畢業(yè)論文 網(wǎng)絡(luò)安全與防火墻技術(shù)

1、<p>　　網(wǎng)絡(luò)安全與防火墻技術(shù)</p><p><b>　　摘 要</b></p><p>　　本文比較詳細(xì)的介紹了網(wǎng)絡(luò)安全的基礎(chǔ)知識，以及防火墻的基本知識、實現(xiàn)方法、基本功能、主要類型、防火墻的應(yīng)用和分析，通過對網(wǎng)絡(luò)結(jié)構(gòu)、防火墻的一些缺陷以及系統(tǒng)漏洞的分析，運用superscan、xscan等工具掃描漏洞，找出可行之方法，達到繞過防火墻對系統(tǒng)進行攻

2、擊的目的。文中以一次成功的繞過防火墻的入侵為例，對此進行了簡單的說明，并給出了一些加強安全措施的建議以及對新一代防火墻的發(fā)展趨勢的展望。</p><p>　　關(guān)鍵字 ： 網(wǎng)絡(luò)安全 計算機網(wǎng)絡(luò) 防火墻 漏洞 </p><p><b>　　Abstract</b></p><p>　　This text introdu

3、ced the foundation knowledge of the network safety more and detailedly, and the basic knowledge of the fire wall, carry out the application of method, basic function, main type, fire wall and analyze, pass the analysis t

4、o some blemishs and the system loophole of network structure, fire wall, make use of the superscan, xscan etc. tool to scan the loophole, find out the method that can go, attain to round the purpose that carries on the a

5、ttack to the system over the fire wall. In </p><p>　　Key word: Network safety Calculator network Fire wall Loophole</p><p><b>　　引 言</b></p><p>　　因特網(wǎng)的發(fā)展給人們的通信帶來了革

6、命性的變革，但在獲得便利的同時，也要面對因特網(wǎng)在數(shù)據(jù)安全方面所帶來的挑戰(zhàn)。為此，本文著重討論了網(wǎng)絡(luò)安全的問題，主要包括以下兩個方面：（1）確保網(wǎng)絡(luò)上傳輸信息的私有性，不被非法竊取、篡改和偽造；（2）限制用戶在網(wǎng)絡(luò)上（或程序）的訪問權(quán)限，防止非法用戶（或程序）的侵入。目前，解決第一個問題的方法主要是采用信息加密技術(shù)，而解決第二個問題，普遍采用的是防火墻技術(shù)，所謂防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之

7、間的一系列部件的組合。但是，凡事都有它的兩面性。雖然防火墻是一種行之有效的網(wǎng)絡(luò)安全機制，可以通過在因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間提供路由功能，保證網(wǎng)絡(luò)信息的安全，但是防火墻也有不足之處，也存在著被黑客攻擊繞過的安全漏洞，從而失去防護的作用。因此，安全并不僅僅只是以上所說的防火墻等安全設(shè)備，更多的因素還是在人，因為人是主體、是管理者。因此，在關(guān)注網(wǎng)絡(luò)安全的同時，我們更應(yīng)該關(guān)注管理員的素質(zhì)和管理水平，一支高素質(zhì)的管理員隊伍會使網(wǎng)絡(luò)的安全性倍增。<

8、;/p><p><b>　　網(wǎng)絡(luò)安全概述 </b></p><p>　　21世紀(jì)全世界的計算機都將通過Internet聯(lián)到一起，隨著Internet的發(fā)展，豐富的網(wǎng)絡(luò)信息資源給用戶帶來了極大的方便，但同時也給上網(wǎng)用戶帶來了安全問題。由于Internet的開放性和超越組織與國界等特點，使它在安全性上存在一些隱患。而且信息安全的內(nèi)涵也發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變

9、成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。</p><p>　　1.1 網(wǎng)絡(luò)安全的概念</p><p>　　國際標(biāo)準(zhǔn)化組織（ISO）對計算機系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網(wǎng)絡(luò)的安全理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運行，從而確保網(wǎng)絡(luò)數(shù)

10、據(jù)的可用性、完整性和保密性。所以，建立網(wǎng)絡(luò)安全保護措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。 </p><p>　　1.2 網(wǎng)絡(luò)安全防范的內(nèi)容</p><p>　　一個安全的計算機網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網(wǎng)絡(luò)不僅要保護計算機網(wǎng)絡(luò)設(shè)備安全和計算機網(wǎng)絡(luò)系統(tǒng)安全，還要保護數(shù)據(jù)安全等。因此針對計算機網(wǎng)絡(luò)本身可能存

11、在的安全問題，實施網(wǎng)絡(luò)安全保護方案以確保計算機網(wǎng)絡(luò)自身的安全性是每一個計算機網(wǎng)絡(luò)都要認(rèn)真對待的一個重要問題。網(wǎng)絡(luò)安全防范的重點主要有兩個方面：一是計算機病毒，二是黑客犯罪。 </p><p>　　計算機病毒是我們大家都比較熟悉的一種危害計算機系統(tǒng)和網(wǎng)絡(luò)安全的破壞性程序。黑客犯罪是指個別人利用計算機高科技手段，盜取密碼侵入他人計算機網(wǎng)絡(luò)，非法獲得信息、盜用特權(quán)等，如非法轉(zhuǎn)移銀行資金、盜用他人銀行帳號購物等。隨著網(wǎng)絡(luò)

12、經(jīng)濟的發(fā)展和電子商務(wù)的展開，嚴(yán)防黑客入侵、切實保障網(wǎng)絡(luò)交易的安全，不僅關(guān)系到個人的資金安全、商家的貨物安全，還關(guān)系到國家的經(jīng)濟安全、國家經(jīng)濟秩序的穩(wěn)定問題，因此各級組織和部門必須給予高度重視。</p><p>　　1.3 確保網(wǎng)絡(luò)安全的主要技術(shù)</p><p>　　1.3.1 防火墻技術(shù) </p><p>　　網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止

13、外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。 </p><p>　　目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。 </p><p>　　防火

14、墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。</p><p>　　1.3.2 加密技術(shù) </p><

15、p>　　信息加密技術(shù)分為兩類：即對稱加密和非對稱加密。具體如下： </p><p>　?。?）對稱加密技術(shù) </p><p>　　在對稱加密技術(shù)中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得以保證。對稱加密技術(shù)也存在一些不足，

16、如果交換一方有N個交換對象，那么他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。 </p><p>　　（2）非對稱加密技術(shù) </p><p>　　在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰

17、）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計算機復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。 </p><p>　　RSA算法是Rivest、Sha

18、mir和Adleman于1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數(shù)之積。RSA算法的描述如下： </p><p>　　公開密鑰：n=pq(p、q分別為兩個互異的大素數(shù)，p、q必須保密) </p><p>　　e與（p-1）(q-1)互素 </p><p

19、>　　私有密鑰：d=e-1 {mod(p-1)(q-1)} </p><p>　　加 密：c=me(mod n),其中m為明文，c為密文。 </p><p>　　解 密：m=cd(mod n) </p><p>　　利用目前已經(jīng)掌握的知識和理論，分解2048bit的大整數(shù)已經(jīng)超過了64位計算機的運算能力，因此在目前和預(yù)見的將來，它是足夠安全的。&l

20、t;/p><p><b>　　虛擬專用網(wǎng)</b></p><p>　　虛擬專用網(wǎng)(Virtual Private Network，VPN)是近年來隨著Internet的發(fā)展而迅速發(fā)展起來的一種技術(shù)?，F(xiàn)代企業(yè)越來越多地利用Internet資源來進行促銷、銷售、售后服務(wù)，乃至培訓(xùn)、合作等活動。許多企業(yè)趨向于利用Internet來替代它們私有數(shù)據(jù)網(wǎng)絡(luò)。這種利用Internet來

21、傳輸私有信息而形成的邏輯網(wǎng)絡(luò)就稱為虛擬專用網(wǎng)。 </p><p>　　虛擬專用網(wǎng)實際上就是將Internet看作一種公有數(shù)據(jù)網(wǎng)，這種公有網(wǎng)和PSTN網(wǎng)在數(shù)據(jù)傳輸上沒有本質(zhì)的區(qū)別，從用戶觀點來看，數(shù)據(jù)都被正確傳送到了目的地。相對地，企業(yè)在這種公共數(shù)據(jù)網(wǎng)上建立的用以傳輸企業(yè)內(nèi)部信息的網(wǎng)絡(luò)被稱為私有網(wǎng)。 </p><p>　　目前VPN主要采用四項技術(shù)來保證安全，這四項技術(shù)分別是隧道技術(shù)（Tun

22、neling）、加解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。 </p><p>　?。?）隧道技術(shù)（Tunneling） </p><p>　　隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或

23、包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。 </p><p>　　被封裝的數(shù)據(jù)包在隧道的兩個端點之間通過公共互聯(lián)網(wǎng)絡(luò)進行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時所經(jīng)過的邏輯路徑稱為隧道。一旦到達網(wǎng)絡(luò)終點，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。注意隧道技術(shù)是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程。 </p><p

24、>　?。?）加解密技術(shù)（Encryption & Decryption） </p><p>　　對通過公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，確保網(wǎng)絡(luò)其他未授權(quán)的用戶無法讀取該信息。加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。 </p><p>　?。?）密鑰管理技術(shù) （Key Management）</p><p>　　密鑰管理技術(shù)

25、的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。 </p><p>　?。?）使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication） </p><p>　　VPN方案必須能夠驗證用戶身份

26、并嚴(yán)格控制只有授權(quán)用戶才能訪問VPN。另外，方案還必須能夠提供審計和記費功能，顯示何人在何時訪問了何種信息。身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。 </p><p>　　VPN整合了范圍廣泛的用戶，從家庭的撥號上網(wǎng)用戶到辦公室連網(wǎng)的工作站，直到ISP的Web服務(wù)器。用戶類型、傳輸方法，以及由VPN使用的服務(wù)的混合性，增加了VPN設(shè)計的復(fù)雜性，同時也增加了網(wǎng)絡(luò)安全的復(fù)雜性。如果能有效地采用VPN

27、技術(shù)，是可以防止欺詐、增強訪問控制和系統(tǒng)控制、加強保密和認(rèn)證的。選擇一個合適的VPN解決方案可以有效地防范網(wǎng)絡(luò)黑客的惡意攻擊。</p><p><b>　　安全隔離 </b></p><p>　　網(wǎng)絡(luò)的安全威脅和風(fēng)險主要存在于三個方面：物理層、協(xié)議層和應(yīng)用層。網(wǎng)絡(luò)線路被惡意切斷或過高電壓導(dǎo)致通信中斷，屬于物理層的威脅；網(wǎng)絡(luò)地址偽裝、Teardrop碎片攻擊、SYNFl

28、ood等則屬于協(xié)議層的威脅；非法URL提交、網(wǎng)頁惡意代碼、郵件病毒等均屬于應(yīng)用層的攻擊。從安全風(fēng)險來看，基于物理層的攻擊較少，基于網(wǎng)絡(luò)層的攻擊較多，而基于應(yīng)用層的攻擊最多，并且復(fù)雜多樣，難以防范。 </p><p>　　面對新型網(wǎng)絡(luò)攻擊手段的不斷出現(xiàn)和高安全網(wǎng)絡(luò)的特殊需求，全新安全防護理念--"安全隔離技術(shù)"應(yīng)運而生。它的目標(biāo)是，在確保把有害攻擊隔離在可信網(wǎng)絡(luò)之外，并保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄

29、的前提下，完成網(wǎng)間信息的安全交換。 </p><p>　　隔離概念的出現(xiàn)，是為了保護高安全度網(wǎng)絡(luò)環(huán)境，隔離產(chǎn)品發(fā)展至今共經(jīng)歷了五代。 </p><p>　　第一代隔離技術(shù)，完全的隔離。采用完全獨立的設(shè)備、存儲和線路來訪問不同的網(wǎng)絡(luò)，做到了完全的物理隔離，但需要多套網(wǎng)絡(luò)和系統(tǒng)，建設(shè)和維護成本較高。 </p><p>　　第二代隔離技術(shù)，硬件卡隔離。通過硬件卡控制獨立存

30、儲和分時共享設(shè)備與線路來實現(xiàn)對不同網(wǎng)絡(luò)的訪問，它仍然存在使用不便、可用性差等問題，有的設(shè)計上還存在較大的安全隱患。 </p><p>　　第三代隔離技術(shù)，數(shù)據(jù)轉(zhuǎn)播隔離。利用轉(zhuǎn)播系統(tǒng)分時復(fù)制文件的途徑來實現(xiàn)隔離，切換時間較長，甚至需要手工完成，不僅大大降低了訪問速度，更不支持常見的網(wǎng)絡(luò)應(yīng)用，只能完成特定的基于文件的數(shù)據(jù)交換。 </p><p>　　第四代隔離技術(shù)，空氣開關(guān)隔離。該技術(shù)是通過使

31、用單刀雙擲開關(guān)，通過內(nèi)外部網(wǎng)絡(luò)分時訪問臨時緩存器來完成數(shù)據(jù)交換的，但存在支持網(wǎng)絡(luò)應(yīng)用少、傳輸速度慢和硬件故障率高等問題，往往成為網(wǎng)絡(luò)的瓶頸。 </p><p>　　第五代隔離技術(shù)，安全通道隔離。此技術(shù)通過專用通信硬件和專有交換協(xié)議等安全機制，來實現(xiàn)網(wǎng)絡(luò)間的隔離和數(shù)據(jù)交換，不僅解決了以往隔離技術(shù)存在的問題，并且在網(wǎng)絡(luò)隔離的同時實現(xiàn)高效的內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，它透明地支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。&l

32、t;/p><p>　　入侵監(jiān)測技術(shù)（IDS）</p><p>　　入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，這種活動可能來自于網(wǎng)絡(luò)的外部和內(nèi)部。入侵檢測系統(tǒng)的應(yīng)用，能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊

33、。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入知識庫內(nèi)，以增強系統(tǒng)的防范能力。</p><p>　　目前的IDS作為只能是網(wǎng)絡(luò)安全整體解決方案的一個重要部分，需要與其他安全設(shè)備之間進行緊密的聯(lián)系，共同解決網(wǎng)絡(luò)安全問題。也許未來的IDS需要一種新的系統(tǒng)體系來克服自身的不足，但目前只能將IDS的各個功能模塊與其他安全產(chǎn)品有機地融合起來。</p&

34、gt;<p><b>　　防火墻概述</b></p><p>　　在20世紀(jì)80年代中期，網(wǎng)絡(luò)衛(wèi)士隨著信息戰(zhàn)爭威脅的萌芽應(yīng)運而生了。諸如Compaq和IBM這樣的計算機銷售商從不完善的安全系統(tǒng)中開發(fā)了防火墻，這些大公司使用防火墻來保證他們自己網(wǎng)絡(luò)的安全。從目前來看，防火墻已經(jīng)成為解決網(wǎng)絡(luò)安全問題的重要手段?！　?防火墻是一種行之有效的網(wǎng)絡(luò)安全機制，被用來在內(nèi)部網(wǎng)絡(luò)的邊界上建

35、立安全檢查點。通過在因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間提供路由功能，防火墻檢查所有在這兩個網(wǎng)絡(luò)間的通信，根據(jù)這些通信是否匹配，以編好的安全策略規(guī)則來決定通過或斷開通信。</p><p>　　2.1 防火墻的概念</p><p>　　2.1.1 什么是防火墻</p><p>　　防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。

36、它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。</p><p>　　2.1.2 防火墻邏輯位置:</p><p>　　在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全

37、。</p><p><b>　　防火墻的基本分類</b></p><p>　　2.2.1 從防火墻的軟、硬件形式來分 </p><p>　　防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。</p><p><b>　　第一種：軟件防火墻</b></p><p>　　軟

38、件防火墻運行于特定的計算機上，它需要客戶預(yù)先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。</p><p>　　第二種：硬件防火墻 </p><p>　　

39、這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上"所謂"二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。 值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因

40、此依然會受到OS（操作系統(tǒng)）本身的安全性影響。傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個端口，分別接內(nèi)網(wǎng)，外網(wǎng)和DMZ區(qū)（非軍事化區(qū)），現(xiàn)在一些新的硬件防火墻往往擴展了端口，常見四端口防火墻一般將第四個端口做為配置口、管理端口。很多防火墻還可以進一步擴展端口數(shù)目。</p><p>　　第三種：芯片級防火墻</p><p>　　芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比

41、其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)）,因此防火墻本身的漏洞比較少，不過價格較高昂。</p><p>　　2.2.3 從防火墻所采用的技術(shù)不同來分 </p><p>　　我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換-NAT、代理型和監(jiān)測型。具體如下： <

42、;/p><p>　　(1) 包過濾防火墻 第一代防火墻和最基本形式防火墻檢查每一個通過的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。這稱為包過濾防火墻。本質(zhì)上，包過濾防火墻是多址的，表明它有兩個或兩個以上網(wǎng)絡(luò)適配器或接口。例如，作為防火墻的設(shè)備可能有兩塊網(wǎng)卡(NIC)，一塊連到內(nèi)部網(wǎng)絡(luò)，一塊連到公共的Internet。防火墻的任務(wù)，就是作為“通信警察”，指引包和截住那些有危害的包。 包過濾

43、防火墻檢查每一個傳入包，查看包中可用的基本信息（源地址和目的地址、端口號、協(xié)議等）。然后，將這些信息與設(shè)立的規(guī)則相比較。如果已經(jīng)設(shè)立了阻斷telnet連接，而包的目的端口是23的話，那么該包就會被丟棄。如果允許傳入Web連接，而目的端口為80，則包就會被放行。多個復(fù)雜規(guī)則的組合也是可行的。如果允許Web連接，但只針對特定的服務(wù)器，目的端口和目的地址二者必須與規(guī)則相匹配，才可以讓該包通過。最后，可以確定當(dāng)一個包到達時，如果對該包沒有規(guī)則被

44、定義，接下來將會發(fā)生什么事情了。通常，為了安全起見，與傳入規(guī)則不匹配的包就被丟棄了。如果有理由讓該包通過，就要建立規(guī)則來處理它。建立包過濾防火墻規(guī)則的例子如下：</p><p>　　傳入的包包含路由信息，它覆蓋了包通過網(wǎng)絡(luò)應(yīng)采取得正常路由，可能會繞過已有的安全程序。通過忽略源路由信息，防火墻可以減少這種方式的攻擊。 （2）狀態(tài)/動態(tài)檢測防火墻 狀態(tài)/動態(tài)檢測防火墻，試圖跟蹤通過防火墻的網(wǎng)絡(luò)連接和

45、包，這樣防火墻就可以使用一組附加的標(biāo)準(zhǔn)，以確定是否允許和拒絕通信。它是在使用了基本包過濾防火墻的通信上應(yīng)用一些技術(shù)來做到這點的。當(dāng)包過濾防火墻見到一個網(wǎng)絡(luò)，包是孤立存在的。它沒有防火墻所關(guān)心的歷史或未來。允許和拒絕包的決定完全取決于包自身所包含的信息，如源地址、目的地址、端口號等。包中沒有包含任何描述它在信息流中的位置的信息，則該包被認(rèn)為是無狀態(tài)的；它僅是存在而已。一個有狀態(tài)包檢查防火墻跟蹤的不僅是包中包含的信息。為了跟蹤包的狀態(tài)，防火

46、墻還記錄有用的信息以幫助識別包，例如已有的網(wǎng)絡(luò)連接、數(shù)據(jù)的傳出請求等。例如，如果傳入的包包含視頻數(shù)據(jù)流，而防火墻可能已經(jīng)記錄了有關(guān)信息，是關(guān)于位于特定IP地址的應(yīng)用程序最近向發(fā)出包的源地址請求視頻信號的信息。如果傳入的包是要傳給發(fā)出請求的相同系統(tǒng)，防火墻進行匹配，包就可以被允許通過。 一個狀態(tài)/動態(tài)檢測防火墻可截斷所有傳入的</p><p>　　●POP3 ●IMAP

47、 ●NNTP </p><p>　　●TELNET ●FTP ●IRC 應(yīng)用程序代理防火墻可以配置成允許來自內(nèi)部網(wǎng)絡(luò)的任何連接，它也可以配置成要求用戶認(rèn)證后才建立連接。要求認(rèn)證的方式由只為已知的用戶建立連接的這種限制，為安全性提供了額外的保證。如果網(wǎng)絡(luò)受到危害，這個特征使得從內(nèi)部發(fā)動攻擊的可能性大大減少。</

48、p><p>　?。?）NAT 討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術(shù)上講它根本不是防火墻。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)協(xié)議將內(nèi)部網(wǎng)絡(luò)的多個IP地址轉(zhuǎn)換到一個公共地址發(fā)到Internet上。NAT經(jīng)常用于小型辦公室、家庭等網(wǎng)絡(luò)，多個用戶分享單一的IP地址，并為Internet連接提供一些安全機制。當(dāng)內(nèi)部用戶與一個公共主機通信時，NAT追蹤是哪一個用戶作的請求，修改傳出的包，這樣包就像是來自單一的公共IP

49、地址，然后再打開連接。一旦建立了連接，在內(nèi)部計算機和Web站點之間來回流動的通信就都是透明的了。當(dāng)從公共網(wǎng)絡(luò)傳來一個未經(jīng)請求的傳入連接時，NAT有一套規(guī)則來決定如何處理它。如果沒有事先定義好的規(guī)則，NAT只是簡單的丟棄所有未經(jīng)請求的傳入連接，就像包過濾防火墻所做的那樣。可是，就像對包過濾防火墻一樣，你可以將NAT配置為接受某些特定端口傳來的傳入連接，并將它們送到一個特定的主機地址。 （5）個人防火墻 現(xiàn)在網(wǎng)絡(luò)上流傳著很

50、多的個人防火墻軟件，它是應(yīng)用程序級的。個人防火墻是一種能夠保護個人計算機系統(tǒng)安全的軟件，它可以直接在用戶的計算機上運行，使用與狀態(tài)/動態(tài)檢測防火墻相同的方式</p><p>　　2.3 防火墻的基本功能</p><p><b>　　網(wǎng)絡(luò)安全的屏障</b></p><p>　　防火墻可通過過濾不安全的服務(wù)而減低風(fēng)險，極大地提高內(nèi)部網(wǎng)絡(luò)的安全性

51、。由于只有經(jīng)過選擇并授權(quán)允許的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以禁止諸如不安全的NFS協(xié)議進出受保護的網(wǎng)絡(luò)，使攻擊者不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向路徑。防火墻能夠拒絕所有以上類型攻擊的報文，并將情況及時通知防火墻管理員。</p><p>　　2.3.2 強化網(wǎng)絡(luò)安全策略</p>&

52、lt;p>　　通過以防火墻為中心的安全方案配置。能將所有安全軟件(如口令、加密、身份認(rèn)證等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如，在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其他的身份認(rèn)證系統(tǒng)完全可以不必分散在各個主機上而集中在防火墻。</p><p>　　2.3.3 對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計</p><p>　　由于所有的訪問都必須經(jīng)過

53、防火墻，所以防火墻就不僅能夠制作完整的日志記錄，而且還能夠提供網(wǎng)絡(luò)使用的情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是一項非常重要的工作。這不僅有助于了解防火墻的控制是否能夠抵擋攻擊者的探測和攻擊，了解防火墻的控制是否充分有效，而且有助于作出網(wǎng)絡(luò)需求分析和威脅分析。</p><p>　　2.3.4 防止內(nèi)部信息的外泄<

54、;/p><p>　　通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)中重點網(wǎng)段的隔離，限制內(nèi)部網(wǎng)絡(luò)中不同部門之間互相訪問，從而保障了網(wǎng)絡(luò)內(nèi)部敏感數(shù)據(jù)的安全。另外，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)，可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至由此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱藏那些透露內(nèi)部細(xì)節(jié)的服務(wù)，如Finger、DNS等。Finger顯示了主機的所有用戶的用戶名、

55、真名、最后登錄時間和使用Shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。</p><p>　　2.4　防火墻的設(shè)置方案</p><p>　　最簡單的防火墻配置，就是直接在內(nèi)部網(wǎng)

56、和外部網(wǎng)之間加裝一個包過濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實現(xiàn)網(wǎng)絡(luò)安全，有時還要將幾種防火墻技術(shù)組合起來構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。</p><p>　　雙宿主機網(wǎng)關(guān)（Dual Homed Gateway）</p><p>　　這種配置是用一臺裝有兩個網(wǎng)絡(luò)適配器的雙宿主機做防火墻。雙宿主機用兩個網(wǎng)絡(luò)適配器分別連接兩個網(wǎng)絡(luò)，又稱堡壘主機。堡壘主機上運行著防火墻軟件（通

57、常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機網(wǎng)關(guān)有一個致命弱點，一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護的內(nèi)部網(wǎng)絡(luò)。</p><p>　?。?） 屏蔽主機網(wǎng)關(guān)（Screened Host Gateway）</p><p>　　屏蔽主機網(wǎng)關(guān)易于實現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。

58、一個包過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機只有一個網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過濾規(guī)則，并使這個單宿堡壘主機成為從Internet惟一可以訪問的主機，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機，可以受控制地通過屏蔽主機和路由器訪問Internet。</p><p>　　雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是，堡壘主機有兩塊網(wǎng)卡，一塊連接內(nèi)部

59、網(wǎng)絡(luò)，一塊連接包過濾路由器。雙宿堡壘主機在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。</p><p>　?。?）屏蔽子網(wǎng)（Screened Subnet）</p><p>　　這種方法是在Intranet和Internet之間建立一個被隔離的子網(wǎng)，用兩個包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開。兩個包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“緩沖地帶”，兩個路由

60、器一個控制Intranet 數(shù)據(jù)流，另一個控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)，但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。這種結(jié)

61、構(gòu)的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設(shè)備多，造價高。</p><p><b>　　防火墻入侵分析</b></p><p>　　在前一章中我們詳細(xì)的論述了防火墻的基礎(chǔ)知識和各個方面的應(yīng)用特征，我們知道防火墻是現(xiàn)在應(yīng)用極為廣泛的安全設(shè)備（軟件），但我們還時?？梢钥吹接泻芏嗟膸в蟹阑饓Φ木W(wǎng)站被攻擊，顯然防火墻也是有不足之處的，下面我就此對防火墻進行簡單的分析

62、：</p><p>　　3.1 防火墻的安全和效能分析</p><p>　　在捍衛(wèi)網(wǎng)絡(luò)安全的過程中，防火墻受到人們越來越多的青睞。作為一種提供信息安全服務(wù)、實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，防火墻采用將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法，可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流。再加上防火墻本身具有較強的抗攻擊能力，能有效地監(jiān)控內(nèi)部網(wǎng)和Int

63、ernet之間的任何活動，從而為內(nèi)部網(wǎng)絡(luò)的安全提供了有力的保證。 </p><p>　　但是，防火墻在為內(nèi)部網(wǎng)絡(luò)帶來安全的同時，也產(chǎn)生了一定的反作用——它降低了網(wǎng)絡(luò)運行效率。目前防火墻的控制技術(shù)可分為：封包過濾型(Packet Filter)、封包檢驗型(Stateful Inspection Packet Filter)以及應(yīng)用網(wǎng)關(guān)型(Application Gateway)三種。這三種技術(shù)分別在安全性或效能

64、上有自身優(yōu)點。不過一般人往往只注意防火墻的效能而忽略了安全性與效率之間的矛盾。</p><p>　　封包過濾型: 封包過濾型會檢查所有進出防火墻的封包標(biāo)頭內(nèi)容，如來源及目地IP、使用協(xié)定、TCP 或UDP 的Port等信息進行控制管理。目前的路由器、交換型路由器以及某些操作系統(tǒng)已經(jīng)具有封包過濾型控制能力。封包過濾型最大的好處是效率高，但卻有幾個嚴(yán)重缺點:管理復(fù)雜、無法對連線做完全的控制、規(guī)則設(shè)置的先后順序會嚴(yán)重影

65、響結(jié)果、不易維護以及記錄功能少。 封包檢驗型: 封包檢驗型通過一個檢驗?zāi)＝M對封包中的各個層次做檢驗。封包檢驗型可謂是封包過濾型的加強版，目的在于增加封包過濾型的安全性，增加控制“連線”的能力。但由于封包檢驗的主要檢查對象仍是個別的封包，不同的封包檢驗方式可能會產(chǎn)生極大的差異。其檢查的層面越廣將會越安全，但其相對效能也越低。封包檢驗型防火墻在檢查不完全的情況下，某些經(jīng)過精心設(shè)計、切割過的、原來并不允許通過的封包，在到達目的地時，可因重

66、組而被轉(zhuǎn)變成可通過的連線要求。去年被公布的有關(guān)Firewall-1 的Fast Mode TCP Fragment 的安全弱點就是其中一例。這一項為了增加效能的設(shè)計反而成了安全弱點。</p><p>　　應(yīng)用網(wǎng)關(guān)型：應(yīng)用網(wǎng)關(guān)型采用將連線動作攔截，由一個特殊的代理程序來處理兩端間的連線方式，并分析其連線內(nèi)容是否符合應(yīng)用協(xié)定的標(biāo)準(zhǔn)。這種方式的控制機制可以從頭到尾有效地控制整個連線的動作，而不會被客戶端或服務(wù)器端欺騙，

67、在管理上也不會像封包過濾型那么復(fù)雜，但可能必須針對每一種應(yīng)用寫一個專屬的代理程序，或用一個一般用途的代理程序來處理大部分連線。這種運作方式是最安全的方式，但也是效能最低的方式。</p><p>　　防火墻是為保護安全性而設(shè)計的，因此，與其一味地要求效能，不如思考如何在不影響效能的情況下提供最大的安全保護。上述三種運作方式雖然在效能上有所區(qū)別，但我們在評估效能的同時，必須考慮這種效能的差異是否會對實際運作造成影響。

68、事實上，對大部分使用T1或xDSL 連線的寬帶網(wǎng)而言，即便是使用應(yīng)用網(wǎng)關(guān)型也不會真正影響網(wǎng)絡(luò)的使用效能。在這種應(yīng)用環(huán)境下，防火墻的效能不應(yīng)該是考慮的重點。但是，若防火墻是架在企業(yè)網(wǎng)內(nèi)不同部門之間時，企業(yè)就必須考慮能否接受這種效能上的犧牲。 </p><p>　　3.2 防火墻有三難防</p><p>　　在信息安全日益突出的今天，防火墻技術(shù)應(yīng)用愈來愈受到重視。它不失為一種在內(nèi)部網(wǎng)和外部網(wǎng)

69、之間實施的信息安全防范系統(tǒng)，這種計算機網(wǎng)絡(luò)互聯(lián)環(huán)境下的訪問控制技術(shù)，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對外屏蔽被保護網(wǎng)絡(luò)的信息，從而對系統(tǒng)結(jié)構(gòu)及其良性運行等實現(xiàn)安全防護。因此，許多“網(wǎng)友”認(rèn)為，計算機網(wǎng)絡(luò)裝上防火墻，就可以“高枕無憂”、“萬事大吉”了。其實，這是一種片面的錯誤認(rèn)識和十分令人擔(dān)心的危險想法。因為防火墻并不是萬能的，它的技術(shù)不可能一勞永逸和真正達到“萬無一失”，它的“權(quán)力”是有限的，在計算機網(wǎng)絡(luò)上，它也有“管

70、不著”、“管不了”的地方，或者說也有許多“難言之隱”———即“三難防”。 </p><p>　　“一難防”：防火墻不能防范不經(jīng)由防火墻的攻擊。如果外部網(wǎng)絡(luò)用戶直接從因特網(wǎng)服務(wù)提供商那里購置直接的SLIP或PPP鏈接，繞過了防火墻系統(tǒng)所提供的安全保護，就會造成一個潛在的后門攻擊渠道。 </p><p>　　“二難防”：防火墻不能阻止已受到病毒感染的軟件或文件的傳輸，因而不能防止網(wǎng)絡(luò)受到病

71、毒的侵?jǐn)_。由于操作系統(tǒng)、病毒、二進制文件類型的復(fù)雜性，而且更新速度很快，防火墻無法逐個掃描每個文件查找病毒，病毒很可能隱藏在合法郵寄的數(shù)據(jù)包內(nèi)，防火墻很難對其進行識別。 </p><p>　　“三難防”：防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當(dāng)有些表面看起來無害的數(shù)據(jù)通過郵寄或拷貝到內(nèi)部網(wǎng)的主機上并被執(zhí)行時，就會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。例如，一種數(shù)據(jù)驅(qū)動式的攻擊，可以導(dǎo)致主機修改與系統(tǒng)安全有關(guān)的配置文件，從而使入侵者下

72、一次更容易攻擊該系統(tǒng)。 </p><p>　　正因為防火墻有“三難防”困擾，我們在使用軍用、民用及各類計算機網(wǎng)絡(luò)時，一定要克服那種“有了防火墻就可以高枕無憂”的麻痹思想和僥幸心理，要高度重視計算機網(wǎng)絡(luò)的信息安全，扎扎實實落實各級安全保密部門強調(diào)的安全措施與各項安全制度要求，并不斷豐富完善計算機網(wǎng)絡(luò)安全的各種技術(shù)措施。對密碼技術(shù)、電磁輻射防泄露技術(shù)、系統(tǒng)入侵防范技術(shù)、病毒防治技術(shù)等加以綜合運用，不斷進行革新創(chuàng)新，

73、提高網(wǎng)絡(luò)的安全防范能力，提高對抗網(wǎng)上“黑客”或被非法攻擊以及病毒襲擾的能力，鑄起我們堅實的信息盾牌。</p><p>　　第四章 繞過防火墻認(rèn)證的攻擊</p><p>　　現(xiàn)在隨著人們的安全意識加強，防火墻一般都被公司企業(yè)采用來保障網(wǎng)絡(luò)的安全，一般的攻擊者在有防火墻的情況下，一般是很難入侵的。上面我們分析了一下入侵有防火墻服務(wù)器過程中的相關(guān)問題，下面談?wù)勧槍Ω鞣N防火墻環(huán)境下的可能的攻擊手段

74、。</p><p>　　4.1 繞過包過濾防火墻</p><p>　　包過濾防火墻是最簡單的一種了，它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表，來檢測攻擊行為。他根據(jù)數(shù)據(jù)包的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口來過濾！很容易受到如下攻擊： </p><p>　　4.1.1 IP 欺騙攻擊 這種攻擊，主要是修改數(shù)據(jù)

75、包的源，目的地址和端口，模仿一些合法的數(shù)據(jù)包來騙過防火墻的檢測。如：外部攻擊者，將他的數(shù)據(jù)報源地址改為內(nèi)部網(wǎng)絡(luò)地址，防火墻看到是合法地址就放行了?？墒?，如果防火墻能結(jié)合接口，地址來匹配，這種攻擊就不能成功了。</p><p>　　4.1.2 DOS拒絕服務(wù)攻擊 簡單的包過濾防火墻不能跟蹤 TCP的狀態(tài)，很容易受到拒絕服務(wù)攻擊，一旦防火墻受到DOS攻擊，他可能會忙于處理，而忘記了他自己的過濾功能。

76、你就可以饒過了，不過這樣攻擊還很少的。</p><p>　　4.1.3 分片攻擊 這種攻擊的原理是：在IP的分片包中，所有的分片包用一個分片偏移字段標(biāo)志分片包的順序 ，但是，只有第一個分片包含有TCP端口號的信息。當(dāng)IP分片包通過分組過濾防火墻時，防火墻只根據(jù)第一個分片包的TCP信息判斷是否允許通過，而其他后續(xù)的分片不作防火墻檢測，直接讓它們通過。這樣，攻擊者就可以通過先發(fā)送第一個合法的IP分片

77、，騙過防火墻的檢測，接著封裝了惡意數(shù)據(jù)的后續(xù)分片包就可以直接穿透防火墻，直接到達內(nèi)部網(wǎng)絡(luò)主機，從而威脅網(wǎng)絡(luò)和主機的安全。</p><p>　　4.1.4 木馬攻擊 對于包過濾防火墻最有效的攻擊就是木馬了，一旦你在內(nèi)部網(wǎng)絡(luò)安裝了木馬，防火墻基本上是無能為力的。原因是：包過濾防火墻一般只過濾低端口（1-1024），而高端口他不可能過濾的（因為，一些服務(wù)要用到高端口，因此防火墻不能關(guān)閉高端口的），所以

78、很多的木馬都在高端口打開等待，如冰河，SUB SEVEN等。但是木馬攻擊的前提是必須先上傳，運行木馬，對于簡單的包過濾防火墻來說，是容易做的。這里不寫這個了。大概就是利用內(nèi)部網(wǎng)絡(luò)主機開放的服務(wù)漏洞。早期的防火墻都是這種簡單的包過濾型的，到現(xiàn)在已很少了，不過也有?，F(xiàn)在的包過濾采用的是狀態(tài)檢測技術(shù)，下面談?wù)劆顟B(tài)檢測的包過濾防火墻。</p><p>　　4.2 繞過狀態(tài)檢測的包過濾防火墻</p><

79、p>　　狀態(tài)檢測技術(shù)最早是CHECKPOINT提出的，在國內(nèi)的許多防火墻都聲稱實現(xiàn)了狀態(tài)檢測技術(shù)?？墒呛芏嗍菦]有實現(xiàn)的。到底什么是狀態(tài)檢測？一句話，狀態(tài)檢測就是從TCP連接的建立到終止都跟蹤檢測的技術(shù)。 原先的包過濾，是拿一個一個單獨的數(shù)據(jù)包來匹配規(guī)則的。可是我們知道，同一個TCP連接，他的數(shù)據(jù)包是前后關(guān)聯(lián)的，先是SYN包，=》數(shù)據(jù)包=》FIN包。數(shù)據(jù)包的前后序列號是相關(guān)的。如果割裂這些關(guān)系，單獨的過濾數(shù)據(jù)包，很容易被

80、精心構(gòu)造的攻擊數(shù)據(jù)包欺騙！如NMAP的攻擊掃描，就有利用SYN包，F(xiàn)IN包，RESET包來探測防火墻后面的網(wǎng)絡(luò)。相反，一個完全的狀態(tài)檢測防火墻，他在發(fā)起連接就判斷，如果符合規(guī)則，就在內(nèi)存登記了這個連接的狀態(tài)信息（地址，端口，選項）,后續(xù)的屬于同一個連接的數(shù)據(jù)包，就不需要在檢測了。直接通過。而一些精心構(gòu)造的攻擊數(shù)據(jù)包由于沒有在內(nèi)存登記相應(yīng)的狀態(tài)信息，都被丟棄了。這樣這些攻擊數(shù)據(jù)包，就不能饒過防火墻了。說狀態(tài)檢測必須提到動態(tài)規(guī)則技術(shù)。在狀態(tài)

81、檢測里，采用動態(tài)規(guī)則技術(shù)，原先高端口的問題就可以解決了。實現(xiàn)原理是：平時，防火墻可以過濾內(nèi)部網(wǎng)絡(luò)的所有端口(1-65535),外部攻擊</p><p>　　4.2.1 協(xié)議隧道攻擊 協(xié)議隧道的攻擊思想類似與VPN的實現(xiàn)原理，攻擊者將一些惡意的攻擊數(shù)據(jù)包隱藏在一些協(xié)議分組的頭部，從而穿透防火墻系統(tǒng)對內(nèi)部網(wǎng)絡(luò)進行攻擊。例如，許多簡單地允許ICMP回射請求、ICMP回射應(yīng)答和UDP分組通過的防火墻就容易受

82、到ICMP和UDP協(xié)議隧道的攻擊。LOKI和LOKID（攻擊的客戶端和服務(wù)端）是實施這種攻擊的有效的工具。在實際攻擊中，攻擊者首先必須設(shè)法在內(nèi)部網(wǎng)絡(luò)的一個系統(tǒng)上安裝上LOKID服務(wù)端，而后攻擊者就可以通過LOKI客戶端將希望遠程執(zhí)行的攻擊命令（對應(yīng)IP分組）嵌入在ICMP或UDP包頭部，再發(fā)送給內(nèi)部網(wǎng)絡(luò)服務(wù)端LOKID，由它執(zhí)行其中的命令，并以同樣的方式返回結(jié)果。由于許多防火墻允許ICMP和UDP分組自由出入，因此攻擊者的惡意數(shù)據(jù)就能附

83、帶在正常的分組，繞過防火墻的認(rèn)證，順利地到達攻擊目標(biāo)主機下面的命令是用于啟動LOKID服務(wù)器程序： lokid-p–i–vl loki客戶程序則如下啟動： loki-d 172.29.11.191(攻擊目標(biāo)主機)-p–I–v1–t3 這樣，lokid和loki就</p><p>　　4.2.2 利用FTP-PASV繞過防火墻認(rèn)證的攻擊 FTP-PASV攻擊是

84、針對防火墻實施入侵的重要手段之一。目前很多防火墻不能過濾這種攻擊手段。如CHECKPOINT的FIREWALL-1，在監(jiān)視FTP服務(wù)器發(fā)送給客戶端的包的過程中，它在每個包 ！墻能結(jié)合接口，地址來匹配，這種攻擊就不能成功了：（中尋找"227"這個字符串。如果發(fā)現(xiàn)這種包，將從中提取目標(biāo)地址和端口，并對目標(biāo)地址加以驗證，通過后，將允許建立到該地址的TCP連接。攻擊者通過這個特性，可以設(shè)法連接受防火墻保護的服務(wù)器和

85、服務(wù)</p><p>　　。4.2.3 反彈木馬攻擊 反彈木馬是對付這種防火墻的最有效的方法。攻擊者在內(nèi)部網(wǎng)絡(luò)的反彈木馬定時地連接外部攻擊者控制的主機，由于連接是從內(nèi)部發(fā)起的，防火墻（任何的防火墻）都認(rèn)為是一個合法的連接，因此基本上防火墻的盲區(qū)就是這里了。防火墻不能區(qū)分木馬的連接和合法的連接。 但是這種攻擊的局限是：必須首先安裝這個木馬！所有的木馬的第一步都是關(guān)鍵！</p>&

86、lt;p>　　4.3 繞過代理防火墻</p><p>　　代理是運行在應(yīng)用層的防火墻，他實質(zhì)是啟動兩個連接，一個是客戶到代理，另一個是代理到目的服務(wù)器。實現(xiàn)上比較簡單，和前面的一樣也是根據(jù)規(guī)則過濾。由于運行在應(yīng)用層速度比較慢，攻擊代理的方法很多。 這里就以Wingate為例， Wingate是目前應(yīng)用非常廣泛的一種Windows95/NT代理防火墻軟件，內(nèi)部用戶可以通過一臺安裝有Wingat

87、e的主機訪問外部網(wǎng)絡(luò)，但是它也存在著幾個安全脆弱點。黑客經(jīng)常利用這些安全漏洞獲得Wingate的非授權(quán)Web、Socks和Telnet的訪問，從而偽裝成Wingate主機的身份對下一個攻擊目標(biāo)發(fā)動攻擊。因此，這種攻擊非常難于被跟蹤和記錄。導(dǎo)致Wingate安全漏洞的原因大多數(shù)是管理員沒有根據(jù)網(wǎng)絡(luò)的實際情況對Wingate代理防火墻軟件進行合理的設(shè)置，只是簡單地從缺省設(shè)置安裝完畢后就讓軟件運行，這就給攻擊者可乘之機。</p>

88、<p>　　4.3.1 非授權(quán)Web訪問 某些Wingate版本（如運行在NT系統(tǒng)下的2.1d版本）在誤配置情況下，允許外部主機完全匿名地訪問因特網(wǎng)。因此，外部攻擊者就可以利用Wingate主機來對Web服務(wù)器發(fā)動各種Web攻擊（如CGI的漏洞攻擊等），同時由于Web攻擊的所有報文都是從80號Tcp端口穿過的，因此，很難追蹤到攻擊者的來源。 </p><p>　　檢測Wingate主

89、機是否有這種安全漏洞的方法如下： 1) 、以一個不會被過濾掉的連接（譬如說撥號連接）連接到因特網(wǎng)上。 2)、 把瀏覽器的代理服務(wù)器地址指向待測試的Wingate主機。 如果瀏覽器能訪問到因特網(wǎng)，則Wingate主機存在著非授權(quán)Web訪問漏洞。 </p><p>　　4.3.2 非授權(quán)Socks訪問 在Wingate的缺省配置中，Socks代理（1080號Tcp端口）同樣是存在安全

90、漏洞。與打開的Web代理（80號Tcp端口）一樣，外部攻擊者可以利用Socks代理訪問因特網(wǎng)。 要防止攻擊Wingate的這個安全脆弱點，管理員可以限制特定服務(wù)的捆綁。在多宿主（multihomed）系統(tǒng)上，執(zhí)行以下步驟以限定如何提供代理服務(wù)。 1、選擇Socks或WWW Proxy Server屬性。 2、選擇Bindings標(biāo)簽。 3、按下Connections Will Be Accepted O

91、n The Following Interface Only按鈕，并指定本W(wǎng)ingate服務(wù)器的內(nèi)部接口。</p><p><b>　　結(jié) 束 語</b></p><p>　　本文簡要地講解了有關(guān)網(wǎng)絡(luò)安全和防火墻的一些知識及針對有防火墻服務(wù)器的入侵，通過做這個題目的畢業(yè)設(shè)計，我學(xué)到了很多與防火墻相關(guān)的知識和有關(guān)網(wǎng)絡(luò)安全的基本理論，增長了見識，拓寬了視野，受益匪淺。當(dāng)然

92、，安全并不僅僅只是以上所說的防火墻或是其他的一些安全設(shè)備，更多的因素還是在人，因為人是主體、是管理者。再好的安全設(shè)備如果沒有人的精心維護就會形同虛設(shè)?？梢哉f任何的網(wǎng)絡(luò)安全事故，歸咎到底都是人的失</p><p>　　誤。因此，在關(guān)注網(wǎng)絡(luò)安全的同時，我們更應(yīng)該關(guān)注管理員的素質(zhì)和管理水平，所以給與他們適當(dāng)?shù)呐嘤?xùn)是必不可少的，一支高素質(zhì)的管理員隊伍會使網(wǎng)絡(luò)的安全性倍增。</p><p>　　但是

93、僅僅做到這樣是不夠的，我知道這篇論文還有很多不完善的地方，甚至還有一些錯誤，懇請大家給與我批評指正，我會努力使其完善。</p><p>　　通過這次畢業(yè)設(shè)計，自己學(xué)到了許多知識，而且也深刻的體會到還有許多東西要學(xué)，同時，也為自己在以后的工作和學(xué)習(xí)中樹立正確的態(tài)度打下了堅實的基礎(chǔ)，我認(rèn)為這才是最重要的。 </p><p><b>　

94、　參考文獻</b></p><p>　　網(wǎng)絡(luò)安全與防火墻技術(shù) 人民郵電出版社</p><p>　　黑客X檔案2007第二期 吉林科學(xué)技術(shù)出版社</p><p>　　黑客防線2006精華本（攻冊） 人民郵電出版社</p><p>　　計算機安全（2006.8）