【正文】 有屏蔽主機(jī)網(wǎng)關(guān) 因?yàn)楸局鳈C(jī)對(duì)內(nèi)部網(wǎng)絡(luò)的安全是至關(guān)重要的， 人們常常在外部不可信賴網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間增加另外一條防線。 只有通過(guò)了過(guò)濾規(guī)則的網(wǎng)絡(luò)信息才被送到堡壘主機(jī)，所有其它網(wǎng)絡(luò)信息將被拒絕進(jìn)入。對(duì)于通向外部的網(wǎng)絡(luò)的信息，該請(qǐng)求被轉(zhuǎn)發(fā)到篩選路由器。他根據(jù)數(shù)據(jù)包的源 IP 地址；目的 IP 地址： TCP/ UDP 源端口；TCP/UDP 目的端口來(lái)過(guò)濾，很容易受到如下攻擊： IP 欺騙攻擊 這種攻擊，主要是修改數(shù)據(jù)包的源，目的地址和端口，模仿一些合法的數(shù)據(jù)包來(lái)騙過(guò)防火墻的檢測(cè)。 分片攻擊 這種攻擊的原理是：在 IP 的分片包中，所有的分片包用一個(gè)分片偏移字段標(biāo)志分片包的順序，但是，只有第一個(gè)分片包含有 TCP 端口號(hào)的信息。原因是：包過(guò)濾防火墻一般只過(guò)濾低端口 (11024)，而高端口他不可能過(guò)濾的（因?yàn)?，一些服?wù)要用到高端口，因此防火墻不能關(guān)閉高端口的），青島理工大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 27 所以很多的木馬都在高端口打開(kāi)等待，如攻擊者就可以通過(guò) LOKI 客戶端將希望遠(yuǎn)程執(zhí)行的攻擊命令（對(duì)應(yīng) IP 分組）嵌入在 ICMP 或 UDP 包頭部，再發(fā)送給內(nèi)部網(wǎng)絡(luò)服務(wù)端LOKID，由它執(zhí)行其中的命令，并以同樣的方式返回結(jié)果。由于運(yùn)行在應(yīng)用層速度比較慢，攻擊代理的方法很多。因此，這種攻擊非常難于被跟蹤和記錄。 Windows95/NT 代理防火墻軟件，內(nèi)部用戶可以通過(guò)一臺(tái)安裝有 Wingate 的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)，但是它也存在著幾個(gè)安全脆弱點(diǎn)。 繞過(guò)代理防火墻 代理是運(yùn)行在應(yīng)用層的防火墻，他實(shí)質(zhì)是啟動(dòng)兩個(gè)連接，一個(gè)是客戶到代理，另一個(gè)是代理到目的服務(wù)器。這樣，攻擊者就可以通過(guò)先發(fā)送第一個(gè)合法的 IP 分片，騙過(guò)防火墻的檢測(cè)，接著封裝了惡意數(shù)據(jù)的后續(xù)分片包就可以直接穿透防火墻，直接到達(dá)內(nèi)部網(wǎng)絡(luò)主機(jī)，從而威脅網(wǎng)絡(luò)和主機(jī)的安全?？墒?，如果防火墻能結(jié)合接口，地址來(lái)匹配，這種攻擊就不能成功了。上面我們分析了一下入侵有防火墻服務(wù)器過(guò)程中的相關(guān)問(wèn)題，下面談?wù)勧槍?duì)各種防火墻環(huán)境下的可能的攻擊手段。 堡壘主機(jī)使用應(yīng)用層功能來(lái)確定允許或拒絕來(lái)自或發(fā)向外部網(wǎng) 絡(luò)的請(qǐng)求。 對(duì)篩選路由器必須做如下配置，它應(yīng)將從外部網(wǎng)絡(luò)收到的目的地為內(nèi)部網(wǎng)絡(luò)的所有通信業(yè)務(wù)首先送到堡壘主機(jī)。 堡壘主機(jī)的最簡(jiǎn)單的設(shè)置方法 因?yàn)楸局鳈C(jī)是與外部不可信賴網(wǎng)絡(luò)的接口點(diǎn)，它們常常容易受到攻擊。 有屏蔽子網(wǎng)的方法是建立一個(gè)被隔離的子網(wǎng)，位于 Inter 和內(nèi)部網(wǎng)絡(luò)之間，用兩臺(tái)分組過(guò)濾路由器將這一子網(wǎng)分別 與 Inter 和內(nèi)部網(wǎng)絡(luò)分開(kāi)。 這種結(jié)合通常是以下面兩種方案之一實(shí)現(xiàn)的：有屏蔽主機(jī) (Screened Host)或有屏蔽子網(wǎng) (Screened Sub)。 堡壘主機(jī)軟件和系統(tǒng)的安全情況應(yīng)該定期地進(jìn)行審查。 堡壘主機(jī) (Bastion Host)及其應(yīng)用 堡壘主機(jī)指的是任何對(duì)網(wǎng)絡(luò)安全至關(guān)重要的 cisco 防火墻主機(jī)。 在每一臺(tái)內(nèi)部主機(jī)上安裝和配置專門的應(yīng)用程序?qū)⑹且患M(fèi)時(shí)的工作，而對(duì)大型異構(gòu)網(wǎng)絡(luò)來(lái)說(shuō)很容易出錯(cuò)，因?yàn)橛布脚_(tái)和操作系統(tǒng)不同。 路網(wǎng)關(guān)是建立應(yīng)用層 cisco 防火墻的一種更靈活、更通用的途徑。 另一種類型的應(yīng)用層網(wǎng)關(guān)被稱為“線路網(wǎng)關(guān)” (circuit gateway)。 當(dāng)需要通過(guò)專用客戶機(jī)應(yīng)用程序與代理服務(wù)器通信時(shí)，象 CONNECT()這樣的一些標(biāo)準(zhǔn)系統(tǒng)調(diào)用必須被替換為相應(yīng)的代理版本。 這時(shí)，如果你沒(méi)有相應(yīng)客戶機(jī)應(yīng)用程序的源碼（通常為在 PC 或 MAC機(jī)上用的），你將無(wú)法修改這些程序。 一些代理服務(wù)程序模擬標(biāo)準(zhǔn)應(yīng)用服務(wù)的工作方式，當(dāng)用戶指定一個(gè)在不同網(wǎng)絡(luò)中的連接目標(biāo)時(shí)，代理應(yīng)用程序就將被調(diào)用。 這時(shí)，需要執(zhí)行專門配制命令來(lái)指定目的服務(wù)器。 在許多應(yīng)用層網(wǎng)關(guān)中，代理程序是由一個(gè)單一的應(yīng)用層模塊實(shí)現(xiàn)的。 因此，代理程序擔(dān)當(dāng)著客戶機(jī)和服務(wù)器的雙重角色。 這也是在實(shí)踐“未被明確允許的就將被禁止”的原則。 為了使用應(yīng)用層網(wǎng)關(guān)，用戶或者在應(yīng)用層網(wǎng)關(guān)上登錄請(qǐng)求，或者 在本地機(jī)器上使用一個(gè)為該服務(wù)特別編制的程序代碼。 對(duì)于所中轉(zhuǎn)的每種應(yīng)用，應(yīng)用層網(wǎng)關(guān)需要使用專用的程序代碼。 通過(guò)適當(dāng)?shù)某绦蛟O(shè)計(jì)，應(yīng)用層網(wǎng)關(guān)可以理解在用戶應(yīng)用層 (OSI 模型第七層 )的通信業(yè)務(wù)。 cisco 防火墻的購(gòu)買者應(yīng)留心詢問(wèn) cisco 防火墻廠商他們的產(chǎn)品到底能處理哪些應(yīng)用程序。 基于代理服務(wù)的 cisco 防火墻廠商正在開(kāi)始解決這個(gè)問(wèn)題。 青島理工大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 22 透明性對(duì)基于代理服務(wù)企的 cisco 防火墻顯然是一個(gè)大問(wèn)題。 代理使網(wǎng)絡(luò)管理員有了更大的能力改善網(wǎng)絡(luò)的安全特性。 代理服務(wù)通常由兩個(gè)部分構(gòu)成： 代理服務(wù)器程序和客戶程序。代理服務(wù)器可運(yùn)行在雙宿主機(jī)上，它是基于特定應(yīng)用程序的。 與分組過(guò)濾器所不同的是， 使用這類 cisco 防火墻時(shí)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間不存在直接連接。 雙宿主機(jī) cisco 防火墻上的服務(wù) 。 這種攻擊可以通過(guò)以下任何一種方式來(lái)進(jìn)行： （ 1）通過(guò)文件系統(tǒng)上寬松的許可權(quán)限制 （ 2）通過(guò)內(nèi)部網(wǎng)絡(luò)上由 NFS 安裝的卷 （ 3）利用已經(jīng)被破壞了的用戶帳號(hào)，通過(guò)在這類用戶的主目錄下的主機(jī)等價(jià)文件，如 .rhosts，來(lái)訪問(wèn)由 Berkeley r*工具授權(quán)的服務(wù) （ 4）利用可能恢復(fù)的過(guò)分訪問(wèn)權(quán)的網(wǎng)絡(luò)備份程序 （ 5）通過(guò)使用沒(méi)有適當(dāng)安全防范的用于管理的 SHELL 腳本 （ 6）通過(guò)從沒(méi)有適當(dāng)安全防范的過(guò)時(shí)軟 件的修訂版和發(fā)行文檔來(lái)掌握系統(tǒng)的漏洞 （ 7）通過(guò)安裝允許 IP 傳遞的老版本操作系統(tǒng)內(nèi)核，或者安裝存在安全問(wèn)題的老版本操作系統(tǒng)內(nèi)核 如果一臺(tái)雙宿主機(jī)失效了，則內(nèi)部網(wǎng)絡(luò)將被置于外部攻擊之下，除非這個(gè)問(wèn)題很快被查出并解決。 對(duì)安全最大的危脅是一個(gè)攻擊者掌握了直接登錄到雙宿主機(jī)的權(quán)限。 進(jìn)入配置文件目錄 (/usr/src/sys/i386/conf)，將文件 GENERIC 復(fù)制到一個(gè)新的配置文件中，其名字應(yīng)對(duì)新的配置有所啟發(fā)。內(nèi)核配置文件在 /usr/sys/conf 或 /usr/src/sys 目錄下。 為了在基于 UNIX 的雙宿主機(jī)中禁止進(jìn)行尋徑，需要重新配置和編譯內(nèi)核。 如果在一臺(tái)多宿主機(jī)中尋徑功能被禁止了，則這個(gè)主機(jī)可以隔離與它相連的網(wǎng)絡(luò)之間的通信流量；然而與它相連的每一個(gè)網(wǎng)絡(luò)都可以執(zhí)行由它所提供的網(wǎng)絡(luò)應(yīng)用，如果這個(gè)應(yīng)用允許的話，它們還可以共享數(shù)據(jù)。 雙宿主機(jī) (DualHomed Host) 在 TCP/IP 網(wǎng)絡(luò)中，術(shù)語(yǔ)多宿主機(jī)被用來(lái)描述一臺(tái)配有多個(gè)網(wǎng)絡(luò)接口的主機(jī)。 這是一個(gè)在設(shè)計(jì)安全可靠的網(wǎng)絡(luò)時(shí)應(yīng)該遵循的失效安全原則 , 與之相對(duì)的是一種青島理工大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 18 寬容的原則，即：沒(méi)有被明確禁止的就是允許的。 從規(guī)則④和⑤，我們可以看到到將規(guī)則按適當(dāng)?shù)捻樞蚺帕惺欠浅Ｖ匾摹? 當(dāng)一個(gè)分組到達(dá)時(shí)，將按分組規(guī)則的存貯順序依次運(yùn)用每條規(guī)則對(duì)分組進(jìn)行檢查。換句話說(shuō)，分組過(guò)濾器是不對(duì)稱的。一般來(lái) 說(shuō)，在解決網(wǎng)絡(luò)安全問(wèn)題時(shí)應(yīng)該避免過(guò)于復(fù)雜的方案，其原因如下： ①難于維護(hù) ②在配置過(guò)濾規(guī)則時(shí)容易發(fā)生錯(cuò)誤 ③執(zhí)行復(fù)雜的方案將對(duì)設(shè)備的性能產(chǎn)生負(fù)作用 在許多實(shí)際情況下，一般都只采用簡(jiǎn)單模型來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略。我們?cè)?經(jīng)提到 cisco 防火墻在 OSI 模型應(yīng)用層上運(yùn)行，在這個(gè)層次實(shí)現(xiàn)的安全措施通常都不夠透明。 這種類型的網(wǎng)絡(luò)安全策略決定了篩選路由器將被置于何處，以及如何進(jìn)行編程用來(lái)執(zhí)行分組過(guò)濾。 （ 1）分組過(guò)濾和網(wǎng)絡(luò)安全策略 分組過(guò)濾可以用來(lái)實(shí)現(xiàn)許多種網(wǎng)絡(luò)安全策略。 分組過(guò)濾 (Packet Filtering) 技術(shù) 篩選路由器可以采用分組過(guò)濾功能以增強(qiáng)網(wǎng)絡(luò)的安全性。某些廠商，可能是由于市場(chǎng)營(yíng)銷策略，模糊了篩選路由器和 cisco 防火墻之間的區(qū)別，將他們的篩選路由器產(chǎn)品稱為 cisco 防火墻產(chǎn)品， 為了清晰起見(jiàn)，我們根據(jù) OSI 模型對(duì)篩選路由器和 cisco 防火墻加以區(qū)別。篩選路由器的功能相當(dāng)于 OSI 模型的網(wǎng)絡(luò)層 (IP 協(xié)議 )和傳輸層 (TCP 協(xié)議 )。入侵者可以使用一種 TCP/IP 主機(jī)和非 TCP/IP 主機(jī)都支持的協(xié)議來(lái)通過(guò) TCP/IP 主機(jī)訪問(wèn)非 TCP/IP 主機(jī)，例如：如果這兩臺(tái)主機(jī)都連在同一個(gè)以太網(wǎng)網(wǎng)段上，入侵者就可以通過(guò)以太網(wǎng)協(xié)議去訪問(wèn)非 TCP/IP 主機(jī)。因此，我們希望把自己的網(wǎng)絡(luò)和主機(jī)置于危險(xiǎn)區(qū)域之外，然而，沒(méi)有相應(yīng)的設(shè)備去攔截對(duì)自己網(wǎng)絡(luò)的攻擊，則危險(xiǎn)區(qū)域?qū)?huì)延伸至自己的網(wǎng)絡(luò)上。 企業(yè)網(wǎng)絡(luò)中的邊界被稱為安全環(huán)形防線，由于在 INTERNET 上危險(xiǎn)的“黑客”很多，確定一個(gè)危險(xiǎn)區(qū)域是很有用的。 應(yīng)用篩選路由器時(shí)需要考慮的問(wèn)題 （ 1） 識(shí)別危險(xiǎn)區(qū)域 由于 INTERNET 上有如此眾多的用戶，其中難免有少數(shù)居心不良的所謂“黑客”， 這種情況就象遷入一個(gè)大城市時(shí)會(huì)遇到犯罪問(wèn)題一樣。 篩選路由器提供了一種強(qiáng)有力的機(jī)制，可用于控制任何網(wǎng)絡(luò)段上的通信業(yè)務(wù)類型。 在許多情況下需要采用驗(yàn)證安全和增強(qiáng)私有性技術(shù)來(lái)加強(qiáng)網(wǎng)絡(luò)的安全或?qū)崿F(xiàn)網(wǎng)絡(luò)方面的安全措施。 cisco 防火墻的職責(zé)就是根據(jù)本單位的安全策略，對(duì)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)交流的數(shù)據(jù)進(jìn)行檢查，符合的予以放行，不符合的拒之門外。 圖 ⅹⅹ 有限公司拓?fù)鋱D 青島理工大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 14 根據(jù)實(shí)際考慮及市場(chǎng)調(diào)查比較后，決定采用思科防火墻。防火墻部署在總部邊界網(wǎng)關(guān)處，即公司局域網(wǎng)及外連路由器之間。加強(qiáng)合法用戶的訪問(wèn)認(rèn)證，同時(shí)將用戶的訪問(wèn)權(quán)限控制在最低限度。 系統(tǒng)安全目標(biāo) 基于以上的分析，個(gè)人認(rèn)為 ⅹⅹ 公司網(wǎng)絡(luò)系統(tǒng) 安全應(yīng)該實(shí)現(xiàn)以下目標(biāo)：建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略。 圖 公司網(wǎng)絡(luò)概況 需求分析 如果辦公網(wǎng)絡(luò)遭受入侵，將很有可能導(dǎo)致各部門的機(jī)密資料外泄，以至于泄漏重要的商業(yè)機(jī)密。 現(xiàn)狀概述 ⅹⅹ 有限公司總部設(shè)在青島市內(nèi)，在青島市郊區(qū)共有 7 個(gè)分公司。網(wǎng)管及時(shí)斷開(kāi)了數(shù)據(jù)服務(wù)器，利用備份程序及時(shí)恢復(fù)網(wǎng)站服務(wù)器內(nèi)容，但是過(guò)了不到半個(gè)小時(shí)，又出現(xiàn)了類似的情況。 該公司網(wǎng)站使用 windows 2021 上的 IIS 作為對(duì)外的 WEB 服務(wù)器，該網(wǎng)站 WEB 服務(wù)器負(fù)責(zé)公司的信息提供和電子商務(wù)。 青島理工大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 11 第 3 章 基于企業(yè)需求分析 cisco 防火墻的具體實(shí)現(xiàn) 企業(yè)需求及背景 公司簡(jiǎn)介 ⅹⅹ 有限公司成立于 2021 年，是由 ⅹⅹ 股份有限公司控股，整合本地優(yōu)勢(shì)資源設(shè)立的青島地區(qū)的防偽稅控服務(wù)單位，經(jīng)營(yíng)范圍主要是防偽稅控、軟件開(kāi)發(fā)、產(chǎn)品研發(fā)、網(wǎng)絡(luò)安全、通訊技術(shù)、系統(tǒng)集成工程，服務(wù)外包等，為企事業(yè)單位提供信息化解決方案、產(chǎn)業(yè)化培訓(xùn)服務(wù)等多項(xiàng)業(yè) 務(wù)。安全決策所需的相關(guān)狀態(tài)信息經(jīng)過(guò)這個(gè) “ 專用的檢查模塊 ” 檢查之后，記錄在動(dòng)態(tài)狀態(tài)表中，以便對(duì)其后的數(shù)據(jù)包通訊進(jìn)行安全評(píng)估。 狀態(tài)包過(guò)濾型防火墻 為了克服包過(guò)濾模式明顯的安全性不足的問(wèn)題 , 一些包過(guò) 濾型防火墻廠商推出了狀態(tài)包過(guò)濾的概念。 圖 應(yīng)用層網(wǎng)關(guān)防火墻 由于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)在網(wǎng)絡(luò)層是斷開(kāi)的，所以要實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò) 之間的應(yīng)用通訊就必須在網(wǎng)絡(luò)層之上。雙宿主機(jī)即一臺(tái)配有多個(gè)網(wǎng)絡(luò)接口的主機(jī)，它可以用來(lái)在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行尋徑，如果在一臺(tái)雙宿主機(jī)中尋徑功能被禁止了，則這個(gè)主機(jī)可以隔離與它相連的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通信，而與它相連的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)仍可以執(zhí)行由它所提供的網(wǎng)絡(luò)應(yīng)用，如果這個(gè)應(yīng)用允許的話，它們就可以共享數(shù)據(jù)，這樣就保證內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的某些節(jié)點(diǎn)之間可以通過(guò)雙宿主機(jī)上的共享數(shù)據(jù)傳遞信息 ，但內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間卻不能傳遞信息，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。以 FTP（文件傳輸協(xié)議，適合于在異構(gòu)網(wǎng)絡(luò)中任意計(jì)算機(jī)之間傳送文件） 為例， FTP 文件傳輸協(xié)議應(yīng)用中包含許多具體的操作，如讀取操作、寫入操作、刪除操作等。 （ 1） 工作機(jī)制 包過(guò)濾技術(shù)可以允許或禁止某些包在網(wǎng)絡(luò)上傳遞，它依據(jù)的是以下的判斷： ① 對(duì)包的目的地址作出判斷 ② 對(duì)包的源地址作出判斷 ③ 對(duì)包的傳送協(xié)議（端口號(hào)）作出判斷 一般地，在進(jìn)行包過(guò)濾判斷時(shí)不關(guān)心包的具體內(nèi)容。每個(gè)數(shù)據(jù)包中除了包含所要傳輸?shù)臄?shù)據(jù)（內(nèi)容），還包括源地址、目標(biāo)地址等。包過(guò)濾是一種保安機(jī)制，它控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)而 哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)所拒絕 。防火墻系統(tǒng)針對(duì)的是來(lái)自系統(tǒng)外部的攻擊，一旦外部入侵者進(jìn)入了系統(tǒng)，他們便不受任何阻擋。 防火墻的系統(tǒng)組成 防火墻模塊：基于安全操作系統(tǒng)平臺(tái)上的訪問(wèn)控制系統(tǒng)。包括：用戶登錄審計(jì)、身份驗(yàn)證與日志；非法或異常青島理工大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 7 事件的審計(jì)與日志；報(bào)警功能，方便系統(tǒng)管理員更好的管理網(wǎng)絡(luò)。 （ 4) 檢測(cè)拒絕服務(wù)攻擊 對(duì)于由于數(shù)據(jù)過(guò)載（大流量的數(shù)據(jù)包）引起的網(wǎng)絡(luò)堵塞現(xiàn)象，而造成的拒絕服務(wù)攻擊，防火墻具有實(shí)時(shí)檢測(cè)和報(bào)警的功能，及時(shí)避免線路資源非正常損耗，高效管理和充分使用網(wǎng)絡(luò)資源，以及及時(shí)發(fā)現(xiàn)拒絕服務(wù)攻擊所造成的危害。 （ 2) 防 IP 欺騙