防火墻的構(gòu)造與選擇5.1防火墻概述5.2防火墻的原理5.3防火墻的選擇和使用5.4分布式防火墻技術(shù)5.1防火墻概述5.1.1防火墻的概念5.1.2防火墻設(shè)計(jì)的基本原則

防火墻是什么在一個(gè)受保護(hù)的內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)間,用來強(qiáng)制執(zhí)行企業(yè)安全策略的一個(gè)或一組系統(tǒng).防火墻主要用于保護(hù)內(nèi)部安全網(wǎng)絡(luò)免受外部網(wǎng)不安全網(wǎng)絡(luò)的侵害。典型情況：安全網(wǎng)絡(luò)為企業(yè)內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)為因特網(wǎng)。但防火墻不只用于因特網(wǎng)，也可用于Intranet各部門網(wǎng)絡(luò)之間（內(nèi)部防火墻）。例：財(cái)務(wù)部與市場(chǎng)部之間。防火墻概念（1）最初含義：當(dāng)房屋還處于木制結(jié)構(gòu)的時(shí)侯，人們將石塊堆砌在房屋周圍用來防止火災(zāi)的發(fā)生。這種墻被稱之為防火墻。RichKosinski(InternetSecurity公司總裁）： 防火墻是一種訪問控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問。換句話說，防火墻是一道門檻，控制進(jìn)/出兩個(gè)方向的通信。防火墻概念（3）簡(jiǎn)單的說，網(wǎng)絡(luò)安全的第一道防線

防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪問以達(dá)到保護(hù)系統(tǒng)安全的目的。防火墻的概念（4）在邏輯上，防火墻是分離器，限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和外部網(wǎng)之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。在物理上，防火墻通常是一組硬件設(shè)備——路由器、主計(jì)算機(jī)，或者是路由器、計(jì)算機(jī)和配有軟件的網(wǎng)絡(luò)的組合。防火墻一般可分為多個(gè)部分，某些部分除了執(zhí)行防火墻功能外還執(zhí)行其它功能。如：加密和解密——VPN。防火墻概念（5）防火墻的實(shí)質(zhì)是一對(duì)矛盾（或稱機(jī)制)：

限制數(shù)據(jù)流通允許數(shù)據(jù)流通兩種極端的表現(xiàn)形式：除了非允許不可的都被禁止，安全但不好用。（限制政策）除了非禁止不可的都被允許，好用但不安全。（寬松政策）多數(shù)防火墻都在兩種之間采取折衷。

5.1防火墻概述5.1.2防火墻的主要功能

(1)防火墻是保護(hù)內(nèi)部網(wǎng)安全的屏障，它限制人們進(jìn)入一個(gè)被嚴(yán)格控制的站點(diǎn)。(2)可對(duì)可疑操作進(jìn)行審計(jì)跟蹤，它防止進(jìn)攻者更接近其他的防御設(shè)備。(3)防止內(nèi)部網(wǎng)信息泄漏，它限制人們離開一個(gè)被嚴(yán)格控制的站點(diǎn)。防火墻的局限性

(1)防火墻無法防范內(nèi)部用戶的攻擊（2）防火墻無法防范不通過它的連接（3）限制了有用的網(wǎng)絡(luò)訪問（4）防火墻很難防范病毒（5）防火墻不能防備新的網(wǎng)絡(luò)安全問題（6）防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊

防火墻的基本功能模塊應(yīng)用程序代理包過濾&狀態(tài)檢測(cè)用戶認(rèn)證NATVPN日志IDS與報(bào)警內(nèi)容過濾Internet防火墻的作用Internet防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)”來防止非法用戶，如黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。Internet防火墻能夠簡(jiǎn)化安全管理，網(wǎng)絡(luò)安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。應(yīng)該注意的是：對(duì)一個(gè)內(nèi)部網(wǎng)絡(luò)已經(jīng)連接到Internet上的機(jī)構(gòu)來說，重要的問題并不是網(wǎng)絡(luò)是否會(huì)受到攻擊，而是何時(shí)會(huì)受到攻擊。網(wǎng)絡(luò)管理員必須審計(jì)并記錄所有通過防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會(huì)知道防火墻是否受到攻擊?；ヂ?lián)網(wǎng)非法獲取內(nèi)部數(shù)據(jù)防火墻的作用示意圖防火墻的主要功能防火墻的功能過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)出網(wǎng)絡(luò)的訪問行為封堵某些禁止的業(yè)務(wù)記錄進(jìn)出網(wǎng)絡(luò)的信息和活動(dòng)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警5.1.2防火墻的相關(guān)定義1、防火墻：限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間相互進(jìn)行信息存取、傳遞操作的部件或部件集。2、主機(jī)：與網(wǎng)絡(luò)系統(tǒng)相連的計(jì)算機(jī)系統(tǒng)3、保壘主機(jī)：是指一個(gè)計(jì)算機(jī)系統(tǒng)，它對(duì)外部網(wǎng)絡(luò)（互聯(lián)網(wǎng)絡(luò)）暴露，同時(shí)又是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點(diǎn)，所以非常容易被侵入，因此這個(gè)系統(tǒng)需要嚴(yán)加保護(hù)。4、雙宿主主機(jī)：具有至少兩個(gè)網(wǎng)絡(luò)接口的通用計(jì)算機(jī)系統(tǒng)5、包：在互聯(lián)網(wǎng)絡(luò)上進(jìn)行通信時(shí)的基本信息單位6、路由：為轉(zhuǎn)為的包分組選擇正確的接口和下一個(gè)路徑片段的過程。5.2防火墻的原理

5.2.1防火墻設(shè)計(jì)的基本準(zhǔn)則5.2.2防火墻的組成5.2.3防火墻不能對(duì)付的安全威脅5.2.4防火墻的分類5.2.1防火墻設(shè)計(jì)的基本準(zhǔn)則一切未被允許的就是禁止的。

如果防火墻采取第一個(gè)準(zhǔn)則，那么需要確定所有可以被提供的服務(wù)以及它們的安全性，然后，開放這些服務(wù)，并將所有其他未被列入的服務(wù)排除在外，禁止訪問。優(yōu)點(diǎn)是可以造成一種十分安全的環(huán)境，其缺點(diǎn)在于用戶所能使用的服務(wù)范圍受到很大限制。一切未被禁止的就是允許的。 如果防火墻采取第二個(gè)準(zhǔn)則，需要確定那些被認(rèn)為是不安全的服務(wù)，禁止其訪問；而其他服務(wù)則被認(rèn)為是安全的，允許訪問。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境，可以為用戶提供更多的服務(wù)，其缺點(diǎn)在于很難提供可靠的安全防護(hù)。

5.2防火墻的原理5.2.2防火墻的組成

5.2防火墻的原理E-mail處理域名服務(wù)網(wǎng)關(guān)代理認(rèn)證SOCKS過濾器因特網(wǎng)Internet內(nèi)部網(wǎng)Intranet安全操作系統(tǒng)E-mail域名詢問高級(jí)協(xié)議訪問IP級(jí)數(shù)據(jù)

防火墻主要包括五部分:安全操作系統(tǒng)、過濾器、網(wǎng)關(guān)、域名服務(wù)和E-mail處理。

5.2防火墻的原理3網(wǎng)關(guān)應(yīng)用網(wǎng)關(guān)(ApplicationGateway)可以在TCP/IP應(yīng)用級(jí)上控制信息流和認(rèn)證用戶。應(yīng)用網(wǎng)關(guān)的功能常常由代理服務(wù)器提供。在專用網(wǎng)中的一個(gè)用戶聯(lián)機(jī)到一個(gè)代理服務(wù)器，代理服務(wù)器對(duì)用戶認(rèn)證，而后使用戶和Internet中遠(yuǎn)端服務(wù)器聯(lián)機(jī)。

SOCKS（套接層）服務(wù)器也對(duì)通過防火墻提供網(wǎng)關(guān)支持，代理服務(wù)器和SOCKS服務(wù)器之間的主要差別是前者要求改變用戶接入Internet服務(wù)器的方式，但不需要修正客戶機(jī)的軟件；而后者則相反。4域名服務(wù)和函件處理 防火墻還可能包括有域名服務(wù)和函件處理。域名服務(wù)使專用網(wǎng)的域名與Internet相隔離，專用網(wǎng)中主機(jī)的內(nèi)部IP地址不至于暴露給Internet中的用戶。函件處理能力保證專用網(wǎng)中用戶和Internet用戶之間的任何函件交換都必須經(jīng)過防火墻處理。5.2防火墻的原理5.2.3防火墻不能對(duì)付的安全威脅1防火墻不能防范來自內(nèi)部的攻擊2防火墻不能防范不經(jīng)由防火墻的攻擊3防火墻不能防止受到病毒感染的軟件或文件的傳輸4防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊

5.2防火墻的原理

5.2.4防火墻的分類1包過濾型防火墻是最簡(jiǎn)單的防火墻。它的處理對(duì)象IP包,其功能是處理通過網(wǎng)絡(luò)的IP包的信息,實(shí)現(xiàn)進(jìn)出網(wǎng)絡(luò)的安全控制。應(yīng)用數(shù)據(jù)包過濾（packetfiltering）技術(shù)在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，只有通過檢查的IP包才能正常轉(zhuǎn)發(fā)出去。其選擇的依據(jù)是訪問控制表ACL（AccessControlList），通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，或通過檢查它們的組合來決定是否允許該數(shù)據(jù)包通過。實(shí)現(xiàn)原理如圖所示。包過濾防火墻包過濾防火墻對(duì)所接收的每個(gè)數(shù)據(jù)包做允許拒絕的決定。防火墻審查每個(gè)數(shù)據(jù)報(bào)以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于可以提供給IP轉(zhuǎn)發(fā)過程的包頭信息。包頭信息中包括IP源地址、IP目標(biāo)端地址、內(nèi)裝協(xié)（TCP、UDP、ICMP、或IPTunnel）、TCP/UDP目標(biāo)端口、ICMP消息類型、TCP包頭中的ACK位包的進(jìn)入接口和出接口如果有匹配并且規(guī)則允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)按照路由表中的信息被轉(zhuǎn)發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)被丟棄。如果沒有匹配規(guī)則，用戶配置的缺省參數(shù)會(huì)決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。包過濾防火墻包過濾防火墻使得防火墻能夠根據(jù)特定的服務(wù)允許或拒絕流動(dòng)的數(shù)據(jù)，因?yàn)槎鄶?shù)的服務(wù)收聽者都在已知的TCP/UDP端口號(hào)上。例如，Telnet服務(wù)器在TCP的23號(hào)端口上監(jiān)聽遠(yuǎn)地連接，而SMTP服務(wù)器在TCP的25號(hào)端口上監(jiān)聽人連接。為了阻塞所有進(jìn)入的Telnet連接，防火墻只需簡(jiǎn)單的丟棄所有TCP端口號(hào)等于23的數(shù)據(jù)包。為了將進(jìn)來的Telnet連接限制到內(nèi)部的數(shù)臺(tái)機(jī)器上，防火墻必須拒絕所有TCP端口號(hào)等于23并且目標(biāo)IP地址不等于允許主機(jī)的IP地址的數(shù)據(jù)包。包過濾檢查內(nèi)容數(shù)據(jù)包過濾一般要檢查網(wǎng)絡(luò)層的IP頭和傳輸層的頭：IP源地址IP目標(biāo)地址協(xié)議類型（TCP包、UDP包和ICMP包）TCP或UDP包的目的端口TCP或UDP包的源端口ICMP消息類型TCP包頭的ACK位TCP包的序列號(hào)、IP校驗(yàn)和等

5.2防火墻的原理包過濾型防火墻的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：邏輯簡(jiǎn)單，價(jià)格便宜，易于安裝和使用網(wǎng)絡(luò)性能和透明性好。缺點(diǎn)：數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部，易被竊聽或假冒，形成各種安全漏洞。大多過濾器中過濾規(guī)則的數(shù)目有限制，且隨著規(guī)則數(shù)目的增加，性能受影響。包過濾的規(guī)則可能比較復(fù)雜，且不易驗(yàn)證其正確性。由于缺少上下文關(guān)聯(lián)信息，不能有效過濾某些協(xié)議。大多不能對(duì)用戶身份進(jìn)行驗(yàn)證，很容易受到“地址欺騙型”攻擊。大多對(duì)安全管理人員素質(zhì)要求高

5.2防火墻的原理2應(yīng)用網(wǎng)關(guān)型防火墻應(yīng)用級(jí)網(wǎng)關(guān)（ApplicationLevelGateways）是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常裝在專用工作站系統(tǒng)上，其實(shí)現(xiàn)原理如圖所示。5.2防火墻的原理3代理服務(wù)型防火墻代理服務(wù)型防火墻是針對(duì)數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信線路分為兩段。

代理服務(wù)器代理客戶機(jī)器客戶機(jī)服務(wù)器請(qǐng)求轉(zhuǎn)發(fā)應(yīng)答應(yīng)答防火墻代理轉(zhuǎn)發(fā)請(qǐng)求間代理獲得客戶機(jī)和服務(wù)器之間通信的全部控制權(quán)5.2防火墻的原理代理服務(wù)型防火墻的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層，所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾那樣，只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。缺點(diǎn)：最大缺點(diǎn)就是速度相對(duì)比較慢，當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。大多是基于主機(jī)的，價(jià)格比較貴，安裝和使用比數(shù)據(jù)包過濾的防火墻復(fù)雜。5.3防火墻的選擇和使用

5.3.1防火墻的選擇原則

5.3.2防火墻產(chǎn)品的分類

5.3.3防火墻產(chǎn)品的介紹5.3.1防火墻的選擇原則網(wǎng)絡(luò)的安全性主要是指網(wǎng)絡(luò)信息的安全性和網(wǎng)絡(luò)路由的安全性。網(wǎng)絡(luò)路由的安全性保障了網(wǎng)絡(luò)信息的安全性，而網(wǎng)絡(luò)路由的安全性通?？捎煞阑饓?shí)現(xiàn)。所以選擇防火墻首先要確定網(wǎng)絡(luò)信息的保護(hù)策略，然后對(duì)防火墻進(jìn)行評(píng)價(jià)、分析，最后決定采用什么樣的防火墻。

1要考慮網(wǎng)絡(luò)結(jié)構(gòu)2要考慮到業(yè)務(wù)應(yīng)用系統(tǒng)需求3要考慮用戶及通信流量規(guī)模方面的需求4要考慮到可靠性、可用性、易用性等方面的需求5.3防火墻的選擇和使用5.3.2防火墻產(chǎn)品的分類按組成結(jié)構(gòu)而言，將防火墻產(chǎn)品分為以下三種：軟件防火墻軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。

硬件防火墻硬件防火墻是指所謂的硬件防火墻。之所以加上“所謂”二字是針對(duì)芯片級(jí)防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)。

芯片級(jí)防火墻

基于專門的硬件平臺(tái)，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。

5.3防火墻的選擇和使用

5.3.3防火墻產(chǎn)品的介紹1CheckpointFirewall-1防火墻2SonicWALL系列防火墻3NetScreen防火墻4AlkatelInternetDevices系列防火墻5北京天融信公司網(wǎng)絡(luò)衛(wèi)士防火墻6NAIGauntlet防火墻7CiscoPIX防火墻5.3防火墻的選擇和使用

CheckpointFirewall-1防火墻是一個(gè)綜合的、模塊化的安全套件，它是一個(gè)基于策略的解決方案。CPFirewall-1套件提供單一的、集中的分布式安全策略，跨越Unix、NT、路由器、交換機(jī)和其他外圍設(shè)備，提供大量的API，有100多個(gè)解決方案和OEM廠商的支持。由3個(gè)交互操作的組件構(gòu)成：控制組件、加強(qiáng)組件和可選組件。這些組件既可以運(yùn)行在單機(jī)上，也可以部署在跨平臺(tái)系統(tǒng)上。操作在操作系統(tǒng)的核心層進(jìn)行，而不是在應(yīng)用程序?qū)?，這樣可以使系統(tǒng)達(dá)到最高性能的擴(kuò)展和升級(jí)。支持基于Web的多媒體和基于UDP的應(yīng)用程序，并采用多重驗(yàn)證模板和方法。支持幾乎所有平臺(tái)，但價(jià)格偏高。5.3防火墻的選擇和使用SonicWALL系列防火墻SonicWALL系列防火墻是在NASDAQ上市的美國(guó)SONICWALL公司的著名網(wǎng)絡(luò)安全產(chǎn)品，是目前全球銷量最大的硬件防火墻和市場(chǎng)占有率最高的硬件VPN產(chǎn)品。SonicWALL采用軟硬件一體化設(shè)計(jì)，在高性能硬件平臺(tái)上，利用先進(jìn)的防火墻技術(shù)和SonicWALL專有的安全高效的實(shí)時(shí)操作系統(tǒng)。采用世界領(lǐng)先的加密算法、身份認(rèn)證技術(shù)以及網(wǎng)絡(luò)防病毒技術(shù)，是一個(gè)強(qiáng)大的，集應(yīng)用級(jí)防火墻、入侵報(bào)警、內(nèi)容過濾、VPN、網(wǎng)絡(luò)防病毒等多種安全策略為一體的，穩(wěn)定可靠的高性能網(wǎng)絡(luò)安全系統(tǒng)。具有優(yōu)秀的性價(jià)比。5.3防火墻的選擇和使用

NetScreen防火墻是NetScreen科技公司推出的一種新型的網(wǎng)絡(luò)安全硬件產(chǎn)品，具有Trusted（可信端口）、Untrusted（非信任端口）、Optional（可選端口）三個(gè)J-45網(wǎng)絡(luò)接口，配有PCMCIA插槽，支持10MB、20MB、40MB和150MB快閃存儲(chǔ)器。優(yōu)勢(shì)之一是采用了新的體系結(jié)構(gòu)，可以有效地消除傳統(tǒng)防火墻實(shí)現(xiàn)數(shù)據(jù)加盟時(shí)的性能瓶頸，能實(shí)現(xiàn)最高級(jí)別的IP安全保護(hù)。在執(zhí)行效率和帶寬處理的能力上性能優(yōu)越。

AlkatelInternetDevices系列防火墻采用獨(dú)有的ASIC設(shè)計(jì)和基于Intel的FreeBSDUnix平臺(tái)，使用簡(jiǎn)單易行，配置簡(jiǎn)單。率先提供了100MB的吞吐能力和無用戶數(shù)限制，并支持64000個(gè)并發(fā)會(huì)話，有效地消除了軟件防火墻的性能瓶頸，達(dá)到了安全和性能的統(tǒng)一。5.3防火墻的選擇和使用

北京天融信公司網(wǎng)絡(luò)衛(wèi)士防火墻是我國(guó)第一套自主版權(quán)的防火墻系統(tǒng)，目前在我國(guó)電信、電子、教育、科研等單位廣泛使用。它由防火墻和管理器組成。其中，防火墻由多個(gè)模塊組成，包括包過濾、應(yīng)用代理、NAT、VPN、防攻擊等功能模塊，各模塊可分離、裁剪和升級(jí)，以滿足不同用戶的需求。在體系結(jié)構(gòu)上，網(wǎng)絡(luò)衛(wèi)士采用了集中控制下的分布式客戶機(jī)/服務(wù)器結(jié)構(gòu)，性能好、配置靈活。采用了領(lǐng)先一步的SSN（安全服務(wù)器網(wǎng)絡(luò)）技術(shù)，安全性高于其他防火墻普遍采用的DMZ（隔離區(qū)）技術(shù)。NAIGauntlet防火墻使用完全的代理服務(wù)方式提供廣泛的協(xié)議支持以及高速的吞吐能力，很好地解決了安全、性能及靈活性之間的協(xié)調(diào)問題。Gauntlet防火墻的新型自適應(yīng)代理技術(shù)還允許單個(gè)安全產(chǎn)品，如安全脆弱性掃描器、病毒安全掃描器和入侵防護(hù)傳感器之間實(shí)現(xiàn)更加靈活的集成。5.3防火墻的選擇和使用

CiscoPIX防火墻是最具代表性的硬件防火墻，屬狀態(tài)檢測(cè)型。由于它采用了自有的實(shí)時(shí)嵌入式操作系統(tǒng)，因此減少了黑客利用操作系統(tǒng)BUG攻擊的可能性。就性能而言，CiscoPIX是同類硬件防火墻產(chǎn)品中最好的，對(duì)100BaseT可達(dá)線速。但是，其優(yōu)勢(shì)在軟件防火墻面前便不呈現(xiàn)不明顯了。其缺陷主要有三：其一價(jià)格昂貴，其二升級(jí)困難，其三是管理煩瑣復(fù)雜。5.3防火墻的選擇和使用

防火墻的體系結(jié)構(gòu)防火墻的主要體系結(jié)構(gòu)：雙重宿主主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)其它的防火墻結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)（1）雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞雙重宿主主機(jī)構(gòu)筑的。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能從一個(gè)網(wǎng)絡(luò)接收IP數(shù)據(jù)包并將之發(fā)往另一網(wǎng)絡(luò)。然而實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能，完全阻止了內(nèi)外網(wǎng)絡(luò)之間的IP通信。兩個(gè)網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享和應(yīng)用層代理服務(wù)的方法實(shí)現(xiàn)。一般情況下采用代理服務(wù)的方法。Internet防火墻雙重宿主主機(jī)內(nèi)部網(wǎng)絡(luò)……雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)（2）雙重宿主主機(jī)的特性：安全至關(guān)重要（唯一通道），其用戶口令控制安全是關(guān)鍵。必須支持很多用戶的訪問（中轉(zhuǎn)站），其性能非常重要。缺點(diǎn)：雙重宿主主機(jī)是隔開內(nèi)外網(wǎng)絡(luò)的唯一屏障，一旦它被入侵，內(nèi)部網(wǎng)絡(luò)便向入侵者敞開大門。屏蔽主機(jī)體系結(jié)構(gòu)（1）屏蔽主機(jī)體系結(jié)構(gòu)由防火墻和內(nèi)部網(wǎng)絡(luò)的堡壘主機(jī)承擔(dān)安全責(zé)任。一般這種防火墻較簡(jiǎn)單，可能就是簡(jiǎn)單的路由器。典型構(gòu)成：包過濾路由器＋堡壘主機(jī)。包過濾路由器配置在內(nèi)部網(wǎng)和外部網(wǎng)之間，保證外部系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過堡壘主機(jī)。堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，是外部網(wǎng)絡(luò)主機(jī)連接到內(nèi)部網(wǎng)絡(luò)主機(jī)的橋梁，它需要擁有高等級(jí)的安全。屏蔽主機(jī)體系結(jié)構(gòu)（2）屏蔽路由器可按如下規(guī)則之一進(jìn)行配置：允許內(nèi)部主機(jī)為了某些服務(wù)請(qǐng)求與外部網(wǎng)上的主機(jī)建立直接連接（即允許那些經(jīng)過過濾的服務(wù)）。不允許所有來自外部主機(jī)的直接連接。安全性更高，雙重保護(hù)：實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。缺點(diǎn)：過濾路由器能否正確配置是安全與否的關(guān)鍵。如果路由器被損害，堡壘主機(jī)將被穿過，整個(gè)網(wǎng)絡(luò)對(duì)侵襲者是開放的?！帘沃鳈C(jī)體系結(jié)構(gòu)因特網(wǎng)屏蔽子網(wǎng)體系結(jié)構(gòu)（1）屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣，但添加了額外的一層保護(hù)體系——周邊網(wǎng)絡(luò)。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。原因：堡壘主機(jī)是用戶網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)被侵入的影響。Internet周邊網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)……外部路由器堡壘主機(jī)內(nèi)部路由器屏蔽子網(wǎng)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)（2）周邊網(wǎng)絡(luò)是一個(gè)防護(hù)層，在其上可放置一些信息服務(wù)器，它們是犧牲主機(jī)，可能會(huì)受到攻擊，因此又被稱為非軍事區(qū)（DMZ）。周邊網(wǎng)絡(luò)的作用：即使堡壘主機(jī)被入侵者控制，它仍可消除對(duì)內(nèi)部網(wǎng)的偵聽。例:netxray等的工作原理。屏蔽子網(wǎng)體系結(jié)構(gòu)（3）堡壘主機(jī)堡壘主機(jī)位于周邊網(wǎng)絡(luò)，是整個(gè)防御體系的核心。堡壘主機(jī)可被認(rèn)為是應(yīng)用層網(wǎng)關(guān)，可以運(yùn)行各種代理服務(wù)程序。對(duì)于出站服務(wù)不一定要求所有的服務(wù)經(jīng)過堡壘主機(jī)代理，但對(duì)于入站服務(wù)應(yīng)要求所有服務(wù)都通過堡壘主機(jī)。屏蔽子網(wǎng)體系結(jié)構(gòu)（4）外部路由器（訪問路由器）作用：保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的侵犯。它把入站的數(shù)據(jù)包路由到堡壘主機(jī)。防止部分IP欺騙，它可分辨出數(shù)據(jù)包是否真正來自周邊網(wǎng)絡(luò)，而內(nèi)部路由器不可。內(nèi)部路由器（阻塞路由器）作用：保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的侵害，它執(zhí)行大部分過濾工作。外部路由器一般與內(nèi)部路由器應(yīng)用相同的規(guī)則。其它的防火墻結(jié)構(gòu)（1）OutsideDemilitarizedZones(DMZs)PublicAccessServerPublicAccessServer其它的防火墻結(jié)構(gòu)（2）一個(gè)堡壘主機(jī)和一個(gè)非軍事區(qū)示意圖……DMZ堡壘主機(jī)內(nèi)部網(wǎng)外部路由器Internet其它的防火墻結(jié)構(gòu)（3）兩個(gè)堡壘主機(jī)和兩個(gè)非軍事區(qū)外部DMZ外部堡壘主機(jī)內(nèi)部網(wǎng)外部路由器Internet……內(nèi)部堡壘主機(jī)內(nèi)部DMZ防火墻的關(guān)鍵技術(shù)包過濾技術(shù)代理技術(shù)狀態(tài)檢查技術(shù)地址轉(zhuǎn)換技術(shù)（NAT）虛擬專網(wǎng)技術(shù)（VPN）內(nèi)容檢查技術(shù)：提供對(duì)高層服務(wù)協(xié)議數(shù)據(jù)的監(jiān)控能力。包括計(jì)算機(jī)病毒、惡意的JavaApplet或ActiveX控件的攻擊、惡意的電子郵件及不健康網(wǎng)頁內(nèi)容等的過濾防護(hù)。防火墻的安全標(biāo)準(zhǔn)（1）防火墻技術(shù)發(fā)展很快，但是現(xiàn)在標(biāo)準(zhǔn)尚不健全，導(dǎo)致不同的防火墻產(chǎn)品兼容性差，給不同廠商的防火墻產(chǎn)品的互聯(lián)帶來了困難。為了解決這個(gè)問題目前已提出了2個(gè)標(biāo)準(zhǔn)：1、RSA數(shù)據(jù)安全公司與一些防火墻的生產(chǎn)廠商（如Checkpoint公司、TIS公司等）以及一些TCP/IP協(xié)議開發(fā)商（如FTP公司等）提出了Secure／WAN（S／WAN）標(biāo)準(zhǔn)，它能使在IP層上由支持?jǐn)?shù)據(jù)加密技術(shù)的不同廠家生產(chǎn)的防火墻和TCP／IP協(xié)議具有互操作性，從而解決了建立虛擬專用網(wǎng)（VPN）的一個(gè)主要障礙。防火墻的安全標(biāo)準(zhǔn)（2）此標(biāo)準(zhǔn)包含兩個(gè)部分：①防火墻中采用的信息加密技術(shù)一致，即加密算法、安全協(xié)議一致，使得遵循此標(biāo)準(zhǔn)生產(chǎn)的防火墻產(chǎn)品能夠?qū)崿F(xiàn)無縫互聯(lián)，但又不失去加密功能；②安全控制策略的規(guī)范性、邏輯上的正確合理性，避免了各大防火墻廠商推出的防火墻產(chǎn)品由于安全策略上的漏洞而對(duì)整個(gè)內(nèi)部保護(hù)網(wǎng)絡(luò)產(chǎn)生危害。防火墻的安全標(biāo)準(zhǔn)（3）2、美國(guó)國(guó)家計(jì)算機(jī)安全協(xié)會(huì)NCSA（NationalComputerSecurityAssociation）成立的防火墻開發(fā)商FWPD（FirewallProductDeveloper）聯(lián)盟制訂的防火墻測(cè)試標(biāo)準(zhǔn)。3、我國(guó)質(zhì)量技術(shù)監(jiān)督局1999.11.11發(fā)布，2000.5.1開始實(shí)施：包過濾防火墻安全技術(shù)要求應(yīng)用級(jí)防火墻安全技術(shù)要求網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求防火墻技術(shù)的回顧與展望防火墻技術(shù)與產(chǎn)品回顧第四代防火墻的主要技術(shù)與功能防火墻發(fā)展現(xiàn)狀防火墻技術(shù)展望防火墻技術(shù)與產(chǎn)品發(fā)展回顧防火墻產(chǎn)品目前已形成一個(gè)產(chǎn)業(yè)，年增長(zhǎng)率達(dá)173％。五大基本功能：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊檢測(cè)和告警。防火墻產(chǎn)品發(fā)展的四個(gè)階段基于路由器的防火墻用戶化的防火墻工具套件建立在通用操作系統(tǒng)上的防火墻具有安全操作系統(tǒng)的防火墻第一代：

基于路由器的防火墻稱為包過濾防火墻特征：以訪問控制表方式實(shí)現(xiàn)分組過濾過濾的依據(jù)是IP地址、端口號(hào)和其它網(wǎng)絡(luò)特征只有分組過濾功能，且防火墻與路由器一體第一代：

基于路由器的防火墻(二)缺點(diǎn)：路由協(xié)議本身具有安全漏洞路由器上的分組過濾規(guī)則的設(shè)置和配置復(fù)雜攻擊者可假冒地址本質(zhì)缺陷：一對(duì)矛盾，防火墻的設(shè)置會(huì)大大降低路由器的性能。路由器：為網(wǎng)絡(luò)訪問提供動(dòng)態(tài)靈活的路由防火墻：對(duì)訪問行為實(shí)施靜態(tài)固定的控制包過濾型防火墻

第二代:

用戶化的防火墻工具套件特征：將過濾功能從路由器中獨(dú)立出來，并加上審計(jì)和告警功能；針對(duì)用戶需求提供模塊化的軟件包；安全性提高，價(jià)格降低；純軟件產(chǎn)品，實(shí)現(xiàn)維護(hù)復(fù)雜。缺點(diǎn)：配置和維護(hù)過程復(fù)雜費(fèi)時(shí)；對(duì)用戶技術(shù)要求高；全軟件實(shí)現(xiàn)，安全性和處理速度均有局限；Internet客戶通過代理服務(wù)訪問內(nèi)部網(wǎng)主機(jī)第三代：建立在通用操作系統(tǒng)上的防火墻是近年來在市場(chǎng)上廣泛可用的一代產(chǎn)品。特征包括分組過濾或借用路由器的分組過濾功能；裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；安全性和速度大為提高。實(shí)現(xiàn)方式：軟件、硬件、軟硬結(jié)合。問題：作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核的安全性無從保證。通用操作系統(tǒng)廠商不會(huì)對(duì)防火墻的安全性負(fù)責(zé)；從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊，還要防止來自操作系統(tǒng)漏洞的攻擊。用戶必須依賴兩方面的安全支持：防火墻廠商和操作系統(tǒng)廠商。上述問題在基于WindowsNT開發(fā)的防火墻產(chǎn)品中表現(xiàn)得十分明顯。第四代：

具有安全操作系統(tǒng)的防火墻1997年初，此類產(chǎn)品面市。安全性有質(zhì)的提高。獲得安全操作系統(tǒng)的方法：通過許可證方式獲得操作系統(tǒng)的源碼；通過固化操作系統(tǒng)內(nèi)核來提高可靠性。特點(diǎn)：防火墻廠商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)安全內(nèi)核；對(duì)安全內(nèi)核實(shí)現(xiàn)加固處理：即去掉不必要的系統(tǒng)特性，強(qiáng)化安全保護(hù)；對(duì)每個(gè)服務(wù)器、子系統(tǒng)都作了安全處理；在功能上包括了分組過濾、代理服務(wù)，且具有加密與鑒別功能；透明性好，易于使用。第四代防火墻的主要技術(shù)與功能：靈活的代理系統(tǒng)：兩種代理機(jī)制，一種用于從內(nèi)部網(wǎng)到外部網(wǎng)的連接，另一種用于此外部網(wǎng)到內(nèi)部網(wǎng)的連接；雙端口或三端口結(jié)構(gòu)；網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）虛擬專網(wǎng)技術(shù)（VPN）安全服務(wù)器網(wǎng)絡(luò)（SSN）：對(duì)外服務(wù)器既是內(nèi)部網(wǎng)的一部分，又與內(nèi)部網(wǎng)完全隔離。第四代防火墻采用分別保護(hù)的策略對(duì)向外提供服務(wù)的網(wǎng)絡(luò)提供保護(hù)，它利用一張網(wǎng)卡將對(duì)外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理。用戶鑒別與加密用戶定制服務(wù)審計(jì)和告警防火墻發(fā)展現(xiàn)狀防火墻是網(wǎng)絡(luò)安全工具中最早成熟、最早產(chǎn)品化的。防火墻產(chǎn)品是當(dāng)前網(wǎng)絡(luò)安全產(chǎn)品線中最為琳瑯滿目的一種。The1999InformationSecurityIndustrySurvey

統(tǒng)計(jì)對(duì)象：745個(gè)公司表1:產(chǎn)品購(gòu)買趨勢(shì)

5.4分布式防火墻技術(shù)

5.4.1分布式防火墻的產(chǎn)生

5.4.2傳統(tǒng)邊界式防火墻的固有欠缺

5.4.3分布式防火墻的主要特點(diǎn)

5.4.4分布式防火墻的主要優(yōu)勢(shì)

5.4.5分布式防火墻的基本原理

5.4.6分布式防火墻的主要功能

5.4.1分布式防火墻的產(chǎn)生

傳統(tǒng)意義上的邊界防火墻用于限制被保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（通常是互聯(lián)網(wǎng)）之間相互進(jìn)行信息存取、傳遞操作。分布式防火墻是一種主機(jī)駐留式的安全系統(tǒng)，用以保護(hù)企業(yè)網(wǎng)絡(luò)中的關(guān)鍵結(jié)點(diǎn)服務(wù)器、數(shù)據(jù)及工作站免受非法入侵的破壞。分布式防火墻把Internet和內(nèi)部網(wǎng)絡(luò)均視為“不友好的”。分布式防火墻克服了操作系統(tǒng)所具有的已知及未知的安全漏洞，如DoS(拒絕服務(wù))、應(yīng)用及口令攻擊。從而使操作系統(tǒng)得到強(qiáng)化。分布式防火墻對(duì)每個(gè)服務(wù)器都能進(jìn)行專門的保護(hù)。5.4分布式防火墻技術(shù)

5.4.2傳統(tǒng)邊界式防火墻的固有欠缺

網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制內(nèi)部安全隱患仍在效率較低和故障率高5.4分布式防火墻技術(shù)

5.4分布式防火墻技術(shù)5.4.3分布式防火墻的主要特點(diǎn)主機(jī)駐留嵌入操作系統(tǒng)內(nèi)核類似于個(gè)人防火墻適用于服務(wù)器托管5.4.4分布式防火墻的主要優(yōu)勢(shì)更強(qiáng)的系統(tǒng)安全性提高了系統(tǒng)性能系統(tǒng)的擴(kuò)展性好實(shí)施了主機(jī)策略應(yīng)用更為廣泛，支持VPN通信5.4分布式防火墻技術(shù)

5.4.5分布式防火墻的基本原理首先由制定防火墻接入控制策略的中心通過編譯器將策略語言訴描述轉(zhuǎn)換成內(nèi)部格式，形成策略文件；然后中心采用系統(tǒng)管理工具把策略文件分發(fā)給各臺(tái)“內(nèi)部”主機(jī)；“內(nèi)部”主機(jī)將從兩方面來判定是否接受收到的包，一是根據(jù)IP安全協(xié)議，二是根據(jù)服務(wù)器端的策略文件。5.4分布式防火墻技術(shù)5.4.6分布式防火墻的主要功能Internet訪問控制應(yīng)用訪問控制網(wǎng)絡(luò)狀態(tài)監(jiān)控

黑客攻擊的防御日志管理系統(tǒng)工具5.4分布式防火墻技術(shù)本章小結(jié)

本章介紹了防火墻的構(gòu)造與選擇方法。防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道或一組執(zhí)行控制策略的防御系統(tǒng)。防火墻的設(shè)計(jì)都要遵照兩個(gè)基本原則，即：未被允許的必禁止，未被禁止的均允許。選擇防火墻時(shí)考慮的原則包括：網(wǎng)絡(luò)結(jié)構(gòu)，業(yè)務(wù)應(yīng)用系統(tǒng)需求，用戶及通信流量規(guī)模方面的需求，以及可靠性、可用性、易用性等方面的需求。防火墻產(chǎn)品的分類因標(biāo)準(zhǔn)不同而異，按照產(chǎn)品可以分為軟件防火墻、硬件防火墻和軟硬一體化的防火墻；按照適用對(duì)象可以分為企業(yè)級(jí)防火墻與個(gè)人防火墻；按照產(chǎn)品等級(jí)可以分為包過濾型、應(yīng)用網(wǎng)關(guān)型和服務(wù)代理型防火墻；按照發(fā)展過程則可以分為傳統(tǒng)邊界防火墻、分布式防火墻、嵌入式防火墻等。Thanks！

計(jì)算機(jī)病毒及其防治6.1計(jì)算機(jī)病毒的概念6.2計(jì)算機(jī)病毒的分析6.3計(jì)算機(jī)病毒的防范6.4網(wǎng)絡(luò)病毒的防治6.5常用的防殺毒軟件6.1計(jì)算機(jī)病毒的概念6.1.1計(jì)算機(jī)病毒的產(chǎn)生6.1.2計(jì)算機(jī)病毒的特征6.1.3計(jì)算機(jī)病毒的分類

6.1計(jì)算機(jī)病毒的概念計(jì)算機(jī)病毒：編制或者在計(jì)算機(jī)程度中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

——《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》

6.1.1計(jì)算機(jī)病毒的產(chǎn)生計(jì)算機(jī)病毒最早大約出現(xiàn)在２０世紀(jì)６０年代末計(jì)算機(jī)病毒存在的理論依據(jù)來自于馮諾依曼結(jié)構(gòu)及信息共享計(jì)算機(jī)病毒產(chǎn)生的來源多種多樣歸根結(jié)底，計(jì)算機(jī)病毒來源于計(jì)算機(jī)系統(tǒng)本身所具有的動(dòng)態(tài)修改和自我復(fù)制的能力

6.1計(jì)算機(jī)病毒的概念6.1.2計(jì)算機(jī)病毒的特征破壞性大感染性強(qiáng)傳播性強(qiáng)隱藏性好可激活性有針對(duì)性非授權(quán)性難于控制不可預(yù)見性6.1計(jì)算機(jī)病毒的概念6.1.3計(jì)算機(jī)病毒的分類按攻擊的對(duì)象分類可以分為攻擊微機(jī)型、攻擊小型機(jī)、攻擊大型機(jī)、攻擊工作站、攻擊便攜式電子設(shè)備、攻擊計(jì)算機(jī)網(wǎng)絡(luò)6種按攻擊的操作系統(tǒng)分類可以分為攻擊DOS系統(tǒng)、攻擊Windows系統(tǒng)、攻擊UNIX系統(tǒng)、攻擊OS/2系統(tǒng)、攻擊嵌入式操作系統(tǒng)5種按表現(xiàn)性質(zhì)分類可以分為良性病毒、惡性病毒、中性病毒3種6.1計(jì)算機(jī)病毒的概念6.1.3計(jì)算機(jī)病毒的分類按寄生的方式分類可以分為覆蓋式寄生病毒、代替式寄生病毒、鏈接式寄生病毒、填充式寄生病毒和轉(zhuǎn)儲(chǔ)式寄生病毒5種按感染的方式分類可以分為引導(dǎo)扇區(qū)病毒、文件感染病毒、綜合型感染病毒3種按侵入途徑分類可以分為源碼病毒、操作系統(tǒng)病毒、入侵病毒和外殼病毒4種6.1計(jì)算機(jī)病毒的概念6.2計(jì)算機(jī)病毒的分析6.2.1計(jì)算機(jī)病毒的傳播途徑6.2.2計(jì)算機(jī)病毒的破壞行為6.2.3常見計(jì)算機(jī)病毒的發(fā)作癥狀

6.2.1計(jì)算機(jī)病毒的傳播途徑

常見的計(jì)算機(jī)病毒的傳播途徑有以下4種：

通過不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播通過移動(dòng)存儲(chǔ)設(shè)備來傳播通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播通過點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無線通道傳播6.2計(jì)算機(jī)病毒的分析6.2.2計(jì)算機(jī)病毒的破壞行為攻擊系統(tǒng)數(shù)據(jù)區(qū)攻擊文件攻擊內(nèi)存干擾系統(tǒng)運(yùn)行速度下降攻擊磁盤擾亂屏幕顯示鍵盤喇叭攻擊CMOS干擾打印機(jī)6.2計(jì)算機(jī)病毒的分析6.2.3常見計(jì)算機(jī)病毒的發(fā)作癥狀電腦運(yùn)行比平常遲鈍程序載入時(shí)間比平常久對(duì)一個(gè)簡(jiǎn)單的工作，磁盤似乎花了比預(yù)期長(zhǎng)的時(shí)間不尋常的錯(cuò)誤信息出現(xiàn)硬盤的指示燈無緣無故的亮了系統(tǒng)內(nèi)存容量忽然大量減少磁盤可利用的空間突然減少可執(zhí)行程序的大小改變了壞軌增加程序同時(shí)存取多部磁盤內(nèi)存內(nèi)增加來路不明的常駐程序文件奇怪的消失文件的內(nèi)容被加上一些奇怪的資料文件名稱、擴(kuò)展名、日期、屬性被更改過6.2計(jì)算機(jī)病毒的分析6.3計(jì)算機(jī)病毒的防范6.3.1提高計(jì)算機(jī)病毒的防范意識(shí)6.3.2加強(qiáng)計(jì)算機(jī)病毒的防范管理6.3.3規(guī)范計(jì)算機(jī)的使用方法6.3.4清除計(jì)算機(jī)病毒的原則

6.3.1提高計(jì)算機(jī)病毒的防范意識(shí)6.3.2加強(qiáng)計(jì)算機(jī)病毒的防范管理尊重知識(shí)產(chǎn)權(quán)采取必要的病毒檢測(cè)、監(jiān)控措施，制定完善的管理規(guī)則建立計(jì)算機(jī)系統(tǒng)使用登記制度,及時(shí)追查、清除病毒加強(qiáng)教育和宣傳工作建立有效的計(jì)算機(jī)病毒防護(hù)體系建立、完善各種法律制度，保障計(jì)算機(jī)系統(tǒng)的安全性6.3計(jì)算機(jī)病毒的防范6.3.3規(guī)范計(jì)算機(jī)的使用方法新購(gòu)置的計(jì)算機(jī)的安全使用方法計(jì)算機(jī)啟動(dòng)的安全使用方法防止或減少數(shù)據(jù)丟失的方法網(wǎng)絡(luò)管理員需要注意的問題6.3計(jì)算機(jī)病毒的防范6.3.4清除計(jì)算機(jī)病毒的原則在清除計(jì)算機(jī)病毒前后，一般應(yīng)遵循的

3條原則在發(fā)現(xiàn)計(jì)算機(jī)病毒后，一般應(yīng)遵循的

5條殺毒原則在清除病毒的過程中，一般應(yīng)遵循的

7條原則6.3計(jì)算機(jī)病毒的防范6.4網(wǎng)絡(luò)病毒的防治6.4.1計(jì)算機(jī)病毒的發(fā)展趨勢(shì)6.4.2網(wǎng)絡(luò)病毒的特征6.4.3黑客的行為特征6.4.4基于網(wǎng)絡(luò)安全體系的防毒管理措施6.4.5基于工作站與服務(wù)器的防毒技術(shù)6.4.6網(wǎng)絡(luò)病毒清除方法

6.4.1計(jì)算機(jī)病毒的發(fā)展趨勢(shì)網(wǎng)絡(luò)成為計(jì)算機(jī)病毒傳播的主要載體網(wǎng)絡(luò)蠕蟲成為最主要和破壞力最大的病毒類型惡意網(wǎng)頁成為破壞的新類型出現(xiàn)帶有明顯病毒特征的木馬或木馬特征的病毒6.4網(wǎng)絡(luò)病毒的防治6.4.1計(jì)算機(jī)病毒的發(fā)展趨勢(shì)技術(shù)的遺傳與結(jié)合傳播方式多樣化跨操作系統(tǒng)的病毒出現(xiàn)手機(jī)病毒、信息家電病毒6.4網(wǎng)絡(luò)病毒的防治6.4.2網(wǎng)絡(luò)病毒的特征傳染方式多傳染速度快清除難度大破壞性更強(qiáng)6.4網(wǎng)絡(luò)病毒的防治特洛伊木馬什么是特洛伊木馬：特洛伊木馬是一個(gè)程序，它駐留在目標(biāo)計(jì)算機(jī)里。在目標(biāo)計(jì)算機(jī)系統(tǒng)啟動(dòng)時(shí)候特洛伊木馬自動(dòng)啟動(dòng)。然后在某一端口進(jìn)行偵聽。如果在該端口收到數(shù)據(jù)，對(duì)這些數(shù)據(jù)進(jìn)行識(shí)別，然后按識(shí)別后的命令，在目標(biāo)計(jì)算機(jī)上執(zhí)行一些操作。比如竊取口令，拷貝或刪除文件或重新啟動(dòng)計(jì)算機(jī)。攻擊者一般在入侵某個(gè)系統(tǒng)后，想辦法將特洛伊拷貝到目標(biāo)計(jì)算機(jī)中，并設(shè)法運(yùn)行這個(gè)程序，從而留下后門，以后，通過運(yùn)行該特洛伊的客戶端程序，對(duì)遠(yuǎn)程計(jì)算機(jī)進(jìn)行操作。因此木馬應(yīng)該符合三個(gè)條件：

1、木馬需要一種啟動(dòng)方式，一般在注冊(cè)表啟動(dòng)項(xiàng)中

2、木馬需要在內(nèi)存中才能發(fā)揮作用。

3、木馬會(huì)占用一個(gè)端口，以便黑客從這個(gè)端口和木馬進(jìn)行聯(lián)系。木馬的特點(diǎn)木馬的特點(diǎn)具有隱蔽性、頑固性、潛伏性木馬的隱蔽性主要表現(xiàn)在：木馬的啟動(dòng)方式、木馬在硬盤上存儲(chǔ)的位置、木馬的文件名、木馬的文件屬性、木馬的圖標(biāo)、木馬的使用端口、木馬運(yùn)行時(shí)的隱蔽、木馬在內(nèi)存的隱蔽。木馬一旦被發(fā)現(xiàn)在電腦中，用戶很難刪除。高級(jí)的木馬具有潛伏的能力，表面上的木馬被發(fā)現(xiàn)刪除后，后備的木馬在一定的條件下會(huì)跳出來。6.4.3黑客的行為特征1、惡作劇者2、隱蔽攻擊者3、定時(shí)炸彈4、矛盾制造者5、職業(yè)殺手6、竊密高手7、業(yè)余愛好者6.4.3基于網(wǎng)絡(luò)安全體系的防毒管理措施

有以下幾點(diǎn)加以注意：

盡量多用無盤工作站盡量少用有盤工作站盡量少用超級(jí)用戶登錄嚴(yán)格控制用戶的網(wǎng)絡(luò)使用權(quán)限2個(gè)不允許對(duì)某些頻繁使用或非常重要的文件屬性加以控制，以免被病毒傳染對(duì)遠(yuǎn)程工作站的登錄權(quán)限嚴(yán)格限制6.4網(wǎng)絡(luò)病毒的防治6.4.4基于工作站與服務(wù)器的防毒技術(shù)基于工作站的DOS防毒技術(shù)工作站防毒主要有以下幾種方法：使用防毒殺毒軟件安裝防毒卡安裝防毒芯片6.4網(wǎng)絡(luò)病毒的防治6.4.4基于工作站與服務(wù)器的防毒技術(shù)基于服務(wù)器的NLM防毒技術(shù) 基于服務(wù)器的NLM防毒技術(shù)一般具備以下功能：實(shí)時(shí)在線掃描服務(wù)器掃描工作站掃描6.4網(wǎng)絡(luò)病毒的防治6.4.5網(wǎng)絡(luò)病毒清除方法立即使用BROADCAST命令，通知所有用戶退網(wǎng)，關(guān)閉文件服務(wù)器。用帶有寫保護(hù)的、“干凈”的系統(tǒng)盤啟動(dòng)系統(tǒng)管理員工作站，并立即清除本機(jī)病毒。用帶有寫保護(hù)的、“干凈”的系統(tǒng)盤啟動(dòng)文件服務(wù)器，系統(tǒng)管理員登錄后，使用DISABLELOGIN命令禁止其他用戶登錄。將文件服務(wù)器的硬盤中的重要資料備份到“干凈的”軟盤上。用殺毒軟件掃描服務(wù)器上所有卷的文件，恢復(fù)或刪除發(fā)現(xiàn)被病毒感染的文件，重新安裝被刪文件。用殺毒軟件掃描并清除所有可能染上病毒的軟盤或備份文件中的病毒。用殺毒軟件掃描并清除所有的有盤工作站硬盤上的病毒。在確信病毒已經(jīng)徹底清除后，重新啟動(dòng)網(wǎng)絡(luò)和工作站。6.4網(wǎng)絡(luò)病毒的防治6.5常用的防殺毒軟件6.5.1國(guó)際著名防殺毒軟件6.5.2國(guó)內(nèi)防殺毒軟件6.5.3國(guó)內(nèi)外防殺毒軟件的比較6.5.4企業(yè)級(jí)的防病毒工作6.5.5權(quán)威病毒認(rèn)證機(jī)構(gòu)及其法規(guī)、標(biāo)準(zhǔn)

表6.1常用防殺毒軟件對(duì)照表6.5常用的防殺毒軟件防殺毒軟件

網(wǎng)址

卡巴斯基KasperskyMcAfee產(chǎn)品系列

諾頓Norton江民

金山毒霸

瑞星

趨勢(shì)

6.5.1國(guó)際著名防殺毒軟件卡巴斯基Kaspersky

McAfee公司產(chǎn)品諾頓Norton

6.5.2國(guó)內(nèi)防殺毒軟件江民

金山毒霸

瑞星

趨勢(shì)6.5常用的防殺毒軟件6.5.3國(guó)內(nèi)外防殺毒軟件的比較

國(guó)內(nèi)外防殺毒軟件總體上的差別有以下兩點(diǎn)：

國(guó)外的防殺毒軟件廠商主要集中在高端的信息安全領(lǐng)域，而較底端的單機(jī)版才是國(guó)內(nèi)廠商聚集的場(chǎng)所國(guó)外的防殺毒軟件具有強(qiáng)大的病毒前攝防御功能，而國(guó)內(nèi)的防殺毒軟件能夠查殺到的病毒數(shù)量相對(duì)來講更多，查殺的速度相對(duì)也更快

6.5常用的防殺毒軟件6.5.4企業(yè)級(jí)的防病毒工作建立企業(yè)多層次的病毒防護(hù)體系

這里的多層次病毒防護(hù)體系是指在企業(yè)的每個(gè)臺(tái)式機(jī)上安裝臺(tái)式機(jī)的反病毒軟件，在服務(wù)器上安裝基于服務(wù)器的反病毒軟件，在Internet網(wǎng)關(guān)上安裝基于Internet網(wǎng)關(guān)的反病毒軟件。企業(yè)在防病毒體系建設(shè)方面主要存在三方面的問題防病毒系統(tǒng)建設(shè)簡(jiǎn)單化對(duì)如何發(fā)揮個(gè)體主機(jī)自身防御能力考慮過少對(duì)用戶防病毒教育重視不