1、培训讲师:白滨培训讲师:白滨网络安全综合管理高级工程师22023-1-17防火墙及防病毒技术防火墙及防病毒技术32023-1-17第一部分:防火墙技术第一部分:防火墙技术42023-1-17 防火墙的定义防火墙的定义概念:概念:防火墙被设计用来防火墙被设计用来防止火从大厦的一部分传播到另一部分防止火从大厦的一部分传播到另一部分52023-1-17两个安全域之间通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控
2、制规则决定进出网络的行为 一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域之间的一系列部件的组合,它是之间的一系列部件的组合,它是不同网络安全域间通信流的不同网络安全域间通信流的唯一通道唯一通道,能根据企业有关的安全政策,能根据企业有关的安全政策控制控制(允许、拒(允许、拒绝、监视、记录)进出网络的访问行为。绝、监视、记录)进出网络的访问行为。62023-1-17防火墙发展防火墙发展软件防火墙 软硬件结合防火墙 硬件防火墙 运行在通用操作系统上运行在通用操作系统上性能依靠于计算机性能依靠于计算机CPU,内存等内存等极易造成网络带宽瓶颈极易造成网络带宽瓶颈(20%
3、-70%)可以满足低带宽低流量环境下可以满足低带宽低流量环境下的安全需要的安全需要高速环境下容易造成系统崩溃高速环境下容易造成系统崩溃有用户限制,性价比较低有用户限制,性价比较低管理复杂,与系统有关管理复杂,与系统有关机箱机箱+CPU+防火墙软件防火墙软件采用专用或通用操作系统采用专用或通用操作系统核心技术仍然为软件核心技术仍然为软件只能满足中低带宽要求只能满足中低带宽要求(20%-70%)在高流量环境下会造成堵塞在高流量环境下会造成堵塞甚至系统崩溃甚至系统崩溃性价比不高性价比不高管理比较方便管理比较方便 用专用芯片处理数据包用专用芯片处理数据包使用专用的操作系统平台使用专用的操作系统平台高带
4、宽,高吞吐量,真正线速防火高带宽,高吞吐量,真正线速防火墙墙安全与速度同时兼顾安全与速度同时兼顾性价比高性价比高管理简单,快捷,具有良好的总体管理简单,快捷,具有良好的总体成本低成本低72023-1-17 防火墙分类防火墙分类82023-1-17防火墙放置于不同防火墙放置于不同网络安全域网络安全域之间之间92023-1-17 第一代防火墙和最基本形式防火墙检查每一个通过的第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。网络包,或者丢弃,或者放行,取决于所建立的一套规则。所以称为包过滤防火墙。所以称为包过滤防火墙。包过滤防火墙包过滤防火墙的特点1
5、02023-1-17112023-1-17包过滤防火墙包过滤防火墙 缺点:缺点:配置困难配置困难,因为包过滤防火墙的配置很复杂,因为包过滤防火墙的配置很复杂,人们经常会忽略建立一些必要的规则,或者错误配置人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,在防火墙上留下漏洞。了已有的规则,在防火墙上留下漏洞。为特定服务开放的端口存在着危险,可能会被为特定服务开放的端口存在着危险,可能会被用于其他传输。用于其他传输。可能还有其他方法绕过防火墙进入网络,例如可能还有其他方法绕过防火墙进入网络,例如拨入连接。拨入连接。优点:优点:防火墙对每条传入和传出网络的包实行低水平控制。防火墙对每条传入
6、和传出网络的包实行低水平控制。防火墙可以识别和丢弃带欺骗性源防火墙可以识别和丢弃带欺骗性源IPIP地址的包。地址的包。122023-1-17安全网域安全网域Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource数据包数据包数据包数据包数据包数据包数据包数据包数据包数据包查找对应的查找对应的控制策略控制策略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包控制策略控制策略数据包数据包过滤依据主要是过滤依据主要是TCP/IP报头里面的报头里面的信息,不能对应用
7、层数据进行处理信息,不能对应用层数据进行处理数据数据TCP报头报头IP报头报头分组过滤判断信息分组过滤判断信息包过滤防火墙工作原理图包过滤防火墙工作原理图132023-1-17应用代理防火墙应用代理防火墙应用程序代理防火墙接受来自内部网络特定用户应用程序的通应用程序代理防火墙接受来自内部网络特定用户应用程序的通信,然后建立于公共网络服务器单独的连接。网络内部的用户不直接信,然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信,所以服务器不能直接访问内部网的任何一部分。与外部的服务器通信,所以服务器不能直接访问内部网的任何一部分。142023-1-17152023-1-17
8、 优点:优点:指定对连接的控制,例如允许或拒绝基于服务器指定对连接的控制,例如允许或拒绝基于服务器IPIP地址的访问,或者是地址的访问,或者是允许或拒绝基于用户所请求连接的允许或拒绝基于用户所请求连接的IPIP地址的访问。地址的访问。通过限制某些协议的传出请求,来减少网络中不必要的服务。通过限制某些协议的传出请求,来减少网络中不必要的服务。大多数代理防火墙能够记录所有的连接,包括地址和持续时间。这些信大多数代理防火墙能够记录所有的连接,包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。息对追踪攻击和发生的未授权访问的事件事很有用的。缺点:缺点:必须在一定范围内定制用户的
9、系统,这取决于所用的应用程序。必须在一定范围内定制用户的系统,这取决于所用的应用程序。一些应用程序可能根本不支持代理连接。一些应用程序可能根本不支持代理连接。应用代理防火墙应用代理防火墙162023-1-17安全网域Host C Host D 数据包数据包数据包数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包拆开数据包根据策略决定如何处理该数据包数据包应用代理可以对数据包的数据区进行分析应用代理可以对数据包的数据区进行分析,并以此判断数据是否允许通过,并以此判断数据是否允许通过控制策略数据数据TCP报头报头IP报头报头分组过滤判断信息应用代理判断信息172023-1-17状态状态/动
10、态检测防火墙动态检测防火墙状态检测技术:在包过滤的同时,检察数据包之间的关联性,数据包中状态检测技术:在包过滤的同时,检察数据包之间的关联性,数据包中动态变化的状态码。跟踪通过防火墙的网络连接和包,使用一组附加的动态变化的状态码。跟踪通过防火墙的网络连接和包,使用一组附加的标准,以确定是否允许和拒绝通信。标准,以确定是否允许和拒绝通信。监测引擎技术:采用一个或若干个在网关上执行网络安全策略的软件模监测引擎技术:采用一个或若干个在网关上执行网络安全策略的软件模块,抽取有关数据的方法对网络通信的各层实施监测,获得状态信息,块,抽取有关数据的方法对网络通信的各层实施监测,获得状态信息,并动态地保存起
11、来作为以后执行安全策略的参考。并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。可以实现给该通信加密等处理动作。可以实现 拒绝携带某些数据的网络通拒绝携带某些数据的网络通信,如带有附加可执行程序的传入电子消息,或包含信,如带有附加可执行程序的传入电子消息,或包含ActiveXActiveX程序的程序的WebWeb页面。页面。1820
12、23-1-17应用层应用层表示层表示层会话层会话层传输层传输层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理物理层层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层监测引擎状态检测示意图状态检测示意图192023-1-17优点:优点:检查检查IPIP包的每个字段的能力,并遵从基于包中信息的过滤规则。包的每个字段的能力,并遵从基于包中信息的过滤规则。识别带有欺骗性源识别带有欺骗性源IPIP地址包的能力。地址包的能力。包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信
13、必须通过防火包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。墙,绕过是困难的。基于应用程序信息验证一个包的状态的能力,基于应用程序信息验证一个包的状态的能力,例如基于一个已经建立的例如基于一个已经建立的FTPFTP连连接,允许返回的接,允许返回的FTPFTP包通过。包通过。基于应用程序信息验证一个包状态的能力,例如允许一个先前认证过的连接继基于应用程序信息验证一个包状态的能力,例如允许一个先前认证过的连接继续与被授予的服务通信。续与被授予的服务通信。记录有关通过的每个包的详细信息的能力。基本上,防火墙用来确定包状态的记录有关通过的每个包的详细信息的能力。基
14、本上,防火墙用来确定包状态的所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。外部系统所做的连接请求等。状态状态/动态检测防火墙动态检测防火墙202023-1-17状态状态/动态检测防火墙的缺点动态检测防火墙的缺点 状态状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则
15、存在时。活的时候,或者是有大量的过滤网络通信的规则存在时。解决办法就是将特定信息通过硬件进行处理,硬件速度越快,解决办法就是将特定信息通过硬件进行处理,硬件速度越快,这个问题就越不易察觉这个问题就越不易察觉,而且防火墙的制造商一直致力于提高他们产,而且防火墙的制造商一直致力于提高他们产品的速度。品的速度。212023-1-17安全网域Host C Host D 数据包数据包数据包数据包数据包数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包 状态检测可以结合前后数据包里的数据信状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过息进行
16、综合分析决定是否允许该包通过控制策略数据数据3TCP报头报头IP报头报头数据数据2TCP报头报头IP报头报头数据数据1TCP报头报头IP报头报头状态检测222023-1-17市场发展需要的新技术市场发展需要的新技术软件防火墙软件防火墙专用硬件专用硬件防火墙防火墙软件软件 VPN专用专用 VPN 网关网关加密处理芯片加密处理芯片软件内容扫描软件内容扫描安全内容安全内容处理网关处理网关内容处理芯片内容处理芯片状态检测处理芯片状态检测处理芯片232023-1-17基于状态检测的硬件防火墙基于状态检测的硬件防火墙采用采用ASICASIC芯片硬件设计体系芯片硬件设计体系具有内容处理芯片和内容处理加速单元
17、具有内容处理芯片和内容处理加速单元可以实现实时分析和数据包协调处理可以实现实时分析和数据包协调处理具有优化内容搜索、模式识别和数据分析功能具有优化内容搜索、模式识别和数据分析功能同时具有病毒扫描、同时具有病毒扫描、VPNVPN、内容过滤和基于网络的入侵检测功、内容过滤和基于网络的入侵检测功能。能。主流防火墙发展趋势主流防火墙发展趋势242023-1-17底层内容过滤原理图底层内容过滤原理图物理接口物理接口(10/100,GigE,etc.)OS 操作系统操作系统系统总线系统总线中心中心CPU(s)会话调度会话调度ASIC内容处理内容处理 器器特征存储器特征存储器 内容重组和扫内容重组和扫描存储
18、器描存储器系统管理系统管理(CLI,Web,SNMP,AutoUpdate)加密引擎加密引擎(DES,3DES,MD5,SHA1,AES)包过滤引擎包过滤引擎特征扫描引擎特征扫描引擎流量管理引擎流量管理引擎252023-1-17 延时延时 并发连接数并发连接数 平均无故障时间平均无故障时间 吞吐量吞吐量防火墙在不丢包的情况下能够达到的最大包转发速率数据包通过防火墙所用的时间防火墙能够同时处理的点对点连接的最大数目 系统平均能够正常运行多长时间,才发生一次故障 262023-1-17防火墙产品功能特性组防火墙产品功能特性组业界标准:符合工业标准的防火墙业界标准:符合工业标准的防火墙工作模式:网络
19、地址转换,透明模式,路由模式。工作模式:网络地址转换,透明模式,路由模式。用户认证:内建用户认证数据库,支持用户认证:内建用户认证数据库,支持RADIUSRADIUS认证数据库。认证数据库。服服 务:支持标准服务(例如:务:支持标准服务(例如:FTPFTP、HTTPHTTP),用户自定义服务,),用户自定义服务,还支持用户定义服务组。还支持用户定义服务组。时时 间间 表:根据小时、日、周和月建立一次性或循环时间表,防火墙表:根据小时、日、周和月建立一次性或循环时间表,防火墙 根据不同的时间表定义安全策略。根据不同的时间表定义安全策略。虚拟映射:外部地址映射到内部或虚拟映射:外部地址映射到内部或
20、DMZDMZ网络上的地址网络上的地址IP/MACIP/MAC绑定:阻止来自绑定:阻止来自IPIP地址欺骗的攻击地址欺骗的攻击 272023-1-17操作模式操作模式:NAT/Route/Transparent:NAT/Route/Transparent NAT NAT 网络地址翻译,每个接口有一个网络地址翻译,每个接口有一个IPIP地址,向外地址,向外的包的包IPIP地址翻译成对外端口的地址翻译成对外端口的IPIP地址地址 Route Route 每个接口有每个接口有IPIP地址,地址,IPIP包从一个端口路由到包从一个端口路由到另一端口,没有地址翻译另一端口,没有地址翻译 Transpare
21、nt Transparent 网络接口没有网络接口没有IPIP地址,类似于二层交地址,类似于二层交换机换机282023-1-17双向双向NATNAT202.94.1.1外部的端口:外部的端口:8080正向正向NAT反向反向NAT(端口映射)(端口映射)InternetINTERNAL端口:端口:80端口:端口:21192.168.1.0/24客户机http:/外部影射的外部影射的IP:8080INTERNAL外部的端口:外部的端口:2121External292023-1-17透明模式的支持透明模式的支持受保护网络如果防火墙支持透明模式则内部网络主机的配置不用调整Host A 199.168.
22、1.2Host C199.168.1.4Host D199.168.1.5Host B199.168.1.3199.168.1.8同一网段透明模式下,这里不用配置IP地址透明模式下,这里不用配置IP地址Default Gateway=199.168.1.8防火墙相当于网桥,原网络结构没有改变Internet302023-1-17基于时间的策略控制基于时间的策略控制管理员设置员工上网时间限制管理员设置员工上网时间限制在防火墙上制定基于在防火墙上制定基于时间的访问控制策略时间的访问控制策略上班时间不允许上班时间不允许访问访问Internet下班时间可以自由下班时间可以自由访问公司的网络访问公司的网
23、络InternetHost C Host D 312023-1-17 IP/MAC IP/MAC绑定绑定Internal 1.1.1.1 External 2.2.2.21.1.1.2 00-20-ED-A8-81-60IP/MAC Table:1.1.1.3 00-20-Ef-A8-82-611.1.1.4 00-20-ED-A8-81-641.1.1.3(甲)甲)1.1.1.21.1.1.4(丙)(丙)严格限制内部用户的网络地址严格限制内部用户的网络地址增加网络安全,抵御网络攻击增加网络安全,抵御网络攻击没有在表中的配置项不能通过没有在表中的配置项不能通过Internet322023-1-
24、17HAHA功能功能高可用性高可用性(HA)(HA)提高可靠性和负载分配。负载分配:负载分配:增强性能,在失败恢复的时候不会发生服务中断。客户机客户机客户机客户机客户机客户机服务器服务器服务器服务器服务器服务器332023-1-17病毒检测病毒检测Exe/doc/zip病毒库病毒库病毒检测病毒检测:扫描邮件附件(SMTP,POP3,IMAP)、Web内容和插件(HTTP)的病毒特征码和宏病毒InternetDMZEmailHTTP财务部市场部研发部Router342023-1-17蠕虫保护蠕虫保护蠕虫保护:蠕虫保护:扫描所有进出的电子邮件及附件(SMTP,POP3,IMAP)检测网页里的插件和
25、下载的内容(HTTP)352023-1-17内容安全控制内容安全控制内容安全控制内容安全控制 网络访问的内容控制,支持网络访问的内容控制,支持WEB内容的关键字过滤,屏蔽具有内容的关键字过滤,屏蔽具有激激越或敏感的网页内容,提供了内容级可控制手段。越或敏感的网页内容,提供了内容级可控制手段。阻塞有害的阻塞有害的Web语言攻击,包括语言攻击,包括Java Applet、Activex、Cookie等等管理与控制Reject: /xxx.asp?返回结果:所访问网页包含管理员禁止内容,以被屏蔽!362023-1-17入侵检测入侵检测InternetDMZEmailHTTP财务部市场部研发部Rout
26、er恶意的攻恶意的攻击和扫描击和扫描IDS127-TELNET-oginIncorrect 200.0.0.1100.0.0.12003/7/209: 源地址 时间攻击描述 372023-1-17入侵检测内容入侵检测内容382023-1-17虚拟专用网虚拟专用网(VPNVPN)虚拟专用网(虚拟专用网(VPNVPN)在网络之间或网络与客户端之间进行安全通讯,在网络之间或网络与客户端之间进行安全通讯,支持支持IPSecIPSec、PPTPPPTP、L2TPL2TP等标准。等标准。硬件加速加密:支持硬件加速加密:支持DESDES,3DES3DES加密算法加密算法密钥交换算法:支持自动密钥交换算法:支
27、持自动IKEIKE和手工密钥交换。和手工密钥交换。VPNVPN客户端通过:没有专门的配置需求,支持客户端通过:没有专门的配置需求,支持PPTPPPTP、L2TPL2TP392023-1-17VPN VPN 解决方案解决方案远程访问Internet分支机构虚拟私有网虚拟私有网虚拟私有网合作伙伴内部网内部网402023-1-17企业企业VPNVPN解决方案解决方案(一一)外部端口地址5.5.5.5内部网络10.1.2.0/24内部网络10.1.1.0/24外部端口地址4.4.4.4虚拟私有网412023-1-17企业企业VPNVPN解决方案解决方案(二二)内部网络10.1.1.0/24外部端口地址
28、4.4.4.4外部端口地址5.5.5.5内部网络10.1.2.0/24虚拟私有网422023-1-17基于基于PPTP/L2TPPPTP/L2TP的拨号的拨号VPNVPN在在Internal 端网络定义远程地址池端网络定义远程地址池每个客户端动态地在地址池中为每个客户端动态地在地址池中为VPN会话获取地址会话获取地址客户端先得拨号(客户端先得拨号(163/169)得到一个公网地址)得到一个公网地址,然后和公司的防火墙设备利用然后和公司的防火墙设备利用PPTP/L2TP协议进行协议进行VPN的建立的建立建立建立VPN 的用户可以访问公司内部网络的所有资源,的用户可以访问公司内部网络的所有资源,就
29、象在内部网中一样就象在内部网中一样客户端不需要附加软件的安装,简单方便客户端不需要附加软件的安装,简单方便1.1.1.12.2.2.23.3.3.3Dial-Up NAT Pool10.1.1.0/24 10.1.1.1-10.1.1.10 432023-1-17基于基于ipsecipsec的拨号的拨号VPNVPN1.1.1.12.2.2.23.3.3.3 利用利用IPSEC协议的通道模式进行协议的通道模式进行VPN的建立的建立 无需为客户分配无需为客户分配IP Pool 用户端要安装用户端要安装IPSEC Client软件软件 建立建立VPN 的用户可以访问公司内部网络的所有资源,就象在内的
30、用户可以访问公司内部网络的所有资源,就象在内部网中一样部网中一样442023-1-17基于浏览器界面配置管理基于浏览器界面配置管理使用使用HTTPSHTTPS远程登录管理远程登录管理452023-1-17基于字符和命令行界面配置管理基于字符和命令行界面配置管理提供提供ConsoleConsole口或远程连接口或远程连接通过使用远程管理通过使用远程管理462023-1-17防火墙不足之处防火墙不足之处472023-1-17企业部署防火墙的误区企业部署防火墙的误区482023-1-17如何选择防火墙如何选择防火墙选择防火墙的标准有很多,但最重要的是以下几条:选择防火墙的标准有很多,但最重要的是以下
31、几条:1 1、总拥有成本、总拥有成本 2 2、防火墙本身是安全的、防火墙本身是安全的 3 3、是硬件还是软件、是硬件还是软件 4 4、可扩充性、可扩充性 5 5、升级能力、升级能力492023-1-17第二部分:计算机病毒技术第二部分:计算机病毒技术502023-1-17 计算机病毒,是指编制或者在计算机程序中插计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。用,并能自我复制的一组计算机指令或者程序代码。摘自摘自中华人民共和国计算机信中华人民共和国计算机信 息系统安全保
32、护条例息系统安全保护条例512023-1-17 1.1.寄生性(依附性)寄生性(依附性)计算机病毒是一种特殊的计算机程序,它不是以计算机病毒是一种特殊的计算机程序,它不是以独立的文件的形式存在的,它寄生在合法的程序中独立的文件的形式存在的,它寄生在合法的程序中.病毒所寄生的合法程序被称做病毒的载体,也称病毒所寄生的合法程序被称做病毒的载体,也称为病毒的宿主程序。为病毒的宿主程序。病毒程序嵌入到宿主程序中,依赖于宿主程序的病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性。执行而生存,这就是计算机病毒的寄生性。522023-1-172.2.传染性传染性 计算机病毒的传
33、染性是指计算机病毒会通过各种渠计算机病毒的传染性是指计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。道从已被感染的计算机扩散到未被感染的计算机。是否具有传染性是判别一个程序是否为计算机病毒是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。的最重要条件。532023-1-17 计算机病毒在发作之前,必须能够将自身计算机病毒在发作之前,必须能够将自身很好的隐蔽起来,不被用户发觉,这样才能实很好的隐蔽起来,不被用户发觉,这样才能实现进入计算机系统、进行广泛传播的目的。现进入计算机系统、进行广泛传播的目的。计算机病毒的隐蔽性表现为传染的隐蔽性计算机病毒的隐蔽性表现为传染的隐蔽
34、性与存在的隐蔽性。与存在的隐蔽性。3 3隐蔽性隐蔽性542023-1-17计算机病毒的潜伏性是指病毒程序为了达到不断计算机病毒的潜伏性是指病毒程序为了达到不断传播并破坏系统的目的,一般不会在传染某一程序传播并破坏系统的目的,一般不会在传染某一程序后立即发作,否则就暴露了自身。后立即发作,否则就暴露了自身。潜伏性愈好,其在系统中的存在时间就会愈长,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。病毒的传染范围就会愈大。4 4潜伏性潜伏性552023-1-17 共同的危害,即降低计算机系统的工作效率共同的危害,即降低计算机系统的工作效率,占用系统资源,其具体情况取决于入侵系统,占
35、用系统资源,其具体情况取决于入侵系统的病毒程序。的病毒程序。计算机病毒的破坏性主要取决于计算机病毒计算机病毒的破坏性主要取决于计算机病毒设计者的目的。设计者的目的。有时几种本来没有多大破坏作用的病毒交叉有时几种本来没有多大破坏作用的病毒交叉感染,也会导致系统崩溃等重大恶果。感染,也会导致系统崩溃等重大恶果。5 5破坏性破坏性562023-1-176.6.可触发性可触发性 因某个特征或数值的出现,诱使病毒实因某个特征或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。施感染或进行攻击的特性称为可触发性。572023-1-17 计算机病毒存在的理论依据来自于冯计算机病毒存在的理论依据来自于
36、冯诺依诺依曼结构及信息共享,从理论上讲如果要彻底消曼结构及信息共享,从理论上讲如果要彻底消灭病毒,只有摒弃冯灭病毒,只有摒弃冯诺依曼结构及信息共享,诺依曼结构及信息共享,显然,此二者都是无法摒弃的。显然,此二者都是无法摒弃的。7 7产生的必然性产生的必然性582023-1-17 从本质上说,计算机病毒是非授权的对程从本质上说,计算机病毒是非授权的对程序体的字符型信息加工过程。序体的字符型信息加工过程。病毒具有正常程序的一切特性,它隐藏在病毒具有正常程序的一切特性,它隐藏在正常程序中,当用户调用正常程序时窃取到正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的系统的控制
37、权,先于正常程序执行,病毒的动作、目的对用户是未知的,是未经用户允动作、目的对用户是未知的,是未经用户允许的。许的。8 8非授权性非授权性592023-1-171 1、磁盘在使用中的传递、磁盘在使用中的传递2 2、软件共享使用、软件共享使用3 3、盗版软件、盗版软件4 4、OFFICEOFFICE文档流行文档流行5 5、盗版光盘的泛滥、盗版光盘的泛滥6 6、网络连接和、网络连接和INTERNETINTERNET、局域网内的目录共享、局域网内的目录共享 7 7、E-mailE-mail的传播,是网络蠕虫病毒传播的主要途径的传播,是网络蠕虫病毒传播的主要途径 病毒传播途径:病毒传播途径:病毒传播途
38、径病毒传播途径602023-1-17病毒的危害病毒的危害影响系统效率影响系统效率进行反动宣传进行反动宣传 占用系统资源占用系统资源删除、破坏数据删除、破坏数据干扰正常操作干扰正常操作阻塞网络阻塞网络612023-1-17 1)Dos 1)Dos病毒病毒 2)Windows 2)Windows 病毒病毒 3)UNIX3)UNIX病毒病毒 4 4)攻击)攻击OS/2OS/2系统的病毒。系统的病毒。5 5)攻击嵌入式操作系统的病毒。)攻击嵌入式操作系统的病毒。1.1.按照病毒依赖的操作系统来分按照病毒依赖的操作系统来分 一般说来,特定的病毒只能在特定的操作系统下一般说来,特定的病毒只能在特定的操作系
39、统下运行。运行。病毒分类病毒分类 之一之一622023-1-17病毒分类病毒分类 之二之二2.2.按照计算机病毒的链结方式分为:按照计算机病毒的链结方式分为:源码型病毒源码型病毒 入侵型病毒入侵型病毒 操作系统型病毒操作系统型病毒 外壳型病毒外壳型病毒632023-1-17病毒分类病毒分类 之二之二 源码型病毒:较为少见,亦难以编写。因为它要攻击高源码型病毒:较为少见,亦难以编写。因为它要攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行程序一起编译、连接成可执行文件。此时刚刚生成的
40、可执行文件便已经带毒了。文件便已经带毒了。入侵型病毒:可用自身代替正常程序中的部分模块或堆入侵型病毒:可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强。一栈区。因此这类病毒只攻击某些特定程序,针对性强。一般情况下也难以被发现,清除起来也较困难。般情况下也难以被发现,清除起来也较困难。642023-1-17病毒分类病毒分类 之二之二外壳型病毒:将自身附在正常程序的开头或结尾,相当外壳型病毒:将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的文件型病毒都属于这于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。一类。操作系统型病毒:可用其自身
41、部分加入或替代操作系统操作系统型病毒:可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统,这类病毒的危害性的部分功能。因其直接感染操作系统,这类病毒的危害性也较大。也较大。652023-1-17病毒分类病毒分类 之三之三良性病毒:小球病毒、三维球病毒、良性病毒:小球病毒、三维球病毒、WM/ConceptWM/Concept病毒病毒3.3.按照病毒危害程度来分为:按照病毒危害程度来分为:恶性病毒:冲击波病毒、蠕虫王病毒、恶性病毒:冲击波病毒、蠕虫王病毒、CIHCIH病毒、病毒、爱虫病毒爱虫病毒 病毒演示之一病毒演示之一女鬼病毒女鬼病毒病毒演示之二病毒演示之二千年老妖千年老妖其他病毒
42、演示白雪公主692023-1-17手机病毒手机病毒 2004年,针对使用Symbian的蓝牙手机的病毒出现 针对使用PocketPC的验证性攻击程序也被发现 手机功能和操作系统通用性不断增强,会有越来越多针对手机的攻击702023-1-17病毒分类病毒分类 之四之四4 4按寄生方式分为:按寄生方式分为:引导型病毒引导型病毒 文件型病毒文件型病毒混合型病毒混合型病毒712023-1-17引导型病毒引导型病毒:引导型病毒是藏匿在磁盘片或硬盘的第一个扇区。因为引导型病毒是藏匿在磁盘片或硬盘的第一个扇区。因为DOSDOS的架构设计的架构设计,使得病毒可以在每次开机时使得病毒可以在每次开机时,在操作系统
43、还在操作系统还没被加载之前就被加载到内存中没被加载之前就被加载到内存中,这个特性使得病毒可以针这个特性使得病毒可以针对对DOSDOS的各类中断的各类中断 (Interrupt)(Interrupt)得到完全的控制得到完全的控制,并且拥有并且拥有更大的能力进行传染与破坏。更大的能力进行传染与破坏。典型病毒:典型病毒:MichelangeloMichelangelo米开朗基罗病毒米开朗基罗病毒潜伏期:一年潜伏期:一年发病日:发病日:3 3月月6 6日日产地:瑞典(也有一说为台湾)产地:瑞典(也有一说为台湾)症状:病毒发作后,使用者一开机若出现黑画面,那表示症状:病毒发作后,使用者一开机若出现黑画面
44、,那表示硬盘资料全部丢失。硬盘资料全部丢失。引导型病毒引导型病毒722023-1-17 一般只传染磁盘上的可执行文件(一般只传染磁盘上的可执行文件(COMCOM,EXEEXE)。)。在用户调用染毒的可执行文件时,病毒首先被运行,在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件,成为程序文件文件。其特点是附着于正常程序文件,成为程序文件的一个外壳或部件。这是较为常见的传染方式。根据的一个外壳或部件。这是较为常见的传染方式。根据文件型的病毒依传染方式的不同文件型的病毒依传染方式
45、的不同,又分成非常驻型以又分成非常驻型以及常驻型两种。及常驻型两种。文件型病毒文件型病毒文件型病毒:文件型病毒:732023-1-17非常驻型病毒将自己寄生在非常驻型病毒将自己寄生在 *.COM,.COM,*.EXE.EXE或是或是 *.SYS.SYS的文件中。当这些中毒的程序被执行时,就会的文件中。当这些中毒的程序被执行时,就会尝试去传染给另一个或多个文件。尝试去传染给另一个或多个文件。(1)(1)非常驻型病毒非常驻型病毒(Non-memory Resident Virus):(Non-memory Resident Virus):典型病毒:典型病毒:DatacrimeDatacrime I
46、I II 资料杀手资料杀手发病日:发病日:1010月月1212日起至日起至1212月月3131日日发现日:发现日:1989.31989.3产地:荷兰产地:荷兰症状:低级阶格式化硬盘,高度破坏数据资料症状:低级阶格式化硬盘,高度破坏数据资料 非常驻型病毒非常驻型病毒742023-1-17 常驻型病毒躲在内存中,其行为就好象是寄生在各常驻型病毒躲在内存中,其行为就好象是寄生在各类的低阶功能一般类的低阶功能一般(如如 Interrupts)Interrupts),由于这个原因,由于这个原因,常常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进入了内存
47、中进入了内存中,只要执行文件被执行只要执行文件被执行,它就对其进行感它就对其进行感染的动作染的动作,其效果非常显着。其效果非常显着。发病日:发病日:每逢每逢1313号星期五号星期五产地:南非产地:南非症状:将任何你想执行的中毒文件删除,该病毒感染症状:将任何你想执行的中毒文件删除,该病毒感染速度相当快,其发病的唯一征兆是软驱的灯会一直亮速度相当快,其发病的唯一征兆是软驱的灯会一直亮着。着。(2)(2)常驻型病毒常驻型病毒(Memory Resident Virus):(Memory Resident Virus):典型病毒:典型病毒:Friday 13Friday 13thth 黑色(黑色(1
48、313号)星期五号)星期五 常驻型病毒常驻型病毒752023-1-17复合型病毒复合型病毒 (Multi-Partite Virus)(Multi-Partite Virus)复合型病毒兼具开机型病毒以及文件型病毒的特复合型病毒兼具开机型病毒以及文件型病毒的特性。它们可以传染性。它们可以传染 *.COM,.COM,*.EXE.EXE 文件,也可以传染文件,也可以传染磁盘的开机系统区磁盘的开机系统区(Boot Sector)(Boot Sector)。由于这个特性。由于这个特性,使得这种病毒具有相当程度的传染力。一旦发病,其使得这种病毒具有相当程度的传染力。一旦发病,其破坏的程度将会非常可观。破
49、坏的程度将会非常可观。复合型病毒复合型病毒 典型病毒:典型病毒:Flip Flip 翻转翻转 发病日:每月发病日:每月2 2日日产地:瑞士产地:瑞士(也有一说为西德也有一说为西德)症状:每个月症状:每个月 2 2 号,如果使用被寄生的磁盘或硬盘开号,如果使用被寄生的磁盘或硬盘开机时,则在机时,则在16 16 时至时至1616时时5959分之间,屏幕会呈水平翻动。分之间,屏幕会呈水平翻动。762023-1-17病毒分类之五病毒分类之五 宏病毒:美丽莎宏病毒:美丽莎 系统病毒系统病毒:CIH:CIH病毒病毒 蠕虫病毒:红色代码,尼姆达蠕虫病毒:红色代码,尼姆达 木马病毒:木马病毒:QQQQ尾巴尾巴
50、 黑客病毒:黑客病毒:007007 破坏性程序、网页脚本病毒:万花谷病毒破坏性程序、网页脚本病毒:万花谷病毒6 6按照病毒的感染特性来分按照病毒的感染特性来分772023-1-17病毒概念扩展病毒概念扩展对病毒概念的扩展:对病毒概念的扩展:782023-1-17蠕虫病毒(一)蠕虫病毒(一)n蠕虫病毒与一般病毒的差异比较蠕虫病毒与一般病毒的差异比较普通病毒普通病毒 蠕虫病毒蠕虫病毒存在形式存在形式 寄存文件寄存文件 独立程序独立程序传染机制传染机制 宿主程序运行宿主程序运行 主动攻击主动攻击传染目标传染目标 本地文件本地文件网络计算机网络计算机792023-1-17 n蠕虫的破坏和发展趋势蠕虫的