第1章 網絡安全基礎

進入21世紀現代信息化社會，隨著網絡技術的快速發展和廣泛應用，網絡安全問題日益突出，已經引起世界各國的高度重視，并成為一個熱門研究和人才需求的新領域。網絡空間安全不僅關系到國家安全和社會穩定，也關系到信息化建設的健康發展、用戶資產和信息資源的安全，其重要性和緊迫性更加突出。

教學目標

●掌握網絡安全的基本概念、目標和內容

●掌握網絡安全技術的相關概念、種類和模型

●理解網絡安全面臨的威脅及發展態勢

●了解網絡實體安全、隔離技術及應用

●理解構建和設置虛擬局域網VLAN的方法

教學課件

第1章 課件資源

1.1 知識要點

【案例1-1】 2016年，近70%網友曾遭遇電信網絡詐騙。2016年，山東女大學生被騙近萬元學費導致猝死、清華大學教授被騙上千萬元等案件，使電信網絡詐騙案件成為備受矚目的社會熱點之一。公安等相關部門為破解這個多年頑疾進行了重點整治。2016年前10個月，全國共破獲電信詐騙案件9.3萬起，收繳贓款贓物價值人民幣23.8億元，為群眾挽回經濟損失48.7億元。2015年，全國共發生電信網絡詐騙案59萬余起，被騙222億元。

教學視頻

第1章 微視頻

1.1.1 網絡安全的概念和內容

1.網絡安全的相關概念、目標和特征

（1）網絡安全與網絡空間安全相關概念

信息安全（Information Security）是指系統的硬件、軟件及其信息受到保護，并持續正常地運行和服務。信息安全的實質是保護信息系統和信息資源免受各種威脅、干擾和破壞，即保證信息的安全性；主要目標是防止信息被非授權泄露、更改、破壞，或被非法的系統辨識與控制，確保信息的保密性、完整性、可用性、可控性和可審查性（信息安全五大特征）。在《計算機信息系統安全保護條例》中指出，計算機信息系統的安全保護，應當保障計算機及其相關的配套設備、設施（含網絡）的安全，運行環境的安全，保障信息的安全，保障計算機功能的正常發揮，以維護計算機信息系統安全運行。

國際標準化組織（ISO）對于信息安全給出的定義是：為數據處理系統建立和采取的技術及管理保護，保護計算機硬件、軟件、數據不因偶然及惡意的原因而遭到破壞、更改和泄漏。

知識拓展

信息安全內涵的變化

網絡安全（Network Security）是指利用網絡技術、管理和控制等措施，保證網絡系統和信息的保密性、完整性、可用性、可控性和可審查性。即保證網絡系統及數據資源得到安全保護，不受干擾破壞和非授權使用。ISO/IEC27032：2012中網絡安全的定義則是指對網絡的設計、實施和運營等過程中的信息及其相關系統的安全保護。

注意：網絡安全不局限于計算機網絡安全，還包括手機網絡安全等。實際上，網絡安全是一個相對的概念，世界上不存在絕對的安全，過分提高網絡的安全性可能會降低網絡傳輸速度，浪費資源和增加成本。

特別理解

網絡安全概念的內涵

網絡空間安全（Cyberspace Security）是研究網絡空間中的信息在產生、傳輸、存儲及處理等環節中所面臨的威脅和防御措施，以及網絡和系統本身的威脅和防護機制。不僅包括傳統信息安全所研究的信息的保密性、完整性和可用性，還包括構成網絡空間基礎設施的安全和可信。首先需要明確信息安全、網絡安全及網絡空間安全這3個概念的異同，三者均屬于非傳統安全，均聚焦于信息安全問題。網絡安全及網絡空間安全的核心是信息安全，只是出發點和側重點有所差別。

（2）網絡安全的目標及特征

網絡安全的目標是指在網絡的信息傳輸、存儲與處理的整個過程中，提高物理上、邏輯上的防護、監控、反應恢復和對抗的要求。網絡安全的主要目標是通過各種技術與管理等手段，實現網絡信息的保密性、完整性、可用性、可控性和可審查性（網絡信息安全五大特征）。其中保密性、完整性和可用性是網絡安全的基本要求。

知識拓展

網絡空間安全與網絡安全的關系

網絡安全包括兩個方面，一個是網絡系統的安全，另一個是網絡信息（數據）的安全。網絡安全的最終目標和關鍵是保護網絡信息的安全。網絡信息安全的特征反映了網絡安全的具體目標要求。

1）保密性（Confidentiality）。也稱機密性，是指不將有用信息泄漏給非授權用戶的特性。可以通過信息加密、身份認證、訪問控制和安全通信協議等技術實現。信息加密是防止信息非法泄露的最基本手段，主要強調有用信息只被授權對象使用的特征。

2）完整性（Integrity）。是指信息在傳輸、交換、存儲和處理過程中，保持信息不被破壞或修改、不丟失，以及信息未經授權不能改變的特性，也是最基本的安全特征。

3）可用性。也稱有效性（Availability），是指信息資源可被授權實體按要求訪問、正常使用或在非正常情況下能恢復使用的特性（系統面向用戶服務的安全特性）。在系統運行時，正確存取所需信息；當系統遭受意外攻擊或破壞時，可以迅速恢復并能投入使用。可用性是衡量網絡信息系統面向用戶的一種安全性能，保障為用戶提供服務。

4）可控性（Controllability）。是指網絡系統和信息在傳輸范圍和存放空間內的可控程度，是對網絡系統和信息傳輸的控制能力特性。

5）可審查性。又稱拒絕否認性（No-repudiation）、抗抵賴性或不可否認性，是指網絡通信雙方在信息交互過程中，確信參與者本身和所提供信息的真實同一性，即所有參與者不可能否認或抵賴本人的真實身份，以及提供信息的原樣性和完成的操作與承諾。

2.網絡安全的內容及側重點

（1）網絡安全涉及的內容

通常，網絡安全的內容包括操作系統安全、數據庫安全、網絡及站點安全、病毒與防護、訪問控制、加密與鑒別等方面，具體內容將在后續章節中分別進行詳細介紹。也可從層次結構上將網絡安全所涉及的內容概括為以下5個方面。

1）實體安全。也稱物理安全，是指保護網絡設備、設施及其他媒介免遭地震、水災、火災、有害氣體和其他環境事故破壞的措施及過程。具體參見1.3節的介紹。

2）系統安全。主要包括網絡系統安全（含應用系統）、操作系統安全和數據庫系統安全。主要以網絡系統的特點、條件和管理要求為依據，通過有針對性地為系統提供安全策略機制、保障措施、應急修復方法、安全要求和管理規范等，確保整個網絡系統安全。

3）運行安全。包括相關系統的運行安全和訪問控制安全，如用防火墻進行內外網隔離、訪問控制和系統恢復。運行安全包括內外網隔離機制、應急處置機制和配套服務、網絡系統安全性監測、網絡安全產品運行監測、定期檢查和評估、系統升級和補丁處理、跟蹤最新安全漏洞、災難恢復機制與預防、安全審計、系統改造、網絡安全咨詢等。

4）應用安全。由應用軟件平臺安全和應用數據安全兩部分組成。應用安全包括業務應用軟件的程序安全性測試分析、業務數據的安全檢測與審計、數據資源訪問控制驗證測試、實體身份鑒別檢測、業務數據備份與恢復機制檢查、數據唯一性或一致性、防沖突檢測、數據保密性測試、系統可靠性測試和系統可用性測試等。

5）管理安全。也稱安全管理，主要是指對人員、網絡系統和應用與服務等要素的安全管理，涉及各種法律、法規、政策、策略、機制、規范、標準、技術手段和措施等內容。主要包括法律法規管理、政策策略管理、規范標準管理、人員管理、應用系統管理、軟件管理、設備管理、文檔管理、數據管理、操作管理、運營管理、機房管理和安全培訓管理等。

廣義網絡安全的主要內容如圖1-1所示。依據網絡信息安全法律法規，以實體安全為基礎，以管理和運行安全保障操作系統安全、網絡安全（狹義）和應用安全及正常運行與服務。網絡安全的相關內容及其相互關系如圖1-2所示。

知識拓展

網絡安全層次結構的其他特點

圖1-1 網絡安全的主要內容

圖1-2 網絡安全的相關內容及其相互關系

（2）網絡安全保護范疇及側重點

【案例1-2】 國家網絡與信息安全中心緊急通報：2017年5月12日20時左右，新型“蠕蟲”式勒索病毒爆發，很快就有100多個國家和地區的數萬臺計算機感染了該勒索病毒，我國部分Windows操作系統用戶已經被感染。有關安全機構提醒廣大計算機用戶盡快升級并安裝補丁，相關用戶可打開并啟用Windows防火墻，進入“高級設置”，禁用“文件和打印機共享”設置；或啟用個人防火墻關閉445、135、137、138及139等高風險端口。

網絡安全涉及的內容包括技術和管理等多個方面，需要相互補充、綜合協同防范。技術方面主要側重于防范外部非法攻擊，管理方面則側重于內部人為因素的管理。如何更有效地保護重要數據、提高網絡系統的安全性，已經成為必須解決的一個重要問題。

網絡安全的關鍵及核心是確保網絡系統中的信息安全，凡涉及網絡信息的可靠性、保密性、完整性、有效性、可控性和可審查性的理論、技術與管理，都屬于網絡安全的研究范疇，不同人員或部門對網絡安全內容的側重點有所不同。

1）網絡安全工程人員。更注重成熟的網絡安全解決方案和新型網絡安全產品，注重網絡安全工程建設開發與管理、安全防范工具、操作系統防護技術和安全應急處理措施等。

特別理解

網絡安全保護的范疇

2）網絡安全研究人員。注重從理論上采用數學等方法精確描述安全問題的特征，之后通過安全模型等解決具體的網絡安全問題。

3）網絡安全評估人員。主要關注網絡安全評價標準與準則、安全等級劃分、安全產品測評方法與工具、網絡信息采集、網絡攻擊及防御技術和采取的有效措施等。

4）網絡管理員或安全管理員。主要側重網絡安全管理策略、身份認證、訪問控制、入侵檢測、防御與加固、網絡安全審計、應急響應和計算機病毒防治等安全技術和措施。主要職責是配置與維護網絡，在保護授權用戶方便、快捷地訪問網絡資源的同時，必須防范非法訪問、病毒感染、黑客攻擊、服務中斷和垃圾郵件等各種威脅，一旦系統遭到破壞，使數據或文件破壞或丟失，可以采取相應的應急響應和恢復等措施。

5）國家安全保密人員。注重網絡信息泄露、竊聽和過濾的各種技術手段，以避免涉及國家政治、軍事及經濟等重要機密信息的無意或有意泄露；抑制和過濾威脅國家安全的暴力與邪教等信息的傳播，以免給國家的穩定帶來不利影響，甚至危害國家安全。

知識拓展

公共安全機構的要求

6）國防軍事相關人員。更關心信息對抗、信息加密、安全通信協議、無線網絡安全、入侵攻擊、應急處理和網絡病毒傳播等網絡安全綜合技術，以此奪取網絡信息優勢、擾亂敵方指揮系統、摧毀敵方網絡基礎設施，打贏未來信息戰爭。

注意：所有網絡用戶都應關心網絡安全問題，注意保護個人隱私和商業信息不被竊取、篡改、破壞和非法存取，確保網絡信息的保密性、完整性、有效性和可審查性。

1.1.2 網絡安全技術概述

1.網絡安全技術的概念和通用技術

（1）網絡安全技術相關概念

網絡安全技術（Network Security Technology）是指為解決網絡安全問題進行有效監控和管理，保障數據及系統安全的技術手段。主要包括實體安全技術、網絡系統安全技術、數據安全、密碼及加密技術、身份認證、訪問控制、防惡意代碼、檢測防御、管理與運行安全技術等，以及確保安全服務和安全機制的策略等。

通過對網絡系統的掃描、檢測和評估，可以預測主體受攻擊的可能性，以及風險和威脅。由此可以識別檢測對象的系統資源，分析被攻擊的可能指數，了解系統的安全風險和隱患，評估所存在的安全風險程度及等級。國防、證券及銀行等一些非常重要的網絡，安全性的要求最高，不允許受到入侵和破壞，掃描和評估技術標準更為嚴格。

監控和審計是與網絡安全密切相關的技術。主要通過對網絡通信過程中可疑、有害信息或異常行為進行記錄，為事后處理提供依據，對黑客形成強有力的威懾，提高網絡整體安全性。例如，局域網監控可提供內部網異常行為監控機制。

（2）通用的網絡安全技術

通用的網絡安全技術主要可以歸納為三大類。

1）預防保護類。包括身份認證、訪問管理、加密、防惡意代碼、入侵防御和加固等。

2）檢測跟蹤類。對網絡客體的訪問行為需要進行監控、檢測和審計跟蹤，防止在訪問過程中可能產生的安全事故。

3）響應恢復類。網絡或數據一旦發生重大安全故障，需要采取應急預案和有效措施，確保在最短的時間內對其事件進行應急響應和備份恢復，盡快將損失和影響降至最低。

特別理解

網絡安全技術的內涵

【案例1-3】 某銀行以網絡安全業務價值鏈的概念，將網絡安全的技術手段分為預防保護類、檢測跟蹤類和響應恢復類三大類，如圖1-3所示。

圖1-3 常用的網絡安全技術

主要的通用網絡安全技術有8種，分別如下。

1）身份認證（Identity and Authentication）。通過網絡身份的一致性確認，保護網絡授權用戶的正確存儲、同步、使用、管理和控制，防止別人冒用或盜用的技術手段。

2）訪問管理（Access Management）。保障授權用戶在其權限內對授權資源進行正當使用，防止非授權使用的措施。

知識拓展

網絡安全技術的缺陷

3）加密（Cryptograghy）。加密技術是最基本的網絡安全手段，包括加密算法、密鑰長度確定、密鑰生命周期（生成、分發、存儲、輸入/輸出、更新、恢復和銷毀等）安全措施和管理等。

4）防惡意代碼（Anti-Malicode）。建立健全惡意代碼（計算機病毒及流氓軟件）的預防、檢測、隔離和清除機制，預防惡意代碼入侵，迅速隔離和查殺已感染病毒，識別并清除網內惡意代碼。

5）加固（Hardening）。對系統漏洞及隱患采取必要的安全防范措施，主要包括安全性配置、關閉不必要的服務端口、系統漏洞掃描、滲透性測試、安裝或更新安全補丁、增設防御功能和對特定攻擊的預防手段等，提高系統自身的安全。

6）監控（Monitoring）。通過監控用戶主體的各種訪問行為，確保對網絡等客體的訪問過程中有效地采用合適的安全技術手段。

7）審核跟蹤（Audit Trail）。對網絡系統異常訪問、探測及操作等事件進行及時核查、記錄和追蹤。利用多項審核跟蹤不同活動。

8）備份恢復（Backup and Recovery）。在網絡系統出現異常、故障或入侵等意外情況時，及時恢復系統和數據而進行的預先備份等技術方法。備份恢復技術主要包括4個方面：備份技術、容錯技術、冗余技術和不間斷電源保護。

（3）網絡空間安全新技術

網絡空間安全新技術主要包括以下幾種。

1）智能移動終端惡意代碼檢測技術。針對智能移動終端惡意代碼研發的新型惡意代碼檢測技術，是在原有PC機已有的惡意代碼檢測技術的基礎上，結合智能移動終端的特點引入的新技術。在檢測方法上分為動態監測和靜態檢測兩種。

2）可穿戴設備安全防護技術。一種是生物特征識別技術，英特爾等將其應用于可穿戴設備，對用戶的身份進行驗證，若驗證不通過將不提供服務。另一種是入侵檢測與病毒防御工具，在設備中引入異常檢測及病毒防護模塊。

3）云存儲安全技術。包括①云容災技術。用物理隔離設備和特殊算法，實現資源的異地分配。當設備意外損毀后，可利用儲存在其他設備上的冗余信息恢復出原數據。②可搜索加密與數據完整性校驗技術。可通過關鍵字搜索云端的密文數據。③基于屬性的加密技術。支持一對多加密模式，在基于屬性的加密系統中，用戶向屬性中心提供屬性列表信息或訪問結構，中心返回私鑰給用戶。

4）后量子密碼。量子計算機的快速并行計算能力，可將計算難題化解為可求解問題。

知識拓展

密碼加密新技術

2.網絡安全常用模型

借助網絡安全模型可以構建網絡安全體系和結構，并進行具體的網絡安全解決方案的制定、規劃、設計和實施等，也可以用于實際應用網絡安全實施過程的描述和研究。

（1）網絡安全PDRR模型

PDRR模型是常用的描述網絡安全整個過程和環節的網絡安全模型，包括防護（Pro-tection）、檢測（Detection）、響應（Reaction）和恢復（Recovery），如圖1-4所示。

圖1-4 網絡安全PDRR模型

在上述模型的基礎上，以“檢查準備（In-spection）、防護加固（Protection）、檢測發現（Detection）、快速反應（Reaction）、確保恢復（Recovery）、反省改進（Reflection）”為原則，經過改進得到另一個網絡安全生命周期模型——IPDRRR（Inspection，Protection，Detection，Reac-tion，Recovery，Reflection）模型，如圖1-5所示。

（2）網絡安全通用模型

利用互聯網將數據報文從源站主機傳輸到目的站主機，需要協同處理與交換。通過建立邏輯信息通道，可以確定從源站經過網絡到目的站的路由及兩個主體協同使用TCP/IP的通信協議。其網絡安全通用模型如圖1-6所示，缺點是并非所有情況都通用。

圖1-5 網絡IPDRRR模型

對網絡信息進行安全處理，需要可信的第三方進行兩個主體在報文傳輸中的身份認證。構建網絡安全系統時，網絡安全模型的基本任務主要有4個：選取一個秘密信息或報文；設計一個實現安全的轉換算法；開發一個分發和共享秘密信息的方法；確定兩個主體使用的網絡協議，以便利用秘密算法與信息實現特定的安全服務。

（3）網絡訪問安全模型

圖1-6 網絡安全通用模型

在訪問網絡過程中，針對黑客攻擊、病毒侵入及非授權訪問等情況，常采用網絡訪問安全模型，如圖1-7所示。黑客攻擊有兩類威脅：一類是訪問威脅，即非授權用戶截獲或修改數據；另一類是服務威脅，即服務流激增以禁止合法用戶使用。非授權訪問的安全機制可分為兩類：一類是網閘功能，包括基于口令的登錄過程可拒絕所有非授權訪問，以及屏蔽邏輯用于檢測并拒絕病毒、蠕蟲和其他類似攻擊；另一類是內部的安全控制，若非授權用戶得到訪問權，第二道防線將對其進行防御，包括各種內部監控和分析，以檢查入侵者。

圖1-7 網絡訪問安全模型

（4）網絡安全防御模型

“防患于未然”是最好的保障，網絡安全的關鍵是預防，同時做好內網與外網的隔離保護。可以通過如圖1-8所示的網絡安全防御模型構建的系統來保護內網。

圖1-8 網絡安全防御模型

1.1.3 網絡安全建設發展現狀及趨勢

1.國外網絡安全建設發展狀況

國外的網絡安全建設和發展主要體現在以下8個方面。

1）完善法律法規和制度建設。世界很多發達國家從立法、管理、監督和教育等方面都采取了相應的有效措施，以加強對網絡的規范管理。一些國家以網絡實名制進行具體的網絡管理，為網絡安全奠定了重要基礎，同時也起到了重大威懾作用。

2）信息安全保障體系。面對各種網絡威脅和安全隱患暴露出的問題，促使很多發達國家正在完善各種以深度防御為重點的整體安全平臺——網絡信息安全保障體系。

3）網絡系統安全測評。網絡系統安全測評技術主要包括安全產品測評和基礎設施安全性測評技術。

4）網絡安全防護技術。在對各種傳統的網絡安全技術進行更深入的探究的同時，創新和改進新技術、新方法，研發新型的智能入侵防御系統、統一威脅資源管理與加固等多種新技術。

5）故障應急響應處理。在很多災難性事件中，可以看出應急響應技術極為重要。主要包括3個方面：突發事件處理（包括備份恢復技術）、追蹤取證的技術手段，以及事件或具體攻擊的分析。

6）網絡系統生存措施。

【案例1-4】 美國國防部五角大樓，2001年9月11日，遭到被劫持客機的撞擊。由于利用網絡系統生存措施和應急響應，使得遭受重大襲擊后僅幾小時就成功地恢復了其網絡系統的主要功能，這得益于在西海岸的數據備份和有效的遠程恢復技術。

7）網絡安全信息關聯分析。美國等國家在捕獲攻擊信息和新型掃描技術等方面取得了突破，有效地克服了面對各種龐雜多變的網絡攻擊和威脅。僅對單個系統入侵監測和漏洞掃描，很難及時將不同安全設備和區域的信息進行關聯分析，也無法快速、準確地掌握攻擊策略信息等。

8）密碼新技術研究。我國在密碼新技術研究方面取得了一些國際領先成果。在深入進行傳統密碼技術研究的同時，重點進行量子密碼等新技術的研究，主要包括兩個方面：一方面是利用量子計算機對傳統密碼體制進行分析；另一方面是利用量子密碼學實現信息加密和密鑰管理。

2.我國網絡安全建設發展現狀

我國極為重視網絡安全建設，并采取了一系列重大舉措，主要體現在以下幾個方面。

1）強化網絡安全管理與保障。國家高度重視并成立“國家網絡信息安全領導小組”，并進一步加強和完善了網絡安全方面的法律法規、準則與規范、規劃與策略、規章制度、保障體系、管理技術、機制與措施、管理方法和安全管理人員隊伍及其素質能力等。

知識拓展

我國網絡信息安全建設發展階段

2）安全風險評估分析。必須對規范要求進行安全風險評估和分析，定期對現有網絡進行安全風險評估和分析，并及時采取有效措施進行安全管理和防范。

3）網絡安全技術研究。我國對網絡安全工作高度重視，并在《國家安全戰略綱要》中將網絡空間安全納入國家安全戰略。同時在國家重大高新技術研究項目等方面給予大量支持，在密碼技術和可信計算等方面取得重大成果。

知識拓展

系統自主研發建設

4）網絡安全測試與評估。測試與評估的標準正在不斷完善，相應的自動化工具有所加強；測試與評估的手段不斷提高，滲透性測試的技術方法正在增強，評估網絡整體安全性進一步提高。

5）應急響應與系統恢復。應急響應能力是衡量網絡系統生存性的重要指標。目前，我國應急處理的能力正在加強，缺乏系統性和完整性的問題正在改善，對檢測系統漏洞、入侵行為和安全突發事件等方面的研究進一步提高。但在跟蹤定位、現場取證及攻擊隔離等方面的技術研究和產品尚存不足。

在系統恢復方面以磁盤鏡像備份、數據備份為主，以提高系統的可靠性。系統恢復和數據恢復技術的研究仍顯不足，應加強先進的遠程備份和異地備份技術的研究，而在遠程備份中數據一致性、完整性和訪問控制等技術尤為關鍵。

6）網絡安全檢測技術。網絡安全檢測是信息保障的動態措施，通過入侵檢測、漏洞掃描等手段，定期對系統進行安全檢測和評估，及時發現安全問題；進行安全預警和漏洞修補，防止發生重大信息安全事故。我國的安全檢測技術和方法正在改進，并將入侵檢測、漏洞掃描及路由等安全技術相結合，努力實現跨越多邊界的網絡攻擊事件的檢測、追蹤和取證。

3.網絡安全技術的發展趨勢

網絡安全技術的發展趨勢主要體現在以下幾個方面。

1）網絡安全技術不斷提高。隨著網絡安全威脅的不斷增加和變化，網絡安全技術也在不斷創新和提高，從傳統安全技術向可信技術、深度包檢測、終端安全管控和Web安全技術等新技術發展。同時，也不斷出現云安全、智能檢測、智能防御技術、加固技術、網絡隔離、可信服務、虛擬技術、信息隱藏技術和軟件安全掃描等新技術。其中，可信技術是一個系統工程，包含可信計算技術、可信對象技術和可信網絡技術，可提供從終端到網絡系統的整體安全可信環境。

2）安全管理技術高度集成。網絡安全技術優化集成已成趨勢，如殺毒軟件與防火墻集成、虛擬網VPN與防火墻的集成、入侵檢測系統（Intrusion Detection System，IDS）與防火墻的集成，以及安全網關、主機安全防護系統和網絡監控系統等集成技術。

3）新型網絡安全平臺。統一威脅管理可將各種威脅進行整體安全防護管理，是實現網絡安全的重要手段和發展趨勢，已成為集多種網絡安全防護技術于一體的解決方案，在保障網絡安全的同時大大降低運維成本。主要包括網絡安全平臺（身份認證、訪問控制、密碼加密、病毒防范等）、統一威脅管理工具和日志審計分析系統等。

知識拓展

網絡安全服務和人才需求

4）高質量服務和高水平人才。網絡安全威脅的嚴重性及新變化，對解決網絡安全技術和經驗要求更高，急需高質量的網絡安全服務和高水平的人才。

5）特殊專用安全工具。對網絡安全危害大且影響范圍廣的一些特殊威脅，應采用特殊專用工具，如專門針對分布式拒絕服務攻擊的防御系統，專門解決網絡安全認證、授權與計費的認證系統、入侵檢測系統等。

1.2 案例分析 網絡空間安全威脅

1.2.1 網絡空間安全威脅及現狀分析

網絡空間已經成為繼陸、海、空、天之后的第五大戰略空間，是影響國家安全、社會穩定、經濟發展和文化傳播的核心、關鍵和基礎，其安全性至關重要，急需解決。

1）法律法規、安全管理和意識欠缺。世界各國在網絡空間安全保護方面，制定的各種法律法規和管理政策等相對滯后、不完善且更新不及時。安全意識薄弱，管理不當。

2）網絡安全規范和標準不統一。網絡安全是一個系統工程，需要統一規范和標準。

3）政府與企業的側重點及要求不一致。政府注重信息資源及網絡安全的可管性和可控性，企業則注重其經濟效益、可用性和可靠性。

4）網絡系統的安全威脅及隱患。計算機及手機網絡的開放性、交互性和分散性等特點，以及網絡系統自身存在的缺陷、安全漏洞和隱患，致使網絡存在巨大的威脅和風險，時常受到侵擾和攻擊，也影響了正常的網絡應用和服務。

知識拓展

網絡安全規范的不足

【案例1-5】 我國網絡遭受攻擊近況。根據國家互聯網應急中心（CNCERT）抽樣監測結果和國家信息安全漏洞共享平臺（CNVD）發布的數據，2017年8月，國內被篡改網站數量為6109個，被植入后門的網站達4247個，針對國內網站的仿冒頁面數量為1572個；被篡改政府網站數量為111個，被植入后門的政府網站數量為299個；感染網絡病毒的終端數為208萬個，信息系統漏洞為1380個，其中高危漏洞498個，可被遠程攻擊的漏洞1277個。

5）網絡技術和手段滯后。網絡安全技術研發及更新滯后于出現的需要解決的安全問題，更新不及時、不完善。

6）網絡安全威脅新變化，黑客利益產業鏈驚人。移動安全、大數據、云安全、社交網絡和物聯網等成為新的攻擊點。黑客產業鏈和針對性攻擊普遍且呈現上升趨勢。

【案例1-6】 中國黑客利益產業鏈巨大。據調查顯示，2017年中國的木馬產業鏈一年收入上百億元。湖北某地警方破獲一起制造和傳播具有遠程控制功能的木馬病毒網絡犯罪團伙，是國內破獲的首個上下游產業鏈完整的木馬犯罪案件。嫌疑人楊某等編寫、販賣木馬程序。原本互不相識的幾位犯罪嫌疑人，在不到半年的時間就非法獲利近200萬元。木馬程序灰鴿子產業鏈如圖1-9所示。

圖1-9 黑客木馬程序灰鴨子產業鏈

1.2.2 網絡安全威脅的種類及途徑

1.網絡安全威脅的種類

網絡安全威脅主要來自人為因素、系統和運行環境等，包括網絡系統問題和網絡數據（信息）的威脅和隱患。網絡安全威脅主要表現為非法授權訪問、竊聽、黑客入侵、假冒合法用戶、病毒破壞、干擾系統正常運行、篡改或破壞數據等。這些威脅性攻擊大致可分為主動攻擊和被動攻擊兩大類。

知識拓展

主動攻擊與被動攻擊的區別

【案例1-7】 美國網絡間諜活動公諸于世。2013年曾參加美國安全局網絡監控項目的斯諾登曝光“棱鏡計劃”，公開美國多次秘密利用超級軟件監控包括其盟友政要在內的網絡用戶和電話。谷歌、雅虎、微軟、蘋果、Facebook、美國在線、PalTalk、Skype和YouTube等公司還提供漏洞參數、開放服務器等，使其輕易監控有關國家機構或上百萬網民的郵件、即時通話及相關數據。網絡安全威脅的種類如表1-1所示。

表1-1 網絡安全威脅的種類

（續）

2.網絡安全威脅的主要途徑

世界各種計算機網絡、手機網絡或電視機網絡被入侵攻擊的事件頻發，其途徑、種類各異，且變化多端。大量網絡系統的功能、網絡資源和應用服務等已經成為黑客攻擊的主要目標。目前，網絡的主要應用包括電子商務、網上銀行、股票、證券、即時通信、郵件、網游及文件下載等，都存在大量安全隱患。

【案例1-8】 中國已成為被監控的重要目標，脫網也會被攻擊。美國《紐約時報》2014年1月曝光了美國國家安全局（National Security Agency，NSA）的“量子”項目，該項目將一種秘密技術植入脫網的計算機，并更改其數據。2008年以來一直使用這種秘密技術。該技術通過安裝在計算機內的微電路板和USB連線發送秘密無線電波來實現監視，并已植入全球10萬臺計算機。其中最重要的監控對象包括中國軍方。美國專家以“肆無忌憚”來評價NSA的行為，稱“白宮曾義正詞嚴地批評中國黑客盜取我們的軍事、商業機密，原來我們一直在對中國做同樣的事情”。

網絡安全威脅的主要途徑如圖1-10所示。

圖1-10 網絡安全威脅的主要途徑

1.2.3 網絡安全的威脅及風險分析

網絡安全的威脅及風險涉及網絡設計、結構、層次、范疇和管理機制等方面，要做好網絡安全防范，必須認真、深入地分析和研究網絡系統的安全風險及隱患。

1.網絡系統安全威脅及風險

1）網絡系統面臨的威脅和風險。互聯網創建初期只用于計算和科學研究，其設計及技術基礎并不安全。現代互聯網的快速發展和廣泛應用，使其具有開放性、國際性和自由性等特點，也出現了一些網絡系統的安全風險和隱患，主要因素包括7個方面：網絡開放性隱患多、網絡共享風險大、系統結構復雜有漏洞、身份認證難、邊界難確定受威脅、傳輸路徑與結點隱患多，以及信息高度聚集易受攻擊。

2）網絡服務協議的安全威脅。常用的互聯網服務安全包括Web瀏覽服務安全、文件傳輸（FTP）服務安全、E-mail服務安全、遠程登錄（Telnet）安全、DNS域名安全和設備的實體安全。網絡運行機制依賴網絡協議，不同結點間的信息交換以約定機制通過協議中的數據單元實現。TCP/IP在設計初期只注重異構網的互聯，并沒考慮安全問題，Internet的廣泛應用使其安全威脅對系統安全產生極大風險。互聯網基礎協議TCP/IP、FTP、E-mail、RPC（遠程進程調用）和NFS等不僅公開，且存在安全漏洞。

2.操作系統的漏洞及隱患

操作系統安全（Operation System Secure）是指操作系統本身及運行的安全，通過對系統軟硬件資源的整體有效控制，并對所管理的資源提供安全保護。操作系統是網絡系統中最基本、最重要的系統軟件，在設計與開發時由于難以避免的疏忽而留下漏洞和隱患。

1）體系結構和研發漏洞。網絡系統的威脅主要來自操作系統的漏洞。

2）創建進程的隱患。支持進程的遠程創建與激活、所創建的進程繼承原進程的權限，這種機制時常給黑客提供了遠端服務器安裝“間諜軟件”的可乘之機。

3）服務及設置的風險。操作系統的部分服務程序可能繞過防火墻、查殺病毒軟件等。

4）配置和初始化錯誤。網絡系統一旦出現嚴重故障，必須關掉某臺服務器以維護其某個子系統，再重新啟動服務器時，可能會發現個別文件丟失或被篡改。

知識拓展

網絡協議本身缺陷

3.防火墻的局限性及風險

防火墻能夠較好地阻止外網基于IP包頭的攻擊和非信任地址的訪問，卻無法阻止基于數據內容的黑客攻擊和病毒入侵，也無法控制內網之間的攻擊行為。需要采用入侵檢測系統、入侵防御系統及統一威脅管理（Unified Threat Management，UTM）等技術來彌補防火墻的安全局限性，應對各種網絡攻擊，以擴展系統管理員的防范能力（包括安全審計、監視、進攻識別和響應）。防火墻安全技術和方法將在第8章具體介紹。

4.網絡數據庫的安全風險

數據庫技術是信息資源管理和數據處理的核心技術，也是各種應用系統處理業務數據的關鍵，是信息化建設的重要組成部分。網絡系統需要在數據庫中存取并調用大量重要數據。數據庫技術的核心是數據庫管理系統（DBMS），主要用于集中管理數據資源信息，實現數據資源共享、減少數據冗余，確保系統數據的保密性、完整性和可靠性。各類應用系統都以數據庫為支撐平臺。數據庫安全不僅包括數據庫系統本身的安全，還包括最核心、最關鍵的數據（信息）安全，需要確保數據的安全可靠和正確有效和完整性。數據庫存在的不安全因素包括非法用戶竊取信息資源，授權用戶超出權限進行數據訪問、更改和破壞等。數據庫安全技術和應用將在第10章具體介紹。

知識拓展

網絡數據庫的安全性

5.網絡安全管理及其他問題

網絡安全是一項系統工程，需要各方面協同管理。安全管理產生的漏洞和疏忽屬于人為因素，缺乏完善的相關法律法規、管理技術規范和安全管理組織及人員，缺少定期的安全檢查、測試和實時有效的安全監控，將是網絡安全的最大問題。

【案例1-9】 中國是網絡安全最大的受害國。國家互聯網應急中心（CNCERT）監測的數據顯示，中國遭受境外網絡攻擊的情況日趨嚴重。CNCERT抽樣監測發現，2013年1月1日至2月28日，國外6747臺木馬或僵尸網絡服務器控制了中國國內的190萬余臺主機（“肉雞”）；其中位于美國的2194臺控制服務器控制了中國國內128.7萬臺主機，無論是按照控制服務器數量還是控制中國主機數量排名，美國都位列第一。

1）網絡安全相關法律法規和管理政策問題。網絡安全相關的法律法規不健全，面臨管理體制、保障體系、機制、權限、監控、管理策略、管理措施和審計等問題。

2）管理漏洞和操作人員問題。主要是管理疏忽、失誤、誤操作及水平能力等。例如，安全配置不當所造成的安全漏洞，用戶安全意識不強與疏忽，以及密碼選擇不慎等都會對網絡安全構成威脅。疏于管理與防范，甚至個別內部人員貪心、邪念成為最大威脅。

3）實體管理、運行環境安全及傳輸安全是網絡安全的重要基礎。在光纖通信、同軸電纜、微波通信和衛星通信中竊聽指定的信息很難，但是，沒有絕對安全的通信線路，例如，電磁干擾泄漏等安全問題。

1.2.4 網絡空間安全威脅的發展態勢

【案例1-10】 隨著互聯網技術和應用的快速發展，全球互聯網用戶數量和隱患急劇增加。據估計，到2020年，全球網絡用戶將上升至50億戶，移動用戶將上升至100億戶。中國互聯網用戶數量急劇增加，網民規模、寬帶網民數及國家頂級域名注冊量3項指標位居世界第一。各種操作系統及應用程序的漏洞隱患不斷出現，與發達國家相比，中國在網絡安全技術、網絡用戶安全防范能力和意識方面較為薄弱，極易成為攻擊利用的主要目標。

我國網絡安全監管機構對近幾年網絡安全威脅，特別是新出現的網絡攻擊手段等多次進行深入分析和研究，發現各種網絡攻擊工具更加簡單化、智能化、自動化。攻擊手段更加復雜多變，攻擊目標直指網絡基礎協議和操作系統，黑客培訓更加廣泛，甚至通過網絡傳授即可達到“黑客技術”速成。對網絡安全監管部門、科研機構及信息化網絡建設、管理、開發、設計和使用提出了新課題與挑戰。

中國電子信息產業發展研究院在對國內外網絡安全問題進行認真分析研究的基礎上，提出未來網絡安全威脅的趨勢主要包括以下幾個方面。

1）網絡空間國際軍備競賽加劇。

2）網絡空間國際話語權爭奪更激烈。

知識拓展

未來網絡空間安全威脅

3）可能發生有組織的大規模網絡攻擊。

4）移動互聯網安全事件增加。

5）智能互聯設備成為網絡攻擊的新目標。

6）工業控制系統的安全風險加大。

7）可能發生大規模信息泄露事件。

8）網絡安全事件將造成更大損失。

9）我國信息安全產業將快速發展。

^?1.3 知識拓展 實體安全與隔離技術

1.3.1 實體安全的概念及內容

1.實體安全的概念

實體安全（Physical Security）也稱物理安全，是指保護網絡設備、設施及其他媒體免遭地震、水災、火災、有害氣體和其他環境事故破壞的措施及過程；主要是對計算機及網絡系統的環境、場地、設備和人員等采取各種安全技術和措施。

實體安全是整個網絡系統安全的重要基礎和保障，主要側重環境、場地和設備的安全，以及實體訪問控制和應急處置計劃等。計算機網絡系統受到的威脅和隱患，很多是與計算機網絡系統的環境、場地、設備和人員等方面有關的實體安全問題。

實體安全的目的是保護計算機、網絡服務器、交換機、路由器及打印機等硬件實體和通信設施免受自然災害、人為失誤、犯罪行為的破壞，確保系統有一個良好的電磁兼容工作環境，將有害的攻擊進行有效隔離。

2.實體安全的內容及措施

實體安全的內容主要包括環境安全、設備安全和媒體安全3個方面，主要指五項防護（簡稱5防）：防盜、防火、防靜電、防雷擊和防電磁泄漏。特別應當加強對重點數據中心、機房、服務器、網絡及其相關設備和媒體等實體安全的防護。

1）防盜。由于網絡核心部件是偷竊者的主要目標，而且這些設備存放著大量重要資料，被偷竊所造成的損失可能遠遠超過計算機及網絡設備本身的價值，因此，必須采取嚴格防范措施，以確保計算機、服務器及網絡等相關設備不丟失。

2）防火。網絡中心的機房發生火災一般是由于電氣故障、人為事故或外部火災蔓延等引起的。電氣設備和線路因為短路、過載、接觸不良、絕緣層被破壞或靜電等原因，引起電打火而導致火災。人為事故是指由于操作人員不慎，如吸煙、亂扔煙頭等，使存在易燃物質（如紙片、磁帶和膠片等）的機房起火，也不排除人為故意放火。外部火災蔓延是因外部房間或其他建筑物起火而蔓延到機房而引起火災。

3）防靜電。一般靜電是由物體間的相互摩擦、接觸而產生的。計算機顯示器也會產生很強的靜電，靜電產生后，由于未能釋放而存儲在顯示器內會有形成很高的電位，隨著能量不斷增加，從而產生靜電火花放電，造成火災，可能使大規模集成電路損壞。

4）防雷擊。采用傳統避雷針防雷，不僅增大了雷擊可能性，而且產生的感應雷可能損壞電子信息設備，也是易燃易爆物品被引燃起爆的主要原因。

5）防電磁泄漏。計算機、服務器及網絡等設備，工作時會產生電磁泄漏發射。電磁泄漏發射主要包括輻射發射和傳導發射。若電磁發射被高靈敏度的接收設備接收、分析和還原，會造成信息泄露。

知識拓展

防范雷擊的安全措施

1.3.2 媒體安全與物理隔離技術

1.媒體及其數據的安全保護

媒體及其數據的安全保護，主要是指對媒體數據和媒體本身的安全保護。

知識拓展

屏蔽防范電磁泄露措施

1）媒體安全。媒體安全主要指對媒體及其數據的安全保管，目的是保護存儲在媒體上的重要資料。

保護媒體的安全措施主要有兩個方面：媒體的防盜與防毀。防毀是指防霉和防砸，以及其他可能的破壞或影響。

2）媒體數據安全。媒體數據安全主要指對媒體數據的保護。為了防止被刪除或被銷毀的敏感數據被他人恢復，必須對媒體機密數據進行安全刪除或安全銷毀。

保護媒體數據安全的措施主要有以下3種。

1）媒體數據的防盜，如防止媒體數據被非法復制。

2）媒體數據的銷毀，包括媒體的物理銷毀（如媒體粉碎等）和媒體數據的徹底銷毀（如消磁等），防止媒體數據刪除或銷毀后被他人恢復而泄露信息。

3）媒體數據的防毀，防止媒體數據的損壞或丟失等。

2.物理隔離技術

物理隔離技術是一種以隔離方式進行防護的手段。目的是在現有安全技術的基礎上，將威脅隔離在可信網絡之外，在保證可信網絡內部信息安全的前提下，完成內外網絡數據的安全交換。

（1）物理隔離的安全要求物理隔離的安全要求主要有3點。

1）隔斷內外網絡傳導。在物理傳導上使內外網絡隔斷，確保外部網不能通過網絡連接而侵入內部網；同時防止內部網信息通過網絡連接泄漏到外部網。

知識拓展

物理隔離技術需求

2）隔斷內外網絡輻射。在物理輻射上隔斷內部網與外部網，確保內部網信息不會通過電磁輻射或耦合方式泄漏到外部網。

3）隔斷不同存儲環境。在物理存儲上隔斷兩個網絡環境，對于斷電后會遺失信息的部件，如內存等，應在網絡轉換時進行清除處理，防止殘留信息出網；對于斷電非遺失性設備，如磁帶機、硬盤等存儲設備，內部網與外部網信息要分開存儲。

（2）物理隔離技術的3個階段

第一階段：徹底物理隔離。利用物理隔離卡、安全隔離計算機和交換機使網絡隔離，兩個網絡之間無信息交流，所以也就可以抵御所有的網絡攻擊，它們適用于一臺終端（或一個用戶）需要分時訪問兩個不同的、物理隔離的網絡應用環境。

第二階段：協議隔離。協議隔離是采用專用協議（非公共協議）來對兩個網絡進行隔離，并在此基礎上實現兩個網絡之間的信息交換。協議隔離技術由于存在直接的物理和邏輯連接，仍然是數據包的轉發，一些攻擊依然出現。

第三階段：網閘隔離技術。主要通過網閘等隔離技術對高速網絡進行物理隔離，使高效的內外網數據仍然可以正常進行交換，而且控制網絡的安全服務及應用。

（3）物理隔離的性能要求

采取安全措施可能對性能產生一定的影響，物理隔離將導致網絡性能降低和內外網數據交換不方便。

知識拓展

物理隔離的優缺點

1.4 要點小結

本章主要結合典型案例概述了網絡安全的威脅及發展態勢、網絡安全存在的問題、網絡安全威脅途徑及種類，并對產生網絡安全的風險的系統問題、操作系統漏洞、網絡數據庫問題、防火墻局限性、管理和其他各種因素進行了概要分析。著重介紹了信息安全的概念和屬性特征，以及網絡安全的概念、目標、內容和側重點。

本章重點概述了網絡安全技術的概念、常用的網絡安全技術（身份認證、訪問管理、加密、防惡意代碼、加固、監控、審核跟蹤和備份恢復）和網絡安全模型。接著介紹了國內外網絡安全建設與發展的概況，概要分析了國際領先技術、國內存在的主要差距和網絡安全技術的發展趨勢。最后，概述了實體安全的概念、內容、媒體安全與物理隔離技術。

網絡安全的最終目標和關鍵是保護網絡系統的信息資源安全，做好預防、“防患于未然”是確保網絡安全的最好舉措。世界上并沒有絕對的安全，網絡安全是一個系統工程，需要多方面互相密切配合、綜合防范才能收到實效。

^?1.5 實驗一 構建虛擬局域網VLAN

虛擬局域網（Virtual Local Area Network，VLAN）是一種將局域網設備從邏輯上劃分成多個網段，從而實現虛擬工作組的數據交換技術。主要應用于交換機和路由器。虛擬機（Virtual Machine，VM）是運行在主機系統中的虛擬系統，可以模擬物理計算機的硬件控制模式，具有系統運行的大部分功能和部分其他擴展功能。虛擬技術不僅經濟，而且可用于模擬具有一定風險性的、與網絡安全相關的各種實驗或測試。

1.5.1 實驗目的

通過安裝和配置虛擬機，建立一個虛擬局域網，主要具有3個目的。

1）為網絡安全試驗做準備。利用虛擬機軟件可以構建虛擬網，模擬復雜的網絡環境，可以讓用戶在單機上實現多機協同作業，進行網絡協議分析等功能。

2）網絡安全實驗可能對系統具有一定的破壞性，虛擬局域網可以保護物理主機和網絡的安全。而且一旦虛擬系統癱瘓后，也可以在數秒內得到恢復。

3）利用VMware Workstation Pro 12虛擬機安裝Windows 10，可以實現在一臺機器上同時運行多個操作系統，以及一些其他操作功能，如屏幕捕捉、歷史重現等。

1.5.2 實驗要求及方法

1.實驗要求

（1）預習準備

由于本實驗內容是為了后續的網絡安全實驗做準備，因此，最好提前做好虛擬局域網“預習”或對有關內容進行一些了解。

1）Windows 10原版光盤鏡像：Windows 10開發者預覽版下載（微軟官方原版）。

2）VMware 12虛擬機軟件下載：VMware Workstation Pro 12正式版發布下載（支持Windows 8，For Windows主機）。

（2）注意事項及特別提醒

安裝VMware時，需要將設置中的軟盤移除，以免可能影響Windows10的聲音或網絡。

由于網絡安全技術更新快，技術、方法和軟硬件產品種類繁多，可能具體版本和界面等方面不盡一致或有所差異。特別是在具體實驗步驟中更應當多注重關鍵的技術方法，做到“舉一反三、觸類旁通”，不要死鉆“牛角尖”，過分摳細節。

（3）注意實驗步驟和要點

安裝完虛擬軟件并設置后，需要重新啟動才可正常使用。

實驗用時：2學時（90120分鐘）。

2.實驗方法

構建虛擬局域網（VLAN）的方法很多。可用Windows自帶的連接設置方式，通過“網上鄰居”建立。也可在Windows Server 2016運行環境下，安裝虛擬機軟件。主要利用虛擬存儲空間和操作系統提供的技術支持，使虛擬機上的操作系統通過網卡與實際操作系統進行通信。真實機和虛擬機可以通過以太網通信，形成小型的局域網環境。

1）利用虛擬機軟件在一臺計算機中安裝多臺虛擬主機，構建虛擬局域網，可以模擬復雜的真實網絡環境，讓用戶在單機上實現多機協同作業。

2）由于虛擬局域網是一個“虛擬系統”，所以一旦遇到網絡攻擊甚至是系統癱瘓，實際的物理網絡系統并沒有受到影響和破壞，所以，虛擬局域網可在較短時間內得到恢復。

3）在虛擬局域網中，可以實現在一臺機器上同時運行多個操作系統。

1.5.3 實驗內容及步驟

VMware Workstation是一款功能強大的桌面虛擬軟件，可在安全、可移植的虛擬機中運行多種操作系統和應用軟件，為用戶提供同時運行不同的操作系統，以及進行開發、測試、部署新應用程序的最佳解決方案。通過虛擬機可以構建虛擬局域網（VLAN）。

VMware基于VLAN，可為分布在不同范圍、不同物理位置的計算機組建虛擬局域網，形成一個具有資源共享、數據傳送及遠程訪問等功能的局域網。

利用VMware 12虛擬機安裝Windows 10，并建立虛擬局域網VLAN。

1）安裝VMware 12。安裝并選擇虛擬機向導界面如圖1-11和圖1-12所示。

圖1-11 VMware 12安裝界面

圖1-12 選擇新建虛擬機向導界面

2）用Workstation“虛擬機向導”界面，從磁盤或ISO映像在虛擬機中安裝Windows10，分別如圖1-13和圖1-14所示。

圖1-13 “新建虛擬機向導”對話框

圖1-14 選擇客戶機操作系統

3）借助Workstation Pro，可以充分利用Windows 10最新功能（如私人數字助理Cor-tana、Edge網絡瀏覽器中的墨跡書寫功能等），為Windows 10設備構建通用應用。甚至可以要求Cortana直接從Windows 10啟動VMware Workstation。

4）設置虛擬機名稱及虛擬機放置位置，具體如圖1-15所示。

5）配置虛擬機大小（磁盤空間需留有余地），如圖1-16所示。

6）已準備好創建虛擬機，如圖1-17所示，啟動虛擬機。可查看有關信息，并解決出現的問題。進入放置虛擬機的文件夾，找到擴展名為.vmx的文件，用記事本程序打開，如圖1-18所示，然后保存再重新啟動。

圖1-15 設置虛擬機名稱及放置位置

圖1-16 配置虛擬機大小

圖1-17 已準備好創建虛擬機

圖1-18 查看有關信息并處理有關問題

^?1.6 選做實驗 配置虛擬局域網VLAN

1.6.1 實驗目的

1）進一步理解虛擬局域網VLAN的應用。

2）掌握虛擬局域網VLAN的基本配置方法。

3）了解VLAN中繼協議（VTP）的應用。

1.6.2 預備知識

VLAN技術是交換技術的重要組成部分，也是交換機的重要技術部分。將物理上直接相連的網絡從邏輯上劃分成多個子網，如圖1-19所示。每個VLAN對應一個廣播域，只有在同一個VLAN中的主機才可直接通信，處于同一交換機但不同VLAN上的主機不能直接進行通信，不同VLAN之間的主機通信需要引入第三層交換技術才可解決。

圖1-19 將網絡從邏輯上劃分成多個子網

1.VLAN的特點

（1）廣播控制

二層交換機的使用可以減少沖突域，但是并不會減少廣播域，當大量廣播信息出現在LAN上時，可能會產生可怕的網絡風暴。每個VLAN對應一個廣播域，所以，不是同一個VLAN成員的交換機，所有的端口都會進行廣播過濾，只讓與自己是同一VLAN的端口的廣播通過并在VLAN中傳播，這樣可以降低網絡中出現網絡風暴的可能性。

（2）安全控制

同一VLAN中的主機才可以直接互相通信，可以在不用關心設備的位置的前提下，控制非授權用戶訪問VLAN。

（3）靈活性與可擴展性

只要把某一端口配置到VLAN中，就可以讓與其相連的主機訪問該VLAN，極大地提高了網絡配置的安全性。當VLAN比較大時，創建更多的VLAN并配置相應的端口到相應的VLAN中，就可以方便地解決網絡的擴展問題。

2.VLAN的配置方式

1）靜態VLAN：由網絡管理人員使用網絡管理軟件或直接設置交換機的端口，使其直接從屬于某個VLAN。這些端口一直保持這種從屬屬性，直到網絡管理員重新設置。

2）動態VLAN：通過使用智能化軟件，自動確定端口的從屬。端口通過借助網絡包的MAC地址、邏輯地址或協議類型來確定VLAN的從屬。當某一主機剛連接入網時，交換機端口還沒有分配，于是交換機通過讀取接入主機的MAC地址，然后查找VLAN管理數據庫，就可以動態地把該端口劃入合適的VLAN。這樣一旦網絡管理員配置好后，用戶計算機就可以靈活地改變交換機的端口，而不用改變用戶的VLAN從屬屬性。

3）多VLAN端口：上面兩種配置方式只能讓一臺主機從屬于一個固定的VLAN，而多VLAN端口支持某一用戶或端口可以同時訪問多個VLAN。這種方式增加了靈活性，但是也增加了安全隱患。

3.VLAN的識別方法

在交換式網絡中，有兩種不同類型的交換鏈路：訪問鏈路（AccessLinks）和中繼鏈路（Trunk Links）。訪問鏈路在一個廣播域中轉發數據，只是用來轉送VLAN本地部分的端口間的數據；中繼鏈路主要用在同一VLAN跨交換機時，兩個交換機間端口數據的交換，同一中繼鏈路可以承載多個VLAN的數據，可以在多個VLAN中轉發數據，也可以使單個端口同時成為多個VLAN的一部分。如果設置跨交換機的VLAN，那么一定要設置專門的中繼端口，建立中繼鏈路；如果不存在跨交換機的VLAN，交換機會自動使用訪問鏈路傳送數據。

當數據幀在穿越交換機結構（共享相同VLAN信息的多個交換機）和VLAN時，會在每個幀上添加相應的VLAN標志，以識別這個數據幀屬于哪個VLAN。實現這種識別的方法有兩種：一種是交換機鏈路（Inter-Switch Link，ISL），是Cisco設備專用的方法，只用于Fast Ethernet和Gigabit Ethernet鏈路。另一種是IEEE 802.1Q，是由IEEE制定的統一規范，各公司的設備均支持這種方式。

4.VLAN中繼協議

VLAN中繼協議（VLAN Trunk Protocol，VTP）的基本目標是跨交換式互聯網絡，管理所有已經配置好的VLAN，并在那個網絡上維護其一致性。VTP允許管理員對VLAN進行添加、刪除和更名，并將這些信息傳播到VTP域中的所有交換機上。

在VTP管理VLAN之前，必須先創建一臺VTP服務器。所有需要共享VLAN信息的服務器必須使用同樣的域名，而且交換機一次只能在一個域中。

交換機用VTP通告檢測附加的VLAN，然后準備用新近定義的VLAN在它們的中繼端口上接收信息。更新被當作修訂號送出，修訂號等于通知加1，任何時候交換機看見了更高的修訂號，就知道正在接收的信息是新信息，將用收到的新信息覆蓋當前的VLAN關系表。

在VTP域中的交換機有3種操作模式。

1）服務器模式（Server）。對大部分交換機來說，這是默認的模式。在VTP域中，至少需要一臺服務器模式的交換機，以便在整個域中傳播VLAN信息。交換機必須在服務器模式下，才能在VTP域中創建、添加、改動或刪除VLAN。在服務器模式下，對交換機所做的任何改動都將通告到整個VTP域中的每個交換機。

2）客戶機模式（Client）。在客戶機模式下，交換機不能創建、添加、改動或刪除VLAN，只能接收VLAN信息更新。如果想讓一臺交換機改到服務器模式，可以先讓其成為客戶機模式，以便它接收所有VLAN的正確信息后自我更新，再改到服務器模式。

3）透明模式（Transparent）。在透明模式下，交換機可以創建、添加、改動或刪除VLAN，但不接收VLAN更新，只進行轉發。

5.VLAN之間的通信

VLAN在OSI模型的第2層創建網絡分段，并分隔數據流，如果要在VLAN之間進行通信，則必須使用第3層的設備，如使用路由器或三層交換機。

1.6.3 實驗要求及配置

Cisco 3750交換機、PC、串口線和交叉線等。

1.單一交換機上VLAN的配置

1）實現單一交換機上VLAN配置的拓撲圖，如圖1-20所示。

圖1-20 實現單一交換機上VLAN配置的拓撲圖

2）1、4列計算機連接到3750交換機上，為第一組，建立的VLAN為VLAN4、VLAN14；2、5列計算機連接到2950-2交換機上，為第二組，建立的VLAN為VLAN4、VLAN14；3、6列計算機連接到2950-1交換機上，為第三組，建立的VLAN為VLAN4、VLAN14。

3）每組在建立VLAN前先測試連通性，然后建立VLAN，把計算機相連的端口分別劃入不同的VLAN，再測試連通性，分別記錄測試結果。

4）刪除建立的VLAN和VLAN劃分，恢復設備配置原狀。

2.跨交換機VLAN的配置

1）實現跨交換機VLAN配置的拓撲圖如圖1-21所示，三組交換機使用交叉線互聯后，配置Trunk鏈路。

圖1-21 實現跨交換機VLAN配置的拓撲圖

2）測試相同VLAN主機間的連通性，并測試不同VLAN間的主機的連通性，分別記錄測試結果。

3）刪除建立的VLAN和端口VLAN劃分，恢復設備配置原狀。

1.6.4 實驗步驟

主要介紹單一交換機上VLAN的配置操作。

1.測試兩臺計算機的連通性

在Windows操作系統界面上單擊“開始”按鈕，選擇“運行”命令，在打開的窗口中輸入cmd，并按＜Enter＞鍵進入命令提示符界面，如圖1-22所示。

圖1-22 輸入cmd進入命令提示符界面

1）組內兩臺計算機在命令提示符下互相ping，觀察結果。

2）如果顯示：

Reply from 192.168.?.?：bytes=32 time＜1ms TTL=128

說明與同組組員計算機間的網絡層已連通，若都顯示：

Request timed out.

表明與同組成員計算機在網絡層未連通。在實驗前組員間應該能互相ping通，若不通則需要檢查計算機的IP地址配置是否正確。

2.配置VLAN的具體方法

下面以第一組、第一行操作為例介紹配置VLAN的方法。

1）添加第一個VLAN并將端口劃入新的VLAN中，如圖1-23和圖1-24所示。

L1-3750#conft

L1-3750（config）#vlan4 //添加第一個VLAN

L1-3750（config-vlan）#name V4 //為創建的VLAN命名為V4

L1-3750（config-vlan）#exit

L1-3750（config-if）#intf1/0/11 //本組計算機連接的交換機端口，務必查看清楚

L1-3750（config-if）#switchport mode access //設置端口模式為access

L1-3750（config-if）#switchport access vlan4 //將端口劃入新建的VLAN中

L1-3750（config-if）#exit

L1-3750（config）#

圖1-23 添加第一個VLAN顯示界面

圖1-24 在端口劃入VLAN顯示界面

在DOS下，使用ping命令測試兩臺計算機的連通性，并且記錄結果，如圖1-25所示。

2）添加第二個VLAN，并把端口劃入VLAN。

L1-3750（config）#vlan 14

L1-3750（config-vlan）#name v14

L1-3750（config-vlan）#exit

L1-3750（config-if）#int f1/0/12

L1-3750（config-if）#switchport mode access

L1-3750（config-if）#switchport access vlan 14

L1-3750（config-if）#end

在DOS下，使用ping命令測試兩臺計算機的連通性，并且記錄結果，如圖1-26所示。

圖1-25 添加第一個VLAN后測試兩臺計算機的連通性

圖1-26 添加第二個VLAN后測試兩臺計算機的連通性

3）檢查配置。查看當前交換機上已配上的端口，如圖1-27所示。

圖1-27 查看當前交換機上已配上的端口

3.刪除VLAN

為需要配置的端口編號。

L1-3750#configt

L1-3750（config）#int f1/0/11

L1-3750（config-if）#no switchport access vlan4 //端口重新劃入VLAN1

L1-3750（config-if）#int f1/0/12

L1-3750（config-if）#no switchport access vlan 14

L1-3750（config）#no vlan 4

L1-3750（config）#no vlan1 4

在DOS下測試兩臺計算機的連通性，并且記錄結果。

跨交換機VLAN的配置如下。

注意：兩個交換機相連的端口分別配置trunk封裝。

1）3750交換機。

L1-3750（config）#int f1/0/1

L1-3750（config）#switchport mode trunk

2）2950-2交換機：

L1-2950-2（config）#int f0/1

L1-2950-2（config）#switchport mode trunk

L1-2950-2（config）#int f0/2

L1-2950-2（config）#switchport mode trunk

3）2950-1交換機。

L1-2950-1（config）#int f0/1

L1-2950-1（config）#switchport mode trunk

單臺交換機的配置參考以上步驟，在DOS下使用ping命令分別測試相同VLAN與不同VLAN主機的連通情況，并且記錄結果。

4）刪除trunk封裝。

L1-3750（config）#int f1/0/1

L1-3750（config）#no switchport mode trunk

L1-2950-2（config）#int f0/1

L1-2950-2（config）#no switchport mode trunk

L1-2950-2（config）#int f0/2

L1-2950-2（config）#no switchport mode trunk

1.7 練習與實踐一

1.選擇題

（1）計算機網絡安全是指利用計算機網絡技術，管理和控制等措施，保證在網絡環境中數據的（ ）、完整性、可用性、可控性和可審查性受到保護。

A.保密性 B.抗攻擊性

C.網絡服務管理性 D.控制安全性

（2）網絡安全的實質和關鍵是保護網絡的（ ）安全。

A.系統 B.軟件

C.信息 D.網站

（3）實際上，網絡安全包括兩大方面的內容，一方面是（ ），另一方面是網絡的信息安全。

A.網絡服務安全 B.網絡設備安全

C.網絡環境安全 D.網絡的系統安全

（4）在短時間內向網絡中的某臺服務器發送大量無效連接請求，導致合法用戶暫時無法訪問服務器的攻擊行為是破壞了（ ）。

A.保密性 B.完整性

C.可用性 D.可控性

（5）如果訪問者有意避開系統的訪問控制機制，則該訪問者對網絡設備及資源進行非正常使用屬于（ ）。

A.破壞數據完整性 B.非授權訪問

C.信息泄漏 D.拒絕服務攻擊

（6）計算機網絡安全是一門涉及計算機科學、網絡技術、信息安全技術、通信技術、應用數學、密碼技術和信息論等多學科的綜合性學科，是（ ）的重要組成部分。

A.信息安全學科 B.計算機網絡學科

C.計算機學科 D.其他學科

（7）實體安全包括（ ）。

A.環境安全和設備安全 B.環境安全、設備安全和媒體安全

C.物理安全和環境安全 D.其他方面

（8）在網絡安全中，常用的關鍵技術可以歸納為（ ）三大類。

A.計劃、檢測、防范 B.規劃、監督、組織

C.檢測、防范、監督 D.預防保護、檢測跟蹤、響應恢復

2.填空題

（1）網絡信息安全的五大要素和技術特征，分別是____、____、____、____和____。

（2）從層次結構上，計算機網絡安全所涉及的內容包括____、____、____、____和____等5個方面。

（3）網絡安全的目標是在計算機網絡的信息傳輸、存儲與處理的整個過程中，提高____的防護、監控、反應恢復和____的能力。

（4）網絡安全關鍵技術分為____、____、____、____、____、____、____和____八大類。

（5）網絡安全技術的發展趨勢具有____、____、____、____的特點。

（6）國際標準化組織（ISO）提出信息安全的定義是：為數據處理系統建立和采取的____保護，保護計算機硬件、軟件、數據不因____的原因而遭到破壞、更改和泄漏。

（7）利用網絡安全模型可以構建____，進行具體的網絡安全方案的制定、規劃、設計和實施等，也可以用于實際應用過程的。

3.簡答題

（1）威脅網絡安全的因素有哪些？

（2）網絡安全的概念是什么？

（3）網絡安全的目標是什么？

（4）網絡安全的主要內容包括哪些方面？

（5）簡述網絡安全的保護范疇。

（6）網絡管理或安全管理人員對網絡安全的側重點是什么？

（7）什么是網絡安全技術？什么是網絡安全管理技術？

（8）簡述常用網絡安全關鍵技術的內容。

（9）畫出網絡安全通用模型，并進行說明。

（10）網絡安全的實質和關鍵是網絡信息安全嗎？

4.實踐題

（1）安裝、配置并構建虛擬局域網（上機完成）。

下載并安裝一種虛擬機軟件，配置虛擬機并構建虛擬局域網。

（2）下載并安裝一種網絡安全檢測軟件，對校園網進行安全檢測和簡要分析。

（3）通過調研及參考資料，寫出一份網絡安全威脅的具體分析報告。