第七章 防火墙的构造与选择
7.1 防火墙概述
7.2 防火墙的基本体系结构
7.3 防火墙的选择与实施
7.4 主要的防火墙产品
7.1 防火墙概述
?防火墙( Firewall) 的定义,
—— 防火墙是用来限制被保护的网络与互联网络
之间,或者与其他网络之间相互进行信息存取、传递
操作的部件或部件集。
?防火墙应具备的条件,
?内部和外部之间的所有网络数据流必须经过防火墙
?只有符合安全策略的数据流才能通过防火墙
防火墙 —— 隔离内部网和 Internet的有效安全机制
?服务控制,确定哪些服务可以被访问
?方向控制,对于特定的服务,可以确定允许哪个
方向能够通过防火墙
?用户控制,根据用户来控制对服务的访问
?行为控制,控制一个特定的服务的行为
防火墙的控制能力
?定义了一个必经之点
?挡住未经授权的访问流量
?实施保护,以避免各种 IP欺骗和路由攻击
?防火墙提供了一个监视各种安全事件的位置,所以,
可以在防火墙上实现审计和报警
?对于有些 Internet功能来说,防火墙也可以是一个
理想的平台,比如地址转换( NAT),Internet日志,
甚至计费功能
防火墙的作用
构筑防火墙之前,需要制定一套有效的安全策略
防火墙的策略
?网络服务访问策略
一种高层次的具体到事件的策略,主要用于定义在网络中
允许或禁止的服务。
?防火墙设计策略
?一切未被允许的就是禁止的 —— 安全性好,但是用户
所能使用的服务范围受到严格限制。
?一切未被禁止的都是允许的 —— 可以为用户提供更多
的服务,但是在日益增多的网络服务面前,很难为用户提
供可靠的安全防护。
?包过滤型( Packet Filter)
?代理服务器型( Proxy Service)
?复合型防火墙( Hybrid)
防火墙的基本类型
?基本思想
对于每个进来的包适用一组规则,然后决定转发或
丢弃该包
包过滤型
?如何过滤
?过滤的规则以 IP层和运输层的头中的字段为基础
?过滤器往往建立一组规则,根据 IP包是否匹配规
则中指定的条件来作出决定,
?如果匹配到一条规则,则根据此规则决定转发或者丢弃
?如果所有规则都不匹配,则根据缺省策略
网络层
链路层
外部网络 内部网
络
包过滤路由器示意图
包过滤型
判断依据,
?数据包协议类型,TCP,UDP,ICMP等
?源 IP,目的 IP地址
?源端口、目的端口,FTP,TELNET,HTTP等
?IP选项:源路由、记录路由等
?TCP选项,SYN,ACK,FIN,RST等
?数据包流向,in或 out
?数据包流经网络接口,eth0,eth1
包过滤路由器设置实例
规则 方向 源地址 目的地址 动作
A 出 内部网络 202.110.8.0 拒绝
B 入 202.110.8.0 内部网络 拒绝
?按地址
?按服务
规则 方向 源地址 源端口 目的地址 目的端口 动作 注释
A 入 外部 * E-MAIL 25 拒绝 不信任
B 出 * * * * 允许 允许
C 双向 * * * * 拒绝 默认状态
client server
外部 内部
? 往外包的特性 (用户操作信息 )
? IP源是内部地址
? 目标地址为 server
? TCP协议,目标端口 23
? 源端口 >1023
? 往内包的特性 (显示信息 )
? IP源是 server
? 目标地址为内部地址
? TCP协议,源端口 23
? 目标端口 >1023
包过滤路由器设置实例
?从内往外的 telnet服务
方向 包方向 源地址 目的地址 包类型 源端口 目的端口 动作
往外 外 内部 外部 TCP >1023 23 允许
往外 内 外部 内部 TCP 23 >1023 允许
往内 外 外部 内部 TCP >1023 23 允许
往内 内 内部 外部 TCP 23 >1023 允许
针对 Telnet服务的防火墙规则
包过滤型防火墙的特点
?优点,
?逻辑简单,对网络性能的影响较小;
?与应用层无关,无须改动任何客户机和主机上的
应用程序,易于安装和使用。
?缺点,
?配置基于包过滤方式的防火墙,需要对 IP,TCP、
UDP,ICMP等各种协议有深入的了解;
?允许外部客户和内部主机的直接连接;
?不提供用户的鉴别机制。
?基本思想
?代理服务是运行在防火墙主机上的一些特定的应
用程序或者服务器程序。
?这些程序将用户对互联网络的服务请求依据已制
定的安全规则向外提交,代理服务替代了用户与互
联网络的直接连接。
?代理服务器也称为 应用层网关。
代理服务器型
应用层网关结构示意图
应用层网关的协议栈结构
应用层
运输层
外部网络 内部网 络
链路层
网络层
HTTP FTP Telnet Smtp
代理服务器的特点
?优点,
?易于配置,界面友好
?透明性 ——, 直接, 访问 Internet的假象
?不允许内外网主机的直接连接
?可以实现基于用户的认证
?可以提供比包过滤更详细的日志记录
?可以隐藏内部 IP地址
?可以与认证、授权等安全手段方便的集成
代理服务器的特点
?缺点,
?代理速度比包过滤慢
?新的服务不能及时地被代理
?每个被代理的服务要求专门的代理软件
?有些服务要求建立直接连接,无法使用代理
?代理服务不能避免协议本身的缺陷
7.2 防火墙的基本体系结构
?三种体系结构,
?双宿主主机结构
?主机过滤结构
?子网过滤结构
?堡垒主机( Bastion Host),指一个计算机系统,
它对外部网络暴露,同时又是内部网络用户的主要
连接点。
几个相关概念
?双宿主主机( Dual-homed Host),至少有两个
网络接口的通用计算机系统。
?DMZ(Demilitarized Zone,非军事区或者停火区 ):
在内部网络和外部网络之间增加的一个子网,也称
为参数网络。
双宿主主机结构
—— 拥有两个或多个连接到不同网络上的网络
接口,通常用一台装有两块或多块网卡的堡垒主机做
防火墙,分别与受保护网和外部网相连。
双宿主主机结构
?优点,
?结构简单
?可以提供很高的网络控制
?缺点,
?需要用户认证,使用不方便
主机过滤结构
—— 主机过滤结构由包过滤路由器和堡垒主机
组成,堡垒主机仅仅与内部网相连。任何外部网的主
机都只能与内部网的堡垒主机建立连接,任何外部系
统对内部网络的操作都必须经过堡垒主机。
主机过滤结构
?优点,
?两层保护:包过滤 +应用层网关 ;
?比单独的包过滤或应用网关代理更安全;
?可以进行灵活配置。
?缺点,
?一旦包过滤路由器被攻破,堡垒主机就可能被越
过,使内部网络完全暴露。
子网过滤结构
—— 采用了两个包过滤路由器和一个堡垒主机
,在内外网络之间建立了一个被隔离的子网,定义为
,非军事区, ( DMZ),使得内部网与外部网之间有
三层防护。
子网过滤结构
?优点,
?三层防护,安全性高
?外部路由器只向 Internet暴露子网中的主机
?内部路由器只向内部网暴露子网中的 主机
?即使堡垒主机被入侵者控制,内部网仍受到
内部包过滤路由器的保护
7.3 防火墙的选择与实施
?防火墙不能防止内部的攻击;
?对于绕过防火墙的攻击,它无能为力;
?防火墙不能防止被病毒感染的程序或者邮件等;
?作为一种被动的防护手段,防火墙不能防范因特网
上不断出现的新的威胁和攻击。
防火墙的局限性
?确立网络安全保护策略
?要保护的内部网的规模
?内部网的主要用途,用户的结构和需求
?内部网有无安全级别的要求
怎样选择合适的防火墙
?对防火墙进行评价、分析
?对防火墙的各种类型的优缺点要有所了解
?防火墙的稳定性和它所支持平台种类
?愿意为防火墙投资多少经费
?本单位的技术力量能否支持维护
7.4 主要的防火墙产品
?国外,
?CheckPoint公司防火墙
?NetScreen公司防火墙
?三星公司 secuiWALL防火墙
?国内,
?北京天融信公司系列防火墙
第八章 计算机病毒及其防治技术
8.1 计算机病毒的概念
8.2 计算机病毒的分析
8.3 计算机病毒的防治
8.4 网络病毒的防治技术
8.1 计算机病毒的概念
?计算机病毒( Computer Virus) 的定义,
?1984年,最早由计算机病毒之父弗雷德 ·科恩博士
( Fred Cohen) 定义为:, 计算机病毒是一种计算
机程序,它通过修改其它程序把自身或其演化体插
入它们中,从而感染它们。,
?国外最流行的定义为:“计算机病毒,是一段附
着在其他程序上的可以实现自我繁殖的程序代码。”
?1994年 2月 18日,《中华人民共和国计算机信息系
统安全保护条例》定义,
—— 计算机病毒,是指编制或者在计算机程序
中插入的破坏计算机功能或者数据,影响计算机使
用,并且能够自我复制的一组计算机指令或者程序
代码”。
我国对计算机病毒的定义
?“磁芯大战”( core war) —— 60年代,贝尔实验室
Douglas Mcllroy,Victor Vysottsky以及 Robert T.Morris
计算机病毒的发展历史
?1983年,世界上第一例被证实的计算机病毒,同时出
现了计算机病毒传播的研究报告
?1984年,美国人 Thompson开发出了针对 UNIX操作
系统的病毒程序
?1988年 11月 3日,美国六千多台计算机(占当时整个
互联网十分之一)被 WORM病毒感染。 美国康奈尔大学研
究生 Robert Morris( 罗伯特 ·莫里斯)
?感染性,病毒的 基本特征,自我复制能力。
?破坏性,病毒会对系统产生不同程度的影响。
?隐藏性,用户通常感觉不到病毒的存在 。
?潜伏性,一般 不会马上发作 。
?可激活性,病毒因某个事件或数值的出现而发作。
?针对性,病毒的编制者往往有特殊的破坏目的。
计算机病毒的特征
?按攻击的对象分,
?攻击微型机
?攻击小型机
?攻击大型机
?攻击计算机网络
计算机病毒的分类
?按寄生的方式分,
?覆盖式寄生病毒,破坏合法程序的部分或全部功能
?代替式寄生病毒,使病毒程序以, 合法, 身份运行
?链接式寄生病毒,将自身程序附加在宿主程序之后
?添充式寄生病毒,侵占宿主程序的空闲存储空间
?转储式寄生病毒,将宿主程序代码改变存储位置
计算机病毒的分类
?按感染的方式分,
?引导扇区病毒,引导扇区病毒用它自己的数据来代管
硬盘的原始引导扇区,并将病毒装入内存。
?文件感染病毒,文件感染病毒将病毒代码加到可运行
的程序文件中,在运行程序时即被激活。
?综合型感染病毒,是指既感染磁盘引导区程序,又感
染系统文件的综合病毒。
计算机病毒的分类
?按侵入的途径分,
?源码病毒,指病毒在源程序被编译前就被插入到源程
序中 。
?操作系统病毒,指病毒程序将自身加入或替代操作系
统工作。
?入侵病毒,用自身代替正常程序中的部分模块或堆栈
区。
?外壳病毒,将自身程序放在主程序的周围,一般不对
原来的程序进行修改。
计算机病毒的分类
?特洛伊木马
?蠕虫病毒
?宏病毒
?脚本病毒
?恶意网页病毒
?结合黑客技术的病毒
常见计算机病毒的类型
?由来,
?源于希腊对 特洛伊城 的战争;
?寓意, 一经进入,后患无穷, 。
特洛伊木马( Trojan Horse)
?定义,特洛伊木马是一种程序,它提供了一些有用
的功能,通常是一些用户不希望的功能,诸如在你不
了解的情况下拷贝文件或窃取你的密码,或直接将重
要资料转送出去,或破坏系统等等。
?概述,特洛伊木马是一种或是直接由一个黑客,或
是通过一个不令人起疑的用户秘密安装到目标系统的
程序。一旦安装成功并取得管理员权限,安装此程序
的人就可以直接远程控制目标系统。
特洛伊木马( Trojan Horse)
?特点,
?隐蔽性,难以察觉
?客户端 /服务器模式
?分类,
?远程访问型
?密码发送型
?键盘记录型
?综合型
特洛伊木马( Trojan Horse)
?著名木马,
?国外 —— BO(Back Orifice) 端口 31337
?国内 —— 冰河 端口 7626
特洛伊木马( Trojan Horse)
?防御, 用网络扫描软件定期监视内部主机上的 TCP
服务,定期检查注册表,定期用 防病毒软件查杀 等 。
?警惕,
?不要轻易打开陌生人的信件附件
?不要轻易接收网友的小程序或打开网址
?不要到一些小 的 网站或者黑客网站下载软件
?由来,
?一种体积很小、繁殖很快、爬行迟缓的小虫子
?感染的计算机运行起来像蠕虫爬行那样缓慢
蠕虫病毒( Worm Virus)
?定义,蠕虫病毒是一种能自我复制的程序,并能通过
计算机网络进行传播,它大量消耗系统资源,使其它程序
运行减慢以至停止,最后导致系统和网络瘫痪。
?特点,
?传播速度快,感染范围广
?反复感染,难以根除
?隐蔽性好
?破坏性大
?著名的蠕虫病毒,
?1988年,Morris,第一个蠕虫病毒
?2001年,“尼姆达”病毒( Nimda)
?2001年,,求职信, 病毒( wantjob)
?2003年,,2003蠕虫王, 病毒
蠕虫病毒( Worm Virus)
宏病毒( Macro Virus)
?宏,是一系列自己编写或录制的命令和指令,用来
实现任务执行的自动化 。
?宏病毒,是一种存在 Word或模版中的计算机病毒,
一旦打开这样的文档,宏病毒就会被激活,传染到其
它计算机上,并驻留在 Normal模版中,此后,自动保
存的文档都会被感染。
宏病毒( Macro Virus)
?宏病毒的特征,
?宏病毒会感染,DOC文档和,DOT模板文件。
?宏病毒的传染通常是 Word在打开一个带宏病毒的文
档或模板时,激活宏病毒。
?多数宏病毒包含 AutoExec,AutoOpen和 AutoNew等
自动宏,通过这些自动宏病毒取得文档(模板)操
作权。
宏病毒( Macro Virus)
?宏病毒的防治方法,
?保护 Word模板文件。
?查看“可疑”的宏。
?小心使用外来的 Word文档 。
?屏蔽自动执行宏。
?利用专业杀毒软件查杀宏病毒。
脚本病毒
?VBS脚本病毒,
VBS病毒由 VB Script编写而成,更甚于宏病毒。
?VBS脚本病毒的特征,
?编写简单
?破坏力大
?传播范围大
?病毒源码容易被获取,变种多
?著名脚本病毒:爱虫病毒、新欢乐时光
恶意网页病毒
?恶意网页病毒,
利用 IE的 ActiveX漏洞的病毒
? 修改用户的 IE设置、注册表选项
? 下载木马、恶意程序或病毒
? 格式化用户硬盘或删除用户的文件
? 具有主动攻击性
?著名恶意网页病毒:爱情森林
结合黑客技术的病毒
?黑客技术 +病毒,
同黑客技术结合的网络病毒将成为计算机
病毒的主流
?传统的计算机病毒, 主要依靠某种媒介进行传
播,比如软盘、光盘或者电子邮件等。
?结合黑客技术的病毒,只要你的系统有后门,
有漏洞,就可能感染病毒。
结合黑客技术的病毒
?红色代码病毒,
?利用 Windows服务器的系统漏洞
?使用主动传播方式,发动 DoS(拒绝服务 )攻击
?遭到攻击的计算机上植入木马程序,远程控制
服务器
?冲击波病毒,
?完全主动地直接扫描互联网上的计算机,一旦
发现其存在 RPC漏洞,就立即进入并开始发作。
8.2 计算机病毒的分析
?病毒的破坏手段,
?攻击系统数据区 主引导扇区等
?破坏计算机硬件
?攻击文件 系统文件、用户数据等
?攻击内存 占用大量内存等
?干扰系统运行 不执行命令、死机等
?速度下降
?盗取信息 窃取密码等
?软盘 —— 软盘作为最常用的交换媒介,在计算机应用
的早期对病毒的传播发挥了巨大的作用。
?光盘 —— 光盘因为容量大,存储了大量的可执行文件,
大量的病毒就有可能藏身于光盘。
?硬盘 —— 由于带病毒的硬盘在本地或移到其他地方使
用、维修等,将干净的软盘传染并再扩散。
计算机病毒的传播途径
?网络 —— 通过 BBS,EMAIL等网络方式进行传播,是现
代病毒的最主要传播途径。
?计算机系统的运行速度异常减慢。
?计算机系统出现异常死机或重新启动现象。
?系统文件的属性及大小发生改变。
?数据文件内容被修改或删除。
?计算机系统的存储容量异常减少。
?系统可用内存容量大量减少。
?网络病毒破坏网络系统。
病毒的表现症状
8.3 计算机病毒的防治
?思想上的防范
在思想上重视病毒给计算机安全运行带来的危害
?管理上的防范
采取必要的病毒检测措施,制定完善的管理规则
?使用上的防范
?严格对软盘的控制
?定期使用杀病毒软件
?尽量不在网络上下载来源不明的软件
?及时对操作系统进行升级
网络病毒的特点,
( 1) 传染方式多
( 2) 传 染速度快
( 3)清除难度大
( 4)破坏性强
8.4 网络病毒的防治技术
防范计算机网络病毒的一些措施,
?在网络中,尽量多用无盘工作站,不用或少用有软驱
的工作站。
?保证只有系统管理员才有最高的访问权限,避免过多
地出现超级用户。
?尽量控制用户的网络使用权限。
?对某些频繁使用或非常重要的文件属性加以控制。
?建立健全的网络系统安全管理制度,及时对系统升级,
定期做文件备份和病毒检测。
常见防病毒软件介绍,
?国外,
? NORTON ANTIVIRUS
由 Symantec公司研发,最著名的防病毒软件之一
?国内,
? 金山公司的金山毒霸
? 瑞星公司的瑞星杀毒软件
? 冠群金辰软件公司的 KILL杀毒软件
? 江民公司的 KV3000
小结
七,防火墙的构造与选择
7.1 防火墙概述
7.2 防火墙的基本体系结构
7.3 防火墙的选择与实施
7.4 主要的防火墙产品
八,计算机病毒及其防治技术
8.1 计算机病毒的概念
8.2 计算机病毒的分析
8.3 计算机病毒的防治
8.4 网络病毒的防治技术
作业
1.防火墙的基本体系结构有哪几种?试分析
它们各自的构成原理和优缺点。
谢 谢!
7.1 防火墙概述
7.2 防火墙的基本体系结构
7.3 防火墙的选择与实施
7.4 主要的防火墙产品
7.1 防火墙概述
?防火墙( Firewall) 的定义,
—— 防火墙是用来限制被保护的网络与互联网络
之间,或者与其他网络之间相互进行信息存取、传递
操作的部件或部件集。
?防火墙应具备的条件,
?内部和外部之间的所有网络数据流必须经过防火墙
?只有符合安全策略的数据流才能通过防火墙
防火墙 —— 隔离内部网和 Internet的有效安全机制
?服务控制,确定哪些服务可以被访问
?方向控制,对于特定的服务,可以确定允许哪个
方向能够通过防火墙
?用户控制,根据用户来控制对服务的访问
?行为控制,控制一个特定的服务的行为
防火墙的控制能力
?定义了一个必经之点
?挡住未经授权的访问流量
?实施保护,以避免各种 IP欺骗和路由攻击
?防火墙提供了一个监视各种安全事件的位置,所以,
可以在防火墙上实现审计和报警
?对于有些 Internet功能来说,防火墙也可以是一个
理想的平台,比如地址转换( NAT),Internet日志,
甚至计费功能
防火墙的作用
构筑防火墙之前,需要制定一套有效的安全策略
防火墙的策略
?网络服务访问策略
一种高层次的具体到事件的策略,主要用于定义在网络中
允许或禁止的服务。
?防火墙设计策略
?一切未被允许的就是禁止的 —— 安全性好,但是用户
所能使用的服务范围受到严格限制。
?一切未被禁止的都是允许的 —— 可以为用户提供更多
的服务,但是在日益增多的网络服务面前,很难为用户提
供可靠的安全防护。
?包过滤型( Packet Filter)
?代理服务器型( Proxy Service)
?复合型防火墙( Hybrid)
防火墙的基本类型
?基本思想
对于每个进来的包适用一组规则,然后决定转发或
丢弃该包
包过滤型
?如何过滤
?过滤的规则以 IP层和运输层的头中的字段为基础
?过滤器往往建立一组规则,根据 IP包是否匹配规
则中指定的条件来作出决定,
?如果匹配到一条规则,则根据此规则决定转发或者丢弃
?如果所有规则都不匹配,则根据缺省策略
网络层
链路层
外部网络 内部网
络
包过滤路由器示意图
包过滤型
判断依据,
?数据包协议类型,TCP,UDP,ICMP等
?源 IP,目的 IP地址
?源端口、目的端口,FTP,TELNET,HTTP等
?IP选项:源路由、记录路由等
?TCP选项,SYN,ACK,FIN,RST等
?数据包流向,in或 out
?数据包流经网络接口,eth0,eth1
包过滤路由器设置实例
规则 方向 源地址 目的地址 动作
A 出 内部网络 202.110.8.0 拒绝
B 入 202.110.8.0 内部网络 拒绝
?按地址
?按服务
规则 方向 源地址 源端口 目的地址 目的端口 动作 注释
A 入 外部 * E-MAIL 25 拒绝 不信任
B 出 * * * * 允许 允许
C 双向 * * * * 拒绝 默认状态
client server
外部 内部
? 往外包的特性 (用户操作信息 )
? IP源是内部地址
? 目标地址为 server
? TCP协议,目标端口 23
? 源端口 >1023
? 往内包的特性 (显示信息 )
? IP源是 server
? 目标地址为内部地址
? TCP协议,源端口 23
? 目标端口 >1023
包过滤路由器设置实例
?从内往外的 telnet服务
方向 包方向 源地址 目的地址 包类型 源端口 目的端口 动作
往外 外 内部 外部 TCP >1023 23 允许
往外 内 外部 内部 TCP 23 >1023 允许
往内 外 外部 内部 TCP >1023 23 允许
往内 内 内部 外部 TCP 23 >1023 允许
针对 Telnet服务的防火墙规则
包过滤型防火墙的特点
?优点,
?逻辑简单,对网络性能的影响较小;
?与应用层无关,无须改动任何客户机和主机上的
应用程序,易于安装和使用。
?缺点,
?配置基于包过滤方式的防火墙,需要对 IP,TCP、
UDP,ICMP等各种协议有深入的了解;
?允许外部客户和内部主机的直接连接;
?不提供用户的鉴别机制。
?基本思想
?代理服务是运行在防火墙主机上的一些特定的应
用程序或者服务器程序。
?这些程序将用户对互联网络的服务请求依据已制
定的安全规则向外提交,代理服务替代了用户与互
联网络的直接连接。
?代理服务器也称为 应用层网关。
代理服务器型
应用层网关结构示意图
应用层网关的协议栈结构
应用层
运输层
外部网络 内部网 络
链路层
网络层
HTTP FTP Telnet Smtp
代理服务器的特点
?优点,
?易于配置,界面友好
?透明性 ——, 直接, 访问 Internet的假象
?不允许内外网主机的直接连接
?可以实现基于用户的认证
?可以提供比包过滤更详细的日志记录
?可以隐藏内部 IP地址
?可以与认证、授权等安全手段方便的集成
代理服务器的特点
?缺点,
?代理速度比包过滤慢
?新的服务不能及时地被代理
?每个被代理的服务要求专门的代理软件
?有些服务要求建立直接连接,无法使用代理
?代理服务不能避免协议本身的缺陷
7.2 防火墙的基本体系结构
?三种体系结构,
?双宿主主机结构
?主机过滤结构
?子网过滤结构
?堡垒主机( Bastion Host),指一个计算机系统,
它对外部网络暴露,同时又是内部网络用户的主要
连接点。
几个相关概念
?双宿主主机( Dual-homed Host),至少有两个
网络接口的通用计算机系统。
?DMZ(Demilitarized Zone,非军事区或者停火区 ):
在内部网络和外部网络之间增加的一个子网,也称
为参数网络。
双宿主主机结构
—— 拥有两个或多个连接到不同网络上的网络
接口,通常用一台装有两块或多块网卡的堡垒主机做
防火墙,分别与受保护网和外部网相连。
双宿主主机结构
?优点,
?结构简单
?可以提供很高的网络控制
?缺点,
?需要用户认证,使用不方便
主机过滤结构
—— 主机过滤结构由包过滤路由器和堡垒主机
组成,堡垒主机仅仅与内部网相连。任何外部网的主
机都只能与内部网的堡垒主机建立连接,任何外部系
统对内部网络的操作都必须经过堡垒主机。
主机过滤结构
?优点,
?两层保护:包过滤 +应用层网关 ;
?比单独的包过滤或应用网关代理更安全;
?可以进行灵活配置。
?缺点,
?一旦包过滤路由器被攻破,堡垒主机就可能被越
过,使内部网络完全暴露。
子网过滤结构
—— 采用了两个包过滤路由器和一个堡垒主机
,在内外网络之间建立了一个被隔离的子网,定义为
,非军事区, ( DMZ),使得内部网与外部网之间有
三层防护。
子网过滤结构
?优点,
?三层防护,安全性高
?外部路由器只向 Internet暴露子网中的主机
?内部路由器只向内部网暴露子网中的 主机
?即使堡垒主机被入侵者控制,内部网仍受到
内部包过滤路由器的保护
7.3 防火墙的选择与实施
?防火墙不能防止内部的攻击;
?对于绕过防火墙的攻击,它无能为力;
?防火墙不能防止被病毒感染的程序或者邮件等;
?作为一种被动的防护手段,防火墙不能防范因特网
上不断出现的新的威胁和攻击。
防火墙的局限性
?确立网络安全保护策略
?要保护的内部网的规模
?内部网的主要用途,用户的结构和需求
?内部网有无安全级别的要求
怎样选择合适的防火墙
?对防火墙进行评价、分析
?对防火墙的各种类型的优缺点要有所了解
?防火墙的稳定性和它所支持平台种类
?愿意为防火墙投资多少经费
?本单位的技术力量能否支持维护
7.4 主要的防火墙产品
?国外,
?CheckPoint公司防火墙
?NetScreen公司防火墙
?三星公司 secuiWALL防火墙
?国内,
?北京天融信公司系列防火墙
第八章 计算机病毒及其防治技术
8.1 计算机病毒的概念
8.2 计算机病毒的分析
8.3 计算机病毒的防治
8.4 网络病毒的防治技术
8.1 计算机病毒的概念
?计算机病毒( Computer Virus) 的定义,
?1984年,最早由计算机病毒之父弗雷德 ·科恩博士
( Fred Cohen) 定义为:, 计算机病毒是一种计算
机程序,它通过修改其它程序把自身或其演化体插
入它们中,从而感染它们。,
?国外最流行的定义为:“计算机病毒,是一段附
着在其他程序上的可以实现自我繁殖的程序代码。”
?1994年 2月 18日,《中华人民共和国计算机信息系
统安全保护条例》定义,
—— 计算机病毒,是指编制或者在计算机程序
中插入的破坏计算机功能或者数据,影响计算机使
用,并且能够自我复制的一组计算机指令或者程序
代码”。
我国对计算机病毒的定义
?“磁芯大战”( core war) —— 60年代,贝尔实验室
Douglas Mcllroy,Victor Vysottsky以及 Robert T.Morris
计算机病毒的发展历史
?1983年,世界上第一例被证实的计算机病毒,同时出
现了计算机病毒传播的研究报告
?1984年,美国人 Thompson开发出了针对 UNIX操作
系统的病毒程序
?1988年 11月 3日,美国六千多台计算机(占当时整个
互联网十分之一)被 WORM病毒感染。 美国康奈尔大学研
究生 Robert Morris( 罗伯特 ·莫里斯)
?感染性,病毒的 基本特征,自我复制能力。
?破坏性,病毒会对系统产生不同程度的影响。
?隐藏性,用户通常感觉不到病毒的存在 。
?潜伏性,一般 不会马上发作 。
?可激活性,病毒因某个事件或数值的出现而发作。
?针对性,病毒的编制者往往有特殊的破坏目的。
计算机病毒的特征
?按攻击的对象分,
?攻击微型机
?攻击小型机
?攻击大型机
?攻击计算机网络
计算机病毒的分类
?按寄生的方式分,
?覆盖式寄生病毒,破坏合法程序的部分或全部功能
?代替式寄生病毒,使病毒程序以, 合法, 身份运行
?链接式寄生病毒,将自身程序附加在宿主程序之后
?添充式寄生病毒,侵占宿主程序的空闲存储空间
?转储式寄生病毒,将宿主程序代码改变存储位置
计算机病毒的分类
?按感染的方式分,
?引导扇区病毒,引导扇区病毒用它自己的数据来代管
硬盘的原始引导扇区,并将病毒装入内存。
?文件感染病毒,文件感染病毒将病毒代码加到可运行
的程序文件中,在运行程序时即被激活。
?综合型感染病毒,是指既感染磁盘引导区程序,又感
染系统文件的综合病毒。
计算机病毒的分类
?按侵入的途径分,
?源码病毒,指病毒在源程序被编译前就被插入到源程
序中 。
?操作系统病毒,指病毒程序将自身加入或替代操作系
统工作。
?入侵病毒,用自身代替正常程序中的部分模块或堆栈
区。
?外壳病毒,将自身程序放在主程序的周围,一般不对
原来的程序进行修改。
计算机病毒的分类
?特洛伊木马
?蠕虫病毒
?宏病毒
?脚本病毒
?恶意网页病毒
?结合黑客技术的病毒
常见计算机病毒的类型
?由来,
?源于希腊对 特洛伊城 的战争;
?寓意, 一经进入,后患无穷, 。
特洛伊木马( Trojan Horse)
?定义,特洛伊木马是一种程序,它提供了一些有用
的功能,通常是一些用户不希望的功能,诸如在你不
了解的情况下拷贝文件或窃取你的密码,或直接将重
要资料转送出去,或破坏系统等等。
?概述,特洛伊木马是一种或是直接由一个黑客,或
是通过一个不令人起疑的用户秘密安装到目标系统的
程序。一旦安装成功并取得管理员权限,安装此程序
的人就可以直接远程控制目标系统。
特洛伊木马( Trojan Horse)
?特点,
?隐蔽性,难以察觉
?客户端 /服务器模式
?分类,
?远程访问型
?密码发送型
?键盘记录型
?综合型
特洛伊木马( Trojan Horse)
?著名木马,
?国外 —— BO(Back Orifice) 端口 31337
?国内 —— 冰河 端口 7626
特洛伊木马( Trojan Horse)
?防御, 用网络扫描软件定期监视内部主机上的 TCP
服务,定期检查注册表,定期用 防病毒软件查杀 等 。
?警惕,
?不要轻易打开陌生人的信件附件
?不要轻易接收网友的小程序或打开网址
?不要到一些小 的 网站或者黑客网站下载软件
?由来,
?一种体积很小、繁殖很快、爬行迟缓的小虫子
?感染的计算机运行起来像蠕虫爬行那样缓慢
蠕虫病毒( Worm Virus)
?定义,蠕虫病毒是一种能自我复制的程序,并能通过
计算机网络进行传播,它大量消耗系统资源,使其它程序
运行减慢以至停止,最后导致系统和网络瘫痪。
?特点,
?传播速度快,感染范围广
?反复感染,难以根除
?隐蔽性好
?破坏性大
?著名的蠕虫病毒,
?1988年,Morris,第一个蠕虫病毒
?2001年,“尼姆达”病毒( Nimda)
?2001年,,求职信, 病毒( wantjob)
?2003年,,2003蠕虫王, 病毒
蠕虫病毒( Worm Virus)
宏病毒( Macro Virus)
?宏,是一系列自己编写或录制的命令和指令,用来
实现任务执行的自动化 。
?宏病毒,是一种存在 Word或模版中的计算机病毒,
一旦打开这样的文档,宏病毒就会被激活,传染到其
它计算机上,并驻留在 Normal模版中,此后,自动保
存的文档都会被感染。
宏病毒( Macro Virus)
?宏病毒的特征,
?宏病毒会感染,DOC文档和,DOT模板文件。
?宏病毒的传染通常是 Word在打开一个带宏病毒的文
档或模板时,激活宏病毒。
?多数宏病毒包含 AutoExec,AutoOpen和 AutoNew等
自动宏,通过这些自动宏病毒取得文档(模板)操
作权。
宏病毒( Macro Virus)
?宏病毒的防治方法,
?保护 Word模板文件。
?查看“可疑”的宏。
?小心使用外来的 Word文档 。
?屏蔽自动执行宏。
?利用专业杀毒软件查杀宏病毒。
脚本病毒
?VBS脚本病毒,
VBS病毒由 VB Script编写而成,更甚于宏病毒。
?VBS脚本病毒的特征,
?编写简单
?破坏力大
?传播范围大
?病毒源码容易被获取,变种多
?著名脚本病毒:爱虫病毒、新欢乐时光
恶意网页病毒
?恶意网页病毒,
利用 IE的 ActiveX漏洞的病毒
? 修改用户的 IE设置、注册表选项
? 下载木马、恶意程序或病毒
? 格式化用户硬盘或删除用户的文件
? 具有主动攻击性
?著名恶意网页病毒:爱情森林
结合黑客技术的病毒
?黑客技术 +病毒,
同黑客技术结合的网络病毒将成为计算机
病毒的主流
?传统的计算机病毒, 主要依靠某种媒介进行传
播,比如软盘、光盘或者电子邮件等。
?结合黑客技术的病毒,只要你的系统有后门,
有漏洞,就可能感染病毒。
结合黑客技术的病毒
?红色代码病毒,
?利用 Windows服务器的系统漏洞
?使用主动传播方式,发动 DoS(拒绝服务 )攻击
?遭到攻击的计算机上植入木马程序,远程控制
服务器
?冲击波病毒,
?完全主动地直接扫描互联网上的计算机,一旦
发现其存在 RPC漏洞,就立即进入并开始发作。
8.2 计算机病毒的分析
?病毒的破坏手段,
?攻击系统数据区 主引导扇区等
?破坏计算机硬件
?攻击文件 系统文件、用户数据等
?攻击内存 占用大量内存等
?干扰系统运行 不执行命令、死机等
?速度下降
?盗取信息 窃取密码等
?软盘 —— 软盘作为最常用的交换媒介,在计算机应用
的早期对病毒的传播发挥了巨大的作用。
?光盘 —— 光盘因为容量大,存储了大量的可执行文件,
大量的病毒就有可能藏身于光盘。
?硬盘 —— 由于带病毒的硬盘在本地或移到其他地方使
用、维修等,将干净的软盘传染并再扩散。
计算机病毒的传播途径
?网络 —— 通过 BBS,EMAIL等网络方式进行传播,是现
代病毒的最主要传播途径。
?计算机系统的运行速度异常减慢。
?计算机系统出现异常死机或重新启动现象。
?系统文件的属性及大小发生改变。
?数据文件内容被修改或删除。
?计算机系统的存储容量异常减少。
?系统可用内存容量大量减少。
?网络病毒破坏网络系统。
病毒的表现症状
8.3 计算机病毒的防治
?思想上的防范
在思想上重视病毒给计算机安全运行带来的危害
?管理上的防范
采取必要的病毒检测措施,制定完善的管理规则
?使用上的防范
?严格对软盘的控制
?定期使用杀病毒软件
?尽量不在网络上下载来源不明的软件
?及时对操作系统进行升级
网络病毒的特点,
( 1) 传染方式多
( 2) 传 染速度快
( 3)清除难度大
( 4)破坏性强
8.4 网络病毒的防治技术
防范计算机网络病毒的一些措施,
?在网络中,尽量多用无盘工作站,不用或少用有软驱
的工作站。
?保证只有系统管理员才有最高的访问权限,避免过多
地出现超级用户。
?尽量控制用户的网络使用权限。
?对某些频繁使用或非常重要的文件属性加以控制。
?建立健全的网络系统安全管理制度,及时对系统升级,
定期做文件备份和病毒检测。
常见防病毒软件介绍,
?国外,
? NORTON ANTIVIRUS
由 Symantec公司研发,最著名的防病毒软件之一
?国内,
? 金山公司的金山毒霸
? 瑞星公司的瑞星杀毒软件
? 冠群金辰软件公司的 KILL杀毒软件
? 江民公司的 KV3000
小结
七,防火墙的构造与选择
7.1 防火墙概述
7.2 防火墙的基本体系结构
7.3 防火墙的选择与实施
7.4 主要的防火墙产品
八,计算机病毒及其防治技术
8.1 计算机病毒的概念
8.2 计算机病毒的分析
8.3 计算机病毒的防治
8.4 网络病毒的防治技术
作业
1.防火墙的基本体系结构有哪几种?试分析
它们各自的构成原理和优缺点。
谢 谢!