日常用网络安全技术课件

日常用网络安全技术.ppt防火墙技术介绍漏洞扫描技术介绍入侵检测技术介绍讲义内容整体介绍FirewallInternetDMZInternalNetwork防火墙是在不同安全区域之间进行访问控制的一种措施。什么是防火墙?防火墙概念

防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合。它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙特征保护脆弱和有缺陷的网络服务集中化的安全管理加强对网络系统的访问控制加强隐私对网络存取和访问进行监控审计保护脆弱和有缺陷的网络服务一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙特征防火墙特征集中化的安全管理通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。加强对网络系统的访问控制一个防火墙的主要功能是对整个网络的访问控制。比如防火墙可以屏蔽部分主机，使外部网络无法访问，同样可以屏蔽部分主机的特定服务，使得外部网络可以访问该主机的其它服务，但无法访问该主机的特定服务。防火墙不应向外界提供网络中任何不需要服务的访问权，这实际上是安全政策的要求了。控制对特殊站点的访问：如有些主机或服务能被外部网络访问，而有些则需被保护起来，防止不必要的访问。防火墙特征加强隐私隐私是内部网络非常关心的问题。一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。防火墙特征对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防火墙特征防火墙实现策略对防火墙系统而言，共有两层网络安全策略：网络服务访问策略：是高层策略，定义了受保护网络明确允许和明确拒绝的网络服务，分析网络服务的可用性（包括可用条件）、风险性等。防火墙设计策略：是低层策略，描述了防火墙如何根据高层的网络服务访问策略中定义的策略来具体地限制访问和过滤服务。网络服务访问策略不允许外部网络或Internet访问内部网络，但允许内部网络访问外部网络或Internet。允许外部网络或Internet访问部分内部网络，这些特定的网络服务是经过严格选择和控制的，如一些信息服务器、电子邮件服务器或域名服务器等等。防火墙实现策略防火墙设计策略

防火墙设计策略必须针对具体的防火墙，它定义过滤规则等，以实现高层的网络服务策略。这个策略在设计时必须考虑到防火墙本身的性能、限制及具体协议如TCP/IP。常用的两种基本防火墙设计策略是：允许所有除明确拒绝之外的通信或服务（很少考虑，因为这样的防火墙可能带来许多风险和安全问题。攻击者完全可以使用一种拒绝策略中没有定义的服务而被允许并攻击网络）拒绝所有除明确允许之外的通信或服务（常用，但操作困难，并有可能拒绝网络用户的正常需求与合法服务）防火墙实现策略作为一个安全策略的设计者，应懂得以下问题的要点：哪些Internet服务是本网络系统打算使用或提供的？（如TELNET、FTP、HTTP）这些Internet服务在哪或哪个范围内使用？（如在本地网内、整个Internet或拨号服务等）可能有哪些额外或临时的服务或需求？（如加密、拨入服务等）提供这些服务和访问有哪些风险和总的花费？防火墙实现策略防火墙发展历程第一阶段：基于路由器的防火墙第二阶段：用户化的防火墙工具套第三阶段：建立在通用操作系统上的防火墙第四阶段：具有安全操作系统的防火墙对防火墙技术与产品发展的介绍第一代防火墙产品的特点是：利用路由器本身对分组的解析,以访问控制表（accesslist）方式实现对分组的过滤；过滤判决的依据可以是：地址、端口号、IP旗标及其它特征；只有分组过滤的功能，且防火墙与路由器是一体的，对安全要求低的网络可采用路由器附带防火墙功能的方法，对安全性要求高的网络则可单独利用一台路由器作防火墙。第一阶段：基于路由器的防火墙第一阶段：基于路由器的防火墙第一代防火墙产品的不足之处为：路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。路由器上的分组过滤规则的设置和配置存在安全隐患。攻击者可以“假冒”地址，由于信息在网络上是以明文传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙。防火墙的规则设置会大大降低路由器的性能。第二阶段：用户化的防火墙工具套作为第二代防火墙产品，用户化的防火墙工具套具有下特征：将过滤功能从路由器中独立出来，并加上审计和告警功能；针对用户需求，提供模块化的软件包；软件可通过网络发送，用户可根据需要构造防火墙；与第一代防火墙相比，安全性提高了，价格降低了。第二阶段：用户化的防火墙工具套不足之处：配置和维护过程复杂、费时；对用户的技术要求高；全软件实现，安全性和处理速度均有局限；实践表明，使用中出现差错的情况很多。第三阶段：建立在通用操作系统上的防火墙具有以下特点：是批量上市的专用防火墙产品；包括分组过滤或者借用路由器的分组过滤功能；装有专用的代理系统，监控所有协议的数据和指令；保护用户编程空间和用户可配置内核参数的设置；安全性和速度大为提高。第三阶段：建立在通用操作系统上的防火墙存在的问题：作为基础的操作系统及其内核往往不为防火墙管理者所知，由于原码的保密，其安全性无从保证；由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击。用户必须依赖两方面的安全支持：一是防火墙厂商、一是操作系统厂商。

第四阶段：具有安全操作系统的防火墙具有以下特点：防火墙厂商具有操作系统的源代码，并可实现安全内核；对安全内核实现加固处理:即去掉不必要的系统特性，加固内核，强化安全保护；对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其它部份构成威胁；在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能；透明性好，易于使用。第四代防火墙的主要技术与功能

第四代防火墙产品将网关与安全系统合二为一，具有以下技术与功能特点：双端口或三端口的结构透明的访问方式灵活的代理系统多级的过滤技术网络地址转换技术

Internet网关技术安全服务器网络（SSN）

用户鉴别与加密用户定制服务审计和告警HostCHostD数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略

基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于访问内容可以灵活的制定的控制策略灵活的包过滤规则HostCHostD在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet下班时间可以自由访问公司的网络Internet基于时间对象的访问控制HostCHostDHostBHostA受保护网络Internet···············

······PermitPasswordUsername预先可在防火墙上设定用户root123root123Yesadmin883No不管那台电脑都可以用相同的用户名来登陆防火墙只需在防火墙设置该用户的规则即可用户级权限控制客户机A客户机BInternet192161192162192161192161->MAC(A)192162->MAC(B)内部网络IP地址和MAC地址绑定防止IP地址盗用MAC与IP绑定规则的技术挑战视频H323协议动态开放通讯端口防火墙正常工作状态只开放端口1718或1719(发向网守的RAS消息所用端口)、1720(呼叫信令消息所用端口)。媒体流需要通过RTP协议来传输，而传输所需要的源端口和目的端口是动态确定的，这些端口可能是大于1024的任意端口，因此要使H323数据流通过防火墙，需要在防火墙规则中打开所有大于1024的端口，这显然是非常不安全的。防火墙需要全程跟踪H323协议过程，可以动态开放特定端口保证安全与应用相统一。用户C用户D用户B用户A受保护网络用户A的流量已达到10M用户A的流量已达到极限值30M阻断用户A的连接基于帐号的流量限制InternetInternetRADIUS服务器认证服务器admin12354876防火墙将认证信息传给真正的RADIUS服务器进行认证将认证结果传给防火墙根据认证结果决定用户对资源的访问权限支持第三方认证服务器带宽优先级别管理Web服务器视频应用服务器客户机客户机客户机浏览下载一级二级三级视频Ftp服务器带宽管理规则库内网外网外网内网双机热备份保证网络高可用性客户机客户机客户机服务器服务器服务器请求请求请求请求多链路负载均衡功能多ISP链路冗余－互联网连接（ISP)已经成为最后的故障点－将高可用性引入ISP连接可以消除此故障点，防火墙出口可能会有几个网关，管理员可以通过此功能平均分流给各个网关，而对源IP则无需考虑。ISP的网络ISP的网络ISP的网络内网以太网通道功能极大地节省企业租用网络线路和带宽的投资1000M2000M聚合链路Port1Port2Port3Portn帧分发器发送队列Higher-layerProtocolsPort1Port2Port3Portn帧接收器接收队列Higher-layerProtocols…………SystemASystemB实现链路备份，单条链路故障不影响应用的正常运行网络设备通过两个或多个端口并行传输数据以提供更高的带宽网络适应性－虚拟防火墙建立有自己的地址簿、策略和管理系统的虚拟防火墙工作原理:－根据IP地址、物理接口或VLAN标记将流量路由到VSYS－VSYS可以支持多个客户或域而不需要共享策略－可以独立进行管理以便于分工优点:－简化管理－通过对网络进行分段来提高安全性－无需部署额外的硬件，从而降低总拥有成本Vsys#1Vsys#2Vsys#3VLAN

标记IP

地址物理接口内网2/专网2网络适应性－策略路由当防火墙同一接口有多个路由网关，可以根据源IP、端口、协议来进行网络流量分流，防止网络拥塞，提高网络利用率电信网教育网内部专网内网1/专网1通往电信网的出口通往教育网的出口Internet应用适应性：服务器负载均衡WebServerAInternet分支机构远程用户IntranetWebServerCWebServerBInternetDMZEmailFtpHTTP财务部市场部研发部Router来自内部的攻击来自外部的攻击告警!攻击次数比率(%)源地址目的地址攻击方法20130719216832701921683212Portscan内置入侵检测系统和入侵检测产品联动的工作方式DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击商务伙伴警告!记录进攻,发送消息,终止连接外部攻击中止连接重新配置防火墙以便阻断攻击者邮件等多种方式通知管理员VPN设备容易被攻击

例如：denialofservice

（DOS）需要在防火墙上开通VPN流量的通道VPN流量的安全性得不到保证VPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet不同种类的VPN/Firewall结构VPN设备容易被攻击

例如：denialofservice

（DOS）需要在防火墙上开通VPN流量的通道VPN流量的安全性得不到保证VPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet不同种类的VPN/Firewall结构只有VPN/firewall集成的解决方案才能实现完全的访问控制和全局一致的安全策略安全=最少服务最小权限公理：所有的程序都有缺陷（摩菲定理）大程序定律：大程序的缺陷甚至比它包含的内容还多推理：一个安全相关程序有安全性缺陷定理：只要不运行这个程序，那么这个程序有缺陷，也无关紧要推理：只要不运行这个程序，那么这个程序有安全性漏洞，也无关紧要定理：对外暴露的计算机，应尽可能少地运行程序，且运行的程序也尽可能地小推论：防火墙基本法则：防火墙必须配置得尽可能地小，才能降低风险。防火墙的网络应用防火墙应用失败案例辨析

未制定完整的企业安全策略没有及时升级系统和安全漏洞库安全策略更新缓慢合作伙伴选择失败缺少有效的管理手段对防火墙技术的展望：几点趋势防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展；过滤深度不断加强,从目前的地址、服务过滤，发展到URL（页面）过滤，关键字过滤和对ActiveX、Java等的过滤，并逐渐有病毒扫除功能。单向防火墙（又叫网络二极管）将作为一种产品门类而出现；

利用防火墙建立专用网(VPN)是较长一段时间的用户使用的主流，IP的加密需求越来越强，安全协议的开发是一大热点；对网络攻击的检测和告警将成为防火墙的重要功能；安全管理工具不断完善，特别是可疑活动的日志分析工具等将成为防火墙产品中的一部分。对防火墙技术的展望：

几点趋势Internet/公网内部网路由器NEsec300FW2035968?告警内网接口外网接口电源控制台服务器服务器服务器主机主机内外网络隔离截取IP包，根据安全策略控制其进/出双向网络地址转换（NAT）基于一次性口令对移动访问进行身份识别和控制IPMAC捆绑，防止IP地址的滥用安全记录通信事件记录操作事件记录违规事件记录异常情况告警移动用户拨号用户局域网用户常见防火墙部署模式（内部地址）（内部地址）路由器HTTP服务器DNS服务器Email服务器防火墙DMZ区（DemilitarizedZone）内部专用网络InternetDDNPSTNATMISDNX25帧中继防火墙管理器外部网络安装方式之一防火墙防火墙管理工作站分支机构受保护局域网防火墙防火墙资源子网路由器路由器路由器分支机构受保护局域网公共网络总部路由器路由器安装方式之二安装方式之三防火墙评测指标(1)对防火墙的评估通常包括对其功能、性能和可用性进行测试评估。对防火墙性能的测试指标主要有吞吐量延迟帧丢失率防火墙－防火墙评测指标防火墙评测指标(2)对防火墙的功能测试通常包含身份鉴别访问控制策略及功能密码支持审计管理对安全功能自身的保护防火墙－防火墙评测指标防火墙的日常运维管理定期升级系统配置，关注厂商升级包。分析系统各种告警日志信息，配置SNMP、SYSLOG告警管理服务器进行统一管理。规则策略应该定期进行必要的配置调整完善。对于网络中新增加的应用业务系统做好调研工作，了解实际TCP端口的应用需求。课程小结防火墙章节重要在防火墙的功能高级应用与管理维护部署，重点突出了日常运维中

的各种常见问题总结与注意要点。防火墙的技术知识

漏洞扫描技术知识

议题整体介绍漏洞扫描技术掌握漏洞扫描相关概念了解系统的脆弱性掌握漏洞扫描的原理掌握分析漏洞解决漏洞的方法漏洞扫描概述

漏洞源自“vulnerability”（脆弱性）。一般认为，漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。

标准化组织CVE（CommonVulnerabilitiesandExposures,即“公共漏洞与暴露”）致力于所有安全漏洞及安全问题的命名标准化，安全产品对漏洞的描述与调用一般都与CVE兼容。1漏洞的概念信息安全的“木桶理论”对一个信息系统来说，它的安全性不在于它是否采用了最新的加密算法或最先进的设备，而是由系统本身最薄弱之处，即漏洞所决定的。只要这个漏洞被发现，系统就有可能成为网络攻击的牺牲品。漏洞扫描概述2漏洞的发现

一个漏洞并不是自己突然出现的，必须有人发现它。这个工作主要是由以下三个组织之一来完成的：黑客、破译者、安全服务商组织。每当有新的漏洞出现，黑客和安全服务商组织的成员通常会警告安全组织机构；破译者也许不会警告任何官方组织，只是在组织内部发布消息。根据信息发布的方式，漏洞将会以不同的方式呈现在公众面前。通常收集安全信息的途径包括：新闻组、邮件列表、Web站点、FTP文档。

网络管理者的部分工作就是关心信息安全相关新闻，了解信息安全的动态。管理者需要制定一个收集、分析以及抽取信息的策略，以便获取有用的信息。漏洞扫描概述3漏洞对系统的威胁

漏洞对系统的威胁体现在恶意攻击行为对系统的威胁，因为只有利用硬件、软件和策略上最薄弱的环节，恶意攻击者才可以得手。

目前，因特网上已有3万多个黑客站点，而且黑客技术不断创新，基本的攻击手法已多达800多种。

目前我国95％的与因特网相连的网络管理中心都遭到过境内外攻击者的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。国内乃至全世界的网络安全形势非常不容乐观。漏洞可能影响一个单位或公司的生存问题。

漏洞扫描概述4漏洞扫描的必要性

帮助网管人员了解网络安全状况对资产进行风险评估的依据安全配置的第一步向领导上报数据依据82系统脆弱性分析

信息系统存在着许多漏洞，如IIS的安全性、CGI的安全性、DNS与FTP协议的安全性、缓冲区溢出问题、拒绝服务和后门。由于网络的飞速发展，越来越多的漏洞也必将随之出现。821IIS安全问题

Windows的IIS服务器存在着很多漏洞，如拒绝服务、泄露信息、泄露源代码、获得更多权限、目录遍历、执行任意命令、缓冲区溢出执行任意代码等。系统脆弱性分析缓冲区溢出Bufferoverflowattack缓冲区溢出攻击缓冲区溢出漏洞大量存在于各种软件中利用缓冲区溢出的攻击，会导致系统当机，获得系统特权等严重后果。最早的攻击1988年UNIX下的Morrisworm最近的攻击Codered

利用IIS漏洞SQLServerWorm利用SQLServer漏洞Blaster利用RPC漏洞Sasser利用LSASS漏洞系统脆弱性分析向缓冲区写入超过缓冲区长度的内容，造成缓冲区溢出，破坏程序的堆栈，使程序转而执行其他的指令，达到攻击的目的。原因：程序中缺少错误检测:voidfunc(char*str){ charbuf[16];

strcpy(buf,str);}如果str的内容多于16个非0字符，就会造成buf的溢出，使程序出错。系统脆弱性分析类似函数有strcat、sprintf、vsprintf、gets、scanf等一般溢出会造成程序读/写或执行非法内存的数据，引发segmentationfault异常退出如果在一个suid程序中特意构造内容，可以有目的的执行程序，如/bin/sh，得到root权限。系统脆弱性分析对于使用C语言开发的软件，缓冲区溢出大部分是数组越界或指针非法引用造成的。有时并不引发溢出也能进行攻击。现存的软件中可能存在缓冲区溢出攻击，因此缓冲区溢出攻击短期内不可能杜绝。缓冲区溢出的危害很大:可以植入并运行攻击代码比大部分DoS攻击危害严重系统脆弱性分析在进程的地址空间安排适当的代码通过适当的初始化寄存器和内存，跳转到以上代码段执行利用进程中存在的代码传递一个适当的参数如程序中有exec(arg)，只要把arg指向“/bin/sh”就可以了植入法把指令序列放到缓冲区中堆、栈、数据段都可以存放攻击代码，最常见的是利用栈系统脆弱性分析拒绝服务攻击

软件弱点是包含在操作系统或应用程序中与安全相关的系统缺陷，这些缺陷大多是由于错误的程序编制，粗心的源代码审核，无心的副效应或一些不适当的绑定所造成的。根据错误信息所带来的对系统无限制或者未经许可的访问程度，这些漏洞可以被分为不同的等级。

典型的拒绝服务攻击有如下两种形式：资源耗尽和资源过载。当一个对资源的合理请求大大超过资源的支付能力时就会造成拒绝服务攻击（例如，对已经满载的Web服务器进行过多的请求。）拒绝服务攻击还有可能是由于软件的弱点或者对程序的错误配置造成的。区分恶意的拒绝服务攻击和非恶意的服务超载依赖于请求发起者对资源的请求是否过份，从而使得其他的用户无法享用该服务资源。

错误配置也会成为系统的安全隐患。这些错误配置通常发生在硬件装置，系统或者应用程序中。如果对网络中的路由器，防火墙，交换机以及其他网络连接设备都进行正确的配置会减小这些错误发生的可能性。如果发现了这种漏洞应当请教专业的技术人员来修理这些问题。系统脆弱性分析

以下的两种情况最容易导致拒绝服务攻击：

由于程序员对程序错误的编制，导致系统不停的建立进程，最终耗尽资源，只能重新启动机器。不同的系统平台都会采取某些方法可以防止一些特殊的用户来占用过多的系统资源，我们也建议尽量采用资源管理的方式来减轻这种安全威胁。

还有一种情况是由磁盘存储空间引起的。假如一个用户有权利存储大量的文件的话，他就有可能只为系统留下很小的空间用来存储日志文件等系统信息。这是一种不良的操作习惯，会给系统带来隐患。这种情况下应该对系统配额作出考虑。系统脆弱性分析基于网络的拒绝服务攻击：

（1）PingofDeath发送长度超过65535字节的ICMPEchoRequest数据包导致目标机TCP/IP协议栈崩溃，系统死机或重启现有的操作系统基本上都能正确处理这种异常数据包，不会出现问题（2）Teardrop发送特别构造的IP数据包导致目标机TCP/IP协议栈崩溃，系统死锁现有的操作系统基本上都能正确处理这种异常数据包，不会出现问题系统脆弱性分析基于网络的拒绝服务攻击

(续)

（3）Synflooding发送大量的SYN包系统中处于SYN_RECV状态的socket

（4）Land发送一个TCPSYN包，包的SRC/DSTIP相同，SPORT/DPORT相同导致目标机TCP/IP协议栈崩溃，系统死机或失去响应现有的操作系统基本上都能正确处理这种异常数据包，不会出现问题系统脆弱性分析

基于网络的拒绝服务攻击

(续)

（5）Smurf攻击者冒充服务器向一个网段的广播地址发送ICMPecho包整个网段的所有系统都向此服务器回应一个icmpreply包

（6）Winnuke发送特别构造的TCP包，使得Windows机器篮屏

（7）分布式拒绝服务攻击使得分散在因特网各处的机器共同完成对一台主机攻击的操作，从而使主机看起来好像是遭到了不同位置的许多主机的攻击。系统脆弱性分析DNS的安全性

对DNS服务器的攻击主要有三种方法：地址欺骗、远程漏洞入侵和拒绝服务。

1）地址欺骗。地址欺骗攻击利用了RFC标准协议中的某些不完善的地方，达到修改域名指向的目的。

2）远程漏洞入侵。BIND服务器软件的许多版本存在缓冲区溢出漏洞，黑客可以利用这些漏洞远程入侵BIND服务器所在的主机，并以root身份执行任意命令。

3）拒绝服务。一种攻击针对DNS服务器软件本身；另一种攻击的目标不是DNS服务器，而是利用DNS服务器作为中间的“攻击放大器”，去攻击其他Internet上的主机。系统脆弱性分析FTP协议漏洞分析

1）FTP反弹(FTPBounce)。FTP的代理服务特性，形成FTP反弹漏洞。

2）有限制的访问(RestrictedAccess)。可能形成控制连接是可信任的，而数据连接却不是。

3）保护密码(ProtectingPasswords)。漏洞：①在FTP标准[PR85]中，FTP服务器允许无限次输入密码；②“PASS”命令以明文传送密码。

4）端口盗用(PortSteaUng)。漏洞：当使用操作系统相关的方法分配端口号时，通常都是按增序分配。

系统脆弱性分析后门

后门通常是一个服务端程序，它可能由黑客编写，被恶意攻击者通过一定手段放在目标主机上以达到非法目的；也可能是目标主机正在运行的授权应用软件，其本身具有可被攻击者利用的特性。更形象地说，第一种情况是小偷趁主人度假期间，在房主院子后面为自己打造了一个后门，并稍加装饰，使人轻易发现不了他的杰作；第二种情况可能是主人为了方便，本来就在院子后面留有一门，但由于疏忽竟然忘了上锁，这就给小偷以可乘之机。当然，在第一种情况下，若小偷在主人眼皮底下开工，自然需要更高超的技术，通常人们所说的特洛伊木马就是这种情况。很多网管软件也有类似的功能，若被误用或滥用，后果会非常严重。

系统脆弱性分析扫描技术与原理

扫描是检测Internet上的计算机当前是否是活动的、提供了什么样的服务，以及更多的相关信息，主要使用的技术有Ping扫描、端口扫描和操作系统识别。扫描所收集的信息主要可以分为以下几种：

1）标识主机上运行的TCP／UDP服务。

2）系统的结构。

3）经由INTERNET可以到达主机的详细IP地址信息。

4）操作系统的类型。扫描的几个分类Ping扫描：ICMPTCP扫描UDP扫描端口扫描扫描器的类型和组成

扫描器的作用就是用检测、扫描系统中存在的漏洞或缺陷。目前主要有两种类型的扫描工具，即主机扫描器和网络扫描器，它们在功能上各有侧重。

1主机扫描器

主机扫描器又称本地扫描器，它与待检查系统运行于同一节点，执行对自身的检查。它的主要功能为分析各种系统文件内容，查找可能存在的对系统安全造成威胁的漏洞或配置错误。

2网络扫描器

网络扫描器又称远程扫描器，一般它和待检查系统运行于不同的节点上，通过网络远程探测目标节点，检查安全漏洞。远程扫描器检查网络和分布式系统的安全漏洞。扫描器的类型和组成扫描器的组成

一般说来，扫描器由以下几个模块组成：用户界面、扫描引擎、扫描方法集、漏洞数据库、扫描输出报告等。整个扫描过程是由用户界面驱动的，首先由用户建立新会话，选定扫描策略后，启动扫描引擎，根据用户制订的扫描策略，扫描引擎开始调度扫描方法，扫描方法将检查到的漏洞填入数据库，最后由报告模块根据数据库内容组织扫描输出结果。天镜网络漏洞扫描系统

天镜漏洞扫描系统分单机、便携和分布式三种版本，分布式产品组成包含几个部分：

1）管理控制中心。负责添加、修改扫描引擎的属性，进行策略编辑和扫描任务制定和下发执行，完成漏洞库和扫描方法的升级，同时支持主、子控设置。

2）综合显示中心。实时显示扫描的结果信息。可以进行树形分类察看和分窗口信息察看，显示扫描进度，提供漏洞解释的详细帮助。

3）日志分析报表。查询历史扫描结果，提供多种报表模版，形成图、表结合的丰富报表，以多种文件格式输出。

4）扫描引擎软件。执行管理控制中心发来的扫描任务，返回扫描结果到综合显示中心显示并存入数据库中。

5）扫描对象授权。通过授权许可具体的扫描引擎软件可扫描对象，包括同时扫描的数量，也可以指定那些目标可以扫描或禁止扫描。

6）数据库。产品缺省提供MSDE的桌面数据库安装包，用户可以根据扫描规模的大小选用MSDE或者SQLServer作为使用数据库。

天镜网络漏洞扫描系统图8-3单中心分布式部署

天镜网络漏洞扫描系统

渐进式扫描：根据被扫描主机的操作系统和主机应用等信息智能确定进一步的扫描流程；授权扫描：系统支持用户提供被扫描主机的权限信息，以获取更深入、更全面的漏洞信息；系统稳定性高：扫描过程实时正确处理各种意外情况：如网卡故障、资源耗尽等；扫描系统资源占用少、速度快、误报低、漏报低、稳定性高。天镜扫描技术特点天镜网络漏洞扫描系统

支持扫描的主流操作系统：Windows

9x/2000/2003/NT/XP、Sun

Solaris、HP

UNIX、IBM

AIX、IRIX、Linux、BSD等。天镜可以扫描的对象包括各种服务器、工作站、网络打印机以及相应的网络设备如：3Com交换机、CISCO路由器、CheckpointFirewall、HP打印机、CiscoPIXFirewall等。天镜可以提供扫描对象的账户信息，便于检查是否异常账户出现。扫描漏洞分类：Windows系统漏洞、WEB应用漏洞、CGI应用漏洞、FTP类漏洞、DNS、后门类、网络设备漏洞类、缓冲区溢出、信息泄漏、MAIL类、RPC、NFS、NIS、SNMP、守护进程、PROXY强力攻击等1000种以上。支持对MSSQLServer、Oracle、Sybase、DB2数据库的扫描功能。

自由定制扫描策略漏洞信息规范全面符合CNCVE标准，兼容国际CVE标准与BUGTRAQ等其他漏洞标准。

本章小结

漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。简要说明了漏洞的威胁、后果及发现的方法。针对流行的Windows系统，分析了CGI、缓冲区溢出、拒绝服务、DNS协议分析、FTP协议分析，介绍存在的缺陷及检测方法。在此基础上介绍漏洞扫描技术：端口扫描、Ping扫描、TCP扫描、UDP扫描等。扫描器的类型分主机型和网络型两种。主要由扫描引擎、扫描方法集、漏洞数据库等几方面组成。最后介绍一种主流的扫描系统――天镜网络漏洞扫描系统。

防火墙的技术知识

漏洞扫描技术知识入侵检测技术知识

议题整体介绍安全审计与入侵检测安全审计安全审计用于对安全方案中的功能提供持续的评估，为管理员提供一组可进行分析的管理数据，利用安全审计结果，可调整安全策略，堵住出现的漏洞。安全审计应具备：记录关键事件提供可集中处理审计日志的数据形式提供易于使用的软件工具实时的安全报警哪些站点最容易遭受攻击什么是入侵检测入侵检测的主要检测方式入侵检测系统主要能够实现的安全功能有什么入侵检测所面临的技术挑战从入侵检测系统说起政府站点很多站点甚至都没有发现自己已经被攻击一例利用FORNTPAGE的攻击事件利用同样的手段远程进入调试页面状态修改后的结果入侵过程描述入侵主机情况描述：该主机位于国家xx局的x层计算机办公室，在11月中曾经连续发生数据库被删除记录的事件，最后该网站管理员认定事件可疑，随即向国家xx局网络安全管理部门报告，我公司在接到国家xx局的报告后，立即赶到现场取证分析。操作系统和补丁情况：WIN2000个人版操作系统SP2的补丁包主要服务用途：做为国家xx局计算中心内部网站使用，负责发布计算中心内部信息。网站运行IIS5，后台数据库采用ACCESS。入侵后的行为表现：主页页面新闻栏目内容被删除，后台数据库内容被人非法删改。分析审计WEB服务器访问日志08:40:591071198GET/mynewsmdb200该记录表明1071198在早上8点40分的时候非法下载了mynewsmdb数据库，服务器返回200正确请求值，表示请求成功该数据库已经被非法下载。08:42:141071198GET/loginasp200随后该攻击者直接访问网站的在线管理系统。入侵检测的基本概念入侵检测是指对于计算机和网络资源的恶意行为的识别和响应的过程。通过对于网络或计算机系统中的若干关键点收集信息并对其进