沈鑫剡編著(網(wǎng)絡安全)教材配套課件第14章

網(wǎng)絡安全第十四章第14章計算機安全技術(shù)本章主要內(nèi)容計算機安全威脅和安全技術(shù)；訪問控制；Windows7防火墻；Windows7網(wǎng)絡管理和監(jiān)測命令。14.1計算機安全威脅和安全技術(shù)本講主要內(nèi)容安全威脅；安全技術(shù)。一、安全威脅如圖所示的應用環(huán)境下，計算機面臨以下安全威脅：病毒；黑客；越權(quán)訪問。二、安全技術(shù)基于主機的防御技術(shù)：病毒防御技術(shù)；個人防火墻；主機入侵檢測系統(tǒng)訪問控制。14.2訪問控制本講主要內(nèi)容基本術(shù)語；訪問控制模型；審計；Windows7訪問控制機制。一、基本術(shù)語主體（Subject）是指主動的實體，該實體造成了信息的流動和系統(tǒng)狀態(tài)的改變?？腕w（Object）是指包含或接受信息的被動實體。對客體的訪問意味著對其中所包含的信息的訪問。訪問是使信息在主體和客體間流動的一種交互方式。訪問控制是一種具有以下功能的安全機制，一是能保障授權(quán)用戶獲取所需資源，二是能拒絕非授權(quán)用戶非法獲取資源。身份鑒別一是需要對主體分配唯一標識符，二是主體能夠提供證明身份的標識信息，授權(quán)是為每一個用戶設(shè)置訪問權(quán)限，某個用戶的訪問權(quán)限是指該用戶允許訪問的客體和允許對客體進行的操作。一、基本術(shù)語授權(quán)數(shù)據(jù)庫中為每一個用戶設(shè)置了訪問權(quán)限，通常由系統(tǒng)管理員為每一個用戶分配訪問權(quán)限。引用監(jiān)視器根據(jù)已經(jīng)完成身份鑒別過程的用戶和授權(quán)數(shù)據(jù)庫，確定該用戶允許訪問的客體和允許對客體進行的操作。訪問控制保障該用戶只能訪問允許訪問的客體，且只能對允許訪問的客體進行允許進行的操作。審計對用戶使用何種信息資源、在何時使用、以及如何使用（執(zhí)行何種操作）進行記錄和分析。二、訪問控制模型訪問控制模型分類二、訪問控制模型訪問控制矩陣中的每一行代表一個主體，每一列代表一個客體，行列交叉的單元格給出該行代表的主體允許對該列代表的客體進行的操作。操作操作二、訪問控制模型訪問控制表（ACL）以客體為中心，為每一個客體分配訪問權(quán)限。如圖所示，客體資源X允許主體用戶A進行讀、修改和管理等訪問操作，允許主體用戶C進行讀訪問操作。每一個客體通過訪問控制表可以很方便地確定該客體允許那些主體進行那些訪問操作。操作二、訪問控制模型訪問能力表（ACCL）以主體為中心，為每一個主體分配訪問權(quán)限。如圖所示，主體用戶A具有對客體資源X和資源Z進行讀、修改和管理等訪問操作的訪問權(quán)限。操作二、訪問控制模型訪問控制表一般用于對客體集中管理的應用環(huán)境，這種應用環(huán)境下，可以為每一個客體設(shè)置訪問控制表。操作二、訪問控制模型訪問能力表一般用于對客體分布式管理的應用環(huán)境，這種應用環(huán)境下，如果采用訪問控制表實施訪問控制過程，用戶A訪問資源X和資源Z時，需要分別由計算機A和計算機C完成身份鑒別過程。如果采用訪問能力表實施訪問控制過程，可以由訪問控制主機統(tǒng)一完成身份鑒別過程。操作二、訪問控制模型

在強制訪問控制中，每一個主體和客體賦予一個安全級別。安全級別通常分為絕密級（T）、秘密級（S）、機密級（C）、限制級（R）和無密級（U）。這些安全級別之間滿足以下關(guān)系：T＞S＞C＞R＞U，T＞S表示絕密級高于秘密級。強制訪問控制根據(jù)主體和客體的安全級別決定以下訪問模式。向下讀（RD）當主體安全級別高于客體安全級別時，允許主體對客體進行讀操作。向上讀（RU）當主體安全級別低于客體安全級別時，允許主體對客體進行讀操作。向下寫（WD）當主體安全級別高于客體安全級別時，允許主體對客體進行寫操作。向上寫（WU）當主體安全級別低于客體安全級別時，允許主體對客體進行寫操作。操作二、訪問控制模型Bell-LaPadula模型簡稱為BLP模型，BLP模型的訪問原則是不上讀/不下寫，以此保證數(shù)據(jù)的保密性。不上讀意味著只有當主體安全級別高于等于客體安全級別時，才允許主體對客體進行讀操作。不下寫意味著只有當主體安全級別低于等于客體安全級別時，才允許主體對客體進行寫操作。二、訪問控制模型Biba模型的訪問原則是不下讀/不上寫，以此保證數(shù)據(jù)的完整性。不下讀意味著只有當主體安全級別低于等于客體安全級別時，才允許主體對客體進行讀操作。不上寫意味著只有當主體安全級別高于等于客體安全級別時，才允許主體對客體進行寫操作。二、訪問控制模型如果客體所有權(quán)是企業(yè)，不應該基于用戶，而是應該基于企業(yè)中的職務分配客體訪問權(quán)限。角色指個體在特定的社會關(guān)系中的身份及由此而規(guī)定的行為規(guī)范和行為模式的總和。具體地說，就是個人在特定的社會環(huán)境中相應的社會身份和社會地位，并按照一定的社會期望，運用一定權(quán)力來履行相應社會職責的行為。訪問控制模型中的角色用一組對客體的訪問操作來描述行為，這組訪問操作是管理員分配給角色的權(quán)限。三、審計日志是記錄的事件或統(tǒng)計數(shù)據(jù)，這些事件或統(tǒng)計數(shù)據(jù)能提供關(guān)于系統(tǒng)使用及性能方面的信息。審計是對日志的分析，并以清晰的、能理解的方式表述分析結(jié)果。審計使得系統(tǒng)分析員可以評審資源的使用模式，以便評價保護機制的有效性。一個審計系統(tǒng)通常由日志記錄器、分析器和通告器三部分組成。這三部分分別用于收集數(shù)據(jù)、分析數(shù)據(jù)和通告結(jié)果。三、審計日志記錄器以二進制或可讀的形式記錄事件或統(tǒng)計數(shù)據(jù)。日志通常記錄與以下活動有關(guān)的事件。用于檢測已知攻擊模式；用于檢測異常行為和異常信息流。對于每一個事件，日志記錄以下信息：事件發(fā)生的日期和時間，引發(fā)事件的用戶，事件源的位置，事件類型，事件成敗等。三、審計分析器以日志數(shù)據(jù)為輸入，完成以下分析過程。潛在侵害分析?？梢允孪葹榉治銎髦贫ㄒ恍┮?guī)則，這些規(guī)則描述了發(fā)生入侵時的事件模式，一旦分析器在日志記錄的事件中，發(fā)現(xiàn)與規(guī)則匹配的事件模式，意味著系統(tǒng)存在入侵的可能性。異常分析。分析器可以通過閾值和規(guī)則描述用戶的正常行為，一旦日志記錄的與某個用戶有關(guān)的統(tǒng)計數(shù)據(jù)與描述該用戶正常行為的閾值相差甚遠，可以確定該用戶的行為異常。入侵行為分析。分析器可以加載入侵特征庫，入侵特征庫中給出已知入侵的事件模式，一旦日志記錄的事件與入侵特征庫中某個已知攻擊的事件模式匹配，確定系統(tǒng)發(fā)生該入侵行為。三、審計通告器把分析器的分析結(jié)果，以清晰的、能理解的方式通告給系統(tǒng)管理員和其他實體。四、Windows7訪問控制機制

Windows7采用訪問控制表（ACL）機制實現(xiàn)資源訪問控制過程，一是通過創(chuàng)建賬戶來創(chuàng)建用戶，二是基于資源為每一個用戶分配權(quán)限。14.3Windows7防火墻本講主要內(nèi)容入站規(guī)則和出站規(guī)則；Windows7防火墻配置實例；一、入站規(guī)則和出站規(guī)則會話是兩個運行在不同終端上的進程之間的數(shù)據(jù)交換過程。目前常見的會話有TCP連接，UDP會話和ICMPECHO請求、響應過程。一、入站規(guī)則和出站規(guī)則對于TCP連接，會話分為三個階段，一是TCP連接建立階段，二是數(shù)據(jù)傳輸階段，三是TCP連接釋放階段。通過TCP連接建立過程創(chuàng)建會話，并用兩端插口唯一標識創(chuàng)建的會話，插口由標識終端的32位IP地址和標識進程的16位端口號組成。創(chuàng)建會話后，所有兩端插口與標識該會話的兩端插口相同的TCP報文都是屬于該會話的TCP報文。通過TCP連接釋放過程刪除會話。一、入站規(guī)則和出站規(guī)則對于UDP會話，傳輸?shù)谝粋€UDP報文時創(chuàng)建UDP會話，并用該UDP報文的兩端插口唯一標識該UDP會話，所有兩端插口與標識該UDP會話的兩端插口相同的UDP報文都是屬于該會話的UDP報文。如果規(guī)定時間內(nèi)，一直沒有傳輸兩端插口與標識該UDP會話的兩端插口相同的UDP報文，刪除該UDP會話。一、入站規(guī)則和出站規(guī)則對于ICMPECHO請求、響應過程，一次ICMPECHO請求、響應過程屬于一個會話，會話用ICMPECHO報文兩端IP地址和序號（或標識符）唯一標識。一、入站規(guī)則和出站規(guī)則對于TCP連接，會話發(fā)起方是發(fā)送請求建立TCP連接的請求報文的一方，響應方是發(fā)送同意建立TCP連接的響應報文的一方。對于UDP報文，會話發(fā)起方是發(fā)送創(chuàng)建UDP會話的第一個UDP報文的一方，響應方是接收創(chuàng)建UDP會話的第一個UDP報文的一方。對于ICMPECHO請求、響應過程，會話發(fā)起方是發(fā)送ICMPECHO請求報文的一方，響應方是發(fā)送對應的ICMPECHO響應報文的一方。一、入站規(guī)則和出站規(guī)則

個人防火墻的核心功能是阻止會話建立。對于會話發(fā)起方，阻止會話建立的方法是禁止輸出會話發(fā)起方發(fā)送的用于創(chuàng)建會話的報文。對于會話響應方，阻止會話建立的方法是禁止輸入會話發(fā)起方發(fā)送的用于創(chuàng)建會話的報文。一、入站規(guī)則和出站規(guī)則入站規(guī)則用于禁止輸入，或允許輸入會話發(fā)起方發(fā)送的用于創(chuàng)建會話的報文。遠程IP地址：192.1.1.1遠程端口號：任意協(xié)議類型：TCP本地程序：360安全衛(wèi)士禁止或允許連接：允許連接一、入站規(guī)則和出站規(guī)則出站規(guī)則用于禁止輸出，或允許輸出會話發(fā)起方發(fā)送的用于創(chuàng)建會話的報文。遠程IP地址：192.1.1.1遠程端口號：80、443協(xié)議類型：TCP本地程序：InternetExplorer禁止或允許連接：禁止連接二、Windows7防火墻配置實例Windows7防火墻是操作系統(tǒng)Windows7自帶的個人防火墻，通過設(shè)置入站規(guī)則禁止或允許外部終端發(fā)起建立與該計算機中某個進程之間的會話。通過設(shè)置出站規(guī)則禁止或允許該計算機中某個進程發(fā)起建立與外部終端之間的會話。二、Windows7防火墻配置實例禁止用戶通過InternetExplorer訪問百度網(wǎng)站的出站規(guī)則如下。遠程IP地址：112.80.248.74、112.80.248.73和112.80.252.32遠程端口號：所有協(xié)議類型：任何本地程序：InternetExplorer禁止或允許連接：禁止連接14.4Windows7網(wǎng)絡管理和監(jiān)測命令本講主要內(nèi)容Ping；Tracert；Ipconfig；Arp；Nslookup；Route；Netstat。一、Pingping命令用于檢測兩個終端之間的連通性一、Pingping目標主機地址或域名可以攜帶以下參數(shù)。-t：一直進行ICMPECHO請求、響應過程，直到輸入ctrl+c鍵。-ncount：將ICMPECHO請求、響應過程進行整數(shù)count指定的次數(shù)。-llength：發(fā)送長度由整數(shù)length指定的ICMPECHO請求報文，長度默認值是32B。-ittl：將封裝ICMPECHO請求報文的IP分組的TTL字段值設(shè)置為由整數(shù)ttl指定的值。一、Ping一、Ping黑客常常通過ping命令進行主機掃描，確定攻擊目標是否在線，黑客終端與攻擊目標之間是否存在傳輸通路。因此，為安全起見，終端最好通過設(shè)置防火墻，關(guān)閉ICMPECHO響應功能。二、tracert終端A首先將ICMPECHO請求報文封裝成TTL=1的IP分組。該IP分組傳輸?shù)降谝惶酚善鱎1時，TTL值減為0，路由器R1向終端A發(fā)送一個超時報文。終端A隨后將ICMPECHO請求報文封裝成TTL=2的IP分組。該IP分組到達第二跳路由器R2時，TTL值減為0，第二跳路由器R2向終端A發(fā)送超時報文。該過程一直進行。二、tracert

tracert目標主機地址或域名可以攜帶以下參數(shù)。-d：只列出經(jīng)過的路由器接口和目標主機的IP地址，不給出這些路由器和目標主機的名字。-h

maximum_hops：指定經(jīng)過的最大跳數(shù)，整數(shù)maximum_hops是最大跳數(shù)。

-j

host-list：通過指定經(jīng)過的路由器接口列表，指定源終端至目的終端的傳輸路徑。二、tracert二、tracert黑客常常用tracert命令了解黑客終端與攻擊目標之間的傳輸路徑，了解網(wǎng)絡拓撲結(jié)構(gòu)。因此，與執(zhí)行tracert命令相關(guān)的TTL字段值不斷遞增的ICMPECHO請求報文也是網(wǎng)絡入侵檢測系統(tǒng)需要監(jiān)測的信息流類型。三、ipconfigipconfig可以攜帶以下參數(shù)。/all

：顯示完整信息。/renew：為所有網(wǎng)卡重新動態(tài)分配IP地址

。/release：釋放為所有網(wǎng)卡分配的動態(tài)IP地址。/flushdns：清空本地dns緩沖區(qū)。/displaydns：顯示本地dns緩沖區(qū)內(nèi)容。三、ipconfig四、arp終端A在以太網(wǎng)中廣播ARP請求報文，請求報文中給出終端A的IP地址、MAC地址和終端B的IP地址。終端B接收到終端A的ARP請求報文后，將終端A的IP地址和MAC地址記錄在ARP緩沖區(qū)中，同時通過ARP響應報文向終端A發(fā)送自己的IP地址和MAC地址。終端A接收到終端B發(fā)送的ARP響應報文后，將終端B的IP地址和MAC地址記錄在ARP緩沖區(qū)中。四、arparp需要攜帶以下其中一個參數(shù)。-a：顯示本地ARP緩沖區(qū)內(nèi)容。-d：刪除本地ARP緩沖區(qū)內(nèi)容。-s：在本地ARP緩沖區(qū)中建立IP地址與MAC地址之間的靜態(tài)綁定關(guān)系。參數(shù)為-s的命令格式如下。

arp–sip地址mac地址四、arp四、arpARP欺騙攻擊的目的是在終端的ARP緩沖區(qū)中建立錯誤的IP地址與MAC地址之間的動態(tài)綁定關(guān)系。因此，如果重要服務器的IP地址是相對固定的，終端最好在ARP緩沖區(qū)中建立服務器IP地址與服務器MAC地址之間的靜態(tài)綁定關(guān)系。五、nslookupnslookup-qt=類型

目標域名

指定的DNS服務器的IP地址或域名類型有以下選項。A：解析結(jié)果是目標域名對應的主機IP地址。CNAME：解析結(jié)果是目標域名對應的別名。MX：解析結(jié)果是目標域名所在域的郵件服務器。NS：解析結(jié)果是負責目標域名所在域的域名服務器。五、nslookup五、nslookup五、nslookup由于用戶解析域名時，可以將著名域名服務器指定為本地域名服務器，因此，可以通過比較解析結(jié)果來判斷終端配置的本地域名服務器地址是否正確。六、route對于如圖所示的網(wǎng)絡結(jié)構(gòu)，如果只為終端A設(shè)置默認網(wǎng)關(guān)地址，會降低網(wǎng)絡的傳輸效率。六、route（1）顯示路由項route