計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)(項(xiàng)目四)課件

1、項(xiàng)目四 保障網(wǎng)絡(luò)安全項(xiàng)目導(dǎo)入任務(wù)1 認(rèn)識(shí)加密與誰認(rèn)證技術(shù)任務(wù)2 防治計(jì)算機(jī)病毒任務(wù)3 使用防火墻2022/7/173知識(shí)與技能目標(biāo)了解常用的加密技術(shù)掌握數(shù)據(jù)加密的概念了解常用認(rèn)證技術(shù)的概念掌握防火墻的概念及使用掌握病毒的定義、特點(diǎn)及分類了解防病毒軟件的安裝及使用了解木馬及常用的木馬查殺工具掌握常用防病毒軟件的安裝及使用了解木馬的定義、特點(diǎn)掌握常用的木馬查殺工具2022/7/174知識(shí)重點(diǎn)及難點(diǎn)數(shù)據(jù)加密的概念防火墻的概念及使用病毒的定義、特點(diǎn)及分類常用的木馬查殺工具任務(wù)1 認(rèn)識(shí)加密與認(rèn)證技術(shù)任務(wù)介紹在網(wǎng)絡(luò)環(huán)境，數(shù)據(jù)的傳輸必須有足夠的措施才能保障數(shù)據(jù)的安全。一般情況下，通過數(shù)據(jù)加密和認(rèn)證技術(shù)來保障

2、數(shù)據(jù)的安全。為了幫助理解數(shù)據(jù)加密與認(rèn)證技術(shù)，本任務(wù)通過一個(gè)游戲和填寫調(diào)查表來完成。任務(wù)1 認(rèn)識(shí)加密與認(rèn)證技術(shù)預(yù)備知識(shí) 一、數(shù)據(jù)加密數(shù)據(jù)加密是將一個(gè)信息（明文）經(jīng)過加密密鑰及加密函數(shù)轉(zhuǎn)換為沒有意義的另一個(gè)信息（密文）的過程。該過程的逆過程稱為解密，即接受方將此密文還原成明文的過程。密碼技術(shù)是解決信息安全的最有效手段，是解決信息安全的核心技術(shù)。數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護(hù)的敏感信息，使非授權(quán)者不能了解被保護(hù)信息的內(nèi)容。使用密碼技術(shù)的目的是為了保護(hù)信息的保密性、完整性和可用性。密碼體制是指一個(gè)系統(tǒng)所采用的基本工作方式及其兩個(gè)基本要求，即加密/解密算法和密鑰。明文加密密文解

3、密明文任務(wù)1 認(rèn)識(shí)加密與認(rèn)證技術(shù)預(yù)備知識(shí) 二、加密技術(shù)加密技術(shù)根據(jù)其運(yùn)算機(jī)制的不同，主要有對(duì)稱加密算法、非對(duì)稱加密算法和單向散列算法。1.對(duì)稱密碼算法：對(duì)稱密碼體制是一種傳統(tǒng)的密碼體制，也稱私鑰密碼體制。在對(duì)稱加密系統(tǒng)中，加密和解密使用的是同一個(gè)密鑰。即發(fā)送者用一個(gè)密碼將明文轉(zhuǎn)化為密文；接收者用同一個(gè)密碼將密文轉(zhuǎn)化為明文。對(duì)稱密碼算法可分為兩類：（1）序列算法：是對(duì)明文中的單個(gè)位（或字節(jié)）運(yùn)算的算法。古老而簡(jiǎn)單的密碼技術(shù)凱撒密碼就屬于序列算法，它是將明文中的每個(gè)字母，用字母表中該字母后的第n個(gè)字母來替換，達(dá)到加密的目的。（2）分組算法：是把明文信息分割成塊結(jié)構(gòu)（也稱分組），逐塊予以加密和解密。

4、分組算法的一個(gè)典型代表是DES（Data Encryption Standard,數(shù)據(jù)加密標(biāo)準(zhǔn)）算法，它是美國(guó)政府機(jī)關(guān)為了保護(hù)信息處理中的計(jì)算機(jī)數(shù)據(jù)而使用的一種加密方式，它也是對(duì)稱密碼算法中最具有代表性的算法，目前已廣泛使用。此外，還有3DES和AES等算法。對(duì)稱加密系統(tǒng)具有運(yùn)算、加密效率高、使用方便等優(yōu)點(diǎn)，但由于密鑰要求通信的雙方使用同樣的密鑰，這導(dǎo)致了對(duì)稱加密系統(tǒng)存在密鑰分發(fā)管理的問題。明文加密密文解密明文密鑰密鑰任務(wù)1 認(rèn)識(shí)加密與認(rèn)證技術(shù)預(yù)備知識(shí) 二、加密技術(shù)2.非對(duì)稱密碼算法：針對(duì)對(duì)稱密碼系統(tǒng)的缺點(diǎn)，1976年斯坦福大學(xué)的Diffe和Hellman提出了公開密鑰系統(tǒng)（公鑰密碼體制）。與

5、對(duì)稱密碼體制不同，它需要兩個(gè)不同的密鑰：公開密鑰（PublicKey）和私有密鑰（PrivateKey），如果用公開密鑰對(duì)數(shù)據(jù)進(jìn)行加密，只有用對(duì)應(yīng)的私有密鑰才能解密；如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，那么只有用對(duì)應(yīng)的公開密鑰才能解密。因?yàn)榧用芎徒饷苁褂玫氖莾蓚€(gè)不同的密鑰，所以這各算法稱為非對(duì)稱密碼算法，這種體制也稱非對(duì)稱密碼體制。在非對(duì)稱密碼算法中，最有影響、最具有代表性的算法是1979年公布的RSA。RSA幾乎成為了公鑰密碼體制的代名詞。它是一個(gè)既能用于數(shù)據(jù)加密，也能用于數(shù)字簽名的公開密鑰密碼算法。RSA公鑰密碼體制所依據(jù)的數(shù)據(jù)原理是：尋求兩個(gè)大的素?cái)?shù)容易，但將它們的乘積分解開則極其困難。它易于

6、理解和操作，是目前仍然安全并且逐步廣泛應(yīng)用的一種體制。在Internet所采用的PGP（郵件加密軟件）中將RSA作為傳送會(huì)話密鑰和數(shù)字簽名的標(biāo)準(zhǔn)算法。明文加密密文解密明文加密密鑰解密密鑰任務(wù)1 認(rèn)識(shí)加密與認(rèn)證技術(shù)預(yù)備知識(shí) 二、加密技術(shù)3.單向散列算法對(duì)稱加密算法和非對(duì)稱算法加密算法有效地解決了機(jī)密性、不可否認(rèn)性等功能，單向散列算法則有效地解決了完整性的問題。單向散列算法又稱HASH（哈希）算法，用HASH函數(shù)對(duì)一段數(shù)據(jù)進(jìn)行運(yùn)算，得到一段固定長(zhǎng)度的報(bào)文摘要，任意兩個(gè)不同數(shù)據(jù)得到兩個(gè)不同的摘要，這樣就可以達(dá)到確認(rèn)數(shù)據(jù)完整性的作用。HASH函數(shù)被廣泛用于認(rèn)證技術(shù)。常見的單向散列函數(shù)有：MD5SHAM

7、ACCRC任務(wù)1 認(rèn)識(shí)加密與認(rèn)證技術(shù)預(yù)備知識(shí) 三、認(rèn)證技術(shù)在信息安全領(lǐng)域中，一方面是保證信息的保密性，防止通信中的機(jī)密信息被竊取和破譯，防止對(duì)系統(tǒng)進(jìn)行的被動(dòng)攻擊；另一方面是保證信息完整性、有效性，即要摘清楚通信對(duì)象的身份是否真實(shí)，證實(shí)信息在通信過程中是否被篡改、偽裝、竄擾和否認(rèn)，防止對(duì)系統(tǒng)進(jìn)行的主動(dòng)攻擊。認(rèn)證（Authentication）是指核實(shí)真實(shí)身份的過程，是防止主動(dòng)攻擊的重要技術(shù)。1.消息認(rèn)證消息認(rèn)證是一個(gè)過程，它使得通信的接收方能夠驗(yàn)證所收到的報(bào)文在傳輸過程中是否被假冒、偽造和篡改，即保證信息的完整性和有效性。它也可驗(yàn)證消息的順序和及時(shí)性，即消息是否有順序的修改，消息是否延時(shí)或重放。

8、消息認(rèn)證可以使用不同方法來實(shí)現(xiàn)。（1）使用MAC（消息認(rèn)證碼）的消息認(rèn)證，如基于DES的消息認(rèn)證碼，它是使用最廣泛的MAC之一。MAC并不提供數(shù)字簽名，因?yàn)槭瞻l(fā)雙方共享相同的密鑰。（2）使用HASH（哈希）算法的消息誰，如MD5、MD（Message Digest，消息摘要），是當(dāng)前最為普遍的哈希算法，MD5是第5個(gè)版本。除此之外還有SHA-1（安全哈希算法）等。2.數(shù)字簽名消息認(rèn)證可以保證通信雙方不受第三方的攻擊，但是它不能處理通信雙方自身發(fā)生的爭(zhēng)議。在收發(fā)雙方不能完全信任的情況下，就需要其他方法來解決這些問題。數(shù)字簽名是解決這個(gè)問題的最好方法，它的作用相當(dāng)于手寫簽名。數(shù)字簽名（Digita

9、l Signature），是利用數(shù)據(jù)加密技術(shù)，根據(jù)某種協(xié)議產(chǎn)生一個(gè)反映被簽署文件的特征和簽署人的特征，以保證文件的真實(shí)性和有效性。數(shù)字簽名普遍應(yīng)用于銀行、電子商務(wù)等領(lǐng)域。數(shù)字簽名的方法有多種，這些方法可分為三種：（1）基于公鑰的數(shù)字簽名基于公鑰的數(shù)字簽名是通信雙方在網(wǎng)上交換信息用公鑰密碼防止偽造和欺騙的一種簽名。將數(shù)字簽名和公開密鑰相結(jié)合，可以提供安全的通信服務(wù)，但公鑰體制的一個(gè)缺點(diǎn)是運(yùn)算速度比較慢，用這種方式對(duì)較大的消息進(jìn)行簽名，效率會(huì)較低。2.數(shù)字簽名消息認(rèn)證可以保證通信雙方不受第三方的攻擊，但是它不能處理通信雙方自身發(fā)生的爭(zhēng)議。在收發(fā)雙方不能完全信任的情況下，就需要其他方法來解決這些問題

10、。數(shù)字簽名是解決這個(gè)問題的最好方法，它的作用相當(dāng)于手寫簽名。數(shù)字簽名（Digital Signature），是利用數(shù)據(jù)加密技術(shù)，根據(jù)某種協(xié)議產(chǎn)生一個(gè)反映被簽署文件的特征和簽署人的特征，以保證文件的真實(shí)性和有效性。數(shù)字簽名普遍應(yīng)用于銀行、電子商務(wù)等領(lǐng)域。數(shù)字簽名的方法有多種，這些方法可分為三種：（2）使用消息摘要的數(shù)字簽名它是用哈希算法產(chǎn)生消息的報(bào)文摘要，用公開密鑰算法對(duì)報(bào)文摘要進(jìn)行加密，形成數(shù)字簽名。由于發(fā)送方的私鑰只有他自己知道，因而私鑰加密形成的簽名是別人無法偽造的。接收方只有使用發(fā)送方的公鑰才能解密，因而接收方可以確信消息的來源為某發(fā)送方，且發(fā)送方無法否認(rèn)自己的簽名。2.數(shù)字簽名消息認(rèn)證

11、可以保證通信雙方不受第三方的攻擊，但是它不能處理通信雙方自身發(fā)生的爭(zhēng)議。在收發(fā)雙方不能完全信任的情況下，就需要其他方法來解決這些問題。數(shù)字簽名是解決這個(gè)問題的最好方法，它的作用相當(dāng)于手寫簽名。數(shù)字簽名（Digital Signature），是利用數(shù)據(jù)加密技術(shù)，根據(jù)某種協(xié)議產(chǎn)生一個(gè)反映被簽署文件的特征和簽署人的特征，以保證文件的真實(shí)性和有效性。數(shù)字簽名普遍應(yīng)用于銀行、電子商務(wù)等領(lǐng)域。數(shù)字簽名的方法有多種，這些方法可分為三種：（3）基于私鑰的數(shù)字簽名這種數(shù)字簽名是依賴于第三方的。理論上講，它能非?？煽康乇ＷC報(bào)文的安全性，實(shí)現(xiàn)報(bào)文的認(rèn)證，但是對(duì)第三方的可靠性、安全性和公正性提出了較高的要求?；诠€

12、的數(shù)字簽名和使用消息摘要的數(shù)字簽名也稱直接數(shù)字簽名，基于私鑰的數(shù)字簽名也稱仲裁數(shù)字簽名。3.身份認(rèn)證信息系統(tǒng)的安全性還取決于能否正確驗(yàn)證用戶個(gè)人身份。身份認(rèn)證技術(shù)是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程所應(yīng)用的技術(shù)手段。驗(yàn)證一個(gè)人的身份主要通過三種方式判定，一是根據(jù)個(gè)人所知道的信息（所知），如用戶名、密碼等；二是根據(jù)個(gè)人所擁有的東西（所有），如身份證、工作證等；三是直接根據(jù)個(gè)人獨(dú)一無二的身體特征（個(gè)人特征），如指紋、視網(wǎng)膜等。常用的身份認(rèn)證技術(shù)有：（1）密碼認(rèn)證這是最簡(jiǎn)單、也是最常用的身份認(rèn)證的方法。每個(gè)用戶的密碼是由這個(gè)用戶自己設(shè)定的，只有他自己才知道，因此只要能夠正確輸入密碼，計(jì)算機(jī)就認(rèn)為

13、他就是這個(gè)用戶。密碼在驗(yàn)證過程中需要在計(jì)算機(jī)內(nèi)存中和網(wǎng)絡(luò)中傳輸，很容易被駐留在計(jì)算機(jī)內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲，因此密碼認(rèn)證是一種不安全的身份認(rèn)證方式。對(duì)于這種方式，可以采取限定密碼次數(shù)、設(shè)定密碼有效期和限制最小長(zhǎng)度等措施對(duì)密碼進(jìn)行加固。3.身份認(rèn)證信息系統(tǒng)的安全性還取決于能否正確驗(yàn)證用戶個(gè)人身份。身份認(rèn)證技術(shù)是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程所應(yīng)用的技術(shù)手段。驗(yàn)證一個(gè)人的身份主要通過三種方式判定，一是根據(jù)個(gè)人所知道的信息（所知），如用戶名、密碼等；二是根據(jù)個(gè)人所擁有的東西（所有），如身份證、工作證等；三是直接根據(jù)個(gè)人獨(dú)一無二的身體特征（個(gè)人特征），如指紋、視網(wǎng)膜等。常用的身

14、份認(rèn)證技術(shù)有：（2）IC卡認(rèn)證IC卡是一種內(nèi)置集成電路的卡片，卡片中存有與用戶身份相關(guān)的數(shù)據(jù)，它是基于所有的一種認(rèn)證。IC卡由合法用戶隨身攜帶，登錄時(shí)必須將IC卡插入專用的讀卡器讀取其中的信息，以驗(yàn)證用戶的身份。然而由于每次從IC卡中讀取的數(shù)據(jù)還是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗(yàn)證信息，因此該方式還是存在安全隱患的。3.身份認(rèn)證信息系統(tǒng)的安全性還取決于能否正確驗(yàn)證用戶個(gè)人身份。身份認(rèn)證技術(shù)是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程所應(yīng)用的技術(shù)手段。驗(yàn)證一個(gè)人的身份主要通過三種方式判定，一是根據(jù)個(gè)人所知道的信息（所知），如用戶名、密碼等；二是根據(jù)個(gè)人所擁有的東西（所

15、有），如身份證、工作證等；三是直接根據(jù)個(gè)人獨(dú)一無二的身體特征（個(gè)人特征），如指紋、視網(wǎng)膜等。常用的身份認(rèn)證技術(shù)有：（3）個(gè)人特征認(rèn)證個(gè)人特征認(rèn)證是指采用人的唯一（或相同概率極?。┑纳锾卣鱽眚?yàn)證用戶身份的技術(shù)。從理論上說，生物特征認(rèn)證是最可靠的身份認(rèn)證方式。目前已經(jīng)開發(fā)出計(jì)算機(jī)的指紋識(shí)別系統(tǒng)，可以比較精確地進(jìn)行指紋的自動(dòng)識(shí)別。除指紋識(shí)別外，還有視網(wǎng)膜識(shí)別、唇紋識(shí)別、聲音識(shí)別、面部識(shí)別、DNA識(shí)別等都可以用于身份認(rèn)證。任務(wù)1 認(rèn)識(shí)加密與認(rèn)證技術(shù)任務(wù)實(shí)施 一、加密與認(rèn)證游戲（紙條游戲）員工自由組合，分組制定紙條規(guī)則、書寫祝福語、識(shí)別紙條，認(rèn)識(shí)并理解加密與認(rèn)證技術(shù)（建議用各個(gè)環(huán)節(jié)評(píng)分并匯總評(píng)定名次的

16、競(jìng)賽方法實(shí)施）。（1）公司員工自由組合，按510人分成人數(shù)相等的35組，每人手中持有一張完全一樣的白紙條。主管宣布游戲內(nèi)容及評(píng)分規(guī)則。（2）每個(gè)小組需自行約定一個(gè)紙條規(guī)則，規(guī)則要滿足以下要求：A.保證規(guī)則不能與其他組相同；B.通過紙條上的信息能識(shí)別本組組員；C.紙條上的信息只能本組組員能識(shí)別理解。（3）各組組員按照本組規(guī)則獨(dú)立書寫一句祝福本組組員的話后將紙條傳遞給主管。書寫紙條時(shí)不得互相商量、互相查看、互相告知。（4）隨機(jī)抽出紙條請(qǐng)成員識(shí)別并朗讀出來。游戲總結(jié)：信息只能本組組員能識(shí)別理解加密；信息能識(shí)別本組組員認(rèn)證；規(guī)則與其他組不相同不同的加密、認(rèn)證技術(shù)任務(wù)1 認(rèn)識(shí)加密與認(rèn)證技術(shù)任務(wù)實(shí)施 二、

17、閱讀預(yù)備知識(shí)和查閱資料，填表序號(hào)題文回答1為什么要使用加密技術(shù)？2哪些情況要使用加密技術(shù)？3使用過哪些加密技術(shù)？4還了解哪些加密技術(shù)？5為什么要使用認(rèn)證技術(shù)？6哪些情況要使用認(rèn)證技術(shù)？7使用過哪些認(rèn)證技術(shù)？8還了解哪些認(rèn)證技術(shù)？9使用加密認(rèn)證技術(shù)時(shí)應(yīng)該注意些什么？任務(wù)1 認(rèn)識(shí)加密與認(rèn)證技術(shù)知識(shí)拓展 密碼發(fā)展歷史階段（1）第一階段是原始 密碼階段：數(shù)據(jù)加密起源于公元前2000年。埃及人是最先使用特別的象形文字作為信息編碼的人。隨著時(shí)間推移，巴比倫、美索不達(dá)米亞和希臘都開始使用一些方法來保護(hù)他們的書面信息。（2）第二階段是本世紀(jì)20年代以前的古典密碼階段：包含移動(dòng)加密、代替加密、代數(shù)加密。古典密碼

18、的特點(diǎn)：使用有限的密鑰量、一份報(bào)文加密重復(fù)周期不夠長(zhǎng)，容易被統(tǒng)計(jì)方法破譯。（3）第三階段是隨著電報(bào)、電話、有線和無線通信誕生而發(fā)展起來的近代密碼學(xué)。特點(diǎn)：要求密鑰和報(bào)文一樣長(zhǎng)，構(gòu)成密鑰不重復(fù)的一次一密的隨機(jī)密碼。（4）第四階段則是以計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的數(shù)據(jù)加密為中心的現(xiàn)代密碼學(xué)。任務(wù)一 書面作業(yè)P141-143：一、二、三要求依次抄題并在相應(yīng)題處作答，不能夠只寫答案，否則此作業(yè)不予批改，并作0分記。任務(wù)2 防治計(jì)算機(jī)病毒任務(wù)介紹使用的計(jì)算機(jī)出現(xiàn)如下現(xiàn)象之一：（1）在特定情況下屏幕上出現(xiàn)某些異常字符或特定畫面；（2）文件長(zhǎng)度異常增減或莫名產(chǎn)生新文件；（3）一些文件打開異?；蛲蝗粊G失；（4）系統(tǒng)無故

19、進(jìn)行大量磁盤讀寫或未經(jīng)用戶允許進(jìn)行格式化操作；（5）系統(tǒng)出現(xiàn)異常的重啟現(xiàn)象，經(jīng)常死機(jī)，或者藍(lán)屏無法進(jìn)入系統(tǒng)；（6）可用的內(nèi)存或硬盤空間變小；（7）打印機(jī)等外部設(shè)備出現(xiàn)工作異常；（8）在漢字庫(kù)正常的情況下，無法調(diào)用和打印漢字或漢字庫(kù)無故損壞；（9）磁盤上無故出現(xiàn)扇區(qū)損壞；（10）程序或數(shù)據(jù)神秘地消失了，文件名不能辨認(rèn)；那么計(jì)算機(jī)就可能是中病毒了！計(jì)算機(jī)中病毒了怎辦？安裝殺毒軟件進(jìn)行病毒查殺是最常用的處理方法。任務(wù)2 防治計(jì)算機(jī)病毒預(yù)備知識(shí) 一、計(jì)算機(jī)病毒的定義國(guó)務(wù)院頒布的中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，以及公安部出臺(tái)的計(jì)算機(jī)病毒防治管理辦法將計(jì)算機(jī)病毒均定義如下：計(jì)算機(jī)病毒，是指編制者

20、在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。這是目前官方最權(quán)威的關(guān)于計(jì)算機(jī)病毒的定義，此定義也被通行的計(jì)算機(jī)病毒防治產(chǎn)品評(píng)級(jí)準(zhǔn)則的國(guó)家標(biāo)準(zhǔn)所采納。任務(wù)2 防治計(jì)算機(jī)病毒預(yù)備知識(shí) 二、計(jì)算機(jī)病毒的特征1.繁殖性計(jì)算機(jī)病毒可以像生物病毒一樣進(jìn)行繁殖，當(dāng)正常程序運(yùn)行的時(shí)候，它也進(jìn)行運(yùn)行自身復(fù)制。是否具有繁殖、感染的特征是判斷某段程序?yàn)橛?jì)算機(jī)病毒的首要條件。2.傳染性與生物病毒一樣，計(jì)算機(jī)病毒能傳染，即計(jì)算機(jī)病毒在一定條件下可以自我復(fù)制，能對(duì)其他文件或系統(tǒng)進(jìn)行傳播，并使之成為一個(gè)新的傳染源。這是病毒的最基本特征，是否具有傳染性是判別一個(gè)程序

21、代碼是否是計(jì)算機(jī)病毒的最重要的依據(jù)。3.隱蔽性計(jì)算機(jī)病毒的隱蔽性是指不經(jīng)過程序代碼分析或掃描，病毒程序與正常程序是不容易區(qū)別開來的。計(jì)算機(jī)病毒通常是矮小精悍，占用空間很小的可執(zhí)行程序，它通常依附在正常程序之中或磁盤引導(dǎo)扇區(qū)中，或者磁盤上標(biāo)為壞簇的扇區(qū)中，以及一些空閑概率較大的扇區(qū)中。病毒想方設(shè)法隱藏自身，就是為了防止用戶察覺。4.破壞性計(jì)算機(jī)中毒后，可能會(huì)導(dǎo)致正常的程序無法運(yùn)行，把計(jì)算機(jī)內(nèi)的文件刪除或受到不同程序的損壞。通常表現(xiàn)為：增、刪、改、移。5.潛伏性計(jì)算機(jī)病毒具有依附于其他媒體而寄生的能力，這種媒體稱為計(jì)算機(jī)病毒的宿主。依靠病毒的寄生能力，病毒傳染合法的程序和系統(tǒng)后，不立即發(fā)作，而是悄

22、悄隱藏起來，然后在用戶不察覺的情況下進(jìn)行傳染。這樣，病毒的潛伏性越好，它在系統(tǒng)中存在的時(shí)間也就越長(zhǎng)，病毒傳染的范圍也越廣，其危害性也越大。6.觸發(fā)性計(jì)算機(jī)病毒一般都有一個(gè)或者幾個(gè)觸發(fā)條件。滿足其觸發(fā)條件或者激活病毒的傳染機(jī)制，使之進(jìn)行值當(dāng)或者激活病毒的表現(xiàn)部分或破壞部分。觸發(fā)的實(shí)質(zhì)是一種條件的控制，病毒程序可以依附設(shè)計(jì)者的要求，在一定條件下實(shí)施攻擊。這個(gè)條件可以是敲入特定的字符，使用特定文件，某個(gè)特定日期或者是病毒內(nèi)置的計(jì)數(shù)器達(dá)到一定次數(shù)等。任務(wù)2 防治計(jì)算機(jī)病毒預(yù)備知識(shí) 三、計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒種類很多，分類依據(jù)不同，其類型也不同。根據(jù)多年對(duì)計(jì)算機(jī)病毒的研究，按照科學(xué)的、系統(tǒng)的、嚴(yán)密的

23、方法，計(jì)算機(jī)病毒可以根據(jù)下面的屬性進(jìn)行分類。1.存在媒體根據(jù)病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò)病毒、文件病毒和引導(dǎo)型病毒。網(wǎng)絡(luò)病毒通過計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件，文件病毒感染計(jì)算機(jī)中的文件（如COM，EXE，DOC等），引導(dǎo)型病毒感染啟動(dòng)扇區(qū)（Boot）和硬盤的系統(tǒng)引導(dǎo)扇區(qū)（MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時(shí)使用了加密和變形算法。2.傳染渠道根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計(jì)算機(jī)后，把自身的內(nèi)存駐留部分放在內(nèi)存（RAM）中，這一部

24、分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去，它處于激活狀態(tài)，一直到關(guān)機(jī)或重新啟動(dòng)。非駐留型病毒在得到機(jī)會(huì)激活時(shí)并不感染計(jì)算機(jī)內(nèi)存，一些病毒在內(nèi)存中留有小部分，但是并不通過這一部分進(jìn)行感染，這類病毒也被劃分為非駐留型病毒。3.破壞能力無害型：除了感染時(shí)減少磁盤的可用空間處，對(duì)系統(tǒng)沒有其他影響。無危險(xiǎn)型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。危險(xiǎn)型：這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。非常危險(xiǎn)型：這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些病毒對(duì)系統(tǒng)造成的危害，并不是本身的算法中存在危險(xiǎn)的調(diào)用，而是當(dāng)它們傳染時(shí)會(huì)引起無法預(yù)料的和災(zāi)難性的破壞。由病毒引起其

25、他的程序產(chǎn)生的錯(cuò)誤也會(huì)破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。4.算法伴隨型病毒：這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（COM），例如：XCOPY.EXE的伴隨體是XCOPYCOM。病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件?！叭湎x”型病毒：通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌麢C(jī)器的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時(shí)它們?cè)谙到y(tǒng)存在，一般除了內(nèi)存不占用其他資源。寄生型病毒：除了伴隨和“蠕蟲”型，其

26、他病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過系統(tǒng)的功能進(jìn)行傳播，按其算法不同可分為：練習(xí)型病毒，病毒自身包含錯(cuò)誤，不能進(jìn)行很好的傳播，如一些病毒僅在調(diào)試階段。詭秘型病毒：它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級(jí)的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。變型病毒（又稱幽靈病毒）：這一類病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。任務(wù)2 防治計(jì)算機(jī)病毒任務(wù)實(shí)施 一、殺毒軟件的安裝（1）從/網(wǎng)站下載360殺毒軟件安裝程序；（2）

27、雙擊安裝程序，啟動(dòng)安裝。在軟件安裝過程中，可以通過安裝界面，瀏覽360殺毒軟件的新版特性；（3）安裝完成后，360殺毒軟件會(huì)自動(dòng)啟動(dòng)，打開殺毒軟件主界面。任務(wù)2 防治計(jì)算機(jī)病毒任務(wù)實(shí)施 二、殺毒軟件的使用（1）在360殺毒軟件主界面，單擊“一鍵開啟”開啟360殺毒軟件的防護(hù)功能；單擊“全面掃描”對(duì)計(jì)算機(jī)硬盤進(jìn)行一次“全身體檢”；單擊“快速掃描”對(duì)系統(tǒng)區(qū)域來次“重要部位”體檢；（2）在360殺毒軟件主界面，單擊“功能大全”，可以添加360的系統(tǒng)安全、系統(tǒng)優(yōu)化、系統(tǒng)急救組件，對(duì)系統(tǒng)進(jìn)行全方位保護(hù)；（3）在使用過程中，通過“設(shè)置”對(duì)話框，可以對(duì)360殺毒軟件進(jìn)行全方位設(shè)置，讓360殺毒軟件工作在最佳

28、狀態(tài)。任務(wù)2 防治計(jì)算機(jī)病毒任務(wù)實(shí)施 三、閱讀預(yù)備知識(shí)、拓展知識(shí)或查閱資料計(jì)算機(jī)病毒知識(shí)調(diào)查表序號(hào)題義回答1計(jì)算機(jī)病毒是什么？2計(jì)算機(jī)病毒有什么特點(diǎn)？3計(jì)算機(jī)中病毒后一般有些什么現(xiàn)象？4殺毒軟件有哪些？（至少列舉三個(gè)）5手機(jī)或計(jì)算機(jī)如何防范計(jì)算機(jī)病毒？任務(wù)2 防治計(jì)算機(jī)病毒知識(shí)拓展 一、計(jì)算機(jī)病毒的產(chǎn)生計(jì)算機(jī)的先驅(qū)馮諾依曼在他的一篇論文復(fù)雜自動(dòng)裝置的理論及組織的進(jìn)行里，勾勒出病毒程序的藍(lán)圖。1977年夏天，托馬斯捷瑞安（Thomas.J.Ryan）的科幻小說P1的春天，書中描寫了一種可以在計(jì)算機(jī)中互相傳染的病毒。而差不多在同一時(shí)間，美國(guó)著名的AT&T貝爾實(shí)驗(yàn)室中，“磁芯大戰(zhàn)”（core war

29、）游戲，進(jìn)一步將計(jì)算機(jī)病毒感染性的概念體現(xiàn)出來。1983年11月3日，一位南加州大學(xué)的學(xué)生弗雷德科恩（Fred Cohen）在UNIX系統(tǒng)下，寫了一個(gè)會(huì)引起系統(tǒng)死機(jī)的程序，并將這些程序以論文發(fā)表，讓計(jì)算機(jī)病毒具備破壞性的概念具體成形。在兩年后的一本科學(xué)美國(guó)人的月刊中，專欄作家杜特尼（A.K.Dewdney）在討論磁芯大戰(zhàn)與蘋果二型計(jì)算機(jī)時(shí)，開始把這種程序稱為病毒。任務(wù)2 防治計(jì)算機(jī)病毒知識(shí)拓展 二、計(jì)算機(jī)病毒的發(fā)展在病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的，一般情況下一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會(huì)抑制其流傳。操作系統(tǒng)升級(jí)后，病毒也會(huì)調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)。它

30、可劃分為：1.DOS引導(dǎo)階段1987年，計(jì)算機(jī)病毒主要是引導(dǎo)型病毒，具有代表性的是“小球”和“石頭”病毒。1989年，引導(dǎo)型病毒發(fā)展為可以感染硬盤，典型的代表有“石頭2”。我國(guó)最早出現(xiàn)的計(jì)算機(jī)病毒是1988年在財(cái)政部的計(jì)算機(jī)上發(fā)現(xiàn)的。2.DOS可執(zhí)行階段1989年，可執(zhí)行文件型病毒出現(xiàn)，代表為“耶路撒冷”、“星期天”病毒。病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán)，修改DOS中斷，在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染，并將自己附加在可執(zhí)行文件中，使文件長(zhǎng)度增加。1990年，發(fā)展為復(fù)合型病毒，可感染COM和EXE文件。3.伴隨批次階段1992年，伴隨型病毒出現(xiàn)，具有代表性的是“金蟬”病毒，它感染EXE文件時(shí)生成一個(gè)和E

31、XE同名但擴(kuò)展名為COM的伴隨體；它感染文件時(shí)，改原來的COM文件為同名的EXE文件，再產(chǎn)生一個(gè)原名的伴隨體，文件擴(kuò)展名為COM。任務(wù)2 防治計(jì)算機(jī)病毒知識(shí)拓展 三、防治病毒主要措施注意對(duì)系統(tǒng)文件、重要可執(zhí)行文件和數(shù)據(jù)進(jìn)行備份；不使用來歷不明的程序或數(shù)據(jù)；不輕易打開來歷不明的電子郵件；使用新的計(jì)算機(jī)系統(tǒng)或軟件時(shí)，要先殺毒后使用；備份系統(tǒng)和參數(shù)，建立系統(tǒng)的應(yīng)急計(jì)劃等；專機(jī)專用；安裝殺毒軟件；分類管理數(shù)據(jù)；任務(wù)2 防治計(jì)算機(jī)病毒知識(shí)拓展 四、木馬的來歷及概念木馬這個(gè)詞來源一個(gè)古老的希臘戰(zhàn)爭(zhēng)故事。木馬，英文單詞“Troj”，直譯為“特洛伊”，利用計(jì)算機(jī)程序漏洞侵入他人計(jì)算機(jī)后破壞或竊取他人文件、財(cái)產(chǎn)

32、與隱私的程序。木馬程序不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它的主要作用是向施種木馬者打開被種者計(jì)算機(jī)的門戶，使對(duì)方可以任意毀壞、竊取文件，甚至遠(yuǎn)程操作用戶計(jì)算機(jī)。木馬在計(jì)算機(jī)領(lǐng)域是一種客戶/服務(wù)器程序（C/S）或郵件客戶端程序（如阿里巴巴QQ大盜），是黑客最常用的基于遠(yuǎn)程控制的工具。目前，比較有名的國(guó)產(chǎn)木馬有：“熊貓燒香（武漢男孩）”、“冰河”、“廣外女生”、“黑洞”、“黑冰”等；國(guó)外有名的木馬則有：“SubSeven”、“Bo2000（Back Orifice）”、“NetSpy”、“Asylum”等。木馬與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件的區(qū)別是：功能上都可以實(shí)現(xiàn)遠(yuǎn)程控制；遠(yuǎn)

33、程控制軟件是“善意”的控制，通常不具有隱蔽性；木馬有很強(qiáng)的隱蔽性。因此，判別木馬與遠(yuǎn)程控制的兩個(gè)重要標(biāo)準(zhǔn)是使用目的和隱蔽性。任務(wù)2 防治計(jì)算機(jī)病毒知識(shí)拓展 五、木馬的傳播途徑木馬的傳播途徑很多，常見的有如下幾類：通過電子郵件的附件傳播這是最常見，也是最有效的一種方式，大部分（特別是蠕蟲病毒）都用此方式傳播。通過下載文件傳播從網(wǎng)上下載的文件，即使大的門戶網(wǎng)站也不有保證任何時(shí)候其文件都安全，一些個(gè)人主頁(yè)、小網(wǎng)站等就更不用說了。通過網(wǎng)頁(yè)傳播大家都知識(shí)很多VBS腳本病毒（著名的vbs病毒是暴風(fēng)一號(hào)）就是通過網(wǎng)頁(yè)傳播的，木馬也不例外。通過聊天工具傳播目前，QQ、ICQ、MSN等網(wǎng)絡(luò)聊天工具盛行，而這些工

34、具都具備文件傳輸功能，不懷好意者很容易利用對(duì)方的信任傳播木馬和病毒文件。任務(wù)2 防治計(jì)算機(jī)病毒知識(shí)拓展 六、防治木馬的主要措施安裝殺毒軟件和個(gè)人防火墻，并及時(shí)升級(jí)；把個(gè)人防火墻設(shè)置好安全等級(jí)，防止未知程序向外傳送數(shù)據(jù)；可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具；如果使用IE瀏覽器，應(yīng)該安裝QQ安全助手或360安全瀏覽器，防止惡意網(wǎng)站在自己計(jì)算機(jī)上安裝不明軟件和瀏覽器插件，以免被木馬趁機(jī)侵入；及時(shí)為操作系統(tǒng)打上最新的安全補(bǔ)丁。任務(wù)二 書面作業(yè)P151-154：一、二、三、四要求依次抄題并在相應(yīng)題處作答，不能夠只寫答案，否則此作業(yè)不予批改，并作0分記。任務(wù)3 使用防火墻任務(wù)介紹連上Int

35、ernet的計(jì)算機(jī)出現(xiàn)如下情況：莫名其妙地頻繁死機(jī)或重啟；固定在一個(gè)地方計(jì)算機(jī)上登錄的賬號(hào)卻提示其他地方登錄的信息；硬盤在無操作的情況下頻繁被訪問；系統(tǒng)、網(wǎng)絡(luò)間隙性速度異常緩慢，系統(tǒng)資源占用率過高；計(jì)算機(jī)彈出一些莫名其妙的信息；這些時(shí)候，要小心了！計(jì)算機(jī)可能被人攻擊了！怎么辦？是時(shí)候在計(jì)算機(jī)和Internet之間構(gòu)筑一道安全屏障防火墻了。本任務(wù)通過COMODO（科摩多）防火墻軟件的安裝使用為例進(jìn)行介紹。任務(wù)3 使用防火墻預(yù)備知識(shí) 一、防火墻一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。防火墻（Firewall）是用于兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問控制的一個(gè)或一組設(shè)備（計(jì)算機(jī)系統(tǒng)或路由器等）。作為網(wǎng)絡(luò)

36、安全技術(shù)中的防火墻技術(shù)，是目前最為成熟的技術(shù)。設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。從邏輯上講，防火墻是一個(gè)分離器、限制器、也是一個(gè)分析器。它可以安裝在路由器上保護(hù)一個(gè)子網(wǎng)，也可以安裝在一臺(tái)主機(jī)上保護(hù)該主機(jī)不受侵犯。外部網(wǎng)絡(luò)防火墻內(nèi)部網(wǎng)絡(luò)任務(wù)3 使用防火墻預(yù)備知識(shí) 二、防火墻的功能作為網(wǎng)絡(luò)安全的屏障。一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)；強(qiáng)化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置，可以將所有安全（如口令、身份認(rèn)證、審計(jì)等）都配置在防火墻上，進(jìn)行集中管理；有效記錄Internet

37、上的活動(dòng)。如果所有的訪問都經(jīng)過防火墻，那么防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)；防止內(nèi)部信息的泄漏。利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)對(duì)內(nèi)部重點(diǎn)網(wǎng)段的隔離，同時(shí)防火墻可以對(duì)那些透漏內(nèi)部細(xì)節(jié)的服務(wù)（如Finger、DNS等）進(jìn)行隱蔽，以防止內(nèi)部信息泄露。任務(wù)3 使用防火墻預(yù)備知識(shí) 三、防火墻的局限性不能完全防范外部刻意的人為攻擊；不能防范來自內(nèi)部的攻擊；不能防止內(nèi)部用戶因誤操作帶來的威脅；很難防止已感染病毒的文件的傳輸，不能取代殺毒軟件。任務(wù)3 使用防火墻任務(wù)實(shí)施 一、COMODO防火墻的安裝（1）從http:/product/comodo-firewall

38、.php下載COMODO防火墻軟件，雙擊啟動(dòng)安裝，彈出選擇語言界面；（2）單擊“確定”按鈕，彈出安裝程序向?qū)Ы缑妫鶕?jù)需要進(jìn)行選擇，然后單擊“下一步”按鈕，同意并安裝；如果單擊“自定義安裝”，可以對(duì)“安裝選項(xiàng)”、“配置選項(xiàng)”、“文件位置”分別進(jìn)行選擇配置，完成后單擊“后退”返回，選擇“同意并安裝”；（3）安裝程序激活許可證并完成安裝，桌面出現(xiàn)COMODO的浮動(dòng)工具條。任務(wù)3 使用防火墻任務(wù)實(shí)施 二、COMODO防火墻的使用（1）COMODO防火墻能自動(dòng)檢測(cè)網(wǎng)絡(luò)，在界面上根據(jù)需要選擇；（2）單擊浮動(dòng)工具條上的“需要注意”鏈接，彈出防火墻精簡(jiǎn)視圖主界面；在防火墻精簡(jiǎn)視圖主界面，可以單擊“高級(jí)視圖”

39、按鈕、“任務(wù)視圖”按鈕進(jìn)入到不同的視圖，對(duì)防火墻進(jìn)行操作；（3）在使用過程中，如果防火墻檢測(cè)到不符合規(guī)則的操作，會(huì)彈出提示窗口，根據(jù)具體情況做出選擇；（4）在使用過程中，通過“設(shè)置”打開“高級(jí)設(shè)置”對(duì)話框，對(duì)防火墻進(jìn)行全面詳細(xì)的設(shè)置，讓防火墻工作在最佳狀態(tài)。任務(wù)3 使用防火墻任務(wù)實(shí)施 三、閱讀預(yù)備知識(shí)、拓展知識(shí)或查閱資料填表防火墻知識(shí)調(diào)查表序號(hào)題義回答1防火墻的作用是什么？2防火墻有什么局限？3常用的軟件防火墻有哪些？（至少列舉三個(gè)）4殺毒軟件與防火墻的區(qū)別是什么？5各種安全衛(wèi)士軟件等于防火墻嗎？為什么？6手機(jī)或計(jì)算機(jī)如何防范別人攻擊？任務(wù)3 使用防火墻知識(shí)拓展 一、防火墻的發(fā)展歷史1.第一代

40、防火墻第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾（Packet Filter）技術(shù)。2.第二代防火墻第一代防火墻技術(shù)主要在路由器上實(shí)現(xiàn)，后來將此安全功能獨(dú)立出來專門用來實(shí)現(xiàn)安全過濾功能。1989年，貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。3.第三代防火墻代理防火墻出現(xiàn)，原來從路由器上獨(dú)立出來的安全軟件迅速發(fā)展，并引發(fā)了對(duì)承載安全軟件本身的操作系統(tǒng)的安全需求。即對(duì)防火墻本身的安全問題的安全需求。4.第四代防火墻1992年，USC信息科學(xué)院的BobBraden開發(fā)出了

41、基于動(dòng)態(tài)包過濾（Dynamic Packet Filter）技術(shù)的第四代防火墻，后來演變?yōu)樗f的狀態(tài)監(jiān)視（Stateful Inspection）技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化產(chǎn)品。5.第五代防火墻1998年，NAI公司推出了一種自適應(yīng)代理（Adaptive Proxy）技術(shù)，并在其產(chǎn)品Gauntler Firewall for NT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。6.一體化安全網(wǎng)關(guān)UTMUTM統(tǒng)一威脅管理，在防火墻基礎(chǔ)上發(fā)展起來的，具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設(shè)備。由于同時(shí)開啟

42、多項(xiàng)功能會(huì)大大降低UTM的處理性能，因此主要用于對(duì)性能要求不高的中低端領(lǐng)域，UTM已經(jīng)出現(xiàn)了代替防火墻的趨勢(shì)，因?yàn)樵诓婚_啟附加功能的情況下，UTM本身就是一個(gè)防火墻，而附加功能又為用戶的應(yīng)用提供了更多選擇，在高端應(yīng)用領(lǐng)域，如電信、金融等行業(yè)，仍然以專用的高性能防火墻、IPS為主流。任務(wù)3 使用防火墻知識(shí)拓展 二、防火墻設(shè)計(jì)策略防火墻一般執(zhí)行以下兩種基本設(shè)計(jì)策略中的一種：（1）除非明確不準(zhǔn)許，否則準(zhǔn)許某種服務(wù)；（2）除非明確準(zhǔn)許，否則將禁止某種服務(wù)。執(zhí)行第一種策略的防火墻在默認(rèn)情況下準(zhǔn)許所有的服務(wù)。這種策略是不可取的，因?yàn)橛脩簦ü粽撸┛梢栽L問沒有被策略所說明（禁止）的服務(wù)。第二種策略更加嚴(yán)格更加安全，但它更難于執(zhí)行，并對(duì)用戶的約束也存在重復(fù)。第一種是實(shí)施一種寬松的策略；第二種實(shí)施的是一種限制性的策略。防火墻是否適合取決于安全性和靈活性的要求，所以在實(shí)施防火墻之前，考慮一下策略是至關(guān)重要的。否則，會(huì)導(dǎo)致防火墻不能達(dá)到要求，或?qū)?yīng)用不方便。任務(wù)3 使用防火墻知識(shí)拓展 三、防火墻的類型（1）按技術(shù)可分為：包過濾型防