网络安全 2013年中国电信网络操作维护职工技能竞赛培训教材

中府电相CHINATELECOM网络安全2013年中国电信网络操作维护职工技能竞赛

培训教材目录TOC\o"1-5"\h\z\o"CurrentDocument"第一章综述 6\o"CurrentDocument"第一节网络安全的定义 6\o"CurrentDocument"第二节网络安全的重要性 6第二章计算机病毒 9\o"CurrentDocument"第一节计算机病毒概念和分类 921. 1计算机病毒的定义 921. 2计算机病毒的特点. 921. 3计算机病毒的产生. 1221. 4计算机病毒分类. 12\o"CurrentDocument"第二节计算机病毒的传播方式 13\o"CurrentDocument"第三节计算机病毒的破坏行为 14\o"CurrentDocument"第四节网络蠕虫 15241蠕虫的定义 16\o"CurrentDocument"第五节计算机病毒防治技术的现状 18\o"CurrentDocument"第六节病毒的新特点 19\o"CurrentDocument"第七节计算机病毒防治技术的发展趋势 19\o"CurrentDocument"第八节病毒防治技术的趋势前瞻 21\o"CurrentDocument"第九节目前国内外防病毒技术的发展态势 21\o"CurrentDocument"第三章计算机安全操作 22\o"CurrentDocument"第一节用户口令安全 22\o"CurrentDocument"第二节全策略启用 22\o"CurrentDocument"第三节收发邮件的安全 23\o"CurrentDocument"第四节浏览网页的安全 24\o"CurrentDocument"第五节协议的安全性 25第四章术 26\o"CurrentDocument"第一节瓯简介 2641.1引入 2641. 2曲的基本概念. 264.1. 3即的转换机制. 2641. 4曲讷多对多地址转换及地址池 2741. 5曲的特征. 284.1.6曲的优缺点. 2841. 7M的性能. 2841. 8应用级网关必 29第二节 ISFCT用户日志简介 2942 1曲用户日志的作用. 2942 2雨用户日志的实现. 3042 3瓯用户日志的输出 30\o"CurrentDocument"第三节瓯以及瓯日志的应用 31\o"CurrentDocument"第五章防火墙技术 32工1. 1防火墙的引入 33工1. 2防火墙的作用. 335.1. 3防火墙的效率. 345.1. 4防火墙的系统结构. 345.1. 5防火墙的安全控制技术. 355.1. 6防火墙的工作模式. 36\o"CurrentDocument"第二节包过滤防火墙简介 40工21包过滤防火墙的基本概念 40522MiP对分片报文过滤的支持 41\o"CurrentDocument"第三节ASPF简介 425.3.1ASFF的概念. 42\o"CurrentDocument"第四节黑名单简介 435.41黑名单的概念. 435.42黑名单的特点. 43第五节WC和1班址绑定简介 445.5.1地址绑定的提出 44\o"CurrentDocument"第六节端口映射简介 45\o"CurrentDocument"第七节流量统计及监控简介 455.7.1基于IR地址的统计及监控功能概述 45\o"CurrentDocument"第八节防火墙的应用 46工&1防火墙应用在内外网之间. 465.&2防火墙在内部网络中的应用. 46\o"CurrentDocument"第六章入侵检测技术及使用 48\o"CurrentDocument"第一节入侵检测的重要性 48\o"CurrentDocument"第二节入侵检测系统 49\o"CurrentDocument"6.21入侵检测系统工作原理. 49622入侵检测系统产品 55\o"CurrentDocument"第三节入侵检测技术的发展 57\o"CurrentDocument"第七章拒绝服务攻击及防范 5971.1拒绝服务攻击概念. 597.1.2拒绝服务攻击的危害与影响. 60\o"CurrentDocument"第二节常见拒绝服务攻击手段 607.21源IR地址欺骗. 607.Z2RP-S的Flood攻击 617.23Stmrf攻击. 627.24LEPflood. 64725其它拒绝服务攻击方式. 64\o"CurrentDocument"第三节拒绝服务攻击的防御 6573.1保障网络设备安全 6673.2杜绝源I建址欺骗. 6673. 3网络访问控制策略 677.3. 4流量控制. 67\o"CurrentDocument"第八章数据传输安全 69\o"CurrentDocument"第一节数据传输安全概述 69\o"CurrentDocument"第二节数据传输安全关键安全技术 71&2. 1数据加密技术, 718.2 2认证技术. 74&2. 3数字签名. 768.2 4Hash函数. 77\o"CurrentDocument"第三节常见数据安全传输协议 78&3.1IPSec简介 78&3.2SSL简介. 79\o"CurrentDocument"第九章常见网络攻击和防范 81\o"CurrentDocument"第一节常见的网络攻击方式 81\o"CurrentDocument"第二节缓冲区溢出攻击 81\o"CurrentDocument"第三节网络扫描探测攻击 82节. 82\o"CurrentDocument"第五节拒绝服务攻击 83\o"CurrentDocument"第十章安全问题处理流程 85\o"CurrentDocument"第一节安全问题处理流程步骤 85\o"CurrentDocument"第十一章网络攻击溯源技术 88\o"CurrentDocument"第一节溯源问题分析 88\o"CurrentDocument"第二节网络溯源面临的问题 89\o"CurrentDocument"第三节溯源的分类与应用场景 9011.3.1溯源的分类. 9011.3.2网络溯源应用场景 92\o"CurrentDocument"第四节现有技术 9211.4 1分组标记溯源法. 9211.4 2发送特定溯源法 9311.4 3日志记录溯源. 9411-4 4受控洪泛溯源法. 9411.4 5链路测试溯源法. 9411.4 6其他溯源法 94\o"CurrentDocument"第五节小结 95第一章综述现代计算技术、通信技术和微电子技术的迅速发展，互相渗透和结合，形成了信息技术的革命，其中一个重要的方面就是计算机网络的产生和发展。作为信息社会中重要的基础设施，计算机网络广泛应用于科研、教育、管理、生产、商业以及日常生活的各个领域，它的重要性被越来越多的人所认识。随着人们对计算机网络的依赖性的日益增大，网络安全问题日益明显。目前中国电信已经给公众提供了怏hNhil等服务，并且随着Internet技术的发展，开展电子商务等各种增值业务将是发展的必然趋势，因而，加强网络安全的研究，提高网络安全性，不仅直接关系到中国电信的声誉，而且是各种业务能否顺利开展的前提，有着其特殊的重要性。第一节网络安全的定义网络安全就是防范一个网络系统潜在的危机，这种危机有可能来源于网络系统外部和内部的攻击，也可能来源于网络系统用户的误操作。对于一个网络系统来说，网络安全的目标就是保证网络数据的安全性和网络资源的安全性，其中网络数据的安全性包括数据在存贮和传输过程的机密性、完整性和可用性，网络资源的安全性则是保证网络资源不受非授权的非法使用。与以前单个主机的安全性相比，网络安全已由以前点的安全性发展到面的安全性，也即一个网络系统的网络安全不仅包括各个网络节点的安全性，也包括网络结构的安全性。网络数据安全、网络节点安全和网络结构安全组成了网络安全的有机组成部分，其中任何一部分的不安全因素都将其它部分的安全构成威胁。在目前，网络安全的目标主要通过访问控制和加密等措施来实现，并发展了各种不同的安全技术。因而，为了达到为了安全的目标，就是要明确目前网络安全存在的各种风险和威胁，针对特定的网络系统制定网络安全策略，通过现有各种网络安全技术的选择来实现网络安全方案。第二节网络安全的重要性首先，国际互联网络及其网上各种应用的飞速发展是网络安全问题日益突出的主要原因。一方面，各种企业和机构纷纷利用Internet技术建立自己的内部网络，并将本单位的企业网络联上Internet,利用Internet同外部进行信息资源共享和各种业务的拓展。这样在这些企业和结构将自己的网络联上Internet,利用开放网络的便利的同时也涉及到网络安全的问题，也即在向外部共享自己的公共数据的同时，怎样保护内部私有数据诸如企业管理信息、生产经营信息等等不受外部网络非授权的非法访问。另一方面，国际互联网络的发展也给各种电子商务的开展带来了无限的商机，但互联网络上这些电子商务应用的开展都是以数据安全的保证为条件的。从业务上来看，国际互联网络发展的趋势使得电子商务无论对于商家还是消费者来说都有其独特的优势，对商家来说，目前巨大并且还在不断增长的Vfeb用户群都是商家所竭力争取的潜在的网上电子商务消费者，另外Internet全球化，跨国界的特点有利与商家进一步拓展业务，此外网上电子商务还可以降低产品销售成本，提高产品利润，提高产品的竞争力，最后，电子商务有提供每天24小时实时服务的优势。对消费者来说，接受网上电子商务的服务，既可以节省时间，还可以方便地对各种厂商产品和价格进行比较。上述这些特点使得电子商务应用成为国际互联网络发展的必然的趋势。但从应用上，各种电子商务应用在Internet上的实际应用还应取决于数据安全的保证。这包括商家和消费者之间对对方的身份标识和鉴定，交易所采用的信用卡号、密码以及其它交易信息在互联网上的安全传送等等有关网络安全方面的问题。这些都使得网络安全成为互联网络应用的热点问题。其次，网络安全问题也与互联网络历史发展以及其内在的安全脆弱性密切相关。作为互联网络底层的70ylp协议，在当时协议本身的设计上就没有考虑安全问题。这可以追溯到历史上互联网络的发展，从历史上看，目前作为互联网络基石的皿1P协议，归根到底就是由历史上著名的广域网络APE尔ET所采用的协议发展而来的。在当时AF&NEI网络的设计中，其设计目标就是为信息和资源共享提供一个互联的平台，其设计对象是一个良好的互相信任的环境，根本就没有考虑到互联网络在今天发展成一个全球性的网络，并且也将成为各种电子商务敏感信息的传输平台。因而其缺乏安全性的设计也是很自然的事情。并且当时不考虑安全问题的设计，也使得1axCP协议在其实现上更加简单高效，提高了其运行效率，这在当时对于协议的发展和普及也是很有意义的。但也正因为协议在设计中没有考虑安全问题，使得协议本身存在着一些安全问题，给网络黑客提供了可乘之机。首先，互联网络上大部分的网络流量没有加密，这使得网络拦截和欺骗成为可能。通过互联网络传输的登录口令、文件很容易被黑客监听和拦截，并且在目前的Internet上提供了大量的免费的此类工具。其次，基于的很多服务都不同程度上存在着安全问题，这些安全缺陷很容易被经验丰富的黑客所利用从而危害网络的安全。最后，互联网络上主机和防火墙等访问控制配置的复杂性增加了错误配置导致网络攻击的风险。此外，TCWIP协议是一个公开的协议,这也给互联网络遭受攻击增加了风险。从上面的分析可以看到,由于7cB4P协议本身并不提供安全机制，所以在各种互联网络应用的开发中应该对安全问题额外加以考虑。最后，日益增长的计算机犯罪也使得网络安全成为各种互联网络应用开展应该考虑的首要问题。随着国际互联网络的进一步普及和网络技术的发展，电脑黑客的网络攻击技术和手段也在不断的提高和发展。每年由于计算机网络犯罪都造成了的巨大的损失，据美国FBI统计，仅是在美国每年由于网络安全问题造成的经济损失就达75亿美元。在全球范围，每20秒钟就发生一起Internet的入侵事件，有8叱的公司每周至少在网络上被大规模地入侵过一次。面对如此严峻的网络安全的威胁，在互联网络应用的开展中不可能不对数据安全问题加以特殊的重视。在如此众多的网络入侵攻击中，主要有以下三个方面的动机：其一就是商业间谍，通过入侵商业结构的内部网络，窃取机密的商业数据，提供给受害方的竞争者来获得利益。这种类型的攻击随着联上Internet上的企业网的日益增加而增长。其二就是直接获得利益，通过侵入商用或其它网络，直接盗取商业用户帐号上的金钱或资源。其三就是通过网络攻击来获得公众的注意或炫耀自己的攻击技术。从互联网络的发展看来，随着各种电子商务应用在互联网上的开展，各种商业敏感数据都是网络攻击的目标，因而，网络安全将是互联网络应用一个长期的课题。第二章计算机病毒第一节计算机病毒概念和分类21.1计算机病毒的定义计算机病毒CarputerVirus）在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为：'指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码"。2.1.2计算机病毒的特点计算机病毒的特征破坏性：/传染性/潜伏性/寄生性/触发性DOS时代的AIDS病毒

UKrflauvS・3VBRIUKrflauvS・3VBRINc■・•川？w、*4・3K〜4,•■“&m::r/fIf.c7■・•・ja•itu^il抑”而，tzi*•，a也产产&r币1°l>eImieiNd.inirCIH作者陈盈豪Windows95/98时代大名鼎鼎的CIH病毒CIH作者陈盈豪litia4TirIn*.，S】""WindowsNTlitia4TirIn*.，S】""WindowsNT时代的白雪公主病毒尼姆达病毒在全球传播O北美洲尼姆达蛔虫r2（x）i<i<9niki।首先在英国出现.O北美洲尼姆达蛔虫r2（x）i<i<9niki।首先在英国出现.当HF午,仃梯过130,OOOff假务器和个人电依❷亚洲经过I8H晚I：

晚上的化播.在II本、

香港、南丹、新加坡和

中国地忤都收到「受到

明染的报3.18||晚.心佚受到述染.此病毒，并提佻r解决方案！。欧洲到9月I9H.越过15.0()00的公司受到随案.包括SicaensAG(lHlfJ7)•使JUi他的冏络受到治透之后.不得不被i£ix，j股务;《.尼姆达蛾虫：传播方法它有自己的邮件弓1整，所以会试图向存储在邮件程序里面的地址发送自己.它会扫程IIS服务器寻找已知的弱点并且攻击这些服务器.它会寻找共享磁盘并且流图在这些破窗上安装.席卷全球的NIMDA病毒21.3计算机病毒的产生病毒不是来源于突发或偶然的原因。突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的。病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。病毒是人为的特制程序。现在流行的病毒是由人为故意编写的，多数病毒可以找到作者信息和产地信息，通过大量的资料分析统计来看，病毒作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，处于对上司的不满，为了好奇，为了报复，为了祝贺和恶作剧，为了得到控制口令，为了软件拿不到报酬预留的陷阱等。当然也有因政治，军事，宗教，民族。专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒。21.4计算机病毒分类一、根据病毒特有的算法，病毒可以划分为：＞伴随型病毒：这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（3,例如：MYEXE的伴随体是XOYCEM病毒把自身写入CEM文件并不改变EXE文件，当峻加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。＞।蠕虫理病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。＞寄生型病毒：除了伴随和雌虫型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，＞按其算法还可分为:＞练习型病毒：病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。＞诡秘型病毒：它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等口£内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。＞变型病毒（又称幽灵病毒）：这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。二、根据病毒存在的媒体，病毒可以划分为：网络病毒，文件病毒，引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件（如：COM,EXE,DOC等），引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR）,还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。三、根据病毒破坏的能力可划分为以下几种：＞无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。＞无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。＞危险型：这类病毒在计算机系统操作中造成严重的错误。＞非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOSWindows和其它操作系统造成破坏。第二节计算机病毒的传播方式计算机病毒的传播方法包括以下四种：第一种途径：通过不可移动的计算机硬件设备进行传播，这些设备通常有计算机的专用ASIC芯片和硬盘等。这种病毒虽然极少，但破坏力却极强，目前尚没有较好的检测手段对付。第二种途径：通过移动存储设备来传播这些设备包括软盘、磁带等。在移动存储设备中，软盘是使用最广泛移动最频繁的存储介质，因此也成了计算机病毒寄生的“温床”。目前，大多数计算机都是从这类途径感染病毒的。第三种途径：通过计算机网络进行传播。现代信息技术的巨大进步已使空间距离不再遥远，“相隔天涯，如在咫尺”，但也为计算机病毒的传播提供了新的“高速公路”。计算机病毒可以附着在正常文件中通过网络进入一个又一个系统，国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。在我们信息国际化的同时，我们的病毒也在国际化。估计以后这种方式将成为第一传播途径。第四种途径：通过点对点通信系统和无线通道传播。目前，这种传播途径还不是十分广泛，但预计在未来的信息时代，这种途径很可能与网络传播途径成为病毒扩散的两大“时尚渠道”。第三节计算机病毒的破坏行为计算机病毒的破坏行为主要以下四类：1.删除、修改文件。这类病毒中具有代表性的有w)imBleBlaCEAV1531以及宏病毒等等。以溉rmBleBla为例，此病毒感染QatLook邮件文件，主要感染Win9x系统，病毒发作无特定时间，病毒发作后，许多文件打开后变为一可执行文件，病毒破坏方式是：被打开文件变为一可执行文件，原文件内容被覆盖，并且不停地向OutLook地址簿中地用户发送带毒信件。其它的此类主要病毒还有宏病毒，当用户在使用文档时，宏病毒会破坏现有文档，给我们的工作带来不便。2占用系统资源。这类病毒中，流行最为广泛的有funlove,以及绝大多数的蠕虫病毒。此类病毒只要一旦感染，就会疯狂的在计算机网络内传播，占用网络以及本地计算机的资源。以funlove病毒为例，此病毒在全世界范围内广泛流行，由于此病毒极不容易被完全清除，所以造成了很大的破坏。Funlove病毒感染PE可执行文件(EXE/00^/50<),病毒依赖的操作系统主要有\¥1119*和皿^破坏方式是：在系统内产生病毒文件，然后在全网络系统内寻找可写资源进行感染。3.非法访问系统进程。这类病毒以一些黑客病毒为主。这一类病毒主要是通过感染计算机，然后黑客或非法用户获得对已感染机器的控制权，如此一来，这些人就可以为所欲为。主要病毒有特洛伊木马、冰河系列、TrojanYai.exe等等。以Trojan.Yai.exe为例，病毒感染文件类型是PE文件型，主要感染Win9x操作系统，病毒发作时，计算机被非法用户操纵。破坏方式：感染执行文件，导致计算机莫名其妙地死机。将用户电脑上的保密资料以Emil形式发出。通过和客户端程序的联系来操纵用户电脑。如果用户的计算机一旦感染此类病毒，那么用户计算机里一切资料都将被别人取得，将给用户造成巨大的损失。4系统瘫痪或者崩溃。这类病毒也对用户造成极大的破坏，它会删除系统的重要文件，或者是对用户的硬盘做格式化操作，或者是破坏用户的数据。此类病毒中具有代表性的有CIHNhgistr等等病毒。此类病毒一旦发作，将会造成毁坏性的破坏，所以对此类病毒一定要小特别心防护。第四节网络蠕虫近年来，蠕虫、病毒的引发的安全事件此起彼伏，且有愈演愈烈之势。最早的网络蠕虫病毒作者是美国的小Morris,他编写的蠕虫病毒是在美国军方的局域网内活动，但是，必需事先获取局域网的权限和口令。世界性的第一个大规模在Internet网上传播的网络蠕虫病毒是1998年底的Happy99网络蠕虫病毒，当你在网上向外发出信件时，H研EY99网络蠕虫病毒会顶替你的信件或随你的信件从网上跑到你发信的目标出，到了1月1日，收件人一执行，便会在屏幕上不断暴发出绚丽多彩的礼花，机器就不再干什么了。2001年至今，是网络蠕虫开始大闹互联网的发展期。从2001年爆发的CodeRed蠕虫、Nimda蠕虫，取杀手病毒（觌SLMR蠕虫），"冲击波”蠕虫，到2004年肆掠的“震荡波”蠕虫病毒，无不有蠕虫的影子，并且开始与病毒相结合了。蠕虫病毒通常会感染Windows200Q/XiyServer2003系统，如果不及时预防，它们就可能会在几天内快速传播、大规模感染网络，对网络安全造成严重危害。看来，蠕虫病毒不再是黑暗中隐藏的黑手"，而是已露出凶相的‘狼群1各类病毒各有特色，大有长江后浪推前浪之势：CodeRed蠕虫侵入系统后留下后门，Nimda一开始就结合了病毒技术，而处杀手病毒与“冲击波”病毒有着惊人的相似之处，此次病毒大规模爆发是从装有WINIMS2000以上操作系统的计算机，尤其是从网络服务器上向外扩散的，利用微软存在的系统漏洞，不同的是，取杀手病毒用“缓存区溢出”进行攻击，病毒传播路径都是内存到内存,不向硬盘上写任何文件。“冲击波”病毒则会发送指令到远程计算机，使其连接被感染的主机，下载并运行Msblast.exq由此可见，计算机蠕虫和计算机病毒联系越来越紧密，许多地方把它们混为一谈，然而，二者还是有很大不同的，因此，要真正地认识并对抗它们之前，很有必要对它们进行区分。只有通过对它们之间的区别、不同功能特性的分析，才可以确定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素；可以找出有针对性的有效对抗方案；同时也为对它们的进一步研究奠定初步的理论基础。计算机蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致，导致二者之间是非常难区分的，尤其是近年来，越来越多的病毒采取了部分蠕虫的技术，另一方面具有破坏性的蠕虫也采取了部分病毒的技术，更加剧了这种情况。41蠕虫的定义1988年Morris蠕虫爆发后，EugeneHSpafford为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义，“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”同时对病毒的含义作了进一步的解释。“计算机病毒是一段代码，能把自身加到其它程序包括操作系统上。它不能独立运行，需要由它的宿主程序运行来激活它。”计算机病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传染的触发者，是传染的关键环节，使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。而蠕虫主要是利用计算机系统漏洞（vulnerability进行传染，搜索到网络中存在漏洞的计算机后主动进行攻击，在传染的过程中，与计算机操作者是否进行操作无关，从而与使用者的计算机知识水平无关。另外，蠕虫的定义中强调了自身副本的完整性和独立性，这也是区分蠕虫和病毒的重要因素。可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒。目前很多破坏性很强的病毒利用了部分网络功能，例如以信件作为病毒的载体，或感染Endows系统的网络邻居共享中的文件。通过分析可以知道，Endows系统的网络邻居共享本质上是本地文件系统的一种扩展，对网络邻居共享文件的攻击不能等同与对计算机系统的攻击。而利用信件作为宿主的病毒同样不具备独立运行的能力。不能简单的把利用了部分网络功能的病毒统统称为蠕虫或蠕虫病毒，因为它们不具备上面提到的蠕虫的基本特征。通过以上的分析和比较，重新给出的Internet蠕虫完整定义为："Internet蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。”通过简单的分析，可以得出结论，一些常见的以蠕虫为名的病毒，如"Happy99蠕虫病毒"、"Nbl1isa网络蠕虫宏病毒"、"LoverLetter网络蠕虫病毒"、"SirCam蠕虫病毒"，"NWID心网络蠕虫"、"BleblaB网络蠕虫”、“烟驴"OMA蠕虫”等等，都是病毒，而不是蠕虫。在网络环境下，网络蠕虫病毒除了具有可传播性、可执行性、隐蔽性、破坏性等计算机病毒的共性外，还具有一些新的特点：.感染速度快。传统的单机型病毒只能通过软盘、U盘、移动硬盘等存储介质从一台计算机带到另一台计算机，而在网络中则可以通过网络自身的通讯机制迅速扩散。有人做过统计，在尼姆达等网络病毒爆发的高峰期，针对一个正常使用下的典型计算机网络，只要有一台计算机感染了网络蠕虫病毒，几分钟内网上的数百台未打安全补丁的计算机就被全部感染了。2扩散面广。病毒在网络中扩散速度快，扩散范围大，不但能迅速传染局域网内所有计算机，还能通过远程计算机将病毒在一瞬间传播到千里之外。.传播的形式复杂多样。计算机病毒在网络上一般是通过“计算机一服务器一计算机”的途径进行传播的，但传播的形式复杂多样。.难于彻底清除。各个计算机之间病毒具有相互保护性，一台计算机刚清除病毒，另一台染毒计算机可能马上再次感染它。单机上的计算机病毒有时可通过删除带毒文件、低级格式化硬盘等措施将病毒彻底清除，而网络中只要有一台计算机未能消毒干净就可使整个网络重新被病毒感染，甚至刚刚完成清除工作的一台计算机就有可能被网上另一台带毒计算机所感染。因此，仅对局部计算机进行病毒杀除，并不能解决病毒对全网络的危害。.破坏性大。网络上病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则导致网络崩溃，服务器信息被破坏，使多年工作毁于一旦。6激发性：网络病毒激发的条件多样化，可以是内部时钟、系统的日期和用户名，也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求，在受感染的大批计算机上激发并集中向目标地址发出攻击。.潜在性：网络一旦感染了病毒，即使病毒已被清除，其潜在的危险也是巨大的。根据统计，病毒在网络上被清除后，85册网络在30天内会再次感染。第五节计算机病毒防治技术的现状目前广泛应用的3种技术：1.特征码扫描法特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。该技术实现简单有效，安全彻底；但查杀病毒滞后，并且庞大的特征码库会造成查毒速度下降；2虚拟执行技术该技术通过虚拟执行方法查杀病毒，可以对付加密、变形、异型及病毒生产机生产的病毒，具有如下特点：3.文件实时监控技术通过利用操作系统底层接口技术，对系统中的所有类型文件或指定类型的文件进行实时的行为监控，一旦有病毒传染或发作时就及时报警。从而实现了对病毒的实时、永久、自动监控。这种技术能够有效控制病毒的传播途径，但是这种技术的实现难度较大，系统资源的占用率也会有所降低。第六节病毒的新特点1.病毒与其他技术相融合某些病毒及普通病毒、蠕虫、木马和黑客等技术于一身，具有混合型特征，破坏性极强；2传播途径多，扩散速度快很多病毒与internet和intranet紧密结合，通过系统漏洞、局域网、网页、邮件等方式进行传播，扩散速度极快。目前此类病毒已有2000种之多；.欺骗性强很多病毒利用人们的好奇心理，往往具有很强的诱惑性和欺骗性，使得它更容易传染，如“库尔尼科娃”病毒即是利用网坛美女库尔尼科娃的魅力；.大量消耗系统与网络资源计算机感染了RHX#等病毒后，病毒会不断遍历磁盘、分配内存，导致系统资源很快被消耗殆尽，最终使得计算机速度越来越慢或网络阻塞；.病毒出现频度高，病毒生成工具多早期的计算机病毒都是编程高手制作的，编写病毒是为了显示自己的技术，但库尔尼科娃病毒的设计者只是修改了下载的"S蠕虫孵化器变生成了该病毒。这种工具在网络上很容易就可以获得，因此新病毒的出现频度超出以往的任何时候。第七节计算机病毒防治技术的发展趋势魔高一尺，道高一丈，计算机病毒防治技术也随着病毒的发展而发展，新技术包括：1.智能引擎技术智能引擎技术发展了特征码扫描法的优点，改进了其弊端，使得病毒扫描速度不随病毒库的增大而减慢。2计算机监控技术＞文件实时监控＞内存实时监控＞脚本实时监控＞邮件实时监控＞注册表实时监控3.嵌入式杀毒技术嵌入式杀毒技术是对病毒经常攻击的应用程序或对象提供重点保护的技术，它利用操作系统或应用程序提供的内部接口来实现。它对使用频度高、使用范围广的主要的应用软件提供被动式的防护。如对密Offie®OutlookIEWinzipNetAnt等应用软件进行被动式杀毒。4未知病毒查杀技术未知病毒技术是继虚拟执行技术后的又一大技术突破，它结合了虚拟技术和人工智能技术，实现了对未知病毒的准确查杀。5.压缩智能还原技术世界上的压缩工具、打包工具、加“壳”工具多不胜数，病毒如果被这样的工具处理后被层层包裹起来，对于防病毒软件来说，就是一个噩梦。为了使用统一的方法来解决这个问题，反病毒专家们发明了未知解压技术，它可以对所有的这类文件在内存中还原，从而使得病毒完全暴露出来。6多层防御，集中管理技术反病毒要以网为本，从网络系统的角度设计反病毒解决方案，只有这样才能有效地查杀网络上的计算机病毒。在网络上，软件的安装和管理方式是十分关键的，它不仅关系到网络维护和管理的效率和质量，而且涉及到网络的安全性。好的杀毒软件需要能在几分钟之内便可轻松地安装到组织里的每一个NT服务器上，并可下载和散布到所有的目的机器上，由网络管理员集中设置和管理，它会与操作系统及其它安全措施紧密地结合在一起，成为网络安全管理的一部分，并且自动提供最佳的网络病毒防御措施。7.病毒免疫技术病毒免疫技术一直是反病毒专家研究的热点，它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。实际上，最近出现的软件安全认证技术也应属于此技术的范畴，由于用户应用软件的多样性和环境的复杂性，病毒免疫技术到广泛使用还有一段距离。第八节病毒防治技术的趋势前瞻1.加强对未知病毒的查杀能力加强对未知病毒的查杀能力是反病毒行业的持久课题，目前国内外多家公司都宣布自己的产品可以对未知病毒进行查杀，但据我们研究，国内外的产品只有少数可以对同一家族的病毒进行预警，不能清除。2防杀针对掌上型移动通讯工具和的病毒随着掌上型移动通讯工具和HWI勺广泛使用，针对这类系统的病毒已经开始出现，并且威胁将会越来越大，反病毒公司将投入更多的力量来加强此类病毒的防范。.兼容性病毒的防杀目前已经发现可以同时在微软WINIM瓯日益普及的LINUX两种不同操作系统内运作的病毒，此类病毒将会给人们带来更多的麻烦，促使反病毒公司加强防杀此类病毒。.蠕虫病毒和脚本病毒的防杀不容忽视蠕虫病毒是一种能自我复制的程序，驻留内存并通过计算机网络复制自己，它通过大量消耗系统资源，最后导致系统瘫痪。给人们带来了巨大的危害，脚本病毒因为其编写相对容易正成为另一种趋势，这两类病毒的危害性使人们丝毫不能忽视对其的防杀。.网络病毒将大肆传播互联网为广大用户打开了神奇万千的世界，同时也打开了潘多拉的盒子，因其通过网络进行传播而具有传播速度快、危害性极大而给人们造成了巨大损失。第九节目前国内外防病毒技术的发展态势1、国内外反病毒公司在反病毒领域各有所长2国内外产品竞争激烈，随着中国加入瓯多家国际反病毒公司均加大了对中国市场的力度；国内的反病毒公司不仅在积极拓展巩固国内市场，而且正逐步推向国际市场。入国内反病毒企业发展势头强劲，单机版市场国内产品占有绝对优势；4网络版市场国外企业占较大优势。第三章计算机安全操作第一节用户口令安全不要使用姓名、生日以及它们的简单组合作为口令。口令应该保证一定的长度和复杂度。长度最好在8位以上，最好包含大小写字母、数字和其它字符的组合。典型弱口令：NLLL®an用、12345&1111111kcisco易记并且强度高密码推荐：1.以符号隔开的短句，如I#V^ntft^pple2长句的首字母Wiwy,i111r.WienIwasyoungI1istenedtotheradio3.诗词的首字母ccpiygWysdss床前明月光，疑是地上霜）其它建议：1.新建一账号，赋予adninistrator权限，给该账号设置一个强的口令；2将原来的adninistrator账号改为普通用户；.禁用系统的guest账号；.在多用户系统，为了保证其它用户账号不存在弱口令，系统管理员可以采用密码审计工具进行模拟的破解分析。第二节IP安全策略启用使用Windows2000中的账号策略设置，可以实现对本机的简单访问控制：1.启用密码的复杂性要求2限制密码的最小长度3.设定密码的最大存留期4设置账号的锁定次数5.设置账号的锁定时间第三节收发邮件的安全邮件病毒如爱虫、SireamNimda等严重危害用户收发邮件的安全。在收发邮件的的过程中，我们应该本着这样的安全目标：1.避免感染计算机病毒或木马程序2避免通过邮件发送的机密文件被网络窃听邮件病毒的一般利用如下的手段传播：1.利用IE浏览器存在的MINE漏洞来实现。2当IE在解释邮件时，由于未能正确处理“ContentType:audiq/一寸”，导致附件自动下载，而且更为严重的是下载结束后自动打开附件，整个过程中并不提示用户，这就导致病毒自身获取本地权限执行附件内容。邮件病毒的防范应该从以下几个方面进行：1.运行防病毒软件，实现实时的病毒检测；2在进行病毒检测之前不要运行邮件的附件；.对IE和QitlookExpress进行安全设置.对IE和CXitlookExpress进行安全升级修补安全漏洞；.针对由脚本编写的附件型邮件病毒，可以将vbs,js的文件关联到“记事本”在IE和QitlookExpress方面应该进行一些安全设置以减少感染邮件病毒:.打开InternetExplorer.依次用鼠标点击：工具—Internet选项-安全.点击受限站点，查看其安全级别是否为高.打开OutlookExpress.依次用鼠标点击：工具~^选项 安全.将“安全区域”设置为“受限站点区域”某些病毒利用脚本运行，可以修改文件关联重定向消除该部分病毒，具体操作如下：.打开资源管理器2依次点击：工具-文件夹选项.在扩展名栏查找后缀为vbs.vbe.js.jse的条目.用鼠标选中该条目，点击更改，在出现的打开方式对话框中查找记事本,然后选择7确定。为了防止邮件在传送过程中被截取，建议在将附件利用邮件进行传送前进行加密，操作方式如下：1.对于VbrdExcel文档，可以用系统本身的加密功能进行加密；2对于其它文件，可以采用Winzip进行加密；3.如果安全要求高，可以安装RT套件。word文件加密示范：1.使用N6Mrd打开要发送的文件2依次点击菜单：工具逐项7保存）.在出现的对话框中，找到“用于xxxdoc的文件共享选项，在打开权限密码中输入一个8位，含字母、数字和标点的密码，如gsta*12c等。.在出现的确认对话框再次输入该密码，然后点击“保存”。.如果不希望他人修改该文件，可以设置修改文件密码，或者选择“建议以只读方式打开文档”。第四节浏览网页的安全用户之所以在浏览网页的过程中会感染恶意代码，主要的原因如下：1.微软的IE的一些版本存在安全漏洞，可能导致用户在浏览网页是泄漏信息设置下载并运行恶意代码。2网页中的ActiveX控件从而可以创建任意文件，修改注册表，甚至可以下载并运行恶意软件。可通过如下安全措施防范浏览网页过程中的恶意代码：1.IE升级2设置IE安全级别.禁用不安全的ActiveX对象禁用FileSystenObject对象禁用不安全的使用FileSystenObject对象操作如下：L依次点击“开始”运行”键入命令regsvr32scrrundl1/u.点击确定禁用不安全的ActiveX控件可能带来访问网页的问题：频繁出现提示，并导致部分网页无法正常浏览。解决措施：可以将信任的网站，列入信任站点列表：.打开IE依次点击：工具^internet选项国全一可信站点2点击“站点”按钮，输入可信站点地址，点击“添加”。第五节协议的安全性在进行网络通讯过程中，必须使用一定的通讯协议。由于某些协议在设计的过程中缺乏对安全的考虑，导致出现安全方面的问题，比较典型的就是明文传输而出现数据包窃听的问题。网络的数据包窃听可以获取未经加密的数据包内容，这些不安全的协议包括：/Tsinet/FIP/3M5/KP/HTTP这些不安全的协议可以采用更安全的协议替代，如Telnet协议可以采用SSH协议替代，HTTP协议可以采用HTIPS协议替代等等。另外也可以采用隧道加密的方法对传输过程中的数据包进行加密。常用的隧道加密协议有IPSec.SSLNPLS等等。第四章N灯技术第一节瓯简介1.19的引入由于Internet的迅速扩张，IP地址缺乏的问题日益严重。采用IPV6,可以从根本上解决IP地址缺少的问题。但是，由于IPV6现在并不成熟，大量基于IPV6的应用还在研究中等问题，急需一种过渡时期的解决方案。NXT(?fetwrkAddressTranslation)就作为一种优秀的过渡方案出现。它通过使用少量的公有IP地址映射多数的私有IP地址的方式，可以在一定程度上缓解IP地址空间枯竭的压力。1.2瓯的基本概念如RTC1631所描述，瓯是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中，瓯主要用于实现私有网络访问外部网络的功能。田说明私有网络一般使用私有地址，RFC1918为私有、内部的使用留出了三个IP地址块，如下：A类:-55(/8)B类:-55(/12)C类：~55(/16)上述三个范围内的地址不会在因特网上被分配，因而可以不必向ISP或注册中心申请而在公司或企业内部自由使用。1.3N灯的转换机制路由器中维护着一张地址端口对应表，所有经过路由器并且需要进行地址转换的报文，都会通过这个对应表做相应的修改，进行〈私有地址端口当少有地址嚼口比间的转换：内部网络主机向外发送报文时，路由器将报文的源IP地址和端口替换为路由器的外部网络地址和端口；当外部的报文进入内部网络时，路由器会查找地址端口对应表，将报文的目的地址和端口进行转换，转换为真正的目的地址。NW换示意图IP报文 ,.IP报文源地址：:5000 源地址：2.221:2000目的地址：:5000 目的地址：:5000用户 IP报文 路由器 IP报文 服务器(4)源地址：:5000 (3)源地址：:5000目的地址：:5000 目的地址：:2000内部用户访问外部服务器的流程如下：1.用户向服务器发送源地址为：500Q目的地址为22225000的报文。2用户发至服务器的报文，在经过路由器的时候，经过地址转换，报文的源地址由:5000改变为2221:200(1.服务器收到用户的报文后，向用户回送报文，报文的源地址为22225000,目的地址为2221：2000,.服务器发至用户的报文，在经过路由器的时候，经过地址转换，目的地址由2221:2000改变为:500ft上述的地址转换过程对终端(如图中的用户和服务器)来说是透明的。对外部服务器而言，它认为客户的IP地址就是22.21,并不知道有这个地址。因此，瓯“隐藏”了企业私有网络的拓扑。4.1.41WJ多对多地址转换及地址池在内部网络的主机访问外部网络的时候，当内部网络的主机非常多，外部IP地址却只有一个时，地址转换可能就会显得效率比较低。解决这个问题需要一个私有网络拥有多个外部地址，可以通过定义地址池来实现多对多地址转换。地址池就是一些合法IP地址(公有网络IP地址)的集合。用户可根据自己拥有的合法IP地址的多少、内部网络主机的多少、以及实际应用情况，配置合适的IP地址池。当主机从内部网络访问外部网络时，将会从地址池中挑选一个IP地址做为转换后的报文源地址。瓯多对多的地址转换：„,, 用户A的IP报文用尸A 源地址：41.5T'KI的特征•对用户透明的地址分配，这里的地址是指经过转化后的外部地址。•可以达到一种“透明路由”的效果。这里的路由是指转发IP报文的能力，而不是一种交换路由信息的技术。4.1.6N^I的优缺点地址转换的优点•使内部网络的的大量主机可以使用少量公网IP地址就可以访问外部网络资源。•为内部主机提供了“隐私”(Privac。保护。地址转换的优点•由于瓯是对数据报文进行IP地址的转换，涉及IP地址的数据报的报头不能被加密。在应用层协议中，如果报文中有地址或端口需要转换，则报文不能被加密。例如，不能使用加密的FIP连接，否则FIP的port命令不能被正确转换。•网络调试变得更加困难。比如，某一台内部网络的主机试图攻击其它网络，则很难指出究竟是哪一台机器是恶意的，因为主机的IP地址被屏蔽了。41.7N3[[的性能在链路的带宽低于时，地址转换对网络性能基本不构成影响。当链路的带宽高于lOVbi”时，地址转换将对路由器性能产生一些影响。41.8应用级网关RG瓯只能对IP地址和TOXTP头部的端口信息进行转换。对于一些特殊协议，例如15眠FIP等，它们报文的数据部分可能包含IP地址或端口信息。如果对这些报文进行地址转换，就会出现不一致的情况，导致错误。例如，一个使用内部IP地址的FIP服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地址发送给对方。而这个地址信息是放到IP报文的数据部分，瓯无法对它进行转换。外部网络主机接收了这个私有地址并使用它，这时FIP服务器将表现为不可达。解决这些特殊协议的N0转换问题的方法就是在N虹实现中使用应用级网关RG（&plicationLevelGateway）功能。AEG是特定的应用协议的转换代理，它和瓯交互以建立状态，使用瓯的状态信息来改变封装在IP报文数据部分中的特定数据，并完成其他必需的工作以使应用协议可以跨越不同范围运行。例如，一个“目的站点不可达”的报文，该报文数据部分包含了造成错误的数据报NI勺首部（注意，瓯发送A之前进行了地址转换，所以源地址不是内部主机的真实地址）。如果开启了IGVPALG功能，在N睇发KW报文之前，它将与瓯交互，打开ICW报文并转换其数据部分的报文A首部的地址，使这些地址表现为内部主机的确切地址形式，并完成其他一些必需工作后，由NW将这个ICN毋报文转发出去。第二节用户日志简介21瓯用户日志的作用对于通过瓯设备接入的用户，由于源IP地址经过地址转换，难以精确定位某次访问网络的操作是从哪台主机、哪个用户发起的，这使得网络的安全性降低。瓯用户日志（UserLo©就是为了解决这一安全问题而实现的。它可以记录数据流信息，从而使管理员能够了解N虹转换前的地址信息，进而查询、跟踪网络活动和操作，提高网络的可用性和安全性。瓯用户日志功能只用于N虹的出方向，不记录外部用户对内部服务器的访问。

422瓯用户日志的实现对于通过瓯访问Internet的私网用户，瓯日志信息通过以下步骤输出：路由器按照IP报文的源IP地址、源端口、目的IP地址、转换后的源IP地址、转换后的源端口、目的端口和协议号来对I班文进行分类；每一类文作为一条瓯流，缓存在丽的HAS玻中；当晔H表中的流老化时（采用定时老化或和强制老化等方式），将HASH表中的流输出到日志缓存（logbuffei）中；日志缓存中的老化流到达一定数目后，系统输出记录的日志信息。423曲用户日志的输出用户日志有两种输出方式：U*报文方式、系统日志方式（Syslo。。如图所示，系统统计每一条老化的流，当统计到一定数量后，将统计信息生成一条U甘报文发送出去，供网上的日志服务器接收处理。UP报文中包含多条瓯数据流的原始信息，由一个报文头和若干条记录组成，每条记录分别对应一条被记录的数据流。输出的U2P报文可以有多种格式。用户日志信息输出示意图userRouterLogserver^3LoginformationuserRouterLogserver^3Loginformation如果采用系统日志方式，系统将定期检查日志缓存，如果日志缓存中有记录,将被输出。

第三节NW以及瓯日志的应用NATServer/日志服务器I 1.如图所示，企业网络在出口处配置N1可以使整个企业只用少量的公网IP就可以访问Interneto内部网络访问外部网络的日志会被路由器发送到日志服务器。第五章防火墙技术防火墙是实现网络安全体系的重要设备，其目的是要在不同安全防范区域之间的唯一信息出入口建立安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进出网络的服务和访问的审计和控制。安全防范区域是具有相类似的被保护资产属性和安全防范措施的区域。实施程序上，需要根据统一的安全防范策略把物理上互连的计算机网络划分成若干个安全防范区域，然后在安全防范区域之间放置防火墙，利用防火墙对进出的信息流施加安全防范策略。几个典型的安全防范区域划分的例子是把不可控的因特网作为非信任区，企业内部的网络作为信任区，企业向外提供网络服务的服务器区作为非军事区。防火墙的每一条安全控制策略都是针对单向的信息流进行安全过滤的。防火墙的安全控制功能主要是工作在网络层和传输层，但防火墙也能根据安全策略从数字链路层到应用层基于用户或时间等其他参数对进出安全防范区域的信息实施安全过滤。防火墙的组网位置示意图第一节防火墙概述1.1防火墙的引入目前，Internet网络上常见的安全威胁大致分为以下几类：非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。一般而言，安全防范体系具体实施的基本内容就是在内部网和外部网之间构筑一道防线，以抵御来自外部的绝大多数攻击。通常，我们用防火墙作为这个网络边防产品。1.2防火墙的作用在大厦构造中，防火墙被设计用来防止火从大厦的一部分传播到另一部分。网络中的防火墙有类似的作用：防止Internet的危险传播到私有网络，或者在企业私有网络中保护重要的设备。在网络边界处，防火墙一方面阻止来自Internet对受保护网络的未授权或未验证的访问，另一方面允许内部网络的用户对Internet进行版访问或收发Email等。当外部网络的用户访问内部网络资源时，要经过防火墙；而内部网络的用户访问外部网络资源时，也会经过防火墙。这样，防火墙就起到了一个“警卫”的作用，可以将需要禁止的数据包在这里丢掉。防火墙示意图 ►允许通过的数据流 ►不允许通过的数据流防火墙不单用于私有网络对Internet的连接，也可以用来在组织网络内部保护大型机和重要的资源（如数据）。对受保护数据的访问都必须经过防火墙的过滤，即使网络内部用户要访问受保护的资源，也要经过防火墙。防火墙还可以作为一个访问Internet的权限控制关口，如允许组织内特定的人访问Internet现在的许多防火墙同时还具有其他一些功能，如进行身份认证、对信息进行安全（加密）处理等等。1.3防火墙的效率防火墙的执行效率会随着防火墙上应用的规则的增多而降低。配置的匹配项目越多，效率降低越多。1.4防火墙的系统结构早期的防火墙是全软件的，通过驻留在作为堡垒主机的普通PC上进行工作。主要的系统组网结构包括堡垒主机模式、屏蔽主机模式和引入非军事区的屏蔽子网模式。发展到现在，网络软件防火墙已经全部转型为硬件防火墙，防火墙系统也采用集成化程度更高，更可靠、高效的模式工作。硬件防火墙主要是在优化过的或自主开发的Inte1架构的专业工业控制计算机硬件平台上，集成防火墙软件形成的产品。硬件防火墙具有高速、高安全性、高稳定性等特点。硬件平台一般均采用几百兆甚至上千兆的高速片，以多芯片模式工作，个别产品甚至采用了ASIC芯片来提高系统的处理能力；硬件平

台的操作系统一般针对安全需要做了最小化优化，并且结合防火墙这一唯一的功能环境要求在采集数据包的底层驱动上也作了优化；在存储方面，采用Flash存储令系统的关键数据存储相对传统磁存储技术在读写速度和稳定性上都有很大提高；另外，加固的设备外壳、标准的设计尺寸以及优化的电源使硬件防火墙更适用于电信等工业生产环境。一个典型的硬件防火墙的工作原理如下图所示。IPTCP/UDPSessionApplication防火增安全控制流程包全？据安吗徼合则日志/告警包丢弃IPTCP/UDPSessionApplication防火增安全控制流程包全？据安吗徼合则日志/告警包丢弃防火墙工作时靠驻留在操作系统内核中的安全检测模块，在网络层之下靠近数字链路层的底层，对进入系统之前的所有数据进行安全控制检查，只有符合安全控制规则的数据包才会被提交给上层协议处理。防火墙在工作过程中根据设定的安全策略集生成安全控制规则表，对每一个数据包按规则表的内容逐条比照，并根据比照结果允许或拒绝数据包通过，同时生成日志或发出告警。5.1.5防火墙的安全控制技术在整个防火墙的技术发展过程中，主要采用了简单包过滤、代理和状态检测三种安全控制技术。简单包过滤技术工作在网络层，对其他各层而言是透明的，主要根据用户设定的IP地址律口对IP包进行过滤，在三种防火墙技术实现上是安全控制水平最低的，但也是最简单的，所以具有很高的处理速度。代理技术主要工作在应用层，能针对各通信层的信息进行安全过滤控制。在实现机制上，针对每一个通信过程，防火墙需要打断通信双方的客户4艮务器联

接，同时为这个通信过程维系两个分立的联接，即从通信发起方到防火墙的联接和从防火墙到通信接受方的联接，另外，对不同的应用需要不同的代理进程来实现。基于应用代理的防火墙技术可以实现安全性最高的控制，但是，由于实现繁琐，技术上限制了系统处理能力的提高。状态检测技术兼具系统处理速度快，安全性高的特点，是当前硬件防火墙中普遍采用的主流安全控制技术。这种技术在技术实现上并不打断正常的客户为艮务器通信联接，而是在数字链路层和网络层之间检测过滤所有的数据包，按安全过滤规则从中抽取与通信状态相关的信息，并把这些状态信息维持在动态的状态信息表中，作为对后续通信数据的合法性进行判决的依据。抽取的状态信息可以涵盖从网络层到应用层的各个通信协议层，这主要取决于防火墙厂家采用的专利算法。应用层表示层会话层传输层网络层数字链路层应用层表示层传输层

网络层数字链路层网络层应用层表示层传输层

网络层数字链路层网络层--MNWSIft

应用层

表示层

会话层

传输层

m网络层

数字链路层

物理层5.1.6防火墙的工作模式防火墙的工作模式主要涉及防火墙的安全分区，组网方式，对VEN加密隧道的支持，业务流控制、虚拟子系统设置，以及为提高系统可靠性采取的双机倒换保护等内容。防火墙的安全分区是对资产采用相似防范策略的网段。在安全分区的实现

上，硬件防火墙与早期的防火墙相比有很大的改进。早期防火墙的结构与安全区域的划分是捆绑的，即采用特定的接口分别作为非信任区、信任区和非军事区的接口。现在的防火墙已经打破了这一捆绑关系。任何一个接口都可以定义为非信任区、信任区或非军事区，甚至还可以定义其他的分区。防火墙的组网方式是区别于接口的。在组网方面，硬件防火墙的接口可以工作在透明桥接、路由和瓯三种模式下。配置为透明桥接模式的接口，工作在第二层。在接入网络时，无需改变现有网络IP层的组网拓扑，接口上即不做IP地址翻译也不需要分配额外的IP地址。透明桥接模式主要适用于给向因特网提供服务的服务器组提供安全保护。透明桥接模式的组网拓扑如下图所示。Firewal1Firewal1工作在加模式下的防火墙接口，主要适用于连接需要访问公网但采用私有IP地址编址，有安全防范要求的内部网段。在接入网络后，该接口作为被保护的逻辑IP子网网段对外访问的安全边界，负责审计和控制进出的业务数据，同时完成对内部私有IP地址与公共IR地址之间的地址翻译。瓯模式的组网拓扑如下图所示。

路由模式是防火墙最普遍使用的接口模式。在接入网络时，路由模式需要调整现有网络IP层的组网拓扑，每个路由模式下的工作接口都需要配置一个IP地址，以连接一个独立的逻辑IP子网。防火墙需要建立路由表，负责多个路由模式接口之间的数据转发。一个路由模式下的组网拓扑如下图所示。122.33.29n9199Firewa11123.32.599.12.1VEN网关与防火墙一样是一类很成熟的网络安全产品。对于利用因特网开展商务活动的企业而言，即需要防火墙保护内部网络同时也需要采用VFN设备加密在公网上传送的信息以保障企业通信信息的安全。因此，对企业而言只有把两种安全产品配合起来使用才能实现一个较完整的安全解决方案。在这方面，有两种做法，一是VEN网关作为一个独立设备与防火墙配合使用，另一种方案是在防火墙内集成VEN网关。后一种集成方案因具备以下优点，被认为更有利于实现安全性高的防范。

1.可以保护VEN网关免受EDdS攻击；2对VEN加密隧道承载的数据可以施加安全控制;.可以简化组网路由，提高效率；4可以共享用户认证信息；.统一了日志和网络管理。防火墙的业务流控制是面向安全过滤策略下的用户或应用服务，为这些用户或应用在接口上分配特定网络通信带宽，并指定业务流优先等级的能力。防火墙的业务流控制功能把提供安全防范与传统的提供业务质量保证的服务结合起来，能对商业用户的关键通信提供安全性高而且通信带宽资源有保障的服务。硬件防火墙系统性能的不断提升，除了可以满足高带宽接口环境的要求之外，也为采用多个较小型防火墙的网络环境提供了防火墙设备集成的可能。这主要是通过在一台高性能的硬件防火墙上采用虚拟子系统方式划分出多个虚拟的防火墙来实现。每个虚拟的防火墙系统都有自己相对独立的管理者、管理界面、地址集、用户列表、服务列表和安全策略集，从而在功能上等效于一个独立的防火墙系统。现在的硬件防火墙普遍实现了倒换保护模式以避免防火墙在工作过程中的单点失效。处在倒换保护模式下的两台硬件防火墙通过实时信息交换保持彼此的安全控制策略、日志和动态状态检测表等信息的一致性。在实现方式上，倒换保护模式包括主备倒换方式和负载均衡方式两种。主备倒换方式在工作中总是只有一台在实际转发数据包，另一台则处于热备份状态；以负载均衡方式工作的两台防火墙则同时都处于工作状态，彼此之间以监测到的通信联接为单位实现负载均衡。一个典型的出口组网配置如下图所示。

第二节包过滤防火墙简介21包过滤防火墙的基本概念包过滤防火墙的基本原理是：通过配置AZL实施数据包的过滤。实施过滤主要是基于数据包中的IP层所承载的上层协议的协议、源下的IP地址、源/S的端口号和报文传递的方向等信息。包过滤应用在路由器中，对路由器需要转发的IP数据包，先获取数据包的包头信息，然后和设定的A工规则进行比较，根据比较的结果决定对数据包进行转发或者丢弃。包过滤防火墙报文结构：|] IP TCP/UDP DATA检查源/目的端口号检查承载的上层协议的协议号；检查源/目的IP地址22VRP对分片报文过滤的支持传统的包过滤并不处理所有IP分片报文，只对首片分片报文进行匹配处理后，后续的分片一律按照首片分片报文的处理策略进行处理。这样很容易带来安全隐患，网络攻击者有可能构造后续的分片报文以进行攻击。包过滤防火墙将检测报文类型，如：非分片报文、首片分片报文、非首片分片报文。获得报文的三层信息及三层以外的信息后，用它与A工规则进行匹配。对于包含三层以外信息的AZL规则项，例如包含RWP端口号、KNP类型,可以提供标准匹配和精确匹配两种匹配方式，如下：.标准匹配即三层信息的匹配，匹配将忽略三层以外的信息；2•精确匹配则对所有的A1项条件进行匹配，防火墙记录首片分片报文的状态后，获得完整的后续分片的匹配信息，当后续分片到达时，使用这些保存的信息对AZL规则的每一个匹配条件进行精确匹配。第三节ASPF简介5.3.1ASFF的概念ASPF(&)plicationSpecificPacketFiItei)是针对应用层的包过滤,即基于状态的报文过滤，它能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过防火墙。ASPF和普通的包过滤防火墙协同工作，以便于实施内部网络的安全策略。5.3.2XRP对ASPF的支持MB的ASPF能对如下协议的流量进行检测：FIPHTTP(HyperTbxtTransportProtocol)SVHP(SimpleNhi1TransferProtocol)RTSP(Real-TimeStreamingProtocol)H323JavaTriplets■ActiveXHAOC(ConferenceControlprotocol)QQTCPWP有些产品的AS"还提供以下功能：JavaBlocking(JavalSBr)和AtiveXBlocking(AztiveXffi,断)，用于保护网络不受有害程序的破坏。支持端口到应用的映射，用于应用层协议提供的服务使用非知名端口时的情况。第四节黑名单简介5.41黑名单的概念黑名单，指根据报文的源IP地址进行过滤的一种方式。同AZL相比，由于进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定IP地址发送来的报文屏蔽。黑名单用户A//24如图所示。用户B的IP地址已经在黑名单中，从用户B发出的所有报文都会被路由器丢弃。5.4.2黑名单的特点黑名单最主要的一个特色是可以由防火墙模块动态地进行添加，当防火墙中的模块根据报文的行为特征发现特定IP地址的攻击企图之后，可以主动修改黑名单列表。第五节Mk和I蝇址绑定简介5.5.1地址绑定的提出M£和IP地址绑定，是防范IP地址假冒攻击的一种技术。指防火墙可以根据用户的配置，在特定的IP地址和地址之间形成关联关系。一方面，对于声称从这个IP发送的报文，如果其M£地址不是指定关系对中的地址，防火墙将予以丢弃。另一方面，对于发送给特定IP地址的报文，在通过防火墙时将被强制发送给所关联的地址。用户AIP地址：/24MAC地址：00e0-fc00-0100用户B发出的虚假报文，将源IP地址修改 -为：用户C发出的报文，目 的地址为：如图所示，用户B将自己的IP地址修改为1.1.1.U24在路由器上，IP地址和M工地址00e0-fc0(H)100(用户酸J地址)是绑定的。所以,用户B发出的所有报文都会被丢弃。同样，用户C向LLL1发出的所有报文也会被发往用户A第六节端口映射简介应用层协议通常使用知名端口号进行通信。端口映射允许用户对不同的应用层协议定义一组新的端口号，还可以指定使用非知名端口的主机范围。端口映射只有和ASPR等针对业