1、1,第5章 防火墙与反病毒技术,2,第一部分 防火墙,3,一、 防火墙的概念,内容攻击的风险日趋增长!,4,1、防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。它是不同网络或网络安全域之间信息的唯一出入口 。,5,2、设置防火墙的目的,(1)防火墙是网络安全的屏障 (2)防火墙可以强化网络安全策略 (3)对网络存取和访问进行监控审计 (4)防止内部信息的外泄,6,3、防火墙的功能过滤不安全的服务; 过滤非法用户和站点访问控制; 集中式安全保护; 提供防御功能:支持病毒扫描;提供内容 过滤;抵御部分Dos攻击;阻止Axt
2、iveX、Java、Cookes、Javascript侵入; 加密支持功能; 认证支持功能; 管理功能; 记录和报表功能;,7,4、 防火墙的发展,第一代防火墙:采用了包过滤(Packet Filter)技术。 第二、三代防火墙:1989年,推出了电路层防火墙,和应用层防火墙的初步结构。 第四代防火墙:1992年,开发出了基于动态包过滤技术的第四代防火墙。 第五代防火墙:1998年,NAI公司推出了一种自适应代理技术,可以称之为第五代防火墙。,8,防火墙技术的简单发展历史,9,二、 包过滤型防火墙,1、包过滤的概念包过滤是一种保安机制,它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。包过
3、滤是在网络中的适当位置对数据包实施有选择的通过的技术。,10,2、包过滤技术的原理在路由器上加入IP过滤功能,这样的路由器逐一审查每个数据包以判定它是否与包过滤规则相匹配(只检查包头,不理会包内的正文信息)。 如果找到一个匹配,且规则允许这包,这个包则根据路由表中的信息前行;如果找到一个匹配,且规则拒绝此包,这一包则被舍弃;如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。,11,12,3、包过滤检查的内容(1)IP源地址; (2)IP目的地址; (3)协议类型(TCP包、UDP包和ICMP包); (4)TCP或UDP的源端口; (5)TCP或UDP的目的端口; (6)ICMP
4、(Internet控制消息协议 )消息类型; (7)TCP报头中的ACK位。另外,TCP的序列号、确认号,IP校验以及分段偏移也往往是要检查的选项。,13,4、包过滤规则包过滤规则以表格形式表示,又称访问控制列表。其中包括以某种次序排列的条件和动作序列。,14,5、包过滤技术的发展静态包过滤:根据定义好的过滤规则审查每一个数据包,以便决定是否与某一条过滤规则相匹配。 动态包过滤:检测模块抽取部分信息作为网络通信状态进行监控,以此作为参考,动态制定包过滤规则。,15,动态包过滤防火墙,静态包过滤防火墙,16,6、包过滤路由器的优点1)实现包过滤几乎不再需要费用。这些特点都包含在 标准的路由器软件
5、中。绝大多数Internet防火墙系统只用一个包过滤路由器。2)执行包过滤所用的时间很少或几乎不需要什么时间。如果通信负载适中且定义的过滤很少的话,则对路由性能没有多大影响。3)包过滤路由器对终端用户和应用程序是透明的,因此不需要专门的用户培训或在主机上设置特别的软件。,17,7、包过滤路由器的局限性1)定义包过滤器的工作复杂, 要了解Internet各种服务、包头格式和每个域查找的特定值。管理困难。2)通过路由器的数据包有可能被用于数据驱动攻击。3)过滤器数目增加,路由器吞吐量下降。4)无法对流动的信息提供全面控制。不能理解上下文。5)一些应用协议不适合于包过滤,如:RPC、FTP等。6)日
6、志能力较弱。不能报告谁企图入侵。7)难以针对用户实施安全策略。,18,三、代理服务器型防火墙,1、代理服务器防火墙的原理代理服务器防火墙通过在主机上运行代理的服务程序,直接对特定的应用层服务,也称为应用网关防火墙。 代理服务器防火墙将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接,由通过代理服务器实现的连接来完成,外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。此外,代理服务器也对过往的数据包进行分析、记录、形成报告,当发现攻击迹象时会向网络管理员发出警告,并保留攻击痕迹。,19,代理服务器防火墙是在网络的应用层上实现协议过滤和转发功能
7、。每一种代理服务器防火墙都是针对特定的网络应用服务协议设计的,如:超文本传输协议(HTTP)、远程文件传输协议(FTP)等,使用指定的数据过滤规则。,20,2、代理服务器防火墙的工作过程描述用包过滤路由器封锁所有可能进入http服务器的网点。路由器允许http包只通过一个主系统,即http应用网关,然后再连接到目的主系统: 用户首先把http连接到应用网关,并输入内部主系统名字; 网关检验用户的源IP地址,并根据访问准则接受或拒绝; 代理服务软件在网关和内部主系统之间建立http连接; 代理服务软件在两个连接之间传送数据; 应用网关记录连接情况。,21,代理的工作方式,22,3、代理服务器防火
8、墙的发展代理防火墙: 1990年,安全,但速度慢。 自适应代理防火墙:由代理服务器和动态包过滤器组成。由自适应代理根据用户配置决定是使用代理服务器还是使用动态包过滤器。可发挥这二者的优势,既安全,又可获得高速度。,23,4、代理服务的优点 信息隐蔽性强 健全的身份认证和记账功能 系统代价少 简化了包过滤规则,24,5、代理服务的缺点 速度慢:检查内容;转发/响应 代理对用户不透明:对客户端要定制软件或改动;代理服务难以让客户非常满意 不能改进底层协议的安全:IP欺骗,SYN泛滥,拒绝服务攻击 有可能受到协议漏洞的威胁。,25,6、两种防火墙技术的对比,26,四、防火墙的体系结构,1、 堡垒主机
9、堡垒主机是一种被强化的可以防御进攻的计算机(例如安装代理服务器防火墙的计算机),是高度暴露于Internet中的,也是网络中最容易受到侵害的主机。 它为内部网络和Internet之间的所有通道提供了一个阻塞点。,27,防火墙和包过虑路由器可以被看作堡垒主机。由于堡垒主机完全暴露在外网安全威胁之下,需要做许多工作来设计和配置堡垒主机,使它遭到外网攻击成功的风险性减至最低。,28,堡垒主机基本设计原则: 使堡垒主机尽可能简单 随时做好修复堡垒主机的准备,29,2、双宿主主机防火墙双重宿主主机是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之
10、间的路由器,并能够从一个网络到另一个网络发送IP数据包。双宿主主机防火墙的最大特点是IP层的通信被阻止,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成,而不能直接通信。,30,31,3、屏蔽主机防火墙使用一个屏蔽路由器和一个堡垒主机构造防火墙,屏蔽路由器采用包过滤方式实现访问控制,堡垒主机(例如可安装代理服务器防火墙)是内部网络中能被因特网中的主机访问的唯一主机,内部网中的其它主机是不可见的;,32,屏蔽路由器构成第一道防线,需要根据实际的网络安全策略配置。 必须同时考虑屏蔽路由器和堡垒主机的安全性 必须使屏蔽路由器和堡垒主机的访问控制表相互协调。 比双宿主主机体系提供更好的安全
11、性和可用性,33,4、屏蔽子网防火墙 由外部屏蔽路由器、内部屏蔽路由器和堡垒主机构成,内外部屏蔽路由器间形成一个非军事化的子网,将内部网络和外部网络隔离开来。 该体系结构使得堡垒主机免受来自外部网络和内部网络的攻击,增加黑客攻击的难度。,34,35,五、防火墙的局限性,恶意的知情者 不通过它的联接 不能抵抗全部的威胁 病毒 特洛伊木马 物理故障 不当配置 防火墙难于管理和配置,易造成安全漏洞。 很难为用户在防火墙内外提供一致的安全策略。 防火墙只实现了粗粒度的访问控制。,36,六、防火墙技术发展动态和趋势,(1)优良的性能 (2)可扩展的结构和功能 (3)简化的安装与管理 (4)主动过滤 (5
12、)防病毒与防黑客,37,七、防火墙产品选购策略,1防火墙的安全性 2防火墙的高效性 3防火墙的适用性 4防火墙的可管理性 5完善及时的售后服务体系,38,八、典型防火墙产品介绍,13Com Office Connect Firewall新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全。Office Connect Internet Firewall 25使用全静态数据包检验技术来防止非法的网络接入和防止来自Internet的“拒绝服务”攻击,它还可以限制局域网用户对Internet的不恰当使用。,39,Office Connect Internet Firewall DMZ可
13、支持多达100个局域网用户,这使局域网上的公共服务器可以被Internet访问,又不会使局域网遭受攻击。3Com公司所有的防火墙产品很容易通过 Getting Started Wizard 进行安装。,40,2Cisco PIX防火墙(1)实时嵌入式操作系统。(2)保护方案基于自适应安全算法(ASA),可以确保最高的安全性。(3)用于验证和授权的“直通代理”技术。(4)最多支持250000个同时连接。(5) URL过滤。,41,(6)HP Open View集成。(7)通过电子邮件和寻呼机提供报警和告警通知。(8)通过专用链路加密卡提供VPN支持。(9)符合委托技术评估计划(TTAP),经过了
14、美国安全事务处(NSA)的认证,同时通过中国公安部安全检测中心的认证(PIX520除外)。,42,3. 其他企业级防火墙 以色列Checkpoint公司的Fire Wall-1 NAI公司的Gauntlet CyberGuard 公司的Fire Wall,43,4. 个人防火墙 澳大利亚的Secure PC 加拿大的ConSeal PC 美国的Cyber Patrol 中国的“天网”、“网络卫士”、“蓝盾”,44,第二部分 反病毒技术,45,一、计算机病毒及其特征,1、病毒的发展简史,46,47,2、计算机病毒的定义1994年2月18日,我国正式颁布实施了中华人民共和国计算机信息系统安全保护条
15、例,在条例第二十八条中明确指出:“计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 ”。,48,3、病毒的产生原因 (1)编制人员出于一种炫耀和显示自己能力的目的。 (2)某些软件作者出于版权保护的目的而编制 。 (3)出于某种报复目的或恶作剧而编写病毒。 (4)出于政治、战争的需要。,49,4、计算机病毒的危害 1)计算机病毒造成巨大的社会经济损失。 2)影响政府职能部门正常工作的开展。 3)计算机病毒被赋予越来越多的政治意义。 4)利用计算机病毒犯罪现象越来越严重。,50,5、计算机病毒的特征 寄生性 隐蔽性 传
16、染性 潜伏性 破坏性和表现性 主动通过网络和邮件系统传播 传播速度极快 变种多 具有黑客程序的功能,51,6、病毒对计算机系统的破坏 破坏文件分配表 删除文件 修改或破坏重要数据 减少磁盘空间 显示非正常信息和图像 系统不能正常存储 造成写错误 破坏磁盘文件目录 降低计算机工作速度 非法格式化 打印机故障 文件增长 改变系统正常运行过程 造成屏幕和键盘死锁,52,二、计算机病毒的种类,依据不同的分类标准,计算机病毒可以做不同的归类。常见的分类标准有:1、根据病毒依附的操作系统2、根据病毒的攻击方式3、根据病毒的破坏情况4、根据病毒的传播媒介,53,1、按照病毒攻击的操作系统分类,Microso
17、ft DOS Microsoft Windows 95/98/ME Microsoft Windows NT/2000/XP Unix(Linux) 其他操作系统,54,2、按照病毒的传播媒介分类,存储介质 网络媒介 邮件 网页 局域网 远程攻击,55,3、按病毒的传播和感染对象分类,感染引导区 感染文件:可执行文件、OFFICE宏、网页脚本 网络蠕虫 网络木马 破坏程序 其他恶意程序,56,二、计算机病毒的组成,目前的计算机病毒几乎都是由三部分组成的,即引导模块、传染模块与表现模块。 引导模块借助宿主程序将病毒主体从外存加载到内存,以便传染模块和表现模块进入活动状态。 传染模块负责将病毒代码
18、复制到传染目标上去。 表现模块是病毒间差异最大的部分,它判断病毒的触发条件,实施病毒的破坏功能。,57,1、文件型病毒文件型病毒指专门传染可执行文件的病毒,主要可分为三类:寄生病毒、覆盖病毒和伴随病毒。 寄生病毒在感染的时候,将病毒代码加入正常程序中,原来程序的功能部分或者全部被保留。寄生病毒把自己加入正常程序的方法有很多种。根据病毒代码加入的方式不同,可分为“头寄生”、“尾寄生”、“插入寄生”和“空洞利用”4种。 覆盖病毒直接用病毒程序替换被感染的程序。 伴随病毒不改变被感染的文件,而是为被感染的文件创建一个伴随文件(病毒文件)。,四、 常见计算机病毒分析,58,2、引导型病毒引导型病毒传染
19、的对象主要是磁盘的引导扇区。所以,在系统启动时,这类病毒会优先于正常系统的引导将其自身装入到系统中,获得对系统的控制权。病毒程序在完成自身的安装后,再将系统的控制权交给真正的系统程序,完成系统的引导,但此时系统已处在病毒程序的控制之下。 引导型病毒还可以根据其存储方式分为覆盖型和转移型两种。,59,转移型引导病毒在传染磁盘引导区之前保留了原引导记录,并转移到磁盘的其他扇区,以备将来病毒初始化模块完成后仍然由原引导记录完成系统正常引导。绝大多数引导型病毒都是转移型的引导病毒。 覆盖型引导病毒在传染磁盘引导区时,病毒代码将直接覆盖正常引导记录。,60,3、宏病毒 1)关于宏所谓宏,就是软件设计者为
20、了在使用软件工作时,避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法,把常用的动作写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作。在Word中对宏定义为“宏就是能组织到一起作为一独立的命令使用的一系列Word命令,它能使日常工作变得更容易。”Word宏是使用Word Basic语言来编写的。,61,2)宏病毒所谓“宏病毒”,就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种跨平台式计算机病毒,可以在Windows 9X、Windows NT、OS/2和Macintosh System 7等操作系统上执行病毒
21、行为。,62,通过移动存储设备传播。 通过计算机网络传播。 通过点对点通信系统和无线通道传播。,五、计算机病毒的传播途径,63,六、病毒的一般防治,1、反病毒的基本原则 1.不存在这样一种反病毒软硬件,能够防治未来产生的所有病毒。 2.不存在这样的病毒软件,能够让未来的所有反病毒软硬件都无法检测。 3.目前的反病毒软件和硬件以及安全产品是易耗品, 必须经常进行更新、升级。 4.病毒产生在前,反病毒手段滞后将是长期的过程。,64,2、用户病毒防治实用方法,学习电脑知识,增强安全意识。 经常对电脑内容进行备份。 开机时打开实时监控,定时对电脑文件进行扫描。 经常对操作系统打补丁,对反病毒软件进行升
22、级。 一旦病毒破坏导致数据丢失,通过备份进行修复或者通过专业公司进行灾难恢复。,65,七、病毒防治技术的现状,(1)目前广泛应用的3种技术:,特征码扫描法,特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中,在扫描时将扫描对象与特征代码库比较,如有吻合则判断为染上病毒。该技术实现简单有效,安全彻底;但查杀病毒滞后,并且庞大的特征码库会造成查毒速度下降;,66,虚拟执行技术,该技术通过虚拟执行方法查杀病毒,可以对付加密、变形、异型及病毒生产机生产的病毒,具有如下特点:,在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机器” 在虚拟机环境中虚拟执行(不会被实际执行)可疑带毒文件
23、在执行过程中,从虚拟机环境内截获文件数据,如果含有可疑病毒代码,则杀毒后将其还原到原文件中,从而实现对各类可执行文件内病毒的查杀,67,文件实时监控技术,通过利用操作系统底层接口技术,对系统中的所有类型文件或指定类型的文件进行实时的行为监控,一旦有病毒传染或发作时就及时报警。从而实现了对病毒的实时、永久、自动监控。这种技术能够有效控制病毒的传播途径,但是这种技术的实现难度较大,系统资源的占用率也会有所降低。,68,(2)病毒的新特点,病毒与其他技术相融合,传播途径多,扩散速度快,欺骗性强,大量消耗系统与网络资源,病毒出现频度高,病毒生成工具多,69,智能引擎技术,智能引擎技术发展了特征码扫描法
24、的优点,改进了其弊端,使得病毒扫描速度不随病毒库的增大而减慢。,(3)最新反病毒技术,70,计算机监控技术,文件实时监控 内存实时监控 脚本实时监控 邮件实时监控 注册表实时监控,71,嵌入式杀毒技术,嵌入式杀毒技术是对病毒经常攻击的应用程序或对象提供重点保护的技术,它利用操作系统或应用程序提供的内部接口来实现。它对使用频度高、使用范围广的主要的应用软件提供被动式的防护。如对MS-Office、Outlook、IE、Winzip、NetAnt等应用软件进行被动式杀毒。,72,未知病毒查杀技术,未知病毒技术是继虚拟执行技术后的又一大技术突破,它结合了虚拟技术和人工智能技术,实现了对未知病毒的准确
25、查杀。,73,压缩智能还原技术,世界上的压缩工具、打包工具、加“壳”工具多不胜数,病毒如果被这样的工具处理后被层层包裹起来,对于防病毒软件来说,就是一个噩梦。为了使用统一的方法来解决这个问题,反病毒专家们发明了未知解压技术,它可以对所有的这类文件在内存中还原,从而使得病毒完全暴露出来。,74,多层防御,集中管理技术,反病毒要以网为本,从网络系统的角度设计反病毒解决方案,只有这样才能有效地查杀网络上的计算机病毒。在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护和管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件需要能在几分钟之内便可轻松地安装到组织里的每一个服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。,75,病毒免疫技术,病毒免疫技术一直是反病毒专家研究的热点,它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。实际上,最近出现的软件安全认证技术也应属于此技术的范畴,由于用户应用软件的多样性和环境的复杂性,病毒免疫技术到广泛使用还有一段距离。,76,八、病毒防治技术的趋势前瞻,加强对未知病毒的查杀能力,防杀针对移动智能终端的病毒,兼容性病毒的防杀,进一步加强对网络病毒的查杀力度,77,本章小结,
