第12章-网络安全测试工具及其应用.ppt

1、网络空间信息安全,目 录,第 1章 网络空间信息安全概论 第 2章 病毒防范技术 第 3章 远程控制与黑客入侵 第 4章 网络空间信息密码技术 第 5章 数字签名与验证技术 第 6章 网络安全协议 第 7章 无线网络安全机制 第 8章 访问控制与防火墙技术 第 9章 入侵防御系统 第10章 网络数据库安全与备份技术 第11章 信息隐藏与数字水印技术 第12章 网络安全测试工具及其应用 第13章 网络信息安全实验及实训指导,第12章 网络安全测试工具及其应用,12.1 网络扫描测试工具 12.2 计算机病毒防范工具 12.3 防 火 墙 12.4 常用入侵检测系统与入侵防御系统 12.5 其他的

2、网络安全工具,12.1 网络测试扫描工具,概念：网络扫描是一种根据网络通信双方采用的协议而在自己的系统中对另外一方的协议等进行读取、验证等并将返回的结果作为判定安全性指标的行为。 原理：一个客户端的主机通过某个端口向服务器请求服务，如果服务器方有该服务，则向客户端响应服务，否则，无论如何都没有应答。如图12.1所示。 目的：数据采集、属性验证、寻找漏洞、获取各种状态等。 分类：可以将网络扫描划分为主机扫描、端口扫描、漏洞扫描和操作系统指纹扫描。,12.1.1 网络扫描技术,图12.1 TCP/UDP网络扫描示例图,12.1 网络测试扫描工具,（1）网络扫描工具 Nessus工具是一种基于Win

3、dows、Linux、UNIX等操作系统或者网络操作系统且开放源代码的网络安全扫描工具。具有速度非常快、耗费网络资源较少、扫描尽量完整化、可扩展性良好、功能非常强大、用户易上手等特点。 X-Scan是国内最有名的一种无需安装、免费拥有的中英文版、图形界面与命令行操作兼有并支持多种Windows操作系统的安全漏洞扫描软件。可提供漏洞相关的代码，扫描量较大、扫描时间较长，扫描完成后会自动生成相应的扫描报告。,12.1.2 常用的网络扫描测试工具,12.1 网络测试扫描工具,（1）网络扫描工具 Nmap是很出名的一款端口扫描器。Nmap可提供多种扫描，能识别远程计算机的操作系统类型、进行分布式扫描、

4、端口过滤检测、主机欺骗扫描以及对端口进行描述等。但其选项组合数量繁多，对用户来说可操作性不强。 流光（Fluxay）是一个最初由黑客开发的漏洞扫描工具，具有极强的攻击性。用这款软件进行黑客活动较容易。,12.1.2 常用的网络扫描测试工具,12.1 网络测试扫描工具,（1）网络扫描工具 AppDetectivePro是一款由Application Security Inc开发的基于网络脆弱性评估扫描数据库的、对数据库进行安全性检测和渗透性测试的应用程序工具。能查找、审核并修补计算机程序的漏洞或者配置信息以保障部门内外数据库的安全。 SuperScan是一款无需安装的绿色端口扫描软件。能够对指定

5、IP地址或IP地址范围的单个或一批计算机进行扫描，扫描完成后可查看网页形式的扫描报告。,12.1.2 常用的网络扫描测试工具,12.1 网络测试扫描工具,（1）网络扫描工具 IPBook是一款超级网络邻居软件，能够自动读取已经连接上的计算机的相关属性，如计算机名称、IP地址、计算机所属的工作组以及物理网卡地址等。IPBook扫描完成后，得到的扫描记录或扫描结果可以保存起来，方便以后的查看和分析。 Burp Suite有帮助渗透测试和黑客的一些工具。该软件有两个应用是比较常用的：Spider和Intruder。,12.1.2 常用的网络扫描测试工具,12.1 网络测试扫描工具,（1）网络扫描工具

6、 OWASP Zed，Zed代理攻击（ZAP）是最流行的OWASP项目之一，是一款网络漏洞扫描器，而OWASP是学习Web应用安全方面的一个指导手册，ZAP可以提供自动扫描并且可以发掘一些关于网络安全漏洞的工具等。 其他网络扫描工具，除了上述比较常见的网络扫描工具之外，还有许多非常经典的网络扫描工具。,12.1.2 常用的网络扫描测试工具,12.1 网络测试扫描工具,（2）网络测试工具 PING命令是一个用于TCP/IP协议的测试工具，PING命令用于查看网络上某个主机是否在工作。PING命令的完整格式如下：ping -t -a -n count -l length -f -i ttl -v

7、tos -r count -s count -j Host-list | -k Host-list -w timeout destination-list,12.1.2 常用的网络扫描测试工具,12.1 网络测试扫描工具,（2）网络测试工具 ipconfig/winipcfg 用ipconfig和winipcfg可以查看并修改网络中的TCP/IP等协议的配置情况。ipconfig命令格式如下：ipconfig/all/batch file/renew all/release all/renew n /release nipconfig命令可以显示IP以及一些相关的信息，可以用于网络探测，特别是

8、当前的局域网是利用动态主机配置协议自动分配IP地址的时候，该命令能够比较方便地获取计算机的实际配置情况。该命令只能用于本机的测试，不能用于网络测试。,12.1.2 常用的网络扫描测试工具,12.1 网络测试扫描工具,（2）网络测试工具 Netstat命令主要用来显示有关统计的一些信息以及当前网络连接的详细情况，显示的结果非常详细。Netstat命令的格式如下：netstat -a -e -n -s -p protocol -r interval,12.1.2 常用的网络扫描测试工具,12.1 网络测试扫描工具,（2）网络测试工具 Nbtstat命令可以用来查看TCP/IP的连接状态，以及获取远

9、程或本地计算机的工作组名称与计算机名称等。Nbtstat命令的格式如下：Nbtstat -a RemoteName -A IP address -c -n -r -R -RR -s -S interval Nbtstat命令可快速查看局域网中每台计算机的网卡地址。,12.1.2 常用的网络扫描测试工具,12.1 网络测试扫描工具,（2）网络测试工具 Tracert命令主要用来获取数据包从源主机到目的主机所经过的路径以及达到每个结点的时间。较PING更加详细，可以显示数据包走过的所有路径。可用于较大型的网络。Tracert命令的格式为如下：tracert IP地址或主机名-d-h maximum

10、hops-j host_list-w timeout,12.1.2 常用的网络扫描测试工具,12.1 网络测试扫描工具,（2）网络测试工具 THC Hydra一般用作网络登录的攻击，是一款非常流行的密码破解工具，攻击采用的是字典攻击和暴力破解，支持一系列的常见协议，如SSH、POP3、IMAP等。 同Nmap一样，Wireshark也非常受欢迎，它是一款手动抓包并进行数据分析的、可以跨平台使用的开源工具，可以用来排查、分析和进行网络入侵行为等。,12.1.2 常用的网络扫描测试工具,12.1 网络测试扫描工具,（2）网络测试工具 WebRavor是一款与流光非常相似的用于Web深度扫描、验证、

11、安全审计、渗透并生成相应报告的工具。WebRavor能够对一些复杂的网络应用进行弱点检测和评估。 Metasploit是一款受到大众好评的渗透测试与攻击的软件，是可以用于网络安全研究的专业人员测试和众多黑客的首选方案之一。Metasploit是一个给用户提供安全漏洞的网络安全架构，可以实现指定的渗透测试、IDS监听和测试等。,12.1.2 常用的网络扫描测试工具,12.1 网络测试扫描工具,（2）网络测试工具 Maltego与其他取证工具不同，Maltego在数字取证的范围内工作，Maltego是用来将构成网络威胁的图片发送给单位或者进行取证的组织部门的一个平台。Maltego具有非常独特的视

12、角，提供了基于现实生活中的实体网络和源端信息，结合了整个网络的信息，不论用户在全球的哪个位置，都是可以定位的。 Aircrack-ng是一个基于802.11 WEP和WPA-PAK的密钥破解工具，可以在捕捉到足够多的数据包时将密钥恢复。Wi-Fi密码的破解依靠的就是Aircrack组件，该组件用来破解密码非常有效。,12.1.2 常用的网络扫描测试工具,12.1 网络测试扫描工具,（2）网络测试工具 John The Ripper是一款非常流行的密码破解和渗透测试的工具，大多用于字典攻击的场合，将字符串作为样本，采用与加密过程相同的方式来进行破解工作，然后对加密字符串的输出进行对比，进而得到密

13、钥。 其他网络工具，除了上述比较常见的一些网络测试工具之外，还有许多非常经典的网络测试工具，详见课本P299。,12.1.2 常用的网络扫描测试工具,12.2 计算机病毒防工具,（1）软件概述 瑞星杀毒软件是一款基于虚拟机脱壳引擎、多层次主动防御技术开发出来的信息安全产品。瑞星杀毒软件由系统中心、服务器端、客户端、多级中心、超级中心和管理控制台等构成。,12.2.1 瑞星杀毒软件,12.2 计算机病毒防工具,（2）软件安装与卸载 环境要求：客户端和服务器端安装在硬件上要求磁盘空间在600MB以上，升级代理需要1GB以上，CPU工作频率在800MHz以上，内存容量512MB以上。软件环境主要包含

14、微软的Windows产品系列、主流UNIX操作系统。 安装顺序：一般是先安装系统中心、服务器等，最后才安装客户端程序。 服务器端和客户端的安装：服务器端和客户端的软件安装又分为本地安装、客户端远程、Web安装、登录脚本安装和通过安装包定制安装程序进行安装。,12.2.1 瑞星杀毒软件,12.2 计算机病毒防工具,（2） 软件安装与卸载 本地安装：直接利用安装程序在本地进行安装的方式，服务器端和客户端都可以采用这种方法，本地安装一般是基于对话框向导的安装，不需要有资源的下载、更新等，在安装的过程中，需要填写一些参数，以便网络中的管理中心对该计算机的安全进行管理等。 服务器端和客户端的卸载：服务器

15、和客户端的瑞星杀毒软件可以借助于操作系统自带的软件管理工具进行卸载，也可以进行远程卸载。,12.2.1 瑞星杀毒软件,12.2 计算机病毒防工具,（3）管理功能 管理功能指对全网范围内所安装有瑞星杀毒软件的计算机进行网络安全监测、策略配置、升级以及日志管理等。管理功能主要包含管理控制台、远程管理、配置管理、分组管理、升级管理和授权计数管理等。 管理工具为用户提供了全方位的管理，包括的工具有序列号管理、通信代理管理、日志管理、日志查询、漏洞管理、升级管理、客户端配置、白名单管理、搜索管理、数据备份管理等。,12.2.1 瑞星杀毒软件,12.2 计算机病毒防工具,（4）本地杀毒 客户端杀毒软件主要

16、包含查杀病毒及相关设置、实时监控及相关设置、主动防御及相关设置、杀毒工具、网络监控及其他功能等。 每种本地杀毒的功能都非常强大：查杀病毒及相关设置有手动查杀、空闲时段查杀、开机查杀、嵌入式查杀及各种查杀的相关设置等功能；实时监控及相关设置有文件监控、邮件监控及监控的相关设置等功能；主动防御及相关设置有智能化主动防御、系统加固、应用程序防御、木马行为防御、入侵拦截、黑白名单与自我保护，以及各种防御的设置等。,12.2.1 瑞星杀毒软件,12.2 计算机病毒防工具,12.2.2 江民杀毒软件,（1）安装与卸载 环境要求：硬盘空间500MB以上，处理器工作频率800MHz以上，内存容量512MB以上

17、，较高分辨率的显示器，以及网络适配器和光驱等辅助硬件要求。 操作系统:支撑32位和64位的计算机，本支持微软的桌面化个人的Windows XP及以上的操作系统，微软服务器操作系统支持Windows Server 2003及以上版本，还支持蓝点Linux、红旗Linux、红帽子Linux等操作系统版本。,12.2 计算机病毒防工具,12.2.2 江民杀毒软件,（1）安装与卸载 安装：安装江民杀毒软件之前，需完成计算机的基础驱动器安装，可以用光驱安装或者网络上下载软件进行安装，利用安装程序的向导就可以安装完成。安装完成后，需要输入通行证或者安全序列号来获取授权。 卸载：从计算机的“开始”菜单中可以

18、进行软件的卸载，卸载杀毒软件之后，如果再次安装，则之前的所有关于江民软件的数据库信息都已经丢失了，以前用过的设置信息都会失效。,12.2 计算机病毒防工具,12.2.2 江民杀毒软件,（2）功能与操作 功能：江民杀毒软件的功能非常强大，主要有病毒查杀、监控中心、云鉴定和云加速、网银专访与江民防骗墙、文件恢复、历史病毒记录查看、进程管理的信任与阻止、网络名片、重装系统备份、进程查看器、升级相关操作及问题反馈等。 操作：选择江民杀毒软件主界面的“扫描”功能，选择江民杀毒软件主界面的“扫描”功能，该界面可以进行快速扫描、全盘扫描和自定义扫描等扫描目标的选择，也有扫描选项和扫描结果等一系列的操作。,1

19、2.2 计算机病毒防工具,12.2.2 江民杀毒软件,（3）应用实例 小型局域网应用,图12.3 小型局域网应用图示,12.2 计算机病毒防工具,12.2.2 江民杀毒软件,（3）应用实例 大中型网络应用：先安装中控中心和主控制台，再为每个子网段安装子控中心，然后通过因特网或者虚拟专用网连接到主控中心上。,图12.4 大中型网络应用图示,12.2 计算机病毒防工具,12.2.2 江民杀毒软件,（3）应用实例 移动网络办公,图12.5 移动网络办公图示,12.2 计算机病毒防工具,12.2.3 其他杀毒软件与病毒防范,金山毒霸为国产杀毒软件，杀毒能力强、防火墙功能较好，金山毒霸相对其他查杀病毒的

20、工具来说，其安装包非常小巧，但与国外的杀毒软件相比还有一定的不足之处； 360杀毒软件依靠引用世界最强杀毒软件的病毒库而使得查毒能力极强，但其杀毒能力一般； 微点杀毒软件的病毒防范能力很强，但在发展过程中受到了瑞星等的打压；,12.2 计算机病毒防工具,12.2.3 其他杀毒软件与病毒防范,卡巴斯基可以说是世界上杀毒能力最强的软件，木马拦截能力突出，UI界面非常人性化，但该杀毒软件对计算机的基础配置要求比较高，容易出现死机等问题； 诺顿的UI界面设计非常不错； McAfee的杀毒能力强，但使用之前需要各种配置操作，使用起来不是很方便；小红伞也是很不错的一款杀毒软件，但目前还没有出现汉化版。,1

21、2.3 防火墙,12.3.1 防火墙概述,（1）概念 防火墙是位于不同网络之间或者网络安全域之间，隔离网络并按照一定安全规则进行通信的软硬件的集合。,12.3 防火墙,12.3.1 防火墙概述,（2）基本原理 包过滤防火墙一般在网络操作系统或者路由器中，工作在网络层，利用包过滤规则检查端口数据包或者首部来决策数据能否通过， ARP防火墙采用的原理就是不断向网关发送本计算机的网络地址和硬件地址，使得该计算机能被路由器识别并为此计算机提供路由服务。,12.3 防火墙,12.3.1 防火墙概述,（3）功能 网络安全的保障； 过滤一些不安全的数据； 对网络存取和访问进行监视，分析网络的威胁，对局域网形

22、成保护； 防止局域网中信息的外泄，强化网络安全决策以及提供强大的NAT功能。,12.3 防火墙,12.3.1 防火墙概述,（4）分类 现在的防火墙主要可以分为包过滤防火墙、代理服务器防火墙、复合型防火墙、双宿主机防火墙、主机过滤机加密路由防火墙等。 从表现形式上来看，防火墙主要可以分为硬件防火墙和软件防火墙。 根据防火墙路由器与主机配置等将防火墙分为双宿主机防火墙、主机过滤防火墙等。,12.3 防火墙,12.3.1 防火墙概述,（5）技术展望 目前考虑用多级过滤的方式实现包过滤的防火墙，在应用层、传输层、网络层等都进行相应的“包过滤”功能实现，达到多级验证、增强防火墙安全性的目的。缩短用户验证

23、特别是基于加密的身份验证和防火墙对用户数据进行处理的时间延迟， 未来可能考虑用高性能的芯片代替部分软件来实现更高处理性能的防火墙软件体系。,12.3 防火墙,12.3.2 Linux系统下的IPtables防火墙,（1）Linux防火墙 Linux平台的包过滤是由netfilter和IPtables共同完成的，从操作系统的角度看，IPtables工作在用户态，用户可以直接访问，netfilter工作在核心态，用户不能直接访问，但操作系统可以直接访问，因此，要实现Linux下的包过滤，需要通过IPtables间接访问netfilter以实现用户想要的功能。 Linux防火墙的安装、启动等操作与基

24、于Windows平台的防火墙有所区别。IPtables防火墙内置在红帽子操作系统中，因此，安装红帽子操作系统会自动安装IPtable。,12.3 防火墙,12.3.2 Linux系统下的IPtables防火墙,（2）IPtables 规则指定了源地址、目的地址、服务类型和传输协议等，数据与规则相匹配时，IPtables就会按照所定义的方式来处理这些数据并形成决策；链是指数据包传输过程经过的路径。 每一条链中，可能只有一条规则，也可能有多条规则，数据到达链时，IPtables就会对规则进行逐条检查找到符合规则的条件，如果找到，就用规则处理数据包，否则继续找下一条，全部都不符合则启用默认决策机制；

25、表是指用户实现包过滤、重构以及地址转换等功能的IPtables内置的表，即NAT、mangle、raw和filter。,图12.6 IPtables表和链的关系图,12.3 防火墙,12.3.2 Linux系统下的IPtables防火墙,（2）IPtables 当数据包进入网卡时，首先进入PREROUTING链，内核由其IP判定是否传输出去；如果目的IP是本机，则继续下行到INPUT链，任何进程都可以接收，本机程序发送该数据包到OUTPUT链，最后到达POSTROUTING链并最终输出；如果目的IP不是本机的而是经过本机转发的，则右行到FORWORD链，到达POSTROUTING链并最终输出。

26、,图12.7 iptables数据包的传输过程图,12.3 防火墙,12.3.2 Linux系统下的IPtables防火墙,（3）IPtables 的使用 IPtables语法格式： iptables -t 表名 命令选项 链名 匹配选项 -j 操作选项 其中，表名表示选择要操作的表，表名称可以是NAT、filter、mangle、row；命令选项表示对规则或链的操作；链名指示IPtables要操作的链；匹配选项表示需要处理的数据包满足的条件，如源地址、目的地址等；操作选项则表示匹配后进行的详细处理方式。,12.3 防火墙,12.3.2 Linux系统下的IPtables防火墙,（4）基于IP

27、tables的NAT实现 NAT是将IP数据报等首部中属于私有的源地址或目的地址改成公有地址或者将公有地址转换为私有地址的一种转换方式。NAT的工作原理如图12.8所示。,图12.8 NAT工作原理,12.3 防火墙,12.3.2 Linux系统下的IPtables防火墙,（5）IPtables应用实例 禁止访问网络上不健康的内容，如禁止访问某些网站等； 禁止某些用户的上网行为（可以是指定的某个IP地址，也可以是一类连续的IP地址）； 禁止用户对部分服务的使用； 禁止使用ICMP协议，利用字符串匹配的方式过滤视频网站以及拥有定时器的功能等。,12.3 防火墙,12.3.3 天网防火墙,（1）简

28、介 天网防火墙是广州众达天网技术有限公司安全实验室采用软硬件一体化的方式研发的网络安全工具。天网防火墙个人版提供了强大的访问控制、信息过滤、身份验证、VPN、NAT、流量控制等功能，可以抵抗网络入侵或攻击，防止个人信息的泄露，保证计算机的网络安全。,12.3 防火墙,12.3.3 天网防火墙,（2）基本特征 界面友好； 安全性能很好； 采用了专用硬件和专用的操作系统； 支持多种网络协议的过滤功能； 具有防止IP欺骗的功能； 系统内核性能高； 支持各种各样的网络通信协议与服务；检测更加迅速和安 支持巨量并发连接和NAT连接数目； 有加密的中文Web页面，对网络数据进行记录等。,12.3 防火墙,

29、12.3.3 天网防火墙,（3）安全控制功能 天网防火墙针对当前各种网络安全问题提出了一系列的安全应用控制功能并在系统中得到了应用。 天网防火墙具有基于单个IP地址或者IP组为对象的管理，具有管理大量IP的能力，防止带宽被恶意占用并对带宽进行实时动态调节；防火墙还能防御大量数据包攻击行为、过滤大量IP的防火墙机制、域名信息缓冲和用户上网的验证等。,12.3 防火墙,12.3.3 天网防火墙,（4）应用实例 中小企业应用,图12.9 中小企业应用图示,12.3 防火墙,12.3.3 天网防火墙,（4）应用实例 大型企业应用,图12.10 大型企业应用图示,12.3 防火墙,12.3.3 天网防火

30、墙,（4）应用实例 ICP应用,图12.11 ICP应用图示,12.3 防火墙,12.3.4 其他的防火墙产品,费尔防火墙是一款功能强大、个性化设计的个人使用的网络安全工具。软件完全免费，其源码能以较低的价格买到。 冰盾抗DDoS防火墙简称冰盾防火墙，是一款具备入侵检测功能的专业抗DDoS的防火墙，其研究由美国硅谷的华人留学生开始，采用生物基因鉴别技术识别各种DDoS攻击与黑客的入侵行为等。,12.3 防火墙,12.3.4 其他的防火墙产品,金山网镖用来保障个人上网的安全，可以通过设置一些应用程序的权限以及安全级别的设置来满足不同保护要求的实现，能阻止冰河、网络神偷等木马的危害。 Kasper

31、sky Anti-Hacker（卡巴斯基防火墙，KAH）是一款非常出色的安全防火墙，与著名的AVP属于同一家公司，能够抵抗内部网络中或者国际网络的一些黑客攻击等。 诺顿网络安全特警（中文版）可防止未授权的用户访问因特网上的私有计算机和网络，也可防止网络上未授权的计算机或黑客对用户的计算机进行访问，几乎不需要占用通信资源。,12.4 常用入侵检测系统与入侵防御系统,12.4.1 Snort入侵检测系统,（1）Snort基本介绍 概述：Snort是Linux平台中最常见的一种运行在Libpcap库函数基础之上、基于GUN/GPL的入侵检测系统和数据抓包的开源、免费工具。Snort具有代码简洁、可移

32、植性好、功能强大、扩展性强和多用途等特点。 命令行：Snort有嗅探器、数据包记录器和网络入侵检测系统3种工作模式。Snort命令的格式如下：snort -options 其中，“-options”比较多，如“-a”表示显示ARP包、“-b”表示以TCPDump的格式记录登录信息包等。,12.4 常用入侵检测系统与入侵防御系统,12.4.1 Snort入侵检测系统,（2）Snort结构Snort的内部工作主要包含包解码、数据包处理、输出与日志。,图12.12 Snort系统工作流程图,12.4 常用入侵检测系统与入侵防御系统,12.4.1 Snort入侵检测系统,（3）Snort规则 Snor

33、t使用一种较为简单的、轻量级、灵活性强的语言对规则进行描述； 一条Snort规则由规则头和规则选项组成，规则头定义了3个W（who、where、what）和一个H（how）信息； Snort规则就是进行简单的匹配，将获取的数据与自身规则库中的数据进行匹配，如果匹配成功，则形成报警信息或者日志记录信息，否则丢弃； Snort开源代码中有一些规则库，用户还可以自行编写属于自己的专用规则，用户编写规则需要考虑到规则的速度、效率以及对已有规则的优化等。,12.4 常用入侵检测系统与入侵防御系统,12.4.2 主机入侵防御系统Malware Defender,（1）简介 Malware Defender

34、是一款主机入侵防御系统软件，用户可以自行编写规则来防范病毒和木马的侵害，Malware Defender与Mamutu、ThrearFrie等智能的HIPS不同，Malware Defender是手动的HIPS，匹配规则需要自己介入，操作起来不是很方便，但其安全性很高。 该软件具有监控范围广泛，可对应用程序、文件、注册表和网络等进行全方位监控，资源占用少，占用CPU和内存资源少，对系统的整体性能影响较小，辅助工具全面等特点。 该软件的主要功能有实时保护系统、自动运行程序管理器、进程管理器、文件浏览器、内核模块管理器、注册表编辑器和钩子检测器。,12.4 常用入侵检测系统与入侵防御系统,12.4

35、.2 主机入侵防御系统Malware Defender,（2）Malware Defender的规则 Malware Defender使用规则来决定检测到可疑的操作或对象时该如何进行处理。 Malware Defender对每个规则都赋予一个权限。 系统的内置规则显示了特殊的颜色，内置规则不允许删除和禁用。 规则中还可以使用通配符“？”和“*”，？表示任意的单个字符，*表示零个或多个字符。 规则中可以使用环境变量，即临时使用的变量。 规则中还可以在许多规则和应用程序中使用相对路径。,12.4 常用入侵检测系统与入侵防御系统,12.4.3 入侵防御系统comodo,（1）简介 comodo被许多

36、国内的游戏玩家称为“毛豆”。comodo提供了防火墙、入侵防御和反病毒的功能，一般使用其入侵防御功能，comodo将自己的HIPS称为Defense+，简称D+。comodo的主界面有概要、防火墙、defense+和其他选项卡。Defense+即本小节的入侵防御功能。comodo的设置功能包含基本设置和高级设置，如图12.13和12.14所示。,图12.13 Defense+基本设置功能图示,图12.14 Defense+高级设置功能图示,12.4 常用入侵检测系统与入侵防御系统,12.4.3 入侵防御系统comodo,（2）comodo规则 打开受保护文件的按钮，即可得到相应的受保护文件各个

37、目录下的规则条目，路径下面存放的是需要进行保护的文件，文件受到这里的保护后，可以阻止没有得到授权的用户的访问。该界面的右边有“添加”、“编辑”、“移除”、“清理”和“组”几个选项卡。 通过操作选项卡可以很方便地查看comodo的Defense+中全部的规则，并且可以很轻松地完成对规则的修改。,12.4 常用入侵检测系统与入侵防御系统,12.4.4 其他入侵防御系统,（1）常用HIPS 常用的经典HIPS还有Tiny、Winpooch、SNS、PG、GSS、SS、SQSecure、Parador File Protection PE和Viguard等。 Tiny是一款同时拥有应用程序防御体系、注

38、册表防御体系和文件防御体系的基于主机的入侵防御系统。此外，它还有防火墙的功能，具有很好的兼容性和稳定性，功能也非常齐全。 Winpooch的运行不太稳定，容易造成系统卡顿，功能较少。,12.4 常用入侵检测系统与入侵防御系统,12.4.4 其他入侵防御系统,（1）常用HIPS SNS（SafeNSec Personal）是同时拥有应用程序防御体系、注册表防御体系和文件防御体系的一款基于主机的入侵防御系统，该系统建立在行为分析的基础之上，有很先进的预先侦察系统，可以防止病毒渗透到计算机中破坏信息，其界面十分友好。 SSM（System Safety Monitor）同时拥有应用程序防御体系、注册

39、表防御体系和文件防御体系，免费版支持应用程序和注册表的防御体系，商业版还支持文件防御体系。目前，该产品的商业版也已经免费了。,12.4 常用入侵检测系统与入侵防御系统,12.4.4 其他入侵防御系统,（1）常用HIPS PG（ProcessGuard & Port Explorer）支持应用程序防御体系和注册表防御体系，实现简单，稳定性好。 GSS（Ghost Security Suite）拥有应用程序防御体系和注册表防御体系，其稳定性不是很好，但其安全性非常高。 SS（SafeSystem 2006）只支持文件防御体系，规则较完善，该软件对可疑文件的操作都是在已经处理完成后才会发送警告消息给

40、用户的。,12.4 常用入侵检测系统与入侵防御系统,12.4.4 其他入侵防御系统,（1）常用HIPS EQSecure（国产的E盾）是一款同时支持应用程序防御体系、注册表防御体系和文件防御体系的入侵检测软件，用户可以自定义规则来实现对系统的控制。Parador File Protection PE只有文件防御体系，对操作系统的开机有影响，文件防御的功能不是很全面。,12.4 常用入侵检测系统与入侵防御系统,12.4.4 其他入侵防御系统,（2）4D HIPS 所谓4D是指应用程序防御（Application Defend，AD）、注册表防御（Registry Defend，RD）、文件防御（

41、File Defend，FD）和网络防御（Network Defend，ND）。 中网S3是一款拥有4D的主机系统安全工具，可以解决网络攻击、入侵、蠕虫病毒、间谍木马等问题，是一个基于Windows集防火墙、入侵检测与防御系统、蠕虫病毒免疫系统等于一体的软件系统。,12.4 常用入侵检测系统与入侵防御系统,12.4.4 其他入侵防御系统,（3）智能HIPS 智能HIPS是不需要手工制定或者很少需要手工制定便能够实施系统保护的HIPS，其判断法则和处理规则都集成到了软件中，对一些危险的情况能够智能化地完成判定和处理。,12.5 其他的网络安全工具,12.5.1 360安全卫士,（1）简介 360

42、安全卫士是由奇虎360公司推出的一款功能强大、效果好、受用户欢迎的杀毒软件。（2）基本功能 电脑体检、查杀修复、电脑清理、优化加速、电脑门诊、软件管家、功能大全等。,12.5 其他的网络安全工具,12.5.1 360安全卫士,（3）最新功能 云查杀功能、木马防火墙、360工程师、360云恢复、网速测试器、手机云备份功能等。 （4）360其它产品 360杀毒、360网盾、360网购保镖、360安全浏览器、360系统急救箱、360安全桌面、360手机卫士、360游戏保险箱等。,12.5 其他的网络安全工具,12.5.2 瑞星卡卡上网助手,（1）简介 瑞星卡卡上网助手是由瑞星公司出品的一款基于互联网

43、设计的反木马软件。 （2）功能 瑞星卡卡具有木马下载拦截、木马行为分析与拦截和在线诊断的基本功能，强力修复系统、强大的进程与启动项目管理功能、漏洞扫描功能、各种高级工具集和几大监控保护等增强功能，也具有扫描流氓软件、查杀常见木马、漏洞扫描与恢复和在线诊断等附加功能。,12.5 其他的网络安全工具,12.5.2 瑞星卡卡上网助手,（3）应用举例 rootkits是一种病毒编写技术，具有自身和指定文件的保护机制，带有rootkits的流氓软件有很强的保护伞，各种杀毒软件在其面前都无济于事，瑞星采用了“碎甲”技术并通过Windows驱动程序加载进行拦截， rootkits外壳就不再起作用了； 对于未

44、知病毒的查杀，瑞星卡卡采用特征匹配的方式对内存进行扫描便可迅速地将未知的变种病毒清除； 瑞星卡卡有插件的管理和免疫，对正规的插件进行有序管理，对垃圾插件进行清除或隔离操作。此外，瑞星卡卡还有IE修复和系统修复的功能。,本章小结,本章主要介绍了网络扫描测试工具、计算机病毒防范工具、典型的防火墙技术、入侵检测与入侵防御技术以及其他网络安全工具。 本章还给出了360安全卫士和瑞星卡卡等网络安全工具的使用。 本章最重要的知识点是网络扫描技术、防火墙技术的基本原理和应用、入侵防御与入侵检测的对比。,问题与作业,12.1 什么是网络扫描？网络扫描的基本原理是什么？ 12.2 什么是防火墙？防火墙可以分成哪几类？ 12.3 什么是入侵检测技术和入侵防御技术？试从多方面对入侵检测技术和入侵防御技术进行比较。,问题与作业,*12.4 基于IPtables的NAT实现在本章中给出了NAT的基本原理，试依照这种原理，画出图12.15所示的地址转换列表和每段传输链路中的源Socket信息、目的Socket信息。图12.15 NAT习题 *12.5 比较说明入侵和网络扫描之间的关系，防火墙与入侵检测、入侵防御之间的关系。,