《计算机网络技术及应用胡远萍.ppt》由会员分享,可在线阅读,更多相关《计算机网络技术及应用胡远萍.ppt(42页珍藏版)》请在三一办公上搜索。
1、,1,计算机网络技术及应用胡远萍,计算机网络技术及应用胡远萍计算机网络技术及应用胡远萍项目五:计算机网络安全教学要求(1)了解计算机病毒的分类、特点、特征和运行机制(2)了解反病毒涉及的主要技术(3)掌握病毒的检测和防治技术(4)理解构筑防病毒体系的基本原则(5)掌握防火墙的基本类型(6)熟悉常见的防火墙配置(7)了解网络攻击的分类、手段和防范措施(8)了解企业网安全防御技术,项目五:计算机网络安全,教学要求(1)了解计算机病毒的分类、特点、特征和运行机制(2)了解反病毒涉及的主要技术(3)掌握病毒的检测和防治技术(4)理解构筑防病毒体系的基本原则(5)掌握防火墙的基本类型(6)熟悉常见的防火
2、墙配置(7)了解网络攻击的分类、手段和防范措施(8)了解企业网安全防御技术,本模块的说明,本次课说明,本次课内容介绍,主要内容:了解计算机病毒的分类、特点、特征和运行机制了解反病毒涉及的主要技术掌握病毒的检测和防治技术掌握防火墙的基本类型 熟悉常见的防火墙配置 重点内容:病毒的检测和防治技术防火墙的基本类型及配置,问题的提出,青职公司市场部小李打开计算机准备处理昨天销售部门报上来的数据分析表,一开机就发现计算机无法正常工作,也不能上网。计算机中心的小张检查发现,硬件没有问题,应该是系统被计算机病毒破坏了,导致Windows XP无法正常启动。小张将重要的数据进行了备份,重新安装了Windows
3、 XP,以及正版的杀病毒软件。小李的计算机终于可以正常工作了。那么如何才能防止类似的事情再次发生呢?,任务分析,计算机病毒的防治要从防毒、查毒、解毒三方面来进行。1)防毒:采取实时监测预警等安全措施预防病毒侵入计算机。2)查毒:对于内存、文件、引导区(含主引导区)、网络等,能够发现和追踪病毒来源。3)解毒:从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力。,9.1 防治计算机病毒,“计算机病毒”定义指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码。,9.1.1计算机病毒与杀毒软件,(1)引导型病毒(2)文件型病毒(3)复合型病
4、毒(4)变型病毒(5)宏病毒(6)网页病毒(7)“蠕虫”型病毒(8)木马病毒,1计算机病毒分类,2计算机病毒的特征,(1)非授权可执行性(2)隐蔽性(3)传染性:最重要的一个特征(4)潜伏性(5)表现性或破坏性(6)可触发性,3计算机病毒的传播,通过文件系统传播;通过电子邮件传播;通过局域网传播;通过互联网上即时通讯软件和点对点软件等常用工具传播;利用系统、应用软件的漏洞进行传播;利用系统配置缺陷传播,如弱口令、完全共享等;,计算机病毒的传播过程,4如何防治病毒,(1)要提高对计算机病毒危害的认识(2)养成备份重要文件等良好使用习惯(3)大力普及杀毒软件(4)采取措施防止计算机病毒的发作(5)
5、开启计算机病毒查杀软件的实时监测功能(6)加强对网络流量等异常情况的监测(7)有规律的备份系统关键数据,建立应对灾难的数据安全策略,5如何选择计算机病毒防治产品,具有发现、隔离并清除病毒功能;具有实时报警(包括文件监控、邮件监控、网页脚本监控等)功能;多种方式及时升级;统一部署防范技术的管理功能;对病毒清除彻底,文件修复完整、可用;产品的误报、漏报率较低;占用系统资源合理,产品适应性较好。,6常用的防病毒软件,9.1.2 应对黑客攻击,黑客(hacker):通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统,以保护网络为目的,以不正当侵入为手段找出网络漏洞。骇客:利用网络漏洞破坏网络
6、的人。,1黑客和黑客技术,2黑客攻击的主要方式,黑客技术:发现计算机系统和网络的缺陷和漏洞,并实施攻击的技术。包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误。(1)拒绝服务攻击:使被攻击对象的系统关键资源过载,停止部分或全部服务。是最基本的入侵攻击手段,也是最难对付的入侵攻击之一。,2黑客攻击的主要方式,(2)非授权访问尝试:对被保护文件读、写或执行的尝试。(3)预探测攻击:例如SATAN扫描、端口扫描和IP半途扫描等。(4)可疑活动:指网络上不希望有的活动。(5)协议解码(6)系统代理攻击:针对单个主机,黑客攻击的步骤,9.1.3流氓软件与瑞星的碎甲技术,“流氓软件”同时具备正常
7、功能(下载、媒体播放等)和恶意行为(弹广告、开后门),介于病毒和正规软件之间。(1)广告软件(2)间谍软件:安装“后门程序”;(3)浏览器劫持:对浏览器篡改;(4)行为记录软件:窃取并分析隐私数据,记录使用习惯;(5)恶意共享软件:指某些共享软件强迫用户注册、捆绑各类恶意插件。,1流氓软件的分类,Rootkits最早是一组用于UNIX操作系统的工具集,黑客使用它们隐藏入侵活动的痕迹。Rootkits主要分为两大类:一种是进程注入式Rootkits,另一种是驱动级Rootkits。进程注入式Rootkits可以通过使用杀毒软件的开机扫描功能轻松清除。驱动级的Rootkits通过在Windows启
8、动时加载Rootkits驱动程序,获取对Windows的控制权。,2什么是Rootkits?,9.1.3流氓软件与瑞星的碎甲技术,瑞星“碎甲”技术通过对Windows驱动程序加载点进行拦截,发现Rootkits时自动使其保护功能失效。,瑞星的碎甲技术,杀毒软件,存在病毒或流氓软件?,操作系统API,查找文件,流氓软件、病毒、木马,找到,存在,RootKits失效,瑞星碎甲技术,9.2 防火墙技术,防火墙是内部网络与外部公共网络之间的第一道屏障,处于网络安全的最底层,负责网络间的安全认证与传输,现代防火墙技术不仅要完成传统防火墙的过滤任务,还有正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发
9、展。,任务分析,9.2.1防火墙的基本类型,防火墙是在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统。防止外部网络用户以非法手段进入内部网络,访问内部网络资源;保护内部网络操作环境的特殊网络互联设备。,防火墙示意图,1防火墙的功能,(1)过滤不安全服务和非法用户,禁止未授权的用户访问受保护的网络。(2)控制对特殊站点的访问。允许受保护网络的一部分主机如邮件服务器、FTP服务器和Web服务器等被外部网访问,而另一部分被保护起来,防止不必要的访问。(3)监视网络访问,提供安全预警。,2.防火墙的分类,(1)网络级防火墙-包过滤路由器(2)电路级防火墙电路网关(3)应用
10、级防火墙应用网关(4)监测型防火墙,2防火墙的基本类型,2防火墙的基本类型,防火墙存在软件和硬件两种形式。具备包过滤功能的路由器(或充当路由器的计算机),通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,否则将数据拒之门外。优点:简单实用,实现成本较低,适合应用环境比较简单的情况。缺点:不能理解网络层以上的高层网络协议,无法识别基于应用层的恶意侵入。,(1)包过滤路由器,(1)包过滤路由器,下图给出了包过滤路由器结构示意图。,(2)电路级防火墙电路网关,电路网关工作在传输层。不允许内部主机与外部之间直接进行TCP连接,而是建立两个TCP连接:一个在网关和内部主机上的TCP用户
11、程序之间,另一个在网关和外部主机的TCP用户程序之间。通常用于内部网络对外部的访问,与堡垒主机相配合可设置成混合网关,对于向内的连接支持应用层服务,而对于向外的连接支持传输层功能。,(3)应用级防火墙应用网关,应用网关工作应用层,通常指运行代理服务器软件的一台计算机主机。代理服务器位于客户机与服务器之间。从客户机来看,代理服务器相当于一台真正的服务器。而从服务器来看,代理服务器又是一台真正的客户机。,应用网关的工作模型,应用代理基本工作原理,应用网关优缺点,缺点:使访问速度变慢 在重负载下,代理服务器可能成为网络瓶颈。优点:代理服务器拥有高速缓存,能够节约时间和网络资源外部网络只能看到代理服务
12、器,看部到内网的具体结构比包过滤更可靠,而且会详细地记录所有的访问状态信息,(4)监测型防火墙,对各层的数据进行主动的、实时的监测,加以分析,判断出各层中的非法侵入。带有分布式探测器,安置在各种应用服务器和其他网络的节点之中,能检测来自网络外部的攻击,同时防范来自内部的恶意破坏。,9.2.2 常见的防火墙配置,最简单的防火墙配置就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。将几种防火墙技术组合起来构建防火墙系统,一般来说有3种最基本的配置。,(1)双宿主机网关,用一台装有两个网络适配器的双宿主机(又称保垒主机)做防火墙,一个适配器是网卡,与内部网相连;另一个根据与Interne
13、t的连接方式可以是网卡、调制解调器或ISDN卡等。外部网络与内部网络之间的通信必须经过双重宿主主机的过滤和控制。,使用一个包过滤路由器把内部网络和外部网络隔离开,同时在内部网络上安装一个堡垒主机,由堡垒主机开放可允许的连接到外部网。屏蔽主机网关易于实现,安全性好,应用广泛。,(2)屏蔽主机网关,因为堡垒主机是用户网络上最容易受侵袭的机器。通过额外添加一层保护体系周边网络,将堡垒主机放在周边网络上,用内部路由器分开周边网络和内部网络,从而隔离堡垒主机,减少在堡垒主机被侵入的影响。,(3)屏蔽子网,1攻击的分类从攻击的行为分主动攻击与被动攻击。主动攻击:包括窃取、篡改、假冒和破坏。字典式口令猜测,IP地址欺骗和服务拒绝攻击等都属于主动攻击。被动攻击:网络窃听、截取数据包并进行分析,从中窃取重要的敏感信息等。,9.3 网络安全攻击与防御,9.3.1 网络攻击,9.3.1 网络攻击,从攻击的位置分远程攻击、本地攻击和伪远程攻击。远程攻击:指攻击者从子网以外的地发动攻击。本地攻击:指本单位的内部人员,通过局域网,向系统发动的攻击。伪远程攻击:指内部人员为了掩盖身份,从外部远程发起入侵。,2网络攻击手段,(1)获取口令(2)放置特洛伊木马程序(3)WWW的欺骗技术(4)电子邮件攻击(5)通过一个节点来攻击其他节点(6)网络监听(7)寻找系统漏洞(8)利用帐号进行攻击(9)偷取特权,
