【正文】 連通。 防火墻技術(shù) 防火墻是位于兩個(gè)（或多個(gè)）網(wǎng)絡(luò)間，通過(guò)執(zhí)行訪問(wèn)控制策略來(lái)達(dá)到網(wǎng)絡(luò)安全的一個(gè)或一組軟、硬件系統(tǒng)，它隔離了內(nèi)部和外部網(wǎng)絡(luò)，是內(nèi)外網(wǎng)絡(luò)通訊的唯一途徑。 第三句話的含義就是網(wǎng)絡(luò)上的資源應(yīng)有備份系統(tǒng)或有抗破壞能力，比如系統(tǒng)校驗(yàn)恢復(fù)。這句話的另一個(gè)隱含意義還有：網(wǎng)絡(luò)訪問(wèn)主體對(duì)他的訪問(wèn)行為不能抵賴 。 對(duì)第一句話，我們強(qiáng)調(diào)網(wǎng)絡(luò)訪問(wèn)主體能夠訪問(wèn)他被授權(quán)訪問(wèn)的資源，因?yàn)檫@的確是一個(gè)很現(xiàn)實(shí)的安全問(wèn)題。 因此說(shuō)，安全必須個(gè)性化定制，通用的方案并不存在。比如證券、保險(xiǎn)等金融行業(yè)較側(cè)重于信息的存取控制能力，而信息發(fā)布網(wǎng)站則更側(cè)重于服務(wù)保證能力；正如不能用一把鑰匙去開(kāi)所有的鎖一樣，沒(méi)有任何一個(gè)單一的安全工具或方案能夠滿足所有用戶的所有安全要求。離開(kāi)這一主題，奢談安全技術(shù) 和產(chǎn)品無(wú)異于南轅北轍。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全，必須結(jié)合網(wǎng)絡(luò)的具體需求，將多種安全措施進(jìn)行整合，建立一個(gè)立體的、完整的、多層次的網(wǎng)絡(luò)安全防御體系，這樣一個(gè)全方位的網(wǎng)絡(luò)安全解決方案，可以防止安全風(fēng)險(xiǎn)各個(gè)方面的問(wèn)題。 3 網(wǎng)絡(luò)安全防護(hù)實(shí) 現(xiàn)策略 影響網(wǎng)絡(luò)安全的因素很多，保護(hù)網(wǎng)絡(luò)安全的技術(shù)、手段也很多。與其他系統(tǒng)一樣， IDS 本身也存在安全漏洞，若對(duì) IDS 攻擊成功，則導(dǎo)致報(bào)警失靈，入侵者在其后的行為將無(wú)法被記錄，因此要求系統(tǒng)應(yīng)該采取多種安全防護(hù)手段。入侵檢測(cè)系統(tǒng)通?？梢耘c防火 墻結(jié)合在一起工作，當(dāng)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)攻擊行為時(shí)，過(guò)濾掉所有來(lái)自攻擊者的數(shù)據(jù)包，當(dāng)一個(gè)攻擊者假冒大量不同的 IP 進(jìn)行模擬攻擊時(shí)，入侵檢測(cè)系統(tǒng)自動(dòng)配置防火墻將這些實(shí)際上并沒(méi)有進(jìn)行任何攻擊的地址都過(guò)濾掉，于是造成新的拒絕服務(wù)訪問(wèn)。入侵檢測(cè)系統(tǒng)是一項(xiàng)新興技術(shù)，隨著技術(shù)的發(fā)展和對(duì)新攻擊識(shí)別的增加，入侵檢測(cè)系統(tǒng)需要不斷的升級(jí)才能保證網(wǎng)絡(luò)的安全性。 3 網(wǎng)絡(luò)設(shè)備越來(lái)越復(fù)雜、越來(lái)越多樣化就要求入侵檢測(cè)系統(tǒng)能有所定制，以 適應(yīng)更多的環(huán)境的要求。從 Yahoo 等著名的 CGI 攻擊事件中，了解到安全問(wèn)題日漸突出，攻擊者的水平在不斷地提高，加上日趨成熟多樣的攻擊工具，以及越來(lái)越復(fù)雜的攻擊手法，使入 北京航空航天大學(xué)畢業(yè)設(shè)計(jì) (論文 ) 第 16 頁(yè) 侵檢測(cè)系統(tǒng)必須不斷跟蹤最新的安全技術(shù)。 小結(jié) 本章對(duì)目前典型的網(wǎng)絡(luò)攻擊行為技術(shù)特點(diǎn)進(jìn)行了分析，主要包括、拒絕服 務(wù) DoS、惡意軟件、利用脆弱、操縱包、內(nèi)部攻擊和 CGI 攻擊，并針對(duì)它們的 特點(diǎn)提出了相關(guān)的應(yīng)對(duì)方法。所以，這樣的攻擊對(duì)電子商務(wù)服務(wù)器、域名服務(wù)器、搜索引擎、以及政府站點(diǎn)等影響最大。這樣的攻擊所造成的損害會(huì)很嚴(yán)重，因?yàn)楹诳陀袡?quán)篡改用戶信息，進(jìn)行非法交易等。 高級(jí)的 CGI 攻擊 黑客可以獲得數(shù)據(jù)庫(kù)訪問(wèn)權(quán)獲得用戶的資料、獲得權(quán)限，還可以修改頁(yè)面。第三個(gè)重要原因是使用了安全性脆弱的口令。如果是這樣，那么一旦 d 出現(xiàn)任何形式的漏洞都將是致命的。這種情況的 CGI 攻擊發(fā)生的一個(gè)重要原因是服務(wù)器上運(yùn)行著不安全的 CGI 腳本。具體來(lái)說(shuō)大致有，以下兩種類型的 CGI 攻擊。 CGI 攻擊 從 CERT 等安全組織的安全報(bào)告分析，近期對(duì) CGI 的黑客攻擊發(fā)生的較為頻繁。因?yàn)椤懊ぁ逼垓_不能夠獲得從被欺騙的目標(biāo)發(fā)送回來(lái)的響應(yīng)，即黑客不可能與被欺騙目標(biāo)主機(jī)建立真正的連接。黑客必須能夠在某個(gè)網(wǎng)絡(luò)上成功地控制 一 臺(tái)主機(jī)，并在該主機(jī)上安裝嗅探器，然后在合適的時(shí)間取回嗅探器 的記錄信息。這是黑客不愿意看到的。 隱蔽 如果黑客在被其入侵的計(jì)算機(jī)上安裝了諸如后門守護(hù)程序等為其服務(wù)的特殊軟件，往往是該主機(jī)一開(kāi)機(jī)后就運(yùn)行著一個(gè)或多個(gè)進(jìn)程。黑客攻擊發(fā)生后，日志中的信息就成為緝拿黑客的最主要的線索之一，并且也是將黑客定罪的重要證據(jù)。 日志修改 在被攻擊的計(jì)算機(jī)日志等事件記錄裝置上修改黑客非法入侵訪問(wèn)和攻擊的蹤跡，修改日志文件 是黑客學(xué)習(xí)的第一件事情，其道理是顯然的。 “后門”守護(hù)程序 黑客成功入侵了遠(yuǎn)程網(wǎng)絡(luò)上某臺(tái)計(jì)算機(jī)后 (一般指的是擁有管理員權(quán)限，或 root 權(quán)限 )，為了達(dá)到其進(jìn)一步訪問(wèn)或進(jìn)行其他攻擊的目的，往往在該主機(jī)上安裝某些特定的軟件，例如守護(hù)程序 deamon。不僅如此，過(guò)濾路由器還要過(guò)濾掉那些聲稱源地址不是本網(wǎng)絡(luò)的出網(wǎng)數(shù)據(jù)包，以防止 IP 欺騙從本網(wǎng)絡(luò)發(fā)生。如果 IP 欺騙對(duì)內(nèi)部某個(gè)系統(tǒng)進(jìn)行了成功地攻擊，該受到攻擊主機(jī)的日志會(huì)記錄這樣的訪問(wèn)，“攻擊主機(jī)”的源地址是內(nèi)部某個(gè)主機(jī)而在“攻擊主機(jī)”上查找日志時(shí)，卻沒(méi)有這樣的記錄。 IP 操縱小結(jié) 針對(duì) 以上的 攻擊行為可以采取以下措施 1 檢測(cè) 令使用網(wǎng)絡(luò)監(jiān)視軟件，例如 log 軟件，監(jiān)視外來(lái)的數(shù)據(jù)包。如果路由器沒(méi)有正確設(shè)置，對(duì)聲稱源地址是本網(wǎng)絡(luò)的進(jìn)網(wǎng)數(shù)據(jù)包不進(jìn)行過(guò)濾，則容易使 IP 欺騙攻擊得逞。但是，這種“盲”IP 欺騙往往是黑客能夠事先預(yù)計(jì)到目標(biāo)主機(jī)可能會(huì)做出的響應(yīng)，從而構(gòu)成其他攻擊的組成部分。 盲 IP 欺騙 改變?cè)?IP 地址進(jìn)行欺騙。解決這方面的問(wèn)題，一是教育，教育用戶樹(shù)立安全意 識(shí)，如注意口令的設(shè)置、正確配置設(shè)備和服務(wù)等二是不斷地升級(jí)系統(tǒng)軟件和應(yīng)用軟件的版本，及時(shí)安裝“補(bǔ)丁”軟件。 信息流泄露 黑客利用在某個(gè)程序執(zhí)行時(shí)所產(chǎn)生的某些暫時(shí)的不安全條件，例如在執(zhí)行 SUID 時(shí)執(zhí)行用戶具有同被執(zhí)行程序的屬主同等權(quán)限，這樣執(zhí)行用戶就可以獲得對(duì)某些敏感數(shù)據(jù)的訪問(wèn)權(quán)。這就是為什么現(xiàn)在針對(duì)緩沖區(qū)溢出的攻擊事件不斷地發(fā)生的主要原因。例如，語(yǔ)言中，函數(shù)地不對(duì)用戶輸入的數(shù)量進(jìn)行檢查，如果程序員不考慮這個(gè)情況就會(huì)出問(wèn)題。 另一種形式的緩沖區(qū)溢出攻擊是程序代碼編寫時(shí)欠考慮。 緩沖區(qū)溢出 一種形式的緩沖區(qū)溢出攻 擊是黑客本人編寫并存放在緩沖區(qū)后任意的代碼，然后執(zhí)行這些代碼。 第四，及時(shí)更新清除惡意軟件的工具許多反惡意軟件的工具，如反病毒軟件，使用已知惡意軟件特征的數(shù)據(jù)庫(kù)，而新類型的惡意軟件不斷地出現(xiàn)，因此，檢測(cè)軟件應(yīng)該不斷地更新以確保有最新的檢測(cè)版本。另外，許多病毒等惡意軟件有一定的特點(diǎn)，用戶應(yīng)該得到一定的識(shí)別知識(shí)，并且能夠使用適當(dāng)?shù)能浖宄? 北京航空航天大學(xué)畢業(yè)設(shè)計(jì) (論文 ) 第 12 頁(yè) 用戶應(yīng)該接受諸如病毒等惡意軟件傳播及防止它們進(jìn)一步傳播的教育。一般情況下，這種方法在初始安裝和配置操作系統(tǒng)時(shí)最為可靠。 要考慮反病毒等工具要進(jìn)行脫線備份，以防止它們可能被病毒等惡意軟件修改而失去檢測(cè)功能。例如，確定誰(shuí)有權(quán)在計(jì)算機(jī)上下載和安裝軟件誰(shuí)負(fù)責(zé) 檢測(cè)和清除惡意軟件，用戶還是管理員禁止用戶運(yùn)行從一上接收到的可執(zhí)行文件、禁止從公共站點(diǎn)上下載軟件等。 第一， 制定一個(gè)保護(hù)計(jì)算機(jī)防止被病毒等惡意軟件威脅的計(jì)劃。排除惡意軟件的威脅代價(jià)是高昂的。當(dāng)合法用戶使用這樣合法的功能時(shí)，特洛伊木馬也同時(shí)執(zhí)行了 非授權(quán)的功能，而且通常篡奪了用戶權(quán)限。 特洛伊木馬 一種獨(dú)立的、能夠執(zhí)行任意命令的程序。 病毒 它是一種程序或代碼但并不是獨(dú)立的程序，能夠在當(dāng)前的應(yīng)用中自我復(fù)制，并且可以附著在其他程序上。像病毒一樣，蠕 蟲(chóng)可以直接破壞數(shù)據(jù)，或者因消耗系統(tǒng)資源而減低系統(tǒng)性能，甚至使整個(gè)網(wǎng)絡(luò)癱瘓。一般情況下，黑客攻破某個(gè)系統(tǒng)后，即使系統(tǒng)管理員發(fā)現(xiàn)了黑客行為并堵住了系統(tǒng)的漏洞，為了能夠再次訪問(wèn)該系統(tǒng)，黑客 北京航空航天大學(xué)畢業(yè)設(shè)計(jì) (論文 ) 第 11 頁(yè) 往往在系統(tǒng)中安放這樣的程序。 惡意軟件 邏輯炸彈 它是一種程序，在特定的條件下通常是由于漏洞會(huì)對(duì)目標(biāo)系統(tǒng)產(chǎn)生破壞作 用。現(xiàn)在是 DDoS 攻擊，那么下一次攻擊也許就是分布式欺騙 (Distributed spoofing)、分布式監(jiān)聽(tīng) (Distributed sniffing)、或者是分布式分段攻擊 (Distributed FragmentationAttacks)從根本上還是 要維護(hù)好上網(wǎng)主機(jī)的安全性。 拒絕服務(wù)攻擊小結(jié) 分布式網(wǎng)絡(luò)攻擊 DNA(Distributed Network Attacks)成為黑客的主要攻擊手段，這也是未來(lái)連接在因特網(wǎng)上機(jī)構(gòu)所面臨的嚴(yán)重威脅之一。由于攻擊點(diǎn)眾多，被攻擊方要進(jìn)行防范就更加不易。 4 攻擊的規(guī)?？梢愿鶕?jù)情況做得很大，使目標(biāo)系統(tǒng)完全失去提供服務(wù)的功能。 3 隱蔽性更強(qiáng)。如果從 黑客本人的主機(jī)上發(fā)出拒絕服務(wù)攻擊，即使他采用偽造地址等手段加以隱蔽，從網(wǎng)絡(luò)流量異常這一點(diǎn)就可以大致判斷其位置，與合作還是較容易定位和緝拿到黑客的。 分布式拒絕服務(wù)攻擊 DDoS 傳統(tǒng)攻擊的缺點(diǎn)是 ： 1 受網(wǎng)絡(luò)資源的限制。例如，當(dāng)黑客遠(yuǎn)程向目標(biāo)主機(jī)發(fā)出的 SYN 包，其源地址和端口與目標(biāo)主機(jī)的地址和端口一致時(shí)，目標(biāo)主機(jī)就可能死機(jī)或掛起。類似這樣的黑客攻擊工具有 Teardrop NewTear Bonk 和 Boink 等。例如，當(dāng)黑客遠(yuǎn)程向目標(biāo)主機(jī)發(fā)送的 IP 片段，然后在目標(biāo)主機(jī)上重新構(gòu)造成一個(gè)無(wú)效的 UDP 包，這個(gè)無(wú)效的 UDP 包使得目標(biāo)主機(jī)處于不穩(wěn)定狀態(tài)。雖然當(dāng)前的 IP 協(xié)議技術(shù)不可能消除 IP 偽造數(shù)據(jù)包，但使用過(guò)濾技術(shù)可以減少這種偽造發(fā)生的可能?？梢哉f(shuō)， Smurfing 攻擊的受害者是黑客的攻擊目標(biāo)，和無(wú)辜的充當(dāng)黑客攻擊工具的第三方網(wǎng)絡(luò)。當(dāng)黑客向某個(gè)網(wǎng)絡(luò)的廣播地址發(fā)送 ICMPECHO REQUEST 包時(shí)，如果網(wǎng)絡(luò)的路由器對(duì)發(fā)往網(wǎng)絡(luò)廣播地址的 ICMP 包不進(jìn)行過(guò)濾，則網(wǎng)絡(luò)內(nèi)部的所有主機(jī)都可以接收到該 ICMP 請(qǐng)求包，并且都要向 ICMP 包所指示的源地址回應(yīng) ICMP ECHO REPLAY 包。 ICMP 是用來(lái)處理錯(cuò)誤和交換控制信息的，并且可以用來(lái)確定網(wǎng)絡(luò)上的某臺(tái)主機(jī)是否響應(yīng)。 Smurfing 拒絕服務(wù) Smurfing 拒絕服務(wù)攻擊的主要原理黑客使用 IP 廣播和 IP 欺騙使 Flooding 攻擊的 效果倍增，使用偽造的 ICMPECHO REQUEST 包發(fā)往目標(biāo)網(wǎng)絡(luò)的 IP 廣播地址。在討論網(wǎng)絡(luò)安全防御系統(tǒng)方案之前，先分析一下目前因特網(wǎng)上各種黑客攻擊方法的技術(shù)特點(diǎn)，本章將對(duì)每種攻擊方法的技術(shù)原理作以簡(jiǎn)單的分析，并提出相應(yīng)的應(yīng)對(duì)措施。 2 網(wǎng)絡(luò)攻擊行為技術(shù)特點(diǎn)分析 安全與攻擊 之間存在著不可分割的因果關(guān)系，如果在信息世界中不存在攻擊行為，似乎沒(méi)有太多的必要在這里討論安全。 第二章 本章 從體系結(jié)構(gòu)標(biāo)準(zhǔn)入手， 分析了 當(dāng)前主流 具有代表性的網(wǎng)絡(luò)風(fēng)險(xiǎn) ，對(duì)其的技術(shù)原理做了簡(jiǎn)單的分析，并提出了相應(yīng)的解決辦法。 論文構(gòu)成及研究?jī)?nèi)容 本文共分 3 章。 由于網(wǎng)絡(luò)安全與防護(hù)技術(shù)涉及許多敏感技術(shù)，國(guó)內(nèi)外技術(shù)交流受到很多阻礙。特別是投入實(shí)際使用的入侵檢測(cè)系統(tǒng)產(chǎn)品很少，系統(tǒng)功能還比較簡(jiǎn)單。所以，在網(wǎng)絡(luò)安全與防護(hù)技術(shù)逐漸成為強(qiáng)化網(wǎng)絡(luò)和打擊網(wǎng)絡(luò)犯罪的有效手段的重要時(shí)期，要想不落后于世界其他國(guó)家，必須加強(qiáng)在這方面的研究和實(shí)踐。在商用領(lǐng)域，僅有北京冠群金辰軟件有限公司的干將莫邪入侵檢測(cè)系統(tǒng)中科網(wǎng)威公司的入侵檢測(cè)系統(tǒng)等少數(shù)幾家公司或研究機(jī)構(gòu)的成型產(chǎn)品。但在入侵檢測(cè)技術(shù)方面的研究還剛剛起步，處于跟蹤國(guó)外技術(shù)階段。這些工具的功能比較完善而且有較強(qiáng)的實(shí)用性，能對(duì)大量攻擊和系統(tǒng)濫用特征進(jìn)行識(shí)別，并采取及時(shí)的入侵反應(yīng)措施，還能添加新的攻擊特征。美國(guó)進(jìn)行入侵檢測(cè)研究的主要機(jī)構(gòu)有加利福尼亞大學(xué)分校安全實(shí)驗(yàn)室、斯坦福國(guó)際研究所計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室、大學(xué)的、新墨西哥大學(xué)等。對(duì) 域網(wǎng)范圍的入侵活動(dòng)如蠕蟲(chóng)、分布式協(xié)作攻擊進(jìn)行檢測(cè)和必要的入侵反應(yīng)機(jī)制如自動(dòng)響應(yīng)、對(duì)入侵者進(jìn)行跟蹤并發(fā)現(xiàn)其源頭，是當(dāng)前網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究的重點(diǎn)。 在入侵檢測(cè)技術(shù)發(fā)展的初期，檢測(cè)方法比較簡(jiǎn)單，而且設(shè)計(jì)、使用的大多是基于主機(jī)的入侵檢測(cè)系統(tǒng)。為了能實(shí)時(shí)地監(jiān)控網(wǎng)絡(luò)用戶的行為，入侵檢測(cè)技術(shù)近年來(lái)迅速發(fā)展起來(lái)。然后是防火墻技術(shù)，它土要是通過(guò)編寫各種規(guī)則，可以過(guò)濾掉一些違反規(guī)則的數(shù)據(jù)包，從而增強(qiáng)站點(diǎn)的安 全性能。 國(guó)內(nèi)外研究現(xiàn)狀 網(wǎng)絡(luò)安全技術(shù)發(fā)展至今已有兒十年的歷史，其中人約經(jīng)過(guò)了二個(gè)階段。 具體來(lái)說(shuō)，網(wǎng)絡(luò)安全是指通過(guò)各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其數(shù)據(jù)資源受到保護(hù)，避免因黑客、惡意軟件、系統(tǒng)漏洞等威脅使數(shù)據(jù)資源遭到破壞。邏輯安全包括信息完整性、保密性和可用性。信息系統(tǒng)安全的內(nèi)容應(yīng)包括兩方面即物理安全和邏輯安全。也有人將“信息系統(tǒng)安全”定義為“計(jì)算機(jī)的硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常運(yùn)行。國(guó)際標(biāo)準(zhǔn)化組織將“信息系統(tǒng)安全”定義為“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算 機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。 因此，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)必須采用針對(duì)各種不同威脅的安全措施，使硬件和軟件相結(jié)合，技術(shù)和管理相補(bǔ)充，建立全方位的網(wǎng)絡(luò)安全管理體系， 才能保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定、高效地運(yùn)行。s society a solution, And to analyze the working principle of their realization, as well as indepth understanding of their work process. Key word : Network Security Firewall Network Prot