信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 教案 項(xiàng)目5 主機(jī)安全防御

教案《信息安全技術(shù)》第頁ADDINCNKISM.UserStyle授課周次與課時(shí)：第5周第17-20課時(shí)累計(jì)20課時(shí)課程名稱：信息安全技術(shù)授課課題：主機(jī)安全防御教學(xué)目標(biāo)：掌握防火墻的定義掌握殺毒軟件的定義學(xué)會(huì)區(qū)分殺毒軟件和防火墻掌握防火墻的分類掌握防火墻的主要功能教學(xué)要點(diǎn)：1.教學(xué)重點(diǎn)：防火墻主要功能2.教學(xué)難點(diǎn)：linux防火墻配置思政目標(biāo)：加強(qiáng)學(xué)生對(duì)網(wǎng)絡(luò)安全宣傳周的認(rèn)識(shí)，網(wǎng)絡(luò)安全為人民；愛國主義，通過學(xué)生對(duì)中國通信網(wǎng)絡(luò)規(guī)模的了解，增強(qiáng)學(xué)生的愛國主義意識(shí)；科技強(qiáng)國，通過學(xué)生對(duì)中國通信網(wǎng)絡(luò)規(guī)模的了解，增強(qiáng)學(xué)生科技強(qiáng)國的精神；課型：理實(shí)一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過程：【課程思政/溫故知新】舉辦網(wǎng)絡(luò)安全宣傳周、提升全民網(wǎng)絡(luò)安全意識(shí)和技能，是國家網(wǎng)絡(luò)安全工作的重要內(nèi)容。國家網(wǎng)絡(luò)安全工作要堅(jiān)持網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民，保障個(gè)人信息安全，維護(hù)公民在網(wǎng)絡(luò)空間的合法權(quán)益。思政主題：科技強(qiáng)國、愛國主義我國信息通信網(wǎng)絡(luò)的跨越式發(fā)展，為數(shù)字經(jīng)濟(jì)發(fā)展提供堅(jiān)實(shí)的平臺(tái)支撐，為中國經(jīng)濟(jì)轉(zhuǎn)型增添新動(dòng)能，隨著高速便利、萬物互聯(lián)的寬帶網(wǎng)絡(luò)迅速發(fā)展，由此催生的新應(yīng)用、新產(chǎn)業(yè)、新業(yè)務(wù)，正在改變每個(gè)人的生活。在這么大的使用量情況下，信息安全的要求也越來越高，防火墻技術(shù)作為個(gè)人用戶的第一道保護(hù)，其重要性越來越高?！拘抡n講授】1防火墻1.1防火墻定義防火墻（Firewall），也稱防護(hù)墻，是由CheckPoint創(chuàng)立者GilShwed于1993年發(fā)明并引入因特網(wǎng)。它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。一項(xiàng)信息安全的防護(hù)系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻是硬件、軟件、控制策略的集合，硬件和軟件是基礎(chǔ)，控制策略是關(guān)鍵，控制策略在表現(xiàn)形式上可分為兩種：一是除非明確禁止，否則允許；二是除非明確允許，否則禁止。1.2 防火墻分類發(fā)展四階段：基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻。從結(jié)構(gòu)上來分，防火墻有兩種：即代理主機(jī)結(jié)構(gòu)和路由器+過濾器結(jié)構(gòu)，后一種為內(nèi)部網(wǎng)絡(luò)過濾器(Filter)路由器(Router)Internet。從原理上來分，防火墻則可以分成4種類型：特殊設(shè)計(jì)的硬件防火墻、數(shù)據(jù)包過濾型、電路層網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)。從形態(tài)上分，防火墻可以分為硬件防火墻和軟件防火墻。從保護(hù)對(duì)象分，防火墻可以分為單機(jī)防火墻和網(wǎng)絡(luò)防火墻。1.3 Windows防火墻常見windows防火墻配置：允許程序或功能通過Windows防火墻：設(shè)置數(shù)據(jù)的通行規(guī)則；更改通知設(shè)置：設(shè)置通知規(guī)則；啟用或關(guān)閉Windows防火墻：防火墻開關(guān)界面；高級(jí)設(shè)置：自定義設(shè)置詳細(xì)的出入站規(guī)則和連接安全規(guī)則；還原默認(rèn)設(shè)置：初始化Windows防火墻；對(duì)網(wǎng)絡(luò)進(jìn)行疑難解答：檢測(cè)網(wǎng)絡(luò)出現(xiàn)的問題；返回防火墻主界面，單擊高級(jí)設(shè)置，進(jìn)行Windows防火墻規(guī)則設(shè)置。1.4 Linux防火墻(1) Iptables簡(jiǎn)介iptables是一個(gè)免費(fèi)的包過濾防火墻，Iptables只是防火墻和用戶之間的接口，真正起到防火墻作用的是Linux內(nèi)核中運(yùn)行的netfilter，Linux下的防火墻是由netfilter和iptables兩個(gè)組件構(gòu)成的，現(xiàn)在的最新版本是3.5版。(2) Iptables結(jié)構(gòu)Iptables的結(jié)構(gòu)：iptables>表>鏈>規(guī)則。簡(jiǎn)單地講，表由鏈組成，而鏈又由規(guī)則組成。(3) Iptables規(guī)則iptables定義規(guī)則的方式比較復(fù)雜:格式：iptables[-ttable]COMMANDchainCRETIRIA-jACTION-ttable：4個(gè)filternatmanglerawCOMMAND：定義如何對(duì)規(guī)則進(jìn)行管理。chain：指定你接下來的規(guī)則到底是在哪個(gè)鏈上操作的，當(dāng)定義策略的時(shí)候，是可以省略的。CRETIRIA:指定匹配標(biāo)準(zhǔn)。-jACTION:指定如何進(jìn)行處理。比如：不允許172.16.0.0/16進(jìn)行訪問。iptables-tfilter-AINPUT-s172.16.0.0/16-pudp--dport53-jDROP(4) Iptables鏈鏈?zhǔn)菙?shù)據(jù)包傳播的路徑，每個(gè)鏈包含有一條或多條規(guī)則。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈后，iptables會(huì)使用這個(gè)鏈中的第一條規(guī)則去匹配該數(shù)據(jù)包，查看該數(shù)據(jù)包是否符合這個(gè)規(guī)則所定義的條件，如果滿足，就根據(jù)該規(guī)則所定義的動(dòng)作去處理該數(shù)據(jù)包，否則就繼續(xù)匹配下一條規(guī)則，如果該數(shù)據(jù)包不符合鏈中的所有規(guī)則，則使用該鏈的默認(rèn)策略處理。iptables包含五條規(guī)則鏈，分別是：PREROUTING(路由前)、NPUT(數(shù)據(jù)包流入口)、FORWARD(轉(zhuǎn)發(fā)關(guān)卡)、OUTPUT(數(shù)據(jù)包出口)、POSTROUTING（路由后）這是NetFilter規(guī)定的五個(gè)規(guī)則鏈，任何一個(gè)數(shù)據(jù)包，只要經(jīng)過本機(jī)，必將經(jīng)過這五個(gè)鏈中的其中一個(gè)鏈。(5) Iptables表表提供特定的功能，iptables包含四個(gè)表：Filter表：數(shù)據(jù)包中允許或者不允許的策略。NAT表：地址轉(zhuǎn)換的功能。Mangle表：修改報(bào)文數(shù)據(jù)Raw表：決定數(shù)據(jù)包是否被狀態(tài)跟蹤機(jī)制處理。表的處理優(yōu)先級(jí)：raw>mangle>nat>filter。對(duì)于filter來講一般只能做在3個(gè)鏈上：INPUT，F(xiàn)ORWARD，OUTPUT。對(duì)于nat來講一般也只能做在3個(gè)鏈上：PREROUTING，OUTPUT，POSTROUTING。而mangle則是5個(gè)鏈都可以做：PREROUTING，INPUT，F(xiàn)ORWARD，OUTPUT，POSTROUTING。(6) Iptables數(shù)據(jù)包傳輸過程2殺毒軟件2.1 殺毒軟件定義殺毒軟件（anti-virussoftware），也叫反病毒軟件或者防毒軟件，是用來消除電腦病毒、惡意軟件和特洛伊木馬等計(jì)算機(jī)威脅的一類軟件。殺毒軟件通常集成監(jiān)控識(shí)別、病毒掃描和清除、自動(dòng)升級(jí)病毒庫、主動(dòng)防御等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能，是計(jì)算機(jī)防御系統(tǒng)（包含殺毒軟件、防火墻、特洛伊木馬和其他惡意軟件的查殺程序和入侵預(yù)防系統(tǒng)等）的重要組成部分。殺毒軟件是一種可以對(duì)病毒、木馬等一切已知的對(duì)計(jì)算機(jī)有危害的程序代碼進(jìn)行清除的程序工具。2.2 殺毒軟件基本功能防范病毒：預(yù)防病毒入侵計(jì)算機(jī)。查找病毒：掃描計(jì)算機(jī)運(yùn)行的程序或文件是否存在病毒，并能夠?qū)Ρ炔《編鞙?zhǔn)確報(bào)出病毒的名稱。清除病毒：根據(jù)不同類型的病毒對(duì)感染對(duì)象的修改，并按其感染特性進(jìn)行恢復(fù)。2.3 殺毒軟件組成殺毒軟件一般由掃描器、病毒庫和虛擬機(jī)組成，并且由主程序?qū)⑺麄兘Y(jié)為一體。掃描器是殺毒軟件的主體，主要用于掃描病毒，一個(gè)殺毒軟件的殺毒效果直接取決于掃描器編譯技術(shù)和算法的先進(jìn)程度。所以，多數(shù)殺毒軟件都不止有一個(gè)掃描器。病毒庫是用來存儲(chǔ)病毒特征碼的，特征碼主要分為內(nèi)存特征碼和文件特征碼。文件特征碼一般要存在于一些未被執(zhí)行的文件里。內(nèi)存特征碼一般存在于已經(jīng)運(yùn)行的應(yīng)用程序。虛擬機(jī)可以使病毒在一個(gè)由殺毒軟件搭建的虛擬環(huán)境中執(zhí)行。2.4 殺毒軟件的關(guān)鍵技術(shù)殺毒軟件的技術(shù)有很多，但關(guān)鍵技術(shù)可以分為以下幾種:(1) 脫殼技術(shù)脫殼技術(shù)是殺毒軟件中常用的技術(shù)，可以對(duì)壓縮文件、加花文件、加殼文件、分裝類文件進(jìn)行分析的技術(shù)。(2) 自我保護(hù)技術(shù)自我保護(hù)技術(shù)基本在各個(gè)殺毒軟件均含有，可以防止病毒結(jié)束殺毒軟件進(jìn)程或篡改殺毒軟件文件。進(jìn)程的自我保護(hù)有兩種：?jiǎn)芜M(jìn)程自我保護(hù)，多進(jìn)程自我保護(hù)。(3) 修復(fù)技術(shù)殺毒軟件在查殺病毒的時(shí)候一般是把被感染的文件直接刪除，這樣就可能出現(xiàn)誤刪一些系統(tǒng)文件，最后導(dǎo)致系統(tǒng)崩潰，無法啟動(dòng)。而殺毒軟件的修復(fù)技術(shù)可以對(duì)損壞的文件進(jìn)行修復(fù)。(4) 實(shí)時(shí)升級(jí)技術(shù)最早由金山毒霸提出，每一次連接互聯(lián)網(wǎng)，反病毒軟件都自動(dòng)連接升級(jí)服務(wù)器查詢升級(jí)信息，如需要?jiǎng)t進(jìn)行升級(jí)。但是目前有更先進(jìn)的云查殺技術(shù)，實(shí)時(shí)訪問云數(shù)據(jù)中心進(jìn)行判斷，用戶無需頻繁升級(jí)病毒庫即可防御最新病毒。(5) 主動(dòng)防御技術(shù)主動(dòng)防御技術(shù)是通過動(dòng)態(tài)仿真反病毒專家系統(tǒng)對(duì)各種程序動(dòng)作的自動(dòng)監(jiān)視，自動(dòng)分析程序動(dòng)作之間的邏輯關(guān)系，綜合應(yīng)用病毒識(shí)別規(guī)則知識(shí)，實(shí)現(xiàn)自動(dòng)判定病毒，達(dá)到主動(dòng)防御的目的。(6) 啟發(fā)技術(shù)常規(guī)所使用的殺毒方法是出現(xiàn)新病毒后由殺毒軟件公司的反病毒專家從病毒樣本中提取病毒特征，通過定期升級(jí)的形式下發(fā)到各用戶電腦里達(dá)到查殺效果，但是這種方法費(fèi)時(shí)費(fèi)力。(7) 虛擬機(jī)技術(shù)采用人工智能（AI）算法，具備“自學(xué)習(xí)、自進(jìn)化”能力，無需頻繁升級(jí)特征庫，就能免疫大部分的加殼和變種病毒，不但查殺能力領(lǐng)先，而且從根本上攻克了前兩代殺毒引擎“不升級(jí)病毒庫就殺不了新病毒”的技術(shù)難題，在海量病毒樣本數(shù)據(jù)中歸納出一套智能算法，自己來發(fā)現(xiàn)和學(xué)習(xí)病毒變化規(guī)律。它無需頻繁更新特征庫、無需分析病毒靜態(tài)特征、無需分析病毒行為。(8) 智能技術(shù)采用人工智能算法，具備“自學(xué)習(xí)、自進(jìn)化”能力，無需頻繁升級(jí)特征庫，就能免疫大部分的變種病毒，查殺效果優(yōu)良，而且一定程度上解決了“不升級(jí)病毒庫就殺不了新病毒”的技術(shù)難題。2.5 國內(nèi)主流殺毒軟件2.6 殺毒軟件使用常識(shí)我們有必要知道一些殺毒軟件使用的常識(shí)，具體如下：①. 殺毒軟件不可能查殺所有病毒；②. 殺毒軟件能查到的病毒，不一定能殺掉；③. 一臺(tái)電腦每個(gè)操作系統(tǒng)下不必同時(shí)安裝兩套或兩套以上的殺毒軟件（除非有兼容或綠色版，其實(shí)很多殺軟兼容性很好，國產(chǎn)殺軟幾乎不用擔(dān)心兼容性問題），另外建議查看不兼容的程序列表；另外，殺毒軟件對(duì)被感染的文件殺毒有多種方式，常見的方式有以下幾種：①. 清除：清除被蠕蟲感染的文件，清除后文件恢復(fù)正常。相當(dāng)于如果人生病，清除是給這個(gè)人治病，刪除是人生病后直接殺死。②. 刪除：刪除病毒文件。這類文件不是被感染的文件，本身就含毒，無法清除，可以刪除。③. 禁止訪問：禁止訪問病毒文件。在發(fā)現(xiàn)病毒后用戶如選擇不處理則殺毒軟件可能將病毒禁止訪問。用戶打開時(shí)會(huì)彈出錯(cuò)誤對(duì)話框，內(nèi)容是“該文件不是有效的Win32文件”。④. 隔離：病毒刪除后轉(zhuǎn)移到隔離區(qū)。用戶可以從隔離區(qū)找回刪除的文件。隔離區(qū)的文件不能運(yùn)行。⑤. 不處理：不處理該病毒。如果用戶暫時(shí)不知道是不是病毒可以暫時(shí)先不處理?！緦W(xué)生練習(xí)】Windows防火墻和linux防火墻配置實(shí)驗(yàn)?！军c(diǎn)評(píng)】【總結(jié)提煉】在本章中，我們學(xué)習(xí)了防火墻的基礎(chǔ)知識(shí)，學(xué)會(huì)了windows防火墻的使用和配置，學(xué)會(huì)了linux防火墻的配置，對(duì)于一些常見IP、端口的控制，有了一個(gè)較為深刻的理解；接下來我們還學(xué)習(xí)了殺毒軟件的一些知識(shí)，對(duì)于殺毒軟件的功能、組成、關(guān)鍵技術(shù)知識(shí)進(jìn)行了系統(tǒng)學(xué)習(xí)，對(duì)于殺毒軟件的選擇也有了充分的了解，為大家以后的生活和工作提供了有效的幫助?！菊n后作業(yè)】Windows防火墻屬于以下哪些分類（）硬件防火墻軟件防火墻單機(jī)防火墻網(wǎng)絡(luò)防火墻Linux防火墻的名稱是（）FirewallSelinuxIptablesWFCIptables包含五條規(guī)則鏈，分別是：（）PREROUTING(路由前)INPUT(數(shù)據(jù)包流入口)