計(jì)算機(jī)病毒與防火墻

1、,防火墻,核心防護(hù),病毒檢測(cè),入侵檢測(cè),病毒,,定義產(chǎn)生特點(diǎn)分類發(fā)展行為命名發(fā)展趨勢(shì),防火墻,,定義作用主要技術(shù) 發(fā)展趨勢(shì)局限性,計(jì)算機(jī)病毒（Computer Virus）在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義，病毒指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我 復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。與醫(yī)學(xué)上的“病毒”不同，計(jì)算機(jī)病毒不是天然存在的，是某些人利

2、用計(jì)算機(jī)軟件和硬件所固有的脆弱性編制的一組指令集 或程序代碼。它能通過某種途徑潛伏在計(jì)算機(jī)的存儲(chǔ)介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件時(shí)即被激活，通過修改其他程序的方法將自己的精確拷貝或者可能演化的形 式放入其他程序中，從而感染其他程序，對(duì)計(jì)算機(jī)資源進(jìn)行破壞，所謂的病毒就是人為造成的，對(duì)其他用戶的危害性很大！,病毒的定義,研究人員為了計(jì)算出當(dāng)時(shí)互聯(lián)網(wǎng)的在線人數(shù)，然而它卻自己“繁殖”了起來導(dǎo)致了整個(gè)服務(wù)器的 崩潰和堵塞，有時(shí)一次突發(fā)的停電和偶然

3、的錯(cuò)誤，會(huì)在計(jì)算機(jī)的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令，但這些代碼是無序和混亂的，病毒則是一種比較完美的，精 巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來，病毒不會(huì)通過偶然形成，并且需要有一定的長(zhǎng)度，這個(gè)基本的長(zhǎng)度從概率上來 講是不可能通過隨機(jī)代碼產(chǎn)生的。 全球第一個(gè)電腦病毒在1988年11月2日由麻省理工學(xué)院(MIT)的學(xué)生Robert Tappan Morris撰寫，因此病毒也被取名為

4、Morris。總共僅99行程序代碼，施放到當(dāng)時(shí)網(wǎng)絡(luò)上數(shù)小時(shí)，就有數(shù)以千計(jì)的UNIX服務(wù)器受到感染。但此軟件原始用意并非用來癱瘓電腦，而是希望寫作出可以自我復(fù)制的軟件，但程式的循環(huán)沒有處理好，使得服務(wù)器不斷執(zhí)行、復(fù)制Morris，最后死機(jī)。,病毒的產(chǎn)生,,破壞性,傳染性,潛伏性,隱蔽性,可觸發(fā)性,病毒的特點(diǎn),不可預(yù)見性,非授權(quán)性,病毒的分類,,按病毒存在的媒體：網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)性病毒,按病毒傳染的方法：駐留性病毒和非駐留型病毒,按

5、病毒破壞的能力：無害型、無危險(xiǎn)型、非常危險(xiǎn)型,按病毒的算法：寄生型病毒、詭秘型病毒、變型病毒（又稱幽靈病毒）,按傳染方式分類：引導(dǎo)型病毒、文件型病毒和混合型病毒,病毒的行為,1.攻擊系統(tǒng)數(shù)據(jù)區(qū)，攻擊部位包括：硬盤主引尋扇區(qū)、Boot扇區(qū)、FAT表、文件目錄等。迫使計(jì)算機(jī)空轉(zhuǎn)，計(jì)算機(jī)速度明顯下降。 2.攻擊磁盤，攻擊磁盤數(shù)據(jù)、不寫盤、寫操作變讀操作、寫盤時(shí)丟字節(jié)等。 3.擾亂屏幕顯示，病毒擾亂屏幕顯示的方式很多，可列舉如下：字符跌落、

6、環(huán)繞、倒置、顯示前一屏、光標(biāo)下跌、滾屏、抖動(dòng)、亂寫、吃字符等。 4.鍵盤病毒，干擾鍵盤操作，已發(fā)現(xiàn)有下述方式：響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、重復(fù)、輸入紊亂等。喇叭病毒，許多病毒運(yùn)行時(shí)，會(huì)使計(jì)算機(jī)的喇叭發(fā)出響聲。有的病毒作者通過喇叭發(fā)出種種聲音，有的病毒作者讓病毒演奏旋律優(yōu)美的世界名曲，在高雅的曲調(diào)中去殺戮人們的信息財(cái)富，已發(fā)現(xiàn)的喇叭發(fā)聲有以下方式：演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔5.攻擊CMOS ， 在機(jī)器的CMOS區(qū)

7、中，保存著系統(tǒng)的重要數(shù)據(jù)，例如系統(tǒng)時(shí)鐘、磁盤類型、內(nèi)存容量等。有的病毒激活時(shí)，能夠?qū)MOS區(qū)進(jìn)行寫入動(dòng)作，破壞系統(tǒng)CMOS中的數(shù)據(jù)。 6.干擾打印機(jī)，典型現(xiàn)象為：假報(bào)警、間斷性打印、更換字符等。,1. DOS引導(dǎo)階段2. DOS可執(zhí)行階段3.伴隨、批次型階段4.幽靈、多形階段5.生成器、變體機(jī)階段6.網(wǎng)絡(luò)、蠕蟲階段7.視窗階段8.宏病毒階段9.互聯(lián)網(wǎng)階段10.郵件炸彈階段,病毒的發(fā)展,病毒的命名,一般格式為：..

8、病毒前綴是指一個(gè)病毒的種類，他是用來區(qū)別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們常見的木馬病毒的前綴 Trojan ，蠕蟲病毒的前綴是 Worm 等等還有其他的。　　病毒名是指一個(gè)病毒的家族特征，是用來區(qū)別和標(biāo)識(shí)病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“ CIH ”，振蕩波蠕蟲病毒的家族名是“ Sasser ”?！　〔《竞缶Y是指一個(gè)病毒的變種特征，是用來區(qū)別具體某個(gè)家族病毒的某個(gè)變種的。一般都采用英

9、文中的26個(gè)字母來表示，如 Worm.Sasser.b 就是指 振蕩波蠕蟲病毒的變種B，因此一般稱為 “振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多，可以采用數(shù)字與字母混合表示變種標(biāo)識(shí)。,計(jì)算機(jī)病毒的發(fā)展趨勢(shì),1、制作技術(shù)更加先進(jìn)，方法更加簡(jiǎn)便2、變形病毒3、病毒與黑客程序結(jié)合,逐步向智能化病毒發(fā)展4、蠕蟲病毒強(qiáng)大,無線病毒發(fā)展5、利用軟件系統(tǒng)的缺陷和漏洞攻擊計(jì)算機(jī)系統(tǒng)6、跨平臺(tái)病毒的發(fā)展7、“三線程”結(jié)構(gòu)病毒

10、 -------《計(jì)算機(jī)病毒的發(fā)展趨勢(shì)與防治》 趙育新,趙連鳳遼寧警專學(xué)報(bào),破壞力最大的10種計(jì)算機(jī)病毒,1.CIH(1998年)：1998年6月始發(fā)于中國(guó)臺(tái)灣，被認(rèn)為是有史以來第一種在全球范圍內(nèi)造成巨大破壞的計(jì)算機(jī)病毒，導(dǎo)致無數(shù)臺(tái)計(jì)算機(jī)的數(shù)據(jù)遭到破壞。在全球范圍內(nèi)造成了200

11、0萬至8000萬美元的損失。（win9x病毒）　　2.梅利莎(Melissa，1999年)：1999年3月26日梅利莎病毒爆發(fā)，并迅速成為全球報(bào)紙的頭條新聞，這種基于Word的宏腳本病毒感染了全球15%～20%的商業(yè)PC。該病毒借助于微軟的電子郵件系統(tǒng)Outlook傳播，其傳播速度如此之快，以至于英特爾、微軟和其他一些使用Outlook軟件的公司把整個(gè)電子郵件系統(tǒng)都關(guān)閉了。梅利莎給全球帶來了3億～6億美元的損失?！　?.愛蟲(I

12、loveyou，2000年)：2000年5月3日爆發(fā)于中國(guó)香港，這是一種VB腳本病毒，由于其主題是“我愛你”，并附有一封求愛信，因此傳播迅速，給全球帶來100億～150億美元的損失?！　?.紅色代碼(CodeRed，2001年)：2001年7月13日在網(wǎng)絡(luò)服務(wù)器上爆發(fā)，給全球帶來26億美元損失。,5.SQLSlammer(2003年)：2003年1月25日爆發(fā)，由于爆發(fā)的時(shí)間在周六，造成的經(jīng)濟(jì)損失較小，但全球有50萬臺(tái)服務(wù)器被攻擊，

13、并致使韓國(guó)的互聯(lián)網(wǎng)中斷了12小時(shí)?！　?.沖擊波(Blaster，2003年)：2003年夏季爆發(fā)，數(shù)十萬臺(tái)計(jì)算機(jī)被感染，給全球造成20億～100億美元損失?！　?.巨無霸(Sobig.F，2003年)：2003年8月19日爆發(fā)，為此前Sobig變種，給全球帶來50億～100億美元損失?！　?.貝革熱(Bagle，2004年)：2004年1月18日爆發(fā)，給全球帶來數(shù)千萬美元損失。　　9.MyDoom(2004年)：200

14、4年1月26日爆發(fā)，在高峰時(shí)期，導(dǎo)致網(wǎng)絡(luò)加載時(shí)間減慢50%以上?！　?0.震蕩波(Sasser，2004年)：2004年4月30日爆發(fā)，給全球帶來數(shù)千萬美元損失。 ---------美國(guó)《Techweb》網(wǎng)站,怎樣預(yù)防計(jì)算機(jī)病毒,做好計(jì)算機(jī)病毒的預(yù)防，是防治病

15、毒的關(guān)鍵。計(jì)算機(jī)病毒預(yù)防措施：1.不使用盜版或來 歷不明的軟件，特別不能使用盜版的殺毒軟件。2.寫保護(hù)所有系統(tǒng)軟盤。3.安裝真正有效的防毒軟件，并經(jīng)常進(jìn)行升級(jí)。4.新購(gòu)買的電腦在使用之前首先要進(jìn) 行病毒檢查，以免機(jī)器帶毒。5.準(zhǔn)備一張干凈的系統(tǒng)引導(dǎo)盤，并將常用的工具軟件拷貝到該盤上，然后妥善保存。此后一旦系統(tǒng)受到病毒侵犯，我們就可以使用該 盤引導(dǎo)系統(tǒng)，進(jìn)行檢查、殺毒等操作。6.對(duì)外來程序要使用查毒軟件進(jìn)行檢查，未經(jīng)檢查的可執(zhí)

16、行文件不能拷入硬盤，更不能使用。7.盡量不要使用軟盤啟動(dòng)計(jì) 算機(jī)。8.將硬盤引導(dǎo)區(qū)和主引導(dǎo)扇區(qū)備份下來，并經(jīng)常對(duì)重要數(shù)據(jù)進(jìn)行備份。-------------《計(jì)算機(jī)病毒的特征及防治策略》李為民，葛福鴻，張麗萍 《網(wǎng)絡(luò)通訊及安全》雜志社,及早發(fā)現(xiàn)計(jì)算機(jī)病毒，是有效控制病毒危害的關(guān)鍵

17、。檢查計(jì)算機(jī)有無病毒主要有兩種途 徑：一種是利用反病毒軟件進(jìn)行檢測(cè)，一種是觀察計(jì)算機(jī)出現(xiàn)的異?，F(xiàn)象。下列現(xiàn)象可作為檢查病毒的參考：1.屏幕出現(xiàn)一些無意義的顯示畫面或異常的提示信 息。2.屏幕出現(xiàn)異常滾動(dòng)而與行同步無關(guān)。3.計(jì)算機(jī)系統(tǒng)出現(xiàn)異常死機(jī)和重啟動(dòng)現(xiàn)象。4.系統(tǒng)不承認(rèn)硬盤或硬盤不能引導(dǎo)系統(tǒng)。5.機(jī)器喇叭自動(dòng)產(chǎn)生鳴叫。 6.系統(tǒng)引導(dǎo)或程序裝入時(shí)速度明顯減慢，或異常要求用戶輸入口令。7.文件或數(shù)據(jù)無故地丟失，或文件長(zhǎng)度自動(dòng)

18、發(fā)生了變化。8.磁盤出現(xiàn)壞簇或可用空間變 小，或不識(shí)別磁盤設(shè)備。9.編輯文本文件時(shí)，頻繁地自動(dòng)存盤。,發(fā)現(xiàn)計(jì)算機(jī)病毒應(yīng)立即清除，將病毒危害減少到最低限度。發(fā)現(xiàn)計(jì)算機(jī)病毒后的解決方 法：1.在清除病毒之前，要先備份重要的數(shù)據(jù)文件。2.啟動(dòng)最新的反病毒軟件，對(duì)整個(gè)計(jì)算機(jī)系統(tǒng)進(jìn)行病毒掃描和清除，使系統(tǒng)或文件恢復(fù)正常。3.發(fā)現(xiàn)病毒 后，我們一般應(yīng)利用反病毒軟件清除文件中的病毒，如果可執(zhí)行文件中的病毒不能被清除，一般應(yīng)將其刪除，然后重新安裝相

19、應(yīng)的應(yīng)用程序。4.某些病毒在 Windows狀態(tài)下無法完全清除，此時(shí)我們應(yīng)用事先準(zhǔn)備好的干凈的系統(tǒng)引導(dǎo)盤引導(dǎo)系統(tǒng)，然后在DOS下運(yùn)行相關(guān)殺毒軟件進(jìn)行清除。常見的國(guó)內(nèi)殺毒軟件有瑞星、江民、金山毒霸、360等。國(guó)外優(yōu)秀的殺毒軟件有卡吧斯基、麥咖啡、諾頓、小紅傘等。,防火墻定義,在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允

20、許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。,防火墻的特性,任何一個(gè)好的防火墻必須具備以下三個(gè)特性：1、所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻；2、只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻。3、防火墻本

21、身不受各種攻擊的影響。,防火墻的作用,強(qiáng)化安全策略：因?yàn)槊刻於加猩习偃f人在Internet收集信息、交換信息,不可避免地會(huì)出現(xiàn)個(gè)別品德不良的人或違反規(guī)則的人,防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略,僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過。有效地記錄Internet上的活動(dòng)：因?yàn)樗羞M(jìn)出信息都必須通過防火墻,所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點(diǎn),防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)

22、絡(luò)之間進(jìn)行記錄。限制暴露用戶點(diǎn)：防火墻能夠用來隔開網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣,能夠防止影響一個(gè)網(wǎng)段的問題通過整個(gè)網(wǎng)絡(luò)傳播。防止易受攻擊的服務(wù)：防火墻可以大大提高網(wǎng)絡(luò)的安全性,并通過過濾天生不安全的服務(wù)來降低子網(wǎng)上主系統(tǒng)所冒的風(fēng)險(xiǎn)。防火墻可以禁止某些易受攻擊的服務(wù)(如NFS)進(jìn)入或離開受保護(hù)的子網(wǎng),以防護(hù)這些服務(wù)不會(huì)被外部攻擊者利用。而同時(shí)允許在大大降低被外部攻擊者利用的風(fēng)險(xiǎn)情況下使用這些服務(wù)。對(duì)局域網(wǎng)特別有用的服務(wù),如NI

23、S或NFS因而可得到公用,并用來減輕主系統(tǒng)管理負(fù)擔(dān)。防火墻還可以防護(hù)基于路由選擇的攻擊,如源路由選擇和企圖通過ICMP改向把發(fā)送路徑轉(zhuǎn)向遭致?lián)p害的網(wǎng)點(diǎn)。,一個(gè)安全策略的檢查站：所有進(jìn)出的信息都必須通過防火墻,因而防火墻便成為安全問題的檢查點(diǎn),使可疑的訪問被拒絕于門外?？刂圃L問網(wǎng)點(diǎn)系統(tǒng)：防火墻可以控制對(duì)網(wǎng)點(diǎn)系統(tǒng)的訪問。如某些主系統(tǒng)可以由外部網(wǎng)絡(luò)訪問,而其他主系統(tǒng)則能有效地封閉起來,防護(hù)有害的訪問。增強(qiáng)保密性、強(qiáng)化私有權(quán)：使用防火墻

24、系統(tǒng),站點(diǎn)可以防止Finger以及DNS域名服務(wù)?？梢苑怄i域名服務(wù)信息,從而使Internet外部主機(jī)無法獲取站點(diǎn)名和IP地址。通過封鎖這些信息,可以防止攻擊者從中獲得另一些有用的信息。有關(guān)網(wǎng)絡(luò)使用、濫用的記錄和統(tǒng)計(jì)：如果對(duì)Internet的往返訪問都通過防火墻,那么,防火墻可以記錄各次訪問,并提供有關(guān)網(wǎng)絡(luò)使用率的有價(jià)值的統(tǒng)計(jì)數(shù)字。采集網(wǎng)絡(luò)使用率統(tǒng)計(jì)數(shù)字和試探的證據(jù)是很重要的,這樣可以知道防火墻能否抵御試探和攻擊,并確定防火墻上的控

25、制措施是否得當(dāng)。同時(shí)網(wǎng)絡(luò)使用率統(tǒng)計(jì)數(shù)字可作為網(wǎng)絡(luò)需求研究和風(fēng)險(xiǎn)分析活動(dòng)的輸入。,防火墻的主要技術(shù),當(dāng)前比較成熟的邊界防火墻技術(shù)主要有兩種: 包過濾技術(shù)和代理服務(wù)器。,包過濾技術(shù)（IP Filter Firewall) ：為了對(duì)內(nèi)部網(wǎng)絡(luò)提供保護(hù)，就有必要對(duì)通過防火墻的數(shù)據(jù)包進(jìn)行檢查，例如檢查其源地址和目的地址、端口地址、數(shù)據(jù)包的類型等，根據(jù)這些數(shù)據(jù)來判斷這個(gè)數(shù)據(jù)包是否為合法數(shù)據(jù)包，如果不符合預(yù)定義的規(guī)則，就不將這個(gè)數(shù)據(jù)包發(fā)送到其目的計(jì)算機(jī)

26、中去。,代理服務(wù)器( Pr oxy Server):是另一種防火墻技術(shù)， 與包過濾不同， 它直接和應(yīng)用服務(wù)程序打交道， 它不會(huì)讓數(shù)據(jù)包直接通過， 而是自己接收了數(shù)據(jù)包，并對(duì)其進(jìn)行分析。當(dāng)代理程序理解了連接請(qǐng)求之后， 它將自己?jiǎn)?dòng)另一個(gè)連接! 向外部網(wǎng)絡(luò)發(fā)送同樣的請(qǐng)求，然后將返回的數(shù)據(jù)發(fā)送回那個(gè)提出請(qǐng)求的內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)。,防火墻技術(shù)發(fā)展趨勢(shì),1.體系結(jié)構(gòu),2 功能集成的發(fā)展:在防火墻的功能上有兩個(gè)完全相反的發(fā)展方向, 即“胖”防火墻和“廋

27、”防火墻?！芭帧狈阑饓Φ膬?yōu)點(diǎn)在于可以滿足用戶絕大部分的網(wǎng)絡(luò)安全需求, 提供較全面的保護(hù), 降低用戶的采購(gòu)成本。但防火墻作為網(wǎng)絡(luò)邊界的單一控制點(diǎn), 本來就會(huì)給網(wǎng)絡(luò)帶來性能瓶頸的問題, 又IDS、防病毒等模塊地加入會(huì)進(jìn)一步加劇瓶頸效應(yīng); 其次,附加模塊不專業(yè), 可能會(huì)導(dǎo)致附加功能不全面; 另外, 單一防火墻產(chǎn)品功能多, 也會(huì)導(dǎo)致其可靠性和安全性的降低?！芭帧狈阑饓νm用于對(duì)小型網(wǎng)絡(luò)的整體安全防護(hù)?！笆荨狈阑饓m用于有能力投資和管理獨(dú)立的安

28、全設(shè)備, 并渴望發(fā)揮每種產(chǎn)品的最大功效的大型企業(yè)。針對(duì)這類用戶的安全解決方案是對(duì)“瘦”防火墻、IDS、防病毒系統(tǒng)等專業(yè)安全產(chǎn)品進(jìn)行集中管理, 使其協(xié)同工作、關(guān)聯(lián)響應(yīng), 從而全面提高企業(yè)的整體安全風(fēng)險(xiǎn)防范能力。從本質(zhì)上講, “胖、瘦”防火墻并沒有好壞之分, 只有需求上的差別。未來防火墻產(chǎn)品可以采取定制的方式, 將滿足不同用戶需求的產(chǎn)品功能開發(fā)成獨(dú)立的模塊, 即IDS模塊、VPN模塊、防病毒模塊, 以及與其他專業(yè)安全產(chǎn)品聯(lián)動(dòng)的功能模塊。針對(duì)

29、具體用戶, 廠商制定專門的網(wǎng)絡(luò)安全解決方案, 為用戶構(gòu)建高性價(jià)比的個(gè)性化防火墻產(chǎn)品。,3 檢測(cè)技術(shù)的發(fā)展：防火墻在在檢測(cè)技術(shù)上經(jīng)歷了從包過濾技術(shù)到狀態(tài)檢測(cè)技術(shù)再到深度包檢測(cè)技術(shù)的發(fā)展歷程。(1)包過濾防火墻的優(yōu)點(diǎn)是工作層次低, 速度快, 但缺陷是不能跟蹤會(huì)話狀態(tài), 無法理解上層協(xié)議, 無法抵御應(yīng)用層攻擊。(2) 狀態(tài)檢測(cè)技術(shù)是目前最廣泛應(yīng)用的過濾技術(shù), 它通過在防火墻內(nèi)部建立的狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)。與包過濾技術(shù)相比狀態(tài)檢測(cè)技術(shù)雖

30、然增加了對(duì)會(huì)話狀態(tài)的檢查, 但依然不能防范隱藏在應(yīng)用層中的攻擊。(3)深度包檢測(cè)技術(shù)是為了彌補(bǔ)狀態(tài)檢測(cè)技術(shù)的不足而發(fā)展起來的一種新的檢測(cè)技術(shù), 該技術(shù)為防火墻提供了應(yīng)用層的防護(hù)能力, 在保留狀態(tài)檢測(cè)技術(shù)優(yōu)點(diǎn)的情況下, 對(duì)狀態(tài)檢測(cè)允許的流量進(jìn)行深層檢測(cè), 根據(jù)應(yīng)用層信息做出進(jìn)一步的處理。深度包檢測(cè)技術(shù)能夠深入檢查通過防火墻的每個(gè)數(shù)據(jù)包及其應(yīng)用數(shù)據(jù), 以基于指紋匹配、啟發(fā)式技術(shù)、異常檢測(cè)以及統(tǒng)計(jì)學(xué)分析等技術(shù)的規(guī)則來判定數(shù)據(jù)傳輸中是否含有惡

31、意攻擊行為。深層檢測(cè)技術(shù)工作原理是采用和數(shù)據(jù)接收方相同的方式來理解應(yīng)用層信息。在標(biāo)準(zhǔn)的TCP/IP網(wǎng)絡(luò)中, 信息被分割成小的數(shù)據(jù)包, 以便能夠快速地通過網(wǎng)絡(luò)。采用深度檢測(cè)技術(shù)的防火墻在這些小數(shù)據(jù)包的傳送途中截獲它們, 通過實(shí)施數(shù)據(jù)包重組,將其重新組裝為原始數(shù)據(jù)。當(dāng)成功重組出了應(yīng)用層信息后, 防火墻再根據(jù)企業(yè)的安全策略來對(duì)其中的攻擊進(jìn)行檢測(cè)和攔截。深度檢測(cè)技術(shù)支持常見的應(yīng)用協(xié)議如HTTP、SMTP、POP、FTP和DNS等, 能夠基于U

32、RL、電子郵件、文件類型、用戶、HTTP網(wǎng)頁數(shù)據(jù)中的關(guān)鍵字進(jìn)行內(nèi)容過濾, 有效識(shí)別和防護(hù)各種常見的應(yīng)用層攻擊?？删幊藺SIC技術(shù)的發(fā)展以及更有效的規(guī)則算法的出現(xiàn), 讓這項(xiàng)技術(shù)在性能方面的壓力得到了緩解。衡量深度檢測(cè)技術(shù)成熟度的標(biāo)準(zhǔn)主要有應(yīng)用協(xié)議支持?jǐn)?shù)量、應(yīng)用層攻擊檢測(cè)機(jī)制數(shù)量、應(yīng)用層檢測(cè)效率、攻擊特征庫(kù)數(shù)量和特征庫(kù)更新頻率等, 未來的深度檢測(cè)技術(shù)的發(fā)展, 也將會(huì)針對(duì)以上幾個(gè)方面進(jìn)行。,4 從外部邊界防護(hù)向全網(wǎng)防護(hù)的轉(zhuǎn)變,全網(wǎng)防護(hù)是指對(duì)

33、包括企業(yè)內(nèi)部網(wǎng)、外聯(lián)網(wǎng)以及互聯(lián)網(wǎng)外部邊界在內(nèi)的所有區(qū)域以及它們的子區(qū)域的全面保護(hù)。進(jìn)行全網(wǎng)防護(hù)目前有兩種方式: ①是采用具備全網(wǎng)防護(hù)技術(shù)的防火墻;②是采用分布式防火墻。全網(wǎng)防護(hù)防火墻該防火墻的設(shè)計(jì)思想就是對(duì)全網(wǎng)進(jìn)行細(xì)粒度的安全區(qū)域劃分, 形成蜂窩狀的隔離防護(hù)體系, 其目的是把安全威脅限制在最小范圍內(nèi)。全網(wǎng)防護(hù)防火墻技術(shù)具備以下特點(diǎn):(1) 支持多安全域的劃分, 可根據(jù)實(shí)際網(wǎng)絡(luò)需求劃分出任意多個(gè)安全區(qū)域。(2)支持高密度的物理

34、接口和VLAN子接口, 接口與安全域是互相獨(dú)立的, 用戶可以隨意的將多個(gè)接口劃分到某個(gè)安全域中, 每一安全域都能夠支持多個(gè)接口。(3) 由于安全威脅是全方向性的, 并不一定說只來自于外網(wǎng), 各個(gè)方向上的威脅都可能造成嚴(yán)重的損失, 所以全網(wǎng)防護(hù)防火墻技術(shù)對(duì)劃分的每一個(gè)區(qū)域都提供等同的, 全面完整的防護(hù)能力。但是具體每個(gè)域?qū)嶋H需要啟用防火墻的那些功能是可以由用戶可以根據(jù)自身的安全需求而靈活選擇的。,分布式防火墻,針對(duì)傳統(tǒng)邊界防火墻的欠缺,

35、 美國(guó)AT& T 實(shí)驗(yàn)室研究員Steven M. Bellov in 首次提出了分布式防火墻( Distributed Fire walls, DFW) 的概念, 分布式防火墻有狹義和廣義之分, 狹義分布式防火墻是指駐留在網(wǎng)絡(luò)主機(jī)并對(duì)主機(jī)系統(tǒng)提供安全防護(hù)的軟件產(chǎn)品。廣義分布式防火墻是一種全新的防火墻, 體系結(jié)構(gòu)包括網(wǎng)絡(luò)防火墻、主機(jī)防火墻和中心管理三部分。傳統(tǒng)防火墻缺陷的根源在于它的拓?fù)浣Y(jié)構(gòu),分布式防火墻打破了這種拓?fù)湎拗?將內(nèi)

36、部網(wǎng)的概念由物理意義變成邏輯意義。按照Steven的說法,分布式防火墻是由一個(gè)中心來制定策略,并將策略分發(fā)到主機(jī)上執(zhí)行。它使用一種策略語言(如KeyNote,在RFC2704文擋中說明)來制定策略,并被編譯成內(nèi)部形式存于策略數(shù)據(jù)庫(kù)中,系統(tǒng)管理軟件將策略分發(fā)到被保護(hù)的主機(jī)上,而主機(jī)根據(jù)這些安全策略和加密的證書來決定是接受還是丟棄包,從而對(duì)主機(jī)實(shí)施保護(hù)。在DFW中主機(jī)的識(shí)別雖然可以根據(jù)IP地址,但I(xiàn)P地址是一種弱的認(rèn)證方法,容易被欺騙。在D

37、FW中建議采用強(qiáng)的認(rèn)證方法,用IPsec加密的證書作為主機(jī)認(rèn)證識(shí)別的依據(jù),一個(gè)證書的擁有權(quán)不易偽造,并獨(dú)立于拓?fù)?所以只要擁有合法的證書不管它處于物理上的內(nèi)網(wǎng)還是外網(wǎng)都被認(rèn)為是內(nèi)部!用戶。加密認(rèn)證是徹底打破拓?fù)湟蕾嚨母颈ＷC。在DFW系統(tǒng)中,各臺(tái)主機(jī)的審計(jì)事件要被上傳到中心日志數(shù)據(jù)庫(kù)中統(tǒng)一保存。,5 從分散管理向集中管理的轉(zhuǎn)變,早期的防火墻用戶只能通過命令行、Web界面或客戶端圖形界面方式對(duì)單臺(tái)防火墻進(jìn)行管理, 這種單獨(dú)分散式管理對(duì)于網(wǎng)

38、絡(luò)中只有少量防火墻甚至只有一臺(tái)防火墻的情況是適用的。但隨著網(wǎng)絡(luò)日益復(fù)雜, 防火墻系統(tǒng)大規(guī)模、跨地域的部署方式的普遍應(yīng)用, 采用集中管理平臺(tái)對(duì)網(wǎng)絡(luò)中的防火墻進(jìn)行統(tǒng)一部署和配置已成為大型網(wǎng)絡(luò)中主要的工作方式。集中管理方式依據(jù)網(wǎng)絡(luò)的整體安全規(guī)劃制定恰當(dāng)?shù)陌踩呗? 并下發(fā)到各個(gè)防火墻, 減少了單獨(dú)分散管理方式帶來的工作復(fù)雜度和多個(gè)防火墻安全策略互相矛盾的情況, 同時(shí), 集中管理平臺(tái)也便于對(duì)安全日志進(jìn)行統(tǒng)一收集和信息挖掘、以及對(duì)安全事件進(jìn)行關(guān)聯(lián)

39、分析, 從而發(fā)現(xiàn)系統(tǒng)中隱含的威脅。,防火墻的局限性,第一， 防火墻不能防范不經(jīng)由防火墻的攻擊。第二，防火墻不能防止由內(nèi)部用戶誤操作造成的威脅, 以及由于口令泄露而受到攻擊。第三防火墻提供系統(tǒng)安全, 不能提供數(shù)據(jù)安全。 防火墻不能防止受病毒感染的軟件或文件的傳輸。 由于操作系統(tǒng)、病毒、二進(jìn)制文件類型( 加密、壓縮) 的種類太多且更新很快, 所以防火墻無法逐個(gè)掃描每個(gè)文件以查找病毒; 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)有些表面看來無害的