畢業(yè)論文 網絡安全與防火墻技術

1、<p>　　網絡安全與防火墻技術</p><p><b>　　摘 要</b></p><p>　　本文比較詳細的介紹了網絡安全的基礎知識，以及防火墻的基本知識、實現方法、基本功能、主要類型、防火墻的應用和分析，通過對網絡結構、防火墻的一些缺陷以及系統漏洞的分析，運用superscan、xscan等工具掃描漏洞，找出可行之方法，達到繞過防火墻對系統進行攻

2、擊的目的。文中以一次成功的繞過防火墻的入侵為例，對此進行了簡單的說明，并給出了一些加強安全措施的建議以及對新一代防火墻的發(fā)展趨勢的展望。</p><p>　　關鍵字 ： 網絡安全 計算機網絡 防火墻 漏洞 </p><p><b>　　Abstract</b></p><p>　　This text introdu

3、ced the foundation knowledge of the network safety more and detailedly, and the basic knowledge of the fire wall, carry out the application of method, basic function, main type, fire wall and analyze, pass the analysis t

4、o some blemishs and the system loophole of network structure, fire wall, make use of the superscan, xscan etc. tool to scan the loophole, find out the method that can go, attain to round the purpose that carries on the a

5、ttack to the system over the fire wall. In </p><p>　　Key word: Network safety Calculator network Fire wall Loophole</p><p><b>　　引 言</b></p><p>　　因特網的發(fā)展給人們的通信帶來了革

6、命性的變革，但在獲得便利的同時，也要面對因特網在數據安全方面所帶來的挑戰(zhàn)。為此，本文著重討論了網絡安全的問題，主要包括以下兩個方面：（1）確保網絡上傳輸信息的私有性，不被非法竊取、篡改和偽造；（2）限制用戶在網絡上（或程序）的訪問權限，防止非法用戶（或程序）的侵入。目前，解決第一個問題的方法主要是采用信息加密技術，而解決第二個問題，普遍采用的是防火墻技術，所謂防火墻是指設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之

7、間的一系列部件的組合。但是，凡事都有它的兩面性。雖然防火墻是一種行之有效的網絡安全機制，可以通過在因特網和內部網絡之間提供路由功能，保證網絡信息的安全，但是防火墻也有不足之處，也存在著被黑客攻擊繞過的安全漏洞，從而失去防護的作用。因此，安全并不僅僅只是以上所說的防火墻等安全設備，更多的因素還是在人，因為人是主體、是管理者。因此，在關注網絡安全的同時，我們更應該關注管理員的素質和管理水平，一支高素質的管理員隊伍會使網絡的安全性倍增。<

8、;/p><p><b>　　網絡安全概述 </b></p><p>　　21世紀全世界的計算機都將通過Internet聯到一起，隨著Internet的發(fā)展，豐富的網絡信息資源給用戶帶來了極大的方便，但同時也給上網用戶帶來了安全問題。由于Internet的開放性和超越組織與國界等特點，使它在安全性上存在一些隱患。而且信息安全的內涵也發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變

9、成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。</p><p>　　1.1 網絡安全的概念</p><p>　　國際標準化組織（ISO）對計算機系統安全的定義是：為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網絡的安全理解為：通過采用各種技術和管理措施，使網絡系統正常運行，從而確保網絡數

10、據的可用性、完整性和保密性。所以，建立網絡安全保護措施的目的是確保經過網絡傳輸和交換的數據不會發(fā)生增加、修改、丟失和泄露等。 </p><p>　　1.2 網絡安全防范的內容</p><p>　　一個安全的計算機網絡應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網絡不僅要保護計算機網絡設備安全和計算機網絡系統安全，還要保護數據安全等。因此針對計算機網絡本身可能存

11、在的安全問題，實施網絡安全保護方案以確保計算機網絡自身的安全性是每一個計算機網絡都要認真對待的一個重要問題。網絡安全防范的重點主要有兩個方面：一是計算機病毒，二是黑客犯罪。 </p><p>　　計算機病毒是我們大家都比較熟悉的一種危害計算機系統和網絡安全的破壞性程序。黑客犯罪是指個別人利用計算機高科技手段，盜取密碼侵入他人計算機網絡，非法獲得信息、盜用特權等，如非法轉移銀行資金、盜用他人銀行帳號購物等。隨著網絡

12、經濟的發(fā)展和電子商務的展開，嚴防黑客入侵、切實保障網絡交易的安全，不僅關系到個人的資金安全、商家的貨物安全，還關系到國家的經濟安全、國家經濟秩序的穩(wěn)定問題，因此各級組織和部門必須給予高度重視。</p><p>　　1.3 確保網絡安全的主要技術</p><p>　　1.3.1 防火墻技術 </p><p>　　網絡防火墻技術是一種用來加強網絡之間訪問控制，防止

13、外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環(huán)境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監(jiān)視網絡運行狀態(tài)。 </p><p>　　目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。 </p><p>　　防火

14、墻處于5層網絡安全體系中的最底層,屬于網絡層安全技術范疇。負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發(fā)展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發(fā)展。</p><p>　　1.3.2 加密技術 </p><

15、p>　　信息加密技術分為兩類：即對稱加密和非對稱加密。具體如下： </p><p>　?。?）對稱加密技術 </p><p>　　在對稱加密技術中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足，

16、如果交換一方有N個交換對象，那么他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。 </p><p>　?。?）非對稱加密技術 </p><p>　　在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰

17、）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用于身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上，是計算機復雜性理論發(fā)展的必然結果。最具有代表性是RSA公鑰密碼體制。 </p><p>　　RSA算法是Rivest、Sha

18、mir和Adleman于1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數之積。RSA算法的描述如下： </p><p>　　公開密鑰：n=pq(p、q分別為兩個互異的大素數，p、q必須保密) </p><p>　　e與（p-1）(q-1)互素 </p><p

19、>　　私有密鑰：d=e-1 {mod(p-1)(q-1)} </p><p>　　加 密：c=me(mod n),其中m為明文，c為密文。 </p><p>　　解 密：m=cd(mod n) </p><p>　　利用目前已經掌握的知識和理論，分解2048bit的大整數已經超過了64位計算機的運算能力，因此在目前和預見的將來，它是足夠安全的。&l

20、t;/p><p><b>　　虛擬專用網</b></p><p>　　虛擬專用網(Virtual Private Network，VPN)是近年來隨著Internet的發(fā)展而迅速發(fā)展起來的一種技術?，F代企業(yè)越來越多地利用Internet資源來進行促銷、銷售、售后服務，乃至培訓、合作等活動。許多企業(yè)趨向于利用Internet來替代它們私有數據網絡。這種利用Internet來

21、傳輸私有信息而形成的邏輯網絡就稱為虛擬專用網。 </p><p>　　虛擬專用網實際上就是將Internet看作一種公有數據網，這種公有網和PSTN網在數據傳輸上沒有本質的區(qū)別，從用戶觀點來看，數據都被正確傳送到了目的地。相對地，企業(yè)在這種公共數據網上建立的用以傳輸企業(yè)內部信息的網絡被稱為私有網。 </p><p>　　目前VPN主要采用四項技術來保證安全，這四項技術分別是隧道技術（Tun

22、neling）、加解密技術（Encryption & Decryption）、密鑰管理技術（Key Management）、使用者與設備身份認證技術（Authentication）。 </p><p>　?。?）隧道技術（Tunneling） </p><p>　　隧道技術是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據（或負載）可以是不同協議的數據幀或

23、包。隧道協議將這些其它協議的數據幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負載數據能夠通過互聯網絡傳遞。 </p><p>　　被封裝的數據包在隧道的兩個端點之間通過公共互聯網絡進行路由。被封裝的數據包在公共互聯網絡上傳遞時所經過的邏輯路徑稱為隧道。一旦到達網絡終點，數據將被解包并轉發(fā)到最終目的地。注意隧道技術是指包括數據封裝，傳輸和解包在內的全過程。 </p><p

24、>　?。?）加解密技術（Encryption & Decryption） </p><p>　　對通過公共互聯網絡傳遞的數據必須經過加密，確保網絡其他未授權的用戶無法讀取該信息。加解密技術是數據通信中一項較成熟的技術，VPN可直接利用現有技術。 </p><p>　?。?）密鑰管理技術 （Key Management）</p><p>　　密鑰管理技術

25、的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網絡上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。 </p><p>　?。?）使用者與設備身份認證技術（Authentication） </p><p>　　VPN方案必須能夠驗證用戶身份

26、并嚴格控制只有授權用戶才能訪問VPN。另外，方案還必須能夠提供審計和記費功能，顯示何人在何時訪問了何種信息。身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。 </p><p>　　VPN整合了范圍廣泛的用戶，從家庭的撥號上網用戶到辦公室連網的工作站，直到ISP的Web服務器。用戶類型、傳輸方法，以及由VPN使用的服務的混合性，增加了VPN設計的復雜性，同時也增加了網絡安全的復雜性。如果能有效地采用VPN

27、技術，是可以防止欺詐、增強訪問控制和系統控制、加強保密和認證的。選擇一個合適的VPN解決方案可以有效地防范網絡黑客的惡意攻擊。</p><p><b>　　安全隔離 </b></p><p>　　網絡的安全威脅和風險主要存在于三個方面：物理層、協議層和應用層。網絡線路被惡意切斷或過高電壓導致通信中斷，屬于物理層的威脅；網絡地址偽裝、Teardrop碎片攻擊、SYNFl

28、ood等則屬于協議層的威脅；非法URL提交、網頁惡意代碼、郵件病毒等均屬于應用層的攻擊。從安全風險來看，基于物理層的攻擊較少，基于網絡層的攻擊較多，而基于應用層的攻擊最多，并且復雜多樣，難以防范。 </p><p>　　面對新型網絡攻擊手段的不斷出現和高安全網絡的特殊需求，全新安全防護理念--"安全隔離技術"應運而生。它的目標是，在確保把有害攻擊隔離在可信網絡之外，并保證可信網絡內部信息不外泄

29、的前提下，完成網間信息的安全交換。 </p><p>　　隔離概念的出現，是為了保護高安全度網絡環(huán)境，隔離產品發(fā)展至今共經歷了五代。 </p><p>　　第一代隔離技術，完全的隔離。采用完全獨立的設備、存儲和線路來訪問不同的網絡，做到了完全的物理隔離，但需要多套網絡和系統，建設和維護成本較高。 </p><p>　　第二代隔離技術，硬件卡隔離。通過硬件卡控制獨立存

30、儲和分時共享設備與線路來實現對不同網絡的訪問，它仍然存在使用不便、可用性差等問題，有的設計上還存在較大的安全隱患。 </p><p>　　第三代隔離技術，數據轉播隔離。利用轉播系統分時復制文件的途徑來實現隔離，切換時間較長，甚至需要手工完成，不僅大大降低了訪問速度，更不支持常見的網絡應用，只能完成特定的基于文件的數據交換。 </p><p>　　第四代隔離技術，空氣開關隔離。該技術是通過使

31、用單刀雙擲開關，通過內外部網絡分時訪問臨時緩存器來完成數據交換的，但存在支持網絡應用少、傳輸速度慢和硬件故障率高等問題，往往成為網絡的瓶頸。 </p><p>　　第五代隔離技術，安全通道隔離。此技術通過專用通信硬件和專有交換協議等安全機制，來實現網絡間的隔離和數據交換，不僅解決了以往隔離技術存在的問題，并且在網絡隔離的同時實現高效的內外網數據的安全交換，它透明地支持多種網絡應用，成為當前隔離技術的發(fā)展方向。&l

32、t;/p><p>　　入侵監(jiān)測技術（IDS）</p><p>　　入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發(fā)現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測系統能夠識別出任何不希望有的活動，這種活動可能來自于網絡的外部和內部。入侵檢測系統的應用，能使在入侵攻擊對系統發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統驅逐入侵攻擊

33、。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統的知識，添加入知識庫內，以增強系統的防范能力。</p><p>　　目前的IDS作為只能是網絡安全整體解決方案的一個重要部分，需要與其他安全設備之間進行緊密的聯系，共同解決網絡安全問題。也許未來的IDS需要一種新的系統體系來克服自身的不足，但目前只能將IDS的各個功能模塊與其他安全產品有機地融合起來。</p&

34、gt;<p><b>　　防火墻概述</b></p><p>　　在20世紀80年代中期，網絡衛(wèi)士隨著信息戰(zhàn)爭威脅的萌芽應運而生了。諸如Compaq和IBM這樣的計算機銷售商從不完善的安全系統中開發(fā)了防火墻，這些大公司使用防火墻來保證他們自己網絡的安全。從目前來看，防火墻已經成為解決網絡安全問題的重要手段?！　?防火墻是一種行之有效的網絡安全機制，被用來在內部網絡的邊界上建

35、立安全檢查點。通過在因特網和內部網絡之間提供路由功能，防火墻檢查所有在這兩個網絡間的通信，根據這些通信是否匹配，以編好的安全策略規(guī)則來決定通過或斷開通信。</p><p>　　2.1 防火墻的概念</p><p>　　2.1.1 什么是防火墻</p><p>　　防火墻是指設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。

36、它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。</p><p>　　2.1.2 防火墻邏輯位置:</p><p>　　在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和Internet之間的任何活動，保證了內部網絡的安全

37、。</p><p><b>　　防火墻的基本分類</b></p><p>　　2.2.1 從防火墻的軟、硬件形式來分 </p><p>　　防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。</p><p><b>　　第一種：軟件防火墻</b></p><p>　　軟

38、件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這臺計算機就是整個網絡的網關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網管對所工作的操作系統平臺比較熟悉。</p><p>　　第二種：硬件防火墻 </p><p>　　

39、這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上"所謂"二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻，他們都基于PC架構，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統，最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是，由于此類防火墻采用的依然是別人的內核，因

40、此依然會受到OS（操作系統）本身的安全性影響。傳統硬件防火墻一般至少應具備三個端口，分別接內網，外網和DMZ區(qū)（非軍事化區(qū)），現在一些新的硬件防火墻往往擴展了端口，常見四端口防火墻一般將第四個端口做為配置口、管理端口。很多防火墻還可以進一步擴展端口數目。</p><p>　　第三種：芯片級防火墻</p><p>　　芯片級防火墻基于專門的硬件平臺，沒有操作系統。專有的ASIC芯片促使它們比

41、其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統）,因此防火墻本身的漏洞比較少，不過價格較高昂。</p><p>　　2.2.3 從防火墻所采用的技術不同來分 </p><p>　　我們可以將它分為四種基本類型：包過濾型、網絡地址轉換-NAT、代理型和監(jiān)測型。具體如下： <

42、;/p><p>　　(1) 包過濾防火墻 第一代防火墻和最基本形式防火墻檢查每一個通過的網絡包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。這稱為包過濾防火墻。本質上，包過濾防火墻是多址的，表明它有兩個或兩個以上網絡適配器或接口。例如，作為防火墻的設備可能有兩塊網卡(NIC)，一塊連到內部網絡，一塊連到公共的Internet。防火墻的任務，就是作為“通信警察”，指引包和截住那些有危害的包。 包過濾

43、防火墻檢查每一個傳入包，查看包中可用的基本信息（源地址和目的地址、端口號、協議等）。然后，將這些信息與設立的規(guī)則相比較。如果已經設立了阻斷telnet連接，而包的目的端口是23的話，那么該包就會被丟棄。如果允許傳入Web連接，而目的端口為80，則包就會被放行。多個復雜規(guī)則的組合也是可行的。如果允許Web連接，但只針對特定的服務器，目的端口和目的地址二者必須與規(guī)則相匹配，才可以讓該包通過。最后，可以確定當一個包到達時，如果對該包沒有規(guī)則被

44、定義，接下來將會發(fā)生什么事情了。通常，為了安全起見，與傳入規(guī)則不匹配的包就被丟棄了。如果有理由讓該包通過，就要建立規(guī)則來處理它。建立包過濾防火墻規(guī)則的例子如下：</p><p>　　傳入的包包含路由信息，它覆蓋了包通過網絡應采取得正常路由，可能會繞過已有的安全程序。通過忽略源路由信息，防火墻可以減少這種方式的攻擊。 （2）狀態(tài)/動態(tài)檢測防火墻 狀態(tài)/動態(tài)檢測防火墻，試圖跟蹤通過防火墻的網絡連接和

45、包，這樣防火墻就可以使用一組附加的標準，以確定是否允許和拒絕通信。它是在使用了基本包過濾防火墻的通信上應用一些技術來做到這點的。當包過濾防火墻見到一個網絡，包是孤立存在的。它沒有防火墻所關心的歷史或未來。允許和拒絕包的決定完全取決于包自身所包含的信息，如源地址、目的地址、端口號等。包中沒有包含任何描述它在信息流中的位置的信息，則該包被認為是無狀態(tài)的；它僅是存在而已。一個有狀態(tài)包檢查防火墻跟蹤的不僅是包中包含的信息。為了跟蹤包的狀態(tài)，防火

46、墻還記錄有用的信息以幫助識別包，例如已有的網絡連接、數據的傳出請求等。例如，如果傳入的包包含視頻數據流，而防火墻可能已經記錄了有關信息，是關于位于特定IP地址的應用程序最近向發(fā)出包的源地址請求視頻信號的信息。如果傳入的包是要傳給發(fā)出請求的相同系統，防火墻進行匹配，包就可以被允許通過。 一個狀態(tài)/動態(tài)檢測防火墻可截斷所有傳入的</p><p>　　●POP3 ●IMAP

47、 ●NNTP </p><p>　　●TELNET ●FTP ●IRC 應用程序代理防火墻可以配置成允許來自內部網絡的任何連接，它也可以配置成要求用戶認證后才建立連接。要求認證的方式由只為已知的用戶建立連接的這種限制，為安全性提供了額外的保證。如果網絡受到危害，這個特征使得從內部發(fā)動攻擊的可能性大大減少。</

48、p><p>　?。?）NAT 討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術上講它根本不是防火墻。網絡地址轉換(NAT)協議將內部網絡的多個IP地址轉換到一個公共地址發(fā)到Internet上。NAT經常用于小型辦公室、家庭等網絡，多個用戶分享單一的IP地址，并為Internet連接提供一些安全機制。當內部用戶與一個公共主機通信時，NAT追蹤是哪一個用戶作的請求，修改傳出的包，這樣包就像是來自單一的公共IP

49、地址，然后再打開連接。一旦建立了連接，在內部計算機和Web站點之間來回流動的通信就都是透明的了。當從公共網絡傳來一個未經請求的傳入連接時，NAT有一套規(guī)則來決定如何處理它。如果沒有事先定義好的規(guī)則，NAT只是簡單的丟棄所有未經請求的傳入連接，就像包過濾防火墻所做的那樣。可是，就像對包過濾防火墻一樣，你可以將NAT配置為接受某些特定端口傳來的傳入連接，并將它們送到一個特定的主機地址。 （5）個人防火墻 現在網絡上流傳著很

50、多的個人防火墻軟件，它是應用程序級的。個人防火墻是一種能夠保護個人計算機系統安全的軟件，它可以直接在用戶的計算機上運行，使用與狀態(tài)/動態(tài)檢測防火墻相同的方式</p><p>　　2.3 防火墻的基本功能</p><p><b>　　網絡安全的屏障</b></p><p>　　防火墻可通過過濾不安全的服務而減低風險，極大地提高內部網絡的安全性

51、。由于只有經過選擇并授權允許的應用協議才能通過防火墻，所以網絡環(huán)境變得更安全。防火墻可以禁止諸如不安全的NFS協議進出受保護的網絡，使攻擊者不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向路徑。防火墻能夠拒絕所有以上類型攻擊的報文，并將情況及時通知防火墻管理員。</p><p>　　2.3.2 強化網絡安全策略</p>&

52、lt;p>　　通過以防火墻為中心的安全方案配置。能將所有安全軟件(如口令、加密、身份認證等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如，在網絡訪問時，一次一密口令系統和其他的身份認證系統完全可以不必分散在各個主機上而集中在防火墻。</p><p>　　2.3.3 對網絡存取和訪問進行監(jiān)控審計</p><p>　　由于所有的訪問都必須經過

53、防火墻，所以防火墻就不僅能夠制作完整的日志記錄，而且還能夠提供網絡使用的情況的統計數據。當發(fā)生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是一項非常重要的工作。這不僅有助于了解防火墻的控制是否能夠抵擋攻擊者的探測和攻擊，了解防火墻的控制是否充分有效，而且有助于作出網絡需求分析和威脅分析。</p><p>　　2.3.4 防止內部信息的外泄<

54、;/p><p>　　通過利用防火墻對內部網絡的劃分，可實現內部網中重點網段的隔離，限制內部網絡中不同部門之間互相訪問，從而保障了網絡內部敏感數據的安全。另外，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節(jié)，可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至由此而暴露了內部網絡的某些安全漏洞。使用防火墻就可以隱藏那些透露內部細節(jié)的服務，如Finger、DNS等。Finger顯示了主機的所有用戶的用戶名、

55、真名、最后登錄時間和使用Shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶在連線上網，這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。</p><p>　　2.4　防火墻的設置方案</p><p>　　最簡單的防火墻配置，就是直接在內部網

56、和外部網之間加裝一個包過濾路由器或者應用網關。為更好地實現網絡安全，有時還要將幾種防火墻技術組合起來構建防火墻系統。目前比較流行的有以下三種防火墻配置方案。</p><p>　　雙宿主機網關（Dual Homed Gateway）</p><p>　　這種配置是用一臺裝有兩個網絡適配器的雙宿主機做防火墻。雙宿主機用兩個網絡適配器分別連接兩個網絡，又稱堡壘主機。堡壘主機上運行著防火墻軟件（通

57、常是代理服務器），可以轉發(fā)應用程序，提供服務等。雙宿主機網關有一個致命弱點，一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任何網上用戶均可以隨便訪問有保護的內部網絡。</p><p>　?。?） 屏蔽主機網關（Screened Host Gateway）</p><p>　　屏蔽主機網關易于實現，安全性好，應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。

58、一個包過濾路由器連接外部網絡，同時一個堡壘主機安裝在內部網絡上。堡壘主機只有一個網卡，與內部網絡連接。通常在路由器上設立過濾規(guī)則，并使這個單宿堡壘主機成為從Internet惟一可以訪問的主機，確保了內部網絡不受未被授權的外部用戶的攻擊。而Intranet內部的客戶機，可以受控制地通過屏蔽主機和路由器訪問Internet。</p><p>　　雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是，堡壘主機有兩塊網卡，一塊連接內部

59、網絡，一塊連接包過濾路由器。雙宿堡壘主機在應用層提供代理服務，與單宿型相比更加安全。</p><p>　?。?）屏蔽子網（Screened Subnet）</p><p>　　這種方法是在Intranet和Internet之間建立一個被隔離的子網，用兩個包過濾路由器將這一子網分別與Intranet和Internet分開。兩個包過濾路由器放在子網的兩端，在子網內構成一個“緩沖地帶”，兩個路由

60、器一個控制Intranet 數據流，另一個控制Internet數據流，Intranet和Internet均可訪問屏蔽子網，但禁止它們穿過屏蔽子網通信。可根據需要在屏蔽子網中安裝堡壘主機，為內部網絡和外部網絡的互相訪問提供代理服務，但是來自兩網絡的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務器，像WWW、FTP、Mail等Internet服務器也可安裝在屏蔽子網內，這樣無論是外部用戶，還是內部用戶都可訪問。這種結

61、構的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設備多，造價高。</p><p><b>　　防火墻入侵分析</b></p><p>　　在前一章中我們詳細的論述了防火墻的基礎知識和各個方面的應用特征，我們知道防火墻是現在應用極為廣泛的安全設備（軟件），但我們還時常可以看到有很多的帶有防火墻的網站被攻擊，顯然防火墻也是有不足之處的，下面我就此對防火墻進行簡單的分析

62、：</p><p>　　3.1 防火墻的安全和效能分析</p><p>　　在捍衛(wèi)網絡安全的過程中，防火墻受到人們越來越多的青睞。作為一種提供信息安全服務、實現網絡和信息安全的基礎設施，防火墻采用將內部網和公眾網如Internet分開的方法，可以作為不同網絡或網絡安全域之間信息的出入口，根據企業(yè)的安全策略控制出入網絡的信息流。再加上防火墻本身具有較強的抗攻擊能力，能有效地監(jiān)控內部網和Int

63、ernet之間的任何活動，從而為內部網絡的安全提供了有力的保證。 </p><p>　　但是，防火墻在為內部網絡帶來安全的同時，也產生了一定的反作用——它降低了網絡運行效率。目前防火墻的控制技術可分為：封包過濾型(Packet Filter)、封包檢驗型(Stateful Inspection Packet Filter)以及應用網關型(Application Gateway)三種。這三種技術分別在安全性或效能

64、上有自身優(yōu)點。不過一般人往往只注意防火墻的效能而忽略了安全性與效率之間的矛盾。</p><p>　　封包過濾型: 封包過濾型會檢查所有進出防火墻的封包標頭內容，如來源及目地IP、使用協定、TCP 或UDP 的Port等信息進行控制管理。目前的路由器、交換型路由器以及某些操作系統已經具有封包過濾型控制能力。封包過濾型最大的好處是效率高，但卻有幾個嚴重缺點:管理復雜、無法對連線做完全的控制、規(guī)則設置的先后順序會嚴重影

65、響結果、不易維護以及記錄功能少。 封包檢驗型: 封包檢驗型通過一個檢驗模組對封包中的各個層次做檢驗。封包檢驗型可謂是封包過濾型的加強版，目的在于增加封包過濾型的安全性，增加控制“連線”的能力。但由于封包檢驗的主要檢查對象仍是個別的封包，不同的封包檢驗方式可能會產生極大的差異。其檢查的層面越廣將會越安全，但其相對效能也越低。封包檢驗型防火墻在檢查不完全的情況下，某些經過精心設計、切割過的、原來并不允許通過的封包，在到達目的地時，可因重

66、組而被轉變成可通過的連線要求。去年被公布的有關Firewall-1 的Fast Mode TCP Fragment 的安全弱點就是其中一例。這一項為了增加效能的設計反而成了安全弱點。</p><p>　　應用網關型：應用網關型采用將連線動作攔截，由一個特殊的代理程序來處理兩端間的連線方式，并分析其連線內容是否符合應用協定的標準。這種方式的控制機制可以從頭到尾有效地控制整個連線的動作，而不會被客戶端或服務器端欺騙，

67、在管理上也不會像封包過濾型那么復雜，但可能必須針對每一種應用寫一個專屬的代理程序，或用一個一般用途的代理程序來處理大部分連線。這種運作方式是最安全的方式，但也是效能最低的方式。</p><p>　　防火墻是為保護安全性而設計的，因此，與其一味地要求效能，不如思考如何在不影響效能的情況下提供最大的安全保護。上述三種運作方式雖然在效能上有所區(qū)別，但我們在評估效能的同時，必須考慮這種效能的差異是否會對實際運作造成影響。

68、事實上，對大部分使用T1或xDSL 連線的寬帶網而言，即便是使用應用網關型也不會真正影響網絡的使用效能。在這種應用環(huán)境下，防火墻的效能不應該是考慮的重點。但是，若防火墻是架在企業(yè)網內不同部門之間時，企業(yè)就必須考慮能否接受這種效能上的犧牲。 </p><p>　　3.2 防火墻有三難防</p><p>　　在信息安全日益突出的今天，防火墻技術應用愈來愈受到重視。它不失為一種在內部網和外部網

69、之間實施的信息安全防范系統，這種計算機網絡互聯環(huán)境下的訪問控制技術，通過監(jiān)測、限制、更改跨越防火墻的數據流，可以有效地對外屏蔽被保護網絡的信息，從而對系統結構及其良性運行等實現安全防護。因此，許多“網友”認為，計算機網絡裝上防火墻，就可以“高枕無憂”、“萬事大吉”了。其實，這是一種片面的錯誤認識和十分令人擔心的危險想法。因為防火墻并不是萬能的，它的技術不可能一勞永逸和真正達到“萬無一失”，它的“權力”是有限的，在計算機網絡上，它也有“管

70、不著”、“管不了”的地方，或者說也有許多“難言之隱”———即“三難防”。 </p><p>　　“一難防”：防火墻不能防范不經由防火墻的攻擊。如果外部網絡用戶直接從因特網服務提供商那里購置直接的SLIP或PPP鏈接，繞過了防火墻系統所提供的安全保護，就會造成一個潛在的后門攻擊渠道。 </p><p>　　“二難防”：防火墻不能阻止已受到病毒感染的軟件或文件的傳輸，因而不能防止網絡受到病

71、毒的侵擾。由于操作系統、病毒、二進制文件類型的復雜性，而且更新速度很快，防火墻無法逐個掃描每個文件查找病毒，病毒很可能隱藏在合法郵寄的數據包內，防火墻很難對其進行識別。 </p><p>　　“三難防”：防火墻不能防止數據驅動式的攻擊。當有些表面看起來無害的數據通過郵寄或拷貝到內部網的主機上并被執(zhí)行時，就會發(fā)生數據驅動式的攻擊。例如，一種數據驅動式的攻擊，可以導致主機修改與系統安全有關的配置文件，從而使入侵者下

72、一次更容易攻擊該系統。 </p><p>　　正因為防火墻有“三難防”困擾，我們在使用軍用、民用及各類計算機網絡時，一定要克服那種“有了防火墻就可以高枕無憂”的麻痹思想和僥幸心理，要高度重視計算機網絡的信息安全，扎扎實實落實各級安全保密部門強調的安全措施與各項安全制度要求，并不斷豐富完善計算機網絡安全的各種技術措施。對密碼技術、電磁輻射防泄露技術、系統入侵防范技術、病毒防治技術等加以綜合運用，不斷進行革新創(chuàng)新，

73、提高網絡的安全防范能力，提高對抗網上“黑客”或被非法攻擊以及病毒襲擾的能力，鑄起我們堅實的信息盾牌。</p><p>　　第四章 繞過防火墻認證的攻擊</p><p>　　現在隨著人們的安全意識加強，防火墻一般都被公司企業(yè)采用來保障網絡的安全，一般的攻擊者在有防火墻的情況下，一般是很難入侵的。上面我們分析了一下入侵有防火墻服務器過程中的相關問題，下面談談針對各種防火墻環(huán)境下的可能的攻擊手段

74、。</p><p>　　4.1 繞過包過濾防火墻</p><p>　　包過濾防火墻是最簡單的一種了，它在網絡層截獲網絡數據包，根據防火墻的規(guī)則表，來檢測攻擊行為。他根據數據包的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口來過濾！很容易受到如下攻擊： </p><p>　　4.1.1 IP 欺騙攻擊 這種攻擊，主要是修改數據

75、包的源，目的地址和端口，模仿一些合法的數據包來騙過防火墻的檢測。如：外部攻擊者，將他的數據報源地址改為內部網絡地址，防火墻看到是合法地址就放行了。可是，如果防火墻能結合接口，地址來匹配，這種攻擊就不能成功了。</p><p>　　4.1.2 DOS拒絕服務攻擊 簡單的包過濾防火墻不能跟蹤 TCP的狀態(tài)，很容易受到拒絕服務攻擊，一旦防火墻受到DOS攻擊，他可能會忙于處理，而忘記了他自己的過濾功能。

76、你就可以饒過了，不過這樣攻擊還很少的。</p><p>　　4.1.3 分片攻擊 這種攻擊的原理是：在IP的分片包中，所有的分片包用一個分片偏移字段標志分片包的順序 ，但是，只有第一個分片包含有TCP端口號的信息。當IP分片包通過分組過濾防火墻時，防火墻只根據第一個分片包的TCP信息判斷是否允許通過，而其他后續(xù)的分片不作防火墻檢測，直接讓它們通過。這樣，攻擊者就可以通過先發(fā)送第一個合法的IP分片

77、，騙過防火墻的檢測，接著封裝了惡意數據的后續(xù)分片包就可以直接穿透防火墻，直接到達內部網絡主機，從而威脅網絡和主機的安全。</p><p>　　4.1.4 木馬攻擊 對于包過濾防火墻最有效的攻擊就是木馬了，一旦你在內部網絡安裝了木馬，防火墻基本上是無能為力的。原因是：包過濾防火墻一般只過濾低端口（1-1024），而高端口他不可能過濾的（因為，一些服務要用到高端口，因此防火墻不能關閉高端口的），所以

78、很多的木馬都在高端口打開等待，如冰河，SUB SEVEN等。但是木馬攻擊的前提是必須先上傳，運行木馬，對于簡單的包過濾防火墻來說，是容易做的。這里不寫這個了。大概就是利用內部網絡主機開放的服務漏洞。早期的防火墻都是這種簡單的包過濾型的，到現在已很少了，不過也有?，F在的包過濾采用的是狀態(tài)檢測技術，下面談談狀態(tài)檢測的包過濾防火墻。</p><p>　　4.2 繞過狀態(tài)檢測的包過濾防火墻</p><

79、p>　　狀態(tài)檢測技術最早是CHECKPOINT提出的，在國內的許多防火墻都聲稱實現了狀態(tài)檢測技術?？墒呛芏嗍菦]有實現的。到底什么是狀態(tài)檢測？一句話，狀態(tài)檢測就是從TCP連接的建立到終止都跟蹤檢測的技術。 原先的包過濾，是拿一個一個單獨的數據包來匹配規(guī)則的。可是我們知道，同一個TCP連接，他的數據包是前后關聯的，先是SYN包，=》數據包=》FIN包。數據包的前后序列號是相關的。如果割裂這些關系，單獨的過濾數據包，很容易被

80、精心構造的攻擊數據包欺騙！如NMAP的攻擊掃描，就有利用SYN包，FIN包，RESET包來探測防火墻后面的網絡。相反，一個完全的狀態(tài)檢測防火墻，他在發(fā)起連接就判斷，如果符合規(guī)則，就在內存登記了這個連接的狀態(tài)信息（地址，端口，選項）,后續(xù)的屬于同一個連接的數據包，就不需要在檢測了。直接通過。而一些精心構造的攻擊數據包由于沒有在內存登記相應的狀態(tài)信息，都被丟棄了。這樣這些攻擊數據包，就不能饒過防火墻了。說狀態(tài)檢測必須提到動態(tài)規(guī)則技術。在狀態(tài)

81、檢測里，采用動態(tài)規(guī)則技術，原先高端口的問題就可以解決了。實現原理是：平時，防火墻可以過濾內部網絡的所有端口(1-65535),外部攻擊</p><p>　　4.2.1 協議隧道攻擊 協議隧道的攻擊思想類似與VPN的實現原理，攻擊者將一些惡意的攻擊數據包隱藏在一些協議分組的頭部，從而穿透防火墻系統對內部網絡進行攻擊。例如，許多簡單地允許ICMP回射請求、ICMP回射應答和UDP分組通過的防火墻就容易受

82、到ICMP和UDP協議隧道的攻擊。LOKI和LOKID（攻擊的客戶端和服務端）是實施這種攻擊的有效的工具。在實際攻擊中，攻擊者首先必須設法在內部網絡的一個系統上安裝上LOKID服務端，而后攻擊者就可以通過LOKI客戶端將希望遠程執(zhí)行的攻擊命令（對應IP分組）嵌入在ICMP或UDP包頭部，再發(fā)送給內部網絡服務端LOKID，由它執(zhí)行其中的命令，并以同樣的方式返回結果。由于許多防火墻允許ICMP和UDP分組自由出入，因此攻擊者的惡意數據就能附

83、帶在正常的分組，繞過防火墻的認證，順利地到達攻擊目標主機下面的命令是用于啟動LOKID服務器程序： lokid-p–i–vl loki客戶程序則如下啟動： loki-d 172.29.11.191(攻擊目標主機)-p–I–v1–t3 這樣，lokid和loki就</p><p>　　4.2.2 利用FTP-PASV繞過防火墻認證的攻擊 FTP-PASV攻擊是

84、針對防火墻實施入侵的重要手段之一。目前很多防火墻不能過濾這種攻擊手段。如CHECKPOINT的FIREWALL-1，在監(jiān)視FTP服務器發(fā)送給客戶端的包的過程中，它在每個包 ！墻能結合接口，地址來匹配，這種攻擊就不能成功了：（中尋找"227"這個字符串。如果發(fā)現這種包，將從中提取目標地址和端口，并對目標地址加以驗證，通過后，將允許建立到該地址的TCP連接。攻擊者通過這個特性，可以設法連接受防火墻保護的服務器和

85、服務</p><p>　　。4.2.3 反彈木馬攻擊 反彈木馬是對付這種防火墻的最有效的方法。攻擊者在內部網絡的反彈木馬定時地連接外部攻擊者控制的主機，由于連接是從內部發(fā)起的，防火墻（任何的防火墻）都認為是一個合法的連接，因此基本上防火墻的盲區(qū)就是這里了。防火墻不能區(qū)分木馬的連接和合法的連接。 但是這種攻擊的局限是：必須首先安裝這個木馬！所有的木馬的第一步都是關鍵！</p>&

86、lt;p>　　4.3 繞過代理防火墻</p><p>　　代理是運行在應用層的防火墻，他實質是啟動兩個連接，一個是客戶到代理，另一個是代理到目的服務器。實現上比較簡單，和前面的一樣也是根據規(guī)則過濾。由于運行在應用層速度比較慢，攻擊代理的方法很多。 這里就以Wingate為例， Wingate是目前應用非常廣泛的一種Windows95/NT代理防火墻軟件，內部用戶可以通過一臺安裝有Wingat

87、e的主機訪問外部網絡，但是它也存在著幾個安全脆弱點。黑客經常利用這些安全漏洞獲得Wingate的非授權Web、Socks和Telnet的訪問，從而偽裝成Wingate主機的身份對下一個攻擊目標發(fā)動攻擊。因此，這種攻擊非常難于被跟蹤和記錄。導致Wingate安全漏洞的原因大多數是管理員沒有根據網絡的實際情況對Wingate代理防火墻軟件進行合理的設置，只是簡單地從缺省設置安裝完畢后就讓軟件運行，這就給攻擊者可乘之機。</p>

88、<p>　　4.3.1 非授權Web訪問 某些Wingate版本（如運行在NT系統下的2.1d版本）在誤配置情況下，允許外部主機完全匿名地訪問因特網。因此，外部攻擊者就可以利用Wingate主機來對Web服務器發(fā)動各種Web攻擊（如CGI的漏洞攻擊等），同時由于Web攻擊的所有報文都是從80號Tcp端口穿過的，因此，很難追蹤到攻擊者的來源。 </p><p>　　檢測Wingate主

89、機是否有這種安全漏洞的方法如下： 1) 、以一個不會被過濾掉的連接（譬如說撥號連接）連接到因特網上。 2)、 把瀏覽器的代理服務器地址指向待測試的Wingate主機。 如果瀏覽器能訪問到因特網，則Wingate主機存在著非授權Web訪問漏洞。 </p><p>　　4.3.2 非授權Socks訪問 在Wingate的缺省配置中，Socks代理（1080號Tcp端口）同樣是存在安全

90、漏洞。與打開的Web代理（80號Tcp端口）一樣，外部攻擊者可以利用Socks代理訪問因特網。 要防止攻擊Wingate的這個安全脆弱點，管理員可以限制特定服務的捆綁。在多宿主（multihomed）系統上，執(zhí)行以下步驟以限定如何提供代理服務。 1、選擇Socks或WWW Proxy Server屬性。 2、選擇Bindings標簽。 3、按下Connections Will Be Accepted O

91、n The Following Interface Only按鈕，并指定本Wingate服務器的內部接口。</p><p><b>　　結 束 語</b></p><p>　　本文簡要地講解了有關網絡安全和防火墻的一些知識及針對有防火墻服務器的入侵，通過做這個題目的畢業(yè)設計，我學到了很多與防火墻相關的知識和有關網絡安全的基本理論，增長了見識，拓寬了視野，受益匪淺。當然

92、，安全并不僅僅只是以上所說的防火墻或是其他的一些安全設備，更多的因素還是在人，因為人是主體、是管理者。再好的安全設備如果沒有人的精心維護就會形同虛設。可以說任何的網絡安全事故，歸咎到底都是人的失</p><p>　　誤。因此，在關注網絡安全的同時，我們更應該關注管理員的素質和管理水平，所以給與他們適當的培訓是必不可少的，一支高素質的管理員隊伍會使網絡的安全性倍增。</p><p>　　但是

93、僅僅做到這樣是不夠的，我知道這篇論文還有很多不完善的地方，甚至還有一些錯誤，懇請大家給與我批評指正，我會努力使其完善。</p><p>　　通過這次畢業(yè)設計，自己學到了許多知識，而且也深刻的體會到還有許多東西要學，同時，也為自己在以后的工作和學習中樹立正確的態(tài)度打下了堅實的基礎，我認為這才是最重要的。 </p><p><b>　

94、　參考文獻</b></p><p>　　網絡安全與防火墻技術 人民郵電出版社</p><p>　　黑客X檔案2007第二期 吉林科學技術出版社</p><p>　　黑客防線2006精華本（攻冊） 人民郵電出版社</p><p>　　計算機安全（2006.8）