【文章內(nèi)容簡介】 行狀態(tài)，這大大增加了非法訪問和攻擊的機(jī)會(huì)?！槍?duì)對(duì)上缺點(diǎn)，出現(xiàn)了應(yīng)用代理服務(wù)（Applicationlevel Proxy Server）技術(shù)。說明：應(yīng)用層的安全防護(hù)，主要目的保證信息訪問的合法性，確保合法用戶根據(jù)授權(quán)合法的訪問數(shù)據(jù)。應(yīng)用層在ISO的體系層次中處于較高的層次，因而其安全防護(hù)也是較高級(jí)的。應(yīng)用層的安全防護(hù)是面向用戶和應(yīng)用程序的。應(yīng)用代理服務(wù)器應(yīng)用代理服務(wù)技術(shù)能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的連接，由兩個(gè)代理服務(wù)器之間的連接來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。另外代理服務(wù)器也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、記錄、形成報(bào)告，當(dāng)發(fā)現(xiàn)攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警告，并保留攻擊痕跡。其應(yīng)用層代理服務(wù)數(shù)據(jù)的控制及傳輸過程如圖3所示。圖3 代理服務(wù)防火墻應(yīng)用層數(shù)據(jù)的控制及傳輸 應(yīng)用代理服務(wù)器對(duì)客戶端的請(qǐng)求行使“代理”職責(zé)?？蛻舳诉B接到防火墻并發(fā)出請(qǐng)求，然后防火墻連接到服務(wù)器，并代表這個(gè)客戶端重復(fù)這個(gè)請(qǐng)求。返回時(shí)數(shù)據(jù)發(fā)送到代理服務(wù)器，然后再傳送給用戶，從而確保內(nèi)部IP地址和口令不在Internet上出現(xiàn)。優(yōu)點(diǎn)：比包過濾防火墻安全，管理更豐富，功能提升容易。易于記錄并控制所有的進(jìn)／出通信，并對(duì)Internet的訪問做到內(nèi)容級(jí)的過濾缺點(diǎn)：執(zhí)行速度慢，操作系統(tǒng)容易遭到攻擊。說明：代理服務(wù)器（Proxy sever）是指，處理代表內(nèi)部網(wǎng)絡(luò)用戶的外部服務(wù)器的程序?？蛻舸砼c代理服務(wù)器對(duì)話，它核實(shí)用戶請(qǐng)求，然后才送到真正的服務(wù)器上，代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)中請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接收代理服務(wù)器提出的服務(wù)請(qǐng)求，拒絕外部網(wǎng)絡(luò)上其他節(jié)點(diǎn)的直接請(qǐng)求。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)的節(jié)點(diǎn)申請(qǐng)某種服務(wù)時(shí)，如FTP、WWW、Telnet等，先由代理服務(wù)器接收，然后根據(jù)其服務(wù)類型、服務(wù)內(nèi)容、被服務(wù)對(duì)象，以及申請(qǐng)者的域名范圍、IP地址等因素，決定是否接受此項(xiàng)服務(wù)。如果接受，則由代理服務(wù)器向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)請(qǐng)求，并把應(yīng)答回送給申請(qǐng)者；否則，拒絕其請(qǐng)求。根據(jù)其處理協(xié)議的不同，可分為FTP網(wǎng)關(guān)型、WWW網(wǎng)關(guān)型、Telnet網(wǎng)關(guān)型等防火墻，其優(yōu)點(diǎn)在于既能進(jìn)行安全控制，又可加速訪問，但實(shí)現(xiàn)起來比較困難，對(duì)于每一種服務(wù)協(xié)議必須設(shè)計(jì)一個(gè)代理軟件模式，以進(jìn)行安全控制。狀態(tài)檢測防火墻狀態(tài)檢測又稱動(dòng)態(tài)包過濾，是在傳統(tǒng)包過濾上的功能擴(kuò)展，最早由CheckPoint提出。傳統(tǒng)的包過濾在遇到利用動(dòng)態(tài)端口的協(xié)議時(shí)會(huì)發(fā)生困難，如ftp，你事先無法知道哪些端口需要打開，而如果采用原始的靜態(tài)包過濾，又希望用到的此服務(wù)的話，就需要實(shí)現(xiàn)將所有可能用到的端口打開，而這往往是個(gè)非常大的范圍，會(huì)給安全帶來不必要的隱患。而狀態(tài)檢測通過檢查應(yīng)用程序信息（如ftp的PORT和PASS命令），來判斷此端口是否允許需要臨時(shí)打開，而當(dāng)傳輸結(jié)束時(shí)，端口又馬上恢復(fù)為關(guān)閉狀態(tài)。狀態(tài)檢測防火墻在網(wǎng)絡(luò)層由一個(gè)檢查引擎截獲數(shù)據(jù)包并抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，并以此作為依據(jù)決定對(duì)該連接是接受還是拒絕。檢查引擎維護(hù)一個(gè)動(dòng)態(tài)的狀態(tài)信息表并對(duì)后續(xù)的數(shù)據(jù)包進(jìn)行檢查。一旦發(fā)現(xiàn)任何連接的參數(shù)有意外的變化，該連接就被中止。這種技術(shù)提供了高度安全的解決方案，同時(shí)也具有較好的性能、適應(yīng)性和可擴(kuò)展性。狀態(tài)檢測防火墻一般也包括一些代理級(jí)的服務(wù)，它們提供附加的對(duì)特定應(yīng)用程序數(shù)據(jù)內(nèi)容的支持（如從HTTP連接中抽取出Java Applets或ActiveX控件等）。狀態(tài)檢測技術(shù)最適合提供對(duì)UDP協(xié)議的有限支持。它將所有通過防火墻的UDP分組均視為一個(gè)虛擬連接，當(dāng)反向應(yīng)答分組送達(dá)時(shí)就認(rèn)為一個(gè)虛擬連接已經(jīng)建立。每個(gè)虛擬連接都具有一定的生存期，較長時(shí)間沒有數(shù)據(jù)傳送的連接將被中止。狀態(tài)檢測防火墻克服了包過濾防火墻和應(yīng)用代理服務(wù)器的局限性，他們不僅僅檢測“to”或“from”的地址，而且也不要求每個(gè)被訪問的應(yīng)用都有代理。狀態(tài)檢測防火墻根據(jù)協(xié)議、端口及源、目的地址的具體情況決定數(shù)據(jù)包是否可以通過。對(duì)于每個(gè)安全策略允許的請(qǐng)求，狀態(tài)檢測防火墻啟動(dòng)相應(yīng)的進(jìn)程，可以快速地確認(rèn)符合授權(quán)流通標(biāo)準(zhǔn)的數(shù)據(jù)包，這使得本身的運(yùn)行非常快速。清華得實(shí)NetST174。硬件防火墻綜合了包過濾和應(yīng)用代理服務(wù)器兩類防火墻的優(yōu)點(diǎn)，在提供根據(jù)數(shù)據(jù)包地址或端口進(jìn)行過濾處理的同時(shí)還可實(shí)現(xiàn)對(duì)常用協(xié)議的內(nèi)容過濾，即具備了包過濾類型防火墻的速度，又具備代理類型防火墻的安全。252。 TCP/IP安全簡介如果你是一個(gè)網(wǎng)絡(luò)管理員或安全管理員，你需要對(duì)OSI參考模型非常熟悉。TCP/IP堆棧包括四層。為了更好的理解TCP/IP，請(qǐng)與OSI模型進(jìn)行比較。252。 TCP/IP物理層及其安全：物理層由傳輸在纜線上的電子信號(hào)組成。物理層上的安全保護(hù)措施不多。如果一個(gè)潛在的黑客可以訪問物理介質(zhì)，如搭線竊聽和sniffer，他將可以復(fù)制所有傳送的信息。唯一有效的保護(hù)是使用加密，流量添充等。252。 TCP/IP網(wǎng)絡(luò)層及其安全：IP層使用較高效的服務(wù)來傳送數(shù)據(jù)報(bào)文。所有上層通信，如TCP，UDP，ICMP，IGMP都被封裝到一個(gè)IP 數(shù)據(jù)報(bào)中。絕大多數(shù)安全威脅并不來自于TCP/IP堆棧的這一層。Internet協(xié)議(IP)：IP報(bào)頭中包含一些信息和控制字段，以及32位的源IP地址和32位的目的IP地址。這個(gè)字段包括一些信息，如IP的版本號(hào)，長度，服務(wù)類型和其它配置等。黑客經(jīng)常利用一種叫做IP欺騙的技術(shù)，把源IP地址替換成一個(gè)錯(cuò)誤的IP地址。接收主機(jī)不能判斷源IP地址是不正確的，并且上層協(xié)議必須執(zhí)行一些檢查來防止這種欺騙u Lab 61：安裝網(wǎng)絡(luò)包捕獲軟件，捕獲包信息，分析IP報(bào)頭Internet控制信息協(xié)議（ICMP）：Internet控制信息協(xié)議（ICMP）報(bào)文由接收端或者中間網(wǎng)絡(luò)設(shè)備發(fā)回給發(fā)送端，用來在TCP/IP包發(fā)送出錯(cuò)時(shí)給出回應(yīng)。u ICMP消息類型ICMP消息包含三個(gè)字段：Type、Code和Checksum，Type和Code字段決定了ICMP消息的類型。0 —— 響應(yīng)回復(fù)：Ping命令發(fā)回的包；3 —— 目標(biāo)不可達(dá)：由Router發(fā)回。Code 0：網(wǎng)絡(luò)不可達(dá)；Code 1：主機(jī)不可達(dá)；Code 2：協(xié)議不可達(dá)；Code 3：端口不可達(dá)。8 —— 響應(yīng)請(qǐng)求：由Ping命令發(fā)出；u 阻止ICMP消息近來的攻擊方法包括Tribal flood Network （TFN）系列的程序利用ICMP消耗帶寬來有效地摧毀站點(diǎn)。到今天，微軟的站點(diǎn)對(duì)于ping并不做出響應(yīng)，因?yàn)槲④浺呀?jīng)過濾了所有的ICMP請(qǐng)求。一些公司現(xiàn)在也在他們的防火墻上過濾了ICMP流量。u Lab 62：通過網(wǎng)絡(luò)包捕獲軟件，捕獲ICMP包，分析ICMP報(bào)頭252。 TCP/IP傳輸層及其安全傳輸層控制主機(jī)間傳輸?shù)臄?shù)據(jù)流。傳輸層存在兩個(gè)協(xié)議，傳輸控制協(xié)議（TCP）和用戶數(shù)據(jù)報(bào)協(xié)議（UDP）。傳輸控制協(xié)議（TCP）TCP是一個(gè)面向連接的協(xié)議：對(duì)于兩臺(tái)計(jì)算機(jī)的通信，它們必須通過握手過程來進(jìn)行信息交換。u TCP包頭TCP包頭的標(biāo)記區(qū)建立和中斷一個(gè)基本的TCP連接。有三個(gè)標(biāo)記來完成這些過程： 216。 SYN：同步序列號(hào)；216。 FIN：發(fā)送端沒有更多的數(shù)據(jù)要傳輸?shù)男盘?hào)；216。 ACK：識(shí)別數(shù)據(jù)包中的確認(rèn)信息。u 建立一個(gè)TCP連接：SYN和ACK經(jīng)過三次握手。u 中止一個(gè)TCP連接：FIN和ACK結(jié)束一個(gè)TCP連接的四個(gè)基本步驟。u 攻擊TCPSYN溢出是TCP的最常見威脅，黑客能夠建立多個(gè)TCP半連接，當(dāng)服務(wù)器忙于創(chuàng)建一個(gè)端口時(shí)，黑客留給服務(wù)器一個(gè)連接，然后又去建立另一個(gè)連接并也留給服務(wù)器。這樣建立了幾千個(gè)連接，直到目標(biāo)服務(wù)器打開了幾百個(gè)或上千個(gè)半連接。因此，服務(wù)器的性能受到嚴(yán)重限制，或服務(wù)器實(shí)際已經(jīng)崩潰。防火墻必須配置為能夠偵測這種攻擊。u Lab 63：通過網(wǎng)絡(luò)包捕獲軟件，捕獲TCP包，分析TCP報(bào)頭用戶數(shù)據(jù)報(bào)協(xié)議（UDP）UDP是一個(gè)非面向連接的協(xié)議。它經(jīng)常用做廣播類型的協(xié)議，如音頻和視頻數(shù)據(jù)流。UDP很少有安全上的隱患。因?yàn)橹鳈C(jī)發(fā)出一個(gè)UDP信息并不期望收到一個(gè)回復(fù)，在這種數(shù)據(jù)報(bào)文里面嵌入一個(gè)惡意的活動(dòng)是很困難的。u Lab 64：通過網(wǎng)絡(luò)包捕獲軟件，捕獲UDP包，分析UDP報(bào)頭252。 TCP/IP應(yīng)用層及其安全應(yīng)用層是最難保護(hù)的一層。因?yàn)門CP/IP應(yīng)用程序幾乎是可無限制地執(zhí)行的，你實(shí)際上是沒有辦法保護(hù)所有的應(yīng)用層上的程序的，所以只允許一些特殊的應(yīng)用程序能通過網(wǎng)絡(luò)進(jìn)行通信是一個(gè)不錯(cuò)的方法。 文件傳輸協(xié)議（FTP）FTP 用兩個(gè)端口通信：利用TCP21端口來控制連接的建立，控制連接端口在整個(gè)FTP會(huì)話中保持開放。FTP服務(wù)器可能不需要對(duì)客戶端進(jìn)行認(rèn)證：當(dāng)需要認(rèn)證時(shí)，所有的用戶名和密碼都是以明文傳輸?shù)摹Ｍ瑯邮褂玫募夹g(shù)包括FTP服務(wù)器上的日志文件，黑客添滿硬盤，使日志文件沒有空間再記錄其它事件，這樣黑客企圖進(jìn)入操作系統(tǒng)或其它服務(wù)而不被日志文件所檢查到。因此，推薦將FTP根目錄與操作系統(tǒng)和日志文件分別放在不同的分區(qū)上。超文本傳輸協(xié)議（HTTP）HTTP有兩種明顯的安全問題：客戶端瀏覽應(yīng)用程序和HTTP服務(wù)器外部應(yīng)用程序。對(duì)用Web用戶的一個(gè)安全問題是下載有破壞性的ActiveX控件或JAVA applets。這些程序在用戶的計(jì)算機(jī)上執(zhí)行并含有某種類別的代碼，包括病毒或特洛伊木馬。為了擴(kuò)大和擴(kuò)展Web服務(wù)器的功能，一些擴(kuò)展的應(yīng)用程序可以加入到HTTP服務(wù)器中。這些擴(kuò)展的應(yīng)用程序包括JAVA，CGI，AST等等。這些程序都有一些安全漏洞，一旦Web服務(wù)器開始執(zhí)行代碼，那么它有可能遭到破壞。對(duì)于這種破壞的保護(hù)方法是留意最新的安全補(bǔ)丁，下載并安裝這些補(bǔ)丁。TelnetTelnet 是以明文的方式發(fā)送所有的用戶名和密碼的。有經(jīng)驗(yàn)的黑客可以劫持一個(gè)Telnet會(huì)話。因此，它不應(yīng)該應(yīng)用到互聯(lián)網(wǎng)上。你還應(yīng)該在防火墻上過濾掉所有的Telnet流量。簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）SNMP允許管理員檢查狀態(tài)并且有時(shí)修改SNMP節(jié)點(diǎn)的配置。它使用兩個(gè)組件，即SNMP管理者和SNMP節(jié)點(diǎn)。SNMP通過UDP的161和162端口傳遞所有的信息。SNMP所提供的唯一認(rèn)證就是munity name。如果一個(gè)黑客危及到munity name，他將能夠查詢和修改網(wǎng)絡(luò)上所有使用SNMP的節(jié)點(diǎn)。另一個(gè)安全問題是所有的信息都是以明文傳輸?shù)摹NMP是在你公司私有的網(wǎng)絡(luò)中可用的網(wǎng)絡(luò)管理解決方案，但是所有的SNMP流量要在防火墻上過濾掉。域名系統(tǒng)（DNS）DNS使用UDP 53端口解析DNS請(qǐng)求，但是在執(zhí)行區(qū)域傳輸時(shí)使用TCP53端口。區(qū)域傳輸是以下面兩種情況完成的：216。 一個(gè)客戶端利用nslookup命令向DNS服務(wù)器請(qǐng)求進(jìn)行區(qū)域傳輸；216。 當(dāng)一個(gè)從屬域名服務(wù)器向主服務(wù)器請(qǐng)求得到一個(gè)區(qū)域文件；針對(duì)DNS常見的兩種攻擊是：u DNS中毒：黑客注入錯(cuò)誤的數(shù)據(jù)到區(qū)域傳輸中，其結(jié)果使得其產(chǎn)生錯(cuò)誤的映射。u 獲得非法的區(qū)域傳輸：黑客可以攻擊一個(gè)DNS服務(wù)器并得到它的區(qū)域文件。這種攻擊的結(jié)果是黑客可以知道這個(gè)區(qū)域中所有系統(tǒng)的IP地址和計(jì)算機(jī)名字。u Lab 65：通過Whois、252。 使用地址轉(zhuǎn)換隱藏私有地址u 網(wǎng)絡(luò)地址轉(zhuǎn)換u 端口地址轉(zhuǎn)換252。 使用過濾路由器的訪問控制列表保護(hù)網(wǎng)絡(luò)3．4防火墻的體系結(jié)構(gòu)圖 NetST174。防火墻的系統(tǒng)結(jié)構(gòu)圖圖31為NetST174。防火墻的系統(tǒng)結(jié)構(gòu)圖，其中防火墻引擎模塊根據(jù)所制定的安全策略對(duì)進(jìn)出NetST174。防火墻的所有數(shù)據(jù)包進(jìn)行從數(shù)據(jù)鏈路層到傳輸控制層的過濾；內(nèi)容過濾服務(wù)器則完成對(duì)應(yīng)用層數(shù)據(jù)的過濾，NetST174。防火墻本身是包過濾類型的防火墻，不具備應(yīng)用代理功能，但通過內(nèi)容過濾服務(wù)器的處理，使得原來只能通過代理方式進(jìn)行的內(nèi)容過濾功能也能在包過濾防火墻上實(shí)現(xiàn)；用戶登錄服務(wù)器處理內(nèi)部網(wǎng)絡(luò)合法用戶的登錄請(qǐng)求以訪問外部網(wǎng)絡(luò)，不合法用戶將不能訪問外部網(wǎng)絡(luò)；防火墻系統(tǒng)管理員利用NetST174。防火墻的管理接口來進(jìn)行防火墻的配置操作；NetST174。管理服務(wù)器則是系統(tǒng)管理的核心，負(fù)責(zé)協(xié)調(diào)所有的管理配置操作。3．5NetST174。防火墻過濾流程圖32為NetST174。防火墻的過濾流程：對(duì)于所有進(jìn)入NetST174。防火墻的數(shù)據(jù)包，先進(jìn)行系統(tǒng)安全檢查，不符合的數(shù)據(jù)包將被丟棄；通過檢查的數(shù)據(jù)包再根據(jù)用戶自定義的過濾規(guī)則進(jìn)行處理，符合這些規(guī)則的數(shù)據(jù)包將根據(jù)規(guī)則的動(dòng)作確定是接受、拒絕還是進(jìn)行內(nèi)容過濾；對(duì)于不符合所有規(guī)則的數(shù)據(jù)包，將根據(jù)系統(tǒng)的缺省動(dòng)作進(jìn)行處理，以確定是接受還是拒絕，通常防火墻的缺省動(dòng)作應(yīng)該是拒絕。 NetST174。防火墻過濾流程252。 包過濾防火墻 包過濾防火墻檢查每一個(gè)通過的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。包過濾規(guī)則路的樣本：規(guī)則協(xié)議類型源地址目的地址端口網(wǎng)卡位置措施1TCP22內(nèi)網(wǎng)允許2TCP任意80外網(wǎng)允許3TCP任意25外網(wǎng)允許4UDP任意53外網(wǎng)允許5UDP任意53外網(wǎng)允許6任意任意任意任意任意禁止包過濾的優(yōu)點(diǎn)是：不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。包過濾最大的缺點(diǎn)就是：u 不能分辨哪些是“好”包哪些是“壞”包，對(duì)包哄騙沒有防范能力；u 不支持更多的其他驗(yàn)證，如用戶認(rèn)證；u 創(chuàng)建這些規(guī)則非常消耗時(shí)間。u Lab 66：通過清華得實(shí)NetST系列防火墻配置包過濾規(guī)則252。 應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用程序代理防火墻實(shí)際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反，它是接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨(dú)的連接。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分。應(yīng)用級(jí)網(wǎng)關(guān)可以作為一些應(yīng)用程序如電子郵件、FTP、Telnet、WWW等的中介。使用應(yīng)用級(jí)網(wǎng)