《第七章 安全管理课件.ppt》由会员分享,可在线阅读,更多相关《第七章 安全管理课件.ppt(103页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、制作人:贾凤菊l理解网络安全的含义l了解Win2000的安全设计内容l掌握Win2000的安全配置过程l掌握组策略的配置和实现l了解审计和入侵检测的实现方法和重要性l了解病毒的分类和传播途径l掌握网络病毒的防治方法及常用防杀软件的功能和使用l了解防火墙的概念和分类l网络安全的定义lWin2000的安全性设计和配置l网络病毒的防治l防火墙的分类l7.1 网络安全概述 l7.2 Win2000的安全管理 l7.3 病毒防治 l7.4 防火墙技术 l7.5自我安全测试 l习题 l计算机网络安全问题是近年来的热门话题,对安全知识的介绍方面也有各种各样的说法。下面我们将对网络安全的定义、保障以及面临的主
2、要问题等做概要分析和论述。 l7.1.1 网络安全的定义和评估 l7.1.2 网络安全的主要威胁 l7.1.3 网络安全保障体系 l7.1.4 我国网络安全的主要问题 l7.1.5 网络安全策略 l国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。那么我们可以据此从网络安全的目的、功能和内容等方面对计算机网络安全做以下解释。 l网络安全的定义 l网络安全的评估 l网络安全的主要威胁,主要包括非法在网络传输线上或在网络中间节点上,以窃取信号以及窃听等方式,或采取篡改数据内容等方式,
3、从事非法活动。这些,我们可以通过前面对网络安全的内容剖析中看到。目前网络安全威胁主要表现为黑客的入侵、垃圾邮件以及蠕虫病毒。而国内有关网络专家表示,对于群体和个体来说,真正重大的黑客事件其实并不是很多。而后两种危害既普遍又严重,它们会导致整个企业或者单位的网络瘫痪。但无论哪种安全威胁,它们所采用的破坏方法总结起来有如下几种:l观测与推测:借助于测量通信媒体上的信号而获得数据内容,或者根据截获的数据进一步分析得到有用数据。l篡改与插入:窃取通信媒体上的信号后改变其部分内容或全部。 l伪装:非法通过身份验证 l重复:窃取合法数据,过一段时间再次将其通信过程重复进行。比如重复汇款的例子。 l拒绝服务
4、:反复发送大量无用信息,使得真正有用的数据无法进入通信系统,造成传输量超载,甚至致使系统瘫痪。 l一个高质量的网络安全保障体系还要包含灾难恢复功能,也就是说在灾难发生后,要尽可能将系统恢复到原来的面貌。在这一层面上,安全保障体系采用的解决方案就是建立容灾系统容灾系统。它通过在相隔较远的异地,建立多套功能相同的系统,在网络中进行监视和功能切换,并以此来达到灾难恢复的目的。数据容灾是信息安全战略中非常重要的一个环节。l网络安全保障体系的一般建立过程:安全手段 系统数据安全 安全环境 安全机制 l国内的网络安全问题具体表现为:v首先,计算机系统受病毒感染和破坏的情况相当严重。据2001年调查,我国约
5、73%的计算机用户曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大,被病毒破坏全部数据的占14%,破坏部分数据的占57%。v其次,电脑黑客活动已形成重要威胁。目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入。v再有,信息基础设施面临网络安全的挑战,信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。据英国简氏战略报告和其它网络组织对各国信息防护能力的评估,我国被列入防护能力最低的国家之一。 l我国的网络在安全方面出现问题的原因 :v缺乏自主的计算机网络和软件核心技术 v安全意识淡薄是网络安全的瓶颈 v运行管理机制的缺陷
6、和不足 v缺乏制度化的防范机制 l保障网络安全的关键措施和策略 :1网络的物理安全策略 v物理安全策略的内容主要包括防止非法进入计算机系统,确保计算机系统有一个良好的电磁兼容的工作环境等。其中防止电磁泄露是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护 ;另一类是对辐射的防护 2访问控制策略 v访问控制策略是保证网络安全最重要的核心策略之一。它的主要任务是保证网络资源不被非法使用和非常访问。常见的访问控制策略有对用户的入网访问控制和相应的权限控制,以及网络服务器的监管和锁定策略、防火墙策略等。 3网络安全管理策略v制订相应的规章制度来加强网络安全管理,确保网络安全有
7、效地运行。主要的网络安全管理策略有:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。 4信息加密策略v除了在网络外围对网络安全进行技术和制度上的保护之外,对网络上传输的数据以及网络中所存储的数据也要进行相应的安全保护。也就是说,一旦网络被非法侵入,那么我们还可以用另外一种安全技术来进一步加固网络安全,以使其重要资源不被泄露。在这一层上采用的主要安全策略就是信息加密。信息加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。 l7.2.1 win2000的安全性设计 l7.2.2 win2000的安全特性
8、l7.2.3 win2000的组策略 l7.2.4 加强内置帐户的安全 l 审计和入侵检测 l Active Directory v它提供一个中央位置来存储关于用户、硬件、应用程序和网络上数据的信息,这样用户就可以找到他们所需要的信息。它也保存了必要的授权及身份验证信息以确保只有适当的用户才可访问每一网络资源。值得注意的一点是,Active Directory服务必须在Windows 2000 Server版本中才可安装使用。 l身份验证 v份验证是系统安全性的基本方面。它用来确认任何试图登录到域或访问网络资源的用户的身份。用户在 Active Directory 中必须有一个 Windows
9、 2000 用户帐户,以登录到计算机或域中。此帐户会为用户创建一个身份,然后操作系统会使用此身份验证用户的身份并授予访问特定域资源的权限。 lNTFS文件系统 vWin2000推荐使用NTFS文件分区格式,它是一个更加安全、支持更多的可管理性、磁盘碎片较少、性能更快的分区格式。 lwin2000的正确安装 lwin2000的安全配置 v设置目录和文件的访问权限 v停止危险和不必要的服务,如停止server服务 v主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全 l组策略的实现 l组的功能 v网络管理员可以利用组策略设置来控制 Active Directo
10、ry 中对象的各种行为。使用“组策略”还可以定义广泛的安全性策略。域级策略应用于域中的所有用户,并包含如帐户策略等的信息,同时可以指定在较低级别是否可改写这些设置。 “组策略”功能还可以进一步细化个别 PC 上的安全性设置。例如可以指定谁可在服务器上进行备份和还原。 v总之,组策略的实现,可以使Win2000操作系统更加方便快捷地对网络资源实施安全管理。 l内置帐户是在Win2000的安装过程中自动创建的,不能被删除。 l常见的两个重要帐户是本地管理员帐户本地管理员帐户和客户访问帐客户访问帐户户。保证它们的安全不受威胁是对整个计算机网络的安全相当重要的。因此,要特别注意对内置帐户安全性的保障。
11、 l对于本地管理员帐户,即Administrator,当安装完Win2000操作系统后,第一次登录时使用的就是它。 l本地管理员帐户拥有对系统的完全控制权。 l本地管理员帐户的密码是高度机密的,一旦泄露,非法用户以Administrator的身份进入计算机,执行非法操作,很有可能造成整个系统的崩溃,解决这个问题的最简单的方法就是更改管理员账号、登录密码复杂化 。l对于客户访问帐户,默认情况下是在本地计算机和域控制器上被禁用的。因为如果将Guest帐户设置为Enable,网络上所有计算机就都可以访问本机了。这无疑是对本机安全性的一大威胁。因此,对本机的Guest用户帐户的设置更改一定要慎重。 l
12、要维护真正安全的环境,只是具备安全系统还远远不够。要维护系统安全,必须进行主动监视,以检查是否发生了入侵和攻击 lWin2000的默认安装是不开任何安全审核的,那么请你到本地安全策略-审核策略中打开相应的审核,推荐的审核如表7-1所示。具体的设置过程如图7-16所示。l在账户策略-密码策略中如表7-2中设定相应值,在账户策略-账户锁定策略中设定值如表7-3。 l入侵检测(Intrusion Detection)是通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 l进行入侵检测的软件与硬件的组合便是入侵检测系统(Int
13、rusion Detection System,简称IDS)。其中,日志是使系统顺利运行的重要保障。它会告诉我们系统发生了什么和什么没有发生。l系统管理员应建立日志文件检测,并且在日志中可以检测出系统是否被入侵,以便及时采取措施。 l审计和入侵检测是有效构建环境防护措施的重要组成部分。作为风险管理过程的一部分,必须确定什么程度的审计和入侵检测适用于您所在的环境。对于跨多个协议的入侵检测,可以考虑使用第三方工具。 l7.3.1 病毒的概念、分类及传播途径 l7.3.2 病毒的防治 l7.3.3 防杀网络病毒的软件 l病毒的概念 l病毒的分类 l病毒的传播途径 l计算机病毒的防治技术分为三个方面:
14、即病毒预防技术、病毒检测技术以及病毒消除技术。 l在网络环境下,病毒的防治工作就更加重要,常见的网络上防病毒的方法有三种 。l较为流行的优秀反病毒软件 :o 瑞星 :对位置病毒、变种病毒、黑客木马、恶意网页等新型病毒的查杀能力都相对较强,同时并结合了瑞星国际领先的反病毒引擎、全球病毒监测网、快速应急反映能力以及瑞星强有力的服务网络 o金山毒霸 :能够有效拦截和彻底查杀DOS病毒、Windows病毒、宏病毒、蠕虫病毒和网页病毒,以及特洛伊木马(Trojan)等;并且具有独特的虚拟机和启发式查毒技术 o江民 :oKILL :实时病毒监控、自动跟踪及隔离病毒源等防护功能,远程自动安装、远程服务器集中
15、管理、多种病毒报警机制、完整的病毒报告、病毒代码自动更新及自动分发等强大的网络自动管理功能 o华光KV:可防查国内外近6万种病毒,集合了国内外最大病毒库、智能快速升级、邮件监控、远程监控、国际病毒同步监控等先进技术 l防火墙的概念及功能 l防火墙的类型 l防火墙的安装 l防火墙的管理维护 l一般情况下,我们可以通过利用NMAP或类似的软件对主机进行扫描,然后对操作系统及其开放端口进行判断来达到检测安全程度的目的。l但是这种方法往往是很粗糙的,下面我们将介绍一种相对严谨的安全检测步骤。通过DNS查询得到网络拓扑的基本情况。 利用NMAP进行端口扫描,判断出操作系统的类型。进行漏洞扫描,得出一个大
16、致的分析报告。 结合自己的经验,分析报告,人工找出报告中漏掉的或是误报的漏洞 如果以上的方法仍无法判断操作系统的类型,那么我们将进一步采用以下的方式进行安全检查 如果有防火墙的情况下,可能会将TCP/IP协议栈动态地修改或屏蔽,以致普通的扫描工具无法得出正确的结论。因此我们可以使用一些更为灵活的扫描工具(如hping、firewalk)进行目标主机的探测,并根据数据包的返回做进一步分析判断。 其次可以对主页程序进行输入验证,虽然这些只是基于表面的测试工作,但我们仍可以根据一些异常现象来分析可能出现的安全问题。比如某些特殊字符的遗漏或WEB服务器的编码解码错误等都可能造成服务器的资料甚至源代码的
17、泄露。 l网络安全的主要内容有哪些?l建立一个较为完善的网络安全保障体系一般要考虑哪些因素?l什么是计算机病毒?病毒的传播途径有哪些?l什么是防火墙?它有哪些功能?l1设备安全 l网络系统中的服务器可采用阵列或镜像技术,采用簇技术以及双机或多机热备份容错系统来实现。生产服务器和开发测试服务器要实施分离,并且提供光盘备份库,保证24小时不间断运行,最好同时采用建立异地备用服务器的方式来保证安全性。而工作站及终端应具有防病毒功能,同时也需保证24小时不间断运行。 l2支撑软件安全 l网络中的支撑软件无非就是系统的运行平台和数据库系统。它们都要符合C2级标准,以提供完善的操作系统和数据库监控、报警和
18、故障处理。 l3网络系统安全 l要求与其他系统建立连接时,必须具备防火墙隔离,并提供完整的网络监控、报警和故障处理功能,同时支持鉴别、接入控制、数据机密等一组相关的安全功能。 l4应用系统安全 l为保证系统的安全性,系统对操作员实行严格的分级权限管理,每一个操作员均拥有各自的帐号、登录密码和权限等级。除对系统的查询操作外,任何一个对系统的“写”操作均将在系统中留下完整的记录,以备日后追查。对于应用系统的安全来讲,也应该符合C2级安全标准 返回l网络中要处理的数据的安全性也是要得到保障。主要有以下两方面的途径:数据备份与恢复:系统数据可进行联机备份与恢复,被恢复的数据必须保持其完整性和一致性;能
19、提供完整的系统数据监控、报警和故障处理。数据的传送与接受::保证系统数据的传送完整和机密,并能提供完整的系统数据传送监控和报警处理。返回l配套设备安全:配套先进的、完善的供电系统和应急报警系统。 l机房环境安全:机房要防火、防尘、防雷、防磁;机房温度、湿度、电压应符合计算机环境要求;并且要定期对机房进行维护和保养。 返回l 1系统安全机制v系统应具备访问权限的识别和控制功能,提供多级密码口令或使用硬件钥匙等选择和保护措施,提供操作日志记录功能,以便即时掌握运行状况。同时该系统还应具备完善的检测功能,确保系统处理的准确性,并建立校验结果和安全逻辑异常情况报警系统。l 2业务安全机制 v建立严格的
20、管理制度和开发、维护、运行管理机制。应用鉴别权限与访问控制功能,对系统管理员、数据库管理员、数据管理员、操作员必须授予各种访问权限,并保证只有授权的人员或系统可以访问某种功能,获取某种数据。 l3环境安全机制 v建立严格的机房安全管理制度,及时审查日志文件。非工作人员不准随意进入机房, 任何人不得将有关资料泄密或任意抄录。 返回l美国政府,更准确地说应是 National Computer Security Center(国家计算机安全中心),它是 National Security Agency (国家安全局) 的一个下属机构,为计算机安全引入了一套评测标准。这些标准的正式名称是 Trust
21、ed Computer System Evaluation Criteria(可信计算机系统评测标准,TCSEC),它们是一堆 6 英尺高的书的一部分。实际上,人们都把 TCSEC 叫做 Orange Book(橙皮书),因最初的书是橙色封面而得名。橙皮书定义了四个主要等级的安全,即A、B、C、D。在每一类中又有很多分支,如 C1、C2、B3 等。从 D 到 A1,要求逐渐变得越来越苛刻,安全处理所需费用也相应提高。其中C级被标为“自主型保护”,意思是说C 级系统允许用户以及操作系统对属于它们的资源进行保护。而安全团体一般都认为,一个系统可以达到C级安全标准就已经足够了。 l机密性 l身份验证
22、/授权 l完整性 l不可否认性 l保密性 l可用性 l周密的网络安全评估与分析,是可靠、有效的安全防护措施制定的必要前提。网络安全评估大致可以分为两个阶段进行。一是在网络的设计阶段。这一阶段主要进行的是网络风险评估,一个全面的风险评估分析应包含如下几个方面:物理层安全风险分析 、链路层安全风险分析、 网络层及传输层安全风险分析、操作系统安全风险分析、应用层安全风险分析、管理的安全风险分析、典型的黑客攻击手段等。第二阶段是在网络运行阶段,常见的网络安全评估技术主要有访谈、问卷调查、抗攻击测试或者使用现有的网络安全分析工具,如漏洞扫描系统等对网络系统进行扫描分析。 l网络系统最薄弱的环节最有可能成
23、为黑客的攻击点,导致网络系统受到很大程度的威胁。故网络系统的安全性也就取决于此。最有效的保证网络安全的方法是定期对网络系统进行安全性分析和评估,及时发现并修正存在的弱点和漏洞。 l不可否认性不可否认性的含义是很明显的,即指数据信息的发送者不能声明他没有发送过给定的消息。这一点在电子商务中也可以有所体现,如果买方对他所购买的大批商品做否认声明,那么对卖方势必会造成很大的损失。对不可否认性的保证技术是有些复杂的,比如常见的技术有数字证书。 返回l有些人可能会将保密性保密性和前面所讲的机密性混为一谈。我们已经知道机密性是指数据在传输途中不会被偷听者利用的需求,而保密性需求是与数据主体的保密性权利有关
24、。更明确一点地说,保密性是可以受法律保护的,它要求在没有经过数据主体同意的情况下不得泄露私有数据。举个例子,前面提到了授权,我们可以利用它来更加清晰地区别保密性和机密性这两个概念。如果本地服务器中有些数据并未被加密,但可以通过授权来分配这些数据要对哪些用户保密。而未被授权的用户通过非法途径获取了这些数据,那么我们就可以说数据的保密性被破坏了,而不是机密性。 返回l在网络安全领域中,完整性完整性具有特殊的含义。数据具有完整性并不是意味着它不能被篡改,而是指当数据信息被篡改后,这个改动可以被检测到。同样保证网络数据完整性的重要性也是可想而知的。我们还是以电子商务中的交易为例,试想交易双方的订单信息
25、若被非法篡改,那么给双方带来的困扰也是不言而喻的。现在,保证数据完整性的技术主要是使用数字签名,它是通过散列算法首先产生数据的摘要,然后通过加密算法将数据摘要进行加密,之后将原始数据与加密摘要一同传输到接收方;接收方对接收到的数据再运用散列算法得到摘要,并同时解密加密摘要。这样两个摘要对比结果若相同,则说明数据在传输中未被修改过,也就验证了它的完整性。否则,可以认为这个数据在网络传输过程中已被篡改,接收方便丢弃该信息,然后根据需要决定是否要求对方重发。 返回l身份验证身份验证是指用户在使用网络服务之前要先被确定其身份是否合法,比如使用口令或借助可以发布一次性口令的硬件设备来实现。授权很多时候是
26、与身份验证链接在一起的网络安全需求,但同时了解两者之间的区别也是十分重要的。授权授权是指对合法用户分配一些权限,即对用户是否具有读、写等权利做相应限制。也就是说用户通过身份验证并不意味着他们是被授权的,但身份验证又是授权所必需的。简单而言,身份验证关心的是“您是谁”的问题,而授权关心的是“您能做什么”的问题。 返回l简单来讲,机密性机密性是指数据在网络中传输时不能被除了发送方和接收方以外的第三方所窃取。有两种方法可用于实现机密性。一种是使用收发双方之间的专用连接,即专线或VPN(virtual private network,虚拟专用网络);另一种是使用加密技术。保证网络数据的机密性是十分重要
27、的,如果数据在传输过程中被非法窃取,那么结果是相当严重的。比如在电子商务中的交易双方在交易过程中,帐号和密码等重要信息的机密性被恶意窃取后,买卖双方都很可能会付出昂贵的经济代价。 返回l可用性可用性较为简单,它看上去好像与安全问题无关,实际上当重要数据被需要时却不可用,也同样会给企业带来麻烦。保证不可否认性的技术也是要在可用性的前提下才能生效和发挥作用的。 返回在安装完Win2000 Server之后,管理工具中包含如图7-1选项。打开“配置服务器”单元。在对话框左侧选择Active Directory,如图7-2所示。单击“启动”Active Directory服务安装向导,按照提示执行安装
28、过程。 因为在配置该项服务时,首先做的工作是将您的计算机升级为域控制器,并指定域的名称。如图7-3。 指定Active Directory数据库和日志文件、以及作为系统卷共享的文件夹的存储位置。为方便起见,可使用默认设置。此时出现如图7-4的提示信息,选择“确定”后出现如图7-5的安装界面,点击“下一步”为新域 安装和配置DNS服务器。 此时出现Active Directory安装选项的一组相关信息,如图7-6。确认无误后,点击“下一步”进入Active Directory的配置过程。这可能要花费几分钟的时间。最后单击“完成”,并重新启动计算机。 l安装版本的选择。尽量选择英文版本,因为众所周
29、知,中文版本的BUG要远远多于英文版本。l默认安装有危险。大家在安装操作系统或任何软件时,常常习惯于采用默认设置,当然在大多数情况下是有好处的。但是对于Win2000 Server的安装则不然。根据安全原则,最少的服务+最小的权限=最大的安全。典型的WEB服务器需要的最小组件选择是:只安装IIS的Com Files,IIS Snap-In,WWW Server组件。如果你确实需要安装其他组件,请慎重,特别是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)这几个危险服务。也就是
30、说,在安装之前您应该确切的知道您所需要的服务。 l操作顺序。首先必须确保在安装配置好SERVER后才能将您的计算机接入网络。因为在您输入系统管理员密码登录后直到下次启动前,系统对任何人都是共享的,这是Win2000的安装漏洞所至。其次,补丁程序的安装要在所有应用程序安装完成之后再进行。因为补丁程序往往会修改或替换某些系统文件。 l在用户的快捷菜单中选择“委派控制”,如图7-7。 l在图7-8中选择要委派控制的用户和组。点击“添加”按钮 l选择委派的有效范围,如图7-9 l指定权限,如图7-10 通过将这个帐户名进行修改来保障帐号安全,在管理工具中的Active Directory用户和计算机管
31、理左侧选择user后,右击administrator然后改名,修改后的名字至少要包含有字母和数字;避免使用简单的英语单词或人名。如图7-14 有时修改后的名称仍可以在本地或者Terminal Service的登录界面看到的,这可以通过在运行注册表编辑器后,将其中HKEY_LOCAL_MACHINESOFTWAREMicrosoft下一级的WindowsNTCurrentVersionwinlogon项中的Dont Display Last User Name串数据改成1,如图7-15所示 更改系统管理员账号以后,还应该更改登录密码,密码应该是12位以上的字母和数字等字符组成的混合字符串,避免使
32、用简单的英语单词、人名及生日等。 返回l在工作组中实现组v在控制面板的管理工具中双击“计算机管理”,打开如图7-12所示窗口,并在“本地用户和组”下的“组”文件夹上单击右键,选择“新建组”。 v在图7-13中输入新组的基本信息,单击添加按钮为该组选择成员。最后点“创建”完成组的建立 l在域中实现组v在域中实现组与在工作组中实现组的操作大体相同,只不过在工作组中实现组是在“计算机管理” 窗口中进行的,而在域中实现组要在“Active Directory活动目录用户和计算机”窗口中实现的 返回策略设置登录事件成功 失败对象访问失败策略更改成功 失败特权使用失败系统事件成功 失败账户登录事件成功 失
33、败策略设置值密码复杂性要求启用密码长度最小值6位强制密码历史5次最长存留期30天策略设置值账户锁定3次错误登录锁定时间20分钟复位锁定计数20分钟v所谓计算机病毒,是指能通过修改程序将自己“传染”到别的程序中的程序。计算机病毒是人为制造的,它们隐藏在计算机中难以被发现,干扰和妨碍甚至破坏正常的程序运行。正像人体内的病毒侵犯好的细胞并把它转变成制造病毒的工厂一样,计算机病毒程序都是一些小程序,通过把它们自己的一个副本附加到另一个程序上面进行复制。v计算机病毒程序一般分为两个部分:传染部和行动部。传染部的基本功能是传染,它包括传染条件判断程序和传染程序。行动部则是计算机病毒的危害主体,它决定了病毒
34、的危害程度。v计算机病毒是美国加利福尼亚大学的Fred Cohen博士于1983年11月3日在美国计算机安全学术会议上首次提出的。在此之后,有一些别有用心的人,故意制造了形形色色的计算机病毒。以往的计算机病毒仅侵入DOS等单机操作系统,但现在的病毒制作者已经将“魔爪”伸向了计算机网络的服务器。在网络环境下,计算机病毒可以按指数增长模式进行再生。计算机病毒一旦侵入到计算机网络中,则可以导致计算机效率急剧下降,系统资源遭到严重破坏,在短时间内便可能造成整个网络系统的瘫痪。返回良性病毒 o这类病毒一般不破坏操作系统或程序文件,可能只是简单地显示一个消息,一些图形等。如有一年圣诞节受感染的IBM的主要
35、计算机系统显示节日问候这样的病毒程序。但它仍然会影响机器的运行速度或死锁,这样有时也会间接地破坏一些数据。 由此可见,这类病毒并非真正的良性,只是危害程度相对较轻而已。 恶性病毒o恶性病毒设计用于破坏系统,它们一般破坏硬盘的引导扇区文件、修改硬盘分区表和文件分配表,甚至格式化硬盘使机器完全瘫痪。每年4月26日发作的CIH病毒即使典型的恶性病毒,它不仅对软件造成破坏,还直接损坏主板和BIOS芯片。 外壳病毒 o外壳病毒将它们自己包裹在主程序的四周,对原来程序不作修改。外壳病毒相对容易编写,因此,约半数病毒程序属于这种类型。 入侵病毒 o入侵病毒侵入到现有的程序中。一般很难编写。o外壳病毒和入侵病
36、毒通常都是攻击可执行程序文件带有.COM或者.EXE扩展名的文件,即使是数据文件也有受攻击的危险。 操作系统病毒 o操作系统病毒工作时把它们自己的逻辑代替部分操作系统。编写极为困难,但一旦得手就有能力控制整个系统。 源码病毒 o源码病毒是入侵程序,它们在程序编译之前插入到源程序中。是最少见的病毒程序,因为它们不仅编写困难,而且可以被它们感染的主程序也是很有限的。 返回l通过不可移动的计算机硬件设备进行传播 l软盘 l光盘 l硬盘 lBBS l网络 l通过点对点通信系统和无线通道传播 返回l计算机病毒的预防是指通过一定的技术手段防止计算机病毒对系统的传染和破坏。例如,大家都熟悉的防病毒卡,其主要
37、功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号和可能造成危害的写命令。 l计算机病毒的检测是指通过一定的技术手段判断出特定计算机病毒的一种技术。当然对于某些计算机病毒,检测技术也是无能为力的。也就是说,检测技术是针对特定病毒的 l计算机病毒的消除是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一种逆过程。目前,消除病毒大都是使用具有相应解毒功能的软件。 返回第一种是基于网络目录和文件安全性的方法,它主要是通过根据用户对目录和文件的操作能力,分配不同的访问权限和属性的方式来切断病毒可能的传播途径。第二种方法是将具有防病毒功能的软件集成到一个芯片上,并将这个芯片安装到网络工作
38、站上。还有一种常见的方法就是在服务器上进行实时的病毒扫描,以此来保护服务器不受病毒感染。这样也就是病毒失去了传播途径,从根本上杜绝了病毒在网络上的蔓延。 返回l防火墙这个概念是来源于人们的日常生活。以前,人们常在木屋和其他建筑之间修建一道砖墙,以防火灾发生时火势从一座建筑物蔓延到另一座建筑物。这种砖墙被称之为防火墙。现在将这种说法借用到计算机网络中,在业内将能使一个网络不受外界“火灾”影响的设备也称为防火墙。 l更为专业一点的描述防火墙,它就是一个或一组网络设备(如计算机或路由器),可用来在网上或多个网络之间加强访问控制。 l第一代防火墙几乎与路由器同时出现,采用包过滤技术实现网络隔离。198
39、9年,贝尔实验室推出了第二代防火墙,即电路层防火墙。并同时提出了第三代防火墙的雏形。1992年,基于动态包过滤技术的第四代防火墙出现。1998年,NAI公司推出了一种自适应代理技术,并在产品中实现。这种防火墙可以称为第五代防火墙。 l防火墙发展到今天,从本质上来讲,可以大致将它实现的功能功能分为以下几项:防火墙能用来隔开网络中的各个网段,这样就能防止影响一个网段的问题通过整个网络传播。从技术角度来讲,就是形成了所谓的停火区。防火墙可以起到交通警察的作用,仅仅允许网络中的合法用户访问网络资源。防火墙能够有效地审计和记录Internet上的活动,非常适用于收集关于系统和网络使用和误用的信息。方便地
40、监视网络的安全性,并及时报警。可以作为部署NAT(Network Address Translation网络地址变换)的地点,用来缓解IP地址空间的短缺问题。返回按防火墙的位置位置可以将它分为内部防火墙和外部防火墙,如图7-17所示;按照防火墙对内外来往数据的处理方式处理方式,从技术角度可以大致将其分为两种类型:包过滤防火墙和代理防火墙(应用层网关防火墙);按照实际使用的类型使用的类型或防火墙的实现形式可以分为四类:嵌入式防火墙、硬件防火墙、软件防火墙和应用程序防火墙。 返回l如果要自己建立一个防火墙设备的话,则需要进行详细复杂的规划。防火墙建立的过程主要就是设计堡垒主机的过程。堡垒主机原是指
41、所有直接连入公网的设备,现在它经常涉及到的就是防火墙设备。防火墙建立需要一定的专业知识,实现起来也比较复杂,目前市场上已有很多现成的防火墙产品,所以一般情况下,我们没有必要自己建立防火墙设备,可以使用适当的防火墙产品。l它们的安装和配置都相对简单。现就防火墙的安装问题总结如下: 安装前要做必要的准备工作 v不同的防火墙产品,安装的难易程度也有所差别。但对于建立企业内部网和防火墙的网络管理人员来说,为了完成安装工作,必须进行详细的计划与精心的安排。如对微机忘了分配TCP/IP地址序列,就无法安装防火墙,更谈不上测试防火墙了。 安装防火墙的方法和步骤 v建立安装防火墙可以使用可编程路由器作为包过滤
42、器,此法是目前用得最普通的网络互连安全结构。另一种方法是,把防火墙安装在一台双端口的主机系统中,连接内部网络。而不管是内部网络还是外部网络均可访问这台主机,但内部网上的主机不能直接进行通信。v还有一种方法是把防火墙安装在一个公共子网中,其作用相当于一台双端口主机。采用应用与线路入口及信息包过滤来建立安装防火墙也是常用的方法之一。所谓应用与线路入口,就是把所有的包都按地址送给入口上的用户级应用程序,入口在两点间转送这些包。总之,一般防火墙是被安装在可信赖的内部网络及不可信赖的外部网络之间。 返回l对防火墙的维护和对防火墙的管理维护工作,需要由专门的网络管理员来负责,并且是一项长期、细致的工作。l
43、总结起来,一般需要网络管理员进行如下的两项工作:一、要具备一定的专业知识,对自己的计算机网络系统和防火墙的内在配置都十分清楚;二、保证系统监控及防火墙之间的通信线路能够畅通无阻,并定期实施扫描和检修。 l总之,防火墙和其他设备在维护上有个共同点,管理维护好的任何设备,其服役的年限就会增长,否则就会使工作寿命大为缩短。l但是,防火墙目前还处在发展阶段,有很多技术都不成熟,也不能将网络安全的大任都寄希望于防火墙。 返回l包过滤防火墙采用的主要技术是包过滤。l该技术是在网络层中对数据包实施有选择的通过。依据系统内的包过滤规则检查数据包中的报头信息,在报头信息中包括数据包的源地址、目的地址、所用的TC
44、P端口等,以此来确定是否允许该数据包通过。在这个技术中,重要的是如何制订包过滤规则。l根据包过滤规则制订的方式,又可以将包过滤防火墙分为静态包过滤防火墙和动态包过滤防火墙。 l静态包过滤防火墙v这种防火墙又称为简单包过滤防火墙。它所依据的包过滤规则是在系统内事先定义好的。l动态包过滤防火墙v这种防火墙采用动态包过滤技术,即对通过该防火墙所建立的每一个连接都进行跟踪,并根据需要动态地在过滤规则中增加或更新条目。这种技术发展成了后来的包状态检测技术。 返回l代理防火墙通过一种称为代理的技术参与到TCP连接的全过程。从网络内部发送的数据经过代理后可以达到隐藏网络内部结构的作用。l它的核心技术就是代理
45、服务器技术。所谓代理服务器,是指代表客户处理在服务器连接请求的程序。通过代理防火墙,没有给内外网络任何直接对话的机会,因此代理防火墙被公认为最为安全的防火墙。l而包过滤防火墙则很难做到这一点。这就好比你要向一位重要的陌生人递交一份声明一样,为安全起见,你可以通过律师去做这件事。这样,即便陌生人要对你有所侵犯,他面对的也是你的律师,而对你则是一无所知的。这种防火墙是建立在应用层上的协议过滤技术,因此又称之为应用层网关防火墙。 l这种防火墙的最大缺点就是速度相对比较慢。而包过滤型防火墙却具有高速的特点。l在现实环境中,我们可以考虑将代理防火墙安全的特点与包过滤型防火墙高速的特点结合起来。这就是通常
46、所说的自适应代理防火墙。它可以在毫不损失安全性的情况下将速度提高10倍以上。l形成这种防火墙的基本要素有两个:自适应代理服务自适应代理服务器和动态包过滤器器和动态包过滤器。在自适应代理服务器和包过滤器之间存在一个控制通道,而自适应代理可以根据用户的配置信息,决定是利用代理从应用层代理请求,还是从网络层利用包过滤器转发包。这样就满足了用户对安全性和速度的双重要求。 返回l当防火墙功能被集成到路由器或交换机中时,这个防火墙就叫嵌入式防火墙,又称之为节流防火墙,这种防火墙一般只对分组信息进行IP级的无状态检查,这样可以获得较高的性能,但却有较高的使危险代码通过的机会。 返回l硬件防火墙又叫设备防火墙,它设计为一种总体系统,不需要复杂的安装或配置就可以提供服务。硬件防火墙又有两种类型:一种是企业级防火墙,用于大型网络上执行路由选择功能;另一种是SOHO(Small Office,Home Office)级,用于小型办公或家庭办公。 返回l软件防火墙是用软件控制网络传输,提供全面的防火墙的功能,可以安装在服务器硬件及操作系统之上,也分为企业级和SOHO级。 返回l应用程序防火墙经常是作为现有硬件或软件防火墙的组件实现的。主要目的是提供一种复杂的内容过滤层次,用来对应用层传输的数据进行过滤。 返回