跳转至

模块 16:网络安全基础知识

第五次课

一、网络威胁

本模块核心是识别网络入侵的风险、来源及利用人为弱点的攻击手段。

  1. 网络入侵风险

    • 入侵后果:会造成网络中断、工作成果丢失、信息 / 资产损坏或失窃,产生时间与经济损失;入侵者可通过软件漏洞、硬件攻击、猜测账号密码等方式获取网络访问权。

    • 攻击参与者分类

      类型 定义与特点
      黑客(Hacker) 历史指编程专家,现多为恶意未授权访问网络资源的人员,带贬义
      白帽客(White hat) 主动寻找系统漏洞并向所有者报告以修复,以保护 IT 系统为目标
      黑帽客(Black hat) 为个人 / 经济利益侵入非授权系统,骇客属于此类
      骇客(Cracker) 专门用于形容非法访问网络资源的恶意群体,定义更精准
      网络钓鱼者(Phisher) 仿冒可信团体,通过邮件等手段骗取用户敏感信息(信用卡号、密码等)
      电话飞客(Phreaker) 利用电话网络执行非法操作,多为盗用系统免费拨打长途电话
      垃圾邮件发送者(Spammer) 发送大量未经请求的邮件,常通过病毒控制家用电脑作为发送节点

    • 入侵后的四类核心威胁:信息盗窃(盗取专利等机密信息)、身份盗窃(冒用身份进行非法操作,年损失达数十亿)、数据丢失和操纵(格式化硬盘、篡改商品价格等)、服务中断(阻止合法用户访问有权限的服务)。

    • 攻击门槛变化:早期攻击者需高深的计算机 / 网络知识,如今攻击工具原理升级,所需技术知识降低,更多人可参与网络犯罪。

  2. 网络入侵的来源

    • 外部威胁:来自组织外无访问权限的人员,主要通过 Internet、无线链接、拨号访问服务器入侵,比如导致企业 Web 服务器停机。
    • 内部威胁:来自有授权账户或可物理接触网络设备的人员,这类攻击者熟悉内部信息,且 70% 的安全入侵事件由内部账户使用不当导致;部分内部威胁为非故意,如员工在外感染病毒带入内网。

  3. 社会工程和网络钓鱼

    • 核心逻辑:利用人类轻信的弱点获取内网访问权,是内外入侵者的常用简易手段。
    • 三种核心技术
      • 假托(Pretexting):编造虚假情景(如伪装成帮助台人员),通过电话骗取用户账号密码,需预先调研目标信息以建立信任。
      • 网络钓鱼(Phishing):伪装成合法机构,通过邮件要求用户提供确认信息(如银行账号密码),常附带假冒官网链接。
      • 语音网络钓鱼(Vishing):借助 VoIP 发送语音邮件,诱导用户拨打假冒正规电话银行的号码,窃取其银行账号、密码。

二、攻击方式

本模块详细列举了主流的网络攻击技术,包含恶意软件、流量攻击、密码破解等类型。

  1. 病毒、蠕虫和特洛伊木马(恶意软件类)

    类型 传播方式 核心特点 典型例子
    病毒 依附于程序 / 文件,需人为激活(如打开邮件附件、插入 U 盘) 无自主启动能力,激活后会占用内存 / CPU 或破坏文件 CIH 病毒
    蠕虫 借助网络传播自身副本,无需依附其他程序 可独立运行、自主传播,感染范围广、危害大 冲击波、震荡波、熊猫烧香
    特洛伊木马 伪装成合法程序(如工具、游戏)诱导用户安装 无自我复制能力,可创建系统后门供黑客远程控制,分服务器端和控制器端 冰河、灰鸽子

  2. 拒绝服务攻击(DoS/DDoS)

    • 核心目的:使服务器无法为合法用户提供服务,分为 DoS 和 DDoS 两类。
    • DoS 攻击
      • 原理:通过流量泛洪或中断连接实现攻击,常见类型有 SYN 泛洪(发送含无效源 IP 的连接请求,耗尽服务器资源)、死亡之 Ping(发送超 65535 字节的数据包致设备崩溃)。
    • DDoS 攻击
      • 原理:控制成百上千台“肉鸡”(僵尸计算机)同时攻击目标,破坏性远大于 DoS,常利用物联网设备(摄像头、路由器)发起。
      • 典型事件:2016 年 Dyn 公司 DNS 服务器遭攻击致全美大量知名网站瘫痪;2025 年 Cloudflare 防御了 22.2Tbps 峰值流量的 DDoS 攻击(相当于同时播放 100 万个 4K 视频)。

  3. 暴力攻击

    • 原理:利用高速计算机短时间内尝试大量密码 / 密钥组合,获取访问权限或破译密钥。
    • 危害:会造成目标资源流量过载或用户账户锁定,导致合法用户被拒绝服务;可借鉴其逻辑防范电信诈骗(如多次输错诈骗账号密码使其锁定)。

  4. 间谍软件、跟踪 Cookie、广告软件和弹出广告

    • 间谍软件:在用户不知情时收集个人信息(含密码、账号),通过下载文件、点击广告等途径安装,难删除且会降低计算机性能。
    • 跟踪 Cookie:属于间谍软件的一种,也有正向作用(如实现网站个性化定制),可记录用户访问信息,多数网站需启用 Cookie 才能正常访问。
    • 广告软件:收集用户信息用于针对性广告,多作为 “免费” 软件的交换条件安装,影响冲浪速度且难卸载。
    • 弹出 / 背投广告:浏览网站时弹出的广告窗口,不收集用户信息,仅与访问网站关联,前者在浏览器前端打开,后者在后端打开。

  5. 垃圾邮件

    • 定义:通过互联网大量散发的营销或非法宣传邮件,会导致 ISP 及邮件服务器过载。
    • 危害:不仅惹人反感,还可能携带病毒 / 特洛伊木马,受控主机(垃圾邮件工厂)会在用户不知情时发送垃圾邮件;如今垃圾信息还蔓延至头条 AI 作品、微信等新载体。

三、安全策略

本模块聚焦降低网络安全风险的具体措施和工具,强调 “组合防护” 而非单一产品防护。

  1. 常用安全措施
    • 核心逻辑:安全风险无法彻底消除,需结合多种产品 / 服务并制定严格安全策略,安全策略需包含标识与身份验证、密码、合理使用、远程访问、网络维护、事件处理等规则。
    • 核心防护工具:软件补丁和更新、病毒防护工具、间谍软件防护工具、垃圾邮件拦截器、弹出广告拦截器、防火墙。
  2. 更新和补丁
    • 补丁:修复特定软件漏洞的小段代码;更新:含补丁及新增功能,厂商会发布服务包(SP)整合补丁和更新。
    • 要求:需及时安装操作系统和应用程序的更新 / 补丁,多数系统支持自动更新功能。
  3. 防病毒软件
    • 感染恶意软件的典型症状:计算机行为异常、程序无响应 / 自行启停、邮件程序外发大量邮件、CPU 使用率过高、进程异常、系统崩溃(如 Windows 蓝屏)。
    • 核心功能:电子邮件检查、驻留内容动态扫描(含内存实时检查)、计划扫描、自动更新病毒特征码。
    • 免费工具:微软 MSE、360 免费杀毒、瑞星个人版等,浙大曾为师生提供趋势科技校园版(已停更)。
  4. 反垃圾邮件
    • 工具作用:识别并隔离 / 删除垃圾邮件,可部署在本地计算机或邮件服务器,ISP 也会提供过滤服务,但存在误判可能,需定期人工检查垃圾邮件文件夹。
    • 额外预防措施:及时更新系统 / 程序、定期杀毒、不转发 / 不随意打开可疑邮件、设置邮件规则、报告垃圾邮件来源等;转发病毒警告前需先验证真实性。
  5. 反间谍软件与弹出广告拦截器
    • 反间谍软件:可检测 / 删除间谍软件、Cookie 及广告软件,部分防病毒软件集成该功能。
    • 弹出广告拦截器:多数浏览器默认内置,可阻止弹窗,同时支持 “忽略” 功能以放行必要弹窗。

四、使用防火墙

本模块详解防火墙的功能、类型、配置及配套安全手段,是内网防护的核心工具。

  1. 防火墙的定义与核心技术

    • 定义:驻留于多网络之间,控制网络通信量、阻止未授权访问的核心安全工具,常结合 NAT 功能隐藏内部私有 IP。
    • 核心技术
    • 数据包过滤:基于 IP/MAC 地址允许或阻止访问。
    • 应用程序 / 网站过滤:基于端口号(对应服务)或 URL / 关键字过滤访问。
    • 状态包侦测(SPI):仅允许对内部请求的合法响应数据包传入,可识别过滤 DoS 攻击。
    • 常见类型:基于设备的防火墙(如 Cisco PIX)、基于服务器的防火墙(运行于 NOS 服务器)、集成防火墙(如 TP-LINK 路由器内置)、个人防火墙(主机端应用程序)。

  2. 防火墙的配置与应用

    • 非军事区(DMZ)
      • 定义:内网和外网均可访问的区域,安全性介于内外网之间,常用于部署公开 Web 服务器。
      • 配置类型:双防火墙配置(分内外防火墙,适合大型复杂网络)、单防火墙配置(含外部、内部、DMZ 三个区域,适合小型网络,但存在单一故障点)。
    • 端口转发(虚拟服务器)
      • 原理:比 DMZ 更具限制性,仅允许外部访问内部服务器的指定端口,可规避运营商对 80 等端口的屏蔽(外网端口设为 9000 以上非屏蔽端口)。
    • 家庭路由器防火墙功能:集成 NAT、SPI、多维度过滤(IP/MAC/ 端口 / URL)、DMZ 及端口转发,外网仅能间接访问内网主机,无法直接 ping 通内部私有 IP。

  3. 漏洞分析

    • 核心工具:安全扫描工具,可识别网络安全薄弱点,功能包括确定网络主机数量、主机服务、操作系统版本、数据包过滤器 / 防火墙类型等。

  4. 安全防护最佳做法

    定义安全策略、物理防护服务器 / 网络设备、设置访问权限、更新系统 / 程序、修改默认设置、运行杀毒 / 反间谍软件、更新病毒库、激活浏览器安全工具、启用防火墙。

补充:思科设备安全配置

  1. AutoSecure 功能:可协助加固思科路由器安全,提升设备基础防护等级。
  2. 强密码标准:至少 8 位字符(建议 10 位以上),混合大小写字母、数字、符号 / 空格,无常见字典词 / 个人信息,需定期更换。
  3. 密码保护命令
    • service password-encryption:加密配置中的密码。
    • security passwords min-length 8:设置密码最短长度。
    • login block-for 120 attempts 3 within 60:60 秒内 3 次登录失败则屏蔽 120 秒。
    • exec-timeout:设置空闲用户自动断开时间。
  4. 启用 SSH(替代不安全的 Telnet)
    • 步骤 1:配置唯一主机名和 IP 域名。
    • 步骤 2:生成 RSA 密钥(crypto key generate rsa general-keys)。
    • 步骤 3:创建本地用户数据库(username命令)。
    • 步骤 4:在 VTY 线路启用本地登录并仅允许 SSH 访问(login localtransport input ssh)。