網(wǎng)絡(luò)安全與防范

問(wèn)題的提出

青職公司市場(chǎng)部小李打開(kāi)計(jì)算機(jī)準(zhǔn)備處理昨天銷(xiāo)售部門(mén)報(bào)上來(lái)的數(shù)據(jù)分析表，一開(kāi)機(jī)就發(fā)現(xiàn)計(jì)算機(jī)無(wú)法正常工作，也不能上網(wǎng)。計(jì)算機(jī)中心的小張檢查發(fā)現(xiàn)，硬件沒(méi)有問(wèn)題，應(yīng)該是系統(tǒng)被計(jì)算機(jī)病毒破壞了，導(dǎo)致WindowsXP無(wú)法正常啟動(dòng)。小張將重要的數(shù)據(jù)進(jìn)行了備份，重新安裝了WindowsXP，以及正版的殺病毒軟件。小李的計(jì)算機(jī)終于可以正常工作了。那么如何才能防止類(lèi)似的事情再次發(fā)生呢？

第1頁(yè)，共42頁(yè)。1網(wǎng)絡(luò)安全與防范5/9/2024任務(wù)分析

計(jì)算機(jī)病毒的防治要從防毒、查毒、解毒三方面來(lái)進(jìn)行。1）防毒：采取實(shí)時(shí)監(jiān)測(cè)預(yù)警等安全措施預(yù)防病毒侵入計(jì)算機(jī)。

2）查毒：對(duì)于內(nèi)存、文件、引導(dǎo)區(qū)（含主引導(dǎo)區(qū)）、網(wǎng)絡(luò)等，能夠發(fā)現(xiàn)和追蹤病毒來(lái)源。3）解毒：從感染對(duì)象中清除病毒，恢復(fù)被病毒感染前的原始信息的能力。

第2頁(yè)，共42頁(yè)。2網(wǎng)絡(luò)安全與防范5/9/20249.1防治計(jì)算機(jī)病毒“計(jì)算機(jī)病毒”定義指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。

第3頁(yè)，共42頁(yè)。3網(wǎng)絡(luò)安全與防范5/9/20249.1.1計(jì)算機(jī)病毒與殺毒軟件（1）引導(dǎo)型病毒

（2）文件型病毒

（3）復(fù)合型病毒

（4）變型病毒

（5）宏病毒

（6）網(wǎng)頁(yè)病毒（7）“蠕蟲(chóng)”型病毒（8）木馬病毒

1．計(jì)算機(jī)病毒分類(lèi)

第4頁(yè)，共42頁(yè)。4網(wǎng)絡(luò)安全與防范5/9/2024特洛依木馬特洛伊木馬的典故傳說(shuō)古希臘傳說(shuō)，特洛伊王子帕里斯訪問(wèn)希臘，誘走了王后海倫，希臘人因此遠(yuǎn)征特洛伊。圍攻9年后，到第10年，希臘將領(lǐng)奧德修斯獻(xiàn)了一計(jì)，就是把一批勇士埋伏在一匹巨大的木馬腹內(nèi)，放在城外后，佯作退兵。特洛伊人以為敵兵已退，就把木馬作為戰(zhàn)利品搬入城中。到了夜間，埋伏在木馬中的勇士跳出來(lái)，打開(kāi)了城門(mén)，希臘將士一擁而入攻下了城池。第5頁(yè)，共42頁(yè)。5網(wǎng)絡(luò)安全與防范5/9/20242．計(jì)算機(jī)病毒的特征（1）非授權(quán)可執(zhí)行性（2）隱蔽性（3）傳染性：最重要的一個(gè)特征

（4）潛伏性（5）表現(xiàn)性或破壞性（6）可觸發(fā)性

第6頁(yè)，共42頁(yè)。6網(wǎng)絡(luò)安全與防范5/9/20243．計(jì)算機(jī)病毒的傳播通過(guò)文件系統(tǒng)傳播；通過(guò)電子郵件傳播；通過(guò)局域網(wǎng)傳播；通過(guò)互聯(lián)網(wǎng)上即時(shí)通訊軟件和點(diǎn)對(duì)點(diǎn)軟件等常用工具傳播；利用系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳播；利用系統(tǒng)配置缺陷傳播，如弱口令、完全共享等；第7頁(yè)，共42頁(yè)。7網(wǎng)絡(luò)安全與防范5/9/2024計(jì)算機(jī)病毒的傳播過(guò)程人為設(shè)計(jì)潛伏侵入系統(tǒng)傳染觸發(fā)運(yùn)行破壞第8頁(yè)，共42頁(yè)。8網(wǎng)絡(luò)安全與防范5/9/20244．如何防治病毒（1）要提高對(duì)計(jì)算機(jī)病毒危害的認(rèn)識(shí)（2）養(yǎng)成備份重要文件等良好使用習(xí)慣（3）大力普及殺毒軟件（4）采取措施防止計(jì)算機(jī)病毒的發(fā)作（5）開(kāi)啟計(jì)算機(jī)病毒查殺軟件的實(shí)時(shí)監(jiān)測(cè)功能（6）加強(qiáng)對(duì)網(wǎng)絡(luò)流量等異常情況的監(jiān)測(cè)（7）有規(guī)律的備份系統(tǒng)關(guān)鍵數(shù)據(jù)，建立應(yīng)對(duì)災(zāi)難的數(shù)據(jù)安全策略

第9頁(yè)，共42頁(yè)。9網(wǎng)絡(luò)安全與防范5/9/20245．如何選擇計(jì)算機(jī)病毒防治產(chǎn)品具有發(fā)現(xiàn)、隔離并清除病毒功能；具有實(shí)時(shí)報(bào)警（包括文件監(jiān)控、郵件監(jiān)控、網(wǎng)頁(yè)腳本監(jiān)控等）功能；多種方式及時(shí)升級(jí)；統(tǒng)一部署防范技術(shù)的管理功能；對(duì)病毒清除徹底，文件修復(fù)完整、可用；產(chǎn)品的誤報(bào)、漏報(bào)率較低；占用系統(tǒng)資源合理，產(chǎn)品適應(yīng)性較好。第10頁(yè)，共42頁(yè)。10網(wǎng)絡(luò)安全與防范5/9/20246．常用的防病毒軟件站點(diǎn)或公司名稱(chēng)網(wǎng)址瑞星公司北京金山軟件有限公司冠群金辰軟件有限公司江民科技卡巴斯基實(shí)驗(yàn)室諾頓公司/zh/cn/norton/index.jsp第11頁(yè)，共42頁(yè)。11網(wǎng)絡(luò)安全與防范5/9/20249.1.2應(yīng)對(duì)黑客攻擊黑客（hacker）：通常具有硬件和軟件的高級(jí)知識(shí)，并有能力通過(guò)創(chuàng)新的方法剖析系統(tǒng)，以保護(hù)網(wǎng)絡(luò)為目的，以不正當(dāng)侵入為手段找出網(wǎng)絡(luò)漏洞。駭客：

利用網(wǎng)絡(luò)漏洞破壞網(wǎng)絡(luò)的人。1．黑客和黑客技術(shù)

第12頁(yè)，共42頁(yè)。12網(wǎng)絡(luò)安全與防范5/9/2024黑客（hacker）不干涉政治，不受政治利用。不為了賺錢(qián)或工作需要。不做惡意破壞。第13頁(yè)，共42頁(yè)。13網(wǎng)絡(luò)安全與防范5/9/2024黑客（hacker）

黑客，最早源自英文hacker，早期在美國(guó)的電腦界是帶有褒義的。他們都是熱心于計(jì)算機(jī)技術(shù)，水平高超的電腦專(zhuān)家，尤其是程序設(shè)計(jì)人員，現(xiàn)在算是一個(gè)統(tǒng)稱(chēng)。紅客，維護(hù)國(guó)家利益代表中國(guó)人民意志的紅客，他們熱愛(ài)自己的祖國(guó)，民族，和平，極力的維護(hù)國(guó)家安全與尊嚴(yán)。藍(lán)客，信仰自由，提倡愛(ài)國(guó)主義的黑客們，用自己的力量來(lái)維護(hù)網(wǎng)絡(luò)的和平。白客，又叫安全防護(hù)者，用尋常話(huà)說(shuō)就是使用黑客技術(shù)去做網(wǎng)絡(luò)安全防護(hù)，他們進(jìn)入各大科技公司專(zhuān)門(mén)防護(hù)網(wǎng)絡(luò)安全?；铱?，亦駭客，又稱(chēng)破壞者，他們?cè)谀切┘t、白、黑客眼里是破壞者，是蓄意毀壞系統(tǒng)，惡意攻擊等等一系列的破壞手段。在中國(guó)，人們經(jīng)常把黑客跟駭客搞混。實(shí)際區(qū)別很大。第14頁(yè)，共42頁(yè)。14網(wǎng)絡(luò)安全與防范5/9/2024著名黑客KenThompson和DennisRitchie--貝爾實(shí)驗(yàn)室的電腦科學(xué)操作組程序員。兩人在1969年發(fā)明了Unix操作系統(tǒng)。SteveWozniak--蘋(píng)果電腦創(chuàng)辦人之一。LinusTorvalds--他于1991年開(kāi)發(fā)了著名的Linux內(nèi)核。第15頁(yè)，共42頁(yè)。15網(wǎng)絡(luò)安全與防范5/9/20242．黑客攻擊的主要方式黑客技術(shù)：發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的缺陷和漏洞，并實(shí)施攻擊的技術(shù)。包括軟件缺陷、硬件缺陷、網(wǎng)絡(luò)協(xié)議缺陷、管理缺陷和人為的失誤。（1）拒絕服務(wù)攻擊：使被攻擊對(duì)象的系統(tǒng)關(guān)鍵資源過(guò)載，停止部分或全部服務(wù)。是最基本的入侵攻擊手段，也是最難對(duì)付的入侵攻擊之一。

第16頁(yè)，共42頁(yè)。16網(wǎng)絡(luò)安全與防范5/9/20242．黑客攻擊的主要方式（2）非授權(quán)訪問(wèn)嘗試：對(duì)被保護(hù)文件讀、寫(xiě)或執(zhí)行的嘗試。（3）預(yù)探測(cè)攻擊：例如SATAN掃描、端口掃描和IP半途掃描等。（4）可疑活動(dòng)：指網(wǎng)絡(luò)上不希望有的活動(dòng)。（5）協(xié)議解碼（6）系統(tǒng)代理攻擊：針對(duì)單個(gè)主機(jī)第17頁(yè)，共42頁(yè)。17網(wǎng)絡(luò)安全與防范5/9/2024黑客攻擊的步驟第1步信息收集：獲取目標(biāo)系統(tǒng)的信息，如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、IP地址分配、端口的使用情況等。第2步獲得對(duì)系統(tǒng)的訪問(wèn)權(quán)限：通過(guò)口令猜測(cè)、社會(huì)工程、建立后門(mén)等攻擊手段，利用系統(tǒng)存在的漏洞來(lái)獲得對(duì)系統(tǒng)的訪問(wèn)權(quán)限。第3步破壞系統(tǒng)或盜取信息

：利用非法獲得的對(duì)系統(tǒng)的訪問(wèn)權(quán)限，運(yùn)行非法程序。第4步消除入侵痕跡：入侵后盡力消除入侵痕跡，如更改或者刪除系統(tǒng)文件或日志。第18頁(yè)，共42頁(yè)。18網(wǎng)絡(luò)安全與防范5/9/20249.1.3流氓軟件與瑞星的碎甲技術(shù)“流氓軟件”同時(shí)具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開(kāi)后門(mén)），介于病毒和正規(guī)軟件之間。（1）廣告軟件

（2）間諜軟件：安裝“后門(mén)程序”；（3）瀏覽器劫持：對(duì)瀏覽器篡改；（4）行為記錄軟件：竊取并分析隱私數(shù)據(jù)，記錄使用習(xí)慣；（5）惡意共享軟件：指某些共享軟件強(qiáng)迫用戶(hù)注冊(cè)、捆綁各類(lèi)惡意插件。1．流氓軟件的分類(lèi)

第19頁(yè)，共42頁(yè)。19網(wǎng)絡(luò)安全與防范5/9/2024Rootkits最早是一組用于UNIX操作系統(tǒng)的工具集，黑客使用它們隱藏入侵活動(dòng)的痕跡。

Rootkits主要分為兩大類(lèi)：一種是進(jìn)程注入式Rootkits，另一種是驅(qū)動(dòng)級(jí)Rootkits。進(jìn)程注入式Rootkits可以通過(guò)使用殺毒軟件的開(kāi)機(jī)掃描功能輕松清除。驅(qū)動(dòng)級(jí)的Rootkits通過(guò)在Windows啟動(dòng)時(shí)加載Rootkits驅(qū)動(dòng)程序，獲取對(duì)Windows的控制權(quán)。2．什么是Rootkits?

9.1.3流氓軟件與瑞星的碎甲技術(shù)第20頁(yè)，共42頁(yè)。20網(wǎng)絡(luò)安全與防范5/9/2024瑞星“碎甲”技術(shù)通過(guò)對(duì)Windows驅(qū)動(dòng)程序加載點(diǎn)進(jìn)行攔截，發(fā)現(xiàn)Rootkits時(shí)自動(dòng)使其保護(hù)功能失效。瑞星的碎甲技術(shù)殺毒軟件存在病毒或流氓軟件？操作系統(tǒng)API查找文件流氓軟件、病毒、木馬找到存在RootKits失效瑞星碎甲技術(shù)第21頁(yè)，共42頁(yè)。21網(wǎng)絡(luò)安全與防范5/9/20249.2防火墻技術(shù)

防火墻是內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸，現(xiàn)代防火墻技術(shù)不僅要完成傳統(tǒng)防火墻的過(guò)濾任務(wù)，還有正朝著數(shù)據(jù)安全與用戶(hù)認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。任務(wù)分析第22頁(yè)，共42頁(yè)。22網(wǎng)絡(luò)安全與防范5/9/20249.2.1防火墻防火墻是在一個(gè)受保護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)間，用來(lái)強(qiáng)制執(zhí)行企業(yè)安全策略的一個(gè)或一組系統(tǒng)。防止外部網(wǎng)絡(luò)用戶(hù)以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源；保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。

第23頁(yè)，共42頁(yè)。23網(wǎng)絡(luò)安全與防范5/9/2024防火墻示意圖

第24頁(yè)，共42頁(yè)。24網(wǎng)絡(luò)安全與防范5/9/20241．防火墻的功能（1）過(guò)濾不安全服務(wù)和非法用戶(hù)，禁止未授權(quán)的用戶(hù)訪問(wèn)受保護(hù)的網(wǎng)絡(luò)。（2）控制對(duì)特殊站點(diǎn)的訪問(wèn)。

允許受保護(hù)網(wǎng)絡(luò)的一部分主機(jī)如郵件服務(wù)器、FTP服務(wù)器和Web服務(wù)器等被外部網(wǎng)訪問(wèn)，而另一部分被保護(hù)起來(lái)，防止不必要的訪問(wèn)。（3）監(jiān)視網(wǎng)絡(luò)訪問(wèn)，提供安全預(yù)警。第25頁(yè)，共42頁(yè)。25網(wǎng)絡(luò)安全與防范5/9/20242.防火墻的分類(lèi)（1）網(wǎng)絡(luò)級(jí)防火墻--包過(guò)濾路由器

（2）電路級(jí)防火墻—電路網(wǎng)關(guān)（3）應(yīng)用級(jí)防火墻—應(yīng)用網(wǎng)關(guān)（4）監(jiān)測(cè)型防火墻2．防火墻的基本類(lèi)型第26頁(yè)，共42頁(yè)。26網(wǎng)絡(luò)安全與防范5/9/20242．防火墻的基本類(lèi)型防火墻存在軟件和硬件兩種形式。

具備包過(guò)濾功能的路由器（或充當(dāng)路由器的計(jì)算機(jī)），通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn)，否則將數(shù)據(jù)拒之門(mén)外。優(yōu)點(diǎn)：簡(jiǎn)單實(shí)用，實(shí)現(xiàn)成本較低，適合應(yīng)用環(huán)境比較簡(jiǎn)單的情況。缺點(diǎn)：不能理解網(wǎng)絡(luò)層以上的高層網(wǎng)絡(luò)協(xié)議，無(wú)法識(shí)別基于應(yīng)用層的惡意侵入。（1）包過(guò)濾路由器

第27頁(yè)，共42頁(yè)。27網(wǎng)絡(luò)安全與防范5/9/2024（1）包過(guò)濾路由器

下圖給出了包過(guò)濾路由器結(jié)構(gòu)示意圖。第28頁(yè)，共42頁(yè)。28網(wǎng)絡(luò)安全與防范5/9/2024（2）電路級(jí)防火墻—電路網(wǎng)關(guān)電路網(wǎng)關(guān)工作在傳輸層。

不允許內(nèi)部主機(jī)與外部之間直接進(jìn)行TCP連接，而是建立兩個(gè)TCP連接：一個(gè)在網(wǎng)關(guān)和內(nèi)部主機(jī)上的TCP用戶(hù)程序之間，另一個(gè)在網(wǎng)關(guān)和外部主機(jī)的TCP用戶(hù)程序之間。通常用于內(nèi)部網(wǎng)絡(luò)對(duì)外部的訪問(wèn)，與堡壘主機(jī)相配合可設(shè)置成混合網(wǎng)關(guān)，對(duì)于向內(nèi)的連接支持應(yīng)用層服務(wù)，而對(duì)于向外的連接支持傳輸層功能。第29頁(yè)，共42頁(yè)。29網(wǎng)絡(luò)安全與防范5/9/2024（3）應(yīng)用級(jí)防火墻—應(yīng)用網(wǎng)關(guān)應(yīng)用網(wǎng)關(guān)工作應(yīng)用層，通常指運(yùn)行代理服務(wù)器軟件的一臺(tái)計(jì)算機(jī)主機(jī)。代理服務(wù)器位于客戶(hù)機(jī)與服務(wù)器之間。從客戶(hù)機(jī)來(lái)看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器。而從服務(wù)器來(lái)看，代理服務(wù)器又是一臺(tái)真正的客戶(hù)機(jī)。

第30頁(yè)，共42頁(yè)。30網(wǎng)絡(luò)安全與防范5/9/2024應(yīng)用網(wǎng)關(guān)的工作模型第31頁(yè)，共42頁(yè)。31網(wǎng)絡(luò)安全與防范5/9/2024應(yīng)用代理基本工作原理第32頁(yè)，共42頁(yè)。32網(wǎng)絡(luò)安全與防范5/9/2024應(yīng)用網(wǎng)關(guān)優(yōu)缺點(diǎn)缺點(diǎn)：使訪問(wèn)速度變慢在重負(fù)載下，代理服務(wù)器可能成為網(wǎng)絡(luò)瓶頸。優(yōu)點(diǎn)：代理服務(wù)器擁有高速緩存，能夠節(jié)約時(shí)間和網(wǎng)絡(luò)資源外部網(wǎng)絡(luò)只能看到代理服務(wù)器，看部到內(nèi)網(wǎng)的具體結(jié)構(gòu)比包過(guò)濾更可靠，而且會(huì)詳細(xì)地記錄所有的訪問(wèn)狀態(tài)信息第33頁(yè)，共42頁(yè)。33網(wǎng)絡(luò)安全與防范5/9/2024（4）監(jiān)測(cè)型防火墻對(duì)各層的數(shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，加以分析，判斷出各層中的非法侵入。帶有分布式探測(cè)器，安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，能檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊，同時(shí)防范來(lái)自?xún)?nèi)部的惡意破壞。

第34頁(yè)，共42頁(yè)。34網(wǎng)絡(luò)安全與防范5/9/20249.2.2常見(jiàn)的防火墻配置最簡(jiǎn)單的防火墻配置就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個(gè)包過(guò)濾路由器或者應(yīng)用網(wǎng)關(guān)。

將幾種防火墻技術(shù)組合起來(lái)構(gòu)建防火墻系統(tǒng)，一般來(lái)說(shuō)有3種最基本的配置。

第35頁(yè)，共42頁(yè)。35網(wǎng)絡(luò)安全與防范5/9/2024（1）雙宿主機(jī)網(wǎng)關(guān)用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)（又稱(chēng)保壘主機(jī)）做防火墻，一個(gè)適配器是網(wǎng)卡，與內(nèi)部網(wǎng)相連；另一個(gè)根據(jù)與Internet的連接方式可以是網(wǎng)卡、調(diào)制解調(diào)器或ISDN卡等。外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的通信必須經(jīng)過(guò)雙重宿主主機(jī)的過(guò)濾和控制。第36頁(yè)，共42頁(yè)。36網(wǎng)絡(luò)安全與防范5/9/2024使用一個(gè)包過(guò)濾路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開(kāi)，同時(shí)在內(nèi)部網(wǎng)絡(luò)上安裝一個(gè)堡壘主機(jī)，由堡壘主機(jī)開(kāi)放可允許的連接到外部網(wǎng)。屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。

（2）屏蔽主機(jī)網(wǎng)關(guān)第37頁(yè)，共42頁(yè)。37網(wǎng)絡(luò)安全與防范5/9/2024因?yàn)楸局鳈C(jī)是用戶(hù)網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。通過(guò)額外添加一層保護(hù)體系——周邊網(wǎng)絡(luò)，將堡壘主機(jī)放在周邊網(wǎng)絡(luò)上，用內(nèi)部路由器分開(kāi)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，從而隔