計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用第9章網(wǎng)絡(luò)安全與防范課件

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第九章 計(jì)算機(jī)網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第九章 計(jì)算機(jī)網(wǎng)絡(luò)安全[教學(xué)內(nèi)容](1)計(jì)算機(jī)網(wǎng)絡(luò)安全概念

(2)常用的網(wǎng)絡(luò)安全設(shè)備與技術(shù)

(3)計(jì)算機(jī)病毒的分類、特點(diǎn)、特征和運(yùn)行機(jī)制

(4)病毒的檢測(cè)和防治技術(shù)

(5)防火墻的基本類型(6)常見的防火墻配置(7)網(wǎng)絡(luò)攻擊的分類、手段和防范措施

[實(shí)踐內(nèi)容](1)查殺計(jì)算機(jī)病毒；(2)常用的個(gè)人防火墻進(jìn)行配置；[教學(xué)內(nèi)容][實(shí)踐內(nèi)容]計(jì)算機(jī)網(wǎng)絡(luò)安全[教學(xué)要求]（1）了解計(jì)算機(jī)網(wǎng)絡(luò)安全方面的知識(shí)（2）了解計(jì)算機(jī)病毒的分類、特點(diǎn)、特征和運(yùn)行機(jī)制（3）了解反病毒涉及的主要技術(shù)（4）掌握病毒的檢測(cè)和防治技術(shù)（5）掌握防火墻的基本類型（6）熟悉常見的防火墻配置（7）了解網(wǎng)絡(luò)攻擊的分類、手段和防范措施（8）了解企業(yè)網(wǎng)安全防御技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全[教學(xué)要求]本次課內(nèi)容介紹主要內(nèi)容：了解計(jì)算機(jī)網(wǎng)絡(luò)安全了解計(jì)算機(jī)病毒的分類、特點(diǎn)、特征和運(yùn)行機(jī)制了解反病毒涉及的主要技術(shù)掌握病毒的檢測(cè)和防治技術(shù)掌握防火墻的基本類型熟悉常見的防火墻配置重點(diǎn)內(nèi)容：病毒的檢測(cè)和防治技術(shù)防火墻的基本類型及配置本次課內(nèi)容介紹主要內(nèi)容：應(yīng)用情景

青職公司市場(chǎng)部小李剛上班，就打開計(jì)算機(jī)準(zhǔn)備處理昨天銷售部門報(bào)上來的數(shù)據(jù)分析表，一開機(jī)就發(fā)現(xiàn)計(jì)算機(jī)無法正常工作，也不能上網(wǎng)。打電話給計(jì)算機(jī)中心的小張請(qǐng)求幫助。小張發(fā)現(xiàn)操作系統(tǒng)無法正常啟動(dòng)，系統(tǒng)被計(jì)算機(jī)病毒破壞了。小張重新安裝了操作系統(tǒng)，并安裝了正版的殺病毒軟件對(duì)計(jì)算機(jī)進(jìn)行了殺毒處理。計(jì)算機(jī)終于可以正常工作了，小李懸著的心放了下來。小李請(qǐng)教小張如何才能防止類似的事情再次發(fā)生呢？應(yīng)用情景 青職公司市場(chǎng)部小李剛上班，就打開計(jì)算機(jī)準(zhǔn)備9.1了解計(jì)算機(jī)網(wǎng)絡(luò)安全9.1.1計(jì)算機(jī)網(wǎng)絡(luò)安全概述計(jì)算機(jī)網(wǎng)絡(luò)安全不僅包括組網(wǎng)的硬件、管理控制網(wǎng)絡(luò)的軟件，也包括共享的資源，快捷的網(wǎng)絡(luò)服務(wù)，所以定義網(wǎng)絡(luò)安全應(yīng)考慮涵蓋計(jì)算機(jī)網(wǎng)絡(luò)所涉及的全部內(nèi)容。參照ISO給出的計(jì)算機(jī)安全定義，計(jì)算機(jī)網(wǎng)絡(luò)安全是指：“保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件，軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠性地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)正常有序?！?.1了解計(jì)算機(jī)網(wǎng)絡(luò)安全9.1.1計(jì)算機(jī)網(wǎng)絡(luò)安全概述1．網(wǎng)絡(luò)安全的屬性在美國國家信息基礎(chǔ)設(shè)施（NII）的文獻(xiàn)中，給出了網(wǎng)絡(luò)安全的五個(gè)屬性。保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性。可用性：可被授權(quán)實(shí)體訪問并按需求使用的特性。即網(wǎng)絡(luò)信息服務(wù)在需要時(shí)允許授權(quán)用戶或?qū)嶓w使用，或者是網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí)仍能為授權(quán)用戶提供有效服務(wù)?？煽匦裕簩?duì)信息的傳播及內(nèi)容具有控制能力，不允許不良信息通過公共網(wǎng)絡(luò)進(jìn)行傳輸?？蓪彶樾裕撼霈F(xiàn)安全問題時(shí)提供依據(jù)與手段。1．網(wǎng)絡(luò)安全的屬性2.中小型網(wǎng)絡(luò)安全面臨的主要威脅（1）自然威脅自然威脅可能來自于各種自然災(zāi)害。（2）物理威脅物理威脅主要體現(xiàn)在物理設(shè)備上。（3）常見的網(wǎng)絡(luò)安全威脅

①網(wǎng)絡(luò)攻擊

②非授權(quán)訪問

③計(jì)算機(jī)病毒2.中小型網(wǎng)絡(luò)安全面臨的主要威脅9.1.2常用的網(wǎng)絡(luò)安全設(shè)備與技術(shù)（1）防火墻技術(shù)所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（SecurityGateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。（2）入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)（intrusiondetectionsystem，簡稱“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。9.1.2常用的網(wǎng)絡(luò)安全設(shè)備與技術(shù)（1）防火墻技術(shù)（3）漏洞掃描技術(shù)漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)（滲透攻擊）行為。（4）數(shù)據(jù)備份數(shù)據(jù)備份是容災(zāi)的基礎(chǔ)，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全部或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤或陣列復(fù)制到其它的存儲(chǔ)介質(zhì)的過程。（3）漏洞掃描技術(shù)（4）數(shù)據(jù)備份（5）防病毒技術(shù)從防病毒產(chǎn)品對(duì)計(jì)算機(jī)病毒的作用來講，防毒技術(shù)可以直觀地分為：病毒預(yù)防技術(shù)、病毒檢測(cè)技術(shù)及病毒清除技術(shù)。（6）數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是指對(duì)信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息的真實(shí)內(nèi)容的一種技術(shù)手段。（5）防病毒技術(shù)“計(jì)算機(jī)病毒”定義指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。

9.2防治計(jì)算機(jī)病毒“計(jì)算機(jī)病毒”定義9.2防治計(jì)算機(jī)病毒9.2.1計(jì)算機(jī)病毒與殺毒軟件1．計(jì)算機(jī)病毒的特征計(jì)算機(jī)病毒作為一種特殊的程序具有以下特征。（1）非授權(quán)可執(zhí)行性（2）隱蔽性（3）傳染性：最重要的一個(gè)特征

（4）潛伏性（5）表現(xiàn)性或破壞性（6）可觸發(fā)性

9.2.1計(jì)算機(jī)病毒與殺毒軟件1．計(jì)算機(jī)病毒的特征（1）引導(dǎo)型病毒

（2）文件型病毒

（3）復(fù)合型病毒（4）變型病毒（5）宏病毒

（6）網(wǎng)頁病毒（7）“蠕蟲”型病毒（8）木馬病毒

2．計(jì)算機(jī)病毒分類（1）引導(dǎo)型病毒2．計(jì)算機(jī)病毒分類3．計(jì)算機(jī)病毒的傳播通過文件系統(tǒng)傳播；通過電子郵件傳播；通過局域網(wǎng)傳播；通過互聯(lián)網(wǎng)上即時(shí)通訊軟件和點(diǎn)對(duì)點(diǎn)軟件等常用工具傳播；利用系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳播；利用系統(tǒng)配置缺陷傳播，如弱口令、完全共享等；3．計(jì)算機(jī)病毒的傳播通過文件系統(tǒng)傳播；計(jì)算機(jī)病毒的傳播過程計(jì)算機(jī)病毒的傳播過程1．如何防治病毒（1）要提高對(duì)計(jì)算機(jī)病毒危害的認(rèn)識(shí)（2）養(yǎng)成備份重要文件等良好使用習(xí)慣（3）大力普及殺毒軟件（4）采取措施防止計(jì)算機(jī)病毒的發(fā)作（5）開啟計(jì)算機(jī)病毒查殺軟件的實(shí)時(shí)監(jiān)測(cè)功能（6）加強(qiáng)對(duì)網(wǎng)絡(luò)流量等異常情況的監(jiān)測(cè)（7）有規(guī)律的備份系統(tǒng)關(guān)鍵數(shù)據(jù)，建立應(yīng)對(duì)災(zāi)難的數(shù)據(jù)安全策略

9.2.2計(jì)算機(jī)病毒防治1．如何防治病毒（1）要提高對(duì)計(jì)算機(jī)病毒危害的認(rèn)識(shí)9.2.2．如何選擇計(jì)算機(jī)病毒防治產(chǎn)品具有發(fā)現(xiàn)、隔離并清除病毒功能；具有實(shí)時(shí)報(bào)警（包括文件監(jiān)控、郵件監(jiān)控、網(wǎng)頁腳本監(jiān)控等）功能；多種方式及時(shí)升級(jí)；統(tǒng)一部署防范技術(shù)的管理功能；對(duì)病毒清除徹底，文件修復(fù)完整、可用；產(chǎn)品的誤報(bào)、漏報(bào)率較低；占用系統(tǒng)資源合理，產(chǎn)品適應(yīng)性較好。2．如何選擇計(jì)算機(jī)病毒防治產(chǎn)品具有發(fā)現(xiàn)、隔離并清除病毒功能9.3網(wǎng)絡(luò)攻擊與防御9.3.1網(wǎng)絡(luò)黑客攻擊1．黑客和入侵者在日本《新黑客詞典》中，對(duì)黑客的定義是“喜歡探索軟件程序奧秘，并從中增長了其個(gè)人才干的人。他們不象絕大多數(shù)電腦使用者那樣，只規(guī)規(guī)矩矩地了解別人指定了解的狹小部分知識(shí)?！比肭终撸ü粽撸┲笐延胁涣嫉钠髨D，闖入遠(yuǎn)程計(jì)算機(jī)系統(tǒng)甚至破壞遠(yuǎn)程計(jì)算機(jī)系統(tǒng)完整性的人。9.3網(wǎng)絡(luò)攻擊與防御9.3.1網(wǎng)絡(luò)黑客攻擊1．黑客和入侵者在2．黑客攻擊的主要手段黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。（1）后門程序（2）信息炸彈（3）拒絕服務(wù)（4）網(wǎng)絡(luò)監(jiān)聽2．黑客攻擊的主要手段黑客攻擊手段可分為非破壞性攻擊和破壞性3．黑客攻擊的目的（1）獲取數(shù)據(jù)（2）獲取權(quán)限（3）非法訪問（4）拒絕服務(wù)（5）暴露信息3．黑客攻擊的目的黑客攻擊的步驟第1步信息收集：獲取目標(biāo)系統(tǒng)的信息，如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、IP地址分配、端口的使用情況等。第2步獲得對(duì)系統(tǒng)的訪問權(quán)限：通過口令猜測(cè)、社會(huì)工程、建立后門等攻擊手段，利用系統(tǒng)存在的漏洞來獲得對(duì)系統(tǒng)的訪問權(quán)限。第3步破壞系統(tǒng)或盜取信息

：利用非法獲得的對(duì)系統(tǒng)的訪問權(quán)限，運(yùn)行非法程序。第4步消除入侵痕跡：入侵后盡力消除入侵痕跡，如更改或者刪除系統(tǒng)文件或日志。黑客攻擊的步驟第1步信息收集：獲取目標(biāo)系統(tǒng)的信息，如網(wǎng)絡(luò)拓?fù)?.3.2網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊是指利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。1．攻擊的分類從攻擊的行為分主動(dòng)攻擊與被動(dòng)攻擊。從攻擊的位置分遠(yuǎn)程攻擊、本地攻擊和偽遠(yuǎn)程攻擊。2．網(wǎng)絡(luò)攻擊手段（1）獲取口令

（2）放置特洛伊木馬程序（3）WWW的欺騙技術(shù)

（4）電子郵件攻擊（5）通過一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)（6）網(wǎng)絡(luò)監(jiān)聽

（7）尋找系統(tǒng)漏洞（8）利用帳號(hào)進(jìn)行攻擊

（9）偷取特權(quán)9.3.2網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊是指利用網(wǎng)絡(luò)存在的漏洞和安全缺陷9.3.2網(wǎng)絡(luò)攻擊的防范措施1．提高安全意識(shí)2．安裝殺毒軟件3．安裝防火墻軟件4．只在必要時(shí)共享文件夾5．定期備份重要數(shù)據(jù)9.3.2網(wǎng)絡(luò)攻擊的防范措施1．提高安全意識(shí)9.3.3企業(yè)網(wǎng)絡(luò)安全防御1．VLAN（虛擬局域網(wǎng)）技術(shù)

選擇VLAN技術(shù)可較好地從鏈路層實(shí)施網(wǎng)絡(luò)安全保障。2．網(wǎng)絡(luò)分段網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。3．硬件防火墻技術(shù)設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡(luò)的安全管理。4．入侵檢測(cè)技術(shù)9.3.3企業(yè)網(wǎng)絡(luò)安全防御1．VLAN（虛擬局域網(wǎng)）技術(shù)9.4防火墻技術(shù)9.4.1防火墻的基本類型防火墻是在一個(gè)受保護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)間，用來強(qiáng)制執(zhí)行企業(yè)安全策略的一個(gè)或一組系統(tǒng)，如圖9-2所示。防火墻防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源；保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。9.4防火墻技術(shù)9.4.1防火墻的基本類型防火墻示意圖

防火墻示意圖1．防火墻的功能（1）過濾不安全服務(wù)和非法用戶，禁止未授權(quán)的用戶訪問受保護(hù)的網(wǎng)絡(luò)。（2）控制對(duì)特殊站點(diǎn)的訪問。

允許受保護(hù)網(wǎng)絡(luò)的一部分主機(jī)如郵件服務(wù)器、FTP服務(wù)器和Web服務(wù)器等被外部網(wǎng)訪問，而另一部分被保護(hù)起來，防止不必要的訪問。（3）監(jiān)視網(wǎng)絡(luò)訪問，提供安全預(yù)警。1．防火墻的功能（1）過濾不安全服務(wù)和非法用戶，禁止未授權(quán)2.防火墻的分類（1）網(wǎng)絡(luò)級(jí)防火墻--包過濾路由器

（2）電路級(jí)防火墻—電路網(wǎng)關(guān)（3）應(yīng)用級(jí)防火墻—應(yīng)用網(wǎng)關(guān)（4）監(jiān)測(cè)型防火墻2．防火墻的基本類型2.防火墻的分類（1）網(wǎng)絡(luò)級(jí)防火墻--包過濾路由器2．防防火墻存在軟件和硬件兩種形式。

具備包過濾功能的路由器（或充當(dāng)路由器的計(jì)算機(jī)），通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn)，否則將數(shù)據(jù)拒之門外。優(yōu)點(diǎn)：簡單實(shí)用，實(shí)現(xiàn)成本較低，適合應(yīng)用環(huán)境比較簡單的情況。缺點(diǎn)：不能理解網(wǎng)絡(luò)層以上的高層網(wǎng)絡(luò)協(xié)議，無法識(shí)別基于應(yīng)用層的惡意侵入。（1）包過濾路由器

防火墻存在軟件和硬件兩種形式。（1）包過濾路由器下圖給出了包過濾路由器結(jié)構(gòu)示意圖。下圖給出了包過濾路由器結(jié)構(gòu)示意圖。（2）電路級(jí)防火墻—電路網(wǎng)關(guān)電路網(wǎng)關(guān)工作在傳輸層。不允許內(nèi)部主機(jī)與外部之間直接進(jìn)行TCP連接，而是建立兩個(gè)TCP連接：一個(gè)在網(wǎng)關(guān)和內(nèi)部主機(jī)上的TCP用戶程序之間，另一個(gè)在網(wǎng)關(guān)和外部主機(jī)的TCP用戶程序之間。通常用于內(nèi)部網(wǎng)絡(luò)對(duì)外部的訪問，與堡壘主機(jī)相配合可設(shè)置成混合網(wǎng)關(guān)，對(duì)于向內(nèi)的連接支持應(yīng)用層服務(wù)，而對(duì)于向外的連接支持傳輸層功能。（2）電路級(jí)防火墻—電路網(wǎng)關(guān)電路網(wǎng)關(guān)工作在傳輸層。（3）應(yīng)用級(jí)防火墻—應(yīng)用網(wǎng)關(guān)應(yīng)用網(wǎng)關(guān)工作應(yīng)用層，通常指運(yùn)行代理服務(wù)器軟件的一臺(tái)計(jì)算機(jī)主機(jī)。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間。從客戶機(jī)來看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器。而從服務(wù)器來看，代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。

（3）應(yīng)用級(jí)防火墻—應(yīng)用網(wǎng)關(guān)應(yīng)用網(wǎng)關(guān)工作應(yīng)用層，通常指運(yùn)行應(yīng)用網(wǎng)關(guān)的工作模型應(yīng)用網(wǎng)關(guān)的工作模型應(yīng)用代理基本工作原理應(yīng)用代理基本工作原理應(yīng)用網(wǎng)關(guān)優(yōu)缺點(diǎn)缺點(diǎn)：使訪問速度變慢在重負(fù)載下，代理服務(wù)器可能成為網(wǎng)絡(luò)瓶頸。優(yōu)點(diǎn)：代理服務(wù)器擁有高速緩存，能夠節(jié)約時(shí)間和網(wǎng)絡(luò)資源外部網(wǎng)絡(luò)只能看到代理服務(wù)器，看部到內(nèi)網(wǎng)的具體結(jié)構(gòu)比包過濾更可靠，而且會(huì)詳細(xì)地記錄所有的訪問狀態(tài)信息應(yīng)用網(wǎng)關(guān)優(yōu)缺點(diǎn)缺點(diǎn)：（4）監(jiān)測(cè)型防火墻對(duì)各層的數(shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，加以分析，判斷出各層中的非法侵入。帶有分布式探測(cè)器，安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，能檢測(cè)來自網(wǎng)絡(luò)外部的攻擊，同時(shí)防范來自內(nèi)部的惡意破壞。

（4）監(jiān)測(cè)型防火墻對(duì)各層的數(shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，加以分最簡單的防火墻配置就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個(gè)包過濾路由器或者應(yīng)用網(wǎng)關(guān)。將幾種防火墻技術(shù)組合起來構(gòu)建防火墻系統(tǒng)，一般來說有3種最基本的配置。9.4.2常見的防火墻配置最簡單的防火墻配置就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個(gè)包過濾（1）雙宿主機(jī)網(wǎng)關(guān)用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)（又稱保壘主機(jī)）做防火墻，一個(gè)適配器是網(wǎng)卡，與內(nèi)部網(wǎng)相連；另一個(gè)根據(jù)與Internet的連接方式可以是網(wǎng)卡、調(diào)制解調(diào)器或ISDN卡等。外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制。（1）雙宿主機(jī)網(wǎng)關(guān)用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)（又稱保使用一個(gè)包過濾路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，同時(shí)在內(nèi)部網(wǎng)絡(luò)上安裝一個(gè)堡壘主機(jī)，由堡壘主機(jī)開放可允許的連接到外部網(wǎng)。屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。

（2）屏蔽主機(jī)網(wǎng)關(guān)使用一個(gè)包過濾路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，同時(shí)在內(nèi)部網(wǎng)（3）屏蔽子網(wǎng)因?yàn)楸局鳈C(jī)是用戶網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。通過額外添加一層保護(hù)體系——周邊網(wǎng)絡(luò)，將堡壘主機(jī)放在周邊網(wǎng)絡(luò)上，用內(nèi)部路由器分開周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，從而隔離堡壘主機(jī)，減少在堡壘主機(jī)被侵入的影響。（3）屏蔽子網(wǎng)因?yàn)楸局鳈C(jī)是用戶網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。通本章小結(jié)

了解計(jì)算機(jī)病毒的分類、特點(diǎn)、特征和運(yùn)行機(jī)制了解反病毒涉及的主要技術(shù)掌握病毒的檢測(cè)和防治技術(shù)掌握防火墻的基本類型熟悉常見的防火墻配置了解網(wǎng)絡(luò)攻擊的分類、手段和防范措施了解企業(yè)網(wǎng)安全防御技術(shù)本章小結(jié) 了解計(jì)算機(jī)病毒的分類、特點(diǎn)、特征和運(yùn)行機(jī)制計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第九章 計(jì)算機(jī)網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第九章 計(jì)算機(jī)網(wǎng)絡(luò)安全[教學(xué)內(nèi)容](1)計(jì)算機(jī)網(wǎng)絡(luò)安全概念

(2)常用的網(wǎng)絡(luò)安全設(shè)備與技術(shù)

(3)計(jì)算機(jī)病毒的分類、特點(diǎn)、特征和運(yùn)行機(jī)制

(4)病毒的檢測(cè)和防治技術(shù)

(5)防火墻的基本類型(6)常見的防火墻配置(7)網(wǎng)絡(luò)攻擊的分類、手段和防范措施

[實(shí)踐內(nèi)容](1)查殺計(jì)算機(jī)病毒；(2)常用的個(gè)人防火墻進(jìn)行配置；[教學(xué)內(nèi)容][實(shí)踐內(nèi)容]計(jì)算機(jī)網(wǎng)絡(luò)安全[教學(xué)要求]（1）了解計(jì)算機(jī)網(wǎng)絡(luò)安全方面的知識(shí)（2）了解計(jì)算機(jī)病毒的分類、特點(diǎn)、特征和運(yùn)行機(jī)制（3）了解反病毒涉及的主要技術(shù)（4）掌握病毒的檢測(cè)和防治技術(shù)（5）掌握防火墻的基本類型（6）熟悉常見的防火墻配置（7）了解網(wǎng)絡(luò)攻擊的分類、手段和防范措施（8）了解企業(yè)網(wǎng)安全防御技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全[教學(xué)要求]本次課內(nèi)容介紹主要內(nèi)容：了解計(jì)算機(jī)網(wǎng)絡(luò)安全了解計(jì)算機(jī)病毒的分類、特點(diǎn)、特征和運(yùn)行機(jī)制了解反病毒涉及的主要技術(shù)掌握病毒的檢測(cè)和防治技術(shù)掌握防火墻的基本類型熟悉常見的防火墻配置重點(diǎn)內(nèi)容：病毒的檢測(cè)和防治技術(shù)防火墻的基本類型及配置本次課內(nèi)容介紹主要內(nèi)容：應(yīng)用情景

青職公司市場(chǎng)部小李剛上班，就打開計(jì)算機(jī)準(zhǔn)備處理昨天銷售部門報(bào)上來的數(shù)據(jù)分析表，一開機(jī)就發(fā)現(xiàn)計(jì)算機(jī)無法正常工作，也不能上網(wǎng)。打電話給計(jì)算機(jī)中心的小張請(qǐng)求幫助。小張發(fā)現(xiàn)操作系統(tǒng)無法正常啟動(dòng)，系統(tǒng)被計(jì)算機(jī)病毒破壞了。小張重新安裝了操作系統(tǒng)，并安裝了正版的殺病毒軟件對(duì)計(jì)算機(jī)進(jìn)行了殺毒處理。計(jì)算機(jī)終于可以正常工作了，小李懸著的心放了下來。小李請(qǐng)教小張如何才能防止類似的事情再次發(fā)生呢？應(yīng)用情景 青職公司市場(chǎng)部小李剛上班，就打開計(jì)算機(jī)準(zhǔn)備9.1了解計(jì)算機(jī)網(wǎng)絡(luò)安全9.1.1計(jì)算機(jī)網(wǎng)絡(luò)安全概述計(jì)算機(jī)網(wǎng)絡(luò)安全不僅包括組網(wǎng)的硬件、管理控制網(wǎng)絡(luò)的軟件，也包括共享的資源，快捷的網(wǎng)絡(luò)服務(wù)，所以定義網(wǎng)絡(luò)安全應(yīng)考慮涵蓋計(jì)算機(jī)網(wǎng)絡(luò)所涉及的全部內(nèi)容。參照ISO給出的計(jì)算機(jī)安全定義，計(jì)算機(jī)網(wǎng)絡(luò)安全是指：“保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件，軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠性地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)正常有序。”9.1了解計(jì)算機(jī)網(wǎng)絡(luò)安全9.1.1計(jì)算機(jī)網(wǎng)絡(luò)安全概述1．網(wǎng)絡(luò)安全的屬性在美國國家信息基礎(chǔ)設(shè)施（NII）的文獻(xiàn)中，給出了網(wǎng)絡(luò)安全的五個(gè)屬性。保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯裕嚎杀皇跈?quán)實(shí)體訪問并按需求使用的特性。即網(wǎng)絡(luò)信息服務(wù)在需要時(shí)允許授權(quán)用戶或?qū)嶓w使用，或者是網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí)仍能為授權(quán)用戶提供有效服務(wù)?？煽匦裕簩?duì)信息的傳播及內(nèi)容具有控制能力，不允許不良信息通過公共網(wǎng)絡(luò)進(jìn)行傳輸?？蓪彶樾裕撼霈F(xiàn)安全問題時(shí)提供依據(jù)與手段。1．網(wǎng)絡(luò)安全的屬性2.中小型網(wǎng)絡(luò)安全面臨的主要威脅（1）自然威脅自然威脅可能來自于各種自然災(zāi)害。（2）物理威脅物理威脅主要體現(xiàn)在物理設(shè)備上。（3）常見的網(wǎng)絡(luò)安全威脅

①網(wǎng)絡(luò)攻擊

②非授權(quán)訪問

③計(jì)算機(jī)病毒2.中小型網(wǎng)絡(luò)安全面臨的主要威脅9.1.2常用的網(wǎng)絡(luò)安全設(shè)備與技術(shù)（1）防火墻技術(shù)所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（SecurityGateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。（2）入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)（intrusiondetectionsystem，簡稱“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。9.1.2常用的網(wǎng)絡(luò)安全設(shè)備與技術(shù)（1）防火墻技術(shù)（3）漏洞掃描技術(shù)漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)（滲透攻擊）行為。（4）數(shù)據(jù)備份數(shù)據(jù)備份是容災(zāi)的基礎(chǔ)，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全部或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤或陣列復(fù)制到其它的存儲(chǔ)介質(zhì)的過程。（3）漏洞掃描技術(shù)（4）數(shù)據(jù)備份（5）防病毒技術(shù)從防病毒產(chǎn)品對(duì)計(jì)算機(jī)病毒的作用來講，防毒技術(shù)可以直觀地分為：病毒預(yù)防技術(shù)、病毒檢測(cè)技術(shù)及病毒清除技術(shù)。（6）數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是指對(duì)信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息的真實(shí)內(nèi)容的一種技術(shù)手段。（5）防病毒技術(shù)“計(jì)算機(jī)病毒”定義指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。

9.2防治計(jì)算機(jī)病毒“計(jì)算機(jī)病毒”定義9.2防治計(jì)算機(jī)病毒9.2.1計(jì)算機(jī)病毒與殺毒軟件1．計(jì)算機(jī)病毒的特征計(jì)算機(jī)病毒作為一種特殊的程序具有以下特征。（1）非授權(quán)可執(zhí)行性（2）隱蔽性（3）傳染性：最重要的一個(gè)特征

（4）潛伏性（5）表現(xiàn)性或破壞性（6）可觸發(fā)性

9.2.1計(jì)算機(jī)病毒與殺毒軟件1．計(jì)算機(jī)病毒的特征（1）引導(dǎo)型病毒

（2）文件型病毒

（3）復(fù)合型病毒（4）變型病毒（5）宏病毒

（6）網(wǎng)頁病毒（7）“蠕蟲”型病毒（8）木馬病毒

2．計(jì)算機(jī)病毒分類（1）引導(dǎo)型病毒2．計(jì)算機(jī)病毒分類3．計(jì)算機(jī)病毒的傳播通過文件系統(tǒng)傳播；通過電子郵件傳播；通過局域網(wǎng)傳播；通過互聯(lián)網(wǎng)上即時(shí)通訊軟件和點(diǎn)對(duì)點(diǎn)軟件等常用工具傳播；利用系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳播；利用系統(tǒng)配置缺陷傳播，如弱口令、完全共享等；3．計(jì)算機(jī)病毒的傳播通過文件系統(tǒng)傳播；計(jì)算機(jī)病毒的傳播過程計(jì)算機(jī)病毒的傳播過程1．如何防治病毒（1）要提高對(duì)計(jì)算機(jī)病毒危害的認(rèn)識(shí)（2）養(yǎng)成備份重要文件等良好使用習(xí)慣（3）大力普及殺毒軟件（4）采取措施防止計(jì)算機(jī)病毒的發(fā)作（5）開啟計(jì)算機(jī)病毒查殺軟件的實(shí)時(shí)監(jiān)測(cè)功能（6）加強(qiáng)對(duì)網(wǎng)絡(luò)流量等異常情況的監(jiān)測(cè)（7）有規(guī)律的備份系統(tǒng)關(guān)鍵數(shù)據(jù)，建立應(yīng)對(duì)災(zāi)難的數(shù)據(jù)安全策略

9.2.2計(jì)算機(jī)病毒防治1．如何防治病毒（1）要提高對(duì)計(jì)算機(jī)病毒危害的認(rèn)識(shí)9.2.2．如何選擇計(jì)算機(jī)病毒防治產(chǎn)品具有發(fā)現(xiàn)、隔離并清除病毒功能；具有實(shí)時(shí)報(bào)警（包括文件監(jiān)控、郵件監(jiān)控、網(wǎng)頁腳本監(jiān)控等）功能；多種方式及時(shí)升級(jí)；統(tǒng)一部署防范技術(shù)的管理功能；對(duì)病毒清除徹底，文件修復(fù)完整、可用；產(chǎn)品的誤報(bào)、漏報(bào)率較低；占用系統(tǒng)資源合理，產(chǎn)品適應(yīng)性較好。2．如何選擇計(jì)算機(jī)病毒防治產(chǎn)品具有發(fā)現(xiàn)、隔離并清除病毒功能9.3網(wǎng)絡(luò)攻擊與防御9.3.1網(wǎng)絡(luò)黑客攻擊1．黑客和入侵者在日本《新黑客詞典》中，對(duì)黑客的定義是“喜歡探索軟件程序奧秘，并從中增長了其個(gè)人才干的人。他們不象絕大多數(shù)電腦使用者那樣，只規(guī)規(guī)矩矩地了解別人指定了解的狹小部分知識(shí)?！比肭终撸ü粽撸┲笐延胁涣嫉钠髨D，闖入遠(yuǎn)程計(jì)算機(jī)系統(tǒng)甚至破壞遠(yuǎn)程計(jì)算機(jī)系統(tǒng)完整性的人。9.3網(wǎng)絡(luò)攻擊與防御9.3.1網(wǎng)絡(luò)黑客攻擊1．黑客和入侵者在2．黑客攻擊的主要手段黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。（1）后門程序（2）信息炸彈（3）拒絕服務(wù)（4）網(wǎng)絡(luò)監(jiān)聽2．黑客攻擊的主要手段黑客攻擊手段可分為非破壞性攻擊和破壞性3．黑客攻擊的目的（1）獲取數(shù)據(jù)（2）獲取權(quán)限（3）非法訪問（4）拒絕服務(wù)（5）暴露信息3．黑客攻擊的目的黑客攻擊的步驟第1步信息收集：獲取目標(biāo)系統(tǒng)的信息，如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、IP地址分配、端口的使用情況等。第2步獲得對(duì)系統(tǒng)的訪問權(quán)限：通過口令猜測(cè)、社會(huì)工程、建立后門等攻擊手段，利用系統(tǒng)存在的漏洞來獲得對(duì)系統(tǒng)的訪問權(quán)限。第3步破壞系統(tǒng)或盜取信息

：利用非法獲得的對(duì)系統(tǒng)的訪問權(quán)限，運(yùn)行非法程序。第4步消除入侵痕跡：入侵后盡力消除入侵痕跡，如更改或者刪除系統(tǒng)文件或日志。黑客攻擊的步驟第1步信息收集：獲取目標(biāo)系統(tǒng)的信息，如網(wǎng)絡(luò)拓?fù)?.3.2網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊是指利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。1．攻擊的分類從攻擊的行為分主動(dòng)攻擊與被動(dòng)攻擊。從攻擊的位置分遠(yuǎn)程攻擊、本地攻擊和偽遠(yuǎn)程攻擊。2．網(wǎng)絡(luò)攻擊手段（1）獲取口令

（2）放置特洛伊木馬程序（3）WWW的欺騙技術(shù)

（4）電子郵件攻擊（5）通過一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)（6）網(wǎng)絡(luò)監(jiān)聽

（7）尋找系統(tǒng)漏洞（8）利用帳號(hào)進(jìn)行攻擊

（9）偷取特權(quán)9.3.2網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊是指利用網(wǎng)絡(luò)存在的漏洞和安全缺陷9.3.2網(wǎng)絡(luò)攻擊的防范措施1．提高安全意識(shí)2．安裝殺毒軟件3．安裝防火墻軟件4．只在必要時(shí)共享文件夾5．定期備份重要數(shù)據(jù)9.3.2網(wǎng)絡(luò)攻擊的防范措施1．提高安全意識(shí)9.3.3企業(yè)網(wǎng)絡(luò)安全防御1．VLAN（虛擬局域網(wǎng)）技術(shù)

選擇VLAN技術(shù)可較好地從鏈路層實(shí)施網(wǎng)絡(luò)安全保障。2．網(wǎng)絡(luò)分段網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。3．硬件防火墻技術(shù)設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡(luò)的安全管理。4．入侵檢測(cè)技術(shù)9.3.3企業(yè)網(wǎng)絡(luò)安全防御1．VLAN（虛擬局域網(wǎng)）技術(shù)9.4防火墻技術(shù)9.4.1防火墻的基本類型防火墻是在一個(gè)受保護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)間，用來強(qiáng)制執(zhí)行企業(yè)安全策略的一個(gè)或一組系統(tǒng)，如圖9-2所示。防火墻防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源；保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。9.4防火墻技術(shù)9.4.1防火墻的基本類型防火墻示意圖

防火墻示意圖1．防火墻的功能（1）過濾不安全服務(wù)和非法用戶，禁止未授權(quán)的用戶訪問受保護(hù)的網(wǎng)絡(luò)。（2）控制對(duì)特殊站點(diǎn)的訪問。

允許受保護(hù)網(wǎng)絡(luò)的一部分主機(jī)如郵件服務(wù)器、FTP服務(wù)器和Web服務(wù)器等被外部網(wǎng)訪問，而另一部分被保護(hù)起來，防止不必要的訪問。（3）監(jiān)視網(wǎng)絡(luò)訪問，提供安全預(yù)警。1．防火墻的功能（1）過濾不安全服務(wù)和非法用戶，禁止未授權(quán)2.防火墻的分類（1）網(wǎng)絡(luò)級(jí)防火墻--包過濾路由器

（2）電路級(jí)防火墻—電路網(wǎng)關(guān)（3）應(yīng)用級(jí)防火墻—應(yīng)用網(wǎng)關(guān)（4）監(jiān)測(cè)型防火墻2．防火墻的基本類型2.防火墻的分類（1）網(wǎng)絡(luò)級(jí)防火墻--包過濾路由器2．防防火墻存在軟件和硬件兩種形式。

具備包過濾功能的路由器（或充當(dāng)路由器的計(jì)算機(jī)），通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn)，否則將數(shù)據(jù)拒之門外。優(yōu)點(diǎn)：簡單實(shí)用，實(shí)現(xiàn)成本較低，適合應(yīng)用環(huán)境比較簡單的情況。缺點(diǎn)：不能理解網(wǎng)絡(luò)層以上的高層網(wǎng)絡(luò)協(xié)議，無法識(shí)別基于應(yīng)用層的惡意侵入。（1）包過濾路由器

防火墻存在軟件和硬件兩種形式。（1）包過濾路由器下圖給出了包過濾路由器結(jié)構(gòu)示意圖。下圖給出了包過濾路由器結(jié)構(gòu)示意圖。（2）電路級(jí)防火墻—電路網(wǎng)關(guān)電路網(wǎng)關(guān)工作在傳輸層。不允許內(nèi)部主機(jī)與外部之間直接進(jìn)行TCP連接，而是建立兩個(gè)TCP連接：一個(gè)在網(wǎng)