【文章內(nèi)容簡(jiǎn)介】 的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展； ?過(guò)濾深度不斷加強(qiáng) ,從目前的地址 、 服務(wù)過(guò)濾 ， 發(fā)展到 URL（ 頁(yè)面 ） 過(guò)濾 ， 關(guān)鍵字過(guò)濾和對(duì) Active X、 Java等的過(guò)濾 ， 并逐漸有病毒掃除功能 。 ?單向防火墻 （ 又叫網(wǎng)絡(luò)二極管 ） 將作為一種產(chǎn)品門類而出現(xiàn) ； ?利用防火墻建立專用網(wǎng) (VPN)是較長(zhǎng)一段時(shí)間的用戶使用的主流 ， IP的加密需求越來(lái)越強(qiáng) ， 安全協(xié)議的開(kāi)發(fā)是一大熱點(diǎn)； ?對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警將成為防火墻的重要功能； ?安全管理工具不斷完善 ， 特別是可疑活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分 。 對(duì)防火墻技術(shù)的展望： 幾點(diǎn)趨勢(shì) Inter/ 公網(wǎng) 內(nèi)部網(wǎng) 路由器 NEsec300 FW 2 0 3 5 9 6 8 ? 告 警 內(nèi)網(wǎng)接口 外網(wǎng)接口 電 源 控制臺(tái) 服務(wù)器 服務(wù)器 服務(wù)器 主機(jī) 主機(jī) 內(nèi)外網(wǎng)絡(luò)隔離 ? 截取 IP包，根據(jù)安全策略控制其進(jìn) /出 ? 雙向網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT） ? 基于一次性口令對(duì)移動(dòng)訪問(wèn)進(jìn)行身份識(shí)別和控制 ? IPMAC捆綁，防止 IP地址的濫用 安全記錄 ? 通信事件記錄 ? 操作事件記錄 ? 違規(guī)事件記錄 ? 異常情況告警 移動(dòng)用戶 撥號(hào)用戶 局域網(wǎng)用戶 常見(jiàn)防火墻部署模式 （內(nèi)部地址） （內(nèi)部地址） 路由器 HTTP服務(wù)器 DNS服務(wù)器 Email服務(wù)器 防火墻 DMZ區(qū) （ Demilitarized Zone） 內(nèi)部專用網(wǎng)絡(luò) Inter DDN PSTN ATM ISDN X25 幀中繼 防火墻管理器 外部網(wǎng)絡(luò) 安裝方式之一 防火墻 防火墻管理工作站 分支機(jī)構(gòu) 受保護(hù)局域網(wǎng) 防火墻 防火墻 資源子網(wǎng) 路由器 路由器 路由器 分支機(jī)構(gòu) 受保護(hù)局域網(wǎng) 公共網(wǎng)絡(luò) 總部 路由器 路由器 安裝方式之二 安裝方式之三 防火墻－防火墻評(píng)測(cè)指標(biāo) 防火墻評(píng)測(cè)指標(biāo) (1) ?對(duì)防火墻的評(píng)估通常包括對(duì)其功能、性能和可用性進(jìn)行測(cè)試評(píng)估。 ?對(duì)防火墻性能的測(cè)試指標(biāo)主要有 ? 吞吐量 ? 延遲 ? 幀丟失率 防火墻－防火墻評(píng)測(cè)指標(biāo) 防火墻評(píng)測(cè)指標(biāo) (2) ?對(duì)防火墻的功能測(cè)試通常包含 ? 身份鑒別 ? 訪問(wèn)控制策略及功能 ? 密碼支持 ? 審計(jì) ? 管理 ? 對(duì)安全功能自身的保護(hù) 防火墻的日常運(yùn)維管理 ?定期升級(jí)系統(tǒng)配置，關(guān)注廠商升級(jí)包。 ?分析系統(tǒng)各種告警日志信息，配置 SNMP、SYSLOG告警管理服務(wù)器進(jìn)行統(tǒng)一管理。 ?規(guī)則策略應(yīng)該定期進(jìn)行必要的配置調(diào)整完善。 ?對(duì)于網(wǎng)絡(luò)中新增加的應(yīng)用業(yè)務(wù)系統(tǒng)做好調(diào)研工作，了解實(shí)際 TCP端口的應(yīng)用需求。 課程小結(jié) ?防火墻章節(jié)重要在防火墻的功能高級(jí)應(yīng)用 ?與管理維護(hù)部署 ， 重點(diǎn)突出了日常運(yùn)維中 的各種常見(jiàn)問(wèn)題總結(jié)與注意要點(diǎn) 。 防火墻的技術(shù)知識(shí) 漏洞掃描技術(shù)知識(shí) 議題整體介紹 漏洞掃描技術(shù) ?掌握漏洞掃描相關(guān)概念 ?了解系統(tǒng)的脆弱性 ?掌握漏洞掃描的原理 ?掌握分析漏洞解決漏洞的方法 漏洞掃描概述 漏洞 源自 “ vulnerability”（脆弱性）。一般認(rèn)為，漏洞是指硬件、軟件或策略上存在的的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問(wèn)、控制系統(tǒng)。 標(biāo)準(zhǔn)化組織 CVE（ Common Vulnerabilities and Exposures, 即“公共漏洞與暴露”）致力于所有安全漏洞及安全問(wèn)題的命名標(biāo)準(zhǔn)化，安全產(chǎn)品對(duì)漏洞的描述與調(diào)用一般都與 CVE兼容 。 1 漏洞的概念 信息安全的 “ 木桶理論 ” 對(duì)一個(gè)信息系統(tǒng)來(lái)說(shuō)，它的安全性不在于它是否采用了最新的加密算法或最先進(jìn)的設(shè)備，而是由系統(tǒng)本身最薄弱之處，即漏洞所決定的。只要這個(gè)漏洞被發(fā)現(xiàn)，系統(tǒng)就有可能成為網(wǎng)絡(luò)攻擊的犧牲品。 漏洞掃描概述 2 漏洞的發(fā)現(xiàn) 一個(gè)漏洞并不是自己突然出現(xiàn)的，必須有人發(fā)現(xiàn)它。這個(gè)工作主要是由以下三個(gè)組織之一來(lái)完成的：黑客、破譯者、安全服務(wù)商組織。 每當(dāng)有新的漏洞出現(xiàn)，黑客和安全服務(wù)商組織的成員通常會(huì)警告安全組織機(jī)構(gòu)；破譯者也許不會(huì)警告任何官方組織，只是在組織內(nèi)部發(fā)布消息。根據(jù)信息發(fā)布的方式，漏洞將會(huì)以不同的方式呈現(xiàn)在公眾面前。 通常收集安全信息的途徑包括：新聞組、郵件列表、 Web站點(diǎn)、 FTP文檔。 網(wǎng)絡(luò)管理者的部分工作就是 關(guān)心信息安全相關(guān)新聞，了解信息安全的動(dòng)態(tài)。 管理者需要制定一個(gè)收集、分析以及抽取信息的策略，以便獲取有用的信息。 漏洞掃描概述 3 漏洞對(duì)系統(tǒng)的威脅 漏洞對(duì)系統(tǒng)的威脅體現(xiàn)在惡意攻擊行為對(duì)系統(tǒng)的威脅，因?yàn)橹挥欣糜布?、軟件和策略上最薄弱的環(huán)節(jié)，惡意攻擊者才可以得手。 目前，因特網(wǎng)上已有 3萬(wàn)多個(gè)黑客站點(diǎn)，而且黑客技術(shù)不斷創(chuàng)新，基本的攻擊手法已多達(dá) 800多種。 目前我國(guó) 95％的與因特網(wǎng)相連的網(wǎng)絡(luò)管理中心都遭到過(guò)境內(nèi)外攻擊者的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。國(guó)內(nèi)乃至全世界的網(wǎng)絡(luò)安全形勢(shì)非常不容樂(lè)觀。 漏洞可能影響一個(gè)單位或公司的生存問(wèn)題。 漏洞掃描概述 4 漏洞掃描的必要性 ?幫助網(wǎng)管人員了解網(wǎng)絡(luò)安全狀況 ?對(duì)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估的依據(jù) ?安全配置的第一步 ?向領(lǐng)導(dǎo)上報(bào)數(shù)據(jù)依據(jù) 82 系統(tǒng)脆弱性分析 信息系統(tǒng)存在 著 許多漏洞 ，如 IIS的安全性 、 CGI的安全性、 DNS與 FTP協(xié)議的安全性、緩沖區(qū)溢出問(wèn)題、拒絕服務(wù)和后門。由于網(wǎng)絡(luò)的飛速發(fā)展，越來(lái)越多的漏洞也必將隨之出現(xiàn) 。 821 IIS安全 問(wèn)題 Windows的 IIS服務(wù)器存在著很多漏洞，如拒絕服務(wù)、泄露信息、泄露源代碼、獲得更多權(quán)限、目錄遍歷、執(zhí)行任意命令、緩沖區(qū)溢出執(zhí)行任意代碼等。 系統(tǒng)脆弱性分析 緩沖區(qū)溢出 ?Buffer overflow attack 緩沖區(qū)溢出攻擊 –緩沖區(qū)溢出漏洞大量存在于各種軟件中 –利用緩沖區(qū)溢出的攻擊，會(huì)導(dǎo)致系統(tǒng)當(dāng)機(jī)，獲得系統(tǒng)特權(quán)等嚴(yán)重后果。 ?最早的攻擊 1988年 UNIX下的 Morris worm ?最近的攻擊 –Codered 利用 IIS漏洞 –SQL Server Worm 利用 SQL Server漏洞 –Blaster 利用 RPC漏洞 –Sasser利用 LSASS漏洞 系統(tǒng)脆弱性分析 ? 向緩沖區(qū)寫入超過(guò)緩沖區(qū)長(zhǎng)度的內(nèi)容，造成緩沖區(qū)溢出，破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，達(dá)到攻擊的目的。 ? 原因：程序中缺少錯(cuò)誤檢測(cè) : void func(char *str) { char buf[16]。 strcpy(buf,str)。 } 如果 str的內(nèi)容多于 16個(gè)非 0字符，就會(huì)造成 buf的溢出，使程序出錯(cuò)。 系統(tǒng)脆弱性分析 ? 類似函數(shù)有 strcat、 sprintf、 vsprintf、 gets、scanf等 ? 一般溢出會(huì)造成程序讀 /寫或執(zhí)行非法內(nèi)存的數(shù)據(jù)，引發(fā) segmentation fault異常退出 ? 如果在一個(gè) suid程序中特意構(gòu)造內(nèi)容，可以有目的的執(zhí)行程序，如 /bin/sh，得到 root權(quán)限。 系統(tǒng)脆弱性分析 ? 對(duì)于使用 C語(yǔ)言開(kāi)發(fā)的軟件，緩沖區(qū)溢出大部分是數(shù)組越界或指針?lè)欠ㄒ迷斐傻摹? ? 有時(shí)并不引發(fā)溢出也能進(jìn)行攻擊。 ? 現(xiàn)存的軟件中可能存在緩沖區(qū)溢出攻擊，因此緩沖區(qū)溢出攻擊短期內(nèi)不可能杜絕。 ? 緩沖區(qū)溢出的危害很大 : – 可以植入并運(yùn)行攻擊代碼 – 比大部分 DoS攻擊危害嚴(yán)重 系統(tǒng)脆弱性分析 ? 在進(jìn)程的地址空間安排適當(dāng)?shù)拇a ? 通過(guò)適當(dāng)?shù)某跏蓟拇嫫骱蛢?nèi)存，跳轉(zhuǎn)到以上代碼段執(zhí)行 ? 利用進(jìn)程中存在的代碼 – 傳遞一個(gè)適當(dāng)?shù)膮?shù) – 如程序中有 exec(arg)，只要把 arg指向 “ /bin/sh”就可以了 ? 植入法 – 把指令序列放到緩沖區(qū)中 – 堆、棧、數(shù)據(jù)段都可以存放攻擊代碼，最常見(jiàn)的是利用棧 系統(tǒng)脆弱性分析 拒絕服務(wù)攻擊 軟件弱點(diǎn)是包含在操作系統(tǒng)或應(yīng)用程序中與安全相關(guān)的系統(tǒng)缺陷，這些缺陷大多是由于錯(cuò)誤的程序編制，粗心的源代碼審核，無(wú)心的副效應(yīng)或一些不適當(dāng)?shù)慕壎ㄋ斐傻?。根?jù)錯(cuò)誤信息所帶來(lái)的對(duì)系統(tǒng)無(wú)限制或者未經(jīng)許可的訪問(wèn)程度，這些漏洞可以被分為不同的等級(jí)。 典型的