计算机网络技术第九章 网络安全与防范 本次课内容介绍主要内容：了解计算机病毒的分类、特点、特征和运行机制了解反病毒涉及的主要技术掌握病毒的检测和防治技术掌握防火墙的基本类型 熟悉常见的防火墙配置 重点内容：病毒的检测和防治技术防火墙的基本类型及配置问题的提出青职公司市场部小李打开计算机准备处理昨天销售部门报上来的数据分析表，一开机就发现计算机无法正常工作，也不能上网。计算机中心的小张检查发现，硬件没有问题，应该是系统被计算机病毒破坏了，导致Windows XP无法正常启动。 小张将重要的数据进行了备份，重新安装了Windows XP，以及正版的杀病毒软件。小李的计算机终于可以正常工作了。那么如何才能防止类似的事情再次发生呢？ 任务分析 计算机病毒的防治要从防毒、查毒、解毒三方面来进行 。1）防毒：采取实时监测预警等安全措施预防病毒侵入计算机。 2）查毒：对于内存、文件、引导区（含主引导区）、网络等，能够发现和追踪病毒来源。3）解毒：从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力。 9.1 防治计算机病毒 “计算机病毒”定义指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。 9.1.1计算机病毒与杀毒软件 （1）引导型病毒 （2）文件型病毒 （3）复合型病毒 （4）变型病毒 （5）宏病毒 （6）网页病毒 （7）“蠕虫”型病毒 （8）木马病毒 1 1计算机病毒分类计算机病毒分类 特洛依木马特洛伊木马的典故传说特洛伊木马的典故传说 古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。 2计算机病毒的特征计算机病毒的特征（1）非授权可执行性（2）隐蔽性 （3）传染性：最重要的一个特征 （4）潜伏性 （5）表现性或破坏性 （6）可触发性 3计算机病毒的传播 通过文件系统传播；通过电子邮件传播；通过局域网传播；通过互联网上即时通讯软件和点对点软件等常用工具传播；利用系统、应用软件的漏洞进行传播；利用系统配置缺陷传播，如弱口令、完全共享等；计算机病毒的传播过程 人为设计潜伏侵入系统传染触发运行破坏4如何防治病毒 （1）要提高对计算机病毒危害的认识（2）养成备份重要文件等良好使用习惯（3）大力普及杀毒软件 （4）采取措施防止计算机病毒的发作（5）开启计算机病毒查杀软件的实时监测功能 （6）加强对网络流量等异常情况的监测 （7）有规律的备份系统关键数据，建立应对灾难的数据安全策略 5如何选择计算机病毒防治产品 具有发现、隔离并清除病毒功能；具有实时报警（包括文件监控、邮件监控、网页脚本监控等）功能；多种方式及时升级；统一部署防范技术的管理功能；对病毒清除彻底，文件修复完整、可用；产品的误报、漏报率较低；占用系统资源合理，产品适应性较好。6常用的防病毒软件站点或公司名称网址瑞星公司www.rising.com.cn北京金山软件有限公司www.duba.net冠群金辰软件有限公司www.kill.com.cn江民科技www.jiangmin.com卡巴斯基实验室www.kaspersky.com.cn诺顿公司www.symantec.com/zh/cn/norton/index.jsp9.1.2 应对黑客攻击 黑客（hacker）： 通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统，以保护网络为目的，以不正当侵入为手段找出网络漏洞。骇客 ： 利用网络漏洞破坏网络的人。1 1 1 1黑客和黑客技术黑客和黑客技术黑客和黑客技术黑客和黑客技术 黑客（hacker）不干涉政治，不受政治利用。不为了赚钱或工作需要 。不做恶意破坏。黑客（hacker） 黑客，最早源自英文hacker，早期在美国的电脑界是带有褒义的。他们都是热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员，现在算是一个统称。 红客，维护国家利益代表中国人民意志的红客，他们热爱自己的祖国，民族，和平，极力的维护国家安全与尊严。 蓝客，信仰自由，提倡爱国主义的黑客们，用自己的力量来维护网络的和平。 白客，又叫安全防护者，用寻常话说就是使用黑客技术去做网络安全防护，他们进入各大科技公司专门防护网络安全。 灰客，亦骇客，又称破坏者，他们在那些红、白、黑客眼里是破坏者，是蓄意毁坏系统，恶意攻击等等一系列的破坏手段。 在中国，人们经常把黑客跟骇客搞混。 实际区别很大。 著名黑客Ken Thompson和Dennis Ritchie-贝尔实验室的电脑科学操作组程序员。两人在1969年发明了Unix操作系统。Steve Wozniak-苹果电脑创办人之一。Linus Torvalds-他于1991年开发了著名的Linux内核 。2黑客攻击的主要方式l黑客技术： 发现计算机系统和网络的缺陷和漏洞，并实施攻击的技术。包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误。（1）拒绝服务攻击： 使被攻击对象的系统关键资源过载，停止部分或全部服务。是最基本的入侵攻击手段，也是最难对付的入侵攻击之一。 2黑客攻击的主要方式（2）非授权访问尝试：对被保护文件读、写或执行的尝试。（3）预探测攻击：例如SATAN扫描、端口扫描和IP半途扫描等。（4）可疑活动：指网络上不希望有的活动。（5）协议解码（6）系统代理攻击：针对单个主机黑客攻击的步骤第1步信息收集：获取目标系统的信息，如网络拓扑结构、IP地址分配、端口的使用情况等。第2步获得对系统的访问权限：通过口令猜测、社会工程、建立后门等攻击手段，利用系统存在的漏洞来获得对系统的访问权限。第3步破坏系统或盗取信息 ：利用非法获得的对系统的访问权限，运行非法程序。第第4 4步步消除入侵痕迹：入侵后尽力消除入侵痕迹，如更改或者删除系统文件或日志。9.1.3流氓软件与瑞星的碎甲技术 “流氓软件” 同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），介于病毒和正规软件之间。（1）广告软件 （2）间谍软件 ：安装“后门程序” ；（3）浏览器劫持 ：对浏览器篡改；（4）行为记录软件 ：窃取并分析隐私数据，记录使用习惯 ；（5）恶意共享软件 ：指某些共享软件强迫用户注册、捆绑各类恶意插件。 1 1 1 1流氓软件的分类流氓软件的分类流氓软件的分类流氓软件的分类 Rootkits最早是一组用于UNIX操作系统的工具集，黑客使用它们隐藏入侵活动的痕迹。 Rootkits主要分为两大类：一种是进程注入式Rootkits，另一种是驱动级Rootkits。进程注入式Rootkits可以通过使用杀毒软件的开机扫描功能轻松清除。驱动级的Rootkits通过在Windows启动时加载Rootkits驱动程序，获取对Windows的控制权。 2 2 2 2什么是什么是什么是什么是Rootkits?Rootkits?Rootkits?Rootkits? 9.1.3流氓软件与瑞星的碎甲技术 瑞星“碎甲”技术通过对Windows驱动程序加载点进行拦截，发现Rootkits时自动使其保护功能失效。瑞星的碎甲技术 杀 毒 软件存在病毒或流氓软件？存在病毒或流氓软件？操作系统API查找文件流氓软件、病毒、木马找到存在RootKits失效瑞星碎甲技术9.2 防火墙技术 防火墙是内部网络与外部公共网络之间的第一道屏障，处于网络安全的最底层，负责网络间的安全认证与传输，现代防火墙技术不仅要完成传统防火墙的过滤任务，还有正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。任务分析任务分析任务分析任务分析9.2.19.2.1防火墙防火墙防火墙是在一个受保护的企业内部网络防火墙是在一个受保护的企业内部网络与互联网间，用来强制执行企业安全策与互联网间，用来强制执行企业安全策略的一个或一组系统。略的一个或一组系统。防止外部网络用户以非法手段进入内部防止外部网络用户以非法手段进入内部网络，访问内部网络资源；网络，访问内部网络资源；保护内部网络操作环境的特殊网络互联保护内部网络操作环境的特殊网络互联设备。设备。 防火墙示意图防火墙示意图 1防火墙的功能 （1）过滤不安全服务和非法用户，禁止未授权的用户访问受保护的网络。（2）控制对特殊站点的访问。 允许受保护网络的一部分主机如邮件服务器、FTP服务器和Web服务器等被外部网访问，而另一部分被保护起来，防止不必要的访问。（3）监视网络访问，提供安全预警。2. 2. 2. 2. 防火墙的分类防火墙的分类防火墙的分类防火墙的分类（1 1）网络级防火墙）网络级防火墙-包过滤路包过滤路由器由器 （2 2）电路级防火墙）电路级防火墙电路网关电路网关 （3 3）应用级防火墙）应用级防火墙应用网关应用网关 （4 4）监测型防火墙）监测型防火墙 2防火墙的基本类型2防火墙的基本类型防火墙存在软件和硬件两种形式。 具备包过滤功能的路由器（或充当路由器的计算机），通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，否则将数据拒之门外。优点：简单实用，实现成本较低，适合应用环境比较简单的情况。缺点：不能理解网络层以上的高层网络协议，无法识别基于应用层的恶意侵入。 （1 1 1 1）包过滤路由器）包过滤路由器）包过滤路由器）包过滤路由器 （1）包过滤路由器）包过滤路由器 下图给出了包过滤路由器结构示意图。 （2）电路级防火墙电路网关 电路网关工作在传输层。 不允许内部主机与外部之间直接进行TCP连接，而是建立两个TCP连接：一个在网关和内部主机上的TCP用户程序之间，另一个在网关和外部主机的TCP用户程序之间。通常用于内部网络对外部的访问，与堡垒主机相配合可设置成混合网关，对于向内的连接支持应用层服务，而对于向外的连接支持传输层功能。 （3）应用级防火墙应用网关 l应用网关工作应用层，通常指运行代理服务器软件的一台计算机主机。l代理服务器位于客户机与服务器之间。从客户机来看，代理服务器相当于一台真正的服务器。而从服务器来看，代理服务器又是一台真正的客户机。 应用网关的工作模型应用代理基本工作原理应用网关优缺点缺点：使访问速度变慢 在重负载下，代理服务器可能成为网络瓶颈。优点：代理服务器拥有高速缓存，能够节约时间和网络资源外部网络只能看到代理服务器，看部到内网的具体结构比包过滤更可靠，而且会详细地记录所有的访问状态信息（4）监测型防火墙对各层的数据进行主动的、实时的监测，加以分析，判断出各层中的非法侵入。带有分布式探测器，安置在各种应用服务器和其他网络的节点之中，能检测来自网络外部的攻击，同时防范来自内部的恶意破坏。 9.2.2 常见的防火墙配置 l最简单的防火墙配置就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。 l将几种防火墙技术组合起来构建防火墙系统，一般来说有3种最基本的配置。 （1）双宿主机网关用一台装有两个网络适配器的双宿主机（又称保垒主机）做防火墙，一个适配器是网卡，与内部网相连；另一个根据与Internet的连接方式可以是网卡、调制解调器或ISDN卡等。外部网络与内部网络之间的通信必须经过双重宿主主机的过滤和控制。 使用一个包过滤路由器把内部网络和外部网络隔离开，同时在内部网络上安装一个堡垒主机，由堡垒主机开放可允许的连接到外部网。屏蔽主机网关易于实现，安全性好，应用广泛。 （2）屏蔽主机网关因为堡垒主机是用户网络上最容易受侵袭的机器。通过额外添加一层保护体系周边网络，将堡垒主机放在周边网络上，用内部路由器分开周边网络和内部网络，从而隔离堡垒主机，减少在堡垒主机被侵入的影响。（3）屏蔽子网1攻击的分类从攻击的行为分主动攻击与被动攻击。主动攻击：包括窃取、篡改、假冒和破坏。字典式口令猜测，IP地址欺骗和服务拒绝攻击等都属于主动攻击。被动攻击：网络窃听、截取数据包并进行分析，从中窃取重要的敏感信息等。9.3 网络安全攻击与防御 9.3.1 9.3.1 9.3.1 9.3.1 网络攻击网络攻击网络攻击网络攻击 9.3.1 网络攻击网络攻击从攻击的位置分远程攻击、本地攻击和伪远程攻击。远程攻击：指攻击者从子网以外的地发动攻击。本地攻击：指本单位的内部人员，通过局域网，向系统发动的攻击。伪远程攻击：指内部人员为了掩盖身份，从外部远程发起入侵。 2网络攻击手段（1）获取口令 （2）放置特洛伊木马程序 （3）WWW的欺骗技术 （4）电子邮件攻击 （5）通过一个节点来攻击其他节点 （6）网络监听 （7）寻找系统漏洞 （8）利用帐号进行攻击 （9）偷取特权 1提高安全意识2安装防病毒软件3安装防火墙软件4只在必要时共享文件夹 5定期备份重要数据 9.3.2 网络攻击的防范措施9.3.3企业网络安全防御1VLAN（虚拟局域网）技术 2网络分段3硬件防火墙技术 4入侵检测技术9.3.3企业网络安全防御防火墙IDS/IPS上网行为管理反垃圾邮件网关网络防毒墙网络版杀毒软件网页防篡改系统漏洞扫描本章小结了解计算机病毒的分类、特点、特征和运行机制了解反病毒涉及的主要技术掌握病毒的检测和防治技术掌握防火墙的基本类型 熟悉常见的防火墙配置 了解网络攻击的分类、手段和防范措施了解企业网安全防御技术