ZXR10 產(chǎn)品操作維護(hù)標(biāo)準(zhǔn)培訓(xùn)資料：R10-A-CH-用戶(終端)安全與防護(hù)

用戶（終端）安全與防護(hù)內(nèi)容提要用戶（終端）安全與防護(hù)概述主機(jī)防病毒介紹主機(jī)防火墻介紹主機(jī)入侵檢測(cè)介紹流量清洗介紹用戶（終端）安全與防護(hù)概述用戶終端計(jì)算機(jī)，作為應(yīng)用數(shù)據(jù)流的發(fā)起點(diǎn)和接收數(shù)據(jù)流的終點(diǎn)，其安全性在整個(gè)網(wǎng)絡(luò)中是舉足輕重的。主機(jī)的安全隱患主要存在于以下幾個(gè)方面：操作系統(tǒng)存在漏洞主機(jī)中運(yùn)行的軟件自身存有漏洞沒(méi)有諸如防火墻和殺毒軟件之類的防護(hù)措施使用者使用一些非法軟件用戶名和賬號(hào)被非法取得內(nèi)容提要用戶（終端）安全與防護(hù)概述主機(jī)防病毒介紹主機(jī)防火墻介紹主機(jī)入侵檢測(cè)介紹流量清洗介紹計(jì)算機(jī)病毒背景早在上世紀(jì)八十年代末，在我國(guó)就出現(xiàn)了計(jì)算機(jī)病毒的身影，隨后隨著計(jì)算機(jī)以及網(wǎng)絡(luò)尤其是英特網(wǎng)的普及，病毒的傳播愈加迅猛，造成的損失也愈加巨大。比較著名的計(jì)算機(jī)病毒在上世界末有CIH病毒、“愛(ài)蟲(chóng)”病毒，近期的“熊貓燒香”病毒以及“灰鴿子”病毒等?，F(xiàn)在的許多計(jì)算機(jī)病毒帶有一定的“智能”，不但可以偽裝自己，快速傳播（繁殖），還會(huì)產(chǎn)生眾多的變異品種。計(jì)算機(jī)病毒分類我們常見(jiàn)的病毒主要分為以下幾大類：系統(tǒng)病毒：如CIH病毒蠕蟲(chóng)病毒：如沖擊波、小郵差木馬病毒、黑客病毒腳本病毒：如紅色代碼宏病毒：如美麗莎后門病毒病毒種植程序病毒：如冰河播種者、MSN射手破壞性程序病毒：如格式化C盤、殺手命令玩笑病毒：如女鬼病毒捆綁機(jī)病毒：如捆綁、系統(tǒng)殺手防病毒原理計(jì)算機(jī)病毒的防治要從防毒、查毒、解毒三方面來(lái)進(jìn)行；系統(tǒng)對(duì)于計(jì)算機(jī)病毒的實(shí)際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來(lái)評(píng)判。防毒能力是指預(yù)防病毒侵入計(jì)算機(jī)系統(tǒng)的能力。查毒能力是指發(fā)現(xiàn)和追蹤病毒來(lái)源的能力。解毒能力是指根據(jù)不同類型病毒對(duì)感染對(duì)象的修改，并按照病毒的感染特性所進(jìn)行的恢復(fù)。內(nèi)容提要用戶（終端）安全與防護(hù)概述主機(jī)防病毒介紹主機(jī)防火墻介紹主機(jī)入侵檢測(cè)介紹流量清洗介紹什么是主機(jī)防火墻在接入Internet的主機(jī)上如何防范計(jì)算機(jī)病毒、流氓軟件甚至黑客入侵呢？一個(gè)簡(jiǎn)單易行的方法就是在您的計(jì)算機(jī)中安裝主機(jī)防火墻，也就是個(gè)人防火墻。個(gè)人防火墻是防止計(jì)算機(jī)中的信息被外部侵襲的一項(xiàng)技術(shù)，在您的系統(tǒng)中監(jiān)控、阻止任何未經(jīng)授權(quán)允許的數(shù)據(jù)進(jìn)入或發(fā)出到互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)系統(tǒng)。它能幫助您對(duì)系統(tǒng)進(jìn)行監(jiān)控及管理，防止很多種病毒程序通過(guò)網(wǎng)絡(luò)進(jìn)入您的計(jì)算機(jī)或在您未知情況下向外部擴(kuò)散。主機(jī)防火墻的作用主機(jī)防火墻對(duì)計(jì)算機(jī)發(fā)往外界的數(shù)據(jù)包和外界發(fā)送到計(jì)算機(jī)的數(shù)據(jù)包進(jìn)行分析和過(guò)濾，把不正常的、惡意的和具備攻擊性的數(shù)據(jù)包攔截下來(lái)，并且向用戶發(fā)出提醒。除了阻斷向外發(fā)送密碼等私密信息，阻擋外界的控制外，個(gè)人防火墻的作用還在于屏蔽來(lái)自外界的攻擊，如探測(cè)本地的信息和一些頻繁的數(shù)據(jù)包流向本地。內(nèi)容提要用戶（終端）安全與防護(hù)概述主機(jī)防病毒介紹主機(jī)防火墻介紹主機(jī)入侵檢測(cè)介紹流量清洗介紹主機(jī)入侵檢測(cè)概述基于主機(jī)的入侵檢測(cè)系統(tǒng)我們稱之為HIDS（Host-basedIntrusionDetectionSystem）。HIDS和NIDS（Network-basedIntrusionDetectionSystem，基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)）是IDS的兩種最主要的形式。IDS一般都采用“信息收集系統(tǒng)-分析控制系統(tǒng)”結(jié)構(gòu)，即由安裝在被監(jiān)控信息源的探頭（或代理）來(lái)收集相關(guān)的信息，然后按照一定方式傳輸給分析機(jī)，經(jīng)過(guò)對(duì)相關(guān)信息的分析，按照事先設(shè)定的規(guī)則、策略等給出相應(yīng)的操作動(dòng)作。HIDS關(guān)注的是到達(dá)主機(jī)的各種安全威脅，主要依靠主機(jī)行為特征進(jìn)行檢測(cè)。主機(jī)入侵檢測(cè)原理主機(jī)入侵檢測(cè)系統(tǒng)通常在被重點(diǎn)檢測(cè)的主機(jī)上運(yùn)行一個(gè)代理程序。該代理程序扮演著檢測(cè)引擎的角色，它根據(jù)主機(jī)行為特征庫(kù)對(duì)受檢測(cè)主機(jī)上的可疑行為進(jìn)行采集、分析和判斷，并把警報(bào)信息發(fā)送給控制端程序，由管理員集中管理。此外，代理程序需要定期給控制端發(fā)出信號(hào)，以使管理員能確信代理程序工作正常。HIDS將探頭（代理）安裝在受保護(hù)系統(tǒng)中，它要求與操作系統(tǒng)內(nèi)核和服務(wù)緊密捆綁在一起，監(jiān)控各種系統(tǒng)事件。HIDS能對(duì)檢測(cè)的入侵行為、事件給予積極的反應(yīng)，比如斷開(kāi)連接、封掉用戶賬號(hào)、殺死進(jìn)程、提交警報(bào)等等。主機(jī)入侵檢測(cè)原理（續(xù)）如果某用戶在系統(tǒng)中植入了一個(gè)未知的木馬病毒，可能所有的殺病毒軟件、IDS等的病毒庫(kù)、攻擊庫(kù)中都沒(méi)有記載，但只要這個(gè)木馬程序開(kāi)始工作，如提升用戶權(quán)限、非法修改系統(tǒng)文件、調(diào)用被監(jiān)控文件和文件夾等，就會(huì)立即被HIDS的發(fā)現(xiàn)，并采取殺死進(jìn)程、封掉賬號(hào)，甚至斷開(kāi)網(wǎng)絡(luò)連接。一般而言，HIDS對(duì)每一個(gè)正被處理的目標(biāo)文件都會(huì)記錄下他們的屬性（如權(quán)限、大小、修改時(shí)間等）。如果該文件有其文件內(nèi)容的話，HIDS將會(huì)創(chuàng)建一個(gè)校驗(yàn)碼（如SHA1、MD5或類似的），這個(gè)校驗(yàn)碼信息將儲(chǔ)存在一個(gè)安全的數(shù)據(jù)庫(kù)中，即校驗(yàn)碼數(shù)據(jù)庫(kù)，以便將來(lái)核對(duì)目標(biāo)是否被修改了。主機(jī)入侵檢測(cè)的幾個(gè)級(jí)別對(duì)應(yīng)于不同的應(yīng)用范圍，主機(jī)入侵檢測(cè)分為以下多個(gè)級(jí)別：個(gè)人級(jí)：專供個(gè)人使用，簡(jiǎn)化了功能和性能，配置簡(jiǎn)單企業(yè)級(jí)：在性能、功能、易用性和成本幾方面找到一個(gè)平衡點(diǎn)政府級(jí)：更注重攻擊識(shí)別能力和實(shí)時(shí)響應(yīng)能力電信級(jí)：需要實(shí)時(shí)檢測(cè)海量的數(shù)據(jù)流量，對(duì)產(chǎn)品的攻擊識(shí)別能力、丟包率等性能指標(biāo)提出了極高的要求內(nèi)容提要用戶（終端）安全與防護(hù)概述主機(jī)防病毒介紹主機(jī)防火墻介紹主機(jī)入侵檢測(cè)介紹流量清洗介紹什么是流量清洗？DPI（DeepPacketInspection，深度包檢測(cè)）技術(shù)是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)。當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過(guò)基于DPI技術(shù)的帶寬管理系統(tǒng)時(shí)，該系統(tǒng)通過(guò)深入讀取IP包載荷的內(nèi)容來(lái)對(duì)OSI七層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從而得到整個(gè)應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對(duì)流量進(jìn)行整形操作。流量清洗的應(yīng)用DPI技術(shù)最有前景的應(yīng)用是識(shí)別P2P流量。自從1999年Napster出現(xiàn)以后，P2P技術(shù)發(fā)展異常迅猛，P2P應(yīng)用流量在2007年底已經(jīng)占據(jù)互聯(lián)網(wǎng)總流量的80%左右。運(yùn)營(yíng)商對(duì)P2P流量非常頭痛，放任不行，也很難限制得住。如何有效檢測(cè)和控制P2P流量成為業(yè)界新的課題。DPI技術(shù)可以通過(guò)流量特征字、應(yīng)用層特征、行為模式來(lái)識(shí)