计算机网络安全基础要点课件.ppt

《计算机网络安全基础要点课件.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全基础要点课件.ppt（152页珍藏版）》请在三一办公上搜索。

1、09:11:02,一、网络安全概述二、网络服务的安全问题三、常见黑客攻击手段四、企业网中可以选择的安全技术五、网络安全防范策略,网络安全技术基础,09:11:02,一、网络安全概述,09:11:02,复杂程度,时间,INTERNET技术及应用的飞速发展,09:11:02,网络发展的现状,不断增加的新应用不断加入的网络互联网的广泛应用人员安全意识不足,09:11:02,网络的攻击事件报道（1）,据联邦调查局统计，美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道，世界上平均每20秒就发生一次入侵国际互联网络的计算机安全事件，三分之一的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆

2、 塞特尔称：给我精选10名“黑客”，组成个小组，90天内我将使美国趴下。,09:11:02,网络的攻击事件报道（2）,在海湾战争中，美国特工人员在安曼将伊拉克从德国进口的一批计算机打印设备中换上含有可控“计算机病毒”的芯片，导致伊方的计算机系统在战争初期就陷入全面瘫痪。美国已生产出第一代采用“病毒固化”技术的芯片，并开始嵌入出口的计算机产品中。一旦需要，便可遥控激活。2000年2月，Yahoo受到攻击。“黑客”所采用的攻击方法为分布式DoS攻击。2000年3月8日：山西日报国际互联网站遭到黑客数次攻击被迫关机，这是国内首例黑客攻击省级党报网站事件。2003年11月，Microsoft公司遭到来

3、自俄罗斯的“黑客”袭击，据称造成部分源代码丢失。2003年著名的游戏公司Sierra开发的反恐精英2在未上市之前源代码被黑客从网路窃走。,09:11:02,网络的攻击事件报道（3）,09:11:02,网络存在的威胁,操作系统本身的安全漏洞；防火墙存在安全缺陷和规则配置不合理；来自内部网用户的安全威胁;缺乏有效的手段监视、评估网络的安全性；TCP/IP协议族软件本身缺乏安全性；电子邮件病毒、Web页面中存在恶意的 Java/ActiveX控件；应用服务的访问控制、安全设计存在漏洞。线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非 法信息。,09:11:02,信息安全的基本特征（1）,相对

4、性只有相对的安全，没有绝对的安全系统。操作系统与网络管理的相对性。安全性在系统的不同部件间可以转移（如在内部网络和外部网络之间使用堡垒主机）。,09:11:02,信息安全的基本特征（2）,时效性新的漏洞与攻击方法不断发现（NT4.0已从SP1发展到SP6，Windows 2000业发现很多漏洞，针对Outlook的病毒攻击非常普遍）配置相关性日常管理中的不同配置会引入新的问题（安全测评只证 明特定环境与特定配置下的安全）新的系统部件会引入新的问题（新的设备的引入、防火墙配置的修改）,09:11:02,信息安全的基本特征（3）,攻击的不确定性攻击发起的时间、攻击者、攻击目标和攻击发起的地点都 具

5、有不确定性复杂性：信息安全是一项系统工程，需要技术的和非技术的手段，涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急反应等,09:11:02,网络安全层次,层次一：物理环境的安全性（物理层安全）层次二：操作系统的安全性（系统层安全）层次三：网络的安全性（网络层安全）层次四：应用的安全性（应用层安全）层次五：管理的安全性（管理层安全）,09:11:02,存在安全漏洞原因,网络设备种类繁多访问方式的多样化网络的不断变化用户安全专业知识的缺乏,09:11:02,网络服务的安全问题,09:11:02,电子邮件的安全问题,UNIX平台上常用的邮件服务器sendmail 常以root帐号运行

6、，存在潜在的危险；角色欺骗：电子邮件上的地址是可以假冒的；窃听：电子邮件的题头和内容是用明文传送的，所以内容在传送过程中可能被他人偷看或修改；电子邮件炸弹：被攻击的计算机被电子邮件所淹没直到系统崩溃；针对电子邮件的病毒大量涌现。,09:11:02,FTP文件传输的安全问题,多数FTP服务器可以用anonymous用户名登录，这样存在让用户破坏系统和文件可能。上载的软件可能有破坏性，大量上载的文件会耗费机时及磁盘空间。建立匿名服务器时，应当确保用户不能访问系统的重要部分，尤其是包含系统配置信息的文件目录。注意不要让用户获得SHELL级的用户访问权限。普通文件传输协议（TFTP）支持无认证操作，应

7、屏蔽掉。,09:11:02,Telnet服务和WWW的安全问题,Telnet登录时要输入帐号和密码，但帐号和密码是以明文方式传输的，易被监听到。SSH(Secure Shell)Web浏览器和服务器难以保证安全。Web浏览器比FTP更易于传送和执行正常的程序，所以它也更易于传送和执行病毒程序。服务器端的安全问题主要来自于CGI（公共网关接口）程序，网上很多的CGI程序并不是由有经验、了解系统安全的程序员编写的，所以存在着大量的安全漏洞。JavaScript,Java Applet,Active X都会带来安全问题,09:11:02,网络管理服务及NFS的安全问题,Ping、traceroute

8、/tracert经常被用来测试网络上的计算机，以此作为攻击计算机的最初的手段。简单网络管理协议（SNMP）可以用来集中管理网络上的设备，SNMP的安全问题是别人可能控制并重新配置你的网络设备以达到危险的目的：取消数据包过滤功能、改变路径、废弃网络设备的配置文件等。NFS可以让你使用远程文件系统，不恰当的配置NFS，侵袭者可以很容易用NFS安装你的文件系统。NFS使用的是主机认证，黑客可以冒充合法的主机。,09:11:02,黑客常见攻击手段,09:11:02,主要内容,日益增长的网络安全威胁状况常见的网络攻击方式解析口令攻击 特洛伊木马 网络监听sniffer 扫描器 病毒技术 拒绝服务攻击(D

9、DOS),09:11:02,日益增长的网络安全威胁,09:11:02,日益增长的网络安全威胁,黑客和病毒技术的统一自动，智能，普及,分布,大范围 黑客文化:从个人目的到政治，社会，军事，工业等目的,09:11:02,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,蠕虫,常见的黑客攻击方式,09:11:02,常见网络攻击方式,口令攻击 特洛伊木马 网络监听sniffer 扫描器 病毒技术 拒绝服务攻击(DDOS),09:11:02,口令攻击,口令攻击类型字典攻击强行攻击组合攻击其他攻击类型社会工程学偷窥搜索垃圾箱,09:11:02,实施入侵（

10、9）,口令攻击工具,Windows下常见的工具L0phtcrack NTSweep NTCrack PWDump2Cain,Unix下常见的工具CrackJohn the Ripper Slurpie,09:11:02,特洛伊木马（1）,特洛伊木马简单地说，特洛伊木马就是攻击者再次进入网络或者是系统而不被发现的隐蔽通道。,09:11:02,特洛伊木马（2）,在大多数情况下，攻击者入侵一个系统后，他可能还想在适当的时候再次进入系统。比如说，如果攻击者入侵了一个站点，将它作为一个对其他系统进行攻击的平台或者是跳板，他就会想在适当的时候登录到这个站点取回他以前存放在系统里面的工具进行新的攻击。很容易

11、想到的方法就是在这个已经被入侵的系统中留一个特洛依木马。,09:11:02,特洛伊木马（3）,木马程序举例 QAZQAZ是一个典型的通过电子邮件传送的特洛伊木马程序。它通常隐藏在notepad.exe程序中。木马监听代理木马监听程序在受害者系统中打开一个端口并且对所有试图与这个端口相连接的行为进行监听。当有人通过这个端口进行连接时，它要么运行一个三方程序，要么将命令发送给攻击者。NetcatTiniRootkit,09:11:02,特洛伊木马（4）,关于RootkitRootkit对于UNIX系统来说是相当普遍的，NT系统的也有。和它的名字正好相反，这种工具并不能使我们获得ROOT权限，但是当

12、一个攻击者已经获得了ROOT的身份后，它就能使攻击者在任何时候都可以以ROOT身份登录到系统。它们经常采用的方法是将自己隐藏在一些重要的文件里。Rootkit有两个主要的类型：文件级别 系统级别,09:11:02,特洛伊木马（5）,文件级别Rootkit威力很强大，可以轻而易举地在系统中建立后门。最一般的情况就是它们首先进入系统然后修改系统的重要文件来达到隐藏自己的目的。合法的文件被木马程序替代。通常情况下，合法的程序变成了外壳程序，而其内部就是隐藏着的后门程序。下面列出的程序就是经常被木马程序利用掩护自己的UNIX Rootkit。LOGINLSPSFINDWHONETSTAT,09:11:

13、02,特洛伊木马（6）,系统级别（内核级）对于工作在文件级的Rootkit来说，它们非常容易被检测到。而内核级Rootkit工作在一个很低的级别上-内核级。它们经常依附在内核上，并没有修改系统的任何文件，于是tripwire工具就不能检测到它的使用。因为它并没有对系统的任何文件进行修改，攻击者可以对系统为所欲为而不被发现。系统级Rootkit为攻击者提供了很大的便利，并且修复了文件级Rootkit的一些错误。,09:11:02,特洛伊木马（7）,Unix下常见的后门程序文件级RootkitTrojanIT Lrk5 Ark RootkitTK内核级KnarkAdore,09:11:02,特洛伊

14、木马（8）,Windows下常见的后门程序Brown OrificeDonald DickSubSevenBack Orifice广外女生黑暗天使冰河灰鸽子流莺,09:11:02,特洛伊木（9）,木马的清除：The Cleaner杀毒软件手动清除木马的防范：不要下载和执行来历不明的程序,09:11:02,网络监听,网络监听的作用：可以截获用户口令；可以截获秘密的或专用的信息；可以用来攻击相邻的网络；可以对数据包进行详细的分析；可以分析出目标主机采用了哪些协议,09:11:02,常用网络监听工具,09:11:02,扫描器,定义：自动检测本地或远程主机安全弱点的程序功能：帮助发现弱点而不是用来攻击

15、系统分类：本地扫描器和网络扫描器；端口扫描器和漏洞扫描器常见扫描器：如ISS(Internet Security Scanner,Internet安全扫描程序），SATAN(Security Analysis Tool for Auditing Networks，审计网络用的安全分析工具），NESSUS等可以对整个域或子网进行扫描并寻找安全上的漏洞这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。,09:11:02,国际互联网络,服务器,服务器,防火墙,其它网络,广域网,电话网,企业网,内域网,互联网扫描器,09:11:02,拒绝服务攻击,Do

16、S 攻击LANDTeardrop,SYN floodICMP:smurfRouter:remote reset,UDP port 7,Windows:Port 135,137,139(OOB),terminal serverSolaris:Linux:其他.,09:11:02,攻击者172.18.1.1,目标204.241.161.12,欺骗性的 IP 包源地址 204.241.161.12 Port 139目的地址 204.241.161.12 Port 139TCP Open,G.Mark Hardy,拒绝服务攻击:LAND 攻击,09:11:02,攻击者172.18.1.1,目标204.

17、241.161.12,IP包欺骗源地址 204.241.161.12 Port 139目的地址 204.241.161.12 Port 139包被送回它自己,G.Mark Hardy,拒绝服务攻击:LAND 攻击,09:11:02,攻击者172.18.1.1,目标204.241.161.12,IP包欺骗源地址 204.241.161.12 Port 139目标地址 204.241.161.12 Port 139TCP Open,防火墙,防火墙把有危险的包阻隔在网络外,G.Mark Hardy,拒绝服务攻击:代理防火墙的保护,09:11:02,攻击者172.18.1.1,目标192.0.2.1,

18、欺骗性的 IP 包源地址不存在目标地址是 192.0.2.1TCP Open,G.Mark Hardy,拒绝服务攻击:SYN FLOOD,09:11:02,攻击者172.18.1.1,目标192.0.2.1,同步应答响应源地址 192.0.2.1目标地址不存在TCP ACK,G.Mark Hardy,拒绝服务攻击:SYN FLOOD,09:11:02,Smuff攻击示意图,第一步：攻击者向被利用网络A的广播地址发送一个ICMP 协议的echo请求数据报，该数据报源地址被伪造成10.254.8.9,第二步：网络A上的所有主机都向该伪造的源地址返回一个echo响应，造成该主机服务中断。,拒绝服务攻

19、击:Smurf,09:11:02,分布式拒绝服务（DDOS）,以破坏系统或网络的可用性为目标常用的工具：Trin00,TFN/TFN2K,Stacheldraht很难防范伪造源地址，流量加密，因此很难跟踪,client,target,09:11:02,DDoS 的结构,09:11:02,分布式拒绝服务攻击步骤（1）,ScanningProgram,不安全的计算机,Hacker,Internet,09:11:02,Hacker,被控制的计算机(代理端),黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。,2,Internet,分布式拒绝服

20、务攻击步骤（2）,09:11:02,Hacker,黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。,3,被控制计算机（代理端）,MasterServer,Internet,分布式拒绝服务攻击步骤（3）,09:11:02,Hacker,Using Client program,黑客发送控制命令给主机，准备启动对目标系统的攻击,4,被控制计算机（代理端）,TargetedSystem,MasterServer,分布式拒绝服务攻击步骤4,Internet,分布式拒绝服务攻击步骤（4）,09:11:02,Internet,Hacker,

21、主机发送攻击信号给被控制计算机开始对目标系统发起攻击。,5,MasterServer,Targeted System,被控制计算机（代理端）,分布式拒绝服务攻击步骤（5）,09:11:02,TargetedSystem,Hacker,目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。,6,MasterServer,User,Internet,被控制计算机（代理端）,分布式拒绝服务攻击步骤（6）,09:11:02,DDOS攻击的效果由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能

22、要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。,分布式拒绝服务攻击,09:11:02,分布式拒绝服务攻击的今后的发展趋势：如何增强自身的隐蔽性和攻击能力；采用加密通讯通道、ICMP协议等方法避开防火墙的检测；采用对自身进行数字签名等方法研究自毁机制，在被非攻击者自己使用时自行消毁拒绝服务攻击数据包，以消除证据。,分布式拒绝服务攻击的发展趋势,09:11:02,预防DDOS攻击的措施确保主机不被入侵且是安全的；周期性审核系统；检查文件完整性；优化路由和网络结构；优化对外开放访问的主机；在网络上建立一个过滤器（filter）或侦测器（sniffe

23、r），在攻击信息到达网站服务器之前阻挡攻击信息。,预防DDOS攻击的措施,09:11:02,计算机病毒,计算机病毒带来的危害2003年，计算机病毒不仅导致人们支付了数十亿美元的费用，而且还动摇了互联网的中枢神经。从今年1月份的Slammer攻击事件到8月份的“冲击波”病毒，都给互联网带来了不小的破坏。2004年上半年又出现将近4000种病毒目前世界上共有8万多种病毒，但是大部分都为“动物园”里的老病毒，这些病毒很少传播，还在“野外”的病毒有2000多种，较为流行的病毒有200多种，其中以蠕虫病毒传播最为广泛。,09:11:02,中文IIS4.0+SP6中文WIN2000+IIS5.0、中文WI

24、N2000+IIS5.0+SP1，UNICODE编码 存在BUG，在UNICODE 编码中%c1%1c-(0 xc1-0 xc0)*0 x40+0 x1c=0 x5c=/%c0%2f-(0 xc0-0 xc0)*0 x40+0 x2f=0 x2f=NT4中/编码为%c1%9c 在英文版里：WIN2000英文版%c0%af 还有以下的编码可以实现对该漏洞的检测.%c1%pc%c0%9v%c0%qf%c1%8s http:/192.168.100.227/scripts/.%c1%1c.%c1%1cwinnt/system32/cmd.exe?/c+dir c:,黑客攻击范例UNICODE漏洞的利

25、用,09:11:02,黑客攻击范例UNICODE漏洞的利用,09:11:02,黑客攻击范例UNICODE漏洞的利用,09:11:02,企业网中可以选择的安全技术,09:11:02,主要内容,防火墙技术加密技术VPN技术入侵检测技术防病毒技术网络扫描技术,09:11:02,防火墙（Firewall）,注解：防火墙类似一堵城墙，将服务器与客户主机进行物理隔离，并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。,防火墙是一个位于计算机与网络或网络与网络之间的软件或硬件设备或是软硬件结合,09:11:02,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通

26、信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,防 火 墙,09:11:02,防火墙的目的,确保内部网向外部网的全功能互联和内部网的安全；所有内部网络与外部网的信息交流必须经过防火墙；只有按本地的安全策略被授权的信息才允许通过；防火墙本身具有防止被穿透的能力。,09:11:02,防火墙的作用,过滤进出网络的数据包管理进出网络的访问行为封堵某些禁止的访问行为记录通过防火墙的信息内容和活动对网络攻击进行检测和告警,09:11:02,防火墙结构,双主机防火墙主机屏蔽防火墙子网屏蔽防火墙,0

27、9:11:02,双主机防火墙,你的网络,internet,双网卡主机,1、必须使主机的路由功能无效。2、双主机防火墙是运行一组应用层代理软件或链路层 代理软件来工作的缺点：用户很容易意外地使内部路由有效,09:11:02,主机屏蔽防火墙,你的网络,internet,路由器,主机屏蔽防火墙,09:11:02,子网屏蔽防火墙,09:11:02,防火墙技术,包过滤技术代理技术状态检查技术地址翻译技术安全审计技术安全内核技术负载平衡技术内容安全技术,09:11:02,防 火 墙的局限,%c1%1c,%c1%1c,Dir c:,09:11:02,防 火 墙的局限,确保网络的安全,就要对网络内部进行实时的

28、检测,这就需要IDS无时不在的防护！,防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输,09:11:02,数据加密技术,加密系统的组成部分密码分类数字签名近代加密技术加密技术的实现PGP加密软件,09:11:02,加密系统的组成部分,（1）未加密的报文，也称明文。（2）加密后的报文，也称密文。（3）加密解密设备或算法。（4）加密解密的密钥,密钥：是用户按照一种密码体制随机选取，它通常是一随机字符串，是控制明文和密文变换,09:11:02,密码分类,按应用技

29、术或历史发展阶段划分手工密码、机械密码、电子机内乱密码、计算机密码按保密程度划分理论上保密的密码、实际上保密的密码、不保密的密码按密钥方式划分对称密钥密码、非对称式密码按明文形态模拟型密码、数字型密码按编制原理划分移位、代替、置换,09:11:02,对称密钥加密技术,安全性依赖于：加密算法足够强，加密方法的安全性依赖于密钥的秘密性，而不是算法。特点：（1）收发双方使用相同密钥 的密码（2）密钥的分发和管理非常复杂、代价昂贵。（3）不能实现数字签名用来加密大量的数据,09:11:02,公有密钥加密技术,加密关键性的、核心的机密数据,加密系统的组成部分公有密钥和私有密钥的使用规则（1）密钥成对使用

30、（2）公钥可以给任何人，而私钥自己保留（3）从现实环境下，不可能从公有密钥推导出私有密钥特点：（1）密钥的分配和管理简单。（2）容易实现数字签名，最适合于电子商务应用。（3）安全性更高，计算非常复杂，实现速度远赶不上对称密钥加 密系统,09:11:02,数字签名,原理：将要传送的明文通过一种函数运算（HASH）转换成报文摘要，报文摘要加密后与明文一起传送给按受方，接受方将接受的明文产生新的报文摘要与发送方的发来的摘要解密比较，比较结果一致表示明文未被改动，如果不一致明文已篡改。,09:11:02,数字签名,09:11:02,VPN即虚拟专用网，是指一些节点通过一个公用网络（通常是因特网）建立的

31、一个临时的、安全的连接，它们之间的通信的机密性和完整性可以通过某些安全机制的实施得到保证特征虚拟(V)：并不实际存在，而是利用现有网络，通过资源配置以及虚电路的建立而构成的虚拟网络专用(P)：只有企业自己的用户才可以联入企业自己的网络网络(N)：既可以让客户连接到公网所能够到达的任何地方，也可以方便地解决保密性、安全性、可管理性等问题，降低网络的使用成本,VPN技术,09:11:02,VPN的用途,VPN（虚拟专用网络）是通过公共介质如Internet扩展公司的网络VPN可以加密传输的数据，保障数据的机密性、完整性、真实性防火墙是用来保证内部网络不被侵犯，相当于银行的门卫；而VPN则是保证在网

32、络上传输的数据不被窃取，相当于运钞车。,09:11:02,VPN的隧道协议,VPN的关键技术在于通信隧道的建立，数据包通过通信隧道进行封装后的传送以确保其机密性和完整性通常使用的方法有：使用点到点隧道协议PPTP、第二层隧道协议L2TP、第二层转发协议L2F等在数据链路层对数据实行封装使用IP安全协议IPSec在网络层实现数据封装使用介于第二层和第三层之间的隧道协议，如MPLS隧道协议,09:11:02,PPTP/L2TP,1996年，Microsoft和Ascend等在PPP协议的基础上开发了PPTP，并将它集成于Windows NT Server4.0中，同时也提供了相应的客户端软件PPT

33、P可把数据包封装在PPP包中，再将整个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或ATM中进行传输PPTP提供流量控制,采用MPPE加密算法,09:11:02,1996年，Cisco提出L2F（Layer 2 Forwarding）隧道协议 1997年底，Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议 L2TP协议综合了PPTP协议和L2F（Layer 2 Forwarding）协议的优点,并且支持多路隧道，这样可以使用户同时访问Internet和企业网。L2TP可以实现和企业原有非IP网的兼容，支持MP（Multilink

34、 Protocol），可以把多个物理通道捆绑为单一逻辑信道,PPTP/L2TP,09:11:02,优点：支持其他网络协议（如Novell的IPX，NetBEUI和Apple Talk协议）支持流量控制缺点：通道打开后，源和目的用户身份就不再进行认证，存在安全隐患限制同时最多只能连接255个用户 端点用户需要在连接前手工建立加密信道，另外认证和加密受到限制，没有强加密和认证支持。PPTP和L2TP最适合用于远程访问虚拟专用网。,PPTP/L2TP,09:11:02,IPSec VPN,IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密，同时确保数

35、据的完整性。IPSEC使用验证包头（AH，在RFC 2402中定义）提供来源验证（source authentication），确保数据的可靠性；IPSec使用封装安全负载（ESP，在RFC 1827 中定义）进行加密，从而确保数据机密性。在IPSec协议下，只有发送方和接受方知道秘密密钥。如果验证数据有效，接受方就可以知道数据来自真实的发送方，并且在传输过程中没有受到破坏。IPSec有两种应用模式：传送模式和隧道模式,09:11:02,传输模式：使用原始明文IP 头，并且只加密数据，包括它的TCP 和UDP 头。这种模式适用于小型网络和移动客户端。隧道模式：隧道模式处理整个IP 数据包：包括

36、全部TCP/IP 或UDP/IP 头和数据，它用自己的地址做为源地址加入到新的IP 头。隧道模式被用在两端或是一端是安全网关的架构中，例如装有IPSec 的防火墙。使用了隧道模式，防火墙内很多主机不需要安装IPSec 也能安全地与外界通信，并且还可以提供更多的便利来隐藏内部服务器主机和客户机的地址。,IPSec VPN,09:11:02,优点：可提供高强度的安全性（数据加密和身份验证）对上层应用完全透明支持网络与网络、用户与用户、网络与用户多种应用模式缺点：只支持IP协议 目前防火墙产品中集成的VPN多为使用IPSec 协议，在中国其发展处于蓬勃状态。,IPSec VPN,09:11:02,M

37、PLS VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching)技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN）MPLS VPN 主要应用领域是用于建设全网状结构的数据专线，保证局域网互联的带宽与服务质量。总部与下面分支机构互联时，如果使用公网，则带宽、时延等很大程度上受公网的网络状况制约。而布署MPLS VPN 后，可以保证网络服务质量，从而保证一些对时延敏感的应用稳定运行，如分布异地的实时交易系统、视频会议、IP 电话等等。,09:11:02,与其他VPN协议的对比,L2TP、PPTP

38、：主要用于客户端接入专用网络。本身的安全性比较弱，需要依靠IPSec来提供进一步的安全性。MPLS：能够提供与传统的ATM，FR同等的安全性，但本身没有加密，认证机制，对数据的机密性等保证需要依靠IPSec来进一步保证。IPSec是弥补其他VPN技术的安全性的有效保证。,09:11:02,11001110010100010100101010010001001001000001000000,11001110010100010100101010010001001001000001000000,明文,加密,解密,明文,保证数据在传输中的机密性,发起方,接受方,支持IKE密钥协商密钥自动刷新128位对

39、称加密1024位非对称加密设备之间采用证书认证支持CA认证,VPN的主要作用之一,09:11:02,发起方,接受方,1001000101010010100001000000110110001010,10001010,1001000101010010100001000000110110001010,Hash,Hash,10001010,1001000101010010100001000000110110001010,是否一样？,验证数据来源的完整性和真实性,支持透明模式支持路由模式,VPN的主要作用之二,09:11:02,实时入侵检测系统,Internet,总部,办事处,分公司,分公司,在网络中

40、部署网络入侵检测系统，实时对网络中的数据流进行检测，对于可疑的数据，将及时报警，入侵检测系统同时与防火墙交互信息，共同防范来自于网外的攻击。具体策略如下：基于网络的入侵检测策略基于主机的入侵检测策略,报警,攻击,09:11:02,什么是入侵检测系统,IDS（Intrusion Detection System）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。,09:11:02,什么是入侵检测系统,入侵检测系统网络数据包的获取混杂模式网络数据包的解码协议分析网络数据包的检查规则

41、匹配网络数据包的统计异常检测网络数据包的审查事件生成,09:11:02,形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。,什么是入侵检测系统,09:11:02,在安全体系中，IDS是唯一一个通过数据和行为模式判断其是否有效的系统，如下图所示，防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子；访问

42、控制系统可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限,入侵检测系统的作用,09:11:02,入侵检测系统的职责,IDS系统的两大职责：实时检测和安全审计。实时监测实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文；安全审计通过对IDS系统记录的网络事件进行统计分析，发现其中的异常现象，得出系统的安全状态，找出所需要的证据。,09:11:02,网络IDS企业内部典型安装,Firewall,监控中心,router,09:11:02,IDS阻断入侵示意图,Firewall,监控中心,router,攻击者,攻击者,报警

43、,报警,09:11:02,防病毒技术,病毒概述病毒危害病毒新技术防病毒技术清除病毒网络防病毒,09:11:02,病毒概述,中华人民共和国计算机信息系统安全保护条例第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我传染的一组计算机指令或者程序代码。”,09:11:02,计算机病毒原理,09:11:02,计算机病毒的工作流程,一次非授权的加载，病毒进入内存,病毒引导模块被执行,修改系统参数，引人传染和表现模块,监视系统运行,判断传染条件是否满足？,判断触发条件是否满足？,进行传染,进行表现或破坏,09:11:02,病毒的特征,依

44、附性传染性潜伏性可触发性破坏性针对性人为性,09:11:02,病毒的征兆,磁盘文件数目增多系统的RAM空间变小 文件的日期时间值被改变 可执行程序长度增加 磁盘上出现坏簇 程序加载时间比平时变长 程序执行时间较平时变长 硬盘读写时间明显增加 硬盘启动系统失败,09:11:02,防病毒技术,病毒概述病毒危害病毒新技术防病毒技术消毒病毒网络防病毒,09:11:02,计算机病毒的危害性,磁盘文件数目增多影响系统效率删除、破坏数据干扰正常操作阻塞网络进行反动宣传占用系统资源被后门控制,09:11:02,最新病毒分析,CIH 病毒Loveletter病毒首例病毒与蠕虫相结合Sircam 首例蠕虫与黑客相

45、结合CodeRedIINimda病毒,09:11:02,病毒新技术和发展趋势,隐藏型病毒自加密、多形态及变异病毒反向病毒邮件型病毒JAVA和ActiveX病毒智能化病毒形式多样化传播方式多样化专用病毒生成工具,09:11:02,蠕虫,09:11:02,蠕虫病毒的特点,蠕虫也是一种病毒，因此具有病毒的共同特征。普通病毒需要的寄生,通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式

46、也是用软盘等方式。,09:11:02,2001年红色代码大爆发,09:11:02,蠕虫病毒的罪恶,09:11:02,防病毒技术,特征代码法 校验和法 行为监测法启发式扫描虚拟机技术,09:11:02,特征代码法的实现步骤,采集已知病毒样本，病毒如果即感染COM文件，又感染EXE文件，要两者都采样病毒采样中，抽取特征代码，应依据如下原则：抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面又不要有太大的空间与时间的开 销 在既感染COM文件又感染EXE文件的病毒样本中，要抽取两种样本共有的代码并将特征代码纳入病毒数据库 打开被检测文件，

47、在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。,09:11:02,特征代码法的特点,优点：检测准确、快速可识别病毒的名称误报警率低依据检测结果，可做杀毒处理缺点：不能检测未知病毒搜集已知病毒的特征代码，费用开销大在网络上效率低。,09:11:02,校验和法查病毒采用三种方式,在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较

48、现行校验和与原校验和值。实现应用程序的自检测。将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。,09:11:02,校验和法的特点,优点方法简单能发现未知病毒被查文件的细微变化也能发现。缺点必须预先记录正常态的校验和会误报警不能识别病毒名称不能对付隐蔽型病毒,09:11:02,行为监测法,占有INT 13H（读写）改DOS系统为数据区的内存总量对COM、EXE文件做写入动作 病毒程序与宿主程序的切换 修改系统Usr/bin，sbin/修改系统命令,09:11:02,行为监测法的特点,优点：可发现未知病毒可相当准确地预报未知的多数病毒缺点：可

49、能误报警不能识别病毒名称实现时有一定难度,09:11:02,启发式扫描技术,启发式是指“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译，逐步理解和确定其蕴藏的真正动机,09:11:02,虚拟机技术,“虚拟”二字，有着两方面的含义：可发现未知病其一在于运行一定规则的描述语言的机器并不一定是一台真实地以该语言为机器代码的计算机，比如JAVA想做到跨平台兼容，那么每一种支持JAVA运行的计算机都要运行一个解释环境，这就是JAVA虚拟机；另一个含义是运行对应规则描述语言的机

50、器并不是该描述语言的原设计机器，这种情况也称为仿真环境。,09:11:02,虚拟机是反病毒的趋势,在处理加密编码病毒过程中，虚拟机是比较理想的处理方法；在反病毒软件中引入虚拟机是由于综合分析了大多数已知病毒的共性，并基本可以认为在今后一段时间内的病毒大多会沿袭这些共性虚拟机的确可以抓住一些病毒“经常使用的手段”和“常见的特点”，并以此来怀疑一个新的病毒；目前“临床”应用的虚拟机并不是“高大全”的完整仿真环境，而是相对比较简单的、易于实现的版本。虚拟机技术仍然与传统技术相结合，并没有抛弃已知病毒的特征知识库。,09:11:02,Sircam病毒的清除,手工删除的步骤如下：在c:windows执行