第2章 网络安全防护.ppt

第2章网络安全防护 教学要求 网络安全从其本质上来讲就是网络上的信息安全 即最大限度向合法访问者提供资源 最大限度限制非法访问者访问资源 网络安全涉及的内容有三个方面 包括安全管理 安全技术 安全设备 本章重点讲述防火墙的相关知识以及网络黑客攻防技术 目的是让学生掌握防火墙的实用技术了解防火墙的管理与维护以及网络黑客攻防知识等 2 主要内容 防火墙概述实用防火墙技术防火墙的管理和维护防火墙技术展望网络黑客概述黑客攻防技术习题实训教学重点 防火墙技术的概述 实用技术 黑客攻防等 3 网络安全基础 访问控制访问控制技术就是通过不同的手段和策略实现网络上主体对客体的访问权限 访问控制 在访问控制中 对其访问必须进行控制的资源称为客体 同理 控制它对客体的访问的活动资源 称为主体 主体即访问的发起者 通常为进程 程序或用户 客体包括各种资源 如文件 设备 信号量等 访问控制中第三个元素是保护规则 它定义了主体与客体可能的相互作用途径 根据控制手段和目的的不同把控制访问分类 入网访问控制网络权限控制目录 文件 设备的访问控制 入网访问控制 入网访问控制为网络访问提供了第一层访问控制 它控制哪些用户能够登录到服务器并获取网络资源 控制准许用户入网的时间和准许他们在哪台工作站入网 用户的入网访问控制可分为三个步骤 用户名的识别与验证 用户口令的识别与验证 用户账号的缺省限制检查 网络的权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施 用户和用户组被赋予一定的权限 网络控制用户和用户组可以访问哪些目录 子目录 文件和其他资源 可以指定用户对这些文件 目录 设备能够执行哪些操作 受托者指派和继承权限屏蔽 IRM 可作为两种实现方式 受托者指派控制用户和用户组如何使用网络服务器的目录 文件和设备 继承权限屏蔽相当于一个过滤器 可以限制子目录从父目录那里继承哪些权限 我们可以根据访问权限将用户分为以下几类 特殊用户 即系统管理员 一般用户 系统管理员根据他们的实际需要为他们分配操作权限 审计用户 负责网络的安全控制与资源使用情况的审计 用户对网络资源的访问权限可以用访问控制表来描述 目录 文件 设备的访问控制 网络应允许控制用户对目录 文件 设备的访问 用户在目录一级指定的权限对所有文件和子目录有效 用户还可进一步指定对目录下的子目录和文件的权限 对目录和文件的访问权限一般有八种 系统管理员权限 读权限 写权限 创建权限 删除权限 修改权限 文件查找权限 访问控制权限 根据安全级别可分为两类 自主访问控制强制访问控制 自主访问控制 访问控制分为 自主访问控制 和 强制访问控制 两种 自主访问控制 DAC discretionaryaccesscontrol 是一种最为普遍的访问控制手段 用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的文件 亦即一个用户可以有选择地与其他用户共享他的文件 用户有自主的决定权 自主访问控制的一个最大问题是主体权限太大 无意间就可能泄露信息 而且不能防备特洛伊木马的攻击 强制访问控制 强制访问控制 DMC mandatoryaccesscontrol 就是指用户与文件都有一个固定的安全属性 系统用该安全属性来决定一个用户是否可以访问某个文件 安全属性是强制性的规定 它是由安全管理员 或者是操作系统根据限定的规则确定的 用户或用户的程序不能加以修改 强制访问控制可以防范特洛伊木马和用户滥用权限 具有更高的安全性 访问控制的目的 访问控制的目的是为了限制访问主体 用户 进程 服务等 对访问客体 文件 系统等 的访问权限 从而使计算机系统在合法范围内使用 决定用户能做什么 也决定代表一定用户利益的程序能做什么 访问控制的产品防火墙路由器专用访问控制服务器 教学要求 网络安全从其本质上来讲就是网络上的信息安全 即最大限度向合法访问者提供资源 最大限度限制非法访问者访问资源 网络安全涉及的内容有三个方面 包括安全管理 安全技术 安全设备 本章重点讲述防火墙的相关知识以及网络黑客攻防技术 目的是让学生掌握防火墙的实用技术了解防火墙的管理与维护以及网络黑客攻防知识等 15 主要内容 防火墙概述实用防火墙技术防火墙的管理和维护防火墙技术展望网络黑客概述黑客攻防技术习题实训教学重点 防火墙技术的概述 实用技术 黑客攻防等 16 2 1防火墙概述 防火墙已经成为了网络安全的不可或缺的一部分 随着网络安全形式的日益严峻 防火墙也越发显得重要 已经成为网络安全防护的代名词 防火墙和入侵检测技术 防病毒技术 加密技术已经成为目前网络安全的四大主流技术 17 2 1 1防火墙概念 所谓 防火墙 是指一种将内部安全网络和公众访问网 如Internet或者其它不安全的网络 分开的方法 实际上是一种隔离技术 防火墙是设置在被保护的内部网络和外部网络之间的软件和硬件设备的组合 对内部网络和外部网络之间的通信进行控制 通过监测和限制经过防火墙的数据流 尽可能地对外部屏蔽网络内部的结构 信息和运行情况 用于防止发生不可预测的 潜在破坏性的入侵或攻击 这是一种行之有效的网络安全防护技术 18 IT领域的防火墙概念 一种高级访问控制设备 置于不同网络安全域之间的一系列部件的组合 它是不同网络安全域间通信流的唯一通道 能根据企业有关的安全策略控制 允许 拒绝 监视 记录 进行网站访问控制 防火墙示意图 通常情况下 防火墙是运行在计算机上的软件 主要保护内部网络的重要信息不被非授权访问 非法窃取或破坏 并记录了内部网络和外部网络进行通信的有关安全日志信息 如通信发生的时间和允许通过数据包和被过滤掉的数据包信息等 硬件防火墙示意图 2 1 2防火墙的发展阶段 防火墙技术的发展在防火墙产品的开发中 人们广泛应用网络拓扑技术 计算机操作系统技术 路由技术 加密技术 访问控制技术 安全审计技术等成熟或先进的手段 纵观防火墙产品近年内的发展 可将其分为四个阶段 基于路由器的防火墙用户化的防火墙工具套建立在通用操作系统上的防火墙具有安全操作系统的防火墙 第一阶段 基于路由器的防火墙由于多数路由器中本身就包含有分组过滤的功能 故网络访问控制功能可通过路由控制来实现 从而使具有分组过滤功能的路由器成为第一代防火墙产品 第一代防火墙产品的特点是 利用路由器本身对分组的解析 以访问控制表 accesslist 方式实现对分组的过滤 过滤判决的依据可以是 地址 端口号 IP旗标及其它网络特征 只有分组过滤的功能 且防火墙与路由器是一体的 对安全要求低的网络采用路由器附带防火墙功能的方法 对安全性要求高的网络则可单独利用一台路由器作防火墙 第一代防火墙产品的不足之处十分明显 路由协议十分灵活 本身具有安全漏洞 外部网络要探寻内部网络十分容易 例如 在使用FTP协议时 外部服务器容易从20号端口上与内部网相连 即使在路由器上设置了过滤规则 内部网络的20端口仍可由外部探寻 路由器上的分组过滤规则的设置和配置存在安全隐患 对路由器中过滤规则的设置和配置十分复杂 它涉及到规则的逻辑一致性 作用端口的有效性和规则集的正确性 一般的网络系统管理员难于胜任 加之一旦出现新的协议 管理员就得加上更多的规则去限制 这往往会带来很多错误 路由器防火墙的最大隐患是 攻击者可以 假冒 地址 由于信息在网络上是以明文传送的 黑客可以在网络上伪造假的路由信息欺骗防火墙 路由器防火墙的本质性缺陷是 由于路由器的主要功能是为网络访问提供动态的 灵活的路由 而防火墙则要对访问行为实施静态的 固定的控制 这是一对难以调和的矛盾 防火墙的规则设置会大大降低路由器的性能 可以说 基于路由器的防火墙只是网络安全的一种应急措施 用这种权宜之计去对付黑客的攻击是十分危险的 第二阶段 用户化的防火墙工具套为了弥补路由器防火墙的不足 很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络 从而推动了用户化防火墙工具套的出现 作为第二代防火墙产品 用户化的防火墙工具套具有以下特征 将过滤功能从路由器中独立出来 并加上审计和告警功能 针对用户需求 提供模块化的软件包 软件可通过网络发送 用户可自己动手构造防火墙 与第一代防火墙相比 安全性提高了 价格降低了 由于是纯软件产品 第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求 并带来以下问题 配置和维护过程复杂 费时 对用户的技术要求高 全软件实现 安全性和处理速度均有局限 实践表明 使用中出现差错的情况很多 第三阶段 建立在通用操作系统上的防火墙基于软件的防火墙在销售 使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品 近年来在市场上广泛可用的就是这一代产品 它具有以下特点 是批量上市的专用防火墙产品 包括分组过滤或者借用路由器的分组过滤功能 装有专用的代理系统 监控所有协议的数据和指令 保护用户编程空间和用户可配置内核参数的设置 安全性和速度大为提高 第三代防火墙有以纯软件实现的 也有以硬件方式实现的 已得到广大用户的认同 但随着安全需求的变化和使用时间的推延 仍表现出不少问题 比如 作为基础的操作系统及其内核往往不为防火墙管理者所知 由于原码的保密 其安全性无从保证 由于大多数防火墙厂商并非通用操作系统的厂商 通用操作系统厂商不会对操作系统的安全性负责 从本质上看 第三代防火墙既要防止来自外部网络的攻击 还要防止来自操作系统厂商的攻击 用户必须依赖两方面的安全支持 一是防火墙厂商 一是操作系统厂商 第四阶段 具有安全操作系统的防火墙防火墙技术和产品随着网络攻击和安全防护手段的发展而演进 到1997年初 具有安全操作系统的防火墙产品面市 使防火墙产品步入了第四个发展阶段 具有安全操作系统的防火墙本身就是一个操作系统 因而在安全性上较之第三代防火墙有质的提高 获得安全操作系统的办法有两种 一种是通过许可证方式获得操作系统的源码 另一种是通过固化操作系统内核来提高可靠性 由此建立的防火墙系统具有以下特点 防火墙厂商具有操作系统的源代码 并可实现安全内核 对安全内核实现加固处理 即去掉不必要的系统特性 加上内核特性 强化安全保护 对每个服务器 子系统都作了安全处理 一旦黑客攻破了一个服务器 它将会被隔离在此服务器内 不会对网络的其它部份构成威胁 在功能上包括了分组过滤 应用网关 电路级网关 且具有加密与鉴别功能 透明性好 易于使用 防火墙的核心技术 简单包过滤技术包过滤工作在网络层 对数据包的源及目地IP具有识别和控制用 对于传输层 也只能识别数据包是TCP还是UDP及所用的端口信息 由于只对数据包的IP地址 TCP UDP协议和端口进行分析 包过滤防火墙的处理速度较快 并且易于配置 包过滤型防火墙中的包过滤器一般安装在路由器上 工作在网络层 IP 它基于单个包实施网络控制 根据所收到的数据包的源地址 目的地址 TCP UDP 源端口号及目的端口号 包出入接口 协议类型和数据包中的各种标志位等参数 与用户预定的访问控制表进行比较 决定数据是否符合预先制定的安全策略 决定数据包的转发或丢弃 即实施信息过滤 实际上 它一般容许网络内部的主机直接访问外部网络 而外部网络上的主机对内部网络的访问则要受到限制 包过滤防火墙的工作原理 在互联网上提供某些特定服务的服务器一般都使用相对固定的端口号 因此路由器在设置包过滤规则时指定 对于某些端口号允许数据包与该端口交换 或者阻断数据包与它们的连接 过滤规则示例 在上表中 规则1允许所有的IP访问服务器192 168 0 1的HTTP协议 规则2则允许所有的IP访问服务器的域名解析服务 简单包过滤防火墙的优点 1 处理包的速度比代理服务器快 过滤路由器为用户提供了一种透明的服务 用户不用改变客户端程序活高便自己的行为 2 实现包过滤几乎不在需要费用 或极少的费用 因为因为这些特点都包含在标准的路由器软件中 由于Internet访问一般都是在WAN接口上提供 因此在流量始终并定义较少过滤器时对路由器的性能几乎没有影响 3 包过滤路由器对用户和应用来讲是透明的 所以不必对用户进行特殊的培训和在每台主机上安装特定的软件 包过滤防火墙具有根本的缺陷 1 不能防范黑客攻击 包过滤防火墙的工作基于一个前提 就是知道哪些IP是可信网络 哪些是不可信网络的IP地址 但是随着远程办公等新应用的出现 不可能区分出可信网络与不可信网络的界限 对于黑客来说 只需将源IP包改成合法IP即可轻松通过包过滤防火墙 进入内网 而任何一个初级水平的黑客都能进行IP地址欺骗 即只能阻止一种类型的IP欺骗 外部主机伪装内部主机的IP 对于外部主机伪装其他可信任的外部主机的IP却不可阻止 2 不支持应用层协议 包过滤防火墙无能为力 因为它不认识数据包中的应用层协议 访问控制粒度太粗糙 3 防火墙的维护比较困 定义数据包过滤器会比较复杂 因为网络管理员需要对各种Internet服务 包头格式以及每个域的意义有非常深入的理解 才能将过滤规则集尽量定义完善 4 不能处理新的安全威胁 它不能跟踪TCP状态 所以对TCP层的控制有漏洞 如当它配置了仅允许从内到外的TCP访问时 一些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙 等等 综上可见 包过滤防火墙技术面太过初级 难以履行保护内网安全的职责 防火墙的核心技术 代理技术应用代理彻底隔断内网与外网的直接通信 内网用户对外网的访问变成防火墙对外网的访问 然后再由防火墙转发给内网用户 所有通信都必须经应用层代理软件转发 访问者任何时候都不能与服务器建立直接的TCP连接 应用层的协议会话过程必须符合代理的安全策略要求 优点是可以检查应用层 传输层和网络层的协议特征 对数据包的检测能力比较强 缺点也非常突出 主要有 难于配置 由于每个应用都要求单独的代理进程 这就要求网管能理解每项应用协议的弱点 并能合理的配置安全策略 由于配置繁琐 难于理解 容易出现配置失误 最终影响内网的安全防范能力 处理速度非常慢 断掉所有的连接 由防火墙重新建立连接 理论上可以使应用代理防火墙具有极高的安全性 但是实际应用中并不可行 因为对于内网的每个Web访问请求 应用代理都需要开一个单独的代理进程 它要保护内网的Web服务器 数据库服务器 文件服务器 邮件服务器 及业务程序等 就需要建立一个个的服务代理 以处理客户端的访问请求 这样 应用代理的处理延迟会很大 内网用户的正常Web访问不能及时得到响应 防火墙的核心技术 状态检测包过滤技术状态检测摒弃了包过滤仅考查数据包的IP地址等几个参数 而不关心数据包连接状态变化的缺点 在防火墙的核心部分建立状态连接表 并将进出网络的数据当成一个个的会话 利用状态表跟踪每一个会话状态 状态监测对每一个包的检查不仅根据规则表 更考虑了数据包是否符合会话所处的状态 因此提供了完整的对传输层的控制能力 优点 由于不需要对每个数据包进行规则检查 而是一个连接的后续数据包 通常是大量的数据包 通过散列算法 直接进行状态检查 从而使得性能得到了较大提高 而且 由于状态表是动态的 因而可以有选择地 动态地开通1024号以上的端口 使得安全性得到进一步地提高 复合型防火墙技术 防火墙的核心技术 由于希望防火墙在功能上能进行融合 保证完善的应用 许多厂家提出了混合型饭防火请的概念 他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合 可以做到用户无需知道给他提供服务的到底是用了哪些技术 而防火墙根据不同的服务要求提供用户的使用要求和安全策略 而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理 该防火墙结合了包过滤防火墙和应用级防火墙的特点 它同包过滤防火墙一样能够通过ip地址和端口号 过滤进出的数据包 也能够检查syn和ack标记和序列数字是否逻辑有序 另一方面 它也能象应用级防火墙一样 在应用层上检查数据包的内容 查看这些内容是否能符合既定的网络安全规则 目前在市场上技术领先的防火墙大多属于混合型防火墙 因为该防火墙对于用户透明 在应用层上加密数据 不需要修改客户端的程序 也不需对每个需要在防火墙上打开的服务额外增加代理 核检测防火墙技术 防火墙的核心技术 包过滤防火墙工作原理图 状态检测防火墙工作原理图 代理防火墙工作原理图 复 混合型防火墙工作原理图 核检测防火墙工作原理图 检查整个会话 第六代 智能防火墙的特点 1 智能访问控制技术2 安全防御内核3 三维访问控制技术4 高可用性技术5 广泛的应用支持6 自主可控的安全操作系统7 强大的管理 健康和审计功能 2 1 3防火墙的功能 防火墙是网络安全的屏障防火墙可以强化网络安全策略对网络存取和访问进行监控审计防止内部信息的外泄 57 2 1 5防火墙的局限性 防火墙防外不防内防火墙难以管理和配置 容易造成安全漏洞防火墙不能防范绕过防火墙的攻击防火墙不能防止数据驱动式攻击 58 2 2实用防火墙技术 2 2 1网络地址转换 NAT NAT英文全称是NetworkAddressTranslation 它是一个IETF标准 是用于将一个地址域 如 专用Intranet 映射到另一个地址域 如 Internet 的标准方法 59 网络地址转换 NAT NAT功能通常被集成到路由器 Modem 防火墙 ISDN路由器或者单独的NAT设备中 当然 现在比较流行的操作系统或其他软件 主要是代理软件 如WINROUTE 大多也有着NAT的功能 NAT有三种类型 静态NAT StaticNAT NAT池 PooledNAT 网络地址端口转换NAPT Port LevelNAT 静态NAT设置起来最为简单和最容易实现的一种 内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址 NAT池则是在外部网络中定义了一系列的合法地址 采用动态分配的方法映射到内部网络 NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上 60 网络地址转换 NAT 2 2 2应用代理服务器 即应用网关技术当外部某台主机试图访问受保护网络时 必须先在防火墙上经过身份认证 通过身份认证后 防火墙运行一个专门为该网络设计的程序 把外部主机与内部主机连接 在这个过程中 防火墙可以限制用户访问的主机 访问时间及访问的方式 同样 受保护网络内部用户访问外部网时也需先登录到防火墙上 通过验证后 才可访问 62 2 2 3回路级代理服务器 回路级代理服务器即通常意义的代理服务器 它适用于多个协议 但不能解释应用协议 需要通过其他方式来获得信息 所以 回路级代理服务器通常要求修改过的用户程序 套接字服务器 SocketsServer 就是回路级代理服务器 套接字 Sockets 是一种网络应用层的国际标准 当受保护网络客户机需要与外部网交互信息时 在防火墙上的套服务器检查客户的UserID IP源地址和IP目的地址 经过确认后 套服务器才与外部的服务器建立连接 对用户来说 受保护网与外部网的信息交换是透明的 感觉不到防火墙的存在 那是因为网络用户不需要登录到防火墙上 但是客户端的应用软件必须支持 SocketsifiedAPI 受保护网络用户访问公共网所使用的IP地址也都是防火墙的IP地址 63 2 2 4IP通道 IPTunnels 如果一个公司的多个子公司之间距离比较远 为了互相之间能够通过Internet通信 这时 可以在他们之间建立IPTunnels来防止信息被黑客截取 同时一旦通道建立 所有在这个通道上传输的数据包都被自动的加密 从而在Internet上形成一个虚拟的企业网 这实际是VPN的一种应用 用于构建extranet 64 2 2 5隔离域名服务器 这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离 使外部网的域名服务器只能看到防火墙的IP地址 无法了解内部受保护网络的具体情况 这样可以保证受保护网络的IP地址不被外部网络获悉 65 2 2 6电子邮件转发技术 当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时 从外部网络发来的邮件 就只能送到防火墙上 这时防火墙对邮件进行检查 只有当发送邮件的源主机是被允许通过的 防火墙才对邮件的目的地址进行转换 送到内部的邮件服务器 由其进行转发 66 2 3防火墙的选购和配置 企业防火墙的选购企业防火墙的配置个人防火墙的选购个人防火墙的配置 67 防火墙产品的选择 灵活的访问控制功能 是否具备基于IP报头 TCP报头 基于用户 基于时间 基于流量的访问控制功能 完善的应用代理功能 是否是有HTTP FTP 等常用协议的代理功能 状态检测功能 对异常行为进行检测 多种附加功能 身份验证 计费 入侵检测 审计 VPN等功能 灵活的组网方式 透明模式 路由模式 混合模式 灵活的安全策略等等 2 企业的特殊要求 网络地址转换功能 NAT 双重DNS虚拟专用网络 VPN VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密 建立一个虚拟通道 让两者感觉是在同一个网络上 可以安全且不受拘束地互相存取 扫毒功能特殊控制需求 如限制特定使用者才能发送E mail FTP只能下载文件不能上传文件 限制同时上网人数 限制使用时间或阻塞Java ActiveX控件等 依需求不同而定 3 与用户网络结合 管理的难易度 不能达到完全的控制之外 设定工作困难 须具备完整的知识以及不易除错等管理问题 更是一般企业不愿意使用的主要原因 自身的安全性 防火墙也是网络上的主机之一 防火墙如果不能确保自身安全 则防火墙的控制功能再强 也终究不能完全保护内部网络 完整的安全检查 防火墙还应该向使用者提供相对完整的安全检查功能结合用户情况网络受威胁的程度 若入侵者闯入网络 将要受到的潜在的损失 其他已经用来保护网络及其资源的安全措施 由于硬件或软件失效 或防火墙遭到 拒绝服务攻击 而导致用户不能访问Internet 造成的整个机构的损失 机构所希望提供给Internet的服务 希望能从Internet得到的服务以及可以同时通过防火墙的用户数目 网络是否有经验丰富的管理员 今后可能的要求 如要求增加通过防火墙的网络活动或要求新的Internet服务 2 3 2个人防火墙的选购 什么是个人防火墙个人版防火墙是安装在你的PC机系统里的一段 代码墙 把你的电脑和internet分隔开 它检查到达防火墙两端的所有数据包 无论是进入还是发出 从而决定该拦截这个包还是将其放行 也就是说 在不妨碍你正常上网浏览的同时 阻止INTERNET上的其他用户对你的计算机进行的非法访问 天网个人防火墙 天网个人防火墙用户也可以到免费下载测试版 该网站提供安全检测服务 免费为用户检测计算机系统的安全情况 并做出相应的指导 提供的帮助文件与在线使用手册内容丰富 特点 软件提供多种预先设置的安全策略 用户可以自行选择安全级别 也支持用户自定义应用程序的安全规则 系统的安全策略 或自行对内部网络指定另外的安全策略 优点 软件运行时占用的系统资源较少 提供特洛伊木马和入侵检测功能 缺点 软件的可升级性较差 稳定性也一般 蓝盾防火墙个人版 蓝盾曾在2001年中美网络攻击事件中扬名 当时有网站报称使用该品牌的网站防火墙后 未受黑客攻击 特点 蓝盾防火墙个人版 使用智能防御系统 可以有效地拦截各种探测 攻击手段 支持用户自定义安全规则 具有强大的反追踪功能 当受到攻击和探测时 能追踪攻击方计算机名 用户名 MACIP地址等 缺点 软件的使用界面一般 设置与管理功能较少 不具备扩展性与升级能力 帮助文件和使用手册也不够详细 诺顿个人防火墙 诺顿个人防火墙 是 诺顿互连网特警 的一个部分 它曾在国外的评比中获得最佳个人安全防护系统的荣誉 特点 该软件性能稳定 提供自动识别程序 帮助用户设置计算机系统上应用程序的安全规则 允许用户为不同的网络区域指定安全策略 方便的在线升级功能 可以使诺顿个人防火墙更好地检测特洛伊木马和黑客入侵 优点 软件的设置与管理方便 警报与帮助文件以及使用手册内容详细 一旦受到某个IP地址的攻击 会在30分钟内自动禁止所有来自该地址的连接请求 使对方无法试图使用其他方式攻击 缺点 软件占用的系统资源较大 而且由于需要对应用程序逐一指定安全规则 容易对用户造成困扰 CheckIt CheckIt是一个专业防火墙 基于规则定义 通过应用程序安全规则与计算机系统安全策略 端口防护 信任IP防护和协议防护等多种方式 保护计算机网络的安全 特点 该软件性能高 功能多 可以通过电子邮件向用户发送安全警报 可以查看计算机系统上所运行的服务 优点 软件的网站提供一个系统测试服务 可以从多方面测试计算机系统的安全情况 软件的稳定性强 占用的系统资源也不多 缺点 应用程序的安全规则定义起来比较麻烦 不支持自动识别功能 软件使用界面的友好性也较差 BlackICEDefender BlackICEDefender 是国外有名的防火墙 特点 软件使用智能防御系统 集成有非常强大的入侵检测和分析引擎 可以识别多种入侵技巧 通过监测网络端口和TCP IP协议 可以拦截可疑的网络入侵 优点 该软件的稳定强 警报的灵敏度和准确率非常高 系统资源占用率极少 支持在线更新 缺点 由于使用智能防御系统 用户设置与管理的功能较少 不具备应用程序安全规则等安全防护手段 个人防火墙 一般情况下 用户应该选择智能化程度较高 能够自动识别可信任的网络应用程序 能够更新特洛伊木马和入侵检测功能资料库的防火墙 以避免频繁地设置安全规则 处理安全警报 在选择一个合适的个人防火墙以后 一般需要进行设置 才能够起到安全防保作用 这需要用户具备一定的网络知识 如TCP IP协议的基础知识等 只有在对各种协议所提供的服务有一定了解之后 才能判断出应用程序或网络连接请求的危险程度 从而正确处理 正确设置安全规则 要知道 即使您使用的是智能化较高 支持自动识别应用程序或智能防御系统的防火墙 也避免不了自定义安全规则的工作 用户还需要了解一些黑客知识 如各种常见的攻击手段和名词 才能够正确的理解警报信息所报告的事件 而且 在处理安全警报时要有足够的耐心 仔细查看有关的事件内容 做出正确的判断 如果不加以了解 就允许应用程序访问网络或允许他人访问 也就失去了安装防火墙的意义 个人防火墙 为了使您的计算机网络系统足够安全 在使用装防火墙时 还需要配合病毒防护软件 以保护自己的计算机系统 不受到类似恶意修改注册表之类防火墙较难发现的攻击 另外还可以阻止蠕虫之类的网络病毒入侵 经常阅读分析日志文件也是保证网络安全的重要方面 通过检查日志文件 可以确定是否有人在探测您 或使用一定规则的扫描器 在您的计算机系统上寻找安全漏洞 然后再决定是否则需要采用更严格的防火墙安全规则 以便过滤或是追踪这些探测行为 并采取相应的行动 阅读内容 2 3 3常见防火墙产品介绍 企业级防火墙 略 2 3 4防火墙配置范例 略 天网防火墙 天网防火墙的设置包含四个方面 系统设置 安全级别设置 IP规则管理和应用程序规则管理 其中 前两个设置比较简单 重点讲述后两种 天网防火墙的IP规则 IP规则是针对整个系统的网络层数据包监控而设置的 利用自定义IP规则 用户可针对个人不同的网络状态 设置自己的IP安全规则 使防御手段更周到 更实用 用户可以点击 自定义IP规则 键或者在 安全级别 中点击进入IP规则设置界面 天网防火墙个人版 本身已经默认设置了相当好的缺省规则 一般用户并不需要做任何IP规则修改 就可以直接使用 如果你不熟悉IP规则 最好不要调整它 可以直接使用缺省的规则 如果你熟悉IP规则 就可以非常灵活的设计合适自己使用的规则 天网防火墙的IP规则 自定义IP规则简单的说 规则是一系列的比较条件和一个对数据包的动作 就是根据数据包的每一个部分来与设置的条件比较 当符合条件时 就可以确定对该包放行或者阻挡 通过合理的设置规则就可以把有害的数据包挡在你的机器之外 图中自定义IP规则界面点击 增加 按钮或选择一条规则后按 修改 按钮 就会激活编辑窗口 天网防火墙应用程序配置 应用程序规则管理天网防火墙个人版增加对应用程序数据传输封包进行底层分析拦截功能 它可以控制应用程序发送和接收数据传输包的类型 通讯端口 并且决定拦截还是通过 这是目前其它很多软件防火墙不具备的功能 在天网防火墙个人版打开的情况下 激活的任何应用程序只要有通讯传输数据包发送和接收存在 都会被天网防火墙个人版先截获分析 并弹出窗口 询问你是通过还是禁止 如图 这时用户可以根据需要来决定是否允许应用程序访问网络 如果您不选中 以后按照这次的操作进行 那么天网防火墙个人版在以后会继续截获该应用程序的数据传输数据包 并且弹出警告窗口 如果您如果选中 以后按照这次的操作进行 选项 该应用程序将自加入到应用程序列表中 您可以通过应用程序设置来设置更为详尽的数据传输封包过滤方式 天网防火墙应用程序高级配置 高级应用程序规则设置点击规则面板中的 选项 即可激活应用程序规则高级设置页面 如图 应用程序规则高级设置页面另外特洛依木马也是一样的 天网防火墙个人版可以察觉到攻击者对特洛依木马的控制通讯 这也是新版天网防火墙个人版根据广大用户建议所添加的最强大功能之一 天网防火墙配置界面 天网防火墙日志 网络状态 2 4防火墙技术展望 2 4 1优良的性能新一代防火墙系统不仅应该能更好地保护防火墙后面内部网络的安全 而且应该具有更为优良的整体性能 传统的代理型防火墙虽然可以提供较高级别的安全保护 但是同时它也成为限制网络带宽的瓶颈 这极大地制约了在网络中的实际应用 数据通过率是表示防火墙性能的参数 由于不同防火墙的不同功能具有不同的工作量和系统资源要求 因此数据在通过防火墙时会产生延时 数据通过率越高 防火墙性能越好 大多数的防火墙产品都支持NAT功能 它可以让受防火墙保护的一边的IP地址不至于暴露在没有保护的另一边 但启用NAT后 势必会对防火墙系统性能有所影响 目前如何尽量减少这种影响也成为防火墙产品的卖点之一 防火墙系统中集成的VPN 虚拟专用网 解决方案必须是真正的线速运行 否则将成为网络通信的瓶颈 特别是采用复杂的加密算法时 防火墙性能尤为重要 总之 未来的防火墙系统将会把高速的性能和最大限度的安全性有机结合在一起 有效地消除制约传统防火墙的性能瓶颈 2 4 2可扩展的结构和功能 对于一个好的防火墙系统而言 它的规模和功能应该能适应内部网络的规模和安全策略的变化 选择哪种防火墙 除了应考虑它基本性能外 毫无疑问 还应考虑用户的实际需求与未来网络的升级 防火墙除了具有保护网络安全的基本功能外提供对VPN的支持 应该具有可扩展的内驻应用层代理 支持常见的网络服务以外 还应该能够按照用户的需求提供相应的代理服务 例如 如果用户需要NNTP X Window HTTP和Gopher等服务 防火墙就应该包含相应的代理服务程序 未来的防火墙系统应是一个可随意伸缩的模块化解决方案 从最为基本的包过滤器到带加密功能的VPN型包过滤器 直至一个独立的应用网关 使用户有充分的余地构建自己所需要的防火墙体系 网络消息传输协议NNTP 网络新闻传输协议 用于向Internet上NNTP服务器或NNTP客户 新闻阅读器 发布网络新闻邮件的协议 NNTP提供通过Internet使用可靠的基于流的新闻传输 NNTP提供新闻的分发 查询 检索和投递 NNTP专门设计用于将新闻文章保存在中心数据库的服务器上 这样用户可以选择要阅读的特定条目 还提供过期新闻的索引 交叉引用和终止 该协议在RFC977中定义 NNTP使用TCP端口号119协议结构NNTP使用命令和响应实现通信 其中命令由命令字构成 在有些情况下带有参数 X Window X Window是UNIX中功能强大的图形用户接口 GUI 是基于客户 服务器的一种应用技术 表现为应用可运行在一个功能强大 易与维护的服务器上 而屏幕的输出则显示在另一个工作站上 X window技术包括两个成员 X server和WindowManager X server控制图像和窗口的显示 跟踪鼠标和键盘的操作 一个X server可控制多个窗口 WindowManager则用于显示窗口的菜单和边界 提供窗口的移动 转换 最大 最小化操作 2 4 3简化的安装与管理 防火墙产品配置和管理的难易程度是防火墙能否达到目的的主要考虑因素之一 实践证明 许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和实现上的错误 同时 若防火墙的管理过于困难 则可能会造成设定上的错误 反而不能达到其功能 未来的防火墙将具有非常易于进行配置的图形用户界面 NT防火墙市场的发展证明了这种趋势 WindowsNT提供了一种易于安装和易于管理的基础 尽管基于NT的防火墙通常落后于基于Unix的防火墙 但NT平台的简单性以及它方便的可用性大大推动了基于NT的防火墙的销售 同时 像DNS这类一直难于与防火墙恰当使用的关键应用程序正引起有意简化操作的厂商越来越多的关注 2 4 4主动过滤 Internet数据流的简化和优化使网络管理员将注意力集中在这一点上 在Web数据流进入他们的网络之前需要在数据流上完成更多的事务 防火墙开发商通过建立功能更强大的Web代理对这种需要做出了回应 例如 许多防火墙具有内置病毒和内容扫描功能或允许用户将病毒与内容扫描程序进行集成 今天 许多防火墙都包括对过滤产品的支持 并可以与第三方过滤服务连接 这些服务提供了不受欢迎的Internet站点的分类清单 防火墙还在它们的Web代理中包括时间限制功能 允许非工作时间的冲浪和登录 并提供冲浪活动的报告 2 4 4防病毒与防黑客 尽管防火墙在防止不良分子进入上发挥了很好的作用 但TCP IP协议套件中存在的脆弱性使Internet对拒绝服务攻击敞开了大门 在拒绝服务攻击中 攻击者试图使企业Internet服务器饱和或使与它连接的系统崩溃 使Internet无法供企业使用 防火墙市场已经对此做出了反应 虽然没有防火墙可以防止所有的拒绝服务攻击 但防火墙厂商一直在尽其可能阻止拒绝服务攻击 像对付序列号预测和IP欺骗这类简单攻击 这些年来已经成为了防火墙工具箱的一部分 像 SYN泛滥 这类更复杂的拒绝服务攻击需要厂商部署更先进的检测和避免方案来对付 SYN泛滥可以锁死Web和邮件服务 这样没有数据流可以进入 综上所述 未来防火墙技术会全面考虑网络的安全 操作系统的安全 应用程序的安全 用户的安全 数据的安全 五者综合应用 此外 网络的防火墙产品还将把网络前沿技术 如Web页面超高速缓存 虚拟网络和带宽管理等与其自身结合起来 SYN包 synchronize TCP连接的第一个包 非常小的一种数据包 SYN攻击包括大量此类的包 由于这些包看上去来自实际不存在的站点 因此无法有效进行处理 每个机器的欺骗包都要花几秒钟进行尝试方可放弃提供正常响应 在黑客攻击事件中 SYN攻击是最常见又最容易被利用的一种攻击手法 SYN攻击属于DOS攻击的一种 它利用TCP协议缺陷 通过发送大量的半连接请求 耗费CPU和内存资源 SYN攻击除了能影响主机外 还可以危害路由器 防火墙等网络系统 事实上SYN攻击并不管目标是什么系统 只要这些系统打开TCP服务就可以实施 服务器接收到连接请求 syn j 将此信息加入未连接队列 并发送请求包给客户 syn k ack j 1 此时进入SYN RECV状态 当服务器未收到客户端的确认包时 重发请求包 一直到超时 才将此条目从未连接队列删除 配合IP欺骗 SYN攻击能达到很好的效果 通常 客户端在短时间内伪造大量不存在的IP地址 向服务器不断地发送syn包 服务器回复确认包 并等待客户的确认 由于源地址是不存在的 服务器需要不断的重发直至超时 这些伪造的SYN包将长时间占用未连接队列 正常的SYN请求被丢弃 目标系统运行缓慢 严重者引起网络堵塞甚至系统瘫痪 关于SYN攻击防范技术 人们研究得比较早 归纳起来 主要有两大类 一类是通过防火墙 路由器等过滤网关防护 另一类是通过加固TCP IP协议栈防范 但必须清楚的是 SYN攻击不能完全被阻止 我们所做的是尽可能的减轻SYN攻击的危害 除非将TCP协议重新设计 2 5网络黑客概述 黑客 hacker 源于英语动词hack 意为 劈 砍 引申为 干了一件非常漂亮的工作 在早期麻省理工学院的校园俚语中 黑客 则有 恶作剧 之意 尤指手法巧妙 技术高明的恶作剧 在日本 新黑客词典 中 对黑客的定义是 喜欢探索软件程序奥秘 并从中增长了其个人才干的人 他们不象绝大多数电脑使用者那样 只规规矩矩地了解别人指定了解的狭小部分知识 由这些定义中 我们还看不出太贬义的意味 他们通常具有硬件和软件的高级知识 并有能力通过创新的方法剖析系统 95 目前将黑客的分成三类 第一类 网络黑客 红客 第二类 计算机朋客 破坏者 第三类 网络骇客 间谍 网络攻击概述 一个网络攻击的组成 网络攻击 攻击者 工具 访问 结果 目标 骇客黑客计算机朋客 分布式工具程序自治代理工具集用户命令 信息破坏信息暴露服务偷窃服务拒绝 破坏 配置的脆弱点实现的漏洞 黑客 用户命令 配置的脆弱点 信息破坏 破坏 网络安全的背景 经常有网站遭受黑客攻击 网络安全的背景 用户数据的泄漏 网络安全的背景 黑客攻击技术与网络病毒日趋融合 2 6黑客攻防技术 2 6 1黑客攻击的工具2 6 2黑客攻击的常用技术第一类是服务拒绝攻击 第二类是利用型攻击第三类是信息收集型攻击第四类是假消息攻击 101 2 6黑客攻防技术 2 6 3黑客攻击步骤1 溢出攻击法攻击步骤2 嗅探侦听法 sniffer 攻击步骤3 DOS和DDOS攻击步骤2 6 4黑客攻击的防护步骤1 溢出攻击法防护2 嗅探侦听法 sniffer 攻击防护3 拒绝服务攻击的防护4 计算机病毒攻击防护 102 2 6黑客攻防技术 2 6 1黑客攻击的工具1 PasswordCrackersPasswordCrackers因其用途广泛而成为黑客使用的主流工具 实施口令破译攻击分为两步 第一步 攻击者首先从被攻击对象的计算机里读出一个加密口令档案 大部分系统 包括WindowsNT及UNIX 他们把口令加密后储存在档案系统内 以便当用户登录时认证 第二步 攻击者以字典为辅助工具 用PasswordCrackers开始尝试去破译口令 其办法是把字典的每一项进行加密 然后两者进行比较 假若两个加密口令相符 黑客就会知道该口令 假若两者不符 此工具继续重复工作 直到字典最后一项 有时 黑客们甚至会试遍每一种字母的组合 使用该种方法 口令破译的速度与加密及比较的速度有关 2 L0phtCrack L0phtCrack由黑客组L0phtHeavyIndustries撰写 它专门用于破译WindowsNT口令 此工具性能强大 又很容易使用 软件性能也随之提高 比旧版本快450 据称 一台450MHzPentiumII计算机一天内就可破译所有字母数字混合的口令 L0phtCrack可通过多种渠道得到加密的口令档案 只要黑客运行一个包含L0phtCrack的程序 或从windowNT系统管理员的备份软盘里拷贝一个程序 就可以得到WindowsNT系统里的SAM数据库 L0phtCrack最新版的GUI可以从网络中得到加密的Windows口令 当你登录到NT域 你的口令会被用哈希算法送到网络上 L0phtCrack的内置嗅探器很容易找到这个加密值并破译它 3 WarDialers 防火墙这个坚固的防线只封住了网络的前门 但内部网中不注册的调制解调器却向入侵者敞开了 后门 WarDialers能迅速地找出这些调制解调器 随即攻入网络 它的攻击原理非常简单 不断以顺序或乱序拨打电话号码 寻找调制解调器接通后熟悉的回应音 一旦WarDialers找到一大堆能接通的调制解调器后 黑客们便拨号入网继续寻找系统内未加保护的登录或容易猜测的口令 WarDialers首选攻击对象是 没有口令 的PC远程管理软件 这些软件通常是由最终用户安装用来远程访问公司内部系统的 这些PC远程控制程序当用到不安全的调制解调器时是异常脆弱的 THC Scan是TheHacker sChoice THC Scanner的缩写 这个WarDialers工具是由 vanHauser 撰写的 它的功能非常齐全 THC Scan与其他普通WarDialers工具不同 它能自动检测调制解调器的速度 数据位 校验位及停止位 此工具也尝试去判断被发现的计算机所使用的操作系统 而且 THC Scan有能力确认什么时候能再有拨号音 这样 黑客们便可以不经过你的PBX就可以拨打免费电话 声明 由于这些工具可以在网上免费下载 并且它可能会损害你的系统 因此 教师在文中论述某一工具时 并不表示他默许或是推荐你使用 当然 对于黑客的攻击 我们也有一系列的应对措施 具体内容见2 6 4节 2 6 2黑客攻击的常用技术 网络攻击的方式一般分为四类 第一类是服务拒绝攻击 包括死亡之ping pingofdeath 泪滴 teardrop UDP洪水 UDPflood SYN洪水 SYNflood Land攻击 Smurf攻击 Fraggle攻击 电子邮件炸弹 畸形消息攻击等 第二类是利用型攻击 包括口令猜测 特洛伊木马 缓冲区溢出 第三类是信息收集型攻击 包括地址扫描 端口扫描 反响映射 慢速扫描 体系结构探测 DNS域转换 Finger服务 LDAP服务等 第四类是假消息攻击 主要包括 DNS高速缓存污染 伪造电子邮件 1 溢出攻击法 原理 当某个数据 超过了处理程序限制的范围时 该数据就会造成程序的执行溢出 overflow 通常一个服务进程在接收一个用户请求时 会创建一个子进程去进行应答和服务 如果这个子进程接收了一些无特别含义的超过限制的数据 通常会终止 而服务的父进程和其他子进程并不受影响 因此对系统的危害实际上并不大 但是如果这个数据包是被精心构造的 那么在溢出点后面的就可能是精心策划的代码 从而进行服务端的代码执行 进而有可能控制系统 溢出攻击法的特点是 只要用足够的技术 对系统有足够的认识和分析 就能够通过溢出攻击获得对系统的控制 从而达到攻击的最高目标 而这个过程中 不需要依赖于密码的破解 嗅探 侦听等手段 也不需要任何非技术的手段和骗局 事实上 如果能够成功实施溢出攻击 即便是面对一个已知的漏洞 在没有特别傻瓜化的工具情况下 也需要非常高的系统认识能力和低层编程素质 一些精深的老黑客乐于此道而不思其余 是很有道理的 2 嗅探侦听法 sniffer 也被称为报文截获法 原理 网络的一个特点就是数据总在流动中 而互联网由错综复杂的各种网络交汇而成的 当你的数据从网络的一台电脑到另一台电脑的时候 通常会经过大量不同的网络设备 用tracert命令就可以看到这种路径是如何进行的 嗅探侦听主要有两种途径 一种是将侦听工具软件放到网络连接的设备或者放到可以控制网络连接设备的电脑上 这里的网络连接设备 比如网关服务器 比如路由器 另外一种是针对不安全的局域网 采用交换hub实现 放到个人电脑上就可以实现对整个局域网的侦听 这里的原理是这样的 共享hub获得一个子网内需要接收的数据时 并不是直接发送到指定主机 而是通过广播方式发送到每个电脑 对于处于接受者地位的电脑就会处理该数据 而其他