（计算机应用技术专业论文）防火墙及其网元化管理的研究与设计.pdf

匈 : 硕士学 位论文 m a s t e r s t h e si s ab s t r a c t w ith th e w id e a p p lic a t io n s o f in t e rn e t,th e s e c u r ity o f . c o m p u t e r n e t w o r k is r e c e n tly mo r e and m o r e a tt e n t i o n s . f o r e x a m p l e , i f y o u in t e n d t o a p p ly i n t e r n e t 仍p o li t i c s ,e c o n o m y s o o n , w h i c h n e e d a g r e a ts e c u r i ty a g a i n s t v i c i o u s m e n / w o m e n , y o u h a v e t o f i r s t n e t w o r k s a b l i ty t o s e c u r e y o u .s o t h e d e g r e e o f n e t w o r k s e c u r e i s o n e o f t h e fa c to rs th a t le a d s to th e a p p lic a t io n s an d d e v e lo p m e n t g f in t e rn e t . . a s o n e o f m e t h o d s t o inc r e a s e n e t w o r k s e c u n tyme fi r e w a ll n a s a c t e o a s an i m p o r t a n t r o v e i n t h e i n t e rn e t w o r l d s i n c e i t w a s s u c c e s s f u l l y d e v e l o p e d , b e c a u s e it c an r e j e c t t h o s e n o - a u t h o r i z e d r e q u e s t s f o r s e rv i c e s fr o m t h e p r o t e c t e d n e t w o r k s . i t a l s o h a s b e e n t h o u g h t a s a s e c u r e o b s t a c l e t o i n t r u d e rs i n t o t h e p r o t e c t e d n e t w o r k s . h o w e v e r , m any f i r e w a l l s a r e v e ry d i f f i c u l t t o b e m ana g e d and m a i t a i n e d , and t h i s k i n d o f w o r k s h a v e t o b e d o n e b y t h o s e p r o f i c i e n t e m p l o y e e s o f n e t w o r k c o m p ani e s .t h i s i s a v e ry b a d p r o b l e m f a c i n g t o m any c o m m o n u s e r s , and h a s t o b e r e s o l v e d i f w e w ant t o k e e p f i r e w a l l s r u n s a f e l y and e f f i c i e n t ly . i n t h i s t h e s i s , a n e w i d e a o f f i r e w a l l m ana g e m e n t b a s e d o n o n e s t a n d a r d n e t w o r k m ana g e m e n t p r o t o c o l i s g i v e n , t h a t i s , t h e f i r e w a l l c an b e m ana g e d b y m e ans o f s n mp w h i c h i s an i n t e r n a t i o n a l p o p u l a r n e t w o r k m ana g e m e n t p r o t o c o l s .1 n t h i s t h o u g h t ,t h e f i r e w a l l w i l l b e c o m e o n e o f m any m ana g e d o b j e c t s o f s n m p . i t w i l l n o t o n ly m a k e u s e rs t o m a n a g e and m a i n t a i n t h e i r f i r e w a l l s c o n v e n i e n t l y , b u t a l s o i n c r e a s e t h e n m s s ( n e t w o r k m a n a g e m e n t s y s t e m ) a b l 卿 t o s e c u r e m an a g e m e n t . f u rt h e r m o r e , i t w i l l a l s o h e l p m a n a g e rs t o d o s y n t h e s i s m ana g i n g w o r k s o n t h e i r n e t w o r k , and e l i m i n a t e t h e d i s p e r s i v e p h e n o m e n a e a c h o t h e r b o t h f i r e w a l l m ana g e m e n t s y s t e m an d s n m p - b a s e d n e t w o r k m ana g e m e n t s y s t e m . i n t h i s t h e s i s , t h e m a i n s e rvi c e s and t h e s e c u r e p r o b l e m s o f i n t e rne t a r e d i s c u s s e d f i rs t , and t h e m a i n t e c h n o l o g i e s and t h e s t r a t e g i e s a r e g i v e n a ft e r w a r d s . t h e n t h e f i r e w a l l s c o n c e p t , f u n c t i o n s , t h e o r i e s , c o n s t r u c t i o n a n d m ana g e p r o b l e m s a r e s y s t e m a t i c a l l y d i s c u s s e d i n n e x t c h a p t e r s . i n a d d it i o n , a n e w f i r e w a l l m o d e l , h w t - f w , w i t h a s n m p a g e n t , i s p r o v i d e d . b y t h i s a g e n t , t h e f i r e w a l l w i l l b e c o m e a m an a g e d o b j e c t b a s e d o n s n mp , an d w i l l g e t m a n a g e d i n s nmp s t and a r d . f i r e w a l l i s a k i n d o f t h e d e v i c e s o f p r o t e c t i n g p r i v a t e n e t w o r k s , and it i s v e ry i m p o rt ant t o s e c u r e i t . m an a g i n g f i r e w a l l t h r o u g h n e t w o r k m e ans t h a t m ana g e r s m a y n o t o n l y g e t i n f o r m a t i o n f r o m t h e i r f i r e w a l l s , b u t a l s o s e n d s o m e m e s s a g e s t o s e t t h e f i r e w a l l s and c h a n g e i t s s t a t u s e s . t h e r e f o r e , w e h a v e t o k e e p t h e tr ans f o r m e d m e s s a g e s i n t h e n e t w o r k f r o m b e i n g s t o l e n , s p o o f e d and c h ang e d b y t h e h a c k e r . i n t h i s t h e s i s , t h e s e c u r i ty o f s n m p i s ana l y z e d , and t h e a d v ant a g e o f u s i n g s n m p v 3 t o m ana g e f i r e w a l l i s d i s c u s s e d , w h i c h c an h e l p t o tr ans f o r m m ana g e m e n t m e s s a g e s i n n e t w o r k s e c u r i ty b e c a u s e t h e r e a r e b e tt e r s e c u r i ty c h a r a c t e r i s t i c s i n i t . i n f o l l o w i n g c h a p t e rs , t h e m a i n m i b - t a b l e s o f t h e f w- mi b a r e g i v e n . t h e f u n c t i o n s o f t h e f w - a g e n t a r e d i s c u s s e d , and i t s m a i n m o d u l e s an d r e l a t i o n e a c h o t h e r a r e g i v e n r e s p e c t i v e l y . m any a s p e c t s a b o u t f w- n ms a r e a l s o d i s c u s s e d , f o r e x a m p l e , t h e g e tt i n g f w- m i b i n f o r m a t i o n , t h e f u n c t i o n s o f m ana g e r e n t i ty and t h e s e c u r i ty o f f u n c t i o n d e f i n e d b y u s e rs . i n t h i s t h e s i s , t h e f i r e w a l l and i t s r e c e n t m ana g e m e n t a r e ana l y z e d , and t h e n an i d e a o f f i r e w a l l m ana g e m e n t w i t h n e t w o r k - c e l l i s g i v e n , and t h e v a l u e s o f t h i s m ana g e m e n t m e t h o d a r e d i s c u s s e d . t h e m a i n s u b - mo d u l e s o f h wt - f w, t h e ma i n t a b l e s o f f w- mi b and t h e m a i n f u n c t i o n s o f f w- a g e n t a r e p r o v i d e d i n d e t a i l . k e y w o r d s : f i r e w a l l m ana g e m e n t , n e t w o r k m ana g e m e n t , n e t w o r k s e c u r i t y , s n mp , f w- mi b , f w- a g e n t , f w- n ms ，、 :叠 硕士学位论文 m a s t e r s t h e s i s 第1 章i n t e r n e t 及其安全 互联网络 ( i n t e m e t ) 的发展和日 益普及为社会带来了巨 大的效益。人们可以在网 络 上进行各种交流活动， 例如从事政治、 经济和军事等活动。 这自 然导致了人们必须去关注 互联网的安全问 题， 而大量事实表明， 网络安全问 题正变得越来越严重。 入侵者的目 的大 致上有两种:( 1 ) 窃取机密信息， 如商贸计划、 工程计划和个人资料等， 但是不破坏系统 的正常运行。( 2 )攻击主机系统， 破坏系统的正常运行， 甚至导致系统瘫痪。i n t e rn e t 上 存在的一些安全问 题， 如果被忽视， 就可能给那些没有安全防范措施或措施不严的网点带 来灾难性的后果。 t c p 服务问 题、 主机配置复杂性问 题、 软件开发过程的脆弱性问 题， 以 及许多 其他因 素都为 入侵行为敞 开着大门 1 1 -代 下面简述了i n t e m e t 和t c p / i p ，并阐述了与i n t e m e t 安全相关的问题及导致安全问 题的一些因素。 1 . 1 i n t e rne t 上的主要服务 在 i n t e m e t 上普遍使用的服务有简单邮件传输协议 s m t p 、用于远程终端访问 协议 t e l n e t 和文件传输协议f t p 。除 此之外， 还有许多服务和协议用于远程打印、 远程文件和 磁盘共享、分布式数据库管理及信息服务 ( 例如超媒体传输协议h ttp ) 等。 下面分别 简 单 地 列 出 了 这 些 服 务 3 -6 / ( 1 ) s m 丁 p 。用于发 送和接收电子邮件。 用户给 s m t p服务器发个请求，以 建立 一个双向连接。 客户发送一 个m a i l 指令， 指示其要给i n t e rn e t 上某处的一个收件人发信。 如果操作被允许， 就给客户机发送一个肯定的确认信息。 客户可能告知收件人的名称和i p 地址， 以及要发送的消息。 s m t p比 较简单， 但是基于s m t p 的邮件服务有很多安全漏洞。 ( 2 ) t e i n e t . t e ln e t 协 议的目 的 就是 提供一 个 通 用的 ， 双向 的， 面向 八位 字节串 的 通信机制。 t e l n e t 不仅允许用户登录到一个远程主机上， 也允许用户在那台计算机上执行 命令。这样，两个异地计算机用户就可以 像在本地机上运行对方计算机上的命令和程序。 这种服务方便了 用户， 但是却存在着很大的安全隐患。 ( 3 ) f t p . f t p 是 从 一 个系 统向 另 一 个系 统 传 递文 件的 标 准 协议. 其目 的是 : ( 1 ) 促 进文件和程序的共享: ( 2 ) 鼓励间接地、 匿名地使用远程计算机: ( 3 ) 使用户不必面对主机之 间使用的不同 文件存储系统; ( 4 ) 有效而可靠地传输文件. 发起请求的机器 ( 客户机) 启动 一个 f t p客户端软件， 然后向目 标文件服务器发出 一个请求。 在目 标文件服务器上必须 先运行一个 f t p服务软件 ( 通常称为 f t p d ) . f t p d的功能是回复收到的连接请求。当 这样的一个请求到达时， f t p d便请用户登录。用户提供它合法的登录名和口 令或匿名登 录。 一旦登录成功， 用户就可以 下载文件了。 如果服务器的安全允许， 用户还可以上载文 件，但是管理者很少去冒此风险。 ( 4 ) d n s . d n s 完成 域名到i p 地址之间的转 换。 入侵者控制一个d ns 服务器 后就可欺骗客户机连接到非法的服务器上， 或者在服务器验证一个可信任的客户机名的i 硕士学位论文 m a s t e r s t h e si s p 地址时欺骗服务器。 ( 5 )基于信息服务的协议 。 g o p h e r . g o p h e r 的实 现是 一 个 分 布 式的 文 件 获 取系 统。 文 档 放 在 许多 服务 器上， g o p h e r 客 户软 件 给客 户 提供一个 层次 项 和目 录， 看 上去 象一 个 文 件系 统。 g o p h e r 服务能 提 供 文 本， 声 音， 和 其 他 媒 体， 但 它 主 要 用 于 文 本 模 式。 客 户 给g o p h e r 服 务 器发 送 一 个 请求， 要 求 所 有能 得到的 文档菜单. g o p h e r 服务 器 知 道用 户请求的 对 象并 做出 反 应。 。 w a i s 。 广域信息服务 ( w i d e a r e a i n f o r m a t i o n s e r v i c e ) ，用于对数据库文件的索 引和检索。 超文本传输协议h ttp . h ttp 是目 前使用最流行的协议之一， 是一个通用的、 面向 对象的协议。 通过扩展请求命令， 可以 用来实现许多任务。 h ttp 的一个特点是数据 表现的 类型允许系统相对独立于数据的传输。 h ttp的出现使 i n t e r n e t 大众化。 在某种程 度上， 它的 操作与g o p h e r 类似。 比 如， 它的 工作是请 求/ 响应式的， 而 其他 服务， 比 如t e l n e t 仍需要 用户登录， 这自 然要消耗系统资 源， 而g o p h e r 和h ttp 协议 却消除了 这一 现象. 客 户仅 仅 在 请 求 或 接受数据时 消 耗资 源。 使 用 通用 浏览 器( 如n e t s c a p e n a v ig a t o r 或 m i c r o s o ft i n t e rn e t e x p lo r e ) 就可以 看到。 网络新闻传输协议n n t p , n n t p 提供通常作为u s e n e t 新闻组的新闻服务， 是 一种广泛使用的协议。 n n t p 使用一个建立在流式基础上的连接，在i n t e rn e t 上传输新闻 的分发、 询问和获取。 u s e n e t 新闻被存储在一个中心的数据库中， 允许订阅者选择他们 希望的主题，而且目录和过期的新闻等都能找到。 ( 6 ) 基于 r p c 的服务 n f s 网络文件系统。 允许系统共享目 录和磁盘， 使之就象在本地一样使用。 n i s 网络信息服务。 允许多系统共享目 录和磁盘，便于 信息集中 化管理。 x窗口系统一种图形化窗口 系统和用于工作站上的应用程序集。 r 服 务 。 诸 如r lo g in , r s h 和 其 他 11r 11服 务， 基 于 主 机 之 间 相 互 信 任的 假设 ， 使 得在其他系统上执行命令时而不用提供口 令。r 服务安全隐患也较多。 1 .2 i n t e r n e t 上的主机系统 由于历史的原因， 许多早期连接到i n t e rn e t 上的主机系统都是u n i x版本的 操作系统。 t c p / i p首先由 加利福利亚大学伯克利分校于 1 9 8 0 年在 u n ix 机器上实现， 称为b s d ( b e r k e l e y s o ft w a r e d is t r i b u t io n ) . 许 多 现 代u n i x 版 本的 网 络 代 码 直 接 来 源 于b s d ， 因 此u n i x或多或少地提供了一个标准的t c p / i p 服务集。 b s d u n i x代码在i n t e r n e t 网点 上可以免费获得， 因而不管什么人只要得到了 这种代码， 都可以 研究其潜在的缺陷和可攻 击 的 弱 点 8 l 另外， 还有许多其他操作系统也同样与 i n t e rn e t 相联结， 例如安装 ms d o s . ms wi n d o ws等个人计算机系统。 个人计算机不仅充当客户机，而且随着个人计算机处理 能力的不断增强和价格不断下降， 它也经常作为服务器机器使用。为个人计算机开发的 u n i x操作系 统的 其他版本( 如l in u x 和其 他操作系统诸如m s w in d o w s n t 等 也能 够提供 )彝 : 硕士学位论文 ma st e r s th e si s 同 样的服务和应用。 这样扩大了 利用 t c p / i p服务的群体，同时也增加了 主机系统受到 入侵攻击的可能性。 1 . 3 1 . 3 . 1 t c p / i p 协议及其缺陷 t c p /i p 协议 传输控制协议t c p 和互连网协议i p 指两个用在i n t e rn e t 上的网络协议。它们属于 众 多 的t c p / i p协 议 组中 的 一 部 分 ion t c p / i p 协议组中的协议保证i n t e rn e t 上数据的传输， 提供了 几乎现今计算机网络上所 用到的所有服务。其中一些常用服务己 经在上述提到。 t c p / i p协议套流行的 原因 之一就是它能够在各 种各 样的 通信遂道和底层协议上实 现。 大多数网点用e t h e rn e t 连接到区域网络上， 而这个区域网络又连接到其他网络和主干 网 上。一般地，一个网点只有一个与 i n t e r n e t 连接点， 但是也有较大的网点有两个或多 个与i n t e rn e t 连接点。目 前， t c p / i p 在交换的电话网网 络上的 操作 版本 越来越流行， 许 多网 点和主机通过p p p ( p o in t - t o - p o i n t p r o t o c o l ) 和s l i p ( s e r i a l l in e i p ) 连接到网 络上， 用 交换网络将网络和工作站连接到其他网络上。 t c p 八p 协议套包括i p , t c p , u d p , i c m p 及其他。 t c p / i p 协议套并没有严格遵 守i s o的o s i 七层模型，它分为物理层、网络层、传输层和应用层 。如图l . 1 所示。 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 传输层 网络层 物理层 _ o s i 图 l . t c p/i p o s i 与t c p / i p 逻辑层次 ( 1 ) i p 。网络层 ( 亦称 i p 层) 接收来自 其下层 ( 物理层) 传送来的i p包，并把包 上传给其t c p 层或u d p 层.反之，则将来自t c p 层或u d p 层的包下传至物理层。 ( 2 ) t c p s t e r s t h e s i s 可以 得到重组，损坏了的包可以重新发送。 t c p 将信息上传给较高层 ( 即应用层)的 应用程序，如t e l n e t 的客户机或服务器。 这些应用程序反 过来再把信息传送给t c p 层， t c p 层又把信息下传给i p 层， 等等。 最后 对方主机接收到这个信息。 面向 连接的 服务， 如t e l n e t . f t p . s m t p . r lo g in 和x w i n d o w s 等， 要求 高 度的 可 靠性， 因而用t c p 协议， d n s 在发送和接收域名服务数据库时也用t c p 协议， 而在传送 有关主机的信息时则用u d p 协议。 ( 3 ) u d p . u d p 没有t c p的校正错误和重 传机制，因此u d p 并不用于 面向连接 的服务， 而是面向 请求/ 应答式服务， 其交换的消息数目 相对于t e l n e t 和 f t p 来说比 较 少。 使用u d p 协议的服务常见的有d n s 和基于r p c的服务。 ( 4 ) i c m p , i c m p ( i n t e r n e t c o n t r o l m e s s a g e p r o t o c o l) 直接与i p 层相关。 其目 的是 传输控制i p 流量的 信息。 它主要用于提供关于到达目 的地址的路由信息。 i c m p 重定向 消 息通知主机到达其他系统时更加准确的路由 信息， 而i c m p 不可达信息则指明路由问题。 另外， 如果路由 不可用， i c m p 可以 终止t c p 连接。 ( 5 ) t c p和 u d p端口结构。端口 是用于客户与服务器发送和接收消息的软件结 构。 每一个端口由 一个1 6 位数标识。 服务器进程通常与一个固定的端口 相联系， 如s m t p 的端口 为2 5 , h t t p 的端口为 l0 7 等。端口 号是公开的，这样以便请求相应服务的主机与 其建立连接。 而当 客户进程执行时，则从其操作系统中随机获得一个端口 号。以 t e l n e t 为例，说明 端口 是如何用来发送和接收消息的。 t e l n e t 服务器在端口2 3 侦听到来的消息 并在这个端口 发送消息。 一个t e l n e t 客户则首先从操作系统中 请求一个未用的 端口 号， 然 后用这个端口 发送和接收消息。客户进程将这个端口 号放在准备发给 t e l n e t 服务器的包 中， 当服务器响应客户的请求时， 以便将这个端口 号作为目 的端口号。 根据接收到响应包 中的目 的端口 号， 客户机就可以知道哪个客户应该接收这个消息。 1 . 3 . 2 t c p / i p 协议的安全缺陷 i p 包是不可靠的， 因为i p 层并不能保证i p 包是否按顺序到达或者是否由 错误导致i p 包受损。 i p 包中 包含源i p 地址 ( 即发送i p 包的主机i p 地址) 和目 的地址 ( 即 接收i p 包 的主机地址) 。 其上层传输层 ( 即t c p 层和u d p 层) 服务总是认为i p 包中的 源地址是有 效的。换言之， i p地址对许多服务来说形成了 认证的基础，这些服务相信这个包是由受 信主机发送的。 源路由 可以 用来欺骗系统， 允许欺骗者与某个系统建立连接。 因此， 通过 相信和依靠源 i p 地址真实性来提供服务存在安全问 题， 给入侵者提供了 进入系统的突破 口 . 在u d p 协议中没有初始化连接建立的握手过程， 即不在连接的双方建立虚电路， 假 冒u d p 包就容易一些。因此，基于u d p的 服务更不安全。 i c m p 重定向 消息可能使欺骗者用一个“ 假” 的路由 来欺骗路由器和主机。 这种假的 路由 可把数据导向 攻击者的系统中而不是合法的受信系统中。 这样， 攻击者就可以 获得访 问系统的权限进入不允许其进入的系统。 具体地讲， t c p 八p 的主要安全问 题如下: :氰 硕士学位论文 m a s t e r s f h e s f s ( 1 ) t c p / i p 协议数据流采用明文传输， 特别是在使用f t p . t e l n e t 和h t t p 时， 用户的帐号、 口 令都是以明文方式传输的， 因此数据信息很容易被在线窃听、 篡改和伪造。 ( 2 ) 源地址 欺编， t c p / i p 协议是 用i p 地址来作为网 络节点 的唯一 标识， 而节点 的i p 地址又不是完全固定的， 因 此攻击者可以 在一定范围内 直接修改节点的i p 地址， 冒 充某个可信节点进行攻击。 ( 3 ) 源路由 选择欺骗。 i p数据包为测试目 的设置了 一个选项， 即 i p源路由 ( if s o u r c e r o u t i n g ) ， 该选项可以 直接指明到达 节点的 路由， 攻击者 可以 利用这一选项进行欺 骗， 进行非法连接。 ( 4 ) 路由 选择信息协议( r i p ) 攻击。 r i p 协议用来在局域网中发布动态路由 信息， 它是为局域网中的节点提供一致路由 选择和可达性信息而设计的， 但是节点对收到的信息 不进行真实性检查， 因些攻击者可以 在网 上发布错误路由 信息， 利用i c m p 的重定向信息 欺 骗路由 器或主机对网 络进行攻击。 ( 5 ) t c p序列号欺骗，由于t c p序列号可以预测，因此攻击者可以 构造一个 i p 包对网络的某个可信节点进行攻击。 1 . 4造成i n t e rn e t 安全问 题的主要原因 i n t e rn e t 采用t c p / i p 协议， 虽然该协议具有互连能力强、 网络技术独立、 支持多种 应用协议等特点， 但是由 于该协议在制定时， 没有考虑安全问 题， 因 此协议中存在很多安 全问 题. 这些协议本身的 安全 缺陷 导 致了i n t e r n e t 的不安全n o -1 2 1 如果一个网点忽视了 这些问 题， 就会冒 着被泄密和攻击的危险， 同时也为入侵者进入 其他网络提供了 方便之门。 另外， 即使一个网站采用了好的安全措施， 也会面临网络软件 中 新的脆弱点和入侵者持续攻击的危险。 一些安全问题是因为服务中固有的缺陷而致， 而 另一些则是由于主机配置和访问 控制不当引起的。 再加上系统管理工作的重要性往往认识 不够， 容易导致许多系统管理者的管理知识和经验不足、 管理系统的能力很有限等问题。 随着i n t e r n e t 流量的急剧增长， 安全问题也变得越越来越严重。利用i n t e r n e t 进行通信的 单位如果受到入侵，其损失将会更大。 下面总结了造成i n t e rn e t 安全问 题的主要原因。 1 . 4 . 1 弱认证方式 一些计算机安全事件处 理小组 ( i n c id e n t h and l in g t e a m ) 对许多 安 全事件作过评估， 认为大多数安全事件来自 于弱的静态口 令的认证。 口 令在i n t e rn e t 上可以 用多种方式攻破， 而最普通的攻击方式则是攻击加密口 令和监视通信线路上的传输的口 令包一 些操作系统 通常将加密口 令以文件的形式存储起来， 这样一般用户可以 通过简单的复制方式或通过其 他入侵方式得到口 令文件。一旦获得这种文件，入侵者就可以 用口 令破解程序解密口令。 如果口 令较弱 ( 例如少于8 个符、英语单词等) ，就很可能被攻破，从而获得进入系统的 权限。 另一个认证问 题由t c p 或u d p 服务所致， 这些服务只能认证主机地址， 而不能认证 特定的用户。 例如， n f s ( u d p ) 服务并不能决定是否给予一个特定用户访问 权限， 而只 能 根据完整的主机标识来决定是否可以 访问， 因此要么给予同一个主机上所有用户的访问 :髯 二 硕士学位论文 u l s t e r s丁 h e s i s 权，要么都不给。 1 . 4 . 2 传输的信息容易受到监视 当 用户利用t e ln e t 或f t p连接到 远程系统 上时， 其口 令以明 文形式在网 路上传输。 这样，黑客可以 用某种方法监视并捕获含有用户名和口令的i p包， 然后用所得的用户名 和口令以正常用户的形式进入受保护的系统。 如果所捕获的口 令是系统管理者的口 令， 那 么很容易获得管理者的 访问 特权。 许多人认为电 子邮 件是安全的， 可以安全地用来传递敏感信息。 其实很多电 子邮件系 统并没有对电子邮件 进行加密。 当黑客监视到电 子邮件时， 就可能收集到网点的重要信息 和企业商贸信息。利用电 子邮件进行破坏的事件也时有报道。 1 .4 . 3 容易受到假冒攻击 t c p 和u d p 服务是以主机的i p 地址为依据来信任通信对方的，所以i p 地址在t c p / i p 协议中占 据很重要的地位。使用i p 源路由的 一个问题则是攻击者主机可以假冒 被信 任主机或客户。 i p 源路由 是在i p 包中的一个选项， 它能够确定到达目的地的直接路由， 并由目 的地主机发 送回这个路由的路径到发送者。 路由中也可能涉及到向目 的地转发数据 包的其他路由 器和主机。 下面叙述了一个攻击者系统如何利用 i p源路由 特点假冒一个服 务器上的受信客户。 ( 1 ) 攻击者以 其自己的i p 地址代替受信客户主机的i p 地址; ( 2 ) 攻击者构造一个到达那个服务器的源路由， 以 便i p 包能够到达那个服务器， 并从那儿返回到攻击者主机的路径。 其中，以 受信主机作为返回路由的最后骤站; ( 3 ) 攻击者用这个源路由向该服务器发送一个客户请求: ( 4 ) 服务器认为这个请求来自 其受信客户， 并回送一个应答给受信客户; ( 5 ) 受信客户用这个源路由 将应答转发给攻击者主机。 一种假冒 合法客 户的简单方法是等待这个客户系统关闭， 然后再假冒 这个客户系统。 在许多 机构中， 员工用个人计算机和 t c p / i p网络软件互连到网络上。个人计算机常用 n f s 获得访问服务器和文件的 权限， 而n f s 只用i p 地址认证客户。 攻击者能以另一个人 的名字和 i p地址配置自己的个人计算机，然后就象一个真正的受信客户那样初始化到服 务器的连接。这是一种内部网攻击者非常简单的攻击方法。 如果不使用诸如数据签名方法保护电子邮件，电子邮件在i n t e m e t 上就很容易以 假冒 方式攻击。例如，i n t e m e t 主机之间以命令方式交换邮件，入侵者可能用 t e l n e t 命令直接 连接到 s m t p端口， s m t p服务器信以为真地接收 其请求。这样，通过输入假冒 者的i p 地址就可以 轻易地假冒 邮件的来源。 因此， 在这种邮件传输方式下， 任何无权限的用户都 能盗取电子邮件。 还有其他一些服务，如d n s ，也会受到假冒的威胁。 1 . 4 . 4 局域网服务和主机之间相互信任的缺陷 主机系统在安全方面难于管理。 为了简化管理命令， 增强局域网的使用效果， 一些网 点使用信息服务n i s和网络文件系统 n f s 。例如， 通过允许口令文件分布式管理和通过 允许系统之间共享文件和数据， 这些服务能极大地降低萦杂的管理工作量。 然而， 这些服 /，斗 、 :氰 硕士学位论丈 s i a s t e r s t h e s i s 务固 有的 不安全， 能 够为入侵者利用以 获 得访问 权限。 如果中 心服务 器系 统受到危害， 那 么信任中心系统的其他系统就会很容易地受到危害。 为了 方便用户和增加系统与设 备之间的 共享， 有些服务( 如r lo g in 等) 允许 主机之间 相互信任。 如果一个系统被攻破或假冒，那么也将容易获得对其他系统的访问 权。 1 . 4 . 5 复杂的配盆和控制 主机系统经常在配置和正确性测试方面比较复杂。 如果访问控制的配置不当， 就可能 导致入侵者获得访问 权限。 如果忽视了 一些配置， 可能导致不检查访问 权限就能访问系统。 许多发生在i n t e m e t 上的安全事件的 原因就是入侵者发现了 系统的安全弱点。目 前大 多数u n ix变种的网 络代码都是基于b d s 发布的。 源代码的公开，为入 侵者提供了 研究 并寻找b u g和开发获得系统访问 权限代码的条件和机会。 部分b u g由软件的复杂性和 测试的困 难性造成的。一些b u g容易更改，而另一些b u g则很难发现和更改。 1 . 4 . 6 基于主机的安全防范体系 主机是网络黑客等各种别有用心的 攻击者实施攻击的主要对象。 保证主机的安全是保 证主机信息安全的基础，其主要策略有:屏蔽主机系统所有具有安全隐患的服务 ( 如 s e n d m a i l . n f s 和r 一 命令等) ， 杜绝攻击者进行攻击的通道:设置各种访问 控制机制，实 现数据和用户分级别的访问 控制技术， 只有当用户的访问权限级别大于或等于数据的级别 时， 才允许用户访问: 增强远程用户认证机制， 保证合法用户正常访问 和非法用户无法访 问的要求: 采取各种加密技术对具有高 度机密的数据信息进行加密处理存放。 但是， 这种安全防范技术会加重主机的负担， 降低主机的效率。 另外， 网点中的系统 都暴露在i n t e m e t 之下，随着网点上主机数量的 增加， 保证每一台主机都具有高度安全性 的能力就会下降。 如果说能够保证一种系统的安全管理， 那么管理许多不同系统就不那么 容易了， 出错和忽视一些安全问 题是难免的。 如果网点中有一种系统不安全， 将会最终导 致整个安全链的崩溃。因此，基于主机的安全防范体系效果很差. 目.，.1 1 .5 小结 本章讨论了i n t e m e t 上的主要服务以 及其中一些服务可能带来的危害， 讨论了t c p / i p 协议的安全缺陷， 最后讨论了 影响i n t e rn e t 安全的主要原因，以 便对i n t e rn e t 及其安全 有一个比较全面的了解。 /、 、匆 : 硕士学 位 论文 5 1 人 s t f r s丁 h f s 于 s 第z 章解决网络安全问 题的主要对策 为了保护网 络资 源， 除了 运用法律和管理的手段以 外， 还必须针对攻击者们常用的 攻 击方法， 采用相应的技术对策， 实现对网络及数据的 保护。 下面从不同的侧面介绍了 解决 网 络安全问 题的 具体 方法和技术 13 -2 2 1 2 . 1 物理安全 网络的物理安全常常被人们忽视， 但是如果没有物理安全， 任何其他的安全措施都会 形同虚设。 2 . 2 操作系统的内核安全 通过对操作系统内 核的裁剪、加固和改造， 删除内 核中可能引起安全问题的 部分， 可以大大加强系统内 核的安全性和抗攻击能力。 这种方法固然很好， 对一般用户来说却不 现实， 不过可以 选择安全级别高的操作系统， 提高内 核的安全性。 美国国家计算机安全中 心 ( n c s c ) 制定的 可 信计算机评价准则 ( 也称 桔皮书) ， 将计算机系统的安 全划分为 四个层次七个级别:( 1 ) d 级， 最低级的安全保护，不安全;( 2 ) c 1 级，选择性的安全保护; ( 3 ) c 2 级，受控制的安 全保护;( 4 ) b 1 级， 可标记的安全保护: ( 5 ) b 2 级，结构化的安全保 护:( 6 ) b 3 级，安全域; ( 7 ) a 1 级，验证安全设计。 2 . 3 数据加密 所谓加密是指将信息经过加密密钥及加密函数转换， 变成无意义的密文; 而与加密对 应的则是解密， 也就是将此密文经过解密函数及解密密钥的处理还原成明文。 密码技术是 网络安全技术的基础。 当 数据在诸如互联网这样的公共网络上传输时， 只有通过对数据加密， 才能保护数据 免遭窃听。当对数据进行加密以后， 只有使用特定的密钥， 才能正确地解读数据; 如果不 知道密钥， 即使截获了 被加密的数据， 也不能 解密该数据， 也就不可能知道数据所表达的 确切信息。使用加密技术可以实现对内部网、 外部网和虚拟专用网的保护。 根据加密密钥能否公开， 将加密体制分为私钥密码体制和公钥密码体制。 私钥密码体 制在加密和解密时使用同 一个密钥， 也称为对称密码体制。 而公钥密码体制在加密和解密 时分别使用了两个密钥，又叫非对称密码体制。前者具有代表性的是 d e s体制，后者具 有代表性的是r s a体制。 d e s 算法输入的是6 4 比 特的明文t( 先将待加密的数据按6 4比特分成一组) ， 在6 4 比特的密钥控制下， 通过初始置换i p 变成t o = i p ( t ) ，再对t o 经过 1 6 次的 加密变换， 最 后通过 逆 初始 转 换i p 1 , 得到6 4 位的 密 文。 这 种 密 文的 每一比 特都是由明 文的 每 一比 特和密钥的每一比 特联合确定的。其中，这 1 6次加密变换的密钥都称为子密钥 ( k 1 , k 2 .、 k 1 6 ) ， 是用户 从给定的6 4 位的 主密钥经过一定 的运 算产生的. d e s 算 法具有 :最 石 贞 士学位论文 m a s丁 e r s t h esi s 良 好的保密性和不易分析破译的性能。影响最大，应用最广。 r s a算法的加密密钥和解密密钥中， 一个作为公开密钥可能通过非保密通信向 他人 公开 ( 称为公钥) ， 而另一个按特定要求选择的 密钥则保持保密 ( 称为私钥) 。 加密和解密 与