【正文】 – 端口 :只用于粗略判斷啟動的服務(wù) – Banner:一般可用于確定服務(wù)版本信息 – 指紋 :基本可以精確至小版本號 Banner grab技術(shù) ? 為判斷服務(wù)類型、應(yīng)用版本、 OS平臺，模擬各種協(xié)議初始化握手，獲取信息 ? 在安全意識普遍提升的今天， 對Banner的偽裝導(dǎo)致精度大幅降低 WWW服務(wù) 威脅程度： 高 判定精度：低 FTP服務(wù) 威脅程度： 高 判定精度：低 Tel服務(wù) 威脅程度： 中 判定精度：低 指紋堆棧技術(shù) ? 類似 Banner Grabing,但是精度更高 ? 常見的可判斷的 fingerprint – OS fingerprint – HTTP fingerprint ? 系統(tǒng)、應(yīng)用應(yīng)盡可能結(jié)合起來，進(jìn)行綜合判斷 HTTP Fingerprinting技術(shù) ? 技術(shù)源動力：彌補Banner Grabing 技術(shù)的不足 ? 傳統(tǒng)查看 Banner的方式精確度很差，偽裝手段多樣 – IISamp。防火墻相關(guān)知識 議程 ? 防火墻概述 – 定義 – 架構(gòu) – 主流技術(shù) ? 防火墻功能以及其實現(xiàn) – 可以依賴防火墻的 – 不可以依賴防火墻的 ? 總結(jié) 防火墻概述 安全產(chǎn)品的形象比喻 安全運輸 讀卡器 閉路電視監(jiān)控室 進(jìn)入系統(tǒng)的安全門 監(jiān)視和報警 巡邏保安 防火墻和路由器訪問控制列表 網(wǎng)絡(luò)入侵檢測 安全代理程序 中央控制的安全和策略管理 身份識別、 AAA認(rèn)證、訪問控制服務(wù)器及證書驗證 加密及虛擬專網(wǎng) (VPN) 防火墻知識 ? 定義：防火墻應(yīng)當(dāng)是兩個或多個網(wǎng)絡(luò)之間信息必須流經(jīng)的節(jié)流單點，流經(jīng)數(shù)據(jù)應(yīng)可被控制、記錄（認(rèn)證） ? 來源建筑詞匯，用于限制（ 潛在的 ）火災(zāi)在建筑 內(nèi)部 的蔓延，后被引申至信息安全領(lǐng)域中 訪問控制、邊界整合 類的 middlebox產(chǎn)品 ? 1988年 Digital Equipment Corporation (DEC) 開發(fā)出了第一款防火墻： SEAL（ Secure External Access Link） ? 摘自 防火墻文化 ? 一段臺詞 “ John, lets feed it a tapeworm. Nah, it’s too risky. It might smash the system. How’d the kid get in—through the back door? We took it out. Can we invade the deep logic? We keep hitting a damn firewall.” 取自電影 《 wargame》（ 1983） 防火墻需求的產(chǎn)生 ? 操作系統(tǒng)和應(yīng)用安全問題 – 溢出 – 蠕蟲 ? 安全策略執(zhí)行 – 全局安全策略的一部分 ? 信息泄漏 – 防止企業(yè)敏感信息外泄 ? 審計 – 輔助系統(tǒng)、入侵檢測日志 ? 阻止信息訪問 – CHIPA： Children‘s Inter Protection Act 通用基礎(chǔ)架構(gòu) ? 防火墻區(qū)域 – 信任區(qū) – 非信任區(qū) – DMZ ? 防火墻實現(xiàn) – 應(yīng)用層 – 傳輸層 – 網(wǎng)絡(luò)層 – 數(shù)據(jù)鏈路層 防火墻硬件平臺 ? X86平臺 – 靈活開發(fā)，投資少，周期短，無法滿足高速環(huán)境 ? NP架構(gòu) – 靈活性適中，轉(zhuǎn)發(fā)性能好 ? ASIC架構(gòu) – 開發(fā)投資大，周期長，性能好，升級難 防火墻工作模式 ? 包過濾防火墻 – 路由器實現(xiàn)包過濾功能 ? 應(yīng)用層網(wǎng)關(guān) – 內(nèi)、外網(wǎng)的“中間人” ? 基于狀態(tài)監(jiān)測的包過濾防火墻 – 主流技術(shù) 物理層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層 傳輸層 會話層 表示層 應(yīng)用層 應(yīng)用層防火墻 狀態(tài)監(jiān)測 包過濾 包過濾防火墻 ? 包過濾防火墻 – 對含有 IP地址（源、目的）、端口號（源、目的）、協(xié)議類型等內(nèi)容的包頭進(jìn)行檢測 – 典型產(chǎn)品：路由器 ? 優(yōu)點 – 高效 – 對用戶透明 ? 缺點 – 檢測不考慮數(shù)據(jù)內(nèi)容、會話連接 物理層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層 傳輸層 會話層 表示層 應(yīng)用層 包過濾 包過濾 ? 包過濾信息 – 數(shù)據(jù)包的頭信息 (源地址、目的地址、協(xié)議、源端口、目的端口、包長度 ) – 到達(dá)防火墻的哪一個接口上，從防火墻的哪一個接口上出去 – 傳輸層頭部選項和標(biāo)志位 – 數(shù)據(jù)包到達(dá)的日期和時間 主要威脅 ? IP欺騙 – 在數(shù)據(jù)包包頭中插入虛假源地址，以使該數(shù)據(jù)包看似發(fā)自受信源 – 解決方法：確定數(shù)據(jù)包并非來自包頭指示位置 ? IP源路由選項 – 允許數(shù)據(jù)包源的用戶指定通向某一目的地的路徑 – 多用于排錯 – 同樣被利用與偽造受信源地址 路由器檢測異常流量 ? 路由器對數(shù)據(jù)包進(jìn)行標(biāo)識，阻塞 – URL和字節(jié)數(shù)匹配 – 訪問列表，策略路由 . Router(config)class?map match?any ?hacks Router(config?cmap)match protocol url ** Router(config?cmap)match protocol url **“ Router(config)policy?map mark?inbound??hacks Router(config?pmap)class ?hacks Router(config?pmap)set ip dscp 1 Router(config)interface ether 0/0 Router(config?if)service?policy input mark?inbound??hacks matchany,迚行戒 (滿足任一 ), 定義流類型 如何處理 URL關(guān)鍵字 match packet length min 404 max 404 字節(jié)數(shù) 阻塞 ? 基于應(yīng)用訪問列表 Router(config)access?list 105 deny ip any any dscp 1 log Router(config)access?list 105 permit ip any any Router(config)interface ether 0/1 Router(config?if)ip access?group 105 out ? 基于策略 Router(config)policy?map drop?inbound??hacks Router(config?pmap)class ?hacks Router(config?pmap)police 1000000 31250 31250 conform?action drop exceed?action drop violateaction drop Router(config)interface ether 0/0 Router(config?if)service?policy input drop?inbound??hacks Code Red 阻塞 ? 基于策略路由 Router(config)access?list 106 permit ip any any dscp 1 Router(config)route?map null_policy_route 10 Router(configrmap)match ip address 106 Router(configrmap)set interface Null0 Router(config)interface ether 0/0 Router(config?if)ip policy route?map null_policy_route 應(yīng)用層防