《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)與實(shí)踐案例》-單元三 實(shí)現(xiàn)校園網(wǎng)互通

單元五構(gòu)建網(wǎng)絡(luò)安全網(wǎng)絡(luò)技術(shù)基礎(chǔ)學(xué)習(xí)目標(biāo)知識(shí)目標(biāo)1.熟悉常見的網(wǎng)絡(luò)攻擊類型。2.掌握網(wǎng)絡(luò)攻擊的步驟。3.掌握典型計(jì)算機(jī)病毒的基本原理和查殺方法。4.掌握加密和解密的應(yīng)用。5.掌握包過濾防火墻的工作原理及應(yīng)用。1.熟練使用端口掃描工具掃描端口，發(fā)先潛在漏洞。2.熟練使用殺毒軟件,查殺各類典型的計(jì)算機(jī)病毒。3.掌握加密和解密的應(yīng)用場景，并使用加密技術(shù)傳輸文件。4.掌握包過濾防火墻安全規(guī)則。技能目標(biāo)1.具備分析問題和解決問題的能力。2.具備溝通與團(tuán)隊(duì)的協(xié)作能力。3.具備網(wǎng)絡(luò)安全管理能力。素養(yǎng)目標(biāo)學(xué)習(xí)任務(wù)任務(wù)1網(wǎng)絡(luò)信息收集任務(wù)2使用殺毒軟件查殺病毒任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全任務(wù)1網(wǎng)絡(luò)信息收集任務(wù)目標(biāo)任務(wù)場景任務(wù)環(huán)境任務(wù)實(shí)施相關(guān)知識(shí)任務(wù)1網(wǎng)絡(luò)信息收集

小張使用kali設(shè)備中的nmap工具，針對(duì)同一網(wǎng)段內(nèi)的設(shè)備進(jìn)行端口掃描，查看主機(jī)端口開啟情況及潛在漏洞信息。模擬網(wǎng)絡(luò)拓?fù)淙鐖D5-1所示。任務(wù)目標(biāo)任務(wù)場景

為了確保校園內(nèi)終端設(shè)備的安全性，需要使用網(wǎng)絡(luò)信息掃描工具針對(duì)設(shè)備進(jìn)行掃描，查看端口開啟情況，從端口信息確認(rèn)所開啟的應(yīng)用信息以及潛在漏洞情況。校園網(wǎng)信息中心主任安排張同學(xué)先在模擬環(huán)境下熟悉工具測試，為后續(xù)實(shí)操測試終端設(shè)備上的安全使用奠定堅(jiān)實(shí)的基礎(chǔ)。任務(wù)環(huán)境1.熟悉常見的網(wǎng)絡(luò)攻擊類型，掌握網(wǎng)絡(luò)攻擊的步驟。2.使用端口掃描工具掃描端口，發(fā)現(xiàn)網(wǎng)絡(luò)潛在漏洞。圖5-1任務(wù)1網(wǎng)絡(luò)信息收集相關(guān)知識(shí)1.網(wǎng)絡(luò)安全2.網(wǎng)絡(luò)攻擊3.信息掃描技術(shù)1.網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)安全是涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合學(xué)科，包括網(wǎng)絡(luò)管理、數(shù)據(jù)安全等很多方面。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的因素或惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)能連續(xù)可靠地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。任務(wù)1網(wǎng)絡(luò)信息收集相關(guān)知識(shí)

1）網(wǎng)絡(luò)安全的基本要素

網(wǎng)絡(luò)安全包含5個(gè)基本要素，即保密性、完整性、可用性、可控性與不可否認(rèn)性，5要素之間的關(guān)系如圖5-13所示。圖5-132）網(wǎng)絡(luò)安全研究的主要問題任務(wù)1網(wǎng)絡(luò)信息收集相關(guān)知識(shí)網(wǎng)絡(luò)安全研究的主要問題包括物理安全、邏輯安全、操作系統(tǒng)安全和網(wǎng)絡(luò)傳輸安全。物理安全防盜防火防靜電防雷擊防電磁泄漏邏輯安全限制登錄的次數(shù)，對(duì)試探操作加上時(shí)間限制把重要的文檔、程序和文件加密限制存取非本用戶自己的文件，除非得到明確的授權(quán)跟蹤可疑的、未授權(quán)的存取企圖操作系統(tǒng)安全系統(tǒng)本身的漏洞內(nèi)部和外部用戶的安全威脅信協(xié)議本身的安全性病毒感染網(wǎng)絡(luò)傳輸安全訪問控制服務(wù)通信安全服務(wù)1.網(wǎng)絡(luò)安全3）網(wǎng)絡(luò)安全常見防范技術(shù)任務(wù)1網(wǎng)絡(luò)信息收集相關(guān)知識(shí)（1）數(shù)據(jù)加密技術(shù)

對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行加密是保障信息安全最基本、最核心的技術(shù)。信息加密是現(xiàn)代密碼學(xué)的核心內(nèi)容，其過程由形形色色的加密算法來實(shí)現(xiàn)，它以很小的代價(jià)提供很大的安全保護(hù)。在多數(shù)情況下，信息加密是保證信息機(jī)密性的唯一方法。（2）信息確認(rèn)技術(shù)

信息確認(rèn)技術(shù)通過嚴(yán)格限定信息的共享范圍來達(dá)到防止信息被非法偽造、篡改和假冒的目的。一個(gè)安全的信息確認(rèn)方案應(yīng)該能保障信息接收者驗(yàn)證他收到的消息是否真實(shí)；發(fā)信者無法抵賴自己發(fā)出的消息；除合法發(fā)信者外，別人無法偽造消息；發(fā)生爭執(zhí)時(shí)可由第三方仲裁。（3）防火墻技術(shù)

盡管近年來各種網(wǎng)絡(luò)安全技術(shù)不斷涌現(xiàn)，但到目前為止防火墻仍是網(wǎng)絡(luò)系統(tǒng)安全保護(hù)中最常用的技術(shù)。防火墻系統(tǒng)是一種網(wǎng)絡(luò)安全部件，它可以是硬件，也可以是軟件，也可以是硬件和軟件的結(jié)合。這種安全部件處于被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)的邊界，接收進(jìn)出被保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)流，并根據(jù)防火墻所配置的訪問控制策略進(jìn)行過濾或做出其他操作。防火墻系統(tǒng)不僅能夠保護(hù)網(wǎng)絡(luò)資源不受外部的入侵，而且還能夠攔截從被保護(hù)網(wǎng)絡(luò)向外傳送有價(jià)值的信息。防火墻系統(tǒng)可以用于內(nèi)部網(wǎng)絡(luò)與Internet之間的隔離，也可用于內(nèi)部網(wǎng)絡(luò)不同網(wǎng)段的隔離，后者通常稱為Intranet防火墻。1.網(wǎng)絡(luò)安全3）網(wǎng)絡(luò)安全常見防范技術(shù)任務(wù)1網(wǎng)絡(luò)信息收集相關(guān)知識(shí)（4）網(wǎng)絡(luò)安全掃描技術(shù)

網(wǎng)絡(luò)安全掃描技術(shù)是指為使系統(tǒng)管理員能夠及時(shí)了解系統(tǒng)中存在的安全漏洞，并采取相應(yīng)防范措施，從而降低系統(tǒng)安全風(fēng)險(xiǎn)而發(fā)展起來的一種安全技術(shù)。（5）網(wǎng)絡(luò)入侵檢測技術(shù)

網(wǎng)絡(luò)入侵檢測技術(shù)也叫網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控技術(shù)，它通過硬件或軟件對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)流進(jìn)行實(shí)時(shí)檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫進(jìn)行比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶所定義的動(dòng)作做出反應(yīng)，如切斷網(wǎng)絡(luò)連接，或通知防火墻系統(tǒng)對(duì)訪問控制策略進(jìn)行調(diào)整，將入侵的數(shù)據(jù)包過濾掉等。（6）黑客誘騙技術(shù)

黑客誘騙技術(shù)是近期發(fā)展起來的一種網(wǎng)絡(luò)安全技術(shù)，通過由網(wǎng)絡(luò)安全專家精心設(shè)置的特殊系統(tǒng)來引誘黑客，并對(duì)黑客進(jìn)行跟蹤和記錄。這種黑客誘騙系統(tǒng)通常也稱為蜜罐(Honeypot)系統(tǒng)，最重要的功能是一種特殊設(shè)置，用來對(duì)系統(tǒng)中所有操作進(jìn)行監(jiān)視和記錄。網(wǎng)絡(luò)安全專家通過精心的偽裝使得黑客在進(jìn)入到目標(biāo)系統(tǒng)后，仍不知曉自己所有的行為已處于系統(tǒng)的監(jiān)視之中。1.網(wǎng)絡(luò)安全1）網(wǎng)絡(luò)攻擊的主要方式任務(wù)1網(wǎng)絡(luò)信息收集相關(guān)知識(shí)

為了獲取訪問權(quán)限，或者修改、破壞數(shù)據(jù)等，攻擊者會(huì)綜合利用多種攻擊方式達(dá)到其目的。常見的攻擊方式主要有以下幾種：

（1）獲取口令

（5）通過一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)

（2）放置特洛伊木馬程序

（6）SQL注入攻擊

（3）WWW欺騙技術(shù)

（7）數(shù)據(jù)庫入侵攻擊

（4）電子郵件攻擊

（8）跨站攻擊2.網(wǎng)絡(luò)攻擊

計(jì)算機(jī)網(wǎng)絡(luò)攻擊是指網(wǎng)絡(luò)攻擊者利用網(wǎng)絡(luò)通信協(xié)議自身存在的缺陷、用戶使用的操作系統(tǒng)內(nèi)在缺陷或用戶使用的程序語言本身所具有的安全隱患，通過使用網(wǎng)絡(luò)命令或者專門的軟件非法進(jìn)入本地或遠(yuǎn)程用戶主機(jī)系統(tǒng)，獲得、修改、刪除用戶系統(tǒng)的信息以及在用戶系統(tǒng)上插入有害信息，降低、破壞網(wǎng)絡(luò)使用性能等一系列活動(dòng)的總稱。2）網(wǎng)絡(luò)攻擊步驟任務(wù)1網(wǎng)絡(luò)信息收集相關(guān)知識(shí)（1）信息收集，包括踩點(diǎn)、掃描和查點(diǎn)，主要內(nèi)容是確定攻擊目標(biāo)，收集被攻擊對(duì)象的有關(guān)信息，以及分析其可能存在的漏洞情況。（2）實(shí)施攻擊，包括獲取訪問、提權(quán)以及拒絕服務(wù)等，主要做的內(nèi)容就是根據(jù)信息收集情況進(jìn)行對(duì)應(yīng)的漏洞攻擊，已達(dá)到非授權(quán)進(jìn)入系統(tǒng)，如無法進(jìn)入則可實(shí)施拒絕服務(wù)等攻擊進(jìn)行破壞。（3）后滲透攻擊，包括了盜竊竊取、清除痕跡、建立后門，主要內(nèi)容是竊取到所需要的信息，清除掉進(jìn)入系統(tǒng)的痕跡以及建立穩(wěn)固的后門方便再次入侵系統(tǒng)。2.網(wǎng)絡(luò)攻擊黑客進(jìn)行入侵攻擊步驟包括：1）端口的分類任務(wù)1網(wǎng)絡(luò)信息收集相關(guān)知識(shí)

按端口號(hào)的不同，可將端口分為3大類：（1）公認(rèn)端口（WellKnownPort）（2）注冊(cè)端口（RegisteredPorts)（3）動(dòng)態(tài)或私有端口（Dynamicand/orPrivatePorts）3.信息掃描技術(shù)

端口掃描，顧名思義，就是逐個(gè)對(duì)一段端口或指定的端口進(jìn)行掃描。通過掃描結(jié)果可以知道一臺(tái)計(jì)算機(jī)上都提供了哪些服務(wù)，然后就可以通過所提供的這些服務(wù)的己知漏洞就可進(jìn)行攻擊。其原理是當(dāng)一個(gè)主機(jī)向遠(yuǎn)端一個(gè)服務(wù)器的某一個(gè)端口提出建立一個(gè)連接的請(qǐng)求，如果對(duì)方有此項(xiàng)服務(wù)，就會(huì)應(yīng)答，如果對(duì)方未安裝此項(xiàng)服務(wù)時(shí)，即使你向相應(yīng)的端口發(fā)出請(qǐng)求，對(duì)方仍無應(yīng)答，利用這個(gè)原理，如果對(duì)所有熟知端口或自己選定的某個(gè)范圍內(nèi)的熟知端口分別建立連接，并記錄下遠(yuǎn)端服務(wù)器所給予的應(yīng)答，通過查看一記錄就可以知道目標(biāo)服務(wù)器上都安裝了哪些服務(wù)，這就是端口掃描。通過端口掃描，就可以搜集到很多關(guān)于目標(biāo)主機(jī)的各種很有參考價(jià)值的信息。例如，對(duì)方是否提供FTP服務(wù)、WWW服務(wù)或其它服務(wù)。端口號(hào)端口說明攻擊技巧21/22/69ftp/tftp：文件傳輸協(xié)議爆破、嗅探、溢出、后門22ssh：遠(yuǎn)程連接爆破23telnet：遠(yuǎn)程連接爆破、嗅探25smtp：郵件服務(wù)郵件偽造53DNS：域名系統(tǒng)DNS區(qū)域傳輸DNS劫持DNS緩存投毒DNS欺騙深度利用：利用DNS隧道技術(shù)刺透防火墻表5-1任務(wù)1網(wǎng)絡(luò)信息收集相關(guān)知識(shí)端口號(hào)端口說明攻擊技巧67/68dhcp劫持、欺騙110pop3爆破139samba爆破、未授權(quán)訪問、遠(yuǎn)程代碼執(zhí)行143imap爆破161snmp爆破389ldap注入攻擊、未授權(quán)訪問512/513/514linuxr直接使用rlogin873rsync未授權(quán)訪問1080socket爆破：進(jìn)行內(nèi)網(wǎng)滲透1352lotus爆破：弱口令信息泄漏：源代碼1433mssql爆破：使用系統(tǒng)用戶登錄、注入攻擊1521oracle爆破：TNS、注入攻擊2049nfs配置不當(dāng)2181zookeeper未授權(quán)訪問3306mysql爆破、拒絕服務(wù)、注入端口號(hào)端口說明攻擊技巧3389rdp爆破、Shift后門4848glassfish爆破：控制臺(tái)弱口令、認(rèn)證繞過5000sybase/DB2爆破、注入5432postgresql緩沖區(qū)溢出、注入攻擊、爆破：弱口令5632pcanywhere拒絕服務(wù)、代碼執(zhí)行5900vnc爆破：弱口令、認(rèn)證繞過6379redis未授權(quán)訪問、爆破：弱口令7001weblogicJava反序列化、控制臺(tái)弱口令、控制臺(tái)部署webshell80/443/8080web常見web攻擊、控制臺(tái)爆破、對(duì)應(yīng)服務(wù)器版本漏洞8069zabbix遠(yuǎn)程命令執(zhí)行9090websphere控制臺(tái)爆破：控制臺(tái)弱口令、Java反序列9200/9300elasticsearch遠(yuǎn)程代碼執(zhí)行11211memcacache未授權(quán)訪問27017mongodb爆破、未授權(quán)訪問續(xù)表5-12）Nmap掃描工具任務(wù)1網(wǎng)絡(luò)信息收集相關(guān)知識(shí)3.信息掃描技術(shù) Nmap是一個(gè)網(wǎng)絡(luò)探測和安全掃描程序，系統(tǒng)管理者和個(gè)人可以使用這個(gè)軟件掃描大型的網(wǎng)絡(luò)，獲取那臺(tái)主機(jī)正在運(yùn)行以及提供什么服務(wù)等信息。Nmap的掃描方式有以下3種：

（1）全連接掃描，通過TCP的三次握手來進(jìn)行端口連接，防火墻能有效攔截，故很少使用（同時(shí)產(chǎn)生大量日志，很少使用）。

（2）半鏈接掃描，使用了TCP三次握手中的前兩次，發(fā)送SYN請(qǐng)求報(bào)文，如果目標(biāo)回復(fù)SYN/ACK，則表示端口開放；此時(shí)，掃描機(jī)器向目標(biāo)機(jī)器發(fā)送RST/ACK數(shù)據(jù)，如果沒有數(shù)據(jù)包回復(fù)則表示端口關(guān)閉（這種方法不產(chǎn)生日志，隱蔽性好）。

（3）秘密掃描，發(fā)送FIN，如果返回RST，則表示端口關(guān)閉，如果沒有數(shù)據(jù)包返回則表示端口開放。Nmap的使用方式為：nmap[<掃描類型>...][<選項(xiàng)>]{<掃描目標(biāo)說明>}，其具使用用法如表5-2所示。表5-2掃描類型說明用法-sS/sT/sA/sW/sM使用TCPSYN/Connect()/ACK/Window/Maimonscans的方式來對(duì)目標(biāo)主機(jī)進(jìn)行掃描如nmap-sStargethost-sU使用UDP包進(jìn)行掃描Nmap-sU<targetIP>-sN/sF/sX指定使用TCPNull,FIN,andXmasscans秘密掃描方式來協(xié)助探測對(duì)方的TCP端口狀態(tài)如Nmap-sF<targetIP>-p<端口范圍>掃描指定的端口Nmap-p1-100<targetIP>-sV指定讓Nmap進(jìn)行版本偵測nmap-sV<targetIP>………任務(wù)1網(wǎng)絡(luò)信息收集任務(wù)實(shí)施1.搭建網(wǎng)絡(luò)環(huán)境。1）打開kali機(jī)器以及虛擬的終端設(shè)備win7主機(jī)，并確保兩臺(tái)機(jī)器在VMware中都是NAT方式通信，雙方可以ping通。點(diǎn)擊VMware中虛擬機(jī)→設(shè)置，點(diǎn)擊網(wǎng)絡(luò)適配器選項(xiàng)，選擇“NAT模式”，勾選“已連接”，然后點(diǎn)確定，如圖5-2所示。圖5-2任務(wù)1網(wǎng)絡(luò)信息收集任務(wù)實(shí)施1.搭建網(wǎng)絡(luò)環(huán)境。2）在kali機(jī)器中打開終端，使用命令ifconfig查詢本機(jī)IP地址，如圖5-3所示。圖5-3任務(wù)1網(wǎng)絡(luò)信息收集任務(wù)實(shí)施2.掃描網(wǎng)絡(luò)，收集網(wǎng)絡(luò)信息。1）使用nmap-sn-n/24來掃描整個(gè)網(wǎng)段，確認(rèn)網(wǎng)段內(nèi)存活主機(jī)數(shù)。當(dāng)顯示為“hostisup”，表示這臺(tái)終端是存活主機(jī)，如圖5-4所示。圖5-4任務(wù)1網(wǎng)絡(luò)信息收集任務(wù)實(shí)施2.掃描網(wǎng)絡(luò)，收集網(wǎng)絡(luò)信息。2）在kali里面打開Wireshark抓包軟件。如圖5-5所示。圖5-5任務(wù)1網(wǎng)絡(luò)信息收集任務(wù)實(shí)施2.掃描網(wǎng)絡(luò)，收集網(wǎng)絡(luò)信息。3）在抓包軟件的篩選器中輸入ip.dst==41，確定掃描目標(biāo)為win7主機(jī)，并查看在掃描過程中會(huì)出現(xiàn)哪種回包，如圖5-6所示。圖5-6任務(wù)1網(wǎng)絡(luò)信息收集任務(wù)實(shí)施2.掃描網(wǎng)絡(luò)，收集網(wǎng)絡(luò)信息。4）使用命令nmap-sT41查看終端結(jié)果以及回包情況，確認(rèn)掃描的方式為TCPconnect（）掃描，kali主機(jī)向win7所有端口發(fā)送TCP請(qǐng)求連接，如果win7端口回復(fù)ack連接的話，則表示該端口開啟，如果無回復(fù)，則該端口關(guān)閉。Kali掃描結(jié)果如圖5-7所示，Wireshark抓包結(jié)果如5-8所示。圖5-7圖5-8任務(wù)1網(wǎng)絡(luò)信息收集任務(wù)實(shí)施2.掃描網(wǎng)絡(luò)，收集網(wǎng)絡(luò)信息。5）使用命令nmap-sS41查看終端結(jié)果以及回包情況，確認(rèn)掃描的方式為TCPSYN掃描，kali主機(jī)向win7主機(jī)的所有端口請(qǐng)求連接，如果win7有回應(yīng)，則kali主機(jī)向?qū)Ψ桨l(fā)送RST包，使對(duì)方端口復(fù)位；如果沒有進(jìn)行真正的連接，則表示該端口開啟；如果沒有回包則表示該端口關(guān)閉。掃描結(jié)果如圖5-9所示，Wireshark抓包結(jié)果如圖5-10所示。圖5-9圖5-10任務(wù)1網(wǎng)絡(luò)信息收集任務(wù)實(shí)施2.掃描網(wǎng)絡(luò)，收集網(wǎng)絡(luò)信息。6）使用命令nmap-sU41查看終端結(jié)果以及回包情況，確認(rèn)掃描的方式為UDP掃描，kali向win7所有端口請(qǐng)求連接，如果win7端口回應(yīng)端口不可達(dá)則表示該端口關(guān)閉，否則該端口開啟。掃描結(jié)果如圖5-11所示，Wireshark抓包結(jié)果如圖5-12所示。圖5-11圖5-12任務(wù)2使用殺毒軟件查殺病毒任務(wù)目標(biāo)任務(wù)場景任務(wù)環(huán)境任務(wù)實(shí)施相關(guān)知識(shí)任務(wù)2使用殺毒軟件查殺病毒實(shí)訓(xùn)中心網(wǎng)絡(luò)環(huán)境如圖5-14所示，IP地址規(guī)劃表如表5-2所示。小張同學(xué)首先關(guān)閉網(wǎng)絡(luò)，并安裝360病毒軟件查殺病毒。任務(wù)目標(biāo)任務(wù)場景學(xué)院的實(shí)訓(xùn)中心的電腦內(nèi)存經(jīng)常過載，并伴有電腦死機(jī)現(xiàn)象。信息中心李老師認(rèn)為可能是電腦設(shè)備中了計(jì)算機(jī)病毒，并安排小張同學(xué)協(xié)助機(jī)房管理員解決問題。任務(wù)環(huán)境1.理解計(jì)算機(jī)病毒的基本原理。2.掌握典型計(jì)算機(jī)病毒的特征和查殺方法。終端設(shè)備IP地址默認(rèn)網(wǎng)關(guān)MAC地址PC1/245454-89-98-9F-31-A7PC2/245454-89-98-57-4A-41PC3/245454-89-98-72-4E-D5PC4/245454-89-98-59-5E-07表5-3圖5-14相關(guān)知識(shí)1.計(jì)算機(jī)病毒的概念2.計(jì)算機(jī)病毒的特征3.計(jì)算機(jī)病毒的發(fā)展歷程4.計(jì)算機(jī)病毒的防治任務(wù)2使用殺毒軟件查殺病毒1. 計(jì)算機(jī)病毒的概念任務(wù)2使用殺毒軟件查殺病毒相關(guān)知識(shí)

一般來說，凡是能夠引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序或指令集合統(tǒng)稱計(jì)算機(jī)病毒（ComputerVirus）。 1994年2月18日，我國正式頒布實(shí)施了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，在《條例》第二十八條中明確指出：“計(jì)算機(jī)病毒，指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。2. 計(jì)算機(jī)病毒的特征

計(jì)算機(jī)病毒是人為編制的一組程序或指令集合。這段程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，就會(huì)對(duì)計(jì)算機(jī)的某些資源進(jìn)行破壞，并搜尋其他符合條件的程序或存儲(chǔ)介質(zhì)，達(dá)到自我繁殖的目的。計(jì)算機(jī)病毒具有以下一些特征。1）傳染性2）破壞性3）潛伏性及可觸發(fā)性4）非授權(quán)性5）隱藏性6）不可預(yù)見性3.計(jì)算機(jī)病毒的發(fā)展歷程任務(wù)2使用殺毒軟件查殺病毒相關(guān)知識(shí)

在病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的。一般情況下，一種新的病毒技術(shù)出現(xiàn)后，迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會(huì)抑制其流傳。操作系統(tǒng)進(jìn)行升級(jí)時(shí)，病毒也會(huì)調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)。計(jì)算機(jī)病毒的發(fā)展過程可劃分未以下幾個(gè)階段。1）DOS引導(dǎo)階段2）DOS可執(zhí)行階段3）伴隨階段4）多型階段5）生成器、變體機(jī)階段6）網(wǎng)絡(luò)、蠕蟲病毒階段7）視窗階段8）宏病毒階段9）郵件病毒階段10）手持移動(dòng)設(shè)備病毒階段4.計(jì)算機(jī)病毒的防治任務(wù)2使用殺毒軟件查殺病毒相關(guān)知識(shí)

眾所周知，對(duì)于一個(gè)計(jì)算機(jī)系統(tǒng)，要知道其有無感染病毒，首先要進(jìn)行檢測，然后才是防治。具體檢測方法不外乎兩種：自動(dòng)檢測和人工檢測。

自動(dòng)檢測是由成熟的檢測軟件（殺毒軟件）來自動(dòng)工作，無需多少人工干擾，但是由于現(xiàn)在新病毒出現(xiàn)快、變種多，有時(shí)候沒及時(shí)更新病毒庫，所以，需要自己能夠根據(jù)計(jì)算機(jī)出現(xiàn)的異常情況進(jìn)行檢測，即人工檢測的方法。感染病毒的計(jì)算機(jī)系統(tǒng)內(nèi)部會(huì)發(fā)生某些變化，并在一定的條件下表現(xiàn)出來，因而可以通過直接觀察來判斷系統(tǒng)是否感染病毒。計(jì)算機(jī)病毒引起的異?，F(xiàn)象有：運(yùn)行速度緩慢，CPU使用率異常高查找可疑進(jìn)程藍(lán)屏瀏覽器出現(xiàn)異常應(yīng)用程序圖標(biāo)被篡改或空白計(jì)算機(jī)防病毒防治主要包括以下4中方法：1）特征代碼法2）校驗(yàn)和法3）行為檢測法4）虛擬機(jī)技術(shù)任務(wù)2使用殺毒軟件查殺病毒任務(wù)實(shí)施1.搭建網(wǎng)絡(luò)環(huán)境1）啟動(dòng)虛擬機(jī)，安裝WIN10系統(tǒng)，并按照IP規(guī)劃表設(shè)置IP地址，保證主機(jī)間相互通信。2）將虛擬機(jī)設(shè)置虛擬機(jī)為斷網(wǎng)狀態(tài)，不和其他任何設(shè)備通信，如圖5-15所示。圖5-15任務(wù)2使用殺毒軟件查殺病毒任務(wù)實(shí)施2.使用360殺毒軟件查殺病毒1）在主機(jī)PC1解壓運(yùn)行第一個(gè)病毒“彩虹貓病毒”，主機(jī)出現(xiàn)藍(lán)屏（如圖5-16所示），重啟主機(jī)后無法進(jìn)入Windows10系統(tǒng)，屏幕出現(xiàn)一只跳動(dòng)的彩虹貓，如圖5-17所示。圖5-16圖5-17任務(wù)2使用殺毒軟件查殺病毒任務(wù)實(shí)施2.使用360殺毒軟件查殺病毒2）在主機(jī)PC2解壓運(yùn)行“WindowsXPHorror病毒”，該病毒偽裝成windowsXP系統(tǒng)升級(jí)的樣子，運(yùn)行后會(huì)發(fā)送很多惡意圖片，重啟也無法去除，如圖5-13所示。圖5-13任務(wù)2使用殺毒軟件查殺病毒任務(wù)實(shí)施2.使用360殺毒軟件查殺病毒3）在主機(jī)PC3解壓運(yùn)行“滑稽病毒”，病毒啟動(dòng)后將會(huì)修改電腦桌面，如圖5-14所示。圖5-14任務(wù)2使用殺毒軟件查殺病毒任務(wù)實(shí)施2.使用360殺毒軟件查殺病毒4）安裝360病毒庫，安裝完之后使用全盤掃描，看是否可以發(fā)現(xiàn)電腦中的壓縮文件病毒，結(jié)果如圖所示5-15。圖5-15任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)目標(biāo)任務(wù)場景任務(wù)環(huán)境任務(wù)實(shí)施相關(guān)知識(shí)任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全學(xué)院保密室的網(wǎng)絡(luò)環(huán)境如圖5-16所示，IP地址規(guī)劃表如表5-4所示。任務(wù)目標(biāo)任務(wù)場景學(xué)院保密室需要構(gòu)建一個(gè)加密系統(tǒng)，對(duì)網(wǎng)絡(luò)傳輸?shù)奈募M(jìn)行加密。信息中心主任安排張工帶領(lǐng)小張同學(xué)完成這個(gè)任務(wù)。經(jīng)過需求分析，張工決定使用PGP軟件來構(gòu)造加密系統(tǒng)，完成文件的加密傳輸。任務(wù)環(huán)境1.使用PGP軟件構(gòu)建加密系統(tǒng)。2.掌握對(duì)稱與非對(duì)稱機(jī)密方法的應(yīng)用。終端設(shè)備IP地址默認(rèn)網(wǎng)關(guān)MAC地址PC1/245454-89-98-9F-31-A9PC2/245454-89-98-57-4A-42PC3/245454-89-98-72-4E-D7PC4/245454-89-98-59-5E-09表5-4圖5-16相關(guān)知識(shí)1.密碼學(xué)2.古典加密技術(shù)任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全1. 密碼學(xué)任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全相關(guān)知識(shí)

密碼學(xué)的基本思想是偽裝信息，使未授權(quán)的人無法理解其含義。所謂偽裝就是將計(jì)算機(jī)的信息進(jìn)行一組可逆的數(shù)字變換的過程。1）密碼學(xué)相關(guān)概念（1）加密（Encryption）。加密將計(jì)算機(jī)中的信息進(jìn)行一組可逆的數(shù)字變換的過程。用于加密的這一組數(shù)字變換稱為加密算法。（2）明文（Plaittext）。信息的原始形式，即加密前的原始信息。（3）密文（Ciphertext）。明文經(jīng)過了加密后就變成了密文。（4）解密（Decryption）。授權(quán)的接收者接收到密文之后，進(jìn)行與加密互逆的變換，去掉密文的偽裝，恢復(fù)明文的過程，就稱為解密。用于解密的一組數(shù)學(xué)變換稱為解密算法。

加密和解密是兩個(gè)相反的數(shù)學(xué)變換過程，都是用一定的算法實(shí)現(xiàn)的。為了有效地控制這種數(shù)學(xué)交換，需要一組參與交換的參數(shù)。這種在變換過程中，通信雙方掌握的專門的信息就稱為密鑰。加密過程是在加密密鑰的參與下進(jìn)行的；同樣，解密過程是在解密密鑰的參與下完成的。1. 密碼學(xué)任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全相關(guān)知識(shí)2）密碼學(xué)發(fā)展的3個(gè)階段（1）古典密碼學(xué)階段

（2）現(xiàn)代密碼學(xué)階段

（3）公鑰密碼學(xué)階段3）密碼學(xué)與信息安全的關(guān)系

信息安全的5和基本要素（保密性、完整性、可用性、可控性、不可否認(rèn)性），而數(shù)據(jù)加密技術(shù)正是保證信息安全基本要素的一個(gè)非常重要的手段。可以說，沒有密碼學(xué)就沒有信息安全，所以密碼學(xué)是信息安全的一個(gè)核心。這里簡單地說明密碼學(xué)是如何保證信息安全的基本要素的。（1）信息的保密性（2）信息的完整性（3）信息的抗抵賴性2.古典加密技術(shù)任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全相關(guān)知識(shí)古典密碼學(xué)主要采用對(duì)明文字符的替換和換位兩種技術(shù)來實(shí)現(xiàn)的。這些加密技術(shù)的算法比較簡單，其保密性主要取決于算法的保密性。1）替換密碼技術(shù)在替換密碼技術(shù)中，用一組密文字母來替代明文字母，以達(dá)到隱藏明文的目的。最典型的替換密碼技術(shù)是公元前50年左右羅馬皇帝朱利葉·凱撒發(fā)明的一種用于戰(zhàn)時(shí)秘密通信的方法——“凱撒密碼”。這種密碼技術(shù)將字母按字母表的順序排列，并將最后一個(gè)字母和第一個(gè)字母相連起來構(gòu)成一個(gè)字母序列，明文中的每個(gè)字母用該序列中在其后面的第3個(gè)字母來代替，構(gòu)成密文。也就是說，密文字母相對(duì)明文字母循環(huán)右移了3位，所以這種密碼也稱為“循環(huán)移位密碼”。2）換位密碼技術(shù)與上面講的替換密碼技術(shù)相比，換位密碼技術(shù)并沒有替換明文中的字母，而是通過改變明文字母的排列次序來達(dá)到加密的目的。最常用的換位密碼是列換位密碼。3.公開密鑰算法及其應(yīng)用任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全相關(guān)知識(shí)據(jù)不完全統(tǒng)計(jì)，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達(dá)數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為對(duì)稱密碼體制和公鑰密碼體制，下面分別介紹這兩種技術(shù)。1）對(duì)稱密碼體制（1）對(duì)稱密碼體制的含義

對(duì)稱密碼體制是一種傳統(tǒng)密碼體制，也稱為私鑰密碼體制。在對(duì)稱加密系統(tǒng)中，加密和解密采用相同的密鑰。因?yàn)榧咏饷苊荑€相同，需要通信的雙方必須選擇和保存他們共同的密鑰，各方必須信任對(duì)方不會(huì)將密鑰泄密出去，才可以實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性和完整性。對(duì)稱密碼體制的加解密原理如圖5-33所示。圖5-333.公開密鑰算法及其應(yīng)用任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全相關(guān)知識(shí)1）對(duì)稱密碼體制（2）常見的對(duì)稱密碼算法DES(DataEncryptionStandard數(shù)據(jù)加密標(biāo)準(zhǔn))算法及其變形TripleDES(三重DES、GDES(廣義DES)、歐洲的IDEA和日本的FEALN、RC5等是目前常見的幾種對(duì)稱加密算法。DES標(biāo)準(zhǔn)由美國國家標(biāo)準(zhǔn)局提出，主要應(yīng)用于銀行業(yè)的電子資金轉(zhuǎn)帳(ElectronicFunelsTransfer，EFT)領(lǐng)域，其密鑰長度為56b；TripleDES使用兩個(gè)獨(dú)立的56b密鑰對(duì)所要交換的信息進(jìn)行3次加密，從而使其有效長度達(dá)到112b；RC2和RC4方法是RSA數(shù)據(jù)安全公司的對(duì)稱加密專利算法，它們采用可變的密鑰長度，通過規(guī)定不同的密鑰長度，提高或降低安全的程度。（3）對(duì)稱密碼算法的優(yōu)缺點(diǎn)對(duì)稱密碼算法的優(yōu)點(diǎn)是系統(tǒng)開銷小，算法簡單，加密速度快，適合加密大量數(shù)據(jù)，是目前用于信息加密的主要算法。盡管對(duì)稱密碼術(shù)有一些很好的特性，但它也存在著明顯的缺陷，例如進(jìn)行安全通信前需要以安全方式進(jìn)行密鑰交換。這一步驟在某種情況下是可行的，但在某些情況下會(huì)非常困難，甚至無法實(shí)現(xiàn)。例如，某一貿(mào)易方有數(shù)個(gè)貿(mào)易關(guān)系，他就要維護(hù)數(shù)個(gè)專用密鑰，也沒法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方，因?yàn)橘Q(mào)易雙方的密鑰相同。另外，由于對(duì)稱加密系統(tǒng)僅能用于對(duì)數(shù)據(jù)進(jìn)行加解密處理，僅提供數(shù)據(jù)的機(jī)密性，不能用于數(shù)字簽名。因而人們迫切需要尋找新的密碼體制。3.公開密鑰算法及其應(yīng)用任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全相關(guān)知識(shí)2）公鑰密碼體制含義

公鑰密碼體制的發(fā)現(xiàn)是密碼學(xué)發(fā)展史上的一次革命。從古老的手工密碼到機(jī)電式密碼直至運(yùn)用計(jì)算機(jī)的現(xiàn)代對(duì)稱密碼，對(duì)稱密碼系統(tǒng)雖然越來越復(fù)雜，但都建立在基本的替代和置換工具的基礎(chǔ)上，而公鑰密碼體制的編碼系統(tǒng)基于數(shù)學(xué)中的單向陷門函數(shù)。更重要的是，公鑰密碼體制采用了兩個(gè)不同的密鑰，這對(duì)在公開的網(wǎng)絡(luò)上進(jìn)行保密通信、密鑰分配、數(shù)字簽名和認(rèn)證有著深遠(yuǎn)的影響。公鑰密碼體制的加解密原理如圖5-34所示。圖5-34（1）常見的公鑰加密算法（2）公鑰加密算法的優(yōu)缺點(diǎn)任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)實(shí)施1.PGP的安裝1）雙擊軟件，選擇英語語言，然后點(diǎn)“OK”按鈕，進(jìn)入下一步選擇接受聲明協(xié)議，如圖5-17所示。圖5-172）選擇不展示安裝細(xì)節(jié)，如圖5-17所示，然后點(diǎn)擊“Next”按鈕。安裝過程中電腦會(huì)重新啟動(dòng)。圖5-18任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)實(shí)施1.PGP的安裝3）電腦重啟之后，持續(xù)點(diǎn)擊“Next”按鈕直到“LicensingAssistant:EnterLicense”界面，選擇“usewithoutalicenseanddisablemostfunctionality”，然后點(diǎn)擊“Next”按鈕，如圖5-19所示。圖5-19任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)實(shí)施1.PGP的安裝4）持續(xù)點(diǎn)擊“Next”按鈕，直達(dá)到“userType”界面，選擇“Iamanewuser”，然后“Next”按鈕，如圖5-20所示。圖5-20任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)實(shí)施1.PGP的安裝5）持續(xù)“Next”按鈕，到“KeySetup”界面，輸入密鑰test_1，如圖5-21所示。圖5-21任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)實(shí)施1.PGP的安裝6）設(shè)置加密密鑰密碼（如圖5-22）后，持續(xù)點(diǎn)擊“Next”按鈕直到安裝完成。圖5-22注：本密碼為私鑰。任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)實(shí)施2.PGP的使用1）使用PGP軟件創(chuàng)建公鑰（1）啟用PGP軟件，在軟件面板上點(diǎn)擊“file→newkey”，持續(xù)“Next”按鈕，直到出現(xiàn)“KeySetup”界面，輸入密鑰，完成密鑰創(chuàng)建。如圖5-23所示。圖5-23任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)實(shí)施2.PGP的使用1）使用PGP軟件創(chuàng)建公鑰（2）創(chuàng)建密鑰test_1、test_2，如圖5-24所示圖5-24任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)實(shí)施2.PGP的使用1）使用PGP軟件創(chuàng)建公鑰（3）選擇密鑰，右鍵“export”導(dǎo)出密鑰test_1和test_2，如圖5-25所示。導(dǎo)出的密鑰如圖所示。圖5-25任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)實(shí)施2.PGP的使用1）使用PGP軟件創(chuàng)建公鑰（4）假設(shè)test_2是接收方發(fā)過來的公鑰，此時(shí)要給對(duì)方發(fā)送信息，則可以使用對(duì)方公鑰進(jìn)行加密再發(fā)送，則其他人截獲到信息，因沒有私鑰，也無法獲取信息內(nèi)容，如圖5-26所示，先導(dǎo)入密鑰test_2。圖5-26任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)實(shí)施2.PGP的使用1）使用PGP軟件創(chuàng)建公鑰（5）將需要加密的內(nèi)容進(jìn)行復(fù)制到記事本軟件，然后點(diǎn)擊電腦桌面右下PGP軟件圖標(biāo)，右鍵選擇“Clipboard”，再點(diǎn)擊“Encrypt”進(jìn)行加密，如圖5-27所示。此時(shí)如果出現(xiàn)“SymantecError”提示，表示沒有復(fù)制到內(nèi)容，如果出現(xiàn)“KeySelectionDialog”提示則表示可進(jìn)行加密設(shè)置，此時(shí)可以用公鑰test_2來進(jìn)行加密，如圖5-28所示。圖5-27圖5-28任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)實(shí)施2.PGP的使用1）使用PGP軟件創(chuàng)建公鑰（6）加密完成之后的內(nèi)容如圖5-29所示。圖5-29任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)實(shí)施2.PGP的使用1）使用PGP軟件創(chuàng)建公鑰（6）加密完成之后的內(nèi)容如圖5-29所示。圖5-29任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)實(shí)施2.PGP的使用1）使用PGP軟件創(chuàng)建公鑰（7）文件使用私鑰進(jìn)行解密。點(diǎn)擊PGP軟件圖標(biāo)，右鍵選擇“Clipboard”，再點(diǎn)擊“Dencrypt&Verify”進(jìn)行解密，解密內(nèi)容在“TextViewer”上顯示出來，如圖5-30所示圖5-30任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)實(shí)施2.PGP的使用1）使用PGP軟件創(chuàng)建公鑰（8）相應(yīng)的也可以針對(duì)文件進(jìn)行加密。選中文件，右鍵選擇“SymantecEncryptionDesktop”，定位到“Secure‘加密文件’withkey...（如圖5-31），單擊按鈕進(jìn)入“AddUserKeys”對(duì)話框，如圖5-32所示。圖5-31任務(wù)3使用加密技術(shù)構(gòu)建數(shù)據(jù)安全任務(wù)實(shí)施2.PGP的使用1）使用PGP軟件創(chuàng)建公鑰（9）選擇對(duì)方公鑰test_2（如圖5-32）進(jìn)行加密，加密后出現(xiàn)后綴為.pgp的文件。圖5-32任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全任務(wù)目標(biāo)任務(wù)場景任務(wù)環(huán)境任務(wù)實(shí)施相關(guān)知識(shí)任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全小張選用兩臺(tái)電腦設(shè)備和一臺(tái)華為防火墻（USG6000V）搭建網(wǎng)絡(luò)環(huán)境，其中一臺(tái)電腦為內(nèi)網(wǎng)主機(jī)，另一臺(tái)電腦為外網(wǎng)主機(jī)，內(nèi)網(wǎng)設(shè)備的網(wǎng)絡(luò)地址為/24，內(nèi)網(wǎng)IP地的主機(jī)位是1、10、100、200的IP地址不可以訪問外網(wǎng)，其他IP地址均可訪問外網(wǎng)，IP地址規(guī)劃表如表5-4所示，網(wǎng)絡(luò)拓?fù)淙鐖D5-35所示。任務(wù)目標(biāo)任務(wù)場景為了確保校園網(wǎng)安全，學(xué)校信息中心準(zhǔn)備購買華為防火墻，限制部分網(wǎng)段或者一個(gè)網(wǎng)段的部分主機(jī)不能訪問外網(wǎng)。校園網(wǎng)信息中心主任安排小張同學(xué)在模擬環(huán)境下完成測試，為今后設(shè)防火墻上線運(yùn)行奠定堅(jiān)實(shí)的基礎(chǔ)。任務(wù)環(huán)境1.掌握防火墻的工作原理。2.掌握包過濾防火墻的工作原理及應(yīng)用。設(shè)備接口安全區(qū)域IP地址子網(wǎng)掩碼防火墻GE1/0/1Trust54GE1/0/2Untrust54PC1E0/0/0TrustPC2E0/0/0Untrust表5-4圖5-35相關(guān)知識(shí)1.防火墻技術(shù)2.華為防火墻介紹及配置任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全1.防火墻技術(shù)任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全相關(guān)知識(shí)

古時(shí)候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢蔓延到別的寓所。在網(wǎng)絡(luò)中，防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。

從專業(yè)角度講，防火墻是設(shè)置在可信任的企業(yè)內(nèi)部和不可信任的公共網(wǎng)或網(wǎng)絡(luò)安全域質(zhì)檢的一系列部件的組合，是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用安全技術(shù)。防火墻是目前網(wǎng)絡(luò)安全領(lǐng)域認(rèn)可度最高、應(yīng)用范圍最廣的網(wǎng)絡(luò)安全技術(shù)。

“防火墻的目的是在內(nèi)部、外部兩個(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制”（參見國標(biāo)GB/T18019-1999）。1.防火墻技術(shù)任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全相關(guān)知識(shí)

1）防火墻的功能

在邏輯上，防火墻是分離器，也是限制器，更是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。典型的防火墻包括3個(gè)的基本功能。（1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻防火墻安裝在信任網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)）和非信任網(wǎng)絡(luò)（外部網(wǎng)絡(luò)）之間，通過防火墻可以隔離非信任網(wǎng)絡(luò)（一般指的是Internet）與信任網(wǎng)絡(luò)（一般指的是內(nèi)部局域網(wǎng)）的連接，同時(shí)不會(huì)妨礙人們對(duì)非信任網(wǎng)絡(luò)的訪問。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻是防火墻所處網(wǎng)絡(luò)位置的特性，同時(shí)也是一個(gè)前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受侵害。典型的防護(hù)墻體系結(jié)構(gòu)圖如圖5-37所示。圖5-371.防火墻技術(shù)任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全相關(guān)知識(shí)（2）只有符合安全策略的數(shù)據(jù)流才能通過防火墻

防火墻最基本的功能是根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)流量快速地從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上。（3）防火墻自身具有非常強(qiáng)的抗攻擊能力

防火墻自身具有非常強(qiáng)的抗攻擊能力，是擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，就像一個(gè)邊界衛(wèi)士一樣，每時(shí)每刻都要面對(duì)黑客的入侵，這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。簡單而言，防火墻是位于一個(gè)或多個(gè)安全的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行網(wǎng)絡(luò)訪問控制的網(wǎng)絡(luò)設(shè)備。防火墻的目的是防止不期望的或未授權(quán)的用戶和主機(jī)訪問內(nèi)部網(wǎng)絡(luò)，確保內(nèi)部網(wǎng)正常、安全地運(yùn)行。通俗來說，防火墻決定了哪些內(nèi)部服務(wù)可以被外網(wǎng)訪問，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，而且防火墻本身也必須能夠免于滲透。1.防火墻技術(shù)任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全相關(guān)知識(shí)2）防火墻分類目前，市場上的防火墻產(chǎn)品非常多，劃分的標(biāo)準(zhǔn)很多。大致上，從不同的角度分類如下。（1）按性能分類：百兆防火墻，千兆防火墻和萬兆防火墻（2）按形式分類：軟件防火墻和硬件防火墻（3）按被保護(hù)對(duì)象分類：單擊防護(hù)墻和網(wǎng)絡(luò)防火墻（4）按體系結(jié)構(gòu)分類：雙宿主主機(jī)、被屏蔽主機(jī)、被屏蔽子網(wǎng)體系結(jié)構(gòu)（5）按技術(shù)分類：包過濾防火墻、應(yīng)用代理型防火墻、狀態(tài)檢測防火墻、復(fù)合型防火墻和下一代防火墻（6）按CPU架構(gòu)分類：通用CPU、NP（NetworkProcessor，網(wǎng)絡(luò)處理器）、ASIC（ApplicationSpecificIntegratedCircuit，專用集成電路）和多核架構(gòu)的防火墻。1.防火墻技術(shù)任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全相關(guān)知識(shí)3）防火墻的發(fā)展歷史防火墻的發(fā)展大致可分為5個(gè)階段，如圖5-38所示。圖5-38（1）包過濾防護(hù)墻（2）代理防火墻（3）狀態(tài)檢測防火墻（4）復(fù)合型防火墻（5）下一代防火墻1.防火墻技術(shù)任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全相關(guān)知識(shí)4）防火墻的局限性通常，人們認(rèn)為防火墻可以保護(hù)處于其身后的網(wǎng)絡(luò)不受外界的侵襲和干擾。但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日趨負(fù)責(zé)，傳統(tǒng)防火墻在使用的過程中暴露出以下局限性。（1）防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查，如個(gè)別內(nèi)部網(wǎng)絡(luò)用戶繞過防火墻、撥號(hào)訪問等。（2）防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。（3）防火墻不能防止策略不當(dāng)或錯(cuò)誤配置引起的安全威脅。防火墻是一個(gè)被動(dòng)的安全策略執(zhí)行設(shè)備，就像門衛(wèi)一樣，要根據(jù)政策規(guī)定來執(zhí)行安全，而不能自作主張。（4）防火墻不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊。一旦防火墻準(zhǔn)許某些標(biāo)準(zhǔn)協(xié)議，就不能防止利用該協(xié)議中的缺陷進(jìn)行的攻擊。1.防火墻技術(shù)任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全相關(guān)知識(shí)4）防火墻的局限性（5）防火墻不能防止利用服務(wù)器漏洞所進(jìn)行的攻擊。黑客通過防火墻準(zhǔn)許的訪問端口，對(duì)該服務(wù)器的漏洞進(jìn)行攻擊，防火墻不能防止。（6）防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能。（7）防火墻不能防止可接觸的人為或自然的破壞。防火墻是一種安全設(shè)備，但防火墻本身必須存放在一個(gè)安全的地方。因此，認(rèn)為在Internet入口設(shè)置防火墻系統(tǒng)就足以保護(hù)企業(yè)網(wǎng)絡(luò)安全的想法是不對(duì)的，也正是這些因素引起了人們對(duì)入侵檢測技術(shù)的研究及開發(fā)。入侵防御系統(tǒng)（IntrusionPreventionSystem，IPS）可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)提供實(shí)時(shí)的監(jiān)控，并且在發(fā)現(xiàn)入侵的初期采取響應(yīng)的防護(hù)手段。IPS系統(tǒng)作為必要的附加手段，已經(jīng)為大多數(shù)組織機(jī)構(gòu)的安全架構(gòu)所接受。2.華為防火墻介紹及配置任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全相關(guān)知識(shí)1）華為防火墻的包過濾技術(shù)。當(dāng)前使用的華為防火墻屬于NGFW（下一代防火墻），傳統(tǒng)的包過濾防火墻對(duì)于需要轉(zhuǎn)發(fā)的報(bào)文，會(huì)先獲取報(bào)文頭信息，包括報(bào)文的源IP地址、目的IP地址、IP層所承載的上層協(xié)議的協(xié)議號(hào)、源端口號(hào)和目的端口號(hào)等，然后和預(yù)先設(shè)定的過濾規(guī)則進(jìn)行匹配，并根據(jù)匹配結(jié)果對(duì)報(bào)文采取轉(zhuǎn)發(fā)或丟棄處理。由于傳統(tǒng)包過濾防火墻的轉(zhuǎn)發(fā)機(jī)制是逐包匹配包過濾規(guī)則并檢查，所以轉(zhuǎn)發(fā)效率低下。NGFW防火墻基本使用狀態(tài)檢查機(jī)制，將只對(duì)一個(gè)連接的“首包”進(jìn)行包過濾檢查，如果這個(gè)“首包”可以通過包過濾規(guī)則的檢查，并建立會(huì)話的話，后續(xù)報(bào)文將不再繼續(xù)通過包過濾機(jī)制檢測，而是直接通過會(huì)話表來進(jìn)行轉(zhuǎn)發(fā)。包過濾能夠通過報(bào)文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、上層協(xié)議等信息組合來阻止或允許數(shù)據(jù)包的轉(zhuǎn)發(fā)或者丟棄，其中源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、上層協(xié)議就是我們常說的五元組，也是組成TCP/UDP連接非常重要的五個(gè)元素。2.華為防火墻介紹及配置任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全相關(guān)知識(shí)

2）華為防火墻安全策略安全策略是按一定規(guī)則控制設(shè)備對(duì)流量轉(zhuǎn)發(fā)以及對(duì)流量進(jìn)行內(nèi)容安全一體化的策略，其本質(zhì)是包過濾，主要應(yīng)用于對(duì)跨防火墻的網(wǎng)絡(luò)互訪進(jìn)行控制以及對(duì)設(shè)備本身的控制。針對(duì)防火墻的跨區(qū)域，華為防火墻（USG6000V）有三個(gè)自帶區(qū)域的劃分，分別是trust、untrust和dmz，其中trust一般設(shè)置為保護(hù)區(qū)域，優(yōu)先值為85，其中G0/0/0口自動(dòng)劃分為trust區(qū)域（另外在連接設(shè)備的時(shí)候，G0/0/0不能作為設(shè)備的連接端口，該端口自帶IP地址作為web訪問地址），untrust為外部網(wǎng)絡(luò)，是不信任區(qū)域，優(yōu)先值為5。dmz為軍事化區(qū)域，一般存放服務(wù)器，優(yōu)先值為50。另外可以進(jìn)行設(shè)置其他的安全區(qū)域。安全區(qū)域設(shè)置是根據(jù)端口來確認(rèn)的，只要這個(gè)端口是某區(qū)域，那么所有和這個(gè)端口相連的設(shè)備都是該區(qū)域。新建區(qū)域設(shè)置命令如下：[FW1]firewallzonenameXXX[FW1-zone-XXX]setpriorityn/需要給這個(gè)區(qū)域名稱設(shè)置一個(gè)優(yōu)先值，優(yōu)先值數(shù)值1-99的數(shù)字[FW1-zone-XXX]addinterfaceGigabitEthernet1/0/12.華為防火墻介紹及配置任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全相關(guān)知識(shí)

2）華為防火墻安全策略防火墻安全策略是對(duì)經(jīng)過防火墻的數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)安全訪問的基本手段，決定了后續(xù)的應(yīng)用數(shù)據(jù)流是否被處理，其會(huì)針對(duì)源目安全區(qū)域、源目IP地址、源目端口號(hào)、協(xié)議、源目地區(qū)及用戶、應(yīng)用和時(shí)間段等組合進(jìn)行篩選，其處理原理如圖所示5-39所示。圖5-392.華為防火墻介紹及配置任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全相關(guān)知識(shí)

3）華為防火墻安全策略配置流程華為防火墻的配置流程如圖5-40所示。圖5-40任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全任務(wù)實(shí)施1.配置設(shè)備的IP地址1）根據(jù)IP地址規(guī)劃表，設(shè)置PC2的IP地址信息，并點(diǎn)擊“應(yīng)用”，如圖5-36所示。圖5-36任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全任務(wù)實(shí)施1.配置設(shè)備的IP地址2）按照步驟（1），配置PC1的IP地址。3）配置防火墻IP，配置命令如下：<USG6000V1>system-view[USG6000V1]sysnameFW1[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress5424[FW1-GigabitEthernet1/0/1]quit[FW1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress5424[FW1-GigabitEthernet1/0/2]quit注釋：（1）初次登錄防火墻時(shí)，需要輸入登錄賬號(hào)是admin和登錄密碼是Admin@123。登錄防火墻后，系統(tǒng)提示修改登錄密碼，如設(shè)置新密碼為Huawei@123，再次登錄系統(tǒng)。任務(wù)4使用防火墻構(gòu)建校園網(wǎng)安全任務(wù)實(shí)施2.防火墻規(guī)則配置1）在防火墻上創(chuàng)建“trust”和“untrust