ZXR10 產(chǎn)品操作維護標(biāo)準(zhǔn)培訓(xùn)資料：R10-A-CH-用戶(終端)安全與防護

用戶（終端）安全與防護內(nèi)容提要用戶（終端）安全與防護概述主機防病毒介紹主機防火墻介紹主機入侵檢測介紹流量清洗介紹用戶（終端）安全與防護概述用戶終端計算機，作為應(yīng)用數(shù)據(jù)流的發(fā)起點和接收數(shù)據(jù)流的終點，其安全性在整個網(wǎng)絡(luò)中是舉足輕重的。主機的安全隱患主要存在于以下幾個方面：操作系統(tǒng)存在漏洞主機中運行的軟件自身存有漏洞沒有諸如防火墻和殺毒軟件之類的防護措施使用者使用一些非法軟件用戶名和賬號被非法取得內(nèi)容提要用戶（終端）安全與防護概述主機防病毒介紹主機防火墻介紹主機入侵檢測介紹流量清洗介紹計算機病毒背景早在上世紀(jì)八十年代末，在我國就出現(xiàn)了計算機病毒的身影，隨后隨著計算機以及網(wǎng)絡(luò)尤其是英特網(wǎng)的普及，病毒的傳播愈加迅猛，造成的損失也愈加巨大。比較著名的計算機病毒在上世界末有CIH病毒、“愛蟲”病毒，近期的“熊貓燒香”病毒以及“灰鴿子”病毒等?，F(xiàn)在的許多計算機病毒帶有一定的“智能”，不但可以偽裝自己，快速傳播（繁殖），還會產(chǎn)生眾多的變異品種。計算機病毒分類我們常見的病毒主要分為以下幾大類：系統(tǒng)病毒：如CIH病毒蠕蟲病毒：如沖擊波、小郵差木馬病毒、黑客病毒腳本病毒：如紅色代碼宏病毒：如美麗莎后門病毒病毒種植程序病毒：如冰河播種者、MSN射手破壞性程序病毒：如格式化C盤、殺手命令玩笑病毒：如女鬼病毒捆綁機病毒：如捆綁、系統(tǒng)殺手防病毒原理計算機病毒的防治要從防毒、查毒、解毒三方面來進(jìn)行；系統(tǒng)對于計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。防毒能力是指預(yù)防病毒侵入計算機系統(tǒng)的能力。查毒能力是指發(fā)現(xiàn)和追蹤病毒來源的能力。解毒能力是指根據(jù)不同類型病毒對感染對象的修改，并按照病毒的感染特性所進(jìn)行的恢復(fù)。內(nèi)容提要用戶（終端）安全與防護概述主機防病毒介紹主機防火墻介紹主機入侵檢測介紹流量清洗介紹什么是主機防火墻在接入Internet的主機上如何防范計算機病毒、流氓軟件甚至黑客入侵呢？一個簡單易行的方法就是在您的計算機中安裝主機防火墻，也就是個人防火墻。個人防火墻是防止計算機中的信息被外部侵襲的一項技術(shù)，在您的系統(tǒng)中監(jiān)控、阻止任何未經(jīng)授權(quán)允許的數(shù)據(jù)進(jìn)入或發(fā)出到互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)系統(tǒng)。它能幫助您對系統(tǒng)進(jìn)行監(jiān)控及管理，防止很多種病毒程序通過網(wǎng)絡(luò)進(jìn)入您的計算機或在您未知情況下向外部擴散。主機防火墻的作用主機防火墻對計算機發(fā)往外界的數(shù)據(jù)包和外界發(fā)送到計算機的數(shù)據(jù)包進(jìn)行分析和過濾，把不正常的、惡意的和具備攻擊性的數(shù)據(jù)包攔截下來，并且向用戶發(fā)出提醒。除了阻斷向外發(fā)送密碼等私密信息，阻擋外界的控制外，個人防火墻的作用還在于屏蔽來自外界的攻擊，如探測本地的信息和一些頻繁的數(shù)據(jù)包流向本地。內(nèi)容提要用戶（終端）安全與防護概述主機防病毒介紹主機防火墻介紹主機入侵檢測介紹流量清洗介紹主機入侵檢測概述基于主機的入侵檢測系統(tǒng)我們稱之為HIDS（Host-basedIntrusionDetectionSystem）。HIDS和NIDS（Network-basedIntrusionDetectionSystem，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)）是IDS的兩種最主要的形式。IDS一般都采用“信息收集系統(tǒng)-分析控制系統(tǒng)”結(jié)構(gòu)，即由安裝在被監(jiān)控信息源的探頭（或代理）來收集相關(guān)的信息，然后按照一定方式傳輸給分析機，經(jīng)過對相關(guān)信息的分析，按照事先設(shè)定的規(guī)則、策略等給出相應(yīng)的操作動作。HIDS關(guān)注的是到達(dá)主機的各種安全威脅，主要依靠主機行為特征進(jìn)行檢測。主機入侵檢測原理主機入侵檢測系統(tǒng)通常在被重點檢測的主機上運行一個代理程序。該代理程序扮演著檢測引擎的角色，它根據(jù)主機行為特征庫對受檢測主機上的可疑行為進(jìn)行采集、分析和判斷，并把警報信息發(fā)送給控制端程序，由管理員集中管理。此外，代理程序需要定期給控制端發(fā)出信號，以使管理員能確信代理程序工作正常。HIDS將探頭（代理）安裝在受保護系統(tǒng)中，它要求與操作系統(tǒng)內(nèi)核和服務(wù)緊密捆綁在一起，監(jiān)控各種系統(tǒng)事件。HIDS能對檢測的入侵行為、事件給予積極的反應(yīng)，比如斷開連接、封掉用戶賬號、殺死進(jìn)程、提交警報等等。主機入侵檢測原理（續(xù)）如果某用戶在系統(tǒng)中植入了一個未知的木馬病毒，可能所有的殺病毒軟件、IDS等的病毒庫、攻擊庫中都沒有記載，但只要這個木馬程序開始工作，如提升用戶權(quán)限、非法修改系統(tǒng)文件、調(diào)用被監(jiān)控文件和文件夾等，就會立即被HIDS的發(fā)現(xiàn)，并采取殺死進(jìn)程、封掉賬號，甚至斷開網(wǎng)絡(luò)連接。一般而言，HIDS對每一個正被處理的目標(biāo)文件都會記錄下他們的屬性（如權(quán)限、大小、修改時間等）。如果該文件有其文件內(nèi)容的話，HIDS將會創(chuàng)建一個校驗碼（如SHA1、MD5或類似的），這個校驗碼信息將儲存在一個安全的數(shù)據(jù)庫中，即校驗碼數(shù)據(jù)庫，以便將來核對目標(biāo)是否被修改了。主機入侵檢測的幾個級別對應(yīng)于不同的應(yīng)用范圍，主機入侵檢測分為以下多個級別：個人級：專供個人使用，簡化了功能和性能，配置簡單企業(yè)級：在性能、功能、易用性和成本幾方面找到一個平衡點政府級：更注重攻擊識別能力和實時響應(yīng)能力電信級：需要實時檢測海量的數(shù)據(jù)流量，對產(chǎn)品的攻擊識別能力、丟包率等性能指標(biāo)提出了極高的要求內(nèi)容提要用戶（終端）安全與防護概述主機防病毒介紹主機防火墻介紹主機入侵檢測介紹流量清洗介紹什么是流量清洗？DPI（DeepPacketInspection，深度包檢測）技術(shù)是一種基于應(yīng)用層的流量檢測和控制技術(shù)。當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過基于DPI技術(shù)的帶寬管理系統(tǒng)時，該系統(tǒng)通過深入讀取IP包載荷的內(nèi)容來對OSI七層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從而得到整個應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對流量進(jìn)行整形操作。流量清洗的應(yīng)用DPI技術(shù)最有前景的應(yīng)用是識別P2P流量。自從1999年Napster出現(xiàn)以后，P2P技術(shù)發(fā)展異常迅猛，P2P應(yīng)用流量在2007年底已經(jīng)占據(jù)互聯(lián)網(wǎng)總流量的80%左右。運營商對P2P流量非常頭痛，放任不行，也很難限制得住。如何有效檢測和控制P2P流量成為業(yè)界新的課題。DPI技術(shù)可以通過流量特征字、應(yīng)用層特征、行為模式來識