暑期實習信息安全調(diào)研報告

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)暑期實習信息安全調(diào)研報告學校：北京科技大學學院：計算機與通信工程學院專業(yè)：信息安全班級：信安09姓名：楊郅文學號：2012年7月身邊的信息安全技術(shù)及科學問題目錄=1\*Arabic1.前言我所做的關(guān)于身邊的信息安全技術(shù)及科學問題的調(diào)研內(nèi)容主要是關(guān)于路由器防火墻的相關(guān)知識內(nèi)容和對比，以及防火墻、安全路由器和路由器防火墻的對比。首先在這里介紹一下防火墻的概念。1.1防火墻：在電腦運算領域中，防火墻(英文：firewall)是一項協(xié)助確保資訊安全的設備，會依照特定的規(guī)則，允許或是限制傳輸?shù)馁Y料通過。防火墻可能是一臺專屬的硬件或是架設在一般硬件上的一套軟件。防火墻最基本的功能就是隔離網(wǎng)絡，通過將網(wǎng)絡劃分成不同的區(qū)域（通常情況下稱為ZONE），制定出不同區(qū)域之間的訪問控制策略來控制不同任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡是高度信任的區(qū)域。以避免安全策略中禁止的一些通信。它有控制信息基本的任務在不同信任的區(qū)域。典型信任的區(qū)域包括互聯(lián)網(wǎng)(一個沒有信任的區(qū)域)和一個內(nèi)部網(wǎng)絡(一個高信任的區(qū)域)。最終目標是提供受控連通性在不同水平的信任區(qū)域通過安全政策的運行和連通性模型之間根據(jù)最少特權(quán)原則例如：TCP/IPPort135~139是MicrosoftWindows的【網(wǎng)上鄰居】所使用的。如果電腦有使用【網(wǎng)上鄰居】的【分享資料夾】，又沒使用任何防火墻相關(guān)的防護措施的話，就等于把自己的【分享資料夾】公開到Internet，供不特定的任何人有機會瀏覽目錄內(nèi)的檔案。且早期版本的Windows有【網(wǎng)上鄰居】系統(tǒng)溢位的無密碼保護的漏洞（這里是指【分享資料夾】有設密碼，但可經(jīng)由此系統(tǒng)漏洞，達到無須密碼便能瀏覽資料夾的需求）。1.1.1防火墻類型：個人防火墻：個人防火墻，通常是在一部電腦上具有封包過濾功能的軟件，如ZoneAlarm及WindowsXPSP2后內(nèi)建的防火墻程式。而專用的防火墻通常做成網(wǎng)絡設備，或是擁有2個以上網(wǎng)絡接口的電腦。以作用的TCP/IP堆棧區(qū)分，主要分為網(wǎng)絡層防火墻和應用層防火墻兩種，但也有些防火墻是同時運作于網(wǎng)絡層及應用層。網(wǎng)絡層防火墻：網(wǎng)絡層防火墻可視為一種IP封包過濾器，運作在底層的TCP/IP協(xié)定堆棧上。我們可以以列舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻。這些規(guī)則通常可以經(jīng)由管理員定義或修改，不過某些防火墻設備可能只能套用內(nèi)建的規(guī)則。我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行?，F(xiàn)在的操作系統(tǒng)及網(wǎng)絡設備大多已內(nèi)建防火墻功能。較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源IP地址、來源埠號、目的IP地址或埠號、服務類型(如WWW或是FTP)。也能經(jīng)由通訊協(xié)定、TTL值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進行過濾。應用層防火墻：防火墻的視察軟件接口范例，紀錄IP進出情況與對應事件應用層防火墻是在TCP/IP堆棧的“應用層”上運作，使用瀏覽器時所產(chǎn)生的資料流或是使用FTP時的資料流都是屬于這一層。應用層防火墻可以攔截進出某應用程式的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的資料流進到受保護的機器里。防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的屬性，可以防范電腦蠕蟲或是木馬程式的快速蔓延。不過就實作而言，這個方法既煩且雜（因軟件種類極其繁多），所以大部分的防火墻都不會考慮以這種方法設計。XML防火墻是一種新型態(tài)的應用層防火墻。1.1.2代理服務：代理服務（Proxy）設備（可能是一臺專屬的硬件，或只是普通電腦上的一套軟件）也能像應用程式一樣回應輸入封包(例如連線要求)，同時封鎖其他的封包，達到類似于防火墻的效果。代理會使從外部網(wǎng)絡竄改一個內(nèi)部系統(tǒng)更加困難，且只要對于代理有良好的設定，即使內(nèi)部系統(tǒng)出現(xiàn)問題也不一定會造成安全上的漏洞。相反地，入侵者也許劫持一個公開可及的系統(tǒng)和使用它作為代理人為他們自己的目的；代理人偽裝作為那個系統(tǒng)對其它內(nèi)部機器。當對內(nèi)部地址空間的用途加強安全，破壞狂也許仍然使用方法譬如IP欺騙（IPspoofing）試圖通過小包對目標網(wǎng)絡。防火墻經(jīng)常有網(wǎng)絡地址轉(zhuǎn)換(NAT)的功能，并且主機被保護在防火墻之后共同地使用所謂的“私人地址空間”，定義在RFC1918。防火墻的適當?shù)呐渲靡蠹记珊椭腔?，它要求管理員對網(wǎng)絡協(xié)議和電腦安全有深入的了解，因小差錯可使防火墻不能作為安全工具。1.1.3防火墻架設結(jié)構(gòu)：堡壘主機式防火墻：此防火墻需有兩片網(wǎng)絡卡，一片與互聯(lián)網(wǎng)連接，另一片與內(nèi)部網(wǎng)絡連接，如此互聯(lián)網(wǎng)與內(nèi)部網(wǎng)絡的通路，無法直接接通，所有封包都需要透過堡壘主機轉(zhuǎn)送。雙閘式防火墻：此防火墻除了堡壘主機式防火墻的兩片網(wǎng)絡卡設計外，另有安裝一稱為應用服務轉(zhuǎn)送器的軟件，所有網(wǎng)絡封包都須經(jīng)過此軟件檢查，此軟件將過濾掉不被系統(tǒng)所允許的封包。屏障單機式防火墻：此防火墻的硬件設備除需要主機外，還需要另一路由器，路由器需具有封包過濾的功能，主機則負責過濾及處理網(wǎng)絡服務要求的封包，當互聯(lián)網(wǎng)的封包進入屏障單機式防火墻時，路由器會先檢查此封包是否滿足過濾規(guī)則，再將過濾成功的封包，轉(zhuǎn)送到主機做網(wǎng)絡服務層的檢查與轉(zhuǎn)送。屏障雙閘式防火墻：將屏障單機式防火墻的主機換成，雙閘式防火墻。屏障子網(wǎng)域式防火墻：此防火墻借由多臺主機與兩個路由器組成，電腦分成兩個區(qū)塊，屏障子網(wǎng)域與內(nèi)部網(wǎng)絡，封包經(jīng)由以下路徑，第一個路由器->屏障子網(wǎng)域->第二路由器->內(nèi)部網(wǎng)絡，此設計因有階段式的過濾功能，因此兩個路由器可以有不同的過濾規(guī)則，讓網(wǎng)絡封包使用更有效率。若一封包通過第一過濾器封包，會先在屏障子網(wǎng)域做服務處理，若要做更深入內(nèi)部網(wǎng)絡的服務，則要通過第二路由器的過濾。1.1.4防火墻的缺點：正常狀況下，所有互聯(lián)網(wǎng)的封包軟件都應經(jīng)過防火墻的過濾，這將造成網(wǎng)絡交通的瓶頸。例如在攻擊性封包出現(xiàn)時，攻擊者會不時寄出封包，讓防火墻疲于過濾封包，而使一些合法封包軟件亦無法正常進出防火墻。防火墻雖然可以過濾互聯(lián)網(wǎng)的封包，但卻無法過濾內(nèi)部網(wǎng)絡的封包。因此若有人從內(nèi)部網(wǎng)絡攻擊時，防火墻是毫無用武之地的。而電腦本身操作系統(tǒng)亦可能一些系統(tǒng)漏洞，使入侵者可以利用這些系統(tǒng)漏洞來繞過防火墻的過濾，進而入侵電腦。防火墻無法有效阻擋病毒的攻擊，尤其是隱藏在資料中的病毒。接下來介紹路由器防火墻。1.2路由器防火墻：路由器通常支持一個或者多個防火墻功能；它們可被劃分為用于Internet連接的低端設備和傳統(tǒng)的高端路由器。低端路由器提供了用于阻止和允許特定IP地址和端口號的基本防火墻功能，并使用NAT來隱藏內(nèi)部IP地址。它們通常將防火墻功能提供為標準的、為阻止來自Internet的入侵進行了優(yōu)化的功能；雖然不需要配置，但是對它們進行進一步配置可進一步優(yōu)化它們的性能。高端路由器可配置為通過阻止較為明顯的入侵（如ping）以及通過使用ACL實現(xiàn)其他IP地址和端口限制，來加強訪問權(quán)限。也可提供其他的防火墻功能，這些功能在某些路由器中提供了靜態(tài)數(shù)據(jù)包篩選。在高端路由器中，以較低的成本提供了與硬件防火墻設備相似的防火墻功能，但是吞吐量較低。接下來分別介紹一下TP-LINK路由器和思科路由器關(guān)于防火墻的設定。2TP-link路由器防火墻設置2.1路由器防火墻應用舉例—IP地址過濾的使用IP地址過濾用于通過IP地址設置內(nèi)網(wǎng)主機對外網(wǎng)的訪問權(quán)限，適用于這樣的需求：在某個時間段，禁止/允許內(nèi)網(wǎng)某個IP（段）所有或部分端口和外網(wǎng)IP的所有或部分端口的通信。開啟IP地址過濾功能時，必須要開啟防火墻總開關(guān)，并明確IP地址過濾的缺省過濾規(guī)則（設置過程中若有不明確處，可點擊當前頁面的“幫助”按鈕查看幫助信息）：下面將通過兩個例子說明IP地址過濾的使用例一：預期目的：不允許內(nèi)網(wǎng)00-02的IP地址訪問外網(wǎng)所有IP地址；允許03完全不受限制的訪問外網(wǎng)的所有IP地址。設置方法如下：1．選擇缺省過濾規(guī)則為：凡是不符合已設IP地址過濾規(guī)則的數(shù)據(jù)包，禁止通過本路由器：2．添加IP地址過濾新條目：允許內(nèi)網(wǎng)03完全不受限制的訪問外網(wǎng)的所有IP地址因默認規(guī)則為“禁止不符合IP過濾規(guī)則的數(shù)據(jù)包通過路由器”，所以內(nèi)網(wǎng)電腦IP地址段：00-02不需要進行添加，默認禁止其通過。3．保存后生成如下條目，即能達到預期目的：例二：預期目的：內(nèi)網(wǎng)00-02的IP地址在任何時候都只能瀏覽外網(wǎng)網(wǎng)頁；03從上午8點到下午6點只允在外網(wǎng)2郵件服務器上收發(fā)郵件，其余時間不能和對外網(wǎng)通信。瀏覽網(wǎng)頁需使用到80端口（HTTP協(xié)議），收發(fā)電子郵件使用25（SMTP）與110（POP），同時域名服務器端口號53（DNS）設置方法如下：1．選擇缺省過濾規(guī)則為：凡是不符合已設IP地址過濾規(guī)則的數(shù)據(jù)包，禁止通過本路由器：2．設置生成如下條目后即能達到預期目的：3思科路由器防火墻設置思科路由器防火墻的設定全部是基于命令行來設定的，下面簡單介紹一下相關(guān)設定的命令行。enable進入特權(quán)用戶模式configt進入全局配置模式dhcpexcluded-address0從內(nèi)部DHCP地址池中排除前10個IP地址ipdhcppoolInternal-DHCP創(chuàng)建一個稱為“InternalDHCP”的DHCP池importall將外部的DHCP設置從ISP導入到“InternalDHCP”池中network定義這個DHCP池運行的網(wǎng)絡default-router為“InternalDHCP”池設置默認網(wǎng)關(guān)ipinspectnamecbactcp檢查向外發(fā)出的數(shù)據(jù)通信，以便于準許對內(nèi)的響應TCP通信ipinspectnamecbacudp檢查向外發(fā)出的數(shù)據(jù)通信，以便于準許對內(nèi)的響應UDP通信interfacef0/0進入接口f0/0，F(xiàn)0/0在這里即是內(nèi)部的局域網(wǎng)接口ipaddress將內(nèi)部的局域網(wǎng)接口IP設置為，子網(wǎng)掩碼為24位。ipnatinside將此接口指定為網(wǎng)絡地址轉(zhuǎn)換的內(nèi)部接口interfacee0/0進入接口e0/0.E0/0在這里即是外部的局域網(wǎng)接口。ipaddressdhcp設置外部局域網(wǎng)接口的IP使用DHCP，DHCP由ISP提供。ipaccess-groupCBACin打開對內(nèi)的狀態(tài)數(shù)據(jù)包檢查ipinspectcbacout打開對內(nèi)的狀態(tài)數(shù)據(jù)包檢查，這點對于響應對內(nèi)通信極為關(guān)鍵。ipnatoutside將這個接口指定為網(wǎng)絡地址轉(zhuǎn)換的內(nèi)部接口mac-addressffff.ffff.ffff可選，允許用戶進行MAC地址欺騙。有一些ISP會鎖定MAC地址。ipnatinsidesourcelistNATACLinterfacee0/0overload它將所有的IP地址從NATACLACL轉(zhuǎn)換到外部的接口和IP地址ipaccess-listextendedCBAC定義一個稱為CBAC的擴展ACL，用于對內(nèi)的規(guī)則permitudpeqbootpseqbootpc準許對內(nèi)的DHCP。如果不用這個功能，用戶的ISP就不能為其分配一個DHCPIP地址。permitgreanyany如果不這樣的話，外發(fā)的PPTPVPN無法工作permiticmpanyanyecho準許ping入.注意，如果你想要保持秘密，請不要使用此功能。permiticmpanyanyecho-reply準許ping出permiticmpanyanytraceroute準許traceroutedenyipanyanylog如果你想記錄所拒絕的進入企圖功能，這條就很有用。ipaccess-listextendedNATACL定義一個稱為NATACL的擴展ACL，用于實現(xiàn)NATpermitip55any準許/24到達已經(jīng)進行了網(wǎng)絡地址轉(zhuǎn)換的任何地方。exit退出NATACLACLexit退出全局配置模式wrmem將配置改變寫往永久性閃存4TP-LINK路由器防火墻與思科路由器防火墻設置區(qū)別首先從上文的介紹中可以看出，TP-link路由器與思科路由器的防火墻關(guān)于設定的方法就存在著不同。TP-link路由器的設置基于圖形界面，類似于WindowsServer上防火墻的設置方式，相比較而言更為簡單，便于操作，看起來也更為直觀。思科路由器的設置方式則完全不同。首先，思科路由器的設置方式基于命令行，操作起來較為復雜，類似于linux系統(tǒng)的命令行模式，不易于查看，命令行的輸入格式以及內(nèi)容需要查看后才可正確輸入。但是對比TP-link而言，思科路由器的防火墻功能更加強大，也更多一些，如果操作熟練的話可以更好的保護自己的網(wǎng)絡和計算機?？傮w而言，TP-link路由器更加適合初學者的使用，因為其簡單方便，易于設置；思科路由器則適合技術(shù)過關(guān)的人使用，可以最大發(fā)揮思科路由器的作用，也能更好的保護自己的計算機。5安全路由器與防火墻的區(qū)別目前市面上的路由器基本都帶有簡單的防火墻功能，不論是消費級還是企業(yè)級，可以實現(xiàn)一些諸如包過濾，IP過濾這樣的功能。所以有些用戶就開始質(zhì)疑硬件防火墻的存在價值。那么我們就來詳細的比較一下這兩設備有什么差別。5.1背景路由器的產(chǎn)生是基于對網(wǎng)絡數(shù)據(jù)包路由而產(chǎn)生的。路由器需要完成的是將不同網(wǎng)段的數(shù)據(jù)包進行有效的路由管理，路由器所關(guān)心的是：能否將不同的網(wǎng)段的數(shù)據(jù)包進行路由從而進行通訊。防火墻是產(chǎn)生于人們對于安全性的需求。數(shù)據(jù)包是否可以正確的到達、到達的時間、方向等不是防火墻關(guān)心的重點，重點是這個數(shù)據(jù)包是否應該通過、通過后是否會對網(wǎng)絡造成危害。5.2目的路由器的根本目的是：保持網(wǎng)絡和數(shù)據(jù)的“通”。防火墻根本的的目的是：保證任何非允許的數(shù)據(jù)包“不通”。5.3核心技術(shù)路由器核心的ACL列表是基于簡單的包過濾，屬于OSI第三層過濾。從防火墻技術(shù)實現(xiàn)的角度來說，防火墻是基于狀態(tài)包過濾的應用級信息流過濾。內(nèi)網(wǎng)的一臺服務器，通過路由器對內(nèi)網(wǎng)提供服務，假設提供服務的端口為TCP80。為了保證安全性，在路由器上需要配置成：只允許客戶端訪問服務器的TCP80端口，其他拒絕。這樣的設置存在的安全漏洞如下：5.3.1IP地址欺騙（使連接非正常復位）5.3.2TCP欺騙（會話重放和劫持）存在上述隱患的原因是，路由器不能監(jiān)測TCP的狀態(tài)。如果在內(nèi)網(wǎng)的客戶端和路由器之間放上防火墻，由于防火墻能夠檢測TCP的狀態(tài)，并且可以重新隨機生成TCP的序列號，則可以徹底消除這樣的漏洞。同時，有些防火墻帶有一次性口令認證客戶端功能，能夠?qū)崿F(xiàn)在對應用完全透明的情況下，實現(xiàn)對用戶的訪問控制，其認證支持標準的Radius協(xié)議和本地認證數(shù)據(jù)庫，可以完全與第三方的認證服務器進行互操作，并能夠?qū)崿F(xiàn)角色的劃分。5.3.3安全策略路由器的默認配置對安全性的考慮不夠周全，需要做高級高級配置才能達到一些防范攻擊的作用，而且企業(yè)級路由器基本都是基于命令模式進行配置，其針對安全性的規(guī)則的部分比較復雜，配置出錯的概率較高。有些防火墻的默認配置既可以防止各種攻擊，達到既用既安全，更人性化的防火墻都是使用圖形界面進行配置的，配置簡單、出錯率低。5.3.4對性能的影響路由器的設計初衷是用來轉(zhuǎn)發(fā)數(shù)據(jù)包的，而不是專門設計作為全特性防火墻的，所以在數(shù)據(jù)轉(zhuǎn)發(fā)時運算量非常大。如果再進行包過濾，對路由器的CPU和內(nèi)存或產(chǎn)生很大的影響，這就是為什么路由器開啟防火墻后，數(shù)據(jù)轉(zhuǎn)發(fā)率降低的原因。而且路由器由于其硬件成本比較高，其高性能配置時硬件的成本都比較大。防火墻則不用作數(shù)據(jù)轉(zhuǎn)發(fā)的工作，只要判斷該包是否符合要求，是則通過，否則不通過，其軟件也為數(shù)據(jù)包的過濾進行了專門的優(yōu)化，其主要模塊運行在操作系統(tǒng)的內(nèi)核模式下，設計之時特別考慮了安全問題，其進行數(shù)據(jù)包過濾的性能非常高。由于路由器是簡單的包過濾，包過濾的規(guī)則條數(shù)的增加，NAT規(guī)則的條數(shù)的增加，對路由器性能的影響都相應的增加，而防火墻采用的是狀態(tài)包過濾，規(guī)則條數(shù)，NAT的規(guī)則數(shù)對性能的影響接近于零。5.3.5防攻擊能力即使像Cisco這樣的路由器，其普通版本不具有應用層的