1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,*,计算机网络技术,项目五:计算机网络安全,第九章 网络安全与防范,项目五:计算机网络安全,教学内容,(1),计算机病毒的分类、特点、特征和运行机制,(2),反病毒涉及的主要技术,(3),病毒的检测和防治技术,(4),防火墙的基本类型,(5),常见的防火墙配置,(6),网络攻击的分类、手段和防范措施,(7),企业网安全防御技术,实践内容,(1),用瑞星,2008,查杀计算机病毒;,(2),常用的个人防火墙进行配置;,项目五:计算机网络安全,教学要求,(,1,)了解计算机病毒的分类、特点、特征和运行机制,(,2,)了解反病毒涉及的主要技术,(,
2、3,)掌握病毒的检测和防治技术,(,4,)理解构筑防病毒体系的基本原则,(,5,)掌握防火墙的基本类型,(,6,)熟悉常见的防火墙配置,(,7,)了解网络攻击的分类、手段和防范措施,(,8,)了解企业网安全防御技术,本模块的说明,模块信息说明,本模块名称,计算机网络安全,所属能力,核心应用能力,模块地位,核心模块课程,必修本模块的专业方向,网络管理员、网络工程师、网络规划设计师,选修本模块的专业方向,网络支持工程师、网络产品营销人员,本次课说明,课题名称,计算机病毒的防治和防火墙技术,所属模块,计算机网络安全,课 时,2,课时,地 位,核心知识单元,本次课的教学目标,知识目标,技能目标,拓展能
3、力目标,1,、了解计算机病毒的特征;,2,、了解反病毒的主要技术;,3,、掌握防火墙的基本类型。,1,、掌握病毒的检测和防治技术;,2,、熟悉常见的防火墙配置。,1,、能够积极主动地和老师达成互动;,2,、讨论时能和其他同学合适的沟通;,3,、对防火墙访问策略可以大胆创新。,本次课内容介绍,主要内容:,了解计算机病毒的分类、特点、特征和运行机制,了解反病毒涉及的主要技术,掌握病毒的检测和防治技术,掌握防火墙的基本类型,熟悉常见的防火墙配置,重点内容:,病毒的检测和防治技术,防火墙的基本类型及配置,问题的提出,青职公司市场部小李打开计算机准备处理昨天销售部门报上来的数据分析表,一开机就发现计算机
4、无法正常工作,也不能上网。计算机中心的小张检查发现,硬件没有问题,应该是系统被计算机病毒破坏了,导致,Windows XP,无法正常启动。,小张将重要的数据进行了备份,重新安装了,Windows XP,,以及正版的杀病毒软件。小李的计算机终于可以正常工作了。那么如何才能防止类似的事情再次发生呢?,任务分析,计算机病毒的防治要从,防毒、查毒、解毒,三方面来进行。,1,)防毒:采取实时监测预警等安全措施预防病毒侵入计算机。,2,)查毒:对于内存、文件、引导区(含主引导区)、网络等,能够发现和追踪病毒来源。,3,)解毒:从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力。,9.1,防治计算机病毒
5、计算机病毒”定义,指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码。,9.1.1,计算机病毒与杀毒软件,(,1,)引导型病毒,(,2,)文件型病毒,(,3,)复合型病毒,(,4,)变型病毒,(,5,)宏病毒,(,6,)网页病毒,(,7,)“蠕虫”型病毒,(,8,)木马病毒,1,计算机病毒分类,2,计算机病毒的特征,(,1,)非授权可执行性,(,2,)隐蔽性,(,3,)传染性:,最重要的一个特征,(,4,)潜伏性,(,5,)表现性或破坏性,(,6,)可触发性,3,计算机病毒的传播,通过文件系统传播;,通过电子邮件传播;,通过局域网
6、传播;,通过互联网上即时通讯软件和点对点软件等常用工具传播;,利用系统、应用软件的漏洞进行传播;,利用系统配置缺陷传播,如弱口令、完全共享等;,计算机病毒的传播过程,人为设计,潜伏,侵入系统,传染,触发运行,破坏,4,如何防治病毒,(,1,)要提高对计算机病毒危害的认识,(,2,)养成备份重要文件等良好使用习惯,(,3,)大力普及杀毒软件,(,4,)采取措施防止计算机病毒的发作,(,5,)开启计算机病毒查杀软件的实时监测功能,(,6,)加强对网络流量等异常情况的监测,(,7,)有规律的备份系统关键数据,建立应对灾难的数据安全策略,5,如何选择计算机病毒防治产品,具有发现、隔离并清除病毒功能;,
7、具有实时报警(包括文件监控、邮件监控、网页脚本监控等)功能;,多种方式及时升级;,统一部署防范技术的管理功能;,对病毒清除彻底,文件修复完整、可用;,产品的误报、漏报率较低;,占用系统资源合理,产品适应性较好,。,6,常用的防病毒软件,站点或公司名称,网址,瑞星公司,北京金山软件有限公司,冠群金辰软件有限公司,江民科技,卡巴斯基实验室,诺顿公司,:,利用网络漏洞破坏网络的人。,1,黑客和黑客技术,2,黑客攻击的主要方式,黑客技术:,发现计算机系统和网络的缺陷和漏洞,并实施攻击的技术。包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误。,(,1,)拒绝服务攻击:,使被攻击对象的系统关键资
8、源过载,停止部分或全部服务。是最基本的入侵攻击手段,也是最难对付的入侵攻击之一。,2,黑客攻击的主要方式,(,2,)非授权访问尝试:对被保护文件读、写或执行的尝试。,(,3,)预探测攻击:例如,SATAN,扫描、端口扫描和,IP,半途扫描等。,(,4,)可疑活动:指网络上不希望有的活动。,(,5,)协议解码,(,6,)系统代理攻击:针对单个主机,黑客攻击的步骤,第,1,步,信息收集,:获取目标系统的信息,如网络拓扑结构、,IP,地址分配、端口的使用情况等。,第,2,步,获得对系统的访问权限,:通过口令猜测、社会工程、建立后门等攻击手段,利用系统存在的漏洞来获得对系统的访问权限。,第,3,步,破
9、坏系统或盗取信息,:利用非法获得的对系统的访问权限,运行非法程序。,第,4,步,消除入侵痕迹,:入侵后尽力消除入侵痕迹,如更改或者删除系统文件或日志。,9.1.3,流氓软件与瑞星的碎甲技术,“流氓软件”同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),介于病毒和正规软件之间。,(,1,)广告软件,(,2,)间谍软件,:安装“后门程序”;,(,3,)浏览器劫持,:对浏览器篡改;,(,4,)行为记录软件,:窃取并分析隐私数据,记录使用习惯;,(,5,)恶意共享软件,:指某些共享软件强迫用户注册、捆绑各类恶意插件。,1,流氓软件的分类,Rootkits,最早是一组用于,UNIX,操作
10、系统的工具集,黑客使用它们隐藏入侵活动的痕迹。,Rootkits,主要分为两大类:一种是,进程注入式,Rootkits,,另一种是,驱动级,Rootkits,。,进程注入式,Rootkits,可以通过使用杀毒软件的开机扫描功能轻松清除,。,驱动级的,Rootkits,通过在,Windows,启动时加载,Rootkits,驱动程序,获取对,Windows,的控制权。,2,什么是,Rootkits,?,9.1.3,流氓软件与瑞星的碎甲技术,瑞星“碎甲”技术通过对,Windows,驱动程序加载点进行拦截,发现,Rootkits,时自动使其保护功能失效。,瑞星的碎甲技术,杀毒软件,存在病毒或流氓软件?
11、操作系统,API,查找文件,流氓软件、,病毒、木马,找到,存在,Root,Kits,失效,瑞星碎甲技术,9.2,防火墙技术,防火墙是内部网络与外部公共网络之间的第一道屏障,处于网络安全的最底层,负责网络间的安全认证与传输,现代防火墙技术不仅要完成传统防火墙的过滤任务,还有正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展,。,任务分析,9.2.1,防火墙的基本类型,防火墙是在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统。,防止外部网络用户以非法手段进入内部网络,访问内部网络资源;,保护内部网络操作环境的特殊网络互联设备。,防火墙示意图,1,防火墙的功能,(
12、1,)过滤不安全服务和非法用户,禁止未授权的用户访问受保护的网络。,(,2,)控制对特殊站点的访问。,允许受保护网络的一部分主机如邮件服务器、,FTP,服务器和,Web,服务器等被外部网访问,而另一部分被保护起来,防止不必要的访问。,(,3,)监视网络访问,提供安全预警。,2.,防火墙的分类,(,1,)网络级防火墙,-,包过滤路由器,(,2,)电路级防火墙,电路网关,(,3,)应用级防火墙,应用网关,(,4,)监测型防火墙,2,防火墙的基本类型,2,防火墙的基本类型,防火墙存在软件和硬件两种形式。,具备包过滤功能的路由器(或充当路由器的计算机),通过读取数据包中的地址信息来判断这些“包”是否
13、来自可信任的安全站点,否则将数据拒之门外。,优点,:简单实用,实现成本较低,适合应用环境比较简单的情况。,缺点,:不能理解网络层以上的高层网络协议,无法识别基于应用层的恶意侵入。,(,1,)包过滤路由器,(,1,)包过滤路由器,下图给出了包过滤路由器结构示意图。,(,2,)电路级防火墙,电路网关,电路网关工作在传输层。,不允许内部主机与外部之间直接进行,TCP,连接,而是建立两个,TCP,连接:,一个在网关和内部主机上的,TCP,用户程序之间,,另一个在网关和外部主机的,TCP,用户程序之间。,通常用于内部网络对外部的访问,与堡垒主机相配合可设置成混合网关,对于向内的连接支持应用层服务,而对于
14、向外的连接支持传输层功能。,(,3,)应用级防火墙,应用网关,应用网关工作应用层,通常指运行代理服务器软件的一台计算机主机。,代理服务器位于客户机与服务器之间。从客户机来看,代理服务器相当于一台真正的服务器。而从服务器来看,代理服务器又是一台真正的客户机。,应用网关的工作模型,应用代理基本工作原理,应用网关优缺点,缺点:,使访问速度变慢,在重负载下,代理服务器可能成为网络瓶颈。,优点,:,代理服务器拥有高速缓存,能够节约时间和网络资源,外部网络只能看到代理服务器,看部到内网的具体结构,比包过滤更可靠,而且会详细地记录所有的访问状态信息,(,4,)监测型防火墙,对各层的数据进行主动的、实时的监测
15、加以分析,判断出各层中的非法侵入。,带有分布式探测器,安置在各种应用服务器和其他网络的节点之中,能检测来自网络外部的攻击,同时防范来自内部的恶意破坏。,9.2.2,常见的防火墙配置,最简单的防火墙配置就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。,将几种防火墙技术组合起来构建防火墙系统,一般来说有,3,种最基本的配置。,(,1,)双宿主机网关,用一台,装有两个网络适配器的双宿主机,(又称保垒主机)做防火墙,,一个适配器是网卡,与内部网相连,;另一个根据,与,Internet,的连接,方式可以是网卡、调制解调器或,ISDN,卡等。,外部网络与内部网络之间的通信必须经过双重宿主主
16、机的过滤和控制。,使用一个包过滤路由器把内部网络和外部网络隔离开,同时在内部网络上安装一个堡垒主机,由堡垒主机开放可允许的连接到外部网。,屏蔽主机网关易于实现,安全性好,应用广泛。,(,2,)屏蔽主机网关,因为堡垒主机是用户网络上最容易受侵袭的机器。通过,额外添加一层保护体系,周边网络,将堡垒主机放在周边网络上,,,用内部路由器分开周边网络和内部网络,,从而隔离堡垒主机,减少在堡垒主机被侵入的影响。,(,3,)屏蔽子网,1,攻击的分类,从攻击的行为分,主动攻击与被动攻击,。,主动攻击:包括窃取、篡改、假冒和破坏。字典式口令猜测,,IP,地址欺骗和服务拒绝攻击等都属于主动攻击。,被动攻击:网络窃
17、听、截取数据包并进行分析,从中窃取重要的敏感信息等。,9.3,网络安全攻击与防御,9.3.1,网络攻击,9.3.1,网络攻击,从攻击的位置分,远程攻击、本地攻击和伪远程攻击。,远程攻击:指攻击者从子网以外的地发动攻击。,本地攻击:指本单位的内部人员,通过局域网,向系统发动的攻击。,伪远程攻击:指内部人员为了掩盖身份,从外部远程发起入侵。,2,网络攻击手段,(,1,)获取口令,(,2,)放置特洛伊木马程序,(,3,),WWW,的欺骗技术,(,4,)电子邮件攻击,(,5,)通过一个节点来攻击其他节点,(,6,)网络监听,(,7,)寻找系统漏洞,(,8,)利用帐号进行攻击,(,9,)偷取特权,1,提高安全意识,2,安装防病毒软件,3,安装防火墙软件,4,只在必要时共享文件夹,5,定期备份重要数据,9.3.2,网络攻击的防范措施,9.3.3,企业网络安全防御,1,VLAN,(虚拟局域网)技术,2,网络分段,3,硬件防火墙技术,4,入侵检测技术,本章小结,了解计算机病毒的分类、特点、特征和运行机制,了解反病毒涉及的主要技术,掌握病毒的检测和防治技术,掌握防火墙的基本类型,熟悉常见的防火墙配置,了解网络攻击的分类、手段和防范措施,了解企业网安全防御技术,






