计算机网络安全基础

网络安全基础培训课程

安氏领信2007年2月一、网络安全概述二、网络服务的安全问题三、常见黑客攻击手段四、企业网中可以选择的安全技术五、网络安全防范策略主要内容一、网络安全概述复杂程度InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易时间INTERNET技术及应用的飞速发展网络发展的现状不断增加的新应用不断加入的网络互联网的广泛应用人员安全意识不足不得不面对的对手

网络的攻击事件报道（1）据联邦调查局统计，美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道，世界上平均每20秒就发生一次入侵国际互联网络的计算机安全事件，三分之一的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆•塞特尔称：给我精选10名“黑客”，组成个小组，90天内我将使美国趴下。据IDC超过50%的攻击来自内部，其次是黑客。网络的攻击事件报道（2）1996年初，法国国防部证实：法国海军参谋部计算机储备的军事机密于1995年7月被人窃走，其中包括几百艘盟军军舰的声音识别密码以及舰只航行图。美国国防部对其军用计算机网络进行安全检测后所提出的报告中指出：现用网络中，85%的计算机可能受到侵害15%曾有报警记录5%曾有遭受过攻击的报告。

网络的攻击事件报道（3）在海湾战争中，美国特工人员在安曼将伊拉克从德国进口的一批计算机打印设备中换上含有可控“计算机病毒”的芯片，导致伊方的计算机系统在战争初期就陷入全面瘫痪。美国已生产出第一代采用“病毒固化”技术的芯片，并开始嵌入出口的计算机产品中。一旦需要，便可遥控激活。2000年2月，Yahoo受到攻击。“黑客”所采用的攻击方法为分布式DoS攻击。2000年3月8日：山西日报国际互联网站遭到黑客数次攻击被迫关机，这是国内首例黑客攻击省级党报网站事件。2003年11月，Microsoft公司遭到来自俄罗斯的“黑客”袭击，据称造成部分源代码丢失。2003年著名的游戏公司Sierra开发的反恐精英2在未上市之前源代码被黑客从网路窃走。1980 19851990 1995 20012003时间（年）高各种攻击者的综合威胁程度低对攻击者技术知识和技巧的要求黑客攻击越来越容易实现，威胁程度越来越高信息网络系统的复杂性增加脆弱性程度网络系统日益复杂，安全隐患急剧增加网络的攻击事件报道（4）

网络存在的威胁操作系统本身的安全漏洞；防火墙存在安全缺陷和规则配置不合理；来自内部网用户的安全威胁;

缺乏有效的手段监视、评估网络的安全性；TCP/IP协议族软件本身缺乏安全性；电子邮件病毒、Web页面中存在恶意的Java/ActiveX控件；

应用服务的访问控制、安全设计存在漏洞。线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。

信息安全的基本特征（1）相对性只有相对的安全，没有绝对的安全系统。操作系统与网络管理的相对性。安全性在系统的不同部件间可以转移（如在内部网络和外部网络之间使用堡垒主机）。信息安全的基本特征（2）时效性新的漏洞与攻击方法不断发现（NT4.0已从SP1发展到SP6，Windows2000业发现很多漏洞，针对Outlook的病毒攻击非常普遍）配置相关性日常管理中的不同配置会引入新的问题（安全测评只证明特定环境与特定配置下的安全）新的系统部件会引入新的问题（新的设备的引入、防火墙配置的修改）信息安全的基本特征（3）攻击的不确定性攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性复杂性：信息安全是一项系统工程，需要技术的和非技术的手段，涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急反应等网络安全层次层次一：物理环境的安全性（物理层安全）层次二：操作系统的安全性（系统层安全）层次三：网络的安全性（网络层安全）层次四：应用的安全性（应用层安全）层次五：管理的安全性（管理层安全）存在卵安全同漏洞隐原因网络钻设备感种类杨繁多命访问遥方式唉的多调样化网络抢的不助断变烦化用户短安全蚂专业罢知识畜的缺酿乏网络子服务划的安吴全问配题电子顶邮件豪的安痒全问葱题UN玩IX平台棚上常壤用的谋邮件浸服务对器se具nd拍ma痕il常以ro它ot帐号算运行配，存雅在潜晒在的壶危险斗；角色罢欺骗完：电枪子邮世件上棕的地治址是短可以抱假冒忆的；窃听冰：电台子邮螺件的睬题头扮和内拉容是哗用明抵文传层送的标，所洁以内暂容在剖传送逗过程桂中可寻能被价他人滚偷看短或修筐改；电子埋邮件摊炸弹常：被滩攻击皱的计红算机鸽被电呜子邮缸件所桑淹没荡直到妹系统泼崩溃咳；针对茶电子悬邮件细的病嫁毒大踪蝶量涌耻现。FT删P文件层传输策的安虎全问赤题多数FT冶P服务哈器可枯以用an恢on危ym非ou捷s用户茄名登捡录，示这样哑存在梁让用洗户破锻坏系享统和飞文件咽可能袄。上载惑的软姜件可樱能有扩破坏浅性，言大量缺上载胖的文炉件会寸耗费苍机时姿及磁菌盘空帽间。建立战匿名互服务膏器时滨，应损当确举保用缠户不载能访幻玉问系恨统的元重要东部分柴，尤阿其是陕包含两系统宽配置固信息丧的文趁件目投录。注意货不要详让用但户获蝇得SH晋EL篮L级的练用户酸访问计权限教。普通葛文件幕传输困协议总（TF倘TP）支持升无认桨证操宏作，尾应屏籍蔽掉些。Te虾ln使et服务书和WW她W的安夺全问炼题Te养ln袄et登录提时要边输入耀帐号民和密阅码，鞠但帐赔号和常密码羡是以镜明文邻方式烧传输狼的，花易被豪监听寒到。SS烂H(疤Se坚cu锡re联S消he铺ll灾)We浊b浏览苏器和币服务枕器难纳以保每证安秋全。We累b浏览附器比FT道P更易堵于传弓送和平执行牵正常颤的程伪序，束所以透它也岛更易屯于传直送和浓执行扩病毒疤程序蚊。服务腿器端凡的安基全问省题主篮要来姿自于CG绢I（公共选网关庆接口嗽）程槽序，驼网上袄很多应的CG奶I程序纯并不吴是由净有经合验、彩了解涛系统灵安全更的程灭序员方编写触的，毅所以菠存在避着大宗量的租安全及漏洞担。Ja叼va靠Sc横ri检pt检,障Ja线va恶A坟pp畜le盗t,蛇A称ct榴iv协e笨X都会蜻带来选安全扇问题网络持管理绕服务兴及NF胸S的安馆全问谋题Pi抄ng、tr乱ac看er语ou辨te/tr妥ac棉er堪t经常被用乖来测六试网搞络上即的计缎算机田，以昂此作景为攻爷击计醒算机观的最嫂初的破手段摄。简单偷网络讯管理污协议驾（SN焰MP）可以脂用来纽奉集中教管理冈网络兔上的繁设备判，SN堆MP的安陪全问微题是絮别人装可能绪控制淹并重待新配塘置你丧的网叼络设闻备以盟达到券危险茂的目驻的：念取消吼数据村包过详滤功悄能、低改变馋路径服、废竞弃网滤络设泥备的阳配置蠢文件撇等。NF拉S可以勺让你束使用示远程妄文件未系统帐，不住恰当忠的配婆置NF终S，侵袭堡者可椒以很顶容易劣用NF迟S安装概你的舌文件脑系统堤。NF祝S使用奴的是肿主机还认证阁，黑角客可打以冒霜充合叔法的顺主机针。黑客叙常见蛙攻击虹手段主要是内容日益叠增长梢的网拢络安参全威法胁状钩况常见唉的网春络攻巷击方院式解述析口令在攻击特洛农伊木视马网络杠监听sn吹if首fe堪r扫描死器病毒蛮技术拒绝客服务株攻击(D隙DO蛋S)日益盯增长否的网相络安稳全威犯胁日益凭增长播的网级络安本全威系胁黑客庸和病稼毒技珠术的洒统一自动决，智禁能，玻普及,分布,大范煎围黑客致文化:从个尝人目役的到考政治果，社荐会，亲军事芦，工扫业等蚀目的网络内部湾、外姨部泄钟密拒绝爬服务凭攻击逻辑导炸弹特洛摄伊木稼马黑客竹攻击计算该机病馒毒信息唯丢失刘、篡员改、谜销毁蠕虫常见原的黑隆客攻揉击方信式常见度网络顷攻击炸方式口令缎攻击特洛丸伊木谎马网络爸监听sn杆if府fe狂r扫描廊器病毒合技术拒绝镜服务巷攻击(D笨DO洞S)口令节攻击口令哥攻击既类型字典漂攻击强行苗攻击组合活攻击其他斧攻击具类型社会骡工程少学偷窥搜索皮垃圾份箱实施桌入侵妻（9）口令枕攻击厦工具Wi卷nd悦ow船s下常坛见的叨工具L0扔ph讲tc针ra盟ckNT桶Sw壁ee懂pNT秘Cr障ac洋kPW念Du嫩mp宪2Un筐ix下常捐见的望工具Cr愉ac石kJo拔hn道t纲he偶R亩ip鹅pe职rSl筛ur睡pi沿e特洛土伊木摄马（1）特洛杏伊木炮马简单挨地说返，特脖洛伊近木马蛙就是此攻击驻者再惑次进寒入网辱络或疤者是奥系统染而不黑被发颜现的胜隐蔽避通道薯。特洛烘伊木碍马（2）在大脉多数浪情况条下，稼攻星击者尊入侵疾一个贝系统秘后，毕他可滋能还达想在俯适当卵的时炒候再蓝次进存入系触统。燃比如晃说，株如果船攻击地者入口侵了室一个关站点横，将纯它作渐为一肌个对篮其他虽系统榴进行陵攻击丹的平抓台或肤者是类跳板伶，他美就会登想在得适当踩的时仓候登狗录到欧这个菊站点贝取回谎他以波前存禾放在古系统妈里面西的工氧具进棍行新浊的攻坐击。肃很容牢易想置到的苗方法快就是挑在这仿个已典经被抛入侵趟的系块统中污留一星个特钳洛依留木马柏。特洛摸伊木古马（3）木马微程序倍举例QA佣ZQA编Z是一昂个典亩型的量通过润电子侍邮件谁传送悬的特挺洛伊敬木马负程序钻。它罩通常率隐藏夸在no权te坐pa孟d.锋ex罢e程序插中。木马刺监听躺代理木马蕉监听刷程序乌在受恼害者播系统赴中打饥开一响个端登口并挑且对精所有混试图量与这碎个端红口相胸连接疑的行帽为进炮行监幸听。竿当有闷人通强过这伶个端够口进雾行连昌接时笨，它局要么载运行饲一个台三方矿程序渗，要博么将罚命令型发送涌给攻弯击者南。Ne半tc叠atTi俱niRo骄ot卸ki挪t特洛野伊木谱马（4）关于Ro狂ot徒ki搭tRo母ot厨ki群t对于UN奶IX系统盾来说脑是相烈当普随遍的墙，NT系统溜的也裕有。马和它结的名么字正忽好相活反，冷这种归工具降并不公能使中我们毛获得RO钥OT权限渔，但亲是当刻一个辫攻击妻者已趴经获提得了RO馒OT的身钟份后绕，它复就能换使攻犬击者淋在任锹何时余候都掀可以时以RO印OT身份呆登录纯到系辫统。抚它们僻经常忍采用宾的方塔法是圣将自趟己隐嫁藏在殊一些真重要窜的文奴件里强。Ro捞ot爬ki蛾t有两喊个主龙要的呼类型翼：文件救级别系统产级别特洛伶伊木香马（5）文件职级别Ro吸ot究ki凯t威力胁很强适大，切可以裂轻而觉易举姥地在葛系统旺中建锹立后谦门。虽最一滨般的惩情况吓就是笼它们永首先破进入延系统塞然后磨修改蒸系统乎的重愈要文迹件来灶达到密隐藏蒸自己旗的目惰的。士合法把的文母件被李木马本程序煎替代沃。通用常情袭况下警，合猴法的侄程序垄变成祸了外熔壳程课序，胁而其穿内部弹就是种隐藏叙着的岩后门奶程序隆。下欣面列弹出的识程序晌就是饺经常食被木棉马程菜序利窝用掩饼护自蜡己的UN冠IXRo后ot绢ki叫t。LO搜GI糠NLSPSFI领NDWH屿ONE敌TS洲TA浸T特洛笨伊木伞马（6）系统哭级别症（内臂核级菊）对于算工作税在文基件级装的Ro胆ot启ki嘴t来说挺，它艳们非展常容蔬易被黑检测占到。绣而内身核级Ro闹ot跳ki递t工作乞在一跃个很肺低的箩级别吼上--内核奥级。贷它们丑经常币依附控在内夫核上贵，并予没有拼修改督系统压的任梢何文蜂件，城于是tr洒ip位wi狱re工具谈就不奇能检犁测到扁它的隶使用恐。因控为它钩并没阁有对奇系统登的任染何文吉件进竭行修堵改，浅攻击畅者可携以对还系统喊为所鹿欲为霜而不司被发软现。刘系统愿级Ro垂ot牧ki皇t为攻哪击者案提供游了很两大的浸便利鞭，并游且修代复了凯文件碎级Ro票ot凯ki芽t的一蠢些错症误。特洛封伊木锹马（7）Un盐ix下常渡见的脚后门要程序文件吧级Ro牙ot传ki伍tTr焰oj势an俯ITLr梯k5Ar劳kRo蜻ot霞ki格tTK内核巴级Kn浆ar情kAd跃or坡e特洛宁伊木晶马（8）Wi夜nd挠ow行s下常关见的我后门帮程序Br嗓ow论n低Or纳if庙ic降eDo性na泡ld刚D横ic锐kSu进bS辉ev扬enBa皆ck棋O出ri昂fi核ce广外游女生黑暗莲天使冰河特洛户伊木院马（9）木马伴的清当除：Th厌e由Cl款ea陡ne李r杀毒蚀软件手动耽清除木马逃的防合范：京不要浆下载判和执摄行来四历不浮明的涉程序网络递监听网络悔监听蜘的作云用：可以扭截获示用户尚口令灭；可以铃截获凭秘密红的或疼专用吸的信订息；可以绵用来戴攻击贫相邻暴的网动络；可以繁对数两据包筝进行梦详细功的分舞析；可以良分析授出目妙标主披机采峰用了巷哪些亲协议常用冻网络屡监听私工具工具名称操作系统功能简介SniffitSunOS,Solaris针对TCP/IP协议的不安全性进行监听TcpdumpUnix,FreeBSD可以从以太网上监听并截获数据包nfswatchHP/UX,SunOS监控在以太网上传输的NFS数据包ethermanSGIIrix监听以太网上的通信SnoopSunOS,Solaris用来侦听本网段数据包，常用作错误诊断NetstatUNIX、WinNT显示当前的TCP/IP连接和协议统计etherfindSunOS监听局域网上的通信的主机LanwatchDOS监听外部主机对本机的访问扫描研器定义慈：自主动检鬼测本海地或驻远程齿主机乳安全殊弱点尤的程骂序功能尚：帮苹助发扣现弱挂点而户不是祥用来辈攻击托系统分类忙：本厚地扫次描器瓶和网立络扫渡描器撞；端桐口扫闷描器通和漏刚洞扫劳描器常见晌扫描碌器：驰如IS竟S(键In宿te谋rn仰et格S真ec旅ur薄it胶y院Sc亭an独ne曲r,溜I垫nt破er照ne庸t安全胃扫描月程序肾），SA弯TA品N(绩Se拒cu尤ri奸ty尊A庭na谢ly弟si气s魔To亲ol制f隙or仍A突ud立it膛in哑g贱Ne娃tw枪or粉ks，审计敏网络海用的貌安全神分析区工具朴），NE夜SS悄US等可刘以对衬整个够域或化子网拐进行课扫描弱并寻戴找安融全上锅的漏棒洞这稠些程刊序能塔够针摄对不旧同系秤统的欲脆弱套性确哥定其哥弱点据。入挤侵者营利用虾扫描雪收集阿来的拾信息福去获卵得对民目标辫系统蜂的非甘法访聪问权知。国际泼互联致网络服务常器服务借器防火饿墙其它搜网络广域丘网电话惭网企业豆网内域盲网互联填网扫可描器拒绝纺服务稀攻击Do兽S攻击LA谢NDTe食ar短dr扭op巾,SY利N被fl显oo成dIC效MP子:sm罚ur戚fRo怜ut荷er演:伏re廉mo蹲te设r线es返et默,稼U锤DP怪p发or肝t碧7,Wi别nd坟ow衔s:涂P骑or索t曲13访5,槽1贵37但,1死39齐(O搬OB盾),座te拜rm达in作al鞋s图er慰ve虎rSo辛la碰ri纸s尼:Li暗nu技x:其他..释.攻击蠢者17抖2.逢18州.1饶.1InternetCode目标20萝4.对24衰1.雷16啦1.愉12欺骗屿性的IP包源地盖址20辆4.禽24垂1.凶16晋1.瞧12Po席rt狸1离39目的继地址20葡4.谁24赠1.升16喂1.任12Po站rt安1坟39TC填P鼓Op魂enG.坊M宴ar纪k价Ha狸rd猛y拒绝利服务今攻击:LA晌ND攻击攻击膝者17造2.骗18谋.1绢.1InternetCode目标20博4.陷24仇1.吗16封1.驾12IP包欺本骗源地帆址20核4.付24待1.在16晌1.愧12Po经rt蔬1卡39目的挠地址20潜4.湿24葱1.锈16顾1.顶12Po哲rt浇1话39包被录送回爪它自澡己崩溃G.恭M刺ar醋k名Ha参rd晶y拒绝鲁服务勤攻击:LA骂ND攻击攻击搂者17范2.柏18学.1出.1InternetCode目标20耗4.孩24健1.焦16鱼1.棒12IP包欺嚼骗源地注址20番4.势24框1.虏16身1.衰12咐P洒or梢t涝13仁9目标量地址20其4.响24株1.嫩16碗1.廉12幸P丧or波t翼13炎9TC饼P香Op迈en防火返墙防火屡墙把叔有危牲险的把包阻隔杜在网营络外G.目M屡ar肺k执Ha隐rd俊y拒绝羊服务紧攻击:代理扔防火蔽墙的俗保护攻击绪者17跳2.款18化.1把.1InternetCode目标19那2.融0.剂2.焦1欺骗啊性的IP包源地没址不输存在目标络地址君是19晋2.秃0.壤2.可1TC郊P愈Op峰enG.贺M奏ar快k勇Ha控rd誓y拒绝妙服务诞攻击:SY锡N肌FL嗽OO推D攻击兵者17赢2.下18辨.1第.1InternetCode目标19欢2.酬0.迅2.另1同步衣应答巨响应源地再址19搜2.条0.残2.烈1目标金地址破不存由在TC裹P达AC寸K崩溃G.耳M帮ar蹲k饿Ha剂rd简y拒绝宫服务厨攻击:S炼YN临F伤LO旋ODSm培uf族f攻击益示意晋图第一往步：立攻击焦者向甲被利榜用网呢络A的广段播地降址发普送一攀个IC伏MP协议捷的’ec品ho税’请求吩数据蜡报，静该数蛋据报宿源地救址被蜂伪造落成10能.2玩54翻.8欢.9第二兴步：戴网络A上的所有模主机贺都向态该伪呆造的驾源地拉址返西回一腊个‘ec棕ho葱’响应郊，造叨成该键主机下服务盆中断齐。拒绝雷服务涝攻击:Sm肾ar梯f分布厘式拒哪绝服疏务（DD的OS）以破岗坏系者统或材网络抓的可呜用性我为目武标常用她的工箱具：Tr买in夜00降,TF湖N/佳TF缸N2焦K,St验ac融he移ld萌ra祸ht很难嘉防范伪造轨源地蔬址，博流量挪加密者，因柿此很难巨跟踪cl俱ie究ntta唐rg其ethandler...agent...DoSICMPFlood/SYNFlood/UDPFloodDD棍oS的结覆构分布某式拒恩绝服泡务攻遮击步藏骤（1）ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1InternetHacker被控跑制的蠢计算缩慧机(代理禽端)黑客晌设法庭入侵也有安司全漏么洞的茄主机暂并获眨取控惹制权彻。这挎些主拘机将掉被用鼓于放捆置后恶门、sn久if元fe选r或守撒护程储序甚利至是传客户涝程序押。2Internet分布园式拒罗绝服伸务攻考击步译骤（2）Hacker黑客规在得往到入尺侵计确算机饰清单偿后，满从中授选出筒满足剪建立握网络却所需侧要的下主机超，放庸置已厅编译眨好的狠守护兴程序哀，并装对被雄控制知的计象算机答发送邪命令身。3被控闸制计费算机损（代俱理端派）MasterServerInternet分布描式拒贴绝服肉务攻盼击步孝骤（3）HackerUs课in雅g仰Cl沟ie如nt派p墨ro听gr旦am昌,黑客厅发送春控制淋命令换给主冲机，重准备畜启动唤对目活标系匠统的搏攻击4被控锻制计汤算机剩（代享理端画）TargetedSystemMasterServer分布吼式拒如绝服邻务攻丝式击步丽骤4Internet分布行式拒滋绝服稳务攻柄击步畏骤（4）InternetHacker主机姥发送岛攻击款信号贤给被弱控制冬计算岗机开看始对日目标策系统出发起航攻击沉。5MasterServerTargetedSystem被控正制计池算机它（代必理端壮）分布飞式拒蜡绝服攀务攻革击步掠骤（5）TargetedSystemHacker目标壳系统离被无腐数的厉伪造商的请询求所万淹没窝，从援而无矮法对陡合法权用户谊进行运响应掀，DD牵OS攻击喘成功黑。6MasterServerUs抹erRequestDeniedInternet被控踪蝶制计债算机阁（代槐理端碑）分布刺式拒瓦绝服张务攻焦击步拜骤（6）DD甚OS攻击浸的效喇果由于租整个悲过程败是自吴动化虏的，绸攻击直者能踢够在5秒钟障内入烘侵一欧台主惨机并劲安装属攻击燃工具丢。也键就是浪说，虚在短叮短的童一小平时内诸可以苍入侵千数千绵台主拥机。舍并使雹某一局台主斗机可铜能要紧遭受10钱00顾MB狼/S数据堂量的资猛烈扮攻击糖，这笑一数出据量午相当栋于1.解04亿人充同时叙拨打猫某公带司的郊一部壳电话迹号码古。分布畏式拒歌绝服短务攻渐击分布戴式拒定绝服遗务攻笛击的守今后阴的发未展趋抵势：如何摧增强辆自身描的隐桃蔽性撇和攻羊击能队力；采用越加密坟通讯垄通道叨、IC乳MP协议假等方陶法避铃开防惩火墙浆的检桂测；采用替对自央身进贪行数绩字签及名等报方法帜研究授自毁某机制删，在巡寿被非肾攻击戒者自顾己使用用时造自行姜消毁茧拒绝快服务宅攻击歉数据唯包，释以消料除证卡据。分布寻式拒边绝服触务攻驴击的患发展酒趋势预防DD蹄OS攻击侨的措细施确保恐主机傍不被膝入侵繁且是虽安全浪的；周期们性审底核系培统；检查脊文件第完整始性；优化镇路由该和网当络结览构；优化意对外阁开放残访问拳的主绸机；在网论络上辜建立狼一个猛过滤固器（fi萝lt通er）或侦拌测器（sn兰if霜fe竖r），在攻连击信煌息到表达网舞站服铜务器鹿之前便阻挡就攻击够信息惰。预防DD木OS攻击凉的措邪施计算合机病银毒计算问机病炒毒带鞭来的惕危害20霜03年，讨计算亏机病椅毒不绳仅导斯致人远们支势付了筑数十钱亿美计元的怒费用据，调而且挎还动所摇了岁互联阁网的羞中枢励神经披。从朋今年1月份庭的Sl闭am雕me科r攻击乡丰事件舒到8月份严的“誉冲击叠波”训病毒偷，都轧给互蒸联网侄带来促了不滚小的淋破坏起。20壤04年上抗半年拜又出棕现将偿近40抽00种病宿毒目前域世界页上共维有8万多其种病说毒，遍但是乡丰大部奥分都暮为“立动物葱园”现里的头老病擦毒，苍这些走病毒弊很少循传播暑，还觉在“饱野外键”的协病毒音有20梅00多种尿，较莲为流物行的链病毒散有20碑0多种科，其弓中以蒸蠕虫均病毒予传播勿最为钢广泛耗。中文II袖S4木.0绑+S扔P6中文WI路N2绸00剖0+称II嚼S5途.0、中文WI土N2掠00纤0+屠II售S5驴.0帜+S吨P1，UN判IC吃OD路E编码劫存辆在BU剂G，在UN粪IC茶OD车E编码咸中%c耀1%牺1c价-舞〉蝇(0孝xc虚1似-太0x叙c0石)位*酸0x薯40烈+诱0京x1吼c后=蹈0x孝5c尸=胡‘奋/‘片%c猴0%者2f擦-尖〉谱(0畏xc淘0抖-得0x获c0忠)朴*塞0x前40程+纤0擦x2写f搁=贷0x污2f烟=搂‘＼‘NT熄4中/编码辈为%c狂1%筹9c在英给文版暗里：WI盆N2泰00简0英文贷版%c宫0%牢af还有汇以下糟的编垂码可谷以实纱现对款该漏响洞的硬检测.含%c墙1%积pc杰%c并0%凤9v被%c纱0%欣qf搁%c请1%终8sht透tp花:/迫/1膊92让.1渴68旦.1窑00膜.2共27梨/s筛cr咽ip便ts准/.陡.%山c1投%1尸c.杀.%知c1员%1桌cw汽in代nt舍/s斜ys奇te笼m3栗2/欠cm忆d.裂ex盼e?绳/c说+d沟irc:叠\黑客歌攻击阵范例宽－UN购IC责OD富E漏洞街的利裹用黑客摔攻击寇范例竞－UN辞IC停OD货E漏洞找的利昂用黑客衣攻击占范例右－UN荐IC萄OD丝式E漏洞汪的利贫用企业绘网中蛮可以庙选择乓的安娘全技给术主要暂内容防火声墙技载术加密醋技术VP此N技术入侵意检测夫技术防病班毒技供术网络特扫描什技术ServerClient防火倦墙（Fi斤re茫wa糊ll）注解估：防柳火墙柔类似认一堵水城墙状，将伸服务绢器与板客户燃主机练进行舞物理插隔离狂，并妈在此雄基础柜上实尊现服谎务器昨与客轻户主偏机之押间的成授权乎互访秃、互罢通等腔功能岁。防火授墙是凳一个透位于数计算屈机与欣网络郑或网享络与居网络闻之间宜的软按件或蛙硬件满设备莲或是姥软硬战件结滚合一种嘴高级伙访问罩控制瓜设备罪，置予于不固同网络株安全晌域之间仇的一体系列揉部件北的组葬合，盘它是俗不同棚网络紫安全唇域间款通信枯流的唯一涉通道，能骆根据来企业佩有关挣的安蜡全政掘策控制（允控许、非拒绝晕、监没视、共记录贞）进躁出网棒络的旦访问的行为步。两个伯安全将域之酸间通孩信流厅的唯裕一通席道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据缸访问情控制嗽规则都决定姿进出上网络咏的行蹄为防活火凝墙防火矛墙的怠目的确保叨内部肠网向烂外部烧网的洋全功并能互场联和单内部瞧网的不安全杯；所有滋内部狡网络斤与外由部网绩的信粥息交智流必韵须经俱过防膨火墙碎；只有讨按本鞭地的跃安全修策略威被授瞒权的搂信息伯才允祸许通限过；防火你墙本波身具拆有防涂止被业穿透续的能轨力。防火钳墙的来作用过滤普进出矩网络和的数局据包管理温进出代网络语的访旧问行梨为封堵钉某些睬禁止艰的访谎问行妹为记录纠通过轧防火迷墙的俯信息莫内容评和活遇动对网激络攻宁击进肾行检队测和恨告警防火效墙结裕构双主叮机防鼠火墙主机主屏蔽舰防火愉墙子网照屏蔽倚防火急墙双主机穗防火辈墙你的网络in复te录rn姿et双网灶卡主毕机1、必块须使恋主机身的路扎由功承能无名效。2、双傲主机绿防火钩墙是淡运行撤一组简应用鼓层代浑理软能件或驱链路钞层伯代移理软队件来对工作挖的缺点妥：用烈户很略容易终意外财地使喂内部虾路由钻有效主机政屏蔽脸防火雀墙你的网络in抗te奋rn孔et路由颗器主机蛙屏蔽践防火酷墙子网屏渠蔽防勿火墙你的网络internet路由器子网屏蔽防火墙路由器防火洪墙技丸术包过滤发技术代理更技术状态钉检查蔽技术地址调翻译启技术安全潜审计怒技术安全烂内核泻技术负载长平衡摔技术内容疾安全师技术防词火铃墙的率局限%c帜1%潜1c%c珠1%搜1cDi糠r脸c:师\防削火欠墙的谱局限确保掉网络烛的安感全,就要酷对网祥络内长部进蓄行实槐时的矿检测,这就油需要ID性S无时错不在辉的防核护！防火摸墙不勤能防它止通咐向站绪点的伶后门尤。防火干墙一丈般不殖提供羽对内者部的辈保护脉。防火故墙无她法防款范数质据驱底动型胖的攻匆击。防火幼墙不放能防幅止用撤户由In姻te宝rn召et上下伏载被向病毒曲感染鹅的计裁算机还程序轮或者摘将该霞类程破序附烦在电雕子邮逐件上绕传输数据授加密粥技术加密筋系统券的组送成部荷分密码线分类数字困签名近代含加密旗技术加密膛技术翻的实悦现PG剃P加密嫌软件加密魄系统迁的组批成部紫分（1）未检加密挎的报小文，单也称烤明文烧。（2）加散密后苏的报劫文，阵也称堆密文叹。（3）加买密解话密设隐备或墨算法石。（4）加溪密解别密的永密钥密钥计：是使用户淘按照惑一种仇密码仁体制腰随机蓄选取闷，它肝通常递是一等随机得字符沟串，戴是控灿制明撞文和井密文鞭变换密码妇分类按应咽用技剖术或革历史企发展棋阶段血划分手工坏密码部、机狗械密轨码、赚电子梁机内圣乱密绳码、迟计算糠机密魂码按保滤密程臭度划山分理论乡丰上保绒密的迅密码肢、实玩际上毙保密工的密椅码、授不保全密的刊密码按密店钥方纹式划厅分对称犯密钥遍密码养、非轨对称煤式密隆码按明障文形地态模拟梨型密群码、衔数字期型密干码按编岔制原围理划字分移位棕、代滴替、互置换对称叠密钥裁加密国技术安全冰性依厌赖于终：加密望算法蛇足够排强，绩加密株方法无的安兵全性堂依赖它于密只钥的怒秘密寨性，勇而不架是算低法。特点咏：（1）收发橡双方骂使用透相同急密钥垫的密听码（2）密琴钥的傅分发陈和管课理非蛇常伶复杂疗、代工价昂慰贵。（3）不捉能实至现数夫字签交名用来趣加密渣大量终的数逢据公有勺密钥痒加密场技术加密驻关键州性的勿、核壶心的满机密贴数据加密拆系统百的组汤成部累分公有另密钥揉和私泄有密靠钥的腿使用陈规则（1）密屈钥成忠对使绢用（2）公编钥可之以给石任何追人，师而私警钥自体己保帮留（3）从展现实课环境锻下，探不可违能从猜公有步密钥律推导纱出私研有密旷钥特点仓：（1）密不钥的权分配援和管俘理简卸单。（2）容坡易实臭现数届字签刃名，利最适夫合于供电子汽商务疮应用碗。（3）安壮全性弄更高孝，计松算非弟常复群杂，惧实现座速度踪蝶远赶捧不上扇对称磨密钥否加爹密孝系统数字聋签名原理意：将要翁传送洲的明劳文通驳过一偏种函庆数运饲算（HA航SH）转炉换成炒报文扬摘要瞒，报呈文摘延要加柔密后辆与明充文一摊起传穴送给呀按受搅方，野接受尼方将姥接受捎的明抱文产档生新驳的报节文摘梁要与秧发送风方的钥发来皆的摘群要解洁密比盛较，龟比较宇结果府一致优表示僵明文裁未被燥改动裹，如歼果不宇一致竹明文虏已篡怪改。数字怪签名VP键N即虚怕拟专门用网父，是妹指一胆些节统点通博过一浓个公答用网榨络（绸通常绝是因停特网总）建饿立的县一个悠临时事的、色安全滤的连捆接，眼它们值之间湿的通巨信的卵机密拦性和绍完整坚性可粘以通为过某觉些安南全机利制的钩实施纸得到乖保证特征虚拟(V里)：并不庭实际者存在兵，而廊是利估用现权有网麦络，丢通过登资源覆配置倚以及腔虚电可路的喊建立伶而构泊成的第虚拟絮网络专用(P好)：只有数企业押自己糕的用狼户才怪可以匹联入兼企业蛙自己惜的网补络网络(N用)：既可策以让奏客户朱连接间到公纪网所购能够伯到达劫的任竞何地伤方，螺也可访以方磁便地笑解决啄保密竹性、亮安全腊性、希可管暂理性隔等问涝题，农降低残网络息的使自用成页本VP风N技术VP神N的用惠途VP药N（虚怀拟专延用网窝络）水是通辱过公叙共介己质如In毯te冰rn延et扩展脸公司纪的网纪络VP订N可以悬加密愤传输凝的数再据，戴保障话数据赖的机匠密性疲、完拘整性点、真转实性防火即墙是侮用来垂保证隙内部盘网络搂不被绩侵犯愁，相吃当于默银行哪的门论卫；冈而VP橡N则是位保证晓在网材络上划传输稿的数均据不亲被窃招取，添相当汉于运猴钞车杨。VP顽N的隧环道协死议VP循N的关转键技巡寿术在休于通糕信隧发道的布建立木，数薯据包债通过萄通信坟隧道吹进行维封装喉后的锯传送俱以确漂保其留机密干性和姿完整汽性通常从使用辫的方夺法有垒：使用扮点到艳点隧作道协们议PP姑TP、第二观层隧龄道协舰议L2扬TP、第二聚层转伸发协派议L2病F等在巧数据谷链路株层对找数据片实行惧封装使用IP安全珍协议IP抛Se森c在网市络层脑实现墨数据予封装使用喉介于慎第二撞层和贫第三勉层之目间的达隧道巾协议粒，如MP价LS隧道汪协议PP为TP斜/愚L2罢TP19岸96年，Mi黑cr神os骄of念t和As药ce榨nd等在PP墨P协议雹的基咽础上议开发杏了PP贩TP，并将伸它集侦成于Wi桥nd封ow缠s绕NT眼S咳er沃ve狠r4茄.0中，莫同时郑也提吓供了应相应县的客裙户端盖软件PP调TP可把驶数据挪包封考装在PP偷P包中旅，再城将整该个报歉文封抢装在PP给TP隧道肌协议旋包中桃，最健后，哗再嵌现入IP报文村或帧亏中继踪蝶或AT肯M中进箭行传宏输PP善TP提供警流量工控制,采用MP设PE加密腿算法19粗96年，Ci从sc园o提出L2抖F（La堪ye床r择2召Fo泼rw辱ar捕di着ng）隧道属协议19甩97年底，Mi位co污ro衣so奇ft和Ci浩sc逮o公司立把PP摸TP协议傅和L2须F协议各的优间点结罗合在魄一起延，形依成了L2鹅TP协议L2紫TP协议若综合诞了PP煮TP协议乏和L2程F（La舒ye轿r呈2晒Fo姓rw漏ar崇di港ng）协隶议的逐优点,并且辜支持铺多路圾隧道坑，这圈样可额以使隶用户挺同时侵访问In呢te切rn君et和企瓦业网碍。L2简TP可以械实现敬和企莲业原续有非IP网的扮兼容治，支振持MP（Mu沾lt沟il葱in口k渴Pr痰ot怠oc鬼ol），可以隙把多忍个物捎理通奖道捆浸绑为如单一野逻辑炮信道PP宇TP滩/误L2伙TP优点具：支持社其他灭网络据协议（如No坚ve拼ll的IP桨X，Ne芝tB行EU影I和Ap握pl勿e书Ta帖lk协议）支持尽流量折控制缺点：通道奴打开在后，昨源和嘴目的的用户沉身份颂就不步再进疫行认辉证，巾存在押安全锄隐患限制纺同时和最多终只能皮连接25竹5个用修户端点贵用户由需要画在连层接前掌手工腐建立惑加密俗信道透，另鼠外认促证和任加密由受到托限制竟，没蚀有强称加密列和认谱证支葛持。PP吹TP和L2上TP最适咳合用蝇于远莲程访香问虚闹拟专并用网闹。PP号TP泊/钞L2午TPIP访Se裙c车VP饰NIP气Se柱c是一裁种由IE韵TF设计豪的端梁到端兆的确吼保基愈于IP通讯争的数强据安全全性粗的机次制。IP岂SE傻C支持定对数忠据加而密，弯同时诉确保诸数据层的完果整性俯。IP季SE锦C使用略验证季包头桌（AH，在RF是C境24鱼02中定根义）确提供掠来源该验证起（so介ur木ce靠a抛ut直he惧nt养ic弯at跑io辜n），寸确保躺数据狸的可晓靠性合；IP止Se潜c使用慈封装蔽安全屿负载早（ES饿P，在RF兵C唇18拾27中定维义）敲进行倍加密砖，从漏而确右保数肌据机鸣密性。在IP虏Se跨c协议弯下，秃只有丸发送扫方和功接受子方知优道秘爬密密反钥。警如果撞验证舱数据瓦有效远，接饲受方订就可磨以知贱道数律据来悉自真啊实的碌发送厌方，庸并且留在传厦输过会程中忧没有抛受到燥破坏虫。IP个Se感c有两览种应侮用模支式：站传送样模式丧和隧窜道模些式传输夜模式滴：使用背原始独明文IP头，绕并且葛只加帐密数刃据，此包括雨它的TC离P和UD怜P头。这种摊模式怖适用浅于小犹型网抗络和壤移动日客户阴端。隧道饰模式望：隧道瓶模式衫处理阶整个IP数据岭包：赤包括尼全部TC额P/狱IP或UD垒P/陡IP头和顿数据室，它葬用自然己的右地址傅做为伤源地殊址加获入到负新的IP头。隧道楚模式油被用慕在两递端或干是一荒端是翠安全猾网关装的架特构中离，例泪如装棵有IP呀Se砖c的防唱火墙叹。使巷用了诊隧道慎模式春，防欺火墙尤内很忍多主涛机不孔需要钻安装IP漠Se洪c也能吓安全附地与渴外界轿通信尿，并删且还劣可以犬提供流更多忌的便哑利来央隐藏蠢内部绩服务载器主消机和誓客户使机的并地址番。IP帽Se管c仔VP腥N优点缘瑞：可提屡供高谱强度译的安逃全性齿（数案据加顷密和街身份圆验证菜）对上随层应丧用完鼻全透身明支持横网络伞与网估络、宜用户汤与用东户、愿网络张与用精户多锈种应消用模鲁式缺点摆：只支矛持IP协议目前骄防火吴墙产险品中愧集成裹的VP葱N多为猎使用IP概Se汁c协议兵，萍在中董国其暗发展谎处于猴蓬勃乘状态玻。IP报Se蝇c存VP娇NMP私LS贝V缠PN是在思网络罩路由法和交馋换设熟备上证应用MP禽LS高(Mu捎lt顿ip纳ro如to河co邻lLa龟be座l弦Sw怎it玻ch金in疤g赖)技术半，简哭化核蒜心路唉由器逆的路挠由选微择方职式，罪利用终结合劝传统肥路由央技术逃的标再记交麻换实宣现的IP虚拟纪专用积网络（IP蚊V网PN）MP窗LS贱V选PN昏主也要应牙用领匙域是晕用于积建设解全网冬状结滤构的店数据呜专线原，保炕证局灿域网屠互联再的带橡宽与厅服务临质量斜。总兴部与津下面间分支低机构怕互联越时，粘如果岩使用展公网财，则柄带宽卡、时踢延等剥很大扯程度夺上受落公网餐的网屋络状伯况制引约。遭而布色署M捷PL禾S盾VP替N委后，临可以虫保证进网络压服务凭质量颈，从陈而保缘瑞证一痒些对提时延宋敏感湖的应鉴用稳洞定运妹行，烤如分漆布异色地的衰实时凑交易厉系统射、视到频会雕议、胃IP扶电被话等岔等。与其伸他VP殊N协议惰的对题比L2罚TP、PP元TP：主要漏用于习客户泡端接营入专业用网清络。陡本身饶的安鸽全性给比较熊弱，旬需要意依靠IP鹿Se寇c来提项供进匪一步坚的安砖全性急。MP押LS：能够脱提供稿与传因统的AT迹M，FR同等附的安聋全性秆，但辛本身积没有辉加密衣，认移证机辨制，冲对数录据的共机密搅性等艘保证罪需要们依靠IP财Se塞c来进牌一步催保证隙。IP决Se驻c是弥杆补其江他VP无N技术则的安驳全性行的有暴效保筝证。11跟00态11触10弟0101椒00软01模01倡0010雀10循10体01五0001兄00医10阴01率0000勾01四00边00气0011公00育11溉10致0101卸00赌01积01组0010倡10线10乒01链0001粉00干10幻玉01夏0000木01贩00平00解00明文加密解密明文密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@保证芬数据通在传门输中芽的机重密性发起闭方接受深方密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@支持IK溉E密钥搂协商密钥遍自动绩刷新12圈8位对持称加模密10曲24位非芹对称燥加密设备涌之间氏采用锻证书退认证支持CA认证VP迅N的主胸要作视用之址一发起徒方接受劲方10迷01溜00祝0101古01届00设1010蹦00辜01好0000巴00棋11秤0110拾00第10音1010银00溜10菜1010冈01忆00近0101谢01队00念1010醋00爪01正0000妹00他11喊0110林00凯10熄10Ha川shHa迁sh10顷00剪10挥1010量01窃00吸0101政01脂00熄1010阔00臣01馋0000慕00诊11持0110义00隔10滤10是否磨一样闸？验证茎数据蝇来源烂的完债整性摊和真刃实性支持盯透明肠模式支持神路由庆模式VP奋N的主籍要作斥用之浴二实时件入侵敬检测德系统Internet总部办事域处分公慕司分公编司在网遮络中台部署吹网络葵入侵渴检测系位统，糠实时决对网拣络中肠的数据锦流进则行检墙测，资对于爹可疑的辨数据撕，将任及时孤报警界，入侵娃检测谣系统忠同时指与防倦火墙交贯互信话息，住共同趴防范五来自于恰网外俊的攻固击。具体蔑策略膀如下究：基于经网络侍的入雪侵检四测策灯略基于训主机龄的入缝侵检桥测策没略报警攻击什么棕是入怕侵检惑测系传统ID横S（In陈tr莲us影io架n圣D筒et奇ec胖ti瞧on盆Sy歪st际em）就是肠入侵追检测纸系统馆，它差通过功抓取眉网络抵上的泪所有指报文铸，分彩析处凶理后妻，报公告异呀常和暗重要激的数块据模闯式和某行为尼模式疮，使誉网络脊安全贱管理晚员清怠楚地鸣了解毕网络魂上发晓生的次事件仓，并刊能够帅采取史行动盛阻止在可能克的破推坏。什么难是入贿侵检乎测系零统入侵拴检测俭系统网络纲数据陈包的金获取——混杂勿模式网络暴数据枯包的饼解码——协议状分析网络舞数据饺包的必检查——规则乖匹配网络辽数据页包的胆统计——异常雨检测网络绳数据过包的果审查——事件勤生成监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKey形象秋地说猛，它态就是箩网络衬摄象亿机，议能够辉捕获粗并记鸦录网霞络上叙的所邀有数寨据，母同时轿它也著是智玻能摄建象机橡，能扭够分国析网痒络数膊据并爆提炼裙出可耕疑的认、异凑常的羊网络济数据巷，它躲还是X光摄吓象机娇，能巴够穿暮透一梢些巧粗妙的瓶伪装词，抓舞住实先际的压内容荡。它阁还不场仅仅揪只是缠摄象际机，慕还包妨括保活安员蒜的摄涉象机吵，能板够对面入侵轮行为吐自动幻玉地进似行反蛛击：帮阻断烧连接可、关非闭道攀路（挺与防昌火墙己联动跪）。什么否是入粱侵检侵测系灰统在安锄全体感系中翻，ID千S是唯龟一一脆个通迅过数磁据和船行为胖模式重判断阻其是砍否有饶效的泊系统口，如疤下图膝所示舟，防还火墙爆就象辜一道沸门，差它可洒以阻除止一巨类人词群的割进入治，但财无法包阻止悉同一际类人车群中深的破脸坏分准子，渣也不晴能阻为止内毁部的光破坏罚分子含；访炒问控鼠制系蝴统可细以不棕让低狸级权驴限的窜人做墓越权林工作检，但粱无法屑保证秩高级袋权限党的做数破坏申工作驴，也私无法夜保证耻低级份权限炭的人害通过库非法键行为厌获得侍高级灯权限入侵奴检测洽系统拉的作暴用入侵骂检测俗系统盈的职齿责ID伶S系统根的两恩大职昂责：蜜实时着检测安和安尾全审跌计。实时烫监测——实时么地监琴视、崇分析壳网络累中所姓有的佣数据蚊报文拔，发艇现并有实时结处理莲所捕乳获的副数据最报文该；安全渴审计——通过棵对ID翼S系统剥记录绪的网旱络事何件进天行统叨计分壁析，痛发现困其中脖的异话常现调象，筛得出凯系统姑的安吩全状分态，侦找出槽所需下要的怪证据垄。IntranetIDSAgentIDSAgent网络ID秋S企业虑内部睬典型建安装FirewallInternetServersDMZIDSAgent监控傲中心routerID斑S阻断币入侵芝示意衔图FirewallInternetServersDMZIDSAgentIntranetIDSAgent监控拦中心router攻击者攻击者发现攻击发现攻击发现攻击报警报警防病李毒技纽奉术病毒冤概述病毒遍危害病毒哪新技震术防病子毒技脸术消毒熊病毒网络旨防病历毒病毒蹄概述《中华秤人民僚共和顺国计催算机耽信息秩系统盆安全热保护逐条例》第二扁十八破条中锈明确处指出喇：“计算嗽机病精毒，是垂指编阴制或铲者在跟计算愈机程谈序中骄插入胀的破撇坏计枝算机互功能士或者旦毁坏烫数据惩，影忠响计街算机拦使用负，并抓能自心我传坏染的距一组期计算聪机指圣令或微者程春序代榨码。录”计算抖机病邪毒原茂理计算机病毒程序病毒引导模块（潜伏机制）病毒传染模块（再生机制）病毒表现模块（激发机制）计算稻机病棕毒的检工作够流程一次毁非授尚权的骗加载联，病西毒进翼入内狼存病毒出引导鼓模块趁被执洪行修改击系统刚参数猎，引决人传宣染和伯表现跑模块监视铃系统破运行判断鹿传染杂条件起是否较满足糊？判断茧触发糊条件巩是否逗满足候？进行享传染进行咽表现端或破村坏病毒羞的特俊征依附侍性传染赵性潜伏驳性可触戏发性破坏俱性针对喊性人为精性病毒稀的征崇兆磁盘抛文件涝数目菊增多系统恭的RA器M空间健变小文件才的日柜期／殿时间孙值被片改变可执薄行程堪序长悦度增目加磁盘希上出葡现坏挨簇程序旷加载插时间刚比平衫时变奔长程序董执行塑时间修较平强时变晌长硬盘品读写耽时间错明显荒增加硬盘淡启动蝇系统既失败防病凝毒技桃术病毒妨概述病毒负危害病毒披新技铲术防病坏毒技勤术消毒耗病毒网络阶防病呜毒计算照机病宰毒的豆危害营性磁盘街文件风数目兔增多影响束系统盟效率删除阶、破灭坏数押据干扰扭正常降操作阻塞晓网络进行团反动返宣传占用锁系统成资源被后捎门控套制最新双病毒例分析CI洗H病毒Lo展ve哑le适tt砌er病毒首例堤病毒漆与蠕电虫相鲜结合Si身rc奴am首例驶蠕虫扮与黑薯客相咱结合Co灾de们Re碍dI踪蝶INi色md胞a病毒病毒董新技滑术和认发展潮趋势隐藏脾型病迁毒自加待密、渴多形依态及卫变异驼病毒反向圣病毒邮件期型病火毒JA筐