CCNA基本安全性.ppt

8.3.4反垃圾邮件 垃圾邮件不仅惹人讨厌，还可能造成电子邮件服务器过载，有时还携带有病毒和其它安全威胁。垃圾邮件发送者还可以通过在主机上植入病毒或特洛伊木马代码来控制主机。让受控主机在用户毫不知情的情况下发送垃圾邮件。受到这种形式感染的计算机称为“垃圾邮件工厂” 反垃圾邮件软件可识别垃圾邮件并执行相应操作（例如将其放置到垃圾邮件文件夹或删除），从而为主机提供保护。此类软件可在机器本地加载，也可在电子邮件服务器上加载。此外，许多 ISP 也提供垃圾邮件过滤器。反垃圾邮件软件无法识别所有的垃圾邮件，因此打开电子邮件时仍须非常谨慎。有时候，有用的电子邮件也会被错误地当作垃圾邮件处理了。 参见电子版教材动画 除了使用垃圾邮件拦截器以外，还可使用其它预防措施来防止垃圾邮件传播，这些措施包括： 及时应用现有的操作系统和应用程序更新。 定期运行防病毒程序，并始终保持最新版本。 不要转发可疑的电子邮件。 不要打开电子邮件附件，尤其是来自陌生人的邮件附件。 设置电子邮件规则，删除绕过反垃圾邮件软件的垃圾邮件。 标识垃圾邮件来源，并将其报告给网络管理员以便阻隔该来源。 将事件报告给处理垃圾邮件滥用的政府机构。 8.3.4反垃圾邮件 8.3.5反间谍软件 反间谍软件和广告软件 间谍软件和广告软件也会导致类似病毒的症状。除了收集未经授权的信息外，它们还会占用重要的计算机资源并影响性能。反间谍软件可检测和删除间谍软件应用程序，并防止这些程序将来再度安装。许多反间谍软件应用程序还包括 cookie 及广告软件的检测和删除功能。某些防病毒软件包具有反间谍软件功能。 弹出广告拦截器 可安装弹出广告拦截器软件来阻止弹出广告和背投广告。许多 Web 浏览器默认包含弹出广告拦截器的功能。请注意，某些程序和网页会生成必要和有用的弹出窗口。因此，大多数弹出广告拦截器都具有忽略功能（即允许某些弹出窗口）。 8.4.1 什么是防火墙 防火墙是保护内部网络用户远离外部威胁的最为有效的安全工具之一。防火墙驻留在两个或多个网络之间，控制其间的通信量并帮助阻止未授权的访问。 数据包过滤— 根据 IP 或 MAC 地址阻止或允许访问。 应用程序/网站过滤— 根据应用程序来阻止或允许访问。网站阻隔则通过指定网站 URL 地址或关键字来实现。 状态封包侦测 (SPI)— 传入数据包必须是对内部主机所发出请求的合法响应。除非得到特别允许，否则未经请求的数据包会被阻隔。状态封包侦测还可具有识别和过滤特定类型攻击（例如 DoS）的能力。 8.4.1 什么是防火墙 防火墙可支持一个或多个此类过滤功能。此外，防火墙通常会执行网络地址转换 (NAT)。网络地址转换将一个内部地址或一组地址转换为一个公开的外部地址，该地址会通过网络传送。从而实现了对外部用户隐藏内部 IP 地址的目的。 8.4.1 什么是防火墙 防火墙产品具有各种形式： 基于设备的防火墙— 此类防火墙内置在专用的硬件设备（称为安全设备）中。 基于服务器的防火墙— 此类防火墙是在网络操作系统（NOS，例如 UNIX、Windows 或 Novell）上运行的防火墙应用程序。 集成防火墙— 此类防火墙通过对现有设备（例如路由器）添加防火墙功能来实现。 个人防火墙— 此类防火墙驻留在主机计算机中，不能用于 LAN 实施。它可以由操作系统默认提供，也可以由外部厂商提供安装。 8.4.2 使用防火墙 通过在内部网络（内部网）和 Internet 之间设置防火墙作为边界设备，所有往来 Internet 的通信量都会被监视和控制。如此一来，便在内部和外部网络之间划分了一条清晰的防御界线。然而，可能会有一些外部客户需要访问内部资源。为此，可配置一个非军事区 (DMZ)。 术语“非军事区”借用自军事用语，它代表两股势力之间的一个指定区域，在该区域内不允许执行任何军事活动。在计算机网络中，非军事区代表内部和外部用户都可访问的网络区域。其安全性高于外部网络，低于内部网络。它是由一个或多个防火墙创建的，这些防火墙起到分隔内部、非军事区和外部网络的作用。用于公开访问的 Web 服务器通常位于非军事区中。 8.4.2 使用防火墙 单防火墙配置 单个防火墙包含三个区域，分别用于外部网络、内部网络和非军事区。来自外部网络的所有通信量都被发送到防火墙。然后防火墙会监控通信量，决定哪些通信量应传送到非军事区，哪些应传送到内部，以及哪些应予以拒绝。 8.4.2 使用防火墙 双防火墙配置 在双防火墙配置中，防火墙分为内部防火墙和外部防火墙，其间则是非军事区。外部防火墙限制较少，允许 Internet 用户访问非军事区中的服务，而且允许任何内部用户请求的通信量通过。内部防火墙限制较多，用于保护内部网络免遭未授权的访问。 8.4.2 使用防火墙 许多家庭网络设备包含多功能防火