防火墻及防病毒技術(shù)

防火墻及防病毒技術(shù)第1頁，課件共107頁，創(chuàng)作于2023年2月防火墻及防病毒技術(shù)2023/7/212第2頁，課件共107頁，創(chuàng)作于2023年2月第一部分：防火墻技術(shù)2023/7/213第3頁，課件共107頁，創(chuàng)作于2023年2月

防火墻的定義傳統(tǒng)的防火墻概念概念：防火墻被設(shè)計(jì)用來防止火從大廈的一部分傳播到另一部分2023/7/214第4頁，課件共107頁，創(chuàng)作于2023年2月IT領(lǐng)域使用的防火墻概念兩個(gè)安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為

一種高級(jí)訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。2023/7/215第5頁，課件共107頁，創(chuàng)作于2023年2月防火墻發(fā)展軟件防火墻

軟硬件結(jié)合防火墻

硬件防火墻

運(yùn)行在通用操作系統(tǒng)上性能依靠于計(jì)算機(jī)CPU,內(nèi)存等極易造成網(wǎng)絡(luò)帶寬瓶頸(20%--70%)可以滿足低帶寬低流量環(huán)境下的安全需要高速環(huán)境下容易造成系統(tǒng)崩潰有用戶限制，性價(jià)比較低管理復(fù)雜，與系統(tǒng)有關(guān)

機(jī)箱+CPU+防火墻軟件采用專用或通用操作系統(tǒng)核心技術(shù)仍然為軟件只能滿足中低帶寬要求(20%--70%)在高流量環(huán)境下會(huì)造成堵塞甚至系統(tǒng)崩潰性價(jià)比不高管理比較方便

用專用芯片處理數(shù)據(jù)包使用專用的操作系統(tǒng)平臺(tái)高帶寬，高吞吐量，真正線速防火墻安全與速度同時(shí)兼顧性價(jià)比高管理簡(jiǎn)單，快捷，具有良好的總體成本低2023/7/216第6頁，課件共107頁，創(chuàng)作于2023年2月

防火墻分類包過濾防火墻應(yīng)用代理防火墻狀態(tài)檢測(cè)防火墻2023/7/217第7頁，課件共107頁，創(chuàng)作于2023年2月防火墻在網(wǎng)絡(luò)中的位置防火墻放置于不同網(wǎng)絡(luò)安全域之間2023/7/218第8頁，課件共107頁，創(chuàng)作于2023年2月

第一代防火墻和最基本形式防火墻檢查每一個(gè)通過的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。所以稱為包過濾防火墻。包過濾防火墻的特點(diǎn)2023/7/219第9頁，課件共107頁，創(chuàng)作于2023年2月包過濾防火墻2023/7/2110第10頁，課件共107頁，創(chuàng)作于2023年2月包過濾防火墻

缺點(diǎn)：配置困難,因?yàn)榘^濾防火墻的配置很復(fù)雜，人們經(jīng)常會(huì)忽略建立一些必要的規(guī)則，或者錯(cuò)誤配置了已有的規(guī)則，在防火墻上留下漏洞。為特定服務(wù)開放的端口存在著危險(xiǎn)，可能會(huì)被用于其他傳輸。可能還有其他方法繞過防火墻進(jìn)入網(wǎng)絡(luò)，例如撥入連接。優(yōu)點(diǎn)：防火墻對(duì)每條傳入和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制。防火墻可以識(shí)別和丟棄帶欺騙性源IP地址的包。2023/7/2111第11頁，課件共107頁，創(chuàng)作于2023年2月安全網(wǎng)域HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包控制策略數(shù)據(jù)包過濾依據(jù)主要是TCP/IP報(bào)頭里面的信息，不能對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行處理數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過濾判斷信息包過濾防火墻工作原理圖2023/7/2112第12頁，課件共107頁，創(chuàng)作于2023年2月應(yīng)用代理防火墻應(yīng)用程序代理防火墻接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨(dú)的連接。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分。2023/7/2113第13頁，課件共107頁，創(chuàng)作于2023年2月應(yīng)用代理防火墻2023/7/2114第14頁，課件共107頁，創(chuàng)作于2023年2月

優(yōu)點(diǎn)：指定對(duì)連接的控制，例如允許或拒絕基于服務(wù)器IP地址的訪問，或者是允許或拒絕基于用戶所請(qǐng)求連接的IP地址的訪問。

通過限制某些協(xié)議的傳出請(qǐng)求，來減少網(wǎng)絡(luò)中不必要的服務(wù)。

大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時(shí)間。這些信息對(duì)追蹤攻擊和發(fā)生的未授權(quán)訪問的事件事很有用的。缺點(diǎn)：

必須在一定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所用的應(yīng)用程序。一些應(yīng)用程序可能根本不支持代理連接。應(yīng)用代理防火墻2023/7/2115第15頁，課件共107頁，創(chuàng)作于2023年2月安全網(wǎng)域HostCHostD數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)包應(yīng)用代理可以對(duì)數(shù)據(jù)包的數(shù)據(jù)區(qū)進(jìn)行分析，并以此判斷數(shù)據(jù)是否允許通過控制策略數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過濾判斷信息應(yīng)用代理判斷信息應(yīng)用代理防火墻原理圖2023/7/2116第16頁，課件共107頁，創(chuàng)作于2023年2月狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)技術(shù)：在包過濾的同時(shí)，檢察數(shù)據(jù)包之間的關(guān)聯(lián)性，數(shù)據(jù)包中動(dòng)態(tài)變化的狀態(tài)碼。跟蹤通過防火墻的網(wǎng)絡(luò)連接和包，使用一組附加的標(biāo)準(zhǔn)，以確定是否允許和拒絕通信。監(jiān)測(cè)引擎技術(shù)：采用一個(gè)或若干個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊，抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，獲得狀態(tài)信息，并動(dòng)態(tài)地保存起來作為以后執(zhí)行安全策略的參考。當(dāng)用戶訪問請(qǐng)求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作?？梢詫?shí)現(xiàn)拒絕攜帶某些數(shù)據(jù)的網(wǎng)絡(luò)通信，如帶有附加可執(zhí)行程序的傳入電子消息，或包含ActiveX程序的Web頁面。2023/7/2117第17頁，課件共107頁，創(chuàng)作于2023年2月應(yīng)用層表示層會(huì)話層傳輸層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層監(jiān)測(cè)引擎狀態(tài)檢測(cè)示意圖2023/7/2118第18頁，課件共107頁，創(chuàng)作于2023年2月優(yōu)點(diǎn)：檢查IP包的每個(gè)字段的能力，并遵從基于包中信息的過濾規(guī)則。識(shí)別帶有欺騙性源IP地址包的能力。包過濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問的唯一來源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^防火墻，繞過是困難的。基于應(yīng)用程序信息驗(yàn)證一個(gè)包的狀態(tài)的能力，例如基于一個(gè)已經(jīng)建立的FTP連接，允許返回的FTP包通過?；趹?yīng)用程序信息驗(yàn)證一個(gè)包狀態(tài)的能力，例如允許一個(gè)先前認(rèn)證過的連接繼續(xù)與被授予的服務(wù)通信。

記錄有關(guān)通過的每個(gè)包的詳細(xì)信息的能力。基本上，防火墻用來確定包狀態(tài)的所有信息都可以被記錄，包括應(yīng)用程序?qū)Π恼?qǐng)求，連接的持續(xù)時(shí)間，內(nèi)部和外部系統(tǒng)所做的連接請(qǐng)求等。狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻2023/7/2119第19頁，課件共107頁，創(chuàng)作于2023年2月狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻的缺點(diǎn)

狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻唯一的缺點(diǎn)就是所有這些記錄、測(cè)試和分析工作可能會(huì)造成網(wǎng)絡(luò)連接的某種遲滯，特別是在同時(shí)有許多連接激活的時(shí)候，或者是有大量的過濾網(wǎng)絡(luò)通信的規(guī)則存在時(shí)。

解決辦法就是將特定信息通過硬件進(jìn)行處理，硬件速度越快，這個(gè)問題就越不易察覺，而且防火墻的制造商一直致力于提高他們產(chǎn)品的速度。2023/7/2120第20頁，課件共107頁，創(chuàng)作于2023年2月狀態(tài)檢測(cè)防火墻原理圖安全網(wǎng)域HostCHostD數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)包

狀態(tài)檢測(cè)可以結(jié)合前后數(shù)據(jù)包里的數(shù)據(jù)信息進(jìn)行綜合分析決定是否允許該包通過控制策略數(shù)據(jù)3TCP報(bào)頭IP報(bào)頭數(shù)據(jù)2TCP報(bào)頭IP報(bào)頭數(shù)據(jù)1TCP報(bào)頭IP報(bào)頭狀態(tài)檢測(cè)2023/7/2121第21頁，課件共107頁，創(chuàng)作于2023年2月市場(chǎng)發(fā)展需要的新技術(shù)軟件防火墻專用硬件

防火墻軟件VPN專用VPN網(wǎng)關(guān)加密處理芯片軟件內(nèi)容掃描安全內(nèi)容

處理網(wǎng)關(guān)內(nèi)容處理芯片狀態(tài)檢測(cè)處理芯片2023/7/2122第22頁，課件共107頁，創(chuàng)作于2023年2月基于狀態(tài)檢測(cè)的硬件防火墻采用ASIC芯片硬件設(shè)計(jì)體系具有內(nèi)容處理芯片和內(nèi)容處理加速單元可以實(shí)現(xiàn)實(shí)時(shí)分析和數(shù)據(jù)包協(xié)調(diào)處理具有優(yōu)化內(nèi)容搜索、模式識(shí)別和數(shù)據(jù)分析功能同時(shí)具有病毒掃描、VPN、內(nèi)容過濾和基于網(wǎng)絡(luò)的入侵檢測(cè)功能。主流防火墻發(fā)展趨勢(shì)2023/7/2123第23頁，課件共107頁，創(chuàng)作于2023年2月底層內(nèi)容過濾原理圖物理接口(10/100,GigE,etc.)…OS操作系統(tǒng)系統(tǒng)總線中心CPU(s)會(huì)話調(diào)度ASIC內(nèi)容處理器特征存儲(chǔ)器內(nèi)容重組和掃描存儲(chǔ)器系統(tǒng)管理(CLI,Web,SNMP,AutoUpdate)加密引擎(DES,3DES,MD5,SHA1,AES)包過濾引擎特征掃描引擎流量管理引擎2023/7/2124第24頁，課件共107頁，創(chuàng)作于2023年2月防火墻的性能指標(biāo)

延時(shí)

并發(fā)連接數(shù)

平均無故障時(shí)間

吞吐量防火墻在不丟包的情況下能夠達(dá)到的最大包轉(zhuǎn)發(fā)速率

數(shù)據(jù)包通過防火墻所用的時(shí)間防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目系統(tǒng)平均能夠正常運(yùn)行多長(zhǎng)時(shí)間，才發(fā)生一次故障2023/7/2125第25頁，課件共107頁，創(chuàng)作于2023年2月防火墻產(chǎn)品功能特性組業(yè)界標(biāo)準(zhǔn)：符合工業(yè)標(biāo)準(zhǔn)的防火墻工作模式：網(wǎng)絡(luò)地址轉(zhuǎn)換，透明模式，路由模式。用戶認(rèn)證：內(nèi)建用戶認(rèn)證數(shù)據(jù)庫，支持RADIUS認(rèn)證數(shù)據(jù)庫。服務(wù)：支持標(biāo)準(zhǔn)服務(wù)（例如：FTP、HTTP），用戶自定義服務(wù)，還支持用戶定義服務(wù)組。時(shí)間表：根據(jù)小時(shí)、日、周和月建立一次性或循環(huán)時(shí)間表，防火墻根據(jù)不同的時(shí)間表定義安全策略。虛擬映射：外部地址映射到內(nèi)部或DMZ網(wǎng)絡(luò)上的地址IP/MAC綁定：阻止來自IP地址欺騙的攻擊

2023/7/2126第26頁，課件共107頁，創(chuàng)作于2023年2月操作模式:NAT/Route/TransparentNAT–

網(wǎng)絡(luò)地址翻譯，每個(gè)接口有一個(gè)IP地址，向外的包IP地址翻譯成對(duì)外端口的IP地址Route–

每個(gè)接口有IP地址，IP包從一個(gè)端口路由到另一端口，沒有地址翻譯Transparent–

網(wǎng)絡(luò)接口沒有IP地址，類似于二層交換機(jī)2023/7/2127第27頁，課件共107頁，創(chuàng)作于2023年2月雙向NAT外部的端口：8080正向NAT反向NAT（端口映射）InternetINTERNAL端口：80端口：21/24客戶機(jī)http://外部影射的IP:8080INTERNAL外部的端口：2121External2023/7/2128第28頁，課件共107頁，創(chuàng)作于2023年2月透明模式的支持受保護(hù)網(wǎng)絡(luò)如果防火墻支持透明模式則內(nèi)部網(wǎng)絡(luò)主機(jī)的配置不用調(diào)整HostAHostCHostDHostB同一網(wǎng)段透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址DefaultGateway=防火墻相當(dāng)于網(wǎng)橋，原網(wǎng)絡(luò)結(jié)構(gòu)沒有改變2023/7/2129第29頁，課件共107頁，創(chuàng)作于2023年2月基于時(shí)間的策略控制管理員設(shè)置員工上網(wǎng)時(shí)間限制在防火墻上制定基于時(shí)間的訪問控制策略上班時(shí)間不允許訪問Internet下班時(shí)間可以自由訪問公司的網(wǎng)絡(luò)InternetHostCHostD2023/7/2130第30頁，課件共107頁，創(chuàng)作于2023年2月IP/MAC綁定InternalExternal

00-20-ED-A8-81-60IP//MACTable:

00-20-Ef-A8-82-61

00-20-ED-A8-81-64(甲）（丙）

嚴(yán)格限制內(nèi)部用戶的網(wǎng)絡(luò)地址增加網(wǎng)絡(luò)安全，抵御網(wǎng)絡(luò)攻擊沒有在表中的配置項(xiàng)不能通過2023/7/2131第31頁，課件共107頁，創(chuàng)作于2023年2月HA功能高可用性(HA)提高可靠性和負(fù)載分配。負(fù)載分配：增強(qiáng)性能，在失敗恢復(fù)的時(shí)候不會(huì)發(fā)生服務(wù)中斷?？蛻魴C(jī)客戶機(jī)客戶機(jī)服務(wù)器服務(wù)器服務(wù)器2023/7/2132第32頁，課件共107頁，創(chuàng)作于2023年2月病毒檢測(cè)Exe/doc/zip病毒庫病毒檢測(cè)：掃描郵件附件（SMTP，POP3，IMAP）、

Web內(nèi)容和插件（HTTP）的病毒特征碼和宏病毒InternetDMZEmailHTTP財(cái)務(wù)部市場(chǎng)部研發(fā)部Router2023/7/2133第33頁，課件共107頁，創(chuàng)作于2023年2月蠕蟲保護(hù)蠕蟲保護(hù)：掃描所有進(jìn)出的電子郵件及附件（SMTP,POP3,IMAP）檢測(cè)網(wǎng)頁里的插件和下載的內(nèi)容（HTTP）2023/7/2134第34頁，課件共107頁，創(chuàng)作于2023年2月內(nèi)容安全控制內(nèi)容安全控制

網(wǎng)絡(luò)訪問的內(nèi)容控制，支持WEB內(nèi)容的關(guān)鍵字過濾，屏蔽具有激越或敏感的網(wǎng)頁內(nèi)容，提供了內(nèi)容級(jí)可控制手段。阻塞有害的Web語言攻擊，包括JavaApplet、Activex、Cookie等ＵＲＬ管理與控制Reject:/xxx.asp?返回結(jié)果：所訪問網(wǎng)頁包含管理員禁止內(nèi)容，以被屏蔽?。?023/7/2135第35頁，課件共107頁，創(chuàng)作于2023年2月入侵檢測(cè)InternetDMZEmailHTTP財(cái)務(wù)部市場(chǎng)部研發(fā)部Router惡意的攻擊和掃描IDS127-TELNET-oginIncorrect

2003/7/209：10/index攻擊方法目的地址源地址時(shí)間攻擊描述2023/7/2136第36頁，課件共107頁，創(chuàng)作于2023年2月抵抗DOS/DDOS攻擊防止入侵者的掃描防止源路由攻擊防止IP碎片攻擊防止ICMP/IGMP攻擊防止IP欺騙攻擊入侵檢測(cè)內(nèi)容2023/7/2137第37頁，課件共107頁，創(chuàng)作于2023年2月虛擬專用網(wǎng)（VPN）虛擬專用網(wǎng)（VPN）

在網(wǎng)絡(luò)之間或網(wǎng)絡(luò)與客戶端之間進(jìn)行安全通訊，支持IPSec、PPTP、L2TP等標(biāo)準(zhǔn)。硬件加速加密：支持DES，3DES加密算法密鑰交換算法：支持自動(dòng)IKE和手工密鑰交換。VPN客戶端通過：沒有專門的配置需求，支持PPTP、L2TP2023/7/2138第38頁，課件共107頁，創(chuàng)作于2023年2月VPN解決方案遠(yuǎn)程訪問Internet分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)合作伙伴內(nèi)部網(wǎng)2023/7/2139第39頁，課件共107頁，創(chuàng)作于2023年2月企業(yè)VPN解決方案(一)外部端口地址內(nèi)部網(wǎng)絡(luò)/24內(nèi)部網(wǎng)絡(luò)/24外部端口地址虛擬私有網(wǎng)2023/7/2140第40頁，課件共107頁，創(chuàng)作于2023年2月企業(yè)VPN解決方案(二)內(nèi)部網(wǎng)絡(luò)/24外部端口地址外部端口地址內(nèi)部網(wǎng)絡(luò)/24虛擬私有網(wǎng)2023/7/2141第41頁，課件共107頁，創(chuàng)作于2023年2月基于PPTP/L2TP的撥號(hào)VPN在Internal端網(wǎng)絡(luò)定義遠(yuǎn)程地址池每個(gè)客戶端動(dòng)態(tài)地在地址池中為VPN會(huì)話獲取地址客戶端先得撥號(hào)（163/169）得到一個(gè)公網(wǎng)地址，然后和公司的防火墻設(shè)備利用PPTP/L2TP協(xié)議進(jìn)行VPN的建立建立VPN的用戶可以訪問公司內(nèi)部網(wǎng)絡(luò)的所有資源，就象在內(nèi)部網(wǎng)中一樣客戶端不需要附加軟件的安裝，簡(jiǎn)單方便Dial-UpNATPool/24---0

2023/7/2142第42頁，課件共107頁，創(chuàng)作于2023年2月基于ipsec的撥號(hào)VPN利用IPSEC協(xié)議的通道模式進(jìn)行VPN的建立無需為客戶分配IPPool用戶端要安裝IPSECClient軟件建立VPN的用戶可以訪問公司內(nèi)部網(wǎng)絡(luò)的所有資源，就象在內(nèi)部網(wǎng)中一樣2023/7/2143第43頁，課件共107頁，創(chuàng)作于2023年2月基于瀏覽器界面配置管理使用HTTPS遠(yuǎn)程登錄管理2023/7/2144第44頁，課件共107頁，創(chuàng)作于2023年2月基于字符和命令行界面配置管理提供Console口或ＳＳＨ遠(yuǎn)程連接通過使用ＳＮＭＰ遠(yuǎn)程管理2023/7/2145第45頁，課件共107頁，創(chuàng)作于2023年2月防火墻不足之處

無法防護(hù)內(nèi)部用戶之間的攻擊無法防護(hù)基于操作系統(tǒng)漏洞的攻擊無法防護(hù)內(nèi)部用戶的其他行為無法防護(hù)端口反彈木馬的攻擊多數(shù)防火墻無法防護(hù)病毒的侵襲無法防護(hù)非法通道出現(xiàn)2023/7/2146第46頁，課件共107頁，創(chuàng)作于2023年2月企業(yè)部署防火墻的誤區(qū)

最全的就是最好的，最貴的就是最好的軟件防火墻部署后不對(duì)操作系統(tǒng)加固一次配置，永遠(yuǎn)運(yùn)行測(cè)試不夠完全審計(jì)是可有可無的2023/7/2147第47頁，課件共107頁，創(chuàng)作于2023年2月如何選擇防火墻選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下幾條：

1、總擁有成本

2、防火墻本身是安全的

3、是硬件還是軟件

4、可擴(kuò)充性

5、升級(jí)能力2023/7/2148第48頁，課件共107頁，創(chuàng)作于2023年2月第二部分：計(jì)算機(jī)病毒技術(shù)2023/7/2149第49頁，課件共107頁，創(chuàng)作于2023年2月計(jì)算機(jī)病毒定義

計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！浴吨腥A人民共和國(guó)計(jì)算機(jī)信 息系統(tǒng)安全保護(hù)條例》2023/7/2150第50頁，課件共107頁，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的基本特性之一

1.寄生性（依附性）計(jì)算機(jī)病毒是一種特殊的計(jì)算機(jī)程序，它不是以獨(dú)立的文件的形式存在的，它寄生在合法的程序中.

病毒所寄生的合法程序被稱做病毒的載體，也稱為病毒的宿主程序。病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計(jì)算機(jī)病毒的寄生性。2023/7/2151第51頁，課件共107頁，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的基本特性之二2.傳染性

計(jì)算機(jī)病毒的傳染性是指計(jì)算機(jī)病毒會(huì)通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)。是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。2023/7/2152第52頁，課件共107頁，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的基本特性之三

計(jì)算機(jī)病毒在發(fā)作之前，必須能夠?qū)⒆陨砗芎玫碾[蔽起來，不被用戶發(fā)覺，這樣才能實(shí)現(xiàn)進(jìn)入計(jì)算機(jī)系統(tǒng)、進(jìn)行廣泛傳播的目的。計(jì)算機(jī)病毒的隱蔽性表現(xiàn)為傳染的隱蔽性與存在的隱蔽性。3．隱蔽性2023/7/2153第53頁，課件共107頁，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的潛伏性是指病毒程序?yàn)榱诉_(dá)到不斷傳播并破壞系統(tǒng)的目的，一般不會(huì)在傳染某一程序后立即發(fā)作，否則就暴露了自身。潛伏性愈好，其在系統(tǒng)中的存在時(shí)間就會(huì)愈長(zhǎng)，病毒的傳染范圍就會(huì)愈大。4．潛伏性計(jì)算機(jī)病毒的基本特性之四2023/7/2154第54頁，課件共107頁，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的基本特性之五

共同的危害，即降低計(jì)算機(jī)系統(tǒng)的工作效率，占用系統(tǒng)資源，其具體情況取決于入侵系統(tǒng)的病毒程序。計(jì)算機(jī)病毒的破壞性主要取決于計(jì)算機(jī)病毒設(shè)計(jì)者的目的。有時(shí)幾種本來沒有多大破壞作用的病毒交叉感染，也會(huì)導(dǎo)致系統(tǒng)崩潰等重大惡果。

5．破壞性2023/7/2155第55頁，課件共107頁，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的基本特性之六6.可觸發(fā)性

因某個(gè)特征或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。2023/7/2156第56頁，課件共107頁，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的基本特性之七

計(jì)算機(jī)病毒存在的理論依據(jù)來自于馮·諾依曼結(jié)構(gòu)及信息共享，從理論上講如果要徹底消滅病毒，只有摒棄馮·諾依曼結(jié)構(gòu)及信息共享，顯然，此二者都是無法摒棄的。7．產(chǎn)生的必然性2023/7/2157第57頁，課件共107頁，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的基本特性之八

從本質(zhì)上說，計(jì)算機(jī)病毒是非授權(quán)的對(duì)程序體的字符型信息加工過程。病毒具有正常程序的一切特性，它隱藏在正常程序中，當(dāng)用戶調(diào)用正常程序時(shí)竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動(dòng)作、目的對(duì)用戶是未知的，是未經(jīng)用戶允許的。8．非授權(quán)性2023/7/2158第58頁，課件共107頁，創(chuàng)作于2023年2月1、磁盤在使用中的傳遞2、軟件共享使用3、盜版軟件4、OFFICE文檔流行5、盜版光盤的泛濫6、網(wǎng)絡(luò)連接和INTERNET、局域網(wǎng)內(nèi)的目錄共享7、E-mail的傳播，是網(wǎng)絡(luò)蠕蟲病毒傳播的主要途徑

病毒傳播途徑：病毒傳播途徑2023/7/2159第59頁，課件共107頁，創(chuàng)作于2023年2月病毒的危害影響系統(tǒng)效率進(jìn)行反動(dòng)宣傳

占用系統(tǒng)資源刪除、破壞數(shù)據(jù)干擾正常操作阻塞網(wǎng)絡(luò)2023/7/2160第60頁，課件共107頁，創(chuàng)作于2023年2月1)Dos病毒

2)Windows病毒

3)UNIX病毒

4）攻擊OS/2系統(tǒng)的病毒。

5）攻擊嵌入式操作系統(tǒng)的病毒。

1.按照病毒依賴的操作系統(tǒng)來分

一般說來，特定的病毒只能在特定的操作系統(tǒng)下運(yùn)行。病毒分類之一2023/7/2161第61頁，課件共107頁，創(chuàng)作于2023年2月病毒分類之二2.按照計(jì)算機(jī)病毒的鏈結(jié)方式分為：

源碼型病毒

入侵型病毒

操作系統(tǒng)型病毒

外殼型病毒2023/7/2162第62頁，課件共107頁，創(chuàng)作于2023年2月病毒分類之二

源碼型病毒：較為少見，亦難以編寫。因?yàn)樗舾呒?jí)語言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件。此時(shí)剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。

入侵型病毒：可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對(duì)性強(qiáng)。一般情況下也難以被發(fā)現(xiàn)，清除起來也較困難。2023/7/2163第63頁，課件共107頁，創(chuàng)作于2023年2月病毒分類之二

外殼型病毒：將自身附在正常程序的開頭或結(jié)尾，相當(dāng)于給正常程序加了個(gè)外殼。大部份的文件型病毒都屬于這一類。操作系統(tǒng)型病毒：可用其自身部分加入或替代操作系統(tǒng)的部分功能。因其直接感染操作系統(tǒng)，這類病毒的危害性也較大。2023/7/2164第64頁，課件共107頁，創(chuàng)作于2023年2月病毒分類之三良性病毒：小球病毒、三維球病毒、WM/Concept病毒

3.按照病毒危害程度來分為：惡性病毒：沖擊波病毒、蠕蟲王病毒、CIH病毒、 愛蟲病毒2023/7/2165第65頁，課件共107頁，創(chuàng)作于2023年2月病毒演示之一——女鬼病毒第66頁，課件共107頁，創(chuàng)作于2023年2月病毒演示之二—千年老妖第67頁，課件共107頁，創(chuàng)作于2023年2月其他病毒演示—白雪公主第68頁，課件共107頁，創(chuàng)作于2023年2月手機(jī)病毒2004年，針對(duì)使用Symbian的藍(lán)牙手機(jī)的病毒出現(xiàn)針對(duì)使用PocketPC的驗(yàn)證性攻擊程序也被發(fā)現(xiàn)手機(jī)功能和操作系統(tǒng)通用性不斷增強(qiáng)，會(huì)有越來越多針對(duì)手機(jī)的攻擊2023/7/2169第69頁，課件共107頁，創(chuàng)作于2023年2月病毒分類之四4．按寄生方式分為：引導(dǎo)型病毒文件型病毒混合型病毒2023/7/2170第70頁，課件共107頁，創(chuàng)作于2023年2月引導(dǎo)型病毒:

引導(dǎo)型病毒是藏匿在磁盤片或硬盤的第一個(gè)扇區(qū)。因?yàn)镈OS的架構(gòu)設(shè)計(jì),使得病毒可以在每次開機(jī)時(shí),在操作系統(tǒng)還沒被加載之前就被加載到內(nèi)存中,這個(gè)特性使得病毒可以針對(duì)DOS的各類中斷(Interrupt)得到完全的控制,并且擁有更大的能力進(jìn)行傳染與破壞。典型病毒：Michelangelo—米開朗基羅病毒潛伏期：一年發(fā)病日：3月6日

產(chǎn)地：瑞典（也有一說為臺(tái)灣）癥狀：病毒發(fā)作后，使用者一開機(jī)若出現(xiàn)黑畫面，那表示硬盤資料全部丟失。引導(dǎo)型病毒2023/7/2171第71頁，課件共107頁，創(chuàng)作于2023年2月

一般只傳染磁盤上的可執(zhí)行文件（COM，EXE）。在用戶調(diào)用染毒的可執(zhí)行文件時(shí)，病毒首先被運(yùn)行，然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。其特點(diǎn)是附著于正常程序文件，成為程序文件的一個(gè)外殼或部件。這是較為常見的傳染方式。根據(jù)文件型的病毒依傳染方式的不同,又分成非常駐型以及常駐型兩種。文件型病毒文件型病毒：2023/7/2172第72頁，課件共107頁，創(chuàng)作于2023年2月

非常駐型病毒將自己寄生在*.COM,*.EXE或是*.SYS的文件中。當(dāng)這些中毒的程序被執(zhí)行時(shí)，就會(huì)嘗試去傳染給另一個(gè)或多個(gè)文件。(1)非常駐型病毒(Non-memoryResidentVirus):典型病毒：DatacrimeII資料殺手

發(fā)病日：10月12日起至12月31日

發(fā)現(xiàn)日：1989.3

產(chǎn)地：荷蘭

癥狀：低級(jí)階格式化硬盤，高度破壞數(shù)據(jù)資料

非常駐型病毒2023/7/2173第73頁，課件共107頁，創(chuàng)作于2023年2月

常駐型病毒躲在內(nèi)存中，其行為就好象是寄生在各類的低階功能一般(如Interrupts)，由于這個(gè)原因,常駐型病毒往往對(duì)磁盤造成更大的傷害。一旦常駐型病毒進(jìn)入了內(nèi)存中,只要執(zhí)行文件被執(zhí)行,它就對(duì)其進(jìn)行感染的動(dòng)作,其效果非常顯著。發(fā)病日：每逢13號(hào)星期五

產(chǎn)地：南非

癥狀：將任何你想執(zhí)行的中毒文件刪除，該病毒感染速度相當(dāng)快，其發(fā)病的唯一征兆是軟驅(qū)的燈會(huì)一直亮著。

(2)常駐型病毒(MemoryResidentVirus):典型病毒：Friday13th

黑色（13號(hào)）星期五常駐型病毒2023/7/2174第74頁，課件共107頁，創(chuàng)作于2023年2月復(fù)合型病毒(Multi-PartiteVirus)

復(fù)合型病毒兼具開機(jī)型病毒以及文件型病毒的特性。它們可以傳染*.COM,*.EXE文件，也可以傳染磁盤的開機(jī)系統(tǒng)區(qū)(BootSector)。由于這個(gè)特性,使得這種病毒具有相當(dāng)程度的傳染力。一旦發(fā)病，其破壞的程度將會(huì)非?？捎^。復(fù)合型病毒

典型病毒：Flip翻轉(zhuǎn)發(fā)病日：每月2日

產(chǎn)地：瑞士(也有一說為西德)

癥狀：每個(gè)月2號(hào)，如果使用被寄生的磁盤或硬盤開機(jī)時(shí)，則在16時(shí)至16時(shí)59分之間，屏幕會(huì)呈水平翻動(dòng)。

2023/7/2175第75頁，課件共107頁，創(chuàng)作于2023年2月病毒分類之五

宏病毒：美麗莎

系統(tǒng)病毒:CIH病毒

蠕蟲病毒：紅色代碼，尼姆達(dá)

木馬病毒：QQ尾巴

黑客病毒：007

破壞性程序、網(wǎng)頁腳本病毒：萬花谷病毒6．按照病毒的感染特性來分2023/7/2176第76頁，課件共107頁，創(chuàng)作于2023年2月病毒概念擴(kuò)展對(duì)病毒概念的擴(kuò)展：2023/7/2177第77頁，課件共107頁，創(chuàng)作于2023年2月蠕蟲病毒（一）蠕蟲病毒與一般病毒的差異比較普通病毒蠕蟲病毒存在形式寄存文件獨(dú)立程序傳染機(jī)制宿主程序運(yùn)行主動(dòng)攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計(jì)算機(jī)2023/7/2178第78頁，課件共107頁，創(chuàng)作于2023年2月蠕蟲病毒（二）

蠕蟲的破壞和發(fā)展趨勢(shì)病毒名稱持續(xù)時(shí)間造成損失莫里斯蠕蟲1988年6000多臺(tái)計(jì)算機(jī)停機(jī),直接經(jīng)濟(jì)損失達(dá)9600萬美元美麗殺手1999年3月政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器,經(jīng)濟(jì)損失超過12億美元愛蟲病毒2000年5月至今眾多用戶電腦被感染，損失超過100億美元以上紅色代碼2001年7月網(wǎng)絡(luò)癱瘓，直接經(jīng)濟(jì)損失超過26億美元求職信2001年12月至今大量病毒郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元SQL蠕蟲王2003年1月網(wǎng)絡(luò)大面積癱瘓,銀行自動(dòng)提款機(jī)運(yùn)做中斷,直接經(jīng)濟(jì)損失超過26億美元2023/7/2179第79頁，課件共107頁，創(chuàng)作于2023年2月蠕蟲發(fā)作的一些特點(diǎn)和發(fā)展趨勢(shì)病毒制作技術(shù)新潛在的威脅和損失更大與黑客技術(shù)相結(jié)合利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊傳播方式多樣2023/7/2180第80頁，課件共107頁，創(chuàng)作于2023年2月SQL蠕蟲

SQL蠕蟲攻擊的是微軟數(shù)據(jù)庫系MicrosoftSQLServer2000。利用了MSSQL2000服務(wù)遠(yuǎn)程堆棧緩沖區(qū)溢出漏洞。此蠕蟲病毒本身除了對(duì)網(wǎng)絡(luò)產(chǎn)生拒絕服務(wù)攻擊外,并沒有別的破壞措施。但如果病毒編寫者在編寫病毒的時(shí)候加入破壞代碼,后果將不堪設(shè)想。2023/7/2181第81頁，課件共107頁，創(chuàng)作于2023年2月紅色代碼(Codered)病毒紅色代碼(Codered)病毒該蠕蟲感染運(yùn)行MicrosoftIndexServer2.0的系統(tǒng)，或是在Windows2000、IIS中啟用了IndexingService(索引服務(wù))的系統(tǒng)。該蠕蟲利用了一個(gè)緩沖區(qū)溢出漏洞進(jìn)行傳播（未加限制的IndexServerISAPIExtension緩沖區(qū)使WEB服務(wù)器變的不安全）。該蠕蟲只存在于內(nèi)存中，并不向硬盤中拷文件。2023/7/2182第82頁，課件共107頁，創(chuàng)作于2023年2月該病毒影響運(yùn)行Windows95,98,ME,NT和2000的客戶端和服務(wù)器通過Email傳播通過網(wǎng)絡(luò)共享傳播通過瀏覽器傳播通過主動(dòng)掃描未打補(bǔ)丁的IIS服務(wù)器進(jìn)行傳播攜帶該病毒的郵件的包含兩部分Nimda病毒2023/7/2183第83頁，課件共107頁，創(chuàng)作于2023年2月計(jì)算機(jī)病毒命名之一2023/7/2184第84頁，課件共107頁，創(chuàng)作于2023年2月計(jì)算機(jī)病毒命名之二2023/7/2185第85頁，課件共107頁，創(chuàng)作于2023年2月計(jì)算機(jī)病毒命名之三2023/7/2186第86頁，課件共107頁，創(chuàng)作于2023年2月計(jì)算機(jī)病毒命名之四2023/7/2187第87頁，課件共107頁，創(chuàng)作于2023年2月計(jì)算機(jī)病毒命名之五2023/7/2188第88頁，課件共107頁，創(chuàng)作于2023年2月計(jì)算機(jī)病毒邏輯結(jié)構(gòu)分析2023/7/2189第89頁，課件共107頁，創(chuàng)作于2023年2月常見病毒類型流程分析一2023/7/2190第90頁，課件共107頁，創(chuàng)作于2023年2月常見病毒類型流程分析二2023/7/2191第91頁，課件共107頁，創(chuàng)作于2023年2月常見病毒類型流程分析三2023/7/2192第92頁，課件共107頁，創(chuàng)作于2023年2月如何發(fā)現(xiàn)病毒之一

計(jì)算機(jī)病毒發(fā)作時(shí)，通常會(huì)出現(xiàn)以下幾種情況，這樣我們就能盡早地發(fā)現(xiàn)和清除它們。（1）電腦運(yùn)行比平常遲鈍。（2）程序載入時(shí)間比平常久。（3）對(duì)一個(gè)簡(jiǎn)單的工作，磁盤似乎花了比預(yù)期長(zhǎng)的時(shí)間。（4）不尋常的錯(cuò)誤信息出現(xiàn)。（5）由于病毒程序的異常活動(dòng)，造成對(duì)磁盤的異常訪問。當(dāng)你 沒有存取磁盤，但磁盤指示燈卻亮了，表示電腦這時(shí)已經(jīng) 受到病毒感染了。（6）系統(tǒng)內(nèi)存容量忽然大量減少。（7）磁盤可利用的空間突然減少。（8）可執(zhí)行程序的大小改變2023/7/2193第93頁，課件共107頁，創(chuàng)作于2023年2月如何發(fā)現(xiàn)病毒之二（9）由于病毒可能通過將磁盤扇區(qū)標(biāo)記為壞簇的方式把自己隱藏起來，磁盤壞簇會(huì)莫名其妙地增多。（10）程序同時(shí)存取多部磁盤。（11）內(nèi)存內(nèi)增加來路不明的常駐程序。（12）文件、數(shù)據(jù)奇怪的消失。（13）文件的內(nèi)容被加上一些奇怪的資料。（14）文件名稱，擴(kuò)展名，日期，屬性被更改過。（15）打印機(jī)出現(xiàn)異常。（16）死機(jī)現(xiàn)象增多。（17）出現(xiàn)一些異常的畫面或聲音。異?，F(xiàn)象的出現(xiàn)并不表明系統(tǒng)內(nèi)肯定有病毒，仍需進(jìn)一步的檢查。2023/7/2194第94頁，課件共107頁，創(chuàng)作于2023年2月什么是病毒代碼(VirusPattern)?

所謂的病毒代碼其實(shí)可以想像成是犯人的指紋,當(dāng)防毒軟件公司收集到一只新的病毒時(shí),他們就會(huì)從這個(gè)病毒程序中截取一小段獨(dú)一無二而且足以表示這只病毒的二進(jìn)位程序碼(BinaryCode),來當(dāng)做殺毒程序辨認(rèn)此病毒的依據(jù),而這段獨(dú)一無二的二