《网络安全技术》PPT课件.ppt

1、10.1 网络安全概述 10.1.1 网络安全的重要性 10.1.2 网络安全的基本问题 10.1.3 网络安全服务的主要内容 10.2 防火墙概述 10.2.1 防火墙的定义 10.2.2 防火墙的分类 10.2. 3 防火墙体系结构 10.2. 3.1 双重宿主主机体系结构 10.2. 3.2 被屏蔽主机体系结构 10.2. 3.3 被屏蔽子网体系结构 10.3 计算机病毒 10.3.1 病毒的特点,第10章 网络安全技术,10.3.2 病毒的分类 10.3.3 病毒的发展趋势 10.3.4 病毒攻击的防范 10.4 计算机木马 10.4.1 木马的发展历史 10.4.2 木马的工作过程

2、10.4.3 防止木马 10.5 黑客攻击 10.5.1 黑客行为 10.5.2 拒绝服务攻击 10.5.3 缓冲区溢出攻击 10.5.4 漏洞扫描 10. 5.5 预防黑客攻击,10.1 网络安全概述,计算机网络的广泛应用对社会发展正面作用的同时，也必须注意到它的负面影响。网络可以使经济、文化、社会、科学、教育等领域信息的获取、传输、处理与利用更加迅速和有效。那么，也必然会使个别坏人可能比较“方便”地利用网络非法获取重要的经济、政治、军事、科技情报，或进行信息欺诈、破坏与网络攻击等犯罪活动。同时，也会出现利用网络发表不负责或损害他人利益的消息，涉及个人隐私法律与道德问题。计算机犯罪正在引起社

3、会的普遍关注，而计算机网络是犯罪分子攻击的重点。计算机犯罪是一种高技术型犯罪，由于其犯罪的隐蔽性，因此会对网络安全构成了很大的威胁。,10.1.1 网络安全的重要性,10.1.2 网络安全的基本问题,网络防攻击问题 网络安全漏洞与对策问题 网络中的信息安全保密问题 网络内部安全防范问题 网络防病毒问题 网络数据备份与恢复、灾难恢复问题,10.1.3网络安全服务的主要内容,网络安全服务应该提供以下这些基本的服务功能： （1）保密性（Confidentiality） （2）认证（Authentication） （3）数据完整性（Data Integrity） （4）防抵赖（Nonrepudiati

4、on） （5）访问控制（Access Control）,10.2 防火墙概述,防火墙是设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，通常是包含软件部分和硬件部分的一个系统或多个系统的组合。,10.2.2 防火墙的分类,（1）基于硬件的防火墙是一个已经预装有软件的硬件设备。 （2）基于软件的防火墙是能够安装在操作系统和硬件平台上的防火墙软件包。 （3）嵌入式防火墙就是内嵌于路由器或交换机的防火墙。,10.2.2.1 按防火墙的软硬件形式分类,10.2.2.2 按防火墙采用的技术分类,（1）包过滤（Packet Filtering）型防火墙。 （2）应用层网关防火墙。 （3）代理

5、服务型防火墙。,10.3 防火墙体系结构,防火墙的经典体系结构主要有三种形式：双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。在介绍防火墙的体系结构之前，先介绍防火墙体系结构中几个常见的术语。 （1）堡垒主机 （2）双重宿主主机 （3）周边网络,10.3.1 双重宿主主机体系结构,防火墙的双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体，执行分离外部网络与内部网络的任务。,10.3.2 被屏蔽主机体系结构,被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙，主要通过数据包过滤实现内部、外部网络的隔离和对内网的保护。,10.3.3 被屏蔽子

6、网体系结构,被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的特殊网络周边网络，并且将容易受到攻击的堡垒主机都置于这个周边网络中。,10.3 计算机病毒,1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例。在该条例的第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 这个定义具有法律性、权威性。根据这个定义，计算机病毒是一种计算机程序，它不仅能破坏计算机系统，而且还能传染到其他系统。计算机病毒通常隐藏在其他正常程序中，能生成自身的副本并将其插入其

7、他的程序中，对计算机系统进行恶意的破坏。,10.3.1 病毒的特点,传统意义上的计算机病毒一般具有破坏性、隐蔽性、潜伏性、传染性等特点。随着计算机软件和网络技术的发展，在今天的网络时代，计算机病毒又有了很多新的特点： （1）主动通过网络和邮件系统传播。 （2）传播速度极快。 （3）变种多。 （4）具有病毒、蠕虫和黑客程序的功能。,10.3.2 病毒的分类,（1）文件型病毒 （2）引导扇区病毒 （3）混合型病毒 （4）变形病毒 （5）宏病毒,10.3.3 病毒的发展趋势,随着Internet的发展和计算机网络的日益普及，计算机病毒出现了一系列新的发展趋势。 （1）无国界 （2）多样化 （3）破坏

8、性更强 （4）智能化 （5）更加隐蔽化,10.3.4 病毒攻击的防范,病毒危害固然很大，但是只要掌握了一些防病毒的常识就能很好的进行防范。网络规划师经常向用户灌输一些防毒常识，这样单位整体的安全意识就会大大提高。 （1）用常识进行判断。 （2）安装防病毒产品并保证更新最新的病毒库。 （3）不要从任何不可靠的渠道下载任何软件。 （4）使用其他形式的文档。 （5）不要用共享的磁盘安装软件，或者是复制共享的磁盘。 （6）使用基于客户端的防火墙或过滤措施。 （7）系统软件经常打好补丁。 （8）重要资料，必须备份。,10.4 计算机木马,在计算机领域中，木马是一类恶意程序。木马是有隐藏性的、自发性的可被

9、用来进行恶意行为的程序，多不会直接对电脑产生危害，而是以控制为主。,10.4.1 木马的发展历史,（1）第一代木马伪装型木马 （2）第二代木马AIDS型木马 （3）第三代木马网络传播性木马 第一，添加了“后门”功能。 第二，添加了键盘记录功能。,10.4.2 木马的工作过程,一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。 （1）硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。Internet：控制端对服务端进行远程控制，数据传输的网络载体。 （2）软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端

10、的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。 （3）具体连接部分：通过Internet在服务端和控制端之间建立一条木马通道所必须的元素。,10.4.2.1 木马的组成,10.4.2.2 配置木马,一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能： （1）木马伪装。木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁。 （2）信息反馈。木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮

11、件地址、IRC号、QQ号等等。,10.4.2.3 传播木马,（1）传播方式 木马的传播方式主要有两种：一种是通过E-mail，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。,修改图标 捆绑文件 出错显示 定制端口 自我销毁 木马更名,（2）伪装方式 鉴于木马的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的

12、。,10.4.3.4 运行木马,服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中（C:windows或C:windowssystem目录下），然后在注册表启动组非启动组中设置好木马的触发条件，这样木马的安装就完成了。 安装后就可以启动木马了，木马的启动方式包括自动激活和触发式激活。,10.4.3.5 信息泄露,一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-mail、IRC或QQ的方式告知控制端用户。 从反馈信息中控制端可以知道服务端的一些软硬件信息，包括使用的操

13、作系统，系统目录，硬盘分区况，系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立连接。,10.4.3.6 建立连接,一个木马连接的建立首先必须满足两个条件：一是服务端已安装了木马程序；二是控制端，服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接。,10.4.3.7 远程控制,木马连接建立后，控制端端口和木马端口之间将会出现一条通道。 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制。 （1）窃取密码。 （2）文件操作。 （3）修改注册表。 （4）系统操作。,10.4.3 防止木马,防治木马

14、的危害，应该采取以下措施： （1）安装杀毒软件和个人防火墙，并及时升级。 （2）把个人防火墙设置好安全等级，防止未知程序向外传送数据。 （3）可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。 （4）经常查看自己电脑上的插件，防止恶意网站在自己电脑上安装不明软件和浏览器插件，以免被木马趁机侵入。,10.5 黑客攻击,黑客最早源白英文Hacker，是指热心于计算机技术，水平高超的计算机专家，尤其是程序设计人员。 但到了今天，黑客一词又被用于泛指那些专门利用计算机搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。,10.5.1 黑客行为,黑客的行为主要有以下几种

15、： （1）学习技术。 （2）伪装自己。 （3）发现漏洞。 （4）利用漏洞。,10.5.2 拒绝服务攻击,DoS是指攻击者想办法让目标机器停止提供服务或资源访问，是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。,10.5.2.1 拒绝服务攻击的方式,（1）SYN Flood （2）IP欺骗DOS攻击 （3）UDP洪水攻击 （4）Ping洪流攻击 （5）泪滴（Teardrop）攻击 （6）Land攻击 （7）Smurf攻

16、击 （8）Fraggle攻击,10.5.2.2 分布式拒绝服务,分布式拒绝服务（Distributed Denial of Service，DDoS）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。,10.5.3 缓冲区溢出攻击,缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统当机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。,10

17、.5.4 漏洞扫描,漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。,10.5.5 端口扫描,网络中的每一台计算机如同一座城堡，在这些城堡中，有的对外完全开放，有的却是紧锁城门。在网络技术中，把这些城堡的城门称之为计算机的“端口”。端口扫描是入侵者搜集信息的几种常用手法之一，也正是这一过程最容易使入侵者暴露自己的身份

18、和意图。一般来说，扫描端口有如下目的。 （1）判断目标主机上开放了哪些服务。 （2）判断目标主机的操作系统。 如果入侵者掌握了目标主机开放了哪些服务，运行何种操作系统，他们就能够使用相应的手段实现入侵。,10.5.5.1 端口扫描原理,端口是由计算机的通信协议TCP/IP协议定义的。其中规定，用口地址和端口作为套接字，它代表TCP连接的一个连接端，一般称为Socket。具体来说，就是用“IP+端口”来定位一台主机中的进程。可以做这样的比喻，端口相当于两台计算机进程间的大门，可以随便定义，其目的只是为了让两台计算机能够找到对方的进程。计算机就像一座大楼，这个大楼有好多入口（端口），进到不同的入口中就可以找到不同的公司（进程）。如果要和远程主机A的程序通信，那么只要把数据发向“A：端口”就可以实现通信了。 端口扫描就是尝试与目标主机的某些端口建立连接，如果目标主机该端口有回复，则说明该端口开放，即为“活动端口”。,10.5.5.2 端口扫描分类,（1