模塊6網(wǎng)絡防御技術

在當今這個數(shù)字化時代，網(wǎng)絡威脅日益復雜多變，惡意程序、計算機病毒、木馬、蠕蟲及間諜軟件等層出不窮，對網(wǎng)絡安全構成了嚴峻挑戰(zhàn)。傳統(tǒng)的防病毒技術或單一的安全防護措施已難以有效應對這些混合型的網(wǎng)絡攻擊。網(wǎng)絡防御技術以其卓越的性能和全面的防護能力，成為保護網(wǎng)絡安全的重要屏障。

本模塊主要介紹入侵防御技術和反病毒技術，并詳細講解了入侵防御和反病毒的工作原理等。引入【知識目標】

了解入侵的概念及常見的入侵手段。

了解入侵防御和反病毒的應用場景。

理解入侵防御的工作原理。

了解計算機病毒的類型、攻擊方式和特點。

理解反病毒的工作原理。【技能目標】

掌握入侵防御和反病毒的應用方法。

掌握防火墻入侵防御的配置方法。

掌握防火墻反病毒的配置方法?！舅仞B(yǎng)目標】

培養(yǎng)筑牢網(wǎng)絡防線、化解安全風險的主動意識。

培養(yǎng)遵守網(wǎng)絡道德規(guī)范、弘揚網(wǎng)絡安全文化的自覺意識。目標content目

錄01入侵02入侵防御03計算機病毒04反病毒01入

侵1.入侵的概念

入侵是指未經(jīng)授權而嘗試訪問信息系統(tǒng)資源、篡改信息系統(tǒng)中的數(shù)據(jù)，使信息系統(tǒng)不可靠或不能使用的行為。

入侵企圖破壞信息系統(tǒng)的完整性、機密性、可用性以及可控性。

典型的入侵行為可歸納為：篡改Web網(wǎng)頁；破解系統(tǒng)密碼；復制/查看敏感數(shù)據(jù)；使用網(wǎng)絡嗅探工具獲取用戶密碼；訪問未經(jīng)允許的服務器；其他特殊硬件獲得原始網(wǎng)絡包；向主機植入特洛伊木馬程序。入侵012.常見的入侵手段

網(wǎng)絡攻擊者或企業(yè)內(nèi)部惡意員工利用系統(tǒng)及軟件的漏洞入侵服務器，嚴重威脅企業(yè)關鍵業(yè)務數(shù)據(jù)的安全，給企業(yè)造成嚴重的安全威脅。入侵01（1）漏洞威脅2.常見的入侵手段

DDoS攻擊是指攻擊者利用跳板機控制大量的“僵尸”主機，向攻擊目標發(fā)送大量精心構造的攻擊報文，造成攻擊目標所在網(wǎng)絡的鏈路擁塞、系統(tǒng)資源耗盡，從而使攻擊目標產(chǎn)生拒絕向正常用戶提供服務的效果。入侵01（2）DDoS攻擊2.常見的入侵手段

惡意代碼是指在沒有明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計算機或其他終端上安裝運行，并可能對網(wǎng)絡或系統(tǒng)產(chǎn)生威脅或潛在威脅的計算機程序（包括病毒、木馬、間諜軟件、廣告軟件等）。惡意代碼入侵威脅是指這些惡意代碼通過網(wǎng)絡或其他途徑進入企業(yè)或個人信息系統(tǒng)，并對其造成損害或潛在損害的風險。入侵01（3）惡意代碼入侵威脅02入

侵

防

御1.入侵防御的概念

入侵防御是一種安全機制，其通過分析網(wǎng)絡流量，檢測網(wǎng)絡入侵（包括緩沖區(qū)溢出攻擊、木馬、蠕蟲等），并通過一定的響應方式實時中止入侵行為，保護企業(yè)信息系統(tǒng)和網(wǎng)絡架構免受侵害。入侵防御通常用于防御來自企業(yè)內(nèi)網(wǎng)或Internet對內(nèi)網(wǎng)服務器和客戶端的入侵。入侵防御021.入侵防御的概念

入侵防御是一種既能發(fā)現(xiàn)又能阻止入侵行為的安全防御技術。其通過檢測發(fā)現(xiàn)網(wǎng)絡入侵后，能自動丟棄入侵報文或者阻斷攻擊源，從根本上避免被攻擊。其主要優(yōu)點如下:實時阻斷攻擊；深層防護；全方位防護；內(nèi)外兼防；不斷升級，精準防護。入侵防御022.入侵防御的應用場景

場景：防火墻部署在內(nèi)網(wǎng)的出口,當外網(wǎng)用戶訪問企業(yè)內(nèi)網(wǎng)（包括服務器、PC及其他設備）時，防火墻會對該行為進行檢測。如果發(fā)現(xiàn)該行為為入侵，則進行阻斷；如果發(fā)現(xiàn)該行為不是入侵，則允許其建立連接。入侵防御022.入侵防御的應用場景

場景：防火墻部署在內(nèi)網(wǎng)的出口,當內(nèi)網(wǎng)用戶訪問的網(wǎng)頁包含惡意代碼時，阻斷連接；反之，放行流量。入侵防御023.入侵防御的工作原理

入侵防御通過完善的檢測機制對所有通過的報文進行檢測分析，并實時決定放行或阻斷。入侵防御的基本實現(xiàn)機制包括以下四塊內(nèi)容：入侵防御02重組應用數(shù)據(jù)防火墻首先進行IP分片報文重組以及TCP流重組，確保了應用層數(shù)據(jù)的連續(xù)性，有效檢測出逃避入侵防御檢測的攻擊行為。協(xié)議識別和協(xié)議解析防火墻根據(jù)報文內(nèi)容識別多種常見應用層協(xié)議。識別出報文的協(xié)議后，防火墻根據(jù)具體協(xié)議分析方案進行更精細的分析，并深入提取報文特征。特征匹配防火墻將解析后的報文特征與簽名進行匹配，如果命中了簽名，則進行響應處理。響應處理完成檢測后，防火墻根據(jù)管理員配置的動作對匹配到簽名的報文進行處理。（1）入侵防御實現(xiàn)機制3.入侵防御的工作原理

入侵防御簽名用來描述網(wǎng)絡中攻擊行為的特征，防火墻通過將數(shù)據(jù)流和入侵防御簽名進行比較來檢測和防范攻擊。入侵防御02（2）簽名自定義簽名預定義簽名預定義簽名是入侵防御特征庫中包含的簽名。預定義簽名的內(nèi)容是固定的，不能創(chuàng)建、修改或刪除。每個預定義簽名都有缺省的動作，分別為：放行：指對命中簽名的報文放行，不記錄日志；告警：指對命中簽名的報文放行，但記錄日志；阻斷：指丟棄命中簽名的報文，阻斷該報文所在的數(shù)據(jù)流，并記錄日志。自定義簽名是指管理員通過自定義規(guī)則創(chuàng)建的簽名。新的攻擊出現(xiàn)后，其對應的攻擊簽名通常都會晚一點才會出現(xiàn)。當用戶自身對這些新的攻擊比較了解時，可以自行創(chuàng)建自定義簽名以便實時地防御這些攻擊。自定義簽名創(chuàng)建后，系統(tǒng)會自動對自定義規(guī)則的合法性進行檢查，避免低效簽名浪費系統(tǒng)資源。自定義簽名的動作分為阻斷和告警，可以在創(chuàng)建自定義簽名時配置簽名的響應動作。3.入侵防御的工作原理

由于設備升級簽名庫后會存在大量簽名，而這些簽名是沒有進行分類的，且有些簽名所包含的特征本網(wǎng)絡中不存在，需要設置簽名過濾器對其進行管理，并過濾掉。簽名過濾器是滿足指定過濾條件的集合,其過濾條件包括操作系統(tǒng)、簽名類別、對象、協(xié)議、嚴重性等。簽名過濾器的動作有阻斷、告警和采用簽名的默認動作這3種。入侵防御02（3）簽名過濾器3.入侵防御的工作原理

由于簽名過濾器會批量過濾出簽名，且通常為了方便管理會設置為統(tǒng)一的動作。如果管理員需要將某些簽名設置為與簽名過濾器不同的動作時，可將這些簽名引入到例外簽名中，并單獨配置動作。

例外簽名的動作分為：阻斷：丟棄命中簽名的報文并記錄日志；告警：對命中簽名的報文放行，但記錄日志；放行：對命中簽名的報文放行，且不記錄日志；添加黑名單：是指丟棄命中簽名的報文，阻斷報文所在的數(shù)據(jù)流，記錄日志，并可將報文的源地址或目的地址添加至黑名單。入侵防御02（4）例外簽名3.入侵防御的工作原理

例外簽名的動作優(yōu)先級高于簽名過濾器，如果一個簽名同時匹配例外簽名和簽名過濾器，則以例外簽名的動作為準。例如，簽名過濾器中過濾出一批符合條件的簽名，且動作統(tǒng)一設置為阻斷，但是用戶經(jīng)常使用的某款自研軟件被攔截了，觀察日志后發(fā)現(xiàn)，用戶經(jīng)常使用的該款自研軟件匹配了簽名過濾器中的某個簽名，被誤阻斷了。此時，管理員可將此簽名引入例外簽名中，并修改動作為放行。入侵防御02（4）例外簽名3.入侵防御的工作原理

入侵防御配置文件包含多個簽名過濾器和多個例外簽名。簽名的實際動作由簽名默認動作、簽名過濾器和例外簽名的動作共同決定。入侵防御02（5）數(shù)據(jù)流的處理過程3.入侵防御的工作原理

當數(shù)據(jù)流匹配的安全策略中包含入侵防御配置文件時，設備將數(shù)據(jù)流送到入侵防御模塊，并依次匹配入侵防御配置文件引用的簽名。入侵防御對數(shù)據(jù)流的通用處理流程如圖所示。入侵防御02（5）數(shù)據(jù)流的處理過程03計算機病毒1.計算機病毒的概念

計算機病毒是編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或程序代碼。

計算機病毒進入用戶主機之后，會對計算機造成不同程度的危害，輕則占用系統(tǒng)內(nèi)存導致系統(tǒng)運行速度減慢，重則導致重要資料丟失、信息泄露、系統(tǒng)崩潰等，給用戶帶來難以估量的損失。計算機病毒032.計算機病毒的類型及攻擊方式

網(wǎng)絡病毒是通過網(wǎng)絡傳播，同時破壞某些網(wǎng)絡組件的計算機病毒。典型的網(wǎng)絡病毒有勒索病毒、蠕蟲病毒。

勒索病毒：可以通過電子郵件、網(wǎng)站附件及USB等移動存儲設備等方式進行傳播，主要以垃圾郵件傳播為主，用戶一旦不慎打開含有勒索病毒的郵件，便會遭受攻擊。

蠕蟲病毒：一種能夠自我復制的計算機病毒，其主要通過尋找系統(tǒng)漏洞（如Windows操作系統(tǒng)漏洞、網(wǎng)絡服務器漏洞等）進行傳播。與一般計算機病毒不同的是，蠕蟲病毒不需要人工干預，其能夠利用漏洞主動進行攻擊，具有較強的獨立性。計算機病毒03（1）網(wǎng)絡病毒2.計算機病毒的類型及攻擊方式

文件型病毒是通過感染操作系統(tǒng)中的文件系統(tǒng)（如COM、EXE、DOC、SYS等）進行傳播的計算機病毒。文件型病毒嵌入計算機源文件中，一旦該文件被運行，計算機病毒便進行傳播。宏病毒就是一種典型的文件型病毒，其是利用軟件宏語言編寫的惡意程序，主要寄生在文檔、表格等文件的宏代碼中。計算機病毒03（2）文件型病毒2.計算機病毒的類型及攻擊方式

引導型病毒寄生在磁盤引導區(qū)或主引導區(qū)中，在引導系統(tǒng)的過程中入侵系統(tǒng)。當系統(tǒng)加載或啟動時，病毒會加載在內(nèi)存中并感染其他文件。計算機病毒03（3）引導型病毒2.計算機病毒的類型及攻擊方式

混合型病毒同時具有文件型病毒和引導型病毒的寄生方式，既能通過感染系統(tǒng)引導區(qū)的方式，又能通過感染文件的方式進行病毒傳播，具有較高的破壞性和危害性。計算機病毒03（4）混合型病毒3.計算機病毒的特點

計算機病毒是一種虛擬的病毒，其具有和生物病毒類似的特性，能在計算機中完成自我復制和傳播。計算機病毒具有以下特點。

傳染性

破壞性

寄生性

隱蔽性

觸發(fā)（潛伏）性計算機病毒0304反

病

毒1.反病毒的概念

反病毒是一種安全機制，它可以通過識別和處理病毒文件來保證網(wǎng)絡安全，避免由病毒文件而引起的數(shù)據(jù)破壞、權限更改和系統(tǒng)崩潰等情況的發(fā)生。

反病毒功能可以憑借龐大且不斷更新的病毒特征庫有效地保護網(wǎng)絡安全，防止病毒文件侵害系統(tǒng)數(shù)據(jù)。將病毒檢測設備部署在企業(yè)網(wǎng)的入口，可以真正將病毒抵御于網(wǎng)絡之外，為企業(yè)網(wǎng)絡提供了一個堅固的保護層。反病毒042.反病毒的應用場景

在以下兩種場景中，通常利用反病毒機制來保證網(wǎng)絡安全。①

內(nèi)網(wǎng)用戶可以訪問外網(wǎng)，且經(jīng)常需要從外網(wǎng)下載文件。②

內(nèi)網(wǎng)部署的服務器經(jīng)常接收外網(wǎng)用戶上傳的文件。反病毒043.反病毒的工作原理

防火墻利用專業(yè)的智能感知引擎和不斷更新的病毒特征庫實現(xiàn)對病毒文件的檢測和處理。反病毒的處理流程主要包括自適應安全引擎檢測和反病毒處理兩部分。反病毒043.反病毒的工作原理

智能感知引擎檢測步驟如下：反病毒04流量深層分析智能感知引擎對流量進行深層分析，識別出流量對應的協(xié)議類型和文件傳輸?shù)姆较?。判斷文件傳輸所使用的協(xié)議和文件傳輸?shù)姆较蚴欠裰С植《緳z測防火墻支持對使用以下協(xié)議傳輸?shù)奈募M行病毒檢測：FTP、HTTP、POP3、SMTP、IMAP、NFS、SMB。防火墻支持對不同傳輸方向上的文件進行病毒檢測：上傳：指客戶端向服務器發(fā)送文件；下載：指服務器向客戶端發(fā)送文件。3.反病毒的工作原理反病毒04判斷文件是否命中白名單病毒檢測智能感知引擎對符合病毒檢測的文件進行特征提取，提取后的特征與病毒特征庫中的特征進行匹配。如果匹配，則認為該文件為病毒文件，并按照模板中的響應動作進行處理；如果不匹配，則允許該文件通過。命中白名單后，防火墻將不對文件做病毒檢測。白名單由白名單規(guī)則組成，管理員可以為信任的域名、URL、IP地址或IP地址段配置白名單規(guī)則，以此提高反病毒的檢測效率；白名單規(guī)則的生效范圍僅限于所在的反病毒配置文件，每個反病毒配置文件都擁有自己的白名單。3.反病毒的工作原理反病毒04判斷文件是否命中白名單病毒檢測智能感知引擎對符合病毒檢測的文件進行特征提取，提取后的特征與病毒特征庫中的特征進行匹配。如果匹配，則認為該文件為病毒文件，并按照模板中的響應動作進行處理；如果不匹配，則允許該文件通過。命中白名單后，防火墻將不對文件做病毒檢測。白名單由白名單規(guī)則組成，管理員可以為信任的域名、URL、IP地址或IP地址段配置白名單規(guī)則，以此提高反病毒的檢測效率；白名單規(guī)則的生效范圍僅限于所在的反病毒配置文件，每個反病毒配置文件都擁有自己的白名單。3.反病毒的工作原理

當防火墻檢測出傳輸文件為病毒文件時，需要進行反病毒處理，具體流程如下：反病毒04判斷該病毒文件是否命中病毒例外判斷該病毒文件是否命中應用例外如果不是病毒例外，則判斷該病毒文件是否命中應用例外。如果是應用例外，則按照應用例外的響應動作（放行、告警和阻斷）進行處理。在配置響應動作時：如果只配置協(xié)議的響應動作，則協(xié)議上承載的所有應用都繼承協(xié)議的響應動作；如果協(xié)議和應用都配置了響應動作，則以應用的響應動作為準。當用戶認為已檢測到的某個病毒為誤報時，可以將該對應的病毒ID添加到病毒例外。如果檢測結(jié)果命中了病毒例外，則該文件的響應動作為放行。3.反病毒的工作原理