Internet技術(shù)與應(yīng)用第九章課件

1、 Internet 技術(shù)與應(yīng)用第9章 網(wǎng)絡(luò)安全 9.1 網(wǎng)絡(luò)安全基礎(chǔ)知識 9.2 防火墻技術(shù) 9.3 天網(wǎng)防火墻 9.4 黑客初識 9.5殺毒軟件 9.1 網(wǎng)絡(luò)安全基礎(chǔ)知識 9.1 網(wǎng)絡(luò)安全基礎(chǔ)知識 9.1.1 網(wǎng)絡(luò)安全的定義 從狹義的保護角度來看，計算機網(wǎng)絡(luò)安全是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，從廣義來說，凡是涉及到計算機網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全的研究領(lǐng)域。 第9章 網(wǎng)絡(luò)安全 9.1.2 網(wǎng)絡(luò)安全的特征（1）網(wǎng)絡(luò)內(nèi)資源的安全。未授權(quán)的用戶不可動用系統(tǒng)內(nèi)的信息，授權(quán)的用戶可在其授權(quán)的范圍內(nèi)動用系統(tǒng)

2、內(nèi)的信息，例如，如果為用戶授予了查看的權(quán)限，那么該用戶就不能修改、刪除資源而只能查看資源。（2）信息傳輸過程中資源的安全。用戶不可在信息傳輸過程中破壞信息，對傳輸過程中的信息進行信息截取、分析、修改等操作都是網(wǎng)絡(luò)的不安全因素。 9.1 網(wǎng)絡(luò)安全基礎(chǔ)知識 9.1.3 網(wǎng)絡(luò)安全面臨的威脅 網(wǎng)絡(luò)安全威脅可分為被動威脅和主動威脅兩類。被動威脅只對信息進行監(jiān)聽，而不對其修改和破壞；主動威脅則對信息進行故意篡改和破壞。偽裝：威脅源假扮另外一個實體，威脅源偽裝成功獲得該實體的權(quán)利后，濫用該實體的權(quán)利。其中威脅源可以是用戶或者是程序，如IP偽裝。非法連接：威脅源以非法的手段形成合法的身份，獲得合法身份后使得威

3、脅源可以在網(wǎng)絡(luò)資源之間建立非法連接。非法連接造成的后果最常見的就是網(wǎng)絡(luò)堵塞。 第9章 網(wǎng)絡(luò)安全 非授權(quán)訪問：威脅源成功破壞訪問控制服務(wù)，當訪問控制服務(wù)無法控制權(quán)限管理時，威脅源即可實現(xiàn)越權(quán)訪問。重放：威脅源截獲信息，根據(jù)需要將截獲的信息重放。重放的信息會再次被受威脅的實體接受。拒絕服務(wù)：阻礙合法的網(wǎng)絡(luò)用戶或者其他執(zhí)行合法權(quán)限的用戶，如妨礙執(zhí)行服務(wù)或信息傳遞。抵賴：使網(wǎng)絡(luò)用戶虛假地否認遞交或者接收過的信息。9.1 網(wǎng)絡(luò)安全基礎(chǔ)知識信息泄露：未授權(quán)的用戶截獲了傳輸?shù)男畔ⅰI(yè)務(wù)流量分析：威脅源通過對通信協(xié)議控制信息的判斷，對傳輸中的信息的頻率、長度、源或者目的進行分析。改變信息流：對正確的通信信息序

4、列進行非法修改、刪除、重排序或者重復(fù)。篡改或破壞數(shù)據(jù)：針對傳輸或者存放的信息進行有意、非法的修改、刪除。推斷或演繹信息：由于統(tǒng)計信息數(shù)據(jù)含有原始的信息蹤跡，非法用戶利用公布的統(tǒng)計數(shù)據(jù)，推導(dǎo)出某個信息源是來自何處的值。非法篡改：具有病毒、木馬、蠕蟲3種形式，它們破壞操作系統(tǒng)、通信網(wǎng)絡(luò)以及應(yīng)用程序。 第9章 網(wǎng)絡(luò)安全 9.1.4 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) 防火墻技術(shù)：這是近年來維護網(wǎng)絡(luò)安全最重要的手段。防火墻技術(shù)是實現(xiàn)了在兩個網(wǎng)絡(luò)間實現(xiàn)數(shù)據(jù)信息安全傳輸?shù)囊环N網(wǎng)絡(luò)安全技術(shù)。 加密技術(shù)：這是一種主動、開放型的安全防范手段。對于敏感數(shù)據(jù)應(yīng)該采用加密技術(shù)，加密技術(shù)又分為公鑰加密和私鑰加密。數(shù)據(jù)信息發(fā)送端對傳輸?shù)?/p>

5、信息進行加密后傳輸，接收端則通過相應(yīng)的解密技術(shù)進行數(shù)據(jù)解密存儲。 9.1 網(wǎng)絡(luò)安全基礎(chǔ)知識 用戶識別技術(shù)：核心是識別訪問者是否是合法用戶，只有合法用戶方可訪問資源。與訪問控制技術(shù)類似，但只對用戶合法性進行判斷。 訪問控制技術(shù)：控制不同用戶對資源的訪問權(quán)限。根據(jù)安全策略對信息資源進行集中管理。 漏洞掃描技術(shù)：預(yù)知主體受攻擊的可能性并具體指定將要發(fā)生的行為和產(chǎn)生的后果。 入侵檢測技術(shù)：檢測系統(tǒng)內(nèi)違背的安全規(guī)則、可能威脅到系統(tǒng)安全的一些活動。 第9章 網(wǎng)絡(luò)安全 9.1.5 網(wǎng)絡(luò)安全的策略 1.物理安全策略 保護計算機系統(tǒng)、網(wǎng)絡(luò)內(nèi)的硬件以及通信鏈路避免遭受自然災(zāi)害、人為破壞和搭線攻擊；對用戶的身份驗證

6、和使用權(quán)限有明確的規(guī)定，建立完備的管理制度，確保系統(tǒng)有一個良好的工作環(huán)境。 2.訪問控制策略 訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。 9.1 網(wǎng)絡(luò)安全基礎(chǔ)知識 1）入網(wǎng)訪問控制 入網(wǎng)訪問控制，顧名思義即對接入網(wǎng)絡(luò)的用戶或者實體進行控制，它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。 2）網(wǎng)絡(luò)的權(quán)限控制 網(wǎng)絡(luò)的權(quán)限控制是針對用戶對網(wǎng)絡(luò)進行非法操作所提出的一種安全保護措施。網(wǎng)絡(luò)內(nèi)的用戶和用戶組都被授予一定的訪問網(wǎng)絡(luò)資源權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪

7、問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。第9章 網(wǎng)絡(luò)安全 3）目錄級安全控制 網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。 4）屬性安全控制 當用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。指定的訪問屬性包括：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。 9.1 網(wǎng)絡(luò)安全基礎(chǔ)知識 5）網(wǎng)絡(luò)服務(wù)器安全控制 網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。管理員可設(shè)置口令鎖定服務(wù)器控

8、制臺防止非法用戶修改、刪除服務(wù)器資源的操作；還可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。 第9章 網(wǎng)絡(luò)安全 6）網(wǎng)絡(luò)監(jiān)測和鎖定控制 網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實施監(jiān)控，服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問。對非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形、文字或聲音等形式報警，以引起網(wǎng)絡(luò)管理員的注意。如果非法用戶試圖進入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會自動記錄企圖嘗試進入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達到設(shè)定數(shù)值，那么該帳戶將被自動鎖定。 7）防火墻控制 在網(wǎng)絡(luò)邊界建立相應(yīng)的網(wǎng)絡(luò)通信系統(tǒng)來隔離內(nèi)網(wǎng)和外網(wǎng)。第9章 網(wǎng)絡(luò)安全 8）信息加密策略 信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)

9、絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密3種。信息加密技術(shù)需加密算法來支持，為網(wǎng)絡(luò)加密，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。 9）網(wǎng)絡(luò)安全管理策略 除上述的管理策略外，還應(yīng)該建立相關(guān)的規(guī)章制度，確保網(wǎng)絡(luò)的安全、可靠運行。9.2 防火墻技術(shù) 9.2.1 防火墻的基本類型從軟、硬件形式上分為：軟件防火墻、硬件防火墻以、芯片級防火墻。從防火墻技術(shù)分為：包過濾型、應(yīng)用級網(wǎng)關(guān)。從防火墻結(jié)構(gòu)分為：單一主機防火墻、路由器集成式防火墻和分布式防火墻。從防火墻應(yīng)用部署位置分為：邊界防火墻、個人防火墻和混合防火墻。按防火墻性能分：百兆級防火墻、千兆級防火墻。 第9章

10、網(wǎng)絡(luò)安全 9.2.2 防火墻的功能 1.包過濾 包過濾是防火墻所要實現(xiàn)的最基本功能，該功能判斷通信報文協(xié)議頭的各部分，以及通信協(xié)議的應(yīng)用層命令、內(nèi)容、用戶認證、用戶規(guī)則甚至狀態(tài)檢測等。 2.審計和報警機制 在網(wǎng)絡(luò)信息傳輸?shù)椒阑饓哟危阑饓Ρ仨毟鶕?jù)規(guī)則判斷是否允許通過，同時必須作出接受、拒絕、丟棄或加密等決定（Target）。 3.遠程管理 遠程管理功能使得系統(tǒng)管理員可遠程登錄防火墻，完成對防火墻的配置、管理和監(jiān)控等操作。9.2 防火墻技術(shù) 4.路由功能 多數(shù)防火墻都具備網(wǎng)絡(luò)地址轉(zhuǎn)換（路由）功能。 5.代理 目前代理主要有透明代理和傳統(tǒng)代理兩種實現(xiàn)方式。 6.流量控制（帶寬管理）和統(tǒng)計分析、流

11、量計費 7.VPN（虛擬個人網(wǎng)） 該功能可以實現(xiàn)內(nèi)部網(wǎng)絡(luò)如何連接外部網(wǎng)絡(luò)的機制。第9章 網(wǎng)絡(luò)安全 9.2.3 防火墻的特點（1）廣泛的服務(wù)支持?？芍С侄喾N服務(wù)協(xié)議類型，如HTTP、FTP等。（2）對私有數(shù)據(jù)的加密支持。具有一定的加密算法功能，對私有、要求安全性較高的數(shù)據(jù)進行加密。也就是密鑰算法的支持。（3）客戶端認證。只允許指定的、已授權(quán)的用戶訪問內(nèi)部網(wǎng)絡(luò)或選擇服務(wù)。內(nèi)部數(shù)據(jù)出口也必須符合定義的安全規(guī)范。第9章 網(wǎng)絡(luò)安全 （4）反欺騙。欺騙是從外部獲取網(wǎng)絡(luò)訪 問權(quán)的常用手段，能過濾掉偽裝成為內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，防火墻能監(jiān)視這樣的數(shù)據(jù)包并過濾掉，使其不能進入內(nèi)部網(wǎng)絡(luò)。 （5）C/S模式和跨平臺支持

12、或者遠程監(jiān)控。能遠程監(jiān)控防火墻狀態(tài)，并提供設(shè)置防火墻規(guī)范界面管理。9.3 天網(wǎng)防火墻 9.3.1 運行天網(wǎng)防火墻 安裝天網(wǎng)防火墻只需要雙擊安裝文件，按照安裝向?qū)У奶崾具x擇安裝路徑進行安裝， 安裝完成后單擊“開始”“程序”“天網(wǎng)防火墻版本號”（如天網(wǎng)防火墻V014）命令，打開天網(wǎng)防火墻。天網(wǎng)防火墻啟動后將在桌面右下角顯示其應(yīng)用程序圖標。 第9章 網(wǎng)絡(luò)安全 9.3.2 天網(wǎng)防火墻的設(shè)置 （1）單擊“開始”“程序”天網(wǎng)防火墻版本號(例如天網(wǎng)防火墻V014)“天網(wǎng)防火墻設(shè)置向?qū)А泵睿蜷_天網(wǎng)防火墻設(shè)置向?qū)А?（2）單擊“下一步”按鈕，進入天網(wǎng)防火墻安全級別設(shè)置界面。（3）設(shè)置天網(wǎng)防火墻的安全級別，一

13、般設(shè)置級別為中。共有低、中、高、擴展和自定義5種級別。9.3 天網(wǎng)防火墻（4）單擊“下一步”按鈕進入局域網(wǎng)信息設(shè)置，設(shè)置是否開機自動啟動天網(wǎng)防火墻，設(shè)置局域網(wǎng)內(nèi)的IP地址，系統(tǒng)會自動獲取到當前的IP地址，一般使用默認值。（5）單擊“下一步”按鈕進入常用應(yīng)用程序設(shè)置，這里設(shè)置常用的可以訪問網(wǎng)絡(luò)的應(yīng)用程序，如Outlook、IE等。如果允許某個應(yīng)用程序訪問網(wǎng)絡(luò)則選中該應(yīng)用程序的復(fù)選框，這些程序會得到防火墻的許可進行網(wǎng)絡(luò)訪問。（6）單擊“下一步”按鈕進入設(shè)置完成向?qū)υ捒?，單擊“結(jié)束”按鈕完成天網(wǎng)防火墻的設(shè)置。 第9章 網(wǎng)絡(luò)安全 9.4.1 黑客簡介 黑客首先是與計算機網(wǎng)絡(luò)有關(guān)的，黑客也是伴隨著計算

14、機網(wǎng)絡(luò)的發(fā)展逐漸形成的。最初的黑客與當今的程序員一樣都是熱衷研究、撰寫程序的計算機人才，隨著網(wǎng)絡(luò)的發(fā)展和Internet的廣泛應(yīng)用，部分程序員將興趣轉(zhuǎn)向研究網(wǎng)絡(luò)或者系統(tǒng)漏洞。 成為黑客的兩個必要條件是對程序設(shè)計熟悉，甚至是精通，同時也要精通系統(tǒng)的原理，這樣才能發(fā)現(xiàn)系統(tǒng)漏洞。另一個條件則是對計算機網(wǎng)絡(luò)精通，對信息的傳輸過程、信息載體、信息報文的構(gòu)成等要非常精通。9.4 黑客初識 9.4.2 黑客常用軟件 目前黑客常用軟件按照功能可為：掃描工具、遠程控制、漏洞利用、嗅探監(jiān)聽、溢出工具、攻擊工具、破解工具、后門工具、木馬工具。 9.4.3 黑客常用的攻擊手段 常用的攻擊手段有協(xié)議欺騙攻擊、口令攻擊、

15、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊。第9章 網(wǎng)絡(luò)安全 9.5.1 瑞星殺毒軟件 瑞星殺毒軟件是由北京瑞星科技股份有限公司研究、開發(fā)的計算機反病毒產(chǎn)品。瑞星殺毒軟件提供了殺毒、監(jiān)控、安全檢測等功能，其中監(jiān)控功能由分為文件監(jiān)控、郵件監(jiān)控、網(wǎng)頁監(jiān)控。除基本的功能外瑞星還提供了其他一些網(wǎng)絡(luò)安全工具，例如漏洞掃描、數(shù)據(jù)備份等。 個人版提供的功能有：瑞星監(jiān)控、瑞星殺毒、防御和安全監(jiān)測，其中監(jiān)控有分為文件監(jiān)控、郵件監(jiān)控和網(wǎng)頁監(jiān)控。 9.5 殺毒軟件 1.瑞星殺毒軟件設(shè)置 （1）在主界面中單擊“設(shè)置”|“詳細設(shè)置”命令，打開詳細設(shè)置窗口。 （2）在詳細設(shè)置操作項下包括手動查殺、快捷方式查殺、定制任務(wù)、嵌入式查殺等設(shè)

16、置，分別單擊對應(yīng)的操作項，對該項進行設(shè)置，下面只介紹手動查殺的詳細設(shè)置。在窗口左窗格中的樹型目錄中單擊“手動查殺”選項，打開手動查殺詳細設(shè)置窗口 。（3）在該界面下設(shè)置查殺的處理方式和查殺的文件類型，單擊窗口右邊的“處理方式”選項卡，設(shè)置病毒的處理方式。 第9章 網(wǎng)絡(luò)安全 2.瑞星殺毒操作 （1）打開瑞星殺毒軟件主界面，在界面中單擊“殺毒”選項卡。 （2）在窗口的左邊樹型目錄中選中要查殺病毒的目標，也就是要查殺的文件目錄，也可以指定整個邏輯盤符，如C盤，在窗口右邊設(shè)置發(fā)現(xiàn)病毒時執(zhí)行的操作，一般選擇“清除病毒”，然后單擊“開始查殺”按鈕，開始查殺所選擇的查殺目標。查殺完成后將按照殺毒結(jié)束時的設(shè)置

17、進行關(guān)閉計算機等操作。 9.5 殺毒軟件 9.5.2 卡巴斯基殺毒軟件 （1）雙擊桌面右下角任務(wù)欄的卡巴斯基圖標，打開卡巴斯基運行主界面。（2）單擊窗口左邊的“掃描” 標簽，打開卡巴斯基病毒掃描程序窗口。（3）選擇掃描區(qū)域。選中要掃描的磁盤或設(shè)備，如C盤，單擊“掃描”按鈕開始掃描選擇的存儲區(qū)域。（4）掃描完成。卡巴斯基自動掃描選中的存儲區(qū)域文件，掃描完成后顯示掃描結(jié)果。第9章 網(wǎng)絡(luò)安全 9.5.3 360安全衛(wèi)士 1.360安全衛(wèi)士查殺流行木馬 （1）在主界面中，單擊“常用”按鈕，單擊“流行木馬查殺”選項卡，打開流行木馬查殺界面。 （2）選擇掃描方式，包括快速掃描、全盤掃描、自定義掃描?？焖賿呙柚粚ο到y(tǒng)內(nèi)存和啟動項進行掃描，全盤掃描除掃描系統(tǒng)內(nèi)存和啟動項還會掃描所有磁盤分區(qū)，自定義掃描可定義掃描系統(tǒng)內(nèi)存和啟動項 。9.5 殺毒軟件 （3）增強功能選擇。選擇360完全木馬庫或者安天木馬引擎，其中360完全木馬庫是360目前收集的所有木馬病毒庫，查殺比較全面。安天木馬引擎只是安裝到本機的木