【正文】 火墻 ? 應(yīng)用層防火墻 – 運(yùn)行在網(wǎng)絡(luò)和服務(wù)器之間的應(yīng)用層網(wǎng)關(guān) – 典型產(chǎn)品： ISA ? 優(yōu)點(diǎn) – 提供 7層及以下層面防護(hù) ? 缺點(diǎn) – 可能造成服務(wù)瓶頸 物理層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層 傳輸層 會話層 表示層 應(yīng)用層 應(yīng)用層防火墻 狀態(tài)監(jiān)測防火墻 ? 基于狀態(tài)監(jiān)測的包過濾防火墻 – 由 Check Point提出 – 根據(jù)其協(xié)議以及 連接狀態(tài) 對穿過防火墻的數(shù)據(jù)進(jìn)行檢測，可以追蹤和控制 會話流 ? 優(yōu)點(diǎn) – 高效 – 完善的審計、日志功能 ? 缺點(diǎn) – 缺乏應(yīng)用層檢測 物理層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層 傳輸層 會話層 表示層 應(yīng)用層 狀態(tài)監(jiān)測 會話流 Routershow ip cache flow | include 0050 ... scram scrappers dative DstIPaddress Pr SrcP DstP Pkts Vl1 Vl3 06 0F9F 0050 2 Vl1 Null 06 0457 0050 1 Vl1 Vl3 06 3000 0050 1 Vl1 Null 06 B301 0050 1 Vl1 Vl3 06 0EED 0050 1 Vl1 Null 06 0E71 0050 1 Vl1 Vl3 06 121F 0050 1 Vl1 Vl3 06 1000 0050 1 Vl1 Vl3 06 09B6 0050 1 Vl1 Null 06 1132 0050 1 ? 會話流（ flow） – 通過分析流入 /流出網(wǎng)絡(luò)的流，對通信會話 /應(yīng)用信息作出實(shí)時的安全判斷 狀態(tài)監(jiān)測 ? 狀態(tài)和上下文信息 – 數(shù)據(jù)包的頭信息 (源地址、目的地址、協(xié)議、源端口、目的端口、包長度 ) – 連接狀態(tài)信息 (哪一個連接打開了哪一個端口 ) – TCP 和 IP 分段數(shù)據(jù) (例如：分段號、順序號 ) – 數(shù)據(jù)包重組、應(yīng)用類型、上下文校驗(yàn) (即：包屬于哪個通訊會話 session) – 到達(dá)防火墻的哪一個接口上，從防火墻的哪一個接口上出去 – 第二層信息 （如 VLAN ID號 ) – 數(shù)據(jù)包到達(dá)的日期和時間 SYN標(biāo)記檢查 禁用了 SYN 標(biāo)記檢查 啟用了 SYN 標(biāo)記檢查 防火墻功能以及其實(shí)現(xiàn) 我們可以依賴防火墻 … 我們不可以依賴防火墻 …… 我們可以依賴防火墻 … 我們不可以依賴防火墻 …… 防火墻所具備的 ? 訪問控制 ? 攻擊檢測和防御 ? 傳輸安全（ VPN） ? 路由 ? 地址轉(zhuǎn)換 ? 用戶認(rèn)證 ? 可用性提高 攻擊檢測與防御 傳輸安全 路由 用戶認(rèn)證 可用性提高 訪問控制 訪問控制 ? 訪問控制機(jī)制 – 自主訪問控制 ? 主體訪問控制：特權(quán)、口令 ? 客體訪問控制： ACL、 ACE – 強(qiáng)制訪問控制 (MAC） ? 防火墻以其阻塞點(diǎn)的身份實(shí)現(xiàn)監(jiān)視和控制 – 服務(wù)控制：確定哪些服務(wù)可以被訪問 – 方向控制：對于特定的服務(wù)，可以確定允許哪個方向能夠通過防火墻 – 用戶控制：根據(jù)用戶來控制對服務(wù)的訪問 – 行為控制：控制一個特定的服務(wù)的行為 訪問控制與審核 ? 防火墻對進(jìn) /出流量的記錄可作為審核入侵檢測系統(tǒng)、系統(tǒng)日志有效的補(bǔ)充 – 身份認(rèn)證 訪問控制 審核 – 入侵檢測系統(tǒng)以事件為主導(dǎo) – 系統(tǒng)日志以行為為主導(dǎo) ? 注意事項(xiàng) – 時區(qū) – 時滯 攻擊檢測和防御 ? 攻擊檢測和防御 – 踩點(diǎn)防御 – 拒絕服務(wù)攻擊防御 – 內(nèi)容監(jiān)控與過濾 – 深度檢測（ DPI） 踩點(diǎn)防御 ? 踩點(diǎn)：為更有效、更隱蔽的進(jìn)行攻擊所實(shí)施的工作 ? 常見踩點(diǎn)收集信息 – 公開域信息（ google hacking,whois） – 掃描信息 ? 存活性掃描 ? 端口掃描（ TCP， UDP， RPC…) ? Banner grabbing ? 漏洞掃描 ? OS fingerprint – 社交工程 – …… 存活性掃描 端口掃描 漏洞掃描 OS識別 掃描流程 主機(jī)存活掃描技術(shù) ? 主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)。這是信息收集的初級階段，其效果直接影響到后續(xù)的掃描。Apache：修改存放 Banner信息的文件字段進(jìn)行修改 – Servermask ? 偽造多種主流 Web服務(wù)器Banner ? 偽造 Http應(yīng)答頭信息里的項(xiàng)的序列 使用前后 $ nc 80 HEAD / HTTP/ HTTP/ 200 OK Server: MicrosoftIIS/ ContentLocation: Date: Fri, 01 Jan 1999 20:09:05 GMT ContentType: text/html AcceptRanges: bytes LastModified: Fri, 01 Jan 1999 20:09:05 GMT ETag: W/e0d362a4c335be1:ae0 ContentLength: 133 $ nc 80 HEAD / HTTP/ HTTP/ 200 OK Date: Fri, 01 Jan 1999 20:06:24 GMT Server: Apache/ (Unix) (RedHat/Linux) mod_ssl/ OpenSSL/ DAV/ PHP/ mod_perl/ ContentLocation: LastModified: Fri, 01 Jan 1999 20:06:24 GMT ETag: W/e0d362a4c335be1:ae0 AcceptRanges: bytes ContentLength: 133 ContentType: text/html – 使用前 – 使用后 理論基礎(chǔ) ? 協(xié)議行為 – 利用不同服務(wù)器對 HTTP協(xié)議的實(shí)現(xiàn)差異 – 測試 ? 正常請求： HEAD / HTTP/ ? 異常操作： DELETE / HTTP/ ? 異常版本： GET / HTTP/ ? 異常協(xié)議： GET / JUNK/ 服務(wù)器 序列 DELETE 方式 異常 HTTP 版本 異常協(xié)議 Apache/ Date, Server 405 400 200 MicrosoftIIS/ Server, Date 403 200 400 NetscapeEnterprise/ Server, Date 401 505 no header 相關(guān)資料 ? 工具 – Httprecon ? kte/recon/ – Httprint ? ml ? 文檔 – bs OS fingerprint技術(shù) ? TCP指紋識別技術(shù) – 被動識別技術(shù) ? 利用對報頭內(nèi) DF位， TOS位，窗口大小， TTL的嗅探判斷 OS ? 掃描工具： Siphon，天眼 – 主動識別技術(shù) ? 掃描工具： nmap O ? ICMP指紋識別技術(shù) – Ofir Arkin最早提出 ，其