網(wǎng)絡(luò)安全技術(shù)培訓(xùn)教程課件

第10章網(wǎng)絡(luò)安全技術(shù)本章要點(diǎn)：10.1基本概念10.2數(shù)據(jù)備份10.3加密技術(shù)10.4防火墻10.5防病毒10.6入侵檢測(cè)第10章網(wǎng)絡(luò)安全技術(shù)本章要點(diǎn)：110.1.1信息安全威脅

1．竊聽 信息在傳輸過程中被直接或是間接地竊聽網(wǎng)絡(luò)上的特定數(shù)據(jù)包，通過對(duì)其的分析得到所需的重要信息。數(shù)據(jù)包仍然能夠到到目的結(jié)點(diǎn)，其數(shù)據(jù)并沒有丟失。 2．截獲 信息在傳輸過程中被非法截獲，并且目的結(jié)點(diǎn)并沒有收到該信息，即信息在中途丟失了。10.1基本概念10.1基本概念2 3．偽造 沒有任何信息從源信息結(jié)點(diǎn)發(fā)出，但攻擊者偽造出信息并冒充源信息結(jié)點(diǎn)發(fā)出信息，目的結(jié)點(diǎn)將收到這個(gè)偽造信息。 4．篡改 信息在傳輸過程中被截獲，攻擊者修改其截獲的特定數(shù)據(jù)包，從而破壞了數(shù)據(jù)的數(shù)據(jù)的完整性，然后再將篡改后的數(shù)據(jù)包發(fā)送到目的結(jié)點(diǎn)。在目的結(jié)點(diǎn)的接收者看來，數(shù)據(jù)似乎是完整沒有丟失的，但其實(shí)已經(jīng)被惡意篡改過。

※重點(diǎn)提示：網(wǎng)絡(luò)安全是指利用各種網(wǎng)絡(luò)監(jiān)控和管理技術(shù)，對(duì)網(wǎng)絡(luò)系統(tǒng)的硬、軟件和系統(tǒng)中的數(shù)據(jù)資源進(jìn)行保護(hù)，從而保證網(wǎng)絡(luò)系統(tǒng)連續(xù)、安全且可靠的運(yùn)行。網(wǎng)絡(luò)中存在的信息安全威脅有竊聽、截獲、偽造和篡改。 3．偽造3圖10-1信息安全威脅圖10-1信息安全威脅410.1.2網(wǎng)絡(luò)攻擊 1．服務(wù)攻擊 服務(wù)攻擊即指對(duì)網(wǎng)絡(luò)中的某些服務(wù)器進(jìn)行攻擊，使其“拒絕服務(wù)”而造成網(wǎng)絡(luò)無法正常工作。 2．非服務(wù)攻擊 利用協(xié)議或操作系統(tǒng)實(shí)現(xiàn)協(xié)議時(shí)的漏洞來達(dá)到攻擊的目的，它不針對(duì)于某具體的應(yīng)用服務(wù)，因此非服務(wù)攻擊是一種更有效的攻擊手段。10.1.2網(wǎng)絡(luò)攻擊 1．服務(wù)攻擊510.1.3網(wǎng)絡(luò)安全的基本要素（1）機(jī)密性（2）完整性（3）可用性（4）可鑒別性（5）不可抵賴性10.1.3網(wǎng)絡(luò)安全的基本要素（1）機(jī)密性610.1.4計(jì)算機(jī)系統(tǒng)安全等級(jí)1．D類 D類的安全級(jí)別最低，保護(hù)措施最少且沒有安全功能。2．C類 C類是自定義保護(hù)級(jí)，該級(jí)的安全特點(diǎn)是系統(tǒng)的對(duì)象可自主定義訪問權(quán)限。C類分為兩個(gè)級(jí)別：C1級(jí)與C2級(jí)。（1）C1級(jí) C1級(jí)是自主安全保護(hù)級(jí)，它能夠?qū)崿F(xiàn)用戶與數(shù)據(jù)的分離。數(shù)據(jù)的保護(hù)是以用戶組為單位的，并實(shí)現(xiàn)對(duì)數(shù)據(jù)進(jìn)行自主存取控實(shí)現(xiàn)制。10.1.4計(jì)算機(jī)系統(tǒng)安全等級(jí)1．D類7（2）C2級(jí) C2級(jí)是受控訪問級(jí)，該級(jí)可以通過登錄規(guī)程、審計(jì)安全性相關(guān)事件來隔離資源。3．B類 B類是強(qiáng)制式安全保護(hù)類，它的特點(diǎn)在于由系統(tǒng)強(qiáng)制實(shí)現(xiàn)安全保護(hù)，因此用戶不能分配權(quán)限，只能通過管理員對(duì)用戶進(jìn)行權(quán)限的分配。（1）B1級(jí) B1級(jí)是標(biāo)記安全保護(hù)級(jí)。該級(jí)對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行標(biāo)記，并對(duì)標(biāo)記的主客體實(shí)行強(qiáng)制存取控制。（2）B2級(jí)B2級(jí)是結(jié)構(gòu)化安全保護(hù)級(jí)。該級(jí)建立形式化的安全策略模型，同時(shí)對(duì)系統(tǒng)內(nèi)的所有主體和客體，都實(shí)現(xiàn)強(qiáng)制訪問和自主訪問控制。（2）C2級(jí)8（3）B3級(jí) B3級(jí)是安全級(jí)，它能夠?qū)崿F(xiàn)訪問監(jiān)控器的要求，訪問監(jiān)控器是指監(jiān)控器的主體和客體之間授權(quán)訪問關(guān)系的部件。該級(jí)還支持安全管理員職能、擴(kuò)充審計(jì)機(jī)制、當(dāng)發(fā)生與安全相關(guān)的事件時(shí)將發(fā)出信號(hào)、同時(shí)可以提供系統(tǒng)恢復(fù)過程。4．A類 A類是可驗(yàn)證的保護(hù)級(jí)。它只有一個(gè)等級(jí)即A1級(jí)。A1級(jí)的功能與B3幾乎是相同的，但是A1級(jí)的特點(diǎn)在于它的系統(tǒng)擁有正式的分析和數(shù)學(xué)方法，它可以完全證明一個(gè)系統(tǒng)的安全策略和安全規(guī)格的完整性與一致性。同時(shí)，A1級(jí)還規(guī)定了將完全計(jì)算機(jī)系統(tǒng)運(yùn)送到現(xiàn)場(chǎng)安裝所遵守的程序。（3）B3級(jí)910.1.4網(wǎng)絡(luò)安全模型1．基本模型 在網(wǎng)絡(luò)信息傳輸中，為了保證信息傳輸?shù)陌踩?，一般需要一個(gè)值得信任的第三方，負(fù)責(zé)向源結(jié)點(diǎn)和目的結(jié)點(diǎn)進(jìn)行秘密信息分發(fā)，同時(shí)在雙方發(fā)生爭(zhēng)執(zhí)時(shí)，也要起到仲裁的作用。在基本的安全模型中，通信的雙方在進(jìn)行信息傳輸前，先建立起一條邏輯通道，并提供安全的機(jī)制和服務(wù)，來實(shí)現(xiàn)在開放網(wǎng)絡(luò)環(huán)境中信息的安全傳輸。（1）從源結(jié)點(diǎn)發(fā)出的信息，使用如信息加密等加密技術(shù)對(duì)其進(jìn)行安全的轉(zhuǎn)，從而實(shí)現(xiàn)該信息的保密性，同時(shí)也可以在該信息中附加一些特征的信息，作為源結(jié)點(diǎn)的身份驗(yàn)證。10.1.4網(wǎng)絡(luò)安全模型1．基本模型10（2）源結(jié)點(diǎn)與目的結(jié)點(diǎn)應(yīng)該共享如加密密鑰這樣的保密信息，這些信息除了發(fā)送雙方和可信任的第三方以外，對(duì)其他用戶都是保密的。

圖10-2網(wǎng)絡(luò)安全基本模型（2）源結(jié)點(diǎn)與目的結(jié)點(diǎn)應(yīng)該共享如加密密鑰這樣的保密信息，這112．P2DR模型（1）安全策略（Policy） 安全策略是模型中的防護(hù)、檢測(cè)和響應(yīng)等部分實(shí)施的依據(jù)，一個(gè)安全策略體系的建立包括策略的制定、評(píng)估與執(zhí)行。（2）防護(hù)（Protection） 防護(hù)技術(shù)包括：防火墻、操作系統(tǒng)身份認(rèn)證、數(shù)據(jù)加密、訪問控制、授權(quán)、虛擬專用網(wǎng)技術(shù)和數(shù)據(jù)備份等，它對(duì)系統(tǒng)可能出現(xiàn)的安全問題采取預(yù)防措施。（3）檢測(cè)（Detection） 檢測(cè)功能使用漏洞評(píng)估、入侵檢測(cè)等系統(tǒng)檢測(cè)技術(shù)，當(dāng)攻擊者穿透防護(hù)系統(tǒng)時(shí)，發(fā)揮功用。2．P2DR模型12（4）響應(yīng)（Response）響應(yīng)包括緊急響應(yīng)和恢復(fù)處理，而恢復(fù)又包括系統(tǒng)恢復(fù)和信息恢復(fù)，響應(yīng)系統(tǒng)在檢測(cè)出入侵時(shí)，開始事件處理的工作。圖10-3P2DR模型（4）響應(yīng)（Response）13

※重點(diǎn)提示：網(wǎng)絡(luò)安全的基本要素包括：保密性、完整性、可用性、可鑒別性和不可抵賴性。美國國防部和國家標(biāo)準(zhǔn)局將計(jì)算機(jī)系統(tǒng)安全等級(jí)分為A、B、C、D這4類，共有7級(jí)。網(wǎng)絡(luò)基本安全模型要求通信的雙方在進(jìn)行信息傳輸前，先建立起一條邏輯通道，并提供安全的機(jī)制和服務(wù)并且有一個(gè)可供信任的第三方進(jìn)行扮演仲裁者和秘密信息發(fā)布者的角色。 ※重點(diǎn)提示：網(wǎng)絡(luò)安全的基本要素包括：保密性、完整1410.2數(shù)據(jù)備份10.2.1數(shù)據(jù)備份模型1．物理備份 物理備份是將磁盤塊的數(shù)據(jù)從拷貝到備份介質(zhì)上的備份過程，它忽略了文件和結(jié)構(gòu)，它也被稱為“基于塊的備份”和“基于設(shè)備的備份”。2．邏輯備份邏輯備份順序地讀取每個(gè)文件的物理塊，并連續(xù)地將文件寫在備份介質(zhì)上，實(shí)現(xiàn)每個(gè)文件的恢復(fù)，因此，邏輯備份也被稱為“基于文件的備份”。10.2數(shù)據(jù)備份10.2.1數(shù)據(jù)備份模型1510.2.2冷備份與熱備分1．冷備份 冷備份是指“不在線”的備份，當(dāng)進(jìn)行冷備份操作時(shí)，將不允許來自用戶與應(yīng)用對(duì)數(shù)據(jù)的更新。2．熱備份

熱備份是指“在線”的備份，即下載備份的數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中，只不過傳到令一個(gè)非工作的分區(qū)或是另一個(gè)非實(shí)時(shí)處理的業(yè)務(wù)系統(tǒng)中存放。

※重點(diǎn)提示：數(shù)據(jù)備份是為了盡可能快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。數(shù)據(jù)備份模型分為：物理備份和邏輯備份。10.2.2冷備份與熱備分1．冷備份1610.2.3數(shù)據(jù)備分的設(shè)備 1．磁盤陣列 2．磁帶機(jī) 3．磁帶庫 4．光盤塔 5．光盤庫 6．光盤鏡像服務(wù)器10.2.3數(shù)據(jù)備分的設(shè)備 1．磁盤陣列1710.2.4數(shù)據(jù)備份的策略1．完全備份 完全備份即是將用戶指定的數(shù)據(jù)甚至是整個(gè)系統(tǒng)的數(shù)據(jù)進(jìn)行完全的備份。2．增量備份 增量備份是針對(duì)完全備份，在進(jìn)行增量備份，只有那些在上次完全或者增量備份后被修改了的文件才會(huì)被備份。3．差異備份 差異備份是將最近一次完全備份后產(chǎn)生的所有數(shù)據(jù)更新進(jìn)行備份。差異備份將完全恢復(fù)時(shí)所涉及到的備份文件數(shù)量限制為2

個(gè)。10.2.4數(shù)據(jù)備份的策略1．完全備份18表10-1三種備份策略的比較空間使用備份速度恢復(fù)速度完全備份最多最慢最快增量備份最少最快最慢差異備份少于完全備份快于完全備份快于增量備份

※重點(diǎn)提示：數(shù)據(jù)備份的策略是用來解決何時(shí)備份、備份何種數(shù)據(jù)以及用何種方式恢復(fù)故障的問題。它可以分為：完全備份、增量備份和差異備份。其中完全備份使用的空間最多，備份速度最慢，恢復(fù)程度最快；增量備份使用空間最小，備份速度最快，恢復(fù)速率最慢；差異備份摒除了前兩種備份方式的缺點(diǎn)，吸收了它們的優(yōu)點(diǎn)。表10-1三種備份策略的比較空間使用備份速度恢復(fù)速度完1910.3加密技術(shù)10.3.1加密與解密 1．基本流程 A發(fā)送消息“Passwordiswelcome”這樣的報(bào)文給B，但不希望有第三個(gè)人知道這個(gè)報(bào)文的內(nèi)容，因此他使用一定的加密算法，將該報(bào)文轉(zhuǎn)換為別人無法識(shí)別的密文，這個(gè)密文即使在傳輸?shù)倪^程中被截獲，一般人也無法解密。當(dāng)B收到該密文后，使用共同協(xié)商的解密算法與密鑰，則將該密文轉(zhuǎn)化為原來的報(bào)文內(nèi)容。10.3加密技術(shù)10.3.1加密與解密20圖10-4加密與解密的流程圖10-4加密與解密的流程21密鑰位數(shù)嘗試個(gè)數(shù)密鑰位數(shù)嘗試個(gè)數(shù)401125612864表10-2密鑰位數(shù)與嘗試密鑰的個(gè)數(shù)2．密鑰加密與解密的操作過程都是在一組密鑰的控下進(jìn)行的，這個(gè)密鑰可以作為加密算法中可變參數(shù)，它的改變可以改變明文與密文之間的數(shù)學(xué)函數(shù)關(guān)系。密鑰位數(shù)嘗試個(gè)數(shù)密鑰位數(shù)嘗試個(gè)數(shù)401125612864表12210.3.2對(duì)稱密鑰技術(shù)1．工作原理 對(duì)稱密鑰技術(shù)即是指加密技術(shù)的加密密鑰與解密密鑰是相同的，或者是有些不同，但同其中一個(gè)可以很容易地推導(dǎo)出另一個(gè)。 圖10-5對(duì)稱密鑰技術(shù)10.3.2對(duì)稱密鑰技術(shù)1．工作原理232．常用對(duì)稱密鑰技術(shù) 常用的對(duì)稱密鑰算法有DES算法與IDES算法。（1）DES算法 DES算法是一種迭代的分組密碼，它的輸入與輸出都是64，包括一個(gè)56位的密鑰和附加的8位奇偶校驗(yàn)位。（2）IDEA算法 IDEA算法的明文與密文都是64位的，密鑰的長(zhǎng)度為128位，它是比DEA算法更有效的算法。2．常用對(duì)稱密鑰技術(shù)2410.3.3非對(duì)稱密鑰技術(shù)1．工作原理 不可能從任何一個(gè)密鑰推導(dǎo)出另一個(gè)密鑰。同時(shí)加密密鑰為公鑰是可以公開的，而解密密鑰為私鑰是保密的。在此，非對(duì)稱密鑰技術(shù)也被稱為公鑰加密加技術(shù)。 圖10-6非對(duì)稱密鑰技術(shù)10.3.3非對(duì)稱密鑰技術(shù)1．工作原理252．常用非對(duì)稱密鑰技術(shù) 常用的非對(duì)稱密鑰算法包括RSA算法、DSA算法、PKCS算法與PGP算法。其中最常見的技術(shù)即為RSA算法，它的理論基礎(chǔ)是數(shù)論中大素?cái)?shù)分解，它的保密性隨著密鑰的長(zhǎng)度的增加而增強(qiáng)。但是，現(xiàn)在使用這種算法來加密大量的數(shù)據(jù)，其實(shí)現(xiàn)的速度太慢了，因此該算法現(xiàn)在廣泛應(yīng)用于密鑰的分發(fā)。

※重點(diǎn)提示：加密的基本思想即是將明文轉(zhuǎn)變?yōu)槊芪?，而解密則是將密文轉(zhuǎn)變?yōu)槊魑?，這樣保證了信息傳輸?shù)谋Ｃ苄?。密鑰是加重密算法中的可變參數(shù)，密鑰的位數(shù)長(zhǎng)度決定了加密算法的安全性。傳統(tǒng)的密碼體制包括對(duì)稱密碼體制和非對(duì)稱密碼體制。2．常用非對(duì)稱密鑰技術(shù)2610.4防火墻10.4.1防火墻的基本概念（1）所有的從外部到內(nèi)部的通信都必須經(jīng)過它。（2）只有有內(nèi)部訪問策略授權(quán)的通信才能被允許通過。（3）系統(tǒng)本身具有很強(qiáng)的高可靠性。

圖10-7防火墻的安裝位置10.4防火墻10.4.1防火墻的基本概念2710.4.2防火墻的基本類型1．包過濾路由器

圖10-8包過濾路由器的工作原理10.4.2防火墻的基本類型1．包過濾路由器282．應(yīng)用網(wǎng)關(guān)圖10-9應(yīng)用網(wǎng)關(guān)的工作原理2．應(yīng)用網(wǎng)關(guān)293．應(yīng)用代理圖10-10應(yīng)用代理的工作原理3．應(yīng)用代理304．狀態(tài)檢測(cè) 狀態(tài)檢測(cè)能通過狀態(tài)檢測(cè)技術(shù)，動(dòng)態(tài)地維護(hù)各個(gè)連接的協(xié)議狀態(tài)。

※重點(diǎn)提示：防火墻在網(wǎng)絡(luò)之間通過執(zhí)行控制策略來保護(hù)網(wǎng)絡(luò)系統(tǒng)，防火墻包括硬件和軟件兩部分。防火墻根據(jù)其實(shí)現(xiàn)技術(shù)可以分為：包過濾路由器、應(yīng)用網(wǎng)關(guān)、應(yīng)用代理和狀態(tài)檢測(cè)4類。4．狀態(tài)檢測(cè)3110.4.3防火墻的結(jié)構(gòu)1．包過濾型結(jié)構(gòu) 包過濾型結(jié)構(gòu)是通過專用的包過濾路由器或是安裝了包過濾功能的普通路器來實(shí)現(xiàn)的。包過濾型結(jié)構(gòu)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，按照一定的安全策略對(duì)這些信息進(jìn)行分析與限制。2．雙宿網(wǎng)關(guān)結(jié)構(gòu) 連接了兩個(gè)網(wǎng)絡(luò)的多宿主機(jī)稱為雙宿主機(jī)。多宿主機(jī)是具有多個(gè)網(wǎng)絡(luò)接口卡的主機(jī)，每個(gè)接口都可以和一個(gè)網(wǎng)絡(luò)連接，因?yàn)樗茉诓煌木W(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)交換換，因此也稱為網(wǎng)關(guān)。雙宿網(wǎng)關(guān)結(jié)構(gòu)即是一臺(tái)裝有兩塊網(wǎng)卡的主機(jī)作為防火墻，將外部網(wǎng)絡(luò)與同部網(wǎng)絡(luò)實(shí)現(xiàn)物理上的隔開。10.4.3防火墻的結(jié)構(gòu)1．包過濾型結(jié)構(gòu)32圖10-11雙宿網(wǎng)關(guān)結(jié)構(gòu)圖10-11雙宿網(wǎng)關(guān)結(jié)構(gòu)333．屏蔽主機(jī)結(jié)構(gòu) 屏蔽主機(jī)結(jié)構(gòu)將所有的外部主機(jī)強(qiáng)制與一個(gè)堡壘主機(jī)相連，從而不允許它們直接與內(nèi)部網(wǎng)絡(luò)的主機(jī)相連，因此屏撇主機(jī)結(jié)構(gòu)是由包過濾路由器和堡壘主機(jī)組成的。4．屏蔽子網(wǎng)結(jié)構(gòu) 屏蔽子網(wǎng)結(jié)構(gòu)使用了兩個(gè)屏蔽路由器和兩個(gè)堡壘主機(jī)。在該系統(tǒng)中，從外部包過濾由器開始的部分是由網(wǎng)絡(luò)系統(tǒng)所屬的單位組建的，屬于內(nèi)部網(wǎng)絡(luò)，也稱為“DMZ網(wǎng)絡(luò)”。外部包過濾路由器與外部堡壘主機(jī)構(gòu)成了防火墻的過濾子網(wǎng)；內(nèi)部包過濾路由器和內(nèi)部堡壘主機(jī)則用于對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行進(jìn)一步的保護(hù)。3．屏蔽主機(jī)結(jié)構(gòu)34圖10-12包過濾路由器的數(shù)據(jù)包轉(zhuǎn)發(fā)過程圖10-12包過濾路由器的數(shù)據(jù)包轉(zhuǎn)發(fā)過程35圖10-13屏蔽子網(wǎng)結(jié)構(gòu)示意圖圖10-13屏蔽子網(wǎng)結(jié)構(gòu)示意圖3610.4.4防火墻的安裝與配置1．防火墻的網(wǎng)絡(luò)接口（1）內(nèi)網(wǎng) 內(nèi)網(wǎng)一般包括企業(yè)的內(nèi)部網(wǎng)絡(luò)或是內(nèi)部網(wǎng)絡(luò)的一部分。（2）外網(wǎng) 外網(wǎng)指的是非企業(yè)內(nèi)部的網(wǎng)絡(luò)或是Internet，內(nèi)網(wǎng)與外網(wǎng)之間進(jìn)行通信，要通過防火墻來實(shí)現(xiàn)訪問限制。（3）DMZ（非軍事化區(qū)） DMZ是一個(gè)隔離的網(wǎng)絡(luò)，可以在這個(gè)網(wǎng)絡(luò)中放置Web服務(wù)器或是E-mail服務(wù)器等，外網(wǎng)的用戶可以訪問DMZ。10.4.4防火墻的安裝與配置1．防火墻的網(wǎng)絡(luò)接口372．防火墻的安裝與初始配置給防火墻加電令它啟動(dòng)。將防火墻的Console口連接到計(jì)算機(jī)的串口上，并通過Windows操作系統(tǒng)的超級(jí)終端，進(jìn)入防火墻的特權(quán)模式。配置Ethernet的參數(shù)。配置內(nèi)外網(wǎng)卡的IP地址、指定外部地址范圍和要進(jìn)行轉(zhuǎn)換的內(nèi)部地址。設(shè)置指向內(nèi)網(wǎng)與外肉的缺省路由。配置靜態(tài)IP地址映射。設(shè)置需要控制的地址、所作用的端口和連接協(xié)議等控制選項(xiàng)并設(shè)置允許telnet遠(yuǎn)程登錄防火墻的IP地址。保存配置。2．防火墻的安裝與初始配置383．防火墻的訪問模式（1）非特權(quán)模式（2）特權(quán)模式（3）配置模式（4）監(jiān)視模式3．防火墻的訪問模式3910.5防病毒10.5.1計(jì)算機(jī)病毒1．計(jì)算機(jī)病毒的概念 計(jì)算機(jī)病毒是指計(jì)算機(jī)程序中的一段可執(zhí)行程序代理，它可以破壞計(jì)算機(jī)的功能甚至破壞數(shù)據(jù)從而影響計(jì)算機(jī)的能力。計(jì)算機(jī)病毒通過對(duì)其他程序的修改，可以感染這些程序，使其成為病毒程序的復(fù)制，使之很快蔓延開來，很難根除。10.5防病毒10.5.1計(jì)算機(jī)病毒402．計(jì)算機(jī)病毒的特征（1）非授權(quán)可執(zhí)行性（2）隱蔽性（3）傳染性（4）潛伏性（5）破壞性（6）可觸發(fā)性3．計(jì)算機(jī)病毒分類（1）按破壞性分類（2）按傳染方式分類（3）按連接方式分類2．計(jì)算機(jī)病毒的特征4110.5.2網(wǎng)絡(luò)病毒1．網(wǎng)絡(luò)病毒的特征（1）傳播方式多樣，傳播速度快。（2）影響面廣（3）破壞性強(qiáng)（4）難以控制（5）病毒變種多樣（6）病毒智能化、隱蔽化（7）出現(xiàn)混合病毒10.5.2網(wǎng)絡(luò)病毒1．網(wǎng)絡(luò)病毒的特征422．蠕蟲與木馬（1）蠕蟲 蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等。與普通病毒相比，而蠕蟲不使用駐留文件即可在系統(tǒng)之間進(jìn)行自我復(fù)制，它的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī)。（2）木馬 “木馬”程序是目前比較流行的病毒文件，但是它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。2．蠕蟲與木馬4310.5.3網(wǎng)絡(luò)版防病毒系統(tǒng)1．系統(tǒng)中心 系統(tǒng)中心實(shí)時(shí)記錄計(jì)算機(jī)的病毒監(jiān)控、檢測(cè)和清除的信息，實(shí)現(xiàn)對(duì)整個(gè)防護(hù)系統(tǒng)的自動(dòng)控制。2．服務(wù)器端 服務(wù)器端為網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)應(yīng)用而設(shè)計(jì)。3．客戶端 客戶端對(duì)當(dāng)前工作站上病毒監(jiān)控、檢測(cè)和清除，并在需要時(shí)向系統(tǒng)中心發(fā)送病毒監(jiān)測(cè)報(bào)告。4．管理控制臺(tái) 管理控制臺(tái)是為了網(wǎng)絡(luò)管理員的應(yīng)用而設(shè)計(jì)的，通過它可以集中管理網(wǎng)絡(luò)上所有已安裝的防病毒系統(tǒng)防護(hù)軟件的計(jì)算機(jī)。10.5.3網(wǎng)絡(luò)版防病毒系統(tǒng)1．系統(tǒng)中心4410.6入侵檢測(cè)10.6.1入侵檢測(cè)技術(shù)的基本概念1．入侵檢測(cè)技術(shù) 入侵檢測(cè)技術(shù)即是對(duì)入侵行為進(jìn)行檢測(cè)的技術(shù)。2．入侵檢測(cè)技術(shù)的分類 入侵檢測(cè)技術(shù)分為異常檢測(cè)和誤用檢測(cè)兩種。10.6.2入侵檢測(cè)系統(tǒng)1．入侵檢測(cè)系統(tǒng)的功能（1）監(jiān)控和分析系統(tǒng)、用戶的行為。（2）評(píng)估系統(tǒng)文件與數(shù)據(jù)文件的完整性。10.6入侵檢測(cè)10.6.1入侵檢測(cè)技術(shù)的基本概念45（3）檢查系統(tǒng)漏洞。（4）對(duì)系統(tǒng)的異常行為進(jìn)行分析和識(shí)別，及時(shí)向網(wǎng)絡(luò)管理人員報(bào)警。（5）跟蹤管理操作系統(tǒng)，識(shí)別無授僅用戶活動(dòng)。2．入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)（1）事件發(fā)生器（2）事件分析器（3）響應(yīng)單元（4）事件數(shù)據(jù)庫3．入侵檢測(cè)系統(tǒng)的分類（1）基于主機(jī)的入侵檢測(cè)（2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（3）檢查系統(tǒng)漏洞。46圖10-15基于主機(jī)的入侵檢測(cè)系統(tǒng)圖10-16基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)圖10-15基于主機(jī)的入侵檢測(cè)系統(tǒng)圖10-16基于網(wǎng)4710.6.3入侵防護(hù)系統(tǒng)1．入侵防護(hù)系統(tǒng)的基本概念 入侵防護(hù)系統(tǒng)（IntrusionPreventionSystem，IPS）是將防火墻技術(shù)和入侵檢測(cè)技術(shù)進(jìn)行整合的系統(tǒng)，該系統(tǒng)傾向于提供主動(dòng)防護(hù)，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失。2．入侵防護(hù)系統(tǒng)的基本結(jié)構(gòu) 入侵防護(hù)系統(tǒng)是要包括：嗅探器、檢測(cè)分析組件、策略執(zhí)行組件、狀態(tài)開關(guān)、日志系統(tǒng)和控制臺(tái)6個(gè)部分。10.6.3入侵防護(hù)系統(tǒng)1．入侵防護(hù)系統(tǒng)的基本概念483．入侵防護(hù)系統(tǒng)的基本分類（1）基于主機(jī)的入侵防護(hù)系統(tǒng)（Host-basedIntrusionPreventionSystem，HIPS）（2）基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)（Network-basedIntrusionPreventionSystem，NIPS）（3）應(yīng)用入侵防護(hù)系統(tǒng)（ApplicationIntrusionPreventionSystem，AIPS）3．入侵防護(hù)系統(tǒng)的基本分類49演講完畢，謝謝觀看！演講完畢，謝謝觀看！50第10章網(wǎng)絡(luò)安全技術(shù)本章要點(diǎn)：10.1基本概念10.2數(shù)據(jù)備份10.3加密技術(shù)10.4防火墻10.5防病毒10.6入侵檢測(cè)第10章網(wǎng)絡(luò)安全技術(shù)本章要點(diǎn)：5110.1.1信息安全威脅

1．竊聽 信息在傳輸過程中被直接或是間接地竊聽網(wǎng)絡(luò)上的特定數(shù)據(jù)包，通過對(duì)其的分析得到所需的重要信息。數(shù)據(jù)包仍然能夠到到目的結(jié)點(diǎn)，其數(shù)據(jù)并沒有丟失。 2．截獲 信息在傳輸過程中被非法截獲，并且目的結(jié)點(diǎn)并沒有收到該信息，即信息在中途丟失了。10.1基本概念10.1基本概念52 3．偽造 沒有任何信息從源信息結(jié)點(diǎn)發(fā)出，但攻擊者偽造出信息并冒充源信息結(jié)點(diǎn)發(fā)出信息，目的結(jié)點(diǎn)將收到這個(gè)偽造信息。 4．篡改 信息在傳輸過程中被截獲，攻擊者修改其截獲的特定數(shù)據(jù)包，從而破壞了數(shù)據(jù)的數(shù)據(jù)的完整性，然后再將篡改后的數(shù)據(jù)包發(fā)送到目的結(jié)點(diǎn)。在目的結(jié)點(diǎn)的接收者看來，數(shù)據(jù)似乎是完整沒有丟失的，但其實(shí)已經(jīng)被惡意篡改過。

※重點(diǎn)提示：網(wǎng)絡(luò)安全是指利用各種網(wǎng)絡(luò)監(jiān)控和管理技術(shù)，對(duì)網(wǎng)絡(luò)系統(tǒng)的硬、軟件和系統(tǒng)中的數(shù)據(jù)資源進(jìn)行保護(hù)，從而保證網(wǎng)絡(luò)系統(tǒng)連續(xù)、安全且可靠的運(yùn)行。網(wǎng)絡(luò)中存在的信息安全威脅有竊聽、截獲、偽造和篡改。 3．偽造53圖10-1信息安全威脅圖10-1信息安全威脅5410.1.2網(wǎng)絡(luò)攻擊 1．服務(wù)攻擊 服務(wù)攻擊即指對(duì)網(wǎng)絡(luò)中的某些服務(wù)器進(jìn)行攻擊，使其“拒絕服務(wù)”而造成網(wǎng)絡(luò)無法正常工作。 2．非服務(wù)攻擊 利用協(xié)議或操作系統(tǒng)實(shí)現(xiàn)協(xié)議時(shí)的漏洞來達(dá)到攻擊的目的，它不針對(duì)于某具體的應(yīng)用服務(wù)，因此非服務(wù)攻擊是一種更有效的攻擊手段。10.1.2網(wǎng)絡(luò)攻擊 1．服務(wù)攻擊5510.1.3網(wǎng)絡(luò)安全的基本要素（1）機(jī)密性（2）完整性（3）可用性（4）可鑒別性（5）不可抵賴性10.1.3網(wǎng)絡(luò)安全的基本要素（1）機(jī)密性5610.1.4計(jì)算機(jī)系統(tǒng)安全等級(jí)1．D類 D類的安全級(jí)別最低，保護(hù)措施最少且沒有安全功能。2．C類 C類是自定義保護(hù)級(jí)，該級(jí)的安全特點(diǎn)是系統(tǒng)的對(duì)象可自主定義訪問權(quán)限。C類分為兩個(gè)級(jí)別：C1級(jí)與C2級(jí)。（1）C1級(jí) C1級(jí)是自主安全保護(hù)級(jí)，它能夠?qū)崿F(xiàn)用戶與數(shù)據(jù)的分離。數(shù)據(jù)的保護(hù)是以用戶組為單位的，并實(shí)現(xiàn)對(duì)數(shù)據(jù)進(jìn)行自主存取控實(shí)現(xiàn)制。10.1.4計(jì)算機(jī)系統(tǒng)安全等級(jí)1．D類57（2）C2級(jí) C2級(jí)是受控訪問級(jí)，該級(jí)可以通過登錄規(guī)程、審計(jì)安全性相關(guān)事件來隔離資源。3．B類 B類是強(qiáng)制式安全保護(hù)類，它的特點(diǎn)在于由系統(tǒng)強(qiáng)制實(shí)現(xiàn)安全保護(hù)，因此用戶不能分配權(quán)限，只能通過管理員對(duì)用戶進(jìn)行權(quán)限的分配。（1）B1級(jí) B1級(jí)是標(biāo)記安全保護(hù)級(jí)。該級(jí)對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行標(biāo)記，并對(duì)標(biāo)記的主客體實(shí)行強(qiáng)制存取控制。（2）B2級(jí)B2級(jí)是結(jié)構(gòu)化安全保護(hù)級(jí)。該級(jí)建立形式化的安全策略模型，同時(shí)對(duì)系統(tǒng)內(nèi)的所有主體和客體，都實(shí)現(xiàn)強(qiáng)制訪問和自主訪問控制。（2）C2級(jí)58（3）B3級(jí) B3級(jí)是安全級(jí)，它能夠?qū)崿F(xiàn)訪問監(jiān)控器的要求，訪問監(jiān)控器是指監(jiān)控器的主體和客體之間授權(quán)訪問關(guān)系的部件。該級(jí)還支持安全管理員職能、擴(kuò)充審計(jì)機(jī)制、當(dāng)發(fā)生與安全相關(guān)的事件時(shí)將發(fā)出信號(hào)、同時(shí)可以提供系統(tǒng)恢復(fù)過程。4．A類 A類是可驗(yàn)證的保護(hù)級(jí)。它只有一個(gè)等級(jí)即A1級(jí)。A1級(jí)的功能與B3幾乎是相同的，但是A1級(jí)的特點(diǎn)在于它的系統(tǒng)擁有正式的分析和數(shù)學(xué)方法，它可以完全證明一個(gè)系統(tǒng)的安全策略和安全規(guī)格的完整性與一致性。同時(shí)，A1級(jí)還規(guī)定了將完全計(jì)算機(jī)系統(tǒng)運(yùn)送到現(xiàn)場(chǎng)安裝所遵守的程序。（3）B3級(jí)5910.1.4網(wǎng)絡(luò)安全模型1．基本模型 在網(wǎng)絡(luò)信息傳輸中，為了保證信息傳輸?shù)陌踩?，一般需要一個(gè)值得信任的第三方，負(fù)責(zé)向源結(jié)點(diǎn)和目的結(jié)點(diǎn)進(jìn)行秘密信息分發(fā)，同時(shí)在雙方發(fā)生爭(zhēng)執(zhí)時(shí)，也要起到仲裁的作用。在基本的安全模型中，通信的雙方在進(jìn)行信息傳輸前，先建立起一條邏輯通道，并提供安全的機(jī)制和服務(wù)，來實(shí)現(xiàn)在開放網(wǎng)絡(luò)環(huán)境中信息的安全傳輸。（1）從源結(jié)點(diǎn)發(fā)出的信息，使用如信息加密等加密技術(shù)對(duì)其進(jìn)行安全的轉(zhuǎn)，從而實(shí)現(xiàn)該信息的保密性，同時(shí)也可以在該信息中附加一些特征的信息，作為源結(jié)點(diǎn)的身份驗(yàn)證。10.1.4網(wǎng)絡(luò)安全模型1．基本模型60（2）源結(jié)點(diǎn)與目的結(jié)點(diǎn)應(yīng)該共享如加密密鑰這樣的保密信息，這些信息除了發(fā)送雙方和可信任的第三方以外，對(duì)其他用戶都是保密的。

圖10-2網(wǎng)絡(luò)安全基本模型（2）源結(jié)點(diǎn)與目的結(jié)點(diǎn)應(yīng)該共享如加密密鑰這樣的保密信息，這612．P2DR模型（1）安全策略（Policy） 安全策略是模型中的防護(hù)、檢測(cè)和響應(yīng)等部分實(shí)施的依據(jù)，一個(gè)安全策略體系的建立包括策略的制定、評(píng)估與執(zhí)行。（2）防護(hù)（Protection） 防護(hù)技術(shù)包括：防火墻、操作系統(tǒng)身份認(rèn)證、數(shù)據(jù)加密、訪問控制、授權(quán)、虛擬專用網(wǎng)技術(shù)和數(shù)據(jù)備份等，它對(duì)系統(tǒng)可能出現(xiàn)的安全問題采取預(yù)防措施。（3）檢測(cè)（Detection） 檢測(cè)功能使用漏洞評(píng)估、入侵檢測(cè)等系統(tǒng)檢測(cè)技術(shù)，當(dāng)攻擊者穿透防護(hù)系統(tǒng)時(shí)，發(fā)揮功用。2．P2DR模型62（4）響應(yīng)（Response）響應(yīng)包括緊急響應(yīng)和恢復(fù)處理，而恢復(fù)又包括系統(tǒng)恢復(fù)和信息恢復(fù)，響應(yīng)系統(tǒng)在檢測(cè)出入侵時(shí)，開始事件處理的工作。圖10-3P2DR模型（4）響應(yīng)（Response）63

※重點(diǎn)提示：網(wǎng)絡(luò)安全的基本要素包括：保密性、完整性、可用性、可鑒別性和不可抵賴性。美國國防部和國家標(biāo)準(zhǔn)局將計(jì)算機(jī)系統(tǒng)安全等級(jí)分為A、B、C、D這4類，共有7級(jí)。網(wǎng)絡(luò)基本安全模型要求通信的雙方在進(jìn)行信息傳輸前，先建立起一條邏輯通道，并提供安全的機(jī)制和服務(wù)并且有一個(gè)可供信任的第三方進(jìn)行扮演仲裁者和秘密信息發(fā)布者的角色。 ※重點(diǎn)提示：網(wǎng)絡(luò)安全的基本要素包括：保密性、完整6410.2數(shù)據(jù)備份10.2.1數(shù)據(jù)備份模型1．物理備份 物理備份是將磁盤塊的數(shù)據(jù)從拷貝到備份介質(zhì)上的備份過程，它忽略了文件和結(jié)構(gòu)，它也被稱為“基于塊的備份”和“基于設(shè)備的備份”。2．邏輯備份邏輯備份順序地讀取每個(gè)文件的物理塊，并連續(xù)地將文件寫在備份介質(zhì)上，實(shí)現(xiàn)每個(gè)文件的恢復(fù)，因此，邏輯備份也被稱為“基于文件的備份”。10.2數(shù)據(jù)備份10.2.1數(shù)據(jù)備份模型6510.2.2冷備份與熱備分1．冷備份 冷備份是指“不在線”的備份，當(dāng)進(jìn)行冷備份操作時(shí)，將不允許來自用戶與應(yīng)用對(duì)數(shù)據(jù)的更新。2．熱備份

熱備份是指“在線”的備份，即下載備份的數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中，只不過傳到令一個(gè)非工作的分區(qū)或是另一個(gè)非實(shí)時(shí)處理的業(yè)務(wù)系統(tǒng)中存放。

※重點(diǎn)提示：數(shù)據(jù)備份是為了盡可能快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。數(shù)據(jù)備份模型分為：物理備份和邏輯備份。10.2.2冷備份與熱備分1．冷備份6610.2.3數(shù)據(jù)備分的設(shè)備 1．磁盤陣列 2．磁帶機(jī) 3．磁帶庫 4．光盤塔 5．光盤庫 6．光盤鏡像服務(wù)器10.2.3數(shù)據(jù)備分的設(shè)備 1．磁盤陣列6710.2.4數(shù)據(jù)備份的策略1．完全備份 完全備份即是將用戶指定的數(shù)據(jù)甚至是整個(gè)系統(tǒng)的數(shù)據(jù)進(jìn)行完全的備份。2．增量備份 增量備份是針對(duì)完全備份，在進(jìn)行增量備份，只有那些在上次完全或者增量備份后被修改了的文件才會(huì)被備份。3．差異備份 差異備份是將最近一次完全備份后產(chǎn)生的所有數(shù)據(jù)更新進(jìn)行備份。差異備份將完全恢復(fù)時(shí)所涉及到的備份文件數(shù)量限制為2

個(gè)。10.2.4數(shù)據(jù)備份的策略1．完全備份68表10-1三種備份策略的比較空間使用備份速度恢復(fù)速度完全備份最多最慢最快增量備份最少最快最慢差異備份少于完全備份快于完全備份快于增量備份

※重點(diǎn)提示：數(shù)據(jù)備份的策略是用來解決何時(shí)備份、備份何種數(shù)據(jù)以及用何種方式恢復(fù)故障的問題。它可以分為：完全備份、增量備份和差異備份。其中完全備份使用的空間最多，備份速度最慢，恢復(fù)程度最快；增量備份使用空間最小，備份速度最快，恢復(fù)速率最慢；差異備份摒除了前兩種備份方式的缺點(diǎn)，吸收了它們的優(yōu)點(diǎn)。表10-1三種備份策略的比較空間使用備份速度恢復(fù)速度完6910.3加密技術(shù)10.3.1加密與解密 1．基本流程 A發(fā)送消息“Passwordiswelcome”這樣的報(bào)文給B，但不希望有第三個(gè)人知道這個(gè)報(bào)文的內(nèi)容，因此他使用一定的加密算法，將該報(bào)文轉(zhuǎn)換為別人無法識(shí)別的密文，這個(gè)密文即使在傳輸?shù)倪^程中被截獲，一般人也無法解密。當(dāng)B收到該密文后，使用共同協(xié)商的解密算法與密鑰，則將該密文轉(zhuǎn)化為原來的報(bào)文內(nèi)容。10.3加密技術(shù)10.3.1加密與解密70圖10-4加密與解密的流程圖10-4加密與解密的流程71密鑰位數(shù)嘗試個(gè)數(shù)密鑰位數(shù)嘗試個(gè)數(shù)401125612864表10-2密鑰位數(shù)與嘗試密鑰的個(gè)數(shù)2．密鑰加密與解密的操作過程都是在一組密鑰的控下進(jìn)行的，這個(gè)密鑰可以作為加密算法中可變參數(shù)，它的改變可以改變明文與密文之間的數(shù)學(xué)函數(shù)關(guān)系。密鑰位數(shù)嘗試個(gè)數(shù)密鑰位數(shù)嘗試個(gè)數(shù)401125612864表17210.3.2對(duì)稱密鑰技術(shù)1．工作原理 對(duì)稱密鑰技術(shù)即是指加密技術(shù)的加密密鑰與解密密鑰是相同的，或者是有些不同，但同其中一個(gè)可以很容易地推導(dǎo)出另一個(gè)。 圖10-5對(duì)稱密鑰技術(shù)10.3.2對(duì)稱密鑰技術(shù)1．工作原理732．常用對(duì)稱密鑰技術(shù) 常用的對(duì)稱密鑰算法有DES算法與IDES算法。（1）DES算法 DES算法是一種迭代的分組密碼，它的輸入與輸出都是64，包括一個(gè)56位的密鑰和附加的8位奇偶校驗(yàn)位。（2）IDEA算法 IDEA算法的明文與密文都是64位的，密鑰的長(zhǎng)度為128位，它是比DEA算法更有效的算法。2．常用對(duì)稱密鑰技術(shù)7410.3.3非對(duì)稱密鑰技術(shù)1．工作原理 不可能從任何一個(gè)密鑰推導(dǎo)出另一個(gè)密鑰。同時(shí)加密密鑰為公鑰是可以公開的，而解密密鑰為私鑰是保密的。在此，非對(duì)稱密鑰技術(shù)也被稱為公鑰加密加技術(shù)。 圖10-6非對(duì)稱密鑰技術(shù)10.3.3非對(duì)稱密鑰技術(shù)1．工作原理752．常用非對(duì)稱密鑰技術(shù) 常用的非對(duì)稱密鑰算法包括RSA算法、DSA算法、PKCS算法與PGP算法。其中最常見的技術(shù)即為RSA算法，它的理論基礎(chǔ)是數(shù)論中大素?cái)?shù)分解，它的保密性隨著密鑰的長(zhǎng)度的增加而增強(qiáng)。但是，現(xiàn)在使用這種算法來加密大量的數(shù)據(jù)，其實(shí)現(xiàn)的速度太慢了，因此該算法現(xiàn)在廣泛應(yīng)用于密鑰的分發(fā)。

※重點(diǎn)提示：加密的基本思想即是將明文轉(zhuǎn)變?yōu)槊芪?，而解密則是將密文轉(zhuǎn)變?yōu)槊魑模@樣保證了信息傳輸?shù)谋Ｃ苄?。密鑰是加重密算法中的可變參數(shù)，密鑰的位數(shù)長(zhǎng)度決定了加密算法的安全性。傳統(tǒng)的密碼體制包括對(duì)稱密碼體制和非對(duì)稱密碼體制。2．常用非對(duì)稱密鑰技術(shù)7610.4防火墻10.4.1防火墻的基本概念（1）所有的從外部到內(nèi)部的通信都必須經(jīng)過它。（2）只有有內(nèi)部訪問策略授權(quán)的通信才能被允許通過。（3）系統(tǒng)本身具有很強(qiáng)的高可靠性。

圖10-7防火墻的安裝位置10.4防火墻10.4.1防火墻的基本概念7710.4.2防火墻的基本類型1．包過濾路由器

圖10-8包過濾路由器的工作原理10.4.2防火墻的基本類型1．包過濾路由器782．應(yīng)用網(wǎng)關(guān)圖10-9應(yīng)用網(wǎng)關(guān)的工作原理2．應(yīng)用網(wǎng)關(guān)793．應(yīng)用代理圖10-10應(yīng)用代理的工作原理3．應(yīng)用代理804．狀態(tài)檢測(cè) 狀態(tài)檢測(cè)能通過狀態(tài)檢測(cè)技術(shù)，動(dòng)態(tài)地維護(hù)各個(gè)連接的協(xié)議狀態(tài)。

※重點(diǎn)提示：防火墻在網(wǎng)絡(luò)之間通過執(zhí)行控制策略來保護(hù)網(wǎng)絡(luò)系統(tǒng)，防火墻包括硬件和軟件兩部分。防火墻根據(jù)其實(shí)現(xiàn)技術(shù)可以分為：包過濾路由器、應(yīng)用網(wǎng)關(guān)、應(yīng)用代理和狀態(tài)檢測(cè)4類。4．狀態(tài)檢測(cè)8110.4.3防火墻的結(jié)構(gòu)1．包過濾型結(jié)構(gòu) 包過濾型結(jié)構(gòu)是通過專用的包過濾路由器或是安裝了包過濾功能的普通路器來實(shí)現(xiàn)的。包過濾型結(jié)構(gòu)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，按照一定的安全策略對(duì)這些信息進(jìn)行分析與限制。2．雙宿網(wǎng)關(guān)結(jié)構(gòu) 連接了兩個(gè)網(wǎng)絡(luò)的多宿主機(jī)稱為雙宿主機(jī)。多宿主機(jī)是具有多個(gè)網(wǎng)絡(luò)接口卡的主機(jī)，每個(gè)接口都可以和一個(gè)網(wǎng)絡(luò)連接，因?yàn)樗茉诓煌木W(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)交換換，因此也稱為網(wǎng)關(guān)。雙宿網(wǎng)關(guān)結(jié)構(gòu)即是一臺(tái)裝有兩塊網(wǎng)卡的主機(jī)作為防火墻，將外部網(wǎng)絡(luò)與同部網(wǎng)絡(luò)實(shí)現(xiàn)物理上的隔開。10.4.3防火墻的結(jié)構(gòu)1．包過濾型結(jié)構(gòu)82圖10-11雙宿網(wǎng)關(guān)結(jié)構(gòu)圖10-11雙宿網(wǎng)關(guān)結(jié)構(gòu)833．屏蔽主機(jī)結(jié)構(gòu) 屏蔽主機(jī)結(jié)構(gòu)將所有的外部主機(jī)強(qiáng)制與一個(gè)堡壘主機(jī)相連，從而不允許它們直接與內(nèi)部網(wǎng)絡(luò)的主機(jī)相連，因此屏撇主機(jī)結(jié)構(gòu)是由包過濾路由器和堡壘主機(jī)組成的。4．屏蔽子網(wǎng)結(jié)構(gòu) 屏蔽子網(wǎng)結(jié)構(gòu)使用了兩個(gè)屏蔽路由器和兩個(gè)堡壘主機(jī)。在該系統(tǒng)中，從外部包過濾由器開始的部分是由網(wǎng)絡(luò)系統(tǒng)所屬的單位組建的，屬于內(nèi)部網(wǎng)絡(luò)，也稱為“DMZ網(wǎng)絡(luò)”。外部包過濾路由器與外部堡壘主機(jī)構(gòu)成了防火墻的過濾子網(wǎng)；內(nèi)部包過濾路由器和內(nèi)部堡壘主機(jī)則用于對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行進(jìn)一步的保護(hù)。3．屏蔽主機(jī)結(jié)構(gòu)84圖10-12包過濾路由器的數(shù)據(jù)包轉(zhuǎn)發(fā)過程圖10-12包過濾路由器的數(shù)據(jù)包轉(zhuǎn)發(fā)過程85圖10-13屏蔽子網(wǎng)結(jié)構(gòu)示意圖圖10-13屏蔽子網(wǎng)結(jié)構(gòu)示意圖8610.4.4防火墻的安裝與配置1．防火墻的網(wǎng)絡(luò)接口（1）內(nèi)網(wǎng) 內(nèi)網(wǎng)一般包括企業(yè)的內(nèi)部網(wǎng)絡(luò)或是內(nèi)部網(wǎng)絡(luò)的一部分。（2）外網(wǎng) 外網(wǎng)指的是非企業(yè)內(nèi)部的網(wǎng)絡(luò)或是Internet，內(nèi)網(wǎng)與外網(wǎng)之間進(jìn)行通信，要通過防火墻來實(shí)現(xiàn)訪問限制。（3）DMZ（非軍事化區(qū)） DMZ是一個(gè)隔離的網(wǎng)絡(luò)，可以在這個(gè)網(wǎng)絡(luò)中放置Web服務(wù)器或是E-mail服務(wù)器等，外網(wǎng)的用戶可以訪問DMZ。10.4.4防火墻的安裝與配置1．防火墻的網(wǎng)絡(luò)接口872．防火墻的安裝與初始配置給防火墻加電令它啟動(dòng)。將防火墻的Console口連接到計(jì)算機(jī)的串口上，并通過Windows操作系統(tǒng)的超級(jí)終端，進(jìn)入防火墻的特權(quán)模式。配置Ethernet的參數(shù)。配置內(nèi)外網(wǎng)卡的IP地址、指定外部地址范圍和要進(jìn)行轉(zhuǎn)換的內(nèi)部地址。設(shè)置指向內(nèi)網(wǎng)與外肉的缺省路由。配置靜態(tài)IP地址映射。設(shè)置需要控制的地址、所作用的端口和連接協(xié)議等控制選項(xiàng)并設(shè)置允許telnet遠(yuǎn)程登錄防火墻的IP地址。保存配置。2．防火墻的安裝與初始配置883．防火墻的訪問模式（1）非特權(quán)模式（2）特權(quán)模式（3）配置模式（4）監(jiān)視模式3．防火墻的訪問模式8910.5防病毒10.5.1計(jì)算機(jī)病毒1．計(jì)算機(jī)病毒的概念 計(jì)算機(jī)病毒是指計(jì)算機(jī)程序中的一段可執(zhí)行程序代理，它可以破壞計(jì)算機(jī)的功能甚至破壞數(shù)據(jù)從而影響計(jì)算機(jī)的能力。計(jì)算機(jī)病毒通過對(duì)其他程序的修改，可以感染這些程序，使其成為病毒程序的復(fù)制，使之很快蔓延開來，很難根除。10.5防病毒10.5.1計(jì)算機(jī)病毒902．計(jì)算機(jī)病毒的特征（1）非授權(quán)可執(zhí)行性（2）隱蔽性（3）傳染性（4）潛伏性（5）破壞性（6）可觸發(fā)性