计算机网络技术及应用

计算机网络技术及应用项目五：计算机网络安全[教学内容](1)计算机病毒的分类、特点、特征和运行机制

(2)反病毒涉及的主要技术

(3)病毒的检测和防治技术

(4)防火墙的基本类型

(5)常见的防火墙配置

(6)网络攻击的分类、手段和防范措施(7)企业网安全防御技术

[实践内容](1)用瑞星2008查杀计算机病毒；(2)常用的个人防火墙进行配置；第2页,共46页，2024年2月25日，星期天项目五：计算机网络安全[教学要求]（1）了解计算机病毒的分类、特点、特征和运行机制（2）了解反病毒涉及的主要技术（3）掌握病毒的检测和防治技术（4）理解构筑防病毒体系的基本原则（5）掌握防火墙的基本类型（6）熟悉常见的防火墙配置（7）了解网络攻击的分类、手段和防范措施（8）了解企业网安全防御技术第3页,共46页，2024年2月25日，星期天本模块的说明模块信息说明本模块名称计算机网络安全所属能力核心应用能力模块地位核心模块课程必修本模块的专业方向网络管理员、网络工程师、网络规划设计师选修本模块的专业方向网络支持工程师、网络产品营销人员第4页,共46页，2024年2月25日，星期天本次课说明课题名称计算机病毒的防治和防火墙技术

所属模块计算机网络安全课时2课时地位核心知识单元本次课的教学目标知识目标技能目标拓展能力目标1、了解计算机病毒的特征；2、了解反病毒的主要技术；3、掌握防火墙的基本类型。1、掌握病毒的检测和防治技术；2、熟悉常见的防火墙配置。1、能够积极主动地和老师达成互动；2、讨论时能和其他同学合适的沟通；3、对防火墙访问策略可以大胆创新。第5页,共46页，2024年2月25日，星期天本次课内容介绍主要内容：了解计算机病毒的分类、特点、特征和运行机制了解反病毒涉及的主要技术掌握病毒的检测和防治技术掌握防火墙的基本类型熟悉常见的防火墙配置重点内容：病毒的检测和防治技术防火墙的基本类型及配置第6页,共46页，2024年2月25日，星期天问题的提出

青职公司市场部小李打开计算机准备处理昨天销售部门报上来的数据分析表，一开机就发现计算机无法正常工作，也不能上网。计算机中心的小张检查发现，硬件没有问题，应该是系统被计算机病毒破坏了，导致WindowsXP无法正常启动。小张将重要的数据进行了备份，重新安装了WindowsXP，以及正版的杀病毒软件。小李的计算机终于可以正常工作了。那么如何才能防止类似的事情再次发生呢？

第7页,共46页，2024年2月25日，星期天任务分析 计算机病毒的防治要从防毒、查毒、解毒三方面来进行。1）防毒：采取实时监测预警等安全措施预防病毒侵入计算机。

2）查毒：对于内存、文件、引导区（含主引导区）、网络等，能够发现和追踪病毒来源。3）解毒：从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力。

第8页,共46页，2024年2月25日，星期天9.1防治计算机病毒“计算机病毒”定义指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。

第9页,共46页，2024年2月25日，星期天9.1.1计算机病毒与杀毒软件（1）引导型病毒

（2）文件型病毒

（3）复合型病毒

（4）变型病毒

（5）宏病毒

（6）网页病毒（7）“蠕虫”型病毒（8）木马病毒

1．计算机病毒分类

第10页,共46页，2024年2月25日，星期天2．计算机病毒的特征（1）非授权可执行性（2）隐蔽性（3）传染性：最重要的一个特征

（4）潜伏性（5）表现性或破坏性（6）可触发性

第11页,共46页，2024年2月25日，星期天3．计算机病毒的传播通过文件系统传播；通过电子邮件传播；通过局域网传播；通过互联网上即时通讯软件和点对点软件等常用工具传播；利用系统、应用软件的漏洞进行传播；利用系统配置缺陷传播，如弱口令、完全共享等；第12页,共46页，2024年2月25日，星期天计算机病毒的传播过程人为设计潜伏侵入系统传染触发运行破坏第13页,共46页，2024年2月25日，星期天4．如何防治病毒（1）要提高对计算机病毒危害的认识（2）养成备份重要文件等良好使用习惯（3）大力普及杀毒软件（4）采取措施防止计算机病毒的发作（5）开启计算机病毒查杀软件的实时监测功能（6）加强对网络流量等异常情况的监测（7）有规律的备份系统关键数据，建立应对灾难的数据安全策略

第14页,共46页，2024年2月25日，星期天5．如何选择计算机病毒防治产品具有发现、隔离并清除病毒功能；具有实时报警（包括文件监控、邮件监控、网页脚本监控等）功能；多种方式及时升级；统一部署防范技术的管理功能；对病毒清除彻底，文件修复完整、可用；产品的误报、漏报率较低；占用系统资源合理，产品适应性较好。第15页,共46页，2024年2月25日，星期天6．常用的防病毒软件站点或公司名称网址瑞星公司北京金山软件有限公司冠群金辰软件有限公司江民科技卡巴斯基实验室诺顿公司/zh/cn/norton/index.jsp第16页,共46页，2024年2月25日，星期天9.1.2应对黑客攻击黑客（hacker）：通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统，以保护网络为目的，以不正当侵入为手段找出网络漏洞。骇客：

利用网络漏洞破坏网络的人。1．黑客和黑客技术

第17页,共46页，2024年2月25日，星期天2．黑客攻击的主要方式黑客技术：发现计算机系统和网络的缺陷和漏洞，并实施攻击的技术。包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误。（1）拒绝服务攻击：使被攻击对象的系统关键资源过载，停止部分或全部服务。是最基本的入侵攻击手段，也是最难对付的入侵攻击之一。

第18页,共46页，2024年2月25日，星期天2．黑客攻击的主要方式（2）非授权访问尝试：对被保护文件读、写或执行的尝试。（3）预探测攻击：例如SATAN扫描、端口扫描和IP半途扫描等。（4）可疑活动：指网络上不希望有的活动。（5）协议解码（6）系统代理攻击：针对单个主机第19页,共46页，2024年2月25日，星期天黑客攻击的步骤第1步信息收集：获取目标系统的信息，如网络拓扑结构、IP地址分配、端口的使用情况等。第2步获得对系统的访问权限：通过口令猜测、社会工程、建立后门等攻击手段，利用系统存在的漏洞来获得对系统的访问权限。第3步破坏系统或盗取信息

：利用非法获得的对系统的访问权限，运行非法程序。第4步消除入侵痕迹：入侵后尽力消除入侵痕迹，如更改或者删除系统文件或日志。第20页,共46页，2024年2月25日，星期天9.1.3流氓软件与瑞星的碎甲技术“流氓软件”同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），介于病毒和正规软件之间。（1）广告软件

（2）间谍软件：安装“后门程序”；（3）浏览器劫持：对浏览器篡改；（4）行为记录软件：窃取并分析隐私数据，记录使用习惯；（5）恶意共享软件：指某些共享软件强迫用户注册、捆绑各类恶意插件。1．流氓软件的分类

第21页,共46页，2024年2月25日，星期天Rootkits最早是一组用于UNIX操作系统的工具集，黑客使用它们隐藏入侵活动的痕迹。

Rootkits主要分为两大类：一种是进程注入式Rootkits，另一种是驱动级Rootkits。进程注入式Rootkits可以通过使用杀毒软件的开机扫描功能轻松清除。驱动级的Rootkits通过在Windows启动时加载Rootkits驱动程序，获取对Windows的控制权。2．什么是Rootkits?

9.1.3流氓软件与瑞星的碎甲技术第22页,共46页，2024年2月25日，星期天瑞星“碎甲”技术通过对Windows驱动程序加载点进行拦截，发现Rootkits时自动使其保护功能失效。瑞星的碎甲技术杀毒软件存在病毒或流氓软件？操作系统API查找文件流氓软件、病毒、木马找到存在RootKits失效瑞星碎甲技术第23页,共46页，2024年2月25日，星期天9.2防火墙技术防火墙是内部网络与外部公共网络之间的第一道屏障，处于网络安全的最底层，负责网络间的安全认证与传输，现代防火墙技术不仅要完成传统防火墙的过滤任务，还有正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。任务分析第24页,共46页，2024年2月25日，星期天9.2.1防火墙的基本类型

防火墙是在一个受保护的企业内部网络与互联网间，用来强制执行企业安全策略的一个或一组系统。防止外部网络用户以非法手段进入内部网络，访问内部网络资源；保护内部网络操作环境的特殊网络互联设备。

第25页,共46页，2024年2月25日，星期天防火墙示意图

第26页,共46页，2024年2月25日，星期天1．防火墙的功能（1）过滤不安全服务和非法用户，禁止未授权的用户访问受保护的网络。（2）控制对特殊站点的访问。

允许受保护网络的一部分主机如邮件服务器、FTP服务器和Web服务器等被外部网访问，而另一部分被保护起来，防止不必要的访问。（3）监视网络访问，提供安全预警。第27页,共46页，2024年2月25日，星期天2.防火墙的分类（1）网络级防火墙--包过滤路由器

（2）电路级防火墙—电路网关（3）应用级防火墙—应用网关（4）监测型防火墙2．防火墙的基本类型第28页,共46页，2024年2月25日，星期天2．防火墙的基本类型防火墙存在软件和硬件两种形式。

具备包过滤功能的路由器（或充当路由器的计算机），通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，否则将数据拒之门外。优点：简单实用，实现成本较低，适合应用环境比较简单的情况。缺点：不能理解网络层以上的高层网络协议，无法识别基于应用层的恶意侵入。（1）包过滤路由器

第29页,共46页，2024年2月25日，星期天（1）包过滤路由器

下图给出了包过滤路由器结构示意图。第30页,共46页，2024年2月25日，星期天（2）电路级防火墙—电路网关电路网关工作在传输层。

不允许内部主机与外部之间直接进行TCP连接，而是建立两个TCP连接：一个在网关和内部主机上的TCP用户程序之间，另一个在网关和外部主机的TCP用户程序之间。通常用于内部网络对外部的访问，与堡垒主机相配合可设置成混合网关，对于向内的连接支持应用层服务，而对于向外的连接支持传输层功能。第31页,共46页，2024年2月25日，星期天（3）应用级防火墙—应用网关应用网关工作应用层，通常指运行代理服务器软件的一台计算机主机。代理服务器位于客户机与服务器之间。从客户机来看，代理服务器相当于一台真正的服务器。而从服务器来看，代理服务器又是一台真正的客户机。

第32页,共46页，2024年2月25日，星期天应用网关的工作模型第33页,共46页，2024年2月25日，星期天应用代理基本工作原理第34页,共46页，2024年2月25日，星期天应用网关优缺点缺点：使访问速度变慢在重负载下，代理服务器可能成为网络瓶颈。优点：代理服务器拥有高速缓存，能够节约时间和网络资源外部网络只能看到代理服务器，看部到内网的具体结构比包过滤更可靠，而且会详细地记录所有的访问状态信息第35页,共46页，2024年2月25日，星期天（4）监测型防火墙对各层的数据进行主动的、实时的监测，加以分析，判断出各层中的非法侵入。带有分布式探测器，安置在各种应用服务器和其他网络的节点之中，能检测来自网络外部的攻击，同时防范来自内部的恶意破坏。

第36页,共46页，2024年2月25日，星期天9.2.2常见的防火墙配置最简单的防火墙配置就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。

将几种防火墙技术组合起来构建防火墙系统，一般来说有3种最基本的配置。

第37页,共46页，2024年2月25日，星期天（1）双宿主机网关用一台装有两个网络适配器的双宿主机（又称保垒主机）做防火墙，一个适配器是网卡，与内部网相连；另一个根据与Internet的连接方式可以是网卡、调制解调器或ISDN卡等。外部网络与内部网络之间的通信必须经过双重宿主主机的过滤和控制。第38页,共46页，2024年2月25日，星期天使用一个包过滤路由器把内部网络和外部网络隔离开，同时在内部网络上安装一个堡垒主机，由堡垒主机开放可允许的连接到外部网。屏蔽主机网关易于实现，安全性好，应用广泛。

（2）屏蔽主机网关第39页,共46页，2024年2月25日，星期天因为堡垒主机是用户网络上最容易受侵袭的机器。通过额外添加一层保护体系——周边网络，将堡垒主机放在周边网络上，用内部路由器分开周边网络和内部网络，从而隔离堡垒主机，减少在堡垒主机被侵入的影响。（3）屏蔽子网第40页,共46页，2024年2月25日，星期天1．攻击的分类从攻击的行为分主动攻击与被动攻击。主动攻击：包括窃取、篡改、假冒和破坏。字典式口令猜测，IP地址欺骗和服务拒绝攻击等都属于主动攻击。被动攻击：网络窃听、截取数据包并进行分析，从中窃取重要的敏感信息等。9.3网络安全攻击与防御9.3.1网络攻击

第