信息安全培訓(xùn)方案

信

■

安

全

培

訓(xùn)

方

案

二OO六年二月十四日

第一部分信息安全的基礎(chǔ)知識

一、什么是信息安全

1.網(wǎng)絡(luò)安全背景

/與Internet有關(guān)的安全事件撅繁出現(xiàn)

/Internet已經(jīng)成為商務(wù)活動、通訊及協(xié)作的重要平臺

/Internet最初被設(shè)計為開放式網(wǎng)絡(luò)

2.什么是安全？

/安全的定義：

信息安全的定義：為了防止未經(jīng)授權(quán)就對知識、事實、數(shù)據(jù)或能力進行實用、濫用、修改或拒絕使

用而采用的措施。

,信息安全的構(gòu)成：

信息安全是一種綜合的處理方案，包括物理安全、通信安全、輻射安全、計算機安全、網(wǎng)絡(luò)安全等。

/信息安全專家口勺工作：

安全專家的工作就是在開放式;H勺網(wǎng)絡(luò)環(huán)境中，保證識別并消除信息安全R勺威脅和缺陷。

3.安全是一種過程而不是指產(chǎn)品

不能只依賴于?一種類型的安全為組織口勺信息提供保護，也不能只依賴于一種產(chǎn)品提供我們的計算機

和網(wǎng)絡(luò)系統(tǒng)所需要日勺所有安全性,由于安全性所涵蓋的I范圍非常廣闊，包括：

?防病毒軟件；?智能卡；?方略管理；

?訪問控制；?生物記錄學(xué)；?脆弱點掃描：

?防火墻;?入侵檢測;?加密;

?物理安全機制。

4.百分百的安全神話

/絕對的安全：

只要有連通性，就存在安全風(fēng)險，沒有絕對的安全。

/相對的安全：

可以到達的某種安全水平是：使得幾乎所有最純熟的和最堅定的黑客不能登錄你II勺系統(tǒng)，使黑客對

你II勺企業(yè)的損害最小化。

/安全的平衡：

一種關(guān)鍵的安全原則是使用有效的不過并不會給那些想要真正獲取信息的合法顧客增長承擔(dān)的方

案，

二、常見的襲擊類型

為了深入討論安全，你必須理解你有也許遭碰到的襲擊的類型，為了深入防御黑客，你還要理解黑

客所采用的技術(shù)、工具及程序。

我們可以將常見H勺襲擊類型分為四大類：針對顧客H勺襲擊、針對應(yīng)用程序的襲擊、針對計算機的襲

擊和針對網(wǎng)絡(luò)的襲擊。

第一類：針對顧客的襲擊

5.前門襲擊

/密碼猜測

在這個類型口勺襲擊中，一種黑客通過猜測對時時密碼，偽裝成一種合法日勺顧客進入系統(tǒng)，由于一種

黑客擁有一種合法顧客口勺所有信息，他（她）就可以很簡樸地從系統(tǒng)的“前門”合法地進入。

6.暴力和字典襲擊

/暴力襲擊

暴力襲擊類似于前門襲擊，由于一種黑客試圖通過作為一種合法顧客獲得通過。

/字典襲擊

一種字典襲擊通過僅僅使用某種詳細的密碼來縮小嘗試的范圍，強健區(qū)J密碼通過結(jié)合大小寫字母、

數(shù)字、通配符來擊敗字典襲擊。

?Lab2-1：使用LC4破解Windows系統(tǒng)口令，密碼破解工具

?Lab2-2：OfficePasswordRecovery&WinZipPasswordRecovery

7.病毒

計算機病毒是一種被設(shè)計用來破壞網(wǎng)絡(luò)設(shè)備的惡意程序。

8.社會工程和非直接襲擊

社交工程是使用計謀和假情報去獲得密碼和其他敏感信息，研究一種站點的方略其中之一就是盡量

多時理解屬于這個組織口勺個體，因此黑客不停試圖尋找愈加精妙的措施從他們但愿滲透口勺組織那里獲得

信息。

/打祈求密碼：

一種黑客冒充一種系統(tǒng)經(jīng)理去打給一種企業(yè)，在解釋了他H勺帳號被意外鎖定了后，他說服企業(yè)的

某位職工根據(jù)他口勺指示修改了管理員權(quán)限，然后黑客所需要做的就是登錄那臺主機，這時他就擁有了所

有管理員權(quán)限。

/偽造E-mail：

使用Telnet一種黑客可以截耳乂任何一種身份證，發(fā)送E-mail給一種顧客，這樣日勺E-mail消息是真日勺，

由于它發(fā)自于一種合法的I顧客。在這種情形下這些信息顯得是絕對的真實，然而它們是假日勺，由于黑客

通過欺騙E-mail服務(wù)器來發(fā)送它們。

?Lab2-3：發(fā)送偽造的E-Mail消息。

第二類：針對應(yīng)用程序的襲擊

9.緩沖區(qū)溢出

目前最流行的一種應(yīng)用程序類襲擊就是緩沖區(qū)溢出。

當目的操作系統(tǒng)收到了超過它設(shè)計時在某一時間所能接受到的信息晟時發(fā)生緩沖區(qū)溢出。這種多出

口勺數(shù)據(jù)將使程序H勺緩存溢出，然后覆蓋了實際的程序數(shù)據(jù)，緩沖區(qū)溢出使得目的系統(tǒng)口勺程序自發(fā)臥J和遠

程的被修改，常常這種修改的成果是在系統(tǒng)上產(chǎn)生了一種后門。

10.郵件中繼

目前互連網(wǎng)上日勺郵件服務(wù)器所受襲擊有兩類：一類就是中繼運用(Relay),即遠程機器通過你的服務(wù)

器來發(fā)信，這樣任何人都可以運用你的服務(wù)器向任何地址發(fā)郵件，久而久之，你的機器不僅成為發(fā)送垃

圾郵件的幫兇，也會使你的網(wǎng)絡(luò)國際流量激增，同步將也許被網(wǎng)上的諸多郵件服務(wù)器所拒絕。另一類襲

擊稱為垃圾郵件(Spam),即人們常說的郵件炸彈，是指在很短時間內(nèi)服務(wù)器也許接受大量無用II勺郵件，

從而使郵件服務(wù)器不堪負載而出現(xiàn)癱瘓。

?Lab2-4：通過郵件中繼發(fā)送E-Mail消息、。

11.網(wǎng)頁涂改

是一種針對Web服務(wù)器的網(wǎng)頁內(nèi)容進行非法篡改，以體現(xiàn)不一樣的觀點或社會現(xiàn)象。這種襲擊一般

損害的是網(wǎng)站H勺聲譽。(中國紅客聯(lián)盟)

第三類：針對計算機的襲擊

12.物理襲擊

許多企業(yè)和組織應(yīng)用了復(fù)雜的安全軟件，卻由「主機沒有加強物理安全而破壞了整體的系統(tǒng)安全。

一般，襲擊者會通過物理進入你的系統(tǒng)等非Internet手段來啟動Internet的安仝漏洞。

增強物理安全H勺措施包括：用密碼鎖取代一般鎖；將服務(wù)器放到上鎖的房間中；安裝視頻監(jiān)視設(shè)備。

?Lab2-5：操作一種對Windows2023Server的物理襲擊

13.特洛伊木馬和RootKits

任何已經(jīng)被修改成包括非法文獻的文獻叫做“特洛伊程序”。特洛伊程序一般包括能打開端口進入

RootShell或具有管理權(quán)限的命令行文獻，他們可以隱藏自己口勺體現(xiàn)（無窗口），而將敏感信息發(fā)回黑客

并上載程序以深入襲擊系統(tǒng)及其安全。

?Lab2-6：遭受NetBus特洛伊木馬感染

/RootKits（附文檔）

RootKits是多種UNIX系統(tǒng)的一種后門，它在控制階段被引入，并且產(chǎn)生一種嚴重的問題，RootKits

由一系列的程序構(gòu)成，當這些程序被特洛伊木馬取代了合法的程序時，這種取代提供應(yīng)黑客再次進入的

后門和尤其的分析網(wǎng)絡(luò)工具。

14.系統(tǒng)Bug和后門

/Bug和后門

一種Bug是一種程序中的錯誤，它產(chǎn)生一種不注意的通道。

一種后門是一種在操作系統(tǒng)上或程序上未被記錄的通道。程序設(shè)計員有時故意識地在操作系統(tǒng)或程

序上設(shè)置后門以便他們迅速地對產(chǎn)品進行支持。

15.Internet蠕蟲

Internet蠕蟲是一種拒絕服務(wù)病毒，近來流行的紅色代碼也是類似的一種蠕蟲病毒。

蠕蟲病毒消耗完系統(tǒng)的物理CPU和內(nèi)存資源而導(dǎo)致系統(tǒng)緩慢甚至瓦解，而沒有其他的破壞。

第四類：針對網(wǎng)絡(luò)的襲擊

16.拒絕服務(wù)襲擊：

在?種拒絕服務(wù)襲擊中，?種黑客制止合法顧客獲得服務(wù)。這些服務(wù)可以是網(wǎng)絡(luò)連接，或者任何?

種系統(tǒng)提供的服務(wù)。

,分布式拒絕服務(wù)襲擊DDOS：（附文檔）

是指幾種遠程系統(tǒng)一起工作襲擊一種遠程主機，一般通過大量流量導(dǎo)致主機超過負載而瓦解。

17.哄騙：（附文檔）

哄騙和偽裝都是盜竊身份的形式,它是一臺計算機模仿另一臺機器的能力。特定的例子包括IP哄騙,

ARP哄騙，路由器哄騙和DNS哄騙等。

18.信息泄漏：

幾乎所有H勺網(wǎng)絡(luò)后臺運行程序在默認設(shè)置的J狀況下都泄漏了諸多日勺信息，組織構(gòu)造必須戾定怎樣至

少化提供應(yīng)公眾的信息，哪些信息是必要日勺，哪些信息是不必要的J。

需要采用措施保護，不必要泄漏日勺信息：DNS服務(wù)器的內(nèi)容、路由表、顧客和帳號名、運行在任何

服務(wù)器上的標題信息（如操作系統(tǒng)平臺、版本等）。

?Lab2-7：通過Telnet連接Exchange服務(wù)器的SMTP、POP3等服務(wù)

19.劫持和中間人襲擊：

中間人襲擊是黑客企圖對一種網(wǎng)絡(luò)的主機發(fā)送到另一臺主機的包進行操作的襲擊。黑客在物理位置

上位于兩個被襲擊的合法主機之間。最常見的包括：

?嗅探包：以獲得顧客名和密碼信息，任何以明文方式傳送的信息均有也許被嗅探；

?包捕捉和修改：捕捉包修改后重新再發(fā)送；

?包植入：插入包到數(shù)據(jù)流；

?連接劫持：黑客接管兩臺通信主機中的一臺，一般針對TCP會話。但非常難于實現(xiàn).

?Lab2-8：網(wǎng)絡(luò)包嗅探outlookExpress郵件賬號口令

三、信息安全服務(wù)

20.安全服務(wù)

國際原則化組織(ISO)7498-2定義了幾種安全服務(wù):

服務(wù)目的

驗證提供身份11勺過程

訪問控制確定一種顧客或服務(wù)也許用到什么樣的系統(tǒng)資源，查看還是變化

數(shù)據(jù)保密性保護數(shù)據(jù)不被未授權(quán)地暴露。

數(shù)據(jù)完整性這個服務(wù)通過檢查或維護信息的一致性來防止積極口勺威脅

不可否認性防止參與交易日勺所有或部分的1抵賴。

21.安全機制

根據(jù)ISO提出口勺，安全機制是一種技術(shù)，某些軟件或?qū)嵭幸环N或更多安全服務(wù)依J過程。

ISO把機制提成特殊的和普遍的。

一種特殊日勺安全機制是在同一時間只對一種安全服務(wù)上實行一種技術(shù)或軟件。如：加密、數(shù)字簽名

等，

普遍的安全機制小局限十某些特定的層或級別，如：信任功能、事件檢測、審核跟蹤、安全恢亞等。

四、網(wǎng)絡(luò)安全體系構(gòu)造

第二部分信息安全的實際處理方案

一、加密技術(shù)

22.加密系統(tǒng)

加密把輕易讀取“勺源文獻變成加密文本，可以讀取這種加密文本的措施是獲得密鑰（即把本來［向源

文獻加密成加密文本H勺一串字符）o

1）加密技術(shù)一般分為三類：

?對稱加密：使用一種字符串（密鑰）去加密數(shù)據(jù)，同樣H勺密鑰用于加密和解密。

?非對稱加密：使用一對輜鑰來加密數(shù)據(jù)。這對密鑰有關(guān)有關(guān)聯(lián)，這對密鑰一種用于加密，一種

用于解密，反之亦然。非對稱加密的此外一種名字是公鑰加密。

?HASH加密：更嚴格的說它是一種算法，使用一種叫HASH函數(shù)的數(shù)學(xué)方程式去加容數(shù)據(jù)。理

論上HASH函數(shù)把信息進行混雜，使得它不也許恢復(fù)原狀。這種形式的加密將產(chǎn)生一種HASH

值，這個值帶有某種信息，并且具有一種長度固定的表達形式。

2）加密能做什么？

加密能實現(xiàn)四種服務(wù)：

數(shù)據(jù)保密性：是使用加密最常見的原因；

數(shù)據(jù)完整性：數(shù)據(jù)保密對數(shù)據(jù)安全是局限性夠H勺,數(shù)據(jù)仍有也許在傳播時被修改,依賴于Hash

函數(shù)可以驗證數(shù)據(jù)與否被修改；

驗證：數(shù)字證書提供了一種驗證服務(wù)，協(xié)助證明信息的發(fā)送者就是宣稱11勺其本人；

不可否認性：數(shù)字證書容許顧客證明信息互換日勺實際發(fā)生，尤其合用于財務(wù)組織的電子交易。

23.對稱密鑰加密系統(tǒng)

在對稱加密或叫單密鑰加密中，只有一種密鑰用來加密和解密信息。

?對稱加密的好處就是迅速并且強健。

?對稱加密的缺陷是有關(guān)密鑰的傳播，所有H勺接受者和查看者都必須持有相似日勺密鑰。

不過，假如顧客要在公共介質(zhì)上如互聯(lián)網(wǎng)來傳遞信息，他需要通過一種措施來傳遞密鑰。一種處理

方案就是用非對稱加密，我們將在本課H勺背面提到。

24.非對稱密鑰加密系統(tǒng)

非對稱加密在加密的過程中使用一對密鑰，一對密鑰中一種用于加密，另一種用來解密。這對密鑰

中一種密鑰用來公用，另一種作為私有H勺密鑰：用來向外公布的叫做公鑰，另二分之一需要安全保護的

是私鑰。

非對稱加密的?種缺陷就是加密H勺速度非常慢，由于需要強烈的數(shù)學(xué)運算程序。

25.Hash加密和數(shù)字簽名

HASH加密把某些不一樣長度的信息轉(zhuǎn)化成雜亂的128位的編碼里，叫做HASH值。HASH加密用

于不想對信息解密或讀取。使用這種措施解密在理論上是不也許的，是通過比較兩上實體H勺值與否同樣

而不用告之其他信息、。

1）數(shù)字簽名

HASH加密另一種用途是簽名文獻。

簽名過程中，在發(fā)送方用私鑰加密哈希伯從而提供簽幺驗逐，接受方在獲得通過發(fā)送方的公鑰解密

得到的J哈希值后，通過相似的單向加密算法處理數(shù)據(jù)用來獲得目己的哈希值，然后比較這兩個哈希值，

假如相似，則闡明數(shù)據(jù)在傳播過程中沒有被變化。

/加密系統(tǒng)算法的強度

加密技術(shù)日勺強度受三個重要原因影響：算法強度、密鑰的保密性、密鑰日勺長度。

?算法強度：是指假如小嘗試所有也許B勺密鑰的組合將小能算術(shù)地反轉(zhuǎn)信息的能力。

?密鑰的保密性：算法不需要保密，但密鑰必須進行保密。

?密鑰的長度：密鑰越長，數(shù)據(jù)的安全性越高。

26.應(yīng)用加密的執(zhí)行過程

1）電子郵件加密

用于加密e-mail的流行措施就是使用PGP或S-MIME,雖然加密的原則不一樣，但它們的原則都是

同樣的。下面是發(fā)送和接受E-mail中加密U勺所有過程：

①發(fā)送方和接受方在發(fā)送E-mail信息之前要得到對方的公鑰。

②發(fā)送方產(chǎn)生一種隨機的會話密鑰，用于加密E-mail信息和附件。這個密鑰是根據(jù)時間的不一樣

以及文獻H勺大小和日期而隨機產(chǎn)生電算法通過使用DES,TripleDES,Blowfish,RC5等等。

③發(fā)送者然后把這個會話密鑰和信息進行一次單向加密得到一種HASH值。這個值用來保證數(shù)據(jù)

的完整性由于它在傳播的過程中不會被變化。在這步一般使用MD2,MD4,MD5或SHA。MD5

用于SSL,而S/MIME默認使用SHA。

④發(fā)送者用自己的私鑰對這個HASH值加密。通過使用發(fā)送者自己U勺私鑰加密，接受者可以確定

信息確實是從這個發(fā)送者發(fā)過來的。加密后的HASH直我們稱作信息摘要。

⑤發(fā)送者然后用在第二步產(chǎn)生H勺會話密鑰對E-mail信息和所有的附件加密。這種加密提供了數(shù)據(jù)

的保密性。

⑥發(fā)送者用接受者的公鑰對這個會話密鑰加密，來保證信息只能被接受者用其自己口勺私鑰解密。

這步提供了認證。

⑦然后把加密后的信息和數(shù)字摘要發(fā)送給接受方。解密的過程恰好以相反的次序執(zhí)行。

Lab4-1：運用Windows2023Server建立CA服務(wù)器

?Lab4-2：為電子郵件帳戶申請證書

?Lab4-3：將顧客證書導(dǎo)出到文獻保留，并傳播給需要的顧客

?Lab4-4：在OutlookExpress中建立通訊簿，建立證書與聯(lián)絡(luò)人的鏈接

?Lab4-5：實現(xiàn)安全的電子郵件通訊（郵件加密和簽名）

2）Web服務(wù)器加密

/Secure

Secure使用非對稱加密保護在線傳播，但同步這個傳播是使用對稱密鑰加密時。大多的瀏覽器

都支持這個協(xié)議，包括NetscapeNavigator和微軟的InternetExploreio

/安全套接字層（SSL）

SSL協(xié)議容許應(yīng)用程序在公網(wǎng)上秘密的互換數(shù)據(jù)，因此防止了竊聽，破壞和信息偽造。

所有的瀏覽器都支持SSL,因此應(yīng)用程序在使用它時不需要特殊的代碼。

?Lab4-6：為IISServer申請證書

a）在IIS中完畢證書申請向?qū)В勺C書申請文獻；

b）運用證書申請文獻在Web中申請IISServer證書，并下載證書到文獻；

c）在ns中完畢掛起證書申請

?Lab4-7：啟用站點的SSL通道

?Lab4-8：實現(xiàn)ExchangeServer中POP3、SMTP的SSL通訊

二、認證技術(shù)

認證技術(shù)是信息安全理論與技術(shù)日勺一種重要方面。身份認證是安全系統(tǒng)中的I第一道關(guān)卡，如圖1所

示，顧客在訪問安全系統(tǒng)之前，首先通過身份認證系統(tǒng)識別身份，然后訪問監(jiān)控器根據(jù)顧客的身份和授

權(quán)數(shù)據(jù)庫決定顧客與否可以訪問某個資源。

1）認證的措施

顧客或系統(tǒng)可以通過四種措施來證明他們的身份：

/Whatyouknow?

基于口令日勺認證方式是最常用的?種技術(shù)，但它存在嚴重的安全問題。它是?種單原因的認證，安

全性僅依賴于口令，口令一旦泄露，顧客即可被冒充。

/Whatyouhave?

愈加精密U勺認證系統(tǒng)，規(guī)定不僅要有通行卡并且要有密碼認證。如：智能卡和數(shù)字證書的使用。

/Whoyouare?

這種認證方式以人體惟一的、可靠的、穩(wěn)定日勺生物特性（如指紋、虹膜、臉部、掌紋等）為根據(jù)，

采用計算機的I強大功能和網(wǎng)絡(luò)技術(shù)進行圖像處理和模式識別。

/Whereyouare?

最弱的身份驗證形式，根據(jù)你的位置來決定你的身份。如Unix中的rlogin和rsh程序通過源IP地址

來驗證一種顧客，主機或執(zhí)行過程；反向DNS查詢防止域名哄騙等。

2）特定的認證技術(shù)

幾種常用于加強認證系統(tǒng)的技術(shù)，它們結(jié)合使用加密技術(shù)和額外方略來檢查身份。

/一次性口令認證：（CHAP）

人們已經(jīng)發(fā)明了一種產(chǎn)生一次性口令的技術(shù)，稱之為挑戰(zhàn)/可答（challenge/response）。

?種子：決定于顧客，一股在一臺機器上，一種種子對應(yīng)于一種顧客，也就是說，種子在一種系

統(tǒng)中應(yīng)具有唯一性，這不是秘密艮I而是公開口勺。

?迭代值：迭代值是不停變化的，而種子和通行短語是相對不變?nèi)丈?，因此迭代值口勺作用就是使?/p>

令發(fā)生變化。

?通行短語：通行短語是保密依J,而種子和迭代值是公開價J,這樣就決定了口令口勺機密性。

當顧客登錄時，系統(tǒng)會向顧客提出挑戰(zhàn)，包括種子和迭代值，然后顧客用得到的種子和迭代值再加

上自己懂得的通行短語計算出一種答史，并傳送給系統(tǒng)，由于系統(tǒng)也懂得這個通行短語，因此系統(tǒng)可.以

驗證答復(fù)與否對日勺。

/Kerberos認證技術(shù)

Kerberos提供了?一種在開放二I網(wǎng)絡(luò)環(huán)境下進行身份認證的措施，它使網(wǎng)絡(luò)上的顧客可以互相證明自

己的身份。Kerberos是一種被證明為非常安全的雙向身份認證技術(shù)，其身份認證強調(diào)了客戶機對服務(wù)器

H勺認證，Kerberos有效地防止了來自服務(wù)器端身份冒領(lǐng)的欺騙。

Kerberos采用對稱密鑰體制對信息進行加密。其基本思想是：能對H勺對信息進行解密日勺顧客就是合

法頑客。顧客在對應(yīng)用服務(wù)器進行訪問之前，必須先從第三方(Kerberos服務(wù)器)獲取該應(yīng)用服務(wù)器的

訪問許可證(ticket)。

Kerberos密鑰分派中心KDC(即Kerberos服務(wù)器)由認證服務(wù)器AS和許可訐頒發(fā)服務(wù)器TGS構(gòu)

成，

Kerberos的J認證過程如圖所示。

/公鑰認證體系(PKI)

X.509是定義FI錄服務(wù)提議X.500系列的一部分，其關(guān)鍵是建立寄存每個顧客的公鑰證書"勺目錄庫。

顧客公鑰證書由可信賴的CA創(chuàng)立，并由CA或顧客寄存于目錄中。

若A想獲得B的公鑰，A先在目錄中查找IDB,運用CA的公鑰和hash算法驗證BH勺公鑰證書的

完整性，從而判斷公鑰時與否對的。

顯然X.509是一種基于證書向公鑰認證機制，這種機制R勺實現(xiàn)必須要有可信賴的CA的參與。

三、防火墻技術(shù)

防火墻的體系架構(gòu):

防火墻的發(fā)展從第一代的JPC機軟件，到工控機、PC-Box,冉到MIPS架構(gòu)。第二代日勺NP、ASIC架構(gòu)。

發(fā)展到第三代口勺專用安全處理芯片背板互換架構(gòu)，以及“AHInOne”集成安全體系架構(gòu)。

為了支持更廣泛及更高性能的業(yè)務(wù)需求，各個廠家全力發(fā)揮各自優(yōu)勢，推進著整個技術(shù)以及市場的

發(fā)展。

目前，防火墻產(chǎn)品的三代體系架構(gòu)重要為：

第一代架構(gòu)：重要是以單一CPU作為整個系統(tǒng)業(yè)務(wù)和管理歐J關(guān)鍵，CPU有x86、PowerPCsMIPS

等多類型，產(chǎn)品重要體現(xiàn)形式是PC機、工控機、PC-Box或RISC-Box等；

第二代架構(gòu)：以NP或ASIC作為業(yè)務(wù)處理日勺重要關(guān)鍵，對一般安全業(yè)務(wù)進行加速，嵌入式CPU為

管理關(guān)健，產(chǎn)品重要體現(xiàn)形式為Box等：

第三代架構(gòu)：ISS(IntegratedSecuritySystem)集成安全體系架構(gòu)，以高速安全處理芯片信為業(yè)務(wù)處

理H勺重要關(guān)鍵，采用高性能CPU發(fā)揮多種安全業(yè)務(wù)的高層應(yīng)用，產(chǎn)品重要體現(xiàn)形式為基于電信級的高可

靠、背板互換式日勺機架式設(shè)備，容量大性能高，各單元及系統(tǒng)更為靈活。

防火埼三代體系架構(gòu)業(yè)務(wù)特性、性能對比分布圖

安全芯片防火墻體系架構(gòu)框圖

基于FDT指標的體系變革

衡量防火墻的性能指標重要包括吞吐量、報文轉(zhuǎn)發(fā)率、最大并發(fā)連接數(shù)、每秒新建連接數(shù)等。

吞吐量和報文轉(zhuǎn)發(fā)率是關(guān)系防火墻應(yīng)用的重要指標，一般采用FDT(FullDuplexThroughput)來衡

量，指64字節(jié)數(shù)據(jù)包的全雙工吞吐量，該指標既包括吞吐量指標也涵蓋了報文轉(zhuǎn)發(fā)率指標。

FDT與端口容量的區(qū)別：端口容量指物理端口的容量總和,假如防火墻接了2個千兆端口，端口容

量為2GB,但FDT也許只是200MB。

FDT與HDT的區(qū)別：HDT指半雙工吞吐量(HalfDuplexThroughput)。一種千兆口可以同步以1GB

的速度收和發(fā)。按FDT來說，就是1GB；按HDT來說，就是2GB。有些防火墻的廠商所說內(nèi)吞吐量，

往往是HDTo

一般來說，雖然有多種網(wǎng)絡(luò)接口，防火墻的關(guān)鍵處理往往也只有一種處理器完畢，要么是CPU,要

么是安全處理芯片或NP、ASIC等。

對于防火墻應(yīng)用，應(yīng)當充足強調(diào)64字節(jié)數(shù)據(jù)的整機全雙工吞吐量，該指標重要由CPU或安全處理

芯片、NP、ASIC等關(guān)鍵處理單元的處理能力和防火墻體系架構(gòu)來決定。

對干不一樣日勺體系架構(gòu)，其FDT適應(yīng)日勺范南是不一樣樣日勺，如對于第一代單CPU體系架構(gòu)其理論

FDT為百兆級別，而于中高端日勺防火墻應(yīng)用，必須采用第二代或第三代ISS集成安全體系架構(gòu)。

基于ISS機構(gòu)H勺第三代安全體系架構(gòu)，充足繼承了大容后GSR路由器、互換機的架構(gòu)特點，可以在

支持多安全業(yè)務(wù)日勺基礎(chǔ)上，充足發(fā)揮高吞吐量、高報文轉(zhuǎn)發(fā)率的能力。

防火墻體系架構(gòu)經(jīng)歷了從低性能H勺x86、PPC軟件防火墻向高性能硬件防火墻的I過渡，并逐漸向不

僅可以滿足高性能也需要支持更多業(yè)務(wù)能力的方向發(fā)展。

ISS集成安全體系

作為防火墻第三代體系架構(gòu)，ISS根據(jù)企業(yè)未來對于高性能多業(yè)務(wù)安全的需求，集成安全體系架構(gòu)，

吸取了不一樣硬件架構(gòu)的優(yōu)勢。

恒揚科技推出了自主研發(fā)的SempSec、SempCrypt安全芯片和P4-MCPU以及基于ISS集成安全系

統(tǒng)架構(gòu)的自主產(chǎn)權(quán)操作系統(tǒng)SempOS。它可以提高防火墻產(chǎn)品的報文過濾檢測、襲擊檢測、加解密、NAT

特性、VPN特性等各方面性能的同步，并可實現(xiàn)安全業(yè)務(wù)的全面拓展。國微通訊也推需了基于ISS安全

體系架構(gòu)的GCS3000系列防火墻。

ISS架構(gòu)靈活日勺模塊化構(gòu)造，綜合報文過濾、狀態(tài)檢測、數(shù)據(jù)加解密功能、VPN業(yè)務(wù)、NAT業(yè)務(wù)、

流號監(jiān)管、襲擊防備、安全審計以及顧客管理認證等安全功能于一體，實現(xiàn)業(yè)務(wù)功能的按需定制和迅速

服務(wù)、響應(yīng)升級。

ISS體系架構(gòu)日勺重要特點：

1.采用構(gòu)造化芯片技術(shù)設(shè)計日勺專用安全處理芯片作為安全業(yè)務(wù)R勺處理關(guān)鍵，可以大幅提高吞吐量、

轉(zhuǎn)發(fā)率、加解密等處理能力；構(gòu)造化芯片技術(shù)可編程定制線速處理模塊，以迅速滿足客戶需求：

2.采用高性能通用CPU作為設(shè)備的I管理中心和上層業(yè)務(wù)拓展平臺，可以平滑移植并支持上層安全

應(yīng)用業(yè)務(wù)，提高系統(tǒng)H勺應(yīng)用業(yè)務(wù)處理能力：

3.采用大容量互換背板承載大量日勺業(yè)務(wù)總線和管理通道，其中千兆Serdes業(yè)務(wù)總線和PCI管理通道

物理分離，不僅業(yè)務(wù)層次劃分清晰，便于管理，并且性能互不受限；

4.采用電信級機架式設(shè)計，無論是SPU安全處理單元、MPU主處理單元及其他各類板卡、電源、

機框等模塊在可擴展、可拔插、防輻射、防干擾、冗余備份、可升級等方面做了全方位考慮，真正地實

現(xiàn)了安全設(shè)備B勺電信級可靠性和可用性；

5.不僅到達了安全業(yè)務(wù)的高性能并且實現(xiàn)了“AllinOne”，站在客戶角度處理了多業(yè)務(wù)、多設(shè)備H勺整

合，防止了單點設(shè)備故障和安全故障，大大減少了管理復(fù)雜度;

6.通過背板及線路接U單元LIU擴展可提供高密度H勺業(yè)務(wù)接口。

3.1防火墻簡介

,防火墻的定義

防火墻指的是位于可信網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）和不可信網(wǎng)絡(luò)（如Internet）之間并對通過其間的網(wǎng)絡(luò)流

量進行檢查的一臺或多臺計算機,防火墻具有如下特性：

?所有R勺通信都通過防火墻；

?防火墻只放行通過授權(quán)的流量；

?防火墻能經(jīng)受得起對其自身的襲擊。

/防火墻的優(yōu)勢和弱點

?防火墻的優(yōu)勢：

?實行一種企業(yè)的整體安全方略

?創(chuàng)立一種阻塞點（網(wǎng)絡(luò)邊界）

?記錄Internet活動

?限制網(wǎng)絡(luò)暴露

?防火墻的弱點：

?防火墻不能防備通過授權(quán)的東西。

?防火墻只能按對其配置日勺規(guī)則進行有效日勺工作；

?防火墻對社交工程類型日勺襲擊或一種授權(quán)的顧客運用合法訪問進行的惡意襲擊不起作用；

?防火墻不能修更脆弱日勺管理措施或設(shè)計有問題日勺安全方略;

?防火墻不能制止那些小通過它的襲擊。

3.2防火墻的分類：

軟件類：

防火墻運行于通用操作系統(tǒng)如WindowsNT/2O23.Linux/Unix上，它們通過修改系統(tǒng)的內(nèi)核和TCP/IP

協(xié)議棧來檢測流量。

要想獲得較高U勺安全性，就必須對操作系統(tǒng)進行加固、修補和維護。

此類防火墻如：運行于Linux/Unix、WindowsNT/2O23平臺上廿勺CheckPointFirewall-1,Symantec企業(yè)

防火墻，MicrosoftISA2023等。

硬件類防火墻：

硬件防火墻集成了操作系統(tǒng)和防火墻的功能，形成了一種整體牢固、功能專一的設(shè)備。這種防

火墻也提供了功能完善的管理接口。

硬件防火墻在使用時不需要做諸多主機加固口勺工作，不用再費心于重新配置和修補通用操作系

統(tǒng)，而可以集中注意力構(gòu)思防火墻規(guī)則，減少了操作和維護的成本。

此類防火墻如：國外的CiscoPIX、Nelscreen.SonicWall等，國內(nèi)H勺：清華同方,天融信，聯(lián)

想等

芯片級類防火墻：

芯片級防火增基于專門的硬件平臺，沒有操作系統(tǒng)。專有H勺ASIC芯片促使它們比其他種類H勺防火墻

速度更快，處理能力更強，性能更高。做此類防火墻最出名的廠商有NetScreen、FortiNel、Cisco等。此

類防火墻由于是專用OS（操作系統(tǒng)），因此防火增自身H勺漏洞比較少，不過價格相對比較高昂

根據(jù)防火墻所采用的I技術(shù)不一樣，為如下幾種基本類型:

包過濾防火墻

數(shù)據(jù)包過濾(PacketFiltering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行分析、選擇，選擇H勺根據(jù)是系統(tǒng)內(nèi)設(shè)

置的過濾邏輯，稱為訪問控制表(AccessControlTable)u通過檢查數(shù)據(jù)流中每一種數(shù)據(jù)包H勺源地址、

目的地址、所用端口號、協(xié)議狀態(tài)等原因，或它們的組合來確定與否容許該數(shù)據(jù)包通過。其實現(xiàn)機制如

圖1所示

圖1包過濾防火墻的實現(xiàn)機制

數(shù)據(jù)包過灌防火墻口勺長處是速度快、邏輯簡樸、成本低、易于安裝和使用，網(wǎng)絡(luò)性能和透明度好。

它一般安裝在路由器匕內(nèi)部網(wǎng)絡(luò)與Internet連接，必須通過路由器，因此在原有網(wǎng)絡(luò)上增長此類防火

墻，幾乎不需要任何額外的費用，

此類防火墻的缺陷是不能對數(shù)據(jù)內(nèi)容進行控制：很難精確地設(shè)置包過濾器，缺乏顧客級的授權(quán)；數(shù)

據(jù)包的源地址、目口勺地址以及IP端口號都在數(shù)據(jù)包的頭部，很有也許被冒充或竊取，而非法訪問一旦突

破防火墻，即可對主機上的系統(tǒng)和配置進行襲擊。

闡明：網(wǎng)絡(luò)層的安全防護，重要目的是保證網(wǎng)絡(luò)的可用性和合法使用，保護網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、主機

操作系統(tǒng)以及各TCP/IP服務(wù)的正常運行，根據(jù)IP地址控制顧客的網(wǎng)絡(luò)訪問。網(wǎng)絡(luò)層在ISO的體系層次中處

在較低的層次，因而其安全防護也是較低級的，并且不易使用和管理。網(wǎng)絡(luò)層的安全防護是面向IP空間的。

應(yīng)用層網(wǎng)關(guān)

應(yīng)用層網(wǎng)關(guān)(ApplicationLevelGateways)技術(shù)是在網(wǎng)絡(luò)的J應(yīng)用層上實現(xiàn)協(xié)議過濾和轉(zhuǎn)發(fā)功能。

它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定日勺數(shù)據(jù)過濾邏輯，并在過濾的同步，對數(shù)據(jù)包進行必要的分析、

記錄和記錄，形成匯報。實際的應(yīng)用網(wǎng)關(guān)一般安裝在專用工作站系統(tǒng)上，其實現(xiàn)機制如圖2所示。

圖2應(yīng)用網(wǎng)關(guān)防火，嗇實現(xiàn)機制

應(yīng)用層網(wǎng)關(guān)防火墻和數(shù)據(jù)包過濾有一種共同的特點，就是它們僅僅依托特定的邏輯來判斷與否容許數(shù)

據(jù)包通過。一旦符合條件，防火墻內(nèi)外H勺計算機系統(tǒng)便可以建立直接聯(lián)絡(luò)，外部口勺顧客便有也許直接理解

到防火墻內(nèi)部的網(wǎng)絡(luò)構(gòu)造和運行狀態(tài)，這大大增長了非法訪問和襲擊H勺機會。

針對對上缺陷，出現(xiàn)了應(yīng)用代理服務(wù)(Applicalion-levelProxyServer)技術(shù)。

闡明：應(yīng)用層的安全防護，重要目的保證信息訪問的合法性，保證合法顧客根據(jù)授權(quán)合法的訪問數(shù)

據(jù)，應(yīng)用層在ISO的體系層次中處在較高的層次，因而其安全防護也是較高級的。應(yīng)用層的安全防護是

面向顧客和應(yīng)用程序的。

應(yīng)用代理服務(wù)器

應(yīng)用代理服務(wù)技術(shù)可以將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段,防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用

層的連接，由兩個代理服務(wù)器之間H勺連接來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能抵達代理服務(wù)器，從而起

到隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外代理服務(wù)器也對過往的數(shù)據(jù)包進行分析、記錄、形成匯報，

當發(fā)現(xiàn)襲擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警告，并保留襲擊痕跡。其應(yīng)用層代理服務(wù)數(shù)據(jù)口勺控制及傳播過

程如圖3所不。

請求_FTP服務(wù)器！

請求轉(zhuǎn)發(fā)《、

三/服務(wù)器豆TTP服務(wù)器

轉(zhuǎn)發(fā)

服務(wù)器

應(yīng)答Telnet

圖3代理服務(wù)防火墻應(yīng)用層數(shù)據(jù)的控制及傳播

應(yīng)用代理服務(wù)器對客戶端的祈求行使“代理”職責(zé)?？蛻舳诉B接到防火墻并發(fā)出祈求，然后防火墻連

接到服務(wù)器，并代表這個客戶端反復(fù)這個祈求。返回時數(shù)據(jù)發(fā)送到代理服務(wù)器，然后再傳送給顧客，從而

保證內(nèi)部IP地址和口令不在InternetHH現(xiàn)。

長處：比包過濾防火墻安全，管理更豐富，功能提高輕易。易于記錄并控制所有的進/出通信，并對

Internet的訪問做到內(nèi)容級H勺過濾

缺陷：執(zhí)行速度慢，操作系統(tǒng)輕易遭到襲擊。

闡明：代理服務(wù)器(Proxysever)是指，處理代表內(nèi)部網(wǎng)絡(luò)顧客的外部服務(wù)器的程序?？蛻舸砼c

代理服務(wù)器對話，它核算顧客祈求，然后才送到真正的服務(wù)器上，代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)中請

服務(wù)時發(fā)揮了中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理服務(wù)器提出的服務(wù)祈求，拒絕外部網(wǎng)絡(luò)上其他節(jié)點時直

接祈求。當外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)的節(jié)點申請某種服務(wù)時，如FTP、、Telnet等，先由代理服務(wù)器接受，

然后根據(jù)其服務(wù)類型、服務(wù)內(nèi)容、被服務(wù)對象，以及申請者的域名范圍、IP地址等原因，決定與否接受此

項服務(wù)。假如接受，則由代理服務(wù)器向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)祈求，并把應(yīng)答回送給申請者；否則，拒絕其祈求。

根據(jù)其處理協(xié)議的不一樣，可分為FTP網(wǎng)關(guān)型、網(wǎng)關(guān)型、Telnet網(wǎng)關(guān)型等防火墻，其長處在于既能進行

安全控制，又可加速訪問，但實現(xiàn)起來比較困難，對于每一種服務(wù)協(xié)議必須設(shè)計一種代理軟件模式，以進

行安全控制。

狀態(tài)檢測防火墻

狀態(tài)檢測又稱動態(tài)包過濾，是在老式包過濾上的功能擴展，最早由Checkpoint提出。老式的包過

濾在碰到運用動態(tài)端口的協(xié)議時會發(fā)生困難，如ftp,你事先尢法懂得哪些端口需要打開，方假如采用

原始的靜態(tài)包過濾，又但愿用到的此服務(wù)口勺話，就需要實現(xiàn)將所有也許用到日勺端口打開，而這往往是個

非常大的范圍，會給安全帶來不必要的隱患。而狀態(tài)檢測通過檢查應(yīng)用程序信息（如ftp日勺PORT和PASS

命令），來判斷此端口與否容許需要臨時打開，而當傳播結(jié)束時，端口又立即恢復(fù)為關(guān)閉狀態(tài)。

狀態(tài)檢測防火墻在網(wǎng)絡(luò)層由一種檢杳引擎截獲數(shù)據(jù)包并抽取出與應(yīng)用層狀態(tài)有關(guān)日勺信息，并以此作

為根據(jù)決定對該連接是接受還是拒絕。檢查引擎維護一種動態(tài)日勺狀態(tài)信息表并對后續(xù)的數(shù)據(jù)包進行檢杳。

一旦發(fā)現(xiàn)任何連接H勺參數(shù)故意外的變化，該連接就被中斷。這種技術(shù)提供了高度安全日勺處理方案，同步

也具有很好的性能、適應(yīng)性和可擴展性。狀態(tài)檢測防火墻一般也包括某些代理級的服務(wù)，它們提供附加

日勺對特定應(yīng)用程序數(shù)據(jù)內(nèi)容的支持（如從連接中抽取出JavaApplets或ActiveX控件等）。

狀態(tài)檢測技術(shù)最適合提供對UDP協(xié)議H勺有限支持。它將所有通過防火墻日勺UDP分組均視為一種虛

擬連接，當反向應(yīng)答分組送達時就認為一種虛擬連接已經(jīng)建立。每個虛擬連接都具有一定日勺生存期，較

長時間沒有數(shù)據(jù)傳送H勺連接將被中斷。

狀態(tài)檢測防火墻克服了包過濾防火墻和應(yīng)用代理服務(wù)器的局限性，他們不僅僅檢測“t?！被颉癴rom”

H勺地址，并且也不規(guī)定每個被訪問時應(yīng)用均有代理。狀態(tài)檢測防火墻根據(jù)協(xié)議、端口及源、目日勺地址的詳

細狀況決定數(shù)據(jù)包與否可以通過,對于每個安全方略容許的祈求，狀態(tài)檢測防火墻啟動對應(yīng)的進程，可以

迅速地確認符合授權(quán)流通原則的數(shù)據(jù)包，這使得自身日勺運行非常迅速。

清華得實NctST?硬件防火墻綜合了包過濾和應(yīng)用代理服務(wù)器兩類防火墻時長處，在提供根據(jù)數(shù)據(jù)包地

址或端口進行過濾處理的同步還可實現(xiàn)對常用協(xié)議的）內(nèi)容過濾，即具有了包過濾類型防火墻H勺速度，又

具有代理類型防火墻H勺安全。

3.3防火墻管理的TCP/IP基礎(chǔ)

JTCP/IP安全簡介

假如你是?種網(wǎng)絡(luò)管理員或安全管理員，你需要對OSI參照模型非常熟悉。TCP/IP堆棧包拈四層。

為了更好的理解TCP/IP,請與OSI模型進行比較。

/TCP/IP物理層及其安全：

物理層由傳播在纜線上的電子信號構(gòu)成。

物理層上的安全保護措施不多。假如一種潛在I向黑客可以訪問物理介質(zhì)，如搭線竊聽和sniffer,他

將可以復(fù)制所有傳送U勺信息。唯一有效II勺保護是使用加密，流量添充等。

/TCP/IP網(wǎng)絡(luò)層及其安全：

IP層使用較高效的服務(wù)來傳送數(shù)據(jù)報文。所有上層通信，如TCP,UDP,ICMP,IGMP都被封裝到

一種IP數(shù)據(jù)報中。絕大多數(shù)安全威脅并不來自于TCP/IP堆棧內(nèi)這一層。

Internet協(xié)議(IP)：

IP報頭中包括某些信息和控制字段，以及32位的源IP地址和32位FI勺目的IP地址。這個字段包括

某些信息，如IP的版本號，長度，服務(wù)類型和其他配置等。

黑客常常運用一種叫做IP欺騙的技術(shù)，把源IP地址替代成一種錯誤的IP地址。接受主機不能判斷

源IP地址是不對的的，并且上層協(xié)議必須執(zhí)行某些檢查來防止這種欺騙

?Lab6-1：安裝網(wǎng)絡(luò)包捕捉軟件，捕捉包信息，分析IP報頭

Internet控制信息協(xié)議(ICMP),

Internet控制信息協(xié)議(ICMP)報文由接受端或者中間網(wǎng)絡(luò)設(shè)備發(fā)回給發(fā)送端，用來在TCP/IP包發(fā)

送出錯時給出回應(yīng)。

?ICMP消息類型

ICMP消息包括三個字段：Type、Code和Checksum,Type和Code字段決定了ICMP消息日勺類型。

0一一響應(yīng)答復(fù)：Ping命令發(fā)回時包；

3目不可達：由Router發(fā)回。

Code0：網(wǎng)絡(luò)不可達;

CodeI：主機不可達;

Code2：協(xié)議不可一:

Code3：端口不可達。

8響應(yīng)祈求：由Ping命令發(fā)出；

?制止ICMP消息

近來的襲擊措施包括TribalfloodNetwork(TFN)系列口勺程序運用ICMP消耗帶寬來有效地摧毀站

點，到今天，微軟U勺站點對于ping并不做出響應(yīng)，由于微軟已通過濾了所有代HCMP祈求。某些企業(yè)目

前也在他們的防火墻上過濾了ICMP流量。

?Lab6-2：通過網(wǎng)絡(luò)包捕捉軟件，捕捉ICMP包，分析ICMP報頭

/TCP/IP傳播層及其安全

傳播層控制主機間傳播的數(shù)據(jù)流。傳播層存在兩個協(xié)議，傳播控制協(xié)議(TCP)和顧客數(shù)據(jù)報協(xié)議

(UDP).

傳播控制協(xié)議(TCP)

TCP是一種面向連接的協(xié)議：對于兩臺計算機口勺通信，它們必須通過握手過程來進行信息互換。

?TCP包頭

TCP包頭口勺標識區(qū)建立和中斷一種基本的TCP連接.有三個標識來完畢這些過程：

>SYN：同步序列號；

>HN：發(fā)送端沒有更多的數(shù)據(jù)要傳播的信號;

ACK：識別數(shù)據(jù)包中確實認信息。

?建立一種TCP連接：SYN和ACK

通過三次握手。

?中斷一種TCP連接：FIN和ACK

結(jié)束一種TCP連接H勺四個基本環(huán)節(jié)。

?襲擊TCP

SYN溢出是TCPII勺最常見威脅，黑客可以建立多種TCP半連接，當服務(wù)器忙于創(chuàng)立一種端口時，

黑客留給服務(wù)器一種連接，然后又去建立另一種連接并也留給服務(wù)器。這樣建立了幾千個連接，直到n

U勺服務(wù)器打開了幾百個或上千個半連接。因此，服務(wù)器的性能受到嚴重限制，或服務(wù)器實際已經(jīng)瓦解。

防火墻必須配置為可以偵測這種襲擊。

?Lab6-3：通過網(wǎng)絡(luò)包捕捉軟件，捕捉TCP包，分析TCP報頭

顧客數(shù)據(jù)報協(xié)議(UDP)

UDP是一種非面向連接的協(xié)議。它常常用做廣播類型的I協(xié)雙，如音頻和視頻數(shù)據(jù)流。

UDP很少有安全上的隱患。由于主機發(fā)出一種UDP信息并不期望收到一種答復(fù)，在這種數(shù)據(jù)報文

里面嵌入一種惡意的活動是很困難H勺。

?Lab6-4,通過網(wǎng)絡(luò)包捕捉軟件，捕捉UDP包，分析UDP報頭

/TCP/IP應(yīng)用層及其安全

應(yīng)用層是最難保護的一層。由于TCP/IP應(yīng)用程序幾乎是可無限制地執(zhí)行的，你實際上是沒有措施保

護所有的應(yīng)用層上日勺程序的，因此只容許某些特殊H勺應(yīng)用程序能通過網(wǎng)絡(luò)進行通信是?種不錯的措施。

文獻傳播協(xié)議(FTP)

FTP用兩個端口通信：運用TCP21端口來控制連接日勺建立，控制連接端口在整個FTP會話中保持

開放。

FTP服務(wù)器也許不需要對客戶端進行認證：當需要認證時，所有日勺顧客名和密碼都是以明文傳播R勺。

同樣使用日勺技術(shù)包括FTP服務(wù)器上H勺日志文獻，黑客添滿便盤，使日志文獻沒有空間再記錄其他事

件，這樣黑客企圖講入操作系統(tǒng)或其他服務(wù)而不被口志文獻所椅杳到。

因此，推薦將FTP根目錄與操作系統(tǒng)和口志文獻分別放在不一樣的分區(qū)上。

超文本傳播協(xié)議()

有兩種明顯的安全問題：客戶端瀏覽應(yīng)用程序和服務(wù)器外部應(yīng)用程序。

對用Web顧客的一種安全問題是下載有破壞性的ActiveX控件或JAVAappletSo這些程序在顧客的

計算機上執(zhí)行并具有某種類別的代碼，包括病毒或特洛伊木馬。

為了擴大和擴展Web服務(wù)器的功能，某些擴展的應(yīng)用程序可以加入到服務(wù)器中。這些擴展時應(yīng)

用程序包括JAVA,CGLAST等等。這些程序均有某些安全漏洞，一旦Web服務(wù)器開始執(zhí)行代碼，那

么它有也許遭到破壞。對于這種破壞H勺保護措施是留心最新的安全補丁，下載并安裝這些補丁。

Telnet

Telnet是以明文的方式發(fā)送所有的顧客名和密碼的J。有經(jīng)驗的黑客可以劫持一種Telnet會話。

因此，它不應(yīng)當應(yīng)用到互聯(lián)網(wǎng)上。你還應(yīng)當在防火堵上過濾掉所有日勺Telnet流量。

簡樸網(wǎng)絡(luò)管理協(xié)議(SNMP)

SNMP容許管理員檢查狀態(tài)并且有時修改SNMP節(jié)點的配置。它使用兩個組件，即SNMP管理者和

SNMP節(jié)點。SNMP通過UDP的161和162端口傳遞所有的信息。

SNMP所提供的唯一認證就是communityname。假如一種黑客危及到communityname,他將可以杳

詢和修改網(wǎng)絡(luò)上所有使用SNMP|1勺節(jié)點。

另一種安全問題是所有的信息都是以明文傳播的I。SNMP是在你企業(yè)私有MJ網(wǎng)絡(luò)中可用的網(wǎng)絡(luò)管理

處理方案，不過所有H勺SNMP流顯要在防火墻上過濾掉。

域名系統(tǒng)（DNS）

DNS使用UDP53端口解析DNS祈求，不過在執(zhí)行區(qū)域傳播時使用TCP53端口。區(qū)域傳播是如下

面兩種狀況完畢的:

>一種客戶端運用nslookup命令向DNS服務(wù)器祈求進行區(qū)域傳播；

>當一種附屬域名服務(wù)器向主服務(wù)器祈求得到一種區(qū)域文獻；

針對DNS常見的兩種襲擊是：

?DNS中毒：黑客注入錯誤的數(shù)據(jù)到區(qū)域傳播中，其成果使得其產(chǎn)生錯誤的映射。

?獲得非法的區(qū)域傳播：黑客可以襲擊一種DNS服務(wù)器并得到它U勺區(qū)域文獻。這種襲擊的成果

是黑客可以懂得這個區(qū)域中所有系統(tǒng)的IP地址和計算機名字。

?Lab6-5：通過Whois、Nslookup查詢ciwcerti行ed域名DNS中歐J記錄

/使用地址轉(zhuǎn)換隱藏私有地址

?網(wǎng)絡(luò)地址轉(zhuǎn)換

?端口地址轉(zhuǎn)換

/使用過濾路由器的訪問控制列表保護網(wǎng)絡(luò)

3.4防火墻的體系構(gòu)造

圖NetST?防火墻的|系統(tǒng)構(gòu)造圖

圖3-1為NelST?防火墻H勺系統(tǒng)構(gòu)造圖，其中防火墻引擎模塊根據(jù)所制定EKJ安全方略對進出NetST?防火

墻H勺所有數(shù)據(jù)包進行從數(shù)據(jù)鏈路層到傳播控制層的過濾；內(nèi)容過濾服務(wù)器則完畢對應(yīng)用層數(shù)據(jù)的過濾，

NetST?防火墻自身是包過濾類型日勺防火墻，不具有應(yīng)用代理功能，但通過內(nèi)容過濾服務(wù)器日勺處理，使得

本來只能通過代理方式進行的內(nèi)容過濾功能也能在包過濾防火墻上實現(xiàn)；顧客登錄服務(wù)器處理內(nèi)部網(wǎng)絡(luò)

合法顧客的登錄祈求以訪問外部網(wǎng)絡(luò)，不合法顧客將不能訪問外部網(wǎng)絡(luò)；防火墻系統(tǒng)管理員運用NetST?

防火墻日勺管理接I」來進行防火墻R勺配置操作；NetST?管理服務(wù)器則是系統(tǒng)管理的關(guān)鍵，負責(zé)協(xié)調(diào)所有的

管理配置操作.

3.5NetST?防火墻過濾流程

圖3-2為NeiST?防火墻H勺過濾流程：對于所有進入NelST@防火墻H勺數(shù)據(jù)包，先進行系統(tǒng)安全檢查,

不符合的J數(shù)據(jù)包將被丟棄；通過檢查口勺數(shù)據(jù)包再根據(jù)顧客自定義的過濾規(guī)則進行處理，符合這些規(guī)則的

數(shù)據(jù)包將根據(jù)規(guī)則H勺動作確定是接受、拒絕還是進行內(nèi)容過濾；對于不符合所有規(guī)則的數(shù)據(jù)包，將根據(jù)

系統(tǒng)的缺省動作進行處理，以確定是接受還是拒絕，一般防火墻的缺省動作應(yīng)當是拒絕。

NetST?防火墻過濾流程

/包過濾防火墻

包過濾防火堵檢查每一種通過口勺網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。

包過濾規(guī)則路的樣本：

規(guī)則協(xié)議類型源地址目的地址端口網(wǎng)卡位置措施

1TCP22內(nèi)網(wǎng)容許

2TCP任意80外網(wǎng)容許

3TCP任意25外網(wǎng)容許

4UDP任意53外網(wǎng)容許

5UDP任意53外網(wǎng)容許

6任意任意任意任意任意嚴禁

包過濾的長處是：

不用改動客戶機和主機上的應(yīng)用程序，由于它工作在網(wǎng)絡(luò)層和傳播層，與應(yīng)用層無關(guān)。

包過濾最大的缺陷就是：

?不能辨別哪些是“好”包哪些是“壞”包，對包哄騙沒有防備能力；

?不支持更多口勺其他驗證，如顧客認證；

?創(chuàng)立這些規(guī)則非常消耗時間。

?Lab6-6：通過清華得實NetST系列防火墻配置包過濾規(guī)則

/應(yīng)用級網(wǎng)關(guān)

應(yīng)用程序代理防火墻實際上并不容許在它連接的網(wǎng)絡(luò)之間直接通信。相反，它是接受來自內(nèi)部網(wǎng)絡(luò)

特定顧客應(yīng)用程序日勺通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨的連接。網(wǎng)絡(luò)內(nèi)部的顧客不直接與外部的服

務(wù)器通信，因此服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分。

應(yīng)用級網(wǎng)關(guān)可以作為某些應(yīng)用程序如電子郵件、FTP、Telnet,等的中介。

使用應(yīng)用級網(wǎng)關(guān)的長處有：

?指定對連接U勺控制。

?通過限制某曲協(xié)議的傳出祈求，來減少網(wǎng)絡(luò)中不必要的服務(wù)。

?大多數(shù)代理防火墻可以記錄所有的連接，包括地址和持續(xù)時間。

使用應(yīng)用級網(wǎng)關(guān)的缺陷有：

?必須在一定范圍內(nèi)定制顧客日勺系統(tǒng)，這取決于所用日勺應(yīng)用程序。

?某些應(yīng)用程序也許主線不支持代理連接。

?Lab6-7：通過清華得實NetST系列防火墻配置應(yīng)用服務(wù)公布規(guī)則

/電路級網(wǎng)關(guān)

電路級網(wǎng)關(guān)型防火墻的運行方式與應(yīng)用級網(wǎng)關(guān)型防火墻很相似，不過它有?種經(jīng)典日勺特性，它更多

H勺是面向非交互式日勺應(yīng)用程序。在顧客通過了最初的身份驗證之后，電路級網(wǎng)關(guān)型防火墻就容許顧客穿

過網(wǎng)關(guān)來訪問服務(wù)器了，在此過程中，電路級網(wǎng)關(guān)型防火墻只是簡樸的中轉(zhuǎn)顧客和服務(wù)器之間的連接而

己,

電路級網(wǎng)關(guān)型防火墻的經(jīng)典應(yīng)用例子就是代理服務(wù)器和SOCKS服務(wù)器。

電路級網(wǎng)關(guān)一般提供一種重要U勺安全功能：網(wǎng)絡(luò)地址轉(zhuǎn)移（NAT）,將所有企業(yè)內(nèi)部的IP地址映射

到一種“安全”的IP地址。

電路級網(wǎng)關(guān)的優(yōu)缺陷：

電路級網(wǎng)關(guān)的重要長處就是提供NAT,在使用內(nèi)部網(wǎng)絡(luò)地址機制時為網(wǎng)絡(luò)管理員實現(xiàn)安全提供了很

大的靈活性。電路級網(wǎng)關(guān)一種重要U勺缺陷是需要修改應(yīng)用程序和執(zhí)行程序，并不是所有的應(yīng)用程序都被

編寫成可與電路級代理一起工作的。

3.6防火墻的配置方案

目前比較流行H勺有如卜.三種防火墻配置方案。

/雙宿主機網(wǎng)關(guān)(DualHomedGateway)

屏蔽主機網(wǎng)關(guān)(ScreenedHostGateway)

客

P

機

圖3屏蔽王機網(wǎng)關(guān)（雙宿堡壘主機）

圖3屏蔽主機網(wǎng)關(guān)（雙宿堡壘主機）

屏蔽子網(wǎng)(ScreenedSubnet)

圖4屏蔽子網(wǎng)防火墻

?Lab6-8：通過清華得實NetST系列防火墻配置以上模式防火墻

四、VPN技術(shù)

27.定義虛擬專用網(wǎng)絡(luò)

虛擬專用網(wǎng)（VPN）被定義為通過一種公用網(wǎng)絡(luò)（一般是因特網(wǎng)）建立一種臨時的、安全的連接，

是一條穿過混亂日勺公用網(wǎng)絡(luò)的J安全、穩(wěn)定口勺隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。

虛擬專用網(wǎng)可以協(xié)助遠程顧客、企業(yè)分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同企業(yè)的內(nèi)部網(wǎng)建立可信的安全

連接，并保證數(shù)據(jù)的安全傳播。

?虛擬專用網(wǎng)至少應(yīng)能提供如下功能：

?加密數(shù)據(jù)，以保證通過公網(wǎng)傳播口勺信息雖然被他人截獲也不會泄露。

?信息認證和身份認證，保證信息的完整性、合法性，并能鑒別顧客H勺身份。

?提供訪問控制，不一樣的顧客有不一樣的I訪問權(quán)限。

/VPN的分類

根據(jù)VPN所起的作用，可以將VPN分為三類：VPDNsIntranetVPNExtranetVPNo

VPDN（VirtualPrivateDialNetwork）