【正文】 【 實(shí)驗(yàn)總結(jié) 】 ? 通過 Linux系統(tǒng)平臺(tái)下進(jìn)行防火墻配置，了解并掌握了網(wǎng)絡(luò)操作系統(tǒng)安全應(yīng)用的實(shí)踐，對(duì)加深理解防火墻利用安全操作系統(tǒng)的保護(hù)機(jī)制有很大用處。 （ 2）登錄到子網(wǎng) B內(nèi)的一臺(tái)主機(jī)，用 SSH命令連接子網(wǎng) A內(nèi)的一臺(tái)開有 SSH服務(wù)的主機(jī)，看是否能連通： ssh –u root （ 3）嘗試連接子網(wǎng) A內(nèi)的主機(jī)的其他服務(wù)端口，檢測(cè)是否能連通。 【 實(shí)驗(yàn)要求 】 在 host A上用 ipchains配置防火墻，實(shí)現(xiàn)如下規(guī)則： 1. 允許轉(zhuǎn)發(fā)數(shù)據(jù)包，保證 host A的路由功能； 2. 允許所有來自子網(wǎng) A內(nèi)的數(shù)據(jù)包通過； 3. 允許子網(wǎng) A內(nèi)的主機(jī)對(duì)外發(fā)出請(qǐng)求后返回的 TCP數(shù)據(jù)包進(jìn)入子網(wǎng) A； 4. 只允許子網(wǎng) A外的客戶機(jī)連接子網(wǎng) A內(nèi)的客戶機(jī)的 22號(hào) TCP端口，也就是只允許子網(wǎng) A外的主機(jī)對(duì)子網(wǎng) A內(nèi)的主機(jī)進(jìn)行 SSH連接； 實(shí)驗(yàn)：配置 Linux下的防火墻 5. 禁止子網(wǎng) A外的主機(jī) ping子網(wǎng) A內(nèi)的主機(jī)，也就是禁止子網(wǎng) A外的 ICMP包進(jìn)入子網(wǎng) A。Host C的內(nèi)部網(wǎng)絡(luò)接口為 eth0， IP地址為 。 eth1連接外部網(wǎng)絡(luò)， Ip地址為 。 Host B有兩個(gè)網(wǎng)絡(luò)接口， eth0和 eth1。eth1連接外部網(wǎng)絡(luò)， Ip地址為 。 Host A有兩個(gè)接口，eth0和 eth1。 【 實(shí)驗(yàn)準(zhǔn)備 】 1. 網(wǎng)絡(luò)中包括兩個(gè)子網(wǎng) A和 B。重點(diǎn)介紹了防火墻涉及的安全技術(shù)和防火墻利用安全操作系統(tǒng)的保護(hù)機(jī)制。然后介紹了基于 Web通信中存在的弱點(diǎn)，提出了安全 Web服務(wù)器的概念，同時(shí)為了將多級(jí)安全機(jī)制整合到 Web服務(wù)器中，介紹了一種基于 BLP形式化模型的安全 Web服務(wù)器系統(tǒng) — SecWeb。 本章小結(jié) ? 在本章中 ,我們針對(duì)安全操作系統(tǒng)的兩種應(yīng)用 ,即 WWW安全與防火墻系統(tǒng)安全。 ^表示邏輯異或算法。哈稀表的大小為 64，哈稀計(jì)算表達(dá)式為： ? ? ((id)1)^(saddr)^(daddr)^(prot))amp。 ? （ 2）對(duì)碎片攻擊的防御 ? 這里主要介紹安全操作系統(tǒng)網(wǎng)絡(luò)的碎片組裝程序，首先對(duì)關(guān)鍵數(shù)據(jù)結(jié)構(gòu)描述。 ? 碎片攻擊不光會(huì)攻擊操作系統(tǒng)，由于許多網(wǎng)絡(luò)工具，如防火墻，入侵檢測(cè)系統(tǒng) (功 S)也在內(nèi)部作了分片組裝，如果處理不當(dāng)，也同樣會(huì)遭受攻擊，如著名的 checkpoint的防火墻 FW1某些版本 (最新的已經(jīng)改正了 )便同樣會(huì)受到碎片 DOS攻擊。根據(jù)審計(jì)數(shù)據(jù)的類型，判斷是否交送入侵檢測(cè)中心。由審計(jì)進(jìn)程完成審計(jì)信息的緩沖、存貯、歸檔工作。在被審計(jì)的特權(quán)命令的每個(gè)可能的出口處增加一個(gè)新的系統(tǒng)調(diào)用專門用于該命令的審計(jì)。 ? （ 2）防火墻操作系統(tǒng)中的審計(jì)數(shù)據(jù) ? 系統(tǒng)中特權(quán)相關(guān)事件審計(jì)。工程上一般采用的技術(shù)異常探測(cè)和模式匹配技術(shù)。 3．利用安全操作系統(tǒng)的審計(jì)機(jī)制進(jìn)行入侵檢測(cè)與預(yù)警 ? （ 1）利用審計(jì)進(jìn)行入侵檢測(cè) ? 入侵檢測(cè)技術(shù)的關(guān)鍵是能夠得到足夠多的連接的上下文的內(nèi)容，所以其基礎(chǔ)是連接跟蹤，通過積累足夠多的信息來進(jìn)行專家支持與決策。這樣，經(jīng)過權(quán)限分割，系統(tǒng)的安全性大大的提高。表示送到入侵檢測(cè)中心， *表示報(bào)警。表 111就特權(quán)違反處理做詳細(xì)描述。一般情況下，入侵者至少使用不獲得特權(quán)的進(jìn)程來完成特權(quán)操作的嘗試。 ? 我們知道，攻擊防火墻的技術(shù)之一便是修改防火墻的規(guī)則使得防火墻的規(guī)則對(duì)其攻擊無效，而要修改規(guī)則，則修改者須有一定的特權(quán)即可。其中， “ 箭頭 ” 表示安全級(jí)支配關(guān)系。 防火墻利用安全操作系統(tǒng)的保護(hù)機(jī)制 ? 利用域間隔離來保護(hù)防火墻中的安全數(shù)據(jù) ? 利用安全操作系統(tǒng)的特權(quán)管理機(jī)制 ? 利用安全操作系統(tǒng)的審計(jì)機(jī)制進(jìn)行入侵檢測(cè)與預(yù)警 ? 利用操作系統(tǒng)的網(wǎng)絡(luò)安全機(jī)制 1．利用域間隔離來保護(hù)防火墻中的安全數(shù)據(jù) ? 根據(jù) TCSEC（ Trusted Computer System Evaluation Criteria）的規(guī)定，B1以上級(jí)安全操作系統(tǒng)將系統(tǒng)信息劃分三個(gè)區(qū)，即系統(tǒng)管理區(qū)，用戶空間區(qū)，病毒保護(hù)區(qū)。這與雙穴主機(jī)網(wǎng)關(guān)受攻擊時(shí)的情形差不多。網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果受保護(hù)網(wǎng)是一個(gè)虛擬擴(kuò)展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)部網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置。 ? （ 2）被屏蔽主機(jī)網(wǎng)關(guān) ? 屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也最為安全。從堡壘主機(jī)的定義我們能看到，堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)。一旦某個(gè)訪問違反安全規(guī)定，就會(huì)拒絕該訪問，并報(bào)告有關(guān)狀態(tài)作日志記錄。監(jiān)測(cè)引擎支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。 ? （ 3）狀態(tài)監(jiān)測(cè)防火墻 ? 這種防火墻具有非常好的安全特性，它使用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊，稱之為監(jiān)測(cè)引擎。 ? 應(yīng)用級(jí)網(wǎng)關(guān)比單一的包過濾更為可靠，而且會(huì)詳細(xì)地記錄所有的訪問狀態(tài)信息。 ? 代理服務(wù)器通常都擁有一個(gè)高速緩存，這個(gè)緩存存儲(chǔ)有用戶經(jīng)常訪問的站點(diǎn)內(nèi)容，在下一個(gè)用戶要訪問同一站點(diǎn)時(shí)，服務(wù)器就不用重復(fù)地獲取相同的內(nèi)容，直接將緩存內(nèi)容發(fā)出即可，既節(jié)約了時(shí)間也節(jié)約了網(wǎng)絡(luò)資源。代理服務(wù)器通常運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于客戶來說象是一臺(tái)真的服務(wù)器，而對(duì)于外界的服務(wù)器來說，它又是一臺(tái)客戶機(jī)。 ? （ 2）應(yīng)用級(jí)網(wǎng)關(guān) ? 應(yīng)用級(jí)網(wǎng)關(guān)也就是通常我們提到的代理服務(wù)器。包過濾式的防火墻會(huì)檢查所有通過的信息包中的 IP地址，并按照系統(tǒng)管理員所給定的過濾規(guī)則進(jìn)行過濾。 ? （ 1）包過濾防火墻 ? 在互聯(lián)網(wǎng)絡(luò)這樣的 TCP/IP網(wǎng)絡(luò)上，所有往來的信息都被分割成許許多多一定長(zhǎng)度的信息包，包中包含發(fā)送者的 IP地址和接收者的IP地址信息。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 操作系統(tǒng)安全與防火墻安全 ? 防火墻介紹 ? 1.