信息安全培訓(xùn)方案

《信息安全培訓(xùn)方案》由會員分享，可在線閱讀，更多相關(guān)《信息安全培訓(xùn)方案（80頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 信 息 安 全 培 訓(xùn) 方 案 二○○六年二月十四日 第一部分 信息安全的基礎(chǔ)知識 一、什么是信息安全 1. 網(wǎng)絡(luò)安全背景 ü 與Internet相關(guān)的安全事件頻繁出現(xiàn) ü Internet已經(jīng)成為商務(wù)活動、通訊及協(xié)作的重要平臺 ü Internet最初被設(shè)計為開放式網(wǎng)絡(luò) 2. 什么是安全？ ü 安全的定義： 信息安全的定義：為了防止未經(jīng)授權(quán)就對知識、事實、數(shù)據(jù)或能力進行實用、濫用、修改或拒絕使用而采取的措施

2、。 ü 信息安全的組成： 信息安全是一個綜合的解決方案，包括物理安全、通信安全、輻射安全、計算機安全、網(wǎng)絡(luò)安全等。 ü 信息安全專家的工作： 安全專家的工作就是在開放式的網(wǎng)絡(luò)環(huán)境中，確保識別并消除信息安全的威脅和缺陷。 3. 安全是一個過程而不是指產(chǎn)品 不能只依賴于一種類型的安全為組織的信息提供保護，也不能只依賴于一種產(chǎn)品提供我們的計算機和網(wǎng)絡(luò)系統(tǒng)所需要的所有安全性。因為安全性所涵蓋的范圍非常廣闊，包括： l 防病毒軟件； l 訪問控制； l 防火墻； l 智能卡； l 生物統(tǒng)計學(xué)； l 入侵檢測； l 策略管理； l 脆弱點掃描； l 加密； l 物理

3、安全機制。 4. 百分百的安全神話 ü 絕對的安全： 只要有連通性，就存在安全風(fēng)險，沒有絕對的安全。 ü 相對的安全： 可以達到的某種安全水平是：使得幾乎所有最熟練的和最堅定的黑客不能登錄你的系統(tǒng)，使黑客對你的公司的損害最小化。 ü 安全的平衡： 一個關(guān)鍵的安全原則是使用有效的但是并不會給那些想要真正獲取信息的合法用戶增加負擔(dān)的方案。 二、常見的攻擊類型 為了進一步討論安全，你必須理解你有可能遭遇到的攻擊的類型，為了進一步防御黑客，你還要了解黑客所

4、采用的技術(shù)、工具及程序。 我們可以將常見的攻擊類型分為四大類：針對用戶的攻擊、針對應(yīng)用程序的攻擊、針對計算機的攻擊和針對網(wǎng)絡(luò)的攻擊。 第一類：針對用戶的攻擊 5. 前門攻擊 ü 密碼猜測 在這個類型的攻擊中，一個黑客通過猜測正確的密碼，偽裝成一個合法的用戶進入系統(tǒng)，因為一個黑客擁有一個合法用戶的所有信息，他（她）就能夠很簡單地從系統(tǒng)的“前門”正當(dāng)?shù)剡M入。 6. 暴力和字典攻擊 ü 暴力攻擊 暴力攻擊類似于前門攻擊，因為一個黑客試圖通過作為一個合法用戶獲得通過。 ü 字典攻擊 一個字典攻擊通過僅僅使用某種具體的密碼來縮小嘗試的范圍，強壯的密碼通過結(jié)合大小寫字母、數(shù)字、通配

5、符來擊敗字典攻擊。 u Lab2-1：使用LC4破解Windows系統(tǒng)口令，密碼破解工具 u Lab2-2：Office Password Recovery & WinZip Password Recovery 7. 病毒 計算機病毒是一個被設(shè)計用來破壞網(wǎng)絡(luò)設(shè)備的惡意程序。 8. 社會工程和非直接攻擊 社交工程是使用計謀和假情報去獲得密碼和其他敏感信息，研究一個站點的策略其中之一就是盡可能多的了解屬于這個組織的個體，因此黑客不斷試圖尋找更加精妙的方法從他們希望滲透的組織那里獲得信息。 ü 打電話請求密碼： 一個黑客冒充一個系統(tǒng)經(jīng)理去打電話給一個公司，在解釋了他的帳號

6、被意外鎖定了后，他說服公司的某位職員根據(jù)他的指示修改了管理員權(quán)限，然后黑客所需要做的就是登錄那臺主機，這時他就擁有了所有管理員權(quán)限。 ü 偽造E-mail： 使用Telnet一個黑客可以截取任何一個身份證，發(fā)送E-mail給一個用戶，這樣的E-mail消息是真的，因為它發(fā)自于一個合法的用戶。在這種情形下這些信息顯得是絕對的真實，然而它們是假的，因為黑客通過欺騙E-mail服務(wù)器來發(fā)送它們。 u Lab 2-3：發(fā)送偽造的E-Mail消息。 第二類：針對應(yīng)用程序的攻擊 9. 緩沖區(qū)溢出 目前最流行的一種應(yīng)用程序類攻擊就是緩沖區(qū)溢出。 當(dāng)目標操作系統(tǒng)收到了超過它設(shè)計時在某一時

7、間所能接收到的信息量時發(fā)生緩沖區(qū)溢出。這種多余的數(shù)據(jù)將使程序的緩存溢出，然后覆蓋了實際的程序數(shù)據(jù)，緩沖區(qū)溢出使得目標系統(tǒng)的程序自發(fā)的和遠程的被修改，經(jīng)常這種修改的結(jié)果是在系統(tǒng)上產(chǎn)生了一個后門。 10. 郵件中繼 目前互連網(wǎng)上的郵件服務(wù)器所受攻擊有兩類：一類就是中繼利用(Relay)，即遠程機器通過你的服務(wù)器來發(fā)信，這樣任何人都可以利用你的服務(wù)器向任何地址發(fā)郵件，久而久之，你的機器不僅成為發(fā)送垃圾郵件的幫兇，也會使你的網(wǎng)絡(luò)國際流量激增，同時將可能被網(wǎng)上的很多郵件服務(wù)器所拒絕。另一類攻擊稱為垃圾郵件(Spam)，即人們常說的郵件炸彈，是指在很短時間內(nèi)服務(wù)器可能接收大量無用的郵件，從而使郵件

8、服務(wù)器不堪負載而出現(xiàn)癱瘓。 u Lab 2-4：通過郵件中繼發(fā)送E-Mail消息。 11. 網(wǎng)頁涂改 是一種針對Web服務(wù)器的網(wǎng)頁內(nèi)容進行非法篡改，以表達不同的觀點或社會現(xiàn)象。這種攻擊通常損害的是網(wǎng)站的聲譽。（中國紅客聯(lián)盟）ngqin為ei 第三類：針對計算機的攻擊 12. 物理攻擊 許多公司和組織應(yīng)用了復(fù)雜的安全軟件，卻因為主機沒有加強物理安全而破壞了整體的系統(tǒng)安全。 通常，攻擊者會通過物理進入你的系統(tǒng)等非Internet手段來開啟Internet的安全漏洞。 增強物理安全的方法包括：用密碼鎖取代普通鎖；將服務(wù)器放到上鎖的房間中；安裝視頻監(jiān)視設(shè)備。 u Lab 2-

9、5：操作一個對Windows 2000 Server的物理攻擊 13. 特洛伊木馬和Root Kits 任何已經(jīng)被修改成包含非法文件的文件叫做“特洛伊程序”。特洛伊程序通常包含能打開端口進入Root Shell或具有管理權(quán)限的命令行文件，他們可以隱藏自己的表現(xiàn)（無窗口），而將敏感信息發(fā)回黑客并上載程序以進一步攻擊系統(tǒng)及其安全。 u Lab 2-6：遭受NetBus特洛伊木馬感染 ü Root Kits（附文檔） Root Kits是多種UNIX系統(tǒng)的一個后門，它在控制階段被引入，并且產(chǎn)生一個嚴重的問題。Root Kits由一系列的程序構(gòu)成，當(dāng)這些程序被特洛伊木馬取代了合法的程

10、序時，這種取代提供給黑客再次進入的后門和特別的分析網(wǎng)絡(luò)工具。 14. 系統(tǒng)Bug和后門 ü Bug和后門 一個Bug是一個程序中的錯誤，它產(chǎn)生一個不注意的通道。 一個后門是一個在操作系統(tǒng)上或程序上未被記錄的通道。程序設(shè)計員有時有意識地在操作系統(tǒng)或程序上設(shè)置后門以便他們迅速地對產(chǎn)品進行支持。 15. Internet蠕蟲 Internet蠕蟲是一種拒絕服務(wù)病毒，最近流行的紅色代碼也是類似的一種蠕蟲病毒。 蠕蟲病毒消耗完系統(tǒng)的物理CPU和內(nèi)存資源而導(dǎo)致系統(tǒng)緩慢甚至崩潰，而沒有其他的破壞。 第四類：針對網(wǎng)絡(luò)的攻擊 16. 拒絕服務(wù)攻擊： 在一個拒絕服務(wù)攻擊中，一個黑

11、客阻止合法用戶獲得服務(wù)。這些服務(wù)可以是網(wǎng)絡(luò)連接，或者任何一個系統(tǒng)提供的服務(wù)。 ü 分布式拒絕服務(wù)攻擊DDOS：（附文檔） 是指幾個遠程系統(tǒng)一起工作攻擊一個遠程主機，通常通過大量流量導(dǎo)致主機超過負載而崩潰。 17. 哄騙：（附文檔） 哄騙和偽裝都是偷竊身份的形式，它是一臺計算機模仿另一臺機器的能力。特定的例子包括IP哄騙，ARP哄騙，路由器哄騙和DNS哄騙等。 18. 信息泄漏： 幾乎所有的網(wǎng)絡(luò)后臺運行程序在默認設(shè)置的情況下都泄漏了很多的信息，組織結(jié)構(gòu)必須決定如何最少化提供給公眾的信息，哪些信息是必要的，哪些信息是不必要的。 需要采取措施保護，不必要泄漏的信息：DNS服

12、務(wù)器的內(nèi)容、路由表、用戶和帳號名、運行在任何服務(wù)器上的標題信息（如操作系統(tǒng)平臺、版本等）。 u Lab 2-7：通過Telnet連接Exchange服務(wù)器的SMTP、POP3等服務(wù) 19. 劫持和中間人攻擊： 中間人攻擊是黑客企圖對一個網(wǎng)絡(luò)的主機發(fā)送到另一臺主機的包進行操作的攻擊。黑客在物理位置上位于兩個被攻擊的合法主機之間。最常見的包括： u 嗅探包：以獲得用戶名和密碼信息，任何以明文方式傳送的信息都有可能被嗅探； u 包捕獲和修改：捕獲包修改后重新再發(fā)送； u 包植入：插入包到數(shù)據(jù)流； u 連接劫持：黑客接管兩臺通信主機中的一臺，通常針對TCP會話。但非常難于實現(xiàn)。 u

13、 Lab 2-8：網(wǎng)絡(luò)包嗅探outlook Express郵件賬號口令 三、信息安全服務(wù) 20. 安全服務(wù) 國際標準化組織(ISO)7498-2定義了幾種安全服務(wù)： 服務(wù) 目標 驗證 提供身份的過程 訪問控制 確定一個用戶或服務(wù)可能用到什么樣的系統(tǒng)資源，查看還是改變 數(shù)據(jù)保密性 保護數(shù)據(jù)不被未授權(quán)地暴露。 數(shù)據(jù)完整性 這個服務(wù)通過檢查或維護信息的一致性來防止主動的威脅 不可否定性 防止參與交易的全部或部分的抵賴。 21. 安全機制 根據(jù)ISO提出的，安全機制是一種技術(shù)，一些軟件或?qū)嵤┮粋€或更多安全服務(wù)的過程 。 ISO把機制分成特殊的和普遍的。 一

14、個特殊的安全機制是在同一時間只對一種安全服務(wù)上實施一種技術(shù)或軟件。 如：加密、數(shù)字簽名等。 普遍的安全機制不局限于某些特定的層或級別，如：信任功能、事件檢測、審核跟蹤、安全恢復(fù)等。 四、網(wǎng)絡(luò)安全體系結(jié)構(gòu) 第二部分 信息安全的實際解決方案 一、加密技術(shù) 22. 加密系統(tǒng) 加密把容易讀取的源文件變成加密文本，能夠讀取這種加密文本的方法是獲得密鑰（即把原來的源文件加密成加密文本的一串字符）。 1) 加密技術(shù)通常分為三類： u 對稱加密：使用一個字符串（

15、密鑰）去加密數(shù)據(jù)，同樣的密鑰用于加密和解密。 u 非對稱加密：使用一對密鑰來加密數(shù)據(jù)。這對密鑰相關(guān)有關(guān)聯(lián)，這對密鑰一個用于加密，一個用于解密，反之亦然。非對稱加密的另外一個名字是公鑰加密。 u HASH加密：更嚴格的說它是一種算法，使用一個叫HASH函數(shù)的數(shù)學(xué)方程式去加密數(shù)據(jù)。理論上HASH函數(shù)把信息進行混雜，使得它不可能恢復(fù)原狀。這種形式的加密將產(chǎn)生一個HASH值，這個值帶有某種信息，并且具有一個長度固定的表示形式。 2) 加密能做什么？ 加密能實現(xiàn)四種服務(wù)： 數(shù)據(jù)保密性： 是使用加密最常見的原因； 數(shù)據(jù)完整性： 數(shù)據(jù)保密對數(shù)據(jù)安全是不足夠的，數(shù)據(jù)仍有可能在傳輸時被修改，

16、依賴于Hash函數(shù)可以驗證數(shù)據(jù)是否被修改； 驗證： 數(shù)字證書提供了一種驗證服務(wù)，幫助證明信息的發(fā)送者就是宣稱的其本人； 不可否定性： 數(shù)字證書允許用戶證明信息交換的實際發(fā)生，特別適用于財務(wù)組織的電子交易。 23. 對稱密鑰加密系統(tǒng) 在對稱加密或叫單密鑰加密中，只有一個密鑰用來加密和解密信息。 u 對稱加密的好處就是快速并且強壯。 u 對稱加密的缺點是有關(guān)密鑰的傳播，所有的接收者和查看者都必須持有相同的密鑰。 但是，如果用戶要在公共介質(zhì)上如互聯(lián)網(wǎng)來傳遞信息，他需要通過一種方法來傳遞密鑰。一個解決方案就是用非對稱加密，我們將在本課的后面提到。 24. 非對稱密鑰加密系統(tǒng)

17、 非對稱加密在加密的過程中使用一對密鑰，一對密鑰中一個用于加密，另一個用來解密。這對密鑰中一個密鑰用來公用，另一個作為私有的密鑰：用來向外公布的叫做公鑰，另一半需要安全保護的是私鑰。 非對稱加密的一個缺點就是加密的速度非常慢，因為需要強烈的數(shù)學(xué)運算程序。 25. Hash加密和數(shù)字簽名 HASH加密把一些不同長度的信息轉(zhuǎn)化成雜亂的128位的編碼里，叫做HASH值。HASH加密用于不想對信息解密或讀取。使用這種方法解密在理論上是不可能的，是通過比較兩上實體的值是否一樣而不用告之其它信息。 1) 數(shù)字簽名 HASH加密另一種用途是簽名文件。 簽名過程中，在發(fā)送方用私鑰加密哈希

18、值從而提供簽名驗證，接受方在獲得通過發(fā)送方的公鑰解密得到的哈希值后，通過相同的單向加密算法處理數(shù)據(jù)用來獲得自己的哈希值，然后比較這兩個哈希值，如果相同，則說明數(shù)據(jù)在傳輸過程中沒有被改變。 ü 加密系統(tǒng)算法的強度 加密技術(shù)的強度受三個主要因素影響：算法強度、密鑰的保密性、密鑰的長度。 u 算法強度：是指如果不嘗試所有可能的密鑰的組合將不能算術(shù)地反轉(zhuǎn)信息的能力。 u 密鑰的保密性：算法不需要保密，但密鑰必須進行保密。 u 密鑰的長度：密鑰越長，數(shù)據(jù)的安全性越高。 26. 應(yīng)用加密的執(zhí)行過程 1) 電子郵件加密 用于加密e-mail的流行方法就是使用PGP或S-MIME，雖

19、然加密的標準不同，但它們的原則都是一樣的。下面是發(fā)送和接收E-mail中加密的全部過程： ① 發(fā)送方和接收方在發(fā)送E-mail信息之前要得到對方的公鑰。 ② 發(fā)送方產(chǎn)生一個隨機的會話密鑰，用于加密E-mail信息和附件。這個密鑰是根據(jù)時間的不同以及文件的大小和日期而隨機產(chǎn)生的。算法通過使用DES，Triple DES，Blowfish，RC5等等。 ③ 發(fā)送者然后把這個會話密鑰和信息進行一次單向加密得到一個HASH值。這個值用來保證數(shù)據(jù)的完整性因為它在傳輸?shù)倪^程中不會被改變。在這步通常使用MD2，MD4，MD5或SHA。MD5用于SSL，而S/MIME默認使用SHA。 ④ 發(fā)送者用自己

20、的私鑰對這個HASH值加密。通過使用發(fā)送者自己的私鑰加密，接收者可以確定信息確實是從這個發(fā)送者發(fā)過來的。加密后的HASH值我們稱作信息摘要。 ⑤ 發(fā)送者然后用在第二步產(chǎn)生的會話密鑰對E-mail信息和所有的附件加密。這種加密提供了數(shù)據(jù)的保密性。 ⑥ 發(fā)送者用接收者的公鑰對這個會話密鑰加密，來確保信息只能被接收者用其自己的私鑰解密。這步提供了認證。 ⑦ 然后把加密后的信息和數(shù)字摘要發(fā)送給接收方。解密的過程正好以相反的順序執(zhí)行。 u Lab 4-1：利用Windows 2000 Server建立CA服務(wù)器 u Lab 4-2：為電子郵件帳戶申請證書 u Lab 4-3：將用戶證書導(dǎo)

21、出到文件保存，并傳播給需要的用戶 u Lab 4-4：在Outlook Express中建立通訊簿，建立證書與聯(lián)系人的鏈接 u Lab 4-5：實現(xiàn)安全的電子郵件通訊（郵件加密和簽名） 2) Web服務(wù)器加密 ü Secure HTTP Secure HTTP使用非對稱加密保護在線傳輸，但同時這個傳輸是使用對稱密鑰加密的。大多的瀏覽器都支持這個協(xié)議，包括Netscape Navigator和微軟的Internet Explorer。 ü 安全套接字層（SSL） SSL協(xié)議允許應(yīng)用程序在公網(wǎng)上秘密的交換數(shù)據(jù)，因此防止了竊聽，破壞和信息偽造。 所有的瀏覽器都支持SSL，所以

22、應(yīng)用程序在使用它時不需要特殊的代碼。 u Lab 4-6：為IIS Server申請證書 a) 在IIS中完成證書申請向?qū)?，生成證書申請文件； b) 利用證書申請文件在Web中申請IIS Server證書，并下載證書到文件； c) 在IIS中完成掛起證書申請 u Lab 4-7：啟用HTTP站點的SSL通道 u Lab 4-8：實現(xiàn)Exchange Server中POP3、SMTP的SSL通訊 二、認證技術(shù) 圖示 安全系統(tǒng)的邏輯結(jié)構(gòu) 認證技術(shù)是信息安全理論與技術(shù)的一個重要方面。身份認證是安全系統(tǒng)中的第一道關(guān)卡，如圖1所示，用戶在訪問安全系統(tǒng)之前，首先經(jīng)過身份認證系統(tǒng)識

23、別身份，然后訪問監(jiān)控器根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫決定用戶是否能夠訪問某個資源。 1) 認證的方法 用戶或系統(tǒng)能夠通過四種方法來證明他們的身份： ü What you know？ 基于口令的認證方式是最常用的一種技術(shù)，但它存在嚴重的安全問題。它是一種單因素的認證，安全性僅依賴于口令，口令一旦泄露，用戶即可被冒充。 ü What you have？ 更加精密的認證系統(tǒng)，要求不僅要有通行卡而且要有密碼認證。 如：智能卡和數(shù)字證書的使用。 ü Who you are？ 這種認證方式以人體惟一的、可靠的、穩(wěn)定的生物特征（如指紋、虹膜、臉部、掌紋等）為依據(jù)，采用計算機的強大功能和網(wǎng)

24、絡(luò)技術(shù)進行圖像處理和模式識別。 ü Where you are？ 最弱的身份驗證形式，根據(jù)你的位置來決定你的身份。如Unix中的rlogin和rsh程序通過源IP地址來驗證一個用戶，主機或執(zhí)行過程；反向DNS查詢防止域名哄騙等。 2) 特定的認證技術(shù) 幾種常用于加強認證系統(tǒng)的技術(shù)，它們結(jié)合使用加密技術(shù)和額外策略來檢查身份。 ü 一次性口令認證：（CHAP） 人們已經(jīng)發(fā)明了一種產(chǎn)生一次性口令的技術(shù)，稱之為挑戰(zhàn)/回答（challenge/response）。 u 種子：決定于用戶，一般在一臺機器上，一個種子對應(yīng)于一個用戶，也就是說，種子在一個系統(tǒng)中應(yīng)具有唯一性，這不是秘

25、密的而是公開的。 u 迭代值：迭代值是不斷變化的，而種子和通行短語是相對不變的，所以迭代值的作用就是使口令發(fā)生變化。 u 通行短語：通行短語是保密的，而種子和迭代值是公開的，這樣就決定了口令的機密性。 當(dāng)用戶登錄時，系統(tǒng)會向用戶提出挑戰(zhàn)，包括種子和迭代值，然后用戶用得到的種子和迭代值再加上自己知道的通行短語計算出一個答復(fù)，并傳送給系統(tǒng)，因為系統(tǒng)也知道這個通行短語，所以系統(tǒng)可以驗證答復(fù)是否正確。 ü Kerberos認證技術(shù) Kerberos提供了一種在開放式網(wǎng)絡(luò)環(huán)境下進行身份認證的方法，它使網(wǎng)絡(luò)上的用戶可以相互證明自己的身份。Kerberos是一種被證明為非常安全的雙向身份認證技

26、術(shù)，其身份認證強調(diào)了客戶機對服務(wù)器的認證， Kerberos有效地防止了來自服務(wù)器端身份冒領(lǐng)的欺騙。 Kerberos采用對稱密鑰體制對信息進行加密。其基本思想是：能正確對信息進行解密的用戶就是合法用戶。用戶在對應(yīng)用服務(wù)器進行訪問之前，必須先從第三方（Kerberos服務(wù)器）獲取該應(yīng)用服務(wù)器的訪問許可證（ticket）。 Kerberos密鑰分配中心KDC（即Kerberos服務(wù)器）由認證服務(wù)器AS和許可證頒發(fā)服務(wù)器TGS構(gòu)成。 Kerberos的認證過程如圖所示。 ü 公鑰認證體系（PKI） X.509是定義目錄服務(wù)建議X.500系列的一部分，其核心是建立存放每個用戶的

27、公鑰證書的目錄庫。用戶公鑰證書由可信賴的CA創(chuàng)建，并由CA或用戶存放于目錄中。 若A想獲得B的公鑰，A先在目錄中查找IDB，利用CA的公鑰和hash算法驗證B的公鑰證書的完整性，從而判斷公鑰的是否正確。 顯然X.509是一種基于證書的公鑰認證機制，這種機制的實現(xiàn)必須要有可信賴的CA的參與。 三、防火墻技術(shù) 防火墻的體系架構(gòu)： 防火墻的發(fā)展從第一代的PC機軟件，到工控機、PC-Box，再到MIPS架構(gòu)。第二代的NP、ASIC架構(gòu)。發(fā)展到第三代的專用安全處理芯片背板交換架構(gòu)，以及“All In One”集成安全體系架構(gòu)。 　　為了支持更廣泛及更高性能的業(yè)務(wù)需求，各個廠家全

28、力發(fā)揮各自優(yōu)勢，推動著整個技術(shù)以及市場的發(fā)展。 　　目前，防火墻產(chǎn)品的三代體系架構(gòu)主要為： 　　第一代架構(gòu)：主要是以單一CPU作為整個系統(tǒng)業(yè)務(wù)和管理的核心，CPU有x86、PowerPC、MIPS等多類型，產(chǎn)品主要表現(xiàn)形式是PC機、工控機、PC-Box或RISC-Box等； 　　第二代架構(gòu)：以NP或ASIC作為業(yè)務(wù)處理的主要核心，對一般安全業(yè)務(wù)進行加速，嵌入式CPU為管理核心，產(chǎn)品主要表現(xiàn)形式為Box等； 　　第三代架構(gòu)：ISS（Integrated Security System）集成安全體系架構(gòu)，以高速安全處理芯片作為業(yè)務(wù)處理的主要核心，采用高性能CPU發(fā)揮

29、多種安全業(yè)務(wù)的高層應(yīng)用，產(chǎn)品主要表現(xiàn)形式為基于電信級的高可靠、背板交換式的機架式設(shè)備，容量大性能高，各單元及系統(tǒng)更為靈活。 　　 防火墻三代體系架構(gòu)業(yè)務(wù)特性、性能對比分布圖? 安全芯片防火墻體系架構(gòu)框圖 基于FDT指標的體系變革 　　衡量防火墻的性能指標主要包括吞吐量、報文轉(zhuǎn)發(fā)率、最大并發(fā)連接數(shù)、每秒新建連接數(shù)等。 　　吞吐量和報文轉(zhuǎn)發(fā)率是關(guān)系防火墻應(yīng)用的主要指標，一般采用FDT（Full Duplex Throughput）來衡量，指64字節(jié)數(shù)據(jù)包的全雙工吞吐量，該指標既包括吞吐量指標也涵蓋了報文轉(zhuǎn)發(fā)率指標。 　　FDT與端口容量的區(qū)別：端口容

30、量指物理端口的容量總和。如果防火墻接了2個千兆端口，端口容量為2GB，但FDT可能只是200MB。 　　FDT與HDT的區(qū)別：HDT指半雙工吞吐量（Half Duplex Throughput）。一個千兆口可以同時以1GB的速度收和發(fā)。按FDT來說，就是1GB；按HDT來說，就是2GB。有些防火墻的廠商所說的吞吐量，往往是HDT。 　　一般來說，即使有多個網(wǎng)絡(luò)接口，防火墻的核心處理往往也只有一個處理器完成，要么是CPU，要么是安全處理芯片或NP、ASIC等。 　　對于防火墻應(yīng)用，應(yīng)該充分強調(diào)64字節(jié)數(shù)據(jù)的整機全雙工吞吐量，該指標主要由CPU或安全處理芯片、NP、ASIC

31、等核心處理單元的處理能力和防火墻體系架構(gòu)來決定。 　　對于不同的體系架構(gòu)，其FDT適應(yīng)的范圍是不一樣的，如對于第一代單CPU體系架構(gòu)其理論FDT為百兆級別，對于中高端的防火墻應(yīng)用，必須采用第二代或第三代ISS集成安全體系架構(gòu)。 　　基于ISS機構(gòu)的第三代安全體系架構(gòu)，充分繼承了大容量GSR路由器、交換機的架構(gòu)特點，可以在支持多安全業(yè)務(wù)的基礎(chǔ)上，充分發(fā)揮高吞吐量、高報文轉(zhuǎn)發(fā)率的能力。 　　防火墻體系架構(gòu)經(jīng)歷了從低性能的x86、PPC軟件防火墻向高性能硬件防火墻的過渡，并逐漸向不但能夠滿足高性能也需要支持更多業(yè)務(wù)能力的方向發(fā)展。 　　ISS集成安全體系 　　

32、作為防火墻第三代體系架構(gòu)，ISS根據(jù)企業(yè)未來對于高性能多業(yè)務(wù)安全的需求，集成安全體系架構(gòu)，吸收了不同硬件架構(gòu)的優(yōu)勢。 恒揚科技推出了自主研發(fā)的SempSec、SempCrypt安全芯片和P4-M CPU以及基于ISS集成安全系統(tǒng)架構(gòu)的自主產(chǎn)權(quán)操作系統(tǒng)SempOS。它可以提升防火墻產(chǎn)品的報文過濾檢測、攻擊檢測、加解密、NAT特性、VPN特性等各方面性能的同時，并可實現(xiàn)安全業(yè)務(wù)的全方面拓展。國微通訊也推出了基于ISS安全體系架構(gòu)的GCS3000系列防火墻。 　　ISS架構(gòu)靈活的模塊化結(jié)構(gòu)，綜合報文過濾、狀態(tài)檢測、數(shù)據(jù)加解密功能、VPN業(yè)務(wù)、NAT業(yè)務(wù)、流量監(jiān)管、攻擊防范、安全審計以及用戶

33、管理認證等安全功能于一體，實現(xiàn)業(yè)務(wù)功能的按需定制和快速服務(wù)、響應(yīng)升級。 　　ISS體系架構(gòu)的主要特點： 　　1. 采用結(jié)構(gòu)化芯片技術(shù)設(shè)計的專用安全處理芯片作為安全業(yè)務(wù)的處理核心，可以大幅提升吞吐量、轉(zhuǎn)發(fā)率、加解密等處理能力；結(jié)構(gòu)化芯片技術(shù)可編程定制線速處理模塊，以快速滿足客戶需求； 　　2. 采用高性能通用CPU作為設(shè)備的管理中心和上層業(yè)務(wù)拓展平臺，可以平滑移植并支持上層安全應(yīng)用業(yè)務(wù)，提升系統(tǒng)的應(yīng)用業(yè)務(wù)處理能力； 　　3. 采用大容量交換背板承載大量的業(yè)務(wù)總線和管理通道，其中千兆Serdes業(yè)務(wù)總線和PCI管理通道物理分離，不僅業(yè)務(wù)層次劃分清晰，便于管理，而且性

34、能互不受限； 　　4. 采用電信級機架式設(shè)計，無論是SPU安全處理單元、MPU主處理單元及其他各類板卡、電源、機框等模塊在可擴展、可拔插、防輻射、防干擾、冗余備份、可升級等方面做了全方位考慮，真正地實現(xiàn)了安全設(shè)備的電信級可靠性和可用性； 　　5.不僅達到了安全業(yè)務(wù)的高性能而且實現(xiàn)了“All in One”，站在客戶角度解決了多業(yè)務(wù)、多設(shè)備的整合，避免了單點設(shè)備故障和安全故障，大大降低了管理復(fù)雜度； 　　6. 通過背板及線路接口單元LIU擴展可提供高密度的業(yè)務(wù)接口。 3．1防火墻簡介 ü 防火墻的定義 防火墻指的是位于可信網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）和不可信網(wǎng)絡(luò)（如I

35、nternet）之間并對經(jīng)過其間的網(wǎng)絡(luò)流量進行檢查的一臺或多臺計算機。防火墻具有如下特性： u 所有的通信都經(jīng)過防火墻； u 防火墻只放行經(jīng)過授權(quán)的流量； u 防火墻能經(jīng)受得起對其本身的攻擊。 ü 防火墻的優(yōu)勢和弱點 u 防火墻的優(yōu)勢： l 實施一個公司的整體安全策略 l 創(chuàng)建一個阻塞點（網(wǎng)絡(luò)邊界） l 記錄Internet活動 l 限制網(wǎng)絡(luò)暴露 u 防火墻的弱點： l 防火墻不能防范經(jīng)過授權(quán)的東西。 l 防火墻只能按對其配置的規(guī)則進行有效的工作； l 防火墻對社交工程類型的攻擊或一個授權(quán)的用戶利用合法訪問進行的惡意攻擊不起作用； l 防火墻不能修復(fù)脆弱的管理措

36、施或設(shè)計有問題的安全策略； l 防火墻不能阻止那些不經(jīng)過它的攻擊。 3．2防火墻的分類： 軟件類： 防火墻運行于通用操作系統(tǒng)如Windows NT/2000、Linux/Unix上，它們通過修改系統(tǒng)的內(nèi)核和TCP/IP協(xié)議棧來檢測流量。 要想獲得較高的安全性，就必須對操作系統(tǒng)進行加固、修補和維護。 此類防火墻如：運行于Linux/Unix、Windows NT/2000平臺上的Check Point Firewall-1，Symantec企業(yè)防火墻，Microsoft ISA 2000等。 硬件類防火墻： 硬件防火墻集成了操作系統(tǒng)和防火墻的功能，形成了一個整體牢固、功能專一

37、的設(shè)備。這種防火墻也提供了功能完善的管理接口。 硬件防火墻在使用時不需要做很多主機加固的工作，不用再費心于重新配置和修補通用操作系統(tǒng)，而可以集中注意力構(gòu)思防火墻規(guī)則，減少了操作和維護的成本。 此類防火墻如：國外的Cisco PIX、Netscreen、SonicWall等，國內(nèi)的：清華同方，天融信，聯(lián)想等 芯片級類防火墻： ? ? 芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)）,因此防火墻本身的

38、漏洞比較少，不過價格相對比較高昂 根據(jù)防火墻所采用的技術(shù)不同，為以下幾種基本類型： 包過濾防火墻 數(shù)據(jù)包過濾（Packet Filtering）技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行分析、選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，稱為訪問控制表（Access Control Table）。通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。其實現(xiàn)機制如圖1所示 圖1 包過濾防火墻的實現(xiàn)機制 數(shù)據(jù)包過濾防火墻的優(yōu)點是速度快、邏輯簡單、成本低、易于安裝和使用，網(wǎng)絡(luò)性能和透明度好。它通常安裝在路由器上，內(nèi)部網(wǎng)絡(luò)與In

39、ternet連接，必須通過路由器，因此在原有網(wǎng)絡(luò)上增加這類防火墻，幾乎不需要任何額外的費用。 ——這類防火墻的缺點是不能對數(shù)據(jù)內(nèi)容進行控制：很難準確地設(shè)置包過濾器，缺乏用戶級的授權(quán)；數(shù)據(jù)包的源地址、目的地址以及IP端口號都在數(shù)據(jù)包的頭部，很有可能被冒充或竊取，而非法訪問一旦突破防火墻，即可對主機上的系統(tǒng)和配置進行攻擊。 說明：網(wǎng)絡(luò)層的安全防護，主要目的是保證網(wǎng)絡(luò)的可用性和合法使用，保護網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、主機操作系統(tǒng)以及各TCP/IP服務(wù)的正常運行，根據(jù)IP地址控制用戶的網(wǎng)絡(luò)訪問。網(wǎng)絡(luò)層在ISO的體系層次中處于較低的層次，因而其安全防護也是較低級的，并且不易使用和管理。網(wǎng)絡(luò)層的安全防

40、護是面向IP空間的。 應(yīng)用層網(wǎng)關(guān) ——應(yīng)用層網(wǎng)關(guān)（AppliCation Level Gateways）技術(shù)是在網(wǎng)絡(luò)的應(yīng)用層上實現(xiàn)協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、記錄和統(tǒng)計，形成報告。實際的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上，其實現(xiàn)機制如圖2所示。 圖2 應(yīng)用網(wǎng)關(guān)防火墻實現(xiàn)機制 應(yīng)用層網(wǎng)關(guān)防火墻和數(shù)據(jù)包過濾有一個共同的特點，就是它們僅僅依靠特定的邏輯來判斷是否允許數(shù)據(jù)包通過。一旦符合條件，防火墻內(nèi)外的計算機系統(tǒng)便可以建立直接聯(lián)系，外部的用戶便有可能直接了解到防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運行狀態(tài)，這大大增加了非

41、法訪問和攻擊的機會。 ——針對對上缺點，出現(xiàn)了應(yīng)用代理服務(wù)（Application-level Proxy Server）技術(shù)。 說明：應(yīng)用層的安全防護，主要目的保證信息訪問的合法性，確保合法用戶根據(jù)授權(quán)合法的訪問數(shù)據(jù)。應(yīng)用層在ISO的體系層次中處于較高的層次，因而其安全防護也是較高級的。應(yīng)用層的安全防護是面向用戶和應(yīng)用程序的。 應(yīng)用代理服務(wù)器 應(yīng)用代理服務(wù)技術(shù)能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的連接，由兩個代理服務(wù)器之間的連接來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器，從而起到隔離防火墻內(nèi)外計算機系統(tǒng)的作用。另外代理服務(wù)器也對過往的數(shù)據(jù)包進行

42、分析、記錄、形成報告，當(dāng)發(fā)現(xiàn)攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警告，并保留攻擊痕跡。其應(yīng)用層代理服務(wù)數(shù)據(jù)的控制及傳輸過程如圖3所示。 圖3 代理服務(wù)防火墻應(yīng)用層數(shù)據(jù)的控制及傳輸 應(yīng)用代理服務(wù)器對客戶端的請求行使“代理”職責(zé)。客戶端連接到防火墻并發(fā)出請求，然后防火墻連接到服務(wù)器，并代表這個客戶端重復(fù)這個請求。返回時數(shù)據(jù)發(fā)送到代理服務(wù)器，然后再傳送給用戶，從而確保內(nèi)部IP地址和口令不在Internet上出現(xiàn)。 優(yōu)點：比包過濾防火墻安全，管理更豐富，功能提升容易。易于記錄并控制所有的進／出通信，并對Internet的訪問做到內(nèi)容級的過濾 缺點：執(zhí)行速度慢，操作系統(tǒng)容易遭到攻擊。 說明：

43、代理服務(wù)器（Proxy sever）是指，處理代表內(nèi)部網(wǎng)絡(luò)用戶的外部服務(wù)器的程序。客戶代理與代理服務(wù)器對話，它核實用戶請求，然后才送到真正的服務(wù)器上，代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)中請服務(wù)時發(fā)揮了中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接收代理服務(wù)器提出的服務(wù)請求，拒絕外部網(wǎng)絡(luò)上其他節(jié)點的直接請求。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)的節(jié)點申請某種服務(wù)時，如FTP、WWW、Telnet等，先由代理服務(wù)器接收，然后根據(jù)其服務(wù)類型、服務(wù)內(nèi)容、被服務(wù)對象，以及申請者的域名范圍、IP地址等因素，決定是否接受此項服務(wù)。如果接受，則由代理服務(wù)器向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)請求，并把應(yīng)答回送給申請者；否則，拒絕其請求。根據(jù)其處理協(xié)議的不同，可分為FTP

44、網(wǎng)關(guān)型、WWW網(wǎng)關(guān)型、Telnet網(wǎng)關(guān)型等防火墻，其優(yōu)點在于既能進行安全控制，又可加速訪問，但實現(xiàn)起來比較困難，對于每一種服務(wù)協(xié)議必須設(shè)計一個代理軟件模式，以進行安全控制。 狀態(tài)檢測防火墻 狀態(tài)檢測又稱動態(tài)包過濾，是在傳統(tǒng)包過濾上的功能擴展，最早由CheckPoint提出。傳統(tǒng)的包過濾在遇到利用動態(tài)端口的協(xié)議時會發(fā)生困難，如ftp，你事先無法知道哪些端口需要打開，而如果采用原始的靜態(tài)包過濾，又希望用到的此服務(wù)的話，就需要實現(xiàn)將所有可能用到的端口打開，而這往往是個非常大的范圍，會給安全帶來不必要的隱患。而狀態(tài)檢測通過檢查應(yīng)用程序信息（如ftp的PORT和PASS命令），來判斷此端口是否允許需

45、要臨時打開，而當(dāng)傳輸結(jié)束時，端口又馬上恢復(fù)為關(guān)閉狀態(tài)。 狀態(tài)檢測防火墻在網(wǎng)絡(luò)層由一個檢查引擎截獲數(shù)據(jù)包并抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，并以此作為依據(jù)決定對該連接是接受還是拒絕。檢查引擎維護一個動態(tài)的狀態(tài)信息表并對后續(xù)的數(shù)據(jù)包進行檢查。一旦發(fā)現(xiàn)任何連接的參數(shù)有意外的變化，該連接就被中止。這種技術(shù)提供了高度安全的解決方案，同時也具有較好的性能、適應(yīng)性和可擴展性。狀態(tài)檢測防火墻一般也包括一些代理級的服務(wù)，它們提供附加的對特定應(yīng)用程序數(shù)據(jù)內(nèi)容的支持（如從HTTP連接中抽取出Java Applets或ActiveX控件等）。 狀態(tài)檢測技術(shù)最適合提供對UDP協(xié)議的有限支持。它將所有通過防火墻的UDP分

46、組均視為一個虛擬連接，當(dāng)反向應(yīng)答分組送達時就認為一個虛擬連接已經(jīng)建立。每個虛擬連接都具有一定的生存期，較長時間沒有數(shù)據(jù)傳送的連接將被中止。 狀態(tài)檢測防火墻克服了包過濾防火墻和應(yīng)用代理服務(wù)器的局限性，他們不僅僅檢測“to”或“from”的地址，而且也不要求每個被訪問的應(yīng)用都有代理。狀態(tài)檢測防火墻根據(jù)協(xié)議、端口及源、目的地址的具體情況決定數(shù)據(jù)包是否可以通過。對于每個安全策略允許的請求，狀態(tài)檢測防火墻啟動相應(yīng)的進程，可以快速地確認符合授權(quán)流通標準的數(shù)據(jù)包，這使得本身的運行非?？焖佟? 清華得實NetST?硬件防火墻綜合了包過濾和應(yīng)用代理服務(wù)器兩類防火墻的優(yōu)點，在提供根據(jù)數(shù)據(jù)包地址或端口進行過濾處理

47、的同時還可實現(xiàn)對常用協(xié)議的內(nèi)容過濾，即具備了包過濾類型防火墻的速度，又具備代理類型防火墻的安全。 ３.３防火墻管理的TCP/IP基礎(chǔ) ü TCP/IP安全簡介 如果你是一個網(wǎng)絡(luò)管理員或安全管理員，你需要對OSI參考模型非常熟悉。TCP/IP堆棧包括四層。為了更好的理解TCP/IP，請與OSI模型進行比較。 ü TCP/IP物理層及其安全： 物理層由傳輸在纜線上的電子信號組成。 物理層上的安全保護措施不多。如果一個潛在的黑客可以訪問物理介質(zhì)，如搭線竊聽和sniffer，他將可以復(fù)制所有傳送的信息。唯一有效的保護是使用加密，流量添充等。 ü TCP/IP網(wǎng)絡(luò)層及其安全：

48、 IP層使用較高效的服務(wù)來傳送數(shù)據(jù)報文。所有上層通信，如TCP，UDP，ICMP，IGMP都被封裝到一個IP 數(shù)據(jù)報中。絕大多數(shù)安全威脅并不來自于TCP/IP堆棧的這一層。 Internet協(xié)議(IP)： IP報頭中包含一些信息和控制字段，以及32位的源IP地址和32位的目的IP地址。這個字段包括一些信息，如IP的版本號，長度，服務(wù)類型和其它配置等。 黑客經(jīng)常利用一種叫做IP欺騙的技術(shù)，把源IP地址替換成一個錯誤的IP地址。接收主機不能判斷源IP地址是不正確的，并且上層協(xié)議必須執(zhí)行一些檢查來防止這種欺騙 u Lab 6-1：安裝網(wǎng)絡(luò)包捕獲軟件，捕獲包信息，分析IP報頭 Inter

49、net控制信息協(xié)議（ICMP）： Internet控制信息協(xié)議（ICMP）報文由接收端或者中間網(wǎng)絡(luò)設(shè)備發(fā)回給發(fā)送端，用來在TCP/IP包發(fā)送出錯時給出回應(yīng)。 u ICMP消息類型 ICMP消息包含三個字段：Type、Code和Checksum，Type和Code字段決定了ICMP消息的類型。 0 —— 響應(yīng)回復(fù)：Ping命令發(fā)回的包； 3 —— 目標不可達：由Router發(fā)回。 Code 0：網(wǎng)絡(luò)不可達； Code 1：主機不可達； Code 2：協(xié)議不可達； Code 3：端口不可達。 8 —— 響應(yīng)請求：由Ping命令發(fā)出； u 阻止ICMP消息 近來的攻擊方法

50、包括Tribal flood Network （TFN）系列的程序利用ICMP消耗帶寬來有效地摧毀站點。到今天，微軟的站點對于ping并不做出響應(yīng)，因為微軟已經(jīng)過濾了所有的ICMP請求。一些公司現(xiàn)在也在他們的防火墻上過濾了ICMP流量。 u Lab 6-2：通過網(wǎng)絡(luò)包捕獲軟件，捕獲ICMP包，分析ICMP報頭 ü TCP/IP傳輸層及其安全 傳輸層控制主機間傳輸?shù)臄?shù)據(jù)流。傳輸層存在兩個協(xié)議，傳輸控制協(xié)議（TCP）和用戶數(shù)據(jù)報協(xié)議（UDP）。 傳輸控制協(xié)議（TCP） TCP是一個面向連接的協(xié)議：對于兩臺計算機的通信，它們必須通過握手過程來進行信息交換。 u TCP包頭 TCP包

51、頭的標記區(qū)建立和中斷一個基本的TCP連接。有三個標記來完成這些過程： ? SYN：同步序列號； ? FIN：發(fā)送端沒有更多的數(shù)據(jù)要傳輸?shù)男盘枺? ? ACK：識別數(shù)據(jù)包中的確認信息。 u 建立一個TCP連接：SYN和ACK 經(jīng)過三次握手。 u 中止一個TCP連接：FIN和ACK 結(jié)束一個TCP連接的四個基本步驟。 u 攻擊TCP SYN溢出是TCP的最常見威脅，黑客能夠建立多個TCP半連接，當(dāng)服務(wù)器忙于創(chuàng)建一個端口時，黑客留給服務(wù)器一個連接，然后又去建立另一個連接并也留給服務(wù)器。這樣建立了幾千個連接，直到目標服務(wù)器打開了幾百個或上千個半連接。因此，服務(wù)器的性能受到嚴重

52、限制，或服務(wù)器實際已經(jīng)崩潰。防火墻必須配置為能夠偵測這種攻擊。 u Lab 6-3：通過網(wǎng)絡(luò)包捕獲軟件，捕獲TCP包，分析TCP報頭 用戶數(shù)據(jù)報協(xié)議（UDP） UDP是一個非面向連接的協(xié)議。它經(jīng)常用做廣播類型的協(xié)議，如音頻和視頻數(shù)據(jù)流。 UDP很少有安全上的隱患。因為主機發(fā)出一個UDP信息并不期望收到一個回復(fù)，在這種數(shù)據(jù)報文里面嵌入一個惡意的活動是很困難的。 u Lab 6-4：通過網(wǎng)絡(luò)包捕獲軟件，捕獲UDP包，分析UDP報頭 ü TCP/IP應(yīng)用層及其安全 應(yīng)用層是最難保護的一層。因為TCP/IP應(yīng)用程序幾乎是可無限制地執(zhí)行的，你實際上是沒有辦法保護所有的應(yīng)用層上的程序

53、的，所以只允許一些特殊的應(yīng)用程序能通過網(wǎng)絡(luò)進行通信是一個不錯的方法。 文件傳輸協(xié)議（FTP） FTP 用兩個端口通信：利用TCP21端口來控制連接的建立，控制連接端口在整個FTP會話中保持開放。 FTP服務(wù)器可能不需要對客戶端進行認證：當(dāng)需要認證時，所有的用戶名和密碼都是以明文傳輸?shù)摹? 同樣使用的技術(shù)包括FTP服務(wù)器上的日志文件，黑客添滿硬盤，使日志文件沒有空間再記錄其它事件，這樣黑客企圖進入操作系統(tǒng)或其它服務(wù)而不被日志文件所檢查到。 因此，推薦將FTP根目錄與操作系統(tǒng)和日志文件分別放在不同的分區(qū)上。 超文本傳輸協(xié)議（HTTP） HTTP有兩種明顯的安全問題：客戶端瀏覽應(yīng)用

54、程序和HTTP服務(wù)器外部應(yīng)用程序。 對用Web用戶的一個安全問題是下載有破壞性的ActiveX控件或JAVA applets。這些程序在用戶的計算機上執(zhí)行并含有某種類別的代碼，包括病毒或特洛伊木馬。 為了擴大和擴展Web服務(wù)器的功能，一些擴展的應(yīng)用程序可以加入到HTTP服務(wù)器中。這些擴展的應(yīng)用程序包括JAVA，CGI，AST等等。這些程序都有一些安全漏洞，一旦Web服務(wù)器開始執(zhí)行代碼，那么它有可能遭到破壞。對于這種破壞的保護方法是留意最新的安全補丁，下載并安裝這些補丁。 Telnet Telnet 是以明文的方式發(fā)送所有的用戶名和密碼的。有經(jīng)驗的黑客可以劫持一個Telnet會話

55、。 因此，它不應(yīng)該應(yīng)用到互聯(lián)網(wǎng)上。你還應(yīng)該在防火墻上過濾掉所有的Telnet流量。 簡單網(wǎng)絡(luò)管理協(xié)議（SNMP） SNMP允許管理員檢查狀態(tài)并且有時修改SNMP節(jié)點的配置。它使用兩個組件，即SNMP管理者和SNMP節(jié)點。SNMP通過UDP的161和162端口傳遞所有的信息。 SNMP所提供的唯一認證就是community name。如果一個黑客危及到community name，他將能夠查詢和修改網(wǎng)絡(luò)上所有使用SNMP的節(jié)點。 另一個安全問題是所有的信息都是以明文傳輸?shù)?。SNMP是在你公司私有的網(wǎng)絡(luò)中可用的網(wǎng)絡(luò)管理解決方案，但是所有的SNMP流量要在防火墻上過濾掉。 域名系

56、統(tǒng)（DNS） DNS使用UDP 53端口解析DNS請求，但是在執(zhí)行區(qū)域傳輸時使用TCP53端口。區(qū)域傳輸是以下面兩種情況完成的： ? 一個客戶端利用nslookup命令向DNS服務(wù)器請求進行區(qū)域傳輸； ? 當(dāng)一個從屬域名服務(wù)器向主服務(wù)器請求得到一個區(qū)域文件； 針對DNS常見的兩種攻擊是： u DNS中毒：黑客注入錯誤的數(shù)據(jù)到區(qū)域傳輸中，其結(jié)果使得其產(chǎn)生錯誤的映射。 u 獲得非法的區(qū)域傳輸：黑客可以攻擊一個DNS服務(wù)器并得到它的區(qū)域文件。這種攻擊的結(jié)果是黑客可以知道這個區(qū)域中所有系統(tǒng)的IP地址和計算機名字。 u Lab 6-5：通過Whois、Nslookup查詢ciwcertif

57、iedx域名DNS中的記錄 ü 使用地址轉(zhuǎn)換隱藏私有地址 u 網(wǎng)絡(luò)地址轉(zhuǎn)換 u 端口地址轉(zhuǎn)換 ü 使用過濾路由器的訪問控制列表保護網(wǎng)絡(luò) 3．4防火墻的體系結(jié)構(gòu) 圖 NetST?防火墻的系統(tǒng)結(jié)構(gòu)圖 圖3-1為NetST?防火墻的系統(tǒng)結(jié)構(gòu)圖，其中防火墻引擎模塊根據(jù)所制定的安全策略對進出NetST?防火墻的所有數(shù)據(jù)包進行從數(shù)據(jù)鏈路層到傳輸控制層的過濾；內(nèi)容過濾服務(wù)器則完成對應(yīng)用層數(shù)據(jù)的過濾，NetST?防火墻本身是包過濾類型的防火墻，不具備應(yīng)用代理功能，但通過內(nèi)容過濾服務(wù)器的處理，使得原來只能通過代理方式進行的內(nèi)容過濾功能也能在包過濾防火墻上實現(xiàn)；用戶登錄服務(wù)器處理內(nèi)

58、部網(wǎng)絡(luò)合法用戶的登錄請求以訪問外部網(wǎng)絡(luò)，不合法用戶將不能訪問外部網(wǎng)絡(luò)；防火墻系統(tǒng)管理員利用NetST?防火墻的管理接口來進行防火墻的配置操作；NetST?管理服務(wù)器則是系統(tǒng)管理的核心，負責(zé)協(xié)調(diào)所有的管理配置操作。 3．5NetST?防火墻過濾流程 圖3-2為NetST?防火墻的過濾流程：對于所有進入NetST?防火墻的數(shù)據(jù)包，先進行系統(tǒng)安全檢查，不符合的數(shù)據(jù)包將被丟棄；通過檢查的數(shù)據(jù)包再根據(jù)用戶自定義的過濾規(guī)則進行處理，符合這些規(guī)則的數(shù)據(jù)包將根據(jù)規(guī)則的動作確定是接受、拒絕還是進行內(nèi)容過濾；對于不符合所有規(guī)則的數(shù)據(jù)包，將根據(jù)系統(tǒng)的缺省動作進行處理，以確定是接受還是拒絕，通常防火墻的缺省動

59、作應(yīng)該是拒絕。 NetST?防火墻過濾流程 ü 包過濾防火墻 包過濾防火墻檢查每一個通過的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。 包過濾規(guī)則路的樣本： 規(guī)則 協(xié)議類型 源地址 目的地址 端口 網(wǎng)卡位置 措施 1 TCP 128.5.6.0/24 129.1.5.一五5 22 內(nèi)網(wǎng) 允許 2 TCP 任意 129.1.5.一五4 80 外網(wǎng) 允許 3 TCP 任意 129.1.5.一五0 25 外網(wǎng) 允許 4 UDP 任意 129.1.5.一五2 53 外網(wǎng) 允許 5 UDP 任意 1

60、29.1.5.一五3 53 外網(wǎng) 允許 6 任意 任意 任意 任意 任意 禁止 包過濾的優(yōu)點是： 不用改動客戶機和主機上的應(yīng)用程序，因為它工作在網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。 包過濾最大的缺點就是： u 不能分辨哪些是“好”包哪些是“壞”包，對包哄騙沒有防范能力； u 不支持更多的其他驗證，如用戶認證； u 創(chuàng)建這些規(guī)則非常消耗時間。 u Lab 6-6：通過清華得實NetST系列防火墻配置包過濾規(guī)則 ü 應(yīng)用級網(wǎng)關(guān) 應(yīng)用程序代理防火墻實際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反，它是接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)

61、服務(wù)器單獨的連接。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分。 應(yīng)用級網(wǎng)關(guān)可以作為一些應(yīng)用程序如電子郵件、FTP、Telnet、WWW等的中介。 使用應(yīng)用級網(wǎng)關(guān)的優(yōu)點有： l 指定對連接的控制。 l 通過限制某些協(xié)議的傳出請求，來減少網(wǎng)絡(luò)中不必要的服務(wù)。 l 大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時間。 使用應(yīng)用級網(wǎng)關(guān)的缺點有： l 必須在一定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所用的應(yīng)用程序。 l 一些應(yīng)用程序可能根本不支持代理連接。 u Lab 6-7：通過清華得實NetST系列防火墻配置應(yīng)用服務(wù)發(fā)布規(guī)則 ü

62、 電路級網(wǎng)關(guān) 電路級網(wǎng)關(guān)型防火墻的運行方式與應(yīng)用級網(wǎng)關(guān)型防火墻很相似，但是它有一個典型的特征，它更多的是面向非交互式的應(yīng)用程序。在用戶通過了最初的身份驗證之后，電路級網(wǎng)關(guān)型防火墻就允許用戶穿過網(wǎng)關(guān)來訪問服務(wù)器了，在此過程中，電路級網(wǎng)關(guān)型防火墻只是簡單的中轉(zhuǎn)用戶和服務(wù)器之間的連接而已。 電路級網(wǎng)關(guān)型防火墻的典型應(yīng)用例子就是代理服務(wù)器和SOCKS服務(wù)器。 電路級網(wǎng)關(guān)通常提供一個重要的安全功能：網(wǎng)絡(luò)地址轉(zhuǎn)移（NAT），將所有公司內(nèi)部的IP地址映射到一個“安全”的IP地址。 電路級網(wǎng)關(guān)的優(yōu)缺點： 電路級網(wǎng)關(guān)的主要優(yōu)點就是提供NAT，在使用內(nèi)部網(wǎng)絡(luò)地址機制時為網(wǎng)絡(luò)管理員實現(xiàn)安全提供了很大的

63、靈活性。電路級網(wǎng)關(guān)一個主要的缺點是需要修改應(yīng)用程序和執(zhí)行程序，并不是所有的應(yīng)用程序都被編寫成可與電路級代理一起工作的。 3．6防火墻的配置方案 目前比較流行的有以下三種防火墻配置方案。 ü 雙宿主機網(wǎng)關(guān)（Dual Homed Gateway） 圖1 雙宿主機網(wǎng)關(guān) ü 屏蔽主機網(wǎng)關(guān)（Screened Host Gateway） 圖2 屏蔽主機網(wǎng)關(guān)（單宿堡壘主機） 圖3 屏蔽主機網(wǎng)關(guān)（雙宿堡壘主機） ü 屏蔽子網(wǎng)（Screened Subnet） 圖4 屏蔽子網(wǎng)防火墻 u Lab 6-8：通過清華得實NetST系列防火墻配置以上模式防火墻 四、V

64、PN技術(shù) 27. 定義虛擬專用網(wǎng)絡(luò) 虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。 虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。 ü 虛擬專用網(wǎng)至少應(yīng)能提供如下功能： l 加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露。 l 信息認證和身份認證，保證信息的完整性、合法性，并能鑒別用戶的身份。 l 提供訪問控制，不同的用戶有不同的訪問權(quán)限。 ü VPN的分類 根據(jù)VPN

65、所起的作用，可以將VPN分為三類：VPDN、Intranet VPN和Extranet VPN。 VPDN（Virtual Private Dial Network） 在遠程用戶或移動雇員和公司內(nèi)部網(wǎng)之間的VPN，稱為VPDN。 Intranet VPN 在公司遠程分支機構(gòu)的LAN和公司總部LAN之間的VPN。通過Internet這一公共網(wǎng)絡(luò)將公司在各地分支機構(gòu)的LAN連到公司總部的LAN，以便公司內(nèi)部的資源共享、文件傳遞等，可節(jié)省DDN等專線所帶來的高額費用。 Extranet VPN 在供應(yīng)商、商業(yè)合作伙伴的LAN和公司的LAN之間的VPN。 28. VPN的隧道

66、協(xié)議 VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵于隧道的建立，然后數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進行封裝、傳送以保安全性。 ü PPTP（Point-to-Point Tunneling Protocol）/ L2TP（Layer 2 Tunneling Protocol） PPP支持多種網(wǎng)絡(luò)協(xié)議，可把IP、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中，再將整個報文封裝在PPTP隧道協(xié)議包中，最后，再嵌入IP報文或幀中繼或ATM中進行傳輸。 PPTP的加密方法采用Microsoft點對點加密（MPPE:Microsoft Point-to-Point Encryption）算法，可以選用較弱的40位密鑰或強度較大的128位密鑰。 1997年底，Micorosoft和Cisco公司把PPTP協(xié)議和L2F協(xié)議的優(yōu)點結(jié)合在一起，形成了L2TP協(xié)議。L2TP支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝PPP幀，可以實現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容。還繼承了PPTP的流量控制，支持MP（Multilink Protocol），把多個物理通道捆綁為單一邏輯信道。 優(yōu)點： PPTP