【正文】 .................................... 25 系統(tǒng)層安全風險 ..................................................................................... 26 應用層安全風險 ..................................................................................... 26 管理風險 ................................................................................................. 26 教育網(wǎng)安全需求 ..................................................................................... 26 校園網(wǎng)安全解決方案 ............................................................................. 27 防火墻 ..................................................................................................... 27 防病毒 (IDS/IPS)..................................................................................... 29 系統(tǒng)安全 ................................................................................................. 30 安全管理 ................................................................................................. 32 結(jié)論 ..................................................................................................................... 33 致謝 ...................................................................................................................... 34 參考文獻 .............................................................................................................. 35 附錄 A 校園網(wǎng) 典型案例 ..................................................................................... 36 中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 4 頁 1 引言 科學技術(shù)的飛速發(fā)展，人們已經(jīng)生活在信息時代。近年來因特網(wǎng)的飛速發(fā)展，給人們的生活帶來了全新地感受，人類社會各種活動對信息網(wǎng)絡地依賴程度已經(jīng)越來越大?！昂诳凸簟本W(wǎng)站被“黑”，“ CIH 病毒”無時 無刻不充斥在網(wǎng)絡中。因此信息安全，網(wǎng)絡安全的問題已經(jīng)引起各國，各部門，各行各業(yè)以及每個計算機用戶的充分重視。對此，我們既不能對那些潛在的危險不予重視，遭受不必要的損失；也不能因為害怕某些危險而拒絕因特網(wǎng)的各種有益的服務，對個人來說這樣會失去了了解世界、展示自己的場所，對企業(yè)來說還失去了拓展業(yè)務、提高服務、增強競爭力的機會。 防 火墻是什么 防火墻是一種非常有效的網(wǎng)絡安全模型。但防火墻不只是用于因特網(wǎng)，也用于 Intra 中的部門網(wǎng)絡之間。通常，防火墻是一組硬件設備－路由器，主計算機，或者是路由器，計算機和配有的軟件的網(wǎng)絡的組合。 2 防火墻的分類 從防火墻的防范方式和側(cè)重點的不同來看，防火墻可 以分為很多類型，但中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 5 頁 是根據(jù)防火墻對內(nèi)外來往數(shù)據(jù)處理方法，大致可將防火墻分為兩大體系：包過濾防火墻和代理防火墻。它會檢查所有通過信息包里的 IP 地址號，端口號及其它的包頭信息，并根據(jù)系統(tǒng)管理員給定的過濾規(guī)則和準備過濾的信息包一一匹配，其中：如果信息包中存在一點與過濾規(guī)則不符合，那么這個信息包里所有的信息都會被防火墻屏蔽掉，這個信息包就不會通過防火墻。靜態(tài)包的過濾原理就 是：將信息分成若干個小數(shù)據(jù)片（數(shù)據(jù)包），確認符合防火墻的包過濾規(guī)則后，把這些個小數(shù)據(jù)片按順序發(fā)送，接收到這些小數(shù)據(jù)片后再把它們組織成一個完整的信息這個就是包過濾的原理。但由于用戶的使用記錄沒有記載，如果有不懷好意的人進行攻擊的話，我們即不能從訪問記錄中得到它的攻擊記錄，也無法得知它的來源。其中 “信息包沖擊 ”是攻擊者最常用 的攻擊手段：主要是攻擊者對包過濾防火墻發(fā)出一系列地址被替換成一連串順序 IP 地址的信息包，一旦有一個包通過了防火墻，那么攻擊者停止再發(fā)測試 IP 地址的信息包，用這個成功發(fā)送的地址來偽裝他們所發(fā)出的對內(nèi)部網(wǎng)有攻擊性的信息。它采用的規(guī)則是發(fā)展為 “包狀態(tài)檢測技術(shù) ”的動態(tài)設置包過濾規(guī)則。在這里我們了解的是代理防火墻。代理服務器型防火墻提供了日志和審記服務。由于內(nèi)外網(wǎng)的計算機對話機會根本沒有，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。它結(jié)合了代理類型防火墻和包過濾防火墻的優(yōu)點，即保證了安全性又保持了高速度，同時它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。通常是指運行特別編寫或更改過操作系統(tǒng)的計算機，它的目的就是保護內(nèi)部網(wǎng)的訪問安全。它主要的保護就是加強外部 Inter 對內(nèi)部網(wǎng)的訪問控制，它主要任務是允許特別的連接通過，也可以阻止其它不允許的連接。 防火墻的核心功能主要是包過濾。 防火墻的主體功能歸納為以下幾點： (1)根據(jù)應用程序訪問規(guī)則可對應用程序連網(wǎng)動作進行過濾 (2)對應用程序訪問規(guī)則具有自學習功能。 (4)具有日志，以記錄網(wǎng)絡訪問動作的詳細信息。 防火墻僅靠這些核心技術(shù)功能是遠遠不夠的 。而實現(xiàn)防火墻的核心功能是封包過濾。某些威脅是防火墻力所不及的。內(nèi)部人員可能濫用被給予的訪問權(quán)，從而導致事故。另外，一些用來傳送數(shù)據(jù)的電話線很有可能被用來入侵內(nèi)部網(wǎng)絡。雖然現(xiàn)在有些中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 8 頁 防火墻可以檢查病毒和特洛伊木馬，但這些防火墻只能阻擋已知的惡意程序，這就可能讓新的病毒和木馬溜進來。 5 防火墻主要技術(shù)特點： （ 1）應用層采用 Winsock 2 SPI 進行網(wǎng)絡數(shù)據(jù)控制、過濾； （ 2）核心層采用 NDIS HOOK 進行控制，尤其是在 Windows 2020 下，此技術(shù)屬微軟未公開技術(shù)。 Winsock 2 SPI 工作在 API 之下、 Driver 之上，屬于應用層的范疇。比如 IE、 OUTLOOK 等常見的應用程序都是使用 Socket 進行通信。而防火墻正是在TCP/IP 協(xié)議在 windows 的基礎上才得以實現(xiàn)。 雙宿主機網(wǎng)關（ Dual Homed Gateway） 這種配置是用一臺裝有兩個網(wǎng)絡適配器的雙宿主機做防火墻。 堡壘主機上運行著防火墻軟件（通常是代理服務器），可以轉(zhuǎn)發(fā)應用程序，提供服務等。 中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 9 頁 屏蔽主機網(wǎng)關（ Screened Host Gateway） 屏蔽主機網(wǎng)關易于實現(xiàn)，安全性好，應用廣泛。先來看單宿堡壘主機類型。堡壘主機只有一個網(wǎng)卡，與內(nèi)部網(wǎng)絡連接（如圖 2）。而 Intra 內(nèi)部的客戶中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 10 頁 機，可以受控制地通過屏蔽主機和路由器訪問 Inter。 雙宿堡壘主機在應用層提供代理服務，與單宿型相比更加安全。兩個包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“緩沖地帶” (如圖 4)，兩個路由器一個控制Intra 數(shù)據(jù)流，另一個控制 Inter 數(shù)據(jù)流， Intra 和 Inter 均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。對于向Inter 公開的服務器，像 WWW、 FTP、 Mail等 Inter 服務器也可安裝在屏蔽子網(wǎng)內(nèi)，這 樣無論是外部用戶，還是內(nèi)部用戶都可訪問。當然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸；難以避免來自內(nèi)部的攻擊等等。 7 各種防火墻體系結(jié)構(gòu) 的 優(yōu)缺點 雙重宿主主機體系結(jié)構(gòu) 它 提供來自與多個網(wǎng)絡相連的主機的服務 (但是路由關閉 )，它圍繞雙重宿主主計算機構(gòu)筑。 2 個網(wǎng)絡都可以與雙重宿主主機通信，但相互之間不行，它們之間的 IP 通信被完全禁止。它能提供級別非常高的控制，并保證內(nèi)部網(wǎng)上沒有外部的 IP 包。 被屏蔽主機體系結(jié)構(gòu) 使用 1 個單獨的路由器提供來自僅僅與內(nèi)部網(wǎng)絡相連的 主機的服務。堡壘主機是 1 個高度安全的計算機系統(tǒng)，通常因為它暴露于因特網(wǎng)之下，作為聯(lián)結(jié)內(nèi)部網(wǎng)絡用戶的橋梁，易受到侵襲損害。它也可以開放一些連接 (由站點安全策略決定 )到外部世界。②不允許來自內(nèi)部主機的所有連接 (強迫這些主機經(jīng)由堡壘主機使 用代理服務 )。 弊端是，若是侵襲者設法入侵堡壘主機，則在堡壘主機與其他內(nèi)部主機之間無任何保護網(wǎng)絡安全的東西存在；路由器同樣可能出現(xiàn)單點失效，若被損害，則整個網(wǎng)絡對侵襲者開放。這種在被保護的網(wǎng)絡和外部網(wǎng)之間增加的網(wǎng)絡，為系統(tǒng)提供了安全的附加層，稱之為周邊網(wǎng)。 1 個位于周邊網(wǎng)與內(nèi)部網(wǎng)之間，稱為內(nèi)部路由器，另 1 個位于周邊網(wǎng)與外部網(wǎng)之間，稱之為外部路由器。侵襲者若想侵襲內(nèi)部網(wǎng)絡，必須通過 2 個路由器，即使他侵入了堡壘主機，仍無法進入內(nèi)部網(wǎng)。 中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 13 頁 8 常見攻擊方式以及應對策略 常見攻擊方式 病毒 盡管某些防火墻產(chǎn)品提供了在數(shù)據(jù)包通過時進行病毒掃描的功能，但仍 然很難將所有的病毒（或特洛伊木馬程序）阻止在網(wǎng)絡外面，黑客很容易欺騙用戶下載一個程序從而讓惡意代碼進入內(nèi)部網(wǎng)。 口令字 對口令字的攻擊方式有兩種：窮舉和嗅探。嗅探針對內(nèi)部網(wǎng)絡的攻擊，通過監(jiān)測網(wǎng)絡獲取主機給防火墻的口令字。 郵 件 來自于郵件的攻擊方 式越來越突出，在這種攻擊中，垃圾郵件制造者將一條消息復制成成千上萬份，并按一個巨大的電子郵件地址清單發(fā)送這條信息，當不經(jīng)意打開郵件時，惡意代碼即可進入。 IP 地址 黑客利用一個類似于內(nèi)部網(wǎng)絡的 IP 地址，以“逃過”服務器檢測，從而進入內(nèi)部網(wǎng)達到攻擊的目的。 應對策略 方案選擇 市場上的防火墻大致有軟件防火墻和硬件防火墻兩大類。硬件防火墻是一個把硬件和軟件都單獨設計，并集成在一起，運行于自己專用的系統(tǒng)平臺。 在制造上，硬件防火墻須同時設計硬件和軟件兩方面。在軟件性能方面，國外一些著名的廠家均采用專用的操作系統(tǒng)，自行設計防火墻，提供高性能的產(chǎn)品；而國內(nèi)廠家大部分基于 Linux 操作平臺，有針對性的修改代碼、增加技術(shù)及系統(tǒng)補丁等。如北京天融信的NG 系列產(chǎn)品，支持 TOPSEC 安全體系、多級過濾、透明應用代理等先進技術(shù)。以網(wǎng)橋的方式將防火墻接入網(wǎng)絡，網(wǎng)絡和用戶無需做任何設置和改動，也根本意 識不到防火墻的存在。 堅持策略 中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 15 頁 （ 1）管理主機與防火墻專用服務器端口連接，形成單獨管理通道，防止來自內(nèi)外部的攻擊。 （ 3）支持“除非明確允許，否則就禁止”的安全防范原則。 實施措施 好的防火墻產(chǎn)品應向使用者提供完整 的安全檢查功能，應有完善及時的售后服務。 9 防火墻的發(fā)展歷程 基于路由器的防火墻 由于多數(shù)路由器本身就包含有分組過濾功能，故網(wǎng)絡訪問控制可能通過路控制來實現(xiàn)，從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。這樣，對安全要求低的網(wǎng)絡可以采用路由器附帶防火墻功能的方法，而對安全性要求高的網(wǎng)絡則需要單獨利用一臺路由器作為防火墻。例如，在使用 FTP 協(xié)議時，外部服務器容易從 20 號端口上與內(nèi)部網(wǎng)相連，即使在路由器上設置了過濾規(guī)則，內(nèi)部網(wǎng)絡的 20 號端口仍可以由外部探尋。對路由器中過濾規(guī)則的設置和配置十分復雜，它涉及到規(guī)則的邏輯