信息安全培训方案

信息安全培训方案二六年二月十四日第一部分 信息安全的基础知识一、什么是信息安全1. 网络安全背景 与Internet相关的安全事件频繁出现 Internet已经成为商务活动、通讯及协作的重要平台 Internet最初被设计为开放式网络2. 什么是安全？ 安全的定义：信息安全的定义：为了防止未经授权就对知识、事实、数据或能力进行实用、滥用、修改或拒绝使用而采取的措施。 信息安全的组成：信息安全是一个综合的解决方案，包括物理安全、通信安全、辐射安全、计算机安全、网络安全等。 信息安全专家的工作：安全专家的工作就是在开放式的网络环境中，确保识别并消除信息安全的威胁和缺陷。3. 安全是一个过程而不是指产品不能只依赖于一种类型的安全为组织的信息提供保护，也不能只依赖于一种产品提供我们的计算机和网络系统所需要的所有安全性。因为安全性所涵盖的范围非常广阔，包括：l 防病毒软件；l 访问控制；l 防火墙；l 智能卡；l 生物统计学；l 入侵检测；l 策略管理；l 脆弱点扫描；l 加密；l 物理安全机制。 4. 百分百的安全神话 绝对的安全：只要有连通性，就存在安全风险，没有绝对的安全。 相对的安全：可以达到的某种安全水平是：使得几乎所有最熟练的和最坚定的黑客不能登录你的系统，使黑客对你的公司的损害最小化。 安全的平衡：一个关键的安全原则是使用有效的但是并不会给那些想要真正获取信息的合法用户增加负担的方案。二、常见的攻击类型为了进一步讨论安全，你必须理解你有可能遭遇到的攻击的类型，为了进一步防御黑客，你还要了解黑客所采用的技术、工具及程序。我们可以将常见的攻击类型分为四大类：针对用户的攻击、针对应用程序的攻击、针对计算机的攻击和针对网络的攻击。第一类：针对用户的攻击5. 前门攻击 密码猜测在这个类型的攻击中，一个黑客通过猜测正确的密码，伪装成一个合法的用户进入系统，因为一个黑客拥有一个合法用户的所有信息，他（她）就能够很简单地从系统的“前门”正当地进入。6. 暴力和字典攻击 暴力攻击暴力攻击类似于前门攻击，因为一个黑客试图通过作为一个合法用户获得通过。 字典攻击一个字典攻击通过仅仅使用某种具体的密码来缩小尝试的范围，强壮的密码通过结合大小写字母、数字、通配符来击败字典攻击。u Lab2-1：使用LC4破解Windows系统口令，密码破解工具u Lab2-2：Office Password Recovery & WinZip Password Recovery7. 病毒计算机病毒是一个被设计用来破坏网络设备的恶意程序。8. 社会工程和非直接攻击社交工程是使用计谋和假情报去获得密码和其他敏感信息，研究一个站点的策略其中之一就是尽可能多的了解属于这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。 打电话请求密码：一个黑客冒充一个系统经理去打电话给一个公司，在解释了他的帐号被意外锁定了后，他说服公司的某位职员根据他的指示修改了管理员权限，然后黑客所需要做的就是登录那台主机，这时他就拥有了所有管理员权限。 伪造E-mail：使用Telnet一个黑客可以截取任何一个身份证，发送E-mail给一个用户，这样的E-mail消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实，然而它们是假的，因为黑客通过欺骗E-mail服务器来发送它们。u Lab 2-3：发送伪造的E-Mail消息。第二类：针对应用程序的攻击9. 缓冲区溢出目前最流行的一种应用程序类攻击就是缓冲区溢出。当目标操作系统收到了超过它设计时在某一时间所能接收到的信息量时发生缓冲区溢出。这种多余的数据将使程序的缓存溢出，然后覆盖了实际的程序数据，缓冲区溢出使得目标系统的程序自发的和远程的被修改，经常这种修改的结果是在系统上产生了一个后门。10. 邮件中继目前互连网上的邮件服务器所受攻击有两类：一类就是中继利用(Relay)，即远程机器通过你的服务器来发信，这样任何人都可以利用你的服务器向任何地址发邮件，久而久之，你的机器不仅成为发送垃圾邮件的帮凶，也会使你的网络国际流量激增，同时将可能被网上的很多邮件服务器所拒绝。另一类攻击称为垃圾邮件(Spam)，即人们常说的邮件炸弹，是指在很短时间内服务器可能接收大量无用的邮件，从而使邮件服务器不堪负载而出现瘫痪。u Lab 2-4：通过邮件中继发送E-Mail消息。11. 网页涂改是一种针对Web服务器的网页内容进行非法篡改，以表达不同的观点或社会现象。这种攻击通常损害的是网站的声誉。（中国红客联盟）ngqin为ei第三类：针对计算机的攻击12. 物理攻击许多公司和组织应用了复杂的安全软件，却因为主机没有加强物理安全而破坏了整体的系统安全。通常，攻击者会通过物理进入你的系统等非Internet手段来开启Internet的安全漏洞。增强物理安全的方法包括：用密码锁取代普通锁；将服务器放到上锁的房间中；安装视频监视设备。u Lab 2-5：操作一个对Windows 2000 Server的物理攻击13. 特洛伊木马和Root Kits任何已经被修改成包含非法文件的文件叫做“特洛伊程序”。特洛伊程序通常包含能打开端口进入Root Shell或具有管理权限的命令行文件，他们可以隐藏自己的表现（无窗口），而将敏感信息发回黑客并上载程序以进一步攻击系统及其安全。u Lab 2-6：遭受NetBus特洛伊木马感染 Root Kits（附文档）Root Kits是多种UNIX系统的一个后门，它在控制阶段被引入，并且产生一个严重的问题。Root Kits由一系列的程序构成，当这些程序被特洛伊木马取代了合法的程序时，这种取代提供给黑客再次进入的后门和特别的分析网络工具。 14. 系统Bug和后门 Bug和后门一个Bug是一个程序中的错误，它产生一个不注意的通道。一个后门是一个在操作系统上或程序上未被记录的通道。程序设计员有时有意识地在操作系统或程序上设置后门以便他们迅速地对产品进行支持。15. Internet蠕虫Internet蠕虫是一种拒绝服务病毒，最近流行的红色代码也是类似的一种蠕虫病毒。蠕虫病毒消耗完系统的物理CPU和内存资源而导致系统缓慢甚至崩溃，而没有其他的破坏。第四类：针对网络的攻击16. 拒绝服务攻击：在一个拒绝服务攻击中，一个黑客阻止合法用户获得服务。这些服务可以是网络连接，或者任何一个系统提供的服务。 分布式拒绝服务攻击DDOS：（附文档）是指几个远程系统一起工作攻击一个远程主机，通常通过大量流量导致主机超过负载而崩溃。17. 哄骗：（附文档）哄骗和伪装都是偷窃身份的形式，它是一台计算机模仿另一台机器的能力。特定的例子包括IP哄骗，ARP哄骗，路由器哄骗和DNS哄骗等。18. 信息泄漏：几乎所有的网络后台运行程序在默认设置的情况下都泄漏了很多的信息，组织结构必须决定如何最少化提供给公众的信息，哪些信息是必要的，哪些信息是不必要的。需要采取措施保护，不必要泄漏的信息：DNS服务器的内容、路由表、用户和帐号名、运行在任何服务器上的标题信息（如操作系统平台、版本等）。u Lab 2-7：通过Telnet连接Exchange服务器的SMTP、POP3等服务19. 劫持和中间人攻击：中间人攻击是黑客企图对一个网络的主机发送到另一台主机的包进行操作的攻击。黑客在物理位置上位于两个被攻击的合法主机之间。最常见的包括：u 嗅探包：以获得用户名和密码信息，任何以明文方式传送的信息都有可能被嗅探；u 包捕获和修改：捕获包修改后重新再发送；u 包植入：插入包到数据流；u 连接劫持：黑客接管两台通信主机中的一台，通常针对TCP会话。但非常难于实现。u Lab 2-8：网络包嗅探outlook Express邮件账号口令三、信息安全服务20. 安全服务国际标准化组织(ISO)7498-2定义了几种安全服务：服务目标验证提供身份的过程访问控制确定一个用户或服务可能用到什么样的系统资源，查看还是改变数据保密性保护数据不被未授权地暴露。数据完整性这个服务通过检查或维护信息的一致性来防止主动的威胁不可否定性防止参与交易的全部或部分的抵赖。21. 安全机制根据ISO提出的，安全机制是一种技术，一些软件或实施一个或更多安全服务的过程 。ISO把机制分成特殊的和普遍的。一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。 如：加密、数字签名等。普遍的安全机制不局限于某些特定的层或级别，如：信任功能、事件检测、审核跟踪、安全恢复等。四、网络安全体系结构第二部分 信息安全的实际解决方案一、加密技术22. 加密系统加密把容易读取的源文件变成加密文本，能够读取这种加密文本的方法是获得密钥（即把原来的源文件加密成加密文本的一串字符）。1) 加密技术通常分为三类：u 对称加密：使用一个字符串（密钥）去加密数据，同样的密钥用于加密和解密。u 非对称加密：使用一对密钥来加密数据。这对密钥相关有关联，这对密钥一个用于加密，一个用于解密，反之亦然。非对称加密的另外一个名字是公钥加密。u HASH加密：更严格的说它是一种算法，使用一个叫HASH函数的数学方程式去加密数据。理论上HASH函数把信息进行混杂，使得它不可能恢复原状。这种形式的加密将产生一个HASH值，这个值带有某种信息，并且具有一个长度固定的表示形式。2) 加密能做什么？加密能实现四种服务：数据保密性：是使用加密最常见的原因；数据完整性：数据保密对数据安全是不足够的，数据仍有可能在传输时被修改，依赖于Hash函数可以验证数据是否被修改；验证：数字证书提供了一种验证服务，帮助证明信息的发送者就是宣称的其本人；不可否定性：数字证书允许用户证明信息交换的实际发生，特别适用于财务组织的电子交易。23. 对称密钥加密系统在对称加密或叫单密钥加密中，只有一个密钥用来加密和解密信息。u 对称加密的好处就是快速并且强壮。u 对称加密的缺点是有关密钥的传播，所有的接收者和查看者都必须持有相同的密钥。但是，如果用户要在公共介质上如互联网来传递信息，他需要通过一种方法来传递密钥。一个解决方案就是用非对称加密，我们将在本课的后面提到。24. 非对称密钥加密系统非对称加密在加密的过程中使用一对密钥，一对密钥中一个用于加密，另一个用来解密。这对密钥中一个密钥用来公用，另一个作为私有的密钥：用来向外公布的叫做公钥，另一半需要安全保护的是私钥。非对称加密的一个缺点就是加密的速度非常慢，因为需要强烈的数学运算程序。25. Hash加密和数字签名HASH加密把一些不同长度的信息转化成杂乱的128位的编码里，叫做HASH值。HASH加密用于不想对信息解密或读取。使用这种方法解密在理论上是不可能的，是通过比较两上实体的值是否一样而不用告之其它信息。1) 数字签名HASH加密另一种用途是签名文件。签名过程中，在发送方用私钥加密哈希值从而提供签名验证，接受方在获得通过发送方的公钥解密得到的哈希值后，通过相同的单向加密算法处理数据用来获得自己的哈希值，然后比较这两个哈希值，如果相同，则说明数据在传输过程中没有被改变。 加密系统算法的强度加密技术的强度受三个主要因素影响：算法强度、密钥的保密性、密钥的长度。u 算法强度：是指如果不尝试所有可能的密钥的组合将不能算术地反转信息的能力。u 密钥的保密性：算法不需要保密，但密钥必须进行保密。u 密钥的长度：密钥越长，数据的安全性越高。26. 应用加密的执行过程 1) 电子邮件加密用于加密e-mail的流行方法就是使用PGP或S-MIME，虽然加密的标准不同，但它们的原则都是一样的。下面是发送和接收E-mail中加密的全部过程： 发送方和接收方在发送E-mail信息之前要得到对方的公钥。 发送方产生一个随机的会话密钥，用于加密E-mail信息和附件。这个密钥是根据时间的不同以及文件的大小和日期而随机产生的。算法通过使用DES，Triple DES，Blowfish，RC5等等。 发送者然后把这个会话密钥和信息进行一次单向加密得到一个HASH值。这个值用来保证数据的完整性因为它在传输的过程中不会被改变。在这步通常使用MD2，MD4，MD5或SHA。MD5用于SSL，而S/MIME默认使用SHA。 发送者用自己的私钥对这个HASH值加密。通过使用发送者自己的私钥加密，接收者可以确定信息确实是从这个发送者发过来的。加密后的HASH值我们称作信息摘要。 发送者然后用在第二步产生的会话密钥对E-mail信息和所有的附件加密。这种加密提供了数据的保密性。 发送者用接收者的公钥对这个会话密钥加密，来确保信息只能被接收者用其自己的私钥解密。这步提供了认证。 然后把加密后的信息和数字摘要发送给接收方。解密的过程正好以相反的顺序执行。u Lab 4-1：利用Windows 2000 Server建立CA服务器u Lab 4-2：为电子邮件帐户申请证书u Lab 4-3：将用户证书导出到文件保存，并传播给需要的用户u Lab 4-4：在Outlook Express中建立通讯簿，建立证书与联系人的链接u Lab 4-5：实现安全的电子邮件通讯（邮件加密和签名）2) Web服务器加密 Secure HTTPSecure HTTP使用非对称加密保护在线传输，但同时这个传输是使用对称密钥加密的。大多的浏览器都支持这个协议，包括Netscape Navigator和微软的Internet Explorer。 安全套接字层（SSL）SSL协议允许应用程序在公网上秘密的交换数据，因此防止了窃听，破坏和信息伪造。所有的浏览器都支持SSL，所以应用程序在使用它时不需要特殊的代码。u Lab 4-6：为IIS Server申请证书a) 在IIS中完成证书申请向导，生成证书申请文件；b) 利用证书申请文件在Web中申请IIS Server证书，并下载证书到文件；c) 在IIS中完成挂起证书申请u Lab 4-7：启用HTTP站点的SSL通道u Lab 4-8：实现Exchange Server中POP3、SMTP的SSL通讯二、认证技术图示 安全系统的逻辑结构认证技术是信息安全理论与技术的一个重要方面。身份认证是安全系统中的第一道关卡，如图1所示，用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。1) 认证的方法用户或系统能够通过四种方法来证明他们的身份： What you know？基于口令的认证方式是最常用的一种技术，但它存在严重的安全问题。它是一种单因素的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒充。 What you have？更加精密的认证系统，要求不仅要有通行卡而且要有密码认证。 如：智能卡和数字证书的使用。 Who you are？这种认证方式以人体惟一的、可靠的、稳定的生物特征（如指纹、虹膜、脸部、掌纹等）为依据，采用计算机的强大功能和网络技术进行图像处理和模式识别。 Where you are？最弱的身份验证形式，根据你的位置来决定你的身份。如Unix中的rlogin和rsh程序通过源IP地址来验证一个用户，主机或执行过程；反向DNS查询防止域名哄骗等。2) 特定的认证技术 几种常用于加强认证系统的技术，它们结合使用加密技术和额外策略来检查身份。 一次性口令认证：（CHAP）人们已经发明了一种产生一次性口令的技术，称之为挑战/回答（challenge/response）。u 种子：决定于用户，一般在一台机器上，一个种子对应于一个用户，也就是说，种子在一个系统中应具有唯一性，这不是秘密的而是公开的。u 迭代值：迭代值是不断变化的，而种子和通行短语是相对不变的，所以迭代值的作用就是使口令发生变化。u 通行短语：通行短语是保密的，而种子和迭代值是公开的，这样就决定了口令的机密性。当用户登录时，系统会向用户提出挑战，包括种子和迭代值，然后用户用得到的种子和迭代值再加上自己知道的通行短语计算出一个答复，并传送给系统，因为系统也知道这个通行短语，所以系统可以验证答复是否正确。 Kerberos认证技术Kerberos提供了一种在开放式网络环境下进行身份认证的方法，它使网络上的用户可以相互证明自己的身份。Kerberos是一种被证明为非常安全的双向身份认证技术，其身份认证强调了客户机对服务器的认证， Kerberos有效地防止了来自服务器端身份冒领的欺骗。Kerberos采用对称密钥体制对信息进行加密。其基本思想是：能正确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访问之前，必须先从第三方（Kerberos服务器）获取该应用服务器的访问许可证（ticket）。 Kerberos密钥分配中心KDC（即Kerberos服务器）由认证服务器AS和许可证颁发服务器TGS构成。Kerberos的认证过程如图所示。 公钥认证体系（PKI）X.509是定义目录服务建议X.500系列的一部分，其核心是建立存放每个用户的公钥证书的目录库。用户公钥证书由可信赖的CA创建，并由CA或用户存放于目录中。若A想获得B的公钥，A先在目录中查找IDB，利用CA的公钥和hash算法验证B的公钥证书的完整性，从而判断公钥的是否正确。显然X.509是一种基于证书的公钥认证机制，这种机制的实现必须要有可信赖的CA的参与。三、防火墙技术防火墙的体系架构：防火墙的发展从第一代的PC机软件，到工控机、PC-Box，再到MIPS架构。第二代的NP、ASIC架构。发展到第三代的专用安全处理芯片背板交换架构，以及“All In One”集成安全体系架构。 为了支持更广泛及更高性能的业务需求，各个厂家全力发挥各自优势，推动着整个技术以及市场的发展。 目前，防火墙产品的三代体系架构主要为： 第一代架构：主要是以单一CPU作为整个系统业务和管理的核心，CPU有x86、PowerPC、MIPS等多类型，产品主要表现形式是PC机、工控机、PC-Box或RISC-Box等； 第二代架构：以NP或ASIC作为业务处理的主要核心，对一般安全业务进行加速，嵌入式CPU为管理核心，产品主要表现形式为Box等； 第三代架构：ISS（Integrated Security System）集成安全体系架构，以高速安全处理芯片作为业务处理的主要核心，采用高性能CPU发挥多种安全业务的高层应用，产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备，容量大性能高，各单元及系统更为灵活。 防火墙三代体系架构业务特性、性能对比分布图安全芯片防火墙体系架构框图 基于FDT指标的体系变革 衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数等。 吞吐量和报文转发率是关系防火墙应用的主要指标，一般采用FDT（Full Duplex Throughput）来衡量，指64字节数据包的全双工吞吐量，该指标既包括吞吐量指标也涵盖了报文转发率指标。 FDT与端口容量的区别：端口容量指物理端口的容量总和。如果防火墙接了2个千兆端口，端口容量为2GB，但FDT可能只是200MB。 FDT与HDT的区别：HDT指半双工吞吐量（Half Duplex Throughput）。一个千兆口可以同时以1GB的速度收和发。按FDT来说，就是1GB；按HDT来说，就是2GB。有些防火墙的厂商所说的吞吐量，往往是HDT。 一般来说，即使有多个网络接口，防火墙的核心处理往往也只有一个处理器完成，要么是CPU，要么是安全处理芯片或NP、ASIC等。 对于防火墙应用，应该充分强调64字节数据的整机全双工吞吐量，该指标主要由CPU或安全处理芯片、NP、ASIC等核心处理单元的处理能力和防火墙体系架构来决定。 对于不同的体系架构，其FDT适应的范围是不一样的，如对于第一代单CPU体系架构其理论FDT为百兆级别，对于中高端的防火墙应用，必须采用第二代或第三代ISS集成安全体系架构。 基于ISS机构的第三代安全体系架构，充分继承了大容量GSR路由器、交换机的架构特点，可以在支持多安全业务的基础上，充分发挥高吞吐量、高报文转发率的能力。 防火墙体系架构经历了从低性能的x86、PPC软件防火墙向高性能硬件防火墙的过渡，并逐渐向不但能够满足高性能也需要支持更多业务能力的方向发展。 ISS集成安全体系 作为防火墙第三代体系架构，ISS根据企业未来对于高性能多业务安全的需求，集成安全体系架构，吸收了不同硬件架构的优势。恒扬科技推出了自主研发的SempSec、SempCrypt安全芯片和P4-M CPU以及基于ISS集成安全系统架构的自主产权操作系统SempOS。它可以提升防火墙产品的报文过滤检测、攻击检测、加解密、NAT特性、VPN特性等各方面性能的同时，并可实现安全业务的全方面拓展。国微通讯也推出了基于ISS安全体系架构的GCS3000系列防火墙。 ISS架构灵活的模块化结构，综合报文过滤、状态检测、数据加解密功能、VPN业务、NAT业务、流量监管、攻击防范、安全审计以及用户管理认证等安全功能于一体，实现业务功能的按需定制和快速服务、响应升级。 ISS体系架构的主要特点： 1. 采用结构化芯片技术设计的专用安全处理芯片作为安全业务的处理核心，可以大幅提升吞吐量、转发率、加解密等处理能力；结构化芯片技术可编程定制线速处理模块，以快速满足客户需求； 2. 采用高性能通用CPU作为设备的管理中心和上层业务拓展平台，可以平滑移植并支持上层安全应用业务，提升系统的应用业务处理能力； 3. 采用大容量交换背板承载大量的业务总线和管理通道，其中千兆Serdes业务总线和PCI管理通道物理分离，不仅业务层次划分清晰，便于管理，而且性能互不受限； 4. 采用电信级机架式设计，无论是SPU安全处理单元、MPU主处理单元及其他各类板卡、电源、机框等模块在可扩展、可拔插、防辐射、防干扰、冗余备份、可升级等方面做了全方位考虑，真正地实现了安全设备的电信级可靠性和可用性； 5.不仅达到了安全业务的高性能而且实现了“All in One”，站在客户角度解决了多业务、多设备的整合，避免了单点设备故障和安全故障，大大降低了管理复杂度； 6. 通过背板及线路接口单元LIU扩展可提供高密度的业务接口。31防火墙简介 防火墙的定义防火墙指的是位于可信网络（如内部网络）和不可信网络（如Internet）之间并对经过其间的网络流量进行检查的一台或多台计算机。防火墙具有如下特性：u 所有的通信都经过防火墙；u 防火墙只放行经过授权的流量；u 防火墙能经受得起对其本身的攻击。 防火墙的优势和弱点u 防火墙的优势：l 实施一个公司的整体安全策略l 创建一个阻塞点（网络边界）l 记录Internet活动l 限制网络暴露u 防火墙的弱点：l 防火墙不能防范经过授权的东西。l 防火墙只能按对其配置的规则进行有效的工作；l 防火墙对社交工程类型的攻击或一个授权的用户利用合法访问进行的恶意攻击不起作用；l 防火墙不能修复脆弱的管理措施或设计有问题的安全策略；l 防火墙不能阻止那些不经过它的攻击。32防火墙的分类：软件类：防火墙运行于通用操作系统如Windows NT/2000、Linux/Unix上，它们通过修改系统的内核和TCP/IP协议栈来检测流量。要想获得较高的安全性，就必须对操作系统进行加固、修补和维护。此类防火墙如：运行于Linux/Unix、Windows NT/2000平台上的Check Point Firewall-1，Symantec企业防火墙，Microsoft ISA 2000等。硬件类防火墙：硬件防火墙集成了操作系统和防火墙的功能，形成了一个整体牢固、功能专一的设备。这种防火墙也提供了功能完善的管理接口。硬件防火墙在使用时不需要做很多主机加固的工作，不用再费心于重新配置和修补通用操作系统，而可以集中注意力构思防火墙规则，减少了操作和维护的成本。此类防火墙如：国外的Cisco PIX、Netscreen、SonicWall等，国内的：清华同方，天融信，联想等 芯片级类防火墙： 芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂根据防火墙所采用的技术不同，为以下几种基本类型：包过滤防火墙数据包过滤（Packet Filtering）技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表（Access Control Table）。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。其实现机制如图1所示图1 包过滤防火墙的实现机制数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用，网络性能和透明度好。它通常安装在路由器上，内部网络与Internet连接，必须通过路由器，因此在原有网络上增加这类防火墙，几乎不需要任何额外的费用。这类防火墙的缺点是不能对数据内容进行控制：很难准确地设置包过滤器，缺乏用户级的授权；数据包的源地址、目的地址以及IP端口号都在数据包的头部，很有可能被冒充或窃取，而非法访问一旦突破防火墙，即可对主机上的系统和配置进行攻击。 说明：网络层的安全防护，主要目的是保证网络的可用性和合法使用，保护网络中的网络设备、主机操作系统以及各TCP/IP服务的正常运行，根据IP地址控制用户的网络访问。网络层在ISO的体系层次中处于较低的层次，因而其安全防护也是较低级的，并且不易使用和管理。网络层的安全防护是面向IP空间的。应用层网关应用层网关（AppliCation Level Gateways）技术是在网络的应用层上实现协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、记录和统计，形成报告。实际的应用网关通常安装在专用工作站系统上，其实现机制如图2所示。图2 应用网关防火墙实现机制应用层网关防火墙和数据包过滤有一个共同的特点，就是它们仅仅依靠特定的逻辑来判断是否允许数据包通过。一旦符合条件，防火墙内外的计算机系统便可以建立直接联系，外部的用户便有可能直接了解到防火墙内部的网络结构和运行状态，这大大增加了非法访问和攻击的机会。针对对上缺点，出现了应用代理服务（Application-level Proxy Server）技术。说明：应用层的安全防护，主要目的保证信息访问的合法性，确保合法用户根据授权合法的访问数据。应用层在ISO的体系层次中处于较高的层次，因而其安全防护也是较高级的。应用层的安全防护是面向用户和应用程序的。应用代理服务器应用代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。另外代理服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕迹。其应用层代理服务数据的控制及传输过程如图3所示。图3 代理服务防火墙应用层数据的控制及传输 应用代理服务器对客户端的请求行使“代理”职责。客户端连接到防火墙并发出请求，然后防火墙连接到服务器，并代表这个客户端重复这个请求。返回时数据发送到代理服务器，然后再传送给用户，从而确保内部IP地址和口令不在Internet上出现。优点：比包过滤防火墙安全，管理更丰富，功能提升容易。易于记录并控制所有的进出通信，并对Internet的访问做到内容级的过滤缺点：执行速度慢，操作系统容易遭到攻击。说明：代理服务器（Proxy sever）是指，处理代表内部网络用户的外部服务器的程序。客户代理与代理服务器对话，它核实用户请求，然后才送到真正的服务器上，代理服务器在外部网络向内部网络中请服务时发挥了中间转接作用。内部网络只接收代理服务器提出的服务请求，拒绝外部网络上其他节点的直接请求。当外部网络向内部网络的节点申请某种服务时，如FTP、WWW、Telnet等，先由代理服务器接收，然后根据其服务类型、服务内容、被服务对象，以及申请者的域名范围、IP地址等因素，决定是否接受此项服务。如果接受，则由代理服务器向内部网络转发请求，并把应答回送给申请者；否则，拒绝其请求。根据其处理协议的不同，可分为FTP网关型、WWW网关型、Telnet网关型等防火墙，其优点在于既能进行安全控制，又可加速访问，但实现起来比较困难，对于每一种服务协议必须设计一个代理软件模式，以进行安全控制。状态检测防火墙状态检测又称动态包过滤，是在传统包过滤上的功能扩展，最早由CheckPoint提出。传统的包过滤在遇到利用动态端口的协议时会发生困难，如ftp，你事先无法知道哪些端口需要打开，而如果采用原始的静态包过滤，又希望用到的此服务的话，就需要实现将所有可能用到的端口打开，而这往往是个非常大的范围，会给安全带来不必要的隐患。而状态检测通过检查应用程序信息（如ftp的PORT和PASS命令），来判断此端口是否允许需要临时打开，而当传输结束时，端口又马上恢复为关闭状态。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此作为依据决定对该连接是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查。一旦发现任何连接的参数有意外的变化，该连接就被中止。这种技术提供了高度安全的解决方案，同时也具有较好的性能、适应性和可扩展性。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持（如从HTTP连接中抽取出Java Applets或ActiveX控件等）。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚拟连接，当反向应答分组送达时就认为一个虚拟连接已经建立。每个虚拟连接都具有一定的生存期，较长时间没有数据传送的连接将被中止。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，他们不仅仅检测“to”或“from”的地址，而且也不要求每个被访问的应用都有代理。状态检测防火墙根据协议、端口及源、目的地址的具体情况决定数据包是否可以通过。对于每个安全策略允许的请求，状态检测防火墙启动相应的进程，可以快速地确认符合授权流通标准的数据包，这使得本身的运行非常快速。清华得实NetST硬件防火墙综合了包过滤和应用代理服务器两类防火墙的优点，在提供根据数据包地址或端口进行过滤处理的同时还可实现对常用协议的内容过滤，即具备了包过滤类型防火墙的速度，又具备代理类型防火墙的安全。.防火墙管理的TCP/IP基础 TCP/IP安全简介如果你是一个网络管理员或安全管理员，你需要对OSI参考模型非常熟悉。TCP/IP堆栈包括四层。为了更好的理解TCP/IP，请与OSI模型进行比较。 TCP/IP物理层及其安全：物理层由传输在缆线上的电子信号组成。物理层上的安全保护措施不多。如果一个潜在的黑客可以访问物理介质，如搭线窃听和sniffer，他将可以复制所有传送的信息。唯一有效的保护是使用加密，流量添充等。 TCP/IP网络层及其安全：IP层使用较高效的服务来传送数据报文。所有上层通信，如TCP，UDP，ICMP，IGMP都被封装到一个IP 数据报中。绝大多数安全威胁并不来自于TCP/IP堆栈的这一层。Internet协议(IP)：IP报头中包含一些信息和控制字段，以及32位的源IP地址和32位的目的IP地址。这个字段包括一些信息，如IP的版本号，长度，服务类型和其它配置等。黑客经常利用一种叫做IP欺骗的技术，把源IP地址替换成一个错误的IP地址。接收主机不能判断源IP地址是不正确的，并且上层协议必须执行一些检查来防止这种欺骗u Lab 6-1：安装网络包捕获软件，捕获包信息，分析IP报头Internet控制信息协议（ICMP）：Internet控制信息协议（ICMP）报文由接收端或者中间网络设备发回给发送端，用来在TCP/IP包发送出错时给出回应。u ICMP消息类型ICMP消息包含三个字段：Type、Code和Checksum，Type和Code字段决定了ICMP消息的类型。0 响应回复：Ping命令发回的包；3 目标不可达：由Router发回。Code 0：网络不可达；Code 1：主机不可达；Code 2：协议不可达；Code 3：端口不可达。8 响应请求：由Ping命令发出；u 阻止ICMP消息近来的攻击方法包括Tribal flood Network （TFN）系列的程序利用ICMP消耗带宽来有效地摧毁站点。到今天，微软的站点对于ping并不做出响应，因为微软已经过滤了所有的ICMP请求。一些公司现在也在他们的防火墙上过滤了ICMP流量。u Lab 6-2：通过网络包捕获软件，捕获ICMP包，分析ICMP报头 TCP/IP传输层及其安全传输层控制主机间传输的数据流。传输层存在两个协议，传输控制协议（TCP）和用户数据报协议（UDP）。传输控制协议（TCP）TCP是一个面向连接的协议：对于两台计算机的通信，它们必须通过握手过程来进行信息交换。u TCP包头TCP包头的标记区建立和中断一个基本的TCP连接。有三个标记来完成这些过程： SYN：同步序列号； FIN：发送端没有更多的数据要传输的信号； ACK：识别数据包中的确认信息。u 建立一个TCP连接：SYN和ACK经过三次握手。u 中止一个TCP连接：FIN和ACK结束一个TCP连接的四个基本步骤。u 攻击TCPSYN溢出是TCP的最常见威胁，黑客能够建立多个TCP半连接，当服务器忙于创建一个端口时，黑客留给服务器一个连接，然后又去建立另一个连接并也留给服务器。这样建立了几千个连接，直到目标服务器打开了几百个或上千个半连接。因此，服务器的性能受到严重限制，或服务器实际已经崩溃。防火墙必须配置为能够侦测这种攻击。u Lab 6-3：通过网络包捕获软件，捕获TCP包，分析TCP报头用户数据报协议（UDP）UDP是一个非面向连接的协议。它经常用做广播类型的协议，如音频和视频数据流。UDP很少有安全上的隐患。因为主机发出一个UDP信息并不期望收到一个回复，在这种数据报文里面嵌入一个恶意的活动是很困难的。u Lab 6-4：通过网络包捕获软件，捕获UDP包，分析UDP报头 TCP/IP应用层及其安全应用层是最难保护的一层。因为TCP/IP应用程序几乎是可无限制地执行的，你实际上是没有办法保护所有的应用层上的程序的，所以只允许一些特殊的应用程序能通过网络进行通信是一个不错的方法。 文件传输协议（FTP）FTP 用两个端口通信：利用TCP21端口来控制连接的建立，控制连接端口在整个FTP会话中保持开放。FTP服务器可能不需要对客户端进行认证：当需要认证时，所有的用户名和密码都是以明文传输的。同样使用的技术包括FTP服务器上的日志文件，黑客添满硬盘，使日志文件没有空间再记录其它事件，这样黑客企图进入操作系统或其它服务而不被日志文件所检查到。因此，推荐将FTP根目录与操作系统和日志文件分别放在不同的分区上。超文本传输协议（HTTP）HTTP有两种明显的安全问题：客户端浏览应用程序和HTTP服务器外部应用程序。对用Web用户的一个安全问题是下载有破坏性的ActiveX控件或JAVA applets。这些程序在用户的计算机上执行并含有某种类别的代码，包括病毒或特洛伊木马。为了扩大和扩展Web服务器的功能，一些扩展的应用程序可以加入到HTTP服务器中。这些扩展的应用程序包括JAVA，CGI，AST等等。这些程序都有一些安全漏洞，一旦Web服务器开始执行代码，那么它有可能遭到破坏。对于这种破坏的保护方法是留意最新的安全补丁，下载并安装这些补丁。TelnetTelnet 是以明文的方式发送所有的用户名和密码的。有经验的黑客可以劫持一个Telnet会话。因此，它不应该应用到互联网上。你还应该在防火墙上过滤掉所有的Telnet流量。简单网络管理协议（SNMP）SNMP允许管理员检查状态并且有时修改SNMP节点的配置。它使用两个组件，即SNMP管理者和SNMP节点。SNMP通过UDP的161和162端口传递所有的信息。SNMP所提供的唯一认证就是community name。如果一个黑客危及到community name，他将能够查询和修改网络上所有使用SNMP的节点。另一个安全问题是所有的信息都是以明文传输的。SNMP是在你公司私有的网络中可用的网络管理解决方案，但是所有的SNMP流量要在防火墙上过滤掉。域名系统（DNS）DNS使用UDP 53端口解析DNS请求，但是在执行区域传输时使用TCP53端口。区域传输是以下面两种情况完成的： 一个客户端利用nslookup命令向DNS服务器请求进行区域传输； 当一个从属域名服务器向主服务器请求得到一个区域文件；针对DNS常见的两种攻击是：u DNS中毒：黑客注入错误的数据到区域传输中，其结果使得其产生错误的映射。u 获得非法的区域传输：黑客可以攻击一个DNS服务器并得到它的区域文件。这种攻击的结果是黑客可以知道这个区域中所有系统的IP地址和计算机名字。u Lab 6-5：通过Whois、Nslookup查询ciwcertifiedx域名DNS中的记录 使用地址转换隐藏私有地址u 网络地址转换u 端口地址转换 使用过滤路由器的访问控制列表保护网络34防火墙的体系结构图 NetST防火墙的系统结构图图3-1为NetST防火墙的系统结构图，其中防火墙引擎模块根据所制定的安全策略对进出NetST防火墙的所有数据包进行从数据链路层到传输控制层的过滤；内容过滤服务器则完成对应用层数据的过滤，NetST防火墙本身是包过滤类型的防火墙，不具备应用代理功能，但通过内容过滤服务器的处理，使得原来只能通过代理方式进行的内容过滤功能也能在包过滤防火墙上实现；用户登录服务器处理内部网络合法用户的登录请求以访问外部网络，不合法用户将不能访问外部网络；防火墙系统管理员利用NetST防火墙的管理接口来进行防火墙的配置操作；NetST管理服务器则是系统管理的核心，负责协调所有的管理配置操作。35NetST防火墙过滤流程图3-2为NetST防火墙的过滤流程：对于所有进入NetST防火墙的数据包，先进行系统安全检查，不符合的数据包将被丢弃；通过检查的数据包再根据用户自定义的过滤规则进行处理，符合这些规则的数据包将根据规则的动作确定是接受、拒绝还是进行内容过滤；对于不符合所有规则的数据包，将根据系统的缺省动作进行处理，以确定是接受还是拒绝，通常防火墙的缺省动作应该是拒绝。 NetST防火墙过滤流程 包过滤防火墙 包过滤防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。包过滤规则路的样本：规则协议类型源地址目的地址端口网卡位置措施1TCP128.5.6.0/24129.1.5.一五522内网允许2TCP任意129.1.5.一五480外网允许3TCP任意129.1.5.一五025外网允许4UDP任意129.1.5.一五253外网允许5UDP任意129.1.5.一五353外网允许6任意任意任意任意任意禁止包过滤的优点是：不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。包过滤最大的缺点就是：u 不能分辨哪些是“好”包哪些是“坏”包，对包哄骗没有防范能力；u 不支持更多的其他验证，如用户认证；u 创建这些规则非常消耗时间。u Lab 6-6：通过清华得实NetST系列防火墙配置包过滤规则 应用级网关应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。应用级网关可以作为一些应用程序如电子邮件、FTP、Telnet、WWW等的中介。使用应用级网关的优点有： l 指定对连接的控制。 l 通过限制某些协议的传出请求，来减少网络中不必要的服务。 l 大多数代理防火墙能够记录所有的连接，包括地址和持续时间。使用应用级网关的缺点有： l 必须在一定范围内定制用户的系统，这取决于所用的应用程序。 l 一些应用程序可能根本不支持代理连接。u Lab 6-7：通过清华得实NetST系列防火墙配置应用服务发布规则 电路级网关电路级网关型防火墙的运行方式与应用级网关型防火墙很相似，但是它有一个典型的特征，它更多的是面向非交互式的应用程序。在用户通过了最初的身份验证之后，电路级网关型防火墙就允许用户穿过网关来访问服务器了，在此过程中，电路级网关型防火墙只是简单的中转用户和服务器之间的连接而已。电路级网关型防火墙的典型应用例子就是代理服务器和SOCKS服务器。电路级网关通常提供一个重要的安全功能：网络地址转移（NAT），将所有公司内部的IP地址映射到一个“安全”的IP地址。电路级网关的优缺点：电路级网关的主要优点就是提供NAT，在使用内部网络地址机制时为网络管理员实现安全提供了很大的灵活性。电路级网关一个主要的缺点是需要修改应用程序和执行程序，并不是所有的应用程序都被编写成可与电路级代理一起工作的。36防火墙的配置方案目前比较流行的有以下三种防火墙配置方案。 双宿主机网关（Dual Homed Gateway）图1 双宿主机网关 屏蔽主机网关（Screened Host Gateway）图2 屏蔽主机网关（单宿堡垒主机）图3 屏蔽主机网关（双宿堡垒主机） 屏蔽子网（Screened Subnet） 图4 屏蔽子网防火墙u Lab 6-8：通过清华得实NetST系列防火墙配置以上模式防火墙四、VPN技术27. 定义虚拟专用网络虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。 虚拟专用网至少应能提供如下功能： l 加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。l 信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。l 提供访问控制，不同的用户有不同的访问权限。 VPN的分类 根据VPN所起的作用，可以将VPN分为三类：VPDN、Intranet VPN和Extranet VPN。 VPDN（Virtual Private Dial Network）在远程用户或移动雇员和公司内部网之间的VPN，称为VPDN。Intranet VPN在公司远程分支机构的LAN和公司总部LAN之间的VPN。通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN，以便公司内部的资源共享、文件传递等，可节省DDN等专线所带来的高额费用。 Extranet VPN在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN。28. VPN的隧道协议 VPN区别于一般网络互联的关键于隧道的建立，然后数据包经过加密后，按隧道协议进行封装、传送以保安全性。 PPTP（Point-to-Point Tunneling Protocol）/ L2TP（Layer 2 Tunneling Protocol） PPP支持多种网络协议，可把IP、IPX、AppleTalk或NetBEUI的数据包封装在PPP包中，再将整个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或ATM中进行传输。PPTP的加密方法采用Microsoft点对点加密（MPPE:Microsoft Point-to-Point Encryption）算法，可以选用较弱的40位密钥或强度较大的128位密钥。1997年底，Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议。L2TP支持多协议，利用公共网络封装PPP帧，可以实现和企业原有非IP网的兼容。还继承了PPTP的流量控制，支持MP（Multilink Protocol），把多个物理通道捆绑为单一逻辑信道。优点：PPTP