網(wǎng)絡安全技術

1、 20世紀80年代開始，互聯(lián)網(wǎng)技術飛速發(fā)展。自從1987年發(fā)現(xiàn)了全世界首例計算機病毒以來，病毒的數(shù)量早已超過1萬種以上，并且還在以每年兩千種新病毒的速度遞增，不斷困擾著涉及計算機領域的各個行業(yè)。 1997年,隨著萬維網(wǎng)（WoldWideWeb）上Java語言的普及,利用Java語言進行傳播和資料獲取的病毒開始出現(xiàn),典型的代表是JavaSnake病毒，還有一些利用郵件服務器進行傳播和破壞的病毒，例如Mail-Bomb病毒，它會嚴重影響因特網(wǎng)的效率。 1989年，俄羅斯的EugeneKaspersky開始研究計算機病毒現(xiàn)象。從1991年到1997年，俄羅斯大型計算機公司KAMI的信息技術中心研發(fā)出

2、了AVP反病毒程序。這在國際互聯(lián)網(wǎng)反病毒領域具有里程碑的意義。防火墻是網(wǎng)絡安全政策的有機組成部分。1983年，第一代防火墻誕生。到今天，已經(jīng)推出了第五代防火墻。 進入21世紀，政府部門、金融機構、軍事軍工、企事業(yè)單位和商業(yè)組織對IT系統(tǒng)的依賴也日益加重，IT系統(tǒng)所承載的信息和服務的安全性就越發(fā)顯得重要。 2007年初，一個名叫“熊貓燒香”的病毒在極短時間內(nèi)通過網(wǎng)絡在中國互聯(lián)網(wǎng)用戶中迅速傳播，曾使數(shù)百萬臺電腦中毒，造成重大損失。1、網(wǎng)絡安全問題的產(chǎn)生（1）信息泄露、信息污染及信息不可控等（2）某些個人或組織出于某種特殊目的進行信息泄露、信息破壞、信息假冒侵權和意識形態(tài)的信息滲透，甚至進行一些破壞

3、國家、社會以及各類主體合法權益的活動。（3）隨著社會的高度信息化、社會的“命脈”和核心控制系統(tǒng)有可能面臨惡意的攻擊而導致?lián)p壞和癱瘓（4）網(wǎng)絡應用越來越廣泛，但是控制權分散的管理問題也日益顯現(xiàn)2、網(wǎng)絡安全的現(xiàn)狀(見P2 圖1-1)（1）拒絕服務攻擊：拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問，是黑客常用的攻擊手段之一。這些資源包括磁盤空間、內(nèi)存、進程甚至網(wǎng)絡帶寬，從而阻止正常用戶的訪問。拒絕服務攻擊問題也一直得不到合理的解決，究其原因是因為這是由于網(wǎng)絡協(xié)議本身的安全缺陷造成的。攻擊者進行拒絕服務攻擊，實際上讓服務器實現(xiàn)兩種效果：一是迫使服務器的緩沖區(qū)滿，不接收新的請求；二是使用I

4、P欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接。（2）網(wǎng)絡仿冒（3）網(wǎng)頁惡意代碼（4）病毒、蠕蟲或木馬（5）漏洞（6）垃圾郵件報告3、網(wǎng)絡安全的發(fā)展趨勢 （1）實施網(wǎng)絡攻擊的主體的變化：由興趣性向盈利性發(fā)展 （2）網(wǎng)絡攻擊的主要手段的變化：由單一手段向結合多種攻擊手段的綜合性攻擊發(fā)展 （3）企業(yè)內(nèi)部對安全威脅的認識的變化：外部管理轉向內(nèi)部安全管理 1、網(wǎng)絡上的信息安全，這其中涉及到了物理器件計算機和基于這之上的網(wǎng)絡通信，對于數(shù)據(jù)的加密等一系列的知識，因此集計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論和信息論等多種學科于一體。2、計算機系統(tǒng)安全定義：為數(shù)據(jù)處

5、理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄漏。3、保證網(wǎng)絡安全的目的：確保經(jīng)過網(wǎng)絡傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等情況。4、網(wǎng)絡安全包含：（1）運行系統(tǒng)的安全，即保證信息處理和傳輸系統(tǒng)的安全（2）網(wǎng)絡上系統(tǒng)信息的安全（3）網(wǎng)絡上信息傳輸?shù)陌踩?，保證信息不被竊取修改或泄漏（4）網(wǎng)絡上信息內(nèi)容的安全1、內(nèi)部威脅（1）內(nèi)部人員因自身原因故意破壞、泄露或無意錯誤操作破壞數(shù)據(jù)而引起的威脅（2）因不當使用Internet接入而降低生產(chǎn)率（3）內(nèi)部工作人員發(fā)送、接收和查看攻擊性材料，可能會使內(nèi)部感染計算機病毒。2、外部威脅1、非授

6、權訪問：一般是沒有事先經(jīng)過同意，通過假冒、身份攻擊及系統(tǒng)漏洞等手段來獲取系統(tǒng)的訪問權限，從而非法進入網(wǎng)絡系統(tǒng)來使用網(wǎng)絡資源，造成資源的消耗或損壞。2、拒絕服務3、數(shù)據(jù)欺騙：主要包括捕獲、修改和破壞可信主機上的數(shù)據(jù)，攻擊者還可能對通信線路上的網(wǎng)絡通信進行重定向。1、物理安全：包括通信線路的安全、物理設備的安全及機房的安全等。涉及到防火、防靜電、防雷擊、防電磁輻射和防盜等。2、操作系統(tǒng)安全性：包括操作系統(tǒng)的安全配置、操作系統(tǒng)的漏洞檢測、操作系統(tǒng)的漏洞修補等3、網(wǎng)絡的安全性：包括網(wǎng)絡身份認證、網(wǎng)絡資源的訪問控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、防火墻應用、病毒

7、防范和入侵檢測等4、應用安全性：指網(wǎng)絡對用戶提供服務所采用的應用軟件和數(shù)據(jù)的安全性5、管理安全性：包括安全技術和設備的管理、安全管理制度及部門與人員的組織規(guī)則等。1、攻擊前的防范2、攻擊過程中的防范3、攻擊過程后的恢復處理1、協(xié)議的基礎概念：網(wǎng)絡協(xié)議是網(wǎng)絡通信中控制數(shù)據(jù)傳輸?shù)囊?guī)則。包括三要素（1）語義（做什么）：包括用于協(xié)調和差錯處理、流量控制的控制信息。（2）語法（怎么做）：數(shù)據(jù)編碼格式與信號的電平（3）時序（何時做）：速度的匹配和排序2、開放系統(tǒng)互連參考模型（OSI參考模型） 設計者按照信息的流動過程將網(wǎng)絡的整體功能分解為一個個的功能層，不同主機的同等功能層之間采用相同的協(xié)議，同一主機上的

8、相鄰功能層之間通過接口進行信息傳遞，形成了OSI參考模型，這樣不同體系結構的計算機網(wǎng)絡都能互連，進行信息互通。OSI參考模型將網(wǎng)絡的通信功能劃分成7個層次，由高到低分別是：（1）物理層：向下直接與物理傳輸介質相連接，是各種網(wǎng)絡設備進行互聯(lián)時必須遵守的底層協(xié)議，與其他協(xié)議無關。物理層定義了數(shù)據(jù)通信網(wǎng)絡之間物理鏈路的電氣或機械特性，以及激活、維護和關閉這條鏈路的各項操作。物理層的特征參數(shù)包括電壓、數(shù)據(jù)傳輸率、最大傳輸距離和物理連接介質等。 （2）數(shù)據(jù)鏈路層：它把從物理層來的原始數(shù)據(jù)組成幀 即用于傳送數(shù)據(jù)的結構化的包。數(shù)據(jù)鏈路層負責幀在計算機之間的無差錯傳遞。其特征參數(shù)包括物理地址、網(wǎng)絡拓撲結構、錯

9、誤警告機制、所傳數(shù)據(jù)幀的排序和流量控制等。（3）網(wǎng)絡層：定義網(wǎng)絡操作系統(tǒng)通信用的協(xié)議，為傳送的信息確定地址，將邏輯地址和名字翻譯成物理地址。同時負責確定從源計算機沿著網(wǎng)絡到目的計算機的路由選擇，處理交通問題，路由器的功能在這一層實現(xiàn)。網(wǎng)絡層的主要功能是將報文分組以最佳路徑通過通信子網(wǎng)送達目的主機。（4）傳輸層：負責端到端的信息傳輸錯誤處理，包括錯誤的確認和恢復，確保信息的可靠傳遞。在必要時，也對信息重新打包，把過長信息分成小包發(fā)送。在接收端，再將這些小包重構成初始的信息。（5）會話層：允許在不同計算機上的兩個應用間建立、使用和結束會話，實現(xiàn)對話控制，管理何端發(fā)送、何時發(fā)送和占用多長時間等。會話

10、層利用傳輸層提供的可靠信息傳遞服務，使得兩個會話實體之間不用考慮相互間的距離、使用何種網(wǎng)絡通信等細節(jié)，進行數(shù)據(jù)的透明傳輸。（6）表示層：表示層則要保證所傳輸?shù)臄?shù)據(jù)經(jīng)傳送后意義不改變，它要解決的問題是如何描述數(shù)據(jù)結構并使之與機器無關。（7）應用層：主要功能是直接為用戶服務，通過應用軟件實現(xiàn)網(wǎng)絡與用戶的直接對話。這一層是最終用戶應用程序訪問網(wǎng)絡服務的地方，負責整個網(wǎng)絡應用程序協(xié)同工作。3、OSI參考模型的特點（1）各層之間是獨立的。每層只實現(xiàn)一種相對獨立的功能，可以使網(wǎng)絡傳輸?shù)膹碗s程度下降。（2）靈活性好。任何一層發(fā)生變化都不影響別的層，只要層間接口保持不變。（3）結構上可分割，用不同技術來實現(xiàn)。

11、（4）易于實現(xiàn)和維護。（5）能促進標準化工作。4、TCP/IP協(xié)議模型（1）網(wǎng)絡接口層：網(wǎng)絡接口層與OSI/RM的物理層、數(shù)據(jù)鏈路層相對應。該層中所使用的協(xié)議大多是各通信子網(wǎng)固有的協(xié)議。作用是傳輸經(jīng)IP層處理過的IP信息，并提供一個主機與實際網(wǎng)絡的接口，而具體的接口關系則可以由實際網(wǎng)絡的類型所決定。（2）互聯(lián)網(wǎng)層：也被稱為IP（Internet Protocol）層、網(wǎng)絡層。是TCP/IP模型的關鍵部分。它的功能是使主機可以把IP數(shù)據(jù)包發(fā)往任何網(wǎng)絡，并使數(shù)據(jù)報獨立地傳向目標（中途可能經(jīng)由不同的網(wǎng)絡）。這些數(shù)據(jù)包到達的順序和發(fā)送的順序可能不同，因此當需要按順序發(fā)送和接收時，高層必須對分組排序。（

12、3）傳輸層：在源節(jié)點和目的節(jié)點兩個進程實體之間提供可靠的、端到端的數(shù)據(jù)傳輸。為保證數(shù)據(jù)傳輸?shù)目煽啃?，傳輸層協(xié)議規(guī)定接收端必須發(fā)回確認，若丟失必須重新發(fā)送。若同時有多個應用程序訪問互聯(lián)網(wǎng)，則傳輸層在每個數(shù)據(jù)包中增加識別信源和信宿應用程序的標記。（4）應用層：位于傳輸層之上的應用層包含所有的高層協(xié)議，為用戶提供所需要的各種服務。主要的服務有：遠程登錄（Telnet）、文件傳輸（FTP）、電子郵件（SMTP）、Web服務（HTTP）、域名系統(tǒng)（DNS）等。4、TCP/IP協(xié)議的特點（1）應用廣泛（2）能夠向用戶和應用程序提供通用的、統(tǒng)一的網(wǎng)絡服務。（3）網(wǎng)絡對等性：簡化了對異構網(wǎng)的處理1、網(wǎng)際協(xié)議（

13、IP協(xié)議）：屬于TCP/IP模型和互聯(lián)網(wǎng)層，提供關于數(shù)據(jù)應如何傳輸以及傳輸?shù)胶翁幍男畔ⅰＪ鞘筎CP/IP協(xié)議可用于網(wǎng)絡連接的子協(xié)議。是不可靠的、無連接的協(xié)議，不保證數(shù)據(jù)的可靠，若接收時發(fā)現(xiàn)信息不正確，則將認為數(shù)據(jù)包被破壞，則重新發(fā)送數(shù)據(jù)包。IP的數(shù)據(jù)報包含報頭和數(shù)據(jù)兩部分，報頭包含（見P24）。2、傳輸控制協(xié)議（TCP協(xié)議）：屬于傳輸層，提供可靠的數(shù)據(jù)傳輸服務。位于IP協(xié)議的上層，通過提供校驗、流控制及序列信息彌補IP協(xié)議可靠性的缺陷。是面向連接的服務。TCP協(xié)議包含了保證數(shù)據(jù)可靠性的幾個組件（見P26） 3、用戶數(shù)據(jù)報協(xié)議（UDP）：UDP協(xié)議是一種無連接的傳輸服務，不保證數(shù)據(jù)包以正確的序列

14、被接收，并且不提供錯誤校驗或序列編號。適合用于實況錄音或電視轉播。4、網(wǎng)際控制報文協(xié)議（ICMP）：位于互聯(lián)網(wǎng)層的IP協(xié)議和傳輸層的TCP協(xié)議之間，不提供錯誤控制服務，僅報告哪個網(wǎng)絡是不可達的，哪個數(shù)據(jù)包因分配的生存時間過期而被拋棄。5、地址解析協(xié)議（ARP）：是互聯(lián)網(wǎng)層協(xié)議，它獲取主機或節(jié)點的物理地址并創(chuàng)建一個本地數(shù)據(jù)庫以將物理地址映射到主機的邏輯地址上。和IP地址配合使用。就是將網(wǎng)卡地址和IP地址一一對應起來，網(wǎng)卡地址解析成IP地址。1、WWW是已聯(lián)網(wǎng)服務器的集合，這些服務器按指定的協(xié)議和格式共享資源和交換信息。2、采用的CS架構（服務器客戶端的架構），在服務器端需要安裝外部服務器，客戶機

15、端要具備瀏覽器。3、在客戶機端訪問服務器端需要TCP/IP協(xié)議、IP地址與Internet連接和瀏覽器。4、服務器端和客戶機端通過HTTP或HTML服務傳輸內(nèi)容，每個Web頁都被統(tǒng)一資源定位器（URL）標識。每一個Web頁的網(wǎng)址都是獨一無二的，對應第一無二的IP地址。5、 https是使用的服務類型，是主機名，index.asp是該頁下的文件。6、常見的Web服務器軟件包括（見P27） 1、文件傳輸協(xié)議：用于管理TCP/IP主機之間文件的傳輸2、FTP服務是FTP服務器提供的，相當于是服務器開辟了FTP服務，提供文件夾供客戶端上傳或下載文件。3、在瀏覽器的地址欄中輸入 主機名 或 服務器IP地

16、址，即可訪問FTP服務器，相當于是向服務器發(fā)出請求，服務器始終偵聽請求，當接收到這個請求的時候，立刻給予客戶端響應。4、常見的FTP程序有LeapFTP、WS_FTP、CuteFTP和FlashFXP等。5、使用FTP必須首先登陸，輸入ID和口令，在服務器上獲得相應的權限后才能下載或上傳文件。服務器有可能限定在同一時刻最高可供多少人同時使用。有的服務器上提供匿名FTP服務，任何人都可以使用一個公用的ID進入使用該服務器上公開的資源。 1、域名系統(tǒng)：是將主機名和域名解析為與此名稱相關的IP地址的系統(tǒng)。2、因為IP地址由一串數(shù)字組成，難于記憶，因此引申出了域名，用一串便于記憶的字符組成，而域名和I

17、P地址成為一種一一對應的關系。由域名轉換成IP地址稱為正向解析，由IP地址轉換成域名為逆向解析。3、DNS分為3個組成部分：解析器、名稱服務器、名稱空間4、當進行一個域名訪問的時候，在瀏覽器中輸入網(wǎng)址，解析器服務會查詢本地的名稱服務器，查找相對應的IP地址，若沒有則向高一級服務器查詢。要知道本地、地區(qū)、國家都有名稱服務器。5、假若你以前訪問過這個域名地址，則可以從以前查詢獲得的緩存信息中就地應答查詢，這樣速度比較快。1、動態(tài)主機配置協(xié)議：是往網(wǎng)絡中的每臺設備分配獨一無二IP地址的動態(tài)方式。2、采用DHCP服務的優(yōu)點： （1）降低花費在IP地址管理方面的時間和規(guī)劃 （2）降低分配IP地址的錯誤率

18、 （3）在移動電腦的情況下無需更改TCP/IP配置。 （4）為使IP地址對移動用戶透明。3、DHCP出租過程和終止DHCP租借 1、終端服務：集成在Windows.NET Server終端服務中，作為系統(tǒng)服務器服務組件存在，“開始”“程序”“附件”“通訊”“超級終端”2、客戶機和服務器通過TCP/IP協(xié)議和標準的局域網(wǎng)構架聯(lián)系，在客戶端上進行操作傳遞到終端服務器上，再將服務器上的顯示結果傳遞回客戶端。類似于“遠程控制”。3、允許多個客戶端同時登陸到服務器，他們之間是相互獨立的。4、終端服務由5個組件組成： （1）多用戶內(nèi)核 （2）遠程桌面協(xié)議 （3）終端服務客戶端 （4）終端服務許可服務 （5

19、）終端服務管理工具1、ipconfig/all 查看配置 才啟動的時候執(zhí)行這個命令，大多信息不能獲取，例如IP地址，DNS等。使用刷新命令后，可以查看到計算機的主機名、網(wǎng)卡名、網(wǎng)卡地址、動態(tài)分配的IP地址、子網(wǎng)掩碼和默認網(wǎng)關等。2、ipconfig/renew 刷新配置 （“運行”輸入“cmd” ）作用：用于網(wǎng)絡的連通性測試，測試網(wǎng)線是否連通、網(wǎng)卡配置是否正確及IP地址是否可用等。例： ping a 03常見參數(shù)說明：見35頁原理：arp即地址解析協(xié)議，在常用以太網(wǎng)或令牌LAN上，用于實現(xiàn)第三層到第二層地址的轉換 IP MAC功能：顯示和修改IP地址與MAC地址之間的映射

20、誰知道誰知道的的MAC地址地址我知道我知道的的MAC地址是地址是:xxxxxx常用參數(shù)： arp a：顯示所有的arp表項 arp s：在arp緩存中添加一條記錄（例：Arp -s 02-e0-fc-fe-01-b9） arp d：在arp緩存中刪除一條記錄 （例：Arp -d ） arp g：顯示所有的表項作用：是解決NetBIOS名稱解析問題的工具，可使用nbtstat命令刪除或更正預加載的項目常用參數(shù)：見37頁作用：用來顯示協(xié)議統(tǒng)計信息和當前TCP/IP連接，該命令只能在安裝了TCP/IP協(xié)議后才能使用

21、。常用參數(shù)：見P3738頁原理：tracert 是為了探測源節(jié)點到目的節(jié)點之間數(shù)據(jù)報文經(jīng)過的路徑，利用IP報文的TTL域在每個經(jīng)過一個路由器的轉發(fā)后減一,如果此時TTL=0則向源節(jié)點報告TTL超時這個特性，從一開始逐一增加TTL,直到到達目的站點或TTL達到最大值255.功能：探索兩個節(jié)點的路由。TTL=1TTL=2TTL=3常用參數(shù)：1、tracert ip_adress 2、tracert h N （設置TTL最大為N）概念：懷有不良企圖，強行闖入遠程計算機系統(tǒng)或惡意干擾遠程系統(tǒng)完整性，通過非授權的訪問權限，盜取數(shù)據(jù)甚至破壞計算機系統(tǒng)

22、的“入侵者”稱為黑客。攻擊目的：竊取信息；獲取口令；控制中間站點；獲得超級用戶權限等 實例： （1）1983年，“414黑客”，6名少年黑客被控侵入60多臺電腦 （2）1987年，赫爾伯特齊恩（“影子鷹”），闖入沒過電話電報公司 （3）1988年，羅伯特莫里斯“蠕蟲程序”，造成1500萬到1億美元的經(jīng)濟損失。 （4）1990年，“末日軍團”，4名黑客中有3人被判有罪。 （5）1995年，米特尼克偷竊了2萬個信用卡號，8000萬美元的巨額損失。 （6）1998年2月，德國計算機黑客米克斯特，使用美國七大網(wǎng)站陷于癱瘓狀態(tài) （7）1998年，兩名加州少年黑客，以色列少年黑客分析家，查詢五角大樓網(wǎng)站并

23、修改了工資報表和人員數(shù)據(jù)。 （8）1999年4月，“CIH”病毒，保守估計全球有6千萬部電腦感染。 （9）1999年，北京江民KV300殺毒軟件，損失260萬元。 （10）2000年2月，“雅虎”、“電子港灣”、亞馬孫、微軟網(wǎng)絡等美國大型國際互聯(lián)網(wǎng)網(wǎng)站，損失超過了10億美元。 （11）2000年4月，闖入電子商務網(wǎng)站的威爾斯葛雷，估計導致的損失可能超過300萬美元。目標：系統(tǒng)、數(shù)據(jù)（數(shù)據(jù)占70%）系統(tǒng)型攻擊特點：攻擊發(fā)生在網(wǎng)絡層，破壞系統(tǒng)的可用性，使系統(tǒng)不能正常工作，可能留下明顯的攻擊痕跡。數(shù)據(jù)型攻擊特點：發(fā)生在網(wǎng)絡的應用層，面向信息，主要目的是為了篡改和偷取信息，不會留下明顯的痕跡。（注：著

24、重加強數(shù)據(jù)安全，重點解決來自內(nèi)部的非授權訪問和數(shù)據(jù)的保密工作。）1、阻塞類攻擊：通過強制占有信道資源、網(wǎng)絡連接資源及存儲空間資源，使服務器崩潰或資源耗盡而無法對外繼續(xù)提供服務（例如拒絕服務攻擊）。常見方法：TCPSYN洪泛攻擊、Land攻擊、Smurf攻擊及電子郵件炸彈等攻擊后果：使目標系統(tǒng)死機；使端口處于停頓狀態(tài)；在計算機屏幕上發(fā)現(xiàn)雜亂信息、改變文件名稱、刪除關鍵的程序文件；扭曲系統(tǒng)的資源狀態(tài)，使系統(tǒng)的處理速度降低。2、探測類攻擊：收集目標系統(tǒng)的各種與網(wǎng)絡安全有關的信息，為下一步入侵提供幫助。包括：掃描技術（采用模擬攻擊形式對可能存在的安全漏洞進行逐項檢查）、體系結構刺探及系統(tǒng)信息服務收集等

25、3、控制類攻擊：試圖獲得對目標主機控制權的。常見方法：口令攻擊、特洛伊木馬、緩沖區(qū)溢出攻擊4、欺騙類攻擊：通過冒充合法網(wǎng)絡主機或通過配置、設置一些假信息來騙取敏感信息。常見方法：ARP緩存虛構、DNS告訴緩沖污染及偽造電子郵件等5、漏洞類攻擊：非法用戶未經(jīng)授權通過系統(tǒng)硬件或軟件存在的某中形式的安全方面的脆弱性獲得訪問權或提高其訪問權限。6、破壞類攻擊：指對目標主機的各種數(shù)據(jù)與軟件實施破壞的一類攻擊。常見方法：計算機病毒、邏輯炸彈網(wǎng)絡攻擊一般模型：經(jīng)歷四個階段搜索信息搜索信息獲取權限獲取權限消除痕跡消除痕跡深入攻擊深入攻擊1、搜集信息（攻擊的偵查階段）隱藏地址：尋找“傀儡機”,隱藏真實IP地址。

26、鎖定目標：尋找、確定攻擊目標。了解目標的網(wǎng)絡結構、網(wǎng)絡容量、目錄及安全狀態(tài)搜索系統(tǒng)信息：分析信息，找到弱點攻擊。2、獲取權限 利用探測到的信息分析目標系統(tǒng)存在的弱點和漏洞，選擇合適的攻擊方式，最終獲取訪問權限或提升現(xiàn)有訪問權限。3、消除痕跡 清除事件日記、隱藏遺留下的文件、更改某些系統(tǒng)設置 4、深入攻擊 進行信息的竊取或系統(tǒng)的破壞等操作。1、端口掃描技術 通過端口掃描可以搜集目標主機的系統(tǒng)服務端口的開放情況，進行判斷目標的功能使用情況，一旦入侵成功后將后門設置在高端口或不常用的端口，入侵者通過這些端口可以任意使用系統(tǒng)的資源。（1）常用的端口掃描技術A、TCP connect（）掃描：使用con

27、nect（），建立與目標主機端口的連接。若端口正在監(jiān)聽，connect（）成功返回；否則說明端口不可訪問。任何用戶都可以使用connect（）。B、TCP SYN掃描：即半連接掃描。掃描程序發(fā)送SYN數(shù)據(jù)包，若發(fā)回的響應是SYN/ACK表明該端口正在被監(jiān)聽，RST響應表明該端口沒有被監(jiān)聽。若接收到的是SYN/ACK，則發(fā)送RST斷開連接。（主機不會記錄這樣的連接請求，但只有超級用戶才能建立這樣的SYN數(shù)據(jù)包）。C、TCP FIN掃描：關閉的端口用正確的RST應答發(fā)送的對方發(fā)送的FIN探測數(shù)據(jù)包，相反，打開的端口往往忽略這些請求。D、Fragmentation掃描：將發(fā)送的探測數(shù)據(jù)包分成一組很小

28、的IP包，接收方的包過濾程序難以過濾。E、UDP recfrom（）和write（）掃描F、ICMP echo掃描：使用ping命令，得到目標主機是否正在運行的信息。G、TCP反向Ident掃描：H、FTP返回攻擊I、UDP ICMP端口不能到達掃描（2）掃描器定義：一種自動檢測遠程或本地主機安全弱點的程序，可以不留痕跡地發(fā)現(xiàn)遠程服務器的各種TCP端口的發(fā)配及提供的服務。工作原理：通過選用遠程TCP/IP不同的端口服務，記錄目標給予的回答。三項功能：發(fā)現(xiàn)一個主機或網(wǎng)絡的功能；一旦發(fā)現(xiàn)主機，發(fā)現(xiàn)什么服務正在運行在主機上的功能；測試這些服務發(fā)現(xiàn)漏洞的功能。2、網(wǎng)絡監(jiān)聽技術網(wǎng)絡監(jiān)聽技術是指截獲和復制

29、系統(tǒng)、服務器、路由器或防火墻等網(wǎng)絡設備中所有網(wǎng)絡通信信息。網(wǎng)卡接收數(shù)據(jù)方式：廣播方式、組播方式、直接方式、混雜模式基本原理：數(shù)據(jù)包發(fā)送給源主機連接在一起的所有主機，但是只有與數(shù)據(jù)包中包含的目的地址一致的主機才能接收數(shù)據(jù)包。若主機工作在監(jiān)聽模式下，則可監(jiān)聽或記錄下同一網(wǎng)段上的所有數(shù)據(jù)包。 3、網(wǎng)絡欺騙技術定義：是利用TCP/IP協(xié)議本身的缺陷對TCP/IP網(wǎng)絡進行攻擊的技術。（1）IP欺騙：選定目標，發(fā)現(xiàn)主機間的信任模式，使目標信任的主機喪失工作能力，TCP序列號的取樣和預測，冒充被信任主機進入目標系統(tǒng)，實施破壞并留下后門。 （2）ARP欺騙 A、對路由器ARP表的欺騙：原理是截獲網(wǎng)關數(shù)據(jù)。 B

30、、對局域網(wǎng)內(nèi)個人計算機的網(wǎng)絡欺騙：原理是偽造網(wǎng)關。后果：影響局域網(wǎng)正常運行；泄露用戶敏感信息4、密碼破解技術指通過猜測或其他手段獲取合法用戶的賬號和密碼，獲得主機或網(wǎng)絡的訪問權，并能訪問到用戶能訪問的任何資源的技術。密碼攻擊的方法： （1）通過網(wǎng)絡監(jiān)聽非法得到用戶密碼：采用中途截獲的方法獲取用戶賬戶和密碼。 （2）密碼窮舉破解：在獲取用戶的賬號后使用專門軟件強行破解用戶密碼。（口令猜解、字典攻擊、暴力猜解）5、拒絕服務技術定義：簡稱DoS技術，是針對TCP/IP協(xié)議的缺陷來進行網(wǎng)絡攻擊的手段。通過向服務器傳送大量服務要求，使服務器充斥著這種要求恢復的信息，耗盡網(wǎng)絡帶寬或系統(tǒng)資源，最終導致網(wǎng)絡或

31、系統(tǒng)癱瘓、停止正常工作。常見攻擊模式：資源消耗型、配置修改型、服務利用型新型拒絕服務攻擊技術：分布式拒絕服務攻擊、分布式反射拒絕服務攻擊1、端口掃描工具：網(wǎng)絡安全掃描器NSS、安全管理員的網(wǎng)絡分析工具SATAN、SuperScan2、網(wǎng)絡監(jiān)聽工具：X-Scan、Sniffer、NetXray、tcpdump、winpcap等3、密碼破解工具：是能將口令解譯出來，或者讓口令保護失效的程序。4、拒絕服務攻擊工具（1）DoS工具：死亡之ping、Teardrop、TCP SYN洪水、Land、Smurf（2）DDoS工具：TFN、TFN2k、Trinoo、mstream、shaft等1、提高安全意識

32、：從使用者自身出發(fā)，加強使用者的自身素質和網(wǎng)絡安全意識。2、訪問控制策略：保證網(wǎng)絡安全的最核心策略之一，主要任務是保證網(wǎng)絡資源不被非法使用和非法訪問。3、數(shù)據(jù)加密策略：最有效的技術之一，通過對網(wǎng)內(nèi)數(shù)據(jù)、文件、口令和控制信息進行加密從而達到保護網(wǎng)上傳輸?shù)臄?shù)據(jù)的目的。4、網(wǎng)絡安全管理策略：確定安全管理登記和安全管理范圍；指定有關網(wǎng)絡操作實驗規(guī)程和人員管理制度；指定網(wǎng)絡系統(tǒng)的維護制度和應急措施。 1、端口掃描的防范方法（1）關閉閑置和有潛在危險的端口（2）發(fā)現(xiàn)有端口掃描的癥狀時，立即屏蔽該端口：可使用防火墻實現(xiàn)2、網(wǎng)絡監(jiān)聽的防范方法（1）對網(wǎng)絡監(jiān)聽攻擊采取的防范措施：網(wǎng)絡分段：將IP地址按節(jié)點計算機

33、所在網(wǎng)絡的規(guī)模的大小分段，可以對數(shù)據(jù)流進行限制。加密：可對數(shù)據(jù)的重要部分進行加密，也可對應用層加密一次性密碼技術劃分VLAN：使用虛擬局域網(wǎng)技術，將以太網(wǎng)通信變成點到點的通信。（2）對可能存在的網(wǎng)絡監(jiān)聽的檢測方法：用正確的IP地址和錯誤的物理地址ping可能正在運行監(jiān)聽程序的主機。向網(wǎng)上發(fā)送大量不存在的物理地址的包，用于降低主機性能。使用反監(jiān)聽工具進行檢測。3、IP欺騙的防范方法（1）進行包過濾：只在內(nèi)網(wǎng)之間使用信任關系，對于外網(wǎng)主機的連接請求可疑的直接過濾掉。（2）使用加密技術：對信息進行加密傳輸和驗證（3）拋棄IP信任驗證：放棄以IP地址為基礎的驗證。4、密碼破解的防范方法密碼不要寫下來不

34、要將密碼保存在計算機文件中不要選取顯而易見的信息做密碼不要再不同系統(tǒng)中使用同一密碼定期改變密碼設定密碼不宜過短，最好使用字母、數(shù)字、標點符號、字符混合5、拒絕服務的防范方法（1）拒絕服務的防御策略：建立邊界安全界限，確保輸出的數(shù)據(jù)包收到正確限制。經(jīng)常檢測系統(tǒng)配置信息，并建立完整的安全日志。利用網(wǎng)絡安全設備加固網(wǎng)絡的安全性，配置好設備的安全規(guī)則，過濾所有可能的偽造數(shù)據(jù)包。（2）具體DOS防范方法：死亡之ping的防范方法：設置防火墻，阻斷ICMP以及任何未知協(xié)議。、Teardrop的防范方法：在服務器上應用最新的服務包，設置防火墻對分段進行重組，不轉發(fā)它們。TCP SYN洪水的防范方法：關掉不必

35、要的TCP/IP服務，或配置防火墻過濾來自同一主機的后續(xù)連接。Land的防范方法：配置防火墻，過濾掉外部結構上入棧的含有內(nèi)部源地址的數(shù)據(jù)包。Smurf的防范方法：關閉外部路由器或防火墻的廣播地址特征，或通過在防火墻上設置規(guī)則，丟棄ICMP包。1、概述 通過從計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，以發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。 2、功能（1）監(jiān)控、分析用戶和系統(tǒng)的活動（2）對系統(tǒng)配置和漏洞的審計（3）估計關鍵系統(tǒng)和數(shù)據(jù)文件的完整性（4）識別和反應入侵活動的模式并向網(wǎng)絡管理員報警（5）對異常行為模式的統(tǒng)計分析（6）操作系統(tǒng)審計跟蹤管理，識別違反策

36、略的用戶活動3、入侵檢測技術 入侵行為與用戶的正常行為存在可量化的差別，通過檢測當前用戶行為的相關記錄，從而判斷攻擊行為是否發(fā)生。（1）統(tǒng)計異常檢測技術對合法用戶在一段時間內(nèi)的用戶數(shù)據(jù)收集，然后利用統(tǒng)計學測試方法分析用戶行為，以判斷用戶行為是否合法。分為基于行為剖面的檢測和閾值檢測。（2）規(guī)則的檢測技術通過觀察系統(tǒng)里發(fā)生的事件并將該時間與系統(tǒng)的規(guī)則進行匹配，來判斷該事件是否與某條規(guī)則所代表的入侵行為相對應。分為基于規(guī)則的異常檢測和基于規(guī)則的滲透檢測。4、入侵檢測過程（1）信息收集：在網(wǎng)絡系統(tǒng)中的不同網(wǎng)段、不同主機收集系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為等相關數(shù)據(jù)。（2）信息分析匹配模式：將收

37、集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)已有的模式數(shù)據(jù)庫進行匹配，進而發(fā)現(xiàn)違反安全策略的行為。統(tǒng)計分析：首先給系統(tǒng)對象創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性。這個測量屬性的平均值將與網(wǎng)絡、系統(tǒng)的行為進行比較，是否處于正常范圍之內(nèi)。完整性分析：關注某個固定的對象是否被更改。 5、入侵檢測系統(tǒng)的基本類型（1）基于主機的入侵檢測系統(tǒng)使用操作系統(tǒng)的審計日志作為數(shù)據(jù)源輸入，根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件。依賴于審計數(shù)據(jù)和系統(tǒng)日志的準確性、完整性以及安全事件的定義。（2）基于網(wǎng)絡的入侵檢測系統(tǒng)使用整個網(wǎng)絡上傳輸?shù)男畔⒘髯鳛檩斎耄ㄟ^被動地監(jiān)聽捕獲網(wǎng)絡數(shù)據(jù)包，并分析、檢測網(wǎng)絡上發(fā)生的網(wǎng)絡入侵行為。

38、但只能檢測直接連接網(wǎng)絡的通信，不能檢測不同網(wǎng)段的網(wǎng)絡包。（3）分布式入侵檢測系統(tǒng)（混合型）6、入侵檢測系統(tǒng)應對攻擊的技術（1）入侵響應當檢測到入侵或攻擊時，采取適當?shù)拇胧┳柚谷肭趾凸舻倪M行。（2）入侵跟蹤技術知道對方的物理地址、IP地址、域名、應用程序地址等就可以跟蹤對方。1、蜜罐技術蜜罐系統(tǒng)是互聯(lián)網(wǎng)上運行的計算機系統(tǒng)，可以被攻擊，對于攻擊方入侵的過程和行為進行監(jiān)視、檢測和分析，進而追蹤入侵者。蜜罐系統(tǒng)是一個包含漏洞的誘騙系統(tǒng)，是一種被監(jiān)聽、被攻擊或已被入侵的資源，通過模擬一個或多個易被攻擊的主機，給攻擊者提供一個容易攻擊的目標，而拖延攻擊者對真正目標的攻擊，讓其在蜜罐上浪費時間。 蜜罐系統(tǒng)

39、關鍵技術：服務偽裝、漏洞提供蜜罐技術缺陷：只能對針對蜜罐的攻擊行為進行監(jiān)視和分析，不能像入侵檢測系統(tǒng)一樣能夠通過旁路偵聽等技術隊整個網(wǎng)絡進行監(jiān)控。2、蜜網(wǎng)技術蜜網(wǎng)技術又稱為誘捕網(wǎng)絡，它構成一個黑客誘捕網(wǎng)絡體系架構，其上包含一個或多個蜜罐，同時保證了網(wǎng)絡的高度可控性，以及提供多種工具一方便對攻擊信息采集和分析。蜜網(wǎng)核心需求：數(shù)據(jù)控制、數(shù)據(jù)捕獲、數(shù)據(jù)分析1、操作系統(tǒng)的安全現(xiàn)狀2、安全操作系統(tǒng)的定義系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問，即只有經(jīng)過授權的用戶或代表該用戶運行的進程才能讀、寫、創(chuàng)建或刪除信息。包含有：（1）操作系統(tǒng)在設計時通過權限訪問控制、信息加密性保護和完整性鑒定等一些機制實現(xiàn)的安全防護。

40、（2）操作系統(tǒng)在使用時，通過配置保證系統(tǒng)避免由于實現(xiàn)時的缺陷或是應用環(huán)境因素產(chǎn)生的不安全。 1、最小特權原則2、有ACL的自主訪問控制3、強制訪問控制：制定一個固定的安全屬性，來決定一個用戶是否可以訪問資源。安全屬性可由系統(tǒng)自動分配也可由系統(tǒng)管理員手動分配。4、安全審計和審計管理：5、安全域隔離6、可信路徑：1、Windows XP安全性（1）完善的用戶管理功能可在登錄界面查看當前系統(tǒng)中的所有用戶名，可控制用戶對文件的訪問，并且開啟文件的審核功能后，可將用戶對文件的訪問情況記錄到安全日志文件中。（2）軟件限制策略的透明性以透明的方式隔離和使用不可靠的、潛在對用戶數(shù)據(jù)有害的代碼。 （3）支持NT

41、FS和EFS文件系統(tǒng)EFS是加密文件系統(tǒng)，可通過在要加密的文件“屬性”對話框“常規(guī)”選項卡的“高級”按鈕中設置，自動產(chǎn)生加密密鑰文件。（4）安全的網(wǎng)絡訪問特性自動更新功能：只要聯(lián)網(wǎng)，自動查看是否有新的補丁或其他內(nèi)容可更新。系統(tǒng)自帶Internet鏈接防火墻功能關閉后門：關閉了前Windows版本中存在的后門。2、Windows Server 2003安全性（1）IIS 6.0的改進在Windows Server 2003中需手動安裝，可自動探測到內(nèi)存泄露、非法訪問及其他錯誤。（2）活動目錄的安全性改進（3）數(shù)據(jù)存儲和保護可授權額外用戶訪問加密文件或訪問加密脫機文件。自動恢復系統(tǒng)ASR可輕松恢復

42、系統(tǒng)，避免系統(tǒng)因發(fā)生錯誤或攻擊而不能正常運行。（4）安全方面新增功能高可信度計算：在所有產(chǎn)品中采用了高可信度計算作為關鍵技術，提高軟件環(huán)境的安全性。CRL：CRL通過檢查軟件代碼下載和安裝的位置、是否擁有可信的開發(fā)商的數(shù)字簽名、是否層被改動等來檢驗應用程序是否安全和能否正常運行。關機的“理由”：安裝了關機跟蹤器，需要在關機或重啟時提供理由，這樣可在用戶重啟系統(tǒng)之前檢測到將要接近或超過的服務器系統(tǒng)資源限制。這樣可以了解導致服務器性能降低的原因。命令行工具：提供了命令行的管理工具，便于完成在GUI（圖形用戶界面）方式下較難完成的操作。1、Windows XP系統(tǒng)的漏洞（1）UPnP（通用即插即用技

43、術）服務導致的漏洞A、NPTIFY緩沖區(qū)溢出漏洞B、產(chǎn)生DoS和DDoS攻擊的漏洞C、漏洞的解決方法： 下載程序補?。辉O置防火墻、禁止網(wǎng)絡外部數(shù)據(jù)包對1900號端口的連接；關閉UPnP服務等（2）遠程桌面明文帳戶名傳送漏洞當建立遠程桌面連接的時候，將用戶的帳戶名以明文方式發(fā)給連接的客戶端，這樣容易被網(wǎng)絡上的嗅探程序捕獲。解決方法：“開始”菜單“設置”“控制面板”“管理工具”“服務”禁用“Universal Plug and Play Device Host”服務 （3）快速帳號切換功能造成帳號鎖定漏洞用這一功能快速重復登錄一個用戶，則系統(tǒng)會錯認為有暴力猜測攻擊，造成全部非管理員帳號被鎖定。解決

44、方法：禁用快速用戶切換功能。（4）升級程序漏洞系統(tǒng)版本升級造成原系統(tǒng)中IE的補丁文件被刪除，出現(xiàn)漏洞。解決方法：從網(wǎng)站下載最新補丁（5）Windows Media Player漏洞會產(chǎn)生信息泄露漏洞和腳本執(zhí)行漏洞。解決方法：信息泄露漏洞可以將要播放的文件先下載到本地再播放可避免。腳本執(zhí)行漏洞，只有用戶先播放一個特殊的媒體文件后又瀏覽一個經(jīng)過特殊處理的網(wǎng)頁，攻擊者才能利用該漏洞進行成功攻擊。（6）熱鍵漏洞當系統(tǒng)長時間未用而進入“自動注銷”后，雖然他人沒有密碼就無法進入桌面，但可以通過熱鍵啟動應用程序。解決方法：檢查可能帶來危害的熱鍵；啟動屏幕保護程序，并設置密碼；在離開計算機時鎖定計算機。2、W

45、indows Server 2003系統(tǒng)的安全問題（1）系統(tǒng)存在不需要身份驗證的服務，若開放這些服務，遠程用戶可不需要驗證直接登錄系統(tǒng)。（2）應用在系統(tǒng)中的Kerberos V5（安全身份驗證協(xié)議）有安全漏洞，從而造成Windows Server 2003系統(tǒng)的不安全性。（3）Windows Server 2003系統(tǒng)的日志機制存在缺陷，無法追蹤攻擊者的IP地址。（4）Windows Server 2003系統(tǒng)的身份驗證規(guī)程可以被竊聽破解。（5）在系統(tǒng)漏洞被修補前的安全隱患期容易被攻擊。（6）口令字可被破解：通過加密口令字典中已知短語，然后和口令密文進行匹配。（7）基于TCP/IP協(xié)議的安全弱

46、點3、Windows系統(tǒng)服務的安全隱患Messenger服務：主要用來發(fā)送和接收系統(tǒng)管理員的Alerter服務消息，別人容易利用該功能向計算機用戶發(fā)送垃圾郵件。Application Layer Gateway Service服務：主要提供互聯(lián)網(wǎng)聯(lián)機防火墻的第三方通信協(xié)議插件的支持，較容易遭到惡意攻擊。ClipBook服務：允許任何已連接的網(wǎng)絡中的其他用戶查看本機的剪貼板。Indexing Service服務Computer Browser服務：可將當前主機所使用網(wǎng)絡上的計算機列表提供給那些請求得到該列表的程序。Terminal Services服務：主要提供多會話環(huán)境，允許客戶端設備訪問虛擬

47、的桌面會話及運行在服務器上的基于Windows程序并打開默端口號為3389的對外端口。Remote Registry Service服務：允許遠程用戶通過簡單的連接就可修改本地計算機的注冊表設置。 最小的服務最小的服務+ +最小的權限最小的權限= =最大的安全最大的安全1、精簡系統(tǒng)的服務組件和程序只安裝滿足當前系統(tǒng)需要的服務，遵循最小化安裝的原則。后期需要其他服務再即時安裝即可。2、系統(tǒng)漏洞修補在系統(tǒng)安裝完，并且所有服務組件都安裝好后，應及時安裝系統(tǒng)補丁程序。3、關閉不用的或未知的端口當禁用一項服務時，可關閉其對應的端口，防止黑客通過此端口攻擊系統(tǒng)。4、禁用危險服務禁用危險的服務，將入侵者可能

48、的入侵通道關閉。5、強化權限設置根據(jù)實際的應用需求來設置權限，且權限的設置應遵循最小特權原則?？梢员Ｗo用戶能夠完成所操作的任務，又能降低誤操作或攻擊對系統(tǒng)及數(shù)據(jù)造成的損失。6、規(guī)范身份驗證機制該機制用戶確認嘗試登錄域或訪問網(wǎng)絡資源的任何用戶的身份，對系統(tǒng)帳戶進行規(guī)范化管理，盡量減少使用的帳戶，因為系統(tǒng)的帳戶越多，攻擊者獲得合法用戶權限的概率越大。7、建立審核策略機制可跟蹤系統(tǒng)中的各類事件并將其寫入日志文件，供管理員分析、查找系統(tǒng)和應用程序故障和分析各類安全事件。8、加強日志管理和保護針對不同服務設置的日志文件要加強管理，設置嚴格的訪問權限。1、Linux安全性概述2、Linux安全問題（1）文

49、件系統(tǒng)未受到保護很多系統(tǒng)重要文件沒有受到保護，可以被修改和覆蓋，經(jīng)過篡改后的文件可能造成系統(tǒng)的漏洞。（2）進程未受到保護若黑客侵入擁有超級用戶的管理權限，完全有權終止系統(tǒng)上運行的為系統(tǒng)功能所服務的進程。 （3）超級用戶對系統(tǒng)操作的權限不受限制，甚至可以對現(xiàn)有的權限進行修改超級用戶權限過大，對于很多特權進程和系統(tǒng)服務需要超級用戶權限的，開放后會造成安全漏洞，攻擊者容易由此獲得超級用戶口令；而超級用戶若將某文件的使用權利賦予普通用戶，則也就同時將該權利賦予該普通用戶所在的同工作組用戶，使得文件的使用不安全。 通過在使用中對于Linux系統(tǒng)的不斷完善，增加各種安全機制來提高系統(tǒng)的安全性。1、身份認證

50、機制（1）基于主體的口令或密鑰的驗證加密時間戳：時間戳就是文件的創(chuàng)建、修改、訪問時間。用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密（數(shù)字簽名），然后送回用戶。盤問響應：口令的響應時間，限定一段時間，超過該時間口令將失去效用。（2）基于智能卡的驗證通過預存信息到設備當中，當使用智能卡時，只需要核對卡中和系統(tǒng)中的預存信息即可。（3）生物識別技術基于指紋、聲音、視網(wǎng)膜等獨一無二特征的驗證。需要事先將這些特征的相關信息存儲入電腦，設定好權限。2、加密文件系統(tǒng)通過加密文件系統(tǒng)對文件進行加密處理，使文件即使失竊

51、也不會泄露信息。只給予權限的合法用戶正常使用該文件的權利，訪問該文件與訪問普通文件沒有區(qū)別，而其他用戶則不可讀。3、強制訪問控制機制強制性的限制信息的共享和資源的流動，使不同的用戶只能訪問到與其相關的、制定范文的信息。4、防火墻技術防火墻技術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡訪問內(nèi)部網(wǎng)絡資源，保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。即對網(wǎng)絡間傳輸?shù)臄?shù)據(jù)包進行安全檢查。（1）訪問控制：可拒絕非授權訪問，保護內(nèi)部用戶的合法訪問。（2）審計：對通過防火墻的網(wǎng)絡訪問進行記錄，建立完整的日志、審計和跟蹤網(wǎng)絡訪問記錄。（3）防御攻擊：給與安裝防火墻的內(nèi)部網(wǎng)絡

52、予以保護，防御外界的各種攻擊行為。（4）其他附屬功能5、入侵檢測系統(tǒng)（1）記錄入侵企圖（2）在規(guī)定情況的攻擊行為發(fā)生時，采取預先設定的措施（3）發(fā)送一些錯誤信息給攻擊方，使攻擊方做出錯誤判斷6、安全審計機制安全審計機制可以記錄攻擊者的行蹤，幫助系統(tǒng)管理員掌握系統(tǒng)受到的攻擊行為，并針對這些攻擊行為采取相應的安全措施。7、內(nèi)核封裝技術保護系統(tǒng)內(nèi)核，限制了系統(tǒng)管理員的該權限，使用戶不能對內(nèi)核進行模塊插入。1、Linux系統(tǒng)安裝的安全性考慮在初始安裝的時候，對系統(tǒng)的磁盤分區(qū)做好安全設置方案。2、安裝系統(tǒng)補丁安裝完系統(tǒng)后及時查看系統(tǒng)漏洞，尋找相應的解決方案彌補系統(tǒng)安全缺陷。3、關閉不需要的服務端口4、為

53、LILO增加開機口令5、用戶帳戶及口令的管理可以通過設置口令的最小長度（修改/etc/login.defs中PASS_MIN_LEN參數(shù)）、口令的使用時間（修改/etc/login.defs中PASS_MIN_DAYS參數(shù)），增加用戶帳戶口令的安全性。6、禁止和允許遠程訪問通過修改hosts.deny和dosts.allow兩個文件來禁止和允許遠程主機對本地主機的訪問。7、磁盤空間維護定期檢查系統(tǒng)的磁盤空間的使用情況。1、計算機病毒的發(fā)展史第一階段：原始病毒階段（19861989年）特點：傳染目標單一，主要通過截獲系統(tǒng)中斷向量的方式檢視系統(tǒng)的運行狀態(tài)。感染后磁盤上出現(xiàn)壞扇區(qū)、文件長度增加、文件

54、建立時間發(fā)生改變等。沒有自我保護措施，容易被發(fā)現(xiàn)與刪除。第二階段：混合型病毒階段（19891991年）特點：病毒程序駐留內(nèi)存和傳染目標更為隱蔽，傳染后沒有明顯特征，病毒本身有自我保護措施，而且容易產(chǎn)生變種病毒，具有更大的破壞性。第三階段：多態(tài)性病毒階段（19921995年）特點：病毒開始向多維化、多態(tài)化或自我變形化發(fā)展。即病毒程序大多都是可變的，同一個病毒的多個樣本的程序代碼大多是不同的。 第四階段：網(wǎng)絡病毒階段（20世紀90年代中后期開始）特點：利用網(wǎng)絡作為主要的傳播途徑，傳播速度快、隱蔽性強、破壞性大。第五階段：主動攻擊型病毒（2000年至今）特點：病毒利用操作系統(tǒng)的漏洞進行攻擊型的擴散，

55、不需要任何媒介或操作。2、計算機病毒的定義計算機病毒是編寫的或在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)、影響計算機使用并能自我復制的一組計算機指令或程序代碼。 3、計算機病毒發(fā)展的趨勢（1）網(wǎng)絡化：病毒的傳播與網(wǎng)絡緊密結合（2）功能的綜合化：集合文件傳染、蠕蟲、木馬和黑客程序特點（3）傳播渠道多樣化：通過網(wǎng)絡共享、網(wǎng)絡漏洞、網(wǎng)絡瀏覽、電子郵件等傳播（4）病毒的多平臺化：出現(xiàn)跨操作系統(tǒng)平臺的病毒1、傳染性2、潛伏性3、觸發(fā)性4、破壞性5、非授權性6、隱蔽性7、衍生性1、按計算機病毒攻擊的操作系統(tǒng)不同分類（1）攻擊DOS系統(tǒng)的病毒（2）攻擊Windows系統(tǒng)的病毒（3）攻擊Unix系統(tǒng)的病毒

56、（4）攻擊OS/2系統(tǒng)的病毒（5）攻擊NetWare系統(tǒng)的病毒（6）攻擊Linux系統(tǒng)的病毒2、按病毒的攻擊機型不同分類（1）攻擊微型計算機的病毒（2）攻擊小型機的病毒（3）攻擊工作站的病毒3、按計算機病毒的鏈接方式不同分類（1）源碼型病毒：通過攻擊高級語言編寫的程序，在程序編譯前插入源程序中，經(jīng)編譯成為合法程序的一部分。（2）嵌入型病毒：是將病毒嵌入現(xiàn)有程序，把病毒主體程序與攻擊對象以插入的方式鏈接。（3）外殼型病毒：病毒將自身包圍在合法程序的周圍，對程序不做修改，只是會增加文件的大?。?）操作系統(tǒng)型病毒：將病毒的程序代碼加入或替換部分操作系統(tǒng)文件。4、按計算機病毒的破壞情況不同分類（1）良

57、性計算機病毒：指對計算機系統(tǒng)不產(chǎn)生直接破壞作用的代碼，只占用內(nèi)存資源或CPU的控制權等。（2）惡性計算機病毒：指代碼中包含有損傷或破壞計算機系統(tǒng)的操作，在感染或發(fā)作時會對系統(tǒng)產(chǎn)生直接的破壞作用。 5、按傳播媒介不同分類（1）單機病毒：通過可移動存儲設備在系統(tǒng)間傳染病毒（2）網(wǎng)絡病毒：通過網(wǎng)絡進行傳播6、按傳染方式不同分類（1）引導型病毒：主要感染磁盤的引導區(qū)（2）文件型病毒：主要感染磁盤上的可執(zhí)行文件com、exe等，附著于可執(zhí)行文件，成為文件的外殼或部件。當運行受感染的文件時，才會將病毒引導入內(nèi)存。（3）混合型病毒：兼有引導型和文件型的特點，擴大感染途徑。7、按病毒特有的算法不同分類（1）伴

58、隨型病毒：根據(jù)算法產(chǎn)生和原執(zhí)行文件名字相同、擴展名不同的執(zhí)行文件，病毒將自身寫入伴隨文件中，而不改變原執(zhí)行文件，當執(zhí)行時優(yōu)先執(zhí)行伴隨文件，后再由伴隨體加載執(zhí)行原文件。（2）蠕蟲型病毒：通過網(wǎng)絡傳播，一般除了占用內(nèi)存，不改變文件。（3）寄生型病毒：除了伴隨型病毒和蠕蟲病毒，剩余的全部可稱為寄生型病毒。1、計算機病毒的傳播途徑（1）通過不可移動的計算機硬件設備進行傳播（2）通過磁盤、U盤和移動硬盤等可移動的存儲介質傳播（3）通過計算機網(wǎng)絡進行傳播（4）通過無線電等無線通信介質進行傳播2、計算機病毒的觸發(fā)條件（1）時間觸發(fā)：包括特定的時間觸發(fā)、感染后累計工作時間觸發(fā)及文件最后寫入時間觸發(fā)等。（2）鍵

59、盤觸發(fā)：包括擊鍵次數(shù)觸發(fā)、組合鍵觸發(fā)和熱啟動觸發(fā)等。（3）感染觸發(fā)：病毒的感染需要某些條件觸發(fā)，而病毒又以感染有關的信息作為破壞行為的觸發(fā)條件。包括運行感染文件個數(shù)觸發(fā)、感染序數(shù)觸發(fā)、感染磁盤數(shù)觸發(fā)和感染失敗觸發(fā)等。（4）啟動觸發(fā)：對主機的啟動次數(shù)計數(shù)，將此作為觸發(fā)條件。（5）訪問磁盤次數(shù)觸發(fā)：對磁盤I/O訪問的次數(shù)進行計數(shù)，以預定次數(shù)作為觸發(fā)條件。（6）調用中斷功能觸發(fā)：以中斷調用次數(shù)達到預定次數(shù)作為觸發(fā)條件。（7）CPU型號/主板型號觸發(fā)：以預定的CPU型號/主板型號為觸發(fā)條件。3、計算機病毒感染的表現(xiàn)計算機運行遲鈍、程序載入時間長、存儲空間不足、CUP占用率高等 計算機病毒防治：通過建立

60、合理的計算機病毒防范體系和制度，及時發(fā)現(xiàn)計算機病毒的侵入，并采取有效的手段阻止計算機病毒的傳播和破壞，恢復受影響的計算機系統(tǒng)和數(shù)據(jù)。主要分為：1、病毒防范技術：防止病毒對系統(tǒng)進行傳染和破壞的技術手段。措施：識別文件類型和后綴，不打開不明文件；安裝防毒軟件并保持更新；對移動存儲介質打開前先殺毒；不從不可靠的渠道下載軟件；盡量使用防火墻。2、病毒檢測技術：通過一定的技術手段判斷出計算機病毒的技術。（1）特征代碼法（2）校驗和法（3）行為檢測法（4）軟件模擬法（5）實時I/O掃描（6）網(wǎng)絡檢測法3、病毒清除技術：在檢測發(fā)現(xiàn)特定的計算機病毒的基礎上，根據(jù)具體病毒的消除方法，從傳染的程序中除去計算機病毒