防火墻等設(shè)備的安全漏洞課件

第十一章網(wǎng)絡(luò)安全第十一章網(wǎng)絡(luò)安全1網(wǎng)絡(luò)安全第一節(jié)

網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全第一節(jié)2網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)3網(wǎng)絡(luò)安全基礎(chǔ)知識網(wǎng)絡(luò)安全的特征（1）保密性：信息不泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。（2）完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可用性：可被授權(quán)實體訪問并按需求使用的特性，即當(dāng)需要時應(yīng)能存取所需的信息。網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊。（4）可控性：對信息的傳播及內(nèi)容具有控制能力。網(wǎng)絡(luò)安全基礎(chǔ)知識網(wǎng)絡(luò)安全的特征4網(wǎng)絡(luò)安全第一節(jié)網(wǎng)絡(luò)安全的特殊性一、網(wǎng)絡(luò)計算引起的革命和問題“網(wǎng)絡(luò)就是計算機”，“數(shù)字化地球”，“系統(tǒng)就是網(wǎng)絡(luò)、網(wǎng)絡(luò)就是系統(tǒng)”1.世界網(wǎng)絡(luò)化世界縮小，時空縮小，高科技社會中，高科技技術(shù)的應(yīng)用與高技術(shù)犯罪并存.網(wǎng)絡(luò)安全第一節(jié)網(wǎng)絡(luò)安全的特殊性一、網(wǎng)絡(luò)計算引起的革命和問5網(wǎng)絡(luò)安全

第一節(jié)網(wǎng)絡(luò)安全的特殊性2.系統(tǒng)開放性分散和分布式計算環(huán)境基于開放性技術(shù)，開放性與安全性是一對基本矛盾，系統(tǒng)開放與系統(tǒng)保密成為矛盾中的統(tǒng)一。3.信息共享、資源共享共享的概念，不是所有信息都共享信息是有價值的，有價信息的擁有權(quán)敏感信息、私有信息與垃圾信息網(wǎng)絡(luò)安全第一節(jié)網(wǎng)絡(luò)安全的特殊性2.系統(tǒng)開放性6◆開放的、分布式協(xié)同計算環(huán)境中，原有的安全措施很難奏效

●結(jié)構(gòu)松散，異地分散，無法有效管理

●用戶透明，資源共享，面臨多種攻擊◆網(wǎng)絡(luò)系統(tǒng)規(guī)模日益龐大，必然導(dǎo)致系統(tǒng)安全性、可靠性降低●設(shè)計缺陷，給安全帶來影響無法消除，如操作系統(tǒng)的管理員權(quán)限，TCP/IP協(xié)議等●軟件的可靠性有限，存在缺陷和后門，給攻擊者機會網(wǎng)絡(luò)安全的面臨挑戰(zhàn)◆開放的、分布式協(xié)同計算環(huán)境中，原有的安全措網(wǎng)絡(luò)安全的面臨挑7網(wǎng)絡(luò)安全

二、網(wǎng)絡(luò)的入侵者

*黑客(Hacker)：網(wǎng)絡(luò)入侵者通稱“黑客”。黑客的原意是泛指對任何計算機系統(tǒng)、操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的奧秘都具有強烈興趣的人。第一節(jié)網(wǎng)絡(luò)安全的特殊性惡意黑客（駭客）滲入計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)并獲取其內(nèi)部工作的情況和知識，非法訪問、尋找、竊取資源和信息。惡意黑客會有目的的篡改系統(tǒng)數(shù)據(jù)和資源，修改系統(tǒng)配置，甚至遠(yuǎn)程控制目標(biāo)系統(tǒng)。網(wǎng)絡(luò)安全二、網(wǎng)絡(luò)的入侵者第一節(jié)網(wǎng)絡(luò)安全的特殊性8網(wǎng)絡(luò)安全

*竊客(Phreaker)：即“電信黑客”或“電信竊客”。他們與網(wǎng)絡(luò)黑客不同，主要與電話公司打交道。采用不同的種種“手段”和“詭計”，如攔截傳輸信號，從而操縱電話公司，并機盜打用戶移動電話，免費撥打區(qū)域和長途電話等。并從電信網(wǎng)站、電信傳輸和用戶通信中某利，獲取所需敏感信息。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全*竊客(Phreaker)：第一節(jié)網(wǎng)絡(luò)安9網(wǎng)絡(luò)安全*怪客(Cracker)：網(wǎng)絡(luò)上的匿名攻擊者，專門進(jìn)行網(wǎng)絡(luò)入侵攻擊，發(fā)布干擾信息，傳輸網(wǎng)絡(luò)垃圾等,并以此為樂。第一節(jié)網(wǎng)絡(luò)安全的特殊性黑客概述網(wǎng)絡(luò)安全*怪客(Cracker)：第一節(jié)網(wǎng)絡(luò)安全的特殊性10網(wǎng)絡(luò)安全三、網(wǎng)絡(luò)犯罪特點

網(wǎng)絡(luò)犯罪與傳統(tǒng)犯罪有很多不同，網(wǎng)絡(luò)犯罪有如下一些特點：①網(wǎng)絡(luò)犯罪高技術(shù)化、專業(yè)化。犯罪者具有高智商，熟悉并掌握電腦技術(shù)、電信技術(shù)或者網(wǎng)絡(luò)技術(shù)，了解電子數(shù)據(jù)資料結(jié)構(gòu)和數(shù)據(jù)庫，作案手段復(fù)雜隱蔽，有的情況下使正常操作與犯罪活動很難區(qū)分。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全三、網(wǎng)絡(luò)犯罪特點第一節(jié)網(wǎng)絡(luò)安全的特殊性11網(wǎng)絡(luò)安全②網(wǎng)絡(luò)犯罪動機復(fù)雜化。它既包含了傳統(tǒng)犯罪中的謀財害命、發(fā)泄報復(fù)、恐怖暴力、欺詐拐騙等，還滲入了更深厚的政治、軍事、經(jīng)濟、宗教色彩。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全②網(wǎng)絡(luò)犯罪動機復(fù)雜化。第一節(jié)網(wǎng)絡(luò)安全的特殊性12網(wǎng)絡(luò)安全

③網(wǎng)絡(luò)犯罪的覆蓋面更廣，日趨國際化。利用網(wǎng)絡(luò)的互聯(lián)，縮短了時間和空間，犯罪分子在作案、通信、交易、逃匿等方面可以易地進(jìn)行異地作案的可能性極大，使得作案隱蔽性更強，危害更大。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全③網(wǎng)絡(luò)犯罪的覆蓋面更廣，日趨國際化。第一節(jié)13網(wǎng)絡(luò)安全④網(wǎng)絡(luò)犯罪人員趨于年青化。調(diào)查統(tǒng)計，電腦犯罪者的平均年齡約在25歲左右。青年人聰明好動、虛榮心大、探索意識強，但也最容易在網(wǎng)絡(luò)上掉入網(wǎng)絡(luò)陷阱，受到邪惡引誘而誤入歧途。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全④網(wǎng)絡(luò)犯罪人員趨于年青化。第一節(jié)網(wǎng)絡(luò)安全的特殊14網(wǎng)絡(luò)安全

⑤網(wǎng)絡(luò)犯罪的形式多樣化。它既具有傳統(tǒng)犯罪中的各種形式，還包含了更嚴(yán)重的犯罪教唆、展示、指導(dǎo)、引誘、服務(wù)等等。網(wǎng)絡(luò)色情的泛濫、網(wǎng)絡(luò)邪教的誘惑、沒落文化和反動文化的泛起都威脅到整個網(wǎng)絡(luò)世界。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全⑤網(wǎng)絡(luò)犯罪的形式多樣化。第一節(jié)網(wǎng)絡(luò)安全15網(wǎng)絡(luò)安全

四、網(wǎng)絡(luò)安全的技術(shù)特點

1.資源共享與分布這是網(wǎng)絡(luò)的主要目的，也是網(wǎng)絡(luò)的脆弱性，分布的廣域性增大了受攻擊的可能性，單機系統(tǒng)的安全控制已不足以保證網(wǎng)絡(luò)全局的安全。

2.網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性系統(tǒng)互連、控制分散、異構(gòu)結(jié)點。任何一個結(jié)點的安全漏洞都可能導(dǎo)致整個系統(tǒng)的不安全，信息爆炸使存儲和傳輸不堪重負(fù)；攻擊的入口增多、破壞面增大、檢測困難且開銷很大。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全四、網(wǎng)絡(luò)安全的技術(shù)特點第一節(jié)網(wǎng)絡(luò)安全的特殊16網(wǎng)絡(luò)安全

3.安全的可信性網(wǎng)絡(luò)的可擴展性使網(wǎng)絡(luò)邊界具有不確定性；網(wǎng)絡(luò)安全的可信性隨網(wǎng)絡(luò)擴展而下降；不可信結(jié)點、惡意結(jié)點的嚴(yán)重威脅

4.安全不確定性網(wǎng)絡(luò)分支廣，存在多條可能的安全漏洞；不安全的路徑存在不確定性；故障定位的不確定性。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全3.安全的可信性第一節(jié)網(wǎng)絡(luò)安全的特殊性17網(wǎng)絡(luò)安全

5.信息安全的特殊性信息的真實性，網(wǎng)絡(luò)通信只保證了無差錯傳輸，無法保證信息的真實性、完整性，收發(fā)雙方無法對傳輸信息加以控制和監(jiān)視。

6.網(wǎng)絡(luò)安全的長期性矛盾貫穿始終，長期對抗。不可能存在一勞永逸、絕對安全的系統(tǒng)安全策略和安全機制，安全的目標(biāo)和安全策略，是在一定條件（環(huán)境與技術(shù)）下的合理性。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全5.信息安全的特殊性第一節(jié)網(wǎng)絡(luò)安全的特18網(wǎng)絡(luò)安全

五、網(wǎng)絡(luò)安全性范圍

1.網(wǎng)絡(luò)類型電信網(wǎng)絡(luò)、電視網(wǎng)絡(luò)、計算機網(wǎng)絡(luò)，重點在計算機網(wǎng)絡(luò)

2.計算機網(wǎng)絡(luò)的組成＊計算機系統(tǒng)、通信系統(tǒng)、網(wǎng)絡(luò)互連設(shè)備＊系統(tǒng)運行平臺、網(wǎng)絡(luò)管理軟件系統(tǒng)

第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全五、網(wǎng)絡(luò)安全性范圍第一節(jié)網(wǎng)絡(luò)安全的特殊性19網(wǎng)絡(luò)安全

3.網(wǎng)絡(luò)安全領(lǐng)域⑴計算機系統(tǒng)安全系統(tǒng)硬件安全、存儲系統(tǒng)安全、操作系統(tǒng)安全、軟件安全⑵通信系統(tǒng)安全通信系統(tǒng)與部件可靠性、無線與有線安全、網(wǎng)絡(luò)互連設(shè)備安全。⑶網(wǎng)絡(luò)系統(tǒng)安全網(wǎng)管軟件安全、網(wǎng)絡(luò)協(xié)議安全性網(wǎng)絡(luò)運行環(huán)境安全、網(wǎng)絡(luò)開發(fā)與應(yīng)用安全第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全3.網(wǎng)絡(luò)安全領(lǐng)域第一節(jié)網(wǎng)絡(luò)安全的特殊性20網(wǎng)絡(luò)安全

⑷計算機病毒與惡意程序計算機病毒對抗、攻擊與反攻擊⑸網(wǎng)絡(luò)安全的社會性網(wǎng)絡(luò)垃圾與信息垃圾、反動、色情、頹廢文化。

第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全⑷計算機病毒與惡意程序第一節(jié)網(wǎng)絡(luò)安全的特殊21網(wǎng)絡(luò)安全

六、網(wǎng)絡(luò)安全的類別“網(wǎng)絡(luò)就是計算機”，因此，計算機系統(tǒng)安全的幾乎所有領(lǐng)域都在網(wǎng)絡(luò)安全中得以體現(xiàn)。網(wǎng)絡(luò)系統(tǒng)安全的主要威脅也來源于各個方面，有自然的、硬件的、軟件的、也有人為的疏忽、失誤等。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全六、網(wǎng)絡(luò)安全的類別第一節(jié)網(wǎng)絡(luò)安全的特殊性22網(wǎng)絡(luò)安全

㈠網(wǎng)絡(luò)可信：保證網(wǎng)絡(luò)可靠運行，防止系統(tǒng)崩潰，主要解決硬件故障和軟件故障。㈡網(wǎng)絡(luò)阻塞：主要解決網(wǎng)絡(luò)配置、網(wǎng)絡(luò)調(diào)度不合理，防止網(wǎng)絡(luò)廣播風(fēng)暴和噪聲。㈢網(wǎng)絡(luò)濫用：合法用戶超越權(quán)限使用計算機，獲取網(wǎng)絡(luò)資源。㈣網(wǎng)絡(luò)入侵：非法用戶非法進(jìn)入系統(tǒng)和網(wǎng)絡(luò)，獲取控制權(quán)和網(wǎng)絡(luò)資源。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全㈠網(wǎng)絡(luò)可信：保證網(wǎng)絡(luò)可靠運行，防止系統(tǒng)崩23網(wǎng)絡(luò)安全

㈤網(wǎng)絡(luò)干擾：出于某種目的對計算機和網(wǎng)絡(luò)系統(tǒng)運行進(jìn)行干擾，干擾方式多種，使系統(tǒng)不可信、操作員和系統(tǒng)管理員心理壓力增加、心理戰(zhàn)。施放各種假的和期騙信息，擾亂社會、經(jīng)濟、金融等。㈥網(wǎng)絡(luò)破壞:系統(tǒng)攻擊、刪除數(shù)據(jù)、毀壞系統(tǒng)。非法竊取、盜用、復(fù)制系統(tǒng)文件、數(shù)據(jù)、資料、信息，造成泄密。第一節(jié)網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)安全㈤網(wǎng)絡(luò)干擾：出于某種目的對計算機和網(wǎng)絡(luò)系統(tǒng)運行24威脅網(wǎng)絡(luò)安全的因素物理威脅偷竊：包括設(shè)備偷竊、信息偷竊和服務(wù)偷竊。廢物搜尋：指在被扔掉的打印材料、廢棄軟盤等廢物中搜尋所需要的信息。身份識別錯誤：非法建立文件或記錄，企圖把它們作為正式生產(chǎn)的文件和記錄。間諜行為：為了獲取有價值的機密，采用不道德的手段來獲取信息的一種行為。威脅網(wǎng)絡(luò)安全的因素物理威脅25威脅網(wǎng)絡(luò)安全的因素漏洞威脅不安全服務(wù)：由于缺陷或錯誤使系統(tǒng)本身存在漏洞，這些問題可能導(dǎo)致一些服務(wù)程序繞過安全系統(tǒng)，從而對信息系統(tǒng)造成不可預(yù)料的損失。配置和初始化錯誤：服務(wù)器啟動時系統(tǒng)要初始化，如果安全系統(tǒng)沒有隨之正確的初始化，就會留下安全漏洞而被人利用。乘虛而入：例如在FTP服務(wù)中，用戶暫時停止了與某系統(tǒng)的通信，但由于端口仍處于激活狀態(tài)，那么其他用戶就可乘虛而入，利用這個端口與這個系統(tǒng)通信。威脅網(wǎng)絡(luò)安全的因素漏洞威脅26威脅網(wǎng)絡(luò)安全的因素身份識別威脅口令圈套：口令圈套是網(wǎng)絡(luò)安全的一種詭計，與冒名頂替有關(guān)。口令破解：通過某種策略對口令進(jìn)行分析和猜測。編輯口令：這需要依靠操作系統(tǒng)漏洞。算法考慮不周：口令驗證系統(tǒng)必須在滿足一定條件下才能正常工作，這個驗證過程需要通過某種算法來實現(xiàn)。若算法考慮不周全，驗證過程和結(jié)果就不可靠。威脅網(wǎng)絡(luò)安全的因素身份識別威脅27威脅網(wǎng)絡(luò)安全的因素惡意程序威脅病毒：病毒是一種把自己的拷貝附著于其他正常程序上的一段代碼。特洛伊木馬：這是一種遠(yuǎn)程控制工具，一旦被安裝到某臺主機上，該主機便可以被監(jiān)視和控制。代碼炸彈：代碼炸彈是一種具有殺傷力的代碼，當(dāng)預(yù)設(shè)條件滿足時，代碼炸彈就被猝發(fā)并產(chǎn)生破壞性結(jié)果。威脅網(wǎng)絡(luò)安全的因素惡意程序威脅28威脅網(wǎng)絡(luò)安全的因素網(wǎng)絡(luò)連接威脅竊聽：對通信過程進(jìn)行竊聽可達(dá)到收集信息的目的，通過檢測從連線上發(fā)射出來的電磁輻射就能得到所要的信號。冒充：通過使用別人的密碼和帳號，獲得對網(wǎng)絡(luò)及其數(shù)據(jù)、程序的使用能力。撥號進(jìn)入：擁有一個調(diào)制解調(diào)器和一個電話號碼，每個人都可以試圖通過遠(yuǎn)程撥號訪問網(wǎng)絡(luò)，這種方法可以使防火墻失去作用。威脅網(wǎng)絡(luò)安全的因素網(wǎng)絡(luò)連接威脅29網(wǎng)絡(luò)信息安全技術(shù)主動防御技術(shù)數(shù)據(jù)加密CA認(rèn)證訪問控制虛擬網(wǎng)絡(luò)技術(shù)入侵檢測技術(shù)網(wǎng)絡(luò)信息安全技術(shù)主動防御技術(shù)30網(wǎng)絡(luò)信息安全技術(shù)被動防御技術(shù)防火墻技術(shù)安全掃描密碼檢查器安全審計路由器過濾安全管理技術(shù)網(wǎng)絡(luò)信息安全技術(shù)被動防御技術(shù)31第二節(jié)網(wǎng)絡(luò)攻擊與入侵第二節(jié)網(wǎng)絡(luò)攻擊與入侵321、攻擊的位置一、攻擊的一些基本概念（1）遠(yuǎn)程攻擊：從該子網(wǎng)以外的地方向該子網(wǎng)或者該子網(wǎng)內(nèi)的系統(tǒng)發(fā)動攻擊。（2）本地攻擊：通過所在的局域網(wǎng)，向本單位的其他系統(tǒng)發(fā)動攻擊，在本機上進(jìn)行非法越權(quán)訪問也是本地攻擊。（3）偽遠(yuǎn)程攻擊：指內(nèi)部人員為了掩蓋攻擊者的身份，從本地獲取目標(biāo)的一些必要信息后，攻擊過程從外部遠(yuǎn)程發(fā)起，造成外部入侵的現(xiàn)象。1、攻擊的位置一、攻擊的一些基本概念（1）遠(yuǎn)程攻擊：從該子網(wǎng)332、攻擊的層次一、攻擊的一些基本概念1）簡單拒絕服務(wù)（如郵件炸彈攻擊）.2）本地用戶獲得非授權(quán)讀或者寫權(quán)限3）遠(yuǎn)程用戶獲得了非授權(quán)的帳號4）遠(yuǎn)程用戶獲得了特權(quán)文件的讀寫權(quán)限5）遠(yuǎn)程用戶擁有了根（root）權(quán)限）2、攻擊的層次一、攻擊的一些基本概念1）簡單拒絕服務(wù)（如郵件343、攻擊的目的一、攻擊的一些基本概念1）進(jìn)程的執(zhí)行2）獲取文件和傳輸中的數(shù)據(jù)3）獲得超級用戶權(quán)限4）對系統(tǒng)的非法訪問5）進(jìn)行不許可的操作6）拒絕服務(wù)7）涂改信息8）暴露信息9）挑戰(zhàn)10）政治意圖11）經(jīng)濟利益12）破壞3、攻擊的目的一、攻擊的一些基本概念1）進(jìn)程的執(zhí)行7）涂改信354、攻擊的人員一、攻擊的一些基本概念1）黑客：為了挑戰(zhàn)和獲取訪問權(quán)限2）間諜：為了政治情報信息3）恐怖主義者：為了政治目的而制造恐怖4）公司雇傭者：為了競爭經(jīng)濟利益5）職業(yè)犯罪：為了個人的經(jīng)濟利益6）破壞者：為了實現(xiàn)破壞4、攻擊的人員一、攻擊的一些基本概念1）黑客：為了挑戰(zhàn)和獲取361、掃描技術(shù)二、掃描器掃描技術(shù)是主要的一種信息收集型攻擊。地址掃描：運用ping這樣的程序探測目標(biāo)地址端口掃描：向大范圍的主機連接一系列的TCP端口，掃描軟件報告它成功的建立了連接的主機所開的端口。反響映射：黑客向主機發(fā)送虛假消息，然后根據(jù)返回"hostunreachable"這一消息特征判斷出哪些主機是存在的。慢速掃描：由于一般掃描偵測器的實現(xiàn)是通過監(jiān)視某個時間里一臺特定主機發(fā)起的連接的數(shù)目（例如每秒10次）來決定是否在被掃描，這樣黑客可以通過使用掃描速度慢一些的掃描軟件進(jìn)行掃描。1、掃描技術(shù)二、掃描器掃描技術(shù)是主要的一種信息收集型攻擊。372、什么是掃描器

二、掃描器掃描器是一種自動檢測遠(yuǎn)程或本地主機安全性弱點的程序。通過使用掃描器可不留痕跡的發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP端口的分配、提供的服務(wù)、使用的軟件版本！這就能間接的或直觀的了解到遠(yuǎn)程主機所存在的安全問題。2、什么是掃描器二、掃描器掃描器是一種自動檢測遠(yuǎn)程或本地主38網(wǎng)絡(luò)安全掃描技術(shù)在網(wǎng)絡(luò)安全行業(yè)中扮演的角色（1）掃描軟件是入侵者分析將被入侵系統(tǒng)的必備工具（2）掃描軟件是系統(tǒng)管理員掌握系統(tǒng)安全狀況的必備工具（3）掃描軟件是網(wǎng)絡(luò)安全工程師修復(fù)系統(tǒng)漏洞的主要工具（4）掃描軟件在網(wǎng)絡(luò)安全的家族中可以說是扮演著醫(yī)生的角色1.合法使用：檢測自己服務(wù)器端口，以便給自己提供更好的服務(wù)；2.非法使用：查找服務(wù)器的端口，選取最快的攻擊端口網(wǎng)絡(luò)安全掃描技術(shù)在網(wǎng)絡(luò)安全行業(yè)中扮演的角色（1）掃描軟件是入39安全掃描系統(tǒng)要素（1）速度（2）對系統(tǒng)的負(fù)面影響（3）能夠發(fā)現(xiàn)的漏洞數(shù)量（4）清晰性和解決方案的可行性（5）更新周期（6）所需軟硬件環(huán)境要求（7）界面的直觀性和易用性（8）覆蓋范圍安全掃描系統(tǒng)要素40二、掃描器安全掃描工具分類基于服務(wù)器和基于網(wǎng)絡(luò)的掃描器?；诜?wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如password文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)。基于網(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、交換機、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數(shù))。二、掃描器安全掃描工具分類41掃描器分類端口掃描器(如：NMAP，PORTSCAN)掃描目標(biāo)機開放的服務(wù)端口及其有關(guān)信息漏洞掃描器(如：ISS、NESSUS、SATAN等)對于重視安全的網(wǎng)站進(jìn)行漏洞掃描，可能一無所獲，因為流行的漏洞早已打補丁了。因此端口掃描器對黑客或許更有用。掃描器分類423、掃描器的工作原理二、掃描器掃描器通過選用遠(yuǎn)程TCP/IP不同的端口的服務(wù)，并記錄目標(biāo)給予的回答，通過這種方法，可以搜集到很多關(guān)于目標(biāo)主機的各種有用的信息掃描器能夠發(fā)現(xiàn)目標(biāo)主機某些內(nèi)在的弱點，這些弱點可能是破壞目標(biāo)主機安全性的關(guān)鍵性因素。但是，要做到這一點，必須了解如何識別漏洞。掃描器對于Internet安全性之所以重要，是因為它們能發(fā)現(xiàn)網(wǎng)絡(luò)的弱點。

3、掃描器的工作原理二、掃描器掃描器通過選用遠(yuǎn)程TCP/I434、掃描器的功能二、掃描器掃描器并不是一個直接的攻擊網(wǎng)絡(luò)漏洞的程序，它僅僅能幫助我們發(fā)現(xiàn)目標(biāo)機的某些內(nèi)在的弱點。一個好的掃描器能對它得到的數(shù)據(jù)進(jìn)行分析，幫助我們查找目標(biāo)主機的漏洞。但它不會提供進(jìn)入一個系統(tǒng)的詳細(xì)步驟。掃描器應(yīng)該有三項功能：1）發(fā)現(xiàn)一個主機或網(wǎng)絡(luò)的能力；2）一旦發(fā)現(xiàn)一臺主機，有發(fā)現(xiàn)什么服務(wù)正運行在這臺主機上的能力；3）通過測試這些服務(wù)，發(fā)現(xiàn)漏洞的能力。4、掃描器的功能二、掃描器掃描器并不是一個直接的攻擊網(wǎng)絡(luò)漏445、常用的端口掃描技術(shù)二、掃描器TCPconnect()掃描這是最基本的TCP掃描。操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用，用來與目標(biāo)計算機的端口進(jìn)行連接。如果端口處于偵聽狀態(tài)，那么connect()就能成功。否則，這個端口是不能用的，即沒有提供服務(wù)。不需要任何權(quán)限。系統(tǒng)中的任何用戶都有權(quán)利使用這個調(diào)用。另一個好處就是速度。如果對每個目標(biāo)端口以線性的方式，使用單獨的connect()調(diào)用，那么將會花費相當(dāng)長的時間，你可以通過同時打開多個套接字，從而加速掃描。這種方法的缺點是容易被發(fā)覺，并且被過濾掉。目標(biāo)計算機的logs文件會顯示一連串的連接和連接是出錯的服務(wù)消息，并且能很快的使它關(guān)閉。5、常用的端口掃描技術(shù)二、掃描器TCPconnect()455、常用的端口掃描技術(shù)二、掃描器TCPSYN掃描“半開放”掃描，這是因為掃描程序不必要打開一個完全的TCP連接。掃描程序發(fā)送的是一個SYN數(shù)據(jù)包，好象準(zhǔn)備打開一個實際的連接并等待反應(yīng)一樣（參考TCP的三次握手建立一個TCP連接的過程）。一個SYN|ACK的返回信息表示端口處于偵聽狀態(tài)。一個RST返回，表示端口沒有處于偵聽?wèi)B(tài)。如果收到一個SYN|ACK，則掃描程序必須再發(fā)送一個RST信號，來關(guān)閉這個連接過程。這種掃描技術(shù)的優(yōu)點在于一般不會在目標(biāo)計算機上留下記錄。

5、常用的端口掃描技術(shù)二、掃描器TCPSYN掃描465、常用的端口掃描技術(shù)一、掃描器TCPFIN掃描按照RFC793標(biāo)準(zhǔn)，關(guān)閉的端口應(yīng)返回RST來回復(fù)FIN數(shù)據(jù)包。另一方面，打開的端口會忽略對FIN數(shù)據(jù)包的回復(fù)。這種方法和系統(tǒng)的實現(xiàn)有一定的關(guān)系。有的系統(tǒng)不管端口是否打開，都回復(fù)RST，如NT.這樣，這種掃描方法就不適用了。用這種方法區(qū)分Unix和NT，是十分有用的。5、常用的端口掃描技術(shù)一、掃描器TCPFIN掃描475、常用的端口掃描技術(shù)一、掃描器UDPICMP掃描使用UDP協(xié)議。由于這個協(xié)議很簡單，所以掃描變得相對比較困難。這是由于打開的端口對掃描探測并不發(fā)送一個確認(rèn)，關(guān)閉的端口也并不需要發(fā)送一個錯誤數(shù)據(jù)包。如端口關(guān)閉，應(yīng)返回一個ICMP_PORT_UNREACH錯誤。UDP和ICMP錯誤都不保證能到達(dá)。這種掃描方法是很慢的，因為RFC對ICMP錯誤消息的產(chǎn)生速率做了規(guī)定。5、常用的端口掃描技術(shù)一、掃描器UDPICMP掃描486、網(wǎng)絡(luò)掃描的防范關(guān)閉所有限制的和有潛在威脅的端口。通過防火墻或其他安全系統(tǒng)檢查各端口，如果有端口掃描癥狀時就立即屏蔽該端口。利用特殊軟件在一些端口上欺騙黑客，讓其掃描和攻擊“陷阱”端口。6、網(wǎng)絡(luò)掃描的防范關(guān)閉所有限制的和有潛在威脅的端口。49網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽也稱為網(wǎng)絡(luò)嗅探（Sniffer）。它工作在網(wǎng)絡(luò)的底層，能夠把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來，黑客一般都是利用這種技術(shù)來截取用戶口令。特點：隱蔽性強手段靈活三、網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽也稱為網(wǎng)絡(luò)嗅探（Sniffer）。它工作在網(wǎng)50Sniffer原理Sniffer，中文可以翻譯為嗅探器,也就是我們所說的數(shù)據(jù)包捕獲器。采用這種技術(shù)，我們可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌鹊?。三、網(wǎng)絡(luò)監(jiān)聽Sniffer原理Sniffer，中文可以翻譯為嗅探器,也就51網(wǎng)卡的工作模式普通方式：只有本地地址的數(shù)據(jù)包火廣播才會被網(wǎng)卡提交給系統(tǒng)中心，否則這些數(shù)據(jù)包就直接被網(wǎng)卡拋棄。混雜模式（promiscuous）：夠接收到一切通過它的數(shù)據(jù)。三、網(wǎng)絡(luò)監(jiān)聽網(wǎng)卡的工作模式三、網(wǎng)絡(luò)監(jiān)聽52Username:herma009<cr>Password:hiHKK234<cr>以太網(wǎng)（HUB）

FTPLoginMail普通用戶A服務(wù)器C嗅探者B網(wǎng)絡(luò)監(jiān)聽原理Username:herma009<cr>Password:hiHKK234<cr>三、網(wǎng)絡(luò)監(jiān)聽Username:herma009<cr>Passwor53網(wǎng)絡(luò)監(jiān)聽原理一個sniffer需要作的：把網(wǎng)卡置于混雜模式。捕獲數(shù)據(jù)包。分析數(shù)據(jù)包三、網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽原理一個sniffer需要作的：三、網(wǎng)絡(luò)監(jiān)聽54網(wǎng)絡(luò)監(jiān)聽的檢測與防范1．簡單的檢測方法（1）方法一對于懷疑運行監(jiān)聽程序的機器，用正確的IP地址和錯誤的物理地址去ping，運行監(jiān)聽程序的機器會有響應(yīng)。這是因為正常的機器不接收錯誤的物理地址，處于監(jiān)聽狀態(tài)的機器能接收。（2）方法二往網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序?qū)⑻幚磉@些包，會導(dǎo)致性能下降。通過比較前后該機器性能（icmpechodelay等方法）加以判斷。三、網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的檢測與防范1．簡單的檢測方法三、網(wǎng)絡(luò)監(jiān)聽552.主動防御網(wǎng)絡(luò)嗅探采取安全的拓?fù)浣Y(jié)構(gòu)：將網(wǎng)絡(luò)分段工作進(jìn)行得越細(xì)，嗅探器能夠收集到的信息就越少。通信會話加密：可采用SSH把所有傳輸?shù)臄?shù)據(jù)加密。采用靜態(tài)的ARP或IP-MAC對應(yīng)表。三、網(wǎng)絡(luò)監(jiān)聽2.主動防御網(wǎng)絡(luò)嗅探三、網(wǎng)絡(luò)監(jiān)聽561、口令攻擊弱口令帶來安全隱患可被敵手暴力破解安全口令的設(shè)置保證足夠的口令長度保證口令的復(fù)雜性四、網(wǎng)絡(luò)欺騙1、口令攻擊弱口令帶來安全隱患四、網(wǎng)絡(luò)欺騙572、惡意代碼木馬程序、郵件病毒、網(wǎng)頁病毒等木馬和病毒的主要區(qū)別：木馬并不像病毒那樣復(fù)制自身。木馬包含能夠在觸發(fā)時導(dǎo)致數(shù)據(jù)丟失甚至被竊的惡意代碼。要使木馬傳播，必須在計算機上有效地啟用這些程序。四、網(wǎng)絡(luò)欺騙2、惡意代碼木馬程序、郵件病毒、網(wǎng)頁病毒等四、網(wǎng)絡(luò)欺騙58什么是木馬？特洛伊木馬的名稱取自于希臘神話中的特洛伊木馬。在希臘神話當(dāng)中，特洛伊木馬表面上是“禮物”，但實際上卻藏匿了大量襲擊特洛伊城的希臘士兵。木馬程序也一樣，它是具有欺騙性的文件，即表面是良性的，但實際上是惡意的。什么是木馬？59木馬的傳播途徑：電子郵件：一旦用戶打開了自認(rèn)為安全的電子郵件附件，木馬就會趁機傳播。文件下載：木馬很有可能包含在免費下載軟件中，所以用戶下載了軟件后，在安裝之前一定要進(jìn)行安全檢查。四、網(wǎng)絡(luò)欺騙木馬的傳播途徑：四、網(wǎng)絡(luò)欺騙60木馬的特征木馬程序一般包括客戶端和服務(wù)器端?？蛻舳耸侵腹粽哂糜谶M(jìn)行攻擊的本地計算機，客戶端是控制者。服務(wù)器端則是指被植入木馬的遠(yuǎn)程計算機，服務(wù)器端是被控制者。木馬通常采取以下方式實施攻擊：配置木馬（偽裝木馬）→傳播木馬→運行木馬→信息泄露→建立連接→遠(yuǎn)程控制。四、網(wǎng)絡(luò)欺騙木馬的特征木馬程序一般包括客戶端和服務(wù)器端。四、網(wǎng)絡(luò)欺騙613、Web欺騙概念：Web欺騙是指攻擊者建立一個使人相信的Web站點“拷貝”，這個Web站點“拷貝”就像真的一樣，它具有原頁面幾乎所有的頁面元素。攻擊者控制了這個Web站點的“拷貝”，被攻擊對象和真的Web站點之間的所有信息流動都被攻擊者所控制。四、網(wǎng)絡(luò)欺騙3、Web欺騙概念：Web欺騙是指攻擊者建立一個使人相信的W62Web欺騙的原理其原理是打斷從被攻擊者主機到目標(biāo)服務(wù)器之間的正常連接，并建立一條從被攻擊者主機到攻擊主機再到目標(biāo)服務(wù)器的連接。四、網(wǎng)絡(luò)欺騙Web欺騙的原理其原理是打斷從被攻擊者主機到目標(biāo)服務(wù)器之間的63改寫URL：即將頁面上的所有URL都加上攻擊者的URL。瀏覽者請求一個Web頁面，發(fā)生了下面這些事情：瀏覽者請求來自于攻擊者服務(wù)器的頁面攻擊者服務(wù)器請求真正的服務(wù)器的相應(yīng)頁面攻擊者服務(wù)器重寫頁面攻擊者服務(wù)器向瀏覽者提供一個經(jīng)過改寫后的頁面四、網(wǎng)絡(luò)欺騙改寫URL：即將頁面上的所有URL都加上攻擊者的URL。瀏覽64開始攻擊：為了開始攻擊，攻擊者必須誘惑被攻擊對象連到攻擊者的假的Web頁上。攻擊者把一個假的Web鏈接到一個流行的Web頁面上去攻擊者向被攻擊對象發(fā)送電子郵件四、網(wǎng)絡(luò)欺騙開始攻擊：為了開始攻擊，攻擊者必須誘惑被攻擊對象連到攻擊者的65制造假象偽裝狀態(tài)行?？赏ㄟ^JavaScript程序來消除狀態(tài)行里的痕跡。偽裝地址行。偽裝源文件。偽裝文檔信息。用戶可查看頁面信息，因此也需要偽裝不讓被攻擊者發(fā)現(xiàn)。四、網(wǎng)絡(luò)欺騙制造假象四、網(wǎng)絡(luò)欺騙66Web欺騙的防范解決辦法：上網(wǎng)瀏覽時，最好關(guān)掉瀏覽器的JavaScript，只有訪問熟悉的網(wǎng)站是才打開它，目的是讓攻擊者不能隱藏攻擊的跡象。不從自己不熟悉的網(wǎng)站上鏈接到其它網(wǎng)站，特別是鏈接那些需要輸入個人賬戶名和密碼的有關(guān)電子商務(wù)的網(wǎng)站。要養(yǎng)成從地址欄中直接輸入網(wǎng)址來實現(xiàn)瀏覽網(wǎng)站的好習(xí)慣。四、網(wǎng)絡(luò)欺騙Web欺騙的防范解決辦法：四、網(wǎng)絡(luò)欺騙674、IP地址欺騙IP地址的盜用IP地址盜用指得是一臺主機有目的地使用他人合法的IP地址，而不用自己的IP地址的行為。同一個子網(wǎng)內(nèi)盜用可綁定IP和物理地址來防止IP盜用。四、網(wǎng)絡(luò)欺騙4、IP地址欺騙IP地址的盜用四、網(wǎng)絡(luò)欺騙68IP地址欺騙就是偽造某臺主機IP地址的技術(shù)通常通過編程實現(xiàn)其實質(zhì)是偽裝成另一臺機器來獲得被偽裝的機器的某種特權(quán)或做一些破壞性行為來達(dá)到自己的目的四、網(wǎng)絡(luò)欺騙IP地址欺騙四、網(wǎng)絡(luò)欺騙695、ARP欺騙ARP（AddreResolutionProtocol，地址解析協(xié)議）是一個位于TCP/IP協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將某個IP地址解析成對應(yīng)的MAC地址。每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，如下表所示。主機IP地址MAC地址

Aaa-aa-aa-aa-aa-aaBbb-bb-bb-bb-bb-bbCcc-cc-cc-cc-cc-ccDdd-dd-dd-dd-dd-dd四、網(wǎng)絡(luò)欺騙5、ARP欺騙ARP（AddreResolutionPr70ARP欺騙從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。四、網(wǎng)絡(luò)欺騙ARP欺騙從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為二種，71第二種ARP欺騙的原理是偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。四、網(wǎng)絡(luò)欺騙第二種ARP欺騙的原理是偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被72拒絕服務(wù)攻擊(DoS)DoS--DenialofServiceDoS攻擊的事件：2000年2月份的Yahoo、亞馬遜、CNN被DoS攻擊2002年10月全世界13臺DNS服務(wù)器同時受到了DDoS（分布式拒絕服務(wù)）攻擊。2003年1月25日的“2003蠕蟲王”病毒2004年8月，共同社報道：日本近期共有上百網(wǎng)站遭到黑客襲擊。五、拒絕服務(wù)拒絕服務(wù)攻擊(DoS)DoS--DenialofServ73攻擊者

目標(biāo)主機SYNSYN/ACKSYN/ACK等待應(yīng)答SYN：同步SYN/ACK:同步/確認(rèn)(DoS):

五、拒絕服務(wù)攻擊者目標(biāo)主機SYNSYN/ACKSYN/ACK等待應(yīng)答S74拒絕服務(wù)攻擊(DoS)(控制)....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標(biāo)主機SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待應(yīng)答SYN/ACK.........五、拒絕服務(wù)拒絕服務(wù)攻擊(DoS)(控制)....SYN/ACKSYN/75死亡之ping：利用ICMP協(xié)議上限IP碎片攻擊：淚珠（Teardrop）攻擊SYNFloodUDP洪水攻擊Land攻擊郵件炸彈Smurf攻擊行行色色的DOS攻擊五、拒絕服務(wù)死亡之ping：利用ICMP協(xié)議上限行行色色的DOS攻擊五761)攻擊者攻擊諸客戶主機以求分析他們的安全水平和脆弱性。攻擊者各種客戶主機目標(biāo)系統(tǒng)2)攻擊者進(jìn)入其已經(jīng)發(fā)現(xiàn)的最弱的客戶主機之內(nèi)(“肉機”)，并且秘密地安置一個其可遠(yuǎn)程控制的代理程序(端口監(jiān)督程序demon)。攻擊準(zhǔn)備：安置代理代理程序DDoS攻擊時序(分布式拒絕服務(wù))五、拒絕服務(wù)1)攻擊者攻擊諸客戶主機以求分析他們的安全水平和脆弱性。攻擊77

3)攻擊者使他的全部代理程序同時發(fā)送由殘缺的數(shù)字包構(gòu)成的連接請求送至目標(biāo)系統(tǒng)。攻擊者目標(biāo)系統(tǒng)發(fā)起攻擊：指令攻擊的代理程序4)包括虛假的連接請求在內(nèi)的大量殘缺的數(shù)字包攻擊目標(biāo)系統(tǒng)，最終將導(dǎo)致它因通信淤塞而崩潰。虛假的連接請求DDoS攻擊時序(分布式拒絕服務(wù))五、拒絕服務(wù)3)攻擊者使他的全部代理程序同時發(fā)送由殘缺的數(shù)字包構(gòu)成的78數(shù)據(jù)驅(qū)動攻擊數(shù)據(jù)驅(qū)動攻擊指的是通過向某個程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊，通常給攻擊者訪問目標(biāo)的權(quán)限。六、數(shù)據(jù)驅(qū)動攻擊數(shù)據(jù)驅(qū)動攻擊數(shù)據(jù)驅(qū)動攻擊指的是通過向某個程序發(fā)送數(shù)據(jù)，以產(chǎn)生79緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊的原理是向程序緩沖區(qū)寫入超出其邊界的內(nèi)容，造成緩沖區(qū)的溢出，使得程序轉(zhuǎn)而執(zhí)行其他攻擊者指定的代碼，通常是為攻擊者打開遠(yuǎn)程連接的ShellCode，以達(dá)到攻擊目標(biāo)。近年來著名的蠕蟲如Code-Red、SQL.Slammer、Blaster和Sasser等，都是通過緩沖區(qū)溢出攻擊獲得系統(tǒng)權(quán)限后進(jìn)行傳播。六、數(shù)據(jù)驅(qū)動攻擊緩沖區(qū)溢出攻擊六、數(shù)據(jù)驅(qū)動攻擊80voidfunction(char*szPara1){ charbuff[16]; strcpy(buffer,szPara1);}六、數(shù)據(jù)驅(qū)動攻擊voidfunction(char*szPara1)六81格式化字符串攻擊利用由于格式化函數(shù)的代碼編寫錯誤造成的安全漏洞，通過傳遞精心編制的含有格式化指令的文本字符串，以使目標(biāo)程序執(zhí)行任意命令。六、數(shù)據(jù)驅(qū)動攻擊格式化字符串攻擊六、數(shù)據(jù)驅(qū)動攻擊82輸入驗證攻擊針對程序未能對輸入進(jìn)行有效驗證的安全漏洞，使得攻擊者能夠讓程序執(zhí)行制定的命令。六、數(shù)據(jù)驅(qū)動攻擊輸入驗證攻擊六、數(shù)據(jù)驅(qū)動攻擊83同步漏洞攻擊這種方法主要是利用程序在處理同步操作時的缺陷，如競爭狀態(tài)、信號處理等問題，以獲取更高權(quán)限的訪問。六、數(shù)據(jù)驅(qū)動攻擊同步漏洞攻擊六、數(shù)據(jù)驅(qū)動攻擊84第三節(jié)網(wǎng)絡(luò)安全技術(shù)第三節(jié)網(wǎng)絡(luò)安全技術(shù)851、常規(guī)安全技術(shù)用戶認(rèn)證訪問控制數(shù)據(jù)保密與完整性管理審計1、常規(guī)安全技術(shù)用戶認(rèn)證862、防火墻技術(shù)防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋，如圖所示。這里防火墻指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。2、防火墻技術(shù)防火墻的本義原是指古代人們房屋之間修建的墻，這87防火墻的定義在互聯(lián)網(wǎng)上，防火墻是一種非常有效的網(wǎng)絡(luò)安全系統(tǒng)，通過它可以隔離風(fēng)險區(qū)域（Internet或有一定風(fēng)險的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時不會妨礙安全區(qū)域?qū)︼L(fēng)險區(qū)域的訪問，網(wǎng)絡(luò)防火墻結(jié)構(gòu)如圖所示。防火墻的定義在互聯(lián)網(wǎng)上，防火墻是一種非常有效的網(wǎng)絡(luò)安全系統(tǒng)，88防火墻的功能根據(jù)不同的需要，防火墻的功能有比較大差異，但是一般都包含以下三種基本功能。可以限制未授權(quán)的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務(wù)和非法用戶防止入侵者接近網(wǎng)絡(luò)防御設(shè)施限制內(nèi)部用戶訪問特殊站點防火墻的功能根據(jù)不同的需要，防火墻的功能有比較大差異，但是89防火墻的發(fā)展簡史防火墻的發(fā)展簡史90第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾（Packetfilter）技術(shù)。第二、三代防火墻1989年，貝爾實驗室的DavePresotto和HowardTrickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第四代防火墻

1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾（Dynamicpacketfilter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（Statefulinspection）技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻

1998年，NAI公司推出了一種自適應(yīng)代理（Adaptiveproxy）技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。第一代防火墻91包過濾（PacketFiltering）：作用在協(xié)議組的網(wǎng)絡(luò)層和傳輸層，根據(jù)分組包頭源地址、目的地址和端口號、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過，只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地的出口端，其余的數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。應(yīng)用代理（ApplicationProxy）：也叫應(yīng)用網(wǎng)關(guān)（ApplicationGateway），它作用在應(yīng)用層，其特點是完全“阻隔”網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。包過濾（PacketFiltering）：作用在協(xié)議組的網(wǎng)92狀態(tài)檢測（StatusDetection）：直接對數(shù)據(jù)包里的數(shù)據(jù)進(jìn)行處理，并且結(jié)合前后數(shù)據(jù)包里的數(shù)據(jù)進(jìn)行綜合判斷，然后決定是否允許該數(shù)據(jù)包通過。自適應(yīng)代理（AdaptiveProxy）：結(jié)合了代理防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在不損失安全性的基礎(chǔ)上將代理防火墻的性能提高了10倍。狀態(tài)檢測（StatusDetection）：直接對數(shù)據(jù)包里93包過濾防火墻（Packetfiltering）（1）數(shù)據(jù)包過濾技術(shù)的發(fā)展：靜態(tài)包過濾、動態(tài)包過濾。

（2）包過濾的優(yōu)點：不用改動應(yīng)用程序、一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò)、數(shù)據(jù)包過濾對用戶透明、過濾路由器速度快、效率高。

包過濾防火墻（Packetfiltering）（1）數(shù)據(jù)包94簡單包過濾防火墻的工作原理簡單包過濾防火墻的工作原理95包過濾防火墻的工作流程包過濾防火墻的工作流程96過濾規(guī)則-ACL包過濾規(guī)則一般基于部分的或全部的包頭信息：1．IP協(xié)議類型2．IP源地址3．IP目標(biāo)地址4．TCP（UDP）源端口號5．TCP（UDP）目標(biāo)端口號6．TCPACK標(biāo)識，指出這個包是否是聯(lián)接中的第一個包，是否是對另一個包的響應(yīng)。過濾規(guī)則-ACL包過濾規(guī)則一般基于部分的或全部的包頭信息：97優(yōu)點：保護整個網(wǎng)絡(luò)；對用戶透明；可用路由器，不需要其他設(shè)備。缺點：1.包過濾的一個重要的局限是它不能分辨好的和壞的用戶，只能區(qū)分好的包和壞的包。2.包過濾規(guī)則難配置。3.新的協(xié)議的威脅。4.IP欺騙5.不提供授權(quán)和認(rèn)證包過濾防火墻的特點優(yōu)點：包過濾防火墻的特點98默認(rèn)安全策略沒有明確禁止的行為都是允許的舉例：華為的ACL沒有明確允許的行為都是禁止的舉例：思科的ACL默認(rèn)安全策略沒有明確禁止的行為都是允許的99動態(tài)包過濾這種類型的防火墻采用動態(tài)設(shè)置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為所謂包狀態(tài)監(jiān)測（StatefulInspection）技術(shù)。采用這種技術(shù)的防火墻對通過其建立的每一個連接都進(jìn)行跟蹤，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目。動態(tài)包過濾這種類型的防火墻采用動態(tài)設(shè)置包過濾規(guī)則的方法，避免100防火墻等設(shè)備的安全漏洞課件101代理防火墻（應(yīng)用層網(wǎng)關(guān)型防火墻）應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點是完全"阻隔"了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。代理防火墻的原理

ProxyServer代理防火墻（應(yīng)用層網(wǎng)關(guān)型防火墻）代理防火墻的原理

Prox102代理防火墻的原理代理防火墻的原理103代理防火墻的工作過程代理防火墻的工作過程104代理技術(shù)的優(yōu)點

1）代理易于配置。

2）代理能生成各項記錄。3）代理能靈活、完全地控制進(jìn)出流量、內(nèi)容。

4）代理能過濾數(shù)據(jù)內(nèi)容。5）代理能為用戶提供透明的加密機制。6）代理可以方便地與其他安全手段集成。

代理技術(shù)的優(yōu)點

1）代理易于配置。105代理技術(shù)的缺點1）代理速度較路由器慢。2）代理對用戶不透明。3）對于每項服務(wù)代理可能要求不同的服務(wù)器。

4）代理服務(wù)不能保證免受所有協(xié)議弱點的限制。5）代理防火墻提供應(yīng)用保護的協(xié)議范圍是有限的

代理技術(shù)的缺點1）代理速度較路由器慢。106自適應(yīng)代理防火墻自適應(yīng)代理技術(shù)（Adaptiveproxy）是最