網(wǎng)絡(luò)操作系統(tǒng)漏洞分析及安全策略的研究設(shè)計書資料內(nèi)容僅供參考，如有不當(dāng)或者侵權(quán)，請聯(lián)系本人改正或者刪除。目錄緒論………………3網(wǎng)絡(luò)安全問題及其現(xiàn)實意義…………5引言…………………5網(wǎng)絡(luò)安全歷史回顧…………………5網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀…………………7網(wǎng)絡(luò)安全策略………9(一)站點安全策略………9(二)安全策略方案………10構(gòu)筑Internet防火墻…………………11防火墻的概念及其重要作用………11(一)防火墻的概念………11(二)防火墻能實現(xiàn)那些功能……………12防火墻的模型………14防火墻的基本安全策略……………15防火墻關(guān)鍵技術(shù)及發(fā)展……………17(一)數(shù)據(jù)包過濾技術(shù)……17(二)代理技術(shù)……………21(三)防火墻技術(shù)發(fā)展趨勢………………26WindowsNTServer系統(tǒng)概述及技術(shù)漏洞分析…………28WindowsNTServer系統(tǒng)綜述…………28WindowsNTServer系統(tǒng)安全性………30(一)WindowsNT中的識別和驗證…………30(二)WindowsNT中的訪問控制……………31WindowsNT系統(tǒng)技術(shù)漏洞及解決辦法………………31優(yōu)秀防火墻系統(tǒng)實例…………………41東大阿爾派網(wǎng)眼防火墻系統(tǒng)產(chǎn)品概述……………41網(wǎng)眼防火墻系統(tǒng)基本功能和系統(tǒng)特性……………41(一)網(wǎng)眼防火墻系統(tǒng)的基本功能………41(二)網(wǎng)眼防火墻的系統(tǒng)特征……………43第五章關(guān)于校園網(wǎng)安全策略的研究…………44我校校園網(wǎng)概況……44(一)校園網(wǎng)建設(shè)背景……44(二)網(wǎng)絡(luò)方案技術(shù)特點…………………44(三)校園網(wǎng)建設(shè)現(xiàn)狀……46校園網(wǎng)安全狀況分析………………46校園網(wǎng)絡(luò)安全解決方案……………47結(jié)束語……………53致謝………………55參考文獻…………56附錄A附錄B

緒論隨著Internet在世界范圍內(nèi)的普及和發(fā)展,政府機構(gòu)、企事業(yè)單位、教育科研等各行各業(yè)的人們正努力經(jīng)過Internet來提高工作效率和市場反應(yīng)速度,以便更具競爭力。作為全球使用范圍最廣的信息網(wǎng),Internet自身協(xié)議的開放性極大的方便了各種計算機入網(wǎng),拓寬了資源共享。與此同時,人們也正逐漸認識到與因特網(wǎng)相伴而來的巨大風(fēng)險來自世界各地的形形色色的侵襲者隨時有可能對你的站點發(fā)動攻擊,破壞你的站點安全,竊取你的重要資源,修改、破壞系統(tǒng)的數(shù)據(jù)……計算機的安全性歷來都是人們討論的主要話題之一,而計算機安全主要研究的是計算機病毒的防治和系統(tǒng)的安全。在計算機網(wǎng)絡(luò)日益發(fā)展普及的今天,計算機安全的要求更高,涉及面更廣。不但要求防治病毒,還要提高系統(tǒng)抵抗外來非法黑客入侵的能力,更要提高對遠程數(shù)據(jù)傳輸?shù)谋Ｃ苄?避免在傳輸途中遭受非法竊取。構(gòu)筑Internet防火墻保護內(nèi)部系統(tǒng)與網(wǎng)絡(luò)即是一種行之有效的網(wǎng)絡(luò)安全手段。它常常被安裝在受保護的內(nèi)部網(wǎng)絡(luò)進而連接到因特網(wǎng)上,防止因特網(wǎng)的危險傳播到你的內(nèi)部網(wǎng)絡(luò)。形象的說,因特網(wǎng)防火墻很象中世紀城堡的護城河,它服務(wù)于多個目的:限定人們從一個特定的控制點進入;防止侵襲者接近你的其它防御設(shè)備;限定人們從一個特別控制點離開。邏輯上,防火墻是分離器、限制器、分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的安全。一般,防火墻是一組硬件設(shè)備——路由器、主計算機,或者是路由器、計算機和配有適當(dāng)軟件的網(wǎng)絡(luò)的多種組合。WindowsNT作為在世界范圍內(nèi)被廣泛應(yīng)用的網(wǎng)絡(luò)操作系統(tǒng),它的安全性自然顯得尤為重要。發(fā)現(xiàn)WindowsNT的技術(shù)漏洞并采取相應(yīng)的手段減小風(fēng)險也成為人們關(guān)注的熱門話題,當(dāng)前已有的防火墻產(chǎn)品為我們進一步考慮網(wǎng)絡(luò)安全解決方案提供了方便,我們終要力爭建立一個盡可能完善的Internet安全體制并提供相應(yīng)的安全服務(wù)。相信這一天的到來不會太久遠了。

第一章網(wǎng)絡(luò)安全問題及其現(xiàn)實意義一、引言現(xiàn)代社會是一個高度信息化的社會,世紀之交,知識經(jīng)濟時代正向我們走來,信息化程度的高低已經(jīng)成為一個國家現(xiàn)代化水平和綜合國力的重要標(biāo)志。從世界范圍來看,推進政府部門辦公網(wǎng)絡(luò)化、自動化、電子化,全面信息共享已是大勢所趨。網(wǎng)絡(luò)技術(shù)的飛速發(fā)展為加快世界經(jīng)濟信息化的進程帶來了前所未有的機遇和挑戰(zhàn)。由于網(wǎng)絡(luò)是一個開放的環(huán)境,信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中完全喪失了私有性。今天,Internet環(huán)境中,不斷傳出侵犯安全的事件報道。為了保護網(wǎng)絡(luò)上的重要數(shù)據(jù)免于丟失和遭受病毒、黑客、竊賊侵擾,以及其它無孔不入的數(shù)據(jù)安全威脅,網(wǎng)絡(luò)安全解決方案成為人們關(guān)注的焦點。網(wǎng)絡(luò)安全歷史回顧TCP/IP協(xié)議群在網(wǎng)際互聯(lián)中的使用的迅速崛起,導(dǎo)致了一般被稱為Internet的由主機和網(wǎng)絡(luò)組成的全球網(wǎng)際互聯(lián)系統(tǒng)。過去的十年,是Internet勝利大進軍的十年。按它現(xiàn)在的發(fā)展速率預(yù)測,到本世紀末,將有超過一百萬個計算機網(wǎng)絡(luò)和超過十億的用戶加入Internet。正因為如此,Internet被看成是美國政府提出的國家信息基礎(chǔ)設(shè)施(NII)的第一個具體體現(xiàn)。然而,最初面向研究的Internet和它的通信協(xié)議群是為比現(xiàn)在良好得多的環(huán)境而設(shè)計的。應(yīng)該說,那是一個君子的環(huán)境,用戶和主機之間互相信任,志在進行自由開放的信息交換。在這樣的環(huán)境里,使用Internet的人實際上就是創(chuàng)立Internet的人。隨著時間的推移,Internet變得更加有用和可靠,別的人也就參雜了進來。人越來越多,共同目標(biāo)卻越來越少,Internet的初衷漸漸地被扭曲了。今天,Internet的環(huán)境中,君子風(fēng)度和信任感已經(jīng)所剩無幾了。社會上能找到的所有的兇險,鄙和投機,Internet上應(yīng)有盡有。在這樣的新環(huán)境里,開放性成了Internet的一把雙刃劍。從Internet誕生之日起,特別是自90年代它向公眾開放以來,它已經(jīng)成為眾矢之的。1988年11月,小RobertT.Morris放出的蠕蟲染指了數(shù)千臺主機。從那時起,不斷傳出侵犯安全的事件報道。1996年初,美國國防部宣布其計算機系統(tǒng)在一年中遭到25萬次進攻,更令人不安的是,大多數(shù)進攻未被察覺。這些進攻給國家安全帶來的影響程度還未確定,但多數(shù)已發(fā)現(xiàn)的進攻是針對計算機系統(tǒng)所存放的敏感和分類信息,其中2/3的進攻被認為是成功的入侵者(黑客)盜竊、修改或破壞了系統(tǒng)上的數(shù)據(jù)。企圖闖入系統(tǒng)者有之,成功闖入系統(tǒng)者有之,抓住Internet上主機的其它種種弱點和漏洞加以利用者也有之。最近,成千成萬的口令在Internet上被盜取,序列數(shù)猜測的攻擊手段已經(jīng)被用來冒充IP特別要指出的是:很早就有人知道這些易受攻擊的弱點了。實際上,在網(wǎng)際互聯(lián)的早期,安全專家就警告過明文傳送口令的危害。Morris在1985年于AT&T貝爾實驗室工作期間就詳細描述了用來破解BSDUNIX4.2序列數(shù)猜測的攻擊手段。如今Internet上的每一個人實際上都是脆弱的。Internet的安全問題成了關(guān)注的焦點。計算機和通信界一片恐慌。對安全問題的考慮,給認為Internet已經(jīng)完全勝任商務(wù)活動的過高期望潑了一盆冷水,可能也延緩或阻礙了Internet作為國家信息基礎(chǔ)設(shè)施或全球信息基礎(chǔ)設(shè)施成為大眾媒體。一些調(diào)查研究表明,許多個人和公司之因此對加入Internet持觀望態(tài)度,其主要原因就是出于安全的考慮。與此同時,也有分析家警告商家不加Internet會有什么危害。盡管眾說紛紜,有一點是差不多大家都同意的,那就是Internet需要更多更好的安全機制。早在1994年,IAB(Internet體系結(jié)構(gòu)理事會)的一次研討會上,擴充與安全就被當(dāng)作關(guān)系Internet全局的兩個最重要的問題領(lǐng)域了。然而安全性,特別是Internet的安全性,是一個很含糊的術(shù)語,不同的人可能會有不同的理解。本質(zhì)上Internet的安全性只能經(jīng)過提供下面兩方面的安全。1.經(jīng)過服務(wù)來達到:訪問控制服務(wù)用來保護計算和聯(lián)網(wǎng)資源不被非授權(quán)使用;2.通信安全服務(wù):用來提供認證,數(shù)據(jù)機要性與完整性和各通信端的不可否認性服務(wù)。例如,基于Internet或WWW的電子商務(wù)就必須依賴于通信安全服務(wù)的廣泛采用。當(dāng)前來看,采用防火墻技術(shù)是防止網(wǎng)絡(luò)入侵的最好辦法。網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀1993年10月24日美國著名的計算機安全專家、AT&T貝爾實驗室的計算機科學(xué)家RoberMorris在美國眾議院科學(xué)技術(shù)會議運輸、航空、材料工業(yè)委員會上作了關(guān)于計算機安全重要性的報告,從此計算機安全成了國際上研究的熱點?，F(xiàn)在隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)安全成了新的安全研究熱點。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲和傳輸?shù)男畔⒌陌踩??？墒怯捎诰W(wǎng)絡(luò)設(shè)計之初,只考慮方便性、開放性,使得網(wǎng)絡(luò)非常脆弱,極易受到黑客的攻擊或有組織的群體的入侵,也會由于系統(tǒng)內(nèi)部人員的不規(guī)范使用和蓄意破壞,使得網(wǎng)絡(luò)信息系統(tǒng)遭到破壞信息泄漏。為了解決這個問題,國內(nèi)外很多研究機構(gòu)在這方面做了很多工作。主要從事數(shù)據(jù)加密技術(shù)、身份認證、數(shù)字簽名、防火墻、安全審計、安全管理、安全內(nèi)核、安全協(xié)議、IC卡(存儲卡、加密存儲卡、CPU卡)、拒絕服務(wù)、網(wǎng)絡(luò)安全性分析、網(wǎng)絡(luò)信息安全監(jiān)測、信息安全標(biāo)準(zhǔn)化等方面的研究。密碼技術(shù)是網(wǎng)絡(luò)安全的核心?，F(xiàn)代密碼技術(shù)發(fā)展至今20余年,出現(xiàn)了很多高強度的密碼算法和密鑰管理技術(shù)。數(shù)據(jù)安全技術(shù)也已經(jīng)由傳統(tǒng)的只注重保密性轉(zhuǎn)移到了保密性、真實性、完整性和可靠性的完美結(jié)合,而且相繼發(fā)展了身份認證、消息確認和數(shù)字簽名技術(shù)。從某種意義上講,數(shù)據(jù)加密系統(tǒng)的強度主要取決于所用的安全協(xié)議設(shè)計的安全性。Internet主要建立在TCP/IP協(xié)議之上,而TCP/IP協(xié)議的安全性不夠,不能滿足當(dāng)前日益增長的網(wǎng)絡(luò)安全要求,因此有必要對其改進。當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)連接到Internet上時,防止非法入侵,確保企業(yè)內(nèi)部網(wǎng)絡(luò)的安全是至關(guān)重要的。最有效的防范措施是在企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間設(shè)置一個防火墻,實施網(wǎng)絡(luò)之間的安全訪問控制,確保企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。防火墻是一種綜合性技術(shù),涉及到計算機網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全技術(shù)、軟件技術(shù)、安全協(xié)議、網(wǎng)絡(luò)標(biāo)準(zhǔn)化組織(ISO)的安全規(guī)范以及安全操作系統(tǒng)等多方面。作為一種有效的解決網(wǎng)絡(luò)之間訪問控制的有效方法,國際上在這方面的研究很多。特別是國外,近幾年發(fā)展迅速,產(chǎn)品眾多,而且更新?lián)Q代快,并不斷有新的信息安全技術(shù)和軟件技術(shù)等應(yīng)用在防火墻的開發(fā)上。國外技術(shù)雖然相對領(lǐng)先(比如包過濾、代理服務(wù)器、VPN、狀態(tài)監(jiān)測、加密技術(shù)、身份認證等),但總的來講,此方面的技術(shù)并不十分成熟完善,標(biāo)準(zhǔn)也不健全,實用效果并不十分理想。和國際相比,國內(nèi)的網(wǎng)絡(luò)安全技術(shù)方面的研究和產(chǎn)品開發(fā)方面相對比較薄弱,起步也晚。由于國外加密技術(shù)的限制和保護,國內(nèi)無法得到急需的安全而實用的網(wǎng)絡(luò)安全系統(tǒng)和加密軟件。同時由于政治、軍事、經(jīng)濟的原因,我們也應(yīng)研制開發(fā)并采用自己的網(wǎng)絡(luò)安全系統(tǒng)和數(shù)據(jù)加密軟件,以滿足用戶和市場的巨大需求。網(wǎng)絡(luò)安全是國家安全的一個重要方面,它的技術(shù)和產(chǎn)品必須立足于中國自主開發(fā),這也是信息安全技術(shù)有別于其它技術(shù)的最重要特征。網(wǎng)絡(luò)安全策略在你準(zhǔn)備將你的網(wǎng)絡(luò)連接到Internet上之前,準(zhǔn)確的理解需要保護什么樣的網(wǎng)絡(luò)資源和服務(wù)是非常重要的。網(wǎng)絡(luò)策略——NetworkPolicy是描述一個組織的網(wǎng)絡(luò)安全關(guān)系的文檔。站點安全策略一個組織能夠有多個站點,每個站點有它自己的網(wǎng)絡(luò)。如果組織比較大,它的站點就可能擁有不同目標(biāo)的網(wǎng)絡(luò)管理員。如果這些站點不是經(jīng)過內(nèi)部網(wǎng)絡(luò)來連接的,那么每個站點可能有它們自己的網(wǎng)絡(luò)安全策略?？墒?如果站點是經(jīng)過內(nèi)部網(wǎng)絡(luò)連接的,則網(wǎng)絡(luò)策略應(yīng)該涵蓋所有內(nèi)連站點的目標(biāo)。一般來說,站點是一個擁有計算機和與網(wǎng)絡(luò)相關(guān)的資源的組織的任何部分。這些資源包括:工作站;主計算機和服務(wù)器;內(nèi)連設(shè)備(網(wǎng)關(guān)、路由器、網(wǎng)橋、轉(zhuǎn)發(fā)器);終端服務(wù)器;網(wǎng)絡(luò)和應(yīng)用程序軟件;網(wǎng)絡(luò)電纜;文件和數(shù)據(jù)庫中的信息等。站點安全策略應(yīng)該考慮保護這些資源。因為站點是連接到其它網(wǎng)絡(luò)的,因此站點安全策略應(yīng)該考慮安全需要和所有內(nèi)連網(wǎng)絡(luò)的要求。安全策略方案定義一個安全策略,也就是開發(fā)保護你的網(wǎng)絡(luò)資源免受損失和破壞的過程和計劃。開發(fā)該策略的一種可能的方法是檢查如下問題:你試圖保護哪些資源;你需要保護這些資源防備那些人;可能存在什么樣的威脅;資源如何重要;你能夠采取什么措施以合算和節(jié)時的方式保護你的財產(chǎn);定期檢查網(wǎng)絡(luò)安全策略,察看你的目標(biāo)和網(wǎng)絡(luò)環(huán)境是否已經(jīng)改變。

第二章構(gòu)筑Internet防火墻一、防火墻的概念及其重要意義防火墻的概念因特網(wǎng)以變革的方式,提供了檢索信息和發(fā)布信息的能力,這是個不可思議的技術(shù)進步;但它也以變革的方式帶來了信息污染和信息破壞的主要危險,現(xiàn)在人們已經(jīng)采取不同的安全措施來保護其數(shù)據(jù)和資源的安全。防火墻即是其中最行之有效的一種安全模式。古時候,人們常在寓所之間砌起一道磚墻,一旦火災(zāi)發(fā)生,它能夠防止火勢蔓延到別的寓所。自然,這種墻因此而得名”防火墻”。現(xiàn)在,如果一個網(wǎng)絡(luò)接到了Internet上面,它的用戶就能夠訪問外部世界并與之通信。但同時,外部世界也同樣能夠訪問該網(wǎng)絡(luò)并與之交互。為安全起見,能夠在該網(wǎng)絡(luò)和Internet之間插入一個中介系統(tǒng),豎起一道安全屏障。這道屏障的作用是阻斷來自外部經(jīng)過網(wǎng)絡(luò)對本網(wǎng)絡(luò)的威脅和入侵,提供扼守本網(wǎng)絡(luò)的安全和審計的唯一關(guān)卡。這種中介系統(tǒng)也叫做”防火墻”,或”防火墻系統(tǒng)”。簡言之,一個防火墻在一個被認為是安全和可信的內(nèi)部網(wǎng)絡(luò)和一個被認為是不那么安全和可信的外部網(wǎng)絡(luò)(Internet)之間提供一個封鎖工具。它經(jīng)過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行情況,以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的活動,保證了內(nèi)部網(wǎng)絡(luò)的安全。在使用防火墻的決定背后,潛藏著這樣的推理:假如沒有防火墻,一個網(wǎng)絡(luò)就暴露在不那么安全的Internet諸協(xié)議和設(shè)施面前,面臨來自Internet其它主機的探測和攻擊的危險。在一個沒有防火墻的環(huán)境里,網(wǎng)絡(luò)的安全性只能體現(xiàn)為每一個主機的功能,在某種意義上,所有主機必須通力合作,才能達到較高程度的安全性。網(wǎng)絡(luò)越大,這種較高程度的安全性越難管理。隨著安全性問題上的失誤和缺陷越來越普遍,對網(wǎng)絡(luò)的入侵不但來自高超的攻擊手段,也有可能來自配置上的低級錯誤或不合適的口令選擇。因此,防火墻的作用是防止不希望的、未授權(quán)的通信進出被保護的網(wǎng)絡(luò),迫使單位強化自己的網(wǎng)絡(luò)安全政策。(二)防火墻能實現(xiàn)那些功能保護脆弱的服務(wù)經(jīng)過過濾不安全的服務(wù),Firewall能夠極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風(fēng)險。例如,Firewall能夠禁止NIS、NFS服務(wù)經(jīng)過,Firewall同時能夠拒絕源路由和ICMP重定向封包。控制對系統(tǒng)的訪問Firewall能夠提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如Firewall允許外部訪問特定的MailServer和WebServer。集中的安全管理

Firewall對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理,在防火墻定義的安全規(guī)則能夠運行于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng),而無須在內(nèi)部網(wǎng)每臺機器上分別設(shè)立安全策略。Firewall能夠定義不同的認證方法,而不需要在每臺機器上分別安裝特定的認證軟件外部用戶也只需要經(jīng)過一次認證即可訪問內(nèi)部網(wǎng)。增強的保密性

使用Firewall能夠阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息,如Figer和DNS。記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)

Firewall能夠記錄和統(tǒng)計經(jīng)過Firewall的網(wǎng)絡(luò)通訊,提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù),而且,Firewall能夠提供統(tǒng)計數(shù)據(jù),來判斷可能的攻擊和探測。策略執(zhí)行

Firewall提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置防火墻時,網(wǎng)絡(luò)安全取決于每臺主機的用戶?？偟膩碚f,一個好的防火墻系統(tǒng)應(yīng)具有以下五方面的特征:(1)所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)都必須能夠經(jīng)過防火墻;(2)只有被授權(quán)的合法數(shù)據(jù),即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù),能夠經(jīng)過防火墻;(3)防火墻本身不受各種攻擊的影響;(4)使用當(dāng)前新的信息安全技術(shù),比如現(xiàn)代密碼技術(shù)、一次口令系統(tǒng)、智能卡等;(5)人機界面良好,用戶配置使用方便,易管理。系統(tǒng)管理員能夠方便地對防火墻進行設(shè)置,對Internet的訪問者、被訪問者、訪問協(xié)議以及方式進行控制。二、防火墻的模型國際標(biāo)準(zhǔn)化組織ISO的計算機專業(yè)委員會根據(jù)網(wǎng)絡(luò)開發(fā)系統(tǒng)互聯(lián)七層模型(OSI/RM)制定了一個網(wǎng)絡(luò)安全體系結(jié)構(gòu),該模型主要用來解決網(wǎng)絡(luò)系統(tǒng)中的信息安全問題,如下圖所示:層次安全服務(wù)物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳送層回話層表示層應(yīng)用層對等實體鑒別×××訪問控制×××××連接保密××××××選擇字段保密××報文流安全×××數(shù)據(jù)完整性××××數(shù)據(jù)源鑒別×禁止否認服務(wù)×防火墻目的在于實現(xiàn)安全訪問控制,因此按照OSI/RM模型及上圖的安全要求,防火墻能夠在OSI/RM七層中的五層設(shè)置。一般的防火墻模型如下圖所示:OSI/RM防火墻應(yīng)用層網(wǎng)關(guān)級表示層回話層傳輸層電路級網(wǎng)絡(luò)層路由器級數(shù)據(jù)鏈路層網(wǎng)橋級物理層中繼器級外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)安全系統(tǒng)防火墻系統(tǒng)非保護區(qū)一個防火墻從功能上來分,一般由以下幾部分組成,如圖所示: 傳機接口訪問控制策略審計安全管理數(shù)據(jù)加密 網(wǎng)絡(luò)互聯(lián)設(shè)備三、防火墻基本安全策略一個防火墻系統(tǒng)一般由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個多端口的IP路由器,它經(jīng)過對每一個到來的IP包依據(jù)一組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息,例如協(xié)議號、收發(fā)報文的IP地址和端口號,連接標(biāo)志以至另外一些IP選項,對IP包進行過濾。代理服務(wù)器是防火墻系統(tǒng)中的一個服務(wù)器進程,它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。一個代理服務(wù)器本質(zhì)上是一個應(yīng)用層的網(wǎng)關(guān),一個為特定網(wǎng)絡(luò)應(yīng)用而連接兩個網(wǎng)絡(luò)的網(wǎng)關(guān)。用戶就一項TCP/IP應(yīng)用,比如Telnet或者ftp,同代理服務(wù)器打交道,代理服務(wù)器要求用戶提供其要訪問的遠程主機名。當(dāng)用戶答復(fù)并提供了正確的用戶身份及認證信息后,代理服務(wù)器連通遠程主機,為兩個通信點充當(dāng)中繼。整個過程能夠?qū)τ脩敉耆该?。用戶提供的用戶身份及認證信息可用于用戶級的認證。最簡單的情況是:它只由用戶標(biāo)識和口令構(gòu)成?？墒?如果防火墻是經(jīng)過Internet可訪問的,我們推薦使用更強的認證機制,比如一次性口令或挑戰(zhàn)回應(yīng)式系統(tǒng)。屏蔽路由器的優(yōu)點是簡單和低(硬件)成本。其缺點關(guān)系到正確建立包過濾規(guī)則比較困難、屏蔽路由器的管理成本、還有用戶級身份認證的缺乏。路由器生產(chǎn)商們正在著手解決這些問題。特別值得注意的是,它們正在開發(fā)編輯包過濾規(guī)則的圖形用戶界面。她們也在制訂標(biāo)準(zhǔn)的用戶級身份認證協(xié)議,來提供遠程身份認證撥入用戶服務(wù)。代理服務(wù)器的優(yōu)點是用戶級的身份認證、日志記錄和帳號管理。其缺點關(guān)系到這樣一個事實:要想提供全面的安全保證,就要對每一項服務(wù)都建立對應(yīng)的應(yīng)用層網(wǎng)關(guān)。這個事實嚴重地限制了新應(yīng)用的采納。最近,一個名叫SOCKS的包羅萬象的代理服務(wù)器問世了。SOCKS主要由一個運行在防火墻系統(tǒng)上的代理服務(wù)器軟件包和一個鏈接到各種網(wǎng)絡(luò)應(yīng)用程序的庫函數(shù)包組成。這樣的結(jié)構(gòu)有利于新應(yīng)用的掛接。屏蔽路由器和代理服務(wù)器一般組合在一起構(gòu)成混合系統(tǒng),其中屏蔽路由器主要用來防止IP欺騙攻擊。當(dāng)前最廣泛采用的配置是Dual-homed防火墻,被屏蔽主機型防火墻,以及被屏蔽子網(wǎng)型防火墻。設(shè)計一個防火墻安全策略是研制和開發(fā)一個有效的防火墻的第一步。當(dāng)前安全策略主要有兩種:(1)沒有被允許就是禁止;(2)沒有被禁止就是允許。當(dāng)前一般采用策略(1)來設(shè)計防火墻。整體安全策略應(yīng)包含以下主要內(nèi)容:用戶賬號策略;用戶權(quán)限策略;信任關(guān)系策略;包過濾策略;認證策略;簽名策略;數(shù)據(jù)加密策略;密鑰分配策略;審計策略。四、防火墻關(guān)鍵技術(shù)及發(fā)展當(dāng)前,用于防火墻的幾種關(guān)鍵技術(shù)有:包過濾技術(shù)、代理技術(shù)、SOCKS技術(shù)、狀態(tài)檢查技術(shù)(StatefulSpecification)、地址翻譯(NAT)技術(shù)、VPN技術(shù)、內(nèi)容檢查技術(shù)和其它防火墻技術(shù)。本章主要討論應(yīng)用最為廣泛的包過濾技術(shù)和代理技術(shù)。(一)數(shù)據(jù)包過濾技術(shù)數(shù)據(jù)包過濾(PacketFiltering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯,被稱為訪問控制表———AccessControlTable。經(jīng)過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數(shù)據(jù)包經(jīng)過。數(shù)據(jù)包過濾防火墻邏輯簡單,價格便宜,易于安裝和使用,網(wǎng)絡(luò)性能和透明性好,它一般安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備,因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費用。1．?dāng)?shù)據(jù)包為什么要過濾為了經(jīng)過網(wǎng)絡(luò)傳送信息,信息必須被打破分成小片,每件被分別傳送。將信息分成小片可使許多系統(tǒng)共享網(wǎng)絡(luò),每個系統(tǒng)能夠按順序發(fā)送小片。在IP網(wǎng)絡(luò)中,那些小片數(shù)據(jù)叫做數(shù)據(jù)包。因此經(jīng)過IP網(wǎng)絡(luò)傳送的數(shù)據(jù)都是以數(shù)據(jù)包的形式傳送的。連接IP網(wǎng)絡(luò)的基本設(shè)備是路由器,傳過因特網(wǎng)的數(shù)據(jù)包從路由器到路由器游歷,直到她們的目的地。路由器必須對它所接收的每一個數(shù)據(jù)包做出路由選擇策略,必須決定如何把數(shù)據(jù)包發(fā)送到最終目的地址。數(shù)據(jù)包過濾在網(wǎng)絡(luò)中起著舉足輕重的作用:它允許你在單個地方為整個網(wǎng)絡(luò)提供特別的保護。比如:不讓任何人從外界使用Telnet登陸;讓每個人經(jīng)由SMTP向我們發(fā)送電子函件等等。一旦數(shù)據(jù)包過濾路由器完成對一特定的數(shù)據(jù)包的檢測,它能利用那個數(shù)據(jù)包做出兩個選擇:1.經(jīng)過數(shù)據(jù)包,一般,如果數(shù)據(jù)包經(jīng)過了數(shù)據(jù)包過濾配置的準(zhǔn)則要求,路由器將把數(shù)據(jù)包向其目標(biāo)傳送,就像一個正常路由器所做的那樣;2.放棄數(shù)據(jù)包,如果不能經(jīng)過數(shù)據(jù)包過濾配置標(biāo)準(zhǔn),就放棄數(shù)據(jù)包。2．配置數(shù)據(jù)包過濾路由器數(shù)據(jù)包過濾器改進了對作為操作系統(tǒng)一部分而交付使用的網(wǎng)絡(luò)軟件的訪問控制能力。訪問控制規(guī)則是規(guī)定操作是否允許的約束。從概念上講,就是將一組變量的值與訪問控制數(shù)據(jù)庫中的規(guī)則進行比較,而這些變量的值由表示主體和對象屬性的狀態(tài)信息得出。例如,網(wǎng)絡(luò)傳輸中兩個重要的值是源地址和目的地址。數(shù)據(jù)包過濾規(guī)則能夠被配置成根據(jù)這些值來允許或拒絕IP傳輸。數(shù)據(jù)包過濾器是對網(wǎng)絡(luò)通信的訪問控制機制。數(shù)據(jù)包過濾器在處理每個數(shù)據(jù)包之前都要查閱它的訪問控制規(guī)則,而不是處理或轉(zhuǎn)發(fā)到達結(jié)點網(wǎng)絡(luò)適配器的所有的數(shù)據(jù)包。因為網(wǎng)絡(luò)協(xié)議棧較低的層運行在操作系統(tǒng)內(nèi)核中,多數(shù)的數(shù)據(jù)包過濾器作為操作系統(tǒng)的核心的擴展或替代而實現(xiàn)。這是非常重要的,因為一些防火墻完全替代了部分核心,而另外那些則附在核上并攔載功能調(diào)用。那末,數(shù)據(jù)包過濾器能控制些什么呢?因為數(shù)據(jù)包過濾器就是網(wǎng)絡(luò)協(xié)議棧,因此它能夠根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的包頭中出現(xiàn)的任意字段來作出訪問控制決策。如果有必要,數(shù)據(jù)包過濾器還能檢驗數(shù)據(jù)包的數(shù)據(jù)部分一致性安全性策略或者尋找攻擊。第一代的數(shù)據(jù)包過濾器經(jīng)過察看如下字段來放行或丟棄數(shù)據(jù)包:源或目的地址;端口;協(xié)議類型(TCP,UDP或其它);服務(wù)類型(FTP,telnet,DNS,RIP)。由于協(xié)議攻擊變得常見,數(shù)據(jù)包過濾器得到加強以察看數(shù)據(jù)包的SYN和ACK域的設(shè)置以及其它特征。發(fā)現(xiàn)新的協(xié)議攻擊之后,防火墻經(jīng)銷商迅速地進行防衛(wèi)。也就是說,數(shù)據(jù)包過濾的訪問控制能力一直在改進。3．包過濾規(guī)則的約定假定對每一個數(shù)據(jù)包,路由器按照順序仔細研究規(guī)則直到她找到一個匹配的規(guī)則,之后它根據(jù)規(guī)則采取行動。如果沒有規(guī)則能夠采用,我們將其缺省設(shè)置為”拒絕”。(1)按地址過濾最簡單的但不是最普通的數(shù)據(jù)包過濾結(jié)構(gòu)是經(jīng)過地址過濾的。這種方法的過濾要你限制基于數(shù)據(jù)包源或目標(biāo)地址的數(shù)據(jù)包流,而不必考慮包括什么協(xié)議。這樣過濾能用來允許特定的外部主機與特定的內(nèi)部主機對話,例如,阻止侵襲者注入偽造的數(shù)據(jù)包到你的網(wǎng)絡(luò)之中。因為源地址能被偽造,信任源地址不一定安全。除非在你和你要交談的主機之間使用某種密碼認證,你不知道你是否真的在與你所期待的那個主機對話,還是與其它正在假裝成主機的機器對話。如果一個外部主機聲稱自己是一部內(nèi)部主機的話,那么過濾器將幫助你;如果一個外部主機聲稱是另一個不同的外部主機,它們將無能為力。(2)按服務(wù)過濾包過濾規(guī)則允許Router取舍以一個特殊服務(wù)為基礎(chǔ)的信息流,因為大多數(shù)服務(wù)檢測器駐留于眾所周知的TCP/UDP端口。下面以Telnet為例,說明數(shù)據(jù)包過濾的特性。Telnet可使一個用戶注冊到另一個系統(tǒng),就仿佛用戶有一臺終端直接連接到那個系統(tǒng)一樣。TelnetService為TCPport23,端口等待遠程連接,而SMTPService為TCPPort25端口等待輸入連接。如要封鎖輸入Telnet、SMTP的連接,則Router舍棄端口值為23,25的所有的數(shù)據(jù)包。典型的過濾規(guī)則有如下幾種:*只允許特定名單內(nèi)的內(nèi)部主機進行Telnet輸入對話*只允許特定名單內(nèi)的內(nèi)部主機進行FPT輸入對話*只允許所有Telnet輸入對話*只允許所有FTP輸入對話*拒絕來自一些特定外部網(wǎng)絡(luò)的所有輸入信息4．包過濾技術(shù)的優(yōu)缺點包過濾對用戶來說有以下的優(yōu)點:*幫助保護整個網(wǎng)絡(luò),減少暴露的風(fēng)險。*對用戶完全透明,不需要對客戶端做任何改動,也不需要對用戶做任何培訓(xùn)。*很多路由器能夠做數(shù)據(jù)包過濾,因此不需要專門添加設(shè)備。包過濾最明顯的缺陷是即使是最基本的網(wǎng)絡(luò)服務(wù)和協(xié)議,它也不能提供足夠的安全保護,包過濾是不夠安全的,因為它不能提供防火墻所必須的保護能力。她的缺點主要表現(xiàn)在:*包過濾規(guī)則難于配置,一旦配置,數(shù)據(jù)包過濾規(guī)則也難于檢驗*包過濾僅能夠訪問包頭信息中的有限信息。*包過濾是無狀態(tài)的,因為包過濾不能保證與傳輸相關(guān)的狀態(tài)信息或與應(yīng)用相關(guān)的狀態(tài)信息。*包過濾對信息的處理能力非常有限。*一些協(xié)議不適合用數(shù)據(jù)包過濾,如基于RPC的應(yīng)用的”r”命令等。(二)代理技術(shù)代理(Proxy)技術(shù)與包過濾技術(shù)完全不同,包過濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流,代理技術(shù)是針對每一個特定應(yīng)用都有一個程序。代理是企圖在應(yīng)用層實現(xiàn)防火墻的功能,代理的主要特點是有狀態(tài)性。代理能提供部分與傳輸有關(guān)的狀態(tài),能完全提供與應(yīng)用相關(guān)的狀態(tài)和部分傳輸方面的信息,代理也能處理和管理信息。代理服務(wù)(ProxyService)也稱鏈路級網(wǎng)關(guān)或TCP通道———CircuitLevelGatewaysorTCPTunnels,也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù),其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的"鏈接",由兩個終止代理服務(wù)器上的"鏈接"來實現(xiàn),外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器,從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用另外,代理服務(wù)也對過往的數(shù)據(jù)包進行分析、注冊登記,形成報告,同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報,并保留攻擊痕跡。1．代理服務(wù)器代理服務(wù)器是一種調(diào)節(jié)兩個網(wǎng)絡(luò)段之間的信息傳輸?shù)膽?yīng)用程序。代理服務(wù)器經(jīng)常見于信息過濾,以防止網(wǎng)絡(luò)之間的直接傳輸。有了代理服務(wù)器作為調(diào)節(jié)者,源系統(tǒng)和目標(biāo)系統(tǒng)就永遠不會直接”連接”起來。代理服務(wù)器在所有連接嘗試中扮演中間人的角色。代理使得網(wǎng)絡(luò)管理員能夠?qū)崿F(xiàn),比包過濾路由器更嚴格的安全策略。應(yīng)用層網(wǎng)關(guān)不用依靠包過濾工具來管理Internet服務(wù)在防火墻體系中的進出,而是采用為每鐘所需服務(wù)而安裝在網(wǎng)關(guān)上特殊代碼(代理服務(wù))的方式來管理Internet服務(wù),應(yīng)用層網(wǎng)關(guān)能夠讓網(wǎng)絡(luò)管理員對服務(wù)進行全面的控制。如果網(wǎng)絡(luò)管理員沒有為某種應(yīng)用安裝代理編碼,那么該項服務(wù)就不支持并不能經(jīng)過防火墻系統(tǒng)來轉(zhuǎn)發(fā)。同時,代理編碼能夠配置成只支持網(wǎng)絡(luò)管理員認為必須的部分功能。2．代理服務(wù)器是如何工作的與對應(yīng)的分組過濾器不同,代理服務(wù)器不對任何網(wǎng)絡(luò)傳輸選擇路由。實際上,配置正確的代理服務(wù)器會把所有的路由選擇功能關(guān)閉。正如其名稱所示,代理服務(wù)器是防火墻每一方的每個系統(tǒng)的代言人。比喻說,有兩個人經(jīng)過翻譯進行交談。她們兩人確實在進行會話,但從沒有人直接對另一個人說話。所有通訊都經(jīng)過翻譯,才轉(zhuǎn)向另一方。翻譯可能會把兩人使用的一些詞句刪除,或者去掉不必要的解釋,或者去掉一些具有敵意的話。這個比喻與網(wǎng)絡(luò)通訊的關(guān)系能夠參見圖。內(nèi)部主機希望請求遠程服務(wù)器上的一個Web網(wǎng)頁。它生成一個請求而且把信息傳送給與遠程網(wǎng)絡(luò)相連的網(wǎng)關(guān),在本例中就是代理服務(wù)器。當(dāng)代理服務(wù)器接收到請求之后,它先識別內(nèi)部主機試圖訪問的服務(wù)類型。由于本例中主機請求的是Web網(wǎng)頁,因此代理服務(wù)器把請求傳送到只處理HTTP會話的應(yīng)用程序。該應(yīng)用程序是一個在內(nèi)存中運行的簡單程序,只具有處理HTTP通訊的功能。當(dāng)HTTP應(yīng)用程序收到請求時,要驗證ACL是否允許此類傳輸。如果允許,代理服務(wù)器回生成一個新請求發(fā)送給遠程服務(wù)器—并使用自己作為源系統(tǒng)。也就是說,代理服務(wù)器不是簡單地讓請求經(jīng)過;而是生成一個對遠程信息的新請求。這個新請求接著被傳送到遠程服務(wù)器。如果用網(wǎng)絡(luò)分析器分析這份請求,就會看到仿佛代理服務(wù)器發(fā)出了HTTP請求,而不是內(nèi)部主機。因此,當(dāng)遠程服務(wù)器回復(fù)時,也向代理服務(wù)器發(fā)出回復(fù)信息。代理服務(wù)器接收到回復(fù)信息時,會再次把回復(fù)信息傳送給HTTP應(yīng)用程序。HTTP應(yīng)用程序接著詳細查看遠程服務(wù)器發(fā)過來的實際數(shù)據(jù)中有無特殊情況。如果這些數(shù)據(jù)能夠接受,HTTP應(yīng)用程序會生成一個新分組,而且把信息發(fā)送給內(nèi)部主機。能夠看到,兩端的系統(tǒng)根本沒有直接交換信息。代理服務(wù)器一直插手其中,保證一切活動的安全性。由于代理服務(wù)器必須”理解”使用的應(yīng)用程序協(xié)議,因此它們也能夠?qū)崿F(xiàn)針對協(xié)議的安全保護。例如,入站FTP代理服務(wù)器能夠配置成濾掉外部系統(tǒng)接收到的所有put和mput請求。這樣能夠生成一個只讀FTP服務(wù)器:防火墻之外的人們將不能把初始化文件寫操作所需要的命令發(fā)送給FTP服務(wù)器?？墒?她們能夠讀取文件,接收到來自FTP服務(wù)器的文件。提供代理服務(wù)的能夠是一臺雙宿主機,也能夠是一臺堡壘主機。允許用戶訪問代理服務(wù)時很重要的,可是用戶是絕對不允許注冊到應(yīng)用層網(wǎng)關(guān)中的。假如允許用戶注冊到防火墻系統(tǒng)中,防火墻系統(tǒng)的安全就會受到威脅,因為入侵者可能會在暗地里進行某些損害防火墻有效性的操作。例如,入侵者獲取root權(quán)限,安裝特洛伊木馬來截取口令,并修改防火墻的安全配置文件。3．應(yīng)用層代理的優(yōu)缺點提供代理的應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點:*應(yīng)用層網(wǎng)關(guān)有能力支持可靠的用戶認證并提供詳細的注冊信息*用于應(yīng)用層的過濾規(guī)則相對于包過濾路由器來說更容易配置和測試。*代理工作在客戶機和真實服務(wù)器之間,完全控制會話,因此能夠提供很詳細的日志和安全審計功能。*提供代理服務(wù)的防火墻能夠被配置成唯一的可被外部看見的主機,這樣能夠隱藏內(nèi)部網(wǎng)絡(luò)的IP地址,能夠保護內(nèi)部主機免受外部主機的進攻。*經(jīng)過代理訪問Internet能夠解決合法的IP地址不夠用的問題,因為Internet所見到的只是代理服務(wù)器的地址,內(nèi)部不合法的IP經(jīng)過代理能夠訪問Internet。應(yīng)用層代理的缺點:*有限的連接性:代理服務(wù)器一般具有解釋應(yīng)用層命令的功能,如解釋FTP命令、Telnet命令等,那么這種代理服務(wù)器就只能用于一種服務(wù)。因此,可能需要提供很多種不同的代理服務(wù)器,如FTP代理服務(wù)器、Telnet代理服務(wù)器等等。因此能提供的服務(wù)和可伸縮性是有限的。*有限的技術(shù):應(yīng)用層網(wǎng)關(guān)不能為RPC、talk和其它一些基于通用協(xié)議族的服務(wù)提供代理。*應(yīng)用層實現(xiàn)的防火墻會造成明顯的性能下降。*每個應(yīng)用程序都必須有一個代理服務(wù)程序來進行安全控制每一種應(yīng)用升級時,相應(yīng)代理服務(wù)程序也要升級。*應(yīng)用層網(wǎng)關(guān)要求用戶改變自己的行為,或者在訪問代理服務(wù)器的每個系統(tǒng)上安裝特殊的軟件。比如,透過應(yīng)用層網(wǎng)關(guān)Telnet的訪問,要求用戶經(jīng)過兩步而不是一步來建立連接。不過,特殊的端系統(tǒng)軟件能夠讓用戶在Telnet命令中指定目標(biāo)主機而不是應(yīng)用層網(wǎng)關(guān)來使應(yīng)用層網(wǎng)關(guān)透明。另外,代理對操作系統(tǒng)和應(yīng)用層的漏洞也是脆弱的,不能有效檢查底層的信息,傳統(tǒng)的代理也很少是透明的。從歷史發(fā)展的觀點來說,應(yīng)用層網(wǎng)關(guān)適應(yīng)Internet的通用用途和需要。可是,Internet的環(huán)境在不斷變化,現(xiàn)在,新的協(xié)議、服務(wù)和應(yīng)用在不斷涌現(xiàn),代理不再能處理Internet上的各種類型的傳輸,不能滿足新的商務(wù)需求,不能勝任對網(wǎng)絡(luò)搞帶寬和安全性的需求。(三)防火墻技術(shù)發(fā)展趨勢考慮到Internet發(fā)展的兇猛勢頭和防火墻產(chǎn)品的更新步伐,要全面展望防火墻技術(shù)發(fā)展的未來趨勢是不可能的,可是,從產(chǎn)品及功能來說,卻又看出一些動向和趨勢,下面幾點可能是下一步發(fā)展的走向和選擇:*防火墻將從當(dāng)前對子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠程網(wǎng)集中管理的方向發(fā)展;*過濾深度不斷加強,從當(dāng)前的地址及服務(wù)過濾發(fā)展到URL過濾、內(nèi)容過濾、AxtiveX、JavaApplet過濾,并具備病毒清除的功能。*利用防火墻建立虛擬專用網(wǎng)(VPN)是較長一段時間的用戶使用的主流,IP的加密需求越來越強,安全協(xié)議的開發(fā)是一大熱點。*單項防火墻(又叫網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。*對網(wǎng)絡(luò)攻擊的監(jiān)測和告警將成為防火墻的重要的功能。*安全管理工具不斷完善,特別是可疑活動的日志分析工具將成為防火墻產(chǎn)品的一部分。*防火墻將從當(dāng)前被動防護狀態(tài)轉(zhuǎn)變?yōu)橹悄艿?、動態(tài)地保護內(nèi)部網(wǎng)絡(luò),并集成當(dāng)前各種信息安全技術(shù)。*根據(jù)以上分析,人們選擇防火墻的標(biāo)準(zhǔn)將集中在以下幾個方面:易于管理性;應(yīng)用透明性;鑒別與加密功能;操作環(huán)境和硬件要求;VPA的功能與CA的功能;接口的數(shù)量;成本。

第三章WindowsNTServer系統(tǒng)概述及技術(shù)漏洞分析一、WindowsNTServer系統(tǒng)綜述隨著網(wǎng)絡(luò)環(huán)境從基于文件系統(tǒng)向客戶/服務(wù)器結(jié)構(gòu)轉(zhuǎn)移,NT系統(tǒng)也以令人驚訝的速度迅速流行起來。這在很大程度上是應(yīng)該歸功于NT與Windows系統(tǒng)擁有相似的界面及易于管理的特性。對于熟悉Win95的用戶,使用WindowsNT會感到輕車熟路,因為WindowsNTServer(WindowsNT服務(wù)器)與Windows95的界面完全相同。兩者的不同點在于NTServer支持一些其它功能。NT服務(wù)器的缺省狀態(tài)安全性很低,為了提高其安全水平,用戶必須按照一定的程序?qū)θ笔∨渲眠M行修改。NTServer操作系統(tǒng)使用32位內(nèi)核,這雖然在兼容性上給16位Windows應(yīng)用程序帶來一些問題,但有助于保證操作系統(tǒng)內(nèi)核的穩(wěn)定性。NT系統(tǒng)同時也是多任務(wù)和多線程的操作系統(tǒng),這樣能夠防止任何程序獨占所有的CPU處理時間。NTServer使用的應(yīng)用界面與NT工作站、Windows95和98相同,這樣能夠使這些系統(tǒng)的編程環(huán)境彼此相似,是程序員理論上能夠?qū)懗龈€(wěn)定的應(yīng)用程序。因為NT系統(tǒng)的服務(wù)器和工作站使用相同的Win32借口,因此支持大多數(shù)桌面環(huán)境的應(yīng)用程序。這個優(yōu)點對于不能購置專用的設(shè)備完成服務(wù)器操作的小型應(yīng)用領(lǐng)域能夠節(jié)省大量的資金。與NetWare不同,NetWare要求有專用的系統(tǒng)作為服務(wù)器,而NTServer則同時也能夠作為用戶工作站使用。服務(wù)器對Win32的支持也為系統(tǒng)管理員平時的工作節(jié)省了大量的時間,因為她們在桌面環(huán)境中使用的大多數(shù)工具在服務(wù)器上也能夠使用。另外,NTServer提供了對多達4個處理器的支持能力。如果硬件具有足夠的支持水平,多處理器的支持能力還能夠增加到32個處理器。采用多處理器的優(yōu)點很明顯,處理器越多就能夠為服務(wù)器運行的應(yīng)用程序提供更多的CPU處理時間。NT系統(tǒng)使用一種名叫Registry(注冊表)的數(shù)據(jù)庫保存系統(tǒng)的大多數(shù)配置信息,如關(guān)于用戶賬戶、服務(wù)或者系統(tǒng)設(shè)備驅(qū)動程序的信息。據(jù)說相關(guān)信息也存儲在同樣的一個結(jié)構(gòu)(hive)中。例如,結(jié)構(gòu)HKEY_USERS中存儲了關(guān)于用戶賬戶的信息,這種結(jié)構(gòu)中保存的信息值稱為鍵值(key)。使用Registry的優(yōu)點是信息都能夠集中存儲,從而簡化了查找和修改信息的過程。雖然多數(shù)NT系統(tǒng)的設(shè)置能夠經(jīng)過圖形化界面修改,但許多設(shè)置還需要手工修改Registry.用于查看和修改Registry信息的工具是regedt32程序。NTServer支持對系統(tǒng)中運行的所有應(yīng)用程序進行內(nèi)存隔離,還支持對虛擬內(nèi)存的使用。虛擬內(nèi)存允許服務(wù)器使用比計算機中實際安裝的物理內(nèi)存更大的內(nèi)存空間,因此應(yīng)用程序能夠自由地按自己的意愿使用內(nèi)存,缺點是虛擬內(nèi)存實際上存儲在磁盤上,訪問速度比實際內(nèi)存慢約100倍。一旦使用大量的虛擬內(nèi)存,系統(tǒng)的性能就會明顯地下降。人們雖然能夠聽從微軟公司的建議,使用最低限度的32MBRAM服務(wù)器提供基本的文件、打印、HTTP、WINS和DHCP服務(wù),系統(tǒng)依然能夠啟動和工作,但系統(tǒng)的性能卻是十分糟糕。對于有上述要求的系統(tǒng),應(yīng)該計劃安裝至少96MB—128MB物理內(nèi)存。二、WindowsNT系統(tǒng)安全性(一)WindowsNT中的識別和驗證微軟公司的NT是基于Mach操作系統(tǒng)的,這個操作系統(tǒng)也有UNIX基礎(chǔ)。同UNIX操作系統(tǒng)一樣,NT也有諸如用戶和組的實體。NT的結(jié)構(gòu)也支持從一個中央服務(wù)器,或稱為域控制器——domaincontroller的驗證。NT把用戶和組信息存儲在NT注冊表(Registry),其目的也是作為重要系統(tǒng)信息的倉庫。SUN僅將有限的信息放入NIS數(shù)據(jù)庫中,而NT注冊表則包括了系統(tǒng)的所有重要信息。NT中的每個用戶以用戶名識別并以口令驗證?？诹钭质褂肕D4哈西化,結(jié)果值存放在注冊表?？诹钭铋L可達128個字符。當(dāng)使用域控制器時,關(guān)于組的不同類型就會存在一些有趣精妙的事情。象在UNIX環(huán)境一樣,用戶的字符串名不是做訪問控制決定的基礎(chǔ)。NT中與用戶的UID等價的是安全標(biāo)識符(SID)。當(dāng)向系統(tǒng)中添加用戶或組時,NT就使用計算機名(在安裝時選擇的),當(dāng)前系統(tǒng)時間和當(dāng)前線程用來計算SID所花費的累計時間來產(chǎn)生一個SID。從技術(shù)上講,它是鏈接的用戶模式時間,而不是內(nèi)和模式時間,這是要考慮的。原則上講,這個合并保證了在給定的網(wǎng)絡(luò)SID是唯一的。NT的登陸過程有幾個協(xié)同工作的部件控制。Winlogon是一個顯示初始登陸窗口和獲取用戶名和口令的程序。SAM時一組例程,對登陸用戶賬戶負責(zé)并根據(jù)它的數(shù)據(jù)庫驗證用戶信息。局部安全授權(quán)(LocalSecurityAuthority,LSA)執(zhí)行實際上的用戶鑒別過程。其它安全任務(wù)有LSA完成,如審核,但這些任務(wù)與I&A不相關(guān)。(二)NT中的訪問控制NT是基于主體、對象和訪問控制列表做訪問控制決定的。在NT中你能夠做些什么是由你有的權(quán)限和為你要訪問的對象定義的訪問控制規(guī)則一起決定的。NT操作系統(tǒng)中包含多于27種的指定權(quán)限。你有的權(quán)限是由分配給你個體的所有權(quán)限加上你所在組的權(quán)限組成的。典型的權(quán)限包括從網(wǎng)絡(luò)登陸到一個系統(tǒng)的能力,登陸到本地系統(tǒng)的能力,假扮其它用戶的能力,備份文件的能力,和創(chuàng)立新用戶的能力。一個特別強的權(quán)限是能夠作為操作系統(tǒng)操作的能力。當(dāng)然,你不能讓在系統(tǒng)中的任何人都有這個權(quán)限。三、WindowsNT服務(wù)器和工作站的技術(shù)漏洞及解決辦法WindowsNT所采用的存儲數(shù)據(jù)庫和加密過程導(dǎo)致了一系列安全漏洞值得探討。特別地,NT把用戶信息和加密口令保存于NTRegistry中的SAM文件中,即安全帳戶管理(SecurityAccountsManagement)數(shù)據(jù)庫。加密口令分兩個步驟完成。首先,采用RSAMD4系統(tǒng)對口令進行加密。第二步則是令人迷惑的缺乏復(fù)雜度的過程,不添加任何”調(diào)料”,比如加密口令時考慮時間的因素。結(jié)果,NT口令比UNIX口令更加脆弱,更容易受到一本簡單字典的攻擊。由于有這么多與NT口令有關(guān)的安全問題,Microsoft已經(jīng)在NT第5.0版中加密口令時增加一個步驟。這里描述的某些安全漏洞是很嚴重的。在最壞的情況下,一個黑客能夠利用這些漏洞來破譯一個或多個DomainAdministrator帳戶的口令,而且對NT域中所有主機進行破壞活動。安全漏洞:安全帳戶管理(SAM)數(shù)據(jù)庫能夠由以下用戶被復(fù)制:Administrator帳戶,Administrator組中的所有成員,備份操作員,服務(wù)器操作員,以及所有具有備份特權(quán)的人員。因為SAM數(shù)據(jù)庫的一個備份拷貝能夠被某些工具所利用來破解口令。NT在對用戶進行身份驗證時,只能達到加密RSA的水平。在這種情況下,甚至沒有必要使用工具來猜測那些明文口令。能解碼SAM數(shù)據(jù)庫并能破解口令的工具有PWDump和NTCrack。實際上,PWDump的作者還有另一個軟件包——PWAudit,它能夠跟蹤由PWDump獲取到的任何東西的內(nèi)容。建議:嚴格限制Administrator組和備份組帳戶的成員資格。加強對這些帳戶的跟蹤,特別是Administrator帳戶的登錄失敗和注銷(Logoff)失敗。對SAM進行的任何權(quán)限改變和對其本身的修改進行審計,而且設(shè)置發(fā)送一個警告給Administrator,告知有事件發(fā)生。切記要改變?nèi)笔?quán)限設(shè)置來預(yù)防這個漏洞。改變Administrator帳戶的名字,顯然能夠防止黑客對缺省命名的帳戶進行攻擊。這個措施能夠解決一系列的安全漏洞。為系統(tǒng)管理員和備份操作員創(chuàng)立特殊帳戶。系統(tǒng)管理員在進行特殊任務(wù)時必須用這個特殊帳戶注冊,然后注銷。所有具有系統(tǒng)管理員和備份特權(quán)的帳戶絕對不能瀏覽Web。所有的帳戶只能具有User或者PowerUser組的權(quán)限。采用口令過濾器來檢測和減少易猜測的口令,例如,PASSPROP(WindowsNTResourceKit提供),ScanNT(一個商業(yè)口令檢測工具軟件包)。使用加強的口令不易被猜測。ServicePack3能夠加強NT口令,一個加強的口令必須包含大小寫字母,數(shù)字以及特殊字符。使用二級身份驗證機制,比如令牌卡(TokenCard),可提供更強壯的安全解決方案,它比較昂貴。安全漏洞:每次緊急修復(fù)盤(EmergencyRepairDisk-ERD)在更新時,整個SAM數(shù)據(jù)庫被復(fù)制到%system%\repair\sam._。在缺省的權(quán)限設(shè)置下,每個人對該文件都有”讀”(Read)的訪問權(quán),Administrator和系統(tǒng)本身具有”完全控制”(FullControl)的權(quán)利,PowerUser有”改變”(Change)的權(quán)利。SAM數(shù)據(jù)庫的一個備份拷貝能夠被某些工具所利用,來破解口令。NT在對用戶進行身份驗證時,只能達到加密RSA的水平。在這種情況下,甚至沒有必要使用工具來猜測那些明文口令。能解碼SAM數(shù)據(jù)庫并能破解口令的工具有:PWDump和NTCrack。建議:確保%system%\repair\sam在每次ERD更新后,對所有人不可讀。嚴格控制對該文件的讀權(quán)利。不應(yīng)該有任何用戶或者組對該文件有任何訪問權(quán)。最好的實踐方針是,不要給系統(tǒng)管理員訪問該文件的權(quán)利,如果需要更新該文件Administrator暫時改變一下權(quán)利,當(dāng)更新操作完成后,Administrator立即把權(quán)限設(shè)置成不可訪問。安全漏洞:SAM數(shù)據(jù)庫和其它NT服務(wù)器文件可能被NT的SMB所讀取,SMB是指服務(wù)器消息塊(ServerMessageBlock),微軟早期LAN產(chǎn)品的一種繼承協(xié)議。因為0SMB有很多尚未公開的”后門”,能不用授權(quán)就能夠存取SAM和NT服務(wù)器上的其它文件。SMB協(xié)議允許遠程訪問共享目錄,Registry數(shù)據(jù)庫,以及其它一些系統(tǒng)服務(wù)。經(jīng)過SMB協(xié)議可訪問的服務(wù)的準(zhǔn)確數(shù)目尚未有任何記載。另外。如何控制訪問這些服務(wù)的方法也尚未有任何記載。利用這些弱點而寫的程序在Internet上隨處可見。執(zhí)行這些程序不需要Administrator訪問權(quán)或者交互式訪問權(quán)。另一個漏洞是,SMB在驗證用戶身份時,使用一種簡易加密的方法,發(fā)送申請包。因此,它的文件傳輸授權(quán)機制很容易被擊潰。SAM數(shù)據(jù)庫的一個備份拷貝能夠被某些工具所利用,來破解口令。NT在對用戶進行身份驗證時,只能達到加密RSA的水平。在這種情況下,甚至沒有必要使用工具來猜測那些明文口令。能解碼SAM數(shù)據(jù)庫并能破解口令的工具有:PWDump和TCrack。當(dāng)前,對于使用SMB進行NT組網(wǎng),還沒有任何其它可選的方法。建議:在防火墻上,截止從端口135到142的所有TCP和UDP連接,這樣能夠有利于控制,其中包括對基于RPC工作于端口135的安全漏洞的控制。最安全的方法是利用代理(Proxy)來限制或者完全拒絕網(wǎng)絡(luò)上基于SMB的連接。然而,限制SMB連接可能導(dǎo)致系統(tǒng)功能的局限性。在內(nèi)部路由器上設(shè)置ACL,在各個獨立子網(wǎng)之間,截止端口135到142。安全漏洞:特洛伊木馬(TrojanHorses)和病毒,可能依靠缺省權(quán)利作SAM的備份,獲取訪問SAM中的口令信息,或者經(jīng)過訪問緊急修復(fù)盤ERD的更新盤。特洛伊木馬(TrojanHorses)和病毒,能夠由以下各組中的任何成員在用缺省權(quán)限作備份時執(zhí)行(缺省地,它們包括:Administrator管理員,Administrator組成員,備份操作員,服務(wù)器操作員,以及具有備份特權(quán)的任何人),或者在訪問ERD更新盤時執(zhí)行(缺省地,包括任何人)。例如,如果一個用戶是Administrator組的成員,當(dāng)她在系統(tǒng)上工作時,特洛伊木馬可能做出任何事情。建議:所有具有Administrator和備份特權(quán)的帳戶絕對不能瀏覽Web。所有的帳戶只能具有User或者PowerUser組的權(quán)限。安全漏洞:能夠物理上訪問WindowsNT機器的任何人,可能利用某些工具程序來獲得Administrator級別的訪問權(quán)。因為因特網(wǎng)上有些工具程序,能夠相對容易地獲得系統(tǒng)管理員特權(quán)(比如NTRecoverWinternalSoftwarNTLocksmith)。建議:改進保安措施。安全漏洞:重新安裝WidnowsNT軟件,能夠獲得Administrator級別的訪問權(quán)。重新安裝整個的操作系統(tǒng),覆蓋原來的系統(tǒng),就能夠獲得Administrator特權(quán)。建議:改進保安措施。安全漏洞:WidnowsNT域中缺省的Guest帳戶。如果Guest帳戶是開放的,當(dāng)用戶登錄失敗的次數(shù)達到設(shè)置時,她能夠獲得NT工作站的Guest訪問權(quán),從而進入NT域。建議:據(jù)說NT第4版已經(jīng)解決了這個問題,升級到第4版吧。關(guān)閉Guest帳戶,而且給它一個難記的口令。安全漏洞:某些系統(tǒng)程序的不適當(dāng)使用,比如ftp.exe,rasdial.exe,telnet.exe。這些程序無疑給侵入者提供了進一步攻擊的手段,如果她們發(fā)現(xiàn)了服務(wù)器上的安全漏洞,進而能夠攻擊整個網(wǎng)絡(luò)。建議:刪除掉不經(jīng)常使用的系統(tǒng)程序。安全漏洞:所有用戶可能經(jīng)過命令行方式,試圖連接管理系統(tǒng)的共享資源。因為任何一個用戶能夠在命令行下,鍵入\\Ipaddress\C$(或者\\Ipaddress\D$,\\Ipaddress\WINNT$)試圖連接任意一個NT平臺上管理系統(tǒng)的共享資源。建議:限制遠程管理員訪問NT平臺10．安全漏洞:由于沒有定義嘗試注冊的失敗次數(shù),導(dǎo)致能夠被無限制地嘗試連接系統(tǒng)管理的共享資源。建議:限制遠程管理員訪問NT平臺11．安全漏洞:缺省地,WindowsNT在注冊對話框中顯示最近一次注冊的用戶名。這時的一個預(yù)先考慮過的特征,然而,它也成為一種風(fēng)險,給潛在的黑客提供了信息。建議:在域控制器上,修改Registry中Winlogon的設(shè)置關(guān)閉這個功能。12．安全漏洞:事件管理器中SecurityLog的設(shè)置,允許記錄被覆寫,否則它將導(dǎo)致服務(wù)器掛起。這樣做可能造成系統(tǒng)的闖入者不會被記錄。建議:實現(xiàn)一個適當(dāng)?shù)膫浞莶僮鞒绦蚝筒呗?。選擇”overwriteeventsgreaterthan7days”選項。這個數(shù)字能夠改,并不是一個絕正確數(shù)字,當(dāng)達到條件設(shè)置時,系統(tǒng)將會開始覆寫最老的事件。13．安全漏洞:使用SATAN掃描可使WindowsNT平臺崩潰,另外,使用SafeSuite的InternetScanner同樣可是NT平臺崩潰。建議:避免或者限制對網(wǎng)絡(luò)上NT平臺的SATAN掃描使用,以及的使用。14．安全漏洞:有一個程序,RedButton,允許任何人遠程訪問NT服務(wù)器,它是經(jīng)過使用端口137,138和139來連接遠端機器實現(xiàn)的。你能夠讀取Registry,創(chuàng)立新的共享資源等等。這個程序不需要任何用戶名或者口令,能夠進行遠程登陸。它能夠判斷當(dāng)前系統(tǒng)缺省管理員賬戶的名字,讀取多個Registry記錄,并能夠列出所有共享資源,甚至包括隱含的共享資源。建議:在防火墻上,截止所有從端口137到139的TCP和UDP連接,這樣做有助于對遠程連接的控制。另外,在內(nèi)部路由器上,設(shè)置ACL,在各個獨立的子網(wǎng)之間,截止從端口137到139的連接。這是一種輔助措施,以限制該安全漏洞,除了更改系統(tǒng)缺省的Administrator賬戶的名字外,把它放在一邊,關(guān)閉它。然后,創(chuàng)立一個新的系統(tǒng)管理員賬戶。15．安全漏洞:用ping命令可能是一臺NT機器自殺身亡。因為NT對較大的ICMP包是很脆弱的,如果發(fā)一條ping命令,指定包的大小為64K,NT的TCP/IP棧將不會正常工作,它可使系統(tǒng)離線工作,直至重新啟動,結(jié)果造成某些服務(wù)的拒絕訪問。下面的命令能夠作為例子用于檢測這個安全漏洞:ping-165524。建議:盡快安裝ServicePack3,她限制了包的大小。16．安全漏洞:經(jīng)過訪問其它的并存操作系統(tǒng),有可能繞過NTFS的安全設(shè)置。因為已經(jīng)有很多工具,用來訪問基于系統(tǒng)的格式的硬盤驅(qū)動器,而不需要任何授權(quán),就允許你操縱的各種安全配置。這些工具有,DOS/Windows的NTFS文件系統(tǒng)重定向器(NTFSFileSystemRedirectorforDOS/Windows),SAMBA,或者LinuxNTFSReader。這種情況只有一種可能,那就是物理上能訪問機器。建議:使用專門的分區(qū),限制Administrator組和備份操作組員。制定規(guī)章制度限制管理員的操作程序,禁止這樣的訪問,或者明確授權(quán)給指定的幾個系統(tǒng)管理員。能夠考慮采用第三方預(yù)引導(dǎo)身份驗證機制。安全漏洞:經(jīng)過FTP有可能進行無授權(quán)的文件訪問。原因是FTP有一個設(shè)置選項,允許按照客戶進行身份驗證,使其直接進入一個賬戶。這種直接訪問用戶目錄的FTP操作,具有潛在的危險,使無需授權(quán)而訪問用戶的文件夾成為可能。建議:合理配置FTP,確保服務(wù)器必須經(jīng)過驗證所有FTP申請。18．安全漏洞:標(biāo)準(zhǔn)的NTFS”讀”權(quán)限意味著同時具有”讀”和”執(zhí)行”。這個安全漏洞使文件被不正當(dāng)?shù)摹弊x”和”執(zhí)行”成為可能。建議:使用特殊權(quán)限設(shè)置。19．安全漏洞:缺省組的權(quán)利和能力總是不能被刪除,它們包括:Administrator組,服務(wù)器操作員組,打印操作員組,賬戶操作員組。當(dāng)刪除一個缺省組時,表面上,系統(tǒng)已經(jīng)接受了刪除。然而,當(dāng)再檢查時,這些組并沒有被真正刪除。有時,當(dāng)服務(wù)器重新啟動時,這些缺省組被賦予回缺省的權(quán)利和能力。建議:創(chuàng)立自己定制的組,根據(jù)最小特權(quán)的原則,定制這些組的權(quán)利和能力,以迎合業(yè)務(wù)的需要?？赡艿脑?創(chuàng)立一個新的Administrator組,使其具有特別的指定的權(quán)利和能力。20．安全漏洞:任何用戶能夠經(jīng)過命令行方式,遠程查詢?nèi)魏我慌_NT服務(wù)器上的已注冊的用戶名。如果它涉及到特權(quán)賬戶的話,這個安全漏洞意味著一個十分嚴重的風(fēng)險。建議:關(guān)閉遠程管理員級的訪問,定期檢查審計文件和系統(tǒng)審計文件。

第四章優(yōu)秀防火墻系統(tǒng)實例東大阿爾派網(wǎng)眼防火墻系統(tǒng)產(chǎn)品概述防火墻技術(shù)的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。由于防火墻技術(shù)的針對性很強,它已成為實現(xiàn)Internet網(wǎng)絡(luò)安全的重要保障之一。當(dāng)前防火墻技術(shù)的實現(xiàn)主要有兩種手段:一種是基于分組過濾技術(shù)(Packetfiltering);一種是基于代理技術(shù)(Proxy)。網(wǎng)眼防火墻NetEye2.0是經(jīng)過對國外防火墻產(chǎn)品的綜合分析,針對我們國家的具體應(yīng)用環(huán)境,結(jié)合國內(nèi)外防火墻領(lǐng)域的最新發(fā)展,在網(wǎng)眼防火墻NetEye1.0的基礎(chǔ)上,提出的一種具有強大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運用的安全可靠的專用防火墻系統(tǒng),已成為國內(nèi)領(lǐng)先的防火墻軟件。網(wǎng)眼防火墻NetEye2.0具有4個網(wǎng)絡(luò)端口,其中1個100M端口用于連接管理主機,簡稱管理端口,其余3個100M端口可分別用于連接外網(wǎng)、內(nèi)網(wǎng)和DMZ區(qū)(?；饏^(qū)),簡稱通信端口,管理員能夠根據(jù)實際的應(yīng)用要求對三個區(qū)間的網(wǎng)絡(luò)通信進行控制、限制。網(wǎng)眼防火墻系統(tǒng)基本功能和系統(tǒng)特性(一)網(wǎng)眼防火墻系統(tǒng)的基本功能*三個網(wǎng)絡(luò)界面之間的訪問控制,提供Stateful全狀態(tài)的包過濾功能;*在路由工作模式下提供雙向的NAT網(wǎng)絡(luò)地址轉(zhuǎn)換功能;*在訪問控制規(guī)則中,提供對經(jīng)過防火墻使用網(wǎng)絡(luò)資源的用戶進行身份認證的功能,身份認證過程對應(yīng)用和協(xié)議透明;*支持經(jīng)過第三方RADIUS服務(wù)器實現(xiàn)一次性口令認證;*支持雙機熱備份功能,當(dāng)工作狀態(tài)的防火墻失效時,備份防火墻會在一秒鐘內(nèi)自動切換到工作狀態(tài);*提供網(wǎng)絡(luò)工作情況的實時監(jiān)控;*提供網(wǎng)絡(luò)訪問活動情況、對防火墻的訪問操作等的審計日志;*提供基于安全規(guī)則過濾的網(wǎng)絡(luò)數(shù)據(jù)記錄;*提供基于數(shù)據(jù)記錄的數(shù)據(jù)內(nèi)容分析,包括Telnet、FTP、WWW等內(nèi)容的察看和關(guān)鍵字分析;*提供網(wǎng)絡(luò)流量統(tǒng)計功能,能夠針對IP地址、時間、協(xié)議進行統(tǒng)計;*防范DOS攻擊;*提供對攻擊活動的識別和告警;*提供對基于優(yōu)先級設(shè)置的網(wǎng)絡(luò)流量控制,保證關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)帶寬;*提供應(yīng)用層信息過濾,支持URL限制;*GUI界面的管理程序,經(jīng)過加密通道進行遠程管理和配置;*提供面向?qū)ο蟮目梢暬?guī)則編輯和管理工具;(二)網(wǎng)眼防火墻系統(tǒng)的系統(tǒng)特性靈活的系統(tǒng)配置方式全面的訪問控制包過濾功能強大的全程狀態(tài)監(jiān)控面向?qū)ο罂梢暬囊?guī)則和管理工具對應(yīng)用層的信息過濾功能雙機熱備雙向NAT功能基于網(wǎng)絡(luò)IP和MAC地址綁定的包過濾DMZ區(qū)設(shè)置實時防止DOS攻擊對防火墻用戶的一次性口令驗證網(wǎng)絡(luò)數(shù)據(jù)的事后分析和處理事件分析于事故告警機制流量控制和流量統(tǒng)計基于防火墻實現(xiàn)網(wǎng)絡(luò)計費

第五章關(guān)于校園網(wǎng)安全策略的研究我校校園網(wǎng)概況(一)校園網(wǎng)建設(shè)背景隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展和高校教育的日益現(xiàn)代化,高校內(nèi)部級各高校之間實現(xiàn)計算機網(wǎng)絡(luò)互聯(lián)變得日趨重要。現(xiàn)在國內(nèi)的眾多大學(xué)相繼建設(shè)自己的內(nèi)部校園網(wǎng)并接入到CERNET,這不但有利于各高校間的信息傳遞與學(xué)術(shù)交流,而且也提高了學(xué)校自身的管理水平,樹立起了對內(nèi)對外的良好形象。因此,建設(shè)校園網(wǎng)絡(luò)是中國教育事業(yè)發(fā)展的大勢所趨,更是學(xué)校自身發(fā)展的需求。(二)網(wǎng)絡(luò)方案技術(shù)特點我校校園網(wǎng)采用千兆以太網(wǎng)方案拓撲結(jié)構(gòu),該方案總結(jié)了多家校園網(wǎng)絡(luò)建設(shè)的經(jīng)驗,充分考慮了我校實際情況,主干網(wǎng)采用千兆以太網(wǎng)技術(shù),全部結(jié)點都為100Mbps交換到桌面,保證網(wǎng)絡(luò)傳輸沒有瓶頸,滿足一定時期網(wǎng)絡(luò)發(fā)展的需要,特別是辦公室自動化的需要。在中心交換機配置路由模塊,實現(xiàn)校園網(wǎng)內(nèi)部網(wǎng)段的互聯(lián),便于網(wǎng)絡(luò)管理,能夠避免網(wǎng)絡(luò)廣播風(fēng)暴,提高網(wǎng)絡(luò)傳輸效率。全部網(wǎng)絡(luò)交換機設(shè)備都采用CISCO產(chǎn)品,便于網(wǎng)絡(luò)管理及維護。1．中心交換機:采用CISCOCatalyst6509交換機。它為模塊化設(shè)計,具有先進冗余電源系統(tǒng)。配置有2個8口1000Mbps多模光纖、1個48口10/100Mbps以太網(wǎng)模塊;利用千兆以太網(wǎng)光纖模塊實現(xiàn)與二級節(jié)點交換機(南樓、階梯教室、物理樓、北樓、計算機樓、后勤樓和辦公樓交換機)和辦公自動化、WWW和域名服務(wù)器的1000Mbps連接;利用以太網(wǎng)模塊實現(xiàn)與BBS、網(wǎng)管工作站以及和圖書館主交換機的連接。中心交換機具有路由功能。2.二級節(jié)點交換機:采用CISCOCatalyst2948G交換機。它也為模塊化設(shè)計,能夠配置48口10BASE-T/100BASE-TX和一個1000Mbps的千兆上聯(lián)模塊,它以1000Mbps速度上聯(lián)中心交換機,可提供48口10/100Mbps端口到用戶桌面計算機。分別位于南樓、階梯教室、物理樓、北樓、計算機樓、后勤樓和網(wǎng)絡(luò)中心機房,以上配置每個樓都具有48個10/100Mbps端口,完全能夠滿足今后的發(fā)展需求。3．路由器:利用現(xiàn)有設(shè)備CISCOAS3500實現(xiàn)與哈工大CERNET節(jié)點中心的DDN專線連接。配置MODEM池,提供PSTN電話撥號的遠程接入。增加CISCO2611路由器,其為最新模塊化產(chǎn)品,支持語音模塊,最大可達四路,擴展能力強。基本配置提供了2個以太網(wǎng)接口。4．服務(wù)器:服務(wù)器的選擇要考慮到將來系統(tǒng)的發(fā)展以及各種模塊的擴展,要保證有一定的擴展能力及高可用性。根據(jù)我校實際,辦公自動化服務(wù)器和WWW服務(wù)器選用了HP公司的LH3服務(wù)器;其辦公自動化服務(wù)器配置位2路PII450CPU、256M內(nèi)存、18G硬盤;WWW服務(wù)器配置位1路PII450CPU、256M內(nèi)存、18G硬盤。由于上述服務(wù)器網(wǎng)絡(luò)通訊速度要求較高,因此在ATM網(wǎng)絡(luò)方案中選用ATM網(wǎng)卡。域名服務(wù)器和MAIL服務(wù)器選用SUN公司的Ultra10工作站,配置為1路333MHZUltraIiiCPU、128M內(nèi)存、18G硬盤(由于電子郵件服務(wù)器需求對多數(shù)用戶的郵件進行存儲,因此要求硬盤容量大);該服務(wù)器在方案中采用100Mbps網(wǎng)卡。BBS服務(wù)器采用已有的SUNSparc20服務(wù)器。(最好對內(nèi)存進行升級到128M)(三)校園網(wǎng)建設(shè)現(xiàn)狀我校是集文、理、工、管于一身的綜合性大學(xué),建設(shè)一個高速、開放、可擴展、支持多媒體應(yīng)用的計算機綜合信息服務(wù)網(wǎng),為我校的教學(xué)、科研、行政管理及辦公自動化提供良好的網(wǎng)絡(luò)服務(wù),并能達到國內(nèi)校園網(wǎng)的先進水平是我校建設(shè)校園網(wǎng)的基本要求。根據(jù)我校具體情況,校園網(wǎng)建設(shè)分為兩個階段。第一期工程完成西區(qū)校園主干網(wǎng)的建設(shè),將西區(qū)主要的樓宇接入主干網(wǎng),網(wǎng)絡(luò)中心設(shè)在圖書館的七樓,還將提供與工大網(wǎng)絡(luò)中心(CERNET)的無線接口與訪問INTERNET的DDN專線接口。第二期工程將完成東南西北四個區(qū)的局域網(wǎng)建設(shè)和四區(qū)之間的無線互連,現(xiàn)在,學(xué)校的校園網(wǎng)建設(shè)正在緊鑼密鼓的建設(shè)當(dāng)中,作為校園網(wǎng)的中樞的網(wǎng)絡(luò)信息中心已經(jīng)開始運轉(zhuǎn),西區(qū)辦公樓的網(wǎng)絡(luò)布線也已經(jīng)完成。校園網(wǎng)安全狀況分析從計算機安全學(xué)的觀點分層進行分析,計算機網(wǎng)絡(luò)的安全包括以下幾個方面:首先是物理層安全,即主機及路由器等網(wǎng)絡(luò)硬件設(shè)備物理上的安全;其次是網(wǎng)絡(luò)結(jié)構(gòu)的安全,即整個網(wǎng)絡(luò)不應(yīng)該由于局部的故障而導(dǎo)致癱瘓;第三層是網(wǎng)絡(luò)操作系統(tǒng)的安全;最高層則為網(wǎng)絡(luò)應(yīng)用,包括信息傳輸?shù)陌踩?。在以上四層的安全性問題中,物理層的安全主要由硬件及機房的設(shè)計來保證,網(wǎng)絡(luò)結(jié)構(gòu)的安全,主要由網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計及網(wǎng)絡(luò)協(xié)議的選用來保證。網(wǎng)絡(luò)物理安全問題主要有:網(wǎng)絡(luò)硬件設(shè)備本身的故障問題;因機房環(huán)境,火災(zāi)等導(dǎo)致的設(shè)備故障問題;因機房結(jié)構(gòu)設(shè)計或管理所導(dǎo)致的主機設(shè)備物理入侵問題。為提高網(wǎng)絡(luò)的物理安全性,我校信息中心采取了以下對策:*選用高可靠性硬件設(shè)備,以提高系統(tǒng)的可靠性和處理能力。*提高對機房的環(huán)境及檢測報警系統(tǒng)的要求,注意工程的配套設(shè)計及工程質(zhì)量。*加強網(wǎng)絡(luò)運行的安全管理,重要的服務(wù)器都配備相應(yīng)的磁帶機,一定期做備份。*加強對操作人員的教育,嚴禁未授權(quán)的人員使用網(wǎng)絡(luò)上的資源。*對系統(tǒng)應(yīng)及時進行備份,并將數(shù)據(jù)備份介質(zhì)置于安全可靠的地方。網(wǎng)絡(luò)結(jié)構(gòu)安全主要由網(wǎng)絡(luò)拓撲結(jié)構(gòu)的設(shè)計及網(wǎng)絡(luò)協(xié)議的選用來保證,我校校園網(wǎng)采用星型拓撲結(jié)構(gòu),這樣居域網(wǎng)的故障將被隔離道主干以外,加強了網(wǎng)絡(luò)的可靠性,同時便于維護。校園網(wǎng)絡(luò)安全解決方案物理層和網(wǎng)絡(luò)結(jié)構(gòu)安全都不是我校校園網(wǎng)安全問題的重點,操作系統(tǒng)和應(yīng)用層的安全問題才是當(dāng)前網(wǎng)絡(luò)安全中最為重要的,也是最為復(fù)雜的。針對我校實際情況,為提高操作系統(tǒng)和數(shù)據(jù)的安全性,擬定安全性方案細則如下:1.安裝NT時,選擇自定義安裝,僅選擇必須的系統(tǒng)組件和服務(wù)取消不必要的網(wǎng)絡(luò)服務(wù)及協(xié)議,因為協(xié)議和服務(wù)安裝越多,入侵者入侵的途徑越多,潛在的系統(tǒng)安全隱患也越大。選擇NT文件系統(tǒng)時應(yīng)選擇NTFS文件系統(tǒng),充分利用NTFS文件系統(tǒng)的安全性。另外還應(yīng)