第9章网络安全与防范选读.ppt

黑客（hacker）： 通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统，以保护网络为目的，以不正当侵入为手段找出网络漏洞。 骇客 ： 利用网络漏洞破坏网络的人。 1．黑客和黑客技术 黑客技术： 发现计算机系统和网络的缺陷和漏洞，并实施攻击的技术。包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误。 （1）拒绝服务攻击： 使被攻击对象的系统关键资源过载，停止部分或全部服务。是最基本的入侵攻击手段，也是最难对付的入侵攻击之一。 （2）非授权访问尝试：对被保护文件读、写或执行的尝试。 （3）预探测攻击：例如SATAN扫描、端口扫描和IP半途扫描等。 （4）可疑活动：指网络上不希望有的活动。 （5）协议解码 （6）系统代理攻击：针对单个主机 第1步 信息收集：获取目标系统的信息，如网络拓扑结构、IP地址分配、端口的使用情况等。 第2步 获得对系统的访问权限：通过口令猜测、社会工程、建立后门等攻击手段，利用系统存在的漏洞来获得对系统的访问权限。 第3步 破坏系统或盗取信息 ：利用非法获得的对系统的访问权限，运行非法程序。 第4步 消除入侵痕迹：入侵后尽力消除入侵痕迹，如更改或者删除系统文件或日志。 “流氓软件” 同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），介于病毒和正规软件之间。 （1）广告软件 （2）间谍软件 ：安装“后门程序” ； （3）浏览器劫持 ：对浏览器篡改； （4）行为记录软件 ：窃取并分析隐私数据，记录使用习惯 ； （5）恶意共享软件 ：指某些共享软件强迫用户注册、捆绑各类恶意插件。 1．流氓软件的分类 Rootkits最早是一组用于UNIX操作系统的工具集，黑客使用它们隐藏入侵活动的痕迹。 Rootkits主要分为两大类：一种是进程注入式Rootkits，另一种是驱动级Rootkits。 进程注入式Rootkits可以通过使用杀毒软件的开机扫描功能轻松清除。 驱动级的Rootkits通过在Windows启动时加载Rootkits驱动程序，获取对Windows的控制权。 2．什么是Rootkits? 瑞星“碎甲”技术通过对Windows驱动程序加载点进行拦截，发现Rootkits时自动使其保护功能失效。 杀毒软件 存在病毒或流氓软件？ 操作系统 API 查找文件 流氓软件、 病毒、木马 找到 存在 Root Kits 失效 瑞星碎甲技术 防火墙是内部网络与外部公共网络之间的第一道屏障，处于网络安全的最底层，负责网络间的安全认证与传输，现代防火墙技术不仅要完成传统防火墙的过滤任务，还有正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。 任务分析 9.2.1防火墙的基本类型 防火墙是在一个受保护的企业内部网络与互联网间，用来强制执行企业安全策略的一个或一组系统。 防止外部网络用户以非法手段进入内部网络，访问内部网络资源； 保护内部网络操作环境的特殊网络互联设备。 防火墙示意图 （1）过滤不安全服务和非法用户，禁止未授权的用户访问受保护的网络。 （2）控制对特殊站点的访问。 允许受保护网络的一部分主机如邮件服务器、FTP服务器和Web服务器等被外部网访问，而另一部分被保护起来，防止不必要的访问。 （3）监视网络访问，提供安全预警。 2. 防火墙的分类 （1）网络级防火墙--包过滤路由器 （2）电路级防火墙—电路网关 （3）应用级防火墙—应用网关 （4）监测型防火墙 防火墙存在软件和硬件两种形式。 具备包过滤功能的路由器（或充当路由器的计算机），通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，否则将数据拒之门外。 优点：简单实用，实现成本较低，适合应用环境比较简单的情况。 缺点：不能理解网络层以上的高层网络协议，无法识别基于应用层的恶意侵入。 （1）包过滤路由器 下图给出了包过滤路由器结构示意图。 电路网关工作在传输层。 不允许内部主机与外部之间直接进行TCP连接，而是建立两个TCP连接： 一个在网关和内部主机上的TCP用户程序之间， 另一个在网关和外部主机的TCP用户程序之间。 通常用于内部网络对外部的访问，与堡垒主机相配合可设置成混合网关，对于向内的连接支持应用层服务，而对于向外的连接支持传输层功能。 应用网关工作应用层，通常指运行代理服务器软件的一台计算机主机。 代理服务器位于客户机与服务器之间。从客户机来看，代理服务器相当于一台真正的服务器。而从服务器来看，代理服务器又是一台真正的客户机。 缺点： 使访问速度变慢 在重负载下，代理服务器可能成为网络瓶颈。 优点： 代理服务器拥有高速缓存，能够节约时间和网络资源 外部网络只