1、网络操作系统漏洞分析及安全策略的研究设计书 目 录绪论 3 第一章 网络安全问题及其现实意义 5一、 引言 5二、 网络安全历史回顾 5三、 网络安全技术现状 7四、 网络安全策略 9( 一) 站点安全策略 9 ( 二) 安全策略方案 10第二章 构筑Internet防火墙 11一、 防火墙的概念及其重要作用 11( 一) 防火墙的概念 11 ( 二) 防火墙能实现那些功能 12二、 防火墙的模型 14三、 防火墙的基本安全策略 15四、 防火墙关键技术及发展 17( 一) 数据包过滤技术 17( 二) 代理技术 21( 三) 防火墙技术发展趋势 26第三章 WindowsNT Server系
2、统概述及技术漏洞分析 28一、 WindowsNT Server系统综述 28二、 WindowsNT Server系统安全性 30( 一) WindowsNT中的识别和验证 30( 二) WindowsNT中的访问控制 31三、 WindowsNT 系统技术漏洞及解决办法 31第四章 优秀防火墙系统实例 41一、 东大阿尔派网眼防火墙系统产品概述 41二、 网眼防火墙系统基本功能和系统特性 41( 一) 网眼防火墙系统的基本功能 41( 二) 网眼防火墙的系统特征 43第五章 关于校园网安全策略的研究 44一、 我校校园网概况 44( 一) 校园网建设背景 44( 二) 网络方案技术特点 4
3、4( 三) 校园网建设现状 46二、 校园网安全状况分析 46三、 校园网络安全解决方案 47结束语 53致谢 55参考文献 56附录A附录B 绪 论 随着Internet在世界范围内的普及和发展, 政府机构、 企事业单位、 教育科研等各行各业的人们正努力经过Internet来提高工作效率和市场反应速度, 以便更具竞争力。作为全球使用范围最广的信息网, Internet自身协议的开放性极大的方便了各种计算机入网, 拓宽了资源共享。与此同时, 人们也正逐渐认识到与因特网相伴而来的巨大风险来自世界各地的形形色色的侵袭者随时有可能对你的站点发动攻击, 破坏你的站点安全, 窃取你的重要资源, 修改、
4、破坏系统的数据计算机的安全性历来都是人们讨论的主要话题之一, 而计算机安全主要研究的是计算机病毒的防治和系统的安全。在计算机网络日益发展普及的今天, 计算机安全的要求更高, 涉及面更广。不但要求防治病毒, 还要提高系统抵抗外来非法黑客入侵的能力, 更要提高对远程数据传输的保密性, 避免在传输途中遭受非法窃取。构筑 Internet防火墙保护内部系统与网络即是一种行之有效的网络安全手段。它常常被安装在受保护的内部网络进而连接到因特网上, 防止因特网的危险传播到你的内部网络。形象的说, 因特网防火墙很象中世纪城堡的护城河, 它服务于多个目的: 限定人们从一个特定的控制点进入; 防止侵袭者接近你的其
5、它防御设备; 限定人们从一个特别控制点离开。逻辑上, 防火墙是分离器、 限制器、 分析器, 有效地监控了内部网和 Internet之间的任何活动, 保证了内部网络的安全。一般, 防火墙是一组硬件设备路由器、 主计算机, 或者是路由器、 计算机和配有适当软件的网络的多种组合。WindowsNT作为在世界范围内被广泛应用的网络操作系统, 它的安全性自然显得尤为重要。发现WindowsNT的技术漏洞并采取相应的手段减小风险也成为人们关注的热门话题, 当前已有的防火墙产品为我们进一步考虑网络安全解决方案提供了方便, 我们终要力争建立一个尽可能完善的Internet安全体制并提供相应的安全服务。相信这一
6、天的到来不会太久远了。 第一章网络安全问题及其现实意义一、 引言现代社会是一个高度信息化的社会, 世纪之交, 知识经济时代正向我们走来, 信息化程度的高低已经成为一个国家现代化水平和综合国力的重要标志。从世界范围来看, 推进政府部门办公网络化、 自动化、 电子化, 全面信息共享已是大势所趋。网络技术的飞速发展为加快世界经济信息化的进程带来了前所未有的机遇和挑战。由于网络是一个开放的环境, 信息在网络上传输的过程中完全丧失了私有性。今天, Internet 环境中, 不断传出侵犯安全的事件报道。为了保护网络上的重要数据免于丢失和遭受病毒、 黑客、 窃贼侵扰, 以及其它无孔不入的数据安全威胁, 网
7、络安全解决方案成为人们关注的焦点。二、 网络安全历史回顾 TCP/IP协议群在网际互联中的使用的迅速崛起, 导致了一般被称为Internet的由主机和网络组成的全球网际互联系统。过去的十年, 是Internet胜利大进军的十年。按它现在的发展速率预测, 到本世纪末, 将有超过一百万个计算机网络和超过十亿的用户加入Internet。正因为如此, Internet 被看成是美国政府提出的国家信息基础设施(NII)的第一个具体体现。 然而, 最初面向研究的Internet和它的通信协议群是为比现在良好得多的环境而设计的。应该说, 那是一个君子的环境, 用户和主机之间互相信任, 志在进行自由开放的信息
8、交换。在这样的环境里, 使用Internet的人实际上就是创立 Internet的人。随着时间的推移, Internet 变得更加有用和可靠, 别的人也就参杂了进来。人越来越多, 共同目标却越来越少, Internet的初衷渐渐地被扭曲了。 今天, Internet的环境中, 君子风度和信任感已经所剩无几了。社会上能找到的所有的凶险, 鄙和投机, Internet上应有尽有。在这样的新环境里, 开放性成了Internet的一把双刃剑。从Internet诞生之日起, 特别是自90年代它向公众开放以来, 它已经成为众矢之的。1988年11月, 小Robert T. Morris放出的蠕虫染指了数千
9、台主机。从那时起, 不断传出侵犯安全的事件报道。1996年初, 美国国防部宣布其计算机系统在一年中遭到25万次进攻, 更令人不安的是, 大多数进攻未被察觉。这些进攻给国家安全带来的影响程度还未确定, 但多数已发现的进攻是针对计算机系统所存放的敏感和分类信息, 其中2/3的进攻被认为是成功的入侵者( 黑客) 盗窃、 修改或破坏了系统上的数据。企图闯入系统者有之, 成功闯入系统者有之, 抓住Internet上主机的其它种种弱点和漏洞加以利用者也有之。最近, 成千成万的口令在Internet上被盗取, 序列数猜测的攻击手段已经被用来冒充IP特别要指出的是: 很早就有人知道这些易受攻击的弱点了。实际上
10、, 在网际互联的早期, 安全专家就警告过明文传送口令的危害。Morris在1985年于AT&T贝尔实验室工作期间就详细描述了用来破解BSD UNIX 4.2序列数猜测的攻击手段。 如今Internet 上的每一个人实际上都是脆弱的。Internet的安全问题成了关注的焦点。计算机和通信界一片恐慌。对安全问题的考虑, 给认为Internet 已经完全胜任商务活动的过高期望泼了一盆冷水, 可能也延缓或阻碍了Internet作为国家信息基础设施或全球信息基础设施成为大众媒体。一些调查研究表明,许多个人和公司之因此对加入Internet持观望态度, 其主要原因就是出于安全的考虑。与此同时, 也有分析家
11、警告商家不加Internet会有什么危害。尽管众说纷纭,有一点是差不多大家都同意的, 那就是Internet需要更多更好的安全机制。早在1994年,IAB (Internet体系结构理事会 ) 的一次研讨会上,扩充与安全就被当作关系Internet全局的两个最重要的问题领域了。然而安全性, 特别是Internet的安全性, 是一个很含糊的术语, 不同的人可能会有不同的理解。本质上Internet的安全性只能经过提供下面两方面的安全 。1. 经过服务来达到: 访问控制服务用来保护计算和联网资源不被非授权使用; 2.通信安全服务: 用来提供认证, 数据机要性与完整性和各通信端的不可否认性服务。例如
12、,基于Internet或WWW的电子商务就必须依赖于通信安全服务的广泛采用。当前来看, 采用防火墙技术是防止网络入侵的最好办法。三、 网络安全技术现状1993年10月24日美国著名的计算机安全专家、 AT&T贝尔实验室的计算机科学家Rober Morris在美国众议院科学技术会议运输、 航空、 材料工业委员会上作了关于计算机安全重要性的报告, 从此计算机安全成了国际上研究的热点。现在随着网络技术的发展, 网络安全成了新的安全研究热点。网络安全就是如何保证网络上存储和传输的信息的安全性。可是由于网络设计之初, 只考虑方便性、 开放性, 使得网络非常脆弱, 极易受到黑客的攻击或有组织的群体的入侵,
13、 也会由于系统内部人员的不规范使用和蓄意破坏, 使得网络信息系统遭到破坏信息泄漏。为了解决这个问题, 国内外很多研究机构在这方面做了很多工作。主要从事数据加密技术、 身份认证、 数字签名、 防火墙、 安全审计、 安全管理、 安全内核、 安全协议、 IC卡( 存储卡、 加密存储卡、 CPU卡) 、 拒绝服务、 网络安全性分析、 网络信息安全监测、 信息安全标准化等方面的研究。 密码技术是网络安全的核心。现代密码技术发展至今20余年, 出现了很多高强度的密码算法和密钥管理技术。数据安全技术也已经由传统的只注重保密性转移到了保密性、 真实性、 完整性和可靠性的完美结合, 而且相继发展了身份认证、 消
14、息确认和数字签名技术。从某种意义上讲, 数据加密系统的强度主要取决于所用的安全协议设计的安全性。Internet主要建立在TCP/IP协议之上, 而TCP/IP协议的安全性不够, 不能满足当前日益增长的网络安全要求, 因此有必要对其改进。当企业内部网络连接到Internet上时, 防止非法入侵, 确保企业内部网络的安全是至关重要的。最有效的防范措施是在企业内部网络和外部网络之间设置一个防火墙, 实施网络之间的安全访问控制, 确保企业内部网络的安全。防火墙是一种综合性技术, 涉及到计算机网络技术、 密码技术、 安全技术、 软件技术、 安全协议、 网络标准化组织( ISO) 的安全规范以及安全操作
15、系统等多方面。作为一种有效的解决网络之间访问控制的有效方法, 国际上在这方面的研究很多。特别是国外, 近几年发展迅速, 产品众多, 而且更新换代快, 并不断有新的信息安全技术和软件技术等应用在防火墙的开发上。国外技术虽然相对领先( 比如包过滤、 代理服务器、 V P N、 状态监测、 加密技术、 身份认证等) , 但总的来讲, 此方面的技术并不十分成熟完善, 标准也不健全, 实用效果并不十分理想。和国际相比, 国内的网络安全技术方面的研究和产品开发方面相对比较薄弱, 起步也晚。由于国外加密技术的限制和保护, 国内无法得到急需的安全而实用的网络安全系统和加密软件。同时由于政治、 军事、 经济的原
16、因, 我们也应研制开发并采用自己的网络安全系统和数据加密软件, 以满足用户和市场的巨大需求。网络安全是国家安全的一个重要方面, 它的技术和产品必须立足于中国自主开发, 这也是信息安全技术有别于其它技术的最重要特征。四、 网络安全策略在你准备将你的网络连接到 Internet上之前, 准确的理解需要保护什么样的网络资源和服务是非常重要的。网络策略Network Policy是描述一个组织的网络安全关系的文档。(一) 站点安全策略一个组织能够有多个站点, 每个站点有它自己的网络。如果组织比较大, 它的站点就可能拥有不同目标的网络管理员。如果这些站点不是经过内部网络来连接的, 那么每个站点可能有它们
17、自己的网络安全策略。可是, 如果站点是经过内部网络连接的, 则网络策略应该涵盖所有内连站点的目标。一般来说, 站点是一个拥有计算机和与网络相关的资源的组织的任何部分。这些资源包括: 工作站 ; 主计算机和服务器; 内连设备( 网关、 路由器、 网桥、 转发器) ; 终端服务器; 网络和应用程序软件; 网络电缆; 文件和数据库中的信息等。站点安全策略应该考虑保护这些资源。因为站点是连接到其它网络的, 因此站点安全策略应该考虑安全需要和所有内连网络的要求。(二) 安全策略方案定义一个安全策略, 也就是开发保护你的网络资源免受损失和破坏的过程和计划。开发该策略的一种可能的方法是检查如下问题: 1.
18、你试图保护哪些资源; 2. 你需要保护这些资源防备那些人; 3. 可能存在什么样的威胁; 4. 资源如何重要; 5. 你能够采取什么措施以合算和节时的方式保护你的财产; 6. 定期检查网络安全策略, 察看你的目标和网络环境是否已经改变。第二章构筑Internet防火墙一、 防火墙的概念及其重要意义 (一) 防火墙的概念因特网以变革的方式, 提供了检索信息和发布信息的能力, 这是个不可思议的技术进步; 但它也以变革的方式带来了信息污染和信息破坏的主要危险, 现在人们已经采取不同的安全措施来保护其数据和资源的安全。防火墙即是其中最行之有效的一种安全模式。古时候,人们常在寓所之间砌起一道砖墙, 一旦
19、火灾发生, 它能够防止火势蔓延到别的寓所。自然,这种墙因此而得名”防火墙”。现在, 如果一个网络接到了Internet上面, 它的用户就能够访问外部世界并与之通信。但同时, 外部世界也同样能够访问该网络并与之交互。为安全起见, 能够在该网络和Internet之间插入一个中介系统, 竖起一道安全屏障。这道屏障的作用是阻断来自外部经过网络对本网络的威胁和入侵, 提供扼守本网络的安全和审计的唯一关卡。这种中介系统也叫做”防火墙”,或”防火墙系统”。 简言之, 一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(Internet)之间提供一个封锁工具。它经过监测、 限
20、制、 更改跨越防火墙的数据流, 尽可能地对外部屏蔽网络内部的信息、 结构和运行情况, 以此来实现网络的安全保护。在逻辑上, 防火墙是一个分离器, 一个限制器, 也是一个分析器, 它有效地监控了内部网和Internet之间的活动, 保证了内部网络的安全。在使用防火墙的决定背后, 潜藏着这样的推理: 假如没有防火墙, 一个网络就暴露在不那么安全的 Internet 诸协议和设施面前, 面临来自Internet其它主机的探测和攻击的危险。在一个没有防火墙的环境里, 网络的安全性只能体现为每一个主机的功能,在某种意义上,所有主机必须通力合作,才能达到较高程度的安全性。网络越大, 这种较高程度的安全性越
21、难管理。随着安全性问题上的失误和缺陷越来越普遍, 对网络的入侵不但来自高超的攻击手段, 也有可能来自配置上的低级错误或不合适的口令选择。因此, 防火墙的作用是防止不希望的、 未授权的通信进出被保护的网络, 迫使单位强化自己的网络安全政策。( 二) 防火墙能实现那些功能1 保护脆弱的服务经过过滤不安全的服务, Firewall能够极大地提高网络安全和减少子网中主机的风险。例如, Firewall能够禁止NIS、 NFS服务经过, Firewall同时能够拒绝源路由和ICMP重定向封包。2 控制对系统的访问Firewall能够提供对系统的访问控制。如允许从外部访问某些主机, 同时禁止访问另外的主机
22、。例如Firewall允许外部访问特定的Mail Server和Web Server。3 集中的安全管理 Firewall对企业内部网实现集中的安全管理, 在防火墙定义的安全规则能够运行于整个内部网络系统, 而无须在内部网每台机器上分别设立安全策略。Firewall能够定义不同的认证方法, 而不需要在每台机器上分别安装特定的认证软件外部用户也只需要经过一次认证即可访问内部网。4 增强的保密性 使用Firewall能够阻止攻击者获取攻击网络系统的有用信息,如Figer和DNS。5 记录和统计网络利用数据以及非法使用数据 Firewall能够记录和统计经过Firewall的网络通讯, 提供关于网络
23、使用的统计数据, 而且, Firewall能够提供统计数据, 来判断可能的攻击和探测。6 策略执行 Firewall提供了制定和执行网络安全策略的手段。未设置防火墙时, 网络安全取决于每台主机的用户。 总的来说, 一个好的防火墙系统应具有以下五方面的特征: ( 1) 所有在内部网络和外部网络之间传输的数据都必须能够经过防火墙; ( 2) 只有被授权的合法数据, 即防火墙系统中安全策略允许的数据, 能够经过防火墙; ( 3) 防火墙本身不受各种攻击的影响; ( 4) 使用当前新的信息安全技术, 比如现代密码技术、 一次口令系统、 智能卡等; ( 5) 人机界面良好, 用户配置使用方便, 易管理。
24、系统管理员能够方便地对防火墙进行设置, 对Internet的访问者、 被访问者、 访问协议以及方式进行控制。二、 防火墙的模型国际标准化组织ISO的计算机专业委员会根据网络开发系统互联七层模型( OSI/RM) 制定了一个网络安全体系结构, 该模型主要用来解决网络系统中的信息安全问题, 如下图所示: 层 次安全服务物理层数据链路 层网络层传送层回话层表示层应用层对等实体鉴别访问控制连接保密选择字段保密报文流安全数据完整性数据源鉴别禁止否认服务防火墙目的在于实现安全访问控制,因此按照OSI/RM模型及上图的安全要求,防火墙能够在 OSI/RM七层中的五层设置。一般的防火墙模型如下图所示: OSI
25、/RM 防火墙 应用层 网关级 表示层 回话层 传输层 电路级 网络层 路由器级 数据链路层 网桥级 物理层 中继器级 外部网络内部网络 安全系统 防火墙系统 非保护区一个防火墙从功能上来分, 一般由以下几部分组成, 如图所示: 传机接口访问控制策略 审 计 安全管理 数据加密 网络互联设备三、 防火墙基本安全策略一个防火墙系统一般由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器, 它经过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息, 例如协议号、 收发报文的IP地址和端口号, 连接标志以至另外一些IP选项, 对IP包进行过滤。 代理
26、服务器是防火墙系统中的一个服务器进程, 它能够代替网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关, 一个为特定网络应用而连接两个网络的网关。用户就一项TCP/IP应用, 比如Telnet或者ftp,同代理服务器打交道, 代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后, 代理服务器连通远程主机, 为两个通信点充当中继。整个过程能够对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的情况是: 它只由用户标识和口令构成。可是, 如果防火墙是经过Internet可访问的, 我们推荐使用更强的认证机制,比如一次性口
27、令或挑战回应式系统。屏蔽路由器的优点是简单和低(硬件)成本。其缺点关系到正确建立包过滤规则比较困难、 屏蔽路由器的管理成本、 还有用户级身份认证的缺乏。路由器生产商们正在着手解决这些问题。特别值得注意的是, 它们正在开发编辑包过滤规则的图形用户界面。她们也在制订标准的用户级身份认证协议, 来提供远程身份认证拨入用户服务。代理服务器的优点是用户级的身份认证、 日志记录和帐号管理。其缺点关系到这样一个事实: 要想提供全面的安全保证, 就要对每一项服务都建立对应的应用层网关。这个事实严重地限制了新应用的采纳。最近, 一个名叫SOCKS的包罗万象的代理服务器问世了。SOCKS主要由一个运行在防火墙系统
28、上的代理服务器软件包和一个链接到各种网络应用程序的库函数包组成。这样的结构有利于新应用的挂接。 屏蔽路由器和代理服务器一般组合在一起构成混合系统, 其中屏蔽路由器主要用来防止IP 欺骗攻击。当前最广泛采用的配置是Dual-homed防火墙, 被屏蔽主机型防火墙, 以及被屏蔽子网型防火墙。 设计一个防火墙安全策略是研制和开发一个有效的防火墙的第一步。当前安全策略主要有两种: ( 1) 没有被允许就是禁止; ( 2) 没有被禁止就是允许。当前一般采用策略( 1) 来设计防火墙。整体安全策略应包含以下主要内容: 用户账号策略; 用户权限策略; 信任关系策略; 包过滤策略; 认证策略; 签名策略; 数
29、据加密策略; 密钥分配策略; 审计策略。四、 防火墙关键技术及发展 当前, 用于防火墙的几种关键技术有: 包过滤技术、 代理技术、 SOCKS 技术、 状态检查技术( Stateful Specification) 、 地址翻译(NAT)技术、 VPN技术、 内容检查技术和其它防火墙技术。本章主要讨论应用最为广泛的包过滤技术和代理技术。( 一) 数据包过滤技术数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择, 选择的依据是系统内设置的过滤逻辑, 被称为访问控制表Access Control Table。经过检查数据流中每个数据包的源地址、 目的地址、 所用的端口号、
30、 协议状态等因素, 或它们的组合来确定是否允许该数据包经过。数据包过滤防火墙逻辑简单, 价格便宜, 易于安装和使用, 网络性能和透明性好, 它一般安装在路由器上。路由器是内部网络与Internet连接必不可少的设备, 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 1 数据包为什么要过滤为了经过网络传送信息, 信息必须被打破分成小片, 每件被分别传送。将信息分成小片可使许多系统共享网络, 每个系统能够按顺序发送小片。在IP网络中, 那些小片数据叫做数据包。因此经过IP网络传送的数据都是以数据包的形式传送的。连接IP网络的基本设备是路由器, 传过因特网的数据包从路由器到路由器游历,
31、直到她们的目的地。路由器必须对它所接收的每一个数据包做出路由选择策略, 必须决定如何把数据包发送到最终目的地址。数据包过滤在网络中起着举足轻重的作用: 它允许你在单个地方为整个网络提供特别的保护。比如: 不让任何人从外界使用Telnet登陆; 让每个人经由SMTP向我们发送电子函件等等。 一旦数据包过滤路由器完成对一特定的数据包的检测, 它能利用那个数据包做出两个选择: 1.经过数据包, 一般, 如果数据包经过了数据包过滤配置的准则要求, 路由器将把数据包向其目标传送, 就像一个正常路由器所做的那样; 2.放弃数据包, 如果不能经过数据包过滤配置标准, 就放弃数据包。2配置数据包过滤路由器 数
32、据包过滤器改进了对作为操作系统一部分而交付使用的网络软件的访问控制能力。访问控制规则是规定操作是否允许的约束。从概念上讲, 就是将一组变量的值与访问控制数据库中的规则进行比较, 而这些变量的值由表示主体和对象属性的状态信息得出。例如, 网络传输中两个重要的值是源地址和目的地址。数据包过滤规则能够被配置成根据这些值来允许或拒绝IP传输。数据包过滤器是对网络通信的访问控制机制。数据包过滤器在处理每个数据包之前都要查阅它的访问控制规则, 而不是处理或转发到达结点网络适配器的所有的数据包。因为网络协议栈较低的层运行在操作系统内核中, 多数的数据包过滤器作为操作系统的核心的扩展或替代而实现。这是非常重要
33、的, 因为一些防火墙完全替代了部分核心, 而另外那些则附在核上并拦载功能调用。那末, 数据包过滤器能控制些什么呢?因为数据包过滤器就是网络协议栈, 因此它能够根据网络数据包的包头中出现的任意字段来作出访问控制决策。如果有必要, 数据包过滤器还能检验数据包的数据部分一致性安全性策略或者寻找攻击。第一代的数据包过滤器经过察看如下字段来放行或丢弃数据包: 源或目的地址; 端口; 协议类型( TCP, UDP或其它) ; 服务类型( FTP, telnet, DNS, RIP) 。由于协议攻击变得常见, 数据包过滤器得到加强以察看数据包的SYN和ACK域的设置以及其它特征。发现新的协议攻击之后, 防火
34、墙经销商迅速地进行防卫。也就是说, 数据包过滤的访问控制能力一直在改进。3包过滤规则的约定假定对每一个数据包, 路由器按照顺序仔细研究规则直到她找到一个匹配的规则, 之后它根据规则采取行动。如果没有规则能够采用, 我们将其缺省设置为”拒绝”。( 1) 按地址过滤最简单的但不是最普通的数据包过滤结构是经过地址过滤的。这种方法的过滤要你限制基于数据包源或目标地址的数据包流, 而不必考虑包括什么协议。这样过滤能用来允许特定的外部主机与特定的内部主机对话, 例如, 阻止侵袭者注入伪造的数据包到你的网络之中。 因为源地址能被伪造, 信任源地址不一定安全。除非在你和你要交谈的主机之间使用某种密码认证, 你
35、不知道你是否真的在与你所期待的那个主机对话, 还是与其它正在假装成主机的机器对话。如果一个外部主机声称自己是一部内部主机的话, 那么过滤器将帮助你; 如果一个外部主机声称是另一个不同的外部主机, 它们将无能为力。( 2) 按服务过滤 包过滤规则允许Router取舍以一个特殊服务为基础的信息流, 因为大多数服务检测器驻留于众所周知的TCP/UDP端口。下面以Telnet为例, 说明数据包过滤的特性。Telnet可使一个用户注册到另一个系统, 就仿佛用户有一台终端直接连接到那个系统一样。Telnet Service为 TCP port 23, 端口等待远程连接,而SMTP Service为TCP
36、Port 25端口等待输入连接。如要封锁输入Telnet、 SMTP的连接, 则Router舍弃端口值为23, 25的所有的数据包。典型的过滤规则有如下几种: * 只允许特定名单内的内部主机进行Telnet输入对话* 只允许特定名单内的内部主机进行FPT输入对话* 只允许所有Telnet输入对话* 只允许所有FTP输入对话* 拒绝来自一些特定外部网络的所有输入信息4包过滤技术的优缺点 包过滤对用户来说有以下的优点: *帮助保护整个网络, 减少暴露的风险。 *对用户完全透明, 不需要对客户端做任何改动, 也不需要对用户做任何培训。 *很多路由器能够做数据包过滤, 因此不需要专门添加设备。 包过滤
37、最明显的缺陷是即使是最基本的网络服务和协议, 它也不能提供足够的安全保护, 包过滤是不够安全的, 因为它不能提供防火墙所必须的保护能力。她的缺点主要表现在: *包过滤规则难于配置, 一旦配置, 数据包过滤规则也难于检验 *包过滤仅能够访问包头信息中的有限信息。 *包过滤是无状态的, 因为包过滤不能保证与传输相关的状态信息或与应用相关的状态信息。 *包过滤对信息的处理能力非常有限。 *一些协议不适合用数据包过滤, 如基于RPC的应用的”r”命令等。( 二) 代理技术 代理(Proxy) 技术与包过滤技术完全不同, 包过滤技术是在网络层拦截所有的信息流, 代理技术是针对每一个特定应用都有一个程序。
38、代理是企图在应用层实现防火墙的功能, 代理的主要特点是有状态性。代理能提供部分与传输有关的状态, 能完全提供与应用相关的状态和部分传输方面的信息, 代理也能处理和管理信息。代理服务(Proxy Service)也称链路级网关或TCP通道Circuit Level Gateways or TCP Tunnels, 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术, 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 链接, 由两个终止代理服务器上的 链接来实现, 外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙内
39、外计算机系统的作用另外, 代理服务也对过往的数据包进行分析、 注册登记, 形成报告, 同时当发现被攻击迹象时会向网络管理员发出警报, 并保留攻击痕迹。1代理服务器代理服务器是一种调节两个网络段之间的信息传输的应用程序。代理服务器经常见于信息过滤, 以防止网络之间的直接传输。有了代理服务器作为调节者, 源系统和目标系统就永远不会直接”连接”起来。代理服务器在所有连接尝试中扮演中间人的角色。代理使得网络管理员能够实现, 比包过滤路由器更严格的安全策略。应用层网关不用依靠包过滤工具来管理Internet服务在防火墙体系中的进出, 而是采用为每钟所需服务而安装在网关上特殊代码( 代理服务) 的方式来管
40、理Internet服务, 应用层网关能够让网络管理员对服务进行全面的控制。如果网络管理员没有为某种应用安装代理编码, 那么该项服务就不支持并不能经过防火墙系统来转发。同时, 代理编码能够配置成只支持网络管理员认为必须的部分功能。 2代理服务器是如何工作的与对应的分组过滤器不同, 代理服务器不对任何网络传输选择路由。实际上, 配置正确的代理服务器会把所有的路由选择功能关闭。正如其名称所示, 代理服务器是防火墙每一方的每个系统的代言人。比喻说, 有两个人经过翻译进行交谈。她们两人确实在进行会话, 但从没有人直接对另一个人说话。所有通讯都经过翻译, 才转向另一方。翻译可能会把两人使用的一些词句删除,
41、 或者去掉不必要的解释, 或者去掉一些具有敌意的话。这个比喻与网络通讯的关系能够参见图。内部主机希望请求远程服务器上的一个Web网页。它生成一个请求而且把信息传送给与远程网络相连的网关, 在本例中就是代理服务器。当代理服务器接收到请求之后, 它先识别内部主机试图访问的服务类型。由于本例中主机请求的是 Web 网页, 因此代理服务器把请求传送到只处理HTTP 会话的应用程序。该应用程序是一个在内存中运行的简单程序, 只具有处理HTTP通讯的功能。当HTTP应用程序收到请求时, 要验证ACL是否允许此类传输。如果允许, 代理服务器回生成一个新请求发送给远程服务器并使用自己作为源系统。 也就是说,
42、代理服务器不是简单地让请求经过; 而是生成一个对远程信息的新请求。这个新请求接着被传送到远程服务器。如果用网络分析器分析这份请求, 就会看到仿佛代理服务器发出了HTTP请求, 而不是内部主机。因此, 当远程服务器回复时, 也向代理服务器发出回复信息。代理服务器接收到回复信息时, 会再次把回复信息传送给HTTP应用程序。HTTP应用程序接着详细查看远程服务器发过来的实际数据中有无特殊情况。如果这些数据能够接受, HTTP应用程序会生成一个新分组, 而且把信息发送给内部主机。能够看到, 两端的系统根本没有直接交换信息。代理服务器一直插手其中, 保证一切活动的安全性。由于代理服务器必须”理解”使用的
43、应用程序协议, 因此它们也能够实现针对协议的安全保护。例如, 入站FTP代理服务器能够配置成滤掉外部系统接收到的所有put和mput请求。这样能够生成一个只读FTP服务器: 防火墙之外的人们将不能把初始化文件写操作所需要的命令发送给 FTP 服务器。可是, 她们能够读取文件, 接收到来自FTP服务器的文件。提供代理服务的能够是一台双宿主机, 也能够是一台堡垒主机。允许用户访问代理服务时很重要的, 可是用户是绝对不允许注册到应用层网关中的。假如允许用户注册到防火墙系统中, 防火墙系统的安全就会受到威胁, 因为入侵者可能会在暗地里进行某些损害防火墙有效性的操作。例如, 入侵者获取root权限, 安
44、装特洛伊木马来截取口令, 并修改防火墙的安全配置文件。 3应用层代理的优缺点 提供代理的应用层网关的主要优点: *应用层网关有能力支持可靠的用户认证并提供详细的注册信息 *用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。 *代理工作在客户机和真实服务器之间, 完全控制会话, 因此能够提供很详细的日志和安全审计功能。 *提供代理服务的防火墙能够被配置成唯一的可被外部看见的主机, 这样能够隐藏内部网络的IP地址, 能够保护内部主机免受外部主机的进攻。 *经过代理访问Internet能够解决合法的IP地址不够用的问题, 因为Internet所见到的只是代理服务器的地址, 内部不合法的IP经过代理能够访问Internet。 应用层代理的缺点: *有限的连接性: 代理服务器一般具有解释应用层命令的功能, 如解释FTP命令、 Telnet命令等, 那么这种代理服务器就只能用于一种
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100