【導讀】瘓等嚴重問題，網絡、應用程序的安全漏洞越來越多,各種病毒泛濫成災。切，已給各個國家以及眾多商業(yè)公司造成巨大的經濟損失，甚至危害到國家安全，加強網絡安全管理已刻不容緩，而網絡安全的重點在于網絡防護技術。分析了網絡安全方面的隱患，然后介紹了幾種網絡安全防護技術以及其優(yōu)缺點。在不安全的網際環(huán)境中構造一個相對安全的子網環(huán)境。文章在第四章節(jié)中詳細介。分析了常用防火墻的設計策略和需要注意的問題，對現有防火墻。的不足之處進行了分析。在第五章節(jié)中,結合上文討論提出了本人對現代網絡安。的防護體系,要有一個全面的管理機制,要有建立一個數據容災系統。研究信息網絡安全防護的目的和意義...

　　

【正文】 ，你將無法修改這些程序。 如果代理程序客戶機只能使用某一個應用層網關服務器，則當這個服務器關閉時，這個系統就很容易發(fā)生單點失效。如果一個客戶端代理可以由管理員指定連向另一個應用層網關，就可以避免單點失效錯誤。 由于在配置代理程序的客戶機方面存在的諸多問題，一些站點傾向于使用分組過濾技術來處理像 FTP 或 TELNET 等可由適當的過濾規(guī)則來保證安全的應用，而使用代理程序客戶機方式處理比較復雜的應用，如 DNS、 SMTP、 NFS、 HTTP 和 GOPHER等。 當需要通過專用客戶機應用程序與代理服務器通信時，像 CONNECT()這樣的一些標準系統調用必須被替換為相應的代理版本。這時，你必須將客戶機應用程序和這些代理版本的系統調用一起進行編譯和鏈接。 代理服務程序應該設計為在未使用適當修改了的客戶機程序的情況下能夠提供“失效安全” (fail safe) 的運行模式。例如：當一個標準的客戶機應用程序被用來與代理服務器相連，那么這 種通信應該被禁止，并且不能對防火墻或篩選路由器引起不希望的或不可預料的行為。 另一種類型的應用層網關被稱為“線路網關” (circuit gateway)。在線路層網關中，分組的地址是一個應用層的用戶進程。線路網關用于在兩個通信端點之間中轉分組。線路網關只是在兩個端點之間復制字節(jié)。 線路網關是建立應用層防火墻的一種更靈活、更通用的途徑。線路網關中可能包括支持某些特定 TCP/IP 應用的程序代碼，但這通常是有限的。如果它能支持某些應用，則這些應用通常是一些 TCP/IP 的應用。 在線路 線路網關 (circuitcircuit gateway)中，可能需要安裝專門的客戶機軟件，而用戶可能需要與改變了的用戶界面打交道，或者改變他們的工作習慣。在每一臺內部主機上安裝和配置專門的應用程序將是一件費時的工作，而對大型異構網絡來說很容易出錯，因為硬件平臺和操作系統不同。 網絡安全防護中防火墻技術問題分析及應用策略 20 由于每個報文分組都將由在應用層運行的軟件進行處理，主機的性能將會受到影響。每個分組都將被所有的通信層次處理兩遍，并需要在用戶層上進行處理以及轉換工作環(huán)境。應用層網關 (不論是堡壘主機還是雙宿主機 )都暴露在網絡面前，因此可能需要采用其它手段來保護應用層網關主機，例 如分組過濾技術。 (3) 堡壘主機 (Bastion Host)及其應用 堡壘主機指的是任何對網絡安全至關重要的防火墻主機。堡壘主機是一個組織機構網絡安全的中心主機。因為堡壘主機對網絡安全至關重要，對它必須進行完善的防御。這就是說，堡壘主機是由網絡管理員嚴密監(jiān)視的。堡壘主機軟件和系統的安全情況應該定期地進行審查。對訪問記錄應進行查看，以發(fā)現潛在的安全漏洞和對堡壘主機的試探性攻擊。雙宿主機是堡壘主機的一個實例，因為它們對網絡的安全至關重要。 為了達到更高程度的安全性要求，有的廠商把基于分組過濾技術的方法和基于 代理服務的方法結合起來，形成了新型的防火墻產品。這種結合通常是以下面兩種方案之一實現的：有屏蔽主機 (Screened Host)或有屏蔽子網 (Screened Sub)。在第一種方案中，一個分組過濾路由器與 Inter 相連，同時，一個堡壘主機安裝在內部網絡上。通常，在路由器上設立過濾規(guī)則，使這個堡壘主機成為 Inter 上其他節(jié)點所能達到的唯一節(jié)點，這確保了內部網絡不受未被授權的外部用戶的攻擊。有屏蔽子網的方法是建立一個被隔離的子網，位于 Inter 和內部網絡之間，用兩臺分組過濾路由器將這一子網分別與 Inter 和內部網絡分開。在許多有屏蔽子網的實現中，兩個分組過濾路由器放在子網的兩端，在子網內構成一個禁止穿行區(qū)，即 Inter 和內部網絡均可訪問有屏蔽子網，但禁止它們穿過有屏蔽子網進行通信，像 WWW 和 FTP 這樣的 Inter 服務器一般就放在這種禁止穿行區(qū)中。 (4) 堡壘主機的最簡單的設置方法 因為堡壘主機是與外部不可信賴網絡的接口點，它們常常容易受到攻擊。堡壘主機最簡單的設置，是作為外部網絡通信業(yè)務的第一個也是唯一的一個入口點。 又因為堡壘主機對內部網絡的安全是至關重要的，人們常 常在外部不可信賴網絡和內部網絡之間增加另外一條防線。第一條防線通常由篩選路由器充當，在這個例子中，只配置了堡壘主機的網絡接口，該接口與內部網絡相連。篩選路由器的一個端口與內部網絡相連，另一個端口與 INTERNET 相連，這種配置方式被稱為有屏蔽主機網關。 對篩選路由器必須做如下配置，它應將從外部網絡收到的目的地為內部網絡的所網絡安全防護中防火墻技術問題分析及應用策略 21 有通信業(yè)務首先送到堡壘主機，在將信息轉發(fā)到堡壘主機之前，篩選路由器對收到的分組運行自己的過濾規(guī)則，只有通過了過濾規(guī)則的網絡信息才被送到堡壘主機，所有其它網絡信息將被拒絕進入。這種體系結構給 予網絡安全更高的信心，進攻者必須首先穿過篩選路由器，如果設法穿過了篩選路由器，還必須對付堡壘主機。 堡壘主機使用應用層功能來確定允許或拒絕來自或發(fā)向外部網絡的請求，如該請求通過了堡壘主機的嚴格審查，它將被作為進來的信息轉發(fā)到內部網絡上；對于通向外部的網絡的信息，該請求被轉發(fā)到篩選路由器。 防火墻的分類 從防火墻的防范方式和側重點的不同來看，防火墻可以分為很多類型，但是根據防火墻對內外來往數據處理方法，大致可將防火墻分為兩大體系：包過濾防火墻和代理防火墻。 包過濾防火墻經歷了靜態(tài)包過濾防火墻和動態(tài)包過 濾防火兩代，在現實應用中要根據需要選用更合適或更經濟的防火墻技術。 靜態(tài)包過濾防火墻 靜態(tài)包過濾防火墻采用的是一個都不放過的原則。它會檢查所有通過信息包里的IP 地址號，端口號及其它的包頭信息，并根據系統管理員給定的過濾規(guī)則和準備過濾的信息包一一匹配，其中：如果信息包中存在一點與過濾規(guī)則不符合，那么這個信息包里所有的信息都會被防火墻屏蔽掉，這個信息包就不會通過防火墻。相反的，如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。靜態(tài)包的過濾原理就是：將信息分成若干個小數據片（數據包），確認符合防火墻 的包過濾規(guī)則后，把這些個小數據片按順序發(fā)送，接收到這些小數據片后再把它們組織成一個完整的信息這個就是包過濾的原理。這種靜態(tài)包過濾防火墻，對用戶是透明的，它不需要用戶的用戶名和密碼就可以登錄，它的速度快，也易于維護。但由于用戶的使用記錄沒有記載，如果有不懷好意的人進行攻擊的話，我們即不能從訪問記錄中得到它的攻擊記錄，也無法得知它的來源。而一個單純的包過濾的防火墻的防御能力是非常弱的，對于惡意的攻擊者來說是攻破它是非常容易的。其中“信息包沖擊”是攻擊者最常用的攻擊手段：主要是攻擊者對包過濾防火墻發(fā)出一系列地址被 替換成一連串順序 IP 地址的信息包，一旦有一個包通過了防火墻，那么攻擊者停止再發(fā)測試 IP 地址的信息包，用這個成功發(fā)送的地址來偽裝他們所發(fā)出的對內部網有攻擊性的信息。 網絡安全防護中防火墻技術問題分析及應用策略 22 動態(tài)包過濾防火墻 靜態(tài)包過濾防火墻的缺點，動態(tài)包過濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為“包狀態(tài)檢測技術”的動態(tài)設置包過濾規(guī)則。它可以根據需要動態(tài)的在過濾原則中增加或更新條目，在這點上靜態(tài)防火墻是比不上它的，它主要對建立的每一個連接都進行跟蹤。 在這里我們了解的是代理防火墻。代理服務器型防火墻與包過濾防火墻不同之點在于，它的內外網之 間不存在直接的連接，一般由兩部分組成：服務器端程 序和客戶端程序，其中客戶端程序通過中間節(jié)點與提供服務的服務器連接。代理服務器型防火墻提供了日志和審記服務。代理防火墻也經歷了兩代。 代理（應用層網關）防火墻 這種防火墻被網絡安全專家認為是最安全的防火墻，主要是因為從內部發(fā)出的數據包經過這樣的防火墻處理后，就像是源于防火墻外部網卡一樣，可以達到隱藏內部網結構的作用。由于內外網的計算機對話機會根本沒有，從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。 自適應代理防火墻 自適應代理技術 是商業(yè)應用防火墻中實現的一種革命性技術。它結合了代理類型防火墻和包過濾防火墻的優(yōu)點，即保證了安全性又保持了高速度，同時它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。 我們把兩種防火墻的優(yōu)缺點的對比用下列圖表的形式表示如下： 表 41 防火墻的優(yōu)缺點對比表 優(yōu)點 缺點 包過濾防火墻 價格較低性能開銷小，處理速度較快 定義復雜，容易出現速度較慢，不太適用于高速網之間的應用 代理防火墻 內置了專門為提高安全性而編制的 Proxy應用程序，能夠透徹地理解相關服務的命令，對來往的數據 包進行安全化處理 不能理解特定服務的上下文環(huán)境，相應控制只能在高層由代理服務和應用層網關來完成 網絡安全防護中防火墻技術問題分析及應用策略 23 防火墻的功能和技術 防火墻功能概述 防火墻是一個保護裝置，它是一個或一組網絡設備裝置。通常是指運行特別編寫或更改過操作系統的計算機，它的目的就是保護內部網的訪問安全。防火墻 可以安裝在兩個組織結構的內部網與外部的 Inter 之間，同時在多個組織結構的內部網和Inter 之間也會起到同樣的保護作用。它主要的保護就是加強外部 Inter 對內部網的訪問控制，它主要任務是允許特別的連接 通過，也可以阻止其它不允許的連接。防火墻只是網絡安全策略的一部分，它通過少數幾個良好的監(jiān)控位置來進行內部網與Inter 的連接。 防火墻的核心功能主要是包過濾。其中入侵檢測，控管規(guī)則過濾，實時監(jiān)控及電子郵件過濾這些功能都是基于封包過濾技術的。 防火墻的主體功能歸納為以下幾點： (1) 根據應用程序訪問規(guī)則可對應用程序連網動作進行過濾； (2) 對應用程序訪問規(guī)則具有自學習功能； (3) 可實時監(jiān)控，監(jiān)視網絡活動； (4) 具有日志，以記錄網絡訪問動作的詳細信息； (5) 被攔阻時能通過聲音或閃爍圖標給用 戶報警提示。 防火墻僅靠這些核心技術功能是遠遠不夠的，它的核心技術是基礎，必須在這個基礎之上加入輔助功能才能流暢的工作，而實現防火墻的核心功能是封包過濾。 防火墻主要技術特點 (1) 應用層采用 Winsock 2 SPI 進行網絡數據控制、過濾； (2) 核心層采用 NDIS HOOK 進行控制，尤其是在 Windows 2020 下，此技術屬微軟未公開技術。 此外防火墻還采用兩種封包過濾技術：一是應用層封包過濾，采用 Winsock 2 SPI ；二是核心層封包過濾，采用 NDIS_HOOK。 防火墻的設計策略 防火墻的設計策略是具體地針對防火墻，負責制定相應的規(guī)章制度來實施網絡服務訪問策略。在制定這種策略之前，必須了解這種防火墻的性能以及缺陷、 TCP/IP 自網絡安全防護中防火墻技術問題分析及應用策略 24 身所具有的易攻擊性和危險。防火墻一般執(zhí)行以下兩種基本策略中的一種： (1) 除非明確不允許，否則允許某種服務； (2) 除非明確允許，否則將禁止某項服務； 執(zhí)行第一種策略的防火墻在默認情況下允許所有的服務，除非管理員對某種服務明確表示禁止。執(zhí)行第二種策略的防火墻在默認情況下禁止所有的服務，除非管理員對某種服務明確表示允許。 防火墻可以實施一 種寬松的策略（第一種），也可以實施一種限制性策略（第二種），這就是制定防火墻策略的入手點。一個站點可以把一些必須的而又不能通過防火墻的服務放在屏蔽子網上，和其他的系統隔離。 防火墻設計時需要考慮的問題 為了確定防火墻設計策略，進而構建實現策略的防火墻，應從最安全的防火墻設計策略開始，即除非明確允許，否則禁止某種服務。策略應該解決一下的問題： (1) 需要什么服務，如 Tel、 WWW 或 NFS 等等。 (2) 在那里使用這些服務，如本地、穿越因特網、從家里或遠方的辦公機構等等。 (3) 是否應當支持撥 號入網和加密等服務。 (4) 提供這些服務的風險是什么。 (5) 若提供這種保護，可能會導致網絡使用上的不方便等負面影響，這些影響會有多大，是否值付出這種代價。 (6) 和可用性相比，站點的安全性放在什么位置。 現有防火墻的不足 防火墻對網絡的威脅進行極好的防范，但是，它們不是安全解決方案的全部。某些威脅是防火墻力所不及的，防火墻不能防止內部的攻擊，因為它只提供了對網絡邊緣的防衛(wèi)，內部人員可能濫用被給予的訪問權，從而導致事故。防火墻也不能防止像社會工程攻擊一樣的一種很常用的入侵手段，就是靠欺騙獲得一 些可以破壞安全的信息，如網絡的口令。另外，一些用來傳送數據的電話線很有可能 被用來入侵內部網絡。 另一個防止的是懷有惡意的代碼：病毒和特洛伊木馬，雖然現在有些防火墻可以檢查病毒和特洛伊木馬，但這些防火墻只能阻擋已知的惡意程序，這就可能讓新的病毒和木馬溜進來。而且，這些惡意程序不僅僅來自網絡，也可能來自軟盤。 網絡安全防護中防火墻技術問題分析及應用策略 25 數據包過濾是通過對數據包地 IP 頭和 TCP 或 UDP 頭的檢查而實現的，主要信息有： (1) IP 源地址 (2) IP 目標地址 (3) 協議（不論數據包是 TCP、 UDP 還是 ICMP 數據包） (4) TCP 或者 UDP 源端口 (5) TCP 或者 UDP 目標端口 (6) TCMP 消息類型 此外，路由器知道某些沒有被反映在數據包報頭里的關于