第 11 章 网络安全与优化 本章向读者介绍网络安全的基础知识,防火墙技术,如何防治网络病毒和黑客攻击,以及如何使用Vista优化大师来进行网络系统优化等内容。通过本章的学习,应该完成以下学习目标: 掌握网络安全的基础知识 了解防火墙技术并掌握天网防火墙的用法 了解黑客相关知识 了解垃圾邮件及其防治技术 掌握诺顿的使用方法 学会使用Vista优化大师来优化上网环境 11.1 网络安全概述 Internet的迅速发展使现代人的生产和生活有了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,满足了人们的精神需求;而与此同时也给人们带来了一个日益严峻的问题—— 网络安全。 11.1.1 网络安全的定义 网络安全的具体含义会随着角色的变化而变化。例如:从用户的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私,同时也避免其他用户的非授权访问和破坏。从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现病毒、非法存取、拒绝服务和网络资源非法占用以及非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防范,避免机要信息泄露而对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容会对社会的稳定和人类的发展造成阻碍,为此必须对其进行有效的控制。 从本质上来讲,网络安全就是网络上的信息安全。它是指网络系统的硬件、软件及其系统中的数据受到保护,不会被他人恶意的破坏、更改或窃取。从而保证系统连续可靠正常地运行,网络服务不中断。广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。 11.1.2 网络安全的特征 网络安全应具有以下4个方面的特征。 ● 保密性:信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。 ● 完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 ● 可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击; ● 可控性:对信息的传播及内容具有控制能力。 11.1.3 威胁网络安全的因素 随着网络的不断发展,信息共享化已经成为发展的必然趋势。由于计算机网络的多样性、开放性、互联性以及网络设计的缺陷等,致使网络很容易受到黑客的攻击。这使我们不得不考虑网络安全的因素。从以下几个方面的分析中,用户可以了解威胁网络安全的主要因素。 1. 安全意识不足 对个人用户来说,随意将帐号转借给他人,或者和别人共享网络资源,这些对个人信息都造成了安全威胁。对网络运行者来说,有的网络管理员安全意识不强,用户的口令选择不慎,让他人通过简单的程序就轻易破解;有的管理员的安全配置不当造成人为的安全漏洞;还有对于网络软件的安全漏洞没有及时安装补丁程序,这些都让黑客有了可乘之机。 特别是有的企业没有网络防毒安全意识,使其存在极大的安全隐患。从近来病毒发作情况来看,病毒传播形式越来越隐蔽,浏览网页和收发电子邮件都有可能感染病毒。如果不建立企业网络安全机制,必将造成不可弥补的损失。 2. 网络管理员技术水平不足 在网络的运行过程中,网络管理员的主要职责就是对网络进行维护,处理系统中出现的各种问题,防止病毒、黑客以及各种恶意入侵的程序,保证网络安全、稳定、高效地运行。有的网络管理员不能及时掌握信息安全的新技术,对网络系统公开的漏洞没有及时修补,以致向别人敞开“大门”;有的网络管理人员认为购买了防病毒软件,安装到计算机中就可以高枕无忧了,却不知道要最大地发挥防病毒软件的作用,还需要及时去升级最新的病毒代码、定期检查运行是否正常等。正是这些网络管理员的技术水平没有及时跟上信息安全发展的需要,造成了网络安全的缺陷。 3. 人为的恶意攻击和病毒感染 人为的因素是计算机网络所面临的最大威胁。在网络上不仅有计算机水平很高的黑客攻击,还有很多一般的计算机用户出于好奇、捣乱的心理,从网络上下载一些网络攻击软件,恶意地攻击计算机网络。这种攻击又分为两类:一种是主动攻击,蓄意地去攻击破坏计算机网络运行,造成网络瘫痪、重要信息数据丢失等。另一种是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。不管是哪一种攻击都会对计算机网络系统造成极大的危害,并导致机密数据的泄漏和丢失。另外,人为的木马病毒和一些攻击型病毒使计算机网络系统遭到严重的破坏,这就需要我们提高安全意识,保证网络的安全运行。 4. 网络软件的漏洞和后门 每一种计算机软件都不可能是百分百无缺陷和漏洞的。在网络上,用户经常会看到一些软件的漏洞公告。这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,黑客运行一些软件,千方百计地发现被攻击对象存在的漏洞,一旦找到漏洞,就可以利用这些漏洞攻入网络内部,进行破坏或者泄露信息机密。所以为了网络安全,网络管理人员要经常注意一些软件漏洞,及时下载补丁程序完善网络系统。 还有另一种是软件的后门程序,这些是软件公司的设计人员为了维护软件本身而设置的,一般用户并不知道。然而,软件后门一旦被窃取,其造成的后果将不堪设想。 11.1.4 网络安全的关键技术 随着网络的快速发展,网络安全技术也飞速地发展着,目前网络安全的关键技术主要有以下几种。 1. 防火墙技术 防火墙是一种形象的说法,其实它是一种计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。所谓防火墙就是一个把互联网与内部网隔开的屏障。 防火墙有两类, 标准防火墙和双家网关。标准防火墙系统包括一个UNIX工作站, 该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界,即公用网; 另一个则连接内部网。标准防火墙使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。双家网关则是标准防火墙的扩充,又称堡垒主机或应用层网关,它是一个单个的系统,但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用,同时防止在互联网和内部系统之间建立的任何直接的边界,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。 随着防火墙技术的进步,在双家网关的基础上又演化出两种防火墙配置:一种是隐蔽主机网关,另一种是隐蔽智能网关(隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义,这种配置一方面将路由器进行隐蔽,另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上,通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问对专用网络的非法访问。一般来说,这种防火墙是最不容易被破坏的。 2. 数据加密技术 与防火墙配合使用的安全技术还有数据加密技术,是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破坏所采用的主要技术手段之一。随着信息技术的发展, 网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术4种。 ● 数据传输加密技术:目的是对传输中的数据流加密,常用的方法有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密,并进入TCP/IP数据包封装,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将被自动重组、解密,成为可读数据。 ● 数据存储加密技术:目的是防止在存储环节上的数据失密,可分为密文存储和存取控制两种。前者一般是通过加密法转换、附加密码、加密模块等方法实现;后者则是对用户资格、权限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。 ● 数据完整性鉴别技术:目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证,达到保密的要求,一般包括口令、密钥、身份、数据等项的鉴别,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。 ● 密钥管理技术:为了数据使用的方便,数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的媒体有: 磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。 3. 智能卡技术 与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体,一般就像信用卡一样,由授权用户所持有并由该用户赋予它一个口令或密码字。该密码与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时,智能卡的保密性能还是相当有效的。 网络安全和数据保护的一些防范措施要有一定的限度,并不是越安全就越可靠。因而, 在看一个内部网是否安全时不仅要考察其手段,而更重要的是对该网络所采取的各种措施进行综合评估。其中不仅包括物理防范,还有考虑人员的素质等其他因素。 11.1.5 网络安全的策略 现在用户用宽带连接Internet的比较多,可能有些用户的计算机是24小时在线。这样的结果使用户的计算机遭受攻击的危险性大大增加。用户不能因为找不到其他人偷取本机数据的理由,就认为自己的机器不会遭到攻击。黑客们可能会利用系统向更有诱惑力的主机发起DOS攻击,这种事情已经变得相当常见了。下面列出了一些进行安全防护的策略。 ● 安装硬件和软件的Internet防火墙,它们可以互补地进行工作。 ● 安装防病毒软件。只要被病毒攻击过一次,用户就会发现这一步骤的价值所在。在安装之后,一定要经常对病毒库进行更新。 ● 实行经常性的备份。当不幸遭受病毒或黑客破坏时,用户可以利用备份来恢复丢失的数据,并且要做一遍恢复试验来确保备份的正确性。 ● 关闭文件共享。当用户不需要使用文件共享时,就不要让这个安全漏洞开着。如果需要在家庭网络上共享文件,用户应该对它设置用户身份验证,并选择不太容易被破解的口令。 ● 安装操作系统和浏览器的更新组件或补丁程序。如果操作系统销售商承认需要某个补丁,用户最好别掉以轻心。 ● 从Internet接口中去掉不必要的协议。到网络控制面板中关闭那些捆绑在你从不使用的设备(NIC或拨号适配器)上的协议。还应该去掉外部接口上捆绑的NetBEUI/NetBIOS协议。 ● 除非用户确实有把握,否则不要运行下载的可执行文件或电子邮件中的EXE附件。运行不明身份的程序很容易遭受特洛伊木马或者恶意代码的袭击。 ● 如果同其他人共同使用一台计算机,从安全角度考虑,建议使用Windows Vista或Windows XP操作系统,并且为每个计算机用户建立不同的登录账号。 ● 考虑把敏感的数据加密。它可能会给文件管理带来麻烦,不过在用户的机器遭受攻击时,用户的重要文件将受到一定的保护。 ● 永远保持警惕。安全性防范随时都要加以注意,更多的安全漏洞都是由平时的不小心而造成的。 11.2 防火墙技术 为了保证企业内部局域网的安全,几乎所有企业的内部局域网都使用了防火墙。随着Internet的普及和网络安全问题的逐步显现,个人用户为了保证自己计算机及其存储数据的安全,也都采用了防火墙。 11.2.1 防火墙的基本类型 防火墙的安全性与研发的技术息息相关,目前防火墙的种类主要包含包过滤防火墙、状态/动态检测防火墙、应用程序代理防火墙等几种类型。 1. 包过滤防火墙 第一代防火墙和最基本形式的防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。这称为包过滤防火墙。本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。例如,作为防火墙的设备可能有两块网卡,一块连到内部网络,一块连到公共的Internet。防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。 包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。然后,将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。如果允许传入Web连接,而目的端口为80,则包就会被放行。 多个复杂规则的组合也是可行的。如果允许Web连接,但只针对特定的服务器,目的端口和目的地址二者必须与规则相匹配,才可以让该包通过。 最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么事情呢。通常,为了安全起见,与传入规则不匹配的包就被丢弃了。如果有理由让该包通过,就要建立规则来处理它。 2. 状态/动态检测防火墙 状态/动态检测防火墙一般试图跟踪通过防火墙的网络连接和包,这样就可以使用一组附加的标准,以确定是否允许和拒绝通信。它是在使用了包过滤防火墙的通信上应用一些技术来做到这点的。 当包过滤防火墙见到一个网络包,包是孤立存在的。它没有防火墙所关心的历史或未来。允许和拒绝包的决定完全取决于包自身所包含的信息,如源地址、目的地址、端口号等。包中没有包含任何描述它在信息流中的位置的信息,则该包被认为是无状态的;它仅是存在而已。 有状态包检查防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态,防火墙还记录有用的信息以帮助识别包。例如,如果传入的数据包含视频数据流,而防火墙可能已经记录了有关信息,是关于位于特定IP地址的应用程序最近向发出包的源地址请求视频信号的信息。如果传入的包是要传给发出请求的相同系统,防火墙进行匹配,包就可以被允许通过。 状态/动态检测防火墙可截断所有传入的通信,而允许所有传出的通信。因为防火墙跟踪内部出去的请求,所有按要求传入的数据被允许通过,直到连接被关闭为止。只有未被请求的传入通信被截断。 3. 应用程序代理防火墙 应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反,它是接受来自内部网络特定用户应用程序的通信,然后建立与公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信,所以服务器不能直接访问内部网的任何一部分。 另外,如果不为特定的应用程序安装代理程序代码,这种服务是不会被支持的,不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接,从而提供了额外的安全性和控制性。代理防火墙通常支持的一些常见的应用程序有:HTTP、HTTPS/SSL、SMTP、POP3、IMAP、NNTP、TELNET、FTP 以及IRC等。 应用程序代理防火墙可以配置成允许来自内部网络的任何连接,它也可以配置成要求用户认证后才建立连接。要求认证的方式由只为已知的用户建立连接的这种限制,为安全性提供了额外的保证。如果网络受到危害,这个特征使得从内部发动攻击的可能性大大减少。 4. NAT 讨论到防火墙的主题,就一定要提到NAT(网络地址转换),尽管从技术上讲,它根本不是防火墙。NAT将内部网络的多个IP地址转换到一个公共地址发到Internet上。NAT经常用于小型办公室、家庭等网络,多个用户分享单一的IP地址,并为Internet连接提供一些安全机制。 当内部用户与一个公共主机通信时,NAT追踪是哪一个用户发的请求,修改传出的包,这样包就像是来自单一的公共IP地址,然后再打开连接。一旦建立了连接,在内部计算机和Web站点之间来回流动的通信就都是透明的了。 当从公共网络传来一个未经请求的传入连接时,NAT有一套规则来决定如何处理它。如果没有事先定义好的规则,NAT只是简单地丢弃所有未经请求的传入连接,就像包过滤防火墙所做的那样。 可是,就像对包过滤防火墙一样,用户可以将NAT配置为接受某些特定端口传来的连接,并将它们送到一个特定的主机地址。 5. 个人防火墙 现在网络上流行着很多的个人防火墙软件,它是应用程序级的。个人防火墙是一种能够保护个人计算机系统安全的软件,它可以直接在用户的计算机上运行,使用与状态和动态检测防火墙相同的方式,保护计算机免受攻击。通常,这些防火墙是安装在计算机网络接口的较低级别上,使得它们可以监视传入传出网卡的所有网络通信。 一旦安装上个人防火墙,就可以把它设置成“学习模式”,这样的话,对遇到的每一种新的网络通信,个人防火墙都会提示用户一次,询问如何处理那种通信。然后个人防火墙便记住响应方式,并应用于以后遇到的相同的那种网络通信。 例如,如果用户已经安装了一台个人Web服务器,个人防火墙可能将第一个传入的Web连接作上标志,并询问用户是否允许它通过。用户可能允许所有的Web连接、来自某些特定IP地址范围的连接等,个人防火墙然后把这条规则应用于所有传入的Web连接。 基本上,用户可以将个人防火墙想象成在用户计算机上建立了一个虚拟网络接口。不再是计算机的操作系统直接通过网卡进行通信,而是操作系统通过和个人防火墙对话,仔细检查网络通信,然后再通过网卡通信。 11.2.2 防火墙的功能 防火墙能有效地保护用户的计算机免受攻击,防火墙的功能主要表现在以下几个方面。 1. 防火墙是网络安全的屏障 防火墙能极大地提高内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP协议中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 2. 防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,口令系统和其他的身份认证系统完全可以不必分散在各个主机上,而是集中在防火墙一身上。 3. 对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首要的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 4. 防止内部信息的外泄 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些内部细节,如Finger、DNS等服务。Finger显示了主机的所有用户的注册名、真名、最后登录时间和使用shell类型等,但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否会在被攻击时引起注意等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。 11.2.3 防火墙的特点 防火墙作为计算机的保护屏障,一般都具备以下特点: ● 广泛的服务支持 通过将动态的、应用层的过滤能力和认证相结合,可支持WWW浏览器、HTTP服务器、FTP等。 ● 对私有数据的加密支持 保证通过Internet进行虚拟私人网络和商务活动不受损坏。 ● 客户端认证只允许指定的用户访问内部网络或选择服务 企业本地网与分支机构间以及商业伙伴和移动用户间安全通信的附加部分。 ● 反欺骗 欺骗是从外部获取网络访问权的常用手段,它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们。 ● C/S模式和跨平台支持 能使运行在一平台的管理模块控制运行在另一平台的监视模块。 11.2.4 天网防火墙 天网防火墙是由天网安全实验室研发的网络安全工具。它根据系统管理者设置的安全规则把守网络,提供强大的访问控制、应用选通、信息过滤等功能,帮助用户抵挡网络入侵和攻击,防止信息泄露,保障用户电脑的网络安全。此外,天网防火墙将网络分为本地网和互联网,可以针对来自不同网络的信息,设置不同的安全方案,因而适合于任何方式连接上网的个人用户。 例11-1 安装并配置天网防火墙。 运行天网防火墙的安装向导,首先打开的是【欢迎】界面,如图11-1所示。选中【我接受此协议】复选框,单击【下一步】按钮,用户可单击【浏览】按钮重新设置软件的安装路径,也可以保持默认安装路径,如图11-2所示。 图11-1 【欢迎】界面 图11-2 设置安装路径 单击【下一步】按钮,开始安装程序。安装结束后,系统会自动打开设置向导,如图11-3所示。 单击【下一步】按钮,打开【安全级别设置】界面,如图11-4所示。用户可根据自己的实际情况来选择安全级别,这里选中【中】单选按钮。 图11-3 天网防火墙设置向导 图11-4 设置安全级别 单击【下一步】按钮,打开【局域网信息设置】界面。选中【开机的时候自动启动防火墙】复选框,如果您的电脑是在局域网中使用,请选中【我的电脑在局域网中使用】复选框,电脑的IP地址将自动出现在下方的文本框中,用户也可以单击【刷新】按钮进行刷新,如图11-5所示。 单击【下一步】按钮,打开【常用应用程序设置】界面,在这里用户可以设置允许哪些程序直接访问网络,如图11-6所示。 图11-5 设置局域网信息 图11-6 设置可以直接访问网络的应用程序 单击【下一步】按钮,打开【向导设置完成】界面,如图11-7所示。单击【结束】按钮,系统提示必须重新启动电脑才能启动天网防火墙。重新启动电脑,天网防火墙将随操作系统一同启动,每当第一次访问某个程序的时候,就会弹出【天网防火墙警告信息】提示框,如图11-8所示。 图11-7 【向导设置完成】界面 图11-8 天网防火墙的警告信息 11.3 黑 客 初 识 黑客最早始于20世纪50年代,最初的黑客一般都是一些高级的技术人员,他们热衷于挑战,崇尚自由并主张信息的共享。1994年以来,Internet在全球的迅猛发展,为人们提供了方便、自由和无限的财富,Internet逐渐成为人们生活、娱乐的一部分;同时,黑客也随之出现。 11.3.1 黑客简介 “黑客”一词由英语Hacker音译而来,是指专门研究、发现计算机和网络漏洞的计算机爱好者。他们伴随着计算机和网络的发展而产生和成长。黑客对计算机有着狂热的兴趣和执著的追求,他们不断地研究计算机和网络知识,发现计算机和网络中存在的漏洞,喜欢挑战高难度的网络系统并从中找到漏洞,然后向管理员提出解决和修补漏洞的方法。 黑客不干涉政治,不受政治利用,他们的出现推动了计算机和网络的发展和完善。黑客所做的不是恶意破坏,他们追求共享、免费,提倡自由、平等。黑客的存在是由于计算机技术的不健全造成的,从某种意义上讲,计算机的安全需要更多黑客去维护。 但是到了今天,黑客一词已被用于泛指那些专门利用计算机搞破坏和恶作剧的个人及群体。对这些人的正确英文叫法是Cracker,有人也翻译成“骇客”或者是“入侵者”,也正是由于入侵者的出现玷污了黑客的声誉,使人们把黑客和入侵者混为一谈,黑客被人们认为是在网上到处搞破坏的人。 11.3.2 黑客常用软件 本节中将介绍黑客攻击的几种常见手段,希望能提高用户的安全意识。入侵者利用系统漏洞开发出相关的攻击程序,这类软件就称为入侵者软件。 1. 扫描软件 扫描软件是入侵者的首选工具,它是一切入侵的基础,扫描探测一台主机是为了确定该主机是否在运作、正在使用哪些端口、提供哪些服务、相关服务的软件版本等。对这些内容的探测就是为了“对症下药”。探测主机的工具非常多,例如Nmap、SuperScan以及国内的流光、X-Scan等。 2. 后门程序 后门程序是入侵者普遍使用的程序,后门程序也常被称为特洛伊木马(Trojan Horse),具有以下特点。 ● 主程序有两个,一个是服务端,另一个是控制端。 ● 服务端需要在主机上执行,程序体积十分小,执行时不会占用太多资源,第一次执行后就会自动在系统区激活,之后每次在Windows加载时自动执行。 ● 特洛伊木马程序一般都是隐蔽的进程,执行时很难停止它的活动。 ● 当控制端连接服务器主机后,控制端会向服务端主机发出命令。而服务端主机在接受命令后,则会执行相应的任务。 在许多人眼中,特洛伊木马是一种病毒。其实特洛伊木马并不是病毒,因为它不包括传播、感染文件等病毒特性。 特洛伊木马是指一个程序表面上执行一个程序,实际上却在执行另一个程序。入侵者的特洛伊木马程序事先已经通过某种方式潜入受害者的计算机中,并在适当的时候激活,潜伏在后台监视系统的运行。它同一般程序一样能实现任何软件的任何功能。典型的特洛伊木马是窃取别人在网络上的账号和密码。 特洛伊木马最大的缺点在于,必须事先将木马程序植入用户的计算机中。用户只要不轻易地单击不明程序就能有效地预防特洛伊木马入侵。 3. 攻击程序 包括进行密码破解、拒绝服务攻击、系统漏洞攻击等工具,如QQ大盗、网络入侵机、xdos等。 11.3.3 黑客常用的攻击手段 目前,黑客的攻击手段也是多种多样的,例如: 1. 利用系统漏洞进行攻击 这是一种最普通的攻击手段。任何一种软件、一种操作都有它的漏洞,因而利用操作系统本身的漏洞来入侵、攻击网站也成为一种最普遍的攻击手段。 2. 通过电子邮件进行攻击 这属于一种简单的攻击方法,一般有3种情况。第1种情况:攻击者给受害人发送大量的垃圾邮件,导致受害人信箱的容量被完全占用,从而停止正常的收发邮件;第2种情况:非法使用受害服务器的电子邮件服务功能,向第三方发送垃圾邮件,为自己做广告或是宣传产品等,这样就使受害服务器超负荷;第3种情况:一般公司的服务器可能把邮件服务器和Web服务器都放在一起,攻击者可以向该服务器发送大量的垃圾邮件,这些邮件可能都塞在一个邮件队列中,直到邮箱被撑破或者把硬盘塞满。这样,就实现了攻击者的攻击目的。 3. 破解攻击 破解攻击是网上攻击最常用的方法,入侵者通过系统常用服务或对网络通信进行监听来搜集账号,当找到主机上的有效账号后,就采用字典穷举法来获取Password文件,破译用户的账号和密码。 4. 后门程序攻击 后门程序的种类很多,常见的有调试后门程序、管理后门程序、恶意后门程序、服务后门程序、文件系统后门程序、内核后门程序等。 5. 拒绝服务攻击 拒绝服务攻击也是入侵者的攻击方法之一,因为在入侵目标服务器无法得逞时,可以利用拒绝服务攻击使服务器或网络瘫痪。通过发送大量合法请求,进行恶意攻击导致服务器资源耗尽,不能对正常的服务请求做出响应。 6. 缓冲区溢出攻击 溢出攻击可以说是入侵者最常用的手段,黑客利用了被入侵者最常使用的漏洞进行攻击。它是一种非常具有危险性的攻击手段,造成溢出后一般可以获取一个shell,从而使计算机由入侵者来完全控制。 11.4 防治邮件病毒与垃圾邮件 日常的办公和生活通常离不开电子邮件,邮件病毒和垃圾邮件一直是困扰人们的问题。好在现在的邮件客户端软件和服务商都增强了防范措施,能有效地防治邮件病毒和垃圾邮件。 11.4.1 邮件病毒及其防治 邮件病毒其实和普通的计算机病毒病毒一样,只不过它们的传播途径主要是通过电子邮件。大多数邮件病毒隐藏在电子邮件附件中,当用户打开邮件附件时,隐藏在其中的病毒便会感染用户的计算机。 在网络环境下,邮件病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外,还具有以下新特点: ● 感染速度快 在单机环境下,病毒只能通过U盘从一台计算机带到另一台,而在网络中则可以通过网络迅速扩散。 ● 扩散面广 由于病毒在网络中扩散非常快,扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过远程工作站将病毒在一瞬间传播到千里之外。 ● 传播的形式复杂多样 计算机病毒在网络上一般是通过工作站→服务器→工作站的途径进行传播的,但传播的形式复杂多样。 ● 难于彻底清除 单机上的计算机病毒有时可通过删除带毒文件、低级格式化硬盘等措施将病毒彻底清除,而网络中只要有一台工作站未能消毒干净就可使整个网络重新被病毒感染,甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染。因此,仅对工作站进行病毒杀除,并不能解决病毒对网络的危害。 ● 破坏性大 网络上病毒将直接影响网络的工作,轻则降低速度,影响工作效率;重则使网络崩溃,破坏服务器信息,使多年工作毁于一旦。 邮件病毒根据其破坏能力可划分为以下几种: ● 无害型 除了传染时减少磁盘的可用空间外,对系统没有其他影响。 ● 无危险型 这类病毒仅仅是减少内存、显示图像、发出声音及同类声响。 ● 危险型 这类病毒在计算机系统操作中造成严重的错误。 ● 非常危险型 这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。 随着电子邮件的使用率日益提高,Internet上通过电子邮件方式传染的病毒的形式也越来越多样化,其中很多还带有欺骗性的主题。对于邮件病毒,用户可采用以下措施来对其进行有效防治: ● 要有安全意识 对于从Internet上下载的一些可执行文件,可事先用杀毒软件清除病毒后或在计算机上安装病毒防御系统后再执行。 ● 不要随意打开不明邮件 不要心存好奇地打开主题中有如下字样(Good Times、Penpal Greetings、Deeyenda、Irina、A_OL4FREE、I AM AREALLY MEAN VIRUS AND I GOING TO EAT YOUR HARD DRIVE等)的邮件,而是应该直接删除它们,包括这些电子邮件所带的附件,或者通过邮件程序的过滤功能将主题为上述字样的邮件过滤掉。 ● 所有从Internet上取来的数据都应该严格禁止进入企业内部网 对于从Internet下载的或电子邮件中所附带的电子文档,如Word的doc文档和Excel的xls文档,如果这些文档的来历不明,或电子邮件的标题中含有类似“欢迎你浏览我”等欺骗性的语句,千万不要盲目地用Word或Excel打开此类文档,因为有些文档中可能包含有宏病毒。标题中的一些引诱性的语句,只不过是病毒制造者向用户投下的诱饵。 ● 检查真正的IP地址 这样做是防范假冒邮件账号所发出的信件。Netscape用户可用如下方法方便地判断发信来源:选择【Option】|【Show Header】|【ALL】命令,第一行From之后接的就是这封信的真正来源地址。 ● 对私人网络账号保密 这样可以避免收到有问题的邮件,避免收到大量的无用广告,还可以避免别人盗用自己的帐号而带来的麻烦。对于不明信件,可以置之不理,或是先通过杀毒软件检测之后再打开。 总之,要想免于电子邮件病毒的困扰,最有效的办法就是任何文件都必须通过病毒检测之后再打开运行使用。 11.4.2 垃圾邮件及其防治 垃圾邮件目前尚无一个严格的定义。只能概括为:向新闻组或他人电子信箱发送的未经用户准许、不受用户欢迎的、难以退掉的电子邮件或电子邮件列表。从事此类活动的人员叫做垃圾邮件制造者。 垃圾邮件的常见内容包括赚钱信息、成人广告、商业或个人网站广告、电子杂志、连环信等。垃圾邮件可以分为良性和恶性的:良性垃圾邮件是各种宣传广告等对收件人影响不大的信息邮件;恶性垃圾邮件是指垃圾邮件炸弹或附带有病毒的具有破坏性的电子邮件。 用户可以通过以下一些常规的方法防治垃圾邮件的产生: ● 不要把邮件地址在Internet页面上到处登记; ● 不要把邮件地址告诉不太信任的一些人; ● 不要订阅一些非正式的不健康的电子杂志,以防止被垃圾邮件收集者收集; ● 不要在某些收集垃圾邮件的网页上登记用户的邮件地址; ● 发现收集或出售电子邮件地址的网站或消息,请告诉相应的网站提供商或管理员,将其删除,以避免邮件地址被利用; ● 建议用户用专门的邮箱进行私人通信,而用其他邮箱订阅电子杂志。 另外,现在的电子邮件提供商(如新浪、搜狐等)和客户端软件(如Foxmail、Windows Mail)都提高了安全措施。用户可设置邮件过滤规则来将垃圾邮件过滤掉,还可以将某些邮件标记为垃圾邮件,这样邮箱再接收到来自此地址的邮件,将自动将其标识为垃圾邮件并拒收。如果用户机器上安装诸如诺顿、金山毒霸等杀毒软件,则还可以将邮件与这些软件绑定,使用它们的反垃圾邮件功能来过滤垃圾邮件。 11.5 使用诺顿杀毒软件 诺顿是当前最流行的病毒防护软件之一,无论您是在网上冲浪、聊天、发送电子邮件还是交换文件,诺顿都可以防御大量的互联网威胁。诺顿可以自动检测并杀除病毒,除去计算机中不受欢迎的间谍软件,还可以扫描电子邮件和即时通信附件中的威胁,支持自动自我更新。 11.5.1 使用诺顿杀毒 诺顿(Norton AntiVirus)根据用户的不同需求提供了全面扫描、快速扫描、自定义扫描三种方式。通过扫描,可以检测出计算机中存在的威胁和病毒,并提供相应的操作给用户选择,如隔离、清除等。诺顿还可以与MSN、QQ等即时通信软件,以及Foxmail、Office等常用办公软件绑定,更好地保障用户计算机的安全。 例11-2 使用诺顿查杀病毒。 在机器上安装了诺顿后,软件会随操作系统的启动而自动启动。在桌面任务栏的通知区域双击诺顿图标,可启动主界面,如图11-9所示。 图11-9 诺顿主界面 切换到【Norton AntiVirus】选项页,在【任务和扫描】选项区域可以运行、配置扫描,并对隔离的项目进行管理,如图11-10所示。单击【运行扫描】选项,可在打开的菜单中选择扫描的方式:全面系统扫描、快速扫描或自定义扫描,如图11-11所示。 图11-10 【Norton AntiVirus】选项页 图11-11 选择扫描方式 提示:全面扫描会检查所有引导记录、文件和用户对其具有访问权限的正在运行的进程;快速扫描则可检查出内存中运行的进程感染及启动文件夹和文件引用的感染;自定义扫描则可按用户指定的磁盘或文件夹进行扫描。 进行扫描时,诺顿打开扫描窗口,显示扫描进程和有关信息,如图11-12所示。如果发现病毒或有风险文件,诺顿将会指导用户处理病毒或风险文件。病毒扫描结束后,程序显示扫描报告,如图11-13所示。 图11-12 对计算机进行快速扫描 图11-13 查看扫描报告 由于病毒层出不穷,变种不断,用户需要经常进行系统扫描,通过【配置扫描】可以定时扫描系统。在图11-10中单击【配置扫描】选项,在弹出菜单中单击【调度全面系统扫描】按钮,可在打开的对话框中进行设置,如图11-14所示。 图11-14 定时对计算机进行扫描 诺顿杀毒软件可以查杀多种类型的病毒,并能和多种常用的软件协同工作,全方位保障计算机的安全。为了最大限度地发挥诺顿杀毒软件的能力,可以根据使用计算机的实际情况对计算机进行设置。展开【设置】选项区域,可以快速启动诺顿的电子邮件、Web浏览等防护功能,如图11-15所示。 用户还可以对这些功能进行配置。单击某个选项,在弹出菜单中单击【配置】按钮,如图11-16所示。 在打开的对话框中可以对各种实时防护进行设置,如图11-17所示。 如果用户想查看诺顿的相关历史处理记录,可单击图11-10中的【管理隔离项目】选项,在弹出菜单中单击【转到隔离区】按钮,在打开的对话框中对历史记录进行查看,如图11-18所示。 图11-15 【设置】选项区域 图11-16 启用或关闭功能 图11-17 设置各种实时防护 图11-18 查看历史记录 11.5.2 在线更新病毒库 及时更新病毒库是确保计算机安全的重要环节,和大多数杀毒软件不同的是,诺顿可以自动在线更新,升级病毒库和程序组件。 例11-3 在线更新病毒库和程序组件。 在诺顿主界面单击【运行LiveUpdate】选项,打开在线更新向导,如图11-19所示。 单击【下一步】按钮,向导将自动搜索可用的更新,搜索完成后将在列表中显示需要更新的内容,并且选择需要更新的组件,如图11-20所示。单击【下一步】按钮,即可开始下载和安装更新组件。 图11-19 搜索可用更新 图11-20 搜索结果列表 更新完成后,单击【完成】按钮并重新启动计算机,更新即生效。 11.6 优化上网环境 通过Vista优化大师、超级魔法兔等工具,用户可以优化自己的操作系统和网络环境,提高自己的系统性能,更加便捷、安全地使用Internet。 Vista优化大师是目前第一个专业优化Windows Vista的超级工具,也是最好的Vista优化设置和管理软件,使用Windows Vista内置的.Net Framework 3.0 技术开发,速度更快,软件体积更小,和Windows Vista系统结合的更加紧密,其主界面如图11-21所示。 图11-21 Vista优化大师主界面 通过Vista优化大师的优化向导,用户可以按照提示一步一步地完成系统的傻瓜式优化,适合初学人员使用。读者可参阅实训13.7来使用Vista优化大师优化操作系统和网络。 本 章 小 结 本章概述了网络安全的相关知识,防火墙技术、黑客、杀毒软件的使用、邮件病毒和垃圾邮件的防治,以及如何优化系统和上网环境等。用户在上网时,一定要注意网络安全,虽然现在的病毒都具有较强的破坏性,但也不必惊慌,只要措施得当,还是可以很有效地对其进行防御的。 习 题 填空题 1. 网络安全的关键技术主要有以下3种: 、 和 等。 2. 标准防火墙系统包括一个 , 该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界,即 ; 另一个则连接 。 3. 黑客攻击一般都是首先找到对方的 ,然后扫描系统漏洞或者软件直接进行攻击。 4. 电子邮件病毒和普通的电脑病毒一样,但由于它们的传播途径主要是通过电子邮件,所以才被称为 。 5. 数据加密技术主要分为 、 、 和 4种。 6. 在黑客软件中,用来扫描探测某台主机并为了确定该主机是否在运作的工具被归纳为 一类软件。 简答题 7. 网络安全的定义是什么? 8. 简述网络安全应具有的特征。 9. 防火墙具有哪些功能? 10. 简述防火墙的特点。 11. 在收发电子邮件时要注意哪几点? ?? ?? ?? ?? Internet技术与应用简明教程(第二版) ? 第11章 网络安全与优化 ? 168 169