2.3 计算机网络安全的脆弱性

　　Internet使用的TCP/IP协议以及FTP、NFS等都包含许多不安全的因素，存在可为黑客所利用的漏洞。

　　2.3.1 TCP/IP协议漏洞

　　Internet技术屏蔽了底层网络硬件细节，使得异种网络之间可以互相通信。TCP/IP协议组是目前使用最广泛的网络互连协议之一。但TCP/IP协议组本身存在着一些安全性问题。这就给"黑客"们攻击网络以可乘之机。由于大量重要的应用程序都以TCP作为它们的传输层协议，因此TCP的安全性问题会给网络带来严重的后果。

　　2.3.2 NFS(Network File System)的安全漏洞

　　NFS实际上是互信主机间的share-mount 文件和目录共享机制，其主要作用就是将网络上的其他计算机对外共享的文件和目录资源挂接在另一台主机上，供用户对数据进行访问。NFS服务器在共享目录时如果未设置相应的限制(实际应用中常常如此)，其结果是有太多的客户机(包括黑客)可以访问共享目录，导致数据泄露。如果共享目录可写或存在可执行的文件，甚至允许客户在NFS装入的目录上创建SetUID程序(可能使黑客获得root权限)，则数据和系统安全性大大降低;即使NFS服务器在共享目录时设置了相应的限制，包括安全身份验证模式，但对于能够伪造身份进行攻击的黑客或对于局域网内部的使用者来说，安全级别不高。实践表明，NFS是一个网站计算机基础设施中的薄弱环节。

　　2.3.3 FTP(File Transfer Protocol)漏洞

　　FTP往往被黑客用于获取远程系统的访问权限或存放非法取得的文件(即FTP滥用)。这个安全漏洞是由于提供FTP服务的关键文件或目录的用户访问权限设置不当造成的。同时，主机FTP服务可能被黑客利用为制造缓冲区溢出的条件。这个安全漏洞的形成原因主要是软件开发设计的缺陷，如著名的wu-ftp2.4的软件bug会导致黑客通过FTP登录来获得root权限。

　　2.4 配置不当导致的系统漏洞

　　大部分计算机安全问题是由于管理不当，而不是由于上述的三大原因。不同的系统配置直接影响系统的安全性。系统管理漏洞主要有两个方面：系统管理员对系统的设置存在安全漏洞。如弱势口令、被信任主机等问题;系统的部分功能自身存在安全漏洞隐患，如tftp网络服务，可以通过恰当的设置去除这些漏洞隐患的威胁。但系统管理员或者未意识到或者配置失误，系统自身存在的安全漏洞隐患依旧存在。

　　不同的系统配置直接影响系统的安全性。不少系统管理员常抱怨系统自身的安全漏洞，实际上这些所谓的系统自身安全漏洞往往是管理员配置不够完善形成的。完善的系统配置和严格的系统管理是减少安全漏洞、提高主机系统安全性的主要手段。

　　Unix主机系统安全性分析及漏洞扫描技术概述

　　综合以上对Unix主机系统安全漏洞存在的必然性的分析，可以看出网络的安全取决于方方面面的因素，分散于网络的的各个环节，应该采取的相应的防范措施也有很多，单一的防范也是不够的。但所有的攻击和防守的最终目标几乎都是网络上的主机系统。因为主机系统上存储、处理和传输各种重要数据，可以说主机的安全问题是Internet安全的核心问题之一，是Internet实现安全性的关键。因此，主机系统的安全防护也是整个安全策略中非常重要的一环。

　　主机的安全性基本上依赖于三个方面：无错的操作系统代码和应用程序设计;良好的系统配置;功能与安全性之间适当的平衡。

　　基本上讲，处理网络和主机安全问题主要有两种方法，即允许访问和拒绝访问。

　　允许访问：在这种安全方式中，指定的用户必须具有某种特权或符合一定的标准才能够进行访问。

　　拒绝访问：这种安全方式是对某一网络和主机资源访问的一个拒绝。在这种方式中，根据一套标准来否决用户的访问，规定了用户被拒绝访问的特性。

　　实践表明，只有达到允许访问和拒绝访问之间的最佳平衡，才能获得Web服务器主机系统安全的最优化，偏执任何一方要么制约Web服务器的可用性，要么出现严重的安全漏洞，应使二者一起协同工作。