第十三章 網(wǎng)站安全設(shè)計

1、第十三章第十三章 網(wǎng)站安全設(shè)計網(wǎng)站安全設(shè)計網(wǎng)絡(luò)安全的主要問題網(wǎng)絡(luò)安全的主要問題加密技術(shù)加密技術(shù)反病毒技術(shù)反病毒技術(shù)防火墻技術(shù)防火墻技術(shù)基于客戶的安全基于客戶的安全基于服務(wù)器的安全基于服務(wù)器的安全13.1 網(wǎng)絡(luò)安全的主要問題網(wǎng)絡(luò)安全的主要問題Z網(wǎng)站的常見安全問題網(wǎng)站的常見安全問題Z電子商務(wù)網(wǎng)站面對的新問題電子商務(wù)網(wǎng)站面對的新問題網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全的概念 國際標準化組織（ISO）對計算機系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網(wǎng)絡(luò)的安全理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常

2、運行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。所以，建立網(wǎng)絡(luò)安全保護措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。 網(wǎng)站的常見安全問題網(wǎng)站的常見安全問題Z服務(wù)拒絕攻擊服務(wù)拒絕攻擊Z闖入保密區(qū)域闖入保密區(qū)域Z計算機病毒計算機病毒網(wǎng)絡(luò)安全的主要問題網(wǎng)絡(luò)安全的主要問題服務(wù)拒絕攻擊服務(wù)拒絕攻擊網(wǎng)絡(luò)對拒絕服務(wù)攻擊的抵抗力很有限，攻網(wǎng)絡(luò)對拒絕服務(wù)攻擊的抵抗力很有限，攻擊者將阻止合法的用戶使用網(wǎng)絡(luò)和服務(wù)。拒絕擊者將阻止合法的用戶使用網(wǎng)絡(luò)和服務(wù)。拒絕服務(wù)有三種常見的攻擊方式，它們是：服務(wù)過服務(wù)有三種常見的攻擊方式，它們是：服務(wù)過載，消息流和信號接地。載，消息流和信號接地。 電子商

3、務(wù)網(wǎng)站面對的新問題電子商務(wù)網(wǎng)站面對的新問題Z信息傳輸?shù)谋Ｃ苄孕畔鬏數(shù)谋Ｃ苄訸交易文件的完整性交易文件的完整性Z交易者身份的確定性交易者身份的確定性Z交易不可抵賴性交易不可抵賴性網(wǎng)絡(luò)安全的主要問題網(wǎng)絡(luò)安全的主要問題13.2 加密技術(shù)加密技術(shù)Z加密技術(shù)概述加密技術(shù)概述Z對稱密鑰體系對稱密鑰體系Z非對稱密鑰體系非對稱密鑰體系Z數(shù)字信封數(shù)字信封Z數(shù)字簽名數(shù)字簽名Z數(shù)字證書數(shù)字證書ZSSLSSL安全技術(shù)和安全技術(shù)和SETSET安全技術(shù)安全技術(shù)1.加密技術(shù)概述加密技術(shù)概述由于數(shù)據(jù)在傳輸過程中有可能遭到侵犯者的竊聽而失去保密信息，加密技術(shù)是電子商務(wù)采取的主要保密安全措施，是最常用的保密安全手段。加密技術(shù)也

4、就是利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）。 加密技術(shù)概述加密技術(shù)概述計算機加密技術(shù)計算機加密技術(shù)是解決計算機數(shù)據(jù)的加密是解決計算機數(shù)據(jù)的加密及其解密的技術(shù)，它是數(shù)學和計算機學的及其解密的技術(shù)，它是數(shù)學和計算機學的交叉技術(shù)交叉技術(shù)Z 待加密的報文，也稱明文待加密的報文，也稱明文Z 加密后的報文，也稱密文加密后的報文，也稱密文Z 加密、解密裝置或算法加密、解密裝置或算法Z 用于加密和解密的鑰匙，簡稱密鑰，一用于加密和解密的鑰匙，簡稱密鑰，一般是一個數(shù)字般是一個數(shù)字加密技術(shù)加密技術(shù)任何加密系統(tǒng)無論其形式多么復雜，至少任何加密系統(tǒng)無論其形式多么復雜

5、，至少應(yīng)包括以下四個組成部分：應(yīng)包括以下四個組成部分：算法和密鑰算法和密鑰加密包括兩個元素：算法和密鑰。一個加密算法是將普通的文本（或者可以理解的信息）與一竄數(shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟。密鑰和算法對加密同等重要。 密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法。在安全保密中，可通過適當?shù)拿荑€加密技術(shù)和管理機制，來保證網(wǎng)絡(luò)的信息通訊安全。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。 2.對稱密鑰體系對稱密鑰體系對稱密鑰體系對稱密鑰體系（Symmetric CryptographySymmetric Cryptography）又稱對稱密鑰技術(shù)，在對稱密鑰體系中，對又稱對

6、稱密鑰技術(shù)，在對稱密鑰體系中，對信息的加密和解密均使用同一個密鑰（或者信息的加密和解密均使用同一個密鑰（或者是密鑰對，但其中一個密鑰可用通過另一個是密鑰對，但其中一個密鑰可用通過另一個密鑰推導而得）密鑰推導而得）對稱密鑰體系的優(yōu)點對稱密鑰體系的優(yōu)點在于算法比較簡單，加在于算法比較簡單，加密、解密速度快，但是也有不可避免的缺點，密、解密速度快，但是也有不可避免的缺點，那就是密鑰分發(fā)和管理非常困難那就是密鑰分發(fā)和管理非常困難加密技術(shù)加密技術(shù)對稱加密對稱加密采用了對稱密碼編碼技術(shù)，它的特點是文件加密和解密使用相同的密鑰，即加密密鑰也可以用作解密密鑰。這種方法在密碼學中叫做對稱加密算法，對稱加密算法使

7、用起來簡單快捷，密鑰較短，且破譯困難，除了數(shù)據(jù)加密標準（DNS），另一個對稱密鑰加密系統(tǒng)系統(tǒng)是國際數(shù)據(jù)加密算法（IDEA），它比DNS的加密性好，而且對計算機功能要求也沒有那么高。IDEA加密標準由PGP（Pretty Good Privacy）系統(tǒng)使用。 對稱加密算法在電子商務(wù)交易過程中存在幾個問題： （1）要求提供一條安全的渠道使通訊雙方在首次通訊時協(xié)商一個共同的密鑰。直接的面對面協(xié)商可能是不現(xiàn)實而且難于實施的，所以雙方可能需要借助于郵件和電話等其它相對不夠安全的手段來進行協(xié)商； （2）密鑰的數(shù)目難于管理。因為對于每一個合作者都需要使用不同的密鑰，很難適應(yīng)開放社會中大量的信息交流； （3）

8、對稱加密算法一般不能提供信息完整性的鑒別。它無法驗證發(fā)送者和接受者的身份； （4）對稱密鑰的管理和分發(fā)工作是一件具有潛在危險的和煩瑣的過程。對稱加密是基于共同保守秘密來實現(xiàn)的，采用對稱加密技術(shù)的貿(mào)易雙方必須保證采用的是相同的密鑰，保證彼此密鑰的交換是安全可靠的，同時還要設(shè)定防止密鑰泄密和更改密鑰的程序。 加密技術(shù)加密技術(shù)3.非對稱密鑰體系非對稱密鑰體系1976年，美國學者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協(xié)議，允許在不安全的媒體上的通訊雙方交換信息，安全地達成一致的密鑰，這就是“公開密鑰系統(tǒng)”。相對于“對稱加密算法”這種方法也叫做“非對稱加密算法”。3

9、.非對稱密鑰體系非對稱密鑰體系公鑰密碼技術(shù)：以公鑰(PK)作為加密密鑰，私鑰(IK)作為解密密鑰，可實現(xiàn)多個用戶加密的消息只能由一個用戶解讀，可用于保密通信；反之，以私鑰作為加密密鑰，而以公鑰作為解密秘鑰，則可實現(xiàn)由一個用戶加密的消息可使多個用戶解讀，可用于數(shù)字簽名。 3.非對稱密鑰體系非對稱密鑰體系非對稱密鑰系統(tǒng)優(yōu)點非對稱密鑰系統(tǒng)優(yōu)點在于密鑰的管理非在于密鑰的管理非常簡單和安全常簡單和安全非對稱密鑰體系缺點非對稱密鑰體系缺點，是密鑰較長，加、，是密鑰較長，加、解密速度比較慢，對系統(tǒng)的要求較高解密速度比較慢，對系統(tǒng)的要求較高加密技術(shù)加密技術(shù)3.非對稱密鑰體系非對稱密鑰體系使用公開密鑰對文件進行

10、加密傳輸?shù)膶嶋H過程包括四步：（1）發(fā)送方生成一個自己的私有密鑰并用接收方的公開密鑰對自己的私有密鑰進行加密，然后通過網(wǎng)絡(luò)傳輸?shù)浇邮辗剑?（2）發(fā)送方對需要傳輸?shù)奈募米约旱乃接忻荑€進行加密，然后通過網(wǎng)絡(luò)把加密后的文件傳輸?shù)浇邮辗?；?）接收方用自己的公開密鑰進行解密后得到發(fā)送方的私有密鑰；（4）接受方用發(fā)送方的私有密鑰對文件進行解密得到文件的明文形式。 加密技術(shù)加密技術(shù)4.數(shù)字信封數(shù)字信封數(shù)字信封是公鑰密碼體制在實際中的一個數(shù)字信封是公鑰密碼體制在實際中的一個應(yīng)用，是用加密技術(shù)來保證只有規(guī)定的特定收應(yīng)用，是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀通信的內(nèi)容。信人才能閱讀通信的內(nèi)容。 4.數(shù)

11、字信封數(shù)字信封數(shù)字信封數(shù)字信封（也稱為電子信封）并不是一（也稱為電子信封）并不是一種新的加密體系，它只是把兩種密鑰體種新的加密體系，它只是把兩種密鑰體系結(jié)合起來，獲得了非對稱密鑰技術(shù)的系結(jié)合起來，獲得了非對稱密鑰技術(shù)的靈活和對稱密鑰技術(shù)的高效靈活和對稱密鑰技術(shù)的高效數(shù)字信封數(shù)字信封使網(wǎng)上的信息傳輸?shù)谋Ｃ苄允咕W(wǎng)上的信息傳輸?shù)谋Ｃ苄缘靡越鉀Q得以解決4.數(shù)字信封數(shù)字信封在數(shù)字信封中，信息發(fā)送方采用對稱密鑰來加密信息內(nèi)容，然后將此對稱密鑰用接收方的公開密鑰來加密（這部分稱數(shù)字信封）之后，將它和加密后的信息一起發(fā)送給接收方，接收方先用相應(yīng)的私有密鑰打開數(shù)字信封，得到對稱密鑰，然后使用對稱密鑰解開加密信息

12、。這種技術(shù)的安全性相當高。數(shù)字信封主要包括數(shù)字信封打包和數(shù)字信封拆解，數(shù)字信封打包是使用對方的公鑰將加密密鑰進行加密的過程，只有對方的私鑰才能將加密后的數(shù)據(jù)(通信密鑰)還原；數(shù)字信封拆解是使用私鑰將加密過的數(shù)據(jù)解密的過程。5.數(shù)字簽名數(shù)字簽名數(shù)字簽名技術(shù)的目的數(shù)字簽名技術(shù)的目的是保證信息的完整是保證信息的完整性和真實性性和真實性數(shù)字簽名技術(shù)就要保證以下兩點數(shù)字簽名技術(shù)就要保證以下兩點Z文件內(nèi)容沒有被改變文件內(nèi)容沒有被改變Z文件出自簽字人之手和經(jīng)過簽字文件出自簽字人之手和經(jīng)過簽字人批準（即簽字沒有被改動）人批準（即簽字沒有被改動）5.數(shù)字簽名數(shù)字簽名簡單地說，所謂數(shù)字簽名就是附加在數(shù)據(jù)單元上的一

13、些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并保護數(shù)據(jù)，防止被人（例如接收者）進行偽造。它是對電子形式的消息進行簽名的一種方法，一個簽名消息能在一個通信網(wǎng)絡(luò)中傳輸。 6.數(shù)字證書數(shù)字證書數(shù)字證書數(shù)字證書就是網(wǎng)絡(luò)通信中標志通信各方就是網(wǎng)絡(luò)通信中標志通信各方身份信息的一系列數(shù)據(jù)，提供身份信息的一系列數(shù)據(jù)，提供了一種在了一種在InternetInternet上驗證身份上驗證身份的方式的方式數(shù)字證書最重要的信息數(shù)字證書最重要的信息是一對公用密鑰體是一對公用密鑰體系中的密鑰系中的密鑰數(shù)字證書的關(guān)鍵數(shù)字證書的關(guān)鍵就是認證中心就是認證中心7

14、.SSL安全技術(shù)和安全技術(shù)和SET安全技安全技術(shù)術(shù)SSL和和SET是目前是目前InternetInternet上比較成熟的上比較成熟的安全技術(shù)標準安全技術(shù)標準基礎(chǔ)基礎(chǔ)就是以上介紹的各種加密技術(shù)就是以上介紹的各種加密技術(shù)目的目的則是保證數(shù)據(jù)傳輸?shù)陌踩詣t是保證數(shù)據(jù)傳輸?shù)陌踩?SSLSSL安全技術(shù)和安全技術(shù)和SETSET安全技術(shù)安全技術(shù)SSL（Secure Sockets Layer安全套接層）安全套接層）協(xié)議是協(xié)議是由由NetscapeNetscape公司研究制定的安全協(xié)議，該協(xié)議向基公司研究制定的安全協(xié)議，該協(xié)議向基于于TCP/IPTCP/IP的客戶的客戶/ /服務(wù)器應(yīng)用程序提供了客戶端和服

15、務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機密性等安全措服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施施SSL安全技術(shù)安全技術(shù) ZSSL握手協(xié)議握手協(xié)議ZSSL記錄協(xié)議記錄協(xié)議 SSL協(xié)議包括了兩個子協(xié)議：協(xié)議包括了兩個子協(xié)議：SSLSSL安全技術(shù)和安全技術(shù)和SETSET安全技術(shù)安全技術(shù)是一個通過開放網(wǎng)絡(luò)（包括是一個通過開放網(wǎng)絡(luò)（包括Internet）進行安全）進行安全資金支付的技術(shù)標準，由資金支付的技術(shù)標準，由VISA和和MasterCard組織共同制定，組織共同制定，1997年年5月聯(lián)合推出月聯(lián)合推出 SET安全技術(shù)安全技術(shù) 安全電子交易安全電子交易（SET，Secure E

16、lectronic Transaction）SSLSSL安全技術(shù)和安全技術(shù)和SETSET安全技術(shù)安全技術(shù)SET安全技術(shù)安全技術(shù) Z信息在信息在InternetInternet上安全傳輸上安全傳輸Z定單信息和個人帳號信息的隔離定單信息和個人帳號信息的隔離Z持卡人和商家相互認證，以確定通信雙方持卡人和商家相互認證，以確定通信雙方的身份，一般由第三方機構(gòu)負責為在線通的身份，一般由第三方機構(gòu)負責為在線通信雙方提供信用擔保信雙方提供信用擔保SET主要目標如下：主要目標如下：Z要求軟件遵循相同協(xié)議和報文格式，使不同要求軟件遵循相同協(xié)議和報文格式，使不同廠家開發(fā)的軟件具有兼容和互操作功能，并廠家開發(fā)的軟件具

17、有兼容和互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上且可以運行在不同的硬件和操作系統(tǒng)平臺上 13.3 反病毒技術(shù)反病毒技術(shù) Z 計算機病毒計算機病毒 Z 計算機網(wǎng)絡(luò)病毒的特點及危害計算機網(wǎng)絡(luò)病毒的特點及危害 Z 計算機的反病毒技術(shù)計算機的反病毒技術(shù) Z 計算機網(wǎng)絡(luò)病毒的防治方法計算機網(wǎng)絡(luò)病毒的防治方法 計算機病毒計算機病毒首先，與醫(yī)學上的首先，與醫(yī)學上的“病毒病毒”不同，它不是不同，它不是天然存在的，是某些人利用電腦軟、硬件所固天然存在的，是某些人利用電腦軟、硬件所固有的脆弱性，編制具有特殊功能的程序。其能有的脆弱性，編制具有特殊功能的程序。其能通過某種途徑潛伏在計算機存儲介質(zhì)通過某種

18、途徑潛伏在計算機存儲介質(zhì)(或程序或程序)里里,當達到某種條件時即被激活當達到某種條件時即被激活,它用修改其他它用修改其他程序的方法將自己的精確拷貝或者可能演化的程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染它們，對電腦形式放入其他程序中，從而感染它們，對電腦資源進行破壞的這樣一組程序或指令集合。資源進行破壞的這樣一組程序或指令集合。 計算機病毒的定義計算機病毒的定義從廣義上定義，凡能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。依據(jù)做過不盡相同的定義，但一直沒有公認的明確定義。直至1994年2月18日，我國正式頒布實施了中華人民共和國計算機信息系統(tǒng)安全保護條例，

19、在條例第二十八條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼?！贝硕x具有法律性、權(quán)威性。計算機病毒計算機病毒 Z自我復制的能力自我復制的能力Z它具有潛在的破壞力它具有潛在的破壞力Z它只能由人為編制而成它只能由人為編制而成Z它具有可傳染性它具有可傳染性特點特點:反病毒技術(shù)反病毒技術(shù)計算機病毒的特征計算機病毒的特征1. 傳染性：正常的計算機程序一般是不會將自身的代碼強行連接到其它程序之上的。而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程序之上。計算機病毒可通過各種可能的渠道，如軟

20、盤、計算機網(wǎng)絡(luò)去傳染其它的計算機。 計算機病毒的特征計算機病毒的特征2. 隱蔽性。病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤代碼分析，病毒程序與正常程序是不容易區(qū)別開來的。一般在沒有防護措施的情況下，計算機病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時間里傳染大量程序。而且受到傳染后，計算機系統(tǒng)通常仍能正常運行，使用戶不會感到任何異常。 計算機病毒的特征計算機病毒的特征3. 潛伏性。大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)（破壞）模塊。只有這樣它才可進行廣泛地傳播。 計算機病毒的特征計算機病毒的特征4. 破壞性。任何

21、病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕病毒與惡性病毒、良性病毒可能只顯示些畫面或出點音樂、無聊的語句，或者根本沒有任何破壞動作，但會占用系統(tǒng)資源。 計算機病毒的特征計算機病毒的特征5. 不可預見性。從對病毒的檢測方面來看，病毒還有不可預見性。不同種類的病毒，它們的代碼千差萬別，但有些操作是共有的（如駐內(nèi)存，改中斷）。 計算機病毒分類計算機病毒分類 引導區(qū)病毒文件型復合型腳本病毒宏病毒特洛伊木馬病毒蠕蟲病毒黑客型病毒后門病毒 計算機網(wǎng)絡(luò)病毒的特點及危害計算機網(wǎng)絡(luò)病毒的特點及危害 計算機網(wǎng)絡(luò)病毒計算機網(wǎng)絡(luò)病毒是在計算機網(wǎng)絡(luò)上傳播擴散，專是在計算機網(wǎng)絡(luò)上傳播擴散，專門攻擊網(wǎng)絡(luò)薄

22、弱環(huán)節(jié)、破壞網(wǎng)絡(luò)門攻擊網(wǎng)絡(luò)薄弱環(huán)節(jié)、破壞網(wǎng)絡(luò)資源的計算機病毒資源的計算機病毒Z計算機網(wǎng)絡(luò)病毒破壞性極強它具有潛在的破壞力計算機網(wǎng)絡(luò)病毒破壞性極強它具有潛在的破壞力Z具有較強的傳播性，擴散范圍大它具有可傳染性具有較強的傳播性，擴散范圍大它具有可傳染性Z具有潛伏性和可激發(fā)性具有潛伏性和可激發(fā)性具有潛伏性和可激發(fā)性具有潛伏性和可激發(fā)性 Z對計算機硬件有一定選擇性對計算機硬件有一定選擇性 Z新的傳播渠道和破壞手段新的傳播渠道和破壞手段 特點特點:反病毒技術(shù)反病毒技術(shù)計算機的反病毒技術(shù)計算機的反病毒技術(shù) Z 檢測檢測Z 清除清除Z 防御防御Z 免疫免疫 反病毒技術(shù)反病毒技術(shù)反病毒技術(shù)分成四個方面：反病毒

23、技術(shù)分成四個方面：病毒的檢測病毒的檢測Z 比較法比較法 Z 搜索法防御搜索法防御Z 計算機病毒特征字的識別法計算機病毒特征字的識別法 Z 分析法分析法 計算機反病毒技術(shù)計算機反病毒技術(shù)檢測計算機病毒檢測計算機病毒：就是要到病毒寄生場就是要到病毒寄生場所去檢查所去檢查, ,發(fā)現(xiàn)異常情況，并進而驗明發(fā)現(xiàn)異常情況，并進而驗明“正身正身”，確證計算機病毒的存在，確證計算機病毒的存在 病毒的清除病毒的清除Z 先由人工分析病毒傳染的方法，然后再加先由人工分析病毒傳染的方法，然后再加以程序化以程序化 Z 在每個可執(zhí)行文件中追加一部分用于恢復在每個可執(zhí)行文件中追加一部分用于恢復的信息計算機病毒特征字的識別法的

24、信息計算機病毒特征字的識別法 Z 利用軟件自動分析一個文件的原始備份和利用軟件自動分析一個文件的原始備份和被病毒感染后的拷貝被病毒感染后的拷貝 計算機反病毒技術(shù)計算機反病毒技術(shù)常用的除手工清除計算機病毒的方法有常用的除手工清除計算機病毒的方法有：病毒的防疫病毒的防疫計算機反病毒技術(shù)計算機反病毒技術(shù)目前最常用的技術(shù)就是實時監(jiān)視技術(shù)。這個技目前最常用的技術(shù)就是實時監(jiān)視技術(shù)。這個技術(shù)為計算機構(gòu)筑起一道動態(tài)、實時的反病毒防術(shù)為計算機構(gòu)筑起一道動態(tài)、實時的反病毒防線，通過修改操作系統(tǒng)，使操作系統(tǒng)本身具備線，通過修改操作系統(tǒng)，使操作系統(tǒng)本身具備反病毒功能，拒病毒于計算機系統(tǒng)之門外。時反病毒功能，拒病毒于計

25、算機系統(tǒng)之門外。時刻監(jiān)視系統(tǒng)當中的病毒活動，時刻監(jiān)視系統(tǒng)狀刻監(jiān)視系統(tǒng)當中的病毒活動，時刻監(jiān)視系統(tǒng)狀況，時刻監(jiān)視軟盤、光盤、因特網(wǎng)、電子郵件況，時刻監(jiān)視軟盤、光盤、因特網(wǎng)、電子郵件上的病毒傳染，將病毒阻止在操作系統(tǒng)外部。上的病毒傳染，將病毒阻止在操作系統(tǒng)外部。 病毒的免疫病毒的免疫計算機反病毒技術(shù)計算機反病毒技術(shù)計算機病毒的免疫技術(shù)目前沒有很大發(fā)展。計算機病毒的免疫技術(shù)目前沒有很大發(fā)展。 計算機網(wǎng)絡(luò)病毒的防治方法計算機網(wǎng)絡(luò)病毒的防治方法 Z基于工作站的防治技術(shù)基于工作站的防治技術(shù)Z基于服務(wù)器的防治技術(shù)基于服務(wù)器的防治技術(shù) Z加強計算機網(wǎng)絡(luò)的管理加強計算機網(wǎng)絡(luò)的管理反病毒技術(shù)反病毒技術(shù)13.4 防

26、火墻技術(shù)防火墻技術(shù)Z防火墻的基本概念防火墻的基本概念 Z防火墻的作用和不足防火墻的作用和不足 Z常見的防火墻結(jié)構(gòu)常見的防火墻結(jié)構(gòu)反病毒技術(shù)反病毒技術(shù)防火墻的基本概念防火墻的基本概念什么是防火墻什么是防火墻 防火墻（防火墻（FireWallFireWall）就是在內(nèi)部網(wǎng)絡(luò)就是在內(nèi)部網(wǎng)絡(luò)（Internal NetworkInternal Network）和外部網(wǎng)絡(luò)（通常是）和外部網(wǎng)絡(luò)（通常是InternetInternet）之間的一個屏障，他主要可以防）之間的一個屏障，他主要可以防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的未授權(quán)訪問止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的未授權(quán)訪問 防火墻技術(shù)防火墻技術(shù)防火墻的分類防火墻的分類網(wǎng)絡(luò)層防

27、火墻的過濾規(guī)則：網(wǎng)絡(luò)層防火墻的過濾規(guī)則：服務(wù)相關(guān)過濾規(guī)則服務(wù)相關(guān)過濾規(guī)則服務(wù)無關(guān)過濾規(guī)則服務(wù)無關(guān)過濾規(guī)則 防火墻的基本概念防火墻的基本概念Z網(wǎng)絡(luò)層防火墻網(wǎng)絡(luò)層防火墻Z應(yīng)用層防火墻應(yīng)用層防火墻網(wǎng)絡(luò)層防護墻優(yōu)點和缺點網(wǎng)絡(luò)層防護墻優(yōu)點和缺點Z電路層防火墻電路層防火墻防火墻的作用和不足防火墻的作用和不足 防火墻技術(shù)防火墻技術(shù)使用防火墻的好處：使用防火墻的好處： Z集中化的安全管理集中化的安全管理 Z方便的網(wǎng)絡(luò)安全監(jiān)視方便的網(wǎng)絡(luò)安全監(jiān)視 Z緩解緩解IPIP地址空間的緊缺地址空間的緊缺 Z記錄網(wǎng)絡(luò)流量記錄網(wǎng)絡(luò)流量 Z安全發(fā)布信息安全發(fā)布信息 使用防火墻局限：使用防火墻局限： Z來自不受防火墻控制的其他途徑

28、的攻擊來自不受防火墻控制的其他途徑的攻擊 Z來自網(wǎng)絡(luò)內(nèi)部的攻擊來自網(wǎng)絡(luò)內(nèi)部的攻擊 Z計算機病毒和數(shù)據(jù)驅(qū)動型的攻擊計算機病毒和數(shù)據(jù)驅(qū)動型的攻擊 常見的防火墻結(jié)構(gòu)常見的防火墻結(jié)構(gòu)防火墻技術(shù)防火墻技術(shù)Z包過濾路由器包過濾路由器Z單宿堡壘主機防火墻單宿堡壘主機防火墻Z雙宿堡壘主機防火墻雙宿堡壘主機防火墻防火墻技術(shù)防火墻技術(shù)防火墻技術(shù)防火墻技術(shù)防火墻技術(shù)防火墻技術(shù)13.5 基于客戶的安全基于客戶的安全 Z客戶機的病毒防治客戶機的病毒防治 Z客戶機操作系統(tǒng)的安全客戶機操作系統(tǒng)的安全 Z客戶機客戶機瀏覽器瀏覽器的安全的安全 1.客戶機的病毒防治客戶機的病毒防治Z 首先用戶自我要注意不要給病毒提供首先用戶自我要注意不要給病毒提供可乘之機可乘之機 Z 其次必須在客戶機上安裝反病毒軟件其次必須在客戶機上安裝反病毒軟件 軟件的選擇上需要考慮以下幾點：軟件的選擇上需要考慮以下幾點： Z實時監(jiān)視技術(shù)實時監(jiān)視技術(shù) Z全平臺反病毒技術(shù)全平臺反病毒技術(shù)基于客戶的安全基