防火墻在校園網(wǎng)中的應用

#第一章緒論引言科學技術的飛速發(fā)展，人們已經(jīng)生活在信息時代。計算機技術和網(wǎng)絡技術深入到社會的各個領域，因特網(wǎng)把“地球村”的居民緊密地連在了一起。近年來因特網(wǎng)的飛速發(fā)展，給人們的生活帶來了全新地感受，人類社會各種活動對信息網(wǎng)絡地依賴程度已經(jīng)越來越大。然而，凡事“有利必有一弊”，人們在得益于信息所帶來的新的巨大機遇的同時，也不得不面對信息安全問題的嚴峻考驗。“黑客攻擊”網(wǎng)站被“黑”，“CIH病毒”無時無刻不充斥在網(wǎng)絡中?！半娮討?zhàn)”已成為國與國之間，商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全，網(wǎng)絡安全的問題已經(jīng)引起各國，各部門，各行各業(yè)以及每個計算機用戶的充分重視。研究現(xiàn)狀因特網(wǎng)提供給人們的不僅僅是精彩，還無時無刻地存在各種各樣的危險和陷阱。對此，我們既不能對那些潛在的危險不予重視，遭受不必要的損失；也不能因為害怕某些危險而拒絕因特網(wǎng)的各種有益的服務，對個人來說這樣會失去了了解世界、展示自己的場所，對企業(yè)來說還失去了拓展業(yè)務、提高服務、增強競爭力的機會。不斷地提高自身網(wǎng)絡的安全才是行之有效地辦法。課題意義安全是一個不容忽視的問題，當人們在享受網(wǎng)絡帶來的方便與快捷的同時，也要時時面對網(wǎng)絡開放帶來的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險。為了保障網(wǎng)絡安全，當局域網(wǎng)與外部網(wǎng)連接時，可以在中間加入一個或多個中介系統(tǒng)，防止非法入侵者通過網(wǎng)絡進行攻擊，非法訪問，并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統(tǒng)就是防火墻(Firewall)技術如圖1-1。0MHt*l*A圖1-1防火墻(Firewall)技術圖網(wǎng)絡安全技術網(wǎng)絡安全技術指致力于解決諸如如何有效進行介入控制，以及何如保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g手段，主要包括物理安全分析技術，網(wǎng)絡結(jié)構(gòu)安全分析技術，系統(tǒng)安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。網(wǎng)絡安全技術分為：虛擬網(wǎng)技術、防火墻枝術、病毒防護技術、入侵檢測技術、安全掃描技術、認證和數(shù)字簽名技術、VP技N術、以及應用系統(tǒng)的安全技術。其中虛擬網(wǎng)技術防止了大部分基于網(wǎng)絡監(jiān)聽的入侵手段。通過虛擬網(wǎng)設置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡節(jié)點不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點。例如vla，n但是其安全漏洞相對更多，如IPsweep,teardrop,sy攻n擊c等-。flood,IPsp防火墻枝術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡資源，保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡之間的通信是否被允許,并監(jiān)視網(wǎng)絡運行狀態(tài)。但是防火墻無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。防火墻的分類有包過濾型、地址轉(zhuǎn)換型、代理型、以及檢測型。病毒防護技術是指阻止病毒的傳播、檢查和清除病毒、對病毒數(shù)據(jù)庫進行升級、同時在防火墻、代理服務器及PC上安裝Jav及aActi控v制e掃X描軟件，禁止未經(jīng)許可的控件下載和安裝入侵檢測技術(ID)S可以被定義為對計算機和網(wǎng)絡資源的惡意使用行為進行識別和相應處理的技術。是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。安全掃描技術是為管理員能夠及時了解網(wǎng)絡中存在的安全漏洞，并采取相應防范措施，從而降低網(wǎng)絡的安全風險而發(fā)展起來的一種安全技術。認證和數(shù)字簽名技術，其中的認證技術主要解決網(wǎng)絡通訊過程中通訊雙方的身份認可，而數(shù)字簽名作為身份認證技術中的一種具體技術，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。VP技N術就是在公網(wǎng)上利用隨到技術來傳輸數(shù)據(jù)。但是由于是在公網(wǎng)上進行傳輸數(shù)據(jù)，所以有一定的不安全性。應用系統(tǒng)的安全技術主要有域名服務、WebSe應r用v安e全r、電子郵件系統(tǒng)安全和操作系統(tǒng)安全。防火墻介紹防火墻(Firewall)是一種網(wǎng)絡邊防產(chǎn)品，是在可信網(wǎng)絡與不可信網(wǎng)絡之間構(gòu)筑的一道防線，是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。防火墻監(jiān)控可信網(wǎng)絡和不可信網(wǎng)絡之間的訪問渠道，防止外部網(wǎng)絡的危險蔓延到內(nèi)部網(wǎng)絡上。從而是一種獲取安全的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Internet之間建立起一個安全網(wǎng)關(SecurityGateway)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關4個部分組成，防火墻的基本功能是對網(wǎng)絡通信進行篩選和屏蔽，以防止未經(jīng)授權(quán)的訪問進出計算機網(wǎng)絡，具體表現(xiàn)為：過濾進出網(wǎng)絡數(shù)據(jù)；管理進出網(wǎng)絡訪問；封堵某些禁止行為；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡攻擊進行檢測和報警等。防火墻外形如圖1-2：圖1-2防火墻外形圖防火墻技術發(fā)展趨勢防火墻技術的發(fā)展離不開社會需求的變化，著眼未來，我們注意到以下幾個新的需求。遠程辦公的增長。全國主要城市先后受到SAR病S毒的侵襲，直接促成大量的企事業(yè)在家辦公，這就要求防火墻既能抵抗外部攻擊，又能允許合法的遠程訪問，做到更細粒度的訪問控制?，F(xiàn)在一些廠商推出的VP(N虛擬專用網(wǎng))技術就是很好的解決方式。只有以指定方式加密的數(shù)據(jù)包才能通過防火墻，這樣可以確保信息的保密性，又能成為識別入侵行為的手段。內(nèi)部網(wǎng)絡“包廂化”(compartme)n。t人a們l通i常z認i為n處g在防火墻保護下的內(nèi)網(wǎng)是可信的，只有Inte是r不n可e信t的。由于黑客攻擊技術和工具在Inte上r隨n手e可t及，使得內(nèi)部網(wǎng)絡的潛在威脅大大增加，這種威脅既可以是外網(wǎng)的人員，也可能是內(nèi)網(wǎng)用戶，不再存在一個可信網(wǎng)絡環(huán)境。由于無線網(wǎng)絡的快速應用以及傳統(tǒng)撥號方式的繼續(xù)存在，內(nèi)網(wǎng)受到了前所未有的威脅。企業(yè)之前的合作將合作伙伴納入了企業(yè)網(wǎng)絡里，全國各地的分支機構(gòu)共享一個論壇，都使可信網(wǎng)絡的概念變得模糊起來。應對的辦法就是將內(nèi)部網(wǎng)細分成一間間的“包廂”，對每個“包廂”實施獨立的安全策略。防火墻產(chǎn)品發(fā)展趨勢防火墻可說是信息安全領域最成熟的產(chǎn)品之一，但是成熟并不意味著發(fā)展的停滯，恰恰相反，日益提高的安全需求對信息安全產(chǎn)品提出了越來越高的要求，防火墻也不例外，下面我們就防火墻一些基本層面的問題來談談防火墻產(chǎn)品的主要發(fā)展趨勢。模式轉(zhuǎn)變，傳統(tǒng)的防火墻通常都設置在網(wǎng)絡的邊界位置，不論是內(nèi)網(wǎng)與外網(wǎng)的邊界，還是內(nèi)網(wǎng)中的不同子網(wǎng)的邊界，以數(shù)據(jù)流進行分隔，形成安全管理區(qū)域。未來的的防火墻產(chǎn)品將開始體現(xiàn)出一種分布式結(jié)構(gòu)，以分布式為體系進行設計的防火墻產(chǎn)品以網(wǎng)絡節(jié)點為保護對象，可以最大限度地覆蓋需要保護的對象，大大提升安全防護強度。功能擴展，防火墻的管理功能一直在迅猛發(fā)展，在將來，通過類似手機、PDA這類移動處理設備也可以方便地對防火墻進行管理，當然，這些管理方式的擴展需要首先面對的問題還是如何保障防火墻系統(tǒng)自身的安全性不被破壞。性能提高，未來的防火墻產(chǎn)品由于在功能性上的擴展，以及應用日益豐富、流量日益復雜所提出的更多性能要求，會呈現(xiàn)出更強的處理性能要求，而寄希望于硬件性能的水漲船高肯定會出現(xiàn)瓶頸，所以諸如并行處理技術等經(jīng)濟實用并且經(jīng)過足夠驗證的性能提升手段將越來越多的應用在防火墻產(chǎn)品平臺上；相對來說，單純的流量過濾性能是比較容易處理的問題，而與應用層涉及越密，性能提高所需要面對的情況就會越復雜；在大型應用環(huán)境中，防火墻的規(guī)則庫至少有上萬條記錄，而隨著過濾的應用種類的提高，規(guī)則數(shù)往往會以趨進幾何級數(shù)的程度上升，這是對防火墻的負荷是很大的考驗，使用不同的處理器完成不同的功能可能是解決辦法之一，例如利用集成專有算法的協(xié)處理器來專門處理規(guī)則判斷，在防火墻的某方面性能出現(xiàn)較大瓶頸時，我們可以單純地升級某個部分的硬件來解決，這種設計有些已經(jīng)應用到現(xiàn)有的產(chǎn)品中了，也許未來的防火墻產(chǎn)品會呈現(xiàn)出非常復雜的結(jié)構(gòu).第二章需求分析校園網(wǎng)絡安全分析高校校園網(wǎng)一般都是采用最先進的網(wǎng)絡技術架構(gòu)的，用戶較多，使用面較廣，存在的安全隱患和漏洞相對較廣泛，大多有如下幾個方面：（1）校園網(wǎng)與Internet相連，在享受Internet方便快捷的同時，也面臨著遭遇攻擊的風險。高校校園網(wǎng)速度比較快，我院與電腦的出口帶寬達到了1Gbps，這給網(wǎng)絡入侵和攻擊也提供了一個快速通道。（2）校園網(wǎng)內(nèi)部也存大很大的安全隱患。由于內(nèi)部用戶對網(wǎng)絡的結(jié)構(gòu)和應用模式都比較了解，因些來自內(nèi)部的安全威脅會更大一些。（3）目前使用的操作系統(tǒng)存在安全漏洞，對網(wǎng)絡安全構(gòu)成了威脅。例如Windows2000、Windows2003、Windows2008的普遍性和可操性使它成為最不安全的系統(tǒng)：自身安全漏洞、瀏覽器的漏洞、病毒木馬等。（4）隨著校園內(nèi)計算機應用的大范圍普入，接入校園網(wǎng)的節(jié)點數(shù)日益增多，而這些節(jié)點大部分都沒有采取安全防護措施，隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡攻擊、系統(tǒng)癱瘓等嚴重后果。（5）內(nèi)部用戶對Internet的非法訪問威脅，如瀏覽黃色、暴力、反動等網(wǎng)站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng)，內(nèi)外網(wǎng)惡意用戶可能利用一些工具對網(wǎng)絡入服務器發(fā)起Dos/DDoS攻擊，導致網(wǎng)絡及服務不可用，高校學生通常是最活躍的網(wǎng)絡用戶，對網(wǎng)絡的各種技術都充滿了好奇，有強大的求知和實驗的欲望，勇于嘗試，不計后果，校園網(wǎng)內(nèi)針對如的黑客程序、ARP病毒、超級網(wǎng)管隨處可見。鑒于上述不安全因素，有必要為校園網(wǎng)設計一個嚴密的防火墻。校園網(wǎng)防火墻需求分析保護校園網(wǎng)中的資源免受外來攻擊是校園網(wǎng)建設中需要考慮的重要環(huán)節(jié)，在內(nèi)網(wǎng)和外網(wǎng)之間設置防火墻是保護校園網(wǎng)免受外來攻擊的有效手段之一?，F(xiàn)針對校園網(wǎng)防火墻提出如下的需求：（1）校園網(wǎng)中的Web服務器、FTP服務器、E-mail等服務器要能同時對內(nèi)網(wǎng)和外網(wǎng)用戶提供服務，各服務器僅開啟相應服務端口，其他端口均關閉。（2）具備IP地址轉(zhuǎn)換能力，隱藏內(nèi)網(wǎng)結(jié)構(gòu)，并使得校園網(wǎng)內(nèi)部所以用戶可以通過一個公網(wǎng)IP地址訪問lnternet。在地址轉(zhuǎn)換時對于不同區(qū)域的設計要兼顧安全和效率兩方面因素。（3）保護作為防火墻的主機安全，禁止外部用戶通過使用Telnet、FTP等方式登陸防火墻，僅允許網(wǎng)絡管理員在網(wǎng)絡中心訪問防火墻及核心交換機。（4）防火墻應具備防攻擊的能力，能夠有效地防止病毒端口及IP地址欺騙等攻擊。校園網(wǎng)防火墻部署思路防火墻是網(wǎng)絡安全的屏障。一個防火墻（作為陰塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)對精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。在防火墻設置上我們按照以下原則配置來提高網(wǎng)絡安全性：根據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問/?？傮w上遵從“不被允許的服務就被禁止”的原則。將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡地址進入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊，過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡的IP包，防止內(nèi)部網(wǎng)絡發(fā)起的對外攻擊。在防火墻上建立內(nèi)網(wǎng)計算機的IP地址和MAC地址對應表，防止IP地址被盜用；在局域網(wǎng)的入口架設行兆防火墻，并實現(xiàn)VNP的功能，在校園網(wǎng)絡入口建立第一層的安全屏障，VPN保證了管理員在家里或出差時能夠安全接入數(shù)據(jù)中心；定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄；允許通過配置網(wǎng)卡對防火墻設置，提高防火墻管理安全性。第三章校園網(wǎng)面對的安全威脅物理安全保證計算機網(wǎng)絡系統(tǒng)各種設備的物理安全是整個網(wǎng)絡安全的前提。計算機網(wǎng)絡的物理安全是在物理介質(zhì)層次上數(shù)據(jù)傳輸、數(shù)據(jù)存儲和數(shù)據(jù)訪問安全。計算機網(wǎng)絡的物理安全包括構(gòu)成網(wǎng)絡的相關基礎設施的安全，網(wǎng)絡的運行環(huán)境比如溫度、濕度、電源等，自然環(huán)境的影響以及人的因素等對計算機網(wǎng)絡的物理安全和運行的影響。物理安全是保護計算機網(wǎng)絡設備、設施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。其目的是保護計算機系統(tǒng)、web服務器、打印機等硬件實體和網(wǎng)絡通信設備免受自然災害、人為破壞和搭線攻擊等。自然威脅自然威脅主要是指由于自然原因造成的對網(wǎng)絡設備硬件的損壞和網(wǎng)絡運行的影響。主要包括以下幾方面：①自然災害自然災害對計算機網(wǎng)絡設備或其它相關設施造成的損壞，或?qū)W(wǎng)絡運行造成的影響。如：雷擊、火災、水災、地震等不可抗力造成的網(wǎng)絡設備或網(wǎng)絡通信線路的損壞，大霧對無線傳輸?shù)挠绊憽＂谡Ｊ褂们闆r下的設備損壞在網(wǎng)絡設中，所有的網(wǎng)絡設備都是電子設備，任何電子元件也都會老化，因此由電子元件構(gòu)成的網(wǎng)絡設備都一個有限的正常使用年限，即使嚴格按照設備的使用環(huán)境要求使用，在設備達到使用壽命后均可能出現(xiàn)硬件故障或不穩(wěn)定現(xiàn)象，從而威脅計算機網(wǎng)絡的安全運行。③設備運行環(huán)境網(wǎng)絡的運行是不間斷的。保證網(wǎng)絡設備的安全運行，運行環(huán)境是一個很重要的因素。任何計算機網(wǎng)絡都需要一個可靠的運行環(huán)境來保證其可靠地運行，其中主要包括周邊環(huán)境和電源系統(tǒng)兩大要素。周邊環(huán)境：我們所使用的網(wǎng)絡交換設備一般都有自己的散熱系統(tǒng)，所以環(huán)境因素往往被一些管理員所忽略。隨著使用周期的增長，一些設備的散熱系統(tǒng)損壞，或在潮濕的天氣環(huán)境下積塵較多而引起設備運行不穩(wěn)定，都是不安全因素。因此網(wǎng)絡設備的安放都需要比較良好的環(huán)境，所以校園網(wǎng)的網(wǎng)絡中心機房一般都配備調(diào)濕調(diào)溫并經(jīng)常保潔的環(huán)境，以保證設備的運行。在分節(jié)點的網(wǎng)絡設備，可以采取定期維護保養(yǎng)的措施或分別設置空調(diào)設備。電源系統(tǒng)：電源系統(tǒng)的穩(wěn)定可靠直接影響到網(wǎng)絡的安全運行。如果要保證網(wǎng)絡的不間斷，就必須保證電源系統(tǒng)的穩(wěn)定和不間斷。校園網(wǎng)的電源系統(tǒng)可分為兩部分，一部分主要用于網(wǎng)絡設備和主機，由于這些網(wǎng)絡設備和主機對電源系統(tǒng)要求較高，且不能間斷，所以這部分的供電系統(tǒng)就采用UPS（不間斷電源系統(tǒng)），而且最好是采用在線式的，這樣可以充分隔離電力系統(tǒng)對網(wǎng)絡設備的干擾，保證網(wǎng)絡的運行。另一部分主要用于空調(diào)設備，其特點是電源容量要求大，可短時間間斷，但由于我們部分學校所使用的空調(diào)系統(tǒng)在恢復供電后都不能自動啟動，所以必須讓管理人員掌握電源的通斷信息。以上海師大校園網(wǎng)為例，網(wǎng)絡中心通過對UPS電源監(jiān)控系統(tǒng)的整合，使電源通斷信息的變化會及時地反映到網(wǎng)管人員的手機上，這樣中心工作人員就能及時了解突發(fā)情況。人為威脅人為威脅是指由于人為因素造成的對計算機網(wǎng)絡的物理安全威脅，包括故意人為和無意人為威脅。人為故意威脅是指人為主觀威脅網(wǎng)絡的物理安全。最常見的是人為通過物理接近的方式威脅網(wǎng)絡安全，物理接近是其它攻擊行為的基礎。如通過搭線連接獲取網(wǎng)絡上的數(shù)據(jù)信息；或者潛入重要的安全部門竊取口令、密鑰等重要的網(wǎng)絡安全信息；或者直接破壞網(wǎng)絡的物理基礎設施（盜割網(wǎng)絡通信線纜、盜取或破壞網(wǎng)絡設備等）。這些人為的故意破壞行為嚴重威脅網(wǎng)絡的安全運行。人為無意威脅是人為因素造成但不是故意的物理安全威脅。即使是合法的、技術過硬的操作人員，由于從時間疲勞工作或者其它身體因素的影響，或者自身安全意識不強都可能產(chǎn)生失誤和意外疏忽。這些意外和疏忽也可能影響網(wǎng)絡的安全運行，有時還會造成重大的損失，如刪除了重要的網(wǎng)絡配置文件、格式化了存儲有重要數(shù)據(jù)或信息的分區(qū)或整個硬盤、沒有采取防靜電措施插拔硬件等等。內(nèi)網(wǎng)攻擊分析ARP攻擊ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡中斷或中間人攻擊。ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡中，局域網(wǎng)中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。某機器A要向主機B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后，就會進行數(shù)據(jù)傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址IA——物理地址PA），請求IP地址為IB的主機B回答物理地址PB。網(wǎng)上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發(fā)回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網(wǎng)絡流通的基礎，而且這個緩存是動態(tài)的。.網(wǎng)絡監(jiān)聽在網(wǎng)絡中，當信息進行傳播的時候，可以利用工具，將網(wǎng)絡接口設置在監(jiān)聽的模式，便可將網(wǎng)絡中正在傳播的信息截獲或者捕獲到，從而進行攻擊。網(wǎng)絡監(jiān)聽在網(wǎng)絡中的任何一個位置模式下都可實施行。而黑客一般都是利用網(wǎng)絡監(jiān)聽來截取用戶口令。比如當有人占領了一臺主機之后，那么他要再想進將戰(zhàn)果擴大到這個主機所在的整個局域網(wǎng)話，監(jiān)聽往往是他們選擇的捷徑。很多時候我在各類安全論壇上看到一些初學的愛好者，在他們認為如果占領了某主機之后那么想進入它的內(nèi)部網(wǎng)應該是很簡單的。其實非也，進入了某主機再想轉(zhuǎn)入它的內(nèi)部網(wǎng)絡里的其它機器也都不是一件容易的事情。因為你除了要拿到他們的口令之外還有就是他們共享的絕對路徑，當然了，這個路徑的盡頭必須是有寫的權(quán)限了。在這個時候，運行已經(jīng)被控制的主機上的監(jiān)聽程序就會有大收效。不過卻是一件費神的事情，而且還需要當事者有足夠的耐心和應變能力。主要包括：①數(shù)據(jù)幀的截獲②對數(shù)據(jù)幀的分析歸類，③dos攻擊的檢測和預防，④IP冒用的檢測和攻擊，⑤在網(wǎng)絡檢測上的應用，⑥對垃圾郵件的初步過濾。．蠕蟲病毒蠕蟲病毒攻擊原理：蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通過自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被稱為”宿主”，例如，windows下可執(zhí)行文件的格式為pe格式(PortableExecutable)，當需要感染pe文件時，在宿主程序中，建立一個新節(jié)，將病毒代碼寫到新節(jié)中，修改的程序入口點等，這樣，宿主程序執(zhí)行的時候，就可以先執(zhí)行病毒程序，病毒程序運行完之后，在把控制權(quán)交給宿主原來的程序指令?？梢?，病毒主要是感染文件，當然也還有像DIRII這種鏈接型病毒，還有引導區(qū)病毒。引導區(qū)病毒他是感染磁盤的引導區(qū)，如果是軟盤被感染，這張軟盤用在其他機器上后，同樣也會感染其他機器，所以傳播方式也是用軟盤等方式。蠕蟲病毒入侵過程：蠕蟲病毒攻擊主要分成三步：①掃描：由蠕蟲的掃描功能模塊負責探測存在漏洞的主機。當程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一個可傳播的對象。②攻擊：攻擊模塊按漏洞攻擊步驟自動攻擊步驟1中找到的對象，取得該主機的權(quán)限(一般為管理員權(quán)限)，獲得一個shell。③復制：復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動。外網(wǎng)攻擊分析DOS攻擊DoS攻擊(DenialofService，簡稱DOS)即拒絕服務攻擊，是指攻擊者通過消耗受害網(wǎng)絡的帶寬，消耗受害主機的系統(tǒng)資源，發(fā)掘編程缺陷，提供虛假路由或DNS信息，使被攻擊目標不能正常工作。實施DoS攻擊的工具易得易用，而且效果明顯。一般的DoS攻擊是指一臺主機向目的主機發(fā)送攻擊分組(1:1)，它的威力對于帶寬較寬的站點幾乎沒有影響;而分布式拒絕服務攻擊(DistributedDenialofService，簡稱DDoS)同時發(fā)動分布于全球的幾千臺主機對目的主機攻擊(m:n),即使對于帶寬較寬的站點也會產(chǎn)生致命的效果。隨著電子商業(yè)在電子經(jīng)濟中扮演越來越重要的角色，隨著信息戰(zhàn)在軍事領域應用的日益廣泛，持續(xù)的DoS攻擊既可能使某些機構(gòu)破產(chǎn)，也可能使我們在信息戰(zhàn)中不戰(zhàn)而敗?？梢院敛豢鋸埖卣f，電子恐怖活動的時代已經(jīng)來臨。DoS攻擊中，由于攻擊者不需要接收來自受害主機或網(wǎng)絡的回應，它的IP包的源地址就常常是偽造的。特別是對DDoS攻擊，最后實施攻擊的若干攻擊器本身就是受害者。若在防火墻中對這些攻擊器地址進行IP包過濾，則事實上造成了新的DDS攻擊。為有效地打擊攻擊者，必須設法追蹤到攻擊者的真實地址和身份。SYNAttack（SYN攻擊）每一個TCP連接的建立都要經(jīng)過三次握手的過程：A向B發(fā)送SYN封包：B用SYN/ACK封包進行響應；然后A又用ACK封包進行響應。攻擊者用偽造的IP地址（不存在或不可到達的地址）發(fā)送大量的SYN封包至防火墻的某一接口，防火墻用SYN/ACK封包對這些地址進行響應，然后等待響應的ACK封包。因為SYN/ACK封包被發(fā)送到不存在或不可到達的IP地址，所以他們不會得到響應并最終超時。當網(wǎng)絡中充滿了無法完成的連接請求SYN封包，以至于網(wǎng)絡無法再處理合法的連接請求，從而導致拒絕服務（DOS）時，就發(fā)生了SYN泛濫攻擊。防火墻可以對每秒種允許通過防火墻的SYN封包數(shù)加以限制。當達到該臨界值時，防火墻開始代理進入的SYN封包，為主機發(fā)送SYN/ACK響應并將未完成的連接存儲在連接隊列中，未完成的連接保留在隊列中，直到連接完成或請求超時。ICMPFlood（UDP泛濫）當ICMPPING產(chǎn)生的大量回應請求超出了系統(tǒng)最大限度，以至于系統(tǒng)耗費所有資源來進行響應直至再也無法處理有效的網(wǎng)絡信息流時，就發(fā)生了ICMP泛濫。當啟用ICMP泛濫保護功能時，可以設置一個臨界值，一旦超過了此值就會調(diào)用ICMP泛濫攻擊保護功能。（缺省的臨界值為每秒1000個封包。）如果超過了該臨界值。NETSCREEN設備在該秒余下的時間和下一秒內(nèi)會忽略其他的ICMP回應要求。UDPFlood（UDP泛濫）與ICMP泛濫相似，當以減慢系統(tǒng)速度為目的向該點發(fā)送UDP封包，以至于系統(tǒng)再也無法處理有效的連接時，就發(fā)生了UDP泛濫，當啟用了UDP泛濫保護功能時，可以設置一個臨界值，一旦超過此臨界值就回調(diào)用UDP泛濫攻擊保護功能。如果從一個或多個源向單個目標發(fā)送的UDP泛濫攻擊超過了此臨界值，防火墻在該秒余下的時間和下一秒內(nèi)會忽略其他到該目標的UDP封包。PortScanAttack（端口掃描攻擊）當一個源IP地址在定義的時間間隔內(nèi)（缺省值為5000微秒）向位于相同目標IP地址10個不同的端口發(fā)送IP封包時，就會發(fā)生端口掃描攻擊。這個方案的目的是掃描可用的服務，希望會有一個端口響應，因此識別出作為目標的服務。防火墻在內(nèi)部記錄從某一遠程源地點掃描不同端口的數(shù)目。使用缺省設置，如果遠程主機在0.005秒內(nèi)掃描了10個端口。防火墻會將這一情況標記為端口掃描攻擊，并在該秒余下的時間內(nèi)拒絕來自該源地址的其他封包第四章防火墻在校園網(wǎng)中的配置隨著高校信息化進程的推進，學院校園網(wǎng)上運行的應用系統(tǒng)越來越多，信息系統(tǒng)變得越來越龐大和復雜。校園網(wǎng)的服務器群構(gòu)成了校園網(wǎng)的服務系統(tǒng)，主要包括DNS、虛擬主機、Web、FTP、視頻點播以及Mail服務等。校園網(wǎng)通過不同的專線分別接入了教育網(wǎng)、電信網(wǎng)和黨政網(wǎng)。隨著學院網(wǎng)絡出口帶寬不斷加大，應用服務系統(tǒng)逐漸增多，校園網(wǎng)用戶數(shù)烈劇上升，網(wǎng)絡的安全也就越來越嚴峻。高校校園網(wǎng)防火墻網(wǎng)絡安全策略討論防火墻安全策略一般實施兩個基本設計方針之一：1．拒絕訪問除明確許可以外的任何一種服務，即拒絕一切未予特許的東西2．允許訪問除明確拒絕以外的任何一種服務，即允許一切未被特別拒絕的東西

校園網(wǎng)防火墻的網(wǎng)絡安全策略采取第一種安全控制的方針，確定所有可以被提供的服務以及它們的安全特性，然后開放這些服務，并將所有其它未被列入的服務排斥在外，禁止訪問。校園網(wǎng)網(wǎng)絡結(jié)構(gòu)拓撲圖如圖4-1所示:10M/100M雙絞線-100M/1000M光纖電信1OOMfInternet中心機房服務署群MSR50-40核心路由器內(nèi)置防火墻H3C-S7506核心交換機MFA5200F-2000認證服務器國卜&3…*金力."1τ校1園網(wǎng)網(wǎng)絡總拓撲結(jié)構(gòu)圖在實際應用環(huán)境中，一般情況下防火墻網(wǎng)絡可劃分為三個不同級別的安全區(qū)域：10M/100M雙絞線-100M/1000M光纖電信1OOMfInternet中心機房服務署群MSR50-40核心路由器內(nèi)置防火墻H3C-S7506核心交換機MFA5200F-2000認證服務器國卜&3…*金力."1τ校1園網(wǎng)網(wǎng)絡總拓撲結(jié)構(gòu)圖在實際應用環(huán)境中，一般情況下防火墻網(wǎng)絡可劃分為三個不同級別的安全區(qū)域：內(nèi)部網(wǎng)絡：這是防火墻要保護的對象，包括全部的內(nèi)部網(wǎng)絡設備及用戶主機。這個區(qū)域是防火墻的可信區(qū)域（這是由傳統(tǒng)邊界防火墻的設計理念決定的）。外部網(wǎng)絡：這是防火墻要防護的對象，包括外部網(wǎng)主機和設備。這個區(qū)域為防火墻的非可信網(wǎng)絡區(qū)域（也是由傳統(tǒng)邊界防火墻的設計理念決定的）。服務器群：它是從內(nèi)部網(wǎng)絡中劃分的一個小區(qū)域，有Web服務器、郵件服務器、DNS服務器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務。在以上區(qū)域中，用戶需要對不同的安全區(qū)域制訂不同的安全策略。雖然內(nèi)部網(wǎng)絡和服務器群都屬于內(nèi)部網(wǎng)絡的一部分，但它們的安全級別（策略）是不同的。對于要保護的大部分內(nèi)部網(wǎng)絡，一般情況下禁止所有來自互聯(lián)網(wǎng)用戶的訪問；而由內(nèi)部網(wǎng)絡劃分出去的DMZ區(qū)，因需為互聯(lián)網(wǎng)應用提供相關的服務，這些服務器上所安裝的服務非常少，所允許的權(quán)限非常低，真正有服務器數(shù)據(jù)是在受保護的內(nèi)部網(wǎng)絡主機上，所以黑客攻擊這些服務器沒有任何意義，既不能獲取什么有用的信息，也不能通過攻擊它而獲得過高的網(wǎng)絡訪問權(quán)限。通過NAT（網(wǎng)絡地址轉(zhuǎn)換）技術將受保護的內(nèi)部網(wǎng)絡的全部主機地址映射成防火墻上設置的少數(shù)幾個有效公網(wǎng)IP地址。這樣可以對外屏蔽內(nèi)部網(wǎng)絡構(gòu)和IP地址，保護內(nèi)部網(wǎng)絡的安全；同時因為是公網(wǎng)IP地址共享，所以可以大大節(jié)省公網(wǎng)IP地址的使用。在這種應用環(huán)境中，在網(wǎng)絡拓撲結(jié)構(gòu)上校園網(wǎng)可以有兩種選擇，這主要是根擁有網(wǎng)絡設備情況而定。如果原來已有邊界路由器，則此可充分利用原有設備，利用邊界路由器的包過濾功能，添加相應的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內(nèi)部網(wǎng)絡連接。對于DMZ區(qū)中的公用服務器，則可直接與邊界路由器相連，不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡單防護。在此拓撲結(jié)構(gòu)中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設置一個DMZ區(qū)，用來放置那些允許外部用戶訪問的公用服務器設施。依照學院的網(wǎng)絡拓撲將網(wǎng)絡劃分成2個部份，如圖4-2所示：外網(wǎng)和內(nèi)部網(wǎng)絡。外網(wǎng)與Internet相連；內(nèi)部網(wǎng)絡連接校內(nèi)用戶；圖4-學2院防火墻結(jié)構(gòu)圖防火墻的基本配置學院采用的是防火墻，它的初始配置也是通過控制端口（Console）與PC機的串口連接，再通過超級終端（HyperTerminal）程序進行選項配置。也可以通過telnet和Tffp配置方式進行高級配置，但必需先由Console將防火墻的這些功能打開。NETSCREEN防火墻有四種用戶配置模式，即：普通模式（Unprivilegedmode）、特權(quán)模式（PrivilegedMode）、配置模式（ConfigurationMode）和端口模式（InterfaceMode）。顯示基本信息：（1）命令行基本信息收集：netscreen>getsyst（得到系統(tǒng)信息）netscreen>getconfig（得到config信息）netscreen>getlogevent（得到日志）（2）功能問題需收集下列信息：netscreen>setffiliter?（設置過濾器）netscreen>debugflowbasic是開啟基本的debug功能netscreen>cleardb是清除debug的緩沖區(qū)netscreen>getdbufstream就可以看到debug的信息了性能問題需收集下列信息：得到下列信息前，請不要重新啟動機器，否則信息都會丟失，無法判定問題所在。netscreen>Getpercpudetail（得到CPU使用率）netscreen>Getsessioninfo（得到會話信息）netscreen>Getpersessiondetail（得到會話詳細信息）netscreen>Getmac-learn（透明方式下使用，獲取MAC硬件地址）netscreen>Getalarmevent（得到告警日志）netscreen>Gettech>tftp6tech.txt（導出系統(tǒng)信息）netscreen>Getlogsystem（得到系統(tǒng)日志信息）netscreen>Getlogsystemsaved（得到系統(tǒng)出錯后，系統(tǒng)自動記錄信息，該記錄重啟后不會丟失。設置接口-帶寬,網(wǎng)關設置所指定的各個端口的帶寬速率,單位為kb/sSetinterfaceinterfacebandwidthnumberunsetinterfaceinterfacebandwidth設置接口的網(wǎng)關setinterfaceinterfacegatewayip_addrunsetinterfaceinterfacegateway設置接口的接口的區(qū)域,IP地址zone就是網(wǎng)絡邏輯上劃分成區(qū),可以在安全區(qū)或安全區(qū)內(nèi)部（3）接口之間實施策略：設置接口的接口的區(qū)域setinterfaceinterfacezonezoneunsetinterfaceinterfacezone設置接口的IP地址setinterfaceinterfaceipip_addr/masksetinterfaceinterfaceipunnumberedinterfaceinterface2unsetinterfaceinterfaceipip_addr（4）接口管理設置①setinterfaceinterfacemanage{ident-reset|nsmgmt|ping|snmp|ssh|ssl|telnet|webui}unsetinterfaceinterfacemanage{ident-reset|nsmgmt|ping|snmp|ssh|telnet|webui}WebUI：允許接口通過Web用戶界面（WebUI）接收HTTP管理信息流。Telnet:選擇此選項可啟用Telnet管理功能。SSH:可使用“安全命令外殼”（SSH）通過以太網(wǎng)連接或撥號調(diào)制解調(diào)器管理Ne