第 1 篇 桌面主机安全威胁与防护
教学目标
1.知识目标 l 掌握虚拟机的工作原理 l 掌握 ARP 协议的工作原理 l 了解 ARP 缓存的缺陷 l 掌握网络嗅探的工作原理 l 了解网卡工作原理 l 了解 TCP 三次握手的过程 l 了解主机和端口扫描的工作原理 l 掌握缓冲区溢出、蠕虫病毒、木马等概念 2.能力目标 l 专业能力 n 能熟练使用虚拟机 n 能安装并使用新工具 n 能设计网络安全实验 n 能使用 Wireshark 进行网络嗅探和协议分析 n 能检测和防御 ARP 欺骗攻击 n 能防御密码的暴力破解攻击 n 能检测和清除木马 n 能使用工具查杀蠕虫病毒 n 能鉴别多种网络钓鱼的手段 n 能设计和实施桌面主机整体防御方案 l 方法能力 n 能根据任务收集相应的信息 n 能通过自学快速掌握新的网络安全工具 n 能书写木马、病毒等攻击的诊断和防御方案 n 能通过自学认识一种新的网络攻击技术 l 社会能力 n 能加入一个团队并开展工作 n 能与相关人员进行良好的沟通3.素质目标 l 能遵守国家关于网络安全的相关法律 l 能遵守单位关于网络安全的相关规定 l 能恪守网络安全人员的职业道德
案例引入
2006 年 3 月 21 日下午 17 时左右,一名毕业不久参加工作的北京学生王某某通过网上银 行查询 A 银行账户余额时,发现账户分六次共被转走一万零九百元钱,王某某立即挂失该账 户并拨打了 110 报警。不幸的是这不是个案,2006 年 4 月来,北京地区使用 A 银行网上银行 的客户陆续遭受账户中的存款被人转移到陌生账号上,被盗金额从几百到一万不等。在 A 银 行官方网站论坛上,仅 2006 年 3 月份,发帖称网银账户被盗的用户就高达 21 人。2006 年 3 月 30 日,受害人任先生将自己被盗经历发表到猫扑论坛上,截至 2006 年 4 月 7 日,该帖已有 百余条跟帖,不少网友反映有相似被盗经历。任先生是某 IT 公司的技术人员,接受记者采访 时说,由于自己是计算机专业人员,一直都有很强的网络安全防范意识,银行密码采用字母和 数字的复杂组合,并不容易被破解,但没想到自己的网上银行账户仍然会被盗。 王某某和任先生等人的遭遇给我们敲响了警钟,网络安全问题已经深入到普通百姓的生 活中。假设你是网络警察,将怎样处理这件事?然后思考以下几个问题: 1.如果罪犯是受害者的同事,可能有哪些技术获取受害者的银行账号和密码? 2.如果罪犯是一个互联网上的黑客,可能采用哪些技术获取受害者的银行账号和密码? 3.普通百姓可以采用哪些措施保护自己的信息安全? 4.假如你的重要信息资料被人窃取,并有可能造成经济损失,该怎么办?第 1 章 网络安全基础
本章工作任务
l 安装 VMware 软件 l 使用 VMware 虚拟机组建网络1.1 网络安全概述
随着信息化的推广、计算机网络技术的成熟和网络应用的不断深入,网络已逐渐成为人 们日常生活乃至国家事务、经济建设、国防建设、尖端科学技术等重要领域必不可少的组成部 分,同时,信息已经成为和物质、能源同等重要的资源,对社会的发展变革起着极为重要的作 用。然而,由于我们对网络的依赖与日俱增,网络的安全性问题日益突出,蠕虫、木马、后门、 拒绝服务、垃圾邮件、系统漏洞、间谍软件等花样繁多的安全隐患和威胁开始一一呈现在我们 面前。 据国家互联网应急中心的统计,2010 年中国大陆有近 3.5 万个网站被黑客篡改,数量较 2009 年下降 21.5%,但其中被篡改的政府网站却高达 4635 个,比 2009 年上升 67.6%。省部级 和中央政府网站安全状况明显优于地市及以下级别的政府网站,但仍有约 60%的省部级网站 存在不同程度的安全隐患。政府网站安全性不高不仅影响了政府形象和电子政务工作的开展, 还给不法分子发布虚假信息或植入网页木马提供可乘之机。 网络违法犯罪行为的趋利化特征明 显,大型电子商务、金融机构、第三方在线支付网站成为网络钓鱼的主要对象,黑客仿冒上述 网站或伪造购物网站诱使用户登录和交易,窃取用户账号密码、造成用户经济损失。2010 年, 国家互联网应急中心共接收网络钓鱼事件举报 1597 件,较 2009 年增长 33.1%, “中国反钓鱼 网站联盟”处理钓鱼网站事件 20570 起,较 2009 年增长 140%。2010 年,由于扩大了监测范 围,国家互联网应急中心全年共发现近 500 万个境内主机 IP 地址感染了木马和僵尸程序,较 2009 年大幅增加。 2010 年,在工业和信息化部的指导下,国家互联网应急中心会同电信运营企业、域名从 业机构持续开展木马和僵尸网络专项打击行动,成功处置境内外 5384 个规模较大的木马和 僵尸网络控制端和恶意代码传播源。监测结果显示,相对 2009 年数据,远程控制类木马和 僵尸网络的受控主机数量下降了 25%,治理工作取得一定成效。然而,黑客也在不断提高技 术对抗能力,2010 年截获的恶意代码样本数量特别是木马样本数量,较 2009 年明显增加, 木马和僵尸网络治理工作仍任重道远。此外,网络设备、服务器系统、操作系统、数据库软 件、应用软件乃至安全防护产品普遍存在安全漏洞,高危漏洞会带来严重的安全隐患。2010 年,国家互联网应急中心发起成立的“国家信息安全漏洞共享平台(CNVD) ”共收集整理件 Discuz!高危漏洞、MySQL yaSSL 库证书解析远程溢出漏洞、Microsoft IE 对象重用远程攻 击漏洞、 Microsoft Windows 快捷方式 ‘LNK’ 文件自动执行漏洞、 IBM 公司 Lotus Domino/Notes 群件平台密码散列泄露漏洞、工业自动化控制软件 KingView 6.5.3 缓存区溢出漏洞等。CNVD 2010 年收集整理的漏洞中, 应用程序漏洞占 62%, 操作系统漏洞占 16%, Web 应用漏洞占 9%, 分列前 3 位 1 。 由于我国计算机芯片和关键网络设备等主要依赖进口,操作系统也是以国外生产的为主, 因此存在的安全隐患更是不言而喻。系统漏洞和硬件后门是非法入侵的主要途径,网络攻击的 威胁不容忽视。目前,我国各类网络系统经常遇到的安全威胁有恶意代码(包括木马、病毒、 蠕虫等),拒绝服务攻击(常见的类型有带宽占用、资源消耗、程序和路由缺陷利用以及攻击 DNS 等),内部人员的滥用和蓄意破坏,社会工程学攻击(利用人的本能反应、好奇心、贪便宜 等弱点进行欺骗和伤害等),非授权访问(主要是黑客攻击、盗窃和欺诈等)等,这些威胁有的 是针对安全技术缺陷,有的是针对安全管理缺失。2010 年 1 月 12 日,百度遭受到了自建立以来 时间最长、影响最严重的黑客攻击。2010 年 9 月,伊朗布什尔核电站遭到 Stuxnet 病毒攻击,导 致核电设施推迟启用。Stuxnet 病毒是一种蠕虫病毒,利用 Windows 系统漏洞和移动存储介质传 播,专门攻击西门子工业控制系统。业界普遍认为,这是第一次从虚拟信息世界对现实物理世 界的网络攻击。工业控制系统在我国应用十分广泛,工业控制系统安全值得高度关注 1 。 政府、民间组织、个人用户对网络安全问题越来越重视,网上银行、证券、信贷、国家 事务、国防建设、尖端科学技术领域、经济建设、公共信息服务领域等关键性网络系统越来越 综合运用虚拟网技术、防火墙技术、入侵检测技术、安全漏洞扫描技术、防病毒技术、加密技 术、数字认证技术等多种安全技术措施,信息系统的安全问题得到基本保障。在国家互联网应 急中心 2010 年的调查报告中,有 98%的企业网络使用了防火墙,69%的企业网络使用了入侵 检测系统(IDS),97%的系统使用了防病毒软件。据 2010 年全国信息网络安全状况与计算机 病毒疫情调查报告分析,95%的被调查单位设立了专职或兼职安全管理人员,24%的单位建立 了安全组织。64%的被调查单位还采购了信息安全服务,主要采购的服务有系统维护(67%)、 安全检测(48%)、容灾备份与恢复(31%)、应急响应(19%)、信息安全咨询(25%)。此外, 有 62%的单位进行存储备份,65%的单位进行口令加密和访问控制,43%的单位制定了安全管 理规章制度。 这些表明, 网络用户的安全防范意识在不断增强, 安全管理措施逐步得到了落实, 网络安全状况逐步得到控制并转好 1 。 1.1.1 什么是网络安全 网络安全是指网络系统中的软、硬件设施及其系统中的数据受到保护,不会由于偶然的 或是恶意的原因而遭受到破坏、更改和泄露,系统能够连续、可靠地正常运行,网络服务不被 中断。从本质上说,网络安全就是网络上的信息安全,网络安全的特征主要有系统的完整性、 可用性、可靠性、保密性、可控性、抗抵赖性等方面 2 。 (1)完整性 1 国家互联网应急中心: “2010 年中国互联网网络安全报告” ,http://www.cert.org.cn/articles/docs/common/ 2011042225342.shtml. 2 马民虎.互联网信息内容安全管理教程[M].北京:中国人民公安大学出版社,2007:3740.
完整性是指网络信息数据未经授权不能进行改变,即网络信息在存储或传输过程中保持 不被偶然或蓄意地删除、修改、伪造、乱序、重放、破坏和丢失。完整性是网络信息安全的最 基本特征之一。要求网络传输的信息端到端、点到点是保持不变的,在存储上能够保持信息 100%的准确率,即网络信息的正确生成、正确存储和正确传输。 (2)可用性 可用性是指网络信息可被授权实体访问并按需求使用,即网络信息服务在需要时允许授 权用户或实体使用, 或者是网络部分受损或需要降级使用时仍能为授权用户提供有效服务。 可 用性是网络信息系统面向用户的安全性能, 网络信息系统最基本的功能是向用户提供服务, 用 户的需求是随机的、多方面的,有时还有时间要求,可用性一般用系统正常使用时间和整个工 作时间之比来度量。 (3)可靠性 可靠性是指网络信息系统能够在规定条件和规定时间内完成规定功能。可靠性是网络安 全的最基本要求之一,是所有网络信息系统的建设和运行目标。 (4)保密性 保密性是指网络信息不被泄露给非授权的用户、实体或过程,或供其利用,即防止信息 泄漏给非授权个人或实体, 信息只为授权用户使用。 保密性是在可靠性和可用性基础之上保障 网络信息安全的重要手段。 (5)可控性 可控性是指网络对其信息的传播内容具有控制能力,不允许不良信息通过公共网络进行 传输。 (6)抗抵赖性 抗抵赖性是指在网络信息系统的信息交互过程中,确信参与者的真实同一性,即所有参 与者都不可能否认或抵赖曾经完成的操作和承诺。 利用信息源证据可以防止发信方不真实地否 认已发送信息, 利用递交接收证据可以防止收信方事后否认已经接收的信息。 数字签名技术是 解决不可抵赖性的一种手段。 网络信息的保密性、完整性、可用性、真实性(抗抵赖性)和可控性又被称为网络安全 目标, 对于任何一个中小型网络系统都应该实现这五个网络安全基本目标, 这就需要网络安全 架构具备防御、监测、应急、恢复等基本功能 3 。 (1)网络安全防御是指采取各种技术手段和措施,使网络系统具备阻止、抵御各种已知 网络威胁的能力。 (2)网络安全监测是指采取各种技术手段和措施,使得系统具备检测、发现各种已知或 未知的网络威胁的能力。 (3)网络安全应急指采取各种技术手段和措施,针对网络系统中的突发事件,使得网络 具备及时响应、处置网络攻击的能力。 (4)网络安全恢复是指采取各种技术手段和措施,针对已经发生的网络灾害事件,使得 网络具备快速恢复网络系统运行的能力。 3 蒋建春等.计算机网络信息安全理论与实践教程[M].西安:西安电子科技大学出版社,2005:192195.
1.1.2 中小型网络安全面临的主要威胁 1.自然威胁 自然威胁可能来自于各种自然灾害,如地震、火灾、水灾等。网络设备在恶劣的环境下 会对数据的传输造成不小的影响, 还有如电磁辐射和干扰、 网络设备的自然老化等这些非人为 的自然威胁都会直接或间接地影响网络安全。 2.物理威胁 物理威胁主要体现在物理设备上,物理设备是整个网络及计算机系统的基础,物理设备 的安全会直接影响整个网络信息安全,保证所有组成网络信息系统的设备、场地、环境及通信 线路的物理安全是整个计算机网络信息安全的前提。 如果物理设备安全得不到保证, 整个网络 信息安全也就不可能实现。 3.常见的网络安全威胁 (1)黑客攻击 黑客是指利用网络技术中的一些缺陷和漏洞,对计算机系统进行非法入侵的人,黑客攻 击的意图是阻碍合法网络用户使用相关服务或破坏正常的商务活动。 黑客对网络的攻击方式是 千变万化的,黑客的攻击方式一般是利用“操作系统的安全漏洞” 、 “应用系统的安全漏洞” 、 “系统配置的缺陷” 、 “通信协议的安全漏洞”等来实现。到目前为止,已经发现的攻击方式超 过 2000 种,对绝大部分黑客攻击手段已经有相应的解决方法。 (2)非授权访问 非授权访问是指未经授权实体的同意获得了该实体对某个对象的服务或资源。非授权访 问通常是通过在不安全通道上截获正在传输的信息或者利用服务对象的固有弱点实现的, 非授 权访问没有预先经过同意就使用网络或计算机资源,或擅自扩大权限和越权访问信息。 (3)计算机病毒、木马与蠕虫 对信息网络安全的一大威胁就是病毒、木马与蠕虫。在今天的网络时代,计算机病毒、 木马与蠕虫已经千变万化,而且产生了很多新的形式及特征,对网络的威胁非常大。 1.1.3 打造中小型网络安全架构 打造一个安全的中小型网络架构环境:首先要建立单位自己的网络安全策略;其次根据 现有网络环境可能存在的安全隐患进行网络安全风险评估;再次确定单位需要保护的重点信 息;最后选择合适的网络安全防护设备。 1.建立网络安全策略 网络安全的本质就是信息的安全,中小型网络安全的重点应该落实到信息保护上,保护 住关键的业务数据才是中小型网络安全的重中之重。 一个单位的网络绝不能简单地定为安全或 者不安全,每个单位在建立网络安全体系之初,应该将网络内的应用清单罗列出来,再针对不 同的应用给予不同的安全等级定义。 需要制定科学合理的安全策略及安全方案来确保网络系统 的保密性、完整性、可用性、可控性与可审查性,对关键数据的防护要采取“进不来、出不去、 读不懂、改不了、走不脱”的五不原则 4 。 4 胡道元.信息网络系统集成技术[M].北京:清华大学出版社,1995:2628.
(1) “进不来”——可用性:授权实体有权访问数据,让非法的用户不能够进入网络。 (2) “出不去”——可控性:控制授权范围内的信息流向及操作方式,让网络内的机密 不被泄露。 (3) “读不懂”——保密性:信息不暴露给未授权实体或进程,让未被授权的人拿到信 息也看不懂。 (4) “改不了”——完整性:保证数据不被未授权的实体或进程修改。 (5) “走不脱”——可审查性:为出现的安全问题提供侦破手段与法律依据。 2.信息安全等级划分 根据我国《信息安全等级保护管理办法》,我国所有的企事业单位都必须对信息系统分等 级实行安全保护,对等级保护工作的实施进行监督、管理。具体划分情况如下 5 : 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不 损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害, 或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安 全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国 家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 因此,企事业单位在构建网络信息安全架构之前都应该根据《信息安全等级保护管理办 法》,经由相关部门确定单位的信息安全等级,并依据界定的信息安全等级对单位可能存在的 网络安全问题进行网络安全风险评估。 3.网络安全风险评估 网络安全风险是指由于网络系统所存在的脆弱性,因人为或自然的威胁导致安全事件发 生所造成的可能性影响。 网络安全风险评估是指依据有关信息安全技术和管理标准, 对网络系 统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程 6 。 网络安全风险评估对中小型网络安全意义重大。首先,网络安全风险评估是网络安全的 基础工作,它有利于网络安全规划和设计以及明确网络安全的保障需求;其次,网络安全风险 评估有利于网络的安全防护,使得单位能够对自己的网络做到突出防护重点及分级保护。 4.确定网络内的保护重点 (1)着重保护服务器、存储设备的安全。 一般来说,大量有用的信息都保存在服务器或者存储设备上,在服务器上文件的安全性 比单机上要高得多。 在实际工作中应该要求员工把相关的资料存储在单位服务器中, 因为单位 可以对服务器采取统一的安全策略, 例如及时对相关信息进行备份、 采取统一的访问控制策略、 利用服务器访问日志记录服务器的访问信息, 还可以通过统一的安全策略限制不同用户登录的 5 中华人民共和国中央人民政府: “关于印发《信息安全等级保护管理办法》的通知” ,http://www.gov.cn/gzdt/ 200707/24/content_694380.htm. 6 陈琳羽.浅析信息网络安全威胁[J].办公自动化.2009,(02).
访问权限等。 (2)边界防护是重点。 边界防护是中小型网络防护的重点。网络边界是单位网络与其他网络的分界线,对网络 边界进行安全防护, 首先通过网络安全风险评估来确定哪些网络边界需要防护, 根据实际业务 和信息敏感程度定义信息安全资产; 其次对安全资产定义安全策略和安全级别, 对于安全策略 和安全级别相同的安全资产, 可以认为属于同一安全区域。 一个典型的中小型网络可以划分为: 互联网连接区、广域网连接区、外联数据区、数据中心区、内网办公区、网络管理区等。 (3) “禁区”保护。 对于某些极其重要的部门,将其划为禁区,例如单位内部的一些研发、生产、客户部门, 在这些区域可以采用虚拟网技术或者物理隔离技术来保证网络的安全性。 (4)终端计算机的防护。 与服务器、存储和边界防护相比,终端计算机的安全级别相对较低,但中小型网络内的 安全事件往往都是从终端计算机发生的。 对于终端计算机防护, 最基本的病毒防护和策略审计 都是必不可少的。 1.1.4 常用网络安全设备与技术 1.防火墙技术 防火墙技术是目前最为流行也是使用最为广泛的一种网络安全技术,目的是防止未经允 许和未被授权的通信出入被保护的内部网络, 并且允许某个机构对流入和流出内联网的信息流 加强安全策略。防火墙对流经它的网络通信进行扫描,能够过滤掉一些网络攻击,以免其在目 标计算机上被执行。 防火墙还可以关闭不使用的端口, 以封锁木马, 禁止来自特殊站点的访问, 以防止来自不明入侵者的所有通信 7 。目前,防火墙所用的主要技术有数据包过滤、应用级网 关和代理服务器等 2.入侵检测系统(IDS) 入侵检测是指对入侵行为的检测,它通过收集和分析网络行为、安全日志、审计数据、 其他网络上可以获得的信息以及计算机系统中若干关键点的信息, 检查网络或系统中是否存在 违反安全策略的行为和被攻击的迹象。 入侵检测系统与防火墙不同, 防火墙限制网络之间的访 问,目的在于防止入侵,但并不对来自网络内部的攻击发出警报信号。但是,IDS 可以在入侵 发生时,评估可疑的入侵并发出警告,IDS 还可以观察源自系统内部的攻击。从这个意义上来 讲,IDS 安全工作做得更全面。 3.漏洞扫描系统 漏洞扫描是增强系统安全性的重要措施之一,它能够有效地预先评估和分析系统中的安 全问题。漏洞扫描系统按功能可分为:操作系统漏洞扫描、网络漏洞扫描和数据库漏洞扫描。 网络漏洞扫描系统是指通过网络远程监测目标网络和主机系统漏洞的程序, 它对网络系统和设 备进行安全漏洞检测和分析,从而发现可能被入侵者非法利用的漏洞 8 。 安全漏洞主要存在于三个方面:网络中能为非授权机器提供物理接入的网络接口漏洞、 7 彭卓峰.防火墙技术应用分析[J].大众科技.2004,(04). 8 单蓉胜,王明政等.基于策略的网络安全模型及形式化描述[J].计算机工程与应用.2005,(19).
软件安全漏洞、不兼容软件设备捆绑使用产生的安全漏洞。对于“物理漏洞” ,可以通过网络 管理人员加强网络管理来控制或避免; 对于后两种网络漏洞, 可以通过漏洞扫描系统扫描后下 载相应的漏洞补丁,以保证操作系统、内部网络和应用服务器的安全。 4.数据备份系统 重要数据的备份与恢复已经成为网络安全的一项重要的工作。由于网络技术的不断更新, 现在备份工作的主动性、实用性、完整性、经济性也随着备份方案一起被列入议事日程,以确 保出现问题时能够及时恢复重要数据 9 。 备份策略有: (1)避免不必要的备份 备份的文件越多,备份所需的时间越长,同时还原文件的时间也越长。 (2)选择适当的备份时间 对于执行有效备份并对用户造成最小的影响,不同环境有不同的需求。例如,备份电子 商务环境与备份企业局域网环境是不同的。在公司局域网中网络使用率在基本工作时间之外 通常会下降,但是在电子商务环境中网络使用率通常在傍晚增加,而且这一水平将一直持续 到凌晨,尤其是客户群跨越多个时区时。因此,确定环境备份的最佳时间,将可以减少对用 户的影响。 (3)选择适当的存储媒体 具有“容灾”性能的远程备份解决方案是目前最好的备份解决方案。容灾系统是指在两 个区域分别建立两套或多套安全的系统, 他们互相之间可以进行系统状态监视和功能切换, 当 其中一个区域停止工作时, 这个区域的整个应用系统立即切换到另一个区域, 使得该区域的系 统功能可以继续正常工作。 5.防病毒技术 对计算机病毒首先是预防,如果病毒突破我们的“防线” ,则需要检测并清除检测到的病 毒。因此也就产生了四种计算机病毒防治技术:病毒预防技术、病毒检测技术、病毒消除技术 和病毒免疫技术 10 。 6.数据加密技术 数据加密技术是指对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息 的真实内容的一种技术手段。 数据加密措施是为了提高信息系统及数据的安全性和保密性, 防 止秘密数据被外部获取。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整 性的鉴别以及密钥管理技术四种 11 。
1.2 构建虚拟局域网
计算机虚拟化技术是指多个操作系统在同一时间运行在同一台主机上。通过这种技术, 在一台机器上可以同时支持 Linux、Windows、UNIX 等操作系统一起运行,可以将基于不同 9 刘远生.计算机网络安全[M].北京:清华大学出版社,2006:1213. 10 马时来.计算机网络使用技术教程[M].北京:清华大学出版社,2007:1920. 11 姚军伟,左军.信息加密技术在军事领域的应用[J].计算机安全,2005,(10).操作系统的应用所提供的服务一起提供给用户, 提高了计算机的利用率, 减少了系统管理的复 杂度。 虚拟化技术能将基础设施的一些复杂性隐藏起来,即用户不需要知道服务或者应用在哪 里,只要以一种简单的方法获得它,背后的复杂性是用户看不到的。同时,它具有自动恢复的 功能,当系统出现故障后,能够自动诊断,并通过改变系统的配置自动恢复。 1.2.1 什么是虚拟机 所谓虚拟计算机(简称虚拟机),实际上就是一种应用软件。广义上来说,Word、WPS 也算是虚拟机,只不过它们是只能做文字处理的机器而已。狭义上来说,虚拟机是指在一台电 脑上将硬盘和内存的一部分拿出来“虚拟”出若干台机器,每台机器可以运行单独的操作系统 而互不干扰,这些“新”机器各自拥有自己独立的 CMOS、硬盘和操作系统,你可以像使用 普通机器一样对它们进行分区、格式化、安装系统和应用软件等操作,还可以将这几个操作系 统联成一个网络。 虚拟机实际上就是几个较特别的文件而已, 所有操作改变的只是这几个文件 的数据,不会影响到现有操作系统,在虚拟系统崩溃之后可直接删除不影响本机系统,同样, 本机系统崩溃后也不影响虚拟系统,可以下次重装后再加入以前做的虚拟系统 12 。 目前,主流的虚拟机软件是 VMware,它是美国 VMware 公司推出的虚拟机系统,可以在 一台 X86 微机上并行地运行多个不同的操作系统,或者同一个操作系统的不同版本,包括 Linux、UNIX、Windows 及 FreeBSD 系列等。它采用的是 Intel x86 CPU 的保护方式,而不是 仿真,因此,不存在性能上的问题,一个系统的崩溃并不影响其他正在运行的系统。 VMware 虚拟机系统具有以下特点 13 :
(1)VMware 模拟硬件,VMware 模拟出来的硬件包括主板、内存、硬盘(IDE 和 SCSI) 、
DVD/CDROM、软驱、网卡、声卡、串口、并口和 USB 口。VMware 没有模拟出显卡,但是, VMware 为每一种 Guest OS 提供一个叫做 VMwaretools 的软件包来增强 Guest OS 的显示和鼠 标功能。 (2)VMware 模拟出来的硬件是固定型号的,与主机操作系统的实际硬件无关。如在一 台机器里用 VMware 安装了 Linux,可以把整个 Linux 拷贝到其他有 VMware 的机器里运行, 不必再安装。 (3)VMware 为客户机操作系统的运行提供以下三种选项: ①持久:客户机操作系统运行中所做的任何操作都及时存盘。 ②非独立:客户机操作系统关闭时会询问是否对所做的操作存盘。 ③非持久:客户机操作系统运行中所做的任何操作,在虚拟机关闭后等于没做过。这在 进行软件测试或试验时十分有效。 (4) 虽然 VMware 只是模拟一个虚拟的计算机, 但是它就像物理计算机一样提供了 BIOS。
VMware 模拟的是 Phoenix 的 BIOS,例如,连续按下 F2 键可进入 BIOS 设置界面,按左右箭 头键选中“BOOT”菜单项,再按上下箭头键选中“CDROM Drive”项,然后按“+”号键 将其调到最顶层,这样即可将光驱设置成优先启动。
12 王春海.虚拟机配置与应用完全手册[M].北京:人民邮电出版社,2008:1112.
(5)每一个在主机上运行的虚拟机操作系统都是相对独立的,拥有自己独立的网络地 址,就像单机运行一个操作系统一样提供全部的功能。而且,当计算机在同时运行多个操作 系统的情况下,如果其中一个客户机操作系统崩溃,则不会影响其他客户机操作系统的正常 运行。 (6)随时改变内存。单击相应虚拟机的标签页,在其中单击“编辑虚拟机/设置” ,或单 击菜单“虚拟设置” ,可以打开配置窗口。在左侧设备列表中选中“内存”项,然后在右侧拖 动“这台虚拟机的内存大小”中的滑块,即可设置该虚拟机所用内存的大小。虚拟机内存设置 得过大而超出了实际的物理内存时,虚拟机将无法运行,这时可适当调小内存。 (7)增强虚拟机的多媒体功能。在虚拟机上安装的 Windows 系统,默认情况下只有 16 色,没有声音。为了改善虚拟机的多媒体效果,VMware 为用户准备了一套称为 VMware tools 的工具软件。它的主要功能如下: ①模拟显卡,使虚拟机支持 32 位显示和高分辨率。 ②在主机与虚拟机之间使时间同步。 ③在不安装 VMware tools 时,需要使用键盘上的 Ctrl+Alt 键才能释放出被虚拟机束缚的 鼠标。但是,安装 VMware tools 之后,鼠标可以在虚拟机、主机之间随意移动、切换。 ④允许主机和客户机之间或者一台虚拟机和另一台虚拟机之间直接进行复制和粘贴操作。 (8)抓取开机画面。在 VMware 中可抓取开机画面、BIOS 界面、操作系统安装界面等 特殊界面,单击菜单“文件/抓取屏幕图像” ,就能把虚拟机上正在运行的画面保存下来。 (9)虚拟机一键恢复。VMware 提供了还原功能,随时都可以单击菜单栏上的“虚拟机/ 快照/生成快照”按钮保存当前系统状态,一旦虚拟机出了问题,就可以单击工具栏上的“还 原”按钮,把系统恢复到保存系统的状态。 (10)其他特点: ①备份虚拟机: 对宿主计算机而言, 一个 VMware 虚拟机只不过是几个文件而已。 VMware 在创建虚拟机的过程中, 其中的一个步骤就是询问你将虚拟机文件保存于何处, 当我们为虚拟 机安装好操作系统并设置好之后, 就可以将这个文件夹中的所有文件做个备份, 当虚拟机出现 问题的时候,只要用备份文件覆盖一下,就什么问题都解决了。 ②录像:这是 VMware Workstation 5.X 以后版本新增功能,可以将虚拟机的操作和使用情 况录制成 AVI 文件,这对于演示有很大帮助。
③高版本的虚拟机软件对 Windows 2000 系统的兼容性更好,在 VMware Workstation 5.5 以前版本中运行 Windows 2000 的虚拟机时,在进行一些磁盘类的操作如拷贝时,经常会出现 “蓝屏死机”现象,而在 5.5 以上版本中则解决了这个问题。 1.2.2 VMware 虚拟机操作系统安装 我们以 Windows XP 作为主机操作系统,先安装虚拟机软件 VMware Workstaion,然后再 安装 Windows Server 2003、Windows XP Professional 和 Linux 三类虚拟机操作系统。 1.安装 Windows Server 2003 在虚拟机窗口下依次选择“文件”à“新建”à“虚拟机” (见图 11)进入安装向导, 选择“典型” ,单击“下一步”选择安装介质,将安装盘放入光驱或者定位 ISO 文件位置(见 图 12),在下一步中输入操作系统序列号和初始管理员用户名密码(见图 13),单击“下一
步”命名虚拟机并选择安装文件夹(见图 14),进入到指定磁盘容量对话框(见图 15),选
择“默认” ,最后单击“完成” ,其安装过程如图 16 所示,运行界面如图 17 所示。
图 11 新建虚拟机
图 13 输入系统序列号和管理员用户名密码
图 15 指定磁盘容量
图 17 虚拟机运行界面 如果还要建一个 Windows Server 2003 虚拟机,就不用再重新安装一次,只需先给已安装 的 Windows Server 2003 虚拟机建立一个快照,然后以快照为源进行克隆,这样既方便又快捷。 2.安装 Windows XP Professional 安装 Windows XP Professional 的方法大致与安装 Windows Server 2003 一致,只不过在分 配磁盘容量时只给予较少的空间就够了。 安装 Windows XP Professional 的目的是作为客户虚拟 机来测试 VMware Workstation 的各项功能。 3.安装 Linux 安装 Linux 操作系统的方法与安装 Windows Server 2003 基本相同,但是在操作系统“版 本” 栏中应选择相应的 Linux 版本, 并将系统安装光盘放入光驱或者将安装的 ISO 文件定位就 可以了,安装好 Linux 虚拟机后进入登录界面(见图 18)。 启动 Linux 虚拟机后,单击“虚拟机”菜单,在下级菜单中单击安装 VMware 工具,这时, 如果安装盘放在光驱中,则会在 Linux 桌面弹出标有 VMware Tools 字样的光盘图标,双击它 就会出现光盘中的内容: VMware Tool5.5.119175.i386.rpm 和 VMware Tool5.5.119175.tar.gz, 双击其中一个文件即可安装 VMware 工具包。 1.2.3 VMware 虚拟机联网工作模式 VMware 提供了一些虚拟设备和使用这些设备联网的方法, 只要理解了这些设备和联网的 原理就可以组建不同的网络。 1.虚拟网络设备 VMware 提供了 10 个虚拟网络设备 VMnet09(见图 19),这些设备可以充当交换机,通
过这些设备,主机和虚拟机就可以组建任何形式的局域网。如果主机系统的配置足够高,可以 虚拟多个服务器。
图 18 虚拟机中的 Linux 登录界面
2.VMware 的三种工作模式
VMware 提供了三种工作模式: Bridged (桥接模式)、 NAT (网络地址转换模式)、 Hostonly
(仅主机模式)。这三种模式主要是为了用户建立虚拟机后可以根据现实网络情况方便地把虚 拟机接入网络。只要理解了这三种模式的工作原理,就可以用 VMware 定制自己的网络结构。 当安装完成 VMware Workstation 后,我们会发现在网络连接里新增了两块虚拟网卡(见图 110),用 ipconfig 命令查看新增加网卡的属性,发现这两块网卡分别属于不同的子网。 图 110 主机中新增的两块虚拟网卡 VMware 虚拟网络的方法是把计算机连接到 VMnet09 中的一个虚拟交换机,连接的方式 有以下三种: (1)仅主机(Hostonly)模式 仅主机模式的虚拟机位于 VMware 虚拟网络的 VMnet1 子网内,一般,该子网的虚拟机只 能与 VMnet1 网内的其他虚拟机以及主机通信,而不能与主机所处的局域网通信。 ①特点:在主机上建立了一个独立的私有网络,外部网络和虚拟机不能通信。 ②联网方法: 第一步,将主机连接到虚拟交换机上。方法:给主机系统添加一块虚拟网卡,但只能是 虚拟网卡 VMnet19 中的一块。VMware 给主机添加虚拟网卡的同时会给主机添加一个“网络 连接” ,这时主机系统就与相应的虚拟交换机相连了,如选择虚拟网卡 VMnet3,它就连到了 虚拟交换机 VMnet3。 第二步,把虚拟机连接到虚拟交换机上。方法:在网卡的网络设置中选“仅主机”选项, 它就默认连接到虚拟交换机 VMnet1 上。如果主机不是连接到虚拟交换机 VMnet1 上时,则选
“自定义”选项,并指定连接到所需的虚拟交换机(如虚拟交换机 VMnet3),否则无法通信, 因为主机和虚拟机系统没有连到同一个虚拟交换机上。 (2)桥接(Bridged)模式 桥接模式组建的网络在 VMware 中以 VMnet0 表示, 可以看成主机所在的真实局域网在虚 拟机网络中的映射, 通过 VMnet0 接入网络的虚拟机相当于通过一个交换机和你的真实机器一 起接入了你实际所在的局域网。如果你的局域网提供了 DHCP 服务,那么你的桥接网络机器 可以自动获得局域网的 IP。如果你在通过桥接网络接入的虚拟机上运行 ipconfig 命令,可以看 到虚拟机的 IP 地址处于现实的局域网段内。对于局域网上的其他机器而言,就如同本网段新 增了一台真实的机器一样。 ①特点:在主机所处网络上虚拟机显示为和主机一样的一台额外的计算机,它与主机在 主机所处网络上的地位是一样的。外部网络和虚拟机可以互相访问。 ②联网方法: 第一步,把虚拟机连接到虚拟交换机上。方法:在网卡的网络设置中选“桥接”选项, 它就默认连接到虚拟交换机 VMnet0 上。 第二步,将主机连接到虚拟交换机上,当把虚拟机桥接到某一个虚拟交换机时主机就自 动和该虚拟交换机相连了。 (3)网络地址转换(NAT)模式 使用这种模式建立的虚拟机位于 VMnet8 子网内, 在这个子网中, VMware 还提供了 DHCP 服务让子网中虚拟机可以方便地获得 IP 地址。当然,你也可以为处于此子网中的虚拟机手动 设置 IP,但地址必须在 VMnet8 设定的网段内。这时,主机将作为 VMnet8 的网关,即虚拟网 络 VMnet8 与现实局域网之间的路由器在两个网段间转发数据。VMnet8 的特殊之处在于 VMware 为这个网段默认启用了 NAT 服务。 ①特点:虚拟机可通过主机连接 Internet。 ②联网方法: 第一步,把虚拟机连接到虚拟交换机上。方法:在网卡的网络设置中选“网络地址转换” 选项,它就默认连接到虚拟交换机 VMnet8 上,而且自动将 NAT 服务功能赋予虚拟交换机 VMnet8。如果选用其他虚拟交换机,只能先将 NAT 服务功能赋予这个虚拟交换机,然后才能 选用此虚拟交换机。 第二步,将主机连接到虚拟交换机上,方法与仅主机模式相似。 第三步,使主机连接上网。 3.主机中新增虚拟设备 VMware 的三种网络模式只是为了方便快速地将虚拟机加入现实网络的一种预定义模式 而已,当你安装好 VMware Workstation 后,软件会预先设置好三个虚拟子网以对应三种基本 模式。 我们可以通过定制这些网络的属性改变它的默认行为, 例如让 Hostonly 模式转变为 NAT 模式,也可以向主机添加更多的虚拟网卡从而启用更多的虚拟子网(虚拟子网数最多可以有 9 个)。主机是所有虚拟子网的中心,连接着全部虚拟子网。同时,你可以向一台虚拟机中加入 多块分属不同虚拟网络的网卡(见图 111),让一台虚拟机连接不同的虚拟子网。这样,由连 接全部虚拟子网和现实网络的主机与多台属于一个或多个虚拟子网的虚拟机共同组建复杂的 虚拟与现实混合网络,我们可以在这个“真实”的虚拟网络中实现各种网络技术。之所以在这
个虚拟网络前面加上“真实”两个字,因为在这个虚拟网络中执行任何操作的方法与在现实网 络中是一致的,虚拟机上安装的全是真实的操作系统,除了你不用与交换机、网线等硬件设备 打交道外, 与现实网络没有任何区别。 你可以把这个虚拟网络接入现实网络并与现实网络中的 其他系统通信,此时,对于现实网络中的客户机而言,与之通信的虚拟机与其他任何现实网络 系统中的终端没有任何区别。 图 111 向真实主机添加虚拟网卡 1.2.4 继续训练
1.请使用 VMware Workstation 软件制作三个虚拟机系统,分别为 Windows Server 2003 系统、Windows XP professional 系统和 Linux 系统,并将三个系统部署在同一个虚拟网段内, 实现三个系统之间的数据通信。 2.在虚拟系统关闭的情况下,宿主主机如何访问虚拟系统的虚拟硬盘,请给出操作步骤。 3.使用虚拟机的快照和克隆功能,给出操作步骤,并说明快照和克隆有什么区别。
本章小结
1.网络安全的特征主要有系统的完整性、可用性、可靠性、保密性、可控性、抗抵赖性 等方面。常见的网络威胁有黑客攻击、非授权访问、计算机病毒、木马和蠕虫。 2.关键数据的防护要采取“进不来、出不去、读不懂、改不了、走不脱”的五不原则。 根据我国《信息安全等级保护管理办法》信息安全等级划分为 5 级。 3.所谓虚拟计算机(简称虚拟机),实际上就是一种应用软件。狭义上虚拟机是指在一台电脑上将硬盘和内存的一部分拿出来虚拟出若干台机器, 每台机器可以运行单独的操作系统 而互不干扰,这些“新”机器各自拥有自己独立的 CMOS、硬盘和操作系统,可以像使用普 通机器一样对它们进行分区、格式化、安装系统和应用软件等操作,同时还可以将这几个操作 系统联成一个网络。
4.VMware 的三种工作模式:Bridged(桥接模式)、NAT(网络地址转换模式)、Hostonly
(仅主机模式),这三种模式主要是为了用户建立虚拟机后可以根据现实网络情况方便地把虚 拟机接入网络。以 VMware Workstation 虚拟化软件为例描述常用的虚拟机系统制作和虚拟网 络搭建的操作过程。
本章习题
一、选择题 1.下面( )不是网络安全的特征。 A.可用性 B.保密性 C.可靠性 D.性价比 2.下面( )不是网络安全架构应具备的基本功能。 A.监测 B.恢复 C.简单 D.应急 3.下面( )不是防火墙所采用的主要技术。 A.数据包过滤 B.数据包防重放 C.应用级网关 D.代理服务器 4.对关键数据的防护要采取“进不来、出不去、读不懂、改不了、走不脱”的五不原则,其中“进不 来”对应网络安全的( )特征。 A.保密性 B.完整性 C.可控性 D.可审查性 E.可用性 5.对关键数据的防护要采取“进不来、出不去、读不懂、改不了、走不脱”的五不原则,其中“出不 去”对应网络安全的( )特征。 A.保密性 B.完整性 C.可控性 D.可审查性 E.可用性 6.对关键数据的防护要采取“进不来、出不去、读不懂、改不了、走不脱”的五不原则,其中“读不 懂”对应网络安全的( )特征。 A.保密性 B.完整性 C.可控性 D.可审查性 E.可用性 7.对关键数据的防护要采取“进不来、出不去、读不懂、改不了、走不脱”的五不原则,其中“改不 了”对应网络安全的( )特征。 A.保密性 B.完整性 C.可控性 D.可审查性 E.可用性 8.对关键数据的防护要采取“进不来、出不去、读不懂、改不了、走不脱”的五不原则,其中“走不 脱”对应网络安全的( )特征。 A.保密性 B.完整性 C.可控性 D.可审查性 E.可用性9.下面( )不是 VMware 提供的网络工作模式。 A.Bridged(桥接模式) B.NAT(网络地址转换模式) C.Hostonly(仅主机模式) D.路由模式 10.( )不是常用的网络安全设备。 A.防火墙 B.入侵检测系统 C.路由器 D.防毒墙 二、简答题 1.计算机网络安全的主要特征是什么? 2.中小型网络的主要安全威胁来自哪几方面? 3.请描述你当前使用的网络环境中所涉及的安全设备与相关技术。 4.什么是虚拟机? 5.VMware 虚拟机软件提供哪些联网工作模式?有什么特点? 6.计算机网络安全主要包括哪些内容? 7.打造中小型网络安全架构有哪些步骤? 8.简述信息安全等级划分原则。 9.信息安全风险评估的目的是什么? 10.描述入侵检测系统和防火墙的相同点和不同点。 11.观看黑客电影,撰写一篇影视评论。推荐观看以下影视作品: 《战争游戏》 《骇客追辑令》 《逍遥法外》 《战争游戏 2:死亡代码》 《碟中谍》
