次握手中的漏洞。连接的三次握手中的漏洞。SYNFlood攻击者不会完成三次握

41、手攻击者不会完成三次握手假设一个用户向服务器发送了假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么报文后突然死机或掉线，那么服务器在发出服务器在发出SYN+ACK应答报文后是无法收到客户端的应答报文后是无法收到客户端的ACK报文的报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接。给客户端）并等待一段时间后丢弃这个未完成的连接。被被DDoS攻击时的现象：攻击时的现象：被攻击主机上有大量等待的被攻击主机上有大量等待的TCP连接。连接。网络中充斥着大

42、量的无用的数据包，源地址为假。网络中充斥着大量的无用的数据包，源地址为假。制造高流量无用数据，造成网络拥塞，使受害主机制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。无法正常和外界通讯。利用受害主机提供的服务或传输协议上的缺陷，反利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求。理所有正常请求。严重时会造成系统死机。严重时会造成系统死机。DDoS攻击对攻击对Web站点的影响：站点的影响：当对一个当对一个Web站点执行站点执行 DDoS 攻击时，这个站点的一个攻击时，这个站点

43、的一个或多个或多个Web服务会接到非常多的请求，最终使它无法再正服务会接到非常多的请求，最终使它无法再正常使用。在一个常使用。在一个DDoS攻击期间，如果有一个不知情的用户攻击期间，如果有一个不知情的用户发出了正常的页面请求，这个请求会完全失败，或者是页发出了正常的页面请求，这个请求会完全失败，或者是页面下载速度变得极其缓慢，看起来就是站点无法使用。面下载速度变得极其缓慢，看起来就是站点无法使用。典型的典型的DDoS攻击利用许多计算机同时对目标站点发出攻击利用许多计算机同时对目标站点发出成千上万个请求。为了避免被追踪，攻击者会闯进网上的成千上万个请求。为了避免被追踪，攻击者会闯进网上的一些无保

44、护的计算机内，在这些计算机上藏匿一些无保护的计算机内，在这些计算机上藏匿DDoS程序，程序，将它们作为同谋和跳板，最后联合起来发动匿名攻击。将它们作为同谋和跳板，最后联合起来发动匿名攻击。被攻击了怎么办？被攻击了怎么办？用一切方法告诉你的网友，通过用一切方法告诉你的网友，通过IP来打开主页。来打开主页。也就是第一步的同时，向政府机关报案。也就是第一步的同时，向政府机关报案。组织你的技术精兵，备份并分析服务器组织你的技术精兵，备份并分析服务器LOG日志。日志。连上您所在服务器连上您所在服务器IDC的骨干网，和非法攻击者对峙。的骨干网，和非法攻击者对峙。更改服务器更改服务器IP，恢复域名解析。恢复

45、域名解析。让律师、公证等各处公证评估受到非法攻击的损失。让律师、公证等各处公证评估受到非法攻击的损失。5 5、WebWeb服务器的服务器的CGICGI脚本漏洞脚本漏洞CGI脚本可能会产生两个方面的安全漏洞：一是可脚本可能会产生两个方面的安全漏洞：一是可能暴露主机的信息；增加受攻击的可能性；二是在处能暴露主机的信息；增加受攻击的可能性；二是在处理远程用户输入时，可以骗取在系统上执行命令的权理远程用户输入时，可以骗取在系统上执行命令的权限使系统直接受到攻击。因此应仔细坚持限使系统直接受到攻击。因此应仔细坚持CGI源程序、源程序、运行方式、运行方式、CGI是否对系统文件的读取和修改、对非是否对系统文

46、件的读取和修改、对非法输入数据是否进行处理等。法输入数据是否进行处理等。例如：例如：!/cgi-bin/phf漏洞描述：漏洞描述：Apache httpd服务器程序（服务器程序（1.0.3版本）的版本）的PHF脚本由于输脚本由于输入验证中遗失了对换行符（入验证中遗失了对换行符（“n”，十六进制为，十六进制为0 x0a）的检查，从而可用）的检查，从而可用于转义脚本，诱骗于转义脚本，诱骗Web服务器程序的本地语法运行该转义符后的任何内容。服务器程序的本地语法运行该转义符后的任何内容。比如，如果受攻击的比如，如果受攻击的Web服务器程序的执行用户具有服务器程序的执行用户具有/etc/passwd文件

47、文件的读权限，那么以下的读权限，那么以下URL将输出该文件的内容：将输出该文件的内容：cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd解决方案：自行修改该脚本，加入对解决方案：自行修改该脚本，加入对n的检验，或者暂停使用该脚本。的检验，或者暂停使用该脚本。例如：例如：!/shop.cgi漏洞描述：漏洞描述：shop.cgi/shop.pl用于网上购物，支持用于网上购物，支持SSL，包含多种验证模，包含多种验证模块，配置文件是块，配置文件是shop.cfg。正常的请求显示商品信息的。正常的请求显示商品信息的URL语法是：语法是：http:/ Inform

48、ation ServerInternet Information Server）不但）不但能提供多种服务，而且有较强的安全性能，主要使用了以下能提供多种服务，而且有较强的安全性能，主要使用了以下Windows NTWindows NT的安全体系结构：的安全体系结构：1 1、IISIIS的认证方式（三种）的认证方式（三种）匿名访问：大多数情况下的用户是以匿名方式连接到匿名访问：大多数情况下的用户是以匿名方式连接到IISIIS明文认证：这种方式的安全性能较差明文认证：这种方式的安全性能较差NT Challenge/ResponseNT Challenge/Response2 2、通过、通过IPIP

49、地址或域名限制某些用户的访问地址或域名限制某些用户的访问3 3、使用、使用NTFSNTFS权限权限4 4、SSLSSL（Secure Sockets LayerSecure Sockets Layer）的应用）的应用6.4.4防火墙技术防火墙技术由于系统漏洞难以避免，服务器又暴露在整个由于系统漏洞难以避免，服务器又暴露在整个InternetInternet中，受到很大的威胁，为了进一步加强安全性能，产生了中，受到很大的威胁，为了进一步加强安全性能，产生了防火墙技术。防火墙技术。1 1、什么是防火墙：、什么是防火墙：防火墙（防火墙（FirewallFirewall）是指位于两个网络之间执行控制策

50、）是指位于两个网络之间执行控制策略的系统（可以用硬件略的系统（可以用硬件/软件或两者的结合来实现），用来软件或两者的结合来实现），用来限制外部未经许可的非法用户访问内部网络资源或内部非限制外部未经许可的非法用户访问内部网络资源或内部非法向外部传递信息，只允许授权的数据通过。法向外部传递信息，只允许授权的数据通过。2 2、防火墙的主要功能：、防火墙的主要功能：（1 1）过滤不安全的服务和非法用户；（）过滤不安全的服务和非法用户；（2 2）控制对特殊）控制对特殊站点的访问；（站点的访问；（3 3）监视）监视InternetInternet的安全和预警。的安全和预警。3 3、防火墙的种类、防火墙的种