【正文】 以采用以下一些主要手段： （ 1）在因特網(wǎng)接入口處安裝防火墻式防殺計(jì)算機(jī)病毒產(chǎn)品，將病毒隔離在局域網(wǎng)之外。 （ 4）建立局域網(wǎng)內(nèi)部的升級(jí)系統(tǒng)，包括各種操作系統(tǒng)的補(bǔ)丁升級(jí)，各種常用的應(yīng)用軟 件升級(jí)，各種殺毒軟件病毒庫(kù)的升級(jí)等等！ 44 1 44 病毒特征分析 (Email)及惡意網(wǎng)頁(yè)為傳播方式的蠕蟲(chóng)病毒。 惡意網(wǎng)頁(yè)確切的講是一段 黑客破壞代碼程序 ，它 內(nèi)嵌在網(wǎng)頁(yè)中 ，當(dāng)用戶 在不知情的情況下打開(kāi)含有病毒的網(wǎng)頁(yè)時(shí)，病毒就會(huì)發(fā)作。 45 1 45 個(gè)人用戶的防范策略 網(wǎng)絡(luò)蠕蟲(chóng)病毒對(duì)個(gè)人用戶的攻擊主要還是通過(guò)社會(huì)工程學(xué)，而不是利用系統(tǒng)漏 洞！所以防范此類病毒需要注意以下幾點(diǎn)： 1．購(gòu)合適的殺毒軟件 網(wǎng)絡(luò)蠕蟲(chóng)病毒的發(fā)展已經(jīng)使傳統(tǒng)的殺毒軟件的 “ 文件級(jí)實(shí)時(shí)監(jiān)控系統(tǒng) ” 落伍，殺毒軟件必 須向內(nèi)存實(shí)時(shí)監(jiān)控和郵件實(shí)時(shí)監(jiān)控發(fā)展！ 2 .經(jīng)常升級(jí)病毒庫(kù) 殺毒軟件對(duì)病毒的查殺是以病毒的特征碼為依據(jù)的 ,而病毒每天都層出不窮 ,尤其是在網(wǎng)絡(luò) 時(shí)代 ,蠕蟲(chóng)病毒的傳播速度快 ,變種多 ,所以必須隨時(shí)更新病毒庫(kù) ,以便能夠查殺最新的病毒 ! 3．提高防殺毒意識(shí) 不要輕易去點(diǎn)擊陌生的站點(diǎn)，有可能里面就含有惡意代碼！ 當(dāng)運(yùn)行 IE時(shí)，點(diǎn)擊 “ 工具 → Inter選項(xiàng) → 安全 → Inter區(qū)域的安全級(jí)別 ” ，把安全級(jí)別 由 “ 中 ” 改為 “ 高 ” 。在防御上，已經(jīng)不再是由單獨(dú)的殺毒廠 商所能夠解決，而需要網(wǎng)絡(luò)安全公司，系統(tǒng)廠商，防病毒廠商及用 戶共同參與，構(gòu)筑全方位的防范體系！ 蠕蟲(chóng)和黑客技術(shù)的結(jié)合，使得對(duì)蠕蟲(chóng)的分析，檢測(cè)和防范具有 一定的難度，同時(shí)對(duì)蠕蟲(chóng)的網(wǎng)絡(luò)傳播性，網(wǎng)絡(luò)流量特性建立數(shù)學(xué)模 型也是有待研究的工作！ 47 1 47 拒絕服務(wù)攻擊 DoS 攻擊 ? land , teardrop, ? SYN flood ? ICMP : smurf ? Router: remote reset , UDP port 7, ? Windows: Port 135, 137,139(OOB), terminal server ? Solaris : ? Linux: ? 其他 ... 48 1 48 “拒絕服務(wù)”的例子 : LAND 攻擊 攻擊者 Inter Code 目標(biāo) 欺騙性的 IP 包 源地址 Port 139 目的地址 Port 139 TCP Open G. Mark Hardy 49 1 49 “拒絕服務(wù)”的例子 : LAND 攻擊 攻擊者 Inter Code 目標(biāo) IP包欺騙 源地址 Port 139 目的地址 Port 139 包被送回它自己 崩潰 G. Mark Hardy 50 1 50 “拒絕服務(wù)”的保護(hù) : 代理類的防火墻 攻擊者 Inter Code 目標(biāo) IP包欺騙 源地址 Port 139 目標(biāo)地址 Port 139 TCP Open 防火墻 防火墻把有危險(xiǎn)的包 阻隔在網(wǎng)絡(luò)外 G. Mark Hardy 51 1 51 TCP 同步 泛濫 攻擊者 Inter Code 目標(biāo) 欺騙性的 IP 包 源地址不存在 目標(biāo)地址是 TCP Open G. Mark Hardy 52 1 52 TCP SYN 泛濫 攻擊者 Inter Code 目標(biāo) 同步應(yīng)答響應(yīng) 源地址 目標(biāo)地址不存在 TCP ACK 崩潰 G. Mark Hardy 53 1 53 Smuff攻擊示意圖 第一步：攻擊者向被利用網(wǎng)絡(luò) A的廣播地址發(fā)送一個(gè) ICMP 協(xié)議的’ echo’請(qǐng)求數(shù)據(jù)報(bào)，該數(shù)據(jù)報(bào)源地址被偽造成 第二步：網(wǎng)絡(luò) A上的所有 主機(jī)都向該偽造的源地址 返回一個(gè)‘ echo’響應(yīng)，造成該主機(jī)服務(wù)中斷。首先使這兩種 UDP服務(wù)都產(chǎn)生輸出，然后讓這兩種 UDP服務(wù)（例如 chargen服務(wù) (UDP)和 echo服務(wù) (UDP)）之間互相通信，使一方的輸出成為另一方的輸入。當(dāng)多個(gè)系統(tǒng)之間互相產(chǎn)生 UDP數(shù)據(jù)包時(shí)，最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。 55 1 55 網(wǎng)絡(luò)攻擊舉例 TCP/SYN 攻擊原理 當(dāng)一臺(tái)黑客機(jī)器 A要與另外一臺(tái) ISP的主機(jī) B建立連接時(shí)，它的通信方式是先發(fā)一個(gè) SYN包告訴對(duì)方主機(jī) B說(shuō) “ 我要和你通信了 ” ，當(dāng) B收到時(shí)，就回復(fù)一個(gè) ACK/SYN確認(rèn)請(qǐng)求包給 A主機(jī)。 可是黑客機(jī)器 A發(fā)出的包的源地址是一個(gè)虛假的 IP地址，或者可以說(shuō)是實(shí)際上不存在的一個(gè)地址， ISP主機(jī) B發(fā)出的那個(gè)ACK/SYN包當(dāng)然就找不到目標(biāo)地址了。而在缺省超時(shí)的時(shí)間范圍以內(nèi)，主機(jī)的一部分資源要花在等待這個(gè) ACK包的響應(yīng)上，假如短時(shí)間內(nèi)主機(jī) A接到大量來(lái)自虛假 IP地址的 SYN包，它就要占用大量的資源來(lái)處理這些錯(cuò)誤的等待，最后的結(jié)果就是系統(tǒng)資源耗盡以至癱瘓。如在 Linux下輸入 Ping t 66510 IP（未打補(bǔ)丁的Win95/98的機(jī)器），機(jī)器就會(huì)癱瘓。因而所有接收到此包的主機(jī)都將給發(fā)包的地址發(fā)送一個(gè) ICMP回復(fù)包。一些有漏洞的系統(tǒng)內(nèi)核由于不能正確處理這些極端不規(guī)范數(shù)據(jù)包，便會(huì)使其 TCP/IP堆棧出現(xiàn)崩潰，從而導(dǎo)致無(wú)法繼續(xù)響應(yīng)網(wǎng)絡(luò)請(qǐng)求（即拒絕服務(wù)）。 1 Inter 61 1 61 Hacker 被控制的計(jì)算機(jī) (代理端 ) 黑客設(shè)法入侵有安全漏洞的主機(jī)并獲取控制權(quán)。 2 分布式拒絕服務(wù)攻擊步驟 2 Inter 62 1 62 Hacker 黑客在得到入侵計(jì)算機(jī)清單后，從中選出滿足建立網(wǎng)絡(luò)所需要的主機(jī)，放置已編譯好的守護(hù)程序，并對(duì)被控制的計(jì)算機(jī)發(fā)送命令。 5 Master Server 分布式拒絕服務(wù)攻擊步驟 5 Targeted System 被控制計(jì)算機(jī)（代理端） 65 1 65 Targeted System Hacker 目標(biāo)系統(tǒng)被無(wú)數(shù)的偽造的請(qǐng)求所淹沒(méi)，從而無(wú)法對(duì)合法用戶進(jìn)行響應(yīng)， DDOS攻擊成功。也就是說(shuō)，在短短的一小時(shí)內(nèi)可以入侵?jǐn)?shù)千臺(tái)主機(jī)。 67 1 67 （分布式）拒絕服務(wù)攻擊 預(yù)防 DDOS攻擊的措施 ? 確保主機(jī)不被入侵且是安全的； ? 周期性審核系統(tǒng)； ? 檢查文件完整性； ? 優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)； ? 優(yōu)化對(duì)外開(kāi)放訪問(wèn)的主機(jī)； ? 在網(wǎng)絡(luò)上建立一個(gè)過(guò)濾器（ filter）或偵測(cè)器（ sniffer），在攻擊信息到達(dá)網(wǎng)站服務(wù)器之前阻擋攻擊信息。 69 1 69 當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀 當(dāng)前網(wǎng)絡(luò)安全熱點(diǎn)話題 大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè) 東軟公司介紹 東軟安全產(chǎn)品體系 東軟應(yīng)急響應(yīng)與安全服務(wù) 東軟售后服務(wù)及培訓(xùn)體系 70 1 70 大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)特點(diǎn) 開(kāi)放性 —與公網(wǎng)互聯(lián)，直接對(duì)話。 復(fù)雜性 —多種應(yīng)用，大數(shù)據(jù)量，使用人員身份復(fù)雜 。 指由于人為或系統(tǒng)錯(cuò)誤而影響信 息的完整性、機(jī)密性和可用性。比如：有 意破壞基礎(chǔ)設(shè)施、擴(kuò)散計(jì)算機(jī)病毒、 電子欺騙等。嚴(yán)重時(shí)會(huì)引起整個(gè)系統(tǒng)的癱瘓和 不可恢復(fù) 它是指因?yàn)榭诹詈兔荑€管 理不當(dāng)、制度遺漏，崗 位、職責(zé)設(shè)置不全面等因 素引起信息泄露、系統(tǒng)無(wú) 序運(yùn)行等。 74 1 74 標(biāo)準(zhǔn)安全產(chǎn)品架構(gòu) Inter 總部 辦事處 分公司 公眾用戶 分公司 防火墻和 VPN體系 入侵檢測(cè)系統(tǒng) 病毒防護(hù)系統(tǒng) 風(fēng)險(xiǎn)評(píng)估系統(tǒng) 備份恢復(fù)系統(tǒng) 網(wǎng)絡(luò)綜合安全管理系統(tǒng) 75 1 75 防火墻及 VPN策略 Inter 總部 辦事處 分公司 VPN客戶端用戶 分公司 部署防火墻和 VPN在網(wǎng) 絡(luò)邊界處，對(duì)進(jìn)出邊界 的信息做訪問(wèn)控制，同 時(shí)采用 VPN對(duì)網(wǎng)絡(luò)中傳 輸?shù)男畔⑦M(jìn)行加密處理， 以保證數(shù)據(jù)在傳輸過(guò)程 中的安全性 利用防火墻的包過(guò)濾、應(yīng) 用代理、 NAT、訪問(wèn)控制 等技術(shù)對(duì)網(wǎng)絡(luò)邊界進(jìn)行安 全防護(hù)。 01010101010 !$!%$^%4 010101010101 76 1 76 Server Client 防火墻（ Firewall） 注解：防火墻類似一堵城墻，將服務(wù)器與客戶主機(jī)進(jìn)行物理隔離，并在此基礎(chǔ)上實(shí)現(xiàn)服務(wù)器與客戶主機(jī)之間的授權(quán)互訪、互通等功能。它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許 、拒絕 、 監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有很高的抗攻擊能力，它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。 防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如 IP選項(xiàng)中的源路由攻擊和 ICMP重定向中的重定向路徑。 防火墻特征 (cont.) 80 1 80 防火墻特征 (cont.) 集中化的安全管理 通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。比如防火墻可以屏蔽部分主機(jī)，使外部網(wǎng)絡(luò)無(wú)法訪問(wèn)，同樣可以屏蔽部分主機(jī)的特定服務(wù)，使得外部網(wǎng)絡(luò)可以訪問(wèn)該主機(jī)的其它服務(wù)，但無(wú)法訪問(wèn)該主機(jī)的特定服務(wù)。 控制對(duì)特殊站點(diǎn)的訪問(wèn)：如有些主機(jī)或服務(wù)能被外部網(wǎng)絡(luò)訪問(wèn)，而有些則需被保護(hù)起來(lái)，防止不必要的訪問(wèn)。一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用 shell類型等。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。 防火墻特征 (cont.) 83 1 83 對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì) ? 如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。 ? 另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況是非常重要的。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 防火墻功能 85 1 85 VPN即虛擬專用網(wǎng)，是指一些節(jié)點(diǎn)通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立的一個(gè)臨時(shí)的、安全的連接，它們之間的通信的機(jī)密性和完整性可以通過(guò)某些安全機(jī)制的實(shí)施得到保證 特征 ? 虛擬 (V)：并不實(shí)際存在，而是利用現(xiàn)有網(wǎng)絡(luò)，通過(guò)資源配置以及虛電路的建立而構(gòu)成的虛擬網(wǎng)絡(luò) ? 專用 (P)：只有企業(yè)自己的用戶才可以聯(lián)入企業(yè)自己的網(wǎng)絡(luò) ? 網(wǎng)絡(luò) (N)：既可以讓客戶連接到公網(wǎng)所能夠到達(dá)的任何地方，也可以方便地解決保密性、安全性、可管理性等問(wèn)題，降低網(wǎng)絡(luò)的使用成本 什么是 VPN 86 1 86 ? VPN（ 虛擬專用網(wǎng)絡(luò)）是通過(guò)公共介質(zhì)如 Inter擴(kuò)展公司的網(wǎng)絡(luò) ? VPN可以加密傳輸?shù)臄?shù)據(jù)，保障數(shù)據(jù)的機(jī)密性、完整性、真實(shí)性 ? 防火墻是用來(lái)保證內(nèi)部網(wǎng)絡(luò)不被侵犯，相當(dāng)于銀行的門衛(wèi)； 而 VPN則是保證在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被竊取，相當(dāng)于運(yùn)鈔車。 L2TP可以實(shí)現(xiàn)和企業(yè)原有非 IP網(wǎng)的兼容，支持 MP（ Multilink Protocol），可以把多個(gè)物理通道捆綁為單一邏輯信道 PPTP/ L2TP 90 1 90 優(yōu)點(diǎn)： ? 支持其他網(wǎng)絡(luò)協(xié)議 （如 Novell的 IPX， NetBEUI和 Apple Talk協(xié)議 ） ? 支持流量控制 缺點(diǎn)： ? 通道打開(kāi)后，源和目的用戶身份就不再進(jìn)行認(rèn)證，存在安全隱患 ? 限制同時(shí)最多只能連接 255個(gè)用戶 ? 端點(diǎn)用戶需要在連接前手工建立加密信道，另外 認(rèn)證和加密受到限制，沒(méi)有強(qiáng)加密和認(rèn)證支持。 PPTP/ L2TP 91 1 91 IPSec VPN IPSec是一種由 IETF設(shè)計(jì)的端到端的確?；?IP通訊的數(shù)據(jù)安全性的機(jī)制。 ? IPSEC使用驗(yàn)證包頭（ AH，在 RFC 2402中定義）提供來(lái)源驗(yàn)證（ source authentication），確保數(shù)據(jù)的可靠性； ? IPSec使用封裝安全負(fù)載（ ESP，在 RFC 1827 中定義）進(jìn)行加密，從而確保數(shù)據(jù)機(jī)密性。如果驗(yàn)證數(shù)據(jù)有效，接受方就可以知道數(shù)據(jù)來(lái)自真實(shí)的發(fā)送方，并且在傳輸過(guò)程中沒(méi)有受到破壞。 ? 這種模式適用于小型網(wǎng)絡(luò)和移動(dòng)客戶端。 ? 隧道模