暑期实习信息安全调研报告

北京科技大学信安09班40950195杨郅文暑期实习信息安全调研报告学校：北京科技大学学院：计算机与通信工程学院专业：信息安全班级：信安09姓名：杨郅文学号：409501952012年7月身边的信息安全技术及科学问题目录1.前言 21.1防火墙： 21.1.1防火墙类型： 21.1.2代理服务： 31.1.3防火墙架设结构： 31.1.4防火墙的缺点： 41.2路由器防火墙： 52TP-link路由器防火墙设置 52.1路由器防火墙应用举例— 53思科路由器防火墙设置 84TP-LINK路由器防火墙与思科路由器防火墙设置区别 105安全路由器与防火墙的区别 105.1背景 105.2目的 105.3核心技术 115.3.1IP地址欺骗（使连接非正常复位） 115.3.2TCP欺骗（会话重放和劫持） 115.3.3安全策略 115.3.4对性能的影响 115.3.5防攻击能力 126调研感想 12=1\*Arabic1.前言我所做的关于身边的信息安全技术及科学问题的调研内容主要是关于路由器防火墙的相关知识内容和对比，以及防火墙、安全路由器和路由器防火墙的对比。首先在这里介绍一下防火墙的概念。1.1防火墙：在电脑运算领域中，防火墙(英文：firewall)是一项协助确保资讯安全的设备，会依照特定的规则，允许或是限制传输的资料通过。防火墙可能是一台专属的硬件或是架设在一般硬件上的一套软件。防火墙最基本的功能就是隔离网络，通过将网络划分成不同的区域（通常情况下称为ZONE），制定出不同区域之间的访问控制策略来控制不同任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信。它有控制信息基本的任务在不同信任的区域。典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则例如：TCP/IPPort135~139是MicrosoftWindows的【网上邻居】所使用的。如果电脑有使用【网上邻居】的【分享资料夹】，又没使用任何防火墙相关的防护措施的话，就等于把自己的【分享资料夹】公开到Internet，供不特定的任何人有机会浏览目录内的档案。且早期版本的Windows有【网上邻居】系统溢位的无密码保护的漏洞（这里是指【分享资料夹】有设密码，但可经由此系统漏洞，达到无须密码便能浏览资料夹的需求）。1.1.1防火墙类型：个人防火墙：个人防火墙，通常是在一部电脑上具有封包过滤功能的软件，如ZoneAlarm及WindowsXPSP2后内建的防火墙程式。而专用的防火墙通常做成网络设备，或是拥有2个以上网络接口的电脑。以作用的TCP/IP堆栈区分，主要分为网络层防火墙和应用层防火墙两种，但也有些防火墙是同时运作于网络层及应用层。网络层防火墙：网络层防火墙可视为一种IP封包过滤器，运作在底层的TCP/IP协定堆栈上。我们可以以列举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内建的规则。我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内建防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤，例如：来源IP地址、来源埠号、目的IP地址或埠号、服务类型(如WWW或是FTP)。也能经由通讯协定、TTL值、来源的网域名称或网段...等属性来进行过滤。应用层防火墙：防火墙的视察软件接口范例，纪录IP进出情况与对应事件应用层防火墙是在TCP/IP堆栈的“应用层”上运作，使用浏览器时所产生的资料流或是使用FTP时的资料流都是属于这一层。应用层防火墙可以拦截进出某应用程式的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的资料流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的属性，可以防范电脑蠕虫或是木马程式的快速蔓延。不过就实作而言，这个方法既烦且杂（因软件种类极其繁多），所以大部分的防火墙都不会考虑以这种方法设计。XML防火墙是一种新型态的应用层防火墙。1.1.2代理服务：代理服务（Proxy）设备（可能是一台专属的硬件，或只是普通电脑上的一套软件）也能像应用程式一样回应输入封包(例如连线要求)，同时封锁其他的封包，达到类似于防火墙的效果。代理会使从外部网络窜改一个内部系统更加困难，且只要对于代理有良好的设定，即使内部系统出现问题也不一定会造成安全上的漏洞。相反地，入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的；代理人伪装作为那个系统对其它内部机器。当对内部地址空间的用途加强安全，破坏狂也许仍然使用方法譬如IP欺骗（IPspoofing）试图通过小包对目标网络。防火墙经常有网络地址转换(NAT)的功能，并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”，定义在RFC1918。防火墙的适当的配置要求技巧和智慧，它要求管理员对网络协议和电脑安全有深入的了解，因小差错可使防火墙不能作为安全工具。1.1.3防火墙架设结构：堡垒主机式防火墙：此防火墙需有两片网络卡，一片与互联网连接，另一片与内部网络连接，如此互联网与内部网络的通路，无法直接接通，所有封包都需要透过堡垒主机转送。双闸式防火墙：此防火墙除了堡垒主机式防火墙的两片网络卡设计外，另有安装一称为应用服务转送器的软件，所有网络封包都须经过此软件检查，此软件将过滤掉不被系统所允许的封包。屏障单机式防火墙：此防火墙的硬件设备除需要主机外，还需要另一路由器，路由器需具有封包过滤的功能，主机则负责过滤及处理网络服务要求的封包，当互联网的封包进入屏障单机式防火墙时，路由器会先检查此封包是否满足过滤规则，再将过滤成功的封包，转送到主机做网络服务层的检查与转送。屏障双闸式防火墙：将屏障单机式防火墙的主机换成，双闸式防火墙。屏障子网域式防火墙：此防火墙借由多台主机与两个路由器组成，电脑分成两个区块，屏障子网域与内部网络，封包经由以下路径，第一个路由器->屏障子网域->第二路由器->内部网络，此设计因有阶段式的过滤功能，因此两个路由器可以有不同的过滤规则，让网络封包使用更有效率。若一封包通过第一过滤器封包，会先在屏障子网域做服务处理，若要做更深入内部网络的服务，则要通过第二路由器的过滤。1.1.4防火墙的缺点：正常状况下，所有互联网的封包软件都应经过防火墙的过滤，这将造成网络交通的瓶颈。例如在攻击性封包出现时，攻击者会不时寄出封包，让防火墙疲于过滤封包，而使一些合法封包软件亦无法正常进出防火墙。防火墙虽然可以过滤互联网的封包，但却无法过滤内部网络的封包。因此若有人从内部网络攻击时，防火墙是毫无用武之地的。而电脑本身操作系统亦可能一些系统漏洞，使入侵者可以利用这些系统漏洞来绕过防火墙的过滤，进而入侵电脑。防火墙无法有效阻挡病毒的攻击，尤其是隐藏在资料中的病毒。接下来介绍路由器防火墙。1.2路由器防火墙：路由器通常支持一个或者多个防火墙功能；它们可被划分为用于Internet连接的低端设备和传统的高端路由器。低端路由器提供了用于阻止和允许特定IP地址和端口号的基本防火墙功能，并使用NAT来隐藏内部IP地址。它们通常将防火墙功能提供为标准的、为阻止来自Internet的入侵进行了优化的功能；虽然不需要配置，但是对它们进行进一步配置可进一步优化它们的性能。高端路由器可配置为通过阻止较为明显的入侵（如ping）以及通过使用ACL实现其他IP地址和端口限制，来加强访问权限。也可提供其他的防火墙功能，这些功能在某些路由器中提供了静态数据包筛选。在高端路由器中，以较低的成本提供了与硬件防火墙设备相似的防火墙功能，但是吞吐量较低。接下来分别介绍一下TP-LINK路由器和思科路由器关于防火墙的设定。2TP-link路由器防火墙设置2.1路由器防火墙应用举例—IP地址过滤的使用IP地址过滤用于通过IP地址设置内网主机对外网的访问权限，适用于这样的需求：在某个时间段，禁止/允许内网某个IP（段）所有或部分端口和外网IP的所有或部分端口的通信。开启IP地址过滤功能时，必须要开启防火墙总开关，并明确IP地址过滤的缺省过滤规则（设置过程中若有不明确处，可点击当前页面的“帮助”按钮查看帮助信息）：下面将通过两个例子说明IP地址过滤的使用例一：预期目的：不允许内网00-02的IP地址访问外网所有IP地址；允许03完全不受限制的访问外网的所有IP地址。设置方法如下：1．选择缺省过滤规则为：凡是不符合已设IP地址过滤规则的数据包，禁止通过本路由器：2．添加IP地址过滤新条目：允许内网03完全不受限制的访问外网的所有IP地址因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”，所以内网电脑IP地址段：00-02不需要进行添加，默认禁止其通过。3．保存后生成如下条目，即能达到预期目的：例二：预期目的：内网00-02的IP地址在任何时候都只能浏览外网网页；03从上午8点到下午6点只允在外网2邮件服务器上收发邮件，其余时间不能和对外网通信。浏览网页需使用到80端口（HTTP协议），收发电子邮件使用25（SMTP）与110（POP），同时域名服务器端口号53（DNS）设置方法如下：1．选择缺省过滤规则为：凡是不符合已设IP地址过滤规则的数据包，禁止通过本路由器：2．设置生成如下条目后即能达到预期目的：3思科路由器防火墙设置思科路由器防火墙的设定全部是基于命令行来设定的，下面简单介绍一下相关设定的命令行。enable进入特权用户模式configt进入全局配置模式ipdhcpexcluded-address0从内部DHCP地址池中排除前10个IP地址ipdhcppoolInternal-DHCP创建一个称为“InternalDHCP”的DHCP池importall将外部的DHCP设置从ISP导入到“InternalDHCP”池中network定义这个DHCP池运行的网络default-router为“InternalDHCP”池设置默认网关ipinspectnamecbactcp检查向外发出的数据通信，以便于准许对内的响应TCP通信ipinspectnamecbacudp检查向外发出的数据通信，以便于准许对内的响应UDP通信interfacef0/0进入接口f0/0，F0/0在这里即是内部的局域网接口ipaddress将内部的局域网接口IP设置为，子网掩码为24位。ipnatinside将此接口指定为网络地址转换的内部接口interfacee0/0进入接口e0/0.E0/0在这里即是外部的局域网接口。ipaddressdhcp设置外部局域网接口的IP使用DHCP，DHCP由ISP提供。ipaccess-groupCBACin打开对内的状态数据包检查ipinspectcbacout打开对内的状态数据包检查，这点对于响应对内通信极为关键。ipnatoutside将这个接口指定为网络地址转换的内部接口mac-addressffff.ffff.ffff可选，允许用户进行MAC地址欺骗。有一些ISP会锁定MAC地址。ipnatinsidesourcelistNATACLinterfacee0/0overload它将所有的IP地址从NATACLACL转换到外部的接口和IP地址ipaccess-listextendedCBAC定义一个称为CBAC的扩展ACL，用于对内的防火墙规则permitudpanyeqbootpsanyeqbootpc准许对内的DHCP。如果不用这个功能，用户的ISP就不能为其分配一个DHCPIP地址。permitgreanyany如果不这样的话，外发的PPTPVPN无法工作permiticmpanyanyecho准许ping入.注意，如果你想要保持秘密，请不要使用此功能。permiticmpanyanyecho-reply准许ping出permiticmpanyanytraceroute准许traceroutedenyipanyanylog如果你想记录所拒绝的进入企图功能，这条命令就很有用。ipaccess-listextendedNATACL定义一个称为NATACL的扩展ACL，用于实现NATpermitip55any准许/24到达已经进行了网络地址转换的任何地方。exit退出NATACLACLexit退出全局配置模式wrmem将配置改变写往永久性闪存4TP-LINK路由器防火墙与思科路由器防火墙设置区别首先从上文的介绍中可以看出，TP-link路由器与思科路由器的防火墙关于设定的方法就存在着不同。TP-link路由器的设置基于图形界面，类似于WindowsServer上防火墙的设置方式，相比较而言更为简单，便于操作，看起来也更为直观。思科路由器的设置方式则完全不同。首先，思科路由器的设置方式基于命令行，操作起来较为复杂，类似于linux系统的命令行模式，不易于查看，命令行的输入格式以及内容需要查看后才可正确输入。但是对比TP-link而言，思科路由器的防火墙功能更加强大，也更多一些，如果操作熟练的话可以更好的保护自己的网络和计算机。总体而言，TP-link路由器更加适合初学者的使用，因为其简单方便，易于设置；思科路由器则适合技术过关的人使用，可以最大发挥思科路由器的作用，也能更好的保护自己的计算机。5安全路由器与防火墙的区别目前市面上的路由器基本都带有简单的防火墙功能，不论是消费级还是企业级，可以实现一些诸如包过滤，IP过滤这样的功能。所以有些用户就开始质疑硬件防火墙的存在价值。那么我们就来详细的比较一下这两设备有什么差别。5.1背景路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理，路由器所关心的是：能否将不同的网段的数据包进行路由从而进行通讯。防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个数据包是否应该通过、通过后是否会对网络造成危害。5.2目的路由器的根本目的是：保持网络和数据的“通”。防火墙根本的的目的是：保证任何非允许的数据包“不通”。5.3核心技术路由器核心的ACL列表是基于简单的包过滤，属于OSI第三层过滤。从防火墙技术实现的角度来说，防火墙是基于状态包过滤的应用级信息流过滤。内网的一台服务器，通过路由器对内网提供服务，假设提供服务的端口为TCP80。为了保证安全性，在路由器上需要配置成：只允许客户端访问服务器的TCP80端口，其他拒绝。这样的设置存在的安全漏洞如下：5.3.1IP地址欺骗（使连接非正常复位）5.3.2TCP欺骗（会话重放和劫持）存在上述隐患的原因是，路由器不能监测TCP的状态。如果在内网的客户端和路由器之间放上防火墙，由于防火墙能够检测TCP的状态，并且可以重新随机生成TCP的序列号，则可以彻底消除这样的漏洞。同时，有些防火墙带有一次性口令认证客户端功能，能够实现在对应用完全透明的情况下，实现对用户的访问控制，其认证支持标准的Radius协议和本地认证数据库，可以完全与第三方的认证服务器进行互操作，并能够实现角色的划分。5.3.3安全策略路由器的默认配置对安全性的考虑不够周全，需要做高级高级配置才能达到一些防范攻击的作用，而且企业级路由器基本都是基于命令模式进行配置，其针对安全性的规则的部分比较复杂，配置出错的概率较高。有些防火墙的默认配置既可以防止各种攻击，达到既用既安全，更人性化的防火墙都是使用图形界面进行配置的，配置简单、出错率低。5.3.4对性能的影响路由器的设计初衷是用来转发数据包的，而不是专门设计作为全特性防火墙的，所以在数据转发时运算量非常大。如果再进行包过滤，对路由器的CPU和内存或产生很大的影响，这就是为什么路由器开启防火墙后，数据转发率降低的原因。而且路由器由于其硬件成本比较高，其高性能配置时硬件的成本都比较大。防火墙则不用作数据转发的工作，只要判断该包是否符合要求，是则通过，否则不通过，其软件也为数据包的过滤进行了专门的优化，其主要模块运行在操作系统的内核模式下，设计之时特别考虑了安全问题，其进行数据包过滤的性能非常高。由于路由器是简单的包过滤，包过滤的规则条数的增加，NAT规则的条数的增加，对路由器性能的影响都相应的增加，而防火墙采用的是状态包过滤，规则条数，NAT的规则数对性能的影响接近于零。5.3.5