计算机网络技术及应用胡远萍精编版

1、 （1）了解计算机病毒的分类、特点、特征和运 行机制 （2）了解反病毒涉及的主要技术 （3）掌握病毒的检测和防治技术 （4）理解构筑防病毒体系的基本原则 （5）掌握防火墙的基本类型 （6）熟悉常见的防火墙配置 （7）了解网络攻击的分类、手段和防范措施 （8）了解企业网安全防御技术 模块信息说明 本模块名称计算机网络安全 所属能力核心应用能力 模块地位 核心模块课程 必修本模块的 专业方向 网络管理员、网络工程师、网络规划 设计师 选修本模块的 专业方向 网络支持工程师、网络产品营销人员 课题名称 计算机病毒的防治和防火墙技术 所属模块计算机网络安全 课 时2课时 地 位核心知识单元 本次课的教

2、学目标 知识目标技能目标拓展能力目标 1、了解计算机病毒的 特征； 2、了解反病毒的主要 技术； 3、掌握防火墙的基本 类型。 1、掌握病毒的检测和 防治技术； 2、熟悉常见的防火墙 配置。 1、能够积极主动地和 老师达成互动； 2、讨论时能和其他同 学合适的沟通； 3、对防火墙访问策略 可以大胆创新。 主要内容： 了解计算机病毒的分类、特点、特征和运行机制 了解反病毒涉及的主要技术 掌握病毒的检测和防治技术 掌握防火墙的基本类型 熟悉常见的防火墙配置 重点内容： 病毒的检测和防治技术 防火墙的基本类型及配置 青职公司市场部小李打开计算机准备处理 昨天销售部门报上来的数据分析表，一开机 就发现

3、计算机无法正常工作，也不能上网。 计算机中心的小张检查发现，硬件没有问题， 应该是系统被计算机病毒破坏了，导致 Windows XP无法正常启动。 小张将重要的数据进行了备份，重新安装 了Windows XP，以及正版的杀病毒软件。小 李的计算机终于可以正常工作了。那么如何 才能防止类似的事情再次发生呢？ 计算机病毒的防治要从防毒、查毒、 解毒三方面来进行 。 1）防毒：采取实时监测预警等安全措施预 防病毒侵入计算机。 2）查毒：对于内存、文件、引导区（含主 引导区）、网络等，能够发现和追踪病毒 来源。 3）解毒：从感染对象中清除病毒，恢复被 病毒感染前的原始信息的能力。 “计算机病毒”定义

4、指编制或者在计算机程序中插入的破 坏计算机功能或者数据，影响计算机 使用并且能够自我复制的一组计算机 指令或程序代码。 （6）网页病毒 （7）“蠕虫”型病毒 （8）木马病毒 1 1计算机病毒分类计算机病毒分类 （1）非授权可执行性 （2）隐蔽性 （3）传染性：最重要的一个特征 （4）潜伏性 （5）表现性或破坏性 （6）可触发性 通过文件系统传播； 通过电子邮件传播； 通过局域网传播； 通过互联网上即时通讯软件和点对 点软件等常用工具传播； 利用系统、应用软件的漏洞进行传 播； 利用系统配置缺陷传播，如弱口令、 完全共享等； 人为设计 潜伏 侵入系统 传染 触发运行破坏 （1）要提高对计算机病毒

5、危害的认识 （2）养成备份重要文件等良好使用习惯 （3）大力普及杀毒软件 （4）采取措施防止计算机病毒的发作 （5）开启计算机病毒查杀软件的实时监测 功能 （6）加强对网络流量等异常情况的监测 （7）有规律的备份系统关键数据，建立应 对灾难的数据安全策略 具有发现、隔离并清除病毒功能； 具有实时报警（包括文件监控、邮件监控、网 页脚本监控等）功能； 多种方式及时升级； 统一部署防范技术的管理功能； 对病毒清除彻底，文件修复完整、可用； 产品的误报、漏报率较低； 占用系统资源合理，产品适应性较好。 站点或公司名称网址 瑞星公司 北京金山软件有限公司 冠群金辰软件有限公司 江民科技 卡巴斯基实验室

6、 诺顿公司 ex.jsp 黑客（hacker）： 通常具有硬件和软件的高级知识，并 有能力通过创新的方法剖析系统，以保 护网络为目的，以不正当侵入为手段找 出网络漏洞。 骇客 ： 利用网络漏洞破坏网络的人。 1 1黑客和黑客技术黑客和黑客技术 （2）非授权访问尝试：对被保护文件读、 写或执行的尝试。 （3）预探测攻击：例如SATAN扫描、端 口扫描和IP半途扫描等。 （4）可疑活动：指网络上不希望有的活 动。 （5）协议解码 （6）系统代理攻击：针对单个主机 第1步 信息收集： 获取目标系统 的信息，如网 络拓扑结构、 IP地址分配、 端口的使用情 况等。 第2步 获得对系统的 访问权限：通

7、过口令猜测、 社会工程、建 立后门等攻击 手段，利用系 统存在的漏洞 来获得对系统 的访问权限。 第3步 破坏系统或 盗取信息 ： 利用非法获得 的对系统的访 问权限，运行 非法程序。 消除入侵痕迹 ：入侵后尽力 消除入侵痕迹 ，如更改或者 删除系统文件 或日志。 “流氓软件” 同时具备正常功能（下载、 媒体播放等）和恶意行为（弹广告、开 后门），介于病毒和正规软件之间。 （1）广告软件 （2）间谍软件 ：安装“后门程序” ； （3）浏览器劫持 ：对浏览器篡改； （4）行为记录软件 ：窃取并分析隐私数据， 记录使用习惯 ； （5）恶意共享软件 ：指某些共享软件强迫用 户注册、捆绑各类恶意插件。

8、 1 1流氓软件的分类流氓软件的分类 Rootkits最早是一组用于UNIX操作系统的工 具集，黑客使用它们隐藏入侵活动的痕迹。 Rootkits主要分为两大类：一种是进程注入 式Rootkits，另一种是驱动级Rootkits。 进程注入式Rootkits可以通过使用杀毒软件 的开机扫描功能轻松清除。 驱动级的Rootkits通过在Windows启动时加载 Rootkits驱动程序，获取对Windows的控制权。 2 2什么是什么是Rootkits?Rootkits? 瑞星“碎甲”技术通过对Windows驱动程 序加载点进行拦截，发现Rootkits时自 动使其保护功能失效。 杀 毒 软 件

9、 存在病毒或流氓软件？存在病毒或流氓软件？ 操 作 系 统 API 查找文件 流氓软件、 病毒、木 马找到 存在 Root Kits 失效 瑞 星 碎 甲 技 术 防火墙是内部网络与外部公共网络之 间的第一道屏障，处于网络安全的最底 层，负责网络间的安全认证与传输，现 代防火墙技术不仅要完成传统防火墙的 过滤任务，还有正朝着数据安全与用户 认证、防止病毒与黑客侵入等方向发展。 任务分析任务分析 .1防火墙的基本类型防火墙的基本类型 防火墙是在一个受保护的企业内部网络防火墙是在一个受保护的企业内部网络 与互联网间，用来强制执行企业安全策与互联网间，用来强制执行企业安全策 略的一个

10、或一组系统。略的一个或一组系统。 防止外部网络用户以非法手段进入内部防止外部网络用户以非法手段进入内部 网络，访问内部网络资源；网络，访问内部网络资源； 保护内部网络操作环境的特殊网络互联保护内部网络操作环境的特殊网络互联 设备。设备。 防火墙示意图防火墙示意图 （1）过滤不安全服务和非法用户，禁止 未授权的用户访问受保护的网络。 （2）控制对特殊站点的访问。 允许受保护网络的一部分主机如邮件服务器、FTP 服务器和Web服务器等被外部网访问，而另一部分 被保护起来，防止不必要的访问。 （3）监视网络访问，提供安全预警。 （1 1）网络级防火墙）网络级防火墙-包过滤路包过滤路 由器由器 （2

11、2）电路级防火墙）电路级防火墙电路网关电路网关 （3 3）应用级防火墙）应用级防火墙应用网关应用网关 （4 4）监测型防火墙）监测型防火墙 防火墙存在软件和硬件两种形式。 具备包过滤功能的路由器（或充当路由器的 计算机），通过读取数据包中的地址信息来 判断这些“包”是否来自可信任的安全站点， 否则将数据拒之门外。 优点：简单实用，实现成本较低，适合应用 环境比较简单的情况。 缺点：不能理解网络层以上的高层网络协议， 无法识别基于应用层的恶意侵入。 （1 1）包过滤路由器）包过滤路由器 下图给出了包过滤路由器结构示意图。 Internet 内部网络内部网络 服务器 工作站 网络层 数据链路层 物

12、理层 网络层 数据链路层 物理层 分组过滤 规则 包过滤路由器包过滤路由器 外部网络外部网络 防火墙 电路网关工作在传输层。 不允许内部主机与外部之间直接进行 TCP连接，而是建立两个TCP连接： 一个在网关和内部主机上的TCP用户程序之间， 另一个在网关和外部主机的TCP用户程序之间。 通常用于内部网络对外部的访问，与堡 垒主机相配合可设置成混合网关，对于 向内的连接支持应用层服务，而对于向 外的连接支持传输层功能。 l应用网关工作应用层，通常指运行代 理服务器软件的一台计算机主机。 l代理服务器位于客户机与服务器之间。 从客户机来看，代理服务器相当于一 台真正的服务器。而从服务器来看， 代

13、理服务器又是一台真正的客户机。 客户 机 WWW 服务器 应应用用 网网关关 Internet FTP请求 FTP响应 FTP请求 FTP响应 内部网 图 7-14 应用网关的模型 外部网络外部网络 代理服务器代理服务器 防火墙 内部网络内部网络 真正服务器 Internet 客户 实际的连接 虚拟的连接 实际的连接 缺点： 使访问速度变慢 在重负载下，代理服务器可能成为网络瓶颈。 优点： 代理服务器拥有高速缓存，能够节约时间和 网络资源 外部网络只能看到代理服务器，看部到内网 的具体结构 比包过滤更可靠，而且会详细地记录所有的 访问状态信息 对各层的数据进行主动的、实时的监 测，加以分析，判

14、断出各层中的非法 侵入。 带有分布式探测器，安置在各种应用 服务器和其他网络的节点之中，能检 测来自网络外部的攻击，同时防范来 自内部的恶意破坏。 l最简单的防火墙配置就是直接在内部 网和外部网之间加装一个包过滤路由 器或者应用网关。 l将几种防火墙技术组合起来构建防火 墙系统，一般来说有3种最基本的配置。 用一台装有两个网络适配器的双宿主机（又称保 垒主机）做防火墙，一个适配器是网卡，与内部 网相连；另一个根据与Internet的连接方式可以是 网卡、调制解调器或ISDN卡等。外部网络与内 部网络之间的通信必须经过双重宿主主机的过滤 和控制。 使用一个包过滤路由器把内部网络和外部网络隔 离开，同时在内部网络上安装一个堡垒主机，由 堡垒主机开放可允许的连接到外部网。 屏蔽主机网关易于实现，安全性好，应用广泛。 因为堡垒主机是用户网络上最容易受侵袭 的机器。通过额外添加一层保护体系 周边网络，将堡垒主机放在周边网络上， 用内部路由器分开周边网络和内部网络， 从而隔离堡垒主机，减少在堡垒主机被侵 入的影响。 1攻击的分类 从攻击的行为分主动攻击与被动攻击。 主动攻击：包括窃取、篡改、假冒和破 坏。字典式口令猜测，IP地址欺骗和服 务拒绝攻击等都属于主动攻击。 被动攻击：网络窃听、截取数据包并进 行分析，从中窃取重要的敏感信息等。 9.3