1

第 10 章 Internet 安全本章主要内容 :

安全威胁 安全目标 信息安全体系 防火墙技术

2

10.1 安全威胁10.1.1 案例分析

3

复旦大学安全事件投诉率

垃圾邮件

蠕虫病毒

网页篡改

主机入侵

DDOS 攻击其他

4

针对网络和服务器垃圾邮件蠕虫病毒网页篡改DDOS 攻击局域网 ARP 欺骗网络扫描

5

针对个人用户主机入侵木马宏病毒帐号、权限盗用弱口令

6

垃圾邮件根据统计，每日收到的垃圾邮件和病毒邮件约

占总请求数 80% ，在病毒多发期此数字甚至达到 90% 以上。

网页篡改即使使用了反向代理 + 防火墙方式为二级网站

提供安全屏障，网页被篡改现象仍然时有发生。

分析

7

分析2004 年冲击波病毒。中毒电脑数量巨大，造成

网络严重阻塞。主机入侵。一学生对计算机技术了解不多，但

是他利用黑客工具进行扫描和入侵，基本不搞破坏，较多行动是用肉机开设代理服务器。

8

因中毒而被病毒制造者控制的计算机被称为“肉机”。

就是可以被可以远程控制的机器 ( 无论是装木马还是留了后门 ). 叫肉鸡 , 是指成你成了别人的 “枪”。

9

分析垃圾邮件是 Internet 的最大危害之一网站开发和管理人员水平参差不齐，代码编写不规范，

使注入攻击等方式有机可乘随处可下载黑客工具，黑客行为傻瓜化用户电脑技术不高，不会使用防火墙、杀毒软件等安全

工具用户欠缺必要的信息安全知识，弱密码泛滥，安装补丁

不及时学生法律意识薄弱，图一时之利，不考虑后果

10

10.1.2 安全威胁的几种类型冒名顶替 废物搜寻

身份识别错误

不安全服务

配置

初始化

乘虚而入代码炸弹病毒

更新或下载特洛伊木马

间谍行为

拨号进入

算法考虑不周

随意口令

口令破解

口令圈套

窃听 偷窃

安全威胁

线缆连接

身份鉴别编程

系统漏洞

物理威胁

11

10.2 网络攻击行径分析10.2.1 攻击事件10.2.2 攻击的目的10.2.3 攻击诀窍

12

10.2.1 攻击事件

攻击事件分类 破坏型攻击利用型攻击信息收集型攻击网络欺骗攻击垃圾信息攻击

13

10.2.2 攻击目的

攻击的动机 恶作剧 恶意破坏 商业目的 政治军事

14

10.2.2 攻击目的（续）

攻击目的破坏目标工作窃取目标信息控制目标机器利用假消息欺骗对方

15

10.2.3 攻击诀窍基本方法

黑客软件 Back Orifice2000 、冰河

安全漏洞攻击 Outlook ， IIS ， Serv-U

对防火墙的攻击 Firewalking、 Hping

渗透 路由器攻击

16

10.3 网络恶意代码

10.3.1 网络恶意代码的基本概念10.3.2 流行的网络恶意代码分类10.3.3 网络恶意代码的运行周期及我们的上网安

全意识

17

10.3.1 恶意代码的基本概念

恶意代码，又称 Malicious Code ，或 MalCode,

MalWare 。 其是设计目的是用来实现某些恶意功能的代码

或程序。

18

计算机病毒网络蠕虫特洛伊木马后门RootKit

拒绝服务程序，黑客工具，广告软件，间谍软件……

10.3.2 网络恶意代码的分类

19

1. 一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。

如 CIH 、爱虫、新欢乐时光、求职信、恶鹰、 rose…

ROSE:千万不要直接点击 U盘的盘符进去 ,否则会立刻激活病毒

计算机病毒

20

一组能够进行自我传播、不需要用户干预即可触发执行的破坏性程序或代码。

其通过不断搜索和侵入具有漏洞的主机来自动传播。

如红色代码、 SQL蠕虫王、冲击波、震荡波、极速波…

极速波是一个利用微软“即插即用服务代码执行漏洞” (MS05-039) 的蠕虫病毒。该病毒利用最新漏洞传播 ,并且可以通过 IRC接受黑客命令 ,致使被 感 染 计 算 机 被 黑 客 完 全 控 制 。

网络蠕虫

21

指一类看起来具有正常功能，但实际上隐藏着很多用户不希望功能的程序。通常由控制端和被控制端两端组成。

如冰河、网络神偷、灰鸽子…… 灰鸽子是新出现的一款国产木马软件 ,由服务器端“ P_Server.exe” 和客户端“ P_Client.exe”构成。其服务器端伪装成文本文件的图标 , 误运行后 , 会打开受害机的 8225端口。

特洛伊木马

22

后门 使得攻击者可以对系统进行非授权访问的一类程序。

如 Bits 、 WinEggDrop 、 Tini…Tini能在 Windows 系统中建立后门监听代理，它的功能没有 netcat那么多的功能，并且不能对它进行配置，但是它非常小，整个长度才 3k 。 Tini 最大的缺点是通常工作在端口 7777 ，并且有人接入到此端口时，就运行命令提示符，这使得它非常容易被探测出来。 Natcat 可以监听任何一个端口，所以被发现的概率要小得多

23

通过修改现有的操作系统软件，使攻击者获得访问权并隐藏在计算机中的程序。

如 RootKit 、 Hkdef 、 ByShell…

RootKit

24

10.3.3 网络恶意代码的运行周期

寻找目标

在目标之中

将自身保存

恶意代码执行

目标系统中的

触发

目标系统之中

长期存活于

让自身

保存线 触发线

25

寻找目标

在目标之中

将自身保存

恶意代码执行

目标系统中的

触发

目标系统之中

长期存活于

让自身

寻找目标

在目标之中

将自身保存

恶意代码执行

目标系统中的

触发

目标系统之中

长期存活于

让自身

•寻找目标•本地文件（ .exe,.scr,.doc,vbs…）•可移动存储 设备•电子邮件地址•远程计算机系统•……

26

寻找目标

在目标之中

将自身保存

恶意代码执行

目标系统中的

触发

目标系统之中

长期存活于

让自身

在目标之中

将自身保存

恶意代码执行

目标系统中的

触发

目标系统之中

长期存活于

让自身

•主动型—程序自身实现•病毒，蠕虫

•被动型 -人为实现•物理接触植入•入侵之后手工植入•用户自己下载（姜太公钓鱼）•访问恶意网站•……

多用于木马，后门， Rootkit…

27

寻找目标

在目标之中

将自身保存

恶意代码执行

目标系统中的

触发

目标系统之中

长期存活于

让自身

恶意代码执行

目标系统中的

触发

目标系统之中

长期存活于

让自身

•主动触发•蠕虫

•各种漏洞（如缓冲区溢出）•恶意网站

•网页木马•被动触发

•初次人为触发•双击执行，或命令行运行•打开可移动存储 设备…•打开本地磁盘•……

•系统重启后的触发•各种启动项（如注册表，启动文件…）

28

寻找目标

在目标之中

将自身保存

恶意代码执行

目标系统中的

触发

目标系统之中

长期存活于

让自身

目标系统之中

长期存活于

让自身

•静态存在形式•文件（Exe,Dll…）•启动项（修改注册表、各种启动文件…）•……

•动态存在形式•进程（自创进程或插入到其他进程之中）•服务•端口（对外通信）•……

以上也是恶意代码检测的基础和依据所在；而恶意代码本身也会对文件、启动项、进程、端口、服务等进行隐藏 -- 〉即 RootKit。

29

上网安全意识—恶意代码篇

寻找目标

在目标之中

将自身保存

恶意代码执行

目标系统中的

触发

目标系统之中

长期存活于

让自身

•安装反病毒软件和防火墙•及时更新系统补丁、病毒库•不访问恶意网站•为系统设置系统密码•离开计算机时锁定计算机•不从不知名网站下载软件•拒绝各种诱惑（如色情）•移动存储 设备的可写开关•……

•及时更新系统补丁、病毒库•对系统关键程序（如 cmd.exe ）作权限保护•不运行来历不明文件（包括数据文件）•养成安全的移动存储 设备使用习惯•定期备份与还原系统•关注系统启动项和系统目录中的可执行文件•……

•安装杀毒软件，更新病毒库•定期备份与还原系统•清除异常系统启动项与系统目录异常文件•关注异常进程、端口、服务、网络流量…•……

保存线 触发线 存活线

30

目前恶意代码的发展趋势

目的性和自我隐蔽性将会越来越强。

恶意代码功能不局限某一单一形式，为了实现更多的功能，其将会吸收各种恶意代码的长处。这也将成为以后恶意代码的主流之一。

从瑞星 2006 年上半年的安全报告来看，近半年时间，其新截获病毒就达 119402 个之多，相当于过去 几年截获病毒数量的总和。

如果继续以这个速度发展下去的话，目前的杀毒模式确实很吃力。在数量急剧增加的同时，病毒的传播速度越来越快，这对反病毒厂商的反应能力进一步提出了更高要求。

31

目前杀毒软件对恶意代码的查杀

所有恶意代码均在杀毒软件的查杀范围之内

特征值查毒法主流技术 获取样本 - 〉提取特征码 - 〉更新病毒库 - 〉查杀病

毒 配合虚拟机技术、启发式扫描技术 已经难以满足实际需要

病毒数量急剧增加 传播速度越来越快

主动防御技术发展趋势 东方微点 - 微点主动防御软件 http://www.micropoint.com.cn

32

33

10.4 安全的目标保障安全的基本目标就是要能具备

安全保护能力隐患发现能力应急反应能力信息对抗能力

采取积极的防御措施，保护网络免受攻击、损害；具有容侵能力，使得网络在即使遭受入侵的情况下也能够提供安全、稳定、可靠

的服务

能够及时、准确、自动地发现各种安全隐患特别是系统漏洞，并及时消除安全隐患

万一网络崩溃，或出现了其它安全问题，能够以最短的时间、最小的代价恢复系统，同时使用户的信息资产得到最大程度的保护

信息对抗能力已经不只是科技水平的体现，更是综合国力的体现。未来的战争无疑是始于信息战，以网络为基础的信息对抗将在一定程度上决定战争的胜负

34

Ö Øµ ã

° ²È «¹ ÜÀ í

安全体系

Î ïÀ í° ²È « Í øÂ ç° ²È « Ð ÅÏ ¢° ²È «

» ·¾ ³° ²È «

à ½Ì å° ²È «

É è± ¸° ²È «

· ´

² ¡

¶ ¾

É ó¼ Ƽ à¿ Ø

° ²È «¼ ì² â

· ÃÎ Ê¿ ØÖ Æ

± ¸· Ý» Ö¸ ´

´ «Ê ä° ²È «

´ ¢´ æ° ²È «

Ó Ã» §¼ øÈ ¨

Ä ÚÈ ÝÉ ó¼ Æ

10.5 信息安全体系10.5 信息安全体系

35

· ÃÎ Ê¿ ØÖ Æ ´ «Ê ä° ²È «Ó û §¼ øÈ ¨° ²È «¼ ì² â

³ öÈ ë¿ ØÖ Æ

´ æÈ ¡¿ ØÖ Æ

° ²È «É ¨Ã è

È ëÇ Ö¼ ì² â

¿ ÚÁ î» úÖ Æ

Ö ÇÄ Ü¿ ¨

Ö ÷Ì åÌ ØÕ ÷

´ «Ê äÊ ý¾ ݼ Óà Ü

Ê ý¾ ÝÍ êÕ û¼ ø± ð

· Àµ ÖÀ µ

Ê ý× ÖÖ ¤Ê é

¿ ØÖ Æ± í¼ ¼Ê õ ¹ ¥» ÷¼ ¼Ê õ ¿ ÚÁ î¼ ¼Ê õ ¼ Óà ܼ ¼Ê õ° ²È «Ð ­Ò é

信息安全体系信息安全体系

36

安全策略

防护

检测检测

响应响应

入侵检测

黑名单

身份认证

数据加密

访问控制用户

隔离

告警

策略更改

ASPF

日志

P2DR（ Policy 、 Protection 、 Detection 、 Response）模型是安全管理基本思想，贯穿 IP 网络的各个层次

安全体系结构安全体系结构 安全模型——P2DR 安全模型——P2DR

37

信息保障

Information Assurance

保护（ Protect）检测（ Detect）反应（ React）恢复（ Restore）

保护

Protect

检测

Detect

恢复

Restore

反应

React

IA

38

10.6 防火墙技术 10.6.1 防火墙技术概述 10.6.2 防火墙的结构 10.6.3 构建防火墙 10.6.4 防火墙产品

39

10.6.1 防火墙技术概述

在网络中防火墙主要用于逻辑隔离外部网络与受保护的内部网络

40

10.6.1 防火墙技术概述

防火墙技术属于典型的静态安全技术，该类技术用于逻辑隔离内部网络与外部网络 .

通过数据包过滤与应用层代理等方法实现内外网络之间信息的受控传递，从而达到保护内部网络的目的

41

10.6.1 防火墙技术概述

经典安全模型防火墙规则匹配条件防火墙分类

42

10.6.1 防火墙技术概述

经典安全模型

43

10.6.1 防火墙技术概述

防火墙规则 防火墙的基本原理是对内部网络与外部网络

之间的信息流传递进行控制控制的功能是通过在防火墙中预先设定一定

的安全规则（也称为安全策略）实现的

44

10.6.1 防火墙技术概述

防火墙规则 防火墙的安全规则由匹配条件与处理方式两个部分共同构成

其中 匹配条件是一些逻辑表达式，根据信息中的特定值域可以计算出逻辑表达式的值为真（ True）或假（ False）

如果信息使匹配条件的逻辑表达式为真，则说明该信息与当前规则匹配

45

10.6.1 防火墙技术概述

防火墙规则 信息一旦与规则匹配，就必须采用规则中的处理方式进行处理

处理方式主要包括Accept：允许数据包或信息通过 Reject：拒绝数据包或信息通过，并且通知信息源该信息被禁止

Drop：直接将数据包或信息丢弃，并且不通知信息源

46

10.6.1 防火墙技术概述

防火墙规则 基本原则

“默认拒绝”原则 “默认允许”原则

现有的防火墙产品大多基于第一种规则

47

10.6.1 防火墙技术概述

匹配条件 网络层

IP源地址、 IP 目的地址、协议传输层

源端口 、目的端口 应用层

根据各种具体应用而定基于信息流向的匹配条件

向内、向外

48

10.6.1 防火墙技术概述

防火墙分类 按防范领域分类

个人防火墙 – 禁止 Internet文件共享 、隐藏端口 、过滤 IP 信

息流 、控制 Internet 应用程序 、警告和日志 、漏洞检查

网络防火墙– 对网络数据流进行分析，并按照规则进行过滤。

49

10.6.1 防火墙技术概述

防火墙分类 按实现的方式分类

软件防火墙硬件防火墙

50

10.6.1 防火墙技术概述

防火墙分类 按实现技术分类

数据包过滤– 在系统进行 IP 数据包转发时设置访问控制列表，访问控制列表主要由各种规则组成。

– 数据包过滤的规则主要采用网络层与传输层匹配条件 应用层代理

– 应用层代理是指运行在防火墙主机上的特殊应用程序或者服务器程序

– 这些程序根据安全策略接受用户对网络的请求，并在用户访问应用信息时依据预先设定的应用协议安全规则进行信息过滤

51

10.6.1 防火墙技术概述

应用层代理示意图

52

10.6.1 防火墙技术概述

技术方案对比 数据包过滤

服务无关、对用户透明 过滤规则复杂 、正确性难以检测、容易形成瓶颈

应用层代理 内网安全性较高 、 Cache 机制可以提高信息访问效率、支持用户认证 、支持基于内容的信息过滤

必须对每种应用提供代理服务和代理客户端、实时性差

53

10.6.2 防火墙的结构

经典防火墙体系结构双重宿主主机体系结构被屏蔽主机体系结构被屏蔽子网体系结构

54

10.6.2 防火墙的结构

双重宿主主机体系结构

55

10.6.2 防火墙的结构

被屏蔽主机体系结构

56

10.6.2 防火墙的结构

被屏蔽子网体系结构

57

10.6.2 防火墙的结构

其他 体系结构 合并内部和外部路由器合并堡垒主机和外部路由器合并堡垒主机和内部路由器多台内部路由器多台外部路由器多个周边网络

58

10.6.2 防火墙的结构

其他 体系结构 合并内部和外部路由器

59

10.6.2 防火墙的结构

其他 体系结构 合并堡垒主 机和外部路由器

60

10.6.2 防火墙的结构

其他 体系结构 合并堡垒主 机和内部路由器

61

10.6.2 防火墙的结构

其他 体系结构 多台内部路由器

62

10.6.2 防火墙的结构

其他 体系结构 多台外部路由器

63

10.6.2 防火墙的结构

其他 体系结构 多个周边网络

64

10.6.3 构建防火墙

选择防火墙体系结构安装外部路由器安装内部路由器安装堡垒主机设置数据包过滤规则设置代理系统检查防火墙运行效果

65

10.6.3 构建防火墙

选择防火墙体系结构小型网络中型网络大型网络

66

10.6.3 构建防火墙

选择防火墙体系结构小型网络

透明代理

67

10.6.3 构建防火墙

选择防火墙体系结构小型网络

透明代理双重宿主主机

68

10.6.3 构建防火墙

选择防火墙体系结构中型网络

软件防火墙

69

10.6.3 构建防火墙

选择防火墙体系结构中型网络

软件防火墙 硬件防火墙

70

10.6.3 构建防火墙

选择防火墙体系结构大型网络

被屏蔽子网

71

10.6.3 构建防火墙

安装外部路由器连接线路配置网络接口测试网络连通性配置路由算法路由器的访问控制

72

10.6.3 构建防火墙

安装外部路由器连接线路

保证设备与外部网络、周边网络（或内部网络）的线路连接正常

由于外部路由器的外部网络接口一般较为复杂，可能会使用 XDSL 、 ISDN 、 AT

M等广域网、城域网协议与接口，必须首先完成线路申请、线路连接等前期工作

73

10.6.3 构建防火墙

安装外部路由器配置网络接口

配置网络接口的工作主要包括 IP 地址、子网掩码、开启网络接口等

在配置完毕后需要进行网络接口连通性测试，必需保证路由器上的测试程序可以通过外部网络接口访问外部网络，通过内部网络接口可以访问周边网络（或内部网络）

74

10.6.3 构建防火墙

安装外部路由器测试网络连通性

在不添加访问控制规则的情况下，用户应该能够通过路由器从周边网络访问外部网络，同样从外部网络访问周边网络

75

10.6.3 构建防火墙

安装外部路由器配置路由算法

为让外部路由器能够参与外部网络的路由运算，必需在外部路由器上配置相应的动态路由算法或静态路由，同时将外部网络访问内部网络的下一跳地址指向内部路由器或双重宿主主机

76

10.6.3 构建防火墙

安装外部路由器路由器的访问控制

在路由算法配置完毕后，需要配置针对路由器自身的访问控制，限制路由器对外部提供 Telnet等服务，将这些服务的服务范围限制在内部网络中的管理员使用的计算机

77

10.6.3 构建防火墙

安装内部路由器连接线路

内部网络一般比较单纯，多局限于以太系列网络，线路连接较为简单

配置路由算法内部路由器不参与外部路由算法，也不参与内部网络中各子网间的路由转发，因此只需要通过静态路由配置外部网络、内部网络、周边网络之间的数据包转发

78

10.6.3 构建防火墙

安装堡垒主机选择合适的物理位置

要求堡垒主机必须存放在安全措施完善的机房内部，同时要保证机房的供电、通风、恒温、监控条件良好

选择合适的硬件设备 选择堡垒主机一定要以满足服务性能需求

作为最终依据，过高、过低的配置都是不合时宜的

79

10.6.3 构建防火墙

安装堡垒主机选择合适的操作系统

堡垒主机操作系统的选择必须考虑到安全性、高效性等方面的因素

注意堡垒主机的网络接入位置 堡垒主机应该放置于不涉及敏感信息的位置

不应该采用集线器这样的共享设备

80

10.6.3 构建防火墙

安装堡垒主机 设置堡垒主机提供的服务

关闭不需要的服务 对提供的服务需要添加一定的安全措施，包括用户 IP限制、 DOS 攻击屏蔽等

在堡垒主机上禁止使用用户账号核查堡垒主机的安全保障体制

核查的手段主要是在主机上运行相应的安全分析软件或者漏洞扫描程序，在发现堡垒主机的安全漏洞后应该及时排除

维护与备份

81

10.6.3 构建防火墙

设置数据包过滤规则首先需要确定设置数据包过滤规则设备对

“向内”与“向外”的具体概念 – 要尽可能地对双向的数据包都进行限制 – 采用“默认拒绝” – 脱机编辑过滤规则

82

10.6.3 构建防火墙

设置数据包过滤规则数据包过滤的方式

堡垒主机

83

10.6.3 构建防火墙

设置数据包过滤规则数据包过滤的方式

服务过滤规则

84

10.6.3 构建防火墙

设置数据包过滤规则数据包过滤的方式

路由器地址过滤规则

85

10.6.3 构建防火墙

设置数据包过滤规则数据包过滤的方式

路由器服务过滤规则

86

10.6.3 构建防火墙

设置数据包过滤规则注意包过滤规则的顺序

获得更高的过滤效率避免出现漏洞

设置网络服务 对外提供正常的服务

87

10.6.3 构建防火墙

设置代理系统 可以直接访问外部网络，又可以通过代理访问 设置代理服务器

尽量选择较为成熟、稳定的产品或版本尽量避免根据用户账号提供代理服务的方式 应该只对一定 IP 地址范围内的主机提供服务禁用远程配置，只允许在本机实施配置 定期升级，并通过相应的扫描软件及早发现代理

服务配置的漏洞

88

10.6.3 构建防火墙

设置代理系统设置代理客户端

使用定制客户端软件 使用定制的用户过程

89

10.6.3 构建防火墙

检查防火墙运行效果 检查的内容包括

对外提供的服务– WWW 、 FTP 、 BBS 、 EMAIL

对内提供的服务– DNS等

网络访问 – 检查过滤规则是否生效，并及早发现规则中存在

的漏洞

90

10.6.3 构建防火墙

防火墙构建示例网络结构

91

10.6.3 构建防火墙

防火墙构建示例Web 服务过滤规则

92

10.6.3 构建防火墙

防火墙构建示例 ftp 服务过滤规则

93

10.6.3 构建防火墙

防火墙构建示例smtp 服务过滤规则

94

10.6.3 构建防火墙

防火墙构建示例dns 服务过滤规则

95

10.6.3 构建防火墙

防火墙构建示例默认拒绝过滤规则

96

课后习题 防火墙规则的处理方式中，“ Reject”与“ Drop” 的区别是什么？ 使用应用层代理访问外部Web站点时，会出现访问某些经典网站的响应速

度较快，而其他 站点响应速度较慢，原因何在？ 如果防火墙允许周边网络上的主机访问内部网络上的任何基于 TCP协议的

服务，而禁止外部网络访问周边网络上的任何基于 TCP协议的服务，给出实现的思路？