網(wǎng)絡(luò)安全與防范

[教學(xué)內(nèi)容](1)計(jì)算機(jī)病毒的分類、特點(diǎn)、特征和運(yùn)行機(jī)制

(2)反病毒涉及的主要技術(shù)

(3)病毒的檢測和防治技術(shù)

(4)防火墻的基本類型

(5)常見的防火墻配置

(6)網(wǎng)絡(luò)攻擊的分類、手段和防范措施(7)企業(yè)網(wǎng)安全防御技術(shù)

[實(shí)踐內(nèi)容](1)用瑞星2008查殺計(jì)算機(jī)病毒；(2)常用的個(gè)人防火墻進(jìn)行配置；目前一頁\總數(shù)四十二頁\編于九點(diǎn)計(jì)算機(jī)網(wǎng)絡(luò)安全[教學(xué)要求]（1）了解計(jì)算機(jī)病毒的分類、特點(diǎn)、特征和運(yùn)行機(jī)制（2）了解反病毒涉及的主要技術(shù)（3）掌握病毒的檢測和防治技術(shù)（4）理解構(gòu)筑防病毒體系的基本原則（5）掌握防火墻的基本類型（6）熟悉常見的防火墻配置（7）了解網(wǎng)絡(luò)攻擊的分類、手段和防范措施（8）了解企業(yè)網(wǎng)安全防御技術(shù)目前二頁\總數(shù)四十二頁\編于九點(diǎn)本模塊的說明模塊信息說明本模塊名稱計(jì)算機(jī)網(wǎng)絡(luò)安全所屬能力核心應(yīng)用能力模塊地位核心模塊課程必修本模塊的專業(yè)方向網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)工程師、網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師選修本模塊的專業(yè)方向網(wǎng)絡(luò)支持工程師、網(wǎng)絡(luò)產(chǎn)品營銷人員目前三頁\總數(shù)四十二頁\編于九點(diǎn)本次課說明課題名稱計(jì)算機(jī)病毒的防治和防火墻技術(shù)

所屬模塊計(jì)算機(jī)網(wǎng)絡(luò)安全課時(shí)2課時(shí)地位核心知識(shí)單元本次課的教學(xué)目標(biāo)知識(shí)目標(biāo)技能目標(biāo)拓展能力目標(biāo)1、了解計(jì)算機(jī)病毒的特征；2、了解反病毒的主要技術(shù)；3、掌握防火墻的基本類型。1、掌握病毒的檢測和防治技術(shù)；2、熟悉常見的防火墻配置。1、能夠積極主動(dòng)地和老師達(dá)成互動(dòng)；2、討論時(shí)能和其他同學(xué)合適的溝通；3、對(duì)防火墻訪問策略可以大膽創(chuàng)新。目前四頁\總數(shù)四十二頁\編于九點(diǎn)本次課內(nèi)容介紹主要內(nèi)容：了解計(jì)算機(jī)病毒的分類、特點(diǎn)、特征和運(yùn)行機(jī)制了解反病毒涉及的主要技術(shù)掌握病毒的檢測和防治技術(shù)掌握防火墻的基本類型熟悉常見的防火墻配置重點(diǎn)內(nèi)容：病毒的檢測和防治技術(shù)防火墻的基本類型及配置目前五頁\總數(shù)四十二頁\編于九點(diǎn)問題的提出

青職公司市場部小李打開計(jì)算機(jī)準(zhǔn)備處理昨天銷售部門報(bào)上來的數(shù)據(jù)分析表，一開機(jī)就發(fā)現(xiàn)計(jì)算機(jī)無法正常工作，也不能上網(wǎng)。計(jì)算機(jī)中心的小張檢查發(fā)現(xiàn)，硬件沒有問題，應(yīng)該是系統(tǒng)被計(jì)算機(jī)病毒破壞了，導(dǎo)致WindowsXP無法正常啟動(dòng)。小張將重要的數(shù)據(jù)進(jìn)行了備份，重新安裝了WindowsXP，以及正版的殺病毒軟件。小李的計(jì)算機(jī)終于可以正常工作了。那么如何才能防止類似的事情再次發(fā)生呢？

目前六頁\總數(shù)四十二頁\編于九點(diǎn)任務(wù)分析

計(jì)算機(jī)病毒的防治要從防毒、查毒、解毒三方面來進(jìn)行。1）防毒：采取實(shí)時(shí)監(jiān)測預(yù)警等安全措施預(yù)防病毒侵入計(jì)算機(jī)。

2）查毒：對(duì)于內(nèi)存、文件、引導(dǎo)區(qū)（含主引導(dǎo)區(qū)）、網(wǎng)絡(luò)等，能夠發(fā)現(xiàn)和追蹤病毒來源。3）解毒：從感染對(duì)象中清除病毒，恢復(fù)被病毒感染前的原始信息的能力。目前七頁\總數(shù)四十二頁\編于九點(diǎn)9.1防治計(jì)算機(jī)病毒“計(jì)算機(jī)病毒”定義指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。

目前八頁\總數(shù)四十二頁\編于九點(diǎn)計(jì)算機(jī)病毒與殺毒軟件（1）引導(dǎo)型病毒

（2）文件型病毒

（3）復(fù)合型病毒（4）變型病毒（5）宏病毒

（6）網(wǎng)頁病毒（7）“蠕蟲”型病毒（8）木馬病毒

1．計(jì)算機(jī)病毒分類

目前九頁\總數(shù)四十二頁\編于九點(diǎn)2．計(jì)算機(jī)病毒的特征（1）非授權(quán)可執(zhí)行性（2）隱蔽性（3）傳染性：最重要的一個(gè)特征

（4）潛伏性（5）表現(xiàn)性或破壞性6）可觸發(fā)性

目前十頁\總數(shù)四十二頁\編于九點(diǎn)3．計(jì)算機(jī)病毒的傳播通過文件系統(tǒng)傳播；通過電子郵件傳播；通過局域網(wǎng)傳播；通過互聯(lián)網(wǎng)上即時(shí)通訊軟件和點(diǎn)對(duì)點(diǎn)軟件等常用工具傳播；利用系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳播；利用系統(tǒng)配置缺陷傳播，如弱口令、完全共享等；目前十一頁\總數(shù)四十二頁\編于九點(diǎn)計(jì)算機(jī)病毒的傳播過程目前十二頁\總數(shù)四十二頁\編于九點(diǎn)4．如何防治病毒（1）要提高對(duì)計(jì)算機(jī)病毒危害的認(rèn)識(shí)（2）養(yǎng)成備份重要文件等良好使用習(xí)慣（3）大力普及殺毒軟件（4）采取措施防止計(jì)算機(jī)病毒的發(fā)作（5）開啟計(jì)算機(jī)病毒查殺軟件的實(shí)時(shí)監(jiān)測功能（6）加強(qiáng)對(duì)網(wǎng)絡(luò)流量等異常情況的監(jiān)測（7）有規(guī)律的備份系統(tǒng)關(guān)鍵數(shù)據(jù)，建立應(yīng)對(duì)災(zāi)難的數(shù)據(jù)安全策略

目前十三頁\總數(shù)四十二頁\編于九點(diǎn)5．如何選擇計(jì)算機(jī)病毒防治產(chǎn)品具有發(fā)現(xiàn)、隔離并清除病毒功能；具有實(shí)時(shí)報(bào)警（包括文件監(jiān)控、郵件監(jiān)控、網(wǎng)頁腳本監(jiān)控等）功能；多種方式及時(shí)升級(jí)；統(tǒng)一部署防范技術(shù)的管理功能；對(duì)病毒清除徹底，文件修復(fù)完整、可用；產(chǎn)品的誤報(bào)、漏報(bào)率較低；占用系統(tǒng)資源合理，產(chǎn)品適應(yīng)性較好。目前十四頁\總數(shù)四十二頁\編于九點(diǎn)6．常用的防病毒軟件站點(diǎn)或公司名稱網(wǎng)址瑞星公司北京金山軟件有限公司冠群金辰軟件有限公司江民科技卡巴斯基實(shí)驗(yàn)室諾頓公司/zh/cn/norton/index.jsp目前十五頁\總數(shù)四十二頁\編于九點(diǎn)9.1.2應(yīng)對(duì)黑客攻擊黑客（hacker）：通常具有硬件和軟件的高級(jí)知識(shí)，并有能力通過創(chuàng)新的方法剖析系統(tǒng)，以保護(hù)網(wǎng)絡(luò)為目的，以不正當(dāng)侵入為手段找出網(wǎng)絡(luò)漏洞。駭客：

利用網(wǎng)絡(luò)漏洞破壞網(wǎng)絡(luò)的人。1．黑客和黑客技術(shù)

目前十六頁\總數(shù)四十二頁\編于九點(diǎn)2．黑客攻擊的主要方式黑客技術(shù)：發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的缺陷和漏洞，并實(shí)施攻擊的技術(shù)。包括軟件缺陷、硬件缺陷、網(wǎng)絡(luò)協(xié)議缺陷、管理缺陷和人為的失誤。（1）拒絕服務(wù)攻擊：使被攻擊對(duì)象的系統(tǒng)關(guān)鍵資源過載，停止部分或全部服務(wù)。是最基本的入侵攻擊手段，也是最難對(duì)付的入侵攻擊之一。目前十七頁\總數(shù)四十二頁\編于九點(diǎn)2．黑客攻擊的主要方式（2）非授權(quán)訪問嘗試：對(duì)被保護(hù)文件讀、寫或執(zhí)行的嘗試。（3）預(yù)探測攻擊：例如SATAN掃描、端口掃描和IP半途掃描等。（4）可疑活動(dòng)：指網(wǎng)絡(luò)上不希望有的活動(dòng)。（5）協(xié)議解碼（6）系統(tǒng)代理攻擊：針對(duì)單個(gè)主機(jī)目前十八頁\總數(shù)四十二頁\編于九點(diǎn)黑客攻擊的步驟第1步信息收集：獲取目標(biāo)系統(tǒng)的信息，如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、IP地址分配、端口的使用情況等。第2步獲得對(duì)系統(tǒng)的訪問權(quán)限：通過口令猜測、社會(huì)工程、建立后門等攻擊手段，利用系統(tǒng)存在的漏洞來獲得對(duì)系統(tǒng)的訪問權(quán)限。第3步破壞系統(tǒng)或盜取信息

：利用非法獲得的對(duì)系統(tǒng)的訪問權(quán)限，運(yùn)行非法程序。第4步消除入侵痕跡：入侵后盡力消除入侵痕跡，如更改或者刪除系統(tǒng)文件或日志。目前十九頁\總數(shù)四十二頁\編于九點(diǎn)流氓軟件與瑞星的碎甲技術(shù)“流氓軟件”同時(shí)具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開后門），介于病毒和正規(guī)軟件之間。（1）廣告軟件

（2）間諜軟件：安裝“后門程序”；（3）瀏覽器劫持：對(duì)瀏覽器篡改；（4）行為記錄軟件：竊取并分析隱私數(shù)據(jù)，記錄使用習(xí)慣；（5）惡意共享軟件：指某些共享軟件強(qiáng)迫用戶注冊(cè)、捆綁各類惡意插件。1．流氓軟件的分類

目前二十頁\總數(shù)四十二頁\編于九點(diǎn)流氓軟件與瑞星的碎甲技術(shù)Rootkits最早是一組用于UNIX操作系統(tǒng)的工具集，黑客使用它們隱藏入侵活動(dòng)的痕跡。

Rootkits主要分為兩大類：一種是進(jìn)程注入式Rootkits，另一種是驅(qū)動(dòng)級(jí)Rootkits。進(jìn)程注入式Rootkits可以通過使用殺毒軟件的開機(jī)掃描功能輕松清除。驅(qū)動(dòng)級(jí)的Rootkits通過在Windows啟動(dòng)時(shí)加載Rootkits驅(qū)動(dòng)程序，獲取對(duì)Windows的控制權(quán)。2．什么是Rootkits?

目前二十一頁\總數(shù)四十二頁\編于九點(diǎn)瑞星的碎甲技術(shù)瑞星“碎甲”技術(shù)通過對(duì)Windows驅(qū)動(dòng)程序加載點(diǎn)進(jìn)行攔截，發(fā)現(xiàn)Rootkits時(shí)自動(dòng)使其保護(hù)功能失效。殺毒軟件存在病毒或流氓軟件？操作系統(tǒng)API查找文件流氓軟件、病毒、木馬找到存在RootKits失效瑞星碎甲技術(shù)目前二十二頁\總數(shù)四十二頁\編于九點(diǎn)9.2防火墻技術(shù)

防火墻是內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸，現(xiàn)代防火墻技術(shù)不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，還有正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。任務(wù)分析目前二十三頁\總數(shù)四十二頁\編于九點(diǎn)防火墻的基本類型

防火墻是在一個(gè)受保護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)間，用來強(qiáng)制執(zhí)行企業(yè)安全策略的一個(gè)或一組系統(tǒng)。防止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源；保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。

目前二十四頁\總數(shù)四十二頁\編于九點(diǎn)防火墻示意圖

目前二十五頁\總數(shù)四十二頁\編于九點(diǎn)1．防火墻的功能（1）過濾不安全服務(wù)和非法用戶，禁止未授權(quán)的用戶訪問受保護(hù)的網(wǎng)絡(luò)。（2）控制對(duì)特殊站點(diǎn)的訪問。

允許受保護(hù)網(wǎng)絡(luò)的一部分主機(jī)如郵件服務(wù)器、FTP服務(wù)器和Web服務(wù)器等被外部網(wǎng)訪問，而另一部分被保護(hù)起來，防止不必要的訪問。（3）監(jiān)視網(wǎng)絡(luò)訪問，提供安全預(yù)警。目前二十六頁\總數(shù)四十二頁\編于九點(diǎn)2.防火墻的分類（1）網(wǎng)絡(luò)級(jí)防火墻--包過濾路由器

（2）電路級(jí)防火墻—電路網(wǎng)關(guān)（3）應(yīng)用級(jí)防火墻—應(yīng)用網(wǎng)關(guān)（4）監(jiān)測型防火墻2．防火墻的基本類型目前二十七頁\總數(shù)四十二頁\編于九點(diǎn)2．防火墻的基本類型防火墻存在軟件和硬件兩種形式。

具備包過濾功能的路由器（或充當(dāng)路由器的計(jì)算機(jī)），通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn)，否則將數(shù)據(jù)拒之門外。優(yōu)點(diǎn)：簡單實(shí)用，實(shí)現(xiàn)成本較低，適合應(yīng)用環(huán)境比較簡單的情況。缺點(diǎn)：不能理解網(wǎng)絡(luò)層以上的高層網(wǎng)絡(luò)協(xié)議，無法識(shí)別基于應(yīng)用層的惡意侵入。（1）包過濾路由器

目前二十八頁\總數(shù)四十二頁\編于九點(diǎn)（1）包過濾路由器

下圖給出了包過濾路由器結(jié)構(gòu)示意圖。目前二十九頁\總數(shù)四十二頁\編于九點(diǎn)（2）電路級(jí)防火墻—電路網(wǎng)關(guān)電路網(wǎng)關(guān)工作在傳輸層。不允許內(nèi)部主機(jī)與外部之間直接進(jìn)行TCP連接，而是建立兩個(gè)TCP連接：一個(gè)在網(wǎng)關(guān)和內(nèi)部主機(jī)上的TCP用戶程序之間，另一個(gè)在網(wǎng)關(guān)和外部主機(jī)的TCP用戶程序之間。通常用于內(nèi)部網(wǎng)絡(luò)對(duì)外部的訪問，與堡壘主機(jī)相配合可設(shè)置成混合網(wǎng)關(guān)，對(duì)于向內(nèi)的連接支持應(yīng)用層服務(wù)，而對(duì)于向外的連接支持傳輸層功能。目前三十頁\總數(shù)四十二頁\編于九點(diǎn)（3）應(yīng)用級(jí)防火墻—應(yīng)用網(wǎng)關(guān)應(yīng)用網(wǎng)關(guān)工作應(yīng)用層，通常指運(yùn)行代理服務(wù)器軟件的一臺(tái)計(jì)算機(jī)主機(jī)。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間。從客戶機(jī)來看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器。而從服務(wù)器來看，代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。

目前三十一頁\總數(shù)四十二頁\編于九點(diǎn)應(yīng)用網(wǎng)關(guān)的工作模型目前三十二頁\總數(shù)四十二頁\編于九點(diǎn)應(yīng)用代理基本工作原理目前三十三頁\總數(shù)四十二頁\編于九點(diǎn)應(yīng)用網(wǎng)關(guān)優(yōu)缺點(diǎn)缺點(diǎn)：使訪問速度變慢在重負(fù)載下，代理服務(wù)器可能成為網(wǎng)絡(luò)瓶頸。優(yōu)點(diǎn)：代理服務(wù)器擁有高速緩存，能夠節(jié)約時(shí)間和網(wǎng)絡(luò)資源外部網(wǎng)絡(luò)只能看到代理服務(wù)器，看部到內(nèi)網(wǎng)的具體結(jié)構(gòu)比包過濾更可靠，而且會(huì)詳細(xì)地記錄所有的訪問狀態(tài)信息目前三十四頁\總數(shù)四十二頁\編于九點(diǎn)（4）監(jiān)測型防火墻對(duì)各層的數(shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測，加以分析，判斷出各層中的非法侵入。帶有分布式探測器，安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，能檢測來自網(wǎng)絡(luò)外部的攻擊，同時(shí)防范來自內(nèi)部的惡意破壞。

目前三十五頁\總數(shù)四十二頁\編于九點(diǎn)9.2.2常見的防火墻配置最簡單的防火墻配置就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個(gè)包過濾路由器或者應(yīng)用網(wǎng)關(guān)。將幾種防火墻技術(shù)組合起來構(gòu)建防火墻系統(tǒng)，一般來說有3種最基本的配置。目前三十六頁\總數(shù)四十二頁\編于九點(diǎn)（1）雙宿主機(jī)網(wǎng)關(guān)用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)（又稱保壘主機(jī)）做防火墻，一個(gè)適配器是網(wǎng)卡，與內(nèi)部網(wǎng)相連；另一個(gè)根據(jù)與Internet的連接方式可以是網(wǎng)卡、調(diào)制解調(diào)器或ISDN卡等。外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制。目前三十七頁\總數(shù)四十二頁\編于九點(diǎn)使用一個(gè)包過濾路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，同時(shí)在內(nèi)部網(wǎng)絡(luò)上安裝一個(gè)堡壘主機(jī)，由堡壘主機(jī)開放可允許的連接到外部網(wǎng)。屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。

（2）屏蔽主機(jī)網(wǎng)