【工程方案】网络安全技术在企业网中的应用.pdf

《【工程方案】网络安全技术在企业网中的应用.pdf》由会员分享，可在线阅读，更多相关《【工程方案】网络安全技术在企业网中的应用.pdf（65页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、 网络安全技术 在企业网中的综合应用 The Integrative application of network security technology in Intranet 作者：胡 锐 专业：计算机应用 导师：徐 高 潮 吉林大学计算机科学系 二零零一年三月 内容提要 本文在分析了网络安全的威胁和企业网的安全需求的基础上，提出综合运用各种网络安全技术，包括边界路由器的安全控制、防火墙、网络扫描器、入侵检测系统、W e b服务器的安全、操作系统的安全管理、论证与加密和物理安全等，使它们在不同的层次和方面各自发挥自己的功能，并相互补充，构造一个较为完备的统一的企业网安全体系。第二章详细讨论

2、边界路由器的安全控制，并给出具体的实现方法。第三章重点讨论了防火墙的原理、作用、类型和创建的步骤，并重点讨论了防火墙的策略。第四章讨论了网络扫描器的基本原理、分类、功能模块和扫描内容。第五章讨论了入侵检测系统的工作原理和功能。第六章重点讨论了 W e b服务器的安全，还讨论了利用 S S L（S e c u r i t y S o c k e t L a y e r）安全机制中的数字证书和加密技术保障数据的安全，利用网站监控保护系统保护 W e b 服务器网页安全，并给出具体的实现方法。第七章重点讨论了操作系统的安全管理和入侵之后的恢复，并给出具体的实现方法。第八章讨论验证与加密技术。第九章简

3、单讨论网络的物理安全。第十章给出了结论。目录 第一章 引言 1 第二章 边界路由器的安全控制 4 2.1 加密口令.4 2.2 控制登录访问.4 2.3 控制服务.6 2.4 防止攻击.7 2.5 利用日志.9 2.6 边界路由器安全控制的局限 .1 0 第三章 防火墙 .1 1 3.1 防火墙的基本原理 .1 1 3.2 防火墙的作用 .1 2 3.2.1 防止易受攻击的服务.1 2 3.2.2 控制访问网点系统.1 2 3.2.3 集中安全性.1 2 3.2.4 增强的保密、强化私有权.1 2 3.2.5 有关网络使用、滥用的记录和统计.1 3 3.2.6 策略执行.1 3 3.3 防火墙

4、的基本类型 .1 3 3.3.1 包过滤.1 3 3.3.2 应用网关.1 7 3.4 防火墙的安全功能.2 0 3.5 商用防火墙.2 1 3.6 创建防火墙的重要步骤 .2 2 3.6.1 确定拓扑结构、应用和协议需求 .2 2 3.6.2 分析本组织中的可信任关系.2 2 3.6.3 指定规则并选择合适的防火墙 .2 2 3.6.4 安装、配置、使用及测试防火墙 .2 3 3.7 防火墙的局限 .2 3 第四章 网络扫描器 .2 4 4.1 扫描器的基本原理.2 4 4.2 扫描器的分类.2 4 4.3 网络扫描器功能模块.2 6 4.3.1 基本功能模块.2 6 4.3.2 扫描内容.

5、2 6 4.4 商用扫描器器软件.2 7 4.5 扫描器的局限.2 8 第五章 入侵检测系统 .2 9 5.1 入侵检测系统的工作原理.2 9 5.2 入侵检测系统的功能.2 9 5.3 入侵检测系统基本方式.2 9 5.3.1 基于网络的入侵检测.3 0 5.3.2 基于主机的入侵检测3 0 5.4 商用入侵检测系统.3 1 5.5 入侵检测系统的局限.3 1 第六章 W e b 服务器的安全.3 2 6.1 安装时应注意的安全问题.3 2 6.3 登录认证的安全性.3 2 6.2 用户控制的安全性.3 2 6.3 登录认证的安全性.3 2 6.4 访问权限控制.3 3 6.5 I P 地址

6、的控制.3 3 6.6 端口安全性的实现.3 4 6.7 I P 转发的安全性 3 4 6.8 S S L 安全机制.3 4 6.9 运用网站监控保护系统保护 W e b 服务器.3 5 6.9.1 网站监控保护系统的工作原理.3 5 6.9.2 网站监控保护系统的主要功能.3 5 6.9.3 商用网站监控保护系统软件.3 6 第七章 操作系统的安全管理 .3 7 7.1 W i n d o w s N T 的安全管理 3 7 7.2 U n i x 的安全管理 3 9 7.3 安全管理的局限 4 2 7.4 U N I X 或 N T 系统受到入侵之后的恢复 4 2 7.4.1 夺回控制权

7、4 2 7.4.2 复制遭受入侵系统的镜象 4 2 7.4.3 分析入侵 4 3 7.4.4 从入侵中恢复 4 8 7.4.5 提高系统和网络的安全性 4 8 7.4.6 更新安全策略 4 9 第八章 验证与加密 5 0 8.1 先进的验证 5 0 8.2 加密 5 0 8.3 商用的加密技术 5 1 第九章 物理安全.5 2 第十章 结论.5 3 参考文献 致谢 论文摘要 A B S T R A C T 1第一章 引言 随着I n t e r n e t 的普及和发展，企业网I n t r a n e t 接入I n t e r n e t所带来的计算机网络安全问题现在越来越突出了。概括而言

8、，针对网络安全的威胁主要有三：1 人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。2 人为的恶意攻击：这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。3 网络软件的漏洞和“后门”：网络软件不可能是百分之百的无缺陷和无漏洞的，然而

9、，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。针对这些网络安全的威胁。企业网的安全需求包括：1 解决网络的边界安全，因为它本身是和国际互联网相连的。2 要保证网络内部的安全。3 不仅要实现系统安全，还要实现数据安全。4 建立全网通行的身份识别系统，实现用户的统一管理。5 在身份识别和资源统一管理的基础之上，实现统一的授权管理，所谓的统一授权管理就是在用户和资源之间进行严格的访问控制。

10、6 信息传输时实现数据完整性和保密性。7 建立一整套审计、记录的机制，也就是说网上发生的事情要记录下来，再根据记录进行事后的处理。8 把技术手段和行政手段融为一体，形成全局的安全管理。2针对这种企业的需求，一种或几种网络安全技术是不能满足企业安全的需要。一个普遍的错误认识是：防火墙可以解决网络安全问题。从上面的分析可以看出，这是不全面的。首先，防火墙保护网络系统的可用性，也就是说它是保护系统安全的。第二，防火墙识别和控制 I P 地址，不能识别用户的身份；它能保护网络的服务，但不能控制数据的存取；第三，防火墙提供系统安全，不能提供数据安全；第四，从防御的方向来讲，防火墙防外不防内；第五，从安全

11、控制的粒度来讲，防火墙是粗粒度、泛泛的，而不是细微、精确控制的。防火墙最大的问题则是没有一套身份认证和授权管理系统。I N T R A N E T 是一个层次结构，其安全也是一个层次结构。在网络的不同层次，有不同的安全需求和不同的解决方案。网络安全方案只有覆盖多个层次，方案才是可靠、安全、没有漏洞的。I n t r a n e t 安全从整体上来讲可分为两个方面。第一，网络层，保护网络服务的可用性。第二，应用层，保护合法用户对数据的合法存取。在网络层重点解决的是系统安全问题，在应用层重点解决的是数据安全问题。通过网络层和应用层、系统安全和数据安全相结合，架构了立体的防护体系，最终来确保网络百分

12、之百的安全。同时，技术手段与管理手段也需要结合。事实上，对于网络企业网或者 I S P 的公网来说，管理的失败是网络安全体系失败的非常重要的原因。最近报道的若干网络入侵案件证明了这一点。网络管理员配置不当或者网络应用升级不及时造成的安全漏洞、使用脆弱的用户口令、随意使用普通网络站点下载的软件、在防火墙内部架设拨号服务器却没有对帐号认证等严格限制、用户安全意识不强，将自己的帐号随意转借他人或与别人共享等等，这些管理落实上的问题都是无论多么精妙的安全策略和网络安全体系都不能解决的，都会使网络处于危险之中。在网络层限制访问，设一道防火墙，这是最基本的安全设施。另外，为防止黑客攻击，还需要有安全检测手

13、段。安全检测近似于病毒检查，能够发现系统存在的安全漏洞，并列出报告告诉你检修的方法。网络层的安全检测措施，主要是预防黑客的攻击。这种预防是主动的，在网络运行之前和运行当中通过不断的自测、自检来发现问题，然后及时采取补救措施。这就是安全检测的含义，具体功能包括两个方面：一是检测网络的安全漏洞，再者是检测系统配置错误。3 应用层的安全措施有如下方面：第一，要建立全局的电子身份认证系统；第二，实现全局资源的统一管理，在身份认证和资源管理基础之上，实现全局的统一授权管理，也就是说对全局用户和资源进行集中的授权管理；第三，信息传输加密，这里包括两个方面，一类是数据的完整性，是指数据本身是不能改写的，你可

14、以看到但是不能去改动它；第二类是数据的保密性，数据不可窃听，通过加密来完成；第四，实现审讯记录和统计分析。首先要建立一套事件发生的记录体制，在这个体制之上我们对记录信息进行统计分析，得出来我们所需的各方面的信息。安全管理主要是配合行政手段，从技术上实现安全管理，从范畴上讲，涉及三个方面：用户空间、资源空间、授权管理。其中授权管理是核心。基于以上的讨论，本文提出综合运用各种网络安全技术，包括边界路由器的安全控制、防火墙、网络扫描器、入侵检测系统、W e b服务器的安全、操作系统的安全管理、论证与加密和物理安全等，使它们在不同的层次和方面各自发挥自己的功能，并相互补充，构造一个较为完备的统一的企业

15、网安全体系。以下各章具体讨论了构造企业网安全体系的各种网络安全技术。4第二章 边界路由器的安全控制 目前大多数的企业网接入 I n t e r n e t，通常都是由一台路由器与 I S P 连接实现，称为边界路由器。如果这台边界路由器能够进行合理的安全设置，就可以对内部的网络提供一定安全性或对已有的安全增加了一层屏障。特别对于一些小的单位，网络安全不是要求十分严格且资金不足的情况下，这种手段是十分有效的。目前路由器本身就带有一定的安全功能，如访问列表、加密等，但是在缺省情况下，这些功能大多数都是关闭的。需要进行手工配置。本章以 C i s c o 为例讨论边界路由器的安全控制，作为企业网安全

16、的第一关。2.1 加密口令 口令是路由器防止被非授权访问的主要手段，但是需要加密。s e r v i c e p a s s w o r d-e n c r y p t i o n命令用于对存储在配置文件中的所有口令和类似数据（如 C H A P）进行加密。但是 s e r v i c e p a s s w o r d-e n c r y p t i o n的加密算法是一个简单的维吉尼亚加密，很容易被破译。e n a b l e s e c r e t命令用于设定具有管理员权限的口令，并且它用的是 M D 5 算法，这种算法很难进行破译的。但是这种 M D 5 算法对于字典式攻击还是没有办法

17、。所以，最好的方法就是选择一个长的口令字，避免配置文件被外界得到，且设定e n a b l e s e c r e t 和 s e r v i c e p a s s w o r d-e n c r y p t i o n。最好的口令处理方法是将这些口令保存在 T A C A C S（终端访问控制器访问控制系统 T e r m i n a l A c c e s s C o n t r o l l e r A c c e s s C o n t r o l S y s t e m，简称 T A C A C S）认证服务器上。特别是要对网络上大量的路由器进行有效的集中控制管理，就必须采用 T A

18、 C A C S（或类似功能的软件包，如 R a d i u s）。T A C A C S 被用来集中管理 C H A P 用户名和密码的，并且它是定义在通用接口原则上的，它也可以用来对那些试图从路由器获取 T e l n e t（乃至 E n a b l e）访问的用户进行身份验证。T A C A C S 可以对单个用户进行身份认证并记录其行为。首先将 T A C A C S 在 U n i x 机器或 N T 服务器上安装、正确配置并运行，然后配置路由器将访问用户的身份认证指向 T A C A C S服务器。应特别注意，定义在路由器上的 E n a b l e 密码是一个全局配置，与个别用

19、户无关，E n a b l e 密码的安全至关重要。2.2 控制登录访问 5 攻击者登录到路由器上就能显示一些重要的配置信息，并且可以将路由器作为攻击的中转站。所以需要正确控制路由器的登录访问。包括：控制控制台端口。当路由器重启动的开始几秒如果发送一个 B r e a k信号到控制台端口，则利用口令恢复程式可以很容易控制整个系统。如果一个攻击者尽管没有正常地访问权限，但是若能重启系统（切断电源或系统崩溃）和访问控制台端口（通过直连终端、M o d e m、终端服务器），就可以控制整个系统。所以必须保证所有连结控制台端口的访问的安全性。控制异步终端和拨号 M o d e m 登录访问 本地的异步

20、终端和拨号 M o d e m 用标准的“T T Y s”。缺省的情况下一个远程用户可以连结到一个 T T Y，称为“反向 T e l n e t”，允许远端用户和连接到这个 T T Y 上的终端或 M o d e m 进行交互。但是这就使攻击者可以构造一个假的登记过程来偷盗口令或其他的非法活动。所以最好禁止这些功能。采用 t r a n s p o r t i n p u t n o n e 设置任何异步或 M o d e m 不接收来自网络用户的连接。如果可能，不要用相同的 M o d e m 拨入和拨出，且禁止反向 T e l n e t 拨入。控制网络虚拟终端 利用 t r a n s

21、 p o r t i n p u t 命令只允许指定的协议建立连结。远地的网络连结不管采用什么协议（T e l n e t、r l o g i n、S s h以及非基于 I P 的网络协议如 L A P、M O P、X.2 9、V.1 2 0 等），都是虚拟的 T T Y s，即“V T Y s”。例如，一个 V T Y 只支持 T e l n e t 服务，可设置 t r a n s p o r t i n p u t t e l n e t。如果路由器操作系统支持 S s h，最好设置：t r a n s p o r t i n p u t s s h，避免使用明文传送的 T e l n

22、e t 服务。利用 i p a c c e s s-c l a s s 限制访问 V T Y 的 i p 地址范围。将所有对路由器的远程访问限制在网络管理员专用的网段，使得路由器只能接受来自这一特殊网段的连接，从而实现限制访问 V T Y的 i p 地址范围。可以通过访问列表来实现。例如网络管理员专用网段为 2 0 2.9 8.1 9.0，可以在全局配置模式中定义列表：R o u t e r(c o n f i g)#A c c e s s-l i s t 1 1 p e r m i t 2 0 2.9 8.1 9.0 0.0.0.2 5 5 将上述列表应用到虚拟终端线路上，因为来到这些端口的

23、连接只能是 T e l n e t会话。这样被接受的 T e l n e t会话只能是那些来自2 0 2.9 8.1 9.0 网络的。R o u t e r(c o n f i g)#l i n e v t y 0 4 6R o u t e r(c o n f i g)#a c c e s s-c l a s s 1 1 i n 避免利用 V T Y s 数目的限制来进行 D o s（拒绝服务攻击）。方法一是利用i p a c c e s s-c l a s s 命令限制最后一个V T Y s 的访问地址，只向指定管理工作站打开。方法二是利用 e x e c-t i m e o u t 命令，

24、配置 V T Y的超时。避免一个空闲的任务一直占用 V T Y。类似地也可以用 s e r v i c e t c p-k e e p a l i v e s-i n 保证 T C P 建立的入连结是活动的，从而避免恶意的攻击或远端系统的意外崩溃导致的资源独占。更好的方法三是关闭所有非基于 I P的访问，且使用 I P S e c加密所有的远端与路由器的连结。控制这些T T Y s 或V T Y s 时，再加上一些认证或利用l o g i n、p a s s w o r d y o u r p a s s w o r d 命令控制访问。2.3 控制服务 路由器通常都提供很多的服务，如 S N

25、M P 、F i n g e r、T e l n e t等，但是这些服务中有一些能够被攻击者利用，所以最好禁止所有不需要的服务。控制 S N M P 简单网络管理协议 S N M P 是最经常用于路由器管理的协议。它是基于 T C P/I P 的体系结构。其运行管理环境由两大部分组成：网管工作站，通常是一台独立的设备，其上运行网管任务的处理实体称为管理器（M a n a g e r）；被管设备，通常是路由器（或主机、或网关等）网络设备，存放着设备状态信息、数据统计信息以及配置参数的管理信息库（M I B），运行着网管代理（A g e n t）。A g e n t负责维护 M I B，并响应来自

26、 M a n a g e r 的请求；M a n a g e r 可向 A g e n t发送请求查询存放于 M I B 中的状态及统计信息，以监测被管设备，M a n a g e r也可以向 A g e n t发送请求更新 M I B中的配置信息，来控制被管设备。M a n a g e r 对路由器的访问是通过一“c o m m u n i t y”来控制的。A g e n t 要求M a n a g e r 在其发来的报文中包含“c o m m u n i t y”，以验证 M a n a g e r 是否有劝访问其 M I B 中的信息。目前使用最多的S N M P版本 1，但是这个版本

27、的 S N M P存在着安全问题：利用“c o m m u n i t y”字符串，使用明文认证；在周期性轮循时，重复地发送这些“c o m m u n i t y”；采用容易被欺骗的基于数据包的协议。如果使用 S N M P V 1，避免使用缺省的 c o m m u n i t y 如 p u b l i c，p r i v a t e 等，避免对每个设备都用相同的 c o m m u n i t y，区别和限制只读和读写 c o m m u n i t y。S N M P 版本 2 却不同，它采用基于 M D 5 的数字认证方式，并且允许对不同的管理数据进行限制。最好再利用 i p a

28、c c e s s-c l a s s 限制使用 S N M P 管理的 i p 地址范围。例如，7路由器配置定义只有 2 0 2.9 8.1 9.1 能够发布只读 S N M P 命令，只有站点 2 0 2.9 8.1 9.2 能够发布读写 S N M P 命令，在全局配置模式下可如下实现：R o u t e r 1(c o n f i g)#a c c e s s-l i s t 1 p e r m i t 2 0 2.9 8.1 9.1 R o u t e r 1(c o n f i g)#a c c e s s-l i s t 2 p e r m i t 2 0 2.9 8.1 9.2

29、 R o u t e r 1(c o n f i g)#s n m p-s e r v e r c o m m u n i t y y o u r r e a d R O 1 R o u t e r 1(c o n f i g)#s n m p-s e r v e r c o m m u n i t y y o u r r w R W 2 S N M P 第二版进行改进，使用 M D 5 验证算法对报文完整性、发送者身份进行验证。所以尽量采用 S N M P V 2，并且对不同的路由器设定不同的 M D 5 安全值。但 C i s c o I O S 1 0.3 以前的版本只支持S N M P

30、 1.0，C i s c o I O S 1 0.3 及后续版本才支持 S N M P 2.0。如果可能的话，请使用低版本 I O S 的 C i s c o 用户，尽快与供应商联系升级I O S。控制 H T T P 最近的路由器操作系统支持 H T T P 协议进行远端配置和监视。而 H T T P 的认证在网络上发送明文，且对 H T T P 没有有效的基于挑战或一次性的口令保护。这使得用 H T T P 进行管理相当危险。如果要使用 H T T P 进行管理，最好用 i p h t t p a c c e s s-c l a s s 命令限定访问地址，且用 i p h t t p a

31、u t h e n t i c a t i o n 命令配置认证。最好的H T T P 认证方法是利用 T A C A C S+或 R A D I U S 服务器。C i s c o 路由器提供一些基于 T C P 和 U D P 协议的小服务，如e c h o、c h a r g e n、d i s c a r d、f i n g e r、n t p、c d p 等，这些服务很少被使用，而且容易被攻击者利用来越过包过滤机制。如 e c h o 服务，就可以被攻击者利用它发送数据包，好象这些数据包来自路由器本身；F i n g e r服务可能被攻击者利用查找用户和口令攻击；N T P不十分危险

32、，但是如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其他任务出错；C D P可能被攻击者利用获得路由器的版本等信息，从而进行攻击。所以最好禁止这些服务，利用 n o s e r v i c e t c p-s m a l l-s e r v e r s n o s e r v i c e u d p-s m a l l-s e r v e r s n o s e r v i c e f i n g e r n o n t p e n a b l e n o c d p r u n n i n g（或 n o c d p e n a b l e）2.4 防止攻击 防止伪造攻击 8 伪

33、造是攻击者经常使用的方法。利用访问列表，限制通过的数据包的地址范围，可以在一定程度上防止伪造。但是，要在网络的边界路由器上进行，因为在网络内部是难于判断地址伪造的；要对借口进入的数据进行访问控制（用 i p a c c e s s-g r o u p l i s t i n），因为输出列表过滤只保护了位于路由器后的网络部分，而输入列表数据过滤还保护了路由器本身不受到外界的攻击；不仅要对外部的端口进行访问控制，还要对内部的端口进行访问控制，因为可以防止来自内部的攻击行为。例如：i p a c c e s s-l i s t n u m b e r d e n y i p h o s t 1 2

34、7.0.0.0 0.2 5 5.2 5 5.2 5 5 a n y ；拒绝 L o o p b a c k 的数据包 i p a c c e s s-l i s t n u m b e r d e n y i p 2 2 4.0.0.0 3 1.2 5 5.2 5 5.2 5 5 a n y ；拒绝多目地址的数据包 对于对称的路由，除了访问列表的限制外，还可以利用路由器的 R P F 检查（i p v e r i f y u n i c a s t r p f）。这项功能主要用于检查进入接口的数据包的源地址，根据路由表判断是不是到达这个源地址的路由也经过这个接口转发，如果不是则抛弃。这进一步保

35、证了数据源的正确性。防止直接广播攻击 目前存在一种称为“s m u r f”的攻击，攻击者通过不断地发送一个源地址为非法地址的 I P 直接广播包，这个数据包被路由器当作普通包转发到攻击的子网，然后被转换为链路层广播，从而导致子网的所有主机向这个非法地址发送响应，最终导致目的网络的广播风暴。对付这种攻击，可以在所有可能连接到目的子网的路由器都配置 n o i p d i r e c t e d-b r o a d c a s t.防止路由攻击 源路由攻击是一种常用的攻击方法。攻击者利用一些老的 I P实现在处理源路由包时存在问题导致机器崩溃。对付这种攻击，可以在路由器上用命令 n o i p

36、s o u r c e-r o u t e 关闭源路由。I c m p 重定向攻击也是一种常用的攻击方法。攻击者通过发送错误的重定向信息给末端主机，从而导致末端主机的错误路由。对付这种攻击，可以在边界路由器上设定过滤所有 i c m p 重定向数据。例如：I P a c c e s s-l i s t n u m b e r d e n y i c m p a n y a n y r e d i r e c t ；拒绝所有的 I c m p 重定向 但是这只能阻止外部的攻击者，如果攻击者和目的主机在同一个网段则没有办法。9 当路由器采用动态协议时，攻击者可以伪造路由包，破坏路由 器 的 路 由

37、 表。对 付 这 种 攻 击，可 以 利 用 访 问 列 表（d i s t r i b u t e-l i s t i n）限定正确路由信息的范围，并且可以采用认证机制，如 R i p 2 或 o s p f 支持认证等。防止洪泛攻击 目前大多数的洪泛攻击（D o s）攻击都是通过发送大量无用包，占用路由器和宽带的资源，导致网络和设备过载。对付这种攻击的措施有：利用路由器的 Q o S 功能来分担负载以防止一些洪泛攻击。方式有 W F Q，C A R，G T S 等。但是要注意的是每种凡是的应用不同。如 W F Q 防止 p i n g 攻击比 S Y N 攻击更有效；不用传统的路由表 C

38、a c h e 方式，而用 C E F 交换模式，因为采用 C E F 方式，对于出现的新目的地不需要构筑路由 C a c h e 入口，这种方式 S Y N 攻击能够更好地防止（因为 S Y N 攻击用的是随机的源地址）；使用 s c h e d u l e r i n t e r v a l 或 s c h e d u l e r a l l o c a t e 命令，使路由器在规定的时间间隔内停止处理中断去处理其他事件。防止当大量的数据包要路由器快速转发时，路由器花费大量的时间处理网络。这种方式的副作用很小，不会影响网络的正常传输；设定缺省路由到空设备（i p r o u t e 0.0

39、.0.0 0.0.0.0 n u l l 0 2 5 5）。抛弃掉不可达的目的地址的数据包，增加路由器的性能。防止极小数据片攻击：外部入侵者有时使用了 I P 分片的特性，构造极小 I P 包数据片并强行将 T C P 包头信息分成多个数据包段，以绕过过滤规则。对于这种攻击，必须丢弃协议类型为 T C P/I P F r a g m e n t O f f s e t 为 1 的数据包。注意在线路的源路由节点进行过滤可以有效地防止，但是在线路的目的路由端进行过滤，就没有什么效果。2.5 利用日志 路由器的日志功能对安全十分重要。C i s c o 路由器有如下日志：S N M P t r a

40、p 日志 改变系统状态发送到 S N M P 管理工作站。A A A 日志 主要收集用户拨入连结、登录、H T T P 访问、权限变化等信息。可以用 a a a a c c o u t i n g 将这些日志用 T A C A C S+或 R A D I U S 协议送到认证服务器并本地保存下来。系统日志 根据配置记录大量的系统事件。并可以将这些日志发送到下列地方 10 控制台端口；s y s l o g服务器；T T Y s或 V T Y s；本地的日志缓存。缺省的情况下送到控制台端口，通过控制台监视器观察系统的运行情况，但这种方式信息量小且无法记录下来供以后查看。最好将日志信息送到 s y

41、 s l o g 服务器保存下来。2.6 边界路由器安全控制的局限 边界路由器安全控制能够为网络的安全建立一个外部的屏障，减轻内部放火墙的负担，并且保证了路由器本身的安全。但是，还有很多的攻击无法从路由器上过滤，对于来自内部网络的攻击，路由器是无能为力进行保证的。11 第三章 防火墙 建立防火墙是企业网安全重要的方法之一。但是，防火墙的种类很多，功能不同，各有局限。本文在这里针对防火墙定义、作用、组成、进行讨论。以防火墙作为企业网安全的第二关。3.1 防火墙的基本原理 防火墙是控制从网络外部访问本网络的设备。这样的设备通常是可以是路由器或防火墙盒（专有硬件设备），也可以是个人主机、主系统和一批

42、主系统。通常位于网关如网点与 Internet 的连接处，充当访问网络的唯一入口点，专门把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝，并且判断是否接收某个访问请求。只要来自授权主机的访问请求才会被处理，而剩下的访问请求被丢弃。防火墙主要用途就是控制对受保护的网络(即网点)的往返访问。实施的方法就是逼使各连接点通过能得到检查和评估的防火墙。防火墙能分析任何协议的报文。基于它的分析，防火墙可以采取各种行动。防火墙因此能够执行条件评估（“如果遇到这种类型的报文，将执行这种动作”）。这些条件结构叫做规则。通常，当创建一个防火墙时，系统管理员就会用自己组织中的访问策略镜象来装备防火墙。例如

43、，假定公司有会计和销售两个部门，公司的政策是只有销售部门能访问这个 W e b 站点。为了加强这一政策，那么就要给防火墙提供一条规则拒绝从会计部发过来的连接请求。同样，防火墙允许使用这样的访问控制来实现对网络工作站和 W e b 站点的访问控制。然而，上面所说的访问控制只是现代防火墙所做的工作的一部分。例如，大多数商业防火墙允许监视报文的内容。用户可以使用这一功能来禁止 J a v a、J a v a S c r i p t、V B S c r i p t、A c t i v e X s c r i p t s和 C o o k i e s在防火墙后的执行。事实上，用户甚至能用防火墙创建的规则

44、来禁止包含特定攻击性签名的报文通过。攻击性签名是常见的特殊攻击方法中的命令行模式。例如，当一用户用 T e l n e t 连接 8 0 端口并且开始命令行请求时，这一过程对被攻击机器来说会“出现”一个特定的方式。通过设置自己的防火墙，使之识别出那一系列命令，那就可以让防火墙防御这类攻击（这也可以在报文级实现。例如，有的远程用户产生的报文数据有别与其他正常的报文数据。防火墙可以捕获这样的报文，并识别出 12 来，然后对它们采取行动）。3.2 防火墙的作用 防火墙能提高企业网络整体的安全性，因而给网络安全带来了众多的好处。具体作用如下：3.2.1 防止易受攻击的服务 防火墙可以大大提高网络安全性

45、，并通过过滤天生不安全的服务来降低子网上主系统所冒的风险。因此，子网网络环境可经受较少的风险，因为只有经过选择的协议才能通过防火墙。例如，防火墙可以禁止某些易受攻击的服务(如 N F S)进入或离开受保护的子网。这样得到的好处是可防护这些服务不会被外部攻击者利用。而同时允许在大大降低被外部攻击者利用的风险情况下使用这些服务。对局域网特别有用的服务如 N I S 或 N F S 因而可得到公用，并用来减轻主系统管理负担。防火墙还可以防护基于路由选择的攻击，如源路由选择和企图通过 I C M P 改向把发送路径转向遭致损害的网点。防火墙可以排斥所有源点发送的包和 I C M P 改向，然后把偶发事

46、件通知管理人员。3.2.2 控制访问网点系统 防火墙还有能力控制对网点系统的访问。例如，某些主系统可以由外部网络访问，而其他主系统则能有效地封闭起来，防护有害的访问。除了邮件服务器或信息服务器等特殊情况外，网点可以防止外部对其主系统的访问。这就把防火墙特别擅长执行的访问策略置于重要地位：不访问不需要访问的主系统或服务。当不用访问或不需要访问时，为什么要提供能由攻击者利用的主系统和服务访问呢？例如，如果用户几乎不需要通过网络访问他的台式工作站，那么，防火墙就可执行这一策略。3.2.3 集中安全性 如果一个子网的所有或大部分需要改动的软件以及附加的安全软件能集中地放在防火墙系统中，而不是分散到每个

47、主机中，这样防火墙的保护就相对集中一些，也相对便宜一点。尤其对于密码口令系统或其他的身份认证软件等等，放在防火墙系统中更是优于放在每个 I n t e r n e t 能访问的机器上。3.2.4 增强的保密、强化私有权 13 对一些站点而言，私有性是很重要的，因为，某些看似不甚重要的信息往往回成为攻击者灵感的源泉。使用防火墙系统，站点可以防止 f i n g e r 以及 D N S 域名服务。f i n g e r 会列出当前使用者名单，他们上次登录的时间，以及是否读过邮件等等。但 f i n g e r同时会不经意地告诉攻击者该系统的使用频率，是否有用户正在使用，以及是否可能发动攻击而不被

48、发现。防火墙也能封锁域名服务信息，从而是 I n t e r n e t 外部主机无法获取站点名和 I p 地址。通过封锁这些信息，可以防止攻击者从中获得另一些有用信息。3.2.5 有关网络使用、滥用的记录和统计 如果对 I n t e r n e t 的往返访问都通过防火墙，那么，防火墙可以记录各次访问，并提供有关网络使用率的有价值的统计数字。如果一个防火墙能在可疑活动发生时发出音响报警，则还提供防火墙和网络是否受到试探或攻击的细节。采集网络使用率统计数字和试探的证据是很重要的，这有很多原因。最为重要的是可知道防火墙能否抵御试探和攻击，并确定防火墙上的控制措施是否得当。网络使用率统计数字也很

49、重要的，因为它可作为网络需求研究和风险分析活动的输入。3.2.6 策略执行 防火墙可提供实施和执行网络访问策略的工具。事实上，防火墙可向用户和服务提供访问控制。因此，网络访问策略可以由防火墙执行，如果没有防火墙，这样一种策略完全取决于用户的协作。网点也许能依赖其自己的用户进行协作，但是，它一般不可能，也不依赖 I n t e r n e t 用户。3.3 防火墙的基本类型 实现防火墙的技术包括两大类型：包过滤(P F)、应用网关。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。3.3.1 包过滤 包过滤技术(I p F i l t e r i n g o r p a c k e

50、t f i l t e r i n g)的原理在于监视并过滤网络上流入流出的 I p 包，拒绝发送可疑的包。由于I n t e r n e t 与 I n t r a n e t 的连接多数都要使用路由器，所以 R o u t e r成为内外通信的必经端口，R o u t e r的厂商在 R o u t e r上加入 I P 14 F i l t e r i n g 功能，这样的 R o u t e r 也就成为 S c r e e n i n g R o u t e r 或称为 C i r c u i t-l e v e l g a t e w a y。这种 F i r e w a l l