25
防火墙不足之处
无法防护内部用户之间的攻击
无法防护基于操作系统漏洞的攻击 无法防护内部用户的其他行为
无法防护端口反弹木马的攻击
多数防火墙无法防护病毒的侵袭 无法防护非法通道出现
26
企业部署防火墙的误区
最全的就是最好的，最贵的就是最好的
软件防火墙部署后不对操作系统加固
Destination Host C Host C
Permit Pass Block
Protocol TCP UDP
根据访问控制规则决 定进出网络的行为
一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是 不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒 绝、监视、记录）进出网络的访问行为。
21
蠕虫保护
蠕虫保护：扫描所有进出的电子邮件及附件（SMTP,POP3,IMAP） 检测网页里的插件和下载的内容（HTTP）
22
内容安全控制 内容安全控制
网络访问的内容控制，支持WEB内容的关键字过滤，屏蔽具有激 越或敏感的网页内容，提供了内容级可控制手段。 阻塞有害的Web语言攻击，包括Java Applet 、Activex、 Cookie等
延时
数据包通过防火墙所用的时间
并发连接数
防火墙能够同时处理的点对点连接的最大数目
平均无故障时间
系统平均能够正常运行多长时间，才发生一次故障
18
基于时间的策略控制
Internet
Host C Host D
在防火墙上制定基于 时间的访问控制策略
管理员设置员工上网时间限制
上班时间不允许 访问Internet 下班时间可以自由 访问公司的网络
36
计算机病毒的基本特性之八
8．非授权性 从本质上说，计算机病毒是非授权的对程 序体的字符型信息加工过程。 病毒具有正常程序的一切特性，它隐藏在 正常程序中，当用户调用正常程序时窃取到 系统的控制权，先于正常程序执行，病毒的 动作、目的对用户是未知的，是未经用户允 许的。
37
病毒传播途径 病毒传播途径： 1、磁盘在使用中的传递 2、软件共享使用 3、盗版软件 4、OFFICE文档流行 5、盗版光盘的泛滥 6、网络连接和INTERNET、局域网内的目录共享 7、E-mail的传播，是网络蠕虫病毒传播的主要途径
入侵型病毒：可用自身代替正常程序中的部分模块或堆 栈区。因此这类病毒只攻击某些特定程序，针对性强。一 般情况下也难以被发现，清除起来也较困难。
42
病毒分类 之二
操作系统型病毒：可用其自身部分加入或替代操作系统 的部分功能。因其直接感染操作系统，这类病毒的危害性 也较大。 外壳型病毒：将自身附在正常程序的开头或结尾，相当 于给正常程序加了个外壳。大部份的文件型病毒都属于这 一类。
4
防火墙分类
包过滤防火墙 应用代理防火墙 状态检测防火墙
5
防火墙在网络中的位置
防火墙放置于不同网络安全域之间
6
包过滤防火墙的特点
第一代防火墙和最基本形式防火墙检查每一 个通过的网络包，或者丢弃，或者放行，取决于 所建立的一套规则。所以称为包过滤过滤防火墙
优点： 防火墙对每条传入和传出网络的包实行低水平控制。 防火墙可以识别和丢弃带欺骗性源IP地址的包。 缺点： 配置困难,因为包过滤防火墙的配置很复杂， 人们经常会忽略建立一些必要的规则，或者错误 配置了已有的规则，在防火墙上留下漏洞。 为特定服务开放的端口存在着危险，可能会 被用于其他传输。 可能还有其他方法绕过防火墙进入网络，例 如拨入连接。
ＵＲＬ管理与控制
Reject : /xxx.asp? 返回结果：
所访问网页包含管理员 禁止内容，以被屏蔽！！
23
入侵检测
财务部
市场部
DMZ
•Email •HTTP
研发部
Router 恶意的攻 击和扫描
Internet
攻击描述
www.whit epaper.co m/index
16
主流防火墙发展趋势 基于状态检测的硬件防火墙
采用ASIC芯片硬件设计体系
具有内容处理芯片和内容处理加速单元 可以实现实时分析和数据包协调处理 具有优化内容搜索、模式识别和数据分析功能
同时具有病毒扫描、VPN、内容过滤和基于网络的入侵检测功能。
17
防火墙的性能指标 吞吐量
防火墙在不丢包的情况下能够达到的最大包转发速率
38
病毒的危害 影响系统效率 占用系统资源 删除、破坏数据
干扰正常操作 进行反动宣传
阻塞网络
39
病毒分类 之一 1.按照病毒依赖的操作系统来分 1)Dos病毒 2)Windows 病毒 3)UNIX病毒 4）攻击OS/2系统的病毒。 5）攻击嵌入式操作系统的病毒。 一般说来，特定的病毒只能在特定的操作系统下 运行。
30
计算机病毒的基本特性之二 2. 传染性
计算机病毒的传染性是指计算机病毒会通过各种渠 道从已被感染的计算机扩散到未被感染的计算机。
是否具有传染性是判别一个程序是否为计算机病毒 的最重要条件。
31
计算机病毒的基本特性之三 3．隐蔽性
计算机病毒在发作之前，必须能够将自身 很好的隐蔽起来，不被用户发觉，这样才能实 现进入计算机系统、进行广泛传播的目的。 计算机病毒的隐蔽性表现为传染的隐蔽性 与存在的隐蔽性。
40
病毒分类 之二 2.按照计算机病毒的链结方式分为： 源码型病毒 入侵型病毒 操作系统型病毒 外壳型病毒
41
病毒分类 之二
源码型病毒：较为少见，亦难以编写。因为它要攻击高 级语言编写的源程序，在源程序编译之前插入其中，并随源 程序一起编译、连接成可执行文件。此时刚刚生成的可执行 文件便已经带毒了。
32
计算机病毒的基本特性之四 4．潜伏性 计算机病毒的潜伏性是指病毒程序为了达到不断 传播并破坏系统的目的，一般不会在传染某一程序 后立即发作，否则就暴露了自身。 潜伏性愈好，其在系统中的存在时间就会愈长， 病毒的传染范围就会愈大。
33
计算机病毒的基本特性之五 5．破坏性 共同的危害，即降低计算机系统的工作效率 ，占用系统资源，其具体情况取决于入侵系统 的病毒程序。 计算机病毒的破坏性主要取决于计算机病毒 设计者的目的。 有时几种本来没有多大破坏作用的病毒交叉 感染，也会导致系统崩溃等重大恶果。
应用层
表示层 会话层 传输层 网络层 数据链路层 物理层 监测引擎
应用层 表示层
会话层
传输层 网络层 数据链路层 物理 层
14
状态/动态检测防火墙
优点：
检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则。
识别带有欺骗性源IP地址包的能力。 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通 过防火墙，绕过是困难的。 基于应用程序信息验证一个包的状态的能力， 例如基于一个已经建立的 FTP连接，允许返回的FTP包通过。 基于应用程序信息验证一个包状态的能力，例如允许一个先前认证过的连 接继续与被授予的服务通信。
29
计算机病毒的基本特性之一 1.寄生性（依附性）
计算机病毒是一种特殊的计算机程序，它 不是以独立的文件的形式存在的，它寄生在 合法的程序中.
病毒所寄生的合法程序被称做病毒的载体， 也称为病毒的宿主程序。 病毒程序嵌入到宿主程序中，依赖于宿主 程序的执行而生存，这就是计算机病毒的寄 生性。
一次配置，永远运行 测试不够完全
审计是可有可无的
27
计算机病毒技术
第二部分：计算机病毒技术
28
计算机病毒定义
计算机病毒，是指编制或者在计算机程序中插 入的破坏计算机功能或者毁坏数据，影响计算机使 用，并能自我复制的一组计算机指令或者程序代码。 ——摘自《中华人民共和国计算机信 息系统安全保护条例》
34
计算机病毒的基本特性之六 6.可触发性
因某个特征或数值的出现，诱使病毒实 施感染或进行攻击的特性称为可触发性。
35
计算机病毒的基本特性之七 7．产生的必然性 计算机病毒存在的理论依据来自于冯· 诺依 曼结构及信息共享，从理论上讲如果要彻底消 灭病毒，只有摒弃冯· 诺依曼结构及信息共享， 显然，此二者都是无法摒弃的。
当用户访问请求到达网关的操作系统前，状态监视器要抽取有 关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、 身份认证、报警或给该通信加密等处理动作。可以实现 拒绝携带某些数据的网络通信，如带有附加可执行程序的传 入电子消息，或包含ActiveX程序的Web页面。
13
状态检测示意图
应用层
表示层 会话层 传输层 网络层 数据链路层 物理层
时间
2003/7/ 209： 10
源地址
目的地址
攻击方法
IDS127TELNEToginIncorrec t
100.0.0. 200.0.0.1 1
24
入侵检测内容 抵抗DOS/DDOS攻击 防止入侵者的扫描 防止源路由攻击 防止IP碎片攻击 防止ICMP/IGMP攻击
防止IP欺骗攻击
43
病毒分类 之三 3.按照病毒危害程度来分为： 良性病毒：小球病毒、三维球病毒、 WM/Concept病毒
恶性病毒：冲击波病毒、蠕虫王病毒、CIH病毒、 爱虫病毒
44
病毒演示之一——女鬼病毒
45
病毒演示之二—千年老妖
46
病毒演示之三—白雪公主
47
病毒分类 之四 4．按寄生方式分为： 引导型病毒 文件型病毒 混合型病毒
记录有关通过的每个包的详细信息的能力。基本上，防火墙用来确定包状 态的所有信息都可以被记录，包括应用程序对包的请求，连接的持续时间， 内部和外部系统所做的连接请求等。
15