計算機網(wǎng)絡技術及應用第9章網(wǎng)絡安全與防范課件

計算機網(wǎng)絡技術第九章 計算機網(wǎng)絡安全

計算機網(wǎng)絡技術第九章 計算機網(wǎng)絡安全[教學內容](1)計算機網(wǎng)絡安全概念

(2)常用的網(wǎng)絡安全設備與技術

(3)計算機病毒的分類、特點、特征和運行機制

(4)病毒的檢測和防治技術

(5)防火墻的基本類型(6)常見的防火墻配置(7)網(wǎng)絡攻擊的分類、手段和防范措施

[實踐內容](1)查殺計算機病毒；(2)常用的個人防火墻進行配置；[教學內容][實踐內容]計算機網(wǎng)絡安全[教學要求]（1）了解計算機網(wǎng)絡安全方面的知識（2）了解計算機病毒的分類、特點、特征和運行機制（3）了解反病毒涉及的主要技術（4）掌握病毒的檢測和防治技術（5）掌握防火墻的基本類型（6）熟悉常見的防火墻配置（7）了解網(wǎng)絡攻擊的分類、手段和防范措施（8）了解企業(yè)網(wǎng)安全防御技術計算機網(wǎng)絡安全[教學要求]本次課內容介紹主要內容：了解計算機網(wǎng)絡安全了解計算機病毒的分類、特點、特征和運行機制了解反病毒涉及的主要技術掌握病毒的檢測和防治技術掌握防火墻的基本類型熟悉常見的防火墻配置重點內容：病毒的檢測和防治技術防火墻的基本類型及配置本次課內容介紹主要內容：應用情景

青職公司市場部小李剛上班，就打開計算機準備處理昨天銷售部門報上來的數(shù)據(jù)分析表，一開機就發(fā)現(xiàn)計算機無法正常工作，也不能上網(wǎng)。打電話給計算機中心的小張請求幫助。小張發(fā)現(xiàn)操作系統(tǒng)無法正常啟動，系統(tǒng)被計算機病毒破壞了。小張重新安裝了操作系統(tǒng)，并安裝了正版的殺病毒軟件對計算機進行了殺毒處理。計算機終于可以正常工作了，小李懸著的心放了下來。小李請教小張如何才能防止類似的事情再次發(fā)生呢？應用情景 青職公司市場部小李剛上班，就打開計算機準備9.1了解計算機網(wǎng)絡安全9.1.1計算機網(wǎng)絡安全概述計算機網(wǎng)絡安全不僅包括組網(wǎng)的硬件、管理控制網(wǎng)絡的軟件，也包括共享的資源，快捷的網(wǎng)絡服務，所以定義網(wǎng)絡安全應考慮涵蓋計算機網(wǎng)絡所涉及的全部內容。參照ISO給出的計算機安全定義，計算機網(wǎng)絡安全是指：“保護計算機網(wǎng)絡系統(tǒng)中的硬件，軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡系統(tǒng)連續(xù)可靠性地正常運行，網(wǎng)絡服務正常有序?！?.1了解計算機網(wǎng)絡安全9.1.1計算機網(wǎng)絡安全概述1．網(wǎng)絡安全的屬性在美國國家信息基礎設施（NII）的文獻中，給出了網(wǎng)絡安全的五個屬性。保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯裕嚎杀皇跈鄬嶓w訪問并按需求使用的特性。即網(wǎng)絡信息服務在需要時允許授權用戶或實體使用，或者是網(wǎng)絡部分受損或需要降級使用時仍能為授權用戶提供有效服務。可控性：對信息的傳播及內容具有控制能力，不允許不良信息通過公共網(wǎng)絡進行傳輸?？蓪彶樾裕撼霈F(xiàn)安全問題時提供依據(jù)與手段。1．網(wǎng)絡安全的屬性2.中小型網(wǎng)絡安全面臨的主要威脅（1）自然威脅自然威脅可能來自于各種自然災害。（2）物理威脅物理威脅主要體現(xiàn)在物理設備上。（3）常見的網(wǎng)絡安全威脅

①網(wǎng)絡攻擊

②非授權訪問

③計算機病毒2.中小型網(wǎng)絡安全面臨的主要威脅9.1.2常用的網(wǎng)絡安全設備與技術（1）防火墻技術所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網(wǎng)關（SecurityGateway），從而保護內部網(wǎng)免受非法用戶的侵入。（2）入侵檢測系統(tǒng)入侵檢測系統(tǒng)（intrusiondetectionsystem，簡稱“IDS”）是一種對網(wǎng)絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備。9.1.2常用的網(wǎng)絡安全設備與技術（1）防火墻技術（3）漏洞掃描技術漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為。（4）數(shù)據(jù)備份數(shù)據(jù)備份是容災的基礎，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導致數(shù)據(jù)丟失，而將全部或部分數(shù)據(jù)集合從應用主機的硬盤或陣列復制到其它的存儲介質的過程。（3）漏洞掃描技術（4）數(shù)據(jù)備份（5）防病毒技術從防病毒產(chǎn)品對計算機病毒的作用來講，防毒技術可以直觀地分為：病毒預防技術、病毒檢測技術及病毒清除技術。（6）數(shù)據(jù)加密技術

數(shù)據(jù)加密技術是指對信息進行重新編碼，從而隱藏信息內容，使非法用戶無法獲取信息的真實內容的一種技術手段。（5）防病毒技術“計算機病毒”定義指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或程序代碼。

9.2防治計算機病毒“計算機病毒”定義9.2防治計算機病毒9.2.1計算機病毒與殺毒軟件1．計算機病毒的特征計算機病毒作為一種特殊的程序具有以下特征。（1）非授權可執(zhí)行性（2）隱蔽性（3）傳染性：最重要的一個特征

（4）潛伏性（5）表現(xiàn)性或破壞性（6）可觸發(fā)性

9.2.1計算機病毒與殺毒軟件1．計算機病毒的特征（1）引導型病毒

（2）文件型病毒

（3）復合型病毒（4）變型病毒（5）宏病毒

（6）網(wǎng)頁病毒（7）“蠕蟲”型病毒（8）木馬病毒

2．計算機病毒分類（1）引導型病毒2．計算機病毒分類3．計算機病毒的傳播通過文件系統(tǒng)傳播；通過電子郵件傳播；通過局域網(wǎng)傳播；通過互聯(lián)網(wǎng)上即時通訊軟件和點對點軟件等常用工具傳播；利用系統(tǒng)、應用軟件的漏洞進行傳播；利用系統(tǒng)配置缺陷傳播，如弱口令、完全共享等；3．計算機病毒的傳播通過文件系統(tǒng)傳播；計算機病毒的傳播過程計算機病毒的傳播過程1．如何防治病毒（1）要提高對計算機病毒危害的認識（2）養(yǎng)成備份重要文件等良好使用習慣（3）大力普及殺毒軟件（4）采取措施防止計算機病毒的發(fā)作（5）開啟計算機病毒查殺軟件的實時監(jiān)測功能（6）加強對網(wǎng)絡流量等異常情況的監(jiān)測（7）有規(guī)律的備份系統(tǒng)關鍵數(shù)據(jù)，建立應對災難的數(shù)據(jù)安全策略

9.2.2計算機病毒防治1．如何防治病毒（1）要提高對計算機病毒危害的認識9.2.2．如何選擇計算機病毒防治產(chǎn)品具有發(fā)現(xiàn)、隔離并清除病毒功能；具有實時報警（包括文件監(jiān)控、郵件監(jiān)控、網(wǎng)頁腳本監(jiān)控等）功能；多種方式及時升級；統(tǒng)一部署防范技術的管理功能；對病毒清除徹底，文件修復完整、可用；產(chǎn)品的誤報、漏報率較低；占用系統(tǒng)資源合理，產(chǎn)品適應性較好。2．如何選擇計算機病毒防治產(chǎn)品具有發(fā)現(xiàn)、隔離并清除病毒功能9.3網(wǎng)絡攻擊與防御9.3.1網(wǎng)絡黑客攻擊1．黑客和入侵者在日本《新黑客詞典》中，對黑客的定義是“喜歡探索軟件程序奧秘，并從中增長了其個人才干的人。他們不象絕大多數(shù)電腦使用者那樣，只規(guī)規(guī)矩矩地了解別人指定了解的狹小部分知識?！比肭终撸ü粽撸┲笐延胁涣嫉钠髨D，闖入遠程計算機系統(tǒng)甚至破壞遠程計算機系統(tǒng)完整性的人。9.3網(wǎng)絡攻擊與防御9.3.1網(wǎng)絡黑客攻擊1．黑客和入侵者在2．黑客攻擊的主要手段黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行，并不盜竊系統(tǒng)資料，通常采用拒絕服務攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標系統(tǒng)的數(shù)據(jù)為目的。（1）后門程序（2）信息炸彈（3）拒絕服務（4）網(wǎng)絡監(jiān)聽2．黑客攻擊的主要手段黑客攻擊手段可分為非破壞性攻擊和破壞性3．黑客攻擊的目的（1）獲取數(shù)據(jù)（2）獲取權限（3）非法訪問（4）拒絕服務（5）暴露信息3．黑客攻擊的目的黑客攻擊的步驟第1步信息收集：獲取目標系統(tǒng)的信息，如網(wǎng)絡拓撲結構、IP地址分配、端口的使用情況等。第2步獲得對系統(tǒng)的訪問權限：通過口令猜測、社會工程、建立后門等攻擊手段，利用系統(tǒng)存在的漏洞來獲得對系統(tǒng)的訪問權限。第3步破壞系統(tǒng)或盜取信息

：利用非法獲得的對系統(tǒng)的訪問權限，運行非法程序。第4步消除入侵痕跡：入侵后盡力消除入侵痕跡，如更改或者刪除系統(tǒng)文件或日志。黑客攻擊的步驟第1步信息收集：獲取目標系統(tǒng)的信息，如網(wǎng)絡拓撲9.3.2網(wǎng)絡攻擊網(wǎng)絡攻擊是指利用網(wǎng)絡存在的漏洞和安全缺陷對網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進行的攻擊。1．攻擊的分類從攻擊的行為分主動攻擊與被動攻擊。從攻擊的位置分遠程攻擊、本地攻擊和偽遠程攻擊。2．網(wǎng)絡攻擊手段（1）獲取口令

（2）放置特洛伊木馬程序（3）WWW的欺騙技術

（4）電子郵件攻擊（5）通過一個節(jié)點來攻擊其他節(jié)點（6）網(wǎng)絡監(jiān)聽

（7）尋找系統(tǒng)漏洞（8）利用帳號進行攻擊

（9）偷取特權9.3.2網(wǎng)絡攻擊網(wǎng)絡攻擊是指利用網(wǎng)絡存在的漏洞和安全缺陷9.3.2網(wǎng)絡攻擊的防范措施1．提高安全意識2．安裝殺毒軟件3．安裝防火墻軟件4．只在必要時共享文件夾5．定期備份重要數(shù)據(jù)9.3.2網(wǎng)絡攻擊的防范措施1．提高安全意識9.3.3企業(yè)網(wǎng)絡安全防御1．VLAN（虛擬局域網(wǎng)）技術

選擇VLAN技術可較好地從鏈路層實施網(wǎng)絡安全保障。2．網(wǎng)絡分段網(wǎng)絡分段就是將非法用戶與網(wǎng)絡資源相互隔離，從而達到限制用戶非法訪問的目的。3．硬件防火墻技術設置防火墻的目的都是為了在內部網(wǎng)與外部網(wǎng)之間設立唯一的通道，簡化網(wǎng)絡的安全管理。4．入侵檢測技術9.3.3企業(yè)網(wǎng)絡安全防御1．VLAN（虛擬局域網(wǎng)）技術9.4防火墻技術9.4.1防火墻的基本類型防火墻是在一個受保護的企業(yè)內部網(wǎng)絡與互聯(lián)網(wǎng)間，用來強制執(zhí)行企業(yè)安全策略的一個或一組系統(tǒng)，如圖9-2所示。防火墻防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內部網(wǎng)絡，訪問內部網(wǎng)絡資源；保護內部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它是不同網(wǎng)絡安全域間通信流的唯一通道，能根據(jù)企業(yè)有關的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡的訪問行為。9.4防火墻技術9.4.1防火墻的基本類型防火墻示意圖

防火墻示意圖1．防火墻的功能（1）過濾不安全服務和非法用戶，禁止未授權的用戶訪問受保護的網(wǎng)絡。（2）控制對特殊站點的訪問。

允許受保護網(wǎng)絡的一部分主機如郵件服務器、FTP服務器和Web服務器等被外部網(wǎng)訪問，而另一部分被保護起來，防止不必要的訪問。（3）監(jiān)視網(wǎng)絡訪問，提供安全預警。1．防火墻的功能（1）過濾不安全服務和非法用戶，禁止未授權2.防火墻的分類（1）網(wǎng)絡級防火墻--包過濾路由器

（2）電路級防火墻—電路網(wǎng)關（3）應用級防火墻—應用網(wǎng)關（4）監(jiān)測型防火墻2．防火墻的基本類型2.防火墻的分類（1）網(wǎng)絡級防火墻--包過濾路由器2．防防火墻存在軟件和硬件兩種形式。

具備包過濾功能的路由器（或充當路由器的計算機），通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，否則將數(shù)據(jù)拒之門外。優(yōu)點：簡單實用，實現(xiàn)成本較低，適合應用環(huán)境比較簡單的情況。缺點：不能理解網(wǎng)絡層以上的高層網(wǎng)絡協(xié)議，無法識別基于應用層的惡意侵入。（1）包過濾路由器

防火墻存在軟件和硬件兩種形式。（1）包過濾路由器下圖給出了包過濾路由器結構示意圖。下圖給出了包過濾路由器結構示意圖。（2）電路級防火墻—電路網(wǎng)關電路網(wǎng)關工作在傳輸層。不允許內部主機與外部之間直接進行TCP連接，而是建立兩個TCP連接：一個在網(wǎng)關和內部主機上的TCP用戶程序之間，另一個在網(wǎng)關和外部主機的TCP用戶程序之間。通常用于內部網(wǎng)絡對外部的訪問，與堡壘主機相配合可設置成混合網(wǎng)關，對于向內的連接支持應用層服務，而對于向外的連接支持傳輸層功能。（2）電路級防火墻—電路網(wǎng)關電路網(wǎng)關工作在傳輸層。（3）應用級防火墻—應用網(wǎng)關應用網(wǎng)關工作應用層，通常指運行代理服務器軟件的一臺計算機主機。代理服務器位于客戶機與服務器之間。從客戶機來看，代理服務器相當于一臺真正的服務器。而從服務器來看，代理服務器又是一臺真正的客戶機。

（3）應用級防火墻—應用網(wǎng)關應用網(wǎng)關工作應用層，通常指運行應用網(wǎng)關的工作模型應用網(wǎng)關的工作模型應用代理基本工作原理應用代理基本工作原理應用網(wǎng)關優(yōu)缺點缺點：使訪問速度變慢在重負載下，代理服務器可能成為網(wǎng)絡瓶頸。優(yōu)點：代理服務器擁有高速緩存，能夠節(jié)約時間和網(wǎng)絡資源外部網(wǎng)絡只能看到代理服務器，看部到內網(wǎng)的具體結構比包過濾更可靠，而且會詳細地記錄所有的訪問狀態(tài)信息應用網(wǎng)關優(yōu)缺點缺點：（4）監(jiān)測型防火墻對各層的數(shù)據(jù)進行主動的、實時的監(jiān)測，加以分析，判斷出各層中的非法侵入。帶有分布式探測器，安置在各種應用服務器和其他網(wǎng)絡的節(jié)點之中，能檢測來自網(wǎng)絡外部的攻擊，同時防范來自內部的惡意破壞。

（4）監(jiān)測型防火墻對各層的數(shù)據(jù)進行主動的、實時的監(jiān)測，加以分最簡單的防火墻配置就是直接在內部網(wǎng)和外部網(wǎng)之間加裝一個包過濾路由器或者應用網(wǎng)關。將幾種防火墻技術組合起來構建防火墻系統(tǒng)，一般來說有3種最基本的配置。9.4.2常見的防火墻配置最簡單的防火墻配置就是直接在內部網(wǎng)和外部網(wǎng)之間加裝一個包過濾（1）雙宿主機網(wǎng)關用一臺裝有兩個網(wǎng)絡適配器的雙宿主機（又稱保壘主機）做防火墻，一個適配器是網(wǎng)卡，與內部網(wǎng)相連；另一個根據(jù)與Internet的連接方式可以是網(wǎng)卡、調制解調器或ISDN卡等。外部網(wǎng)絡與內部網(wǎng)絡之間的通信必須經(jīng)過雙重宿主主機的過濾和控制。（1）雙宿主機網(wǎng)關用一臺裝有兩個網(wǎng)絡適配器的雙宿主機（又稱保使用一個包過濾路由器把內部網(wǎng)絡和外部網(wǎng)絡隔離開，同時在內部網(wǎng)絡上安裝一個堡壘主機，由堡壘主機開放可允許的連接到外部網(wǎng)。屏蔽主機網(wǎng)關易于實現(xiàn)，安全性好，應用廣泛。

（2）屏蔽主機網(wǎng)關使用一個包過濾路由器把內部網(wǎng)絡和外部網(wǎng)絡隔離開，同時在內部網(wǎng)（3）屏蔽子網(wǎng)因為堡壘主機是用戶網(wǎng)絡上最容易受侵襲的機器。通過額外添加一層保護體系——周邊網(wǎng)絡，將堡壘主機放在周邊網(wǎng)絡上，用內部路由器分開周邊網(wǎng)絡和內部網(wǎng)絡，從而隔離堡壘主機，減少在堡壘主機被侵入的影響。（3）屏蔽子網(wǎng)因為堡壘主機是用戶網(wǎng)絡上最容易受侵襲的機器。通本章小結

了解計算機病毒的分類、特點、特征和運行機制了解反病毒涉及的主要技術掌握病毒的檢測和防治技術掌握防火墻的基本類型熟悉常見的防火墻配置了解網(wǎng)絡攻擊的分類、手段和防范措施了解企業(yè)網(wǎng)安全防御技術本章小結 了解計算機病毒的分類、特點、特征和運行機制計算機網(wǎng)絡技術第九章 計算機網(wǎng)絡安全

計算機網(wǎng)絡技術第九章 計算機網(wǎng)絡安全[教學內容](1)計算機網(wǎng)絡安全概念

(2)常用的網(wǎng)絡安全設備與技術

(3)計算機病毒的分類、特點、特征和運行機制

(4)病毒的檢測和防治技術

(5)防火墻的基本類型(6)常見的防火墻配置(7)網(wǎng)絡攻擊的分類、手段和防范措施

[實踐內容](1)查殺計算機病毒；(2)常用的個人防火墻進行配置；[教學內容][實踐內容]計算機網(wǎng)絡安全[教學要求]（1）了解計算機網(wǎng)絡安全方面的知識（2）了解計算機病毒的分類、特點、特征和運行機制（3）了解反病毒涉及的主要技術（4）掌握病毒的檢測和防治技術（5）掌握防火墻的基本類型（6）熟悉常見的防火墻配置（7）了解網(wǎng)絡攻擊的分類、手段和防范措施（8）了解企業(yè)網(wǎng)安全防御技術計算機網(wǎng)絡安全[教學要求]本次課內容介紹主要內容：了解計算機網(wǎng)絡安全了解計算機病毒的分類、特點、特征和運行機制了解反病毒涉及的主要技術掌握病毒的檢測和防治技術掌握防火墻的基本類型熟悉常見的防火墻配置重點內容：病毒的檢測和防治技術防火墻的基本類型及配置本次課內容介紹主要內容：應用情景

青職公司市場部小李剛上班，就打開計算機準備處理昨天銷售部門報上來的數(shù)據(jù)分析表，一開機就發(fā)現(xiàn)計算機無法正常工作，也不能上網(wǎng)。打電話給計算機中心的小張請求幫助。小張發(fā)現(xiàn)操作系統(tǒng)無法正常啟動，系統(tǒng)被計算機病毒破壞了。小張重新安裝了操作系統(tǒng)，并安裝了正版的殺病毒軟件對計算機進行了殺毒處理。計算機終于可以正常工作了，小李懸著的心放了下來。小李請教小張如何才能防止類似的事情再次發(fā)生呢？應用情景 青職公司市場部小李剛上班，就打開計算機準備9.1了解計算機網(wǎng)絡安全9.1.1計算機網(wǎng)絡安全概述計算機網(wǎng)絡安全不僅包括組網(wǎng)的硬件、管理控制網(wǎng)絡的軟件，也包括共享的資源，快捷的網(wǎng)絡服務，所以定義網(wǎng)絡安全應考慮涵蓋計算機網(wǎng)絡所涉及的全部內容。參照ISO給出的計算機安全定義，計算機網(wǎng)絡安全是指：“保護計算機網(wǎng)絡系統(tǒng)中的硬件，軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡系統(tǒng)連續(xù)可靠性地正常運行，網(wǎng)絡服務正常有序?！?.1了解計算機網(wǎng)絡安全9.1.1計算機網(wǎng)絡安全概述1．網(wǎng)絡安全的屬性在美國國家信息基礎設施（NII）的文獻中，給出了網(wǎng)絡安全的五個屬性。保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯裕嚎杀皇跈鄬嶓w訪問并按需求使用的特性。即網(wǎng)絡信息服務在需要時允許授權用戶或實體使用，或者是網(wǎng)絡部分受損或需要降級使用時仍能為授權用戶提供有效服務?？煽匦裕簩π畔⒌膫鞑ゼ皟热菥哂锌刂颇芰Γ辉试S不良信息通過公共網(wǎng)絡進行傳輸?？蓪彶樾裕撼霈F(xiàn)安全問題時提供依據(jù)與手段。1．網(wǎng)絡安全的屬性2.中小型網(wǎng)絡安全面臨的主要威脅（1）自然威脅自然威脅可能來自于各種自然災害。（2）物理威脅物理威脅主要體現(xiàn)在物理設備上。（3）常見的網(wǎng)絡安全威脅

①網(wǎng)絡攻擊

②非授權訪問

③計算機病毒2.中小型網(wǎng)絡安全面臨的主要威脅9.1.2常用的網(wǎng)絡安全設備與技術（1）防火墻技術所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網(wǎng)關（SecurityGateway），從而保護內部網(wǎng)免受非法用戶的侵入。（2）入侵檢測系統(tǒng)入侵檢測系統(tǒng)（intrusiondetectionsystem，簡稱“IDS”）是一種對網(wǎng)絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備。9.1.2常用的網(wǎng)絡安全設備與技術（1）防火墻技術（3）漏洞掃描技術漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為。（4）數(shù)據(jù)備份數(shù)據(jù)備份是容災的基礎，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導致數(shù)據(jù)丟失，而將全部或部分數(shù)據(jù)集合從應用主機的硬盤或陣列復制到其它的存儲介質的過程。（3）漏洞掃描技術（4）數(shù)據(jù)備份（5）防病毒技術從防病毒產(chǎn)品對計算機病毒的作用來講，防毒技術可以直觀地分為：病毒預防技術、病毒檢測技術及病毒清除技術。（6）數(shù)據(jù)加密技術

數(shù)據(jù)加密技術是指對信息進行重新編碼，從而隱藏信息內容，使非法用戶無法獲取信息的真實內容的一種技術手段。（5）防病毒技術“計算機病毒”定義指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或程序代碼。

9.2防治計算機病毒“計算機病毒”定義9.2防治計算機病毒9.2.1計算機病毒與殺毒軟件1．計算機病毒的特征計算機病毒作為一種特殊的程序具有以下特征。（1）非授權可執(zhí)行性（2）隱蔽性（3）傳染性：最重要的一個特征

（4）潛伏性（5）表現(xiàn)性或破壞性（6）可觸發(fā)性

9.2.1計算機病毒與殺毒軟件1．計算機病毒的特征（1）引導型病毒

（2）文件型病毒

（3）復合型病毒（4）變型病毒（5）宏病毒

（6）網(wǎng)頁病毒（7）“蠕蟲”型病毒（8）木馬病毒

2．計算機病毒分類（1）引導型病毒2．計算機病毒分類3．計算機病毒的傳播通過文件系統(tǒng)傳播；通過電子郵件傳播；通過局域網(wǎng)傳播；通過互聯(lián)網(wǎng)上即時通訊軟件和點對點軟件等常用工具傳播；利用系統(tǒng)、應用軟件的漏洞進行傳播；利用系統(tǒng)配置缺陷傳播，如弱口令、完全共享等；3．計算機病毒的傳播通過文件系統(tǒng)傳播；計算機病毒的傳播過程計算機病毒的傳播過程1．如何防治病毒（1）要提高對計算機病毒危害的認識（2）養(yǎng)成備份重要文件等良好使用習慣（3）大力普及殺毒軟件（4）采取措施防止計算機病毒的發(fā)作（5）開啟計算機病毒查殺軟件的實時監(jiān)測功能（6）加強對網(wǎng)絡流量等異常情況的監(jiān)測（7）有規(guī)律的備份系統(tǒng)關鍵數(shù)據(jù)，建立應對災難的數(shù)據(jù)安全策略

9.2.2計算機病毒防治1．如何防治病毒（1）要提高對計算機病毒危害的認識9.2.2．如何選擇計算機病毒防治產(chǎn)品具有發(fā)現(xiàn)、隔離并清除病毒功能；具有實時報警（包括文件監(jiān)控、郵件監(jiān)控、網(wǎng)頁腳本監(jiān)控等）功能；多種方式及時升級；統(tǒng)一部署防范技術的管理功能；對病毒清除徹底，文件修復完整、可用；產(chǎn)品的誤報、漏報率較低；占用系統(tǒng)資源合理，產(chǎn)品適應性較好。2．如何選擇計算機病毒防治產(chǎn)品具有發(fā)現(xiàn)、隔離并清除病毒功能9.3網(wǎng)絡攻擊與防御9.3.1網(wǎng)絡黑客攻擊1．黑客和入侵者在日本《新黑客詞典》中，對黑客的定義是“喜歡探索軟件程序奧秘，并從中增長了其個人才干的人。他們不象絕大多數(shù)電腦使用者那樣，只規(guī)規(guī)矩矩地了解別人指定了解的狹小部分知識?！比肭终撸ü粽撸┲笐延胁涣嫉钠髨D，闖入遠程計算機系統(tǒng)甚至破壞遠程計算機系統(tǒng)完整性的人。9.3網(wǎng)絡攻擊與防御9.3.1網(wǎng)絡黑客攻擊1．黑客和入侵者在2．黑客攻擊的主要手段黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行，并不盜竊系統(tǒng)資料，通常采用拒絕服務攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標系統(tǒng)的數(shù)據(jù)為目的。（1）后門程序（2）信息炸彈（3）拒絕服務（4）網(wǎng)絡監(jiān)聽2．黑客攻擊的主要手段黑客攻擊手段可分為非破壞性攻擊和破壞性3．黑客攻擊的目的（1）獲取數(shù)據(jù)（2）獲取權限（3）非法訪問（4）拒絕服務（5）暴露信息3．黑客攻擊的目的黑客攻擊的步驟第1步信息收集：獲取目標系統(tǒng)的信息，如網(wǎng)絡拓撲結構、IP地址分配、端口的使用情況等。第2步獲得對系統(tǒng)的訪問權限：通過口令猜測、社會工程、建立后門等攻擊手段，利用系統(tǒng)存在的漏洞來獲得對系統(tǒng)的訪問權限。第3步破壞系統(tǒng)或盜取信息

：利用非法獲得的對系統(tǒng)的訪問權限，運行非法程序。第4步消除入侵痕跡：入侵后盡力消除入侵痕跡，如更改或者刪除系統(tǒng)文件或日志。黑客攻擊的步驟第1步信息收集：獲取目標系統(tǒng)的信息，如網(wǎng)絡拓撲9.3.2網(wǎng)絡攻擊網(wǎng)絡攻擊是指利用網(wǎng)絡存在的漏洞和安全缺陷對網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進行的攻擊。1．攻擊的分類從攻擊的行為分主動攻擊與被動攻擊。從攻擊的位置分遠程攻擊、本地攻擊和偽遠程攻擊。2．網(wǎng)絡攻擊手段（1）獲取口令

（2）放置特洛伊木馬程序（3）WWW的欺騙技術

（4）電子郵件攻擊（5）通過一個節(jié)點來攻擊其他節(jié)點（6）網(wǎng)絡監(jiān)聽

（7）尋找系統(tǒng)漏洞（8）利用帳號進行攻擊

（9）偷取特權9.3.2網(wǎng)絡攻擊網(wǎng)絡攻擊是指利用網(wǎng)絡存在的漏洞和安全缺陷9.3.2網(wǎng)絡攻擊的防范措施1．提高安全意識2．安裝殺毒軟件3．安裝防火墻軟件4．只在必要時共享文件夾5．定期備份重要數(shù)據(jù)9.3.2網(wǎng)絡攻擊的防范措施1．提高安全意識9.3.3企業(yè)網(wǎng)絡安全防御1．VLAN（虛擬局域網(wǎng)）技術

選擇VLAN技術可較好地從鏈路層實施網(wǎng)絡安全保障。2．網(wǎng)絡分段網(wǎng)絡分段就是將非法用戶與網(wǎng)絡資源相互隔離，從而達到限制用戶非法訪問的目的。3．硬件防火墻技術設置防火墻的目的都是為了在內部網(wǎng)與外部網(wǎng)之間設立唯一的通道，簡化網(wǎng)絡的安全管理。4．入侵檢測技術9.3.3企業(yè)網(wǎng)絡安全防御1．VLAN（虛擬局域網(wǎng)）技術9.4防火墻技術9.4.1防火墻的基本類型防火墻是在一個受保護的企業(yè)內部網(wǎng)絡與互聯(lián)網(wǎng)間，用來強制執(zhí)行企業(yè)安全策略的一個或一組系統(tǒng)，如圖9-2所示。防火墻防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內部網(wǎng)絡，訪問內部網(wǎng)絡資源；保護內部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它是不同網(wǎng)絡安全域間通信流的唯一通道，能根據(jù)企業(yè)有關的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡的訪問行為。9.4防火墻技術9.4.1防火墻的基本類型防火墻示意圖

防火墻示意圖1．防火墻的功能（1）過濾不安全服務和非法用戶，禁止未授權的用戶訪問受保護的網(wǎng)絡。（2）控制對特殊站點的訪問。

允許受保護網(wǎng)絡的一部分主機如郵件服務器、FTP服務器和Web服務器等被外部網(wǎng)訪問，而另一部分被保護起來，防止不必要的訪問。（3）監(jiān)視網(wǎng)絡訪問，提供安全預警。1．防火墻的功能（1）過濾不安全服務和非法用戶，禁止未授權2.防火墻的分類（1）網(wǎng)絡級防火墻--包過濾路由器

（2）電路級防火墻—電路網(wǎng)關（3）應用級防火墻—應用網(wǎng)關（4）監(jiān)測型防火墻2．防火墻的基本類型2.防火墻的分類（1）網(wǎng)絡級防火墻--包過濾路由器2．防防火墻存在軟件和硬件兩種形式。

具備包過濾功能的路由器（或充當路由器的計算機），通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，否則將數(shù)據(jù)拒之門外。優(yōu)點：簡單實用，實現(xiàn)成本較低，適合應用環(huán)境比較簡單的情況。缺點：不能理解網(wǎng)絡層以上的高層網(wǎng)絡協(xié)議，無法識別基于應用層的惡意侵入。（1）包過濾路由器

防火墻存在軟件和硬件兩種形式。（1）包過濾路由器下圖給出了包過濾路由器結構示意圖。下圖給出了包過濾路由器結構示意圖。（2）電路級防火墻—電路網(wǎng)關電路網(wǎng)關工作在傳輸層。不允許內部主機與外部之間直接進行TCP連接，而是建立兩個TCP連接：一個在網(wǎng)