网络安全中防火墙与端口扫描技术研究---毕业论文

高等教育自学考试本科生毕业论文(设计)网络安全中防火墙与端口扫描技术研究学生姓名：考 籍 号：年级专业： 电子政务指导老师及职称： 学 院：湖南大学信息科学技术学院湖南长沙提交日期： 年 月目 录摘 要1关键词11 前言12 网络安全概述22.1 网络安全信息概述22.2安全性策略与安全性指标32.2.1 安全策略定义32.2.2 安全性指标42.3 网络攻击42.3.1 攻击概述52.3.2 攻击手段及特点63 防火墙技术研究83.1 防火墙概述83.2 防火墙分类与作用93.3 防火墙关键技术113.4 基于防火墙构建安全网络基本原则133.5 防火墙未来发展趋势144 端口扫描技术研究154.1 端口的概念154.2 端口扫描原理164.3 端口扫描技术174.3.1 开放式扫描技术174.3.2 半开放扫描技术184.3.3 隐藏扫描技术194.3.4 其他扫描技术204.4 扫描的防御方法225 结束语22参考文献23致 谢24网络安全中防火墙与端口扫描技术研究 摘 要：随着Internet在我国的迅速发展，网络安全问题越来越得到重视，防火墙与端口扫描技术也引起了各方面的广泛关注。我国目前使用较多的，是在路由器上采用分组过滤技术来提供网络安全的保证，对其它方面的技术还缺乏深入了解，防火墙与端口扫描技术还处在一个发展阶段，仍有许多问题有待解决。本文主要针对网络安全中存在的相关问题，深入分析了影响网络安全地各种原因，对当前网络安全中采用的技术进行了研究，文中重点针对防火墙与端口扫描技术，对其工作原理与流行技术作了详细的介绍。 关键词：Internet；端口扫描；防火墙；网络安全1 前言 近几年来，随着科学技术的飞速发展，人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域，因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展，给人们的生活带来了全新的感受，人类社会各种活动对信息网络地依赖程度已经越来越大。网络的迅速发展，带来了工作效率的提高，丰富了人们的日常学习生活。然而，凡事“有利必有其弊”，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。随着计算机网络尤其是Internet网络进入千家万户，计算机网络已经广泛应用于商业、金融、科研、教育以及日常生活的各个领域，成为信息传输中的重要组成部分，但是当人们在享受网络带来的种种便捷时，关于网络的安全问题越来越引起人们的关注。网络安全已经成为与个人或企业信息化应用密切相关的话题。只要翻开每天的报纸，就会看到与计算机有关的攻击事件在不断增加，几乎每天都会听说一些政府机关和专门机构的系统被入侵。即使像美国军方这样具有极高安全保护水平的组织以及微软这样大名鼎鼎的公司也曾经被黑客入侵过。人们可能会联想这样的机构也会被攻击，在这样一种人人自危的环境下，我们该如何保护自己的公司与电脑。尤其是当今网络技术被广泛应用于社会生产生活直至军事战略等各个方面时，网络安全问题已超越其本身而达到国家安全问题的高度，这就要求我们对与Internet互连所带来的安全性问题予以足够重视。 网络安全性可以被粗略地分为4个相互交织的部分：保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问，这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与数据签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。2 网络安全概述 身在当今这个坐地日行三千里的快节奏的现代社会中的每个人不得不承认，计算机在改变着人们的生活和工作方式，而计算机网络更能使人们足不出户便可了解全球发生的重大事件，可以轻松、快捷的使自己与世界各地的朋友联络，神奇的网络正使这个世界变的越来越小。随着网络应用和网络技术的高速发展，网络安全问题也日渐凸显。下面从几个方面简要分析目前网络安全所面临的威胁：(1) 网络的先天缺陷。网络安全是因特网发展的基础，网络是以ISO/OSI传输模式建设的，所有的网络在建设过程中只注重网络系统的便利性和实用性，而完全忽略了网络的模式结构和安全性。(2) 系统漏洞。随着计算机软件系统规模的不断扩大，应用于计算机的各种系统软件和应用软件正变得越来越复杂。系统模块间的连接错误和安全漏洞是不可避免的，这也直接导致网络安全问题的存在。(3) 病毒的广泛传播。由于网速的提升和操作系统中的安全功能和安全机制的不健全，使得计算机病毒广泛传播于计算机网络中。(4) 人为攻击。网络系统是由各地计算机终端连接构成的。黑客利用网络资源共享、数据通讯的特征及网络安全漏洞进行篡改网络信息、替换网页、下载、攻击主机和网络、发送病毒邮件从而使网络系统瘫痪。(5) 网络安全管理体制不健全。在信息资源管理和安全的监管方面职责不够明确，而信息网络安全立法刚刚起步，加强重要信息基础设施保护、防范不良信息入侵等关键性的专门法律尚未出台。(6) 攻击手段和技术的散布。系统的安全漏洞和系统的加密方式已不再是高度机密。因特网上许多站点时时刻刻地发布这些信息，并提供各种工具和技术，利用这些漏洞就能破解保密系统从而进行系统攻击。2.1 网络安全信息概述 网络安全从其本质上来讲就是网络上的信息安全。随着信息网络的发展，信息安全的概念不断深化、延拓。从二战后军方、政方专享的通信保密到20世纪70年代的数据保护，90年代的信息安全直至当今的信息保障，安全的概念已经不仅指对数据信息的保护，还包括对整个系统的保护和防御。 信息安全的概念经历了漫长的历史阶段，90年代以来得到了深化。它包括以下几个方面的内容： 信息的保密性：保证信息不泄露给未经过授权的人。 信息的完整性：防止信息被未经授权的非法篡改和破坏。 信息的可用性（有效性）：保证信息和信息系统资源持续有效，确实为授权者使用。 信息的可控性：对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统。 信息的不可否认性：保证信息行为人不能过后否认自己的行为。 从广义上来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改或泄露、系统连续、可靠、正常地运行，网络服务不中断。具体而言，网络安全要保护个人隐私；控制对网络资源的访问；保证商业秘密在网络上的传输的保密性，完整性，真实性及不可抵赖性；控制不健康的内容或危害社会稳定的言论；避免国家机密的泄露等。2.2 安全性策略与安全性指标安全网络的概念对大多数人来说是意识的，但网络并不能简单地划分为安全与不安全的。因为这个词本身就有相对性，不同的人们有不同的理解。比如，有些组织的数据是很有保密价值的，他们就把数据划分为不同的级别，其中有些级别数据对外界保密，有些级别的数据只能被外界访问而不能修改等。正因为没有绝对意义上的安全网络存在，任何安全系统的第一步就是制定一个合理的安全策略（Security Policy）这个策略应该规定每个人的职责范围（执行、实施、审计、监察），最基本的安全策略是什么，而只需阐明要保护的各项条目即可。良好的策略不仅能够防御已经存在的威胁，而且可以针对到未预见的问题。2.2.1 安全策略定义 制定合理的网络策略需要正确评估系统信息的价值，为了对数据进行有效的保护，网络安全策略必须能够覆盖数据在计算机网络系统的存储、传送和处理等各个环节。网络的安全策略是计划的需求，是将安全的抽象概念映射到其他的具体世界中。安全策略有2个定义： 1、正式的安全策略：通常由一个数学模型所构成，这个模型收集了系统所有可能的状态和操作，并伴随着状态操作存在的可能时间和方式的约束。政府的可信系统（governments trusted systems initiative）把系统安全策略定义为系统安全功能部件执行的规则集。 2、管理的安全策略：概述了安全目标并提交管理资源达到目标。除此之外，还分配责任，划分职务，确定管理和安全控制。最后，这个策略构架起到保护信息和计算资产的程序的作用，并予以执行。 实施的安全策略主要由安全策略目标、机构安全策略和系统安全策略3个不同方面来描述。所谓安全策略目标，是指某个机构对所要保护的特定资源必须要达到目的而进行的描述。其目的是保护系统的完整性、有效性、保密性及可用性。机构安全策略是一套法律、规则以及实际操作方法，用于规范某个机构如何管理、保护、分配资源以及达到安全策略的既定目标。系统安全策略是指为支持此机构的安全策略要求，如何将特定的信息技术系统付诸工程实现的方法。 一般认为，计算机网络系统的安全威胁主要来自黑客，计算机病毒和拒绝服务攻击三个方面。其安全性策略：（1）物理安全策略（2）访问控制策略（3）信息加密策略（4）网络安全管理策略2.2.2 安全性指标 由于没有绝对的安全网络，制定安全策略时往往必须在安全性和使用性之间采取一个折中方案，着重保证一些主要的安全性指标。（1）数据完整性（Integrity）：即数据在传输过程中的完整性，也就是在发送前和到达后是否完全一样。（2）数据的可用性（Availability）：即在系统故障的情况下数据是否丢失。（3）数据保密性（Confidentiality and Privacy）：即系统中的数据是否可能被非法窃取。2.3 网络攻击近年来，随着Internet的普及，网络安全问题显得越来越重要。目前造成网络不安全的主要因素是在协议、系统及数据库等的设计上存在缺陷和漏洞。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。为了保证网络信息的安全，我们必须了解网络攻击的一般过程，在此基础上才能制定防范策略，确保网络安全。2.3.1 攻击概述 对网络信息系统的攻击来自很多方面，这些攻击可以宏观地分为人为攻击和灾害攻击。他们都会对通信安全构成威胁，但是精心设计的人为攻击威胁最大，也最难防备。 采用不同的分类标准（如攻击手段、攻击目标），会得出不同的分类结果。美国国家安全局在2000年9月发布的信息保障技术框架（IATF）3.0版中将攻击分为以下5类：主动攻击、被动攻击、物理临近攻击、内部人员攻击和软硬件配装攻击。 1、主动攻击主动攻击包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器的端口25找出公司运行的邮件服务器的信息；伪造无效IP地址去连接服务器，使接受到错误IP地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。正因为如此，如果要寻找他们是很容易发现的。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。 2、被动攻击被动攻击本质上是在传输过程中偷听和监视，其目的是为了从传输中获取信息，包括直接获取消息内容和通信量分析。被动攻击主要是收集信息而不是进行访问，所以数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。说明：这样分类不是说主动攻击不能收集信息或被动攻击不能被用来访问系统。多数情况下这两种类型被联合用于入侵一个站点。但是，大多数被动攻击不一定包括可被跟踪的行为，因此更难被发现。从另一个角度看，主动攻击容易被发现但多数公司都没有发现，所以发现被动攻击的机会几乎是零。再往下一个层次看，当前网络攻击的方法没有规范的分类模式，方法的运用往往非常灵活。从攻击的目的来看，可以有拒绝服务攻击(Dos)、获取系统权限的攻击、获取敏感信息的攻击；从攻击的切入点来看，有缓冲区溢出攻击、系统设置漏洞的攻击等；从攻击的纵向实施过程来看，又有获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击等；从攻击的类型来看，包括对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等。所以说，很难以一个统一的模式对各种攻击手段进行分类。实际上黑客实施一次入侵行为，为达到他的攻击目的会结合采用多种攻击手段，在不同的入侵阶段使用不同的方法。 3、物理临近攻击 物理临近攻击指未授权个人以更改、收集或拒绝访问为目的而物理接近网络、系统或设备。这种接近可以是秘密进入或公开接近，或两种方式同时使用。 4、内部人员攻击 内部人员攻击可以是恶意的或非恶意的。恶意攻击是指内部人员有计划地切听、偷听或损坏信息，或拒绝其他授权用户的访问。 5、软硬件配装攻击又称分发攻击指软硬件的生产工厂或产品分发过程中恶意修改硬件或软件。这种攻击可能给一个产品引入后门程序等恶意代码，以便在未获授权的情况下访问信息系统。2.3.2 攻击手段及特点现在的攻击手段虽然种类繁多，但是主要利用以下两种漏洞：一类是TCP/IP协议本身的漏洞。这主要上因为TCI/IP协议的最初设计是基于互相信任的网络上，因此缺乏对安全的考虑。另一类就是操作系统的漏洞，很多操作系统在本身结构设计和代码设计时偏重于考虑系统使用的方便性，导致了系统在远程访问、权限控制和口令管理及很多其他方面存在着安全漏洞。上述这两类主要漏洞可以给计算机互连网带来诸如非法访问和破坏、计算机病毒、拒绝服务攻击泄露机密信息等几大威胁。网络攻击行为有： 1、扫描类攻击 在Internet 安全领域，扫描工具是最著名的破坏工具。扫描工具是一种自动监测远程或本地主机在安全性方面弱点程序包。通过使用扫描工具，一个用户可以不留痕迹的发现在另一个半球的一台主机性弱点。其优点在于操作方便、自动化、以及能发现一些众所周知的安全隐患；缺点是不能报告新发现的安全隐患，黑客常利用扫描工具辅助攻击。 2、缓冲溢出攻击 缓冲溢出攻击是一种系统攻击手段，它通过向系统的缓冲区写入过多数据，破坏系统的堆栈，使系统跳转到攻击者设定的代码部分运行，获得超级权限或达到其他攻击目的。此外，它可以利用系统服务中的溢出漏洞，进行远程攻击。缓冲溢出攻击是一种应用层的攻击，不同的系统，不同的服务攻击代码会不同，对于这种攻击的检测，采用的是字符串匹配的方法。对缓冲区溢出攻击最有效的防范就是通过系统中的数据访问进行越界检查，或者只允许执行在代码空间的指令等措施来提高系统的安全性。 3、木马攻击 木马的全称为“特洛伊木马”，正如它的名字一样，特洛伊木马是一个静态程序。它存在于另一个无害的程序中。特洛伊木马不能从一台机器传播到另一台计算机上，特洛伊木马一般是一些代码串，悄悄的放在一个被信任的应用程序中。它表面上看是一个无害的程序，一旦条件被触发，就会带来恶意攻击。虽然当前的木马攻击都是针对Windows系统的，但就其原理来说，也适用其他操作平台，木马程序分为两个部分：其中服务器部分通常安装在被攻击的主机上，一般是不为被攻击主机的系统管理员所知。而客户端，也就是控制端，通常由攻击者自己操纵。木马的服务器端会在本机打开一个监听端口，等待来自客户端的连接，攻击者就可以向被攻击主机发起连接，从而对被攻击主机进行监控。但有些木马，由服务器端主动向客户端发起连接，并设定通信的端口来穿过防火墙。此时就要用到网络IDS进行检测。 4、Dos攻击 Dos(Denial of Service)就是攻击者采用了某种手段，使得服务器不能向合法的用户提供正常的服务。攻击者所采用的手段一般有两种：一种是耗尽被攻击系统的可用资源，其中比较典型的就是Synflood攻击；另一种就是耗尽其网络带宽，比较典型的就是Smurf攻击。 Synflood 攻击一次只能攻击一个固定的目标，还有一类攻击可以同时进攻多个目标乃至整个网络，它们采用大量的无用数据包来充斥整个网络，从而使合法的数据包得不到正常的处理。Smurf就属于这一消耗网络带宽的攻击，不过这样的攻击对Windows主机无效，因为Windows主机不会回应这样的广播Icmp回应请求包。对于Smurf攻击的防御和检测也比较简单。如果防火墙或网络IDS收到一个广播地址Icmp应答请求包，就可以认为有人发起了Smurf攻击。 5、DDos攻击 DDos（Distributed Denial Service）与Dos相似，它是拒绝服务器群起进攻的方式。Dos的攻击更为自动化，它可以方便的从多台计算机启动进程，让它们同时向被攻击主机发起Dos攻击。确切的讲，DDos攻击是指在不同的高带宽主机上安装大量的Dos服务程序，它们等待来自中央客户端的命令，中央客户端随后通知全体受控服务器程序，并批示它们对一个特定目标发送尽可能多的网络访问请求，这样不仅可以使被攻击主机停止服务，还可以使整个网络因过载而崩溃。 面对越来越猖狂的攻击入侵，人们提出了“输出过滤”，即在那些非法的内网包应该禁止传送到Internet上，从而增强网络的稳定性和安全性。 6、病毒和蠕虫的攻击 每一种病毒都会对机器的性能产生一定的影响，这是由于它们会占用磁盘空间、内存和处理器的运算时间。大多数流行的病毒只是不断的自我复制，从而导致很长时间而没有被发觉。有些新病毒由于直接产生危害而没有被发觉。有些新病毒由于直接产生危害而很容易被发现。还有些病毒会慢慢的破坏数据，有些除了破坏性很强外还会长期存在。 蠕虫病毒的特征也是复制，一些权威人事将蠕虫病毒定义为某种病毒的一个子类，但蠕虫病毒有其特殊的地方。它和普通的病毒程序的区别在于“附着”。其它病毒“附着”在合法的程序上。而蠕虫病毒通过网络或系统传播自身。可以这么说，蠕虫病毒感染环境（如操作系统或邮件系统）而不是感染特定目标，如文件。3 防火墙技术研究3.1 防火墙概述防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。它在内部网络与外部网络之问形成一道安全保护屏障，防止非法用户访问内部网络上的资源和非法向外传递内部信息，同时也防止这类非法和恶意的行为导致内部网络运行遭到破坏。防火墙是一种有效的网络安全设备，其核心思想是通过监测和控制网络之间的信息交换和访问行为来实现对网络安全的有效管理，在不安全的Internet环境中构造一个相对安全的子网环境，其中被保护的网络称为内部网络或私有网络，另一方则被称为外部网络或公用网络。防火墙能有效的控制内部网络与外部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下几个方面的特征：（1）所有的通信都必须经过防火墙。 （2）防火墙只放行经过授权的网络流量。 （3）防火墙能经受得起对其本身的攻击。防火墙的工作原理是按照预定好的安全策略和规则，监控所有通过防火墙的数据流。只有符合安全策略的数据流才能通过防火墙，并且记录相关的连接来源、服务器提供的通信量以及任何企图闯入的试探，以便管理员监测和管理。同时，防火墙自身也要有非常强的抗攻击能力。图1显示了防火墙的基本功能：防火墙网 关过滤器网 关过滤器网 关内部受保护网络外部不安全网络图1 防火墙的基本功能Fig 1 Port scanning technology Category3.2 防火墙分类与作用1、对防火墙可以从不同的角度进行分类(实现技术、部署的位置等等)，根据其部署的位置和工作方式，防火墙可以分为以下几种类型：（1）边界防火墙：又称为传统防火墙，部署在内部网络和外部网络的接口处，依靠物理拓扑结构来严格区分内部网络和外部网络，控制外部网络对内部网络的访 问，通常以运行在独立主机上的软件或独立硬件设备的形式实现，是目前发展最为成熟的防火墙类型。（2）个人防火墙：又称PC防火墙，是一种针对个人用户的网络安全软件，以一个应用程序或者服务的形式运行在受保护的主机上，根据终端用户的设定来控制进出主机的网络数据。（3）分布式防火墙：一种新型的防火墙体系，是将传统的防火墙技术和分布式技术相结合的产物。分布式防火墙由若干个工作在受保护主机上的主机防火墙和一个策略管理中心组成，主机防火墙负责监控每台受保护主机上的网络数据流，并依据管理中心统一制定的安全策略进行控制。关于分布式防火墙的研究目前仍然在进行当中。2、根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型、网络地址转换NAT、监测型和代理型（或称应用层网关）。（1）包过滤型防火墙包过滤型防火墙是众多防火墙中最基本、最简单的一种，它可以是一带有数据包过滤功能的商用路由器，也可以是基于主机的路由器。它工作在网络层，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。 （2）网络地址转换NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。 （3）监测型防火墙 监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。实际上，作为当前防火墙产品的主流趋势，大多数代理服务器(也称应用网关)也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的，应用网关能提供对协议的过滤。例如，它可以过滤掉FTP连接中的PUT命令，而且通过代理应用，应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点，使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。 （4）代理服务器型防火墙 代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。3.3 防火墙关键技术1、分组过滤技术分组过滤技术是防火墙系统中最简单和最基本的技术，它通过检查分组的网络层和传输层的头信息来阻挡非法连接的分组。被检测的头信息包括IP源地址、IP目的地址、传输层协议类型、TCP或UDP的目的端口、ICMP的消息类型、TCP头信息中的ACK位，序列号、确认号等。通过以上头信息的检测，可以了解数据分组源主机、目的主机、传递的服务及消息类型；再根据预先确定的过滤规则，如对某主机不能进行Telnet连接，便可通过对数据分组过滤，将非法数据分组丢弃。分组过滤的关键是确定过滤规则，而这需要结合具体的协议来考虑。TCP是面向连接的可靠传输协议，即目标主机将顺序地、不重复的接受源主机发送过来的所有分组，收不到确认时，源主机会重传数据以保证传输的可靠。因此，要阻止TCP连接，只要阻止第一个连接就可以了。UDP是无连接的不可靠传输协议，即源主机虽然按顺序的发送数据，但各个分组可以走不同的路由，到达目标主机时顺序可能已经被打乱，源主机不等待目标主机的确认，也不重传数据。ICMP数据分组用于主机之间，主机与路由器之间的路由控制、流量控制、差错控制和拥塞控制，过滤规则应根据ICMP的类型来考虑。特别是路由器发给主机的ICMP消息，对于防火墙有重要意义，应当严格过滤。通过上述分析可知，分组过滤技术的作用是十分有限的。首先，它只适合于一部分协议，如基于远程过程调用的应用协议是无效的。其次，它只根据分组的头信息进行过滤，无法防止数据驱动型攻击。2、代理技术与分组过滤技术不同，代理技术不是在网络层拦截数据分组，而是通过各种应用服务分别设立代理的方法，在应用层对网络攻击进行防范。一个代理就是为一个应用服务而设计的进行安全控制的程序。它的主要特点是根据应用层的状态信息，而不是根据分组的头信息，来实现更加灵活和严格的安全策略。各种应用服务的代理通常被配置在应用网关上，因此要将应用网关作为对外提供服务的必经节点。要想得到内部网络的某种服务，必须有相应的代理程序被配置在应用网关上，否则，请求服务被禁止。代理服务可以对服务进行控制，也可以对服务中的功能进行控制。代理程序一般有解释应用层协议命令的功能，如FTP命令、Telnet命令等。 代理技术对用户一般是不透明的，它往往要求用户改变操作方法。例如，通过代理的TELNET服务，一般要求用户分两步而不是一步建立连接。另外，往往还需要用户在自己的系统上安装特定的软件。3、地址翻译技术地址翻译技术是将一个IP地址映射为另外一个IP地址的技术。它有两方面的作用：（1） 内部网络主机的IP地址对外部网络无效，隐藏内部网络主机。（2） 解决内部网络IP地址不足的问题。通过地址翻译技术，外部网络不能直接访问内部网络的主机，但内部网络的主机之间是可以相互访问的。地址翻译技术实现了一种单向路由的方法，即内部网络可以访问外部网络，而外部网络不能直接访问内部网络的主机，从而对内部网络进行保护。地址翻译技术也可以灵活的应用有选择的隐藏内部网络主机，将一部分网络主机映射为外部网络可见的。4、安全内核安全内核技术是在操作系统上应用的技术，即通过配置和改造操作系统的内核，使其产生固有的安全特性，成为“安全的”操作系统。安全操作系统的内核配置和改造主要包含以下内容：（1） 取消危险的系统调用（2） 限制命令的执行权限（3） 取消IP的转发功能（4） 驻留分组过滤模块（5） 检查分组的端口（6） 取消动态路由功能3.4 基于防火墙构建安全网络基本原则在进行防火墙设计过程中，网络管理员应考虑的问题为：防火墙的基本准则，整个企业网的安全策略，防火墙的财务费用的预算，以及防火墙的部件或构建块。 1、防火墙的基本准则 防火墙可以采取如下两种之一理念来定义防火墙应遵循的准则： 其一、未经说明允可的就是拒绝。防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于过于强调安全而减弱了可用性，限制了用户可以申请的服务的数量。 其二、未说明拒绝的均为许可的。约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然，该理念的不足在于它将可用性置于比安全更为重要的地位，增加了保证私有网安全性的难度。 2、企业网的安全策略 在一个企业网中，防火墙应该是全局安全策略的一部分，构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。 3、防火墙的费用 简单的包过滤防火墙所需费用最少，实际上任何企业网与因特网的连接都需要一个路由器，而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加，其费用也随之增加。 至于采用自行构造防火墙方式，虽然费用低一些，但仍需要时间和经费开发、配置防火墙系统，需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。 因而，防火墙的配备是需要相当的费用，如何以最小的费用来最大限度地满足企业网的安全需求，这将是企业网决策者应该周密考虑的问题。当然，防火墙本身也有其局限性，即不经过防火墙的入侵，防火墙则是无能为力的，如被保护网络中通过SLIP和PPP方式直接与因特网相连的内部用户，则会造成安全隐患。此时，为了保证安全性，防火墙代理服务器在使用到ISP的SLIP和PPP连接时，需要附加一些新的权限条件。同时，硬件方式构建的防火墙，如：PIX520，其不够灵活的问题也是固化防火墙的共同问题，所以在一个实际的网络运行环境中，仅仅依靠防火墙来保证网络的安全显然是不够，此时，应根据实际需求采取相应的安全策略。3.5 防火墙未来发展趋势目前，防火墙技术已经引起了人们的注意，随着新技术的发展，混合使用包过滤技术、代理服务技术和其它一些新技术的防火墙正向我们走来。越来越多的客户端和服务器端的应用程序本身就支持代理服务方式。比如，许多WWW客户服务软件包就具有代理能力，而许多象SOCKS 这样的软件在运行编译时也支持类代理服务。包过滤系统向着更具柔性和多功能的方向发展。比如动态包过滤系统，在CheckPoint Firewall-1、Karl Brige/Karl Brouter 以及Morning Star Secure Connect router中的包过滤规则可由路由器灵活、快速的来设置。一个输出的UDP 数据包可以引起对应的允许应答UDP创立一个临时的包过滤规则，允许其对应的UDP包进入内部网。被称为“第三代”产品的第一批系统已开始进入市场。如Border网络技术公司的Border产品和Truest信息系统公司的Gauntlet3.0产品从外部向内看起来像是代理服务（任何外部服务请求都来自于同一主机），而由内部向外看像一个包过滤系统（内部用户认为他们直接与外部网交互）。这些产品通过对大量内部网的外向连接请求的计帐系统和包的批次修改对防火墙的内外提供相关的伪像。Karl Bridge/Karl Brouter产品拓展了包过滤的范围，它对应用层上的包过滤和授权进行了扩展。这比传统的包过滤要精细得多。目前，人们正在设计新的IP协议（也被称为IP version 6）。IP协议的变化将对防火墙的建立与运行产生深刻的影响。同时，目前大多数网络上的机器的信息流都有可能被偷看到，但更新式的网络技术如帧中继，异步传输模式（ATM）可将数据包源地址直接发送给目的地址，从而防止信息流在传输中途被泄露。4 端口扫描技术研究端口扫描是一种通过一定的手段和方法发现系统或网络潜在隐患的技术。而端口这个概念是在传输层提出的，是传输层标志服务的手段。传输层有两个重要的协议：传输控制协议(TCP)和用户数据报协议(UDP)。在网络技术中，通常端口的意义一般指 TCP/IP协议中的端口，端口号从065535，分为TCP 端口和UDP端口。网络在人们生活中越来越占据了重要的作用，人们以各种方式访问网络，客户/服务器模式(即C/S模式)在现在网络通信中越来越显示出其强大的生命力，在这种模式下的端口则是在TCP/IP 网络环境下进程间通信的重要概念。端口扫描与其说是一种攻击方法，不如说是一种检测方法，顾名思义，端口扫描即对端口进行扫描。通过扫描可以知道一台计算机上都提供了哪些服务，如果所提供的这些服务存在漏洞，黑客就会利用这些漏洞对系统进行攻击。而事实上，即使没有什么漏洞可找，仅就扫描所得的信息，就己能给黑客提供了大量的重要信息，因此端口扫描往往作为黑客攻击某一网站的第一步。 4.1 端口的概念TCP/IP协议虽然规定了各个协议的实现细节，但却并没有确切地规定应用程序应如何与协议软件进行交互。因此实际上所说的服务器和主机之间没有一个一一对应关系，主机是一个硬件的概念，是一台物理设备，而服务器是指一组软件系统，一台主机上可以装多个服务器来提供服务，而某个服务器也可以由几台计算机通过软件进行捆绑后实现，一台主机可由IP地址区分，而主机上的服务则可由端口实现。根据Berkeley 套接字，端口共用16bits来表示，范围为：065535共65536个，其中，端口值小于1024 的习惯上称为熟知端口，是由对应的协议使用，端口值在1024至65535之间的端口称为一般端口。在对端口的状态描述中，各种称呼都有，有的用“开”和“不开”，有的用“激活”和“关闭”，有的用“开”和“关”来描述，鉴于所表示的意义完全一致，因此，本文后继部分中，统一称之为“开”和“关”。“开”即表示有对应的服务程序通过该端口向外界提供相应服务，只要外界使用满足这一端口的协议访问该端口，就可以得到相应的服务。而“关”则表示对应的服务程序没有安装或当前没有处于运行状态，即使你在客户端运行相应访问请求的程序，仍无法得到结果。比如你运行IE并在地址栏输入一个不提供WWW服务的IP地址后，IE就会告诉你：访问出错。下表中列出了常用的和本文所涉及到的端口及其意义：表1 常用端口及其意义Table 1 Common port and its significance十进制端口号内容意义7Echo回送13Daytime日期时间15Netstate网络状态程序20Ftp(Data)文件传输协议（用于传输数据）2123Ftp(Control)Telnet文件传输协议（用于传输控制）远程登录25Smtp简单邮件传输协议53Dns域名服务67Bootps引导协议服务器69Tftp简单文件传输协议80WWW万维网服务器119Nntp网络新闻传输协议139NetbiosNetbios协议4.2 端口扫描原理一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息。所谓端口扫描，就是逐个对一段端口或指定的端口进行扫描。通过扫描结果可以知道一台计算机上都提供了哪些服务，然后就可以通过所提供的这些服务的己知漏洞就可进行攻击。其原理是当一个主机向远端一个服务器的某一个端口提出建立一个连接的请求，如果对方有此项服务，就会应答，如果对方未安装此项服务时，即使你向相应的端口发出请求，对方仍无应答，利用这个原理，如果对所有熟知端口或自己选定的某个范围内的熟知端口分别建立连接，并记录下远端服务器所给予的应答，通过查看记录就可以知道目标服务器上都安装了哪些服务，这就是端口扫描，通过端口扫描，就可以搜集到很多关于目标主机的各种很有参考价值的信息。例如，对方是否提供FTP服务、WWW服务或其它服务。4.3 端口扫描技术根据采用探测方法的不同，我们可以把端口扫描技术分为开放扫描、半开放扫描、隐蔽扫描以及其它扫描等。具体分类如图2所示：TCP全连接端口扫描技术开放扫描半开放扫描隐蔽扫描扫射扫描其他扫描SYN扫描FIN扫描TCP echo间接扫描TCP Ident扫描ACK扫描UDP echoUDP Recvfrom/Sendto扫描ICMP echoNULL扫描SYN/ACK扫描图2 端口扫描技术分类Fig 2 Port scanning technology Category4.3.1 开放式扫描技术开放式扫描又称全连接扫描，全连接扫描是TCP端口扫描的基础，现有的全连接扫描有TCP connect()扫描和TCP反向ident扫描等。 1、TCP connect（）扫描这是最基本的TCP扫描。TCP connect()是操作系统提供的系统调用，用来与每一个感兴趣的目标计算机的端口进行连接。其实现原理是：通过直接同目标主机进行一次完整的3次TCP/IP建链过程。建立标准TCP连接来检查目标主机的相应端口是否打开。标准的TCP/IP连接建立过程是，如果server的端口是打开的，在client和server间的TCP数据包将包括以下握手过程： client 一 SYN server 一 SYN/ACK client 一 ACK 而如果server的端口没有打开，上述流程将如下： client 一 SYNserver 一 SYN/ACK client 一 RST优点：稳定可靠，不需要特殊的权限。系统中的任何用户都有权利使用这个调用。另一个好处就是速度。如果对每个目标端口以线性的方式，使用单独的connect()调用，那么将会花费相当长的时间，你可以通过同时打开多个套接字，从而加速扫描。使用非阻塞UO允许设置一个低的时间用尽周期，同时观察多个套接字。缺点：扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录，并容易被防火墙发现和屏蔽。目标计算机的logs文件会显示一连串的连接和连接是出错的服务消息，并且能很快的使它关闭。2、TCP反向Ident扫描ident协议允许(rfcl413)看到通过TCP连接的任何进程的拥有者的用户名，即使这个连接不是由这个进程开始的。因此能连接到http端口，然后用identd来发现服务器是否正在以root权限运行。缺点：这种方法只能在和目标端口建立了一个完整的TCP连接后才能看到。4.3.2 半开放扫描技术若端口扫描没有完成一个完整的TCP连接，在扫描主机和目标主机的一指定端口建立连接时候只完成了前两次握手，在第3步时，扫描主机中断了本次连接，使连接没有完全建立起来，这样的端口扫描称为半连接扫描，也称为间接扫描。现有的半连接扫描有TCP SYN扫描和TCP 间接扫描等。1、TCP SYN 扫描扫描主机向目标主机的选择端口发送设置了SYN数据标志的TCP包，就像打开常规TCP连接时一样。如果被扫描主机发送设置了RST和ACK标志的包，那么说明端口是关闭的，按照设定就探听其它端口；如果该端口是打开的，则被扫描主机返回设置了SYN和ACK标志的包进行响应，说明目标端口处于监听状态。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半打开扫描。SYN扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP包，通常情况下，构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。2、TCP 间接扫描间接扫描的思想是利用第三方的IP（欺骗主机）来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息，所以必须监控欺骗主机的IP行为，从而获得原始扫描的结果。扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描，并通过观察其IP序列号的增长规律获取端口的状态，间接扫描的工作过程如下：假定参与扫描过程的主机为扫描机，隐藏机，目标机。扫描机和目标记的角色非常明显。隐藏机是一个非常特殊的角色，在扫描机扫描目标机的时候，它不能发送任何数据包(除了与扫描有关的包)。优点：隐蔽性好。缺点：对第三方主机的要求较高。4.3.3 隐藏扫描技术1、TCP FIN 扫描扫描器向目标主机端口发送FIN包。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉。并且返回一个RST数据包。否则，若是打开的端口，数据包只是简单的丢掉(不返回RST)。这种方法和系统的实现有一定的关系。有的系统不管端口是否打开，都回复RST，这样，这种扫描方法就不适用了。优点：由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而比SYN扫描隐蔽得多，FIN数据包能够通过只监测SYN包的包过滤器。缺点：跟SYN扫描类似，需要自己构造数据包，要求由超级用户或者授权用户访问专门的系统调用；通常适用于UNIX目标主机，除过少量的应当丢弃数据包却发送RST包的操作系统（包括CISCO, HPNX, MVS和IRIX）。但在Windows95/NT环境下，该方法无效，因为不论目标端口是否打开，操作系统都返回RST包。2、TCP Xmas和TCP Null扫描TCP Xmas和Null扫描是FIN扫描的两个变种。Xmas扫描打开FIN, URG和PUSH标记，而Null扫描关闭所有标记。这些组合的目的是为了通