企业内部网中防火墙的应用与分析课程设计.docx

企业内部网中防火墙的应用与分析课程设计.docx

《企业内部网中防火墙的应用与分析课程设计.docx》由会员分享，可在线阅读，更多相关《企业内部网中防火墙的应用与分析课程设计.docx（26页珍藏版）》请在冰豆网上搜索。

企业内部网中防火墙的应用与分析课程设计

类型：

课程设计

题目：

企业内部网中防火墙的应用与分析

随着人们对Internet依赖度的加深，网络信息安全问题日益成为人们关注和重视的焦点，防火墙技术是Internet上广泛应用的重要安全技术。

本文介绍了防火墙技术的现状及发展，就企业网络安全体系中防火墙技术的重要性、建立有企业特色的网络安全体系的体会等进行了叙述，讨论了企业防火墙安全技术的分类及其主要技术特征。

关键词：

防火墙；非法入侵；病毒防治；安全机制

第一章引言

以Internet为代表的全球性信息化浪潮迅猛发展，越来越多的人使用网络并通过网络获取信息、进行交流和沟通、参与网上贸易，网络对于当今中国社会的影响也愈来愈深、愈来愈广。

从这个意义上看，网络化已经成为我国现代化进程中的一个重要特征。

而网络安全也成为影响网络效能的重要问题。

网络防火墙作为防止黑客入侵的主要手段，也已经成为个人和企业网络安全建设的必选设备。

然而，企业网络的整体安全涉及的层面相当广，防火墙不仅无法解决所有的安全问题，防火墙所使用的控制技术、自身的安全保护能力、网络结构、安全策略等因素都会影响企业网络的安全性。

在享受丰盛的Internet/Intranet各种建置及所带来的效率与成本回收的成果之时，如果企业没有一个良好的安全防范机制，企业内部网络资源将不堪一击，这不是在危言耸听。

1.1本课题的研究意义

由于黑客的非法入侵时及病毒摧毁计算机所造成的威胁有越来越严重的趋势。

许多的企业也因为之前没有对网络架构作好网络防护措施，付出了惨痛而昂贵的代价。

企业对于功能更强大的防火墙的需求也越来越迫切。

因此，为了实现网络的安全，建立个高效、通用、安全体系，需要将各种防火墙技术、网络安全技术相结合，并配合有效的管理和组织措施，制定相应的规章制度，提高网络管理人员的安全息识，才能形成整体的和纵深有序的安全防御体系。

1.2本课题的内容

本论文较全面地介绍了防火墙技术的现状，就企业网络安全体系中防火墙技术的重要性、建立有企业特色的网络安全体系进行了叙述，讨论了企业防火墙安全技术的分类及其主要技术特征。

介绍了企业内部网防火墙具备的功能，重点研究企业防火墙应对非法者入侵的各种方法，针对各个漏洞进行分析详细叙述了应对方法。

本论文也稍微讨论了下企业防火墙应对病毒的一些方法。

以及如何为企业定制一套安全的机制。

第二章企业内部网中防火墙的研究现状及设计目标

相关组织和机构经过几年的研究与讨论，已经基本上清晰地勾勒出了一个有关企业防火墙的框架。

2.1企业防火墙的特点及优缺点

2.1.1防火墙企业的特性

A．所有的通信都经过防火墙。

B．防火墙只放行经过授权的网络流量。

C．防火墙能经受的住对其本身的攻击。

我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。

所以一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。

为什么要使用防火墙？

很多人都会有这个问题，也有人提出，如果把每个单独的系统配置好，其实也能经受住攻击。

遗憾的是很多系统在缺省情况下都是脆弱的。

最显著的例子就是Windows系统，我们不得不承认在Windows2003以前的时代，Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。

如果管理员通过安全部署，包括删除多余的服务和组件，严格执行NTFS权限分配，控制系统映射和共享资源的访问，以及帐户的加固和审核，补丁的修补等。

做好了这些，我们也可以非常自信的说，Windows足够安全。

也可以抵挡住网络上肆无忌惮的攻击。

但是致命的一点是，该服务器系统无法在安全性，可用性和功能上进行权衡和妥协。

对于此问题我们的回答是：

“防火墙只专注做一件事，在已授权和未授权通信之间做出决断。

”

如果没有防火墙，粗略的下个结论，就是：

整个网络的安全将倚仗该网络中所有系统的安全性的平均值。

遗憾的是这并不是一个正确的结论，真实的情况比这更糟：

整个网络的安全性将被网络中最脆弱的部分所严格制约。

即非常有名的木桶理论也可以应用到网络安全中来。

没有人可以保证网络中每个节点每个服务都永远运行在最佳状态。

网络越庞大，把网络中所有主机维护至同样高的安全水平就越复杂，将会耗费大量的人力和时间。

整体的安全响应速度将不可忍受，最终导致网络安全框架的崩溃。

防火墙成为了与不可信任网络进行联络的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。

并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证提供了依据。

总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。

2.1.2企业内部网需要防火墙克服的风险

A．机密性的风险。

B．数据完整性的风险。

C．用性的风险。

我们说的防火墙主要是部署在网络的边界（NetworkPerimeter），这个概念主要是指一个本地网络的整个边界，表面看起来，似乎边界的定义很简单，但是随着虚拟专用网络（VPN）的出现，边界这个概念在通过VPN拓展的网络中变的非常模糊了。

在这种情况下，我们需要考虑的不仅仅是来自外部网络和内部网络的威胁，也包含了远程VPN客户端的安全。

因为远程VPN客户端的安全将直接影响到整个防御体系的安全。

2.1.3企业防火墙的主要优点

A．防火墙可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可管理和可靠性高的范围之内。

B．防火墙可以用于限制对某些特殊服务的访问。

C．防火墙功能单一，不需要在安全性，可用性和功能上做取舍。

D．防火墙有审记和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期。

2.1.4企业防火墙的主要弱点

A．不能防御已经授权的访问,以及存在于网络内部系统间的攻击。

B．不能防御合法用户恶意的攻击.以及社交攻击等非预期的威胁。

C．不能修复脆弱的管理措施和存在问题的安全策略。

D．不能防御不经过防火墙的攻击和威胁。

2.2本课题要达到的设计目标

研究防火墙，透彻了解防火墙的原理，能从数据链路层一直到应用层施加全方位的控制；并运用防火墙尽可能地抵抗黑客入侵，并且尽量减少病毒对企业内部网造成的损失。

定制一套安全机制，产生一个新的防火墙理论。

第三章企业内部网中防火墙技术及安全威胁

3.1目前防火墙的技术

防火墙从原理上主要有三种技术:

包过滤（PacketFiltering）技术、代理服务（ProxyService）技术不和状态检测（StateInspection）技术。

3.1.1包过滤（packetFiltering）技术

包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址和TCP端口号等规则，对通过设备的数据包进行检查，限制数据包在内部网络的进出。

由于包过滤技术要求内外通信的数据包必须通过使用这项技术的计算机，才能进行过滤，因而，包过滤技术必须用在路由器上。

它通常由包过滤路由器对IP包进行选择，允许或拒绝特定的包通过。

包过滤技术具有数据包过滤对用户透明、一个过滤路由器能协助保护整个网络、过滤路由器速度快、效率高等优点。

包过滤技术的缺点：

配置访问控制列表比较复杂，要求网络管理员对Interne服务有深入了解，其性能随访问控制列表的长度的增加而呈指数下降，没有跟踪记录能力，不能从日志记录中发现黑客的攻击记录，不能在用户级别上进行过滤，即不能鉴别不同的用户和防止IP地址盗用，只检查地址和端口，对通过网络应用链路层协议实现的威胁无防范能力，无法抵御数据驱动型攻击不能理解特定服务的上下文环境和数据包过滤防火墙技术虽然能实现定的安全保护，但有许多优点，但是包过滤毕竟是第一代防火墙技术，本身存在较多缺陷，不能提供较高的安全性。

在实际应用中，很少把包过滤技术当作单独的安全解决力案，而是把它与其他防火墙技术结合在一起使用。

3.1.2代理服务（ProxyService）技术

代理服务是另一种防火墙技术，与包过滤不同，它直接和应用程序打交道。

它不会让数据包直接通过，而是自己接收数据包，并对其进行分析。

代理实际是设置在Internet防火墙网关上有特殊功能的应用层代码，是在网管员允许下或拒绝的特定的应用程序或者特定服务，还可应用于实施数据流监控、过滤、记录和报告等功能。

代理的工作原理比较简单，首先是用户与代理服务器建立连接，然后将目的站点告知代理，对于合法的清求，代理以自己的身份（应用层网关）与目的站点建立连接，然后代理在这两个连接中转发数据。

代理防火墙最突出的优点是安全，因为每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务（如http）编写的安全化的应用程序进行处理，然后由防火墙本身提交清求和应答，不给内外网络的计算机以任何直接会话的机会，实现了内外网络的完全隔离，因而其安全性很高。

代理技术同时具有速度相对比较慢和一些代理需要修改客户机软件等缺点。

3.1.3状态检测（StateInspection）技术

状态检测技术是防火墙近几年才应用的新技术。

传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝，而状态检测技术采用的是种基于连接的状态检测机制，将属于同连接的所有包作为个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。

这以动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。

状态检测防火墙克服了前两种防火墙技术的限制，与前两种防火墙技术相比，状态分析技术具有高安全性、高效性、可伸缩性和扩展性以及应用范围广优点。

状态分析技术的防火墙的缺点：

就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。

这种技术能在不妨碍正常网络使用的情况下保护网络安全，然而这依赖于网络攻击的数据库和检测程序对网络数据的智能分析，而且在网络流量较大时，可能会遗漏数据包信息，因此，这种技术主要用于对网络安全要求非常高的网络系统，常用的网络并不需要使用这种力式。

但是网络安全的威胁是多方面的，单单依靠某种技术来实现完全保护是很困难的，只有将防火墙技术和其它网络安全技术（如数据备份、分布式处理等）相结合才能很好地起到保护网络安全的作用。

3.2企业防火墙防止非法者的入侵及各种应对方法

3.2.1企业防火墙来是怎样防止非法者的入侵的

防火墙是Internet上公认网络存取控制最佳的安全解决方案，网络公司正式将防火墙列入信息安全机制；防火墙是软硬件的结合体，架设在网络之间以确保安全的连接。

因此它可以当作Internet、Intranet或Extranet的网关器，以定义一个规则组合或安全政策，来控制网络间的通讯。

并可有效率的记录各种Internet应用服务的存取信息、隐藏企业内部资源、减少企业网络曝露的危机等。

所以正确安全的防火墙架构必须让所有外部到内部或内部到外部的封包都必须通过防火墙，且唯有符合安全政策定义的封包，才能通过防火墙；既然防火墙是Internet/Intranet相关技术服务进出的唯一信道，要正确的使用防火墙就必须先了解防火墙的技术为何？

安全性是否符合各种应用服务的需求？

认证方式有哪些及网络传输资料的加解/密功能（VPN）方式？

最重要的是厂商能否提供。

这是一种新的防火墙专利技术，结合了封包过滤网络层的执行效能及代理应用闸信道的安全性。

任何的封包会都在网络层中被拦劫，然后防火墙会从全部的应用层级中萃取出跟状态有关的数据，而且放在动态状态表来判断后续的封包；提供了应用层的资料内容安全检测，而且不会破坏主从架构模式，可以在资料保全和流量间作智能的控制，具有最大的扩展及延伸能力。

3.2.2企业防火墙应对非法者入侵的各种方法

3.2.2.1IP地址过滤

所有的防火墙都具有IP地址过滤功能。

这项任务要检查IP包头，根据其IP源地址和目标地址做出放行/丢弃决定。

（如图3-1），两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。

图3-1IP地址过滤

　　当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。

接下来，协议栈将这个TCP包放到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。

在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。

现在配制防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，有些防火墙还会通知客户程序一声。

既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。

（如图3-2）。

图3-2防火墙拒绝IP请求

还有一种情况，你可以命令防火墙拒绝那台PC机的信息，别人的数据包都让过就它不行。

这正是防火墙最基本的功能：

根据IP地址做转发判断。

但由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。

不过根据地址的转发决策机制还是最基本和必需的。

另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。

3.2.2.2服务器TCP/UDP端口过滤

仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧？

所以说，在地址之外我们还要对服务器的TCP/UDP端口进行过滤。

图3-3服务器的TCP/UDP端口过滤

比如，（如图3-3），默认的telnet服务连接端口号是23。

假如我们不许PC客户机建立对UNIX计算机（在这时我们当它是服务器）的telnet连接，那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具有23目标端口号的包过滤就行了。

但这样，我们还是不能把IP地址和目标服务器TCP/UDP端口结合起来作为过滤标准来实现相当可靠的防火墙。

3.2.2.3客户机TCP/UDP端口

　　TCP/IP是一种端对端协议，每个网络节点都具有唯一的地址。

网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。

地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。

比如（如图3-4），telnet服务器在端口23侦听入站连接。

同时telnet客户机也有一个端口号，否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢？

由于历史的原因，几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。

只有UNIX计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。

所以，除非我们让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。

这对防火墙而言可就麻烦了，如果阻塞入站的全部端口，那么所有的客户机都没法使用网络资源。

因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包都没法经过防火墙的入站过滤。

反过来，打开所有高于1023的端口就可行了吗？

也不尽然。

由于很多服务使用的端口都大于1023，比如Xclient、基于RPC的NFS服务以及为数众多的非UNIXIP产品等（NetWare/IP）就是这样的。

那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗？

连这些客户程序都不敢说自己是足够安全的。

图3-4客户端的TCP/UDP端口过滤

3.2.2.4双向过滤

现在换个思路。

我们给防火墙这样下命令：

已知服务的数据包可以进来，其他的全部挡在防火墙之外。

比如，如果我们知道用户要访问Web服务器，那就只让具有源端口号80的数据包进入网络：

（如图3-5）

图3-5双向过滤

不过新问题又出现了。

首先，我们怎么知道我们要访问的服务器具有哪些正在运行的端口号呢？

像HTTP这样的服务器本来就是可以任意配置的，所采用的端口也可以随意配置。

如果我们这样设置防火墙，我们就没法访问哪些没采用标准端口号的的网络站点了！

同时，我们也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。

有些黑客就是利用这一点制作自己的入侵工具，并让其运行在本机的80端口！

3.2.2.5检查ACK位

　源地址我们不相信，源端口也不相信，不过还有TCP协议。

TCP是一种可靠的通信协议，协议具有包括纠错机制在内的一些特殊性质。

为了实现其可靠性，每个TCP连接都要先经过一个“握手”过程来交换连接参数。

还有，每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。

但并不是对每个TCP包都非要采用专门的ACK包来响应，实际上仅仅在TCP包头上设置一个专门的位就可以完成这个功能了。

所以，只要产生了响应包就要设置ACK位。

连接会话的第一个包不用于确认，所以它就没有设置ACK位，后续会话交换的TCP包就要设置ACK位了。

图3-6使用ACK位检查

　举个例子，（如图3-6）PC向远端的Web服务器发起一个连接，它生成一个没有设置ACK位的连接请求包。

当服务器响应该请求时，服务器就发回一个设置了ACK位的数据包，同时在包里标记从客户机所收到的字节数。

然后客户机就用自己的响应包再响应该数据包，这个数据包也设置了ACK位并标记了从服务器收到的字节数。

通过监视ACK位，我们就可以将进入网络的数据限制在响应包的范围之内。

于是，远程系统根本无法发起TCP连接但却能响应收到的数据包了。

这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部Web服务器，那么端口80就不得不被打开以便外部请求可以进入网络。

还有，对UDP包而言就没法监视ACK位了，因为UDP包压根就没有ACK位。

还有一些TCP应用程序，比如FTP，连接就必须由这些服务器程序自己发起。

3.2.2.6FTP带来的困难

　　一般的Internet服务对所有的通信都只使用一对端口号，FTP程序在连接期间则使用两对端口号。

第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路，而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。

在通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。

一旦用户请求服务器发送数据，FTP服务器就用其20端口（数据通道）向客户的数据端口发起连接。

问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。

通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。

3.2.2.7UDP端口过滤

　　现在解决UDP问题。

UDP包没有ACK位所以不能进行ACK位过滤。

UDP是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。

NFS、DNS、WINS、NetBIOS-over-TCP/IP和NetWare/IP都使用UDP。

　　最简单的可行办法就是不允许建立入站UDP连接。

防火墙设置为只许转发来自内部接口的UDP包，来自外部接口的UDP包则不转发。

现在的问题是，比方说，DNS名称解析请求就使用UDP，如果你提供DNS服务，至少得允许一些内部请求穿越防火墙。

还有IRC这样的客户程序也使用UDP，如果要让你的用户使用它，就同样要让他们的UDP包进入网络。

我们能做的就是对那些从本地到可信任站点之间的连接进行限制。

但是，如果黑客采取地址欺骗的方法不又回到老问题上去了。

　　有些新型路由器可以通过“记忆”出站UDP包来解决这个问题：

如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。

如果在内存中找不到匹配的UDP包就只好拒绝它了！

但是，我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢？

如果黑客诈称DNS服务器的地址，那么他在理论上当然可以从附着DNS的UDP端口发起攻击。

只要你允许DNS查询和反馈包进入网络这个问题就必然存在。

办法是采用代理服务器。

所谓代理服务器，顾名思义就是代表你的网络和外界打交道的服务器。

代理服务器不允许存在任何网络内外的直接连接。

它本身就提供公共和专用的DNS、邮件服务器等多种功能。

代理服务器重写数据包而不是简单地将其转发了事。

3.2.2.8小结

　　IP地址可能是假的，这是由于IP协议的源路有机制所带来的，这种机制告诉路由器不要为数据包采用正常的路径，而是按照包头内的路径传送数据包。

于是黑客就可以使用系统的IP地址获得返回的数据包。

有些高级防火墙可以让用户禁止源路由。

通常我们的网络都通过一条路径连接ISP，然后再进入Internet。

这时禁用源路由就会迫使数据包必须沿着正常的路径返回。

还有，我们需要了解防火墙在拒绝数据包的时候还做了哪些其他工作。

比如，防火墙是否向连接发起系统发回了“主机不可到达”的ICMP消息？

或者防火墙真没再做其他事？

这些问题都可能存在安全隐患。

ICMP“主机不可达”消息会告诉黑客“防火墙专门阻塞了某些端口”，黑客立即就可以从这个消息中知道些情况。

如果ICMP“主机不可达”是通信中发生的错误，那么系统可能就真的什么也不发送了。

反过来，什么响应都没有却会使发起通信的系统不断地尝试建立连接直到应用程序或者协议栈超时，结果最终用户只能得到一个错误信息。

当然这种方式会让黑客无法判断某端口到底是关闭了还是没有使用。

3.3企业防火墙防治病毒

3.3.1病毒的起源

上世纪60年代，贝尔实验室3名年轻程序员编写了小游戏“磁芯大战”，电脑病毒的雏形首次出现。

之后的相当一段时间内，电脑病毒还一直仅仅停留在计算机专家和天才们的实验室里。

然而，潘多拉的魔盒一经打开就似乎再也无法关上，1988年仅仅一个“莫里斯蠕虫”便将刚萌芽的因特网搅得天昏地暗，有趣的是，该病毒的作者正是当年“磁芯大战”作者之一罗伯特.莫里斯的儿子。

时隔二十多年，似乎父子二人联起手来给人们开了一个大大的玩笑。

之后，伴随着计算机技术尤其是网络技术及其应用的飞速发展，计算机病毒更呈快速增长趋势，其所造成的危害也越来越大：

“CIH”疯狂破坏硬件，“美丽莎”疯狂席卷欧美，造成网络瘫痪，“红色代码”“病毒+黑客技术”的首次亮相，以及后来“蠕虫王”造成的全球数十亿美元的损失，再到“冲击波”“振荡波”引发的网络大地震，病毒发展和破坏的脚步正在加速。

3.3.2病毒的危害

病毒的危害，始于其传播，通常，病毒要感染至少要具备以下几个必要条件：

病毒的代码在电脑启动后，至少被执行过一次；病毒得有它的传染目标——病毒宿主，电脑上中了病毒，也不一定就立即表现出来，病毒并不总是急于向受害者展示自己的破坏力，先前“CIH”在每月26的定时触发就是大家最熟悉的例子。

日期、时间，键盘操作，电脑启动，访问磁盘都有可能成为电脑中潜伏病毒的触发条件，就连特定的CPU型号也在此列。

病毒有最让用户恐惧的破坏性，攻击系统数据区——硬盘引导区、文件目录等；或者攻击文件和硬盘——替换内容、更该文件名、甚至删除数据；攻击内存——大量消耗资源、改变内存总量；干扰用户正常使用——造成系统崩溃、键盘鼠标无法工