信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 教案全套 項目1-16 信息安全基礎(chǔ)、網(wǎng)絡(luò)與設(shè)備-證網(wǎng)絡(luò)安全應(yīng)急響應(yīng)、復(fù)習(xí)

教案 《信息安全技術(shù)》ADDINCNKISM.UserStyle授課周次與課時：第1周第1-4課時累計4課時課程名稱：信息安全技術(shù)授課課題：信息安全基礎(chǔ)教學(xué)目標(biāo)：了解信息安全管理的重要性學(xué)會區(qū)分不同安全模型的特點和區(qū)別了解信息安全等級化保護(hù)體系掌握常見信息安全標(biāo)準(zhǔn)掌握信息安全標(biāo)準(zhǔn)的意義思政目標(biāo)：1.強(qiáng)化學(xué)生對信息安全和網(wǎng)絡(luò)安全的重要性的認(rèn)識；2.立德樹人，幫助學(xué)生樹立正確的網(wǎng)絡(luò)安全和信息安全觀；教學(xué)要點：1.教學(xué)重點：不同安全模型的特點及區(qū)別2.教學(xué)難點：信息安全標(biāo)準(zhǔn)意義課型：理實一體課教學(xué)與學(xué)法（教具）：多媒體播放設(shè)備、計算機(jī)、投影儀教學(xué)過程【課程思政與課程導(dǎo)入】新的學(xué)期，新開始，但疫情還在沒有完全消除，同學(xué)們要加強(qiáng)對疫情發(fā)展的關(guān)注，疫情防控不松懈。思政主題：立德樹人學(xué)習(xí)《習(xí)近平出席全國網(wǎng)絡(luò)安全和信息化工作會議并發(fā)表重要講話》【新課講授】1信息與信息安全1.1信息定義？信息是通過施加于數(shù)據(jù)上的某些約定而賦予這些數(shù)據(jù)的特定含義，信息包括書本信件、國家機(jī)密、電子郵件、雷達(dá)信號、交易數(shù)據(jù)、考試題目等。1.2信息安全定義信息安全是指通過采用計算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，來保護(hù)信息在其神秘周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，信息的機(jī)密性、完整性和可用性不被破壞。2信息安全的發(fā)展2.1信息安全的發(fā)展歷2.2信息安全涉及的風(fēng)險3信息安全管理的重要性安全技術(shù)知識是信息安全控制的手段，要讓安全技術(shù)發(fā)揮應(yīng)有的作用，必然要有適當(dāng)管理程序的支持。據(jù)統(tǒng)計，企業(yè)信息收到損失的70%是由于內(nèi)部員工的疏忽或有意泄密造成的，可參看下圖。4信息安全標(biāo)準(zhǔn)與組織信息安全標(biāo)準(zhǔn)是規(guī)范性文件之一，其定義是為了在一定的范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同使用的和重復(fù)使用的一種規(guī)范性文件。在國際上，與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有以下4個：InternationalOrganizationforStandardization(ISO)國際標(biāo)準(zhǔn)化組織InternationalElectrotechnicalCommission(IEC)國際電工委員會InternationalTelecommunicationUnion(ITU)國際電信聯(lián)盟TheInternetEngineeringTaskForce(IETF)Internet工程任務(wù)組國內(nèi)的安全標(biāo)準(zhǔn)組織主要有：信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(CITS)中國通信標(biāo)準(zhǔn)化協(xié)會(CCSA)下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會常見信息安全標(biāo)準(zhǔn)與規(guī)范可見下圖。5信息安全管理體系信息安全管理體系（InformationSecurityManagementSystem,簡稱ISMS）的概念最初來源于英國標(biāo)準(zhǔn)學(xué)會制定的BS7799標(biāo)準(zhǔn),并伴隨著其作為國際標(biāo)準(zhǔn)的發(fā)布和普及而被廣泛地接受.【學(xué)生練習(xí)】信息安全事件頻發(fā)的原因是存在漏洞病毒后門程序等安全攻擊手段（）正確錯誤信息安全管理體系遵循的是______流程。等級保護(hù)定義是什么？【點評】【總結(jié)提煉】本次課介紹了信息與信息安全概念、信息安全發(fā)展過程、信息安全設(shè)涉及的風(fēng)險類別、信息安全的重要性及發(fā)展現(xiàn)狀以及常見信息安全標(biāo)準(zhǔn)與規(guī)范、信息安全等級化保護(hù)體系等?！菊n后作業(yè)】信息安全涉及的風(fēng)險有哪些？【教學(xué)后記】ADDINCNKISM.UserStyle授課周次與課時：第2周第5-8課時累計8課時課程名稱：信息安全技術(shù)授課課題：網(wǎng)絡(luò)與設(shè)備教學(xué)目標(biāo)：掌握TCP/IP的工作原理；掌握常見協(xié)議的工作原理；常見協(xié)議可能存在的安全威脅；掌握較為常見網(wǎng)絡(luò)設(shè)備的功能；掌握登錄網(wǎng)絡(luò)設(shè)備并對設(shè)備進(jìn)行基礎(chǔ)配置；掌握對設(shè)備進(jìn)行文件管理。思政目標(biāo)：提高學(xué)生網(wǎng)絡(luò)安全和信息化的認(rèn)識，充分認(rèn)識做好工作的重要性和緊迫性；愛國主義：通過對華為技術(shù)有限公司的發(fā)展史的了解，加強(qiáng)學(xué)生愛國主義教育；民族自豪感：通過對華為5G技術(shù)的了解，增強(qiáng)學(xué)生民族自豪感和自信心；教學(xué)要點：1.教學(xué)重點：TCP/IP協(xié)議工作原理、常見網(wǎng)絡(luò)設(shè)備功能2.教學(xué)難點：對網(wǎng)絡(luò)設(shè)備登陸進(jìn)行配置課型：理實一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過程【課程思政/溫故知新】思政主題：民族品牌華為——中華有為，學(xué)習(xí)華為技術(shù)有限公司的發(fā)展史。引出了解網(wǎng)絡(luò)基礎(chǔ)設(shè)備常用配置與管理，了解民族品牌中主流設(shè)備的基本參數(shù)及設(shè)置，華為的常見網(wǎng)絡(luò)設(shè)備市場占有絕對優(yōu)勢，“站在智能時代的入口，通過“無處不在的聯(lián)接+數(shù)字平臺+無所不及的智能”，致力于打造數(shù)字中國的底座、成為數(shù)字世界的內(nèi)核”，是不懈的追求，更是青年學(xué)生的目標(biāo)所在！?！拘抡n講授】1OSI互聯(lián)參考模型1.1OSI模型的提出OSI：OpenSystemInterconnectReferenceModel，開放式系統(tǒng)互聯(lián)參考模型，是國際標(biāo)準(zhǔn)化組織(ISO)提出的一個試圖使各種計算機(jī)在世界范圍內(nèi)互連為網(wǎng)絡(luò)的標(biāo)準(zhǔn)框架。OSI模型的設(shè)計目的是成為一個開放網(wǎng)絡(luò)互聯(lián)模型，來克服使用眾多網(wǎng)絡(luò)模型所帶來的互聯(lián)困難和低效性，因此OSI參考模型很快成為計算機(jī)網(wǎng)絡(luò)通信的基礎(chǔ)模型。1.2OSI模型設(shè)計OSI參考模型很快成為計算機(jī)網(wǎng)絡(luò)通信的基礎(chǔ)模型。在設(shè)計時遵循了以下原則：各個層之間有清晰的邊界，便于理解；每個層實現(xiàn)特定的功能，且相互不影響；每個層是服務(wù)者又是被服務(wù)者，即為上一層服務(wù)，又被下一層服務(wù)；層次的劃分有利于國際標(biāo)準(zhǔn)協(xié)議的制定；1.3OSI模型分層OSI參考模型將網(wǎng)絡(luò)通信需要的各種進(jìn)程劃分為7個相對獨立的7個功能層次，從下到上依次為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層以及應(yīng)用層。具體如圖1所示圖1OSI七層模型1.4TCP/IP協(xié)議基礎(chǔ)TCP/IP（TransferControlProtocol/InternetProtocol），是指傳輸控制協(xié)議/網(wǎng)際協(xié)議），TCP/IP模型具有開放性和易用性等特點，以致在實踐中得到了廣泛應(yīng)用，由于Interent在全世界的飛速發(fā)展，使得TCP/IP協(xié)議棧成為事實上的標(biāo)準(zhǔn)協(xié)議，并形成了TCP/IP參考模型。TCP/IP模型與OSI參考模型的不同點在于TCP/IP把表示層和會話層都?xì)w入應(yīng)用層，所以TCP/IP模型從下至上分為四層：數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。在有些文獻(xiàn)中也劃分成五層，即把物理層也單獨列出。TCP/IP和OSI的對應(yīng)關(guān)系如圖2所示。圖2TCP/IP和OSI的對應(yīng)關(guān)系1.5TCP/IP協(xié)議棧各層作用TCP/IP協(xié)議每一層都有對應(yīng)的相關(guān)協(xié)議，且均為達(dá)成某一網(wǎng)絡(luò)應(yīng)用而產(chǎn)生，對于某些協(xié)議在分層上還不能嚴(yán)格對其定義，比如ICMP、IGMP、ARP、RARP協(xié)議，我們把他們放在與網(wǎng)絡(luò)層IP協(xié)議同一層，但在某些場合我們可能會把ICMP、IGMP放在IP協(xié)議的上層，而把ARP、RARP放在IP協(xié)議的下層。TCP/IP協(xié)議棧各層作用如圖3所示。圖3TCP/IP協(xié)議棧各層作用1.6TCP/IP協(xié)議棧封裝與解封如圖4所示，發(fā)送方將用戶數(shù)據(jù)提交給應(yīng)用程序把數(shù)據(jù)送達(dá)目的地圖4TCP/IP協(xié)議棧封裝與解封1.7TCP連接建立與終止TCP的連接建立是一個三次握手過程，目的是為了通信雙方確認(rèn)開始序號，以便后續(xù)通信的有序進(jìn)行。TCP建立三次握手連接如圖5所示.圖5TCP建立連接1.8套接字與各層協(xié)議一個套接字由相關(guān)五元組構(gòu)成：源IP地址、目的IP地址、協(xié)議、源端口、目的端口。通過五元組，應(yīng)用服務(wù)器可響應(yīng)任何并發(fā)服務(wù)請求，且能保證每一鏈接在本系統(tǒng)內(nèi)是唯一的。其套接字組成元素如圖6所示。圖6套接字組成元素1.9常見網(wǎng)絡(luò)層協(xié)議圖7為網(wǎng)絡(luò)層協(xié)議結(jié)構(gòu)圖。圖7網(wǎng)絡(luò)層協(xié)議結(jié)構(gòu)圖1.10常見應(yīng)用層協(xié)議圖8為應(yīng)用層協(xié)議結(jié)構(gòu)圖。圖8應(yīng)用層協(xié)議結(jié)構(gòu)圖2網(wǎng)絡(luò)基礎(chǔ)設(shè)備2.1交換機(jī)交換機(jī)工作在數(shù)據(jù)鏈路層，轉(zhuǎn)發(fā)數(shù)據(jù)幀。如圖9所示。圖9交換機(jī)工作原理2.2路由器路由器功能：是連接\t"/item/%E8%B7%AF%E7%94%B1%E5%99%A8/_blank"因特網(wǎng)中各\t"/item/%E8%B7%AF%E7%94%B1%E5%99%A8/_blank"局域網(wǎng)、\t"/item/%E8%B7%AF%E7%94%B1%E5%99%A8/_blank"廣域網(wǎng)的設(shè)備，能夠在不同的網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)數(shù)據(jù)包，如圖10所示圖10路由器功能2.3防火墻防火墻功能：它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，主要用于保護(hù)一個網(wǎng)絡(luò)區(qū)域免受來自另一個網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為，具體可參看圖11。圖11防火墻功能2.4設(shè)備初始介紹VRP：VersatileRoutingPlatform，通用路由平臺，它的主要功能如下：網(wǎng)絡(luò)操作系統(tǒng)支撐多種設(shè)備的軟件平臺提供TCP/IP路由服務(wù)命令行：系統(tǒng)將命令行接口劃分為若干個命令視圖，系統(tǒng)的所有命令都注冊在某個（或某些）命令視圖下，只有在相應(yīng)的視圖下才能執(zhí)行該視圖下的命令。3設(shè)備登陸管理3.1通過Console口登錄使用PC終端通過連接設(shè)備的Console口來登錄設(shè)備，進(jìn)行第一次上電和配置。當(dāng)用戶無法進(jìn)行遠(yuǎn)程訪問設(shè)備時，可通過Console進(jìn)行本地登錄；當(dāng)設(shè)備系統(tǒng)無法啟動時，可通Console口進(jìn)行診斷或進(jìn)入BootRom進(jìn)行系統(tǒng)升級。如果使用PC進(jìn)行配置，需要在PC上運行終端仿真程序（如Windows3.1的TerminaWindows98/Windows2000/WindowsXP的超級終端），建立新的連接。3.2通過Telnet登錄通過PC終端連接到網(wǎng)絡(luò)上，使用Telnet方式登錄到設(shè)備上，進(jìn)行本地或遠(yuǎn)程的配置，目標(biāo)設(shè)備根據(jù)配置的登錄參數(shù)對用戶進(jìn)行驗證。Telnet登錄方式方便對設(shè)備進(jìn)行遠(yuǎn)程管理和維護(hù)。3.3通過SSH登錄SSH登錄能更大限度的保證數(shù)據(jù)信息交換的安全，提供安全的信息保障和強(qiáng)大認(rèn)證功能，保護(hù)設(shè)備系統(tǒng)不受IP欺騙等攻擊。SSH登錄步驟如下：配置USG接口SSH設(shè)備管理，管理員根據(jù)實際的需要打開。執(zhí)行命令stelnetserverenable，啟用Stelnet服務(wù)。在USG上生成本地密鑰對。3.4通過Web登錄在客戶端通過Web瀏覽器訪問設(shè)備，進(jìn)行控制和管理。適用于配置終端PC通過Web方式登錄。【學(xué)生練習(xí)】以下哪個不屬于TCP/IP協(xié)議簇？（）數(shù)據(jù)鏈路層傳輸層會話層應(yīng)用層以下哪個報文是TCP三次握手的首包？（）SYN+ACKSYNACK采用默認(rèn)web方式登錄時，默認(rèn)登錄的地址為（）？/24/24/16/16【點評】【總結(jié)提煉】本次課介紹了介紹了計算機(jī)網(wǎng)絡(luò)OSI參考模型的概念以及OSI參考模型中不同層次的功能；網(wǎng)絡(luò)基礎(chǔ)設(shè)備，包括常見網(wǎng)絡(luò)設(shè)備的功能和型號；網(wǎng)絡(luò)設(shè)備登錄方式，包括Console、Telnet、SSH和Web四種；安全設(shè)備基礎(chǔ)配置?！菊n后作業(yè)】路由器的功能有哪些？防火墻的作用有哪些？設(shè)備登錄管理有分別有哪幾種方式？【教學(xué)后記】思政課堂三分鐘文明標(biāo)兵創(chuàng)建ADDINCNKISM.UserStyle授課周次與課時：第3周第9-12課時累計12課時課程名稱：信息安全技術(shù)授課課題：信息安全威脅防范及發(fā)展教學(xué)目標(biāo)：掌握描述信息安全威脅分類掌握描述常見信息安全威脅手段了解信息安全未來發(fā)展趨勢學(xué)會如何避免存在的潛在安全威脅提升在公共場合的信息安全意識思政目標(biāo)：1.在信息時代，網(wǎng)絡(luò)安全對國家安全而言是牽一發(fā)而動全身，同許多其他方面的安全都有著密切關(guān)系；2.法律法規(guī)，通過加強(qiáng)學(xué)生法律法規(guī)的學(xué)習(xí)，培養(yǎng)學(xué)生良好的法律意識；3.愛國主義，通過對我國法律法規(guī)發(fā)展的學(xué)習(xí)，增強(qiáng)學(xué)生對我國法律事業(yè)發(fā)展的了解，激發(fā)學(xué)生民族自豪感，加強(qiáng)愛國主義教育。教學(xué)要點：1.教學(xué)重點：信息安全威脅的類別2.教學(xué)難點：常見信息安全威脅手段課型：理實一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過程：【課程思政/溫故知新】思政主題：法律法規(guī)、愛國主義常見信息安全威脅識別與防御，做為信息安全管理從業(yè)者，在工作和學(xué)習(xí)中始終要堅守國家法律法規(guī)和職業(yè)操守，網(wǎng)絡(luò)世界言行也要遵從國家大法，我國個人信息保護(hù)法是過往世界經(jīng)驗和中國智慧的結(jié)晶，也是維護(hù)個人權(quán)益、激勵社會穩(wěn)健發(fā)展、連接國家命運的數(shù)字時代基本法?！拘抡n講授】1信息安全威脅現(xiàn)狀1.1信息安全攻擊事件的演變（1）攻擊方式變化小攻擊的方式仍然是我們所能看到的病毒、漏洞、釣魚等，看起來似乎形式并無太大變化。（2）攻擊的手段由單一變得復(fù)雜一次重大攻擊往往需要精密地部署，長期的潛伏，以及多種攻擊手段相結(jié)合以達(dá)到最終目的。（3）攻擊目的多樣化攻擊的目標(biāo)從個人電腦攻擊到經(jīng)濟(jì)、政治、戰(zhàn)爭、能源，甚至影響著世界格局。1.2安全威脅分類（1）網(wǎng)絡(luò)安全威脅DDoS攻擊；網(wǎng)絡(luò)入侵等。（2）應(yīng)用安全威脅操作系統(tǒng)漏洞；病毒、木馬、蠕蟲；釣魚網(wǎng)站；數(shù)據(jù)泄露等。（3）數(shù)據(jù)傳輸與終端安全威脅通信流量挾持；中間人攻擊；未授權(quán)身份人員登錄系統(tǒng)；無線網(wǎng)絡(luò)安全薄弱等。2網(wǎng)絡(luò)安全威脅2.1掃描掃描是一種潛在的攻擊行為，本身并不具有直接的破壞行為，通常是攻擊者發(fā)動真正攻擊前的網(wǎng)絡(luò)探測行為。掃描可分為地址掃描和端口掃描，如圖1所示圖1掃描類別2.2欺騙攻擊-獲取控制權(quán)限攻擊者可以通過密碼暴力破解方式來獲取控制權(quán)限，也可以通過各種欺騙攻擊來獲取訪問和控制權(quán)限，如IP欺騙攻擊。圖2為欺騙攻擊示意圖IP欺騙攻擊：攻擊者通過向目標(biāo)主機(jī)發(fā)送源IP地址偽造的報文，欺騙目標(biāo)主機(jī)，從而獲取更高的訪問和控制權(quán)限。圖2業(yè)務(wù)連續(xù)性基本步驟2.3DDoS攻擊DDoS攻擊主要是耗盡網(wǎng)絡(luò)帶寬和耗盡服務(wù)器資源，DDoS攻擊如圖3所示。圖3DDoS攻擊2.4網(wǎng)絡(luò)類攻擊的防御手段（1）防火墻通過在大中型企業(yè)、數(shù)據(jù)中心等網(wǎng)絡(luò)的內(nèi)網(wǎng)出口處部署防火墻，可以防范各種常見的DDoS攻擊，而且還可以對傳統(tǒng)單包攻擊進(jìn)行有效地防范。（2）AntiDDoS設(shè)備Anti-DDoS解決方案，面向運營商、企業(yè)、數(shù)據(jù)中心、門戶網(wǎng)站、在線游戲、在線視頻、DNS域名服務(wù)等提供專業(yè)DDoS攻擊防護(hù)。3應(yīng)用安全威脅3.1漏洞帶來的威脅漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。由于不及時對系統(tǒng)漏洞進(jìn)行修復(fù)，將會帶來以下攻擊：注入攻擊、跨站腳本攻擊、惡意代碼傳播、數(shù)據(jù)泄露3.2釣魚攻擊“釣魚”是一種網(wǎng)絡(luò)欺詐行為，指不法分子利用各種手段，仿冒真實網(wǎng)站的URL地址以及頁面內(nèi)容，或利用真實網(wǎng)站服務(wù)器程序上的漏洞在站點的某些網(wǎng)頁中插入危險的HTML代碼，以此來騙取用戶銀行或信用卡賬號、密碼等私人資料3.3惡意代碼惡意代碼是指故意編制或設(shè)置的、對網(wǎng)絡(luò)或系統(tǒng)會產(chǎn)生威脅或潛在威脅的計算機(jī)代碼。最常見的惡意代碼有病毒、木馬、蠕蟲、后門等，如圖4所示。圖4惡意代碼3.4應(yīng)用類攻擊的防御手段定期修復(fù)漏洞：漏洞掃描，安裝補(bǔ)丁提高安全意識：對可疑網(wǎng)站、鏈接保持警覺專業(yè)設(shè)備防護(hù)：防火墻，WAF，殺毒軟件4安全威脅防范4.1信息安全防范關(guān)鍵要素信息安全防范關(guān)鍵要素如圖5所示。圖5信息安全防范關(guān)鍵要素4.2信息安全防范方法信息安全防范方法如圖6所示圖6信息安全防范方法4.3信息安全意識網(wǎng)民在公共場所連接Wi-Fi的情況如圖7所示。圖7網(wǎng)民連接公共Wi-Fi的情況4.4培養(yǎng)安全意識在培養(yǎng)和建立安全意識過程中，養(yǎng)成敏銳的思考模式和習(xí)慣，也是防范網(wǎng)絡(luò)安全欺騙的有效途徑，具體可參看下圖所示【學(xué)生練習(xí)】以下哪些屬于應(yīng)用安全威脅？（）注入攻擊跨站腳本攻擊IP地址欺騙攻擊端口掃描以下哪些屬于終端安全隱患？（）服務(wù)器存在漏洞用戶使用弱密碼數(shù)據(jù)傳輸加密程度不夠用戶身份未經(jīng)驗證信息安全防范關(guān)鍵要素有哪些（）安全運維與管理監(jiān)控安全產(chǎn)品與技術(shù)人員下列哪一種密碼設(shè)置相對更加安全？（）。僅數(shù)字密碼 僅字母密碼 數(shù)字+字母組合密碼 數(shù)字+字母+特殊符號組合密碼【總結(jié)提煉】本次課介紹了信息安全威脅現(xiàn)狀，網(wǎng)絡(luò)安全威脅，應(yīng)用安全威脅，數(shù)據(jù)傳輸與終端安全威脅，安全威脅防范的基本要素，網(wǎng)絡(luò)安全意識在安全防護(hù)中的重要性，信息安全未來發(fā)展趨勢。【課后作業(yè)】信息安全防范關(guān)鍵要素有哪些？信息安全防范方法有哪些？安全防御未來發(fā)展趨勢是什么樣的？【教學(xué)后記】ADDINCNKISM.UserStyle授課周次與課時：第4周第13-16課時累計16課時課程名稱：信息安全技術(shù)授課課題：服務(wù)器及操作系統(tǒng)安全基礎(chǔ)教學(xué)目標(biāo)：掌握操作系統(tǒng)的主要功能掌握Windows系統(tǒng)架構(gòu)掌握Linux系統(tǒng)架構(gòu)掌握常見服務(wù)器安全威脅描述掌握基本漏洞和補(bǔ)丁描述思政目標(biāo)：加強(qiáng)學(xué)生對網(wǎng)絡(luò)安全和信息化關(guān)系的認(rèn)識；愛國主義，通過學(xué)生對國產(chǎn)操作系統(tǒng)的了解，增強(qiáng)學(xué)生的愛國主義意識；科技強(qiáng)國，通過學(xué)生對國產(chǎn)操作系統(tǒng)的學(xué)習(xí)，增強(qiáng)學(xué)生科技強(qiáng)國的精神；教學(xué)要點：1.教學(xué)重點：常見服務(wù)器安全威脅描述2.教學(xué)難點：掌握基本漏洞和補(bǔ)丁描述課型：理實一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過程：【課程思政/溫故知新】網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實施思政主題：愛國主義、科技強(qiáng)國通過對國產(chǎn)操作系統(tǒng)的學(xué)習(xí)，充分了解操作系統(tǒng)的定義、主要功能和分類、發(fā)展歷史和相關(guān)應(yīng)用，掌握系統(tǒng)相關(guān)架構(gòu)，為操作系統(tǒng)應(yīng)用安全打下堅實的基礎(chǔ)。就是有了像麒麟操作系統(tǒng)這樣的國產(chǎn)操作系統(tǒng)，這樣的民族品牌，為我們國家在航空航天、探月工程、超算、國防軍事方面取得了重大突破打下了堅實的基礎(chǔ)?！拘抡n講授】1操作系統(tǒng)基礎(chǔ)知識1.1操作系統(tǒng)定義操作系統(tǒng)（OperatingSystem，簡稱OS）是管理和控制計算機(jī)硬件與軟件資源的計算機(jī)程序，是直接運行在“裸機(jī)”上的最基本的系統(tǒng)軟件，任何其他軟件都必須在操作系統(tǒng)的支持下才能運行。1.2操作系統(tǒng)主要功能(1) 處理器管理（進(jìn)程控制、進(jìn)程同步、進(jìn)程通信、進(jìn)程調(diào)度）；(2) 存儲器管理（內(nèi)存分配、內(nèi)存保護(hù)、內(nèi)存擴(kuò)充）；(3) 設(shè)備管理（緩沖管理、設(shè)備分配、虛擬設(shè)備）；(4) 文件管理（存儲空間管理、文件讀寫管理、目錄管理、文件共享與保護(hù)）；(5) 作業(yè)管理（任務(wù)管理、界面管理、人機(jī)交互、圖形界面、語言控制）；1.3操作系統(tǒng)分類根據(jù)應(yīng)用領(lǐng)域來劃分，可分為桌面操作系統(tǒng)（如Windows10家庭版）、服務(wù)器操作系統(tǒng)（WindowsServer2016）、嵌入式操作系統(tǒng)（SymbianOS）。根據(jù)所支持的用戶數(shù)目，可分為單用戶操作系統(tǒng)(如MSDOS、OS/2)、多用戶操作系統(tǒng)(如UNIX、Linux、Windows)。根據(jù)源代碼開放程度，可分為開源操作系統(tǒng)(如Linux、FreeBSD)和閉源操作系統(tǒng)(如MacOSX、Windows)。2Windows操作系統(tǒng)2.1 Windows起源2.2 Windows簡介2.3 Windows系統(tǒng)架構(gòu)(1) 這4種用戶模式下的進(jìn)程服務(wù)進(jìn)程，比如任務(wù)調(diào)度器和打印機(jī)服務(wù)，這些服務(wù)一般都需要用戶登陸才可以運行。很多服務(wù)應(yīng)用程序，比如sqlserver和exchangeserver都以服務(wù)的方式運行。用戶程序，可以是Windows32位或64位，Windows3.116位，MS-DOS16位，或者POSIX32位或64位，注意16位程序只能運行在32位系統(tǒng)上。環(huán)境子系統(tǒng)服務(wù)器進(jìn)程，實現(xiàn)了部分支持操作系統(tǒng)的環(huán)境，也可以說是展現(xiàn)給用戶或者開發(fā)者的個性化界面。WindowsNT最初發(fā)布時帶有Windows，POSIX，OS/2三個子系統(tǒng)，Windows2000是最后帶有POSIX和OS/2的子系統(tǒng)，旗艦版和企業(yè)版的Windows也支持一個加強(qiáng)版的POSIX子系統(tǒng)，叫作SUA（基于UNIX的應(yīng)用）。(2) 內(nèi)核模式的幾個組件①Windows執(zhí)行實體，包括基礎(chǔ)系統(tǒng)服務(wù)，比如內(nèi)存管理器，進(jìn)程和線程管理器，安全管理，I/O管理，網(wǎng)絡(luò)，進(jìn)程間通信。②Windows內(nèi)核，包括底層系統(tǒng)函數(shù)，比如線程調(diào)度，中斷，異常分發(fā)，多核同步。也提供了一些routine和實現(xiàn)高層結(jié)構(gòu)的基礎(chǔ)對象。③設(shè)備驅(qū)動，包括硬件設(shè)備驅(qū)動（翻譯用戶I/O到硬件I/O），軟件驅(qū)動（例如文件和網(wǎng)絡(luò)驅(qū)動）。④硬件抽象層，獨立于內(nèi)核的一層代碼，將設(shè)備驅(qū)動與平臺的差異性分離開。⑤窗口和圖形系統(tǒng)，實現(xiàn)了GUI函數(shù)，處理用戶接口和繪圖2.4 Windows版本W(wǎng)indows發(fā)展史2.5 Windows操作系統(tǒng)特點(1) 直觀、高效、易學(xué)、易用的面向?qū)ο蟮膱D形用戶界面(2) 用戶界面統(tǒng)一、友好、漂亮(3) 豐富的設(shè)備無關(guān)的圖形操作(4) 多任務(wù)、多用戶2.6 Windows的應(yīng)用領(lǐng)域(1) 個人桌面系統(tǒng)(2) 企業(yè)服務(wù)器(3) 銀行ATM(4) 手機(jī)3Linux操作系統(tǒng)3.1 Linux發(fā)展史3.2 Linux系統(tǒng)架構(gòu)Linux系統(tǒng)一般有4個主要部分：內(nèi)核、shell、文件系統(tǒng)和應(yīng)用程序，管理文件并使用系統(tǒng)，如下圖所示。Linux系統(tǒng)架構(gòu)(1) Linux內(nèi)核內(nèi)核是操作系統(tǒng)的核心，具有很多最基本功能，它負(fù)責(zé)管理系統(tǒng)的進(jìn)程、內(nèi)存、設(shè)備驅(qū)動程序、文件和網(wǎng)絡(luò)系統(tǒng)，決定著系統(tǒng)的性能和穩(wěn)定性。Linux內(nèi)核由如下幾部分組成：內(nèi)存管理、進(jìn)程管理、設(shè)備驅(qū)動程序、文件系統(tǒng)和網(wǎng)絡(luò)管理等。(2) LinuxShellshell是系統(tǒng)的用戶界面，提供了用戶與內(nèi)核進(jìn)行交互操作的一種接口。它接收用戶輸入的命令并把它送入內(nèi)核去執(zhí)行，是一個命令解釋器。另外，shell編程語言具有普通編程語言的很多特點，用這種編程語言編寫的shell程序與其他應(yīng)用程序具有同樣的效果。(3) Linux文件系統(tǒng)文件系統(tǒng)是文件存放在磁盤等存儲設(shè)備上的組織方法。Linux系統(tǒng)能支持多種目前流行的文件系統(tǒng)，如EXT2、EXT3、FAT、FAT32、VFAT和ISO9660。(4) Linux應(yīng)用標(biāo)準(zhǔn)的Linux系統(tǒng)一般都有一套都有稱為應(yīng)用程序的程序集，它包括文本編輯器、編程語言、XWindow、辦公套件、Internet工具和數(shù)據(jù)庫等。3.3 常見Linux操作系統(tǒng)常見的主要有RedHatLinux、CentOS、SuSE、Ubuntu、DebianGNU/Linux、Mandriva、Gentoo、Slackware、Knoppix、MEPIS和Xandros，以及國產(chǎn)的紅旗Linux、深度Linux和中標(biāo)麒麟Linux等；3.4 常見Linux操作系統(tǒng)(1) 完全免費(2) 多用戶、多任務(wù)(3) 良好的界面(4) 支持多種平臺3.5 Linux的應(yīng)用領(lǐng)域Linux的應(yīng)用領(lǐng)域主要包括以下三個方面：(1) 桌面應(yīng)用領(lǐng)域(2) 高端服務(wù)器領(lǐng)域(3) 嵌入式應(yīng)用領(lǐng)域4服務(wù)器概述4.1 服務(wù)器定義從廣義上講，服務(wù)器是指網(wǎng)絡(luò)中能夠?qū)ζ渌麢C(jī)器提供服務(wù)的計算機(jī)系統(tǒng)。從狹義上來講，服務(wù)器是指某些高性能計算機(jī)，通過網(wǎng)絡(luò)提供給外部計算機(jī)一些業(yè)務(wù)服務(wù)。因此，在穩(wěn)定性、安全性、性能等方面都比普通PC要求更高。4.2 服務(wù)器特點服務(wù)器具有支持多處理器、高性能、高可用性、高利用性、高可擴(kuò)展性、高可管理性等特點，如下圖所示：服務(wù)器特點4.3 服務(wù)器分類服務(wù)器的種類很多，具有多種分類方式：(1) 按應(yīng)用層次劃分（入門級服務(wù)器、工作組服務(wù)器、部門級服務(wù)器、企業(yè)級服務(wù)器）；(2) 按體系架構(gòu)劃分（x86服務(wù)器、非x86服務(wù)器）；(3) 按外形次分（機(jī)架式服務(wù)器、刀片服務(wù)器、塔式服務(wù)器、機(jī)柜式服務(wù)器）；5服務(wù)器軟件服務(wù)器管理軟件是一套處理|硬件、操作系統(tǒng)及應(yīng)用軟件等不同層級|軟件管理及升級、系統(tǒng)資源管理、性能維護(hù)和監(jiān)控配置的程序。服務(wù)器軟件工作在客戶端-服務(wù)器（C/S）或瀏覽器-服務(wù)器(B/S)的方式，根據(jù)軟件的不同可以劃分為多種形式的服務(wù)器，常用的包括以下幾種：文件服務(wù)器、數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、網(wǎng)頁服務(wù)器、FTP服務(wù)器、域名服務(wù)器、時間同步服務(wù)器、代理服務(wù)器。6服務(wù)器安全威脅6.1 安全威脅概述6.2惡意程序惡意程序通常是指帶有攻擊意圖所編寫的一段程序。這些威脅可以分成兩個類別：需要宿主程序的威脅和彼此獨立的威脅。前者基本上是不能獨立于某個實際的應(yīng)用程序、實用程序或系統(tǒng)程序的程序片段；后者是可以被操作系統(tǒng)調(diào)度和運行的自包含程序。惡意程序主要包括：陷門、邏輯炸彈、特洛伊木馬、蠕蟲、細(xì)菌、病毒等。6.3黑客暴力破解暴力破解一般指窮舉法，窮舉法的基本思想是根據(jù)題目的部分條件確定答案的大致范圍，并在此范圍內(nèi)對所有可能的情況逐一驗證，直到全部情況驗證完畢。若某個情況驗證符合題目的全部條件，則為本問題的一個解；若全部情況驗證后都不符合題目的全部條件，則本題無解。窮舉法也稱為枚舉法。6.4 SQL注入攻擊SQL注入攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。6.5 DDoS攻擊DoS是DenialofService的簡稱，即拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。6.6 常見安全威脅防御方法服務(wù)器的安全威脅較多，針對不同的安全威脅，我們需要不同的防御方法，常見的幾種如表下表所示。安全威脅防御方法惡意程序1.不安裝可疑的軟件2.不打開陌生人的鏈接3.安裝殺毒軟件4.不訪問不正規(guī)的網(wǎng)站黑客暴力破解1.密碼足夠的復(fù)雜2.修改默認(rèn)端口號3.不允許密碼登錄，只能通過認(rèn)證的秘鑰登錄。SQL注入攻擊1.使用正則表達(dá)式過濾傳入的參數(shù)2.使用PreparedStatement代替Statement3.jsp中調(diào)用該函數(shù)檢查是否包函非法字符DDoS1.源認(rèn)證2.指紋學(xué)習(xí)3.重定向域名7漏洞和補(bǔ)丁7.1 漏洞的定義漏洞是指一個系統(tǒng)存在的弱點或缺陷，系統(tǒng)對特定威脅攻擊或危險事件的敏感性，或進(jìn)行攻擊的威脅作用的可能性。漏洞可能來自應(yīng)用軟件或操作系統(tǒng)設(shè)計時的缺陷或編碼時產(chǎn)生的錯誤，也可能來自業(yè)務(wù)在交互處理過程中的設(shè)計缺陷或邏輯流程上的不合理之處。7.2 漏洞的危害漏洞對網(wǎng)絡(luò)系統(tǒng)的安全威脅有：普通用戶權(quán)限提升、獲取本地管理員權(quán)限、獲取遠(yuǎn)程管理員權(quán)限、本地拒絕服務(wù)、遠(yuǎn)程拒絕服務(wù)、服務(wù)器信息泄露、遠(yuǎn)程非授權(quán)文件訪問、讀取受限文件、欺騙等。打開實驗《遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)》，教師讓學(xué)生觀看視頻，并動手演示實驗過程；7.3 漏洞的分類漏洞的種類繁多，不同的依據(jù)可以有不同的分類，主要有：(1) 根據(jù)漏洞被攻擊者利用的方式劃分（本地攻擊漏洞、遠(yuǎn)程攻擊漏洞）；(2) 根據(jù)其對系統(tǒng)造成的潛在威脅以及被利用的可能性進(jìn)行劃分（高級別漏洞、中級別漏洞、低級別漏洞）；7.4 漏洞存在的原因一般來說，系統(tǒng)漏洞存在的原因有以下幾種：(1) 軟件或協(xié)議設(shè)計時的瑕疵。(2) 軟件編寫存在Bug。(3) 系統(tǒng)的不當(dāng)配置。(4) 安全意識薄弱。7.5 漏洞掃描漏洞掃描就是一種主動的防范措施，可以有效避免黑客攻擊行為。當(dāng)然，黑客也可以使用漏洞掃描技術(shù)發(fā)現(xiàn)漏洞并發(fā)起攻擊。常見的掃描方法有：(1) Ping掃描：就是確認(rèn)目標(biāo)主機(jī)的TCP/IP的網(wǎng)絡(luò)是否聯(lián)通，也就是掃描的IP地址是否有設(shè)備在使用。(2) 端口掃描：端口掃描是用來探測主機(jī)開放的端口。一般是對指定IP地址進(jìn)行某個端口值段或者端口的掃描。主要端口掃描又可以分為：全連接掃描、SYN掃描、隱蔽掃描；(3) 操作系統(tǒng)探測：用來探測目標(biāo)主機(jī)的操作系統(tǒng)信息和提供服務(wù)的計算機(jī)程序信息。(4) 漏洞掃描：漏洞掃描用來探測目標(biāo)主機(jī)系統(tǒng)是否存在漏洞，一般是對目標(biāo)主機(jī)進(jìn)行特定漏洞的掃描。根據(jù)是否主動發(fā)起掃描，又可以分為：主動掃描、被動掃描；7.6 補(bǔ)丁的定義補(bǔ)丁是專門修復(fù)這些BUG做的因為原來發(fā)布的軟件存在缺陷，發(fā)現(xiàn)之后另外編制一個小程序使其完善，這種小程序俗稱補(bǔ)丁。補(bǔ)丁是由軟件的原來作者制作的，可以訪問網(wǎng)站下載補(bǔ)丁。8典型漏洞攻擊案例8.1 WannaCry勒索攻擊8.2 水牢漏洞【學(xué)生練習(xí)】遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)實驗?！究偨Y(jié)提煉】在本章中，我們了解到了操作系統(tǒng)的定義、windows和linux服務(wù)器的內(nèi)核、服務(wù)器的分類，常見服務(wù)器的功能以及常見服務(wù)器的安全威脅，并且對系統(tǒng)和軟件漏洞有了一個明確的認(rèn)識，對于常見的漏洞補(bǔ)丁的修補(bǔ)和常見安全威脅我們也有了一定的解決方法?！菊n后作業(yè)】1、 服務(wù)器按應(yīng)用層次劃分可以分為那幾類？（）A. 入門級服務(wù)器B. 工作組服務(wù)器C. 部門級服務(wù)器D. 企業(yè)級服務(wù)器2、 一臺在網(wǎng)絡(luò)上提供文件傳輸和訪問服務(wù)的一臺計算機(jī)是什么服務(wù)器。（）A. FTP服務(wù)器B. DNS服務(wù)器C. NTP服務(wù)器D. 數(shù)據(jù)庫服務(wù)器3、 服務(wù)器常見的安全威脅有哪些？（）A. 惡意破解B. 黑客暴力破解C. SQL注入攻擊D. DDOS攻擊4、 漏洞的常見危害有哪些？（）A. 權(quán)限繞過和權(quán)限提升B. 拒絕服務(wù)攻擊C. 數(shù)據(jù)泄露D. 執(zhí)行非授權(quán)指令5、 以下哪些是網(wǎng)絡(luò)漏洞存在的原因？（）A. 軟件或協(xié)議設(shè)計時的瑕疵B. 軟件編寫存在BugC. 系統(tǒng)和網(wǎng)絡(luò)的不當(dāng)配置D. 安全意識薄弱6、 操作系統(tǒng)的主要功能中處理器管理包括以下幾個方面？（）A. 進(jìn)程控制B. 進(jìn)程同步C. 進(jìn)程通信D. 進(jìn)程調(diào)度7、 操作系統(tǒng)的主要功能中存儲器管理包括以下幾個方面？（）A. 內(nèi)存分配B. 內(nèi)存保護(hù)C. 內(nèi)存擴(kuò)充D. 內(nèi)存檢測8、 操作系統(tǒng)的主要功能中設(shè)備管理包括以下幾個方面？（）A. 緩沖管理B. 設(shè)備分配C. 虛擬設(shè)備D. 設(shè)備安裝9、 操作系統(tǒng)的主要功能中作業(yè)管理包括以下幾個方面？（）A. 任務(wù)、界面管理B. 人機(jī)交互C. 圖形界面D. 語言控制10、操作系統(tǒng)的根據(jù)應(yīng)用領(lǐng)域來劃分，可以分為那幾種？（）A. 桌面操作系統(tǒng)B. 單機(jī)操作系統(tǒng)C. 服務(wù)器操作系統(tǒng)D. 嵌入式操作系統(tǒng)【教學(xué)后記】ADDINCNKISM.UserStyle授課周次與課時：第5周第17-20課時累計20課時課程名稱：信息安全技術(shù)授課課題：主機(jī)安全防御教學(xué)目標(biāo)：掌握防火墻的定義掌握殺毒軟件的定義學(xué)會區(qū)分殺毒軟件和防火墻掌握防火墻的分類掌握防火墻的主要功能教學(xué)要點：1.教學(xué)重點：防火墻主要功能2.教學(xué)難點：linux防火墻配置思政目標(biāo)：加強(qiáng)學(xué)生對網(wǎng)絡(luò)安全宣傳周的認(rèn)識，網(wǎng)絡(luò)安全為人民；愛國主義，通過學(xué)生對中國通信網(wǎng)絡(luò)規(guī)模的了解，增強(qiáng)學(xué)生的愛國主義意識；科技強(qiáng)國，通過學(xué)生對中國通信網(wǎng)絡(luò)規(guī)模的了解，增強(qiáng)學(xué)生科技強(qiáng)國的精神；課型：理實一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過程：【課程思政/溫故知新】舉辦網(wǎng)絡(luò)安全宣傳周、提升全民網(wǎng)絡(luò)安全意識和技能，是國家網(wǎng)絡(luò)安全工作的重要內(nèi)容。國家網(wǎng)絡(luò)安全工作要堅持網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民，保障個人信息安全，維護(hù)公民在網(wǎng)絡(luò)空間的合法權(quán)益。思政主題：科技強(qiáng)國、愛國主義我國信息通信網(wǎng)絡(luò)的跨越式發(fā)展，為數(shù)字經(jīng)濟(jì)發(fā)展提供堅實的平臺支撐，為中國經(jīng)濟(jì)轉(zhuǎn)型增添新動能，隨著高速便利、萬物互聯(lián)的寬帶網(wǎng)絡(luò)迅速發(fā)展，由此催生的新應(yīng)用、新產(chǎn)業(yè)、新業(yè)務(wù)，正在改變每個人的生活。在這么大的使用量情況下，信息安全的要求也越來越高，防火墻技術(shù)作為個人用戶的第一道保護(hù)，其重要性越來越高。【新課講授】1防火墻1.1防火墻定義防火墻（Firewall），也稱防護(hù)墻，是由CheckPoint創(chuàng)立者GilShwed于1993年發(fā)明并引入因特網(wǎng)。它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。一項信息安全的防護(hù)系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻是硬件、軟件、控制策略的集合，硬件和軟件是基礎(chǔ)，控制策略是關(guān)鍵，控制策略在表現(xiàn)形式上可分為兩種：一是除非明確禁止，否則允許；二是除非明確允許，否則禁止。1.2 防火墻分類發(fā)展四階段：基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻。從結(jié)構(gòu)上來分，防火墻有兩種：即代理主機(jī)結(jié)構(gòu)和路由器+過濾器結(jié)構(gòu)，后一種為內(nèi)部網(wǎng)絡(luò)過濾器(Filter)路由器(Router)Internet。從原理上來分，防火墻則可以分成4種類型：特殊設(shè)計的硬件防火墻、數(shù)據(jù)包過濾型、電路層網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)。從形態(tài)上分，防火墻可以分為硬件防火墻和軟件防火墻。從保護(hù)對象分，防火墻可以分為單機(jī)防火墻和網(wǎng)絡(luò)防火墻。1.3 Windows防火墻常見windows防火墻配置：允許程序或功能通過Windows防火墻：設(shè)置數(shù)據(jù)的通行規(guī)則；更改通知設(shè)置：設(shè)置通知規(guī)則；啟用或關(guān)閉Windows防火墻：防火墻開關(guān)界面；高級設(shè)置：自定義設(shè)置詳細(xì)的出入站規(guī)則和連接安全規(guī)則；還原默認(rèn)設(shè)置：初始化Windows防火墻；對網(wǎng)絡(luò)進(jìn)行疑難解答：檢測網(wǎng)絡(luò)出現(xiàn)的問題；返回防火墻主界面，單擊高級設(shè)置，進(jìn)行Windows防火墻規(guī)則設(shè)置。1.4 Linux防火墻(1) Iptables簡介iptables是一個免費的包過濾防火墻，Iptables只是防火墻和用戶之間的接口，真正起到防火墻作用的是Linux內(nèi)核中運行的netfilter，Linux下的防火墻是由netfilter和iptables兩個組件構(gòu)成的，現(xiàn)在的最新版本是3.5版。(2) Iptables結(jié)構(gòu)Iptables的結(jié)構(gòu)：iptables>表>鏈>規(guī)則。簡單地講，表由鏈組成，而鏈又由規(guī)則組成。(3) Iptables規(guī)則iptables定義規(guī)則的方式比較復(fù)雜:格式：iptables[-ttable]COMMANDchainCRETIRIA-jACTION-ttable：4個filternatmanglerawCOMMAND：定義如何對規(guī)則進(jìn)行管理。chain：指定你接下來的規(guī)則到底是在哪個鏈上操作的，當(dāng)定義策略的時候，是可以省略的。CRETIRIA:指定匹配標(biāo)準(zhǔn)。-jACTION:指定如何進(jìn)行處理。比如：不允許/16進(jìn)行訪問。iptables-tfilter-AINPUT-s/16-pudp--dport53-jDROP(4) Iptables鏈鏈?zhǔn)菙?shù)據(jù)包傳播的路徑，每個鏈包含有一條或多條規(guī)則。當(dāng)一個數(shù)據(jù)包到達(dá)一個鏈后，iptables會使用這個鏈中的第一條規(guī)則去匹配該數(shù)據(jù)包，查看該數(shù)據(jù)包是否符合這個規(guī)則所定義的條件，如果滿足，就根據(jù)該規(guī)則所定義的動作去處理該數(shù)據(jù)包，否則就繼續(xù)匹配下一條規(guī)則，如果該數(shù)據(jù)包不符合鏈中的所有規(guī)則，則使用該鏈的默認(rèn)策略處理。iptables包含五條規(guī)則鏈，分別是：PREROUTING(路由前)、NPUT(數(shù)據(jù)包流入口)、FORWARD(轉(zhuǎn)發(fā)關(guān)卡)、OUTPUT(數(shù)據(jù)包出口)、POSTROUTING（路由后）這是NetFilter規(guī)定的五個規(guī)則鏈，任何一個數(shù)據(jù)包，只要經(jīng)過本機(jī)，必將經(jīng)過這五個鏈中的其中一個鏈。(5) Iptables表表提供特定的功能，iptables包含四個表：Filter表：數(shù)據(jù)包中允許或者不允許的策略。NAT表：地址轉(zhuǎn)換的功能。Mangle表：修改報文數(shù)據(jù)Raw表：決定數(shù)據(jù)包是否被狀態(tài)跟蹤機(jī)制處理。表的處理優(yōu)先級：raw>mangle>nat>filter。對于filter來講一般只能做在3個鏈上：INPUT，F(xiàn)ORWARD，OUTPUT。對于nat來講一般也只能做在3個鏈上：PREROUTING，OUTPUT，POSTROUTING。而mangle則是5個鏈都可以做：PREROUTING，INPUT，F(xiàn)ORWARD，OUTPUT，POSTROUTING。(6) Iptables數(shù)據(jù)包傳輸過程2殺毒軟件2.1 殺毒軟件定義殺毒軟件（anti-virussoftware），也叫反病毒軟件或者防毒軟件，是用來消除電腦病毒、惡意軟件和特洛伊木馬等計算機(jī)威脅的一類軟件。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除、自動升級病毒庫、主動防御等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能，是計算機(jī)防御系統(tǒng)（包含殺毒軟件、防火墻、特洛伊木馬和其他惡意軟件的查殺程序和入侵預(yù)防系統(tǒng)等）的重要組成部分。殺毒軟件是一種可以對病毒、木馬等一切已知的對計算機(jī)有危害的程序代碼進(jìn)行清除的程序工具。2.2 殺毒軟件基本功能防范病毒：預(yù)防病毒入侵計算機(jī)。查找病毒：掃描計算機(jī)運行的程序或文件是否存在病毒，并能夠?qū)Ρ炔《編鞙?zhǔn)確報出病毒的名稱。清除病毒：根據(jù)不同類型的病毒對感染對象的修改，并按其感染特性進(jìn)行恢復(fù)。2.3 殺毒軟件組成殺毒軟件一般由掃描器、病毒庫和虛擬機(jī)組成，并且由主程序?qū)⑺麄兘Y(jié)為一體。掃描器是殺毒軟件的主體，主要用于掃描病毒，一個殺毒軟件的殺毒效果直接取決于掃描器編譯技術(shù)和算法的先進(jìn)程度。所以，多數(shù)殺毒軟件都不止有一個掃描器。病毒庫是用來存儲病毒特征碼的，特征碼主要分為內(nèi)存特征碼和文件特征碼。文件特征碼一般要存在于一些未被執(zhí)行的文件里。內(nèi)存特征碼一般存在于已經(jīng)運行的應(yīng)用程序。虛擬機(jī)可以使病毒在一個由殺毒軟件搭建的虛擬環(huán)境中執(zhí)行。2.4 殺毒軟件的關(guān)鍵技術(shù)殺毒軟件的技術(shù)有很多，但關(guān)鍵技術(shù)可以分為以下幾種:(1) 脫殼技術(shù)脫殼技術(shù)是殺毒軟件中常用的技術(shù)，可以對壓縮文件、加花文件、加殼文件、分裝類文件進(jìn)行分析的技術(shù)。(2) 自我保護(hù)技術(shù)自我保護(hù)技術(shù)基本在各個殺毒軟件均含有，可以防止病毒結(jié)束殺毒軟件進(jìn)程或篡改殺毒軟件文件。進(jìn)程的自我保護(hù)有兩種：單進(jìn)程自我保護(hù)，多進(jìn)程自我保護(hù)。(3) 修復(fù)技術(shù)殺毒軟件在查殺病毒的時候一般是把被感染的文件直接刪除，這樣就可能出現(xiàn)誤刪一些系統(tǒng)文件，最后導(dǎo)致系統(tǒng)崩潰，無法啟動。而殺毒軟件的修復(fù)技術(shù)可以對損壞的文件進(jìn)行修復(fù)。(4) 實時升級技術(shù)最早由金山毒霸提出，每一次連接互聯(lián)網(wǎng)，反病毒軟件都自動連接升級服務(wù)器查詢升級信息，如需要則進(jìn)行升級。但是目前有更先進(jìn)的云查殺技術(shù)，實時訪問云數(shù)據(jù)中心進(jìn)行判斷，用戶無需頻繁升級病毒庫即可防御最新病毒。(5) 主動防御技術(shù)主動防御技術(shù)是通過動態(tài)仿真反病毒專家系統(tǒng)對各種程序動作的自動監(jiān)視，自動分析程序動作之間的邏輯關(guān)系，綜合應(yīng)用病毒識別規(guī)則知識，實現(xiàn)自動判定病毒，達(dá)到主動防御的目的。(6) 啟發(fā)技術(shù)常規(guī)所使用的殺毒方法是出現(xiàn)新病毒后由殺毒軟件公司的反病毒專家從病毒樣本中提取病毒特征，通過定期升級的形式下發(fā)到各用戶電腦里達(dá)到查殺效果，但是這種方法費時費力。(7) 虛擬機(jī)技術(shù)采用人工智能（AI）算法，具備“自學(xué)習(xí)、自進(jìn)化”能力，無需頻繁升級特征庫，就能免疫大部分的加殼和變種病毒，不但查殺能力領(lǐng)先，而且從根本上攻克了前兩代殺毒引擎“不升級病毒庫就殺不了新病毒”的技術(shù)難題，在海量病毒樣本數(shù)據(jù)中歸納出一套智能算法，自己來發(fā)現(xiàn)和學(xué)習(xí)病毒變化規(guī)律。它無需頻繁更新特征庫、無需分析病毒靜態(tài)特征、無需分析病毒行為。(8) 智能技術(shù)采用人工智能算法，具備“自學(xué)習(xí)、自進(jìn)化”能力，無需頻繁升級特征庫，就能免疫大部分的變種病毒，查殺效果優(yōu)良，而且一定程度上解決了“不升級病毒庫就殺不了新病毒”的技術(shù)難題。2.5 國內(nèi)主流殺毒軟件2.6 殺毒軟件使用常識我們有必要知道一些殺毒軟件使用的常識，具體如下：①. 殺毒軟件不可能查殺所有病毒；②. 殺毒軟件能查到的病毒，不一定能殺掉；③. 一臺電腦每個操作系統(tǒng)下不必同時安裝兩套或兩套以上的殺毒軟件（除非有兼容或綠色版，其實很多殺軟兼容性很好，國產(chǎn)殺軟幾乎不用擔(dān)心兼容性問題），另外建議查看不兼容的程序列表；另外，殺毒軟件對被感染的文件殺毒有多種方式，常見的方式有以下幾種：①. 清除：清除被蠕蟲感染的文件，清除后文件恢復(fù)正常。相當(dāng)于如果人生病，清除是給這個人治病，刪除是人生病后直接殺死。②. 刪除：刪除病毒文件。這類文件不是被感染的文件，本身就含毒，無法清除，可以刪除。③. 禁止訪問：禁止訪問病毒文件。在發(fā)現(xiàn)病毒后用戶如選擇不處理則殺毒軟件可能將病毒禁止訪問。用戶打開時會彈出錯誤對話框，內(nèi)容是“該文件不是有效的Win32文件”。④. 隔離：病毒刪除后轉(zhuǎn)移到隔離區(qū)。用戶可以從隔離區(qū)找回刪除的文件。隔離區(qū)的文件不能運行。⑤. 不處理：不處理該病毒。如果用戶暫時不知道是不是病毒可以暫時先不處理?！緦W(xué)生練習(xí)】Windows防火墻和linux防火墻配置實驗。【點評】【總結(jié)提煉】在本章中，我們學(xué)習(xí)了防火墻的基礎(chǔ)知識，學(xué)會了windows防火墻的使用和配置，學(xué)會了linux防火墻的配置，對于一些常見IP、端口的控制，有了一個較為深刻的理解；接下來我們還學(xué)習(xí)了殺毒軟件的一些知識，對于殺毒軟件的功能、組成、關(guān)鍵技術(shù)知識進(jìn)行了系統(tǒng)學(xué)習(xí)，對于殺毒軟件的選擇也有了充分的了解，為大家以后的生活和工作提供了有效的幫助?！菊n后作業(yè)】Windows防火墻屬于以下哪些分類（）硬件防火墻軟件防火墻單機(jī)防火墻網(wǎng)絡(luò)防火墻Linux防火墻的名稱是（）FirewallSelinuxIptablesWFCIptables包含五條規(guī)則鏈，分別是：（）PREROUTING(路由前)INPUT(數(shù)據(jù)包流入口)FORWARD(轉(zhuǎn)發(fā)關(guān)卡)OUTPUT(數(shù)據(jù)包出口)POSTROUTING（路由后）iptables包含四個表，分別是：（）Filter表NAT表Mangle表Raw表以下哪些是殺毒軟件的組成部分（）掃描器病毒庫虛擬機(jī)防火墻以下哪些是殺毒軟件是國產(chǎn)軟件（ABD）360殺毒金山毒霸熊貓殺毒江民殺毒軟件的基本功能有哪些（）防范病毒查找病毒清除病毒制造病毒殺毒軟件的關(guān)鍵技術(shù)有哪些（）脫殼技術(shù)自我保護(hù)技術(shù)修復(fù)技術(shù)實時升級技術(shù)主動防御技術(shù)【教學(xué)后記】ADDINCNKISM.UserStyle授課周次與課時：第6周第21-24課時累計24課時課程名稱：信息安全技術(shù)授課課題：防火墻介紹教學(xué)目標(biāo)：了解防火墻基本概念了解防火墻轉(zhuǎn)發(fā)原理了解防火墻安全策略掌握防火墻安全策略和配置教學(xué)要點：1.教學(xué)重點：掌握防火墻轉(zhuǎn)發(fā)原理2.教學(xué)難點：學(xué)會防火墻安全策略配置思政目標(biāo)：加強(qiáng)學(xué)生網(wǎng)絡(luò)安全和人民關(guān)系的認(rèn)識，共筑網(wǎng)絡(luò)安全防線；愛國主義，通過學(xué)生對中國網(wǎng)信事件的了解，增強(qiáng)學(xué)生的愛國主義意識；網(wǎng)絡(luò)強(qiáng)國，通過學(xué)生對中國數(shù)字基礎(chǔ)設(shè)施的學(xué)習(xí)，增強(qiáng)學(xué)生網(wǎng)絡(luò)強(qiáng)國的意識；課型：理實一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過程：【課程思政/溫故知新】網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民，維護(hù)網(wǎng)絡(luò)安全是全社會共同的責(zé)任，需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與，共筑網(wǎng)絡(luò)安全防線。思政主題：網(wǎng)絡(luò)強(qiáng)國、愛國主義習(xí)近平總書記指出“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”“要從國際國內(nèi)大勢出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國建設(shè)成為網(wǎng)絡(luò)強(qiáng)國”。主章通過對華為防火墻的學(xué)習(xí)，主要了解防火墻的基本概念、安全策略、轉(zhuǎn)發(fā)原理，以及學(xué)會如何配置防火墻?！拘抡n講授】一、防火墻概述1、防火墻特征硬件防火墻，它是將各種安全技術(shù)融合在一起，采用專用的硬件結(jié)構(gòu)，選用高速的CPU、嵌入式的操作系統(tǒng)，支持各種高速接口（LAN接口），用來保護(hù)私有網(wǎng)絡(luò)（計算機(jī)）的安全，這樣的設(shè)備我們稱為硬件防火墻。硬件防火墻可以獨立于操作系統(tǒng)（HP-UNIX、SUNOS、AIX、NT等）、計算機(jī)設(shè)備（IBM6000、普通PC等）運行。它用來集中解決網(wǎng)絡(luò)安全問題，可以適合各種場合，同時能夠提供高效率的“過濾”。同時它可以提供包括訪問控制、身份驗證、數(shù)據(jù)加密、VPN技術(shù)、地址轉(zhuǎn)換等安全特性，用戶可以根據(jù)自己的網(wǎng)絡(luò)環(huán)境的需要配置復(fù)雜的安全策略，阻止一些非法的訪問，保護(hù)自己的網(wǎng)絡(luò)安全。2、防火墻分類防火墻發(fā)展至今已經(jīng)歷經(jīng)三代，分類方法也各色各樣，例如按照形態(tài)劃分可以分為硬件防火墻及軟件防火墻；按照保護(hù)對象劃分可以分為單機(jī)防火墻及網(wǎng)絡(luò)防火墻等。但總的來說，最主流的劃分方法是按照訪問控制方式進(jìn)行分類，可以分為以下三種：包過濾防火墻代理防火墻狀態(tài)檢測防火墻3、防火墻組網(wǎng)方式方式一：防火墻只進(jìn)行報文轉(zhuǎn)發(fā)，不能進(jìn)行路由尋址，與防火墻相連兩個業(yè)務(wù)網(wǎng)絡(luò)必須在同一個網(wǎng)段中。此時防火墻上下行接口均工作在二層，接口無IP地址。方式二：防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間時，與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)相連的上下行業(yè)務(wù)接口均工作在三層，需要分別配置成不同網(wǎng)段的IP地址，防火墻負(fù)責(zé)在內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)中進(jìn)行路由尋址，相當(dāng)于路由器。二、防火墻轉(zhuǎn)發(fā)原理1、包過濾技術(shù)包過濾能夠通過報文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口號、目的端口號、上層協(xié)議等信息組合定義網(wǎng)絡(luò)中的數(shù)據(jù)流，其中源IP地址、目的IP地址、源端口號、目的端口號、上層協(xié)議就是在狀態(tài)檢測防火墻中經(jīng)常所提到的五無組，也是組成TCP/UDP連接非常重要的五個元素。2、防火墻安全策略安全策略定義安全策略原理安全策略分類3、防火墻的轉(zhuǎn)發(fā)原理現(xiàn)在的防火墻產(chǎn)品主要采用了“狀態(tài)檢測”機(jī)制來進(jìn)行包過濾。“狀態(tài)檢測”機(jī)制以流量為單位來對報文進(jìn)行檢測和轉(zhuǎn)發(fā)，即對一條流量的第一個報文進(jìn)行包過濾規(guī)則檢查，并將判斷結(jié)果作為該條流量的“狀態(tài)”記錄下來。對于該流量的后續(xù)報文都直接根據(jù)這個“狀態(tài)”來判斷是轉(zhuǎn)發(fā)（或進(jìn)行內(nèi)容安全檢測）還是丟棄。這個“狀態(tài)”就是我們平常所述的會話表項。這種機(jī)制迅速提升了防火墻產(chǎn)品的檢測速率和轉(zhuǎn)發(fā)效率，已經(jīng)成為目前主流的包過濾機(jī)制。4、防火墻的查詢和創(chuàng)建會話什么是會話表會話是狀態(tài)檢測防火墻的基礎(chǔ)，每一個通過防火墻的數(shù)據(jù)流都會在防火墻上建立一個會話表項，以五元組為Key值，通過建立動態(tài)的會話表提供域間轉(zhuǎn)發(fā)數(shù)據(jù)流更高的安全性。查看會話表信息① displayfirewallsessiontable命令顯示會話表簡要信息② displayfirewallsessiontableverbose命令顯示會話表詳細(xì)信息三、防火墻安全策略及應(yīng)用1、安全策略的工作流程安全策略匹配原則安全策略業(yè)務(wù)流程下一代防火墻的安全策略優(yōu)勢2、安全策略的配置流程3、配置安全策略（SLI）（WEB）四、ASPF技術(shù)1、ASPF概述ASPF（ApplicationSpecificPacketFilter）是一種高級通信過濾技術(shù)，它負(fù)責(zé)檢查應(yīng)用層協(xié)議信息并且監(jiān)控連接的應(yīng)用層協(xié)議狀態(tài)。對于特定應(yīng)用協(xié)議的所有連接，每一個連接狀態(tài)信息都將被ASPF監(jiān)控并動態(tài)的決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。2、多通道協(xié)議技術(shù)通信過程中需占用兩個或兩個以上端口的協(xié)議。如：FTP被動模式下需占用21端口以及一個隨機(jī)端口。3、ASPF對多通道協(xié)議的支持在多通道協(xié)議中，如FTP，控制通道和數(shù)據(jù)通道是分開的。數(shù)據(jù)通道是在控制報文中動態(tài)協(xié)商出來的，為了避免協(xié)商出來的通道不因其他規(guī)則的限制（如ACL）而中斷，需要臨時開啟一個通道，ServerMap就是為了滿足這種應(yīng)用而設(shè)計的一種數(shù)據(jù)結(jié)構(gòu)。4、ServerMap表項5、端口識別對多通道協(xié)議的支持端口識別，也稱端口映射，是防火墻用來識別使用非標(biāo)準(zhǔn)端口的應(yīng)用層協(xié)議報文。端口映射支持的應(yīng)用層協(xié)議包括FTP、HTTP、RTSP、PPTP、MGCP、MMS、SMTP、H323、SIP、SQLNET。6、分片緩存分片緩存配置相關(guān)命令：配置分片緩存老化時間命令Firewallsessionaging-timefragmentinterval(1-40000)；開啟/關(guān)閉分片報文直接轉(zhuǎn)發(fā)功能命令Firewallfragment-forwardenable/disable；7、長連接長連接相關(guān)命令：配置長連接老化時間Firewalllong-linkaging-timetime；開啟長連接功能Firewallinterzonezone-name1zone-name2；lonk-linkacl-number{inbound|outbound}；【學(xué)生練習(xí)】綜合實驗：基于IP地址的轉(zhuǎn)發(fā)策略實驗?zāi)康模赫莆栈贗P地址控制訪問的配置方法實驗拓?fù)鋱D，如圖10-37所示：圖10-37實驗拓?fù)鋱D實驗步驟（CLI）步驟一：配置各個接口的IP地址并加入相應(yīng)的安全區(qū)域。<SRG>system-view配置防火墻各接口的IP地址，命令如下：[USG]interfaceGigabitEthernet0/0/0[USG-GigabitEthernet0/0/0]ipaddress24[USG-GigabitEthernet0/0/0]interfaceGigabitEthernet0/0/1[USG-GigabitEthernet0/0/1]ipaddress24[USG-GigabitEthernet0/0/1]quit將防火墻的G0/0/0接口加入trust區(qū)域[SRG]firewallzonetrust[USG-zone-trust]addinterfaceGigabitEthernet0/0/0[USG-zone-trust]quit將防火墻的0/0/1接口加入untrust區(qū)域[USG]firewallzoneuntrust[USG-zone-untrust]addinterfaceGigabitEthernet0/0/1[USG-zone-untrust]quit步驟二：配置名稱為ip_deny的地址集，將幾個不允許通過防火墻的IP地址加入地址集。創(chuàng)建名稱為ip_deny的地址集[USG]ipaddress-setip_denytypeobject將不允許通過防火墻的IP地址加入ip_deny地址集[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]quit步驟三：創(chuàng)建不允許通過防火墻IP地址的轉(zhuǎn)發(fā)策略。[USG]security-policy[USG-policy-security]rulenamepolicy_deny[USG-policy-security-rule-policy_deny]source-addressaddress-setip_deny[USG-policy-security-rule-policy_deny]actiondeny[USG-policy-security-rule-policy_deny]quit步驟四：創(chuàng)建允許其他屬于/24這個網(wǎng)段的IP地址通過防火墻的轉(zhuǎn)發(fā)策略。[USG]security-policy[USG-policy-security]rulenamepolicy_permit[USG-policy-security-rule-policy_permit]source-address24[USG-policy-security-rule-policy_permit]actionpermit[USG-policy-security-rule-policy_permit]quit步驟五：測試不同IP地址通過防火墻的情況。Trust區(qū)域三臺PC分別用ping命令測試與untrust區(qū)域的www服務(wù)器的連通情況，應(yīng)該只有PC3的可以ping通服務(wù)器。實驗步驟（Web）步驟一：配置各個接口的IP地址，并加入相應(yīng)的安全區(qū)域，如圖10-38所示。選擇“網(wǎng)絡(luò)>接口>GE1/0/0”，配置接口IP地址，并加入到Trust區(qū)域。圖10-38接口加入安全區(qū)域重復(fù)上述步驟配置接口GE1/0/1的IP地址并加入Untrust區(qū)域。步驟二：配置地址集，如圖10-39所示。配置名稱為ip_deny的地址集，將幾個不允許上網(wǎng)的IP地址加入地址集。選擇“對象>地址>地址”，單擊“新建”，配置地址的各項參數(shù)。圖10-39配置地址集重復(fù)上述步驟配置名稱為ip_permit的地址集，將/24的網(wǎng)段加入地址集。步驟3：創(chuàng)建拒絕特殊的幾個IP地址訪問Internet的轉(zhuǎn)發(fā)策略。選擇“策略>安全策略>安全策略”，單擊“新建”，并輸入各項參數(shù)，如圖10-40所示。圖10-40配置拒絕轉(zhuǎn)發(fā)策略步驟四：創(chuàng)建允許/24這個網(wǎng)段訪問Internet的轉(zhuǎn)發(fā)策略，如圖10-41所示。圖10-41配置允許轉(zhuǎn)發(fā)策略步驟五：驗證結(jié)果，如圖10-42所示。配置好各PC的IP地址和網(wǎng)關(guān)。經(jīng)過驗證，發(fā)現(xiàn)、和這3臺PC無法訪問Internet；而/24中的其他IP地址均可以正常訪問Internet。圖10-42驗證實驗結(jié)果【學(xué)生練習(xí)】Windows防火墻和linux防火墻配置實驗。【點評】【總結(jié)提煉】本章主要講解防火墻包過濾技術(shù)原理、防火墻轉(zhuǎn)發(fā)原理、防火墻安全策略應(yīng)用場景及配置方法，通過原理的講解，配置的實操，使學(xué)生有一個更加鮮明的認(rèn)識?！菊n后作業(yè)】包過濾與狀態(tài)檢查機(jī)制、會話表之間有哪些關(guān)聯(lián)關(guān)系？ServerMap表項的具體作用是什么？分片緩存中首包分片和其他分片在報文格式上有何區(qū)別？首包分片先到如何處理？晚到如何處理？端口識別（端口映射）主要應(yīng)用于什么場景之下？以下哪些情況會產(chǎn)生ServerMap表？()配置NATNo-PAT配置NAT服務(wù)器映射配置ASPF配置防火墻的長連接默認(rèn)情況下，防火墻有4個安全區(qū)域，且不能修改安全級別。（）正確錯誤【教學(xué)后記】ADDINCNKISM.UserStyle授課周次與課時：第7周第25-28課時累計28課時課程名稱：信息安全技術(shù)授課課題：網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）教學(xué)目標(biāo)：了解NAT的技術(shù)原理了解NAT幾種應(yīng)用方式掌握防火墻的NAT配置教學(xué)要點：1.教學(xué)重點：掌握NAT幾種應(yīng)用方式2.教學(xué)難點：學(xué)會防火墻的NAT配置思政目標(biāo)：加強(qiáng)學(xué)生對網(wǎng)絡(luò)空間的認(rèn)識，共建符合人民利益的網(wǎng)絡(luò)空間；愛國主義，通過學(xué)生對雪人計劃的提出和實施，增強(qiáng)學(xué)生的愛國主義意識；科技強(qiáng)國，通過學(xué)生對雪人計劃的中國貢獻(xiàn)，增強(qiáng)學(xué)生科技強(qiáng)國的精神；課型：理實一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過程：【課程思政/溫故知新】網(wǎng)絡(luò)空間是億萬民眾共同的精神家園。網(wǎng)絡(luò)空間天朗氣清、生態(tài)良好，符合人民利益;網(wǎng)絡(luò)空間烏煙瘴氣、生態(tài)惡化，不符合人民利益。誰都不愿生活在充滿虛假、詐騙、攻擊、謾罵、恐怖、色情、暴力的網(wǎng)絡(luò)空間。思政主題：科技強(qiáng)國、愛國主義2014年，美國政府宣布，2015年9月30日后，其商務(wù)部下屬的國家通信與信息管理局（NTIA）與國際互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)（ICANN）將不再續(xù)簽外包合作協(xié)議。在此背景下，由我國下一代互聯(lián)網(wǎng)工程中心領(lǐng)銜發(fā)起，聯(lián)合WIDE機(jī)構(gòu)（現(xiàn)國際互聯(lián)網(wǎng)M根運營者）等共同創(chuàng)立了“雪人計劃（YetiDNSProject）”項目，并于2015年6月23日正式對外發(fā)布。該項目是基于全新技術(shù)架構(gòu)的全球下一代互聯(lián)網(wǎng)(IPv6)根服務(wù)器測試和運營實驗項目，旨在打破現(xiàn)有的根服務(wù)器困局，為下一代互聯(lián)網(wǎng)提供更多的根服務(wù)器解決方案。2017年11月28日，“雪人計劃”已在全球完成25臺IPv6（互聯(lián)網(wǎng)協(xié)議第六版）根服務(wù)器架設(shè)，中國部署了其中的4臺，由1臺主根服務(wù)器和3臺輔根服務(wù)器組成，打破了中國過去沒有根服務(wù)器的困境。但就目前來說，IPv4地址的缺乏問題對我國網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展帶來了巨大的影響，NAT技術(shù)的應(yīng)用給我們帶來了解決辦法。【新課講授】一、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)概述1、NAT產(chǎn)生背景早在上世紀(jì)90年代初，有關(guān)RFC文檔就提出IP地址耗盡的可能性?；赥CP/IP協(xié)議的Web應(yīng)用使互聯(lián)網(wǎng)迅速擴(kuò)張，IPv4地址申請量越來越大?；ヂ?lián)網(wǎng)可持續(xù)發(fā)展的問題日益嚴(yán)重。中國的運營商每年向ICANN申請的IP地址數(shù)量為全球最多。曾經(jīng)有專家預(yù)言，根據(jù)互聯(lián)網(wǎng)的發(fā)展速度，到2011年左右，全球可用的IPv4地址資源將全部耗盡。那么必須使用一些技術(shù)手段來延長IPv4的壽命。而技術(shù)的發(fā)展確實有效延緩了IPv4地址的衰竭，專家預(yù)言的地址耗盡的情況并未出現(xiàn)。其中廣泛使用的技術(shù)包括無類域間路由（CIDR，ClasslessInter-DomainRouting）、可變長子網(wǎng)掩碼（VLSM，VariableLengthSubnetMask）和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，NetworkAddressTranslation）。2、為什么需要NAT私網(wǎng)地址出現(xiàn)的目的是為了實現(xiàn)地址的復(fù)用，提高IP地址資源的利用率，為了滿足一些實驗室、公司或其他組織的獨立于Internet之外的私有網(wǎng)絡(luò)的需求，RFCA（RequestsForComment）1918為私有使用留出了三個IP地址段。具體如下：A類IP地址中的～55（/8）B類IP地址中的～55（/12）C類IP地址中的～55（/16）因此，使用私網(wǎng)地址和外網(wǎng)進(jìn)行通信，必須使用NAT技術(shù)進(jìn)行地址轉(zhuǎn)換，以保證通信正常。3、NAT技術(shù)的基本原理NAT是將IP數(shù)據(jù)報文報頭中的IP地址轉(zhuǎn)換為另一個IP地址的過程，主要用于實現(xiàn)內(nèi)部網(wǎng)絡(luò)（私有IP地址）訪問外部網(wǎng)絡(luò)（公有IP地址）的功能。從實現(xiàn)上來說，一般的NAT轉(zhuǎn)換設(shè)備（實現(xiàn)NAT功能的網(wǎng)絡(luò)設(shè)備）都維護(hù)著一張地址轉(zhuǎn)換表，所有經(jīng)過NAT轉(zhuǎn)換設(shè)備并且需要進(jìn)行地址轉(zhuǎn)換的報文，都會通過這個表做相應(yīng)的修改。地址轉(zhuǎn)換的機(jī)制分為如下兩個部分：內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址和端口轉(zhuǎn)換為NAT轉(zhuǎn)換設(shè)備外部網(wǎng)絡(luò)地址和端口。外部網(wǎng)絡(luò)地址和端口轉(zhuǎn)換為NAT轉(zhuǎn)換設(shè)備內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址和端口。NAT技術(shù)也就是在<私有地址+端口>與<公有地址+端口>之間進(jìn)行相互轉(zhuǎn)換。NAT轉(zhuǎn)換設(shè)備處于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處。內(nèi)部的PC與外部服務(wù)器的交互報文全部通過該NAT轉(zhuǎn)換設(shè)備。常見的NAT轉(zhuǎn)換設(shè)備有路由器、防火墻等。4、NAT分類① 源NAT（SourceNAT）：用來使多個私網(wǎng)用戶能夠同時訪問Internet。② 服務(wù)器映射：用來使外網(wǎng)用戶能夠訪問私網(wǎng)服務(wù)器。③ 目的NAT（DestinationNAT）：用來使手機(jī)上網(wǎng)的業(yè)務(wù)流量送往正確的WAP網(wǎng)關(guān)。5、NAT的優(yōu)點和缺點（1）NAT的優(yōu)點可以使一個局域網(wǎng)中的多臺主機(jī)使用少數(shù)的合法地址訪問外部的資源，也可以設(shè)定內(nèi)部的WWW、FTP、Telnet等服務(wù)提供給外部網(wǎng)絡(luò)使用，解決了IP地址日益短缺的問題。對于內(nèi)外網(wǎng)絡(luò)用戶，感覺不到IP地址轉(zhuǎn)換的過程，整個過程對于用戶來說是透明的。對內(nèi)網(wǎng)用戶提供隱私保護(hù)，外網(wǎng)用戶不能直接獲得內(nèi)網(wǎng)用戶的IP地址、服務(wù)等信息，具有一定的安全性。通過配置多個相同的內(nèi)部服務(wù)器的方式可以減小單個服務(wù)器在大流量時承擔(dān)的壓力，實現(xiàn)服務(wù)器負(fù)載均衡。（2）NAT的不足由于需要對數(shù)據(jù)報文進(jìn)行IP地址的轉(zhuǎn)換，涉及IP地址的數(shù)據(jù)報文的報頭不能被加密。在應(yīng)用協(xié)議中，如果報文中有地址或端口需要轉(zhuǎn)換，則報文不能被加密。例如，不能使用加密的FTP連接，否則FTP的port命令不能被正確轉(zhuǎn)換。網(wǎng)絡(luò)監(jiān)管變得更加困難。例如，如果一個黑客從內(nèi)網(wǎng)攻擊公網(wǎng)上的一臺服務(wù)器，那么要想追蹤這個攻擊者很難。因為在報文經(jīng)過NAT轉(zhuǎn)換設(shè)備的時候，地址經(jīng)過了轉(zhuǎn)換，不能確定哪臺才是黑客的主機(jī)。二、源NAT技術(shù)1、NAT地址池（1）創(chuàng)建NAT地址池命令 nataddress-guoupaddress-group-name section[section-id|section-name]start-addressend-address nat-mode{pat|no-pat}在WEB界面配置地址池（見圖11-3）地址池特性2、NAT轉(zhuǎn)換方式不帶端口轉(zhuǎn)換不帶端口轉(zhuǎn)換的地址池方式通過配置NAT地址池來實現(xiàn)，NAT地址池中可以包含多個公網(wǎng)地址。轉(zhuǎn)換時只轉(zhuǎn)換地址，不轉(zhuǎn)換端口，實現(xiàn)私網(wǎng)地址到公網(wǎng)地址一對一的轉(zhuǎn)換。如果地址池中的地址已經(jīng)全部分配出去，則剩余內(nèi)網(wǎng)主機(jī)訪問外網(wǎng)時不會進(jìn)行NAT轉(zhuǎn)換，直到地址池中有空閑地址時才會進(jìn)行NAT轉(zhuǎn)換。（2）帶端口轉(zhuǎn)換此方式下，由于地址轉(zhuǎn)換的同時還進(jìn)行端口的轉(zhuǎn)換，可以實現(xiàn)多個私網(wǎng)用戶共同使用一個公網(wǎng)IP地址上網(wǎng)，防火墻根據(jù)端口區(qū)分不同用戶，所以可以支持同時上網(wǎng)的用戶數(shù)量更多。（3）出接口地址方式（EasyIP）出接口地址方式也稱為EasyIP，即直接使用接口的公網(wǎng)地址作為轉(zhuǎn)換后的地址，不需要配置NAT地址池。轉(zhuǎn)換時會同時轉(zhuǎn)換地址和端口，即可實現(xiàn)多個私網(wǎng)地址共用外網(wǎng)接口的公網(wǎng)地址的需求。3、配置源NAT策略命令視圖Web視圖4、NATALG現(xiàn)在的防火墻產(chǎn)品主要采用了“狀態(tài)檢測”機(jī)制來進(jìn)行包過濾?！盃顟B(tài)檢測”機(jī)制以流量為單位來對報文進(jìn)行檢測和轉(zhuǎn)發(fā)，即對一條流量的第一個報文進(jìn)行包過濾規(guī)則檢查，并將判斷結(jié)果作為該條流量的“狀態(tài)”記錄下來。對于該流量的后續(xù)報文都直接根據(jù)這個“狀態(tài)”來判斷是轉(zhuǎn)發(fā)（或進(jìn)行內(nèi)容安全檢測）還是丟棄。這個“狀態(tài)”就是我們平常所述的會話表項。這種機(jī)制迅速提升了防火墻產(chǎn)品的檢測速率和轉(zhuǎn)發(fā)效率，已經(jīng)成為目前主流的包過濾機(jī)制。4、防火墻的查詢和創(chuàng)建會話為什么需要NATALGNATALG（ApplicationLevelGateway，應(yīng)用級網(wǎng)關(guān)）是特定的應(yīng)用協(xié)議的轉(zhuǎn)換代理，可以完成應(yīng)用層數(shù)據(jù)中所攜帶的地址及端口號的轉(zhuǎn)換。NATALG實現(xiàn)原理NAT與ServerMap表USG設(shè)備引入了Server-map表，Server-map基于三元組，用于存放一種映射關(guān)系，這種映射關(guān)系可以是控制數(shù)據(jù)協(xié)商出來的數(shù)據(jù)連接關(guān)系，也可以是配置NAT中的地址映射關(guān)系，使得外部網(wǎng)絡(luò)能透過設(shè)備主動訪問內(nèi)部網(wǎng)絡(luò)。三、服務(wù)器映射及目的NAT技術(shù)1、NATServer內(nèi)部服務(wù)器內(nèi)部服務(wù)器（NATServer）功能是指使用一個公網(wǎng)地址來代表內(nèi)部服務(wù)器的對外地址。NATServer特性使用NAT可以靈活地添加內(nèi)部服務(wù)器。例如：可以使用等公網(wǎng)地址作為Web服務(wù)器的外部地址，甚至還可以使用:8080這樣的IP地址加端口號的方式作為Web的外部地址。外部用戶訪問內(nèi)部服務(wù)器時，有如下兩部分操作：防火墻將外部用戶的請求報文的目的地址轉(zhuǎn)換成內(nèi)部服務(wù)器的私有地址；防火墻將內(nèi)部服務(wù)器的回應(yīng)報文的源地址（私網(wǎng)地址）轉(zhuǎn)換成公網(wǎng)地址。NATServer配置（SLI）（WEB）NATServer是最常用的基于目的地址的NAT。當(dāng)內(nèi)網(wǎng)部署了一臺服務(wù)器，其真實IP是私網(wǎng)地址，但是希望公網(wǎng)用戶可以通過一個公網(wǎng)地址來訪問該服務(wù)器，這時可以配置NATServer，使設(shè)備將公網(wǎng)用戶訪問該公網(wǎng)地址的報文自動轉(zhuǎn)發(fā)給內(nèi)網(wǎng)服務(wù)器。（WEB方式）2、目的NAT在移動終端訪問無線網(wǎng)絡(luò)時，如果其缺省WAP網(wǎng)關(guān)地址與所在地運營商的WAP網(wǎng)關(guān)地址不一致時，可以在終端與WAP網(wǎng)關(guān)中間部署一臺設(shè)備，并配置目的NAT功能，使設(shè)備自動將終端發(fā)往錯誤WAP網(wǎng)關(guān)地址的報文自動轉(zhuǎn)發(fā)給正確的WAP網(wǎng)關(guān)。目的NAT配置命令四、11.4 雙向NAT技術(shù)1、雙向NAT技術(shù)概述常規(guī)地址轉(zhuǎn)換技術(shù)只轉(zhuǎn)換報文的源地址或目的地址，而雙向地址轉(zhuǎn)換（BidirectionalNAT）技術(shù)可以將報文的源地址和目的地址同時轉(zhuǎn)換，該技術(shù)應(yīng)用于內(nèi)部網(wǎng)絡(luò)主機(jī)地址與公網(wǎng)上主機(jī)地址重疊的情況。雙向NAT技術(shù)可以分為兩種應(yīng)用場景：域間雙向NAT（NATServer+源NAT）域內(nèi)雙向NAT2、多通道協(xié)議技術(shù)2、域間雙向NAT技術(shù)為了簡化配置服務(wù)器至公網(wǎng)的路由，可在NATServer基礎(chǔ)上，增加源NAT配置。當(dāng)配置NATServer時，服務(wù)器需要配置到公網(wǎng)地址的路由才可正常發(fā)送回應(yīng)報文。如果要簡化配置，避免配置到公網(wǎng)地址的路由，則可以對外網(wǎng)用戶的源IP地址也進(jìn)行轉(zhuǎn)換，轉(zhuǎn)換后的源IP地址與服務(wù)器的私網(wǎng)地址在同一網(wǎng)段。這樣內(nèi)部服務(wù)器會缺省將回應(yīng)報文發(fā)給網(wǎng)關(guān)，即設(shè)備本身，由設(shè)備來轉(zhuǎn)發(fā)回應(yīng)報文。4、域內(nèi)雙向NAT技術(shù)3、端口識別對多通道協(xié)議的支持端口識別，也稱端口映射，是防火墻用來識別使用非標(biāo)準(zhǔn)端口的應(yīng)用層協(xié)議報文。端口映射支持的應(yīng)用層協(xié)議包括FTP、HTTP、RTSP、PPTP、MGCP、MMS、SMTP、H323、SIP、SQLNET。6、分片緩存分片緩存配置相關(guān)命令：配置分片緩存老化時間命令Firewallsessionaging-timefragmentinterval(1-40000)；開啟/關(guān)閉分片報文直接轉(zhuǎn)發(fā)功能命令Firewallfragment-forwardenable/disable；7、長連接長連接相關(guān)命令：配置長連接老化時間Firewalllong-linkaging-timetime；開啟長連接功能Firewallinterzonezone-name1zone-name2；lonk-linkacl-number{inbound|outbound}；【學(xué)生練習(xí)】綜合實驗：基于IP地址的轉(zhuǎn)發(fā)策略實驗?zāi)康模赫莆栈贗P地址控制訪問的配置方法實驗拓?fù)鋱D，如圖10-37所示：圖10-37實驗拓?fù)鋱D實驗步驟（CLI）步驟一：配置各個接口的IP地址并加入相應(yīng)的安全區(qū)域。<SRG>system-view配置防火墻各接口的IP地址，命令如下：[USG]interfaceGigabitEthernet0/0/0[USG-GigabitEthernet0/0/0]ipaddress24[USG-GigabitEthernet0/0/0]interfaceGigabitEthe