网络安全与防范

[教学内容](1)计算机病毒的分类、特点、特征和运行机制

(2)反病毒涉及的主要技术

(3)病毒的检测和防治技术

(4)防火墙的基本类型

(5)常见的防火墙配置

(6)网络攻击的分类、手段和防范措施(7)企业网安全防御技术

[实践内容](1)用瑞星2008查杀计算机病毒；(2)常用的个人防火墙进行配置；目前一页\总数四十二页\编于九点计算机网络安全[教学要求]（1）了解计算机病毒的分类、特点、特征和运行机制（2）了解反病毒涉及的主要技术（3）掌握病毒的检测和防治技术（4）理解构筑防病毒体系的基本原则（5）掌握防火墙的基本类型（6）熟悉常见的防火墙配置（7）了解网络攻击的分类、手段和防范措施（8）了解企业网安全防御技术目前二页\总数四十二页\编于九点本模块的说明模块信息说明本模块名称计算机网络安全所属能力核心应用能力模块地位核心模块课程必修本模块的专业方向网络管理员、网络工程师、网络规划设计师选修本模块的专业方向网络支持工程师、网络产品营销人员目前三页\总数四十二页\编于九点本次课说明课题名称计算机病毒的防治和防火墙技术

所属模块计算机网络安全课时2课时地位核心知识单元本次课的教学目标知识目标技能目标拓展能力目标1、了解计算机病毒的特征；2、了解反病毒的主要技术；3、掌握防火墙的基本类型。1、掌握病毒的检测和防治技术；2、熟悉常见的防火墙配置。1、能够积极主动地和老师达成互动；2、讨论时能和其他同学合适的沟通；3、对防火墙访问策略可以大胆创新。目前四页\总数四十二页\编于九点本次课内容介绍主要内容：了解计算机病毒的分类、特点、特征和运行机制了解反病毒涉及的主要技术掌握病毒的检测和防治技术掌握防火墙的基本类型熟悉常见的防火墙配置重点内容：病毒的检测和防治技术防火墙的基本类型及配置目前五页\总数四十二页\编于九点问题的提出

青职公司市场部小李打开计算机准备处理昨天销售部门报上来的数据分析表，一开机就发现计算机无法正常工作，也不能上网。计算机中心的小张检查发现，硬件没有问题，应该是系统被计算机病毒破坏了，导致WindowsXP无法正常启动。小张将重要的数据进行了备份，重新安装了WindowsXP，以及正版的杀病毒软件。小李的计算机终于可以正常工作了。那么如何才能防止类似的事情再次发生呢？

目前六页\总数四十二页\编于九点任务分析

计算机病毒的防治要从防毒、查毒、解毒三方面来进行。1）防毒：采取实时监测预警等安全措施预防病毒侵入计算机。

2）查毒：对于内存、文件、引导区（含主引导区）、网络等，能够发现和追踪病毒来源。3）解毒：从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力。目前七页\总数四十二页\编于九点9.1防治计算机病毒“计算机病毒”定义指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。

目前八页\总数四十二页\编于九点计算机病毒与杀毒软件（1）引导型病毒

（2）文件型病毒

（3）复合型病毒（4）变型病毒（5）宏病毒

（6）网页病毒（7）“蠕虫”型病毒（8）木马病毒

1．计算机病毒分类

目前九页\总数四十二页\编于九点2．计算机病毒的特征（1）非授权可执行性（2）隐蔽性（3）传染性：最重要的一个特征

（4）潜伏性（5）表现性或破坏性6）可触发性

目前十页\总数四十二页\编于九点3．计算机病毒的传播通过文件系统传播；通过电子邮件传播；通过局域网传播；通过互联网上即时通讯软件和点对点软件等常用工具传播；利用系统、应用软件的漏洞进行传播；利用系统配置缺陷传播，如弱口令、完全共享等；目前十一页\总数四十二页\编于九点计算机病毒的传播过程目前十二页\总数四十二页\编于九点4．如何防治病毒（1）要提高对计算机病毒危害的认识（2）养成备份重要文件等良好使用习惯（3）大力普及杀毒软件（4）采取措施防止计算机病毒的发作（5）开启计算机病毒查杀软件的实时监测功能（6）加强对网络流量等异常情况的监测（7）有规律的备份系统关键数据，建立应对灾难的数据安全策略

目前十三页\总数四十二页\编于九点5．如何选择计算机病毒防治产品具有发现、隔离并清除病毒功能；具有实时报警（包括文件监控、邮件监控、网页脚本监控等）功能；多种方式及时升级；统一部署防范技术的管理功能；对病毒清除彻底，文件修复完整、可用；产品的误报、漏报率较低；占用系统资源合理，产品适应性较好。目前十四页\总数四十二页\编于九点6．常用的防病毒软件站点或公司名称网址瑞星公司北京金山软件有限公司冠群金辰软件有限公司江民科技卡巴斯基实验室诺顿公司/zh/cn/norton/index.jsp目前十五页\总数四十二页\编于九点9.1.2应对黑客攻击黑客（hacker）：通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统，以保护网络为目的，以不正当侵入为手段找出网络漏洞。骇客：

利用网络漏洞破坏网络的人。1．黑客和黑客技术

目前十六页\总数四十二页\编于九点2．黑客攻击的主要方式黑客技术：发现计算机系统和网络的缺陷和漏洞，并实施攻击的技术。包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误。（1）拒绝服务攻击：使被攻击对象的系统关键资源过载，停止部分或全部服务。是最基本的入侵攻击手段，也是最难对付的入侵攻击之一。目前十七页\总数四十二页\编于九点2．黑客攻击的主要方式（2）非授权访问尝试：对被保护文件读、写或执行的尝试。（3）预探测攻击：例如SATAN扫描、端口扫描和IP半途扫描等。（4）可疑活动：指网络上不希望有的活动。（5）协议解码（6）系统代理攻击：针对单个主机目前十八页\总数四十二页\编于九点黑客攻击的步骤第1步信息收集：获取目标系统的信息，如网络拓扑结构、IP地址分配、端口的使用情况等。第2步获得对系统的访问权限：通过口令猜测、社会工程、建立后门等攻击手段，利用系统存在的漏洞来获得对系统的访问权限。第3步破坏系统或盗取信息

：利用非法获得的对系统的访问权限，运行非法程序。第4步消除入侵痕迹：入侵后尽力消除入侵痕迹，如更改或者删除系统文件或日志。目前十九页\总数四十二页\编于九点流氓软件与瑞星的碎甲技术“流氓软件”同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），介于病毒和正规软件之间。（1）广告软件

（2）间谍软件：安装“后门程序”；（3）浏览器劫持：对浏览器篡改；（4）行为记录软件：窃取并分析隐私数据，记录使用习惯；（5）恶意共享软件：指某些共享软件强迫用户注册、捆绑各类恶意插件。1．流氓软件的分类

目前二十页\总数四十二页\编于九点流氓软件与瑞星的碎甲技术Rootkits最早是一组用于UNIX操作系统的工具集，黑客使用它们隐藏入侵活动的痕迹。

Rootkits主要分为两大类：一种是进程注入式Rootkits，另一种是驱动级Rootkits。进程注入式Rootkits可以通过使用杀毒软件的开机扫描功能轻松清除。驱动级的Rootkits通过在Windows启动时加载Rootkits驱动程序，获取对Windows的控制权。2．什么是Rootkits?

目前二十一页\总数四十二页\编于九点瑞星的碎甲技术瑞星“碎甲”技术通过对Windows驱动程序加载点进行拦截，发现Rootkits时自动使其保护功能失效。杀毒软件存在病毒或流氓软件？操作系统API查找文件流氓软件、病毒、木马找到存在RootKits失效瑞星碎甲技术目前二十二页\总数四十二页\编于九点9.2防火墙技术

防火墙是内部网络与外部公共网络之间的第一道屏障，处于网络安全的最底层，负责网络间的安全认证与传输，现代防火墙技术不仅要完成传统防火墙的过滤任务，还有正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。任务分析目前二十三页\总数四十二页\编于九点防火墙的基本类型

防火墙是在一个受保护的企业内部网络与互联网间，用来强制执行企业安全策略的一个或一组系统。防止外部网络用户以非法手段进入内部网络，访问内部网络资源；保护内部网络操作环境的特殊网络互联设备。

目前二十四页\总数四十二页\编于九点防火墙示意图

目前二十五页\总数四十二页\编于九点1．防火墙的功能（1）过滤不安全服务和非法用户，禁止未授权的用户访问受保护的网络。（2）控制对特殊站点的访问。

允许受保护网络的一部分主机如邮件服务器、FTP服务器和Web服务器等被外部网访问，而另一部分被保护起来，防止不必要的访问。（3）监视网络访问，提供安全预警。目前二十六页\总数四十二页\编于九点2.防火墙的分类（1）网络级防火墙--包过滤路由器

（2）电路级防火墙—电路网关（3）应用级防火墙—应用网关（4）监测型防火墙2．防火墙的基本类型目前二十七页\总数四十二页\编于九点2．防火墙的基本类型防火墙存在软件和硬件两种形式。

具备包过滤功能的路由器（或充当路由器的计算机），通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，否则将数据拒之门外。优点：简单实用，实现成本较低，适合应用环境比较简单的情况。缺点：不能理解网络层以上的高层网络协议，无法识别基于应用层的恶意侵入。（1）包过滤路由器

目前二十八页\总数四十二页\编于九点（1）包过滤路由器

下图给出了包过滤路由器结构示意图。目前二十九页\总数四十二页\编于九点（2）电路级防火墙—电路网关电路网关工作在传输层。不允许内部主机与外部之间直接进行TCP连接，而是建立两个TCP连接：一个在网关和内部主机上的TCP用户程序之间，另一个在网关和外部主机的TCP用户程序之间。通常用于内部网络对外部的访问，与堡垒主机相配合可设置成混合网关，对于向内的连接支持应用层服务，而对于向外的连接支持传输层功能。目前三十页\总数四十二页\编于九点（3）应用级防火墙—应用网关应用网关工作应用层，通常指运行代理服务器软件的一台计算机主机。代理服务器位于客户机与服务器之间。从客户机来看，代理服务器相当于一台真正的服务器。而从服务器来看，代理服务器又是一台真正的客户机。

目前三十一页\总数四十二页\编于九点应用网关的工作模型目前三十二页\总数四十二页\编于九点应用代理基本工作原理目前三十三页\总数四十二页\编于九点应用网关优缺点缺点：使访问速度变慢在重负载下，代理服务器可能成为网络瓶颈。优点：代理服务器拥有高速缓存，能够节约时间和网络资源外部网络只能看到代理服务器，看部到内网的具体结构比包过滤更可靠，而且会详细地记录所有的访问状态信息目前三十四页\总数四十二页\编于九点（4）监测型防火墙对各层的数据进行主动的、实时的监测，加以分析，判断出各层中的非法侵入。带有分布式探测器，安置在各种应用服务器和其他网络的节点之中，能检测来自网络外部的攻击，同时防范来自内部的恶意破坏。

目前三十五页\总数四十二页\编于九点9.2.2常见的防火墙配置最简单的防火墙配置就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。将几种防火墙技术组合起来构建防火墙系统，一般来说有3种最基本的配置。目前三十六页\总数四十二页\编于九点（1）双宿主机网关用一台装有两个网络适配器的双宿主机（又称保垒主机）做防火墙，一个适配器是网卡，与内部网相连；另一个根据与Internet的连接方式可以是网卡、调制解调器或ISDN卡等。外部网络与内部网络之间的通信必须经过双重宿主主机的过滤和控制。目前三十七页\总数四十二页\编于九点使用一个包过滤路由器把内部网络和外部网络隔离开，同时在内部网络上安装一个堡垒主机，由堡垒主机开放可允许的连接到外部网。屏蔽主机网关易于实现，安全性好，应用广泛。

（2）屏蔽主机网