第10章计算机网络安全概述.ppt

第十章第十章 计算机网络安全技术计算机网络安全技术 【学习目标学习目标】随着信息技术的不断发展，网络应用日益增多，计算随着信息技术的不断发展，网络应用日益增多，计算机网络安全威胁日益严重，。病毒发作和黑客活动频繁，垃机网络安全威胁日益严重，。病毒发作和黑客活动频繁，垃圾邮件猛增，从而也迫使计算机用户的安全防范意识和手段圾邮件猛增，从而也迫使计算机用户的安全防范意识和手段不断提高。本章主要讲述与安全相关的基础知识，主要包括不断提高。本章主要讲述与安全相关的基础知识，主要包括网络安全的定义及关键技术、防火墙技术、杀毒软件的使用网络安全的定义及关键技术、防火墙技术、杀毒软件的使用等。通过对防病毒技术和防火墙技术等相关内容的讲解，让等。通过对防病毒技术和防火墙技术等相关内容的讲解，让学生更好的通过本章的学习，读者应能掌握基本安全技术的学生更好的通过本章的学习，读者应能掌握基本安全技术的使用，进而保证网络的安全。使用，进而保证网络的安全。【学习要点学习要点】v1 1了解网络安全的定义和面临的威胁了解网络安全的定义和面临的威胁v2 2掌握防火墙的相关概念，理解常见的防火墙系统结构掌握防火墙的相关概念，理解常见的防火墙系统结构v3 3了解病毒的概念，掌握瑞星杀毒软件的使用方式了解病毒的概念，掌握瑞星杀毒软件的使用方式10.1.1 10.1.1 网络面临的安全威胁网络面临的安全威胁 在日益网络化的社会，网络安全问题也不断涌现。在日益网络化的社会，网络安全问题也不断涌现。网络安全面临的威胁主要表现为：网络安全面临的威胁主要表现为：敏感信息为非授权用户所获取敏感信息为非授权用户所获取 网络服务不能或不正常运行，甚至使合法用户不能网络服务不能或不正常运行，甚至使合法用户不能进入计算机网络系统进入计算机网络系统黑客攻击黑客攻击硬件或软件方面的漏洞硬件或软件方面的漏洞利用网络传播病毒利用网络传播病毒 10.1 10.1 网络安全概述网络安全概述 我们在建筑物中能看到类似我们在建筑物中能看到类似“消防箱消防箱”、“避雷针避雷针”之类的设备，它是一种建筑装饰吗？当然不是，这是一种之类的设备，它是一种建筑装饰吗？当然不是，这是一种为了安全而设立的安全设施。设立安全系统或者是安全设为了安全而设立的安全设施。设立安全系统或者是安全设施的目的是：当发生安全故障时，能及时把它们派上用场；施的目的是：当发生安全故障时，能及时把它们派上用场；当一切正常时，它们不会影响正常生活。那么，在计算机当一切正常时，它们不会影响正常生活。那么，在计算机网络世界里的网络世界里的“安全安全”是指什么，我们又能通过什么措施是指什么，我们又能通过什么措施来增强计算机网络的安全性呢？来增强计算机网络的安全性呢？1网络安全的概念网络安全是指网络系统的硬件、软件及其系统中的数据受到保网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的因素或恶意的攻击而遭到破坏、更改、泄露，护，不受偶然的因素或恶意的攻击而遭到破坏、更改、泄露，系统能连续可靠正常运行，网络服务不中断。系统能连续可靠正常运行，网络服务不中断。网络安全具备以下四个特征：网络安全具备以下四个特征：（1 1）保密性）保密性（2 2）完整性）完整性（3 3）可用性）可用性（4 4）可控性）可控性2 2网络安全威胁网络安全威胁v威胁是指对安全性的潜在破坏。网络安全威胁是指威胁是指对安全性的潜在破坏。网络安全威胁是指对网络信息的潜在危害，分为人为和自然两种，人对网络信息的潜在危害，分为人为和自然两种，人为又分为有意和无意两类。另外，网络安全威胁也为又分为有意和无意两类。另外，网络安全威胁也与网络的管理和用户使用时对安全的重视程度有很与网络的管理和用户使用时对安全的重视程度有很大关系，管理的疏忽会导致更严重的安全威胁。大关系，管理的疏忽会导致更严重的安全威胁。常见的安全威胁主要有：常见的安全威胁主要有：v（1 1）信息泄露）信息泄露 信息泄露是指信息被透漏给非授权的实体。信息泄露是指信息被透漏给非授权的实体。常见的信息泄露有如下几常见的信息泄露有如下几种。种。网络监听网络监听 业务流分析业务流分析 电磁、射频截获电磁、射频截获 人员有意或无意破坏人员有意或无意破坏 媒体清理媒体清理 漏洞利用漏洞利用 授权侵犯授权侵犯 物理侵入物理侵入 病毒、木马、后门、流氓软件病毒、木马、后门、流氓软件 网络钓鱼网络钓鱼 v（2 2）完整性破坏）完整性破坏 可以通过漏洞利用、物理侵犯、授权侵犯、病毒、木马、漏洞可以通过漏洞利用、物理侵犯、授权侵犯、病毒、木马、漏洞来等方式实现。来等方式实现。v（3 3）拒绝服务攻击）拒绝服务攻击 对信息或资源合法的访问被拒绝或者推迟与时间密切相关的操对信息或资源合法的访问被拒绝或者推迟与时间密切相关的操作。作。v（4 4）网络滥用）网络滥用 合法的用户滥用网络，引入不必要的安全威胁，主要包括如下合法的用户滥用网络，引入不必要的安全威胁，主要包括如下几类。几类。非法外联非法外联 非法内联非法内联 移动风险移动风险 设备滥用设备滥用 业务滥用业务滥用 10.1.2 10.1.2 计算机网络安全的内容计算机网络安全的内容 计算机网络安全是涉及计算机科学、网络技术、通计算机网络安全是涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合学科，它包括网络管理、数据信息论等多种学科的综合学科，它包括网络管理、数据安全及数据传输安全等很多方面。安全及数据传输安全等很多方面。网络安全主要是指网络上的信息安全，包括物理安网络安全主要是指网络上的信息安全，包括物理安全、逻辑安全、操作系统安全、网络传输安全。全、逻辑安全、操作系统安全、网络传输安全。1物理安全物理安全物理安全是指用来保护计算机硬件和存储介质的装置和物理安全是指用来保护计算机硬件和存储介质的装置和工作程序。物理安全包括防盗、防火、防静电、防雷击工作程序。物理安全包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。和防电磁泄漏等内容。2 2逻辑安全逻辑安全 计算机的逻辑安全主要是用口令、文件许可、计算机的逻辑安全主要是用口令、文件许可、加密、检查日志等方法来实现。防止黑客入侵主要加密、检查日志等方法来实现。防止黑客入侵主要依赖于计算机的逻辑安全。依赖于计算机的逻辑安全。逻辑安全可以通过以下措施来加强：逻辑安全可以通过以下措施来加强：（1 1）限制登录的次数，对试探操作加上时间限制；）限制登录的次数，对试探操作加上时间限制；（2 2）把重要的文档、程序和文件加密；）把重要的文档、程序和文件加密；（3 3）限制存取非本用户自己的文件，除非得到明）限制存取非本用户自己的文件，除非得到明确的授权；确的授权；（4 4）跟踪可疑的、未授权的存取企图。）跟踪可疑的、未授权的存取企图。3 3操作系统安全操作系统安全 操作系统是计算机中最基本、最重要的软件。同一计算操作系统是计算机中最基本、最重要的软件。同一计算机可以安装几种不同的操作系统。如果计算机系统需要提供机可以安装几种不同的操作系统。如果计算机系统需要提供给许多人使用，操作系统必须能区分用户，防止他们相互干给许多人使用，操作系统必须能区分用户，防止他们相互干扰。一些安全性高、功能较强的操作系统可以为计算机的每扰。一些安全性高、功能较强的操作系统可以为计算机的每个用户分配账户。不同账户有不同的权限。操作系统不允许个用户分配账户。不同账户有不同的权限。操作系统不允许一个用户修改由另一个账户产生的数据。一个用户修改由另一个账户产生的数据。操作系统分为网络操作系统和个人操作系统，其安全操作系统分为网络操作系统和个人操作系统，其安全内容主要包括如下几方面：内容主要包括如下几方面：（1 1）系统本身的漏洞；）系统本身的漏洞；（2 2）内部和外部用户的安全威胁；）内部和外部用户的安全威胁；（3 3）通信协议本身的安全性；）通信协议本身的安全性；（4 4）病毒感染。）病毒感染。4 4网络传输安全网络传输安全 网络传输安全是指信息在传播过程中出现丢失、网络传输安全是指信息在传播过程中出现丢失、泄露、受到破坏等情况。其主要内容如下。泄露、受到破坏等情况。其主要内容如下。（1 1）访问控制服务：用来保护计算机和联网资源）访问控制服务：用来保护计算机和联网资源不被非授权使用。不被非授权使用。（2 2）通信安全服务：用来认证数据的保密性和完）通信安全服务：用来认证数据的保密性和完整性，以及各通信的可信赖性。整性，以及各通信的可信赖性。10.1.3 10.1.3 网络安全的关键技术网络安全的关键技术 v 信息加密是保障信息安全的最基本、最核心的技术措施信息加密是保障信息安全的最基本、最核心的技术措施和理论基础，信息加密也是现代密码学的主要组成部分。和理论基础，信息加密也是现代密码学的主要组成部分。v 在多数情况下，信息加密是保证信息机密性的唯一方法。在多数情况下，信息加密是保证信息机密性的唯一方法。v 按照收发双方密钥是否相同来分类，可以将这些加密算按照收发双方密钥是否相同来分类，可以将这些加密算法分为对称加密算法（私钥密码体系）和非对称加密算法法分为对称加密算法（私钥密码体系）和非对称加密算法（公钥密码体系）。（公钥密码体系）。v 在私钥密码中，收信方和发信方使用相同的密钥，即加在私钥密码中，收信方和发信方使用相同的密钥，即加密密钥和脱密密钥是相同或等价的。在众多的常规密码中影密密钥和脱密密钥是相同或等价的。在众多的常规密码中影响最大的是响最大的是DESDES密码。密码。v 在公钥密码中，收信方和发信方使用的密钥互不相同，在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能由加密密钥推导出脱密密钥。最有影响的公而且几乎不可能由加密密钥推导出脱密密钥。最有影响的公钥加密算法是钥加密算法是RSARSA，它能够抵抗到目前为止已知的所有密码，它能够抵抗到目前为止已知的所有密码攻击。攻击。2 2信息确认技术信息确认技术信息确认技术通过严格限定信息的共享范围来达到防信息确认技术通过严格限定信息的共享范围来达到防止信息被非法伪造、篡改和假冒。一个安全的信息止信息被非法伪造、篡改和假冒。一个安全的信息确认方案应该能使：确认方案应该能使：合法的接收者能够验证他收到的消息是否真实；合法的接收者能够验证他收到的消息是否真实；发信者无法抵赖自己发出的消息；发信者无法抵赖自己发出的消息；除合法发信者外，别人无法伪造消息；除合法发信者外，别人无法伪造消息；发生争执时可由第三人仲裁。发生争执时可由第三人仲裁。按照其具体目的，信息确认系统可分为消息确认、身按照其具体目的，信息确认系统可分为消息确认、身份确认和数字签名。份确认和数字签名。用于消息确认中的常用算法有：用于消息确认中的常用算法有：ElGamalElGamal签名、数字签名标准（签名、数字签名标准（DSSDSS）、）、One-timeOne-time签名、签名、UndeniableUndeniable签名、签名、Fail-Fail-stopstop、签名、签名、SchnorrSchnorr确认方案、确认方案、OkamotoOkamoto确认方案、确认方案、Guillou-QuisquaterGuillou-Quisquater确认方案、确认方案、SnefruSnefru、NhashNhash、MD4MD4MD5MD5等，其中最著名等，其中最著名的算法应该是数字签名标准（的算法应该是数字签名标准（DSSDSS）算法。）算法。3 3防火墙技术防火墙技术 v防火墙系统是一种网络安全部件，它可以是硬件，也可以是防火墙系统是一种网络安全部件，它可以是硬件，也可以是软件，也可能是硬件和软件的结合。防火墙系统可以用于内软件，也可能是硬件和软件的结合。防火墙系统可以用于内部网络与部网络与InternetInternet之间的隔离，也可用于内部网络不同网段之间的隔离，也可用于内部网络不同网段的隔离，后者通常称为的隔离，后者通常称为IntranetIntranet防火墙。防火墙。v目前的防火墙系统根据其实现方式大致可分为两种，即包过目前的防火墙系统根据其实现方式大致可分为两种，即包过滤防火墙和应用层网关。包过滤防火墙的主要功能是接收被滤防火墙和应用层网关。包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包，根据防火墙的访问控制保护网络和外部网络之间的数据包，根据防火墙的访问控制策略对数据包进行过滤，只准许授权的数据包通行。策略对数据包进行过滤，只准许授权的数据包通行。v应用层网关位于应用层网关位于TCP/IPTCP/IP协议的应用层，实现对用户身份的验协议的应用层，实现对用户身份的验证，接收被保护网络和外部之间的数据流并对之进行检查。证，接收被保护网络和外部之间的数据流并对之进行检查。4网络安全扫描技术v网络安全扫描技术是为使系统管理员能够及时了解系统中存网络安全扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞，并采取相应防范措施，从而降低系统安全风在的安全漏洞，并采取相应防范措施，从而降低系统安全风险而发展起来的一种安全技术。利用安全扫描技术，可以对险而发展起来的一种安全技术。利用安全扫描技术，可以对局域网络、局域网络、WebWeb站点、主机操作系统、系统服务以及防火墙站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，系统管理员可以了解在运行的网系统的安全漏洞进行扫描，系统管理员可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上存在的可络系统中存在的不安全的网络服务，在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞，能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞，还可以检测主机系统中是否被安装了窃听程序，防火墙系统还可以检测主机系统中是否被安装了窃听程序，防火墙系统是否存在安全漏洞和配置错误。网络安全扫描技术主要有网是否存在安全漏洞和配置错误。网络安全扫描技术主要有网络远程安全扫描、防火墙系统扫描、络远程安全扫描、防火墙系统扫描、WebWeb网站扫描、系统安网站扫描、系统安全扫描等几种方式。全扫描等几种方式。5 5网络入侵检测技术网络入侵检测技术v网络入侵检测技术也叫网络实时监控技术，它通过网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等。略进行调整，将入侵的数据包过滤掉等。6 6黑客诱骗技术黑客诱骗技术v黑客诱骗技术是近期发展起来的一种网络安全技术，黑客诱骗技术是近期发展起来的一种网络安全技术，通过一个由网络安全专家精心设置的特殊系统来引通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。这种黑客诱骗诱黑客，并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐（系统通常也称为蜜罐（HoneypotHoneypot）系统，最重要的）系统，最重要的功能是一种特殊设置，用来对系统中所有操作进行功能是一种特殊设置，用来对系统中所有操作进行监视和记录。监视和记录。10.2 10.2 防火墙技术防火墙技术 部部门门办办公公室室内内某某成成员员的的计计算算机机经经常常有有其其他他计计算算机机对对其其进进行行pingping操操作作，在在使使用用过过程程中中增增加加了了不不少少烦烦恼恼与与不不便便，该该怎怎么么阻阻止止这这种种状状况况的的发发生生呢呢？另另外外，为为了了避避免免黑黑客客了了解解内内部部网网络络结结构构进进入入内内部部网网络络，或或者者是是内内部部员员工工有有意意或或无无意意的的泄泄漏漏内内部部秘秘密，该采取什么措施呢？密，该采取什么措施呢？防火墙是一种网络安全保障手段，一种有效的网络安全机制，是防火墙是一种网络安全保障手段，一种有效的网络安全机制，是保证主机和网络安全必不可少的工具。保证主机和网络安全必不可少的工具。在逻辑上，防火墙是一个分离器，限制器，也是一个分析器。在逻辑上，防火墙是一个分离器，限制器，也是一个分析器。防火墙是网络之间一种特殊的访问控制设施，在防火墙是网络之间一种特殊的访问控制设施，在InternetInternet网络与网络与内部网之间设置一道屏障，防止黑客进入内部网，用于确定哪些内部网之间设置一道屏障，防止黑客进入内部网，用于确定哪些内部资源允许外部访问、哪些内部网络可以访问外部网络。内部资源允许外部访问、哪些内部网络可以访问外部网络。防火墙在网络中的位置如图所示。防火墙在网络中的位置如图所示。防火墙的网络位置图防火墙的网络位置图 10.2.1 10.2.1 防火墙概述防火墙概述 1 1防火墙的定义防火墙的定义v防火墙是置于不同网络安全域之间的一系列部件的组合，它防火墙是置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策（允许、拒绝、监视、记录）控制进出网络访问行安全政策（允许、拒绝、监视、记录）控制进出网络访问行为。为。v防火墙本身具有较强的抗攻击能力，是提供信息安全服务、防火墙本身具有较强的抗攻击能力，是提供信息安全服务、实现网络和信息安全的基实现网络和信息安全的基v础设施。在逻辑上，防火墙是一个分离器，限制器，也是一础设施。在逻辑上，防火墙是一个分离器，限制器，也是一个分析器，它能够有效地监控个分析器，它能够有效地监控v内部网和内部网和InternetInternet之间的任何活动，保证了内部网络的安全。之间的任何活动，保证了内部网络的安全。防火墙本身不是单独的一个计算机程序或设备，而防火墙本身不是单独的一个计算机程序或设备，而是能提高安全策略及其实现方式的完整系统。是能提高安全策略及其实现方式的完整系统。2防火墙的分类（1 1）按形态分类）按形态分类v按形态，可将防火墙分为软件防火墙和硬件防火墙两种。两按形态，可将防火墙分为软件防火墙和硬件防火墙两种。两种防火墙的比较如表所示种防火墙的比较如表所示 软件防火墙硬件防火墙使用环境只有防火墙软件，需要额外的操作系统硬件和软件的集合，不需要额外的操作系统安全依赖性依赖低层操作系统依赖于专用的操作系统网络适应性弱强稳定性高较高软件升级方便灵活更新不太灵活软件防火墙与硬件防火墙的比较（2 2）按保护对象分类）按保护对象分类按保护对象可将防火墙分为网络防火墙和单机防火墙两种。两按保护对象可将防火墙分为网络防火墙和单机防火墙两种。两种防火墙的比较如表所示。种防火墙的比较如表所示。单机防火墙网络防火墙产品形态软件硬件或软件安装点单台主机网络边界安全策略分散在各安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能单一复杂多样安全措施单点全局单机防火墙与网络防火墙比较（3 3）按使用核心技术分类）按使用核心技术分类v按使用的核心技术，可把防火墙分为包按使用的核心技术，可把防火墙分为包过滤防火墙（根据流经防火墙的数据包过滤防火墙（根据流经防火墙的数据包头信息，决定是否允许该数据包通过）、头信息，决定是否允许该数据包通过）、状态检测防火墙、应用代理防火墙、复状态检测防火墙、应用代理防火墙、复合型防火墙。合型防火墙。3 3防火墙的特性防火墙的特性一个好的防火墙系统应具有一个好的防火墙系统应具有3 3方面的特性：方面的特性：（1 1）所有在内部网络和外部网络之间传输的数据）所有在内部网络和外部网络之间传输的数据必须通通过防火墙；必须通通过防火墙；（2 2）只有被授权的合法数据即防火墙系统中安全）只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙；策略允许的数据可以通过防火墙；（3 3）防火墙本身不受各种攻击的影响。）防火墙本身不受各种攻击的影响。4 4防火墙的局限性防火墙的局限性防火墙能过滤进出网络的数据包，能管理进出网络的访问行为。但防火墙防火墙能过滤进出网络的数据包，能管理进出网络的访问行为。但防火墙不是万能的，还存在一定程度的局限性：不是万能的，还存在一定程度的局限性：（1 1）防火墙不能防范不经过防火墙的攻击，如拨号访问、内部攻击等；）防火墙不能防范不经过防火墙的攻击，如拨号访问、内部攻击等；（2 2）防火墙不能防范利用电子邮件夹带的病毒等恶性程序；）防火墙不能防范利用电子邮件夹带的病毒等恶性程序；（3 3）防火墙不能解决来自内部网络的攻击和安全问题；）防火墙不能解决来自内部网络的攻击和安全问题；（4 4）防火墙不能防止策略配置不当或错误配置引起的安全威胁；）防火墙不能防止策略配置不当或错误配置引起的安全威胁；（5 5）防火墙不能防止利用标准网络协议中的缺陷进行的攻击；）防火墙不能防止利用标准网络协议中的缺陷进行的攻击；（6 6）防火墙不能防止利用服务器系统漏洞所进行的攻击；）防火墙不能防止利用服务器系统漏洞所进行的攻击；（7 7）防火墙不能防止数据驱动式的攻击，有些表面看来无害的数据邮）防火墙不能防止数据驱动式的攻击，有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击；寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击；（8 8）防火墙不能防止本身安全漏洞的威胁。）防火墙不能防止本身安全漏洞的威胁。5 5常用的防火墙实现策略常用的防火墙实现策略（1 1）允许所有除明确拒绝之外的通信或服务）允许所有除明确拒绝之外的通信或服务 很少考虑这种策略，因为这样的防火墙可能带很少考虑这种策略，因为这样的防火墙可能带来许多风险和安全问题。攻击者完全可以使用一种来许多风险和安全问题。攻击者完全可以使用一种拒绝策略中没有定义的服务而被允许并攻击网络。拒绝策略中没有定义的服务而被允许并攻击网络。（2 2）拒绝所有除明确允许之外的通信或服务）拒绝所有除明确允许之外的通信或服务10.2.2 10.2.2 防火墙系统结构防火墙系统结构 v防火墙通过检查所有进出内部网络的数据包，检查数防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立一条安全边界（内部网络建立一条安全边界（security perimetersecurity perimeter）。）。v防火墙系统由两个基本部件构成：一是包过滤路由器防火墙系统由两个基本部件构成：一是包过滤路由器（packet filtering routerpacket filtering router），二是应用级网关），二是应用级网关（application gatewayapplication gateway）。最简单的防火墙由一个）。最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成。由器和应用级网关组合而成。1 1包过滤路由器结构包过滤路由器结构v（1 1）结构）结构(如图如图)包过滤路由器结构示意图 v（2 2）工作流程）工作流程包过滤防火墙工作流程图 v（3 3）性能分析）性能分析v优点：价格低廉，易于使用。优点：价格低廉，易于使用。v缺点：过滤规则的创建非常重要，如果配置错误则缺点：过滤规则的创建非常重要，如果配置错误则不但不会阻挡威胁，甚至还出现允许某些威胁通过不但不会阻挡威胁，甚至还出现允许某些威胁通过的缺陷；不隐藏内部网络配置，任何被允许访问的的缺陷；不隐藏内部网络配置，任何被允许访问的用户都可看到网络的布局和结构；对网络的监视和用户都可看到网络的布局和结构；对网络的监视和日志功能较弱。日志功能较弱。2应用级网关v（1 1）概念）概念应用级网关是在每个需要保护的主机上放置高度专用的应应用级网关是在每个需要保护的主机上放置高度专用的应用软件，实现协议过滤和转发功能。用软件，实现协议过滤和转发功能。v（2 2）结构）结构(如图如图)应用级网关防火墙结构示意图（3 3）性能分析）性能分析v应用级网关防火墙也是通过特定的应用级网关防火墙也是通过特定的逻辑来判断是否允许数据包通过，逻辑来判断是否允许数据包通过，允许内外网络的计算机建立直接联允许内外网络的计算机建立直接联系，外部网络用户能直接了解内部系，外部网络用户能直接了解内部网络的结构，这给黑客的入侵和攻网络的结构，这给黑客的入侵和攻击击 提供了机会提供了机会 3 3双宿堡垒主机防火墙双宿堡垒主机防火墙v（1 1）堡垒主机）堡垒主机 堡垒主机是处于防火墙关键部位、运行应用级网关软件的计堡垒主机是处于防火墙关键部位、运行应用级网关软件的计算机系统。堡垒主机上装有两块网卡，一块连接内网，一块连接算机系统。堡垒主机上装有两块网卡，一块连接内网，一块连接外部网络。外部网络。v（2 2）结构）结构(如图如图)双宿堡垒主机防火墙结构图 v（3 3）数据传输过程）数据传输过程(如图如图)双宿堡垒主机防火墙数据传输过程图（4 4）性能分析）性能分析v双宿堡垒主机有两个网络接口，强行双宿堡垒主机有两个网络接口，强行让进出内部网络的数据通过保垒主机，让进出内部网络的数据通过保垒主机，避免了黑客绕过堡垒主机而直接进入避免了黑客绕过堡垒主机而直接进入内部网络的可能，即使受到攻击，也内部网络的可能，即使受到攻击，也只有堡垒主机遭到破坏，堡垒主机会只有堡垒主机遭到破坏，堡垒主机会记录日志，有利于问题的查找和系统记录日志，有利于问题的查找和系统的维护。的维护。4DMZ防火墙（1 1）什么是DMZ防火墙 DMZ DMZ（demilitarized zonedemilitarized zone，非军事区）防火，非军事区）防火墙也称为屏蔽子网（墙也称为屏蔽子网（screened subnetscreened subnet）防火墙，）防火墙，是在内部网络和外部网络之间建立一个被隔离的子是在内部网络和外部网络之间建立一个被隔离的子网。比如将内网中需要向外部网络提供服务的服务网。比如将内网中需要向外部网络提供服务的服务器（器（WWWWWW，FTPFTP，SMTPSMTP，DNSDNS等），放在处于等），放在处于InternetInternet与内部网络间的一个单独的网段，该网段与内部网络间的一个单独的网段，该网段或子网就叫做或子网就叫做DMZDMZ。v（2 2）DMZDMZ的防火墙结构的防火墙结构(如图如图)DMZ防火墙结构图（3 3）DMZDMZ防火墙防火墙性能分析性能分析安全性高安全性高 该防火墙包括该防火墙包括3 3个不同的设备，入侵者如果想个不同的设备，入侵者如果想要入侵内部网络，必须不被内部包过滤路由器、堡要入侵内部网络，必须不被内部包过滤路由器、堡垒主机、外部包过滤路由器垒主机、外部包过滤路由器3 3个设备发现才有可能。个设备发现才有可能。隐藏内部结构隐藏内部结构 内部网络对于外部网络而言，是不可见的。因内部网络对于外部网络而言，是不可见的。因为为DMZDMZ区相当于隔离带，所有进出的数据包，都只区相当于隔离带，所有进出的数据包，都只能送到能送到DMZDMZ区，不能直接与区，不能直接与InternetInternet连接，因此黑连接，因此黑客很难了解内部网络结构。客很难了解内部网络结构。10.3 10.3 杀毒软件的应用杀毒软件的应用 刚刚还能正常使用的计算机，在运行了刚刚还能正常使用的计算机，在运行了InternetInternet上下载下来的一个程序后，系统就变得奇上下载下来的一个程序后，系统就变得奇慢无比，不停重启，无法正常使用，这是为什么呢慢无比，不停重启，无法正常使用，这是为什么呢？10.3.1 10.3.1 杀毒软件介绍杀毒软件介绍1 1常用杀毒软件介绍常用杀毒软件介绍 某些人利用计算机软、硬件所固有的脆弱性，编制了具某些人利用计算机软、硬件所固有的脆弱性，编制了具有特殊功能的程序代码，这就是计算机病毒。有特殊功能的程序代码，这就是计算机病毒。常用的防病毒软件主要如表常用的防病毒软件主要如表 .种 类公 司主 要 技 术主 要 功 能金山毒霸金山嵌入式反病毒技术即时通信工具进行嵌入挂接KILLCA&金辰病毒检测保护桌面系统KV3000江民查毒和硬盘救护瑞星瑞星病毒行为分析判断实时监控、实时升级、智能安装卡巴斯基卡巴斯基实验室启发式病毒分析和脚本分析防御所有当今的网络威胁，卡巴斯基实验室结合三项保护技术防御病毒，木马和蠕虫，keyloggers，rootkits和其他威胁诺顿赛门铁克公司（Nasdaq SYMC）启发式行为检测技术自动防护、自动实时清除、自动更新程式、智能主动防御杀毒软件种类 2 2使用杀毒软件的几个误区使用杀毒软件的几个误区误区一：好的杀毒软件可以查杀所有的病毒误区一：好的杀毒软件可以查杀所有的病毒误区二：杀毒软件是专门查杀病毒的，木马专杀才是专门杀误区二：杀毒软件是专门查杀病毒的，木马专杀才是专门杀木马的木马的误区三：我的机器没重要数据，有病毒重装系统，不用杀毒误区三：我的机器没重要数据，有病毒重装系统，不用杀毒软件软件误区四：查毒速度快的杀毒软件才好误区四：查毒速度快的杀毒软件才好误区五：杀毒软件不管正版盗版，随便装一个能用的就行误区五：杀毒软件不管正版盗版，随便装一个能用的就行 误区六：根据任务管理器中的内存占用判断杀毒软件的资源误区六：根据任务管理器中的内存占用判断杀毒软件的资源占用占用误区七：只要不用软盘，不乱下载东西就不会中毒误区七：只要不用软盘，不乱下载东西就不会中毒误区八：杀毒软件应该至少装三个才能保障系统安全误区八：杀毒软件应该至少装三个才能保障系统安全误区九：杀毒软件和个人防火墙装一个就行了误区九：杀毒软件和个人防火墙装一个就行了误区十：专杀工具比杀毒软件好误区十：专杀工具比杀毒软件好 有病毒先找有病毒先找 10.3.2 10.3.2 杀毒软件的使用杀毒软件的使用实例实例 实例实例10-1 10-1 安装并设置瑞星杀毒软件安装并设置瑞星杀毒软件第一部分：瑞星杀毒软件的安装方法第一部分：瑞星杀毒软件的安装方法1 1从光盘安装从光盘安装（1 1）将瑞星杀毒软件光盘放入光驱，系统会自动显示安装）将瑞星杀毒软件光盘放入光驱，系统会自动显示安装界面，选择界面，选择“安装瑞星杀毒软件安装瑞星杀毒软件”。如果没有自动显示安装。如果没有自动显示安装界面，可以运行光盘下的界面，可以运行光盘下的Autorun.exeAutorun.exe程序，然后在弹出的程序，然后在弹出的安装界面中选择安装界面中选择“安装瑞星杀毒软件安装瑞星杀毒软件”。（2 2）在弹出的语言对话框中，选择）在弹出的语言对话框中，选择“中文简体中文简体”，按，按“确确定定”开始安装。开始安装。（3 3）进入安装欢迎界面，按）进入安装欢迎界面，按“下一步下一步”继续。继续。（4 4）阅读）阅读“最终用户许可协议最终用户许可协议”，选择，选择“我接受我接受”按按“下下一步一步”继续。继续。v（5 5）在检查序列号窗口中，正确输入产品序列号和）在检查序列号窗口中，正确输入产品序列号和1212位用位用户户IDID号（第一次安装需要，如图所示。然后按号（第一次安装需要，如图所示。然后按“下一步下一步”继继续。序列号在随盘配带的书中。续。序列号在随盘配带的书中。检查序列号对话框（6 6）在）在“瑞星系统内存扫描瑞星系统内存扫描”窗口中程序将进行系统内窗口中程序将进行系统内存扫描，确保您安装瑞星杀毒软件时系统环境无毒，完整。存扫描，确保您安装瑞星杀毒软件时系统环境无毒，完整。此过程约此过程约3 35 5分钟。请等待。完成后按分钟。请等待。完成后按“下一步下一步”继续。继续。（7 7）在安装类型窗口中，选择）在安装类型窗口中，选择“全部全部”，将安装瑞星杀，将安装瑞星杀毒软件的全部组件和工具程序。按毒软件的全部组件和工具程序。按“下一步下一步”继续。继续。（8 8）在安装目录窗口中，指定安装目录，选择在安装目录窗口中，指定安装目录，选择【C C：】盘，盘，按按“下一步下一步”继续。继续。（9 9）在选择程序组窗口中输入程序组名称，默认即可。按）在选择程序组窗口中输入程序组名称，默认即可。按“下一步下一步”继续。继续。（1010）在安装信息窗口中，显示了安装路径和程序组名称在安装信息窗口中，显示了安装路径和程序组名称信息。确认后按信息。确认后按“下一步下一步”开始复制文件。开始复制文件。（1111）复制文件。）复制文件。（1212）文件复制完成后，在结束窗口中，选择文件复制完成后，在结束窗口中，选择“运行瑞星运行瑞星主程序主程序”，“运行监控中心运行监控中心”，启动相应程序，最后选择，启动相应程序，最后选择“完成完成”结束安装。结束安装。（1313）已完成安装瑞星杀毒软件。已完成安装瑞星杀毒软件。（1414）单击）单击“在线升级在线升级”进行升级。进行升级。（1515）单击）单击“确定确定”继续。将会下载新组件等，直到出现继续。将会下载新组件等，直到出现“完成完成”对话框，说明已经升级到最新版本。对话框，说明已经升级到最新版本。2下载安装包安装从网上下载完整的安装包，双击运行从网上下载完整的安装包，双击运行RAV2008.EXERAV2008.EXE文件，根据文件，根据安装向导进行安装。安装向导进行安装。提示：下装安装包安装的向导与从光盘安装的向导向导相同。提示：下装安装包安装的向导与从光盘安装的向导向导相同。3 3WebWeb安装安装WebWeb安装是指用户通过浏览指定位置的网页来实现瑞星杀毒软安装是指用户通过浏览指定位置的网页来实现瑞星杀毒软件网络版的安装。件网络版的安装。（1 1）指定网络内的一台计算机提供）指定网络内的一台计算机提供WebWeb安装功能，首先确定安装功能，首先确定这台计算机已经安装了这台计算机已经安装了InternetInternet信息服务（信息服务（IISIIS）组件。）组件。（2 2）单击光盘自动运行程序界面上的）单击光盘自动运行程序界面上的“网络版网络版WebWeb安装安装”，弹出弹出“瑞星网络安装程序瑞星网络安装程序”对话框，指定对话框，指定“目标文件夹目标文件夹”（默认路径是系统盘下的（默认路径是系统盘下的netpubwwwrootravwebnetpubwwwrootravweb），输入），输入瑞星杀毒软件网络版安装包路径，界面中将自动显示瑞星瑞星杀毒软件网络版安装包路径，界面中将自动显示瑞星WebWeb安装安装URLURL地址。单击地址。单击“安装安装”按钮开始安装，完成后单击按钮开始安装，完成后单击“确定确定”结束安装。结束安装。v如图所示如图所示“瑞星网络安装程序”对话框（3 3）在网络内的任一客户端上打开）在网络内的任一客户端上打开浏览器，在地址栏中输入提供浏览器，在地址栏中输入提供WebWeb安安装的装的URLURL地址，显示地址，显示“瑞星杀毒软件瑞星杀毒软件网络版安装程序下载网络版安装程序下载”页面，单击页面，单击“立即下载立即下载”按钮，将安装包下载按钮，将安装包下载至本地进行安装。至本地进行安装。第二部分：瑞星杀毒软件的设置第二部分：瑞星杀毒软件的设置1 1手动查杀病毒手动查杀病毒（1 1）启动瑞星杀毒软件）启动瑞星杀毒软件通过以下几种方式，可以快速启动瑞星杀毒软件主程序。通过以下几种方式，可以快速启动瑞星杀毒软件主程序。方式一：双击方式一：双击WindowsWindows桌面上的瑞星杀毒软件快捷方式图标桌面上的瑞星杀毒软件快捷方式图标方式二：双击方式二：双击WindowsWindows任务栏中瑞星实时监控的绿色雨伞图标任务栏中瑞星实时监控的绿色雨伞图标方式三：单击方式三：单击WindowsWindows快速启动栏中的瑞星杀毒软件图标快速启动栏中的瑞星杀毒软件图标方式四：单击方式四：单击“开始开始”“所有程序所有程序”“瑞星杀毒软件瑞星杀毒软件”“瑞星杀瑞星杀毒