計算機基礎與應用——07網(wǎng)絡安全與防范

1、11/8/2021net1網(wǎng)絡安全與防范病毒的防范病毒的防范黑客常見攻擊手法及防范黑客常見攻擊手法及防范保障網(wǎng)絡安全的常見方略保障網(wǎng)絡安全的常見方略sjzhang計算機網(wǎng)絡與應用11/8/2021net2網(wǎng)絡很精彩，也很無奈！繽紛的互聯(lián)網(wǎng)背后，隱藏著許多危險：繽紛的互聯(lián)網(wǎng)背后，隱藏著許多危險：利用網(wǎng)絡蓄意攻擊他人的所謂利用網(wǎng)絡蓄意攻擊他人的所謂“黑客黑客”網(wǎng)上傳播的無孔不入的病毒網(wǎng)上傳播的無孔不入的病毒個人隱私的泄漏個人隱私的泄漏sjzhang計算機網(wǎng)絡與應用11/8/2021net3病毒的防范sjzhang計算機網(wǎng)絡與應用11/8/2021net4一、計算機病毒定義：計算機病毒是計算機系統(tǒng)中

2、定義：計算機病毒是計算機系統(tǒng)中一類隱藏在存儲介質上蓄意破壞的一類隱藏在存儲介質上蓄意破壞的搗亂程序。搗亂程序。特點：可運行性、復制性、傳染性、特點：可運行性、復制性、傳染性、潛伏性、欺騙性、精巧性和頑固性潛伏性、欺騙性、精巧性和頑固性等特點。等特點。sjzhang計算機網(wǎng)絡與應用11/8/2021net5二、計算機病毒的基本類型 1.系統(tǒng)病毒系統(tǒng)病毒 系統(tǒng)病毒的前綴為：系統(tǒng)病毒的前綴為：win32、pe、win95、w32、w95等。這些病毒的一般公有的特性是可以感染等。這些病毒的一般公有的特性是可以感染windows操作系統(tǒng)的操作系統(tǒng)的*.exe和和 *.dll文件，并通過這些文件，并通過這

3、些文件進行傳播。如文件進行傳播。如cih病毒。病毒。 2.蠕蟲病毒蠕蟲病毒 蠕蟲病毒的前綴是：蠕蟲病毒的前綴是：worm。這種病毒的公有特性。這種病毒的公有特性是通過網(wǎng)絡或者系統(tǒng)漏洞進行傳播，很大部分的蠕是通過網(wǎng)絡或者系統(tǒng)漏洞進行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡的特性。蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡的特性。比如沖擊波比如沖擊波(阻塞網(wǎng)絡阻塞網(wǎng)絡)，小郵差，小郵差(發(fā)帶毒郵件發(fā)帶毒郵件)等。等。 sjzhang計算機網(wǎng)絡與應用11/8/2021net6 3.木馬病毒、黑客病毒木馬病毒、黑客病毒 木馬病毒其前綴是：木馬病毒其前綴是：trojan，黑客病毒前綴，黑客病毒前

4、綴名一般為名一般為hack 。4.腳本病毒腳本病毒 腳本病毒的前綴是：腳本病毒的前綴是：script。腳本病毒的公有。腳本病毒的公有特性是使用腳本語言編寫，通過網(wǎng)頁進行的特性是使用腳本語言編寫，通過網(wǎng)頁進行的傳播的病毒，腳本病毒還會有如下前綴：傳播的病毒，腳本病毒還會有如下前綴：vbs、js(表明是何種腳本編寫的表明是何種腳本編寫的)，如歡樂時，如歡樂時光光(vbs.happytime)、十四日、十四日(js.fortnight.c.s)等。等。 5.宏病毒宏病毒 宏病毒的前綴是：宏病毒的前綴是：macro，第二前綴是：，第二前綴是：word、word97、excel、excel97(也許還有

5、也許還有別的別的)其中之一。其中之一。 sjzhang計算機網(wǎng)絡與應用11/8/2021net76.后門病毒后門病毒 后門病毒的前綴是：后門病毒的前綴是：backdoor 7.病毒種植程序病毒病毒種植程序病毒 如：冰河播種者如：冰河播種者(dropper.binghe2.2c)、msn射手射手(dropper.worm.smibag)等。等。8.破壞性程序病毒破壞性程序病毒 破壞性程序病毒的前綴是：破壞性程序病毒的前綴是：harm。如：格。如：格式化式化c盤盤(harm.formatc.f)、殺手命令、殺手命令(harm.command.killer)等。等。 9.玩笑病毒玩笑病毒 玩笑病毒的

6、前綴是：玩笑病毒的前綴是：joke。也稱惡作劇病毒。也稱惡作劇病毒。如：女鬼如：女鬼(joke.girlghost)病毒。病毒。 sjzhang計算機網(wǎng)絡與應用11/8/2021net810.捆綁機病毒捆綁機病毒 捆綁機病毒的前綴是：捆綁機病毒的前綴是：binder。如：捆綁。如：捆綁qq(binder.qqpass.qqbin)、系統(tǒng)殺手、系統(tǒng)殺手(binder.killsys)等。等。 以上為比較常見的病毒前綴，有時候我們還會以上為比較常見的病毒前綴，有時候我們還會看到一些其他的，但比較少見，這里簡單提一看到一些其他的，但比較少見，這里簡單提一下：下： dos：會針對某臺主機或者服務器進行

7、：會針對某臺主機或者服務器進行dos攻擊；攻擊； exploit：會自動通過溢出對方或者自己的系統(tǒng)漏：會自動通過溢出對方或者自己的系統(tǒng)漏洞來傳播自身，或者他本身就是一個用于洞來傳播自身，或者他本身就是一個用于hacking的溢出工具；的溢出工具； hacktool：黑客工具，也許本身并不破壞你的機：黑客工具，也許本身并不破壞你的機子，但是會被別人加以利用來用你做替身去破壞別子，但是會被別人加以利用來用你做替身去破壞別人。人。sjzhang計算機網(wǎng)絡與應用11/8/2021net9三、電腦防毒的六個基本步驟（一）打好安全補?。海ㄒ唬┐蚝冒踩a?。汉芏嗪芏唷爸辈《镜牧餍?，大抵都病毒的流行，

8、大抵都利用了微軟操作系統(tǒng)中的漏洞或后利用了微軟操作系統(tǒng)中的漏洞或后門，因此打好安全補丁很重要！門，因此打好安全補丁很重要！sjzhang計算機網(wǎng)絡與應用11/8/2021net10（二）警惕郵件附件：（二）警惕郵件附件： 不輕易打開附件。不輕易打開附件。 某些病毒會從受感染的電腦中提取郵某些病毒會從受感染的電腦中提取郵件名單，并將損害性的附件一一發(fā)送件名單，并將損害性的附件一一發(fā)送出去。如果你不幸打開了附件，自己出去。如果你不幸打開了附件，自己中毒的同時還會感染他人，禍患無窮。中毒的同時還會感染他人，禍患無窮。 打開之前請對附件中的文件進行病毒打開之前請對附件中的文件進行病毒掃描。另外，即便掃

9、描后確認無毒，掃描。另外，即便掃描后確認無毒，只要發(fā)覺不是你希望得到的文件或圖只要發(fā)覺不是你希望得到的文件或圖片，請別猶豫，立刻刪除它。片，請別猶豫，立刻刪除它。sjzhang計算機網(wǎng)絡與應用11/8/2021net11（三）關注在線安全：（三）關注在線安全：新病毒的種類與數(shù)量之多，令人新病毒的種類與數(shù)量之多，令人始料不及。始料不及。定期訪問在線安全站點，比如諾定期訪問在線安全站點，比如諾頓、金山、瑞星等，這些網(wǎng)站提頓、金山、瑞星等，這些網(wǎng)站提供了最新的安全資料，對于防毒供了最新的安全資料，對于防毒很有幫助，建議你將這些站點添很有幫助，建議你將這些站點添加到個人收藏夾中！加到個人收藏夾中！sj

10、zhang計算機網(wǎng)絡與應用11/8/2021net12（四）安裝防毒軟件：（四）安裝防毒軟件：如果到現(xiàn)在你的計算機中還沒安如果到現(xiàn)在你的計算機中還沒安裝一款防毒軟件，也太不應該了裝一款防毒軟件，也太不應該了吧？尤其對于電腦初學者，更有吧？尤其對于電腦初學者，更有安裝防毒軟件的必要！安裝防毒軟件的必要！sjzhang計算機網(wǎng)絡與應用11/8/2021net13（五）升級防毒軟件。（五）升級防毒軟件。 既然安裝了防毒軟件，請確信其為最新既然安裝了防毒軟件，請確信其為最新版本。有些防毒軟件具備這樣的特性：版本。有些防毒軟件具備這樣的特性：一旦軟件廠商發(fā)現(xiàn)了新的病毒，軟件可一旦軟件廠商發(fā)現(xiàn)了新的病毒，

11、軟件可以自動連線上網(wǎng)，增加最新的病毒庫。以自動連線上網(wǎng)，增加最新的病毒庫。既然軟件提供了這樣的功能，又何樂而既然軟件提供了這樣的功能，又何樂而不為呢？快去升級吧！不為呢？快去升級吧！sjzhang計算機網(wǎng)絡與應用11/8/2021net14（六）定期掃描系統(tǒng)：（六）定期掃描系統(tǒng)：初次使用防毒軟件時，掃描整個初次使用防毒軟件時，掃描整個系統(tǒng)是個好主意。防毒軟件可以系統(tǒng)是個好主意。防毒軟件可以自定義為定期在后臺掃描系統(tǒng)。自定義為定期在后臺掃描系統(tǒng)。養(yǎng)成定期掃描的習慣吧，這絕對養(yǎng)成定期掃描的習慣吧，這絕對會讓你受益無窮。會讓你受益無窮。sjzhang計算機網(wǎng)絡與應用11/8/2021net15四、常

12、見殺毒軟件介紹熊貓衛(wèi)士、金山毒霸、瑞星、諾頓、熊貓衛(wèi)士、金山毒霸、瑞星、諾頓、kill、卡巴斯基、卡巴斯基 、360安全衛(wèi)士安全衛(wèi)士sjzhang計算機網(wǎng)絡與應用11/8/2021net16卡巴斯基sjzhang計算機網(wǎng)絡與應用11/8/2021net17黑客常見攻擊手法及防范sjzhang計算機網(wǎng)絡與應用11/8/2021net18一、何為黑客黑客是網(wǎng)上比較神秘的一類人物，真正黑客是網(wǎng)上比較神秘的一類人物，真正的黑客是為保護網(wǎng)絡安全而工作的，但的黑客是為保護網(wǎng)絡安全而工作的，但近年來出現(xiàn)了許多的黑客軟件，進而產(chǎn)近年來出現(xiàn)了許多的黑客軟件，進而產(chǎn)生一些偽黑客，他們不必了解互聯(lián)網(wǎng)知生一些偽黑客，

13、他們不必了解互聯(lián)網(wǎng)知識，使用一些黑客軟件就能對他人造成識，使用一些黑客軟件就能對他人造成損害，從而使互聯(lián)網(wǎng)安全出現(xiàn)了許多危損害，從而使互聯(lián)網(wǎng)安全出現(xiàn)了許多危機。機。sjzhang計算機網(wǎng)絡與應用11/8/2021net19二、黑客常用的攻擊手法（一）利用網(wǎng)絡系統(tǒng)漏洞進行攻擊（一）利用網(wǎng)絡系統(tǒng)漏洞進行攻擊黑客利用這些漏洞就能完成密碼探測、系黑客利用這些漏洞就能完成密碼探測、系統(tǒng)入侵等攻擊。對于系統(tǒng)本身的漏洞，可統(tǒng)入侵等攻擊。對于系統(tǒng)本身的漏洞，可以安裝軟件補丁。以安裝軟件補丁。sjzhang計算機網(wǎng)絡與應用11/8/2021net20（二）通過電子郵件進行攻擊黑客可以使用一些郵件炸彈軟件向目的黑

14、客可以使用一些郵件炸彈軟件向目的郵箱發(fā)送大量內容重復、無用的垃圾郵郵箱發(fā)送大量內容重復、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。件，從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發(fā)送流量特別大時，還有當垃圾郵件的發(fā)送流量特別大時，還有可能造成郵件系統(tǒng)對于正常的工作反映可能造成郵件系統(tǒng)對于正常的工作反映緩慢，甚至癱瘓。緩慢，甚至癱瘓?？梢允褂靡恍├]件清除軟件來解決可以使用一些垃圾郵件清除軟件來解決sjzhang計算機網(wǎng)絡與應用11/8/2021net21（三）解密攻擊常見的有兩種方法：常見的有兩種方法：一種是對網(wǎng)絡上的數(shù)據(jù)進行監(jiān)聽（運用于局一種是對網(wǎng)絡上的數(shù)據(jù)進行監(jiān)聽（運用于局域網(wǎng)較多

15、）。域網(wǎng)較多）。系統(tǒng)在進行密碼校驗時，用戶輸入的密碼需系統(tǒng)在進行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到服務器端，而黑客就能在要從用戶端傳送到服務器端，而黑客就能在兩端之間進行數(shù)據(jù)監(jiān)聽。但一般系統(tǒng)在傳送兩端之間進行數(shù)據(jù)監(jiān)聽。但一般系統(tǒng)在傳送密碼時都進行了加密處理，即黑客所得到的密碼時都進行了加密處理，即黑客所得到的數(shù)據(jù)中不會存在明文的密碼，這給黑客進行數(shù)據(jù)中不會存在明文的密碼，這給黑客進行破解又提了一道難題，但一旦成功，攻擊者破解又提了一道難題，但一旦成功，攻擊者將會得到很大的操作權益。將會得到很大的操作權益。sjzhang計算機網(wǎng)絡與應用11/8/2021net22另一種解密方法就是使用

16、窮舉法對已知另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。用戶名的密碼進行暴力解密。這種解密軟件對嘗試所有可能字符所組這種解密軟件對嘗試所有可能字符所組成的密碼，但這項工作十分地費時，不成的密碼，但這項工作十分地費時，不過如果用戶的密碼設置得比較簡單，如過如果用戶的密碼設置得比較簡單，如“12345”、“abc”等那有可能只需一眨等那有可能只需一眨眼的功夫就可搞定。眼的功夫就可搞定。sjzhang計算機網(wǎng)絡與應用11/8/2021net23（四）后門軟件攻擊利用特洛伊木馬等程序，它們可以非法利用特洛伊木馬等程序，它們可以非法地取得用戶電腦的超級用戶級權利，可地取得用戶電腦的超級用

17、戶級權利，可以對其進行完全的控制。以對其進行完全的控制。sjzhang計算機網(wǎng)絡與應用11/8/2021net241.何為木馬？木馬，也稱特洛伊木馬，名稱源于古希臘的木馬，也稱特洛伊木馬，名稱源于古希臘的特伊洛馬神話，此詞語來源于古希臘的神話特伊洛馬神話，此詞語來源于古希臘的神話故事，傳說希臘人圍攻特洛伊城，久久不能故事，傳說希臘人圍攻特洛伊城，久久不能得手。后來想出了一個木馬計，讓士兵藏匿得手。后來想出了一個木馬計，讓士兵藏匿于巨大的木馬中。大部隊假裝撤退而將木馬于巨大的木馬中。大部隊假裝撤退而將木馬擯棄于特洛伊城下，讓敵人將其作為戰(zhàn)利品擯棄于特洛伊城下，讓敵人將其作為戰(zhàn)利品拖入城內。木馬內

18、的士兵則乘夜晚敵人慶祝拖入城內。木馬內的士兵則乘夜晚敵人慶祝勝利、放松警惕的時候從木馬中爬出來，與勝利、放松警惕的時候從木馬中爬出來，與城外的部隊里應外合而攻下了特洛伊城。城外的部隊里應外合而攻下了特洛伊城。sjzhang計算機網(wǎng)絡與應用11/8/2021net25一個功能強大的木馬一旦被植入你的機一個功能強大的木馬一旦被植入你的機器，攻擊者就可以象操作自己的機器一器，攻擊者就可以象操作自己的機器一樣控制你的機器，甚至可以遠程監(jiān)控你樣控制你的機器，甚至可以遠程監(jiān)控你的所有操作的所有操作sjzhang計算機網(wǎng)絡與應用11/8/2021net26一般的木馬都有客戶端和服務器端兩個一般的木馬都有客戶

19、端和服務器端兩個執(zhí)行程序，其中客戶端是用于攻擊者遠執(zhí)行程序，其中客戶端是用于攻擊者遠程控制植入木馬的機器，服務器端程序程控制植入木馬的機器，服務器端程序即是木馬程序。攻擊者要通過木馬攻擊即是木馬程序。攻擊者要通過木馬攻擊你的系統(tǒng)，他所做的第一步是要把木馬你的系統(tǒng)，他所做的第一步是要把木馬的服務器端程序植入到你的電腦里面的服務器端程序植入到你的電腦里面sjzhang計算機網(wǎng)絡與應用11/8/2021net27目前木馬入侵的主要途徑還是先通過一目前木馬入侵的主要途徑還是先通過一定的方法把木馬執(zhí)行文件弄到被攻擊者定的方法把木馬執(zhí)行文件弄到被攻擊者的電腦系統(tǒng)里，如郵件、下載、的電腦系統(tǒng)里，如郵件、下載

20、、qq等，等，然后通過一定的提示故意誤導被攻擊者然后通過一定的提示故意誤導被攻擊者打開執(zhí)行文件，比如故意謊稱這是是你打開執(zhí)行文件，比如故意謊稱這是是你朋友送給你賀卡，可能你打開這個文件朋友送給你賀卡，可能你打開這個文件后，確實有賀卡的畫面出現(xiàn)，但這時可后，確實有賀卡的畫面出現(xiàn)，但這時可能木馬已經(jīng)悄悄在你的后臺運行了。能木馬已經(jīng)悄悄在你的后臺運行了。sjzhang計算機網(wǎng)絡與應用11/8/2021net28一般的木馬執(zhí)行文件非常小，大到都是一般的木馬執(zhí)行文件非常小，大到都是幾幾k到幾十到幾十k，如果把木馬捆綁到其它正，如果把木馬捆綁到其它正常文件上，你很難發(fā)現(xiàn)的，所以，有一常文件上，你很難發(fā)現(xiàn)的

21、，所以，有一些網(wǎng)站提供的軟件下載往往是捆綁了木些網(wǎng)站提供的軟件下載往往是捆綁了木馬文件的，在你執(zhí)行這些下載的文件，馬文件的，在你執(zhí)行這些下載的文件，也同時運行了木馬。也同時運行了木馬。sjzhang計算機網(wǎng)絡與應用11/8/2021net29目前已經(jīng)有一些專門的清除木馬的軟件，清除目前已經(jīng)有一些專門的清除木馬的軟件，清除一般木馬的機制原理主要是：一般木馬的機制原理主要是： 檢測木馬。檢測木馬。 找到木馬啟動文件，一般在注冊表及與系統(tǒng)找到木馬啟動文件，一般在注冊表及與系統(tǒng)啟動有關的文件里能找到木馬文件的位置。啟動有關的文件里能找到木馬文件的位置。 刪除木馬文件，并且刪除注冊表或系統(tǒng)啟動刪除木馬文

22、件，并且刪除注冊表或系統(tǒng)啟動文件中關于木馬的信息文件中關于木馬的信息防火墻是抵擋木馬入侵的最好途徑，例如在天防火墻是抵擋木馬入侵的最好途徑，例如在天網(wǎng)防火墻里面，還有專門針對各種木馬攻擊的網(wǎng)防火墻里面，還有專門針對各種木馬攻擊的防御規(guī)則，防火墻可以確保你免受木馬攻擊。防御規(guī)則，防火墻可以確保你免受木馬攻擊。sjzhang計算機網(wǎng)絡與應用11/8/2021net302.常用的木馬清除軟件ewido木馬分析專家木馬分析專家 卡巴斯基卡巴斯基超級兔子超級兔子sjzhang計算機網(wǎng)絡與應用11/8/2021net31（五）拒絕服務攻擊向目的服務器發(fā)送大量的數(shù)據(jù)包，幾乎占取向目的服務器發(fā)送大量的數(shù)據(jù)包，

23、幾乎占取該服務器所有的網(wǎng)絡寬帶，從而使其無法對該服務器所有的網(wǎng)絡寬帶，從而使其無法對正常的服務請求進行處理，而導致網(wǎng)站無法正常的服務請求進行處理，而導致網(wǎng)站無法進入、網(wǎng)站響應速度大大降低或服務器癱瘓。進入、網(wǎng)站響應速度大大降低或服務器癱瘓。常見的蠕蟲病毒或與其同類的病毒都可以對常見的蠕蟲病毒或與其同類的病毒都可以對服務器進行拒絕服務攻擊的進攻服務器進行拒絕服務攻擊的進攻所以大家在上網(wǎng)時一定要安裝好防火墻軟件，所以大家在上網(wǎng)時一定要安裝好防火墻軟件，同時也可以安裝一些可以隱藏同時也可以安裝一些可以隱藏ip地址的程序，地址的程序，這樣能大大降低受到攻擊的可能性。這樣能大大降低受到攻擊的可能性。sj

24、zhang計算機網(wǎng)絡與應用11/8/2021net32三、網(wǎng)絡安全防范 （一）防火墻（一）防火墻（firewall） 防火墻是位于內部網(wǎng)絡（可信賴的）和防火墻是位于內部網(wǎng)絡（可信賴的）和外部網(wǎng)絡（不可信賴的）之間的屏障，外部網(wǎng)絡（不可信賴的）之間的屏障，它按照系統(tǒng)管理員預先定義好的規(guī)則來它按照系統(tǒng)管理員預先定義好的規(guī)則來控制數(shù)據(jù)包的進出。防火墻并非萬能，控制數(shù)據(jù)包的進出。防火墻并非萬能，但對網(wǎng)絡安全來說是必不可少的。但對網(wǎng)絡安全來說是必不可少的。 sjzhang計算機網(wǎng)絡與應用11/8/2021net331.防火墻的基本概念古時候，人們常在寓所之間砌起一道磚墻，古時候，人們常在寓所之間砌起一道

25、磚墻，一旦火災發(fā)生，它能夠防止火勢蔓延到別的一旦火災發(fā)生，它能夠防止火勢蔓延到別的寓所?，F(xiàn)在，如果一個網(wǎng)絡接到了寓所?，F(xiàn)在，如果一個網(wǎng)絡接到了internet上上面，它的用戶就可以訪問外部世界并與之通面，它的用戶就可以訪問外部世界并與之通信。但同時，外部世界也同樣可以訪問該網(wǎng)信。但同時，外部世界也同樣可以訪問該網(wǎng)絡并與之交互。為安全起見，可以在該網(wǎng)絡絡并與之交互。為安全起見，可以在該網(wǎng)絡和和internet之間插入一個中介系統(tǒng)，豎起一道之間插入一個中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來自外部安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡對本網(wǎng)絡的威脅和入侵，通過網(wǎng)絡對本網(wǎng)絡的威脅和

26、入侵， 提供扼守提供扼守本網(wǎng)絡的安全和審計的唯一關卡，他的作用本網(wǎng)絡的安全和審計的唯一關卡，他的作用與古時候的防火磚墻有類似之處，因此我們與古時候的防火磚墻有類似之處，因此我們把這個屏障就叫做把這個屏障就叫做“防火墻防火墻”。 sjzhang計算機網(wǎng)絡與應用11/8/2021net34防火墻是一種裝置，它是由軟件或硬件設備防火墻是一種裝置，它是由軟件或硬件設備組合而成，通常處于企業(yè)的內部局域網(wǎng)與組合而成，通常處于企業(yè)的內部局域網(wǎng)與internet之間，限制之間，限制internet用戶對內部網(wǎng)絡用戶對內部網(wǎng)絡的訪問以及管理內部用戶訪問外界的權限。的訪問以及管理內部用戶訪問外界的權限。一個防火墻

27、在一個被認為是安全和可信的內一個防火墻在一個被認為是安全和可信的內部網(wǎng)絡和一個被認為是不那么安全和可信的部網(wǎng)絡和一個被認為是不那么安全和可信的外部網(wǎng)絡外部網(wǎng)絡(通常是通常是internet)之間提供一個封鎖之間提供一個封鎖工具。工具。internetsjzhang計算機網(wǎng)絡與應用11/8/2021net352.防火墻的基本準則（1）過濾不安全服務）過濾不安全服務 防火墻封鎖所有信息流，然后對希望防火墻封鎖所有信息流，然后對希望提供的安全服務逐項開放，對不安全提供的安全服務逐項開放，對不安全的服務或可能有安全隱患的服務一律的服務或可能有安全隱患的服務一律扼殺在萌芽之中。扼殺在萌芽之中。 這樣只有

28、經(jīng)過仔細挑選的服務才能允這樣只有經(jīng)過仔細挑選的服務才能允許用戶使用。許用戶使用。sjzhang計算機網(wǎng)絡與應用11/8/2021net36（）過濾非法用戶和訪問特殊站點（）過濾非法用戶和訪問特殊站點 防火墻先允許所有的用戶和站點對內部網(wǎng)絡防火墻先允許所有的用戶和站點對內部網(wǎng)絡的訪問，然后網(wǎng)絡管理員按照地址對未的訪問，然后網(wǎng)絡管理員按照地址對未授權的用戶或不信任的站點進行逐項屏蔽。授權的用戶或不信任的站點進行逐項屏蔽。 更為靈活的應用環(huán)境，網(wǎng)絡管理員可以針對更為靈活的應用環(huán)境，網(wǎng)絡管理員可以針對不同的服務面向不同的用戶開放，也就是能不同的服務面向不同的用戶開放，也就是能自由地設置各個用戶的不同訪

29、問權限。自由地設置各個用戶的不同訪問權限。sjzhang計算機網(wǎng)絡與應用11/8/2021net373.防火墻的基本措施（1）代理服務器（適用于撥號上網(wǎng)）代理服務器（適用于撥號上網(wǎng)）這種方式是內部網(wǎng)絡與這種方式是內部網(wǎng)絡與internet不直接通訊，不直接通訊，內部網(wǎng)絡計算機用戶與代理服務器采用一種通內部網(wǎng)絡計算機用戶與代理服務器采用一種通訊方式，即提供內部網(wǎng)絡協(xié)議（訊方式，即提供內部網(wǎng)絡協(xié)議（netbios、tcp/ip），代理服務器與），代理服務器與internet之間的通信之間的通信采取的是標準采取的是標準tcp/ip網(wǎng)絡通信協(xié)議，防火墻內網(wǎng)絡通信協(xié)議，防火墻內外的計算機的通信是通過代理

30、服務器來中轉實外的計算機的通信是通過代理服務器來中轉實現(xiàn)的，結構圖如下所示：現(xiàn)的，結構圖如下所示： 內部網(wǎng)絡代理服務器內部網(wǎng)絡代理服務器internet sjzhang計算機網(wǎng)絡與應用11/8/2021net38代理服務器通常由性能好、處理速度快、容代理服務器通常由性能好、處理速度快、容量大的計算機來充當，在功能上是作為內部量大的計算機來充當，在功能上是作為內部網(wǎng)絡與網(wǎng)絡與internet的連接者，它對于內部網(wǎng)絡來的連接者，它對于內部網(wǎng)絡來說是象一臺真正的服務器一樣，而對于因特說是象一臺真正的服務器一樣，而對于因特網(wǎng)上的服務器來說，它又是一臺客戶機。網(wǎng)上的服務器來說，它又是一臺客戶機。當代理服

31、務器接受到用戶的請求以后，會檢當代理服務器接受到用戶的請求以后，會檢查用戶請求的站點是否符合設定要求，如果查用戶請求的站點是否符合設定要求，如果允許用戶訪問該站點的話，代理服務器就會允許用戶訪問該站點的話，代理服務器就會和那個站點連接，以取回所需信息再轉發(fā)給和那個站點連接，以取回所需信息再轉發(fā)給用戶。用戶。 sjzhang計算機網(wǎng)絡與應用11/8/2021net39優(yōu)點優(yōu)點1：能成功實現(xiàn)防火墻內外計算機系能成功實現(xiàn)防火墻內外計算機系統(tǒng)的隔離，由于代理服務器兩端采用的統(tǒng)的隔離，由于代理服務器兩端采用的是不同的協(xié)議標準，所以能夠有效地阻是不同的協(xié)議標準，所以能夠有效地阻止外界直接非法入侵。止外界直

32、接非法入侵。優(yōu)點優(yōu)點2：代理服務器能提供安全的選項，代理服務器能提供安全的選項，例如它可以實施較強的數(shù)據(jù)流的監(jiān)控、例如它可以實施較強的數(shù)據(jù)流的監(jiān)控、過濾、記錄和報告功能，還可以提供極過濾、記錄和報告功能，還可以提供極好的訪問控制、登錄能力以及地址轉換好的訪問控制、登錄能力以及地址轉換能力。能力。sjzhang計算機網(wǎng)絡與應用11/8/2021net40代理服務器的局限性缺點：缺點：這種防火墻措施，在內部網(wǎng)絡終這種防火墻措施，在內部網(wǎng)絡終端機很多的情況下，效率必然會受到影端機很多的情況下，效率必然會受到影響，代理服務器負擔很重，并且許多訪響，代理服務器負擔很重，并且許多訪問問internet的客

33、戶軟件在內部網(wǎng)絡計算機的客戶軟件在內部網(wǎng)絡計算機中無法正常訪問中無法正常訪問internet。sjzhang計算機網(wǎng)絡與應用11/8/2021net41代理軟件介紹ccproxy microsoft proxywinproxywingatewinroutesygatesjzhang計算機網(wǎng)絡與應用11/8/2021net42（2）路由器和過濾器由路由器和過濾器共同完成對外界計算機訪問由路由器和過濾器共同完成對外界計算機訪問內部網(wǎng)絡的限制，也可以指定或限制內部網(wǎng)絡內部網(wǎng)絡的限制，也可以指定或限制內部網(wǎng)絡訪問訪問internet。路由器只對過濾器上的特定端口上的數(shù)據(jù)通訊路由器只對過濾器上的特定端口

34、上的數(shù)據(jù)通訊加以路由，過濾器的主要功能就是在網(wǎng)絡層中加以路由，過濾器的主要功能就是在網(wǎng)絡層中對數(shù)據(jù)包實施有選擇的通過，依照對數(shù)據(jù)包實施有選擇的通過，依照ip（internet protocol）包信息為基礎，根據(jù)）包信息為基礎，根據(jù)ip源地址、源地址、ip目標地址、封裝協(xié)議端口號，確定目標地址、封裝協(xié)議端口號，確定它是否允許該數(shù)據(jù)包通過。它是否允許該數(shù)據(jù)包通過。sjzhang計算機網(wǎng)絡與應用11/8/2021net43優(yōu)點：優(yōu)點：對于用戶來說是透明的，也就是對于用戶來說是透明的，也就是說不需要用戶輸入帳號和密碼來登錄，說不需要用戶輸入帳號和密碼來登錄，因此速度上要比代理服務器快，且不容因此速度

35、上要比代理服務器快，且不容易出現(xiàn)屏頸現(xiàn)象。易出現(xiàn)屏頸現(xiàn)象。缺點：缺點：沒有用戶的使用記錄，這樣就不沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)非法入侵的攻擊記能從訪問記錄中發(fā)現(xiàn)非法入侵的攻擊記錄。錄。sjzhang計算機網(wǎng)絡與應用11/8/2021net44個人防火墻 xpsjzhang計算機網(wǎng)絡與應用11/8/2021net45其他軟件防火墻目前的產(chǎn)品主要有目前的產(chǎn)品主要有 -天網(wǎng)防火墻個人版天網(wǎng)防火墻個人版 -諾頓網(wǎng)絡安全特警諾頓網(wǎng)絡安全特警 -瑞星個人防火墻瑞星個人防火墻 sjzhang計算機網(wǎng)絡與應用11/8/2021net46（二）安全檢查（身份認證） 密碼密碼人體特征（如指紋）的識別、智能卡和人體特征（如指紋）的識別