第11章安全操作系統(tǒng)應(yīng)用第一部分教學(xué)組織一、目的要求1.了解目前安全操作系統(tǒng)以及WWW安全服務(wù)。2.掌握防火墻系統(tǒng)的安全技術(shù)及保護(hù)機(jī)制。二、工具器材1.具有WWW服務(wù)的服務(wù)器。2.防火墻系統(tǒng)。第二部分教學(xué)內(nèi)容迄今為止，整個(gè)國(guó)際上安全操作系統(tǒng)的實(shí)際應(yīng)用并不成功。在實(shí)際應(yīng)用中發(fā)揮作用的操作系統(tǒng)絕大部分不是安全操作系統(tǒng)。有專家認(rèn)為，安全操作系統(tǒng)在商業(yè)和民用領(lǐng)域的不成功，主要是因?yàn)榘踩僮飨到y(tǒng)缺少靈活性和兼容性，降低了系統(tǒng)性能和效率，應(yīng)發(fā)展專用安全操作系統(tǒng)。當(dāng)前安全操作系統(tǒng)不成功的本質(zhì)原因是安全操作系統(tǒng)存在諸多不完善的地方，如對(duì)多安全政策的支持；對(duì)動(dòng)態(tài)多安全政策的支持，包括政策切換、權(quán)限撤銷等方面；對(duì)環(huán)境適應(yīng)性的支持等。本章主要介紹安全操作系統(tǒng)的兩個(gè)應(yīng)用,即WWW安全和防火墻系統(tǒng)安全。11.1操作系統(tǒng)安全與www安全11.1.1WWW概述

WWW(WorldWideWeb)是建立在Internet上的一種網(wǎng)絡(luò)服務(wù)。它遵循HTTP協(xié)議，缺省端口是80。WWW所依存的超文本（Hyper-text）數(shù)據(jù)結(jié)構(gòu)，采用超文本和多媒體技術(shù)，將不同的文件通過關(guān)鍵字進(jìn)行鏈接。HTTP是一個(gè)屬于應(yīng)用層面向?qū)ο蟮膮f(xié)議，由于其簡(jiǎn)捷、快速的方式，適用于分布式超媒體信息系統(tǒng)。一個(gè)完整的HTTP協(xié)議會(huì)話過程包括四個(gè)步驟：連接；請(qǐng)求；應(yīng)答；關(guān)閉連接。11.1.1WWW概述1．HTTP協(xié)議的命令（1）GET命令請(qǐng)求獲取Request-URI所標(biāo)識(shí)的資源，使用GET命令檢索服務(wù)器上的資源時(shí)需要指定URL，協(xié)議版本號(hào)等信息。此命令相對(duì)簡(jiǎn)單。例如:GET/form.htmlHTTP/1.1（4）PUT命令PUT是另一個(gè)常用的HTTP命令，HTTP協(xié)議文件上傳的標(biāo)準(zhǔn)方法是使用PUT命令。它允許從客戶端到服務(wù)器的簡(jiǎn)單文件傳輸，常用于HTML編譯器，如Netscape的Composer和HotDog實(shí)用程序。PUT命令和POST命令的區(qū)別在于兩個(gè)命令的使用方式不同，PUT命令帶有一個(gè)參數(shù)，這個(gè)參數(shù)作為目的URI，類似于POST命令的參數(shù)。但是，PUT命令請(qǐng)求服務(wù)器將數(shù)據(jù)放在URI，而POST命令請(qǐng)求服務(wù)器將數(shù)據(jù)發(fā)給URI。（5）DELETE命令Delete方法就是通過http請(qǐng)求刪除指定的URL上的資源，Delete請(qǐng)求一般會(huì)返回3種狀態(tài)碼：200(OK)-刪除成功，同時(shí)返回已經(jīng)刪除的資源；202(Accepted)-刪除請(qǐng)求已經(jīng)接受，但沒有被立即執(zhí)行（資源也許已經(jīng)被轉(zhuǎn)移到了待刪除區(qū)域）；204(NoContent)-刪除請(qǐng)求已經(jīng)被執(zhí)行，但是沒有返回資源（也許是請(qǐng)求刪除不存在的資源造成的）。Web站點(diǎn)管理應(yīng)用程序常常使用DELETE命令和PUT命令管理服務(wù)器上的文件。（6）OPTIONS命令OPTIONS命令請(qǐng)求服務(wù)器描述“命令-URI”指定資源的特點(diǎn)。OPTIONS命令格式類似于其他HTTP命令。eg:OPTIONS/HTTP/1.1(CRLF)（7）TRACE命令TRACE命令類似于PING命令，提供路由器到目的地址的每一跳的信息。它通過控制IP報(bào)文的生存期(TTL)字段來(lái)實(shí)現(xiàn)。TTL等于1的ICMP回應(yīng)請(qǐng)求報(bào)文將被首先發(fā)送。路徑上的第一個(gè)路由器將會(huì)丟棄該報(bào)文并且發(fā)送回標(biāo)識(shí)錯(cuò)誤消息的報(bào)文。錯(cuò)誤消息通常是ICMP超時(shí)消息，表明報(bào)文順利到達(dá)路徑的下一跳，或者端口不可達(dá)消息，表明報(bào)文已經(jīng)被目的地址接收但是不能向上傳送到IP協(xié)議棧。2.目前流行的WWW服務(wù)器目前流行WWW服務(wù)器的三大主流為ApacheGroup公司的ApacheWebServer服務(wù)器（阿帕奇），簡(jiǎn)稱為Apache；基于WindowsNT系統(tǒng)的微軟公司的InternetInformationServer服務(wù)器，簡(jiǎn)稱為IIS；Netscape公司的NetscapeEnterpriseServer服務(wù)器，簡(jiǎn)稱Netscape。（1）Apache服務(wù)器Apache服務(wù)器，是一個(gè)開放源碼的Web服務(wù)器平臺(tái)，該服務(wù)器的目的是服務(wù)于一個(gè)廣為流行的現(xiàn)代網(wǎng)絡(luò)平臺(tái)/操作系統(tǒng)，兼容HTTP/1.1協(xié)議，可擴(kuò)展性，支持大多數(shù)操作系統(tǒng)。如Unix，Windows，Linux，Solaris，還有Novell公司的NetWare，F(xiàn)reeBSD上的MacOSX，微軟Windows，OS/2，NetBSD，BSDI,AIX，SCO，HPUX等系統(tǒng)。（2）IIS服務(wù)器IIS可以賦予一部主機(jī)電腦一組以上的IP地址，而且還可以有一個(gè)以上的域名作為Web網(wǎng)站，您可以利用TCP/IP內(nèi)容設(shè)置兩組以上的IP地址給它，除了為網(wǎng)卡再加進(jìn)一組IP地址之外，必須在負(fù)責(zé)這個(gè)點(diǎn)的DNS上為這組IP地址指定另一個(gè)域名，完成這些步驟以后，在InternetServiceManage中就會(huì)出現(xiàn)一個(gè)虛擬Web服務(wù)器，虛擬服務(wù)器（VirtualServer）必須有它自己的主目錄（homedirectory），對(duì)于IIS來(lái)說(shuō)，所有服務(wù)器都是它的虛擬服務(wù)器。（3）Netscape服務(wù)器Netscape服務(wù)器支持Javarun-time（JDK1.1），能將PDF格式轉(zhuǎn)化成HTMl格式，并且支持LDAP服務(wù)和Oracle，Informix數(shù)據(jù)庫(kù)。Netscape服務(wù)器支持DigitalUNIX，AIX，HPUX，WindowsNT，IRIX。11.1.2安全WebServer概念的提出及相應(yīng)的解決方案1．ApacheWEBServer的安全問題及相應(yīng)的解決方案

Apache服務(wù)器是應(yīng)用最為廣泛的Web服務(wù)器軟件之一，服務(wù)器快速、可靠，如果經(jīng)過用戶精心配置之后，就完全能夠令其適應(yīng)高負(fù)荷的互聯(lián)網(wǎng)工作。但是，Apache服務(wù)器的Perl/Python解釋器可被編譯到服務(wù)器中,且完全免費(fèi),源代碼也完全開放,并且基于Web的通信建立在HTTP協(xié)議之上，因此，存在以下幾個(gè)安全問題：（1)使用HTTP協(xié)議進(jìn)行的拒絕服務(wù)攻擊(denialofservice):攻擊者會(huì)通過某些手段使服務(wù)器拒絕對(duì)HTTP應(yīng)答。這樣會(huì)使Apache對(duì)系統(tǒng)資源(CPU時(shí)間和內(nèi)存)需求巨增,造成Apache系統(tǒng)變慢甚至完全癱瘓。（2）緩沖區(qū)溢出:由于源代碼完全開放,攻擊者就可以利用程序編寫的一些缺陷,使程序偏離正常流程。程序使用靜態(tài)分配的內(nèi)存保存請(qǐng)求數(shù)據(jù),攻擊者就可以發(fā)送一個(gè)超長(zhǎng)請(qǐng)求使緩沖區(qū)溢出。（3）被攻擊者獲得root權(quán)限:由于Apache服務(wù)器一般以root權(quán)限運(yùn)行,攻擊者通過它獲得root權(quán)限,進(jìn)而控制整個(gè)Apache系統(tǒng)。（4）惡意攻擊者進(jìn)行“拒絕服務(wù)”(DoS)攻擊:它主要是存在于Apache的chunkencoding中,這是一個(gè)HTTP協(xié)議定義的用于接受web用戶所提交數(shù)據(jù)的功能。利用黑客程序可以對(duì)于運(yùn)行在FreeBSD4.5,OpenBSD3.0/3.1,NetBSD1.5.2平臺(tái)上的Apache服務(wù)器進(jìn)行攻擊。為了解決以上問題，結(jié)合Apache服務(wù)器的設(shè)置，正確維護(hù)和配置Apache服務(wù)器時(shí)應(yīng)注意以下幾點(diǎn):（1）認(rèn)真設(shè)置Apache服務(wù)器的配置文件。配置文件主要有三個(gè):httpd.con—>主配置文件;srm.conf—>填加資源文件;access.conf—>設(shè)置文件的訪問權(quán)限。（2）Apache服務(wù)器的日志文件。我們可以使用日志格式指令來(lái)控制日志文件的信息。使用LogFormar“%a%1”指令,可以把發(fā)出HTTP請(qǐng)求瀏覽器的IP地址和主機(jī)名記錄到日志文件。出于安全的考慮,在日志中我們應(yīng)知道有多少被驗(yàn)證失敗的WEB用戶,在http.conf文件中加入LogFormat“%401u”指令可以實(shí)現(xiàn)這個(gè)目的。Apache的錯(cuò)誤日志文件對(duì)于系統(tǒng)管理員來(lái)說(shuō)是非常重要的,錯(cuò)誤日志文件中包括服務(wù)器的啟動(dòng)、停止以及CGI執(zhí)行失敗等信息。（3）加強(qiáng)對(duì)Apache服務(wù)器目錄的安全認(rèn)證:在ApacheServer中是允許使用。htaccess是做目錄安全保護(hù)的,欲讀取這保護(hù)的目錄需要先鍵入正確用戶賬號(hào)與密碼。這樣可做為專門管理網(wǎng)頁(yè)存放的目錄或做為會(huì)員區(qū)等。（4）加強(qiáng)Apache服務(wù)器訪問控制配置文件中的access·conf文件,包含一些指令控制允許什么用戶訪問Apache目錄。應(yīng)該把denyfromall設(shè)為初始化指令,再使用allowfrom指令打開訪問權(quán)限。（5）Apache服務(wù)器的密碼保護(hù)問題使用.htaccess文件把某個(gè)目錄的訪問權(quán)限賦予某個(gè)用戶。系統(tǒng)管理員需要在httpd.conf或者srm.conf文件中使用AccessFileName指令打開目錄的訪問控制。2．安全WebServer概念的提出及相應(yīng)的解決方案基于Web的通信系統(tǒng)采用客戶/服務(wù)器結(jié)構(gòu):客戶端利用瀏覽器連接至Web服務(wù)器獲取相應(yīng)的信息,在客戶端從Web服務(wù)器取得相應(yīng)的應(yīng)答后兩者就不再存在網(wǎng)絡(luò)的連接,而要等到下次傳送數(shù)據(jù)時(shí),連接才會(huì)再次建立.這種客戶端與服務(wù)器端之間的交互作用方式稱之為查詢-應(yīng)答(Query-Response)模式。只有在雙方建立起連接之后才可以查詢,而在查詢結(jié)束之后,這種連接也要釋放.在基于Web的通信中,瀏覽器和Web服務(wù)器之間采用HTTP協(xié)議進(jìn)行通信.正是由于基于Web通信的這兩點(diǎn)特征,導(dǎo)致了基于Web的通信中存在以下幾個(gè)重要的弱點(diǎn):（1）由于Web服務(wù)器基于操作系統(tǒng)之上,因此操作系統(tǒng)的安全性直接關(guān)系到WWW系統(tǒng)的安全性,如果沒有操作系統(tǒng)的良好的安全性作為支撐,一切基于它的應(yīng)用服務(wù)的安全性都將大打折扣；（2）由于HTTP協(xié)議沒有提供方法來(lái)認(rèn)證正在進(jìn)行的會(huì)話，因此不能判斷是否有不信任的第三方劫持了該會(huì)話；（3）由于HTTP協(xié)議沒有提供加密機(jī)制,因此不信任的第三方可以在客戶和服務(wù)器之間竊聽用戶之間的通信；（4）由于HTTP是一個(gè)無(wú)狀態(tài)協(xié)議,不保存有關(guān)用戶的信息，因此不能證實(shí)用戶的身份,訪問控制也就無(wú)法建立；（5）目前大多數(shù)Web服務(wù)器只提供公共服務(wù),不能夠針對(duì)企業(yè)內(nèi)部用戶進(jìn)行粒度更為精細(xì)的訪問控制；（6）大多數(shù)的Web服務(wù)器只提供非常弱的基于用戶ID/口令字的認(rèn)證,并且一旦用戶通過認(rèn)證,則所有的用戶權(quán)限相等,均能夠擁有Web提供的所有服務(wù)。正是由于基于Web的通信存在著以上弱點(diǎn),因此要建立一個(gè)安全的Web站點(diǎn),必須要考慮到兩點(diǎn)因素：（1）Web服務(wù)器系統(tǒng)所處的操作系統(tǒng)平臺(tái)的安全性；（2）Web服務(wù)器系統(tǒng)本身和網(wǎng)路傳輸?shù)陌踩?。為此，我們提出一種我們所理解的安全Web服務(wù)器概念：（1）Web服務(wù)器所基于的操作系統(tǒng)平臺(tái)的安全性良好；（2）網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)經(jīng)過加密；（3）對(duì)正在進(jìn)行的會(huì)話應(yīng)提供方法來(lái)進(jìn)行認(rèn)證；（4）主/客體也應(yīng)按安全級(jí)進(jìn)行分類,即主體應(yīng)擁有與其身份相符的許可證,而客體亦應(yīng)賦以與其敏感性相稱的安全級(jí)標(biāo)簽；（5）不同的主體只能訪問獲得相應(yīng)授權(quán)的客體；（6）攻擊者不能夠通過Web服務(wù)器的漏洞來(lái)攻擊操作系統(tǒng)本身。為達(dá)到以上幾點(diǎn),相應(yīng)的解決方案可以通過以下機(jī)制來(lái)實(shí)現(xiàn)：（1）選用最新的操作系統(tǒng)版本,并隨著最新公布的系統(tǒng)Patch隨時(shí)更新操作系統(tǒng)；（2）保證網(wǎng)路上傳輸?shù)臄?shù)據(jù)加密及對(duì)正在進(jìn)行的會(huì)話進(jìn)行認(rèn)證,例如將SSL與Web服務(wù)器源代碼無(wú)縫連接；（3）將多級(jí)安全機(jī)制(即BLP模型)應(yīng)用于Web服務(wù)器中,從而實(shí)現(xiàn)主/客體間的訪問控制機(jī)制,保證不同的主體只能訪問獲得相應(yīng)授權(quán)的客體；（4）為保證攻擊者不能夠通過Web服務(wù)器的漏洞來(lái)攻擊操作系統(tǒng)平臺(tái),要保證Web服務(wù)器源代碼中盡可能少地存在漏洞,特別應(yīng)該指出的是,針對(duì)目前對(duì)Web服務(wù)器和操作系統(tǒng)最典型的攻擊方法——堆棧溢出攻擊應(yīng)提供良好的解決方案。11.1.3基于BLP模型的SecWeb系統(tǒng)描述1．SecWeb系統(tǒng)的操作系統(tǒng)平臺(tái)——SecLinux操作系統(tǒng),SecLinux安全操作系統(tǒng)體系結(jié)構(gòu)如下圖所示11.1.3基于BLP模型的SecWeb系統(tǒng)描述2.SecWeb系統(tǒng)中的自主訪問控制在網(wǎng)絡(luò)服務(wù)自主訪問控制(NDAC)機(jī)制中,其控制結(jié)構(gòu)如下圖所示.NACENACE…User/GroupNameNACEMACRangeRemoteHost3．SecWeb系統(tǒng)中的強(qiáng)制訪問控制獲取URI的第一個(gè)目錄分量獲取當(dāng)前目錄分量的RACL基于此RACL對(duì)資源實(shí)施自主訪問控制訪問許可？下一個(gè)目錄分量存在？訪問許可取下一個(gè)目錄分量否否是是4．SecWeb系統(tǒng)中對(duì)緩沖區(qū)溢出的處理為解決緩沖區(qū)溢出的問題,SecWeb系統(tǒng)對(duì)Web服務(wù)器源代碼中可能造成緩沖區(qū)溢出的庫(kù)函數(shù)進(jìn)行了替換，首先截獲這些庫(kù)函數(shù)調(diào)用，對(duì)之進(jìn)行緩沖區(qū)邊界檢查,對(duì)可能造成緩沖區(qū)溢出的調(diào)用進(jìn)行強(qiáng)制退出，防止不適當(dāng)?shù)幕驉阂獾膽?yīng)用程序編程所造成的緩沖區(qū)溢出漏洞被惡意地加以利用。11.2操作系統(tǒng)安全與防火墻安全11.2.1防火墻介紹1.防火墻技術(shù)防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。盡管防火墻有許許多多種形式，有以軟件形式運(yùn)行在普通計(jì)算機(jī)之上的，也有以固件形式設(shè)計(jì)在路由器之中的,但總的來(lái)說(shuō)業(yè)界的分類有三種：包過濾防火墻，應(yīng)用級(jí)網(wǎng)關(guān)和狀態(tài)監(jiān)視器。（1）包過濾防火墻在互聯(lián)網(wǎng)絡(luò)這樣的TCP/IP網(wǎng)絡(luò)上，所有往來(lái)的信息都被分割成許許多多一定長(zhǎng)度的信息包，包中包含發(fā)送者的IP地址和接收者的IP地址信息。當(dāng)這些信息包被送上互聯(lián)網(wǎng)絡(luò)時(shí)，路由器會(huì)讀取接收者的IP并選擇一條合適的物理線路發(fā)送出去，信息包可能經(jīng)由不同的路線抵達(dá)目的地，當(dāng)所有的包抵達(dá)目的地后會(huì)重新組裝還原。包過濾式的防火墻會(huì)檢查所有通過的信息包中的IP地址，并按照系統(tǒng)管理員所給定的過濾規(guī)則進(jìn)行過濾。如果對(duì)防火墻設(shè)定某一IP地址的站點(diǎn)為不適宜訪問的話，從這個(gè)地址來(lái)的所有信息都會(huì)被防火墻屏蔽掉。

（2）應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)也就是通常我們提到的代理服務(wù)器。它適用于特定的互聯(lián)網(wǎng)服務(wù)，如超文本傳輸(HTTP)，遠(yuǎn)程文件傳輸(FTP)等等。代理服務(wù)器通常運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于客戶來(lái)說(shuō)象是一臺(tái)真的服務(wù)器，而對(duì)于外界的服務(wù)器來(lái)說(shuō)，它又是一臺(tái)客戶機(jī)。當(dāng)代理服務(wù)器接收到用戶對(duì)某站點(diǎn)的訪問請(qǐng)求后會(huì)檢查該請(qǐng)求是否符合規(guī)定，如果規(guī)則允許用戶訪問該站點(diǎn)的話，代理服務(wù)器會(huì)象一個(gè)客戶一樣去那個(gè)站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶。代理服務(wù)器通常都擁有一個(gè)高速緩存，這個(gè)緩存存儲(chǔ)有用戶經(jīng)常訪問的站點(diǎn)內(nèi)容，在下一個(gè)用戶要訪問同一站點(diǎn)時(shí)，服務(wù)器就不用重復(fù)地獲取相同的內(nèi)容，直接將緩存內(nèi)容發(fā)出即可，既節(jié)約了時(shí)間也節(jié)約了網(wǎng)絡(luò)資源。代理服務(wù)器會(huì)象一堵墻一樣擋在內(nèi)部用戶和外界之間，從外部只能看到該代理服務(wù)器而無(wú)法獲知任何的內(nèi)部資源，諸如用戶的IP地址等。應(yīng)用級(jí)網(wǎng)關(guān)比單一的包過濾更為可靠，而且會(huì)詳細(xì)地記錄所有的訪問狀態(tài)信息。但是應(yīng)用級(jí)網(wǎng)關(guān)也存在一些不足之處，首先它會(huì)使訪問速度變慢，因?yàn)樗辉试S用戶直接訪問網(wǎng)絡(luò)，而且應(yīng)用級(jí)網(wǎng)關(guān)需要對(duì)每一個(gè)特定的互聯(lián)網(wǎng)服務(wù)安裝相應(yīng)的代理服務(wù)軟件，用戶不能使用未被務(wù)器支持的服務(wù)，對(duì)每一類服務(wù)要使用特殊的客戶端軟件，更不幸的是，并不是所有的互聯(lián)網(wǎng)應(yīng)用軟件都可以使用代理服務(wù)器。

（3）狀態(tài)監(jiān)測(cè)防火墻這種防火墻具有非常好的安全特性，它使用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊，稱之為監(jiān)測(cè)引擎。監(jiān)測(cè)引擎在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，抽取狀態(tài)信息，并動(dòng)態(tài)地保存起來(lái)作為以后執(zhí)行安全策略的參考。監(jiān)測(cè)引擎支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。與前兩種防火墻不同，當(dāng)用戶訪問請(qǐng)求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作。一旦某個(gè)訪問違反安全規(guī)定，就會(huì)拒絕該訪問，并報(bào)告有關(guān)狀態(tài)作日志記錄。2.防火墻的類型（1）堡壘主機(jī)或雙穴主機(jī)網(wǎng)關(guān)（DualHomedGateway）堡壘主機(jī)是一種被強(qiáng)化的能防御進(jìn)攻的計(jì)算機(jī)，被暴露于因特網(wǎng)之上，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其他主機(jī)的安全的目的。從堡壘主機(jī)的定義我們能看到，堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)。所以堡壘主機(jī)也必須是自身保護(hù)最完善的主機(jī)。（2）被屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也最為安全。一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)惟一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。如果受保護(hù)網(wǎng)是一個(gè)虛擬擴(kuò)展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)部網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置。危險(xiǎn)帶限制在堡壘主機(jī)和屏蔽路由器。網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者沒法登錄到它上面，內(nèi)網(wǎng)中的其余主機(jī)就會(huì)受到很大威脅。這與雙穴主機(jī)網(wǎng)關(guān)受攻擊時(shí)的情形差不多。

11.2.2防火墻涉及的安全技術(shù)防火墻涉及到的技術(shù)有：1.通信過程加密2.強(qiáng)化操作系統(tǒng)3.認(rèn)證4.日志和警報(bào)另外，包分類、存取控制、入侵檢測(cè)和動(dòng)態(tài)技術(shù)等都是提高防火墻性能的關(guān)鍵技術(shù)。11.2.3防火墻利用安全操作系統(tǒng)的保護(hù)機(jī)制利用域間隔離來(lái)保護(hù)防火墻中的安全數(shù)據(jù)利用安全操作系統(tǒng)的特權(quán)管理機(jī)制利用安全操作系統(tǒng)的審計(jì)機(jī)制進(jìn)行入侵檢測(cè)與預(yù)警利用操作系統(tǒng)的網(wǎng)絡(luò)安全機(jī)制1．利用域間隔離來(lái)保護(hù)防火墻中的安全數(shù)據(jù)根據(jù)TCSEC（TrustedComputerSystemEvaluationCriteria）的規(guī)定，B1以上級(jí)安全操作系統(tǒng)將系統(tǒng)信息劃分三個(gè)區(qū)，即系統(tǒng)管理區(qū)，用戶空間區(qū)，病毒保護(hù)區(qū)。如圖11.9所示，該圖可看作一組系統(tǒng)安全級(jí)和用戶安全級(jí)，它們通過MAC機(jī)制的控制被分隔，從而保持了系統(tǒng)的安全性。其中，“箭頭”表示安全級(jí)支配關(guān)系。2．利用安全操作系統(tǒng)的特權(quán)管理機(jī)制最小特權(quán)管理的思想是將超級(jí)用戶的特權(quán)劃分為一組細(xì)粒度的特權(quán)，分別授給不同的系統(tǒng)操作員/管理員，使各種系統(tǒng)管理員/操作員只具有完成其任務(wù)所需的特權(quán)，從而滿足最小特權(quán)原理。我們知道，攻擊防火墻的技術(shù)之一便是修改防火墻的規(guī)則使得防火墻的規(guī)則對(duì)其攻擊無(wú)效，而要修改規(guī)則，則修改者須有一定的特權(quán)即可。在實(shí)際的安全操作系統(tǒng)設(shè)計(jì)中，普通用戶和特權(quán)用戶的操作在特權(quán)判斷之前是一樣的，但是到了特權(quán)判斷時(shí)普通用戶的操作請(qǐng)求被拒絕。一般情況下，入侵者至少使用不獲得特權(quán)的進(jìn)程來(lái)完成特權(quán)操作的嘗試。在防火墻中，一般處理特權(quán)違反操作有:報(bào)警，審計(jì)，送入侵檢測(cè)中心。表11-1就特權(quán)違反處理做詳細(xì)描述。其中，&表示送到入侵檢測(cè)中心，*表示報(bào)警。同時(shí)，根據(jù)防火墻操作系統(tǒng)的特點(diǎn)，將系統(tǒng)的對(duì)防火墻的本機(jī)管理的特權(quán)賦予安全管理員。這樣，經(jīng)過權(quán)限分割，系統(tǒng)的安全性大大的提高。我們給該管理員一定的安全級(jí)別，同時(shí)該防火墻的相關(guān)關(guān)鍵數(shù)據(jù)目錄文件也具有該安全級(jí)。3．利用安全操作系統(tǒng)的審計(jì)機(jī)制進(jìn)行入侵檢測(cè)與預(yù)警（1）利用審計(jì)進(jìn)行入侵檢測(cè)入侵檢測(cè)技術(shù)的關(guān)鍵是能夠得到足夠多的連接的上下文的內(nèi)容，所以其基礎(chǔ)是連接跟蹤，通過積累足夠多的信息來(lái)進(jìn)行專家支持與決策?，F(xiàn)在關(guān)于入侵檢測(cè)，一般的模式是主機(jī)分布式采樣過濾，中心機(jī)來(lái)專家決策和報(bào)警。工程上一般采用的技術(shù)異常探測(cè)和模式匹配技術(shù)。在這里，足夠多的數(shù)據(jù)的一部分便是通過操作系統(tǒng)的審計(jì)子系統(tǒng)獲得的。（2）防火墻操作系統(tǒng)中的審計(jì)數(shù)據(jù)系統(tǒng)中特權(quán)相關(guān)事件審計(jì)。通常，一個(gè)特權(quán)命令需要使用多個(gè)系統(tǒng)調(diào)用，逐個(gè)審計(jì)所用到的系統(tǒng)調(diào)用，會(huì)使審計(jì)數(shù)據(jù)復(fù)雜而難于理解，審計(jì)員很難判斷出命令的使用情況，因此，雖然系統(tǒng)調(diào)用的審計(jì)已經(jīng)是十分充分的，然而特權(quán)命令的審計(jì)仍然必要。在被審計(jì)的特權(quán)命令的每個(gè)可能的出口處增加一個(gè)新的系統(tǒng)調(diào)用專門用于該命令的審計(jì)。當(dāng)發(fā)生可審計(jì)事件時(shí)，要在審計(jì)點(diǎn)調(diào)用審計(jì)函數(shù)并向?qū)徲?jì)進(jìn)程發(fā)消息。由審計(jì)進(jìn)程完成審計(jì)信息的緩沖、存貯、歸檔工作。（3）利用審計(jì)進(jìn)行入侵檢測(cè)的過程綜合本地審計(jì)數(shù)據(jù)與防火墻對(duì)安全服務(wù)的審計(jì)信息。根據(jù)審計(jì)數(shù)據(jù)的類型，判斷是否交送入侵檢測(cè)中心。4．利用操作系統(tǒng)的網(wǎng)絡(luò)安全機(jī)制（1）利用安全操作系統(tǒng)來(lái)防御碎片攻擊IP碎片指IPFRAGMENT，經(jīng)常被用來(lái)作DOS攻擊，典型的例子便是teardrop和jolt2，其原理都是利用發(fā)送異常的分片，如果操作系統(tǒng)的內(nèi)核在處理分片重組時(shí)沒有考慮到所有的異常情況，將可能引向異常的流程，造成拒絕服務(wù)(DOS)。碎片攻擊不光會(huì)攻擊操作系統(tǒng)，由于許多網(wǎng)絡(luò)工具，如防火墻，入侵檢測(cè)系統(tǒng)(功S)也在內(nèi)部作了分片組裝，如果處理不當(dāng)，也同樣會(huì)遭受攻擊，如著名的checkpoint的防火墻FW-1某些版本(最新的已經(jīng)改正了)便同樣會(huì)受到碎片DOS攻擊。碎片也可以用來(lái)逃避IDS檢測(cè)，許多網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的機(jī)理是單IP包檢測(cè)，沒有處理分片，即使是象ISS這樣的公司也是在最新的5.0版本中才實(shí)現(xiàn)了組裝功能，更不用說(shuō)snort了，其IP組裝插件經(jīng)常造成系統(tǒng)錯(cuò)誤，因此大多數(shù)人都將此功能關(guān)閉了。（2）對(duì)碎片攻擊的防御這里主要介紹安全操作系統(tǒng)網(wǎng)絡(luò)的碎片組裝程序，首先對(duì)關(guān)鍵數(shù)據(jù)結(jié)構(gòu)描述。在我們的安全防火墻操作系統(tǒng)中，用四元組(數(shù)據(jù)包的功號(hào)，源IP地址，目的IP地址，協(xié)議號(hào))，表示一個(gè)IP碎片，四個(gè)值都相同的碎片在一個(gè)IPQ鏈中按到達(dá)操作系統(tǒng)的先后次序連接，所有的IP碎片通過哈稀表組織起來(lái)。哈稀表的大小為64，哈稀計(jì)算表達(dá)式為：

((id)>>1)^(saddr)^(daddr)^(prot))&(IPQ_HASHSZ-1))其中id為數(shù)據(jù)包的ID號(hào)，saddr為源IP地址，daddr為目的IP地址，proto為協(xié)議號(hào)，IPQ_HASHSZ為哈稀表的最大值，在此為64。^表示邏輯異或算法。具體的數(shù)據(jù)結(jié)構(gòu)可以表示為如圖11.10。本章小結(jié)在本章中,我們針對(duì)安全操作系統(tǒng)的兩種應(yīng)用,即WWW安全與防火墻系統(tǒng)安全。首先介紹了WWW服務(wù)系統(tǒng)中HTTP協(xié)議中的常用命令，并且對(duì)目前流行的WWW服務(wù)器的特性和支持的操作系統(tǒng)作了比較。然后介紹了基于Web通信中存在的弱點(diǎn)，提出了安全Web服務(wù)器的概念，同時(shí)為了將多級(jí)安全機(jī)制整合到Web服務(wù)器中，介紹了一種基于BLP形式化模型的安全Web服務(wù)器系統(tǒng)—SecWeb。最后，介紹了防火墻為核心技術(shù)：包過濾防火墻、代理防火墻、狀態(tài)監(jiān)控防火墻；論述了最常用的防火墻的類型即堡壘主機(jī)網(wǎng)關(guān)、雙穴主機(jī)網(wǎng)關(guān)、被屏蔽主機(jī)網(wǎng)關(guān)。重點(diǎn)介紹了防火墻涉及的安全技術(shù)和防火墻利用安全操作系統(tǒng)的保護(hù)機(jī)制。實(shí)驗(yàn)：配置Linux下的防火墻【實(shí)驗(yàn)?zāi)康摹客ㄟ^本實(shí)驗(yàn)，掌握在Linux系統(tǒng)平臺(tái)下用ipchains配置防火墻的方法?！緦?shí)驗(yàn)準(zhǔn)備】1.網(wǎng)絡(luò)中包括兩個(gè)子網(wǎng)A和B。子網(wǎng)A的網(wǎng)絡(luò)地址為/24，網(wǎng)關(guān)為hostA。HostA有兩個(gè)接口，eth0和eth1。Eth0連接子網(wǎng)A，IP地址為。eth1連接外部網(wǎng)絡(luò)，Ip地址為1。子網(wǎng)B的網(wǎng)絡(luò)地址為/24，網(wǎng)關(guān)為hostB。HostB有兩個(gè)網(wǎng)絡(luò)接口，eth0和eth1。Eth0連接子網(wǎng)B，IP地址為。eth1連接外部網(wǎng)絡(luò)，Ip地址為01。HostA和HostB構(gòu)成子網(wǎng)C，網(wǎng)絡(luò)地址是/24，通過交換機(jī)連接到HostC，然后通過hostC連接Internet。HostC的內(nèi)部網(wǎng)絡(luò)接口為eth0，IP地址為。實(shí)驗(yàn)：配置Linux下的防火墻2.在hostA、hostB、hostC上都已經(jīng)裝好Linu