电子商务安全技术完美PPT课件

《电子商务安全技术完美PPT课件》由会员分享，可在线阅读，更多相关《电子商务安全技术完美PPT课件（132页珍藏版）》请在装配图网上搜索。

1、1234一个典型的防火墙使用形态进 行 访问 规 则检查发 起 访 问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求WWW Mail DNS管理子网一般子网内部WWW重点子网5防火墙是什防火墙是什么么 在一个受保护的内部网络与互联网间,用来强制执行企业强制执行企业安全策略安全策略的一个或一组系统.6防火墙主要用于保护内部安全网络免防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。受外部网不安全网络的侵害。典型情况：安全网络为企业内部网络，不典型情况：安全网络为企业内部网络，不安全网络为因特网。安全网络为因特网。但防火墙不只用于因特网，也可用于但防火墙

2、不只用于因特网，也可用于IntranetIntranet各部门网络之间（内部防火各部门网络之间（内部防火墙）。例：财务部与市场部之间。墙）。例：财务部与市场部之间。7防火墙概念（1） 最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。 Rich Kosinski(Internet Security公司总裁）：防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。8William Cheswick和Steve Beilovin（1994）：防火墙是

3、放置在两个网络之间的一组组件，这组组件共同具有下列性质：只允许本地安全策略授权的通信信息通过双向通信信息必须通过防火墙防火墙本身不会影响信息的流通防火墙概念（2）9防火墙概念（3） 简单的说，网络安全的第一道防线 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。10防火墙的概念（4）在逻辑上，防火墙是分离器，限制器，也是一个分析器，有效地监控了内部网和外部网之间的任何活动，保证了内部网络的安全。在物理上，防火墙通常是一组硬

4、件设备路由器、主计算机，或者是路由器、计算机和配有软件的网络的组合。防火墙一般可分为多个部分，某些部分除了执行防火墙功能外还执行其它功能。如：加密和解密VPN。11防火墙概念（5）防火墙的实质是一对矛盾（或称机制)： 限制数据流通限制数据流通允许数据流通允许数据流通两种极端的表现形式：除了非允许不可的都被禁止，安全但不好用。除了非允许不可的都被禁止，安全但不好用。（限制政策）（限制政策）除了非禁止不可的都被允许，好用但不安全。除了非禁止不可的都被允许，好用但不安全。（宽松政策）（宽松政策）多数防火墙都在两种之间采取折衷。多数防火墙都在两种之间采取折衷。 12防火墙防火墙是指隔离在本地网络与外界

5、网络之间的一是指隔离在本地网络与外界网络之间的一道或一组执行控制策略的防御系统。道或一组执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查，以决定通信是否被允许，对外屏蔽内部网的信息、结构和运行状况，并提供单一的安全和审计的安装控制点，从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。5.1 5.1 防火墙概述防火墙概述135.1 5.1 防火墙概述防火墙概述防火墙的主要功能防火墙的主要功能 (1)防火墙是保护内部网安全的屏障 ，它限制人们进入一个被严格控制的站点。(2)可对可疑操作进行审计跟踪，它防止进攻者更接近其他的防御设备。(3)防止内部网信息泄

6、漏 ，它限制人们离开一个被严格控制的站点。防火墙的局限性防火墙的局限性 ( 1 ) 防火墙无法防范内部用户的攻击防火墙无法防范内部用户的攻击（2 2）防火墙无法防范不通过它的连接）防火墙无法防范不通过它的连接（3 3）限制了有用的网络访问）限制了有用的网络访问（4 4）防火墙很难防范病毒）防火墙很难防范病毒（5 5）防火墙不能防备新的网络安全问题）防火墙不能防备新的网络安全问题（6 6）防火墙不能防止数据驱动式攻击）防火墙不能防止数据驱动式攻击 14防火墙的基本功能模块应用程序代理应用程序代理包过滤包过滤& &状态检测状态检测用户认证用户认证NATNATVPNVPN日志日志IDSIDS与报警与

7、报警内容过滤内容过滤15Internet防火墙的作用 Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。 在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规

8、记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。16Internet防火墙的作用 Internet防火墙可以作为部署NAT(Network Address Translator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。 Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。 Internet防火墙也可以成为向客户发布信息的地点。Interne

9、t防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。17防火墙的作用示意图防火墙的作用示意图18防火墙的主要功能防火墙的功能过滤进出网络的数据管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和告警19防火墙的相关定义防火墙的相关定义1、防火墙：限制被保护的网络与互联网络之间，或者与其、防火墙：限制被保护的网络与互联网络之间，或者与其他网络之间相互进行信息存取、传递操作的部件或部件集。他网络之间相互进行信息存取、传递操作的部件或部件集。2、主机：与网络系

10、统相连的计算机系统、主机：与网络系统相连的计算机系统3、保垒主机：是指一个计算机系统，它对外部网络（互联、保垒主机：是指一个计算机系统，它对外部网络（互联网络）暴露，同时又是内部网络用户的主要连接点，所以非网络）暴露，同时又是内部网络用户的主要连接点，所以非常容易被侵入，因此这个系统需要严加保护。常容易被侵入，因此这个系统需要严加保护。4、双宿主主机：具有至少两个网络接口的通用计算机系统、双宿主主机：具有至少两个网络接口的通用计算机系统5、包：在互联网络上进行通信时的基本信息单位、包：在互联网络上进行通信时的基本信息单位6、路由：为转为的包分组选择正确的接口和下一个路径片、路由：为转为的包分组

11、选择正确的接口和下一个路径片段的过程。段的过程。207、包过滤：设备对进出网络的数据流进行有选择的控制与操作。、包过滤：设备对进出网络的数据流进行有选择的控制与操作。包过滤操作通常在选择路由的同时对数据包进行过滤操作。包过滤操作通常在选择路由的同时对数据包进行过滤操作。8、参数网络：为了增加一层安全控制，而在外部网络与内部网、参数网络：为了增加一层安全控制，而在外部网络与内部网络之间增加一个网络，参数网络有时也被称为停火带。络之间增加一个网络，参数网络有时也被称为停火带。9、代理服务：代表内部网络用户与外部网络服务器进行信息交、代理服务：代表内部网络用户与外部网络服务器进行信息交换的程序。它将

12、内部用户的请求送达外部服务器，同时将外部换的程序。它将内部用户的请求送达外部服务器，同时将外部服务器的响应再回送给用户。服务器的响应再回送给用户。212223E-mail 处理域名服务网关代理认证SOCKS过 滤 器因特网Internet内部网Intranet安全操作系统E-mail域名询问高级协议访问IP级数据防火墙主要包括五部分:安全操作系统、过滤器、网关、域名服务和安全操作系统、过滤器、网关、域名服务和E-E-mailmail处理。处理。 24252627 1 包过滤型防火墙是最简单的防火墙。它的处理对象IP包,其功能是处理通过网络的IP包的信息,实现进出网络的安全控制。应用数据包过滤（

13、packet filtering）技术在网络层对数据包进行选择，只有通过检查的IP包才能正常转发出去。其选择的依据是访问控制表ACL（Access Control List），通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或通过检查它们的组合来决定是否允许该数据包通过。实现原理如图所示。 应 用 层表 示 层会 话 层传 输 层网 络 层链 路 层物 理 层内 部 网 络外 部 网 络过 滤 规 则 处 理28包过滤防火墙29包过滤防火墙 包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提

14、供给IP转发过程的包头信息。 包头信息中包括IP源地址、IP目标端地址、内装协（TCP、UDP、ICMP、或IPTunnel）、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位 包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。30包过滤防火墙 包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。例如，Telnet服务器在TCP的23号端口上监听远地连接，

15、而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接，防火墙只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上，防火墙必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。31包过滤检查内容 数据包过滤一般要检查网络层的IP头和传输层的头： IP源地址 IP目标地址 协议类型（TCP包、UDP包和ICMP包） TCP或UDP包的目的端口 TCP或UDP包的源端口 ICMP消息类型 TCP包头的ACK位 TCP包的序列号、IP校验和等3233应用层表示层会话层传输层网络层链路层物理层内部网

16、络外部网络应用代理服务34 代理代理服务器服务器代理代理客户机器客户机器客户机客户机服务器服务器请求请求转发应答转发应答应答应答防火墙代理防火墙代理转发请求转发请求间间代理获得客户机和服务器之间通信的全代理获得客户机和服务器之间通信的全部控制权部控制权35 缺点：缺点： 最大缺点就是速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。 大多是基于主机的，价格比较贵，安装和使用比数据包过滤的防火墙复杂。 365.3 防火墙的选择和使用防火墙的选择和使用37 网络的安全性主要是指网络信息的安全性和网络路由的安全性。网络路由的安全性保障了网络信息的安全

17、性，而网络路由的安全性通常可由防火墙实现。所以选择防火墙首先要确定网络信息的保护策略，然后对防火墙进行评价、分析，最后决定采用什么样的防火墙。 1 要考虑网络结构要考虑网络结构 2 要考虑到业务应用系统需求要考虑到业务应用系统需求 3 要考虑用户及通信流量规模方面的需求要考虑用户及通信流量规模方面的需求 4 要考虑到可靠性、可用性、易用性等方面的需求要考虑到可靠性、可用性、易用性等方面的需求5.3 5.3 防火墙的选择和使用防火墙的选择和使用38 按组成结构而言，将防火墙产品分为以下三种：软件防火墙软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说

18、这台计算机就是整个网络的网关。 硬件防火墙硬件防火墙 硬件防火墙是指所谓的硬件防火墙。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构。 芯片级防火墙芯片级防火墙 基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。 5.3 防火墙的选择和使用防火墙的选择和使用395.3 5.3 防火墙的选择和使用防火墙的选择和使用40 是一个综合的、模块化的安全套件，它是一个基于策略的解决方案。 CP Firewall-1套件提供单一的、集中

19、的分布式安全策略，跨越Unix、NT、路由器、交换机和其他外围设备，提供大量的API，有100多个解决方案和OEM厂商的支持。 由3个交互操作的组件构成：控制组件、加强组件和可选组件。这些组件既可以运行在单机上，也可以部署在跨平台系统上。 操作在操作系统的核心层进行，而不是在应用程序层，这样可以使系统达到最高性能的扩展和升级。 支持基于Web的多媒体和基于UDP的应用程序，并采用多重验证模板和方法。 支持几乎所有平台，但价格偏高。 5.3 5.3 防火墙的选择和使用防火墙的选择和使用41SonicWALL系列防火墙是在NASDAQ上市的美国SONICWALL公司的著名网络安全产品 ，是目前全球

20、销量最大的硬件防火墙和市场占有率最高的硬件VPN产品。 SonicWALL采用软硬件一体化设计，在高性能硬件平台上，利用先进的防火墙技术和SonicWALL专有的安全高效的实时操作系统。采用世界领先的加密算法、身份认证技术以及网络防病毒技术，是一个强大的，集应用级防火墙、入侵报警、内容过滤、VPN、网络防病毒等多种安全策略为一体的，稳定可靠的高性能网络安全系统。 具有优秀的性价比 。5.3 5.3 防火墙的选择和使用防火墙的选择和使用42是NetScreen科技公司推出的一种新型的网络安全硬件产品，具有Trusted（可信端口）、Untrusted（非信任端口）、Optional（可选端口）三

21、个J-45网络接口，配有PCMCIA插槽，支持10MB、20MB、40MB和150MB快闪存储器。优势之一是采用了新的体系结构，可以有效地消除传统防火墙实现数据加盟时的性能瓶颈，能实现最高级别的IP安全保护。 在执行效率和带宽处理的能力上性能优越。 采用独有的ASIC 设计和基于Intel的FreeBSD Unix 平台，使用简单易行，配置简单。率先提供了100MB的吞吐能力和无用户数限制，并支持64000个并发会话，有效地消除了软件防火墙的性能瓶颈，达到了安全和性能的统一。5.3 5.3 防火墙的选择和使用防火墙的选择和使用43是我国第一套自主版权的防火墙系统，目前在我国电信、电子、教育、科

22、研等单位广泛使用。它由防火墙和管理器组成。其中，防火墙由多个模块组成，包括包过滤、应用代理、NAT、VPN、防攻击等功能模块，各模块可分离、裁剪和升级，以满足不同用户的需求。在体系结构上，网络卫士采用了集中控制下的分布式客户机/服务器结构，性能好、配置灵活。采用了领先一步的SSN（安全服务器网络）技术，安全性高于其他防火墙普遍采用的DMZ（隔离区）技术。使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力，很好地解决了安全、性能及灵活性之间的协调问题。 Gauntlet防火墙的新型自适应代理技术还允许单个安全产品，如安全脆弱性扫描器、病毒安全扫描器和入侵防护传感器之间实现更加灵活的集成。

23、 5.3 5.3 防火墙的选择和使用防火墙的选择和使用44是最具代表性的硬件防火墙，属状态检测型。由于它采用了自有的实时嵌入式操作系统，因此减少了黑客利用操作系统BUG攻击的可能性。 就性能而言，Cisco PIX是同类硬件防火墙产品中最好的，对100BaseT可达线速。 但是，其优势在软件防火墙面前便不呈现不明显了。其缺陷主要有三：其一价格昂贵，其二升级困难，其三是管理烦琐复杂。5.3 5.3 防火墙的选择和使用防火墙的选择和使用45防火墙的体系结构 防火墙的主要体系结构： 双重宿主主机体系结构 屏蔽主机体系结构 屏蔽子网体系结构 其它的防火墙结构46双重宿主主机体系结构（1） 双重宿主主机

24、体系结构是围绕双重宿主主机构筑的。 双重宿主主机至少有两个网络接口，它位于内部网络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。然而实现双重宿主主机的防火墙体系结构禁止这种发送功能，完全阻止了内外网络之间的IP通信。 两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。 47防火墙双重宿主主机内部网络内部网络双重宿主主机体系结构双重宿主主机体系结构48双重宿主主机体系结构（2） 双重宿主主机的特性： 安全至关重要（唯一通道），其用户口令控制安全是关键。 必须支持很多用户的访问（中转

25、站），其性能非常重要。 缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。49屏蔽主机体系结构（1） 屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单，可能就是简单的路由器。 典型构成：包过滤路由器堡垒主机。 包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。 堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。50屏蔽主机体系结构（2） 屏蔽路由器可按如下规则之一进行配置： 允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过过滤的服务

26、）。 不允许所有来自外部主机的直接连接。 安全性更高，双重保护：实现了网络层安全（包过滤）和应用层安全（代理服务）。 缺点：过滤路由器能否正确配置是安全与否的关键。如果路由器被损害，堡垒主机将被穿过，整个网络对侵袭者是开放的。51屏蔽主机体系结构防火墙堡垒主机因特网52屏蔽子网体系结构（1） 屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。 原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。 53周边网络内部网络外部路由器堡垒主机内部路由器屏蔽

27、子网体系结构屏蔽子网体系结构54屏蔽子网体系结构（2） 周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。 周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。例: netxray等的工作原理。55屏蔽子网体系结构（3） 堡垒主机 堡垒主机位于周边网络，是整个防御体系的核心。 堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。 对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。56屏蔽子网体系结构（4） 外部路由器（访问路由器） 作用：保护周边网络和内部网络不受外部

28、网络的侵犯。 它把入站的数据包路由到堡垒主机。 防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。 内部路由器（阻塞路由器） 作用：保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。 外部路由器一般与内部路由器应用相同的规则。57其它的防火墙结构（1）OutsidePublic Access ServerPublic Access Server58其它的防火墙结构（2） 一个堡垒主机和一个非军事区示意图DMZ堡垒主机内部网外部路由器59其它的防火墙结构（3） 两个堡垒主机和两个非军事区外部DMZ外部堡垒主机内部网外部路由器内部堡垒主机内部DMZ60防火墙的

29、关键技术 包过滤技术 代理技术 状态检查技术 地址转换技术（NAT） 虚拟专网技术（VPN） 内容检查技术：提供对高层服务协议数据的监控能力。包括计算机病毒、恶意的Java Applet或ActiveX控件的攻击、恶意的电子邮件及不健康网页内容等的过滤防护。61防火墙的安全标准（1） 防火墙技术发展很快，但是现在标准尚不健全，导致不同的防火墙产品兼容性差，给不同厂商的防火墙产品的互联带来了困难。 为了解决这个问题目前已提出了2个标准： 1、RSA数据安全公司与一些防火墙的生产厂商（如Checkpoint公司、TIS公司等）以及一些TCP/IP协议开发商（如FTP公司等）提出了SecureWAN

30、（SWAN）标准，它能使在IP层上由支持数据加密技术的不同厂家生产的防火墙和TCPIP协议具有互操作性，从而解决了建立虚拟专用网（VPN）的一个主要障碍。62防火墙的安全标准（2） 此标准包含两个部分： 防火墙中采用的信息加密技术一致，即加密算法、安全协议一致，使得遵循此标准生产的防火墙产品能够实现无缝互联，但又不失去加密功能； 安全控制策略的规范性、逻辑上的正确合理性，避免了各大防火墙厂商推出的防火墙产品由于安全策略上的漏洞而对整个内部保护网络产生危害。63防火墙的安全标准（3） 2、美国国家计算机安全协会NCSA （National Computer Security Associatio

31、n）成立的防火墙开发商FWPD （Firewall Product Developer）联盟制订的防火墙测试标准。 3、我国质量技术监督局1999.11.11发布，2000.5.1开始实施： 包过滤防火墙安全技术要求 应用级防火墙安全技术要求 网络代理服务器的安全技术要求64防火墙技术的回顾与展望 防火墙技术与产品回顾 第四代防火墙的主要技术与功能 防火墙发展现状 防火墙技术展望65防火墙技术与产品发展回顾 防火墙产品目前已形成一个产业，年增长率达173。 五大基本功能： 过滤进、出网络的数据; 管理进、出网络的访问行为； 封堵某些禁止的业务； 记录通过防火墙的信息内容和活动； 对网络攻击检测

32、和告警。66防火墙产品发展的四个阶段 基于路由器的防火墙 用户化的防火墙工具套件 建立在通用操作系统上的防火墙 具有安全操作系统的防火墙67第一代：基于路由器的防火墙 称为包过滤防火墙 特征： 以访问控制表方式实现分组过滤 过滤的依据是IP地址、端口号和其它网络特征 只有分组过滤功能，且防火墙与路由器一体68第一代：基于路由器的防火墙(二) 缺点： 路由协议本身具有安全漏洞 路由器上的分组过滤规则的设置和配置复杂 攻击者可假冒地址 本质缺陷：一对矛盾，防火墙的设置会大大降低路由器的性能。 路由器：为网络访问提供动态灵活的路由 防火墙：对访问行为实施静态固定的控制69包过滤型防火墙包过滤型防火墙

33、 70第二代:用户化的防火墙工具套件 特征： 将过滤功能从路由器中独立出来，并加上审计和告警功能； 针对用户需求提供模块化的软件包； 安全性提高，价格降低； 纯软件产品，实现维护复杂。 缺点： 配置和维护过程复杂费时； 对用户技术要求高； 全软件实现，安全性和处理速度均有局限；71InternetInternet客户通过代理服务访问客户通过代理服务访问内部网主机内部网主机72第三代：建立在通用操作系统上的防火墙 是近年来在市场上广泛可用的一代产品。 特征 包括分组过滤或借用路由器的分组过滤功能； 装有专用的代理系统，监控所有协议的数据和指令； 保护用户编程空间和用户可配置内核参数的设置； 安全

34、性和速度大为提高。73 实现方式：软件、硬件、软硬结合。 问题： 作为基础的操作系统及其内核的安全性无从保证。 通用操作系统厂商不会对防火墙的安全性负责； 从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统漏洞的攻击。 用户必须依赖两方面的安全支持：防火墙厂商和操作系统厂商。 上述问题在基于Windows NT开发的防火墙产品中表现得十分明显。74第四代：具有安全操作系统的防火墙 1997年初，此类产品面市。 安全性有质的提高。 获得安全操作系统的方法： 通过许可证方式获得操作系统的源码； 通过固化操作系统内核来提高可靠性。75 特点： 防火墙厂商具有操作系统的源代码，并

35、可实现安全内核； 对安全内核实现加固处理：即去掉不必要的系统特性，强化安全保护； 对每个服务器、子系统都作了安全处理； 在功能上包括了分组过滤、代理服务，且具有加密与鉴别功能； 透明性好，易于使用。76 第四代防火墙的主要技术与功能： 灵活的代理系统：两种代理机制，一种用于从内部网到外部网的连接，另一种用于此外部网到内部网的连接； 双端口或三端口结构； 网络地址转换技术（NAT） 虚拟专网技术（VPN）77 安全服务器网络（SSN）：对外服务器既是内部网的一部分，又与内部网完全隔离。第四代防火墙采用分别保护的策略对向外提供服务的网络提供保护，它利用一张网卡将对外服务器作为一个独立网络处理。 用

36、户鉴别与加密 用户定制服务 审计和告警78防火墙发展现状 防火墙是网络安全工具中最早成熟、最早产品化的。 防火墙产品是当前网络安全产品线中最为琳琅满目的一种。 The 1999 Information Security Industry Survey 统计对象：745个公司79表表 1:1:产品购买趋势产品购买趋势 Top 10* security products by % of respondents using each.1999 (% )1998 (% )1. Firewalls (82% )1. Virus Protection* (91% )2. Access Controls (

37、77% )2. Backup Storage (90% )3. Client/Server Security (73% )3. Access Controls (85% )4. LAN/W AN Security (67% )4. Physical Security (80% )5. W eb Security (59% )5. Firewalls (74% )6. Disaster Recovery (57% )6. Client/Server Security (73% )6. (tie) Network/Comm unications Security (57% )7. LAN/W AN

38、 Security (67% )8. E-Mail Security (56% )8. Disaster Recovery (61% )9. Encryption (50% )9. E-Mail Security (61% )10. Mainfram e Security (44% )10. Internet/Intranet/W eb Security (60% )* Som e product areas were com bined or elim inated in 1999, so category options were not identical from 1998to 199

39、9. 1998 statistics are from the 1998 Industry Survey.* Virus Protection was categorized under Malicious Code Protection in 1999, which is why only 38% ofrespondents said they have it in place. Statistically, virus protection likely rem ains place in m ore than 90% oforganizations.805.4 分布式防火墙技术分布式防火

40、墙技术 5.4.1 分布式防火墙的产生分布式防火墙的产生 5.4.2 传统边界式防火墙的固有欠缺传统边界式防火墙的固有欠缺 5.4.3 分布式防火墙的主要特点分布式防火墙的主要特点 5.4.4 分布式防火墙的主要优势分布式防火墙的主要优势 5.4.5 分布式防火墙的基本原理分布式防火墙的基本原理 5.4.6 分布式防火墙的主要功能分布式防火墙的主要功能 81 传统意义上的边界防火墙用于限制被保护企业内部网络与外部网络（通常是互联网）之间相互进行信息存取、传递操作。 分布式防火墙是一种主机驻留式的安全系统，用以保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。 分布式防火墙把Int

41、ernet和内部网络均视为“不友好的”。 分布式防火墙克服了操作系统所具有的已知及未知的安全漏洞，如DoS(拒绝服务)、应用及口令攻击。从而使操作系统得到强化。分布式防火墙对每个服务器都能进行专门的保护。 5.4 5.4 分布式防火墙技术分布式防火墙技术82 5.4 5.4 分布式防火墙技术分布式防火墙技术835.4 分布式防火墙技术分布式防火墙技术5.4.3 分布式防火墙的主要特点分布式防火墙的主要特点845.4.4 分布式防火墙的主要优势分布式防火墙的主要优势 5.4 5.4 分布式防火墙技术分布式防火墙技术85 5.4.5 分布式防火墙的基本原理分布式防火墙的基本原理首先由制定防火墙接入

42、控制策略的中心通过 编译器将策略语言诉描述转换成内部格式，形成策略文件；然后中心采用系统管理工具把策略文件分发给各台“内部”主机；“内部”主机将从两方面来判定是否接受收到的包，一是根据IP安全协议，二是根据服务器端的策略文件。5.4 5.4 分布式防火墙技术分布式防火墙技术865.4.6 分布式防火墙的主要功能分布式防火墙的主要功能 黑客攻击的防御黑客攻击的防御日志管理日志管理系统工具系统工具5.4 5.4 分布式防火墙技术分布式防火墙技术8788Thanks！89计算机病毒及其防治计算机病毒及其防治90 6.1 计算机病毒的概念计算机病毒的概念 6.2 计算机病毒的分析计算机病毒的分析 6.

43、3 计算机病毒的防范计算机病毒的防范 6.4 网络病毒的防治网络病毒的防治 6.5 常用的防杀毒软件常用的防杀毒软件916.1 计算机病毒的概念计算机病毒的概念 6.1.1 计算机病毒的产生 6.1.2 计算机病毒的特征 6.1.3 计算机病毒的分类 92编制或者在计算机程度中编制或者在计算机程度中插入的破坏计算机功能或者破坏数据，插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。组计算机指令或者程序代码。 中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例 93 6.1.1 计算机病毒

44、的产生 计算机病毒存在的理论依据来自于冯诺依曼结构计算机病毒存在的理论依据来自于冯诺依曼结构及信息共享及信息共享 计算机病毒产生的来源多种多样计算机病毒产生的来源多种多样 归根结底，计算机病毒来源于计算机系统本身所归根结底，计算机病毒来源于计算机系统本身所具有的动态修改和自我复制的能力具有的动态修改和自我复制的能力 94 6.1.2 计算机病毒的特征 破坏性大破坏性大 感染性强感染性强 传播性强传播性强 隐藏性好隐藏性好 可激活性可激活性 有针对性有针对性 非授权性非授权性 难于控制难于控制 不可预见性不可预见性95 6.1.3 计算机病毒的分类 按攻击的对象分类按攻击的对象分类 按攻击的操作

45、系统分类按攻击的操作系统分类 按表现性质分类按表现性质分类96 6.1.3 计算机病毒的分类 按寄生的方式分类按寄生的方式分类 可以分为覆盖式寄生病毒、代替式寄生病毒、链接式寄生可以分为覆盖式寄生病毒、代替式寄生病毒、链接式寄生病毒、填充式寄生病毒和转储式寄生病毒病毒、填充式寄生病毒和转储式寄生病毒5 5 按感染的方式分类按感染的方式分类 可以分为引导扇区病毒、文件感染病毒、综合型感染病毒可以分为引导扇区病毒、文件感染病毒、综合型感染病毒3 3种种 按侵入途径分类按侵入途径分类 可以分为源码病毒、操作系统病毒、入侵病毒和外壳病毒可以分为源码病毒、操作系统病毒、入侵病毒和外壳病毒4 4种种976

46、.2 计算机病毒的分析计算机病毒的分析 6.2.1 计算机病毒的传播途径 6.2.2 计算机病毒的破坏行为 6.2.3 常见计算机病毒的发作症状 98 6.2.1 计算机病毒的传播途径常见的计算机病毒的传播途径有以下常见的计算机病毒的传播途径有以下4 4种：种： 通过不可移动的计算机硬件设备进行传播通过不可移动的计算机硬件设备进行传播 通过移动存储设备来传播通过移动存储设备来传播 通过计算机网络进行传播通过计算机网络进行传播 通过点对点通信系统和无线通道传播通过点对点通信系统和无线通道传播99 6.2.2 计算机病毒的破坏行为攻击系统数据区攻击系统数据区攻击文件攻击文件 攻击内存攻击内存干扰系

47、统运行干扰系统运行速度下降速度下降攻击磁盘攻击磁盘扰乱屏幕显示扰乱屏幕显示键盘键盘喇叭喇叭攻击攻击CMOSCMOS干扰打印机干扰打印机100 6.2.3 常见计算机病毒的发作症状 电脑运行比平常迟钝电脑运行比平常迟钝 程序载入时间比平常久程序载入时间比平常久 对一个简单的工作，磁盘似乎花了比预期长的时间对一个简单的工作，磁盘似乎花了比预期长的时间 不寻常的错误信息出现不寻常的错误信息出现 硬盘的指示灯无缘无故的亮了硬盘的指示灯无缘无故的亮了 系统内存容量忽然大量减少系统内存容量忽然大量减少 磁盘可利用的空间突然减少磁盘可利用的空间突然减少 可执行程序的大小改变了可执行程序的大小改变了 坏轨增加

48、坏轨增加 程序同时存取多部磁盘程序同时存取多部磁盘 内存内增加来路不明的常驻程序内存内增加来路不明的常驻程序 文件奇怪的消失文件奇怪的消失 文件的内容被加上一些奇怪的资料文件的内容被加上一些奇怪的资料 文件名称、扩展名、日期、属性被更改过文件名称、扩展名、日期、属性被更改过1016.3 计算机病毒的防范计算机病毒的防范 6.3.1 提高计算机病毒的防范意识 6.3.2 加强计算机病毒的防范管理 6.3.3 规范计算机的使用方法 6.3.4 清除计算机病毒的原则 102 6.3.1 提高计算机病毒的防范意识 6.3.2 加强计算机病毒的防范管理尊重知识产权尊重知识产权采取必要的病毒检测、监控措施

49、，制定完善的管理规采取必要的病毒检测、监控措施，制定完善的管理规则则建立计算机系统使用登记制度建立计算机系统使用登记制度, , 及时追查、清除病毒及时追查、清除病毒加强教育和宣传工作加强教育和宣传工作建立有效的计算机病毒防护体系建立有效的计算机病毒防护体系建立、完善各种法律制度，保障计算机系统的安全性建立、完善各种法律制度，保障计算机系统的安全性103 6.3.3 规范计算机的使用方法 新购置的计算机的安全使用方法新购置的计算机的安全使用方法 计算机启动的安全使用方法计算机启动的安全使用方法 防止或减少数据丢失的方法防止或减少数据丢失的方法 网络管理员需要注意的问题网络管理员需要注意的问题10

50、4 6.3.4 清除计算机病毒的原则在清除计算机病毒前后，一般应遵循的在清除计算机病毒前后，一般应遵循的3 3条原则条原则在发现计算机病毒后，一般应遵循的在发现计算机病毒后，一般应遵循的5 5条杀毒原则条杀毒原则在清除病毒的过程中，一般应遵循的在清除病毒的过程中，一般应遵循的7 7条原则条原则1056.4 网络病毒的防治网络病毒的防治 6.4.1 计算机病毒的发展趋势 6.4.2 网络病毒的特征 6.4.3 黑客的行为特征 6.4.4 基于网络安全体系的防毒管理措施 6.4.5基于工作站与服务器的防毒技术 6.4.6 网络病毒清除方法 106 6.4.1 计算机病毒的发展趋势 网络成为计算机病

51、毒传播的主要载体网络成为计算机病毒传播的主要载体 网络蠕虫成为最主要和破坏力最大的病毒类型网络蠕虫成为最主要和破坏力最大的病毒类型 恶意网页成为破坏的新类型恶意网页成为破坏的新类型 出现带有明显病毒特征的木马或木马特征的病毒出现带有明显病毒特征的木马或木马特征的病毒107 6.4.1 计算机病毒的发展趋势 技术的遗传与结合技术的遗传与结合 传播方式多样化传播方式多样化 跨操作系统的病毒跨操作系统的病毒 出现手机病毒、信息家电病毒出现手机病毒、信息家电病毒108 6.4.2 网络病毒的特征 传染方式多传染方式多 传染速度快传染速度快 清除难度大清除难度大 破坏性更强破坏性更强109特洛伊木马什么

52、是特洛伊木马：特洛伊木马是一个程序，它驻留在目标计算机里。在目标计算机系统启动时候特洛伊木马自动启动。然后在某一端口进行侦听。如果在该端口收到数据，对这些数据进行识别，然后按识别后的命令，在目标计算机上执行一些操作。比如窃取口令，拷贝或删除文件或重新启动计算机。 攻击者一般在入侵某个系统后，想办法将特洛伊拷贝到目标计算机中，并设法运行这个程序，从而留下后门，以后，通过运行该特洛伊的客户端程序，对远程计算机进行操作。因此木马应该符合三个条件： 1、木马需要一种启动方式，一般在注册表启动项中 2、木马需要在内存中才能发挥作用。 3、木马会占用一个端口，以便黑客从这个端口和木马进行联系。110木马的

53、特点木马的特点具有隐蔽性、顽固性、潜伏性木马的隐蔽性主要表现在：木马的启动方式、木马在硬盘上存储的位置、木马的文件名、木马的文件属性、木马的图标、木马的使用端口、木马运行时的隐蔽、木马在内存的隐蔽。 木马一旦被发现在电脑中，用户很难删除。 高级的木马具有潜伏的能力，表面上的木马被发现删除后，后备的木马在一定的条件下会跳出来。1116.4.3黑客的行为特征1、恶作剧者2、隐蔽攻击者3、定时炸弹4、矛盾制造者5、职业杀手6、窃密高手7、业余爱好者112 6.4.3 基于网络安全体系的防毒管理措施 有以下几点加以注意：有以下几点加以注意： 尽量多用无盘工作站尽量多用无盘工作站尽量少用有盘工作站尽量少

54、用有盘工作站尽量少用超级用户登录尽量少用超级用户登录严格控制用户的网络使用权限严格控制用户的网络使用权限2 2个不允许个不允许对某些频繁使用或非常重要的文件属性加以对某些频繁使用或非常重要的文件属性加以控制，以免被病毒传染控制，以免被病毒传染对远程工作站的登录权限严格限制对远程工作站的登录权限严格限制113 6.4.4 基于工作站与服务器的防毒技术基于工作站的基于工作站的DOSDOS防毒技术防毒技术工作站防毒主要有以下几种方法：工作站防毒主要有以下几种方法： 使用防毒杀毒软件使用防毒杀毒软件 安装防毒卡安装防毒卡 安装防毒芯片安装防毒芯片114 6.4.4 基于工作站与服务器的防毒技术基于服务

55、器的基于服务器的NLMNLM防毒技术防毒技术 基于服务器的基于服务器的NLMNLM防毒技术一般具备以下功能：防毒技术一般具备以下功能： 实时在线扫描实时在线扫描 服务器扫描服务器扫描 工作站扫描工作站扫描115 6.4.5 网络病毒清除方法立即使用立即使用BROADCASTBROADCAST命令，通知所有用户退网，关闭文件服务器。命令，通知所有用户退网，关闭文件服务器。用带有写保护的、用带有写保护的、“干净干净”的系统盘启动系统管理员工作站，并的系统盘启动系统管理员工作站，并立即清除本机病毒。立即清除本机病毒。用带有写保护的、用带有写保护的、“干净干净”的系统盘启动文件服务器，系统管理的系统盘

56、启动文件服务器，系统管理员登录后，使用员登录后，使用DISABLE LOGINDISABLE LOGIN命令禁止其他用户登录。命令禁止其他用户登录。将文件服务器的硬盘中的重要资料备份到将文件服务器的硬盘中的重要资料备份到“干净的干净的”软盘上。软盘上。用杀毒软件扫描服务器上所有卷的文件，恢复或删除发现被病毒用杀毒软件扫描服务器上所有卷的文件，恢复或删除发现被病毒感染的文件，重新安装被删文件。感染的文件，重新安装被删文件。用杀毒软件扫描并清除所有可能染上病毒的软盘或备份文件中的用杀毒软件扫描并清除所有可能染上病毒的软盘或备份文件中的病毒。病毒。用杀毒软件扫描并清除所有的有盘工作站硬盘上的病毒。用

57、杀毒软件扫描并清除所有的有盘工作站硬盘上的病毒。在确信病毒已经彻底清除后，重新启动网络和工作站。在确信病毒已经彻底清除后，重新启动网络和工作站。1166.5 常用的防杀毒软件常用的防杀毒软件 6.5.1 国际著名防杀毒软件 6.5.2 国内防杀毒软件 6.5.3 国内外防杀毒软件的比较 6.5.4 企业级的防病毒工作 6.5.5 权威病毒认证机构及其法规、标准 117表表6.1 常用防杀毒软件对照表常用防杀毒软件对照表防杀毒软件防杀毒软件 网网 址址 卡巴斯基Kaspersky McAfee产品系列 诺顿Norton 江民 金山毒霸 瑞星 趋势 118 6.5.1 国际著名防杀毒软件卡巴斯基卡

58、巴斯基KasperskyKaspersky McAfeeMcAfee公司产品公司产品诺顿诺顿NortonNorton 6.5.2 国内防杀毒软件江民江民 金山毒霸金山毒霸 瑞星瑞星 趋势趋势119 6.5.3 国内外防杀毒软件的比较国内外防杀毒软件总体上的差别有以下两点：国内外防杀毒软件总体上的差别有以下两点： 国外的防杀毒软件厂商主要集中在高端的信国外的防杀毒软件厂商主要集中在高端的信息安全领域，而较底端的单机版才是国内厂商息安全领域，而较底端的单机版才是国内厂商聚集的场所聚集的场所 国外的防杀毒软件具有强大的病毒前摄防御国外的防杀毒软件具有强大的病毒前摄防御功能，而国内的防杀毒软件能够查杀

59、到的病毒功能，而国内的防杀毒软件能够查杀到的病毒数量相对来讲更多，查杀的速度相对也更快数量相对来讲更多，查杀的速度相对也更快 120 6.5.4 企业级的防病毒工作 建立企业多层次的病毒防护体系建立企业多层次的病毒防护体系 这里的多层次病毒防护体系是指在企业的每个台式这里的多层次病毒防护体系是指在企业的每个台式机上安装台式机的反病毒软件，在服务器上安装基机上安装台式机的反病毒软件，在服务器上安装基于服务器的反病毒软件，在于服务器的反病毒软件，在InternetInternet网关上安装网关上安装基于基于InternetInternet网关的反病毒软件。网关的反病毒软件。 企业在防病毒体系建设方

60、面主要存在三方面的问题企业在防病毒体系建设方面主要存在三方面的问题防病毒系统建设简单化 对如何发挥个体主机自身防御能力考虑过少 对用户防病毒教育重视不够 121 6.5.4 企业级的防病毒工作 建立企业多层次的病毒防护体系建立企业多层次的病毒防护体系 有效的防病毒方法应从以下五方面着手有效的防病毒方法应从以下五方面着手依据最小服务化原则，进行标准化配置，减小攻击面依据最小服务化原则，进行标准化配置，减小攻击面 建立补丁自动分发机制，及时进行漏洞修补，保证应建立补丁自动分发机制，及时进行漏洞修补，保证应用安全更新用安全更新 启用基于主机的防火墙，完善信息隔离机制启用基于主机的防火墙，完善信息隔离

61、机制 选择合适的防病毒系统，全面部署防病毒软件选择合适的防病毒系统，全面部署防病毒软件 强化安全教育，增强用户自我防护意识强化安全教育，增强用户自我防护意识 1226.5.4 企业级的防病毒工作防病毒体系建设的注意问题防病毒体系建设的注意问题绝不能出现安装防病毒系统造成业务中断的情况绝不能出现安装防病毒系统造成业务中断的情况 要确保有人监控防病毒系统的运转情况要确保有人监控防病毒系统的运转情况 企业级防病毒软件产品的选择企业级防病毒软件产品的选择防病毒引擎的工作效率防病毒引擎的工作效率系统的易管理性系统的易管理性 对病毒的防护能力对病毒的防护能力(特别是病毒码的更新能力特别是病毒码的更新能力)

62、123 6.5.5 权威病毒认证机构及其法规、标准表表6.2 6.2 国内外权威病毒认证机构网址对照表国内外权威病毒认证机构网址对照表 国内外权威病毒认证机构国内外权威病毒认证机构网网 址址 我国公安部www.antivirus-C 国际计算机安全协会ICSA 英国著名杂志Virus Bulletin（病毒公报） 英国权威电脑安全杂志美国西海岸数据安全软件测试中心www.westcoastlabs.org124 6.5.5 权威病毒认证机构及其法规、标准 我国的法律法规我国的法律法规 中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例 新新刑刑 法法 计算机病毒防

63、治管理办法计算机病毒防治管理办法 计算机病毒防治产品评级准则计算机病毒防治产品评级准则 我国的技术标准我国的技术标准 计算机信息系统安全专用产品分类原则计算机信息系统安全专用产品分类原则 计算机病毒防治产品评级准则计算机病毒防治产品评级准则 125 6.5.5 权威病毒认证机构及其法规、标准 国际权威病毒认证机构国际权威病毒认证机构 国际计算机安全协会国际计算机安全协会ICSA 英国著名杂志英国著名杂志Virus Bulletin 其他国际权威病毒认证机构其他国际权威病毒认证机构 ，如英国的权威电脑安全杂志，如英国的权威电脑安全杂志Secure Computing颁发的颁发的Check Mar

64、k认证，以及国际著名认证，以及国际著名的独立的数据安全产品测试机构的独立的数据安全产品测试机构美国西海岸数据安全软美国西海岸数据安全软件测试中心件测试中心 West Coast Labs认证等认证等 各计算机防病毒产品所获的认证情况各计算机防病毒产品所获的认证情况 126计算机犯罪的概念与特点计算机犯罪是指针对和利用计算机系统，通过非法操作或者以其他手段对计算机系统的完整性或正常运行造成危害后果的行为。 计算机犯罪的犯罪对象是计算机系统内部的数据，所谓数据包括计算机程序、文本资料、运算数据、图形表格等在计算机内部的信息。 计算机犯罪在法律上的特征是： 计算机犯罪具有社会危害性 计算机犯罪具有非

65、法性 计算机犯罪具有广泛性 计算机犯罪具有明确性127计算机犯罪分子的类型 爱开玩笑的人 危险的黑客 个人问题的解决者 职业犯罪分子 极端主义者计算机犯罪的一般方法 金融领域的盗窃 散布虚假广告诈骗钱财 陷害同事或骚扰无辜 窃取政治、军事、商业秘密128著作权的侵权黄色软件的传播病毒的危害计算机犯罪的防范对策反攻击技术、加密技术、防火墙技术、研制开发信息安全保护产品、研制防病毒预警产品、加强机构之间的技术合作 129130本章小结本章小结 计算机病毒的概念 计算机病毒存在的理论依据 计算机病毒的主要特征、分类方法 、传播途径 计算机病毒的防范 网络病毒的清除方法 国内外防杀毒软件 建立企业多层次的病毒防护体系 国内外的权威病毒认证机构及其法规、标准 131Thanks!个人观点供参考，欢迎讨论