電子課件-網(wǎng)絡(luò)安全技術(shù)項(xiàng)目引導(dǎo)教程

項(xiàng)目1網(wǎng)絡(luò)安全分析學(xué)習(xí)要點(diǎn)

計(jì)算機(jī)網(wǎng)絡(luò)安全的概念。

計(jì)算機(jī)網(wǎng)絡(luò)安全威脅。

計(jì)算機(jī)網(wǎng)絡(luò)安全策略。

網(wǎng)絡(luò)安全防護(hù)的主要措施。1.1計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念1.1.1網(wǎng)絡(luò)安全的定義廣義的網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中數(shù)據(jù)受到保護(hù)，不因無(wú)意或故意威脅而遭到破壞、更改、泄露，保證網(wǎng)絡(luò)系統(tǒng)連續(xù)、可靠、正常的運(yùn)行。國(guó)際標(biāo)準(zhǔn)化組織（ISO）對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。1．從不同角度解釋網(wǎng)絡(luò)安全（1）用戶（2）網(wǎng)絡(luò)管理者（3）安全保密部門（4）社會(huì)教育2．從不同應(yīng)用解釋網(wǎng)絡(luò)安全（1）運(yùn)行系統(tǒng)安全（2）系統(tǒng)信息安全1.1.2網(wǎng)絡(luò)安全的特性（1）可用性（2）機(jī)密性（3）完整性（4）可靠性（5）不可抵賴性1.2計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅1.2.1網(wǎng)絡(luò)安全威脅的分類主動(dòng)攻擊和被動(dòng)攻擊有以下4種具體類型。1．竊聽2．中斷3．篡改4．偽造1.2.2計(jì)算機(jī)病毒的威脅計(jì)算機(jī)病毒只是一段可執(zhí)行的程序代碼。它附在各種文件中，隨著文件從一個(gè)用戶復(fù)制給其他用戶。目前來(lái)看，病毒傳播的主要途徑有：一是利用U盤和光盤傳播；二是通過(guò)軟件傳播；三是通過(guò)網(wǎng)絡(luò)1.2.3木馬程序的威脅木馬程序其實(shí)是一種遠(yuǎn)程控制程序，也稱間諜程序或后門程序。木馬程序一般是人為編程，它提供了用戶不希望得到的功能，這些功能常常是有害的；它把有害的功能隱藏在可以公開的功能中，以達(dá)到掩蓋真實(shí)目的的企圖。1.2.4網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是一種主動(dòng)攻擊，它是為了網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)設(shè)計(jì)的工具，用來(lái)監(jiān)視網(wǎng)絡(luò)狀態(tài)和數(shù)據(jù)傳輸?shù)?，但是由于它具有截獲網(wǎng)絡(luò)數(shù)據(jù)的功能，常常被黑客使用從網(wǎng)絡(luò)通信中獲取所需的用戶信息，從而分析用戶的日常網(wǎng)絡(luò)活動(dòng)和習(xí)慣。1.2.5黑客攻擊黑客攻擊是未經(jīng)授權(quán)就使用網(wǎng)絡(luò)資源，且對(duì)網(wǎng)絡(luò)設(shè)備和資源進(jìn)行非正常的使用。黑客攻擊是對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的缺陷和漏洞的發(fā)現(xiàn)，以及針對(duì)這些缺陷和漏洞的攻擊。1.2.6惡意程序攻擊惡意程序也稱為惡意軟件或流氓軟件，是指帶有攻擊意圖的一段程序，它是對(duì)破壞或影響系統(tǒng)運(yùn)行的軟件的統(tǒng)稱。惡意程序介于病毒軟件和正規(guī)軟件之間，同時(shí)具備正常功能（下載、媒體播放等）和惡意行為（彈廣告）。1.3網(wǎng)絡(luò)安全威脅產(chǎn)生的根源1.3.1系統(tǒng)及程序漏洞系統(tǒng)及程序漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在編寫時(shí)產(chǎn)生的邏輯錯(cuò)誤，這個(gè)缺陷或錯(cuò)誤可以被不法用戶或者黑客利用。目前系統(tǒng)漏洞被發(fā)現(xiàn)的速度加快，攻擊的時(shí)間變短。1.3.2網(wǎng)絡(luò)安全防護(hù)所需設(shè)施存在的問(wèn)題1．硬件防火墻2．入侵檢測(cè)系統(tǒng)3．網(wǎng)絡(luò)隔離設(shè)備1.3.3安全防護(hù)知識(shí)方面存在的問(wèn)題對(duì)于網(wǎng)絡(luò)安全而言，意識(shí)淡薄和管理不力是非常大的影響因素。以下是幾種常見的因管理不善而引起的安全威脅隱患。1）媒體使用控制問(wèn)題。2）用戶賬戶管理不善。3）用戶權(quán)限不合理。4）網(wǎng)站訪問(wèn)控制不善。5）軟件下載、安裝控制不善。6）機(jī)房安全管理不善。1.4網(wǎng)絡(luò)安全策略1.4.1網(wǎng)絡(luò)安全策略設(shè)計(jì)的原則1．木桶原則2．整體性原則3．均衡原則4．一致性原則5．技術(shù)與管理相結(jié)合原則6．統(tǒng)籌規(guī)劃，分步實(shí)施原則7．等級(jí)性原則8．動(dòng)態(tài)性原則9．易操作性原則1.4.2幾種網(wǎng)絡(luò)安全策略1．物理安全策略2．訪問(wèn)控制策略3．信息加密策略4．網(wǎng)絡(luò)安全管理策略1.5計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀與發(fā)展1.5.1計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀目前，計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的突出問(wèn)題有以下3個(gè)方面。1．網(wǎng)絡(luò)中計(jì)算機(jī)系統(tǒng)受病毒感染的數(shù)量和造成的破壞情況嚴(yán)重2．黑客活動(dòng)頻繁3．安全意識(shí)淡薄1.5.2計(jì)算機(jī)網(wǎng)絡(luò)安全的發(fā)展方向下面是21世紀(jì)計(jì)算機(jī)網(wǎng)絡(luò)安全的幾個(gè)大致發(fā)展方向。1．網(wǎng)絡(luò)內(nèi)容規(guī)范化2．網(wǎng)絡(luò)系統(tǒng)管理和安全管理方面3．金融系統(tǒng)的安全4．計(jì)算機(jī)網(wǎng)絡(luò)安全的法律、法規(guī)建設(shè)5．計(jì)算機(jī)網(wǎng)絡(luò)軟件系統(tǒng)的安全6．密碼技術(shù)項(xiàng)目2網(wǎng)絡(luò)安全常用命令及

協(xié)議分析工具sniffer的應(yīng)用學(xué)習(xí)要點(diǎn)

了解計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議的基礎(chǔ)知識(shí)。

了解OSI模型及安全體系結(jié)構(gòu)。

了解TCP/IP模型及安全體系結(jié)構(gòu)。

掌握常用的網(wǎng)絡(luò)協(xié)議和常用命令。

掌握協(xié)議分析工具Sniffer的使用方法。2.1網(wǎng)絡(luò)安全協(xié)議概述2.1.1網(wǎng)絡(luò)協(xié)議無(wú)論是面對(duì)面還是通過(guò)網(wǎng)絡(luò)進(jìn)行的所有通信都要遵守預(yù)先確定的規(guī)則，即協(xié)議。這些協(xié)議由會(huì)話的特性決定。在日常的個(gè)人通信中，通過(guò)一種介質(zhì)（如電話線）通信時(shí)采用的規(guī)則不一定與使用另一種介質(zhì)（如郵寄信件）時(shí)的協(xié)議相同。網(wǎng)絡(luò)中不同主機(jī)之間的成功通信需要在許多不同協(xié)議之間進(jìn)行交互。執(zhí)行某種通信功能所需的一組內(nèi)在相關(guān)協(xié)議稱為協(xié)議簇。這些協(xié)議通過(guò)加載到各臺(tái)主機(jī)和網(wǎng)絡(luò)設(shè)備中的軟件和硬件執(zhí)行。網(wǎng)絡(luò)協(xié)議簇說(shuō)明了以下過(guò)程。1）消息的格式或結(jié)構(gòu)。2）網(wǎng)絡(luò)設(shè)備共享通往其他網(wǎng)絡(luò)的通道信息的方法。3）設(shè)備之間傳送錯(cuò)誤消息和系統(tǒng)消息的方式與時(shí)間。4）數(shù)據(jù)傳輸會(huì)話的建立和終止。2.1.2協(xié)議簇和行業(yè)標(biāo)準(zhǔn)組成協(xié)議簇的許多協(xié)議通常都要參考其他廣泛采用的協(xié)議或行業(yè)標(biāo)準(zhǔn)。標(biāo)準(zhǔn)是指已經(jīng)受到網(wǎng)絡(luò)行業(yè)認(rèn)可并經(jīng)過(guò)電氣電子工程師協(xié)會(huì)（IEEE）或Internet工程任務(wù)組（IETF）之類標(biāo)準(zhǔn)化組織批準(zhǔn)的流程或協(xié)議。在協(xié)議的開發(fā)和實(shí)現(xiàn)過(guò)程中使用標(biāo)準(zhǔn)可以確保來(lái)自不同制造商的產(chǎn)品協(xié)同工作，從而獲得有效的通信。如果某家制造商沒(méi)有嚴(yán)格遵守協(xié)議，其設(shè)備或軟件可能就無(wú)法與其他制造商生產(chǎn)的產(chǎn)品成功通信。2.1.3協(xié)議的交互1．應(yīng)用程序協(xié)議2．傳輸協(xié)議3．網(wǎng)間協(xié)議4．網(wǎng)絡(luò)訪問(wèn)協(xié)議2.1.4技術(shù)無(wú)關(guān)協(xié)議網(wǎng)絡(luò)協(xié)議描述的是網(wǎng)絡(luò)通信期間實(shí)現(xiàn)的功能。在面對(duì)面交談的示例中，通信的一項(xiàng)協(xié)議可能會(huì)規(guī)定，為了發(fā)出交談結(jié)束的信號(hào)，發(fā)言者必須保持沉默兩秒鐘。但是，這項(xiàng)協(xié)議并沒(méi)有規(guī)定發(fā)言者在這兩秒鐘內(nèi)應(yīng)該如何保持沉默。協(xié)議通常都不會(huì)說(shuō)明如何實(shí)現(xiàn)特定的功能。通過(guò)僅僅說(shuō)明特定通信規(guī)則所需要的功能是什么，而并不規(guī)定這些規(guī)則應(yīng)該如何實(shí)現(xiàn)，特定協(xié)議的實(shí)現(xiàn)就可以與技術(shù)無(wú)關(guān)。2.2OSI參考模型及其安全體系2.2.1計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)要形象地顯示各種協(xié)議之間的交互，通常會(huì)使用分層模型。分層模型形象地說(shuō)明了各層內(nèi)協(xié)議的工作方式及其與上下層之間的交互。1.2.4網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是一種主動(dòng)攻擊，它是為了網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)設(shè)計(jì)的工具，用來(lái)監(jiān)視網(wǎng)絡(luò)狀態(tài)和數(shù)據(jù)傳輸?shù)?，但是由于它具有截獲網(wǎng)絡(luò)數(shù)據(jù)的功能，常常被黑客使用從網(wǎng)絡(luò)通信中獲取所需的用戶信息，從而分析用戶的日常網(wǎng)絡(luò)活動(dòng)和習(xí)慣。1.2.5黑客攻擊黑客攻擊是未經(jīng)授權(quán)就使用網(wǎng)絡(luò)資源，且對(duì)網(wǎng)絡(luò)設(shè)備和資源進(jìn)行非正常的使用。黑客攻擊是對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的缺陷和漏洞的發(fā)現(xiàn)，以及針對(duì)這些缺陷和漏洞的攻擊。2.2.2OSI參考模型簡(jiǎn)介1．OSI參考模型的層次結(jié)構(gòu)1）物理層2）數(shù)據(jù)鏈路層3）網(wǎng)絡(luò)層4）傳輸層5）會(huì)話層6）表示層7）應(yīng)用層2.2.3ISO/OSI安全體系1．安全服務(wù)（1）認(rèn)證服務(wù)（2）訪問(wèn)控制（3）數(shù)據(jù)機(jī)密性服務(wù)（4）數(shù)據(jù)完整性服務(wù)（5）抗否認(rèn)服務(wù)2．安全機(jī)制（1）加密機(jī)制（2）數(shù)字簽名機(jī)制（3）訪問(wèn)控制（4）數(shù)據(jù)完整性（5）鑒別交換機(jī)制（6）通信流量填充機(jī)制（7）路由選擇控制機(jī)制（8）公證機(jī)制3．安全管理4．安全層次2.3TCP/IP參考模型及其安全體系2.3.1TCP/IP參考模型2．入侵檢測(cè)系統(tǒng)TCP/IP參考模型中各層功能如下。1）應(yīng)用層：是用戶訪問(wèn)網(wǎng)絡(luò)的界面。包括一些向用戶提供的常用應(yīng)用程序，如電子郵件、Web瀏覽器、文件傳輸、遠(yuǎn)程登錄等，也包括用戶在傳輸層之上建立的自己的應(yīng)用程序。2）傳輸層：負(fù)責(zé)實(shí)現(xiàn)源主機(jī)和目的主機(jī)上的實(shí)體之間的通信。它提供了兩種服務(wù)：一種是可靠的、面向連接的服務(wù)（TCP）；一種是無(wú)連接的數(shù)據(jù)報(bào)服務(wù)（UDP）。為了實(shí)現(xiàn)可靠傳輸，要在會(huì)話時(shí)建立連接，對(duì)數(shù)據(jù)包進(jìn)行校驗(yàn)和收發(fā)確認(rèn)，通信完成后再拆除連接。3）Internet層：負(fù)責(zé)數(shù)據(jù)包的路由選擇，保證數(shù)據(jù)包能順利到達(dá)指定的目的地。一個(gè)報(bào)文的不同分組可能通過(guò)不同的路徑到達(dá)目的地，因此要對(duì)報(bào)文分組加一個(gè)順序標(biāo)識(shí)符，以使目標(biāo)主機(jī)接收到所有分組后，可以按序號(hào)將分組裝配起來(lái)，恢復(fù)原報(bào)文。4）網(wǎng)絡(luò)接入層：負(fù)責(zé)接收IP數(shù)據(jù)包并通過(guò)網(wǎng)絡(luò)傳輸介質(zhì)發(fā)送數(shù)據(jù)包。2.3.2TCP/IP參考模型的安全體系1．網(wǎng)絡(luò)接入層安全2．Internet層安全3．傳輸層安全4．應(yīng)用層安全2.4常用網(wǎng)絡(luò)協(xié)議和服務(wù)2.4.1常用網(wǎng)絡(luò)協(xié)議1．IP2．TCP3．UDP2.4.2常用網(wǎng)絡(luò)服務(wù)1．活動(dòng)目錄2．WWW服務(wù)3．電子郵件4．Telnet5．FTP6．DNS2.5Windows常用的網(wǎng)絡(luò)命令2.5.1ping命令2.5.2at命令2.5.3netstat命令2.5.4tracert命令2.5.5net命令2.5.6ftp命令2.5.7nbtstat命令2.5.8telnet命令2.6協(xié)議分析工具—Sniffer的應(yīng)用2.6.1Sniffer的啟動(dòng)和設(shè)置1．啟動(dòng)Sniffer2．設(shè)置3．報(bào)文捕獲解析2.6.2解碼分析項(xiàng)目3病毒與木馬的防護(hù)

學(xué)習(xí)要點(diǎn)計(jì)算機(jī)病毒的演變史 計(jì)算機(jī)病毒的特性計(jì)算機(jī)病毒的分類及傳播途徑 計(jì)算機(jī)病毒的檢測(cè)和防御方法 木馬的類型及基本功能木馬的工作原理木馬的檢測(cè)與防御3.1計(jì)算機(jī)病毒概述3.1.1計(jì)算機(jī)病毒的定義在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中，計(jì)算機(jī)病毒被定義為“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。20世紀(jì)60年代初，美國(guó)貝爾實(shí)驗(yàn)室的3個(gè)年輕的程序員編寫了一個(gè)名為“磁芯大戰(zhàn)”的電子游戲，由玩家雙方各自編寫一套程序，通過(guò)程序復(fù)制自身來(lái)擺脫對(duì)方的控制，這是計(jì)算機(jī)病毒最初的雛形。1982年，里奇?斯克倫塔編寫了elkcloner病毒，感染蘋果電腦，該病毒發(fā)作時(shí)僅會(huì)在計(jì)算機(jī)的屏幕上顯示一首詩(shī)，這是世界上最早的計(jì)算機(jī)的病毒。1983年，美國(guó)計(jì)算機(jī)安全專家費(fèi)雷德?科恩研制出一種能夠自我復(fù)制的計(jì)算機(jī)程序，這被認(rèn)為是世界上第一例具備破壞性的計(jì)算機(jī)病毒。1988年，美國(guó)康奈爾大學(xué)研究生羅伯特?莫里斯編寫了一個(gè)計(jì)算機(jī)蠕蟲病毒，當(dāng)該病毒進(jìn)入互聯(lián)網(wǎng)后，自身瘋狂復(fù)制并擴(kuò)散到所有聯(lián)網(wǎng)計(jì)算機(jī)中，造成了巨額經(jīng)濟(jì)損失，這是世界上第一個(gè)在網(wǎng)絡(luò)上傳播的計(jì)算機(jī)病毒。3.1.2計(jì)算機(jī)病毒的演變史13.1.2計(jì)算機(jī)病毒的演變史21995年～1996年，在Windows95操作系統(tǒng)出現(xiàn)時(shí)，第一種運(yùn)行于MSOffice環(huán)境的宏病毒（MacroVirus）侵襲MSWord和Excel。1998年，CIH病毒成為世界上首例破壞硬件的病毒，它發(fā)作時(shí)不僅破壞硬盤的引導(dǎo)區(qū)和分區(qū)表，而且破壞計(jì)算機(jī)系統(tǒng)FLASHBIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞。2000年，含有VisualBasic腳本病毒“ILoveYou”附件的電子郵件被廣泛傳播，令不少計(jì)算機(jī)用戶的機(jī)器受到感染。2004年，出現(xiàn)了MyDoom和NetSky電子郵件病毒，前者利用電子郵件傳播，誘使用戶中毒并自動(dòng)轉(zhuǎn)發(fā)含有病毒的電子郵件，還在計(jì)算機(jī)中留下可供黑客攻擊的后門。3.1.3計(jì)算機(jī)病毒的特性1．破壞性2．隱蔽性3．潛伏性4．傳染性5．依附性6．針對(duì)性7．未經(jīng)授權(quán)而執(zhí)行8．不可預(yù)見性3.2計(jì)算機(jī)病毒及其分類、傳播途徑3.2.1常見計(jì)算機(jī)病毒

1．蠕蟲病毒

2．沖擊波病毒

3．震蕩波病毒

4．腳本病毒

5．ARP病毒

3.2.2計(jì)算機(jī)病毒的分類1．按寄生方式分類（1）宏病毒（2）系統(tǒng)引導(dǎo)病毒（3）文件型病毒（4）混合型病毒（5）網(wǎng)絡(luò)病毒3.2.2計(jì)算機(jī)病毒的分類22．按破壞程度分類（1）良性病毒（2）惡性病毒（3）極惡性病毒3．按傳染方式分類（1）非駐留型病毒（2）駐留型病毒3.2.2計(jì)算機(jī)病毒的分類34．按入侵方式分類（1）源代碼嵌入型病毒（2）入侵型病毒（3）操作系統(tǒng)型病毒（4）附加外殼型病毒3.2.3計(jì)算機(jī)病毒的傳播途徑1．網(wǎng)絡(luò)傳播2．無(wú)線通信傳播3．計(jì)算機(jī)硬件設(shè)備傳播4．外部移動(dòng)存儲(chǔ)設(shè)備傳播3.3計(jì)算機(jī)病毒的檢測(cè)和防御3.3.1普通計(jì)算機(jī)病毒的檢測(cè)與防御1．普通計(jì)算機(jī)病毒發(fā)作的癥狀

程序安裝運(yùn)行緩慢，用時(shí)比正常時(shí)間長(zhǎng)，安裝有異常。

屏幕顯示的不是正常程序產(chǎn)生的畫面或字符。

異常信息有規(guī)律地出現(xiàn)。

磁盤空間、內(nèi)存空間突然變小。

數(shù)據(jù)和文件突然丟失，文件名為亂碼或不能辨認(rèn)。

計(jì)算機(jī)經(jīng)常死機(jī)或者不能正常啟動(dòng)。

可執(zhí)行文件的字節(jié)數(shù)發(fā)生變化。

硬盤里出現(xiàn)不知來(lái)源的隱藏文件。

系統(tǒng)引導(dǎo)時(shí)間變長(zhǎng)，訪問(wèn)磁盤速度緩慢，程序或文件運(yùn)行速度緩慢。2．普通病毒的檢測(cè)與防御——瑞星殺毒軟件的使用“首頁(yè)”選項(xiàng)卡

“操作日志”提供給用戶主要的操作日志信息；

“信息中心”提供給用戶最新的安全信息；不同的操作按鈕提供給用戶快捷的操作方式。2．普通病毒的檢測(cè)與防御——瑞星殺毒軟件的使用“殺毒”標(biāo)簽可自主選擇殺毒方式，用戶在“對(duì)象”欄中可以按需選擇查殺目標(biāo)和快捷方式，并且可在查殺目標(biāo)或快捷方式頁(yè)面切換。用戶可以通過(guò)“查殺目標(biāo)”選擇查殺對(duì)象，針對(duì)特定對(duì)象進(jìn)行病毒掃描和清除。可以從“快捷方式”選項(xiàng)卡中直接選擇查殺目標(biāo)，也可以通過(guò)“添加”、“刪除”和“修改”按鈕管理現(xiàn)有的快捷查殺目標(biāo)。2．普通病毒的檢測(cè)與防御——瑞星殺毒軟件的使用“監(jiān)控”選項(xiàng)卡顯示瑞星監(jiān)控狀態(tài)，監(jiān)控的項(xiàng)目有：文件監(jiān)控、郵件監(jiān)控、網(wǎng)頁(yè)監(jiān)控。用戶可以單擊“開啟”或“關(guān)閉”按鈕控制監(jiān)控狀態(tài)。單擊“文件監(jiān)控”按鈕，可以對(duì)文件的監(jiān)控級(jí)別進(jìn)行從低到高的設(shè)置，也可單擊“常規(guī)設(shè)置”和“高級(jí)設(shè)置”按鈕來(lái)設(shè)置對(duì)病毒的處理方式。2．普通病毒的檢測(cè)與防御——瑞星殺毒軟件的使用“防御”選項(xiàng)卡用戶可根據(jù)自己系統(tǒng)的實(shí)際情況和需要，制定獨(dú)特的防御規(guī)則。主動(dòng)防御功能包括：系統(tǒng)加固、應(yīng)用程序訪問(wèn)控制、應(yīng)用程序保護(hù)、程序啟動(dòng)控制、惡意行為檢測(cè)、隱藏進(jìn)程檢測(cè)。用戶可以單擊“開啟”或“關(guān)閉”按鈕設(shè)置主動(dòng)防御的實(shí)施狀態(tài)。2．普通病毒的檢測(cè)與防御——瑞星殺毒軟件的使用“工具”選項(xiàng)卡在此界面中，包含病毒隔離系統(tǒng)、其他嵌入式殺毒等瑞星工具，同時(shí)還顯示了它們的工具名、版本信息、大小、操作、幫助信息。單擊工具名前的“+”，可顯示該工具的作用。在界面底部，單擊“檢查更新”按鈕，程序?qū)⑦B接瑞星網(wǎng)站下載最新的工具包。2．普通病毒的檢測(cè)與防御——瑞星殺毒軟件的使用“安檢”選項(xiàng)卡為用戶提供全面的評(píng)測(cè)日志，使用戶了解當(dāng)前計(jì)算機(jī)的安全等級(jí)及系統(tǒng)狀態(tài)，并根據(jù)用戶計(jì)算機(jī)的實(shí)際情況推薦用戶進(jìn)行相應(yīng)的操作。用戶可以通過(guò)單擊“詳細(xì)報(bào)告”鏈接來(lái)了解并檢查項(xiàng)目具體細(xì)節(jié)。。3．普通病毒的檢測(cè)與防御——卡巴斯基反病毒軟件殺毒功能的使用卡巴斯基殺毒軟件是一款比較優(yōu)秀的網(wǎng)絡(luò)殺毒軟件。它具有較強(qiáng)的中心管理和殺毒能力，能實(shí)現(xiàn)帶毒殺毒，它還提供所有類型的抗病毒防護(hù)：抗病毒掃描儀、監(jiān)控器、行為阻斷和完全檢驗(yàn)。3．普通病毒的檢測(cè)與防御——卡巴斯基反病毒軟件殺毒功能的使用掃描設(shè)置掃描設(shè)置——“附加”選項(xiàng)卡掃描設(shè)置——“啟發(fā)式分析器”選項(xiàng)卡3.3.2U盤病毒的檢測(cè)與防御1．U盤病毒的傳播過(guò)程一臺(tái)計(jì)算機(jī)感染了病毒，只要U盤連接USB端口就會(huì)被迅速感染上病毒。U盤感染病毒后，若不及時(shí)查殺病毒，當(dāng)此U盤連接到另一臺(tái)未中毒的計(jì)算機(jī)時(shí)，引發(fā)病毒感染本地計(jì)算機(jī)。2．U盤中毒癥狀判斷1）U盤雙擊打開提示拒絕訪問(wèn)2）U盤中出現(xiàn)名稱類似于Autorun的隱藏文件3）鼠標(biāo)右鍵單擊U盤，彈出的菜單中出現(xiàn)“自動(dòng)播放”等選項(xiàng)4）當(dāng)插入U(xiǎn)盤時(shí)，引起操作系統(tǒng)崩潰，開機(jī)自檢后直接或反復(fù)重啟，5）U盤里面出現(xiàn)了一個(gè)“RECYCLER”的文件夾6）U盤中出現(xiàn)了名稱與一些常見軟件名稱類似的程序7）計(jì)算機(jī)運(yùn)行緩慢，系統(tǒng)資源無(wú)故被占用3．U盤病毒的防治措施1）修改注冊(cè)表，將各個(gè)磁盤的自動(dòng)運(yùn)行功能都禁止2）打開U盤時(shí)最好使用鼠標(biāo)右鍵單擊U盤，在彈出的快捷菜單中選擇“打開”命令3）長(zhǎng)時(shí)間按住〈Shift〉鍵，將U盤連入U(xiǎn)SB端口，用鼠標(biāo)右鍵單擊U盤，在彈出的快捷菜單中選擇“資源管理器”命令4）打開U盤之前要先使用殺毒軟件對(duì)整個(gè)U盤進(jìn)行病毒掃描5）打開WinRAR壓縮軟件，在該軟件中瀏覽U盤文件6）設(shè)置“顯示所有文件和文件夾”和“已知文件類型的擴(kuò)展名”7）文件名稱類似于回收站名稱、瑞星文件名稱，在弄清其確為病毒文件后刪除該文件3.3.3ARP病毒的檢測(cè)與防御1．ARP病毒發(fā)作現(xiàn)象

計(jì)算機(jī)頻繁斷網(wǎng)、常用軟件運(yùn)行出錯(cuò)等現(xiàn)象

局域網(wǎng)的所有計(jì)算機(jī)轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng)，切換時(shí)用戶會(huì)斷一次線

聯(lián)網(wǎng)過(guò)程中，需用戶多次重新登錄2．ARP病毒的檢測(cè)（1）命令行法（2）抓包嗅探法（3）工具軟件法3．ARP病毒的防御和清除首先要找到ARP病毒的病毒源計(jì)算機(jī)，采取防御和清除病毒的手段對(duì)于中毒目標(biāo)機(jī)可采取防御和清除病毒的手段3.3.4蠕蟲病毒的檢測(cè)與防御1．Nimda病毒2．“熊貓燒香”病毒3．“掃蕩波”病毒4．“暴風(fēng)一號(hào)”病毒5．“Conflicker”病毒3.4計(jì)算機(jī)木馬概述3.4.1計(jì)算機(jī)木馬的定義計(jì)算機(jī)木馬是指一種帶有惡意性質(zhì)的遠(yuǎn)程控制軟件，它通過(guò)一段特定的程序來(lái)控制其他的計(jì)算機(jī)。計(jì)算機(jī)木馬一般分為客戶端和服務(wù)器端兩部分被植入木馬的計(jì)算機(jī)一旦運(yùn)行服務(wù)端后，遠(yuǎn)程客戶端與服務(wù)端即可建立連接通信，服務(wù)器端的計(jì)算機(jī)就能夠完全被控制，成為被操縱的對(duì)象。3.4.2計(jì)算機(jī)木馬的類型及基本功能1.計(jì)算機(jī)木馬的類型（1）遠(yuǎn)程控制型（2）提升權(quán)限型（3）信息竊取型（4）嵌套下載型（5）代理跳板型2.計(jì)算機(jī)木馬的基本功能（1）遠(yuǎn)程監(jiān)視和控制（2）遠(yuǎn)程視頻檢測(cè)（3）遠(yuǎn)程管理3.4.3計(jì)算機(jī)木馬的工作原理通常木馬會(huì)綁定在一些正常的程序中，吸引用戶下載，一旦用戶下載運(yùn)行，其中隱藏的木馬也一并被激活。還有一些木馬會(huì)隱藏在網(wǎng)頁(yè)的腳本中，在用戶通過(guò)瀏覽器執(zhí)行腳本時(shí)利用網(wǎng)站技術(shù)強(qiáng)制用戶加載木馬。植入受害計(jì)算機(jī)的木馬運(yùn)行后會(huì)自我銷毀和隱藏，木馬服務(wù)器端會(huì)搜集受害計(jì)算機(jī)的信息發(fā)送給黑客，黑客利用這些信息通過(guò)客戶端連接到受害計(jì)算機(jī)，并控制受害計(jì)算機(jī)。3.5計(jì)算機(jī)木馬的檢測(cè)與防御3.5.1普通計(jì)算機(jī)木馬的檢測(cè)與防御1．被植入木馬的計(jì)算機(jī)的表現(xiàn)

磁盤無(wú)原因地被讀盤，網(wǎng)絡(luò)連接出現(xiàn)異常

圖標(biāo)被修改

啟動(dòng)一個(gè)文件，沒(méi)有任何反應(yīng)或者會(huì)彈出一個(gè)程序出錯(cuò)的對(duì)話框

進(jìn)程中出現(xiàn)類似于系統(tǒng)文件名的進(jìn)程正在運(yùn)行

主機(jī)上有不常見的端口處于監(jiān)聽狀態(tài)

磁盤剩余空間突然縮減

瀏覽器自動(dòng)訪問(wèn)同一個(gè)異常的網(wǎng)站

突然彈出一個(gè)或多個(gè)提示框

計(jì)算機(jī)系統(tǒng)配置自動(dòng)被修改2.360安全衛(wèi)士木馬查殺功能的使用方法360安全衛(wèi)士主界面，單擊“查殺流行木馬”標(biāo)簽，定期地查殺系統(tǒng)中的木馬?？焖賿呙杩蓪?duì)系統(tǒng)內(nèi)存、啟動(dòng)對(duì)象的一些關(guān)鍵位置進(jìn)行掃描，速度較快；全面掃描可對(duì)系統(tǒng)內(nèi)存、啟動(dòng)對(duì)象及全部磁盤進(jìn)行掃描，速度較慢；自定義區(qū)域掃描可對(duì)需要掃描的范圍進(jìn)行任意設(shè)定。3.ewidoanti-spyware木馬查殺功能的使用方法ewidoanti-spyware主界面中顯示出計(jì)算機(jī)的安全狀態(tài)和授權(quán)信息，在主界面的上端有一些功能按鈕：Status（狀態(tài)）、Update（更新）、Scanner（掃描）、Shield（保護(hù)）、Infections（病毒）、Reports（報(bào)告）、Analysis（分析）、Tools（工具）等。4．手動(dòng)檢測(cè)和清除計(jì)算機(jī)木馬的通用方法1）查看連接。2）端口掃描。3）檢查注冊(cè)表。4）查看系統(tǒng)進(jìn)程。5）安裝軟件防火墻。3.5.2典型計(jì)算機(jī)木馬的手動(dòng)清除1．冰河木馬的清除2．“廣外男生”木馬的清除3.6實(shí)訓(xùn)項(xiàng)目【實(shí)訓(xùn)項(xiàng)目】清除“灰鴿子”木馬項(xiàng)目4數(shù)據(jù)加密與數(shù)字簽名技術(shù)的應(yīng)用學(xué)習(xí)要點(diǎn)對(duì)稱加密算法和非對(duì)稱加密算法的工作原理。數(shù)字簽名技術(shù)工作原理。公鑰基礎(chǔ)架構(gòu)（PKI）、CA、數(shù)字證書的工作原理和相關(guān)概念。

PGP工具軟件的應(yīng)用。

EFS工作原理及應(yīng)用。

SSL安全傳輸及安全Web站點(diǎn)的應(yīng)用配置。4.1加密技術(shù)4.1.1加密技術(shù)概述加密技術(shù)是網(wǎng)絡(luò)安全的核心技術(shù)之一，也是對(duì)付網(wǎng)絡(luò)中各種安全威脅和安全隱患的有力武器，通過(guò)適當(dāng)?shù)募用芄芾頇C(jī)制可以保證網(wǎng)絡(luò)通信的安全。本章所介紹的密碼技術(shù)是一種新型的數(shù)字化信息加密技術(shù)，并不是指普通意義上利用“密碼保護(hù)”使數(shù)據(jù)僅被授權(quán)用戶訪問(wèn)。加密技術(shù)能將一段通俗易懂的明文變換成一段晦澀難懂的密文，實(shí)現(xiàn)對(duì)數(shù)據(jù)的保護(hù)。4.1.1加密技術(shù)概述加密技術(shù)有關(guān)的專業(yè)術(shù)語(yǔ)

明文

密文

加密

解密

密鑰加密技術(shù)的應(yīng)用具備以下幾種基本特性。

機(jī)密性

完整性

可用性

抗否認(rèn)性4.1.2數(shù)據(jù)加密常見方式1．?dāng)?shù)據(jù)存儲(chǔ)加密2．?dāng)?shù)據(jù)傳輸加密（1）鏈路加密（2）節(jié)點(diǎn)加密（3）端到端加密4.2加密算法4.2.1古典加密算法1．替代密碼（1）單表替代密碼（2）多表替代密碼2．變位密碼（1）列變位密碼（2）矩陣變位密碼4.2.1古典加密算法4.2.2現(xiàn)代加密算法1．對(duì)稱加密算法（1）DES算法（2）IDEA算法（3）AES算法4.2.2現(xiàn)代加密算法2．非對(duì)稱加密算法（1）RSA算法（2）DSA算法（3）Diffie-Hellman算法4.3數(shù)字簽名技術(shù)4.3.1數(shù)字簽名技術(shù)概述數(shù)字簽名（DigitalSignature）又稱為公鑰數(shù)字簽名或電子簽章，它不同于簽名數(shù)字掃描圖像或用觸摸板獲取的簽名。一套數(shù)字簽名定義了兩種互補(bǔ)的密鑰：一種用于簽名，另一種用于驗(yàn)證。數(shù)字簽名一般具有以下3種特性。

完整性

不可偽造性

不可抵賴性4.3.2數(shù)字簽名技術(shù)的工作原理數(shù)據(jù)發(fā)送方使用自己的私鑰對(duì)數(shù)據(jù)及與數(shù)據(jù)有關(guān)的變量進(jìn)行運(yùn)算，將合法的數(shù)字簽名與數(shù)據(jù)原文一起傳送給接收方，接收方利用發(fā)送方的公鑰對(duì)收到的數(shù)字簽名進(jìn)行運(yùn)算，將得到的結(jié)果與發(fā)送方發(fā)送過(guò)來(lái)的簽名做比較，如果相同，則說(shuō)明收到的數(shù)據(jù)是完整的，反之說(shuō)明數(shù)據(jù)被修改過(guò)，以此對(duì)數(shù)據(jù)完整性做檢驗(yàn)，以確認(rèn)簽名的真實(shí)性和合法性。4.3.3數(shù)字簽名技術(shù)的算法一般數(shù)字簽名包括普通數(shù)字簽名和特殊數(shù)字簽名兩種：普通數(shù)字簽名算法有DES、DSA、RSA、ElGamal、Fiat-Shamir算法等；特殊數(shù)字簽名有盲簽名、群簽名、代理簽名、不可否認(rèn)簽名等，它與具體應(yīng)用環(huán)境相關(guān)。MD5是目前應(yīng)用最廣泛的報(bào)文摘要算法，是一個(gè)可以為每段數(shù)據(jù)生成一個(gè)數(shù)字簽名的工具，屬于哈希函數(shù)的一種。4.4PKI技術(shù)4.4.1PKI概述在Diffie-Hellman算法思想的基礎(chǔ)上，很快出現(xiàn)了非對(duì)稱密鑰密碼體制，即PKI。PKI（PublicKeyInfrastructure）稱為公鑰基礎(chǔ)架構(gòu)，它利用非對(duì)稱密碼算法原理和技術(shù)來(lái)提供一種安全服務(wù)，實(shí)現(xiàn)具有通用性的安全基礎(chǔ)設(shè)施，并遵循標(biāo)準(zhǔn)的公鑰加密技術(shù)為網(wǎng)絡(luò)數(shù)據(jù)安全傳輸提供一個(gè)安全的基礎(chǔ)平臺(tái)。4.4.2PKI技術(shù)原理PKI技術(shù)利用公鑰理論和技術(shù)建立并提供網(wǎng)絡(luò)信息安全服務(wù)的基礎(chǔ)設(shè)施，能夠?yàn)榫W(wǎng)絡(luò)中所有用戶提供所需的密鑰管理，用戶可以在PKI平臺(tái)上實(shí)現(xiàn)加密和數(shù)字簽名等密碼服務(wù)。PKI系統(tǒng)應(yīng)具備以下幾個(gè)部分：1．CA（CertificateAuthority）2．?dāng)?shù)字證書庫(kù)3．密鑰備份及還原系統(tǒng)4．證書吊銷系統(tǒng)5．PKI應(yīng)用接口系統(tǒng)4.4.3證書頒發(fā)機(jī)構(gòu)CA作為網(wǎng)絡(luò)安全通信中受信任和具有權(quán)威性的第三方，承擔(dān)公鑰體系中公鑰的合法性驗(yàn)證的工作。CA在密鑰管理方面的主要作用如下：1．管理自身密鑰2．密鑰生成和分發(fā)3．管理客戶證書4．密鑰托管和密鑰還原4.4.4數(shù)字證書1．?dāng)?shù)字證書概述數(shù)字證書是網(wǎng)絡(luò)中標(biāo)識(shí)通信雙方身份信息的一系列數(shù)據(jù)的總和，是一個(gè)由CA證書頒發(fā)機(jī)構(gòu)進(jìn)行數(shù)字簽名并頒發(fā)的包含公鑰擁有者信息和公鑰的文件。2．?dāng)?shù)字證書的內(nèi)容一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容

證書的版本信息。

證書的序列號(hào)，一個(gè)唯一的證書序列號(hào)。

證書所使用的簽名算法。

證書所有者的名稱，命名規(guī)則通常采用X.500格式。

證書發(fā)行機(jī)構(gòu)的名稱，命名規(guī)則通常采用X.500格式。

證書有效期，現(xiàn)在通用的證書通常采用UTC時(shí)間格式。

證書所有者的公開密鑰。

證書頒發(fā)者對(duì)證書的簽名。3．?dāng)?shù)字證書的申請(qǐng)過(guò)程每個(gè)客戶首先產(chǎn)生自己的密鑰對(duì)，自己設(shè)定一個(gè)特定的僅為本人所知的私鑰用來(lái)進(jìn)行解密和簽名，設(shè)定一個(gè)公鑰用于其他人加密發(fā)送給自己消息或用于驗(yàn)證自己簽名。客戶將公鑰及部分個(gè)人身份信息傳送給CA。CA核實(shí)身份后，再次請(qǐng)求確認(rèn)由用戶發(fā)送而來(lái)的信息，CA接著將頒發(fā)給客戶一個(gè)數(shù)字證書，該證書內(nèi)包含客戶的個(gè)人信息及其公鑰，同時(shí)還附有認(rèn)證中心的數(shù)字簽名?？蛻艨墒褂米约旱臄?shù)字證書與其他通信方安全交換數(shù)據(jù)。4.4.5PGP原理及應(yīng)用PGP概述1．PGP簡(jiǎn)介

PGP（PrettyGoodPrivacy）是一個(gè)基于RSA公鑰加密體系的加密軟件，它充分結(jié)合了RSA公鑰加密體系的強(qiáng)度和傳統(tǒng)加密體系的速度，并且在數(shù)字簽名和密鑰認(rèn)證管理機(jī)制上進(jìn)行了巧妙的設(shè)計(jì)。2．PGP加密原理

PGP實(shí)際上用來(lái)加密的不是RSA本身，而是采用了IDEA。PGP采用IDEA隨機(jī)生成一個(gè)密鑰加密明文，然后用RSA算法對(duì)該密鑰進(jìn)行加密，接收方則用RSA解出這個(gè)密鑰，再用這個(gè)密鑰解密密文。4.5.2PGP密鑰的創(chuàng)建1．新建PGP密鑰2．創(chuàng)建主密鑰4.5.3PGP文件加密和解密1．加密文件2．解密文件4.5.4PGP密鑰導(dǎo)出與導(dǎo)入1．導(dǎo)出密鑰2．導(dǎo)入密鑰4.5.5PGP電子郵件加、解密和簽名驗(yàn)證1．發(fā)送加密郵件2．解密郵件4.5.6PGP數(shù)字簽名選擇要簽名的密鑰選擇要簽名的文件簽名并保存校驗(yàn)簽名4.6EFS原理及應(yīng)用4.6.1EFS概述EFS（EncryptingFileSystem，加密文件系統(tǒng)）是Windows操作系統(tǒng)中NTFS的一個(gè)組件，用于在NTFS的磁盤上加密存儲(chǔ)文件（夾）。EFS采用的是高級(jí)的標(biāo)準(zhǔn)加密算法，與文件系統(tǒng)集成在一起，使其易于管理，安全性高。4.6.2EFS的加密和解密1．加密過(guò)程（1）圖形界面加密（2）命令行加密2．解密過(guò)程（1）圖形界面解密（2）命令行解密4.6.3EFS的其他應(yīng)用1．禁用EFS加密2．備份EFS密鑰3．導(dǎo)入EFS密鑰4.7SSL安全傳輸及應(yīng)用4.7.1SSL概述SSL（SecureSocketsLayer，安全套接字協(xié)議層）以公鑰加密為基礎(chǔ)，是一個(gè)能夠確認(rèn)網(wǎng)站身份，將所傳送信息加密的安全性通信協(xié)議。網(wǎng)站必須向CA申請(qǐng)?zhí)峁㏒SL證書，擁有此證書才能啟用SSL功能。4.7.2SSL的工作原理啟用SSL的目的是為建立一個(gè)通信雙方都認(rèn)可的“會(huì)話密鑰”，這個(gè)密鑰用于加密、解密和驗(yàn)證雙方通信信息。用戶瀏覽器與網(wǎng)站雙方開始協(xié)商SSL連接信息加密的級(jí)別，根據(jù)雙方協(xié)商的安全級(jí)別瀏覽器建立會(huì)話密鑰，并用網(wǎng)站的公鑰加密會(huì)話密鑰后傳送給網(wǎng)站，網(wǎng)站用私鑰解密獲得會(huì)話密鑰。最后網(wǎng)站與瀏覽器雙方都用這個(gè)會(huì)話密鑰來(lái)加、解密它們之間傳送的信息。4.7.3安裝證書服務(wù)先將IIS安裝好添加刪除組件證書服務(wù)

選擇CA類型選擇公鑰／私鑰對(duì)CA識(shí)別信息證書數(shù)據(jù)庫(kù)設(shè)置4.7.4申請(qǐng)證書打開IIS證書向?qū)螕簟靶陆ㄗC書”

設(shè)置延遲或立即請(qǐng)求設(shè)置名稱和安全性填寫單位信息、站點(diǎn)公用名稱、地理信息、證書請(qǐng)求文件名，得到加密后的證書請(qǐng)求文件訪問(wèn)證書服務(wù)網(wǎng)站，選擇高級(jí)證書申請(qǐng)將加密后的證書請(qǐng)求文件粘貼到“保存的申請(qǐng)”中提交證書申請(qǐng)4.7.5頒發(fā)Web服務(wù)器證書打開CA證書服務(wù)器，依次選擇“證書頒發(fā)機(jī)構(gòu)（本地）”→“haha”→“掛起的申請(qǐng)”鼠標(biāo)右鍵單擊需頒發(fā)的申請(qǐng)，在彈出的快捷菜單中選擇“所有任務(wù)”→“頒發(fā)”命令4.7.6安裝服務(wù)器證書從網(wǎng)站上下載證書Web服務(wù)器證書向?qū)幚頀炱鸬淖C書請(qǐng)求SSL端口設(shè)置為443查看證書摘要完成4.7.7Web服務(wù)器的SSL設(shè)置打開默認(rèn)網(wǎng)站屬性打開“目錄安全性”選項(xiàng)卡設(shè)置SSL端口號(hào)為443配置“安全通信”

選中“要求128位加密”復(fù)選框在“客戶端證書”中，單擊“忽略客戶端證書”

4.7.8瀏覽器的SSL設(shè)置申請(qǐng)Web瀏覽器證書填寫識(shí)別信息提交查看瀏覽器證書申請(qǐng)狀態(tài)安裝已經(jīng)頒發(fā)的Web瀏覽器證書4.7.9訪問(wèn)SSL站點(diǎn)設(shè)置瀏覽器使用SSL2.0/3.0基于SSL的Web訪問(wèn)4.8實(shí)訓(xùn)項(xiàng)目【實(shí)訓(xùn)項(xiàng)目】加密與解密【實(shí)訓(xùn)目的】學(xué)會(huì)應(yīng)用加密與解密、校驗(yàn)數(shù)據(jù)和數(shù)字簽名。項(xiàng)目5防火墻技術(shù)的應(yīng)用學(xué)習(xí)要點(diǎn)防火墻的功能。防火墻的實(shí)現(xiàn)技術(shù)。防火墻的體系結(jié)構(gòu)。防火墻的工作模式。防火墻的實(shí)施方式。瑞星防火墻介紹。ISA2004防火墻介紹。Linux的Iptables防火墻介紹。CiscoPIX防火墻介紹。5.1防火墻概述

在計(jì)算機(jī)網(wǎng)絡(luò)中，防火墻是內(nèi)網(wǎng)和外網(wǎng)之間的樞紐。通常內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的，而外部網(wǎng)絡(luò)（通常是Internet）被認(rèn)為是不安全和不可信賴的。防火墻的作用是阻止未經(jīng)授權(quán)的流量進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過(guò)訪問(wèn)控制，保護(hù)內(nèi)網(wǎng)用戶不受外網(wǎng)的攻擊。

1、一切未被允許的就是禁止的。2、一切未被禁止的就是允許的。5.1.1防火墻的基本準(zhǔn)則1．內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的數(shù)據(jù)流都必須經(jīng)過(guò)防火墻。2．只有滿足防火墻訪問(wèn)控制的數(shù)據(jù)流才能通過(guò)防火墻。3．防火墻自身能夠抵抗攻擊。5.1.2防火墻的主要功能特性5.1.3防火墻的局限性

1、不能防御內(nèi)部攻擊。2、不能防御數(shù)據(jù)驅(qū)動(dòng)的攻擊。5.2防火墻的實(shí)現(xiàn)技術(shù)

防火墻的實(shí)現(xiàn)技術(shù)主要是數(shù)據(jù)包過(guò)濾與應(yīng)用層代理。這兩種技術(shù)可以單獨(dú)使用也可以結(jié)合起來(lái)使用，使得防火墻產(chǎn)品可以向內(nèi)部網(wǎng)絡(luò)用戶同時(shí)提供數(shù)據(jù)包過(guò)濾與應(yīng)用層代理功能。5.2.1數(shù)據(jù)包過(guò)濾

數(shù)據(jù)包過(guò)濾技術(shù)就是對(duì)內(nèi)、外網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照某些特征事先設(shè)置一系列的安全規(guī)則（或稱安全策略），進(jìn)行過(guò)濾或篩選，使符合安全規(guī)則的數(shù)據(jù)包通過(guò)，而丟棄那些不符合安全規(guī)則的數(shù)據(jù)包。5.2.2應(yīng)用層代理

應(yīng)用層代理是指在應(yīng)用層上為轉(zhuǎn)發(fā)數(shù)據(jù)的客戶端服務(wù)，防火墻會(huì)根據(jù)應(yīng)用層的協(xié)議來(lái)進(jìn)行訪問(wèn)控制，防火墻不僅能夠看到下面幾層的內(nèi)容還可以看到應(yīng)用層的信息。防火墻根據(jù)應(yīng)用層的信息來(lái)作出是否進(jìn)行轉(zhuǎn)發(fā)和阻止的決定。5.2.3狀態(tài)檢測(cè)技術(shù)

防火墻可以檢測(cè)到當(dāng)前的通信數(shù)據(jù)是否屬于同一連接狀態(tài)下的信息，若是就直接放行。它采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測(cè)模塊，通過(guò)其抽取部分網(wǎng)絡(luò)數(shù)據(jù)（即狀態(tài)信息），并動(dòng)態(tài)保存起來(lái)作為以后安全決策的參考，對(duì)于無(wú)連接的協(xié)議（如RPC和基于UDP的應(yīng)用），使用它可以為之提供虛擬的會(huì)話信息。5.3防火墻的體系結(jié)構(gòu)

防火墻有3種基本結(jié)構(gòu)：雙宿/多宿主機(jī)模式、屏蔽主機(jī)模式和屏蔽子網(wǎng)模式。5.3.1雙宿/多宿主機(jī)模式

雙宿／多宿主機(jī)防火墻通常擁有兩個(gè)或多個(gè)網(wǎng)卡，每個(gè)網(wǎng)卡連接到不同網(wǎng)段5.3.2屏蔽主機(jī)模式

屏蔽主機(jī)防火墻由包過(guò)濾路由器和堡壘主機(jī)組成，在這種方式的防火墻中，堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)堡壘主機(jī)成為外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)5.3.3屏蔽子網(wǎng)模式

屏蔽子網(wǎng)防火墻的配置，采用了兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)，在內(nèi)外網(wǎng)絡(luò)之間建立了一個(gè)被隔離的子網(wǎng)，通常周邊網(wǎng)絡(luò)又叫非軍事化區(qū)域或者DMZ5.4防火墻的工作模式

防火墻的工作模式包括路由模式、透明模式和NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）模式。如果防火墻的接口可同時(shí)工作在透明與路由模式下，那么這種工作模式叫做混合模式。5.5防火墻的實(shí)施方式

1、基于單個(gè)主機(jī)的防火墻這種防火墻通常是安裝在單個(gè)系統(tǒng)上的一種軟件，它只保護(hù)這個(gè)系統(tǒng)不受侵害。2、基于網(wǎng)絡(luò)主機(jī)的防火墻3、硬件防火墻5.6瑞星個(gè)人防火墻的應(yīng)用

瑞星個(gè)人防火墻針對(duì)目前流行的黑客攻擊、釣魚網(wǎng)站等做了針對(duì)性的優(yōu)化，采用未知木馬識(shí)別、家長(zhǎng)保護(hù)、反網(wǎng)絡(luò)釣魚、多賬號(hào)管理、上網(wǎng)保護(hù)、模塊檢查、可疑文件定位、網(wǎng)絡(luò)可信區(qū)域設(shè)置、IP攻擊追蹤等技術(shù)，可以幫助用戶有效抵御黑客攻擊、網(wǎng)絡(luò)詐騙等安全風(fēng)險(xiǎn)。5.7ISAServer2004配置

ISA服務(wù)器是防火墻，可以實(shí)現(xiàn)數(shù)據(jù)包級(jí)別、電路級(jí)別和應(yīng)用程序級(jí)別的通信篩選、狀態(tài)篩選和檢查等類型的防火墻功能。ISAServer2004支持各種網(wǎng)絡(luò)應(yīng)用程序，同時(shí)支持虛擬專用網(wǎng)絡(luò)（VPN）、入侵檢測(cè)和智能的第7層應(yīng)用程序篩選器，對(duì)所有客戶端透明，支持高級(jí)身份驗(yàn)證，可以安全的服務(wù)器發(fā)布。ISAServer2004可實(shí)現(xiàn)下列功能：

保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問(wèn)。

保護(hù)Web和電子郵件服務(wù)器防御外來(lái)攻擊。

檢查傳入和傳出的網(wǎng)絡(luò)通信以確保安全性。

接收可疑活動(dòng)警報(bào)。5.8iptables防火墻

iptables是用戶配置Netfilter的工具。iptables可以配置有狀態(tài)的防火墻。iptables把有次序的規(guī)則“鏈（chain）”應(yīng)用到網(wǎng)絡(luò)數(shù)據(jù)包上，鏈的集合就構(gòu)成了“表（table）”，用于處理特殊類型的流量。5.8.1iptables中的規(guī)則表

在iptables中包含3個(gè)規(guī)則表，即Filter表、NAT表和Mangle表。1、Filter表是iptables中默認(rèn)的規(guī)則表，用于一般信息包的過(guò)濾，包含INPUT、FORWARD和OUTPUT3

個(gè)標(biāo)準(zhǔn)鏈，內(nèi)核處理的每個(gè)數(shù)據(jù)包都要經(jīng)過(guò)3個(gè)鏈中的1個(gè)。FORWARD鏈里的規(guī)則用于在一個(gè)網(wǎng)絡(luò)接口收到的而且需要轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)絡(luò)接口的所有數(shù)據(jù)包，INPUT和OUTPUT鏈里的規(guī)則分別用于目的是本地主機(jī)或者從本地主機(jī)發(fā)出的流量。每一條鏈中可以有一條或數(shù)條規(guī)則。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí)，系統(tǒng)就會(huì)從第一條規(guī)則開始檢查，看是否符合該規(guī)則所定義的條件。如果滿足，系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；如果不滿足，則繼續(xù)檢查下一條規(guī)則。最后，如果該數(shù)據(jù)包不符合該鏈中任何一條規(guī)則，系統(tǒng)就會(huì)根據(jù)該鏈預(yù)先定義的策略來(lái)處理該數(shù)據(jù)包。2、NAT表包含控制網(wǎng)絡(luò)地址轉(zhuǎn)換的規(guī)則鏈，包含PREROUTING、OUTPUT和POSTROUTING鏈。3、Mangle表包含一些規(guī)則來(lái)標(biāo)記用于高級(jí)路由的信息包，包含INPUT、OUTPUT、FORWARD、PREROUTING和POSTROUTING鏈。如果信息包及其頭內(nèi)進(jìn)行了任何更改，則使用Mangle表。5.8.2iptables命令簡(jiǎn)介

iptables命令的一般語(yǔ)法如下：#iptables[-ttable]command[match][target]其中：1、［-ttable］選項(xiàng)不是必需的，允許使用標(biāo)準(zhǔn)表之外的任何表，如果未指定，默認(rèn)為Filter表。2、command是必需的，它告訴iptables命令要做什么，例如，插入規(guī)則、將規(guī)則添加到鏈的末尾或刪除規(guī)則。3、［match］選項(xiàng)，它用于指定信息包與規(guī)則匹配所應(yīng)具有的特征（如源和目的地址、協(xié)議等）。4、［target］選項(xiàng)是由規(guī)則指定的操作，對(duì)于那些規(guī)則匹配的信息包執(zhí)行這些操作5.9PIX防火墻配置

PIX防火墻使用了數(shù)據(jù)包過(guò)濾、代理過(guò)濾以及狀態(tài)檢測(cè)包過(guò)濾在內(nèi)的多種防火墻技術(shù)，同時(shí)它也提高了應(yīng)用代理的功能，是一種混合型的防火墻。PIX防火墻通過(guò)采取安全級(jí)別方式，來(lái)表明一個(gè)接口相對(duì)另一個(gè)接口是可信（較高的安全級(jí)別）還是不可信（較低的安全級(jí)別）。如果一個(gè)接口的安全級(jí)別高于另一個(gè)接口的安全級(jí)別，這個(gè)接口就被認(rèn)為是可信任的，當(dāng)然由于安全級(jí)別較高，所以需要的保護(hù)措施也越復(fù)雜；如果一個(gè)接口的安全級(jí)別低于另一個(gè)接口的安全級(jí)別，這個(gè)接口就被認(rèn)為是不可信任的即需較少保護(hù)。

安全級(jí)別的基本規(guī)則是：具有較高安全級(jí)別的接口可以訪問(wèn)具有較低安全級(jí)別的接口。反過(guò)來(lái)，在沒(méi)有設(shè)置管道（conduit）和訪問(wèn)控制列表（ACL）的情況下，具有較低安全級(jí)別的接口不能訪問(wèn)具有較高安全級(jí)別的接口。安全級(jí)別的范圍為0～100，下面是針對(duì)這些安全級(jí)別給出的更加具體的規(guī)則。PIX防火墻支持基于CiscoIOS的命令集，但在語(yǔ)法上不完全相同。當(dāng)使用某一特定命令時(shí)，必須處于適當(dāng)?shù)哪Ｊ剑琍IX提供了4種管理訪問(wèn)模式：PIX防火墻包括以下幾個(gè)網(wǎng)絡(luò)區(qū)域。內(nèi)部網(wǎng)絡(luò)：inside。外部網(wǎng)絡(luò)：outside。中間區(qū)域：稱為DMZ，放置對(duì)外開放的服務(wù)器。項(xiàng)目6

WindowsServer2003的網(wǎng)絡(luò)安全學(xué)習(xí)要點(diǎn)

WindowsServer2003操作系統(tǒng)的網(wǎng)絡(luò)安全構(gòu)成。

賬戶策略。

訪問(wèn)控制配置。

安全模板的應(yīng)用。6.1WindowsServer2003的安全特性

WindowsServer2003安全性主要體現(xiàn)在用戶身份驗(yàn)證和基于對(duì)象的訪問(wèn)控制

為了實(shí)現(xiàn)身份驗(yàn)證，WindowsServer2003提供了3種身份驗(yàn)證方式，它們分別是NTLM、Kerberosv5和公鑰證書。6.1.1用戶身份驗(yàn)證6.1.2基于對(duì)象的訪問(wèn)控制

WindowsServer2003會(huì)為幾乎每個(gè)對(duì)象分配一個(gè)安全標(biāo)識(shí)符（SID），在WindowsServer2003中可以使用WHOAMI命令查看對(duì)象的安全標(biāo)識(shí)符。每個(gè)對(duì)象都會(huì)有一個(gè)安全標(biāo)識(shí)符，在安全標(biāo)識(shí)符中有不同的對(duì)象對(duì)應(yīng)的訪問(wèn)控制表（ACL），通過(guò)這一組訪問(wèn)控制列表來(lái)控制其他用戶對(duì)此對(duì)象的訪問(wèn)權(quán)限。6.2WindowsServer2003系統(tǒng)安全的常用配置

WindowsServer2003提供了很多安全措施，在默認(rèn)的情況下這些安全措施沒(méi)有被啟用。出于安全的需要，管理員可以對(duì)系統(tǒng)進(jìn)行配置，經(jīng)過(guò)合理配置，WindowsServer2003可以提供非常高的安全性，能應(yīng)用在各種安全性能要求較高的通信過(guò)程中。1、有選擇性地安裝組件。2、系統(tǒng)沒(méi)有配置好，不要開啟網(wǎng)絡(luò)連接。6.2.1安裝過(guò)程6.2.2正確設(shè)置和管理賬戶

為了控制好服務(wù)器上用戶的權(quán)限，同時(shí)也為了預(yù)防以后可能的入侵和溢出，還必須非常小心地設(shè)置目錄和文件的訪問(wèn)權(quán)限。WindowsServer2003的訪問(wèn)權(quán)限分為：讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下，大多數(shù)的文件夾對(duì)所有用戶（Everyone組）是完全控制的（FullControl），用戶需要根據(jù)應(yīng)用時(shí)的需求重新設(shè)置權(quán)限。在進(jìn)行權(quán)限控制時(shí)，有以下幾個(gè)原則：1、權(quán)限是累計(jì)的，如果一個(gè)用戶同時(shí)屬于兩個(gè)組，那么該用戶就有了這兩個(gè)組所允許的所有權(quán)限。2、拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會(huì)先執(zhí)行）。3、文件權(quán)限比文件夾權(quán)限高。4、利用用戶組來(lái)進(jìn)行權(quán)限控制5、只給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障。6.2.4網(wǎng)絡(luò)服務(wù)安全管理

1、關(guān)閉不需要的服務(wù)。2、關(guān)閉不用的端口。3、只開放服務(wù)需要的端口與協(xié)議。4、禁止建立空連接。6.2.5關(guān)閉無(wú)用端口

Windows的每一項(xiàng)服務(wù)都對(duì)應(yīng)相應(yīng)的端口，如WWW服務(wù)的端口是80，SMTP的端口是25，F(xiàn)TP的端口是21，WindowsServer2003中這些服務(wù)都是默認(rèn)開啟的。對(duì)于個(gè)人用戶來(lái)說(shuō)確實(shí)沒(méi)有必要，關(guān)掉這些端口也就是關(guān)閉了這些服務(wù)。

關(guān)閉這些服務(wù)的方法是通過(guò)“控制面板”的“管理工具”中的“服務(wù)”

6.2.6本地安全策略

通過(guò)建立IP策略來(lái)阻止對(duì)端口80、21、53、135、136、137、138、139、443、445、1028、1433等的訪問(wèn)實(shí)現(xiàn)安全的防護(hù)，從而避免入侵者通過(guò)這些端口對(duì)操作系統(tǒng)進(jìn)行攻擊。6.2.7審核策略

選擇“控制面板”→“管理工具”→“本地安全策略”→“本地策略”→“審核策略”，然后使用鼠標(biāo)右鍵單擊窗口右邊的各項(xiàng)策略審核的類型有如下幾種。

審核策略更改：成功，失敗。

審核登錄事件：成功，失敗。

審核對(duì)象訪問(wèn)：成功，失敗。

審核過(guò)程跟蹤：成功，失敗。

審核目錄服務(wù)訪問(wèn)：成功，失敗。

審核特權(quán)使用：成功，失敗。

審核系統(tǒng)事件：成功，失敗。

審核賬戶登錄事件：成功，失敗。

審核賬戶管理：成功，失敗

審核策略開啟之后，審核的信息會(huì)記錄到事件日志中，可以通過(guò)選擇“開始”→“控制面板”→“管理工具”→“事件查看器”來(lái)查看各種事件，包括應(yīng)用程序、安全性及系統(tǒng)事件6.2.8Windows日志文件的保護(hù)1．修改日志文件存放目錄。2．設(shè)置文件訪問(wèn)權(quán)限6.3WindowsServer2003訪問(wèn)控制技術(shù)

6.3.1訪問(wèn)控制技術(shù)簡(jiǎn)介

訪問(wèn)控制通常需要定義訪問(wèn)的主體和客體。主體通常是訪問(wèn)者，可以是用戶計(jì)算機(jī)也可以是某個(gè)應(yīng)用進(jìn)程或者程序，客體通常指的是網(wǎng)絡(luò)資源，包括計(jì)算機(jī)、文件等訪問(wèn)控制主要有強(qiáng)制訪問(wèn)控制和自主訪問(wèn)控制兩種：1、強(qiáng)制訪問(wèn)控制在這種訪問(wèn)模式中，主體和客體均被定義了。主體的訪問(wèn)權(quán)限一旦被系統(tǒng)定義，用戶就不能隨意更改，同樣，客體的權(quán)限被系統(tǒng)定義之后也不能被無(wú)權(quán)限的用戶更改。主體和客體通常會(huì)定義一個(gè)安全等級(jí)，通過(guò)比較主體和客體的安全等級(jí)可以判定訪問(wèn)者是否有權(quán)限訪問(wèn)。2．自主訪問(wèn)控制主要通過(guò)訪問(wèn)控制列表來(lái)實(shí)現(xiàn)，在這種模式中，每種資源都會(huì)有一個(gè)訪問(wèn)控制列表。如果某個(gè)資源隸屬于某個(gè)用戶，那么該用戶可以通過(guò)該資源的訪問(wèn)控制列表定義其他的對(duì)該資源有訪問(wèn)權(quán)限的主體6.3.2WindowsServer2003訪問(wèn)控制的使用WindowsServer2003要使用NTFS權(quán)限需要先對(duì)磁盤做NTFS格式的格式化操作，不能使用其他的諸如FAT32格式。NTFS權(quán)限是指系統(tǒng)管理員或文件擁有者賦予用戶和組訪問(wèn)某個(gè)文件和文件夾的權(quán)限，即允許或禁止某些用戶或組訪問(wèn)文件或文件類，以實(shí)現(xiàn)對(duì)資源的保護(hù)。NTFS權(quán)限可以應(yīng)用在本地或域中。NTFS為卷上的對(duì)象在安全描述符中建立了一組訪問(wèn)控制列表（ACL），在ACL中列出了用戶和組對(duì)象對(duì)該文件或文件夾所擁有的訪問(wèn)權(quán)限。當(dāng)用戶或組訪問(wèn)該資源時(shí)，ACL首先查看該用戶或組是否在ACL上，再比較該用戶的訪問(wèn)類型與在ACL中的訪問(wèn)權(quán)限是否一致，如果一致就允許用戶訪問(wèn)該資源，否則就無(wú)法訪問(wèn)。6.4賬戶策略

6.4.1賬戶策略的配置

賬戶策略包含以下設(shè)置。1．密碼策略（1）強(qiáng)制密碼歷史（2）密碼最長(zhǎng)使用期限（3）密碼最短使用期限（4）密碼長(zhǎng)度最小值（5）密碼必須符合復(fù)雜性要求（6）用可還原的加密來(lái)儲(chǔ)存密碼2．賬戶鎖定策略（1）賬戶鎖定時(shí)間（2）賬戶鎖定閾值（3）復(fù)位賬戶鎖定計(jì)數(shù)器6.4.2Kerberos策略

Kerberos策略用于域用戶賬戶，用來(lái)確定與Kerberos相關(guān)的設(shè)置，如票證的有效期限和強(qiáng)制執(zhí)行。Kerberos策略存在于本地計(jì)算機(jī)策略中。包括：1．強(qiáng)制用戶登錄限制2．服務(wù)票證最長(zhǎng)壽命3．用戶票證最長(zhǎng)壽命4．用戶票證續(xù)訂最長(zhǎng)壽命5．計(jì)算機(jī)時(shí)鐘同步的最大容差6.5啟用安全模板

可以使用WindowsServer2003提供的安全模板功能簡(jiǎn)化系統(tǒng)的安全配置安全模板可用于定義以下內(nèi)容：1、賬戶策略。2、本地策略。3、事件日志：應(yīng)用程序、系統(tǒng)和安全的事件日志設(shè)置。4、受限制的組：安全敏感組的成員資格。5、系統(tǒng)服務(wù)：系統(tǒng)服務(wù)的啟動(dòng)和權(quán)限。6、注冊(cè)表：注冊(cè)表項(xiàng)的權(quán)限。

在WindowsServer2003中已經(jīng)存在一些預(yù)定義的安全模板，用戶可以直接使用這些模板來(lái)確保系統(tǒng)的安全，當(dāng)然也可以根據(jù)實(shí)際情況進(jìn)行更改。

WindowsServer2003的預(yù)定義的安全模板存放在systemroot\security\templates目錄，主要有以下幾方面內(nèi)容：1．默認(rèn)安全設(shè)置（Setupsecurity.inf）2．域控制器默認(rèn)安全設(shè)置（DCsecurity.inf）3．兼容（compatws.inf）4．安全（Secure*.inf）5．高級(jí)安全（hisec*.inf）6．系統(tǒng)根目錄安全（Rootsec.inf）6.5.2啟用安全模板的方法

在計(jì)算機(jī)桌面上選擇“開始”→“運(yùn)行”，在“打開”文本框中輸入mmc，并單擊“確定”按鈕，打開“控制臺(tái)”窗口，在該窗口的“文件”菜單下單擊“添加／刪除管理單元”命令，單擊“添加”按鈕，在彈出窗口中分別選擇“安全模板”和“安全配置分析”，單擊“添加”按鈕后，關(guān)閉窗口，并單擊“確定”按鈕

展開“安全模板”節(jié)點(diǎn)，可以看到預(yù)定義的所有安全模板的默認(rèn)保存位置以及名稱項(xiàng)目7端口掃描技術(shù)學(xué)習(xí)要點(diǎn)

TCP/IP工作原理。端口的概念以及各種端口掃描技術(shù)的工作原理。常見端口掃描工具應(yīng)用方法。防范端口掃描技術(shù)的應(yīng)用。7.1端口概述7.1.1TCP/IP工作原理1．TCP/IP參考模型TCP/IP參考模型來(lái)源于20世紀(jì)60年代末美國(guó)的一個(gè)網(wǎng)絡(luò)分組交換研究項(xiàng)目，它是一系列網(wǎng)絡(luò)協(xié)議的總稱，這些協(xié)議使計(jì)算機(jī)之間可以進(jìn)行信息交換。TCP/IP參考模型分為4層，每一層負(fù)責(zé)不同的通信功能，從上到下依次為：應(yīng)用層、傳輸層、Internet層、網(wǎng)絡(luò)接入層。2．TCP與UDPTCP/IP參考模型的傳輸層包括TCP和UDP，TCP（TransmissionControlProtocol）是傳輸控制協(xié)議，它提供可靠的、面向連接的傳輸服務(wù)，在傳送數(shù)據(jù)前需要先建立連接，確認(rèn)信息到達(dá)目的，并具有完善的錯(cuò)誤檢測(cè)與恢復(fù)、順序控制和流量控制等功能UDP（UserDatagramProtocol）是用戶數(shù)據(jù)報(bào)協(xié)議，它提供不可靠的、無(wú)連接的傳輸服務(wù)，在傳送數(shù)據(jù)前不需要先建立連接，不確認(rèn)信息是否到達(dá)。3．TCP三次握手三次握手（Three-wayHandshaking）是指用TCP發(fā)送數(shù)據(jù)時(shí)事先通過(guò)三次通信建立連接，使收發(fā)雙方同步，并交換TCP窗口大小信息。TCP連接在發(fā)送新的數(shù)據(jù)之前都要通過(guò)三次握手進(jìn)行初始化，將數(shù)據(jù)包以特定的順序編號(hào)傳輸，并確認(rèn)這些數(shù)據(jù)包是否到達(dá)目的地，以此提供可靠的數(shù)據(jù)傳送。TCP三次握手的過(guò)程7.1.2端口的定義端口是專門為計(jì)算機(jī)通信而設(shè)計(jì)的，計(jì)算機(jī)通信離不開端口。在計(jì)算機(jī)網(wǎng)絡(luò)中，端口（Port）一般分為硬件端口和軟件端口兩種。集線器、交換機(jī)、路由器這類網(wǎng)絡(luò)設(shè)備上用于連接到其他網(wǎng)絡(luò)設(shè)備的接口稱為硬件端口。套接字由IP地址和端口兩部分組成，這里的端口就是軟件端口。軟件端口通常指網(wǎng)絡(luò)服務(wù)、通信協(xié)議的端口，是邏輯上的概念，定義了計(jì)算機(jī)之間通過(guò)軟件方式的通信。7.1.3端口的分類1．根據(jù)端口的性質(zhì)劃分（1）公認(rèn)端口（2）注冊(cè)端口（3）動(dòng)態(tài)和私有端口2．根據(jù)提供的服務(wù)方式劃分（1）TCP端口（2）UDP端口7.2端口掃描技術(shù)7.2.1端口掃描概述1．端口掃描原理端口掃描（PortScanning）是一種通過(guò)連接到目標(biāo)計(jì)算機(jī)的TCP和UDP端口來(lái)確定目標(biāo)計(jì)算機(jī)上運(yùn)行的進(jìn)程和服務(wù)的方法。2．端口掃描目的和用途1）能識(shí)別在線的一臺(tái)計(jì)算機(jī)或多臺(tái)計(jì)算機(jī)組成的網(wǎng)絡(luò)。2）能識(shí)別計(jì)算機(jī)上啟用的服務(wù)、開放的端口。3）能識(shí)別計(jì)算機(jī)上操作系統(tǒng)類型、系統(tǒng)信息。4）能識(shí)別計(jì)算機(jī)上應(yīng)用程序和特定服務(wù)的版本。5）能識(shí)別計(jì)算機(jī)的系統(tǒng)漏洞、軟件漏洞。7.2.2常見的端口掃描技術(shù)1．TCP全連接掃描2．TCP同步序列號(hào)掃描（SYN掃描）3．TCP結(jié)束標(biāo)志掃描（FIN掃描）4．TCPconnect（）掃描5．IP段掃描6．ICMPecho掃描7．UDPICMP端口不能到達(dá)掃描8．代理掃描7.3常見掃描軟件及其應(yīng)用7.3.1掃描軟件概述掃描軟件是基于掃描技術(shù)開發(fā)出來(lái)的一種自動(dòng)檢測(cè)本地或遠(yuǎn)程計(jì)算機(jī)安全性弱點(diǎn)的程序。7.3.2SuperScan掃描工具及應(yīng)用SuperScan是一款免費(fèi)的功能比較強(qiáng)大的掃描工具。SuperScan能夠幫助網(wǎng)管員發(fā)現(xiàn)網(wǎng)絡(luò)中的弱點(diǎn)，以便采取相應(yīng)的措施。基本使用方法見課本。7.4端口掃描防御技術(shù)應(yīng)用7.4.1查看端口的狀態(tài)1．用netstat命令查看在DOS命令提示符界面中，輸入“netstat–an”，“Proto”代表協(xié)議，“LocalAddress”代表本機(jī)地址，該地址冒號(hào)后的數(shù)字就是開放的端口號(hào)；“ForeignAddress”代表遠(yuǎn)程計(jì)算機(jī)地址，如果和其他機(jī)器正在通信，顯示的就是對(duì)方的地址。2．用軟件工具TCPView查看TCPViewv3.02是一款Sysinternals開發(fā)的綠色軟件，在主界面中它能顯示本機(jī)連接進(jìn)程所對(duì)應(yīng)的端口的狀態(tài)，且在Windows2000/XP/2003操作系統(tǒng)中會(huì)直接顯示該程序的系統(tǒng)圖標(biāo)，TCPView能隨著系統(tǒng)狀態(tài)的變化而動(dòng)態(tài)更新。7.4.2關(guān)閉閑置和危險(xiǎn)的端口1．關(guān)閉閑置的服務(wù)在WindowsNT系列操作系統(tǒng)中，打開“控制面板”→“管理工具”→“服務(wù)”，找到計(jì)算機(jī)中未被使用的服務(wù)，選擇該服務(wù)后單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“停止”命令，將這些服務(wù)關(guān)閉，其對(duì)應(yīng)的端口也會(huì)被關(guān)閉。2．設(shè)置“TCP/IP篩選”關(guān)閉端口打開“本地連接屬性”對(duì)話框，雙擊“Internet協(xié)議（TCP/IP）”，單擊“高級(jí)”按鈕，在彈出的對(duì)話框中選中“選項(xiàng)”選項(xiàng)卡，單擊“屬性”按鈕，打開“TCP/IP篩選”對(duì)話框，選中“啟用TCP/IP篩選”復(fù)選框，單擊“添加”按鈕，在這里可以添加TCP/UDP端口。3．利用防火墻屏蔽端口Windows系統(tǒng)防火墻單擊“例外”標(biāo)簽，可以選擇已經(jīng)開啟的應(yīng)用程序，單擊“刪除”按鈕來(lái)屏蔽掉與該應(yīng)用程序關(guān)聯(lián)的端口。7.4.3隱藏操作系統(tǒng)類型1．掃描識(shí)別操作系統(tǒng)類型（1）通過(guò)ping命令返回TTL值識(shí)別（默認(rèn)情況）①FreeBSD、UNIX及類UNIX等類型的操作系統(tǒng)的ICMP回顯應(yīng)答的TTL字段值為255；②Windows2000/NT等類型的操作系統(tǒng)的ICMP回顯應(yīng)答的TTL字段值為128；③CompaqTru64、Linux等類型的操作系統(tǒng)的ICMP回顯應(yīng)答的TTL字段值為64；④Windows95/98/98SE/Me等類型的操作系統(tǒng)的ICMP回顯應(yīng)答的TTL字段值為32。1．掃描識(shí)別操作系統(tǒng)類型（2）通過(guò)連接端口的返回信息識(shí)別1）假設(shè)已知目標(biāo)計(jì)算機(jī)開放了端口21，在DOS下，輸入“ftp[IP地址]”：若返回信息中含有“MicrosoftFTPService(Version5.0)”

的字樣，可斷定是Windows2000操作系統(tǒng)；若返回信息中含有“UFTPServerv4.0forWinSockready”的字樣，可斷定是Windows操作系統(tǒng)；若返回信息中含有“vsFTPd1.1.0”，可斷定是UINX操作系統(tǒng)。2）假設(shè)已知目標(biāo)計(jì)算機(jī)開放了端口80，在DOS下，輸入“telnet[IP地址][80]”：若返回信息中含有“Server：Microsoft-IIS/5.0”的字樣，可斷定是Windows操作系統(tǒng)。3）假設(shè)已知目標(biāo)計(jì)算機(jī)開放了端口23，在DOS下，輸入“telnet[IP地址]”：若返回信息中含有“WelcometoMicrosoftTelnetService”的字樣，可斷定是Windows操作系統(tǒng)；若返回信息中含有“SunOS”的字樣，可斷定是UINX操作系統(tǒng)。（3）通過(guò)開放的端口號(hào)識(shí)別如果一臺(tái)計(jì)算機(jī)啟用了135、139端口，則通常認(rèn)為該計(jì)算機(jī)安裝的是Windows系列操作系統(tǒng)；如果同時(shí)還啟用了5000端口，則認(rèn)為該計(jì)算機(jī)為WindowsXP操作系統(tǒng)。1．掃描識(shí)別操作系統(tǒng)類型2．修改計(jì)算機(jī)的默認(rèn)TTL值打開注冊(cè)表編輯器，展開“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters”，在界面右側(cè)空白區(qū)域單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“新建”→“DWORD值”，彈出“編輯DWORD值”對(duì)話框，“數(shù)值名稱”文本框中輸入“DefaultTTL”，將該值修改為十進(jìn)制的“255”或十六進(jìn)制的“ff”，重啟計(jì)算機(jī)。7.5實(shí)訓(xùn)項(xiàng)目【實(shí)訓(xùn)項(xiàng)目】端口屏蔽【實(shí)訓(xùn)目的】學(xué)會(huì)應(yīng)用IPSec屏蔽危險(xiǎn)端口。項(xiàng)目8入侵檢測(cè)系統(tǒng)學(xué)習(xí)要點(diǎn)入侵檢測(cè)系統(tǒng)模型、工作過(guò)程。入侵檢測(cè)系統(tǒng)分類和工作原理。基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)部署。入侵防護(hù)系統(tǒng)相關(guān)概念。8.1入侵檢測(cè)概述8.1.1入侵檢測(cè)的概念及功能在網(wǎng)絡(luò)安全技術(shù)中，入侵是指進(jìn)入計(jì)算機(jī)系統(tǒng)對(duì)系統(tǒng)資源進(jìn)行非授權(quán)訪問(wèn)和使用的行為，監(jiān)控入侵行為稱為入侵檢測(cè)。入侵檢測(cè)技術(shù)是為保護(hù)系統(tǒng)資源不被泄露、篡改和破壞而設(shè)計(jì)的一種網(wǎng)絡(luò)安全防御技術(shù)。一個(gè)完善的入侵檢測(cè)系統(tǒng)應(yīng)該具備以下的功能。

能實(shí)時(shí)監(jiān)測(cè)分析用戶、主機(jī)系統(tǒng)的行為活動(dòng)。

能審計(jì)系統(tǒng)配置的弱點(diǎn)，評(píng)估關(guān)鍵系統(tǒng)資源與重要數(shù)據(jù)的完整性。

能檢測(cè)識(shí)別已知進(jìn)攻行為，自動(dòng)發(fā)送警報(bào)，自動(dòng)采取相應(yīng)防御措施。

能審計(jì)、跟蹤、管理主機(jī)系統(tǒng)，統(tǒng)計(jì)、分析異常行為活動(dòng)，記錄事件日志。8.1.2入侵檢測(cè)系統(tǒng)模型CIDF闡述了一個(gè)IDS的通用模型，它將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件，以下為模型組件及功能。

事件產(chǎn)生器：事件檢測(cè)器，獲得事件并向系統(tǒng)其他部分提供事件。

事件分析器：分析獲得的事件，產(chǎn)生分析結(jié)果。

響應(yīng)單元：對(duì)分析結(jié)果做出反應(yīng)。

事件數(shù)據(jù)庫(kù)：存儲(chǔ)各種中間和最終事件。8.1.3入侵檢測(cè)工作過(guò)程入侵檢測(cè)的工作過(guò)程一般分為3個(gè)步驟：（1）信息采集（2）信息分析（3）結(jié)果處理8.2入侵檢測(cè)系統(tǒng)的分類8.2.1根據(jù)檢測(cè)對(duì)象劃分1．基于主機(jī)型該類型的入侵檢測(cè)系統(tǒng)主要針對(duì)保護(hù)主機(jī)安全而設(shè)計(jì)，在被保護(hù)主機(jī)中安裝嗅探功能的執(zhí)行程序，使其成為一個(gè)基于主機(jī)型的入侵檢測(cè)系統(tǒng)，這是一種軟件檢測(cè)系統(tǒng)。它通過(guò)監(jiān)視、分析主機(jī)操作系統(tǒng)的事件日志、應(yīng)用程序日志、系統(tǒng)和端口調(diào)用、安全審計(jì)記錄來(lái)檢測(cè)入侵，從而保護(hù)所在主機(jī)的系統(tǒng)安全。2．基于網(wǎng)絡(luò)型該類型的入侵檢測(cè)系統(tǒng)主要針對(duì)保護(hù)網(wǎng)絡(luò)而設(shè)計(jì)，由遍及在網(wǎng)絡(luò)中的多個(gè)網(wǎng)絡(luò)適配器組成，這些設(shè)置為混雜模式，用于嗅探網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，這是一種硬件檢測(cè)系統(tǒng)。它通過(guò)在共享網(wǎng)段上偵聽、采集傳輸?shù)臄?shù)據(jù)包，分析數(shù)據(jù)包中的可疑現(xiàn)象，保護(hù)整個(gè)網(wǎng)段的安全。3．混合型由于基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)有各自的缺陷，單獨(dú)使用任何一種類型建立的防御體系都存在不足，混合型入侵檢測(cè)綜合了這兩種類型的優(yōu)點(diǎn)，它既能嗅探網(wǎng)絡(luò)中的攻擊信息，又能分析系統(tǒng)日志中的異常情況，能更加全面地檢測(cè)針對(duì)主機(jī)和網(wǎng)絡(luò)的入侵行為，讓攻擊行為無(wú)處藏身。8.2.2根據(jù)檢測(cè)技術(shù)劃分1．異常檢測(cè)該類型的入侵檢測(cè)系統(tǒng)根據(jù)正常主體的活動(dòng)，建立正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”，由于入侵行為異于當(dāng)前正常的主體活動(dòng)，當(dāng)檢測(cè)到某活動(dòng)與“活動(dòng)簡(jiǎn)檔”的統(tǒng)計(jì)規(guī)律相違背時(shí)，即可認(rèn)為該活動(dòng)有“入侵”行為的嫌疑。異常檢測(cè)技術(shù)的關(guān)鍵工作是根據(jù)正常的主體活動(dòng)來(lái)描述和構(gòu)建正常活動(dòng)檔案庫(kù)，它能檢測(cè)出未知行為，并具有簡(jiǎn)單的學(xué)習(xí)功能。2．特征模式檢測(cè)該類型的入侵檢測(cè)系統(tǒng)根據(jù)入侵活動(dòng)的規(guī)律建立入侵特征模式，并將當(dāng)前的主體活動(dòng)與特征模式進(jìn)行比較，以此來(lái)判斷是否存在入侵行為，這與異常檢測(cè)技術(shù)原理正好相反。特征模式檢測(cè)技術(shù)的關(guān)鍵是建立入侵活動(dòng)特征模式的表示形式，且要能夠辨別入侵活動(dòng)和正?；顒?dòng)的區(qū)別。該技術(shù)僅能檢測(cè)使用固定特征模式的入侵而非其他任何經(jīng)過(guò)輕微變換后的攻擊行為，導(dǎo)致了它的檢測(cè)準(zhǔn)確度不高，另外該技術(shù)對(duì)系統(tǒng)資源消耗較大，檢測(cè)速度較慢。3．協(xié)議分析檢測(cè)該類型的入侵檢測(cè)系統(tǒng)利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)入侵活動(dòng)的存在，它的引擎中包含70多個(gè)不同的命令解析器，能完整解析各類協(xié)議，詳細(xì)分析各種用戶命令并辨認(rèn)出每個(gè)特征串的含義。該技術(shù)具有檢測(cè)速度快、性能高、誤報(bào)率低、資源消耗低等特點(diǎn)，并能同時(shí)檢測(cè)已知和未知的入侵活動(dòng)。8.2.3根據(jù)工作方式劃分1．離線檢測(cè)系統(tǒng)該類型的入侵檢測(cè)系統(tǒng)是非實(shí)時(shí)工作的檢測(cè)系統(tǒng)，在系統(tǒng)正常運(yùn)行時(shí)根據(jù)用戶的操作活動(dòng)來(lái)記錄審計(jì)事件，由網(wǎng)管人員定期或不定期地分析這些之前記錄的審計(jì)事件，并根據(jù)歷史審計(jì)記錄判斷是否存在可能的入侵活動(dòng)，如果發(fā)現(xiàn)存在著入侵活動(dòng)就立即斷開連接，并記錄入侵證據(jù)和修復(fù)數(shù)據(jù)。該檢測(cè)方法不具有實(shí)時(shí)性，入侵活動(dòng)的檢測(cè)靈敏度較低。2．在線檢測(cè)系統(tǒng)該類型的入侵檢測(cè)系統(tǒng)是實(shí)時(shí)聯(lián)機(jī)工作的檢測(cè)系統(tǒng)，它能實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)連接過(guò)程中的入侵行為。在工作過(guò)程中，該系統(tǒng)實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)包，實(shí)時(shí)分析主機(jī)審計(jì)記錄，根據(jù)用戶的歷史行為模型、專家知識(shí)、神經(jīng)網(wǎng)絡(luò)模型等對(duì)用戶當(dāng)前的行為實(shí)時(shí)進(jìn)行判斷，一旦發(fā)現(xiàn)有入侵跡象立即斷開有害連接，并搜集證據(jù)，實(shí)施數(shù)據(jù)恢復(fù)。整個(gè)檢測(cè)過(guò)程循環(huán)進(jìn)行，保證能及時(shí)發(fā)現(xiàn)入侵活動(dòng)，并快速作出響應(yīng)，入侵活動(dòng)的檢測(cè)靈敏度較高。8.3入侵檢測(cè)系統(tǒng)部署8.3.1基于主機(jī)的入侵檢測(cè)系統(tǒng)部署基于主機(jī)的入侵檢測(cè)系統(tǒng)運(yùn)行在特定的主機(jī)上，它能監(jiān)聽并解析所有流經(jīng)主機(jī)網(wǎng)絡(luò)適配器的網(wǎng)絡(luò)信息，對(duì)主機(jī)的核心級(jí)事件、系統(tǒng)日志以及網(wǎng)絡(luò)活動(dòng)