畢業(yè)論文 網(wǎng)絡(luò)安全與防火墻技術(shù)

1、<p>　　網(wǎng)絡(luò)安全與防火墻技術(shù)</p><p><b>　　摘 要</b></p><p>　　本文比較詳細(xì)的介紹了網(wǎng)絡(luò)安全的基礎(chǔ)知識(shí)，以及防火墻的基本知識(shí)、實(shí)現(xiàn)方法、基本功能、主要類型、防火墻的應(yīng)用和分析，通過對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、防火墻的一些缺陷以及系統(tǒng)漏洞的分析，運(yùn)用superscan、xscan等工具掃描漏洞，找出可行之方法，達(dá)到繞過防火墻對(duì)系統(tǒng)進(jìn)行攻

2、擊的目的。文中以一次成功的繞過防火墻的入侵為例，對(duì)此進(jìn)行了簡(jiǎn)單的說明，并給出了一些加強(qiáng)安全措施的建議以及對(duì)新一代防火墻的發(fā)展趨勢(shì)的展望。</p><p>　　關(guān)鍵字 ： 網(wǎng)絡(luò)安全 計(jì)算機(jī)網(wǎng)絡(luò) 防火墻 漏洞 </p><p><b>　　Abstract</b></p><p>　　This text introdu

3、ced the foundation knowledge of the network safety more and detailedly, and the basic knowledge of the fire wall, carry out the application of method, basic function, main type, fire wall and analyze, pass the analysis t

4、o some blemishs and the system loophole of network structure, fire wall, make use of the superscan, xscan etc. tool to scan the loophole, find out the method that can go, attain to round the purpose that carries on the a

5、ttack to the system over the fire wall. In </p><p>　　Key word: Network safety Calculator network Fire wall Loophole</p><p><b>　　引 言</b></p><p>　　因特網(wǎng)的發(fā)展給人們的通信帶來了革

6、命性的變革，但在獲得便利的同時(shí)，也要面對(duì)因特網(wǎng)在數(shù)據(jù)安全方面所帶來的挑戰(zhàn)。為此，本文著重討論了網(wǎng)絡(luò)安全的問題，主要包括以下兩個(gè)方面：（1）確保網(wǎng)絡(luò)上傳輸信息的私有性，不被非法竊取、篡改和偽造；（2）限制用戶在網(wǎng)絡(luò)上（或程序）的訪問權(quán)限，防止非法用戶（或程序）的侵入。目前，解決第一個(gè)問題的方法主要是采用信息加密技術(shù)，而解決第二個(gè)問題，普遍采用的是防火墻技術(shù)，所謂防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之

7、間的一系列部件的組合。但是，凡事都有它的兩面性。雖然防火墻是一種行之有效的網(wǎng)絡(luò)安全機(jī)制，可以通過在因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間提供路由功能，保證網(wǎng)絡(luò)信息的安全，但是防火墻也有不足之處，也存在著被黑客攻擊繞過的安全漏洞，從而失去防護(hù)的作用。因此，安全并不僅僅只是以上所說的防火墻等安全設(shè)備，更多的因素還是在人，因?yàn)槿耸侵黧w、是管理者。因此，在關(guān)注網(wǎng)絡(luò)安全的同時(shí)，我們更應(yīng)該關(guān)注管理員的素質(zhì)和管理水平，一支高素質(zhì)的管理員隊(duì)伍會(huì)使網(wǎng)絡(luò)的安全性倍增。<

8、;/p><p><b>　　網(wǎng)絡(luò)安全概述 </b></p><p>　　21世紀(jì)全世界的計(jì)算機(jī)都將通過Internet聯(lián)到一起，隨著Internet的發(fā)展，豐富的網(wǎng)絡(luò)信息資源給用戶帶來了極大的方便，但同時(shí)也給上網(wǎng)用戶帶來了安全問題。由于Internet的開放性和超越組織與國(guó)界等特點(diǎn)，使它在安全性上存在一些隱患。而且信息安全的內(nèi)涵也發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變

9、成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。</p><p>　　1.1 網(wǎng)絡(luò)安全的概念</p><p>　　國(guó)際標(biāo)準(zhǔn)化組織（ISO）對(duì)計(jì)算機(jī)系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計(jì)算機(jī)網(wǎng)絡(luò)的安全理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)

10、據(jù)的可用性、完整性和保密性。所以，建立網(wǎng)絡(luò)安全保護(hù)措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等。 </p><p>　　1.2 網(wǎng)絡(luò)安全防范的內(nèi)容</p><p>　　一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完整性、保密性和真實(shí)性等特點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，還要保護(hù)數(shù)據(jù)安全等。因此針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存

11、在的安全問題，實(shí)施網(wǎng)絡(luò)安全保護(hù)方案以確保計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性是每一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)都要認(rèn)真對(duì)待的一個(gè)重要問題。網(wǎng)絡(luò)安全防范的重點(diǎn)主要有兩個(gè)方面：一是計(jì)算機(jī)病毒，二是黑客犯罪。 </p><p>　　計(jì)算機(jī)病毒是我們大家都比較熟悉的一種危害計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的破壞性程序。黑客犯罪是指?jìng)€(gè)別人利用計(jì)算機(jī)高科技手段，盜取密碼侵入他人計(jì)算機(jī)網(wǎng)絡(luò)，非法獲得信息、盜用特權(quán)等，如非法轉(zhuǎn)移銀行資金、盜用他人銀行帳號(hào)購物等。隨著網(wǎng)絡(luò)

12、經(jīng)濟(jì)的發(fā)展和電子商務(wù)的展開，嚴(yán)防黑客入侵、切實(shí)保障網(wǎng)絡(luò)交易的安全，不僅關(guān)系到個(gè)人的資金安全、商家的貨物安全，還關(guān)系到國(guó)家的經(jīng)濟(jì)安全、國(guó)家經(jīng)濟(jì)秩序的穩(wěn)定問題，因此各級(jí)組織和部門必須給予高度重視。</p><p>　　1.3 確保網(wǎng)絡(luò)安全的主要技術(shù)</p><p>　　1.3.1 防火墻技術(shù) </p><p>　　網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止

13、外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。 </p><p>　　目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。 </p><p>　　防火

14、墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。</p><p>　　1.3.2 加密技術(shù) </p><

15、p>　　信息加密技術(shù)分為兩類：即對(duì)稱加密和非對(duì)稱加密。具體如下： </p><p>　　（1）對(duì)稱加密技術(shù) </p><p>　　在對(duì)稱加密技術(shù)中，對(duì)信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡(jiǎn)化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機(jī)密性和報(bào)文完整性就可以得以保證。對(duì)稱加密技術(shù)也存在一些不足，

16、如果交換一方有N個(gè)交換對(duì)象，那么他就要維護(hù)N個(gè)私有密鑰，對(duì)稱加密存在的另一個(gè)問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對(duì)方的。 </p><p>　?。?）非對(duì)稱加密技術(shù) </p><p>　　在非對(duì)稱加密體系中，密鑰被分解為一對(duì)（即公開密鑰和私有密鑰）。這對(duì)密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰

17、）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對(duì)應(yīng)于生成密鑰的交換方。非對(duì)稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對(duì)稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計(jì)算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。 </p><p>　　RSA算法是Rivest、Sha

18、mir和Adleman于1977年提出的第一個(gè)完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個(gè)基本事實(shí)：到目前為止，無法找到一個(gè)有效的算法來分解兩大素?cái)?shù)之積。RSA算法的描述如下： </p><p>　　公開密鑰：n=pq(p、q分別為兩個(gè)互異的大素?cái)?shù)，p、q必須保密) </p><p>　　e與（p-1）(q-1)互素 </p><p

19、>　　私有密鑰：d=e-1 {mod(p-1)(q-1)} </p><p>　　加 密：c=me(mod n),其中m為明文，c為密文。 </p><p>　　解 密：m=cd(mod n) </p><p>　　利用目前已經(jīng)掌握的知識(shí)和理論，分解2048bit的大整數(shù)已經(jīng)超過了64位計(jì)算機(jī)的運(yùn)算能力，因此在目前和預(yù)見的將來，它是足夠安全的。&l

20、t;/p><p><b>　　虛擬專用網(wǎng)</b></p><p>　　虛擬專用網(wǎng)(Virtual Private Network，VPN)是近年來隨著Internet的發(fā)展而迅速發(fā)展起來的一種技術(shù)?，F(xiàn)代企業(yè)越來越多地利用Internet資源來進(jìn)行促銷、銷售、售后服務(wù)，乃至培訓(xùn)、合作等活動(dòng)。許多企業(yè)趨向于利用Internet來替代它們私有數(shù)據(jù)網(wǎng)絡(luò)。這種利用Internet來

21、傳輸私有信息而形成的邏輯網(wǎng)絡(luò)就稱為虛擬專用網(wǎng)。 </p><p>　　虛擬專用網(wǎng)實(shí)際上就是將Internet看作一種公有數(shù)據(jù)網(wǎng)，這種公有網(wǎng)和PSTN網(wǎng)在數(shù)據(jù)傳輸上沒有本質(zhì)的區(qū)別，從用戶觀點(diǎn)來看，數(shù)據(jù)都被正確傳送到了目的地。相對(duì)地，企業(yè)在這種公共數(shù)據(jù)網(wǎng)上建立的用以傳輸企業(yè)內(nèi)部信息的網(wǎng)絡(luò)被稱為私有網(wǎng)。 </p><p>　　目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tun

22、neling）、加解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。 </p><p>　?。?）隧道技術(shù)（Tunneling） </p><p>　　隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或

23、包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。 </p><p>　　被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過的邏輯路徑稱為隧道。一旦到達(dá)網(wǎng)絡(luò)終點(diǎn)，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。注意隧道技術(shù)是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程。 </p><p

24、>　?。?）加解密技術(shù)（Encryption & Decryption） </p><p>　　對(duì)通過公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，確保網(wǎng)絡(luò)其他未授權(quán)的用戶無法讀取該信息。加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。 </p><p>　?。?）密鑰管理技術(shù) （Key Management）</p><p>　　密鑰管理技術(shù)

25、的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。 </p><p>　　（4）使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication） </p><p>　　VPN方案必須能夠驗(yàn)證用戶身份

26、并嚴(yán)格控制只有授權(quán)用戶才能訪問VPN。另外，方案還必須能夠提供審計(jì)和記費(fèi)功能，顯示何人在何時(shí)訪問了何種信息。身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。 </p><p>　　VPN整合了范圍廣泛的用戶，從家庭的撥號(hào)上網(wǎng)用戶到辦公室連網(wǎng)的工作站，直到ISP的Web服務(wù)器。用戶類型、傳輸方法，以及由VPN使用的服務(wù)的混合性，增加了VPN設(shè)計(jì)的復(fù)雜性，同時(shí)也增加了網(wǎng)絡(luò)安全的復(fù)雜性。如果能有效地采用VPN

27、技術(shù)，是可以防止欺詐、增強(qiáng)訪問控制和系統(tǒng)控制、加強(qiáng)保密和認(rèn)證的。選擇一個(gè)合適的VPN解決方案可以有效地防范網(wǎng)絡(luò)黑客的惡意攻擊。</p><p><b>　　安全隔離 </b></p><p>　　網(wǎng)絡(luò)的安全威脅和風(fēng)險(xiǎn)主要存在于三個(gè)方面：物理層、協(xié)議層和應(yīng)用層。網(wǎng)絡(luò)線路被惡意切斷或過高電壓導(dǎo)致通信中斷，屬于物理層的威脅；網(wǎng)絡(luò)地址偽裝、Teardrop碎片攻擊、SYNFl

28、ood等則屬于協(xié)議層的威脅；非法URL提交、網(wǎng)頁惡意代碼、郵件病毒等均屬于應(yīng)用層的攻擊。從安全風(fēng)險(xiǎn)來看，基于物理層的攻擊較少，基于網(wǎng)絡(luò)層的攻擊較多，而基于應(yīng)用層的攻擊最多，并且復(fù)雜多樣，難以防范。 </p><p>　　面對(duì)新型網(wǎng)絡(luò)攻擊手段的不斷出現(xiàn)和高安全網(wǎng)絡(luò)的特殊需求，全新安全防護(hù)理念--"安全隔離技術(shù)"應(yīng)運(yùn)而生。它的目標(biāo)是，在確保把有害攻擊隔離在可信網(wǎng)絡(luò)之外，并保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄

29、的前提下，完成網(wǎng)間信息的安全交換。 </p><p>　　隔離概念的出現(xiàn)，是為了保護(hù)高安全度網(wǎng)絡(luò)環(huán)境，隔離產(chǎn)品發(fā)展至今共經(jīng)歷了五代。 </p><p>　　第一代隔離技術(shù)，完全的隔離。采用完全獨(dú)立的設(shè)備、存儲(chǔ)和線路來訪問不同的網(wǎng)絡(luò)，做到了完全的物理隔離，但需要多套網(wǎng)絡(luò)和系統(tǒng)，建設(shè)和維護(hù)成本較高。 </p><p>　　第二代隔離技術(shù)，硬件卡隔離。通過硬件卡控制獨(dú)立存

30、儲(chǔ)和分時(shí)共享設(shè)備與線路來實(shí)現(xiàn)對(duì)不同網(wǎng)絡(luò)的訪問，它仍然存在使用不便、可用性差等問題，有的設(shè)計(jì)上還存在較大的安全隱患。 </p><p>　　第三代隔離技術(shù)，數(shù)據(jù)轉(zhuǎn)播隔離。利用轉(zhuǎn)播系統(tǒng)分時(shí)復(fù)制文件的途徑來實(shí)現(xiàn)隔離，切換時(shí)間較長(zhǎng)，甚至需要手工完成，不僅大大降低了訪問速度，更不支持常見的網(wǎng)絡(luò)應(yīng)用，只能完成特定的基于文件的數(shù)據(jù)交換。 </p><p>　　第四代隔離技術(shù)，空氣開關(guān)隔離。該技術(shù)是通過使

31、用單刀雙擲開關(guān)，通過內(nèi)外部網(wǎng)絡(luò)分時(shí)訪問臨時(shí)緩存器來完成數(shù)據(jù)交換的，但存在支持網(wǎng)絡(luò)應(yīng)用少、傳輸速度慢和硬件故障率高等問題，往往成為網(wǎng)絡(luò)的瓶頸。 </p><p>　　第五代隔離技術(shù)，安全通道隔離。此技術(shù)通過專用通信硬件和專有交換協(xié)議等安全機(jī)制，來實(shí)現(xiàn)網(wǎng)絡(luò)間的隔離和數(shù)據(jù)交換，不僅解決了以往隔離技術(shù)存在的問題，并且在網(wǎng)絡(luò)隔離的同時(shí)實(shí)現(xiàn)高效的內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，它透明地支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。&l

32、t;/p><p>　　入侵監(jiān)測(cè)技術(shù)（IDS）</p><p>　　入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，這種活動(dòng)可能來自于網(wǎng)絡(luò)的外部和內(nèi)部。入侵檢測(cè)系統(tǒng)的應(yīng)用，能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊

33、。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加入知識(shí)庫內(nèi)，以增強(qiáng)系統(tǒng)的防范能力。</p><p>　　目前的IDS作為只能是網(wǎng)絡(luò)安全整體解決方案的一個(gè)重要部分，需要與其他安全設(shè)備之間進(jìn)行緊密的聯(lián)系，共同解決網(wǎng)絡(luò)安全問題。也許未來的IDS需要一種新的系統(tǒng)體系來克服自身的不足，但目前只能將IDS的各個(gè)功能模塊與其他安全產(chǎn)品有機(jī)地融合起來。</p&

34、gt;<p><b>　　防火墻概述</b></p><p>　　在20世紀(jì)80年代中期，網(wǎng)絡(luò)衛(wèi)士隨著信息戰(zhàn)爭(zhēng)威脅的萌芽應(yīng)運(yùn)而生了。諸如Compaq和IBM這樣的計(jì)算機(jī)銷售商從不完善的安全系統(tǒng)中開發(fā)了防火墻，這些大公司使用防火墻來保證他們自己網(wǎng)絡(luò)的安全。從目前來看，防火墻已經(jīng)成為解決網(wǎng)絡(luò)安全問題的重要手段?！　?防火墻是一種行之有效的網(wǎng)絡(luò)安全機(jī)制，被用來在內(nèi)部網(wǎng)絡(luò)的邊界上建

35、立安全檢查點(diǎn)。通過在因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間提供路由功能，防火墻檢查所有在這兩個(gè)網(wǎng)絡(luò)間的通信，根據(jù)這些通信是否匹配，以編好的安全策略規(guī)則來決定通過或斷開通信。</p><p>　　2.1 防火墻的概念</p><p>　　2.1.1 什么是防火墻</p><p>　　防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。

36、它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。</p><p>　　2.1.2 防火墻邏輯位置:</p><p>　　在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全

37、。</p><p><b>　　防火墻的基本分類</b></p><p>　　2.2.1 從防火墻的軟、硬件形式來分 </p><p>　　防火墻可以分為軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。</p><p><b>　　第一種：軟件防火墻</b></p><p>　　軟

38、件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。</p><p>　　第二種：硬件防火墻 </p><p>　　

39、這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上"所謂"二字是針對(duì)芯片級(jí)防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡(jiǎn)化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。 值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因

40、此依然會(huì)受到OS（操作系統(tǒng)）本身的安全性影響。傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個(gè)端口，分別接內(nèi)網(wǎng)，外網(wǎng)和DMZ區(qū)（非軍事化區(qū)），現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口，常見四端口防火墻一般將第四個(gè)端口做為配置口、管理端口。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目。</p><p>　　第三種：芯片級(jí)防火墻</p><p>　　芯片級(jí)防火墻基于專門的硬件平臺(tái)，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比

41、其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)）,因此防火墻本身的漏洞比較少，不過價(jià)格較高昂。</p><p>　　2.2.3 從防火墻所采用的技術(shù)不同來分 </p><p>　　我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換-NAT、代理型和監(jiān)測(cè)型。具體如下： <

42、;/p><p>　　(1) 包過濾防火墻 第一代防火墻和最基本形式防火墻檢查每一個(gè)通過的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。這稱為包過濾防火墻。本質(zhì)上，包過濾防火墻是多址的，表明它有兩個(gè)或兩個(gè)以上網(wǎng)絡(luò)適配器或接口。例如，作為防火墻的設(shè)備可能有兩塊網(wǎng)卡(NIC)，一塊連到內(nèi)部網(wǎng)絡(luò)，一塊連到公共的Internet。防火墻的任務(wù)，就是作為“通信警察”，指引包和截住那些有危害的包。 包過濾

43、防火墻檢查每一個(gè)傳入包，查看包中可用的基本信息（源地址和目的地址、端口號(hào)、協(xié)議等）。然后，將這些信息與設(shè)立的規(guī)則相比較。如果已經(jīng)設(shè)立了阻斷telnet連接，而包的目的端口是23的話，那么該包就會(huì)被丟棄。如果允許傳入Web連接，而目的端口為80，則包就會(huì)被放行。多個(gè)復(fù)雜規(guī)則的組合也是可行的。如果允許Web連接，但只針對(duì)特定的服務(wù)器，目的端口和目的地址二者必須與規(guī)則相匹配，才可以讓該包通過。最后，可以確定當(dāng)一個(gè)包到達(dá)時(shí)，如果對(duì)該包沒有規(guī)則被

44、定義，接下來將會(huì)發(fā)生什么事情了。通常，為了安全起見，與傳入規(guī)則不匹配的包就被丟棄了。如果有理由讓該包通過，就要建立規(guī)則來處理它。建立包過濾防火墻規(guī)則的例子如下：</p><p>　　傳入的包包含路由信息，它覆蓋了包通過網(wǎng)絡(luò)應(yīng)采取得正常路由，可能會(huì)繞過已有的安全程序。通過忽略源路由信息，防火墻可以減少這種方式的攻擊。 （2）狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻 狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻，試圖跟蹤通過防火墻的網(wǎng)絡(luò)連接和

45、包，這樣防火墻就可以使用一組附加的標(biāo)準(zhǔn)，以確定是否允許和拒絕通信。它是在使用了基本包過濾防火墻的通信上應(yīng)用一些技術(shù)來做到這點(diǎn)的。當(dāng)包過濾防火墻見到一個(gè)網(wǎng)絡(luò)，包是孤立存在的。它沒有防火墻所關(guān)心的歷史或未來。允許和拒絕包的決定完全取決于包自身所包含的信息，如源地址、目的地址、端口號(hào)等。包中沒有包含任何描述它在信息流中的位置的信息，則該包被認(rèn)為是無狀態(tài)的；它僅是存在而已。一個(gè)有狀態(tài)包檢查防火墻跟蹤的不僅是包中包含的信息。為了跟蹤包的狀態(tài)，防火

46、墻還記錄有用的信息以幫助識(shí)別包，例如已有的網(wǎng)絡(luò)連接、數(shù)據(jù)的傳出請(qǐng)求等。例如，如果傳入的包包含視頻數(shù)據(jù)流，而防火墻可能已經(jīng)記錄了有關(guān)信息，是關(guān)于位于特定IP地址的應(yīng)用程序最近向發(fā)出包的源地址請(qǐng)求視頻信號(hào)的信息。如果傳入的包是要傳給發(fā)出請(qǐng)求的相同系統(tǒng)，防火墻進(jìn)行匹配，包就可以被允許通過。 一個(gè)狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻可截?cái)嗨袀魅氲?lt;/p><p>　　●POP3 ●IMAP

47、 ●NNTP </p><p>　　●TELNET ●FTP ●IRC 應(yīng)用程序代理防火墻可以配置成允許來自內(nèi)部網(wǎng)絡(luò)的任何連接，它也可以配置成要求用戶認(rèn)證后才建立連接。要求認(rèn)證的方式由只為已知的用戶建立連接的這種限制，為安全性提供了額外的保證。如果網(wǎng)絡(luò)受到危害，這個(gè)特征使得從內(nèi)部發(fā)動(dòng)攻擊的可能性大大減少。</

48、p><p>　?。?）NAT 討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術(shù)上講它根本不是防火墻。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)協(xié)議將內(nèi)部網(wǎng)絡(luò)的多個(gè)IP地址轉(zhuǎn)換到一個(gè)公共地址發(fā)到Internet上。NAT經(jīng)常用于小型辦公室、家庭等網(wǎng)絡(luò)，多個(gè)用戶分享單一的IP地址，并為Internet連接提供一些安全機(jī)制。當(dāng)內(nèi)部用戶與一個(gè)公共主機(jī)通信時(shí)，NAT追蹤是哪一個(gè)用戶作的請(qǐng)求，修改傳出的包，這樣包就像是來自單一的公共IP

49、地址，然后再打開連接。一旦建立了連接，在內(nèi)部計(jì)算機(jī)和Web站點(diǎn)之間來回流動(dòng)的通信就都是透明的了。當(dāng)從公共網(wǎng)絡(luò)傳來一個(gè)未經(jīng)請(qǐng)求的傳入連接時(shí)，NAT有一套規(guī)則來決定如何處理它。如果沒有事先定義好的規(guī)則，NAT只是簡(jiǎn)單的丟棄所有未經(jīng)請(qǐng)求的傳入連接，就像包過濾防火墻所做的那樣?？墒?，就像對(duì)包過濾防火墻一樣，你可以將NAT配置為接受某些特定端口傳來的傳入連接，并將它們送到一個(gè)特定的主機(jī)地址。 （5）個(gè)人防火墻 現(xiàn)在網(wǎng)絡(luò)上流傳著很

50、多的個(gè)人防火墻軟件，它是應(yīng)用程序級(jí)的。個(gè)人防火墻是一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)安全的軟件，它可以直接在用戶的計(jì)算機(jī)上運(yùn)行，使用與狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻相同的方式</p><p>　　2.3 防火墻的基本功能</p><p><b>　　網(wǎng)絡(luò)安全的屏障</b></p><p>　　防火墻可通過過濾不安全的服務(wù)而減低風(fēng)險(xiǎn)，極大地提高內(nèi)部網(wǎng)絡(luò)的安全性

51、。由于只有經(jīng)過選擇并授權(quán)允許的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以禁止諸如不安全的NFS協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò)，使攻擊者不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向路徑。防火墻能夠拒絕所有以上類型攻擊的報(bào)文，并將情況及時(shí)通知防火墻管理員。</p><p>　　2.3.2 強(qiáng)化網(wǎng)絡(luò)安全策略</p>&

52、lt;p>　　通過以防火墻為中心的安全方案配置。能將所有安全軟件(如口令、加密、身份認(rèn)證等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如，在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其他的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上而集中在防火墻。</p><p>　　2.3.3 對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)</p><p>　　由于所有的訪問都必須經(jīng)過

53、防火墻，所以防火墻就不僅能夠制作完整的日志記錄，而且還能夠提供網(wǎng)絡(luò)使用的情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是一項(xiàng)非常重要的工作。這不僅有助于了解防火墻的控制是否能夠抵擋攻擊者的探測(cè)和攻擊，了解防火墻的控制是否充分有效，而且有助于作出網(wǎng)絡(luò)需求分析和威脅分析。</p><p>　　2.3.4 防止內(nèi)部信息的外泄<

54、;/p><p>　　通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)中重點(diǎn)網(wǎng)段的隔離，限制內(nèi)部網(wǎng)絡(luò)中不同部門之間互相訪問，從而保障了網(wǎng)絡(luò)內(nèi)部敏感數(shù)據(jù)的安全。另外，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)，可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至由此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱藏那些透露內(nèi)部細(xì)節(jié)的服務(wù)，如Finger、DNS等。Finger顯示了主機(jī)的所有用戶的用戶名、

55、真名、最后登錄時(shí)間和使用Shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。</p><p>　　2.4　防火墻的設(shè)置方案</p><p>　　最簡(jiǎn)單的防火墻配置，就是直接在內(nèi)部網(wǎng)

56、和外部網(wǎng)之間加裝一個(gè)包過濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全，有時(shí)還要將幾種防火墻技術(shù)組合起來構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。</p><p>　　雙宿主機(jī)網(wǎng)關(guān)（Dual Homed Gateway）</p><p>　　這種配置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件（通

57、常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)，一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護(hù)的內(nèi)部網(wǎng)絡(luò)。</p><p>　　（2） 屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway）</p><p>　　屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來看單宿堡壘主機(jī)類型。

58、一個(gè)包過濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從Internet惟一可以訪問的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機(jī)，可以受控制地通過屏蔽主機(jī)和路由器訪問Internet。</p><p>　　雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部

59、網(wǎng)絡(luò)，一塊連接包過濾路由器。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。</p><p>　?。?）屏蔽子網(wǎng)（Screened Subnet）</p><p>　　這種方法是在Intranet和Internet之間建立一個(gè)被隔離的子網(wǎng)，用兩個(gè)包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開。兩個(gè)包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“緩沖地帶”，兩個(gè)路由

60、器一個(gè)控制Intranet 數(shù)據(jù)流，另一個(gè)控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)，但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個(gè)包過濾路由器的檢查。對(duì)于向Internet公開的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。這種結(jié)

61、構(gòu)的防火墻安全性能高，具有很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價(jià)高。</p><p><b>　　防火墻入侵分析</b></p><p>　　在前一章中我們?cè)敿?xì)的論述了防火墻的基礎(chǔ)知識(shí)和各個(gè)方面的應(yīng)用特征，我們知道防火墻是現(xiàn)在應(yīng)用極為廣泛的安全設(shè)備（軟件），但我們還時(shí)?？梢钥吹接泻芏嗟膸в蟹阑饓Φ木W(wǎng)站被攻擊，顯然防火墻也是有不足之處的，下面我就此對(duì)防火墻進(jìn)行簡(jiǎn)單的分析

62、：</p><p>　　3.1 防火墻的安全和效能分析</p><p>　　在捍衛(wèi)網(wǎng)絡(luò)安全的過程中，防火墻受到人們?cè)絹碓蕉嗟那嗖A。作為一種提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，防火墻采用將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法，可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流。再加上防火墻本身具有較強(qiáng)的抗攻擊能力，能有效地監(jiān)控內(nèi)部網(wǎng)和Int

63、ernet之間的任何活動(dòng)，從而為內(nèi)部網(wǎng)絡(luò)的安全提供了有力的保證。 </p><p>　　但是，防火墻在為內(nèi)部網(wǎng)絡(luò)帶來安全的同時(shí)，也產(chǎn)生了一定的反作用——它降低了網(wǎng)絡(luò)運(yùn)行效率。目前防火墻的控制技術(shù)可分為：封包過濾型(Packet Filter)、封包檢驗(yàn)型(Stateful Inspection Packet Filter)以及應(yīng)用網(wǎng)關(guān)型(Application Gateway)三種。這三種技術(shù)分別在安全性或效能

64、上有自身優(yōu)點(diǎn)。不過一般人往往只注意防火墻的效能而忽略了安全性與效率之間的矛盾。</p><p>　　封包過濾型: 封包過濾型會(huì)檢查所有進(jìn)出防火墻的封包標(biāo)頭內(nèi)容，如來源及目地IP、使用協(xié)定、TCP 或UDP 的Port等信息進(jìn)行控制管理。目前的路由器、交換型路由器以及某些操作系統(tǒng)已經(jīng)具有封包過濾型控制能力。封包過濾型最大的好處是效率高，但卻有幾個(gè)嚴(yán)重缺點(diǎn):管理復(fù)雜、無法對(duì)連線做完全的控制、規(guī)則設(shè)置的先后順序會(huì)嚴(yán)重影

65、響結(jié)果、不易維護(hù)以及記錄功能少。 封包檢驗(yàn)型: 封包檢驗(yàn)型通過一個(gè)檢驗(yàn)?zāi)＝M對(duì)封包中的各個(gè)層次做檢驗(yàn)。封包檢驗(yàn)型可謂是封包過濾型的加強(qiáng)版，目的在于增加封包過濾型的安全性，增加控制“連線”的能力。但由于封包檢驗(yàn)的主要檢查對(duì)象仍是個(gè)別的封包，不同的封包檢驗(yàn)方式可能會(huì)產(chǎn)生極大的差異。其檢查的層面越廣將會(huì)越安全，但其相對(duì)效能也越低。封包檢驗(yàn)型防火墻在檢查不完全的情況下，某些經(jīng)過精心設(shè)計(jì)、切割過的、原來并不允許通過的封包，在到達(dá)目的地時(shí)，可因重

66、組而被轉(zhuǎn)變成可通過的連線要求。去年被公布的有關(guān)Firewall-1 的Fast Mode TCP Fragment 的安全弱點(diǎn)就是其中一例。這一項(xiàng)為了增加效能的設(shè)計(jì)反而成了安全弱點(diǎn)。</p><p>　　應(yīng)用網(wǎng)關(guān)型：應(yīng)用網(wǎng)關(guān)型采用將連線動(dòng)作攔截，由一個(gè)特殊的代理程序來處理兩端間的連線方式，并分析其連線內(nèi)容是否符合應(yīng)用協(xié)定的標(biāo)準(zhǔn)。這種方式的控制機(jī)制可以從頭到尾有效地控制整個(gè)連線的動(dòng)作，而不會(huì)被客戶端或服務(wù)器端欺騙，

67、在管理上也不會(huì)像封包過濾型那么復(fù)雜，但可能必須針對(duì)每一種應(yīng)用寫一個(gè)專屬的代理程序，或用一個(gè)一般用途的代理程序來處理大部分連線。這種運(yùn)作方式是最安全的方式，但也是效能最低的方式。</p><p>　　防火墻是為保護(hù)安全性而設(shè)計(jì)的，因此，與其一味地要求效能，不如思考如何在不影響效能的情況下提供最大的安全保護(hù)。上述三種運(yùn)作方式雖然在效能上有所區(qū)別，但我們?cè)谠u(píng)估效能的同時(shí)，必須考慮這種效能的差異是否會(huì)對(duì)實(shí)際運(yùn)作造成影響。

68、事實(shí)上，對(duì)大部分使用T1或xDSL 連線的寬帶網(wǎng)而言，即便是使用應(yīng)用網(wǎng)關(guān)型也不會(huì)真正影響網(wǎng)絡(luò)的使用效能。在這種應(yīng)用環(huán)境下，防火墻的效能不應(yīng)該是考慮的重點(diǎn)。但是，若防火墻是架在企業(yè)網(wǎng)內(nèi)不同部門之間時(shí)，企業(yè)就必須考慮能否接受這種效能上的犧牲。 </p><p>　　3.2 防火墻有三難防</p><p>　　在信息安全日益突出的今天，防火墻技術(shù)應(yīng)用愈來愈受到重視。它不失為一種在內(nèi)部網(wǎng)和外部網(wǎng)

69、之間實(shí)施的信息安全防范系統(tǒng)，這種計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)環(huán)境下的訪問控制技術(shù)，通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對(duì)外屏蔽被保護(hù)網(wǎng)絡(luò)的信息，從而對(duì)系統(tǒng)結(jié)構(gòu)及其良性運(yùn)行等實(shí)現(xiàn)安全防護(hù)。因此，許多“網(wǎng)友”認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)裝上防火墻，就可以“高枕無憂”、“萬事大吉”了。其實(shí)，這是一種片面的錯(cuò)誤認(rèn)識(shí)和十分令人擔(dān)心的危險(xiǎn)想法。因?yàn)榉阑饓Σ⒉皇侨f能的，它的技術(shù)不可能一勞永逸和真正達(dá)到“萬無一失”，它的“權(quán)力”是有限的，在計(jì)算機(jī)網(wǎng)絡(luò)上，它也有“管

70、不著”、“管不了”的地方，或者說也有許多“難言之隱”———即“三難防”。 </p><p>　　“一難防”：防火墻不能防范不經(jīng)由防火墻的攻擊。如果外部網(wǎng)絡(luò)用戶直接從因特網(wǎng)服務(wù)提供商那里購置直接的SLIP或PPP鏈接，繞過了防火墻系統(tǒng)所提供的安全保護(hù)，就會(huì)造成一個(gè)潛在的后門攻擊渠道。 </p><p>　　“二難防”：防火墻不能阻止已受到病毒感染的軟件或文件的傳輸，因而不能防止網(wǎng)絡(luò)受到病

71、毒的侵?jǐn)_。由于操作系統(tǒng)、病毒、二進(jìn)制文件類型的復(fù)雜性，而且更新速度很快，防火墻無法逐個(gè)掃描每個(gè)文件查找病毒，病毒很可能隱藏在合法郵寄的數(shù)據(jù)包內(nèi)，防火墻很難對(duì)其進(jìn)行識(shí)別。 </p><p>　　“三難防”：防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)有些表面看起來無害的數(shù)據(jù)通過郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時(shí)，就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。例如，一種數(shù)據(jù)驅(qū)動(dòng)式的攻擊，可以導(dǎo)致主機(jī)修改與系統(tǒng)安全有關(guān)的配置文件，從而使入侵者下

72、一次更容易攻擊該系統(tǒng)。 </p><p>　　正因?yàn)榉阑饓τ小叭y防”困擾，我們?cè)谑褂密娪?、民用及各類?jì)算機(jī)網(wǎng)絡(luò)時(shí)，一定要克服那種“有了防火墻就可以高枕無憂”的麻痹思想和僥幸心理，要高度重視計(jì)算機(jī)網(wǎng)絡(luò)的信息安全，扎扎實(shí)實(shí)落實(shí)各級(jí)安全保密部門強(qiáng)調(diào)的安全措施與各項(xiàng)安全制度要求，并不斷豐富完善計(jì)算機(jī)網(wǎng)絡(luò)安全的各種技術(shù)措施。對(duì)密碼技術(shù)、電磁輻射防泄露技術(shù)、系統(tǒng)入侵防范技術(shù)、病毒防治技術(shù)等加以綜合運(yùn)用，不斷進(jìn)行革新創(chuàng)新，

73、提高網(wǎng)絡(luò)的安全防范能力，提高對(duì)抗網(wǎng)上“黑客”或被非法攻擊以及病毒襲擾的能力，鑄起我們堅(jiān)實(shí)的信息盾牌。</p><p>　　第四章 繞過防火墻認(rèn)證的攻擊</p><p>　　現(xiàn)在隨著人們的安全意識(shí)加強(qiáng)，防火墻一般都被公司企業(yè)采用來保障網(wǎng)絡(luò)的安全，一般的攻擊者在有防火墻的情況下，一般是很難入侵的。上面我們分析了一下入侵有防火墻服務(wù)器過程中的相關(guān)問題，下面談?wù)勧槍?duì)各種防火墻環(huán)境下的可能的攻擊手段

74、。</p><p>　　4.1 繞過包過濾防火墻</p><p>　　包過濾防火墻是最簡(jiǎn)單的一種了，它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表，來檢測(cè)攻擊行為。他根據(jù)數(shù)據(jù)包的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口來過濾！很容易受到如下攻擊： </p><p>　　4.1.1 IP 欺騙攻擊 這種攻擊，主要是修改數(shù)據(jù)

75、包的源，目的地址和端口，模仿一些合法的數(shù)據(jù)包來騙過防火墻的檢測(cè)。如：外部攻擊者，將他的數(shù)據(jù)報(bào)源地址改為內(nèi)部網(wǎng)絡(luò)地址，防火墻看到是合法地址就放行了?？墒牵绻阑饓δ芙Y(jié)合接口，地址來匹配，這種攻擊就不能成功了。</p><p>　　4.1.2 DOS拒絕服務(wù)攻擊 簡(jiǎn)單的包過濾防火墻不能跟蹤 TCP的狀態(tài)，很容易受到拒絕服務(wù)攻擊，一旦防火墻受到DOS攻擊，他可能會(huì)忙于處理，而忘記了他自己的過濾功能。

76、你就可以饒過了，不過這樣攻擊還很少的。</p><p>　　4.1.3 分片攻擊 這種攻擊的原理是：在IP的分片包中，所有的分片包用一個(gè)分片偏移字段標(biāo)志分片包的順序 ，但是，只有第一個(gè)分片包含有TCP端口號(hào)的信息。當(dāng)IP分片包通過分組過濾防火墻時(shí)，防火墻只根據(jù)第一個(gè)分片包的TCP信息判斷是否允許通過，而其他后續(xù)的分片不作防火墻檢測(cè)，直接讓它們通過。這樣，攻擊者就可以通過先發(fā)送第一個(gè)合法的IP分片

77、，騙過防火墻的檢測(cè)，接著封裝了惡意數(shù)據(jù)的后續(xù)分片包就可以直接穿透防火墻，直接到達(dá)內(nèi)部網(wǎng)絡(luò)主機(jī)，從而威脅網(wǎng)絡(luò)和主機(jī)的安全。</p><p>　　4.1.4 木馬攻擊 對(duì)于包過濾防火墻最有效的攻擊就是木馬了，一旦你在內(nèi)部網(wǎng)絡(luò)安裝了木馬，防火墻基本上是無能為力的。原因是：包過濾防火墻一般只過濾低端口（1-1024），而高端口他不可能過濾的（因?yàn)?，一些服?wù)要用到高端口，因此防火墻不能關(guān)閉高端口的），所以

78、很多的木馬都在高端口打開等待，如冰河，SUB SEVEN等。但是木馬攻擊的前提是必須先上傳，運(yùn)行木馬，對(duì)于簡(jiǎn)單的包過濾防火墻來說，是容易做的。這里不寫這個(gè)了。大概就是利用內(nèi)部網(wǎng)絡(luò)主機(jī)開放的服務(wù)漏洞。早期的防火墻都是這種簡(jiǎn)單的包過濾型的，到現(xiàn)在已很少了，不過也有。現(xiàn)在的包過濾采用的是狀態(tài)檢測(cè)技術(shù)，下面談?wù)劆顟B(tài)檢測(cè)的包過濾防火墻。</p><p>　　4.2 繞過狀態(tài)檢測(cè)的包過濾防火墻</p><

79、p>　　狀態(tài)檢測(cè)技術(shù)最早是CHECKPOINT提出的，在國(guó)內(nèi)的許多防火墻都聲稱實(shí)現(xiàn)了狀態(tài)檢測(cè)技術(shù)?？墒呛芏嗍菦]有實(shí)現(xiàn)的。到底什么是狀態(tài)檢測(cè)？一句話，狀態(tài)檢測(cè)就是從TCP連接的建立到終止都跟蹤檢測(cè)的技術(shù)。 原先的包過濾，是拿一個(gè)一個(gè)單獨(dú)的數(shù)據(jù)包來匹配規(guī)則的?？墒俏覀冎溃粋€(gè)TCP連接，他的數(shù)據(jù)包是前后關(guān)聯(lián)的，先是SYN包，=》數(shù)據(jù)包=》FIN包。數(shù)據(jù)包的前后序列號(hào)是相關(guān)的。如果割裂這些關(guān)系，單獨(dú)的過濾數(shù)據(jù)包，很容易被

80、精心構(gòu)造的攻擊數(shù)據(jù)包欺騙！如NMAP的攻擊掃描，就有利用SYN包，F(xiàn)IN包，RESET包來探測(cè)防火墻后面的網(wǎng)絡(luò)。相反，一個(gè)完全的狀態(tài)檢測(cè)防火墻，他在發(fā)起連接就判斷，如果符合規(guī)則，就在內(nèi)存登記了這個(gè)連接的狀態(tài)信息（地址，端口，選項(xiàng)）,后續(xù)的屬于同一個(gè)連接的數(shù)據(jù)包，就不需要在檢測(cè)了。直接通過。而一些精心構(gòu)造的攻擊數(shù)據(jù)包由于沒有在內(nèi)存登記相應(yīng)的狀態(tài)信息，都被丟棄了。這樣這些攻擊數(shù)據(jù)包，就不能饒過防火墻了。說狀態(tài)檢測(cè)必須提到動(dòng)態(tài)規(guī)則技術(shù)。在狀態(tài)

81、檢測(cè)里，采用動(dòng)態(tài)規(guī)則技術(shù)，原先高端口的問題就可以解決了。實(shí)現(xiàn)原理是：平時(shí)，防火墻可以過濾內(nèi)部網(wǎng)絡(luò)的所有端口(1-65535),外部攻擊</p><p>　　4.2.1 協(xié)議隧道攻擊 協(xié)議隧道的攻擊思想類似與VPN的實(shí)現(xiàn)原理，攻擊者將一些惡意的攻擊數(shù)據(jù)包隱藏在一些協(xié)議分組的頭部，從而穿透防火墻系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊。例如，許多簡(jiǎn)單地允許ICMP回射請(qǐng)求、ICMP回射應(yīng)答和UDP分組通過的防火墻就容易受

82、到ICMP和UDP協(xié)議隧道的攻擊。LOKI和LOKID（攻擊的客戶端和服務(wù)端）是實(shí)施這種攻擊的有效的工具。在實(shí)際攻擊中，攻擊者首先必須設(shè)法在內(nèi)部網(wǎng)絡(luò)的一個(gè)系統(tǒng)上安裝上LOKID服務(wù)端，而后攻擊者就可以通過LOKI客戶端將希望遠(yuǎn)程執(zhí)行的攻擊命令（對(duì)應(yīng)IP分組）嵌入在ICMP或UDP包頭部，再發(fā)送給內(nèi)部網(wǎng)絡(luò)服務(wù)端LOKID，由它執(zhí)行其中的命令，并以同樣的方式返回結(jié)果。由于許多防火墻允許ICMP和UDP分組自由出入，因此攻擊者的惡意數(shù)據(jù)就能附

83、帶在正常的分組，繞過防火墻的認(rèn)證，順利地到達(dá)攻擊目標(biāo)主機(jī)下面的命令是用于啟動(dòng)LOKID服務(wù)器程序： lokid-p–i–vl loki客戶程序則如下啟動(dòng)： loki-d 172.29.11.191(攻擊目標(biāo)主機(jī))-p–I–v1–t3 這樣，lokid和loki就</p><p>　　4.2.2 利用FTP-PASV繞過防火墻認(rèn)證的攻擊 FTP-PASV攻擊是

84、針對(duì)防火墻實(shí)施入侵的重要手段之一。目前很多防火墻不能過濾這種攻擊手段。如CHECKPOINT的FIREWALL-1，在監(jiān)視FTP服務(wù)器發(fā)送給客戶端的包的過程中，它在每個(gè)包 ！墻能結(jié)合接口，地址來匹配，這種攻擊就不能成功了：（中尋找"227"這個(gè)字符串。如果發(fā)現(xiàn)這種包，將從中提取目標(biāo)地址和端口，并對(duì)目標(biāo)地址加以驗(yàn)證，通過后，將允許建立到該地址的TCP連接。攻擊者通過這個(gè)特性，可以設(shè)法連接受防火墻保護(hù)的服務(wù)器和

85、服務(wù)</p><p>　　。4.2.3 反彈木馬攻擊 反彈木馬是對(duì)付這種防火墻的最有效的方法。攻擊者在內(nèi)部網(wǎng)絡(luò)的反彈木馬定時(shí)地連接外部攻擊者控制的主機(jī)，由于連接是從內(nèi)部發(fā)起的，防火墻（任何的防火墻）都認(rèn)為是一個(gè)合法的連接，因此基本上防火墻的盲區(qū)就是這里了。防火墻不能區(qū)分木馬的連接和合法的連接。 但是這種攻擊的局限是：必須首先安裝這個(gè)木馬！所有的木馬的第一步都是關(guān)鍵！</p>&

86、lt;p>　　4.3 繞過代理防火墻</p><p>　　代理是運(yùn)行在應(yīng)用層的防火墻，他實(shí)質(zhì)是啟動(dòng)兩個(gè)連接，一個(gè)是客戶到代理，另一個(gè)是代理到目的服務(wù)器。實(shí)現(xiàn)上比較簡(jiǎn)單，和前面的一樣也是根據(jù)規(guī)則過濾。由于運(yùn)行在應(yīng)用層速度比較慢，攻擊代理的方法很多。 這里就以Wingate為例， Wingate是目前應(yīng)用非常廣泛的一種Windows95/NT代理防火墻軟件，內(nèi)部用戶可以通過一臺(tái)安裝有Wingat

87、e的主機(jī)訪問外部網(wǎng)絡(luò)，但是它也存在著幾個(gè)安全脆弱點(diǎn)。黑客經(jīng)常利用這些安全漏洞獲得Wingate的非授權(quán)Web、Socks和Telnet的訪問，從而偽裝成Wingate主機(jī)的身份對(duì)下一個(gè)攻擊目標(biāo)發(fā)動(dòng)攻擊。因此，這種攻擊非常難于被跟蹤和記錄。導(dǎo)致Wingate安全漏洞的原因大多數(shù)是管理員沒有根據(jù)網(wǎng)絡(luò)的實(shí)際情況對(duì)Wingate代理防火墻軟件進(jìn)行合理的設(shè)置，只是簡(jiǎn)單地從缺省設(shè)置安裝完畢后就讓軟件運(yùn)行，這就給攻擊者可乘之機(jī)。</p>

88、<p>　　4.3.1 非授權(quán)Web訪問 某些Wingate版本（如運(yùn)行在NT系統(tǒng)下的2.1d版本）在誤配置情況下，允許外部主機(jī)完全匿名地訪問因特網(wǎng)。因此，外部攻擊者就可以利用Wingate主機(jī)來對(duì)Web服務(wù)器發(fā)動(dòng)各種Web攻擊（如CGI的漏洞攻擊等），同時(shí)由于Web攻擊的所有報(bào)文都是從80號(hào)Tcp端口穿過的，因此，很難追蹤到攻擊者的來源。 </p><p>　　檢測(cè)Wingate主

89、機(jī)是否有這種安全漏洞的方法如下： 1) 、以一個(gè)不會(huì)被過濾掉的連接（譬如說撥號(hào)連接）連接到因特網(wǎng)上。 2)、 把瀏覽器的代理服務(wù)器地址指向待測(cè)試的Wingate主機(jī)。 如果瀏覽器能訪問到因特網(wǎng)，則Wingate主機(jī)存在著非授權(quán)Web訪問漏洞。 </p><p>　　4.3.2 非授權(quán)Socks訪問 在Wingate的缺省配置中，Socks代理（1080號(hào)Tcp端口）同樣是存在安全

90、漏洞。與打開的Web代理（80號(hào)Tcp端口）一樣，外部攻擊者可以利用Socks代理訪問因特網(wǎng)。 要防止攻擊Wingate的這個(gè)安全脆弱點(diǎn)，管理員可以限制特定服務(wù)的捆綁。在多宿主（multihomed）系統(tǒng)上，執(zhí)行以下步驟以限定如何提供代理服務(wù)。 1、選擇Socks或WWW Proxy Server屬性。 2、選擇Bindings標(biāo)簽。 3、按下Connections Will Be Accepted O

91、n The Following Interface Only按鈕，并指定本W(wǎng)ingate服務(wù)器的內(nèi)部接口。</p><p><b>　　結(jié) 束 語</b></p><p>　　本文簡(jiǎn)要地講解了有關(guān)網(wǎng)絡(luò)安全和防火墻的一些知識(shí)及針對(duì)有防火墻服務(wù)器的入侵，通過做這個(gè)題目的畢業(yè)設(shè)計(jì)，我學(xué)到了很多與防火墻相關(guān)的知識(shí)和有關(guān)網(wǎng)絡(luò)安全的基本理論，增長(zhǎng)了見識(shí)，拓寬了視野，受益匪淺。當(dāng)然

92、，安全并不僅僅只是以上所說的防火墻或是其他的一些安全設(shè)備，更多的因素還是在人，因?yàn)槿耸侵黧w、是管理者。再好的安全設(shè)備如果沒有人的精心維護(hù)就會(huì)形同虛設(shè)?？梢哉f任何的網(wǎng)絡(luò)安全事故，歸咎到底都是人的失</p><p>　　誤。因此，在關(guān)注網(wǎng)絡(luò)安全的同時(shí)，我們更應(yīng)該關(guān)注管理員的素質(zhì)和管理水平，所以給與他們適當(dāng)?shù)呐嘤?xùn)是必不可少的，一支高素質(zhì)的管理員隊(duì)伍會(huì)使網(wǎng)絡(luò)的安全性倍增。</p><p>　　但是

93、僅僅做到這樣是不夠的，我知道這篇論文還有很多不完善的地方，甚至還有一些錯(cuò)誤，懇請(qǐng)大家給與我批評(píng)指正，我會(huì)努力使其完善。</p><p>　　通過這次畢業(yè)設(shè)計(jì)，自己學(xué)到了許多知識(shí)，而且也深刻的體會(huì)到還有許多東西要學(xué)，同時(shí)，也為自己在以后的工作和學(xué)習(xí)中樹立正確的態(tài)度打下了堅(jiān)實(shí)的基礎(chǔ)，我認(rèn)為這才是最重要的。 </p><p><b>　

94、　參考文獻(xiàn)</b></p><p>　　網(wǎng)絡(luò)安全與防火墻技術(shù) 人民郵電出版社</p><p>　　黑客X檔案2007第二期 吉林科學(xué)技術(shù)出版社</p><p>　　黑客防線2006精華本（攻冊(cè)） 人民郵電出版社</p><p>　　計(jì)算機(jī)安全（2006.8）