【正文】 者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。通常是指運(yùn)行特別編寫(xiě)或更改過(guò)操作系統(tǒng)的計(jì)算機(jī)，它的目的就是保護(hù)內(nèi)部網(wǎng)的訪問(wèn)安全。 防火墻的核心功能主要是包過(guò)濾。 防火墻主要技術(shù)特點(diǎn) (1) 應(yīng)用層采用 Winsock 2 SPI 進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)控制、過(guò)濾； (2) 核心層采用 NDIS HOOK 進(jìn)行控制，尤其是在 Windows 2020 下，此技術(shù)屬微軟未公開(kāi)技術(shù)。防火墻一般執(zhí)行以下兩種基本策略中的一種： (1) 除非明確不允許，否則允許某種服務(wù)； (2) 除非明確允許，否則將禁止某項(xiàng)服務(wù)； 執(zhí)行第一種策略的防火墻在默認(rèn)情況下允許所有的服務(wù)，除非管理員對(duì)某種服務(wù)明確表示禁止。 防火墻設(shè)計(jì)時(shí)需要考慮的問(wèn)題 為了確定防火墻設(shè)計(jì)策略，進(jìn)而構(gòu)建實(shí)現(xiàn)策略的防火墻，應(yīng)從最安全的防火墻設(shè)計(jì)策略開(kāi)始，即除非明確允許，否則禁止某種服務(wù)。 (4) 提供這些服務(wù)的風(fēng)險(xiǎn)是什么。某些威脅是防火墻力所不及的，防火墻不能防止內(nèi)部的攻擊，因?yàn)樗惶峁┝藢?duì)網(wǎng)絡(luò)邊緣的防衛(wèi)，內(nèi)部人員可能濫用被給予的訪問(wèn)權(quán)，從而導(dǎo)致事故。而且，這些惡意程序不僅僅來(lái)自網(wǎng)絡(luò)，也可能來(lái)自軟盤(pán)。另外，一些用來(lái)傳送數(shù)據(jù)的電話線很有可能 被用來(lái)入侵內(nèi)部網(wǎng)絡(luò)。 (6) 和可用性相比，站點(diǎn)的安全性放在什么位置。 (2) 在那里使用這些服務(wù)，如本地、穿越因特網(wǎng)、從家里或遠(yuǎn)方的辦公機(jī)構(gòu)等等。 防火墻可以實(shí)施一 種寬松的策略（第一種），也可以實(shí)施一種限制性策略（第二種），這就是制定防火墻策略的入手點(diǎn)。 防火墻的設(shè)計(jì)策略 防火墻的設(shè)計(jì)策略是具體地針對(duì)防火墻，負(fù)責(zé)制定相應(yīng)的規(guī)章制度來(lái)實(shí)施網(wǎng)絡(luò)服務(wù)訪問(wèn)策略。 防火墻的主體功能歸納為以下幾點(diǎn)： (1) 根據(jù)應(yīng)用程序訪問(wèn)規(guī)則可對(duì)應(yīng)用程序連網(wǎng)動(dòng)作進(jìn)行過(guò)濾； (2) 對(duì)應(yīng)用程序訪問(wèn)規(guī)則具有自學(xué)習(xí)功能； (3) 可實(shí)時(shí)監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動(dòng)； (4) 具有日志，以記錄網(wǎng)絡(luò)訪問(wèn)動(dòng)作的詳細(xì)信息； (5) 被攔阻時(shí)能通過(guò)聲音或閃爍圖標(biāo)給用 戶報(bào)警提示。它主要的保護(hù)就是加強(qiáng)外部 Inter 對(duì)內(nèi)部網(wǎng)的訪問(wèn)控制，它主要任務(wù)是允許特別的連接 通過(guò)，也可以阻止其它不允許的連接。它結(jié)合了代理類型防火墻和包過(guò)濾防火墻的優(yōu)點(diǎn)，即保證了安全性又保持了高速度，同時(shí)它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。代理防火墻也經(jīng)歷了兩代。它可以根據(jù)需要?jiǎng)討B(tài)的在過(guò)濾原則中增加或更新條目，在這點(diǎn)上靜態(tài)防火墻是比不上它的，它主要對(duì)建立的每一個(gè)連接都進(jìn)行跟蹤。而一個(gè)單純的包過(guò)濾的防火墻的防御能力是非常弱的，對(duì)于惡意的攻擊者來(lái)說(shuō)是攻破它是非常容易的。相反的，如果每條規(guī)都和過(guò)濾規(guī)則相匹配，那么信息包就允許通過(guò)。 防火墻的分類 從防火墻的防范方式和側(cè)重點(diǎn)的不同來(lái)看，防火墻可以分為很多類型，但是根據(jù)防火墻對(duì)內(nèi)外來(lái)往數(shù)據(jù)處理方法，大致可將防火墻分為兩大體系：包過(guò)濾防火墻和代理防火墻。篩選路由器的一個(gè)端口與內(nèi)部網(wǎng)絡(luò)相連，另一個(gè)端口與 INTERNET 相連，這種配置方式被稱為有屏蔽主機(jī)網(wǎng)關(guān)。 (4) 堡壘主機(jī)的最簡(jiǎn)單的設(shè)置方法 因?yàn)楸局鳈C(jī)是與外部不可信賴網(wǎng)絡(luò)的接口點(diǎn)，它們常常容易受到攻擊。在第一種方案中，一個(gè)分組過(guò)濾路由器與 Inter 相連，同時(shí)，一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。對(duì)訪問(wèn)記錄應(yīng)進(jìn)行查看，以發(fā)現(xiàn)潛在的安全漏洞和對(duì)堡壘主機(jī)的試探性攻擊。堡壘主機(jī)是一個(gè)組織機(jī)構(gòu)網(wǎng)絡(luò)安全的中心主機(jī)。 網(wǎng)絡(luò)安全防護(hù)中防火墻技術(shù)問(wèn)題分析及應(yīng)用策略 20 由于每個(gè)報(bào)文分組都將由在應(yīng)用層運(yùn)行的軟件進(jìn)行處理，主機(jī)的性能將會(huì)受到影響。線路網(wǎng)關(guān)中可能包括支持某些特定 TCP/IP 應(yīng)用的程序代碼，但這通常是有限的。在線路層網(wǎng)關(guān)中，分組的地址是一個(gè)應(yīng)用層的用戶進(jìn)程。這時(shí)，你必須將客戶機(jī)應(yīng)用程序和這些代理版本的系統(tǒng)調(diào)用一起進(jìn)行編譯和鏈接。 如果代理程序客戶機(jī)只能使用某一個(gè)應(yīng)用層網(wǎng)關(guān)服務(wù)器，則當(dāng)這個(gè)服務(wù)器關(guān)閉時(shí)，這個(gè)系統(tǒng)就很容易發(fā)生單點(diǎn)失效。 對(duì)于某一應(yīng)用代理程序，如果需使用專用的客戶機(jī)程序時(shí)，那么就必須在所有的要使用 INTERNET 的內(nèi)部網(wǎng)絡(luò)主機(jī)上安裝該專用客戶程序。不管采用的是哪種途徑，用戶與標(biāo)準(zhǔn)服務(wù)之間的接口將會(huì)被改變。另一種方法是使用 TELNET 命令并給出可提供代理的應(yīng)用服務(wù)的端口號(hào)。一旦會(huì)話已經(jīng)建立起來(lái)，應(yīng)用代理程序便作為中轉(zhuǎn)站在起動(dòng)該應(yīng)用的客戶機(jī)和服務(wù)器之間轉(zhuǎn)抄數(shù)據(jù)。 專用應(yīng)用程序的作用是作為“代理”接收進(jìn)入的請(qǐng)求，并按照一個(gè)訪問(wèn)規(guī) 則檢查表進(jìn)行核查，檢查表中給出所允許的請(qǐng)求類型。正是如此，許多應(yīng)用層網(wǎng)關(guān)只能提供有限的應(yīng)用和服務(wù)功能。 (2) 應(yīng)用層網(wǎng)關(guān) 應(yīng)用層網(wǎng)關(guān)可以處理存儲(chǔ)轉(zhuǎn)發(fā)通信業(yè)務(wù)，也可以處理交互式通信業(yè)務(wù)。 基于代理服務(wù)的防火墻廠商正在開(kāi)始解決這個(gè)問(wèn)題，基于代理的產(chǎn)品開(kāi)始改進(jìn)成能夠設(shè)置常用服務(wù)和非標(biāo)準(zhǔn)端口。即便如此，最終用戶也許還需要學(xué)習(xí)特定的步驟通過(guò)防火墻進(jìn)行通信。相當(dāng)多的代理服務(wù)器要求使用固定的客戶程序，例如 SOCKS 要求適應(yīng) SICKS 的客戶程序。代理服務(wù)器可運(yùn)行在雙宿主機(jī)上，它是基于特定應(yīng)用程序的。與分組過(guò)濾器所不同的 是，使用這類防火墻時(shí)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間不存在直接連接。下面是 UNIX 雙宿主機(jī)防火墻的一部分有用的檢查點(diǎn)： (1) 移走程序開(kāi)發(fā)工具：編譯器、鏈接器等； (2) 移走你不需要或不了解的具有 SUID 和 SGID 權(quán)限的程序。 在前面，我們已經(jīng)了解到 UNIX 內(nèi)核變量 ifrorwarding 控制著是否允許進(jìn)行 IP 路由選擇。 (2) 對(duì)安全最大的威脅是一個(gè)攻擊者掌握了直接登錄到雙宿主機(jī)的權(quán)限，登錄到一個(gè)雙宿主機(jī)上總是應(yīng)該通過(guò)雙宿主機(jī)上的一個(gè)應(yīng)用層代理進(jìn)行，對(duì)從外部不可信任網(wǎng)絡(luò)進(jìn)行登錄應(yīng)該進(jìn)行嚴(yán)格的身份驗(yàn)證。這個(gè)變量的作用是設(shè)置內(nèi)核變量 ipforwarding 的值，從而禁止 IP 轉(zhuǎn)發(fā)。例如： % strings /bsd | grep BSD BSDI $Id: , v 1993/02/21 20:35:01 karels Exp $ BSDI $Id: , v 1993/02/21 20:36:09 karels Exp $ BSD/386 ()BSDI BSD/386 kernel 0: Wed Mar 24 17:23:44 MST 1993 最后一行說(shuō)明當(dāng)前的配置文件是 GENERIC 。在 BSD UNIX 系統(tǒng)中該過(guò)程如下所述：使用 MAKE 命令編譯 UNIX 系統(tǒng)內(nèi)核。然而與它相連的每一個(gè)網(wǎng)絡(luò)都可以執(zhí)行由它所提供的網(wǎng)絡(luò)應(yīng)用，如果這個(gè)應(yīng)用允許的話，它們還可以共享數(shù)據(jù)。通常，每一個(gè)網(wǎng)絡(luò)接口與一個(gè)網(wǎng)絡(luò)相連。如果采用后一種思想來(lái)設(shè)計(jì)分組過(guò)濾規(guī)則，就必須仔細(xì)考慮分組過(guò)濾規(guī)則沒(méi)有包括的每一種可能的情況來(lái)確保網(wǎng)絡(luò)的安全。如果一個(gè)分組過(guò)濾規(guī)則排序有錯(cuò)，我們就有可能拒絕進(jìn)行某些合法的訪問(wèn)，而又允許訪問(wèn)本想拒絕的服務(wù)。 ⑤ 如果一條規(guī)則允許傳遞或接收一個(gè)分組，則允許該分組通過(guò)。大多數(shù)分組過(guò)濾裝置只檢查 IP、 TCP 或 UDP 頭部?jī)?nèi)的字段。由于分組過(guò)濾規(guī)則的設(shè)計(jì)原則是有利于內(nèi)部網(wǎng)絡(luò)連向外部網(wǎng)絡(luò)，所以在篩選路由器兩側(cè)所執(zhí)行的過(guò)濾規(guī)則是不同的。一般來(lái)說(shuō)，在解決網(wǎng)絡(luò)安全問(wèn)題時(shí)應(yīng)該避免過(guò)于復(fù)雜的方案，其原因如下： 難于維護(hù)；在配置過(guò)濾規(guī)則時(shí)容易發(fā)生錯(cuò)誤；執(zhí)行復(fù)雜的方案將對(duì)設(shè)備的性能產(chǎn)生負(fù)作用。 (2) 一個(gè)分組過(guò)濾的簡(jiǎn)單模型 一個(gè)分組過(guò)濾裝置常被置于一個(gè)或幾個(gè)網(wǎng)段之間。良好的網(wǎng)絡(luò)安全的實(shí)現(xiàn)同時(shí)也應(yīng)該使內(nèi)部用戶難以妨害網(wǎng)絡(luò)安全，但這通常不是網(wǎng)絡(luò)安全工作的重點(diǎn)。網(wǎng)絡(luò)安全策略必須明確描述被保護(hù)的資源和服務(wù)的類型、重要程度和防范對(duì)象。篩選功能也可以由許多商業(yè)防火墻產(chǎn)品和一些類似于 Karlbridge 的基于純軟件的產(chǎn)品來(lái)實(shí)現(xiàn)。 有些時(shí)候，篩選路由器也被稱為分組過(guò)濾網(wǎng)關(guān)。對(duì)于大多數(shù)防火墻網(wǎng)關(guān)來(lái)說(shuō)，也確實(shí)如此。 (2) 篩選路由器和防火墻與 OSI 模型的關(guān)系 按照與 OSI 模型的關(guān)系將篩選路由器和防火墻進(jìn)行比較。即使這樣，這些非 TPC/IP 主機(jī)也可能成為容易攻擊的，盡管從技術(shù)上說(shuō)它們不屬于危險(xiǎn)區(qū)域。因此，我們當(dāng)然希望把自己的網(wǎng)絡(luò)和主機(jī)置于危險(xiǎn)區(qū)域之外。這個(gè)危險(xiǎn)區(qū)域就是指通過(guò) INTERNET 可以直接訪問(wèn)的所有具有 TCP/IP 功能的網(wǎng)絡(luò)。如果來(lái)人看起來(lái)很危險(xiǎn) (安全風(fēng)險(xiǎn)很高 )，則不應(yīng)讓其進(jìn)來(lái)。由于 INTERNET 上有如此眾多的用戶，其中難免有少數(shù)居心不良的所謂“黑客”。路由器根據(jù)與協(xié)議相關(guān)的準(zhǔn)則來(lái)區(qū)別和限制通過(guò)其端口的報(bào)文分組的能力被稱為報(bào)文分組過(guò)濾。最早的 Cisco 路由器只能根據(jù) IP 數(shù)據(jù)報(bào)頭部?jī)?nèi)容進(jìn)行過(guò)濾，而目前的產(chǎn)品還可以根據(jù) TCP 端口及 連接建立的情況進(jìn)行過(guò)濾 , 而且在過(guò)濾語(yǔ)法上也有了一定改進(jìn)。下面介紹了防火墻的基本構(gòu)件和技術(shù)：篩選路由器 (screening router)、分組過(guò)濾 (packet filtering)技術(shù)、雙宿主機(jī) (dualhomed host)、代理服務(wù) (Proxy Service)、應(yīng)用層網(wǎng)關(guān)(application level gateway)和堡壘主機(jī) (bastion host)。一般來(lái)說(shuō)，防火墻被設(shè)置在可信賴的內(nèi)部網(wǎng)絡(luò)和不可信賴的外部網(wǎng)絡(luò)之間。從某種意義上來(lái)說(shuō)，防火墻實(shí)際上代表了一個(gè)網(wǎng)絡(luò)的訪問(wèn)原則。 設(shè)立防火墻的主要目的是保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè) 網(wǎng)絡(luò)的攻擊。 而對(duì)于網(wǎng)絡(luò)安全防護(hù)技術(shù)的研究，我將主要研究防火墻技術(shù)，下面開(kāi)始對(duì)防火墻技術(shù)進(jìn)行討論。要做到全面，不間斷的安全防護(hù)，必須要有一個(gè)全面的防范體系。這里特別需要指出的是防火墻、防病毒和安全協(xié)議的技術(shù)。其他安全技術(shù)包括密鑰管理、數(shù)字簽名、認(rèn)證技術(shù)、智能卡技術(shù)和訪問(wèn)控制等等。此外，代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問(wèn)和攻擊。 應(yīng)用級(jí)網(wǎng)關(guān) 應(yīng)用級(jí)網(wǎng)關(guān) (Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)過(guò)濾和轉(zhuǎn)發(fā)功能。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。 但是，由于磁盤(pán)加密技術(shù)僅針對(duì)特定的文件存儲(chǔ)區(qū)域進(jìn)行保護(hù)，缺乏對(duì)文件本身保密屬性的判斷能力，所以基于該技術(shù)開(kāi)發(fā)的內(nèi)網(wǎng)安全產(chǎn)品，也具有以下缺點(diǎn)： (1) 因?yàn)榇疟P(pán)加密技術(shù)需要對(duì)文件的存儲(chǔ)區(qū)域進(jìn)行條件限制，所以必然對(duì)使用環(huán)境帶來(lái)一定的影響，需要部署的時(shí)候?qū)κ褂铆h(huán)境進(jìn)行調(diào)整； (2) 單一的磁盤(pán)加密技術(shù)無(wú)法防止通過(guò)網(wǎng)絡(luò)和其他途徑的文件泄密行為，一個(gè)基于該技術(shù)的成熟內(nèi)網(wǎng)安全產(chǎn)品，需要綜合網(wǎng)絡(luò)控制等技術(shù)，內(nèi)網(wǎng)安全產(chǎn)品開(kāi)發(fā)難度大、周期長(zhǎng)。一方面因?yàn)榕R時(shí)緩存文件在硬盤(pán)中是以明文狀態(tài)存在，很容易使用公開(kāi)的文件監(jiān)視工具找到并復(fù)制該臨時(shí)文件 造成加密機(jī)制的失效；另一方面因?yàn)槭褂门R時(shí)緩存文件后，相當(dāng)于文件要在硬盤(pán)中重復(fù)進(jìn)行兩次讀寫(xiě)操作，造成效率明顯下降 50%，這對(duì)于大的文件尤其不能接受。檢查前面的技術(shù)可以看出，文件（文檔）加密技術(shù)的核心是基于應(yīng)用進(jìn)程來(lái)實(shí)現(xiàn)加密控制。 總結(jié)目前內(nèi)網(wǎng)安全市場(chǎng)的數(shù)據(jù)加密技術(shù)，總體來(lái)說(shuō)分成文件（文檔）加密技術(shù)和磁盤(pán)加密技術(shù) 兩種。 訪問(wèn)控制 對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。保障網(wǎng)絡(luò)的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)，并對(duì)操作系統(tǒng)進(jìn)行安全配置。 系統(tǒng)的安全分析 所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。 信息網(wǎng)絡(luò)安全方面的基礎(chǔ)問(wèn)題 3 網(wǎng)絡(luò)結(jié)構(gòu)的安全分析 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。 物理安全分析 網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。在系統(tǒng)處理能力提高的同時(shí)，系統(tǒng)的連接能力也在不斷的提高。 信息網(wǎng)絡(luò)安全方面的基礎(chǔ)問(wèn)題 2 2 信息網(wǎng)絡(luò)安全方面的基礎(chǔ)問(wèn)題 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。 信息網(wǎng)絡(luò)安全防護(hù)的現(xiàn)狀 目前網(wǎng)絡(luò)安全防護(hù)方面還很薄弱，雖然有很多防護(hù)技術(shù)來(lái)維護(hù)網(wǎng)絡(luò)安全，但其發(fā)展到當(dāng)前階段還有很多不足，還不能夠滿足網(wǎng)絡(luò)安全方面的需要，何況任何技術(shù)都在不斷的更新，那些對(duì)人們生活有破壞性的技術(shù)也不會(huì)停止不進(jìn)，甚至越來(lái)越強(qiáng)，導(dǎo)致當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)很?chē)?yán) 峻。 Grouping filtration technology。在第五章節(jié)中 ,結(jié)合上文討論提出了本人對(duì)現(xiàn)代網(wǎng)絡(luò)安全防護(hù)方面的個(gè)人見(jiàn)解 ,網(wǎng)絡(luò)安全防護(hù)要有全程防護(hù)的觀念 ,要有一個(gè)反應(yīng)快速的防護(hù)體系 ,要有一個(gè)全面的管理機(jī)制 ,要有建立一個(gè)數(shù)據(jù)容災(zāi)系統(tǒng)。 本文第二三章節(jié)先從物理安全、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)安全、應(yīng)用系統(tǒng)安全等方面分析了網(wǎng)絡(luò)安全方面的隱患，然后介紹了幾種網(wǎng)絡(luò)安全防護(hù)技術(shù)以及其優(yōu)缺點(diǎn)。這一切，已給各個(gè)國(guó)家以及眾多商業(yè)公司造成巨大的經(jīng)濟(jì)損失，甚至危害到國(guó)家安全，加強(qiáng)網(wǎng)絡(luò)安全管理已刻不容緩，而網(wǎng)絡(luò)安全的重點(diǎn)在于網(wǎng)絡(luò)防護(hù)技術(shù)。分析了常用防火墻的設(shè)計(jì)策略和需要注意的問(wèn)題，對(duì)現(xiàn)有防火墻的不足之處進(jìn)行了分析。 Firewall。而