計算機(jī)網(wǎng)絡(luò)安全技術(shù)講義

計算機(jī)網(wǎng)絡(luò)安全技術(shù)主編：趙美惠

部紹海

馮伯虎課時：48課時歡迎學(xué)習(xí)第1章計算機(jī)網(wǎng)絡(luò)安全概述第2章黑客常用的系統(tǒng)攻擊方法第3章計算機(jī)病毒第4章數(shù)據(jù)加密技術(shù)第6章windowsserver2008的安全第5章防火墻技術(shù)第7章web的安全性計算機(jī)網(wǎng)絡(luò)安全技術(shù)第1章計算機(jī)網(wǎng)絡(luò)安全概述1.1網(wǎng)絡(luò)安全簡介1.2信息安全的發(fā)展歷程1.3網(wǎng)絡(luò)安全所涉及的內(nèi)容1.4網(wǎng)絡(luò)安全防護(hù)體系1.5習(xí)題本章要點

通過本章的學(xué)習(xí)，掌握以下幾方面的內(nèi)容：網(wǎng)絡(luò)安全的基本信息信息安全的發(fā)展歷程網(wǎng)絡(luò)安全涉及的內(nèi)容網(wǎng)絡(luò)安全防護(hù)體系。

1.1網(wǎng)絡(luò)安全簡介

隨著計算機(jī)在我們的生活中越發(fā)普及，計算機(jī)網(wǎng)絡(luò)安全更是無處不在。

1.1.1網(wǎng)絡(luò)安全的重要性

截至2011年6月底，中國網(wǎng)民數(shù)量達(dá)到5.6億；2011年上半年，有59.2%的網(wǎng)民遇到過病毒或木馬攻擊；有30.9%的網(wǎng)民賬號或密碼被盜過，網(wǎng)絡(luò)安全問題仍然制約著中國網(wǎng)民深層次的網(wǎng)絡(luò)應(yīng)用發(fā)展。

1.1.2網(wǎng)絡(luò)脆弱性的原因環(huán)境外部輸入影響對象的方式對象所受的影響對象脆弱性

造成計算機(jī)網(wǎng)絡(luò)安全問題的原因歸納為兩大類：外在的威脅和內(nèi)在的脆弱性。其中后者是計算機(jī)網(wǎng)絡(luò)安全問題的根本原因。

脆弱的類型邏輯錯誤系統(tǒng)弱點通過隱晦手段獲得相對安全老化的硬、軟件易被破解的弱口令和靜態(tài)口令加密技術(shù)缺陷環(huán)境錯誤編程錯誤配置錯誤管理策略失誤社會工程1.1.3網(wǎng)絡(luò)安全的定義通訊安全TEM通信安全物理安全工業(yè)安全計算機(jī)安全人員安全操作安全網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會由于偶然或惡意的原因而遭到破壞、更改、泄露等。1.1.4網(wǎng)絡(luò)安全的基本要素不可抵賴性可用性保密性完整性安全性基本要素1.1.5典型的網(wǎng)絡(luò)安全事件Android市場出現(xiàn)惡意軟件

索尼被黑，黑客借網(wǎng)絡(luò)入侵炫耀RSA遭到攻擊

花旗銀行被黑IMF數(shù)據(jù)庫遭黑客攻擊FaceBook黃色暴力圖片泛濫CSDN密碼泄露1.2信息安全的發(fā)發(fā)展歷程面對信息安全的保障面對業(yè)務(wù)的安全保障面對服務(wù)的安全保障1.3網(wǎng)絡(luò)安全所涉涉及的內(nèi)容網(wǎng)絡(luò)安全設(shè)計的內(nèi)容物理網(wǎng)絡(luò)安全性網(wǎng)絡(luò)管理的安全性實施網(wǎng)絡(luò)安全的技術(shù)攻擊技術(shù)防御技術(shù)1.4.1網(wǎng)絡(luò)安全的威威脅1.4網(wǎng)絡(luò)安全防護(hù)護(hù)體系軟件漏洞配置不當(dāng)安全意識不強病毒黑客幾種常用的網(wǎng)網(wǎng)絡(luò)安全技術(shù)術(shù)防火墻技術(shù)漏洞掃描技術(shù)物理安全保障技術(shù)系統(tǒng)容災(zāi)技術(shù)數(shù)據(jù)加密技術(shù)1.4.2網(wǎng)絡(luò)安全策略略網(wǎng)絡(luò)安全管理策略信息加密策略訪問控制策略物理安全策略分類安全策略的配配置身份認(rèn)證信息加密數(shù)字簽名訪問控制不可否認(rèn)性安全策略的實實現(xiàn)流程第一：是向更更高級別的認(rèn)認(rèn)證轉(zhuǎn)移；第二：目前存存儲在用戶計計算機(jī)上的復(fù)復(fù)雜數(shù)據(jù)將“向上移動”，由與銀行相相似的機(jī)構(gòu)來來確保它們的的安全；第三：是在全全世界的國家家和地區(qū)建立立與駕照相似似的制度，它它們在計算機(jī)機(jī)銷售時限制制計算機(jī)的運運算能力，或或要求用戶演演示在自己的的計算機(jī)受到到攻擊時抵御御攻擊的能力力。網(wǎng)絡(luò)安全的發(fā)發(fā)展趨勢1.4.3數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)安全因素數(shù)據(jù)邊界安全策略數(shù)據(jù)傳輸安全策略數(shù)字加密技術(shù)數(shù)據(jù)存儲安全策略通過ISAPI實現(xiàn)訪問控制制使用鉤子函數(shù)數(shù)捕獲用戶輸輸入替代動態(tài)鏈接接庫（ProxyDLL）技術(shù)修改輸入地址址表（ITA）技術(shù)MicrosoftDetoursWindows網(wǎng)絡(luò)底層控制制1.4.4訪問控制技術(shù)術(shù)1.4.5網(wǎng)絡(luò)監(jiān)控軟件件病毒的種類：：①系統(tǒng)病毒：：感染W(wǎng)indows操作系統(tǒng)的.exe和.dll文件。②蠕蟲病毒：：通過網(wǎng)絡(luò)或或者系統(tǒng)漏洞洞進(jìn)行傳播，，很大部分的的蠕蟲病毒都都有向外發(fā)送送帶毒郵件，，阻塞網(wǎng)絡(luò)的的特性。③木馬病毒。。④腳本病毒：：使用腳本語語言編寫，通通過網(wǎng)頁進(jìn)行行的傳播的病病毒。⑤宏病毒：讓讓計算機(jī)感染染傳統(tǒng)型的病病毒。刪除硬硬盤上的文件件或文檔。⑥后門病毒：：后門就是輔輔助木馬進(jìn)一一步入侵的小小程序，通常常會開啟若干干端口或服務(wù)務(wù)。1.4.6病毒保護(hù)2.1工作場景導(dǎo)入入2.2黑客概述2.3目標(biāo)系統(tǒng)的探探測方法2.4口令攻擊2.5網(wǎng)絡(luò)監(jiān)聽第2章黑客原理理與防護(hù)措施施2.6木馬2.7拒絕服務(wù)攻擊擊2.8緩沖區(qū)溢出2.9回到工作場景景2.10工作實訓(xùn)營2.1工作場景導(dǎo)入入做進(jìn)出口貿(mào)易的柳先先生（化名））的電腦被黑客植植入木馬，黑黑客盜取了柳柳先生的電子子郵箱賬號和和密碼，在偷偷偷登陸柳先先生郵箱，研研究了柳先生生的郵件內(nèi)容容后，發(fā)現(xiàn)柳柳先生與一位位李女士生意意來往密切，，于是黑客注注冊了一個與與李女士的電電子郵箱用戶戶號非常接近近的郵箱，然然后模仿李女女士的口吻，與柳先先生進(jìn)行交談?wù)?。結(jié)果差差點被騙走10萬元。引導(dǎo)問題：如如何防止像上上述案例中所所遭受的損失失？2.2.1黑客由來黑客：黑客一一詞已被用于于泛指那些專專門利用電腦腦網(wǎng)絡(luò)搞破壞壞或惡作劇的的人。2.2黑客概述歷史上著名的的黑客：KevinDavidMitnick、KenThompson和DennisRitchie、SteveWozniak等。2.2.2黑客攻擊的動動機(jī)貪心惡作劇名聲報復(fù)無知好奇黑客道德仇恨收集被攻擊方方的有關(guān)信息息，分析被攻攻擊方可能存存在的漏洞。。建立模擬環(huán)境境，進(jìn)行模擬擬攻擊，測試試對方可能的的反應(yīng)。利用適當(dāng)?shù)墓すぞ哌M(jìn)行掃描描。實施攻擊2.2.3黑客攻擊入侵侵的過程破壞系統(tǒng)網(wǎng)絡(luò)嗅探器特洛伊木馬口令入侵掃描器常用工具2.3目標(biāo)系統(tǒng)的探探測方法基于80端口入侵的檢檢測惡作劇基于安全日志志的檢測報復(fù)復(fù)文件訪問日志志與關(guān)鍵文件件保護(hù)黑客道道德進(jìn)程監(jiān)控間諜諜注冊表校驗端口監(jiān)控陷阱技術(shù)2.3.1常用的網(wǎng)絡(luò)探探測方法網(wǎng)絡(luò)安全掃描描器是一種自自動檢測遠(yuǎn)程程和本地主機(jī)機(jī)安全性弱點點的程序包，，它通過與目目標(biāo)主機(jī)TCP/IP端口建立連接接并請求某些些服務(wù)（如TELNET、FTP等）記記錄目目標(biāo)主主機(jī)的的應(yīng)答答，搜搜集目目標(biāo)主主機(jī)相相關(guān)信信息（（如匿匿名用用戶是是否可可以登登陸等等）從從而發(fā)發(fā)現(xiàn)目目標(biāo)主主機(jī)某某些內(nèi)內(nèi)在的的安全全弱點點。2.3.2掃描器器概述述網(wǎng)絡(luò)掃掃描技技術(shù)的的兩種種方式式：偵查掃掃描端口掃掃描現(xiàn)在比比較好好的掃掃描器器大多多采用用客戶戶端/服務(wù)器器架構(gòu)構(gòu)。2.3.3專用掃掃描器器比較常常用的的專用用掃描描器有有CGI掃描器器、Asp掃描器器、從從各個個主要要端口口取得得服務(wù)務(wù)信息息的掃掃描器器、獲獲取操操作系系統(tǒng)敏敏感信信息的的掃描描器、、數(shù)據(jù)據(jù)庫掃掃描器器、遠(yuǎn)遠(yuǎn)程控控制系系統(tǒng)掃掃描器器。右圖為為CGI漏漏洞掃掃描器器的主主程序序流程程2.4口令攻攻擊口令攻攻擊的的三種種方式式：通過網(wǎng)網(wǎng)絡(luò)監(jiān)監(jiān)聽非非法得得到用用戶口口令在知道道用戶戶的賬賬號后后利用用一些些專門門軟件件強行行破解解用戶戶口令令利用系系統(tǒng)管管理員員的失失誤口令攻攻擊的的類型型：詞典攻攻擊強行攻攻擊組合攻攻擊其他攻攻擊類類型NT口令破破解程程序：L0phtcrackNTSweepNTCrackPWDump2UNIX口令破破解程程序：：CrackJohntheRipperXITSlurpie網(wǎng)絡(luò)監(jiān)監(jiān)聽是是一種種監(jiān)視視網(wǎng)絡(luò)絡(luò)狀態(tài)態(tài)、數(shù)數(shù)據(jù)流流程以以及網(wǎng)網(wǎng)絡(luò)上上信息息傳輸輸?shù)墓芄芾砉すぞ撸?，它可可以將將網(wǎng)絡(luò)絡(luò)界面面設(shè)定定成監(jiān)監(jiān)聽模模式，，并且且可以以截獲獲網(wǎng)絡(luò)絡(luò)上所所傳輸輸?shù)男判畔ⅰ?。但是是網(wǎng)絡(luò)絡(luò)監(jiān)聽聽只能能應(yīng)用用于連連接同同一網(wǎng)網(wǎng)段的的主機(jī)機(jī)，通通常被被用來來獲取取用戶戶密碼碼等。。2.5網(wǎng)絡(luò)監(jiān)監(jiān)聽數(shù)據(jù)庫安全審計技術(shù)日志審計技術(shù)代理審計技術(shù)網(wǎng)絡(luò)監(jiān)聽審計技術(shù)網(wǎng)關(guān)審計技術(shù)2.6木馬2.6.1木馬的的工作作原理理木馬（（Trojan）這個個名字字來源源于古古希臘臘傳說說。?！澳抉R馬”程程序是是目前前比較較流行行的病病毒文文件，，與一一般的的病毒毒不同同，它它不會會自我我繁殖殖，也也并不不“刻刻意””地去去感染染其他他文件件，它它通過過將自自身偽偽裝吸吸引用用戶下下載執(zhí)執(zhí)行，，向施施種木木馬者者提供供打開開被種種者電電腦的的門戶戶，使使施種種者可可以任任意毀毀壞、、竊取取被種種者的的文件件，甚甚至遠(yuǎn)遠(yuǎn)程操操控被被種者者的電電腦。。2.6.2木馬的的分類類木馬的分類網(wǎng)絡(luò)游戲類木馬網(wǎng)銀木馬即時通訊軟件木馬發(fā)送消息型網(wǎng)頁點擊類木馬盜號型傳播自身型代理類木馬下載類木馬2.6.3傳統(tǒng)的的木馬馬傳統(tǒng)木木馬主主要特特點：：隱蔽性性好通常只只改寫寫幾個個、幾幾十個個注冊冊表加加載點點通常不不感染染系統(tǒng)統(tǒng)文件件通常不不具備備主動動傳播播性利用網(wǎng)網(wǎng)頁掛掛馬，，木馬馬下載載器，，欺騙騙下載載等方方式傳傳播刪除木木馬文文件即即可簡簡單清清除。。2.6.4反彈端端口型型木馬馬利用反反彈端端口原原理，，躲避避防火火墻攔攔截的的一類類木馬馬的統(tǒng)統(tǒng)稱。。國產(chǎn)產(chǎn)的優(yōu)優(yōu)秀反反彈端端口型型木馬馬主要要有：：灰鴿鴿子、、上興興遠(yuǎn)程程控制制、PcShare等。隱藏加載方式木馬的隱藏方式在端口隱藏在任務(wù)管理器里隱藏在任務(wù)欄里隱藏隱藏通通訊2.6.5木馬的的隱藏藏和偽偽裝方方式木馬的的工作作流程程通過““【開始】→【【程序】→【【啟動】”：隱隱蔽性性：2星；應(yīng)應(yīng)用程程度：：較低低；通過Win.ini文件：：隱隱蔽性性：3星；；應(yīng)應(yīng)用程程度：：較低低通過注注冊表表啟動動：隱隱蔽性性：3.5星；應(yīng)應(yīng)用程程度：：極高高通過注注冊表表啟動動：隱隱蔽性性：3.5星；；應(yīng)用用程度度：極極高通過Autoexec.bat文件或或winstart.bat，config.sys文件啟啟動：：隱隱蔽性性：4星；；應(yīng)應(yīng)用程程度：：較低低通過system.ini啟動：：隱蔽蔽性：：5星；應(yīng)應(yīng)用程程度：：一般般通過特特定程程序啟啟動：：隱蔽蔽性：：5星；；應(yīng)用用程度度：常常見2.6.6木馬的的啟動動方式式在win.ini文文件中中在system.ini文件件中在注冊冊表中中2.6.7木馬的的檢測測2.6.8木馬的的防御御基本防防御思思想：：備份份勝于于補救救根本防防御思思想：：防病病勝于于治病病基本解解決方方法：：進(jìn)程程服務(wù)務(wù)注冊冊表2.7拒絕服服務(wù)攻攻擊2.7.1拒絕服服務(wù)攻攻擊概概述拒絕服服務(wù)攻攻擊（（DOS：DenialOfService）即攻攻擊者者想辦辦法讓讓目標(biāo)標(biāo)機(jī)器器停止止提供供服務(wù)務(wù)，是是黑客客常用用的攻攻擊手手段之之。攻攻擊者者進(jìn)行行拒絕絕服務(wù)務(wù)攻擊擊，實實際上上讓服服務(wù)器器實現(xiàn)現(xiàn)兩種種效果果：一一是迫迫使服服務(wù)器器的緩緩沖區(qū)區(qū)滿，，不接接收新新的請請求；；二是是使用用IP欺騙，，迫使使服務(wù)務(wù)器把把合法法用戶戶的連連接復(fù)復(fù)位，，影響響合法法用戶戶的連連接。。目的的是讓讓目標(biāo)標(biāo)計算算機(jī)或或網(wǎng)絡(luò)絡(luò)無法法提供供正常常的服服務(wù)或或資源源訪問問，使使目標(biāo)標(biāo)系統(tǒng)統(tǒng)服務(wù)務(wù)系統(tǒng)統(tǒng)停止止響應(yīng)應(yīng)甚至至崩潰潰，而而在此此攻擊擊中并并不包包括侵侵入目目標(biāo)服服務(wù)器器或目目標(biāo)網(wǎng)網(wǎng)絡(luò)設(shè)設(shè)備。。DOS攻擊的原因軟件弱點錯誤配置重復(fù)請求導(dǎo)致過載ping死亡攻擊淚滴（Teardrop）攻擊UDP洪水（UDPflood）SYN洪水（SYNflood）Land（LandAttack）攻擊IP欺騙DOS攻擊2.7.2拒絕服服務(wù)攻攻擊原原理分布式式拒絕絕服務(wù)務(wù)攻擊擊體系系結(jié)構(gòu)構(gòu)黑客進(jìn)進(jìn)行DDOS攻擊時時的步步驟：：2.7.3分布式式拒絕絕服務(wù)務(wù)攻擊擊（DDOS）原理理2.8緩沖區(qū)區(qū)溢出出2.8.1緩沖區(qū)區(qū)溢出出概述述緩沖區(qū)區(qū)溢出出（BufferOverflow，又稱稱堆棧棧溢出出）攻攻擊是是最常常用的的黑客客技術(shù)術(shù)之一一。我我們知知道，，UNIX本身以以及其其上的的許多多應(yīng)用用程序序都是是用C語言編編寫的的，C語言不不檢查查緩沖沖區(qū)的的邊界界。在在某些些情況況下，，如果果用戶戶輸入入的數(shù)數(shù)據(jù)長長度超超過應(yīng)應(yīng)用程程序給給定的的緩沖沖區(qū)，，就會會覆蓋蓋其他他數(shù)據(jù)據(jù)區(qū)。。這稱稱作““堆棧棧溢出出或緩緩沖溢溢出””。2.8.2緩沖區(qū)區(qū)溢出出攻擊擊原理理緩沖區(qū)溢出攻擊原理堆溢出棧溢出棧上的的緩沖沖區(qū)溢溢出可可以修修改函函數(shù)的的返回回地址址和傳傳入?yún)?shù)，，如果果在進(jìn)進(jìn)入函函數(shù)時時，將將這些些敏感感數(shù)據(jù)據(jù)復(fù)制制一份份放在在局部部變量量之下下，在在退出出函數(shù)數(shù)時用用備份份的數(shù)數(shù)據(jù)覆覆蓋原原數(shù)據(jù)據(jù)，那那么即即便出出現(xiàn)緩緩沖區(qū)區(qū)溢出出，也也沒有有多大大傷害害。另另外可可以在在局部部變量量之前前放一一個cookie，在退退出函函數(shù)時時檢查查cookie是否被被修改改，從從而監(jiān)監(jiān)測有有無緩緩沖區(qū)區(qū)溢出出。這這兩點點可由由編譯譯器幫幫我們們做到到。另另外培培養(yǎng)良良好的的編程程習(xí)慣慣，包包括檢檢查數(shù)數(shù)組邊邊界等等在編編碼時時完全全可以以預(yù)防防緩沖沖區(qū)溢溢出2.8.3緩沖區(qū)區(qū)溢出出的預(yù)預(yù)防2.9回到工工作場場景回到工作場景計算機(jī)設(shè)置隱藏IP地址關(guān)閉不必要的端口關(guān)閉【文件和打印共享】禁止建立空連接將Guest賬號禁用更換管理員賬戶杜絕Guest入侵防范木馬程序做好IE的安全設(shè)置不要回陌生人的郵件2.10工作實訓(xùn)營營用strcpy函數(shù)實現(xiàn)緩緩沖區(qū)溢出出。編寫下面的的程序：Voidfunction（char*sz1）{Charbuff[20];Strcpy（buffer,sz1）;}2.10.1實訓(xùn)實例加密的文件件夾是允許許在客戶端端收取嗎？？答：為了信信息安全的的考慮，加加密的文件件夾是不允允許客戶端端收取的。。如何給郵箱箱里的記事事本加密？？答：網(wǎng)易郵郵箱里面的的記事本是是不能加密密。QQ郵箱的記事事本加密設(shè)設(shè)置如下：：【郵箱設(shè)置】→【賬戶】→【賬戶安全】→【加鎖"文件夾區(qū)域域"】→【修改加鎖設(shè)設(shè)置】，把記事本本選中即可可。2.10.2工作實踐常常見問題解解析3.1工作場景導(dǎo)導(dǎo)入3.2計算機(jī)病毒毒的基本概概念3.3計算機(jī)病毒毒的特征3.4計算機(jī)病毒毒的分類3.5計算機(jī)病毒毒的原理與與實例第3章計算機(jī)機(jī)病毒3.6計算機(jī)病毒毒的防治3.7防病毒應(yīng)具具有的基本本知識3.8回到工作場場景3.9工作實訓(xùn)營營2012年5月，卡巴斯斯基實驗室室率先宣布布發(fā)現(xiàn)一種種高度復(fù)雜雜的惡意程程序Flame(火焰)，其功能和和復(fù)雜度大大大超過目目前已知的的所有網(wǎng)絡(luò)絡(luò)威脅,技術(shù)人員推推測這一病病毒可能有有政府背景景。Flame能盜取包括括各種文檔檔、截屏、、錄音，在在內(nèi)的所有有信息，還還能攔截網(wǎng)網(wǎng)絡(luò)流量，，被盜取的的信息將被被發(fā)送至遍遍布在世界界各地的控控制與指令令中心。是是迄今發(fā)現(xiàn)現(xiàn)的最高級級和最全面面的網(wǎng)絡(luò)攻攻擊工具之之一。引出問題：：針對近年年來愈來愈愈猖獗的網(wǎng)網(wǎng)絡(luò)病毒，，我們應(yīng)如如何防御？？不幸感染染計算機(jī)病病毒后，如如何清除？？3.1工作場景導(dǎo)導(dǎo)入3.2計算機(jī)病毒毒的基本概概念病毒指“編編制者在計計算機(jī)程序序中插入的的破壞計算算機(jī)功能或或者破壞數(shù)數(shù)據(jù)，影響響計算機(jī)使使用并且能能夠自我復(fù)復(fù)制的一組組計算機(jī)指指令或者程程序代碼””。手機(jī)病毒主動攻擊型病毒網(wǎng)絡(luò)病毒階段多態(tài)性病毒階段混合型病毒階段原始病毒階段病毒的發(fā)展展階段病毒的破壞壞目標(biāo)和攻攻擊部位：：干擾打印機(jī)攻擊CMOS干擾鍵盤操作擾亂屏幕顯示攻擊磁盤攻擊系統(tǒng)數(shù)據(jù)病毒3.3計算機(jī)病毒毒的特征寄生性傳染性潛伏性隱蔽性破壞性可觸發(fā)性按病毒存在的媒體可以劃分為網(wǎng)絡(luò)病毒、文件病毒、引導(dǎo)型病毒。按病毒傳染的方法可分為駐留型病毒和非駐留型病毒。按病毒破壞的能力可分為無害型、無危險型、危險型、非常危險型。按病毒的算法可分為伴隨型病毒、“蠕蟲”型病毒、寄生型病毒。3.4計算機(jī)病毒毒的分類3.5計算機(jī)病毒毒的原理和和實例3.5.1計算機(jī)病毒毒的結(jié)構(gòu)病毒的結(jié)構(gòu)引導(dǎo)模塊觸發(fā)模塊破壞模塊感染模塊病毒觸發(fā)的的主要條件件：日期觸發(fā)時間觸發(fā)鍵盤觸發(fā)感染觸發(fā)啟動觸發(fā)訪問觸發(fā)主板觸發(fā)CIH病毒是一種種能夠破壞壞計算機(jī)系系統(tǒng)硬件的的惡性病毒毒。據(jù)目前前掌握的材材料來看，，這個病毒毒產(chǎn)自臺灣灣，最早隨隨國際兩大大盜版集團(tuán)團(tuán)販賣的盜盜版光盤在在歐美等地地廣泛傳播播，隨后進(jìn)進(jìn)一步通過過Internet傳播到全世世界各個角角落。圖3.2為CIH病毒3.5.2文件型病毒毒的實例——CIH病毒運行“寫字板”軟件先搜索IMAGE_NT_SIGNATURE字段“PE00”，接著搜索其偏移0x28位置處的值是否為558D4424F833DB64，如果是，則表示此程序已被感染。直接搜索特征代碼原先的PE程序的正確入口點找回來，填入當(dāng)前入口點即可具體搜索CIH病毒的推薦薦方法宏病毒是一一種寄存在在文檔或模模板的宏中中的計算機(jī)機(jī)病毒。3.5.3宏病毒宏病毒的危害破壞性強隱蔽性強危害嚴(yán)重難以防治首選方法：：用最新版版的反病毒毒軟件清除除宏病毒；；應(yīng)急處理方方法：使用用宏編輯器器清除宏病病毒。防范和消除除宏病毒的的方法“熊貓燒香香”病毒是是一個能在在Windows9X/NT/2000/XP/2003系統(tǒng)上運行行的蠕蟲病病毒。這一病毒采采用“熊貓貓燒香”頭頭像作為圖圖標(biāo)，誘使使計算機(jī)用用戶運行。。它的變種會會感染計算算機(jī)上的.exe可執(zhí)行文件件，被病毒毒感染的文文件圖標(biāo)均均變?yōu)椤靶苄茇垷恪薄?。受感染的計計算機(jī)還會會出現(xiàn)藍(lán)屏屏、頻繁重重啟及系統(tǒng)統(tǒng)硬盤中數(shù)數(shù)據(jù)文件被被破壞等現(xiàn)現(xiàn)象。3.5.4蠕蟲病毒的的實例——“熊貓燒香””病毒修改本機(jī)Administrator組成員口令令；利用組策略略，關(guān)閉所所有驅(qū)動器器的自動播播放功能。。修改文件夾夾選項時刻保持操操作系統(tǒng)獲獲得最新的的安全更新新，不要隨隨意訪問來來源不明的的網(wǎng)站啟用Windows防火墻保護(hù)護(hù)本地計算算機(jī)。預(yù)防方方法法“磁碟機(jī)””病毒又名名Dummycom病毒（又名名“千足蟲蟲”），據(jù)據(jù)360安全中心統(tǒng)統(tǒng)計每日感感染磁碟機(jī)機(jī)病毒人數(shù)數(shù)已逾100,000用戶?！按糯诺鷻C(jī)”現(xiàn)現(xiàn)已經(jīng)出現(xiàn)現(xiàn)100余個變種，，目前病毒毒感染和傳傳播范圍正正在呈現(xiàn)蔓蔓延之勢。。病毒造成成的危害及及損失10倍于“熊貓貓燒香”。。磁碟機(jī)病毒毒主要通過過U盤和局域網(wǎng)網(wǎng)ARP攻擊傳播，，如果當(dāng)你你無法訪問問各個安全全軟件站點點，或者從從安全站點點的官網(wǎng)上上下載的安安裝程序有有問題的話話，極有可可能是已經(jīng)經(jīng)中了磁碟碟機(jī)病毒““磁碟機(jī)””，病毒感感染系統(tǒng)可可執(zhí)行文件件，能夠利利用多種手手段終止殺殺毒軟件運運行，并可可導(dǎo)致被感感染計算機(jī)機(jī)系統(tǒng)出現(xiàn)現(xiàn)藍(lán)屏、死死機(jī)等現(xiàn)象象，嚴(yán)重危危害被感染染計算機(jī)的的系統(tǒng)和數(shù)數(shù)據(jù)安全。。3.5.5“磁碟機(jī)””病毒將system32和dllcache目錄下的“cmd.exe”臨時改名為“cm.dll”，然后重啟系統(tǒng)。重啟系統(tǒng)后，檢查system32和dllcache目錄。發(fā)現(xiàn)改名后的cm.dll都在，但是，system32目錄下出現(xiàn)了一個奇怪的cmd.exe，這個cmd.exe圖標(biāo)不同于正常的cmd.exe。刪除system32目錄下那個異常的cmd.exe。將system32和dllcache目錄下的cm.dll改回cmd.exe。如果是多分區(qū)系統(tǒng)，非系統(tǒng)分區(qū)也還有病毒。這樣處理完后并不能徹底解決問題，還需用殺毒軟件對全盤殺毒。查殺“磁磁碟機(jī)”病病毒的方案案：3.6計算機(jī)病毒毒的防治3.6.1計算機(jī)病毒毒引起的異異?，F(xiàn)象異常現(xiàn)象1BIOS病毒突然黑屏外部設(shè)備無法找到硬盤無法找到電腦聲音異常硬盤引導(dǎo)區(qū)病毒無法啟動硬盤執(zhí)行C盤提示錯誤引導(dǎo)是出現(xiàn)死機(jī)異?，F(xiàn)象2操作系統(tǒng)系統(tǒng)引導(dǎo)時間邊長計算機(jī)處理速度變慢驅(qū)動被修改光驅(qū)丟失應(yīng)用程序啟動程序提示錯誤運行載入時間邊長出現(xiàn)大量無效文件自動生成文件系統(tǒng)文件丟失不能復(fù)制或刪除應(yīng)用程序文件變大經(jīng)常死機(jī)或重啟3.6.2計算機(jī)防病病毒技術(shù)用殺毒軟件對所下載的文件進(jìn)行檢查

不要輕易打開電子郵件的附件

及早發(fā)現(xiàn)病毒

使用反病毒軟件并及時更新病毒庫

設(shè)置過濾機(jī)制

用補丁保持軟件最新

禁用U盤啟動

3.7防病毒應(yīng)具具有的基礎(chǔ)礎(chǔ)知識3.7.1常用的單機(jī)機(jī)殺毒軟件件諾頓江民殺毒金山毒霸瑞星卡巴斯基奇虎360單機(jī)殺毒軟件3.7.2網(wǎng)絡(luò)防病毒毒方案網(wǎng)絡(luò)需要注注意的方面面：1、復(fù)雜的多多層次病毒毒；2、網(wǎng)關(guān)和防防火墻；3、工作站；；4、郵件服務(wù)務(wù)器；5、備份服務(wù)務(wù)器；6、Internet服務(wù)器和和文件服服務(wù)器。。3.7.3Symantec校園網(wǎng)病病毒案例例在校園的的網(wǎng)絡(luò)防防病毒方方案中，，主要從從以下三三個方面面考慮：：2、在服務(wù)務(wù)器系統(tǒng)統(tǒng)的防病病毒保護(hù)護(hù)上，安安裝NortonAntiVirusforWindowsNT和NortonAntiVirusforNetware，保護(hù)系系統(tǒng)、磁磁盤、可可移動磁磁盤、光光盤以及及調(diào)制解解調(diào)器連連接所收收發(fā)的文文件等免免受病毒毒的感染染。1、在網(wǎng)關(guān)關(guān)一級主主要考慮慮對電子子郵件、、網(wǎng)上收收發(fā)郵件件、以及及進(jìn)入和和送出的的http和ftp流量的病病毒防護(hù)護(hù)。3、在客戶戶端一級級，安裝裝Windows操作系統(tǒng)統(tǒng)，實現(xiàn)現(xiàn)對系統(tǒng)統(tǒng)、磁盤盤、可移移動磁盤盤、光盤盤以及調(diào)調(diào)制解調(diào)調(diào)器連接接所收發(fā)發(fā)文件的的病毒防防護(hù)。1、相對集集中和分分布式管管理的方方式，2、由總部部進(jìn)行統(tǒng)統(tǒng)一進(jìn)行行病毒定定義碼和和掃描引引擎的更更新、升升級。3.7.4選擇防病病毒軟件件的標(biāo)準(zhǔn)準(zhǔn)防病毒軟件的選擇標(biāo)準(zhǔn)掃描速度識別率病毒清除測試3.8回到工作作場景安裝使用用360進(jìn)行病毒毒查殺清除插件件漏洞修復(fù)復(fù)3.9工作實訓(xùn)訓(xùn)營3.9.1訓(xùn)練實例例1、QQ病毒的清清除查殺殺方法。。2、Zip.doc.exe（Worm.Win32.AutoRund）病毒的的簡單解解決方法法3.9.2工作實踐踐常見問問題解析析1、為什么么有些病病毒清除除不了，，只能隔隔離而不不能清除除？2、對于病病毒清除除后的殘殘余文件件，是否否會隨著著病毒清清除后自自動刪除除？3、為什么么有時候候其他軟軟件認(rèn)為為一個文文件是病病毒，而而趨勢卻卻認(rèn)為不不是病毒毒？4、病毒發(fā)發(fā)作有的的有周期期的，是是否本機(jī)機(jī)時間改改掉就可可以了？？第4章數(shù)據(jù)據(jù)加密技技術(shù)4.1工作場景景導(dǎo)入4.2概述4.3古典加密密技術(shù)4.4對稱加密密算法及及其應(yīng)用用4.5公開密鑰鑰算法及及其應(yīng)用用4.6數(shù)據(jù)加密密技術(shù)的的應(yīng)用4.7回到工作作場景4.1工作場景景導(dǎo)入每個人都都有不想想被別人人看到的的文件，，也許是是你的日日記，也也許是你你的公司司絕密文文件，也也許是你你的私人人照片，，也許是是一些亂亂七八糟糟的影片片……這些都是是你的隱隱私。選選擇一款款合適的的加密軟軟件來保保護(hù)你的的隱私，，這款軟軟件需要要滿足下下列條件件：不讓其他他人非法法打開；；自己能夠夠足夠方方便的打打開；不會出現(xiàn)現(xiàn)自己也也打不開開的情況況。密碼學(xué)的的概念：：發(fā)送者者和接收收者、消消息和加加密、鑒鑒別、完完整性檢檢驗、抵抵賴性、、算法和和密鑰；；密碼學(xué)發(fā)發(fā)展的三三個階段段：古典典密碼、、近代密密碼、現(xiàn)現(xiàn)代密碼碼；密碼學(xué)在在信息安安全中的的應(yīng)用：：采用10位以上的的密碼、、使用不不規(guī)則密密碼、使使用鍵盤盤外圍的的按鍵作作為密碼碼的組成成部分、、使用左左右上下下鍵結(jié)合合輸入密密碼、不不選用顯顯而易見見的信息息作為口口令……4.2概述4.3古典加密密技術(shù)“恩尼格瑪”密碼機(jī)凱撒密碼最早的密碼4.4對稱加密密算法及及其應(yīng)用用4.4.1、DES算法及其其基本思思想逆置換按照規(guī)則迭代變換明文迭代16次輸入64位明文IP置換表L0R0Li=Ri-1Ri=Li⊕f（Ri-1,Ki）（i=1,2,3,…,16）IP逆置換表輸出64位密文DES算法具有有極高安安全性，，到目前前為止，，除了用用窮舉搜搜索法對對DES算法進(jìn)行行攻擊外外，還沒沒有發(fā)現(xiàn)現(xiàn)更有效效的辦法法。4.4.2DES算法的安安全性分分析3DES加密算法法：3DES又稱TripleDES，是DES加密算法法的一種種模式，它使用3條56位的密鑰鑰對數(shù)據(jù)據(jù)進(jìn)行三三次加密密；4.4.3其他常用用的對稱稱加密算算法AES（高級加加密標(biāo)準(zhǔn)準(zhǔn)）加密密算法：：4.4.4AES加密算法法在網(wǎng)絡(luò)絡(luò)安全中中的應(yīng)用用AES的應(yīng)用無線網(wǎng)絡(luò)應(yīng)用電子商務(wù)應(yīng)用AES硬件應(yīng)用AES軟件應(yīng)用4.5.1RSA算法及其其基本思思想4.5公開密鑰鑰算法及及其應(yīng)用用RSA公鑰加密密算法是是1977年由RonRivest、AdiShamirh和LenAdleman開發(fā)的。。其原理是：將兩個大大素數(shù)相相乘十分分容易，，但對其其乘積進(jìn)進(jìn)行因式式分解卻卻極其困困難，因因此可以以將乘積積公開作作為加密密密鑰，，使用不不同的加加密密鑰鑰與解密密密鑰，，且“由由已知加加密密鑰鑰推導(dǎo)出出解密密密鑰在計計算上是是不可行行的”。。RSA是目前最最有影響響力的公公鑰加密密算法，，它能夠夠抵抗到到目前為為止已知知的所有有密碼攻攻擊，從從提出到到現(xiàn)在已已近四十十年，經(jīng)經(jīng)歷了各各種攻擊擊的考驗驗，逐漸漸為人們們接受，，普遍認(rèn)認(rèn)為是目目前最優(yōu)優(yōu)秀的公公鑰方案案之一。。已被ISO推薦為公公鑰數(shù)據(jù)據(jù)加密標(biāo)標(biāo)準(zhǔn)。在RSA密碼應(yīng)用用中，公公鑰是被被公開的的，即e和n的數(shù)值可可以被第第三方竊竊聽到。。破解RSA密碼的問問題就是是從已知知的e和n的數(shù)值（（n等于pq），求出出d的數(shù)值，，這樣就就可以得得到私鑰鑰來破解解密文。。而當(dāng)p和q是一個大大素數(shù)的的時候，，從pq去分解因因子p和q，這是一一個公認(rèn)認(rèn)的數(shù)學(xué)學(xué)難題。4.5.2RSA算法的安安全性分分析d：c：m：4.5.3其他常用用的公開開密鑰算算法其他常用的公開密鑰算法Diffie-Hellman密鑰交換算法Oakley算法RSA在軟件方方面的應(yīng)應(yīng)用，主主要集中中在Internet上。加密密連接、、數(shù)字簽簽名和數(shù)數(shù)字證書書的核心心算法廣廣泛使用用RSA。日常應(yīng)應(yīng)用中，，有比較較著名的的工具包包OpenSSL（SecuritySocketLayer）是一個個安全傳傳輸協(xié)議議，在Internet上進(jìn)行數(shù)數(shù)據(jù)保護(hù)護(hù)和身份份確認(rèn)。。4.5.4RSA在網(wǎng)絡(luò)安安全中的的應(yīng)用4.6數(shù)據(jù)加密密技術(shù)的的應(yīng)用4.6.1信息鑒別別與信息息加密技技術(shù)加密技術(shù)散列函數(shù)MD5信息摘要算法安全散列算法特點：簽名是可可信的；；簽名是不不可偽造造的；簽名是不不可重用用的；簽名的文文件是不不可改變變的；簽名是不不可否認(rèn)認(rèn)的。常用的數(shù)數(shù)字函數(shù)數(shù)：直接數(shù)字字簽名仲裁數(shù)字字簽名4.6.2數(shù)字簽名名技術(shù)攻擊方式式：數(shù)據(jù)流竊竊聽；拷貝或重重傳；修改或偽偽造；了解系統(tǒng)統(tǒng)賬戶：：建立使用用者列表表；制定管理理制度；；檢查新賬賬號；尋找弱口口令或無無口令賬賬號；及時刪除除不需要要的賬號號。4.6.3身份認(rèn)證證SSL協(xié)議：SSL（SecuresocketLayer）安全套套接協(xié)議議，指使使用公鑰鑰和私鑰鑰技術(shù)組組合的安安全網(wǎng)絡(luò)絡(luò)通訊協(xié)協(xié)議。SEL（SecureElectronicTransaction）協(xié)議：：為了實現(xiàn)現(xiàn)更加完完善的電電子交易易，MasterCard和Visa聯(lián)合其他他一些業(yè)業(yè)界主流流廠商聯(lián)聯(lián)合推出出了一種種規(guī)范，，用來保保證在公公共網(wǎng)絡(luò)絡(luò)上銀行行卡支付付交易的的安全性性，從而而發(fā)布了了SET協(xié)議。4.6.4SSL協(xié)議和SEL協(xié)議根據(jù)4.1提出的條條件，我我們最終終選擇了了TrueCrypt加密軟件件，它有有如下優(yōu)優(yōu)點：①兼容性性好，在在WindowsXP、Vista和Win7等操作系系統(tǒng)下都都可以使使用；②文件被被加密后后，即使使電腦重重裝系統(tǒng)統(tǒng)，也可可以正常常解密打打開；③加密速速度非常常快；④加密屬屬于真實實的加密密，而不不是簡單單的隱藏藏文件。。4.7回到工作作場景在網(wǎng)上搜搜索到相相應(yīng)的資資源后下下載安裝裝，按照照系統(tǒng)提提示，安安裝完成成后系統(tǒng)統(tǒng)會生成成一個文文件保險險柜，輸輸入設(shè)置置的密碼碼，進(jìn)入入這個保保險柜，，將需要要保密的的文件載載入到保保險柜中中，便完完成了對對它的加加密，退退出保險險柜后，，這個文文件便被被安全的的保存在在保險柜柜中了。。使用TrueCrypt加密一個個文件。。1、打開程程序文件件TrueCrypt.exe4.8工作實訓(xùn)訓(xùn)營2、加載需需要保密密的文件件；3、單擊確確定，及及完成加加密即可可。第5章防火墻技技術(shù)5.1工作場景導(dǎo)入入5.2防火墻概述5.3防火墻分類5.4防火墻實現(xiàn)技技術(shù)原理5.5防火墻的應(yīng)用用5.6防火墻產(chǎn)品5.7回到工作場景景5.8工作實訓(xùn)營Sadness公司遭受到來來自外界的大大量碎片（Fragments）攻擊，同時時還伴隨著大大量的ICMP報文和TCPSYN攻擊。為了限制員工工使用Internet，公司主管希希望外部網(wǎng)絡(luò)絡(luò)僅能在員工工在上班前后后一個小時和和午休時間可可以使用，其其他時間只能能使用內(nèi)部網(wǎng)網(wǎng)絡(luò)5.1工作場景導(dǎo)入入5.2.1防火墻基本知知識5.2防火墻概述簡單地說，它它其實就是一一個把互聯(lián)網(wǎng)網(wǎng)與內(nèi)部網(wǎng)（（通常是局域域網(wǎng)或城域網(wǎng)網(wǎng)）隔開的屏屏障。防火墻（FireWall）是一種形象象的說法，其其實它是一種種計算機(jī)硬件件和軟件的組組合，在外部部網(wǎng)與內(nèi)部網(wǎng)網(wǎng)之間建立起起一個安全網(wǎng)網(wǎng)關(guān)（SecurityGateway），從而保護(hù)護(hù)內(nèi)部網(wǎng)免受受非法用戶的的侵入。5.2.2防火墻的功能能防火墻的功能網(wǎng)絡(luò)安全的屏障可以強化網(wǎng)絡(luò)安全策略防止內(nèi)部信息外泄對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控和審計5.2.3防火墻的局限限性十大局限性：：不能防范不經(jīng)經(jīng)過防火墻的的攻擊。不能解決來自自內(nèi)部網(wǎng)絡(luò)的的攻擊和安全全問題。不能防止策略略配置不當(dāng)或或錯誤配置引引起的安全威威脅。不能防止可接接觸的人為或或自然的破壞壞不能防止利用用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)協(xié)議中的缺陷陷進(jìn)行的攻擊擊不能防止利用用服務(wù)器系統(tǒng)統(tǒng)漏洞所進(jìn)行行的攻擊不能防止受病病毒感染的文文件的傳輸不能防止數(shù)據(jù)據(jù)驅(qū)動式的攻攻擊不能防止內(nèi)部部的泄密行為為不能防止本身身的安全漏洞洞的威脅5.3防火墻分類硬件防火墻是是指把防火墻墻程序做到芯芯片里面，由由硬件執(zhí)行這這些功能，能能減少CPU的負(fù)擔(dān)，使路路由更穩(wěn)定。。如圖所示。。軟件防火墻其其實就是安全全防護(hù)軟件，，比如天網(wǎng)防防火墻、金山山網(wǎng)鏢、金盾盾防火墻等等等.5.3.1硬件防火墻和和軟件防火墻墻5.3.2單機(jī)防火墻和和網(wǎng)絡(luò)防火墻墻單機(jī)防火墻網(wǎng)絡(luò)防火墻5.3.3防火墻的體系系結(jié)構(gòu)狀態(tài)檢測防火墻應(yīng)用代理防火墻電路層防火墻包過濾防火墻主機(jī)防火墻按體系結(jié)構(gòu)分5.3.4防火墻技術(shù)分分類防火墻技術(shù)分類分組過濾路由器雙宿主機(jī)屏蔽子網(wǎng)屏蔽主機(jī)5.3.5防火墻CPU架構(gòu)分類CPU架構(gòu)分類X86架構(gòu)ASIC架構(gòu)NP架構(gòu)5.4防火墻實現(xiàn)技技術(shù)原理5.4.1包過濾防火墻墻包過濾防火墻墻的優(yōu)點是：：可改動應(yīng)用用程序；一個個過濾路由器器能協(xié)助保護(hù)護(hù)整個網(wǎng)絡(luò)、、數(shù)據(jù)包過濾濾對用戶透明明；過濾路由由器速度快；；效率高。但缺點也很明明顯：它不能能徹底防止地地址欺騙；一一些應(yīng)用協(xié)議議不適合于數(shù)數(shù)據(jù)包過濾；；正常的數(shù)據(jù)據(jù)包過濾路由由器無法執(zhí)行行某些安全策策略；安全性性較差；數(shù)據(jù)據(jù)包工具存在在很多局限性性。5.4.2代理防火墻通常應(yīng)用代理理防火墻工作作在OSI模型中的應(yīng)用用層，和我們們常說的代理理服務(wù)器原理理相同，并并且防火墻需需要為每一種種服務(wù)器創(chuàng)建建一個進(jìn)程，，讓外部網(wǎng)絡(luò)絡(luò)看上去是在在運行一個終終端系統(tǒng)。并并通過一系列列進(jìn)程映射，，將對外會話話和對內(nèi)會話話聯(lián)系起來。。而且，它還還可用來保持持一個所有應(yīng)應(yīng)用程序使用用的記錄。記記錄和控制所所有進(jìn)出流量量的能力是應(yīng)應(yīng)用層網(wǎng)關(guān)的的主要優(yōu)點之之一，如圖所所示。5.4.3狀態(tài)檢測防火火墻狀態(tài)檢測防火火墻通過對OSI模型頂部4層的策略分析析進(jìn)行過濾，，相當(dāng)于以上上各種防火墻墻的結(jié)合體。。狀態(tài)檢測防防火墻雖然集集成了二者的的特點，但它它實現(xiàn)應(yīng)用層層防火墻的模模式與前述不不同。狀態(tài)檢檢測防火墻并并不破壞客戶戶機(jī)/服務(wù)器模型來來分析應(yīng)用層層數(shù)據(jù)，它允允許受信任的的客戶機(jī)和不不受信任的主主機(jī)進(jìn)行直接接通信，如圖圖所示。從理理論上將，狀狀態(tài)檢測防火火墻擁有更高高的安全性。。由于對更高安安全性的要求求，常把基于于包過濾的方方法與基于應(yīng)用代理的方方法結(jié)合起來來，形成復(fù)合合型防火墻產(chǎn)產(chǎn)品。這種結(jié)結(jié)合通常是以下下兩種方案：：1、屏蔽主機(jī)機(jī)防火墻體系系結(jié)構(gòu)：在該該結(jié)構(gòu)中，分分組過濾路由由器或防火墻墻與Internet相連，同時一一個堡壘機(jī)安安裝在內(nèi)部網(wǎng)網(wǎng)絡(luò)，通過在在分組過濾路路由器或防火火墻上過濾規(guī)規(guī)則的設(shè)置，，使堡壘機(jī)成成為Internet上其它節(jié)點所所能到達(dá)的唯唯一節(jié)點，這這確保了內(nèi)部部網(wǎng)絡(luò)不受未未授權(quán)外部用用戶的攻擊。。2、屏蔽子網(wǎng)防防火墻體系結(jié)結(jié)構(gòu)：堡壘機(jī)機(jī)放在一個子子網(wǎng)內(nèi)，形成成非軍事化區(qū)區(qū)，兩個分組組過濾路由器器放在這一子子網(wǎng)的兩端，，使這一子網(wǎng)網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分分離。在屏蔽蔽子網(wǎng)防火墻墻體系結(jié)構(gòu)中中，堡壘主機(jī)機(jī)和分組過濾濾路由器共同同構(gòu)成了整個個防火墻的安安全基礎(chǔ)。5.4.4復(fù)合型防火墻墻瑞星個人防火火墻的“智能能云安全”系系統(tǒng)，可自動動收集、分析析、處理，完完美阻截木馬馬攻擊、黑客客入侵及網(wǎng)絡(luò)絡(luò)詐騙，為用用戶上網(wǎng)提供供智能化的整整體上網(wǎng)安全全解決方案。。5.5防火墻的應(yīng)用用5.5.1瑞星個人防火火墻的應(yīng)用1）CCProxy代理服務(wù)器的的應(yīng)用。5.5.2代理服務(wù)器的的應(yīng)用2）Winproxy代理服務(wù)器的的設(shè)置5.6防火墻產(chǎn)品5.6.1防火墻的主要要參數(shù)防火墻的主要參數(shù)硬件參數(shù)并發(fā)連接數(shù)吞吐量安全過濾帶寬5.6.2選購防火墻的的注意事項故障轉(zhuǎn)移監(jiān)測和報告內(nèi)容過濾可以提供網(wǎng)關(guān)服務(wù)關(guān)注無線網(wǎng)絡(luò)安全技術(shù)支持可靠功能選擇符合實際支持VPN易用性好值得信賴注意事項5.7回到工作場景景網(wǎng)絡(luò)管理員通通過使用邊界界的Cisco路由器內(nèi)置的的一些防火墻墻功能，配置置定時ACL，實現(xiàn)了公司司的要求。設(shè)設(shè)置方法如下下：Router（config）#time-rangeweekdaysRouter（config-time-range）#periodweekdays9:00to12:00Router（config）#time-rangeweekdaysRouter（config-time-range）#periodweekdays13:00to17:00其中：time-range可以使用periodic定義一個周期期，也可以使使用absolute定義一個時間間段。5.8.1訓(xùn)練實例5.8工作實訓(xùn)營1）利用ACL過濾特定的報報文2）利用ACL應(yīng)對網(wǎng)絡(luò)攻擊擊3）利用ACL阻止不必要的的服務(wù)5.8.2工作實踐常見見問題解析1）怎么樣關(guān)閉閉防火墻2）Win7自帶的防火墻墻如何設(shè)置3）從低到高Windows7防火墻覆蓋所所有用戶第6章防火墻墻技術(shù)6.1工作場景導(dǎo)導(dǎo)入6.2WindowsServer2008概述6.3WindowsServer2008的安全模型型6.4WindowsServer2008的賬號管理理6.5WindowsServer2008的注冊表6.6WindowsServer2008常用的系統(tǒng)統(tǒng)進(jìn)程和服服務(wù)6.7WindowsServer2008系統(tǒng)的安全全模板6.8回到工作場場景6.9工作實訓(xùn)營營在WindowsServer2008系統(tǒng)下完成成如下功能能：限制使用迅迅雷進(jìn)行惡惡意下載；；利用WindowsServer2008系統(tǒng)新增加加的高級安安全防火墻墻功能，來來控制他人人在本人電電腦上的迅迅雷惡意下下載行為禁止普通用用戶隨意上上網(wǎng)訪問6.1工作場景導(dǎo)導(dǎo)入6.2.1WindowsServer2008的新特性6.2WindowsServer2008概述安裝過程更更加友好；；服務(wù)器管理理控制臺的的功能得到到進(jìn)一步加加強虛擬化新增網(wǎng)絡(luò)訪訪問保護(hù)（（NAP）系統(tǒng)，大大大加強了了網(wǎng)絡(luò)啊的的安全性和和穩(wěn)定性高級防火墻墻防火墻讓讓系統(tǒng)安全全性大幅提提升獨創(chuàng)只讀域域控制器引導(dǎo)6.2.2WindowsServer2008的安裝與登登錄選擇輸入方方式安裝選擇版本閱讀軟件許許可條款自定義安裝裝配置磁盤創(chuàng)建并完成成分區(qū)自動安裝創(chuàng)建密碼完成安裝進(jìn)入桌面6.2.3WindowsServer2008的內(nèi)存管理理內(nèi)存管理觀察內(nèi)存使用狀態(tài)防止內(nèi)存不足增加虛擬內(nèi)存安裝更多RAM6.3.1WindowsServer2008的安全策略略6.3WindowsServer2008的安全模型型安全策略威脅和漏洞減少技術(shù)安全配置評估與管理技術(shù)身份認(rèn)證和訪問控制6.3.2WindowsServer2008的高級安全全防火墻管理員可通通過【服務(wù)器管理理器】中的【添加角色】向?qū)?，手工工添加NPS服務(wù)，如圖圖6.23所示。進(jìn)而而在DHCP服務(wù)中進(jìn)行行相應(yīng)設(shè)置置。6.3.3WindowsServer2008的網(wǎng)絡(luò)訪問問控制策略略6.4.1WindowsServer2008的空白賬號號控制6.4WindowsServer2008的賬號管理理在可信任的的內(nèi)網(wǎng)工作作環(huán)境中，，網(wǎng)絡(luò)管理理員為了能能夠提高控控制效率，，總喜歡使使用空白密密碼的賬戶戶對內(nèi)網(wǎng)中中的重要計計算機(jī)系統(tǒng)統(tǒng)進(jìn)行控制制和管理操操作。而WindowsServer2008禁止使用空空白密碼對對系統(tǒng)進(jìn)行行控制。必須對組策策略參數(shù)進(jìn)進(jìn)行合適設(shè)設(shè)置，才能能實現(xiàn)空白白賬號控制制。為了保護(hù)本本地所有用用戶賬號信信息的安全全，我們可可以直接使使用WindowsServer2008系統(tǒng)自帶的的賬號備份份功能，來來定期對本本地系統(tǒng)中中的所有用用戶賬號信信息執(zhí)行智智能備份操操作。6.4.2智能備份本本地所有賬賬戶在【本地組策略略編輯器】的【計算機(jī)配置置】之【管理模板】正進(jìn)行設(shè)置。6.4.3賬戶安全策策略Internet網(wǎng)絡(luò)中的一一些病毒或或木馬，常常常會暗地地里在WindowsServer2008系統(tǒng)統(tǒng)中中創(chuàng)創(chuàng)建建惡惡意意賬賬戶戶，，日日后后通通過過惡惡意意賬賬戶戶就就能能對對本本地地計計算算機(jī)機(jī)系系統(tǒng)統(tǒng)實實施施非非法法攻攻擊擊了了。。6.4.4即時時監(jiān)監(jiān)控控賬賬號號創(chuàng)創(chuàng)建建狀狀態(tài)態(tài)我們們可可以以利利用用WindowsServer2008系統(tǒng)統(tǒng)新新增增加加的的附附加加任任務(wù)務(wù)計計劃劃功功能能，，第第一一時時間間知知道道WindowsServer2008系統(tǒng)統(tǒng)中中有有新新的的用用戶戶賬賬號號，，并并對對用用戶戶賬賬號號的的創(chuàng)創(chuàng)建建事事件件進(jìn)進(jìn)行行即即時時監(jiān)監(jiān)控控報報警警。。6.5.1注冊冊表表的的由由來來6.5WindowsServer2008的注注冊冊表表注冊冊表表（（Registry）是是MicrosoftWindows中的的一一個個重重要要的的數(shù)數(shù)據(jù)據(jù)庫庫，，用用于于存存儲儲系系統(tǒng)統(tǒng)和和應(yīng)應(yīng)用用程程序序的的設(shè)設(shè)置置信信息息。。Windows注冊冊表表是是幫幫助助Windows操作作系系統(tǒng)統(tǒng)控控制制軟軟件件、、硬硬件件、、用用戶戶環(huán)環(huán)境境和和界界面面的的數(shù)數(shù)據(jù)據(jù)信信息息，，是是Windows中的的一一個個重重要要的的數(shù)數(shù)據(jù)據(jù)庫庫。。hkey：主主鍵鍵或或根根鍵鍵；；key：鍵鍵；；subkey：子子鍵鍵；；branch：分分支支；；valueentry:值項項；；reg_sz:字符符串串；；reg_binary:二進(jìn)進(jìn)制制；；reg_dword:雙字字；；default：缺缺省省字字。。6.5.2注冊冊表表的的相相關(guān)關(guān)術(shù)術(shù)語語HKEY_CLASSER_ROOT6.5.3注冊冊表表的的基基本本信信息息HKEY_USERHKEY_CURRENT_USERHKEY_LOCAL_MACHINEHKEY_CURRENT_CONFINGURATION注冊冊表表的的備備份份6.5.4注冊冊表表的的備備份份與與恢恢復(fù)復(fù)注冊冊表表的的恢恢復(fù)復(fù)登陸陸計計算算機(jī)機(jī)時時而而無無須須按按Ctrl+Alt+Del；6.5.5注冊冊表表的的應(yīng)應(yīng)用用讓W(xué)indowsServer2008啟動動后后直直接接進(jìn)進(jìn)入入系系統(tǒng)統(tǒng)，，而而無無需需輸輸入入用用戶戶密密碼碼6.5.5注冊冊表表的的應(yīng)應(yīng)用用安裝裝桌桌面面體體驗驗6.5.5注冊冊表表的的應(yīng)應(yīng)用用在WindowsServer2008中的的資資源源管管理理器器中中查查看看和和編編輯輯用用戶戶的的控控制制權(quán)權(quán)限限。。6.5.6注冊冊表表的的權(quán)權(quán)限限6.5.6注冊冊表表優(yōu)優(yōu)化化注冊表優(yōu)化提高系統(tǒng)關(guān)機(jī)速度自動釋放DLL占用的內(nèi)存6.6.1進(jìn)程程6.6WindowsServer2008的常常用用的的系系統(tǒng)統(tǒng)進(jìn)進(jìn)程程和和服服務(wù)務(wù)進(jìn)程程是是指指在在系系統(tǒng)統(tǒng)中中正正在在運運行行的的一一個個應(yīng)應(yīng)用用程程序序；；線程程是系系統(tǒng)統(tǒng)分分配配處處理理器器時時間間資資源源的的基本本單單元元，或或者者說說進(jìn)進(jìn)程程之之內(nèi)內(nèi)獨獨立立執(zhí)執(zhí)行行的的一一個個單單元元。。對對于于操操作作系系統(tǒng)統(tǒng)而而言言，，其其調(diào)調(diào)度度單單元元是是線線程程。。一一個個進(jìn)進(jìn)程程至至少少包包括括一一個個線線程程，，通通常常將將該該線線程程稱稱為為主線線程程。csrss.exe：子子系統(tǒng)統(tǒng)服服務(wù)務(wù)器進(jìn)進(jìn)程程。。dllhost.exe：用用于于管管理理DLL應(yīng)用用。。dwm.exe：桌桌面面窗窗口口管管理理器器跟跟桌桌面面有有關(guān)關(guān)的的。。Explorer.exe：資源源管管理理器器。lsass.exe：本本地地安安全全權(quán)權(quán)限限服服務(wù)務(wù)。。lsm.exe：本本地地會會話話管管理理器器服服務(wù)務(wù)。。msdtc.exe：分分布布式式傳傳輸輸協(xié)協(xié)調(diào)調(diào)程程序序。。services.exe：用用于于管管理理啟啟動動和和停停止止服服務(wù)務(wù)。。slsvc.exe：軟軟件件授授權(quán)權(quán)技技術(shù)術(shù)。。smss.exe：會會話話管管理理子子系系統(tǒng)統(tǒng)。。spoolsv.exe：管管理理所所有有本本地地和和網(wǎng)網(wǎng)絡(luò)絡(luò)打打印印隊隊列列及及控控制制所所有有打打印印工工作作。。svchost.exe：從從動動態(tài)態(tài)鏈鏈接接庫庫（（DLL）中中運運行行的的服服務(wù)務(wù)。。taskeng.exe：任任務(wù)務(wù)計計劃劃程程序序引引擎擎。。6.6.2WindowsServer2008常用用的的系系統(tǒng)統(tǒng)進(jìn)進(jìn)程程結(jié)束束進(jìn)進(jìn)程程6.6.3進(jìn)程程管管理理打開開進(jìn)進(jìn)程程位位置置6.6.4WindowsServer2008的系系統(tǒng)統(tǒng)服服務(wù)務(wù)日日志志依次次單單擊擊【開始始】→→【【程序序】→→【【管理理工工具具】→→【【服務(wù)務(wù)器器管管理理器器】命令令，，從從其其后后出出現(xiàn)現(xiàn)的的服服務(wù)務(wù)器器管管理理器器窗窗口口左左側(cè)側(cè)位位置置處處，，用用鼠鼠標(biāo)標(biāo)單單擊擊【診斷】→【事件查看看器】→【應(yīng)用程序序和服務(wù)務(wù)日志】。進(jìn)行相相應(yīng)操作作。WindowsServer2008系統(tǒng)預(yù)定定義了幾幾個安全全模板以以幫助加加強系統(tǒng)統(tǒng)安全：：6.7.1安全模板板概述6.7WindowsServer2008系統(tǒng)的安安全模板板Compatws.inf：提供基基本的安安全策略略；Hisecws.inf：提供高高安全的的客戶端端策略模模板；Rootsec.inf：確保系系統(tǒng)根的的安全；；Secure.inf：定義了了可能影影響應(yīng)用用程序兼兼容性安安全設(shè)置置；Setupsecurity.inf：重新應(yīng)應(yīng)用默認(rèn)認(rèn)設(shè)置。。6.7.2安全配置置和分析析設(shè)置賬戶策略賬戶鎖定策略設(shè)置本地策略新的安全全模板經(jīng)經(jīng)過配置置后，就就可以應(yīng)應(yīng)用了，，我們必必須通過過使用【安全配置置和分析析】管理單元元來應(yīng)用用安全模模板設(shè)置置。6.7.3安全模板板的使用用6.8回到工作作場景在局域網(wǎng)網(wǎng)內(nèi)限制制使用迅迅雷進(jìn)行行惡意下下載限制他人人在本人人計算機(jī)機(jī)上使用用迅雷惡惡意下載載禁止普通通用戶隨隨意訪問問拒絕網(wǎng)絡(luò)絡(luò)病毒藏藏于臨時時文件6.9工作實訓(xùn)訓(xùn)營6.9.1訓(xùn)練實例例斷開遠(yuǎn)程程連接恢恢復(fù)系統(tǒng)統(tǒng)狀態(tài)如何取消消關(guān)機(jī)時時出現(xiàn)的的關(guān)機(jī)理理由選擇擇項？6.9.2工作實踐踐常見問問題解析析7.1工作場景景導(dǎo)入7.2Web的安全性性概述7.3Web服務(wù)器的的安全性性7.4腳本語言言的安全全性7.5Web瀏覽器的的安全性性第7章Web的安全性性7.6回到工作作場景7.7工作實訓(xùn)訓(xùn)營在瀏覽網(wǎng)網(wǎng)頁時，，單擊想想要瀏覽覽的網(wǎng)頁頁鏈接，，系統(tǒng)突突然彈出出一個或或多個莫莫名其妙妙的網(wǎng)頁頁，而且且大多是是游戲網(wǎng)網(wǎng)頁和不不健康的的網(wǎng)頁，，當(dāng)你單單擊關(guān)閉閉該網(wǎng)頁頁時，彈彈出一個個窗口，，提示““MicrosoftInternetExplore遇到問題題需要關(guān)關(guān)閉……”，若點擊擊“發(fā)送送錯誤報報告”按按鈕則會會導(dǎo)致當(dāng)當(dāng)前的IE窗口關(guān)閉閉，如點點不發(fā)送送則關(guān)閉閉了所有有的IE窗口，或或者只能能打開網(wǎng)網(wǎng)站的首首頁，點點擊其中中的任何何鏈接時時都無法法打開，，即使用用右鍵中中“在新新的窗口口中打開開”也不不行。這便是““瀏覽器器劫持（（BrowserHijack）”——故意誤導(dǎo)導(dǎo)瀏覽器器行進(jìn)路路線。瀏覽器劫持是指指控制網(wǎng)頁瀏覽覽器（IE等）的一一種惡意意程序，通過瀏覽器插插件、BHO（瀏覽器器輔助對對象）、、WinsockLSP等形式對對用戶的的瀏覽器器進(jìn)行篡篡改，使使用戶的的瀏覽器器配置不不正常，，被強行行引導(dǎo)到到商業(yè)網(wǎng)網(wǎng)站。引導(dǎo)問題題：如何何檢測我我們的IE是否已被被感染，，若被感感染，如如何解決決。7.1工作場景景導(dǎo)入7.2.1Internet的脆弱性性7.2Web的安全性性概述主要體現(xiàn)現(xiàn)在下列列幾個方方面:黑客入侵侵：或竊竊取機(jī)密密數(shù)據(jù)和和盜用特特權(quán)，或或破壞重重要數(shù)據(jù)據(jù)，或使使系統(tǒng)功功能得不不到充分分發(fā)揮直直至癱瘓瘓。TCP/IP通信協(xié)議議：TCP/IP通信協(xié)議議缺乏使使傳輸過過程中的的信息不不被竊取取的安全全措施；；Unix操作：Unix操作中明明顯存在在的安全全脆弱性性問題會會直接影影響安全全服務(wù)；；電子信息息：在計計算機(jī)上上存儲、、傳輸和和處理電電子信息息，存在在安全隱隱患；電子郵件件：存在在著被拆拆、誤投投和偽造造的可能能性，使使用電子子郵件傳傳輸重要要的機(jī)密密信息存存在著很很大的危危險。計算機(jī)病病毒：通通過Internet傳播，給給用戶帶帶來極大大的危害害，也給給安全防防范帶來來困難。。7.2.2Web的安全問問題服務(wù)器向公眾提供了不應(yīng)該提供的服務(wù)，導(dǎo)致存在安全隱患。服務(wù)器把本應(yīng)私有的數(shù)據(jù)放到了公開訪問的區(qū)域，導(dǎo)致敏感信息泄露。服務(wù)器信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)，導(dǎo)致受到攻擊。7.3.1Web服務(wù)器的的作用7.3Web服務(wù)器的的安全性性7.3.2Web服務(wù)器存存在的漏漏洞CGI漏洞條件競爭SQL注入拒絕服務(wù)緩沖區(qū)溢出執(zhí)行任意命令目錄遍歷物理路徑泄露存在的漏洞7.3.3IIS安全I(xiàn)IS（InternetInformationServer）即互聯(lián)聯(lián)網(wǎng)信息息服務(wù)，，是由微軟公司司提供的基基于運行行MicrosoftWindows的互聯(lián)網(wǎng)基本服務(wù)務(wù)。因其其方便性性和易用用性，成成為最受受歡迎的的Web服務(wù)器軟軟件之一一。通過正確確的安裝裝和合理理的設(shè)置置，還是是可以很很好的保保證II