CCNA基本安全性

《CCNA基本安全性》由会员分享，可在线阅读，更多相关《CCNA基本安全性（42页珍藏版）》请在装配图网上搜索。

1、思科网络技术学院理事会.http:/1基本安全性2目标目标 识别和描述各种网络威胁 识别各种攻击方式 描述安全规程和应用程序 描述防火墙的特点，以及如何应用防火墙来防范攻击3内容索引内容索引 8.1 网络威胁 8.2 攻击方式 8.3 安全策略 8.4 使用防火墙48.1.1 网络入侵者网络入侵者 计算机网络中，不速之客的入侵可能导致代价高昂的网络中断和工作成果的丢失。针对网络的攻击有时具有相当的破坏性，可能造成重要信息或资产的损坏或失窃，导致时间上和金钱上的损失。入侵者可通过软件漏洞、硬件攻击甚至一些科技含量很低的方法（例如猜测某人的用户名和密码）来获得对网络的访问权。通过修改或利用软件漏洞

2、来获取访问权的入侵者通常被称为黑客。58.1.1 网络入侵者网络入侵者 一旦黑客取得网络的访问权，就可能给网络带来以下四种威胁：信息盗窃、身份盗窃、数据丢失/操纵、服务中断68.1.1 网络入侵者网络入侵者参见电子版教材练习8.1.1.278.1.2 网络入侵者的来源网络入侵者的来源 网络入侵者造成的安全威胁可能来自网络内部和外部两个源头。外部威胁是由组织外部活动的个人引起的。他们没有访问组织计算机系统或网络的权限。外部攻击者主要通过 Internet、无线链接或拨号访问服务器进入网络。88.1.2 网络入侵者的来源网络入侵者的来源 内部威胁是由具备授权用户帐户的个人，或能够实际接触网络设备的

3、人员导致的。内部攻击者了解内部的政策和人员。他们往往清楚的知道，什么信息有价值而且易受攻击，以及怎么获得该信息。然而，并不是所有内部攻击都是故意的。在某些情况下，一个受信任的员工在公司外部工作时可能会感染上病毒或安全威胁，然后在不知情的情况下将它带到内部网络中，从而造成内部威胁。许多公司都在防御外部攻击上花费了大量资源，但大多数威胁其实来自内部。据 FBI 调查显示，在报告的安全入侵事件中，约有 70%都是因内部访问和计算机系统帐户使用不当造成的。98.1.3 社会和网络钓鱼社会和网络钓鱼 对于内外两个源头的入侵者而言，要想获得访问权，最简单的一种方法就是利用人类行为的弱点。常见方法之一便是“

4、社会工程”(Social Engineering)。社会工程中最常用的三种技术有：假托、网络钓鱼和语音网络钓鱼。108.1.3 社会和网络钓鱼社会和网络钓鱼 假托(Pretexting)是一种社会工程方式，攻击者会对受害人编造虚假情景（假托），以使受害人泄漏信息或执行某种操作。通常是通过电话联系攻击目标。要使假托起作用，攻击者必须能够与目标人员或受害人建立合理联系。为此，攻击者一般需要预先进行一些了解或研究。例如，如果攻击者知道攻击目标的社会保险号码，他们就会使用该信息来获取攻击目标的信任。那么攻击目标便很有可能进一步泄漏信息。118.1.3 社会和网络钓鱼社会和网络钓鱼 网络钓鱼是一种社会工

5、程方式，网络钓鱼者将自己伪装为外部机构的合法人员。他们通常通过电子邮件联系攻击目标个人（网络钓鱼受害者）。网络钓鱼者可能会声称，为了避免某些糟糕的后果，要求攻击目标提供确认信息（例如密码或用户名）。128.1.3 社会和网络钓鱼社会和网络钓鱼 语音网络钓鱼/电话网络钓鱼 一种使用 IP 语音(VoIP)的新式社会工程被称为“语音网络钓鱼”(vishing)。在语音网络钓鱼攻击中，用户会收到一封语音邮件，邮件中指示他们拨打一个看上去像是正规电话银行服务的电话号码。随后，没有设防的用户拨打该号码时，通话会被窃贼截听。为了进行确认而通过电话输入的银行帐户号码或密码便被攻击者窃取。138.2.1 病毒

6、、蠕虫和特洛伊木马病毒、蠕虫和特洛伊木马 其它类型的攻击，借助计算机软件的漏洞来执行。此类攻击技术包括：病毒、蠕虫和特洛伊木马。所有这些都是侵入主机的恶意软件。它们会损坏系统、破坏数据以及拒绝对网络、系统或服务的访问。它们还可将数据和个人详细信息从没有设防的 PC 用户转发到犯罪者手中。在许多情况下，它们会自身复制，然后传播至连接到该网络的其它主机。148.2.1 病毒、蠕虫和特洛伊木马病毒、蠕虫和特洛伊木马 病毒是通过修改其它程序或文件来运行和传播的一种程序。病毒无法自行启动，而需要受到激活。有的病毒一旦激活，便会迅速自我复制并四处传播，但不会执行其它操作。这类病毒虽然很简单，但仍然非常危险

7、，因为它们会迅速占用所有可用内存，导致系统停机。编写的更为恶毒的病毒可能会在传播前删除或破坏特定的文件。病毒可通过电子邮件附件、下载的文件、即时消息或磁盘、CD 或 USB 设备传输。158.2.1 病毒、蠕虫和特洛伊木马病毒、蠕虫和特洛伊木马 蠕虫类似于病毒，与病毒不同的是它无需将自身附加到现有的程序中。蠕虫使用网络将自己的副本发送到任何所连接的主机中。蠕虫可独立运行并迅速传播，它并不一定需要激活或人类干预才会发作。自我传播的网络蠕虫所造成的影响可能比单个病毒更为严重，而且可迅速造成 Internet 大面积感染。特洛伊木马是一种非自体复制型程序，它以合法程序的面貌出现，但实质上却是一种攻击

8、工具。特洛伊木马依赖于其合法的外表来欺骗受害人启动该程序。它的危害性可能相对较低，但也可能包含可损坏计算机硬盘内容的代码。特洛伊木马还可为系统创建后门，从而使黑客获得访问权。168.2.1 拒绝服务和暴力攻击拒绝服务和暴力攻击 拒绝服务(DoS)DoS 攻击是针对单个计算机或一组计算机执行的一种侵略性攻击，目的是拒绝为特定用户提供服务。DoS 攻击可针对最终用户系统、服务器、路由器和网络链接发起。两种常见的 DoS 攻击为：SYN（并发）洪水攻击 向服务器发送大量请求客户端连接的数据包。这些数据包中包含无效的源 IP 地址。服务器会因为试图响应这些虚假请求而变得极为忙碌，导致无法响应合法请求。

9、死亡之 ping：向设备发送超过 IP 所允许的最大大小（65,535 字节）的数据包。这可导致接收系统崩溃。178.2.1 拒绝服务和暴力攻击拒绝服务和暴力攻击188.2.1 拒绝服务和暴力攻击拒绝服务和暴力攻击 分布式拒绝服务(DDoS)DDoS 的运行规模远比 DoS 攻击更大，通常会有成百上千个攻击点试图同时淹没攻击目标。攻击点可能是之前感染了 DDoS 代码的没有设防的计算机。感染 DDoS 代码的系统会在被调用时攻击目标站点。暴力攻击 攻击者使用运行速度很快的计算机来尝试猜测密码或破解加密密钥。攻击者会在短时间内尝试大量可能的密码来获取访问权限或破译密钥。暴力攻击可引起针对特定资源

10、的通信量过大或用户帐户锁定，从而导致拒绝服务。参见电子版教材动画8.2.2.2198.2.3 间谍软件、跟踪间谍软件、跟踪 Cookie、广告软件和弹出广告、广告软件和弹出广告 许多威胁的目的是收集用户的相关信息以用于广告，尽管它们可能不会损坏计算机，但仍会侵犯隐私，而且非常招人反感。20 间谍软件是一种程序，用于在未得到用户认可或用户不知情的情况下从计算机中收集个人信息。然后，这些个人信息会发送至 Internet 上的广告商或第三方，其中可能包含密码和帐户号码。间谍软件通常是在下载文件、安装其它程序或单击弹出广告时暗中安装。它会降低计算机速度，更改内部设置，导致更多的漏洞暴露给其它威胁。此

11、外，间谍软件也难以删除。跟踪 Cookie：Cookie 是间谍软件的一种形式，但也有一些 Cookie 起到积极的作用。Cookie 用于在 Internet 用户访问网站时记录用户的信息。由于它允许个性化定制以及其它一些节省时间的方法，所以可能相当有用并受人欢迎。许多网站都要求用户启用 cookie 后才能进行连接。8.2.3 间谍软件、跟踪间谍软件、跟踪 Cookie、广告软件和弹出广告、广告软件和弹出广告21 广告软件是另一种形式的间谍软件，它通过用户访问的网站收集用户信息。这些信息之后会被利用进行针对性的广告宣传。弹出广告和背投广告是用户在浏览网站时显示的附加广告宣传窗口。与广告软件

12、不同，弹出广告和背投广告并不收集关于用户的信息，而且通常只与所访问的网站关联。弹出广告：在当前浏览器窗口的前端打开。背投广告：在当前浏览器窗口的后端打开。8.2.3 间谍软件、跟踪间谍软件、跟踪 Cookie、广告软件和弹出广告、广告软件和弹出广告228.2.4 垃圾邮件垃圾邮件 垃圾邮件是非常严重的网络威胁，可导致 ISP、电子邮件服务器和最终用户系统不堪重负。垃圾邮件发送者通常利用未受安全保护的电子邮件服务器来转发电子邮件。垃圾邮件发送者可能使用黑客技术（例如病毒、蠕虫和特洛伊木马）来控制家用计算机。受控的这些计算机就会被用来在主人毫不知情的情况下发送垃圾邮件。垃圾邮件可通过电子邮件发送，

13、如今它们还可通过即时消息软件发送。据估计，Internet 上的每个用户每年收到的垃圾电子邮件超过 3,000 封。垃圾邮件消耗了大量的 Internet 带宽，此问题的严重性已引起了许多国家的重视，各国纷纷出台法律管制垃圾邮件的使用。参见电子版教材动画8.2.4.1238.3.1 常用安全措施常用安全措施 安全风险无法彻底消除或预防。但有效的风险管理和评估可显著减少现有的安全风险。要将风险降至最低，人们必须认识到一点：没有任何一件产品可为组织提供绝对的安全保护。要获得真正的网络安全，需要结合应用多种产品和服务、制定彻底的安全策略并严格实施该策略。安全策略：标识和身份验证策略密码策略合理使用规

14、定远程访问策略网络维护程序事件处理程序参见电子版教材动画8.3.1.1248.3.1 常用安全措施常用安全措施 安全策略通过安全规程实施。这些规程定义了主机和网络设备的配置、登录、审计和维护过程。其中包括使用预防性措施来降低风险，以及采用主动措施来处理已知安全威胁。可保护网络安全的一些安全工具和应用程序有：软件补丁和更新病毒防护间谍软件防护垃圾邮件拦截器弹出广告拦截器防火墙参见电子版教材动画8.3.1.2258.3.2 更新和补丁更新和补丁 黑客用来获取主机和（或）网络访问权的最常见方法之一便是利用软件漏洞，因而及时对软件应用程序应用最新安全补丁和更新以阻止威胁极为重要。补丁是修复特定问题的一

15、小段代码。更新则可能包含要添加到软件包中的附加功能以及针对特定问题的补丁。操作系统（例如 Linux、Windows 等）和应用程序厂商会不断提供更新和安全补丁，以更正软件中已知的漏洞。此外，厂商通常还会发布补丁和更新的集合，称为服务包。值得庆幸的是，许多操作系统都具有自动更新功能，可在主机上自动下载和安装操作系统与应用程序更新。268.3.3 防病毒软件（检测病毒）防病毒软件（检测病毒）即使操作系统和应用程序应用了所有最新的补丁和更新，仍然容易遭到攻击。任何连接到网络的设备都可能会感染上病毒、蠕虫和特洛伊木马。这些攻击可损坏操作系统代码、影响计算机性能、更改应用程序和毁坏数据。感染病毒、蠕虫

16、或特洛伊木马后，可能出现的症状有：计算机行为开始变得不正常。程序不响应鼠标和击键。程序自行启动或关闭。电子邮件程序开始外发大量电子邮件。CPU 使用率非常高。有不认识的，或大量进程运行。计算机速度显著下降或崩溃。278.3.3 防病毒软件防病毒软件 防病毒软件可用作预防工具和反应工具。它可预防感染，并能检测和删除病毒、蠕虫和特洛伊木马。连接到网络的所有计算机都应安装防病毒软件。市面上存在许多防病毒程序。防病毒程序可具有以下功能：电子邮件检查 扫描传入和传出电子邮件，识别可疑的附件。驻留内容动态扫描 在访问可执行文件和文档时对它们进行检查。计划扫描 可根据计划按固定的间隔运行病毒扫描以及检查特定

17、的驱动器或整个计算机。自动更新 检查和下载已知的病毒特征码和样式，并可设为定期检查更新288.3.4反垃圾邮件反垃圾邮件 垃圾邮件不仅惹人讨厌，还可能造成电子邮件服务器过载，有时还携带有病毒和其它安全威胁。垃圾邮件发送者还可以通过在主机上植入病毒或特洛伊木马代码来控制主机。让受控主机在用户毫不知情的情况下发送垃圾邮件。受到这种形式感染的计算机称为“垃圾邮件工厂”反垃圾邮件软件可识别垃圾邮件并执行相应操作（例如将其放置到垃圾邮件文件夹或删除），从而为主机提供保护。此类软件可在机器本地加载，也可在电子邮件服务器上加载。此外，许多 ISP 也提供垃圾邮件过滤器。反垃圾邮件软件无法识别所有的垃圾邮件，

18、因此打开电子邮件时仍须非常谨慎。有时候，有用的电子邮件也会被错误地当作垃圾邮件处理了。参见电子版教材动画8.3.4.129 除了使用垃圾邮件拦截器以外，还可使用其它预防措施来防止垃圾邮件传播，这些措施包括：及时应用现有的操作系统和应用程序更新。定期运行防病毒程序，并始终保持最新版本。不要转发可疑的电子邮件。不要打开电子邮件附件，尤其是来自陌生人的邮件附件。设置电子邮件规则，删除绕过反垃圾邮件软件的垃圾邮件。标识垃圾邮件来源，并将其报告给网络管理员以便阻隔该来源。将事件报告给处理垃圾邮件滥用的政府机构。8.3.4反垃圾邮件反垃圾邮件308.3.5反间谍软件反间谍软件 反间谍软件和广告软件 间谍软

19、件和广告软件也会导致类似病毒的症状。除了收集未经授权的信息外，它们还会占用重要的计算机资源并影响性能。反间谍软件可检测和删除间谍软件应用程序，并防止这些程序将来再度安装。许多反间谍软件应用程序还包括 cookie 及广告软件的检测和删除功能。某些防病毒软件包具有反间谍软件功能。弹出广告拦截器 可安装弹出广告拦截器软件来阻止弹出广告和背投广告。许多 Web 浏览器默认包含弹出广告拦截器的功能。请注意，某些程序和网页会生成必要和有用的弹出窗口。因此，大多数弹出广告拦截器都具有忽略功能（即允许某些弹出窗口）。318.4.1 什么是防火墙什么是防火墙 防火墙是保护内部网络用户远离外部威胁的最为有效的安

20、全工具之一。防火墙驻留在两个或多个网络之间，控制其间的通信量并帮助阻止未授权的访问。数据包过滤 根据 IP 或 MAC 地址阻止或允许访问。应用程序/网站过滤 根据应用程序来阻止或允许访问。网站阻隔则通过指定网站 URL 地址或关键字来实现。状态封包侦测(SPI)传入数据包必须是对内部主机所发出请求的合法响应。除非得到特别允许，否则未经请求的数据包会被阻隔。状态封包侦测还可具有识别和过滤特定类型攻击（例如 DoS）的能力。328.4.1 什么是防火墙什么是防火墙 防火墙可支持一个或多个此类过滤功能。此外，防火墙通常会执行网络地址转换(NAT)。网络地址转换将一个内部地址或一组地址转换为一个公开

21、的外部地址，该地址会通过网络传送。从而实现了对外部用户隐藏内部 IP 地址的目的。338.4.1 什么是防火墙什么是防火墙 防火墙产品具有各种形式：基于设备的防火墙 此类防火墙内置在专用的硬件设备（称为安全设备）中。基于服务器的防火墙 此类防火墙是在网络操作系统（NOS，例如 UNIX、Windows 或 Novell）上运行的防火墙应用程序。集成防火墙 此类防火墙通过对现有设备（例如路由器）添加防火墙功能来实现。个人防火墙 此类防火墙驻留在主机计算机中，不能用于 LAN 实施。它可以由操作系统默认提供，也可以由外部厂商提供安装。348.4.2 使用防火墙使用防火墙 通过在内部网络（内部网）和

22、 Internet 之间设置防火墙作为边界设备，所有往来 Internet 的通信量都会被监视和控制。如此一来，便在内部和外部网络之间划分了一条清晰的防御界线。然而，可能会有一些外部客户需要访问内部资源。为此，可配置一个非军事区(DMZ)。术语“非军事区”借用自军事用语，它代表两股势力之间的一个指定区域，在该区域内不允许执行任何军事活动。在计算机网络中，非军事区代表内部和外部用户都可访问的网络区域。其安全性高于外部网络，低于内部网络。它是由一个或多个防火墙创建的，这些防火墙起到分隔内部、非军事区和外部网络的作用。用于公开访问的 Web 服务器通常位于非军事区中。358.4.2 使用防火墙使用防

23、火墙 单防火墙配置 单个防火墙包含三个区域，分别用于外部网络、内部网络和非军事区。来自外部网络的所有通信量都被发送到防火墙。然后防火墙会监控通信量，决定哪些通信量应传送到非军事区，哪些应传送到内部，以及哪些应予以拒绝。368.4.2 使用防火墙使用防火墙 双防火墙配置 在双防火墙配置中，防火墙分为内部防火墙和外部防火墙，其间则是非军事区。外部防火墙限制较少，允许 Internet 用户访问非军事区中的服务，而且允许任何内部用户请求的通信量通过。内部防火墙限制较多，用于保护内部网络免遭未授权的访问。378.4.2 使用防火墙使用防火墙 许多家庭网络设备包含多功能防火墙软件。该防火墙一般具有网络地

24、址转换(NAT)、状态封包侦测(SPI)和 IP、应用程序及网站过滤功能，同时还支持非军事区。启用非军事区时，以其最简单的形式为例，外部主机可访问服务器上的所有端口，例如 80(HTTP)、21(FTP)和 110（电子邮件 POP3）等。使用端口转发功能还可设置更具限制性的非军事区。利用端口转发功能，服务器上所有可访问的端口都经过特别指定。在此情况下，只有发送至这些端口的通信量才获允许，其它通信量则被排除。388.4.2 使用防火墙使用防火墙398.4.3漏洞分析漏洞分析 有许多漏洞分析工具可用来测试主机和网络安全性。它们被称为安全扫描工具，帮助用户识别可能发生攻击的区域，并指导用户应采取哪些措施。尽管漏洞分析工具的具体功能随制造商的不同而有所不同，它们一些共同的功能包括：确定网络中可用主机的数目确定主机提供的服务确定主机上的操作系统和版本确定所使用的数据包过滤器和防火墙408.4.4 最佳做法最佳做法 为缓解面对的风险，推荐采取以下措施：定义安全策略为服务器和网络设备提供物理防护设置登录和文件访问权限更新操作系统和应用程序更改许可的默认设置运行防病毒软件和反间谍软件更新防病毒软件文件激活浏览器工具 弹出广告拦截器、反网络钓鱼软件、插件监控器使用防火墙4142