網(wǎng)絡(luò)工程技術(shù)：第7章 網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)

1網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和

網(wǎng)絡(luò)安全設(shè)備的部署2主要內(nèi)容內(nèi)網(wǎng)安全架構(gòu)的設(shè)計(jì)與安全產(chǎn)品的部署安全掃描技術(shù)防火墻技術(shù)入侵檢測技術(shù)IPSecVPN和SSLVPN技術(shù)3網(wǎng)絡(luò)信息安全的基本問題網(wǎng)絡(luò)信息安全的基本問題保密性完整性可用性可控性可審查性最終要解決是使用者對基礎(chǔ)設(shè)施的信心和責(zé)任感的問題。4網(wǎng)絡(luò)與信息安全體系要實(shí)施一個完整的網(wǎng)絡(luò)與信息安全體系，至少應(yīng)包括三類措施，并且三者缺一不可。社會的法律政策、規(guī)章制度措施技術(shù)措施審計(jì)和管理措施5網(wǎng)絡(luò)安全設(shè)計(jì)的基本原則要使信息系統(tǒng)免受攻擊，關(guān)鍵要建立起安全防御體系，從信息的保密性，拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否認(rèn)性等。在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)、規(guī)劃時，應(yīng)遵循以下原則：需求、風(fēng)險、代價平衡分析的原則綜合性、整體性原則一致性原則易操作性原則適應(yīng)性、靈活性原則多重保護(hù)原則6網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案的基本概念網(wǎng)絡(luò)安全解決方案可以看作是一張有關(guān)網(wǎng)絡(luò)系統(tǒng)安全工程的圖紙，圖紙?jiān)O(shè)計(jì)的好壞直接關(guān)系到工程質(zhì)量的優(yōu)劣?？傮w來說，網(wǎng)絡(luò)安全解決方案涉及安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)、認(rèn)證和數(shù)字簽名技術(shù)、VPN技術(shù)等多方面的安全技術(shù)。7一份好的網(wǎng)絡(luò)安全解決方案，不僅僅要考慮到技術(shù)，還要考慮到策略和管理。技術(shù)是關(guān)鍵策略是核心管理是保證在整個網(wǎng)絡(luò)安全解決方案中，始終要體現(xiàn)出這三個方面的關(guān)系。8網(wǎng)絡(luò)安全解決方案設(shè)計(jì)9安全需求分析網(wǎng)絡(luò)系統(tǒng)的總體安全需求是建立在對網(wǎng)絡(luò)安全層次分析基礎(chǔ)上的。對于基于TCP/IP協(xié)議的網(wǎng)絡(luò)系統(tǒng)來說，安全層次是與TCP/IP協(xié)議層次相對應(yīng)的。針對該企業(yè)網(wǎng)絡(luò)的實(shí)際情況，可以將安全需求層次歸納為網(wǎng)絡(luò)層安全和應(yīng)用層安全兩個技術(shù)層次，同時將在各層都涉及的安全管理部分單獨(dú)作為一部分進(jìn)行分析。10網(wǎng)絡(luò)層需求分析網(wǎng)絡(luò)層安全需求是保護(hù)網(wǎng)絡(luò)不受攻擊，確保網(wǎng)絡(luò)服務(wù)的可用性。保證同Internet互聯(lián)的邊界安全能夠防范來自Internet的對提供服務(wù)的非法利用防范來自Internet的網(wǎng)絡(luò)入侵和攻擊行為的發(fā)生對于內(nèi)部網(wǎng)絡(luò)提供高于網(wǎng)絡(luò)邊界更高的安全保護(hù)11應(yīng)用層需求分析應(yīng)用層的安全需求是針對用戶和網(wǎng)絡(luò)應(yīng)用資源的，主要包括：合法用戶可以以指定的方式訪問指定的信息；合法用戶不能以任何方式訪問不允許其訪問的信息；非法用戶不能訪問任何信息；用戶對任何信息的訪問都有記錄。12應(yīng)用層要解決的安全問題包括非法用戶利用應(yīng)用系統(tǒng)的后門或漏洞，強(qiáng)行進(jìn)入系統(tǒng)用戶身份假冒非授權(quán)訪問數(shù)據(jù)竊取數(shù)據(jù)篡改數(shù)據(jù)重放攻擊抵賴13網(wǎng)絡(luò)安全解決方案14電子政務(wù)網(wǎng)絡(luò)拓?fù)涓攀鰞?nèi)部核心子網(wǎng)INTERNET分支機(jī)構(gòu)1分支機(jī)構(gòu)215電子政務(wù)網(wǎng)絡(luò)拓?fù)湓敿?xì)分析領(lǐng)導(dǎo)層子網(wǎng)分支機(jī)構(gòu)2業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機(jī)構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)INTERNET分支機(jī)構(gòu)116電子政務(wù)網(wǎng)絡(luò)風(fēng)險及需求分析領(lǐng)導(dǎo)層子網(wǎng)分支機(jī)構(gòu)2業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機(jī)構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)INTERNET分支機(jī)構(gòu)1此人正試圖進(jìn)入網(wǎng)絡(luò)監(jiān)聽并竊取敏感信息分支機(jī)構(gòu)工作人員正試圖在領(lǐng)導(dǎo)層子網(wǎng)安裝木馬分支機(jī)構(gòu)工作人員正試圖越權(quán)訪問業(yè)務(wù)子網(wǎng)安裝木馬非內(nèi)部人員正試圖篡改公共網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)17電子政務(wù)網(wǎng)絡(luò)內(nèi)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)平臺安全領(lǐng)導(dǎo)層子網(wǎng)業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機(jī)構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)分支機(jī)構(gòu)2分支機(jī)構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源INTERNETNEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源防火墻FW1防火墻FW2防火墻FW3安全認(rèn)證服務(wù)器安全管理器安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3路由器路由器路由器交換機(jī)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源18內(nèi)網(wǎng)核心網(wǎng)絡(luò)與各級子網(wǎng)間的安全設(shè)計(jì)

分支機(jī)構(gòu)2INTERNET分支機(jī)構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源

內(nèi)部核心子網(wǎng)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機(jī)安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3路由器路由器路由器安全管理器安全認(rèn)證服務(wù)器19內(nèi)網(wǎng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)設(shè)計(jì)分支機(jī)構(gòu)2INTERNET分支機(jī)構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源

內(nèi)部核心子網(wǎng)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機(jī)安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3路由器路由器路由器安全管理器安全認(rèn)證服務(wù)器網(wǎng)絡(luò)漏洞掃描器20內(nèi)網(wǎng)網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì)

分支機(jī)構(gòu)2INTERNET分支機(jī)構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源

內(nèi)部核心子網(wǎng)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機(jī)安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3路由器路由器路由器安全管理器安全認(rèn)證服務(wù)器網(wǎng)絡(luò)入侵檢測探頭網(wǎng)絡(luò)入侵策略管理器21電子政務(wù)外網(wǎng)基礎(chǔ)平臺安全設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱“內(nèi)網(wǎng)”）路由器交換機(jī)安全管理器防火墻FW物理隔離器（K1)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器22外網(wǎng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱“內(nèi)網(wǎng)”）路由器交換機(jī)安全管理器防火墻FW物理隔離器（K1)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)漏洞掃描器23外網(wǎng)網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱“內(nèi)網(wǎng)”）路由器交換機(jī)安全管理器物理隔離器（K1)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)入侵檢測探頭網(wǎng)絡(luò)入侵策略管理器防火墻FW24外網(wǎng)WEB服務(wù)器安全設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱“內(nèi)網(wǎng)”）路由器交換機(jī)安全管理器物理隔離器（K2)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器防火墻FW物理隔離器（K1)辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱“內(nèi)網(wǎng)”）政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)（簡稱“專網(wǎng)”）Web網(wǎng)站監(jiān)測&自動修復(fù)系統(tǒng)25內(nèi)網(wǎng)、外網(wǎng)和專網(wǎng)的隔離系統(tǒng)設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱“內(nèi)網(wǎng)”）路由器交換機(jī)安全管理器物理隔離器（K2)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器防火墻FW物理隔離器（K1)辦公廳辦公業(yè)務(wù)網(wǎng)（簡稱“內(nèi)網(wǎng)”）政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)（簡稱“專網(wǎng)”）26其它網(wǎng)絡(luò)安全設(shè)備撥號檢測系統(tǒng)上網(wǎng)行為管理系統(tǒng)DDOS防御網(wǎng)關(guān)VPN網(wǎng)關(guān)防病毒網(wǎng)關(guān)27安全掃描技術(shù)掃描目的查看目標(biāo)網(wǎng)絡(luò)中哪些主機(jī)是存活的（Alive）查看存活的主機(jī)運(yùn)行了哪些服務(wù)WWWFTPEMAILTELNET查看主機(jī)提供的服務(wù)有無漏洞28IP掃描IP掃描——PingSweepingPing使用ICMP協(xié)議進(jìn)行工作29端口掃描端口Internet上主機(jī)間通訊總是通過端口發(fā)生的

端口是入侵的通道端口分為TCP端口與UDP端口因此，端口掃描可分類為TCP掃描UDP掃描30端口掃描connect()函數(shù)intconnect(SOCKETs,conststructsockaddrFAR*name,intnamelen);當(dāng)connect返回0時，連接成功基本的掃描方法即TCPConnect掃描優(yōu)點(diǎn)實(shí)現(xiàn)簡單可以用普通用戶權(quán)限執(zhí)行缺點(diǎn)容易被防火墻檢測，也會目標(biāo)應(yīng)用所記錄31端口掃描TCP的連接建立過程客戶機(jī)服務(wù)器發(fā)送SYN

seq=x

接收SYN報文

發(fā)送SYNseq=y,ACKack=x+1

接收SYN+ACK

發(fā)送ACKack=y+1

接受ACK報文段

32端口掃描SYN掃描客戶機(jī)服務(wù)器發(fā)送SYN

seq=x

如果接收到SYN+ACK，表明服務(wù)器端口可連接如果服務(wù)器端口打開，則返回SYN+ACK如果服務(wù)器端口未打開，則返回RSTSYN+ACK如果接收到RST，表明服務(wù)器端口不可連接RST33端口掃描SYN掃描的實(shí)現(xiàn)WinSock2接口RawSock方式，允許自定義IP包SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);TCP包頭標(biāo)志位保留保留UrgentpointACKPUSHRESETSYNFIN34端口掃描SYN掃描的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：一般不會被目標(biāo)主機(jī)所記錄缺點(diǎn)：運(yùn)行RawSocket時必須擁有管理員權(quán)限35端口掃描FIN掃描關(guān)閉TCP連接的過程客戶機(jī)服務(wù)器發(fā)送FIN

seq=x

接收FIN報文

發(fā)送FINseq=y,ACKack=x+1

接收FIN+ACK

發(fā)送ACKack=y+1

接受ACK報文段

36端口掃描關(guān)閉一個并沒有建立的連接，會產(chǎn)生以下情況對非連接FIN報文的回復(fù)TCP標(biāo)準(zhǔn)關(guān)閉的端口——返回RST報文打開的端口——忽略BSD操作系統(tǒng)與TCP標(biāo)準(zhǔn)一致其他操作系統(tǒng)均返回RST報文37TCPACK掃描掃描主機(jī)向目標(biāo)主機(jī)發(fā)送ACK數(shù)據(jù)包。根據(jù)返回的RST數(shù)據(jù)包有兩種方法可以得到端口的信息。方法一是：若返回的RST數(shù)據(jù)包的TTL值小于或等于64，則端口開放，反之端口關(guān)閉方法二是：若返回的RST數(shù)據(jù)包的WINDOW值非零，則端口開放，反之端口關(guān)閉TCPACK掃描建立連接成功TCPACK掃描建立連接成功38NULL掃描掃描主機(jī)將TCP數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH(接收端將數(shù)據(jù)轉(zhuǎn)由應(yīng)用處理)標(biāo)志位置空后（保留的RES1和RES2對掃描的結(jié)果沒有任何影響）發(fā)送給目標(biāo)主機(jī)。若目標(biāo)端口開放，目標(biāo)主機(jī)將不返回任何信息。若目標(biāo)主機(jī)返回RST信息，則表示端口關(guān)閉。NULL掃描建立連接成功NULL掃描建立連接未成功39Xmastree掃描（圣誕樹掃描）XMAS掃描原理和NULL掃描的類似，將TCP數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH標(biāo)志位置1后發(fā)送給目標(biāo)主機(jī)。在目標(biāo)端口開放的情況下，目標(biāo)主機(jī)將不返回任何信息若目標(biāo)端口關(guān)閉，則目標(biāo)主機(jī)將返回RST信息XMAS掃描建立連接成功XMAS掃描建立連接未成功40端口掃描優(yōu)點(diǎn)不會被記錄到日志可以繞過某些防火墻netstat命令不會顯示——netstate命令只能顯示TCP連接或連接的嘗試缺點(diǎn)使用RAWIP編程，實(shí)現(xiàn)起來相對比較復(fù)雜利用BSD代碼缺陷，可能被修復(fù)——OpenBSD不同操作系統(tǒng)結(jié)果不同，因此不完全可信41端口掃描UDP端口掃描目前掃描UDP端口只有一種方法：向目標(biāo)UDP端口發(fā)送一些隨機(jī)數(shù)據(jù)，如果端口關(guān)閉，則目標(biāo)主機(jī)會回復(fù)ICMP端口不可達(dá)消息42慢速掃描隨著防火墻的廣泛應(yīng)用，普通的掃描很難穿過防火墻去掃描受防火墻保護(hù)的網(wǎng)絡(luò)。即使掃描能穿過防火墻，掃描的行為仍然有可能會被防火墻記錄下來。如果掃描是對非連續(xù)性端口、源地址不一致、時間間隔很長且沒有規(guī)律的掃描的話，這些掃描的記錄就會淹沒在其他眾多雜亂的日志內(nèi)容中。使用慢速掃描的目的也就是這樣，騙過防火墻和入侵檢測系統(tǒng)而收集信息。雖然掃描所用的時間較長，但這是一種比較難以被發(fā)現(xiàn)的掃描。43亂序掃描亂序掃描也是一種常見的掃描技術(shù)，掃描器掃描的時候不是進(jìn)行有序的掃描，掃描端口號的順序是隨機(jī)產(chǎn)生的，每次進(jìn)行掃描的順序都完全不一樣，這種方式能有效地欺騙某些入侵檢測系統(tǒng)而不會被發(fā)覺。44漏洞掃描漏洞是指系統(tǒng)硬件、操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)庫等在設(shè)計(jì)上和實(shí)現(xiàn)上出現(xiàn)的可以被攻擊者利用的錯誤、缺陷和疏漏。漏洞掃描程序是用來檢測遠(yuǎn)程或本地主機(jī)安全漏洞的工具。針對掃描對象的不同，漏洞掃描又可分為網(wǎng)絡(luò)掃描、操作系統(tǒng)掃描、WWW服務(wù)掃描、數(shù)據(jù)庫掃描以及無線網(wǎng)絡(luò)掃描等。45端口掃描常用的端口掃描工具UNIX下的端口掃描工具NmapWindows下的端口掃描工具XScanSuperScanNmapforNT46防火墻建筑業(yè)中的防火墻用在建筑單位間，防止火勢的蔓延。在網(wǎng)絡(luò)安全領(lǐng)域中，防火墻用來指應(yīng)用于內(nèi)部網(wǎng)絡(luò)（局域網(wǎng)）和外部網(wǎng)絡(luò)（Internet）之間的，用來保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法訪問和破壞的網(wǎng)絡(luò)安全系統(tǒng)。47防火墻功能示意

兩個不同網(wǎng)絡(luò)安全域間通信流的唯一通道，對流過的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢查，阻止攻擊數(shù)據(jù)包通過。安全網(wǎng)域一安全網(wǎng)域二48防火墻主要功能過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);防止不安全的協(xié)議和服務(wù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；記錄通過防火墻的信息內(nèi)容與活動；對網(wǎng)絡(luò)攻擊進(jìn)行檢測與告警;防止外部對內(nèi)部網(wǎng)絡(luò)信息的獲取提供與外部連接的集中管理；49防火墻不能防范的攻擊來自內(nèi)部的安全威脅；病毒開放應(yīng)用服務(wù)程序的漏洞；特洛伊木馬；社會工程；不當(dāng)配置50衡量防火墻三大要求安全內(nèi)部和外部間所有數(shù)據(jù)必須通過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身要安全管理良好的人機(jī)交互界面提供強(qiáng)勁的管理及擴(kuò)展功能速度51防火墻發(fā)展歷程主要經(jīng)歷了三個階段：基于路由器的防火墻基于通用操作系統(tǒng)的防火墻基于安全操作系統(tǒng)的防火墻52防火墻分類按實(shí)現(xiàn)技術(shù)分類：包過濾型代理型防火墻按體系結(jié)構(gòu)分類：雙宿/多宿主機(jī)防火墻屏蔽主機(jī)防火墻屏蔽子網(wǎng)防火墻混合結(jié)構(gòu)53包過濾防火墻包過濾防火墻在決定能否及如何傳送數(shù)據(jù)包之外，還根據(jù)其規(guī)則集，看是否應(yīng)該傳送該數(shù)據(jù)包普通路由器當(dāng)數(shù)據(jù)包到達(dá)時，查看IP包頭信息，根據(jù)路由表決定能否以及如何傳送數(shù)據(jù)包54靜態(tài)包過濾防火墻

傳輸層傳輸層傳輸層

55路由與包過濾路由進(jìn)行轉(zhuǎn)發(fā)，過濾進(jìn)行篩選源地址目標(biāo)地址協(xié)議是否允許HostASeverXTCPYESHostASeverXUDPNOHostA外部網(wǎng)絡(luò)目標(biāo)路由SeverX接口1……………………SeverX56包過濾所檢查的內(nèi)容源和目的的IP地址IP選項(xiàng)IP的上層協(xié)議類型（TCP/UDP/ICMP）TCP和UDP的源及目的端口ICMP的報文類型和代碼我們稱這種對包頭內(nèi)容進(jìn)行簡單過濾的方式為靜態(tài)包過濾57包過濾配置包過濾防火墻配置步驟：知道什么是應(yīng)該和不應(yīng)被允許，制定安全策略規(guī)定允許的包類型、包字段的邏輯表達(dá)用防火墻支持的語法重寫表達(dá)式58規(guī)則制定的策略拒絕任何訪問，除非被規(guī)則特別允許允許任何訪問，除非規(guī)則特別地禁止允許拒絕允許拒絕59規(guī)則制定的策略過濾的兩種基本方式按服務(wù)過濾：根據(jù)安全策略決定是否允許或拒絕某一種服務(wù)按規(guī)則過濾：檢查包頭信息，與過濾規(guī)則匹配，決定是否轉(zhuǎn)發(fā)該數(shù)據(jù)包60依賴于服務(wù)的過濾

多數(shù)服務(wù)對應(yīng)特定的端口，如要封鎖輸Telnet、SMTP的連接，則Router丟棄端口值為23和25的所有數(shù)據(jù)包。典型的過濾規(guī)則有以下幾種：只允許進(jìn)來的Telnet會話連接到指定的內(nèi)部主機(jī)只允許進(jìn)來的FTP會話連接到指定的內(nèi)部主機(jī)允許所有出去的Telnet會話允許所有出去的FTP會話拒絕從某些指定的外部網(wǎng)絡(luò)進(jìn)來的所有信息61按規(guī)則過濾有些類型的攻擊很難用基本包頭信息加以鑒別，因?yàn)楠?dú)立于服務(wù)。如果防范則需要定義規(guī)則1）源IP地址欺騙攻擊入侵者從偽裝成源自一臺內(nèi)部主機(jī)的一個外部地點(diǎn)傳送一些信息包；這些信息包似乎像包含了一個內(nèi)部系統(tǒng)的源IP地址。如果這些信息包到達(dá)Router的外部接口，則舍棄每個含有這個源IP地址的信息包，就可以挫敗這種源欺騙攻擊。62按規(guī)則過濾2）源路由攻擊攻擊者為信息包指定一個穿越Internet的路由，這類攻擊企圖繞過安全措施，并使信息包沿一條意外(疏漏)的路徑到達(dá)目的地?？梢酝ㄟ^舍棄所有包含這類源路由選項(xiàng)的信息包方式，來挫敗這類攻擊。3）殘片攻擊入侵者利用IP分段特性生成一個極小的片斷并將TCP報頭信息肢解成一個分離的信息包片斷，使數(shù)據(jù)包繞過用戶定義的過濾規(guī)則。黑客希望過濾路由器只檢查第一分段，而允許其它分段通過。通過舍棄所有協(xié)議類型為TCP、IP報頭中FragmentOffset=1的數(shù)據(jù)包，即可挫敗殘片的攻擊。63推薦的規(guī)則任何進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為源地址任何進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為目標(biāo)地址任何離開內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為源地址任何離開內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為目標(biāo)地址任何進(jìn)入或離開內(nèi)網(wǎng)的數(shù)據(jù)包不能把一個私有地址或者/8作為源或目標(biāo)地址64靜態(tài)包過濾的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：速度快價格低對用戶透明缺點(diǎn)：配置難把握防范能力低沒有用戶身份驗(yàn)證機(jī)制65動態(tài)包過濾動態(tài)包過濾是CheckPoint的一項(xiàng)稱為“

StatefulInspection”的專利技術(shù)，也稱狀態(tài)檢測防火墻。動態(tài)包過濾防火墻不僅以一個數(shù)據(jù)包的內(nèi)容作為過濾的依據(jù)，還根據(jù)這個數(shù)據(jù)包在信息流位置加以判斷。動態(tài)包過濾防火墻可阻止未經(jīng)內(nèi)網(wǎng)請求的外部通信，而允許內(nèi)網(wǎng)請求的外部網(wǎng)站傳入的通信。66動態(tài)包過濾防火墻67動態(tài)包過濾的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：基于應(yīng)用程序信息驗(yàn)證一個包狀態(tài)的能力記錄通過的每個包的詳細(xì)信息缺點(diǎn)：造成網(wǎng)絡(luò)連接的遲滯系統(tǒng)資源要求較高68防火墻分類：包過濾代理型防火墻：應(yīng)用代理型代理型防火墻：電路代理型代理型防火墻：NAT69代理服務(wù)技術(shù)

代理服務(wù)技術(shù)能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的連接，由兩個代理服務(wù)器之間的連接來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。70應(yīng)用代理防火墻工作在應(yīng)用層對所有規(guī)則內(nèi)允許的應(yīng)用程序作中轉(zhuǎn)轉(zhuǎn)發(fā)犧牲了對應(yīng)用程序的透明性71應(yīng)用代理防火墻應(yīng)用代理防火墻72應(yīng)用代理應(yīng)用代理工作原理示意緩沖文件應(yīng)用請求回復(fù)應(yīng)用請求回復(fù)73應(yīng)用代理應(yīng)用代理工作在應(yīng)用層，對于不同的服務(wù)，必須使用不同的代理軟件。應(yīng)用代理內(nèi)部主機(jī)WEB服務(wù)FTP服務(wù)WEBFTP74應(yīng)用代理防火墻應(yīng)用代理服務(wù)器的安全性屏蔽內(nèi)網(wǎng)用戶與外網(wǎng)的直接通信，提供更嚴(yán)格的檢查提供對協(xié)議的控制，拒絕所有沒有配置的連接提供用戶級控制，可近一步提供身份認(rèn)證等信息75應(yīng)用代理的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：可以隱藏內(nèi)部網(wǎng)絡(luò)的信息；可以具有強(qiáng)大的日志審核；可以實(shí)現(xiàn)內(nèi)容的過濾；缺點(diǎn)：價格高速度慢失效時造成網(wǎng)絡(luò)的癱瘓76電路級代理電路級代理可以同時為不同的服務(wù)，如WEB、FTP、TELNET提供代理服即SOCKS代理，它工作在傳輸層。77電路級代理優(yōu)缺點(diǎn)優(yōu)點(diǎn)：隱藏內(nèi)部網(wǎng)絡(luò)信息配置簡單，無需為每個應(yīng)用程序配置一個代理缺點(diǎn)：多數(shù)電路級網(wǎng)關(guān)都是基于TCP端口配置，不對數(shù)據(jù)包檢測，可能會有漏洞78NAT防火墻NAT定義

NAT（NetworkAddressTransla-tion）網(wǎng)絡(luò)地址翻譯最初設(shè)計(jì)目的是用來增加私有組織的可用地址空間和解決將現(xiàn)有的私有TCP/IP網(wǎng)絡(luò)連接到網(wǎng)上的IP地址編號問題79NAT防火墻NAT提供的功能內(nèi)部主機(jī)地址隱藏網(wǎng)絡(luò)負(fù)載均衡網(wǎng)絡(luò)地址交疊80NAT（網(wǎng)絡(luò)地址翻譯）根據(jù)內(nèi)部IP地址和外部IP地址的數(shù)量對應(yīng)關(guān)系，NAT分為：基本NAT：簡單的地址翻譯M-1，多個內(nèi)部網(wǎng)地址翻譯到1個IP地址M-N，多個內(nèi)部網(wǎng)地址翻譯到N個IP地址池81NAT的優(yōu)缺點(diǎn)優(yōu)點(diǎn)管理方便并且節(jié)約IP地址資源。隱藏內(nèi)部IP地址信息。僅當(dāng)向某個外部地址發(fā)送過出站包時，NAT才允許來自該地址的流量入站。

缺點(diǎn)外部應(yīng)用程序卻不能方便地與NAT網(wǎng)關(guān)后面的應(yīng)用程序聯(lián)系。82防火墻布置簡單包過濾路由雙宿/多宿主機(jī)模式屏蔽主機(jī)模式屏蔽子網(wǎng)模式83包過濾路由內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過濾路由器優(yōu)點(diǎn)：配置簡單缺點(diǎn)：日志沒有或很少，難以判斷是否被入侵規(guī)則表會隨著應(yīng)用變得很復(fù)雜單一的部件保護(hù)，脆弱84雙宿/多宿主機(jī)模式堡壘主機(jī)：關(guān)鍵位置上用于安全防御的某個系統(tǒng)，攻擊者攻擊網(wǎng)絡(luò)必須先行攻擊的主機(jī)。雙宿/多宿主機(jī)防火墻又稱為雙宿/多宿網(wǎng)關(guān)防火墻，它是一種擁有兩個或多個連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻，通常用一臺裝有兩塊或多塊網(wǎng)卡的堡壘主機(jī)做防火墻，兩塊或多塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連85雙宿/多宿主機(jī)模式內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)應(yīng)用代理服務(wù)器完成：對外屏蔽內(nèi)網(wǎng)信息設(shè)置訪問控制對應(yīng)用層數(shù)據(jù)嚴(yán)格檢查86優(yōu)點(diǎn)：配置簡單檢查內(nèi)容更細(xì)致屏蔽了內(nèi)網(wǎng)結(jié)構(gòu)缺點(diǎn)：應(yīng)用代理本身的安全性87屏蔽主機(jī)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過濾路由堡壘主機(jī)兩道屏障：網(wǎng)絡(luò)層的包過濾；應(yīng)用層代理服務(wù)注：與雙宿主機(jī)網(wǎng)關(guān)不同，這里的應(yīng)用網(wǎng)關(guān)只有一塊網(wǎng)卡。Web服務(wù)器88屏蔽主機(jī)優(yōu)點(diǎn)：雙重保護(hù)，安全性更高。實(shí)施策略：針對不同的服務(wù)，選擇其中的一種或兩種保護(hù)措施。89屏蔽子網(wǎng)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)外部路由器內(nèi)部路由器周邊網(wǎng)絡(luò)（DMZ）90屏蔽子網(wǎng)1）周邊網(wǎng)絡(luò)：非軍事化區(qū)、?；饏^(qū)（DMZ）周邊網(wǎng)絡(luò)是另一個安全層,是在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò)。對于周邊網(wǎng)絡(luò)，如果某人侵入周邊網(wǎng)上的堡壘主機(jī)，他僅能探聽到周邊網(wǎng)上的通信。2）內(nèi)部路由器（阻塞路由器）：保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受Internet和周邊子網(wǎng)的侵犯。它為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作91屏蔽子網(wǎng)3）外部路由器：在理論上，外部路由器保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來自Internet的侵犯。實(shí)際上，外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過濾。外部路由器安全任務(wù)之一是：阻止從Internet上偽造源地址進(jìn)來的任何數(shù)據(jù)包。92優(yōu)點(diǎn)安全性較高可用性較好缺點(diǎn)配置復(fù)雜成本高93繞過防火墻的攻擊穿過防火墻的攻擊行為IIS4.0和IIS5.0在Unicode字符解碼的實(shí)現(xiàn)中存在一個安全漏洞，導(dǎo)致用戶可以遠(yuǎn)程通過IIS執(zhí)行任意命令。當(dāng)IIS打開文件時，如果該文件名包含unicode字符，它會對其進(jìn)行解碼，如果用戶提供一些特殊的編碼，將導(dǎo)致IIS錯誤的打開或者執(zhí)行某些web根目錄以外的文件。94據(jù)統(tǒng)計(jì)80%的成功攻擊來自于防火墻內(nèi)部！95入侵檢測技術(shù)通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)信息的收集和分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略行為和被攻擊跡象的一種安全技術(shù)。96入侵檢測的作用檢測防護(hù)部分阻止不了的入侵檢測入侵的前兆入侵事件的歸檔網(wǎng)絡(luò)受威脅程度的評估幫助從入侵事件中恢復(fù)97防火墻與入侵檢測防火墻屬于信息保障的保護(hù)環(huán)節(jié)門禁系統(tǒng)入侵檢測屬于信息保障的檢測環(huán)節(jié)監(jiān)控系統(tǒng)98入檢測檢測歷史入侵檢測的發(fā)源1980，JamesAnderson

提出入侵檢測的設(shè)想1987，DorothyDenning提出入侵檢測系統(tǒng)抽象模型主機(jī)入侵檢測1988，出現(xiàn)一批基于主機(jī)審計(jì)信息的入侵檢測系統(tǒng)網(wǎng)絡(luò)入侵檢測1990，開始出現(xiàn)基于網(wǎng)絡(luò)數(shù)據(jù)的入侵檢測系統(tǒng)入侵檢測的新技術(shù)與新方法致力于提高入侵檢測系統(tǒng)的可伸縮性、可維護(hù)性、容錯性。一些新的思想，如免疫、信息挖掘引入到入侵檢測領(lǐng)域99入侵檢測的核心任務(wù)攻擊者進(jìn)行攻擊的時候會留下痕跡，這些痕跡和系統(tǒng)正常運(yùn)行的時候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測的任務(wù)就是從混