【文档说明】计算机网络安全基础分解课件.ppt，共(152)页，3.222 MB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-76554.html

以下为本文档部分文字说明：

08:27:49一、网络安全概述二、网络服务的安全问题三、常见黑客攻击手段四、企业网中可以选择的安全技术五、网络安全防范策略网络安全技术基础08:27:49一、网络安全概述08:27:49复杂程度InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易时间I

NTERNET技术及应用的飞速发展08:27:49网络发展的现状•不断增加的新应用•不断加入的网络•互联网的广泛应用•人员安全意识不足08:27:49网络的攻击事件报道（1）•据联邦调查局统计，美国每年因网络安全造成的损

失高达75亿美元。•据美国金融时报报道，世界上平均每20秒就发生一次入侵国际互联网络的计算机安全事件，三分之一的防火墙被突破。•美国联邦调查局计算机犯罪组负责人吉姆•塞特尔称：给我精选10名“黑客”，组成个小组，90天内我将使美国趴下。08:27:49网络的攻击事件报道（2）

•在海湾战争中，美国特工人员在安曼将伊拉克从德国进口的一批计算机打印设备中换上含有可控“计算机病毒”的芯片，导致伊方的计算机系统在战争初期就陷入全面瘫痪。•美国已生产出第一代采用“病毒固化”技术的芯片，并开始嵌入出口的计

算机产品中。一旦需要，便可遥控激活。•2000年2月，Yahoo受到攻击。“黑客”所采用的攻击方法为分布式DoS攻击。•2000年3月8日：山西日报国际互联网站遭到黑客数次攻击被迫关机，这是国内首例黑客攻击省级党报网站事件。•2003年11月，Microsoft公司遭到来自俄罗斯的“黑

客”08:27:49198019851990199520012003时间（年）高各种攻击者的综合威胁程度低对攻击者技术知识和技巧的要求黑客攻击越来越容易实现，威胁程度越来越高信息网络系统的复杂性增加脆弱性

程度网络系统日益复杂，安全隐患急剧增加网络的攻击事件报道（3）08:27:49网络存在的威胁•操作系统本身的安全漏洞；•防火墙存在安全缺陷和规则配置不合理；•来自内部网用户的安全威胁;•缺乏有效的手段监视、评估网络的安全性；•TCP/IP协议族软件本身缺乏安全性；•电子邮件病毒、Web页面中

存在恶意的Java/ActiveX控件；•应用服务的访问控制、安全设计存在漏洞。•线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。08:27:49信息安全的基本特征（1）•相对性–只有相对的安全，没有绝对的安全系统。–操作系统与网络管理的相对性。–安全性在系统的不同部件间可

以转移（如在内部网络和外部网络之间使用堡垒主机）。08:27:49信息安全的基本特征（2）•时效性–新的漏洞与攻击方法不断发现（NT4.0已从SP1发展到SP6，Windows2000业发现很多漏洞，针对Outlook的病毒攻击非常普遍）•配置相关性–日常管理中的不同配置会引入新

的问题（安全测评只证明特定环境与特定配置下的安全）–新的系统部件会引入新的问题（新的设备的引入、防火墙配置的修改）08:27:49信息安全的基本特征（3）•攻击的不确定性–攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性•复杂性：–信息安全是一项系统工程，需要技术的和非技术的手

段，涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急反应等08:27:49网络安全层次•层次一：物理环境的安全性（物理层安全）•层次二：操作系统的安全性（系统层安全）•层次三：网络的安全性（网络层安全）•层次四：应用的安全性（应用层安全）•层次五

：管理的安全性（管理层安全）08:27:49存在安全漏洞原因•网络设备种类繁多访问方式的多样化•网络的不断变化•用户安全专业知识的缺乏08:27:49网络服务的安全问题08:27:49电子邮件的安全问题•UNI

X平台上常用的邮件服务器sendmail常以root帐号运行，存在潜在的危险；•角色欺骗：电子邮件上的地址是可以假冒的；•窃听：电子邮件的题头和内容是用明文传送的，所以内容在传送过程中可能被他人偷看或修改；•电子邮件炸弹：被

攻击的计算机被电子邮件所淹没直到系统崩溃；•针对电子邮件的病毒大量涌现。08:27:49FTP文件传输的安全问题•多数FTP服务器可以用anonymous用户名登录，这样存在让用户破坏系统和文件可能。•上载的软件可能有破坏性，大量上载的文件会耗费机时及

磁盘空间。•建立匿名服务器时，应当确保用户不能访问系统的重要部分，尤其是包含系统配置信息的文件目录。•注意不要让用户获得SHELL级的用户访问权限。•普通文件传输协议（TFTP）支持无认证操作，应屏蔽掉。08:27:49Telnet服务和WWW的安全问题•Telnet登录时要输入帐号和密码，但

帐号和密码是以明文方式传输的，易被监听到。SSH(SecureShell)•Web浏览器和服务器难以保证安全。•Web浏览器比FTP更易于传送和执行正常的程序，所以它也更易于传送和执行病毒程序。•服务器端的安全问题主要来自于CGI（公共网关

接口）程序，网上很多的CGI程序并不是由有经验、了解系统安全的程序员编写的，所以存在着大量的安全漏洞。•JavaScript,JavaApplet,ActiveX都会带来安全问题08:27:49网络管理服务及NFS的安全问题•Ping、traceroute/trace

rt经常被用来测试网络上的计算机，以此作为攻击计算机的最初的手段。•简单网络管理协议（SNMP）可以用来集中管理网络上的设备，SNMP的安全问题是别人可能控制并重新配置你的网络设备以达到危险的目的：取消数据包过滤功能、改变路径、废弃网络设备的配置文件等。•NFS可以让你使用远程文件系统，不恰

当的配置NFS，侵袭者可以很容易用NFS安装你的文件系统。•NFS使用的是主机认证，黑客可以冒充合法的主机。08:27:49黑客常见攻击手段08:27:49主要内容•日益增长的网络安全威胁状况•常见的网络攻击方式解析–口令攻击–特洛伊木马–网络监听snif

fer–扫描器–病毒技术–拒绝服务攻击(DDOS)08:27:49日益增长的网络安全威胁08:27:49日益增长的网络安全威胁黑客和病毒技术的统一自动，智能，普及,分布,大范围黑客文化:从个人目的到政治，社会，军事，工

业等目的08:27:49网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁蠕虫常见的黑客攻击方式08:27:49常见网络攻击方式•口令攻击•特洛伊木马•网络监听sniffer•扫描器•病毒技术•拒绝服务攻

击(DDOS)08:27:49口令攻击•口令攻击类型–字典攻击–强行攻击–组合攻击–其他攻击类型•社会工程学•偷窥•搜索垃圾箱08:27:49实施入侵（9）•口令攻击工具Windows下常见的工具L0ph

tcrackNTSweepNTCrackPWDump2CainUnix下常见的工具CrackJohntheRipperSlurpie08:27:49特洛伊木马（1）•特洛伊木马–简单地说，特洛伊木马就是攻击者再次

进入网络或者是系统而不被发现的隐蔽通道。08:27:49特洛伊木马（2）•在大多数情况下，攻击者入侵一个系统后，他可能还想在适当的时候再次进入系统。比如说，如果攻击者入侵了一个站点，将它作为一个对其他系统进行攻击的平台或者是跳板，他就会想在适当的时候登录到这个站点取回他以前存放在系统里面

的工具进行新的攻击。很容易想到的方法就是在这个已经被入侵的系统中留一个特洛依木马。08:27:49特洛伊木马（3）•木马程序举例–QAZ•QAZ是一个典型的通过电子邮件传送的特洛伊木马程序。它通常隐藏在notepad.exe程序中。–木马监听代

理•木马监听程序在受害者系统中打开一个端口并且对所有试图与这个端口相连接的行为进行监听。当有人通过这个端口进行连接时，它要么运行一个三方程序，要么将命令发送给攻击者。–Netcat–Tini–Rootkit0

8:27:49特洛伊木马（4）•关于Rootkit–Rootkit对于UNIX系统来说是相当普遍的，NT系统的也有。和它的名字正好相反，这种工具并不能使我们获得ROOT权限，但是当一个攻击者已经获得了ROOT的身份后，它就

能使攻击者在任何时候都可以以ROOT身份登录到系统。它们经常采用的方法是将自己隐藏在一些重要的文件里。–Rootkit有两个主要的类型：•文件级别•系统级别08:27:49特洛伊木马（5）•文件级别–Rootkit威

力很强大，可以轻而易举地在系统中建立后门。最一般的情况就是它们首先进入系统然后修改系统的重要文件来达到隐藏自己的目的。合法的文件被木马程序替代。通常情况下，合法的程序变成了外壳程序，而其内部就是隐藏着的后门程序。下面列出的程序就是经常被木马程序利用掩护自己的UNIXRootkit。•LO

GIN•LS•PS•FIND•WHO•NETSTAT08:27:49特洛伊木马（6）•系统级别（内核级）–对于工作在文件级的Rootkit来说，它们非常容易被检测到。而内核级Rootkit工作在一个很低的级别上--内核级。它们经常依附

在内核上，并没有修改系统的任何文件，于是tripwire工具就不能检测到它的使用。因为它并没有对系统的任何文件进行修改，攻击者可以对系统为所欲为而不被发现。系统级Rootkit为攻击者提供了很大的便利，并且修复了文件级Ro

otkit的一些错误。08:27:49特洛伊木马（7）•Unix下常见的后门程序–文件级Rootkit•TrojanIT•Lrk5•Ark•Rootkit•TK–内核级•Knark•Adore08:27:49特洛伊木马（8）•Windows下常见

的后门程序–BrownOrifice–DonaldDick–SubSeven–BackOrifice–广外女生–黑暗天使–冰河–灰鸽子–流莺08:27:49特洛伊木（9）•木马的清除：–TheCleaner–杀毒软件–手动清除•木马的防范：不要下载和执行来历不明的程序08:27:4

9网络监听•网络监听的作用：–可以截获用户口令；–可以截获秘密的或专用的信息；–可以用来攻击相邻的网络；–可以对数据包进行详细的分析；–可以分析出目标主机采用了哪些协议08:27:49常用网络监听工具工具名称操作系统功能简介Sni

ffitSunOS,Solaris针对TCP/IP协议的不安全性进行监听TcpdumpUnix,FreeBSD可以从以太网上监听并截获数据包nfswatchHP/UX,SunOS监控在以太网上传输的NFS数据包ethermanSGIIrix监听以太网上的通信SnoopSunOS,Solar

is用来侦听本网段数据包，常用作错误诊断NetstatUNIX、WinNT显示当前的TCP/IP连接和协议统计etherfindSunOS监听局域网上的通信的主机LanwatchDOS监听外部主机对本机的访问08:

27:49扫描器•定义：自动检测本地或远程主机安全弱点的程序•功能：帮助发现弱点而不是用来攻击系统•分类：本地扫描器和网络扫描器；端口扫描器和漏洞扫描器•常见扫描器：如ISS(InternetSecurityScanner,Internet安全扫描程序），SATAN(Secur

ityAnalysisToolforAuditingNetworks，审计网络用的安全分析工具），NESSUS等可以对整个域或子网进行扫描并寻找安全上的漏洞这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标

系08:27:49国际互联网络服务器服务器防火墙其它网络广域网电话网企业网内域网互联网扫描器08:27:49拒绝服务攻击•DoS攻击–LAND–Teardrop,–SYNflood–ICMP:smurf–Router:remotereset,UDPpor

t7,–Windows:Port135,137,139(OOB),terminalserver–Solaris:–Linux:–其他...08:27:49攻击者172.18.1.1InternetCode目标204.241.161.12欺骗性的IP包源地址204.

241.161.12Port139目的地址204.241.161.12Port139TCPOpenG.MarkHardy拒绝服务攻击:LAND攻击08:27:49攻击者172.18.1.1Intern

etCode目标204.241.161.12IP包欺骗源地址204.241.161.12Port139目的地址204.241.161.12Port139包被送回它自己崩溃G.MarkHardy拒绝服务攻击:LAND攻击08:27:49攻击者172.18.1.1InternetCod

e目标204.241.161.12IP包欺骗源地址204.241.161.12Port139目标地址204.241.161.12Port139TCPOpen防火墙防火墙把有危险的包阻隔在网络外G.MarkHardy拒绝

服务攻击:代理防火墙的保护08:27:49攻击者172.18.1.1InternetCode目标192.0.2.1欺骗性的IP包源地址不存在目标地址是192.0.2.1TCPOpenG.MarkHardy拒绝服务攻击:S

YNFLOOD08:27:49攻击者172.18.1.1InternetCode目标192.0.2.1同步应答响应源地址192.0.2.1目标地址不存在TCPACK崩溃G.MarkHardy拒绝服务攻击:SYNFLOOD08:27:49Smuff攻击示意

图第一步：攻击者向被利用网络A的广播地址发送一个ICMP协议的’echo’请求数据报，该数据报源地址被伪造成10.254.8.9第二步：网络A上的所有主机都向该伪造的源地址返回一个‘echo’响应，造成该主机服务中断。拒绝服务攻击:Smurf08:27:49分布

式拒绝服务（DDOS）•以破坏系统或网络的可用性为目标•常用的工具：–Trin00,–TFN/TFN2K,–Stacheldraht•很难防范•伪造源地址，流量加密，因此•很难跟踪clienttargethandl

er...agent...DoSICMPFlood/SYNFlood/UDPFlood08:27:49DDoS的结构08:27:49分布式拒绝服务攻击步骤（1）ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测

扫描大量主机以寻找潜在入侵目标。1Internet08:27:49Hacker被控制的计算机(代理端)黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2Internet分布式拒绝服务攻

击步骤（2）08:27:49Hacker黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。3被控制计算机（代理端）MasterServerInternet分布式拒绝

服务攻击步骤（3）08:27:49HackerUsingClientprogram,黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机（代理端）TargetedSystemMasterServer分布式拒绝服务攻击步骤4Internet分布式拒绝服务攻击步骤（4）08:2

7:49InternetHacker主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5MasterServerTargetedSystem被控制计算机（代理端）分布式拒绝服务攻击步骤（5）08:27:

49TargetedSystemHacker目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6MasterServerUserRequestDeniedInternet被控制计算机（代理端）分布式拒绝服务攻击步骤（6

）08:27:49•DDOS攻击的效果–由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时

拨打某公司的一部电话号码。分布式拒绝服务攻击08:27:49•分布式拒绝服务攻击的今后的发展趋势：–如何增强自身的隐蔽性和攻击能力；–采用加密通讯通道、ICMP协议等方法避开防火墙的检测；–采用对自身进行数字签名等方法研究自毁机制，在被非攻

击者自己使用时自行消毁拒绝服务攻击数据包，以消除证据。分布式拒绝服务攻击的发展趋势08:27:49•预防DDOS攻击的措施–确保主机不被入侵且是安全的；–周期性审核系统；–检查文件完整性；–优化路由和网络结构；–优化对外开放访

问的主机；–在网络上建立一个过滤器（filter）或侦测器（sniffer），在攻击信息到达网站服务器之前阻挡攻击信息。预防DDOS攻击的措施08:27:49计算机病毒•计算机病毒带来的危害–2003年，计算机病毒不仅导致人们支付了数十亿美元的

费用，而且还动摇了互联网的中枢神经。从今年1月份的Slammer攻击事件到8月份的“冲击波”病毒，都给互联网带来了不小的破坏。2004年上半年又出现将近4000种病毒•目前世界上共有8万多种病毒，但是大部分都为“动物园”里的老病毒，这些病毒很少传播，还在“野外”的病毒有200

0多种，较为流行的病毒有200多种，其中以蠕虫病毒传播最为广泛。08:27:49•中文IIS4.0+SP6中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，•UNICODE编码存在BUG，在UNICODE编码中%c1%1c-〉(0xc1-0xc0)*0x40+0x1c=

0x5c=‘/‘%c0%2f-〉(0xc0-0xc0)*0x40+0x2f=0x2f=‘＼‘NT4中/编码为%c1%9c在英文版里：WIN2000英文版%c0%af还有以下的编码可以实现对该漏洞的检测.%c1%pc%c0%9v%c0%qf%c1%8shttp://192168100227/scri

pts/%c1%1c%c1%黑客攻击范例－UNICODE漏洞的利用08:27:49黑客攻击范例－UNICODE漏洞的利用08:27:49黑客攻击范例－UNICODE漏洞的利用08:27:49企业网中可以选择的安全技术08:27:49主要内容•防火墙技术•加密技术•

VPN技术•入侵检测技术•防病毒技术•网络扫描技术08:27:49ServerClient防火墙（Firewall）注解：防火墙类似一堵城墙，将服务器与客户主机进行物理隔离，并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。•防火墙是一个位于计算机与网络或网络与网

络之间的软件或硬件设备或是软硬件结合08:27:49一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问

行为。两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决

定进出网络的行为防火墙08:27:49防火墙的目的•确保内部网向外部网的全功能互联和内部网的安全；•所有内部网络与外部网的信息交流必须经过防火墙；•只有按本地的安全策略被授权的信息才允许通过；•防火墙本身具

有防止被穿透的能力。08:27:49防火墙的作用•过滤进出网络的数据包•管理进出网络的访问行为•封堵某些禁止的访问行为•记录通过防火墙的信息内容和活动•对网络攻击进行检测和告警08:27:49防火墙结构•双主机防火墙•主机屏蔽防火墙•子网屏蔽

防火墙08:27:49双主机防火墙你的网络internet双网卡主机1、必须使主机的路由功能无效。2、双主机防火墙是运行一组应用层代理软件或链路层代理软件来工作的缺点：用户很容易意外地使内部路由有效08:27:49主机屏蔽防火墙你的网

络internet路由器主机屏蔽防火墙08:27:49子网屏蔽防火墙你的网络internet路由器子网屏蔽防火墙路由器08:27:49防火墙技术•包过滤技术•代理技术•状态检查技术•地址翻译技术•安全审

计技术•安全内核技术•负载平衡技术•内容安全技术08:27:49防火墙的局限%c1%1c%c1%1cDirc:\08:27:49防火墙的局限确保网络的安全,就要对网络内部进行实时的检测,这就需要IDS无时不在的防护！•防火墙不能防止通向站点的后门

。•防火墙一般不提供对内部的保护。•防火墙无法防范数据驱动型的攻击。•防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输08:27:49数据加密技术•加密系统的组成部分•密码分类•数字签名

•近代加密技术•加密技术的实现•PGP加密软件08:27:49加密系统的组成部分（1）未加密的报文，也称明文。（2）加密后的报文，也称密文。（3）加密解密设备或算法。（4）加密解密的密钥密钥：是用户按照一种密码体制随机选取，它通常是一随机字符串，是控制明文和密文变换08:27:4

9密码分类•按应用技术或历史发展阶段划分–手工密码、机械密码、电子机内乱密码、计算机密码•按保密程度划分–理论上保密的密码、实际上保密的密码、不保密的密码•按密钥方式划分–对称密钥密码、非对称式密码•按明文形态–模拟型密码、数字型密码•

按编制原理划分–移位、代替、置换08:27:49对称密钥加密技术安全性依赖于：加密算法足够强，加密方法的安全性依赖于密钥的秘密性，而不是算法。特点：（1）收发双方使用相同密钥的密码（2）密钥的分发和管理非常复杂、代价昂贵。（3）不能实现数字签名用来加密大量的数据08:

27:49公有密钥加密技术加密关键性的、核心的机密数据•加密系统的组成部分•公有密钥和私有密钥的使用规则–（1）密钥成对使用–（2）公钥可以给任何人，而私钥自己保留–（3）从现实环境下，不可能从公有密钥推导出私有密钥•特点：–（1）密钥的分配和管理简单。–（2）容易实现数字签名，最适合于电

子商务应用。–（3）安全性更高，计算非常复杂，实现速度远赶不上对称密钥加密系统08:27:49数字签名•原理：–将要传送的明文通过一种函数运算（HASH）转换成报文摘要，报文摘要加密后与明文一起传送给按受方，接受方将接受

的明文产生新的报文摘要与发送方的发来的摘要解密比较，比较结果一致表示明文未被改动，如果不一致明文已篡改。08:27:49数字签名08:27:49•VPN即虚拟专用网，是指一些节点通过一个公用网络（通常是因特网）建立的一个临时的、安全的连接，它们之间的通信的机密性和完整性可以通过

某些安全机制的实施得到保证•特征–虚拟(V)：并不实际存在，而是利用现有网络，通过资源配置以及虚电路的建立而构成的虚拟网络–专用(P)：只有企业自己的用户才可以联入企业自己的网络–网络(N)：既可以让

客户连接到公网所能够到达的VPN技术08:27:49VPN的用途•VPN（虚拟专用网络）是通过公共介质如Internet扩展公司的网络•VPN可以加密传输的数据，保障数据的机密性、完整性、真实性•防火墙是用来保证内部网络不被侵犯，相当于银行的门卫；而VPN则是保证在网络上传输的数据不被

窃取，相当于运钞车。08:27:49VPN的隧道协议•VPN的关键技术在于通信隧道的建立，数据包通过通信隧道进行封装后的传送以确保其机密性和完整性•通常使用的方法有：–使用点到点隧道协议PPTP、第二层隧道协议L2TP、第二层转发协议L2F等在数据链路层对数据实行封装–使用

IP安全协议IPSec在网络层实现数据封装–使用介于第二层和第三层之间的隧道协议，如MPLS隧道协议08:27:49PPTP/L2TP•1996年，Microsoft和Ascend等在PPP协议的基础上开发了PPTP，并将它集成于WindowsNTServer4.0中，同时也提供了相应的

客户端软件•PPTP可把数据包封装在PPP包中，再将整个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或ATM中进行传输•PPTP提供流量控制,采用MPPE加密算法08:27:49•1996年，Cisco提出L2F（Layer2Forwarding）隧道协议•199

7年底，Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议•L2TP协议综合了PPTP协议和L2F（Layer2Forwarding）协议的优点,并且支持多路隧道，这样可以使用户同时访问Internet和企业网。•L2

TP可以实现和企业原有非IP网的兼容，支持MP（MultilinkProtocol），可以把多个物理通道捆绑为单一逻辑信道PPTP/L2TP08:27:49•优点：–支持其他网络协议（如Novell的IPX，NetBEUI和AppleTalk协议）–支持流量控制•缺点：–通道打开后，源和目的

用户身份就不再进行认证，存在安全隐患–限制同时最多只能连接255个用户–端点用户需要在连接前手工建立加密信道，另外认证和加密受到限制，没有强加密和认证支持。PPTP/L2TP08:27:49IPSecVPN•IPSec是一种由IETF设计的端到端的

确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密，同时确保数据的完整性。–IPSEC使用验证包头（AH，在RFC2402中定义）提供来源验证（sourceauthentication），确保数据的可靠性；–IPSec使用封装安全负载（ESP，在RFC1827中定义）进行加密，从而确保数

据机密性。•在IPSec协议下，只有发送方和接受方知道秘密密钥。如果验证数据有效，接受方就可以知道数据来自真实的发送方，并且在传输过程中没有受到破坏。08:27:49•传输模式：–使用原始明文IP头，并且只加密数据，包括它的TCP

和UDP头。–这种模式适用于小型网络和移动客户端。•隧道模式：–隧道模式处理整个IP数据包：包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。–隧道模式被用在两端或是一端是安全网关的架构中，例如装有IPSec的防火墙。使

用了隧道模式，防火墙内很多主机不需要安装IPSec也能安全地与外界通信，IPSecVPN08:27:49•优点：–可提供高强度的安全性（数据加密和身份验证）–对上层应用完全透明–支持网络与网络、用户与用户、网络与用户多种应用模式•缺点：–

只支持IP协议目前防火墙产品中集成的VPN多为使用IPSec协议，在中国其发展处于蓬勃状态。IPSecVPN08:27:49MPLSVPN•是在网络路由和交换设备上应用MPLS(Multiprotocol

LabelSwitching)技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IPVPN）•MPLSVPN主要应用领域是用于建设全网状结构的数据专线，保证局域网互联的带宽与服务质量。总部与下面分支机构互联时，如果使用公网，则带宽、时延等很大程度上受公网的网

络状况制约。而布署MPLSVPN后，可以保证网络服务质量，从而保证一些对时延敏感的应用稳定运行，如分08:27:49与其他VPN协议的对比•L2TP、PPTP：主要用于客户端接入专用网络。本身的安全性比较弱，需要依靠IPSec来提供进一步的安

全性。•MPLS：能够提供与传统的ATM，FR同等的安全性，但本身没有加密，认证机制，对数据的机密性等保证需要依靠IPSec来进一步保证。•IPSec是弥补其他VPN技术的安全性的有效保证。08:27:4911001110010100010100101010010001001001000

00100000011001110010100010100101010010001001001000001000000明文加密解密明文密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@保证数据在

传输中的机密性发起方接受方密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@1.支持IKE密钥协商2.密钥自动刷新3.128位对称加密4.1024位非对称加密5.设备之间采用证书认证

6.支持CA认证VPN的主要作用之一08:27:49发起方接受方1001000101010010100001000000110110001010100010101001000101010010100001000000110110001010HashHash10001010100100010101

0010100001000000110110001010是否一样？验证数据来源的完整性和真实性1.支持透明模式2.支持路由模式VPN的主要作用之二08:27:49实时入侵检测系统Internet总部办事处分公司分公司在网络

中部署网络入侵检测系统，实时对网络中的数据流进行检测，对于可疑的数据，将及时报警，入侵检测系统同时与防火墙交互信息，共同防范来自于网外的攻击。具体策略如下：基于网络的入侵检测策略基于主机的入侵检测策略

报警攻击08:27:49什么是入侵检测系统IDS（IntrusionDetectionSystem）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。08

:27:49什么是入侵检测系统•入侵检测系统–网络数据包的获取——混杂模式–网络数据包的解码——协议分析–网络数据包的检查——规则匹配–网络数据包的统计——异常检测–网络数据包的审查——事件生成08:27:49监控室=控制中心后门保安=防火墙摄像

机=探测引擎CardKey形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅

只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。什么是入侵检测系统08:27:49在安全体系中，IDS是唯一一个通过数据和行为模式判断其是否有效的系统，如下

图所示，防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子；访问控制系统可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限入侵检测系统的作用

08:27:49入侵检测系统的职责•IDS系统的两大职责：实时检测和安全审计。–实时监测——实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文；–安全审计——通过对IDS系统记录的网络事件进行统计分析，发现其中的异常现象，得出系统的安

全状态，找出所需要的证据。08:27:49IntranetIDSAgentIDSAgent网络IDS企业内部典型安装FirewallServersDMZIDSAgent监控中心router08:27:49IDS阻断入侵示意图FirewallServer

sDMZIDSAgentIntranetIDSAgent监控中心router攻击者攻击者发现攻击发现攻击发现攻击报警报警08:27:49防病毒技术•病毒概述•病毒危害•病毒新技术•防病毒技术•清除病毒•网络防病毒08:27:49病毒概述•《中华人民共和国计算机信息系统安全保护条例》第二十

八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我传染的一组计算机指令或者程序代码。”08:27:49计算机病毒原理计算机病毒程序病毒引导模块（潜伏机制）病毒传染模块（再生机制）病毒表现模块（激发机制）08:27:49计算机病毒

的工作流程一次非授权的加载，病毒进入内存病毒引导模块被执行修改系统参数，引人传染和表现模块监视系统运行判断传染条件是否满足？判断触发条件是否满足？进行传染进行表现或破坏08:27:49病毒的特征•依附性•传染性•潜伏性•可触发性

•破坏性•针对性•人为性08:27:49病毒的征兆•磁盘文件数目增多•系统的RAM空间变小•文件的日期／时间值被改变•可执行程序长度增加•磁盘上出现坏簇•程序加载时间比平时变长•程序执行时间较平时变长•硬盘读写时间明显增加•硬盘启动系统失败

08:27:49防病毒技术•病毒概述•病毒危害•病毒新技术•防病毒技术•消毒病毒•网络防病毒08:27:49计算机病毒的危害性•磁盘文件数目增多•影响系统效率•删除、破坏数据•干扰正常操作•阻塞网络•进行反动宣传•占用系统资源•被后门控制08:27:49最新病毒分析•CIH病毒•

Loveletter病毒•首例病毒与蠕虫相结合Sircam•首例蠕虫与黑客相结合CodeRedII•Nimda病毒08:27:49病毒新技术和发展趋势•隐藏型病毒•自加密、多形态及变异病毒•反向病毒•邮件型病毒•JAVA和ActiveX病毒智能化•病毒

形式多样化•传播方式多样化•专用病毒生成工具08:27:49蠕虫08:27:49蠕虫病毒的特点•蠕虫也是一种病毒，因此具有病毒的共同特征。–普通病毒需要的寄生,通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”–病毒主要是感染文件，当然也还有像

DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。08:27:492001年红色代码大爆发08:27:49蠕虫病毒的罪恶病毒名称持续时间造

成损失莫里斯蠕虫1988年6000多台计算机停机,直接经济损失达9600万美元美丽杀手1999年3月政府部门和一些大公司紧急关闭了网络服务器,经济损失超过12亿美元爱虫病毒2000年5月至今众多用户电脑被感染，损失超过100亿美元以上红色代码2001年7月网络瘫痪，直接经济损失超过26亿美元

求职信2001年12月至今大量病毒邮件堵塞服务器，损失达数百亿美元Sql蠕虫王2003年1月网络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过26亿美元08:27:49防病毒技术•特征代码法•校验和法•行为监测法•启发式扫描•虚

拟机技术08:27:49特征代码法的实现步骤•采集已知病毒样本，病毒如果即感染COM文件，又感染EXE文件，要两者都采样•病毒采样中，抽取特征代码，应依据如下原则：–抽取的代码比较特殊，不大可能与普通正常程序代码吻合。–抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方

面又不要有太大的空间与时间的开销–在既感染COM文件又感染EXE文件的病毒样本中，要抽取两种样本共有的代码•并将特征代码纳入病毒数据库•打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。•如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定

，被查文件中患有何种病毒。08:27:49特征代码法的特点•优点：–检测准确、快速–可识别病毒的名称–误报警率低–依据检测结果，可做杀毒处理•缺点：–不能检测未知病毒–搜集已知病毒的特征代码，费用开销大–在网络上效率低。08:27:49校验和法查病毒采用三种方式•在检测病毒工具中纳

入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。•在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行

校验和与原校验和值。实现应用程序的自检测。•将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。08:27:49校验和法的特点•优点–方法简单–能发现未知病毒–被查文件的细微变化也能发现。•缺点–

必须预先记录正常态的校验和–会误报警–不能识别病毒名称–不能对付隐蔽型病毒08:27:49行为监测法•占有INT13H（读写）•改DOS系统为数据区的内存总量•对COM、EXE文件做写入动作•病毒程序与宿主程序的切换•修改系统Usr/bin，sb

in/修改系统命令08:27:49行为监测法的特点•优点：–可发现未知病毒–可相当准确地预报未知的多数病毒•缺点：–可能误报警–不能识别病毒名称–实现时有一定难度08:27:49启发式扫描技术•启发式是指“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运

用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译，逐步理解和确定其蕴藏的真正动机08:27:49虚拟机技术•“虚拟”二字，有着两方面的含义：–可发现未知病其一在于运行一定规则

的描述语言的机器并不一定是一台真实地以该语言为机器代码的计算机，比如JAVA想做到跨平台兼容，那么每一种支持JAVA运行的计算机都要运行一个解释环境，这就是JAVA虚拟机；–另一个含义是运行对应规则描述语言的机器并不是该描述语言的

原设计机器，这种情况也称为仿真环境。08:27:49虚拟机是反病毒的趋势•在处理加密编码病毒过程中，虚拟机是比较理想的处理方法；•在反病毒软件中引入虚拟机是由于综合分析了大多数已知病毒的共性，并基本可以认为在今后一段时间内的病毒大多会沿袭这些共性•虚拟机的确可以抓

住一些病毒“经常使用的手段”和“常见的特点”，并以此来怀疑一个新的病毒；•目前“临床”应用的虚拟机并不是“高大全”的完整仿真环境，而是相对比较简单的、易于实现的版本。•虚拟机技术仍然与传统技术相结合，并没有

抛08:27:49Sircam病毒的清除手工删除的步骤如下：在c:\windows>执行如下的命令：cd\Recycledc:\Recycled>attrib–r-hsirc32.exec:\Recycled>delsirc32.exec:\Recycled>cd..c:\>cd

windowsc:\windows>attrib-r-hscam32.exec:\windows>delscam32exe08:27:49•全方位、多层次防病毒•统一安装，集中管理•自动更新病毒定义库网络防病毒系统特点网络防病毒系统08:27:

49病毒防护策略Internet总部办事处分公司分公司在全网部署病毒防护系统采用全网统一的病毒防护策略，对于网内传播的病毒进行及时的查杀，实现全网统一升级，保持病毒库版本的一致性，同时针对重点的防范点可采用

防病毒网关进行防护。具体防护包括:内联网和外联网病毒防护策略操作系统病毒防护策略应用系统病毒防护策略服务器机群病毒扩护策略工作站病毒防护策略08:27:49企业防范蠕虫病毒的策略企业防毒的一个重要方面是是管理和策略。推荐的企业防范蠕虫病毒的策略如

下1．加强网络管理员安全管理水平，提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击，所以需要在第一时间内保持系统和应用软件的安全性,保持各种操作系统和应用软件的更新！2．建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻击。3．建立应急响应系统，将风险减少到最小！由于蠕虫病毒

爆发的突然性，可能在病毒发现的时候已经蔓延到了整个网络，所以在突发情况下，建立一个紧急响应系统是很有必要的，在病毒爆发的第一时间即能提供解决方案。4．建立灾难备份系统。对于数据库和数据系统，必须采用定期备份，多机备份措施，防止意外灾难下的数据丢失！5．对于局

域网而言，可以采用以下一些主要手段：（1）在因特网接入口处安装防火墙式防杀计算机病毒产品，将病毒隔离在局域网之外。（2）对邮件服务器进行监控，防止带毒邮件进行传播！（3）对局域网用户进行安全培训。（4）建立局域网内部的升级系统，包括各种操

作系统的补丁升级，各种常用的08:27:49个人用户的防范策略网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞！所以防范此类病毒需要注意以下几点：1．购合适的杀毒软件网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍，杀毒软件必

须向内存实时监控和邮件实时监控发展！2.经常升级病毒库杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒!3．提

高防杀毒意识不要轻易去点击陌生的站点，有可能里面就含有恶意代码！当运行IE时，点击“工具→Internet选项→安全→Internet区域的安全级别”，把安全级别由“中”改为“高”。、因为这一类网页主

要是含有恶意代码的ActiveX或Applet、JavaScript的网页文件，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页08:27:49漏洞扫描技术•不断增加的新应用•漏洞的发现•漏洞对系统的威胁•漏洞的脆弱性分析

•扫描技术•漏洞扫描工具介绍08:27:49漏洞的发现•漏洞是硬件、软件或策略上的缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统•漏洞的发现–黑客–破译者–安全服务商组织08:27:49漏洞对系统的威胁（一）7月份来自国内的攻击总数为：383+396+120+4

41=1340次08:27:49漏洞对系统的威胁（二）08:27:49漏洞的脆弱性分析--CGI08:27:49漏洞的脆弱性分析---协议用户接口用户协议接口用户数据传输服务器协议接口服务器数据传输控制连接数据连接FTP模型(在FTP标准[PR85]中，FTP服务器允许无限次输入密码。

“PASS”命令以明文传送密码。08:27:49扫描技术•扫描程序是自动检测远端或本地主机脆弱性的程序。通过与目标主机TCP/IP端口建立连接并请求某些服务（如TELNET、FTP等），记录目标主机的应答，搜集目标主机相关信息（如匿名用户是否可以登录等），从而发现目标主机某些内

在的安全漏洞。对某一类漏洞进行检查的程序成为一个扫描方法。•扫描常用技术包括ping扫射、端口扫描、操作系统识别、穿透防火墙的扫描08:27:49扫描技术-PING•ICMP应答请求•ICMP广播•无回音的ICMP协议•UDP扫描•TCP扫描08:27:49市场部工程部router开发部Serve

rsFirewall安全扫描的使用08:27:49网络安全防范策略08:27:49实施网络安全的步骤•确定系统安全的脆弱性•分析系统潜在的安全威胁•评估安全攻击的后果•估计安全攻击的代价•估价安全防护措施•根据风险评估制定合理的安全策略与需求•选用合适安全机制和技术手段实现安全08:27:49P2

DR模型•P2DR模型包含4个主要部分：–Policy（安全策略）–Protection（防护）–Detection（检测）–Response（响应）08:27:49实现安全保密须采取的措施•鉴别：证实用户的

方法•认证：验证用户的过程•授权：依据用户的身份，授予其对于网络/资源访问权限的过程•访问控制：依据用户的身份，限制其对网络/资源访问权限的过程•记录：准确可靠地确定谁、何时、何地、多久使用网络/资源的过程•审

计：保存记录下谁、何时、何地、做了什么以及谁、何时、何地被拒绝，因何拒绝•抗否认：在一个特定的操作发生后，能够证明该行为的能力08:27:49主要防范策略•物理措施：使用低辐射计算机设备、屏蔽干扰•环境保密措施•访问控制技术：入网

访问控制、网络的权限控制、•安全的信息传输•网络服务器的主机安全•操作系统及网络软件安全•网络安全管理08:27:49安全防范技术•防毒软件•防火墙•密码技术•VPN•安全检测和监控•综合防范（1）用户培训，增强安全意识；（2）建立一个可帮助的安全策略；（

3）提高在现有网络环境下，对可能的安全风险的认识和理解；（4）选择能够帮助建立一个安全环境并且能够与已建立的安全策略相符合的产品和应用程序；（5）合格的安全审计员和工具，定期检查网络环境08:27:49建立综合性安全

体系lnternetIDS入侵检测监控中心防毒管理中心防火墙管理中心扫描器管理中心…IDS入侵检测主机系统防火墙网关防毒认证服务器VPNIDS入侵检测客户端防毒服务器防毒网络陷阱串口隔离机/数据加密机日志服务器日志服务器防火墙漏洞扫描器08:27:49实施网络与信息安全体系的措施•一是社会

的法律政策、企业的规章制度以及安全教育等外部软环境。在该方面政府有关部门、企业的主要领导应当扮演重要的角色。•二是技术方面的措施，如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等。只有技术措施并不能保证百分之百的安全。•三是审计和管理措

施,该方面措施同时包含了技术与社会措施。其主要措施有：实08:27:49提高企业内部网安全性的几个步骤•限制对网关的访问。限制网关上的帐号数。不要允许在网络上进行根注册；•不要信任任何人。网关不信任任何机器。没有一

台机器应该信任网关；•不要用NFS向网关传输或接收来自网关的任何文件系统；•不要在网关上使用NIS（网络信息服务）；•制订和执行一个非网关机器上的安全性方针；•关闭所有多余服务和删除多余程序•删除网关上所有多余程序（远程登录、rlogin、FTP等等）；•定期阅

读系统记录。08:27:49网络的安全防范建议•1.系统要尽量与公网隔离，要有相应的安全连接措施.•2.不同的工作范围的网络既要采用防火墙、安全路由器、保密网关等相互隔离，又要在政策允许时保证互通•3.为了提供网络安全服务，各相应的环节应根据需要配置可单独评价的加密、数字签名、访问控制、数据完

整性、业务流填充、路由控制、公证、鉴别审计等安全机制，并有相应的安全管理。•4.远程客户访问重要的应用服务要有鉴别服务器严格执行鉴别过程和访问控制。08:27:49网络的安全防范建议•5.网络和网络安全设备要经受住相应的安全测试。•6.在相应的网络层次和级别上设立密钥管理中心

、访问控制中心、安全鉴别服务器、授权服务器等，负责访问控制以及密钥、证书等安全材料的产生、更换、配置和销毁等相应的安全管理活动。•7.信息传递系统要具有抗侦听、抗截获能力能对抗传输信息的纂改、删除、插入、重放、选取明文密码破译等主动攻击和被动攻击，保护信息的机密性，保证信息和系统的完整性。08:

27:49