第章新华网络安全技术

电子商务安全与网上支付第3章网络安全技术本章目标1.了解网络安全的定义和内涵2.掌握操作系统漏洞的相关知识3.掌握防火墙技术4.掌握计算机病毒的相关知识5.掌握木马的相关知识33.1网络安全概述1.网络安全的定义：指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄漏，系统连续可靠正常地运行，网络服务不中断。2.网络安全的内涵：

计算机安全的内容应包括两个方面：物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。

逻辑安全包括信息的完整性、保密性和可用性。

43.网络安全的主要技术病毒防范技术访问控制VPN技术网络入侵检测技术加密和数字签名技术、身份认证53.2系统安全漏洞1.漏洞的定义：

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。注意：并不是系统中存在的错误都是安全漏洞，只有能威胁到系统安全的错误才是漏洞。提问：怎么解决系统安全漏洞问题？6防火墙的课题：各组任选一题（但不能重复）。73.3防火墙技术防火墙（Firewall）的最初含义是当房屋还处于木制结构的时候，人们将石块堆砌在房屋周围用来防止火灾的发生，这种墙被称之为防火墙。

8

这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。

防火墙是指设置在信任程度不同的网络（如公共网和企业内部网）或网络安全域之间的一系列的软件或硬件设备的组合。它对两个网络之间的通信进行控制，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。可以包括硬件和软件防火墙9防火墙示意图Internet10硬件防火墙11防火墙的主要功能防火墙的功能管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和告警实施网络地址转换，缓解地址短缺矛盾。12

防火墙的分类：1.数据包过滤型防火墙：包过滤型防火墙工作在OSI网络参考模型的网络层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。13包过滤防火墙技术防火墙服务器工作站台式PC打印机服务器数据包安全区域数据包服务器控制策略查找对应的策略数据IP报头TCP报头分组过滤判断

包过滤方式是一种通用、廉价的安全手段，之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的14数据包状态检测过滤

状态检测表

提高了效率防止假冒IP攻击HostCHostDNo访问控制规则表Yes15代理夸服务淘防火音墙(P份ro湿xy袖S严er茎vi谨ce拔)也称雕链路当级网普关防仇火墙呜，工作左在OS关I模型碍的应用括层，其薯特点鸦是将举所有芒跨越份防火制墙的束网络通信佛链路创分为篇两段骗。外翁部计题算机偶的网较络链馆路只奥能到毁达代找理服玩务器，瞎从而防起到饼了隔贿离防眠火墙孔内外恒计算贡机系戏统的现作用训。喇当外根部某台愉主机堡试图勉访问圈受保核护网睡络时众，必捎须先满在防即火墙染（应跑用代编理主机世）上晋经过身份绩认证和规则渗过滤。之季后,防火猛墙代鸭替外嗽部用户访拐问内爸部网尚络。斜在这赞个过踩程中胶，防品火墙祖如果挥发现杆有入墓侵迹有象可以随时主终止考用户欣访问半主机止的访预问时娘间及愁访问塌方式。同独样，讽受保护甚网络诵内部肢用户于访问穗外部麦网时舅也需系先登低录到胁防火扣墙上淋，通照过验证米后，退才可公访问拌。2.应用萝代理录防火宰墙技衔术16应用咱控制临可以面对常祖用的负高层移应用涂做更抖细的纵控制如HT润TP的GE干T、PO棚ST、HE纯AD如FT殃P的GE喘T、PU缴T等物理层链路层网络层传输层会话层表示层应用铜层物理层链路层网络层传输层会话层表示层应用远层内部网络外部网络防火雕墙内部择接口外部掌接口根据郊策略温检查肯应用蜜层的扇数据符合拔策略应用层应用层应用层应用班代理17Internet接ISP防火墙带路由模块的三层交换机WWW

EMail

DataBase

VLAN4

VLAN1

VLAN2VLAN3最常厦见的萄企业没网络态防火魔墙配悔置图18防火孙墙不益是解淹决所诊有网呜络安睡全问熄题的罩万能为药方校，只卡是网请络安吵全政距策和化策略述中的声一个亡组成箱部分消。防满火墙肉有以佣下四探方面港的局娘限：防火零墙不遗能防伏范绕傻过防车火墙的的攻猎击。防火卫墙不深能防抚范来移自内戏部人弹员恶司意的摘攻击许。防火遇墙不进能阻坊止被琴病毒靠感染糖的程拳序或师文件师的传奥递防火君墙不雕能防斯止数起据驱虑动式驴攻击晚。如慰：特名洛伊释木马肌。防火悉墙的乌局限奏性193.注4捕V担PN3.谁4.粉1由V业PN的概符念3.喘4.纪2脆V陈PN的目凝的和朽原理3.握4.舌3关键乓技术203.纵4.惹1匪V盯PN的概眼念VP耐N篇(V叼ir做tu面al湾P隆ri眼va蚀te水N躺et彼wo其rk踩):中文房诚名称欺一般捕称为虚拟断专用网,它指掏的是奥以公撇用开闭放的个网络(如In手te缝rn请et叛)作为咸基本逆传输媒体丛，通沾过加密和验证网络宪流量孤来保爬护在馅公共扒网络紧上传火输的私有等信息苹不会愉被窃午取和调篡改库，从厚而向茧最终题用户成提供类似出于私有网渗络(P僻ri勿va圣te币N嫩et陷wo农rk邀)性能纯的网皇络服稍务技尊术。213.砍4.开2苍V朴PN的目勾的VP煮N通过壮一个旧私有症的通膝道来妈创建枪一个缝安全健的私亚有连杏接，隐将远程用纪户、字公司腿分支奥机构柴、公嫁司的馆业务漆伙伴狸等跟旁企业拍网连稳接起恢来，形成窝一个谱扩展弃的公坦司企高业网忆。在滑该网芹中的后主机妈将不化会觉遭察到逝公共网络塞的存逼在，举仿佛升所有冲的主沈机都愿处于志一个型网络全之中雪。客户及供应商外地出差员工外地分公司企业总部InternetVPN隧道客户及供应商外地出差员工外地分公司企业总部InternetVPN隧道22VP列N工作结原理VP瓶N工作种原理忠：首先扑：源网谊络上爪的VP产N隧道猫发起爱器（VP转N网关迫）与五目标惑网络荐上的VP由N隧道哲终结统器（VP掩N网关买）进林行通舒信,两者担就加牺密方紫案达筐成一票致,然后爱隧道腹发起漂器对奇包进刷行加愿密。其次宅，为了举确保辆对方鸦访问壮身份吃的有目效性刃和安榴全性病，因漠采用拌验证降方式,已确赌保连您接用南户拥违有进分入目阅标网受络的轻相应谨权限敲．从放而可尝以在蠢网上胡实现遇安全翠传输.最后时，在目或标网买络,当VP锐N终结袖器收则到包刷后，帮首先影将验阿证VP刃N客户货端的弟身份,接着录，再刃按以夹前约壳定的浓方案树进行觉解密,并把世解密热过的恋数据爽包传沟输到订内网芹，到薯达最遍终要具访问虑的计持算机裂。233.眠4.傍3胆V打PN的关裕键技洪术1）隧每道技旁术:隧道闯技术俗是VP拢N最基问本的熊技术终，类股似与偿网络坑中的订点对膀点技族术，欲他在绕公用字网上酱建立拢一条度数据揪通道稀（隧虏道）歪，让都数据城包通您过这窑条隧剪道传系输。匪目前VP著N中有描两种匠典型雹协议艳可以守建立衣隧道--胜-分别丝式是PP读TP协议牌和L2逐TP胶+I鄙PS赚EC协议2）加著密解搬密摘割要技露术：在VP栗N中为体了保武证重大要信倒息在丸公共狭网络挪上传翁输过厚程中仗不被匹他人李窃取需以及贴不被敢他人松篡改负，因红此必江须采汁用加励密/摘要舌机制门，常伙见的嗓加密/摘要跃算法瘦如DE左S,爆3D框ES，RS麻A，MD弯5等，驼详见派本书淹第3章3）密榆钥管盆理分欢配技喜术：如Di鸡ff和ie-H奔el他lm润an协议4）认挤证技眯术：用户瓶身份佳的验咏证冈详钟见本忙书第3章243.注5病毒喂防范3.谊5.奋1计算迷机病史毒概匆念及饭特点3.桶5.惰2计算阁机病粥毒的屠传播蜂途径3.醋5.采3计算茄机病湾毒的蜘发作太症状3.托5.煤4计算邀机病滤毒清宾除方龄法253.隐5.球1计算拨机病召毒概围述1、计盆算机回病毒呀的定糠义与骄特点事：一组却具有迎自我租复制乞能力绵的计投算机尾程序源，它吉能够刑影响葬计算宵机软研、硬针件的刘正常碎运行乱，破耕坏数往据的引正确爸与完含整。计算缩慧机病持毒具影有：轨传染弊性、埋隐蔽举性、床破坏天性、庸欺骗肤性，构可触份发性感、不见可预劈燕见性际等特豆点。263.句5.尾2计算祥机病抄毒的芳传播谈途径计算妄机病婆毒的覆传播坊途径移动假存储计算游机网捷络network273.财5.洗3计算能机病苏毒发注作的咳常见钞症状1）电匠脑运线行比狡平常引迟钝2）程险序载混入时家间比焦平常趟久3）对粱一个魔简单努的工耍作，债磁盘伙似乎犹花了锦比预斤期长落的时跳间4）不欠寻常箭的错绳误信殃息出育现5）硬略盘的眨指示恼灯无友缘无皂故的斗亮了6）系奏统内言存容需量忽烦然大战量减魄少287）可条执行兵程序恢的大王小改吗变了8）程歉序同筒时存啦取多禁部磁鸣盘9）内坐存内爪增加罪来路花不明钟的常稻驻程救序10）文牙件奇竭怪的源消失11）文准件的螺内容鞋被加絮上一处些奇搞怪的欠资料12）文迷件名招称、饱扩展晃名、韵日期苏、属微性被斤更改霜过293.弃5.难4计算枝机病敌毒清坦除方斤法1.手工艺消毒手工识消毒取方法核使用De喷bu叹g、Pc糖to龟ol帮s等简更单工党具，定借助伍于对喇某种推