搜索
第2章网络安全防护教学要求:•网络安全从其本质上来讲就是网络上的信息安全。即最大限度向合法访问者提供资源,最大限度限制非法访问者访问资源。•网络安全涉及的内容有三个方面:包括安全管理、安全技术、安全设备。–本章重点讲述防火墙的相关知识以及网络黑客攻防技术,–目的是让学生掌握防火墙的实用技术–了解防火墙的管理与维护以及网络黑客攻防知识等。2主要内容:•防火墙概述•实用防火墙技术•防火墙的管理和维护•防火墙技术展望•网络黑客概述•黑客攻防技术•习题•实训教学重点:防火墙技术的概述、实用技术、黑客攻防等。3网络安全基础•访问控制访问控制技术就是通过不同的手段和策略实现网络上主体对客体的访问权限。访问控制•在访问控制中,对其访问必须进行控制的资源称为客体,•同理,控制它对客体的访问的活动资源,称为主体。•主体即访问的发起者,通常为进程、程序或用户。客体包括各种资源,如文件、设备、信号量等。•访问控制中第三个元素是保护规则,它定义了主体与客体可能的相互作用途径。根据控制手段和目的的不同把控制访问分类:入网访问控制网络权限控制目录、文件、设备的访问控制入网访问控制•入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。网络的权限控制•网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。目录、文件、设备的访问控制•网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。根据安全级别可分为两类:自主访问控制强制访问控制自主访问控制•访问控制分为“自主访问控制”和“强制访问控制”两种。•自主访问控制(DAC:discretionaryaccesscontrol)是一种最为普遍的访问控制手段,用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的文件,亦即一个用户可以有选择地与其他用户共享他的文件,用户有自主的决定权。•自主访问控制的一个最大问题是主体权限太大,无意间就可能泄露信息,而且不能防备特洛伊木马的攻击。强制访问控制•强制访问控制(DMC:mandatoryaccesscontrol)就是指用户与文件都有一个固定的安全属性。•系统用该安全属性来决定一个用户是否可以访问某个文件。安全属性是强制性的规定,它是由安全管理员,或者是操作系统根据限定的规则确定的,用户或用户的程序不能加以修改。•强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性。访问控制的目的•访问控制的目的是为了限制访问主体(用户、进程、服务等)对访问客体(文件、系统等)的访问权限,从而使计算机系统在合法范围内使用,决定用户能做什么,也决定代表一定用户利益的程序能做什么。访问控制的产品防火墙路由器专用访问控制服务器教学要求:•网络安全从其本质上来讲就是网络上的信息安全。即最大限度向合法访问者提供资源,最大限度限制非法访问者访问资源。•网络安全涉及的内容有三个方面:包括安全管理、安全技术、安全设备。–本章重点讲述防火墙的相关知识以及网络黑客攻防技术,–目的是让学生掌握防火墙的实用技术–了解防火墙的管理与维护以及网络黑客攻防知识等。15主要内容:•防火墙概述•实用防火墙技术•防火墙的管理和维护•防火墙技术展望•网络黑客概述•黑客攻防技术•习题•实训教学重点:防火墙技术的概述、实用技术、黑客攻防等。162.1防火墙概述•防火墙已经成为了网络安全的不可或缺的一部分,随着网络安全形式的日益严峻。•防火墙也越发显得重要,已经成为网络安全防护的代名词,防火墙和入侵检测技术、防病毒技术、加密技术已经成为目前网络安全的四大主流技术。172.1.1防火墙概念•所谓“防火墙”,是指一种将内部安全网络和公众访问网(如Internet或者其它不安全的网络)分开的方法,实际上是一种隔离技术。•防火墙是设置在被保护的内部网络和外部网络之间的软件和硬件设备的组合,对内部网络和外部网络之间的通信进行控制,通过监测和限制经过防火墙的数据流,尽可能地对外部屏蔽网络内部的结构、信息和运行情况,用于防止发生不可预测的、潜在破坏性的入侵或攻击,这是一种行之有效的网络安全防护技术。18IT领域的防火墙概念:一种高级访问控制设备。置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道。能根据企业有关的安全策略控制(允许、拒绝、监视、记录)进行网站访问控制。防火墙示意图Internet防火墙通常情况下,防火墙是运行在计算机上的软件,主要保护内部网络的重要信息不被非授权访问、非法窃取或破坏,并记录了内部网络和外部网络进行通信的有关安全日志信息,如通信发生的时间和允许通过数据包和被过滤掉的数据包信息等。硬件防火墙示意图:2.1.2防火墙的发展阶段防火墙技术的发展在防火墙产品的开发中,人们广泛应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的手段,纵观防火墙产品近年内的发展,可将其分为四个阶段:基于路由器的防火墙用户化的防火墙工具套建立在通用操作系统上的防火墙具有安全操作系统的防火墙第一阶段:基于路由器的防火墙由于多数路由器中本身就包含有分组过滤的功能,故网络访问控制功能可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:●利用路由器本身对分组的解析,以访问控制表(accesslist)方式实现对分组的过滤;●过滤判决的依据可以是:地址、端口号、IP旗标及其它网络特征;●只有分组过滤的功能,且防火墙与路由器是一体的,对安全要求低的网络采用路由器附带防火墙功能的方法,对安全性要求高的网络则可单独利用一台路由器作防火墙。第一代防火墙产品的不足之处十分明显:●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如:在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20端口仍可由外部探寻。●路由器上的分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性,作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。●路由器防火墙的最大隐患是:攻击者可以假冒地址,由于信息在网络上是以明文传送的,黑客可以在网络上伪造假的路由信息欺骗防火墙。●路由器防火墙的本质性缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。可以说:基于路由器的防火墙只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。第二阶段:用户化的防火墙工具套为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户化防火墙工具套的出现。作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:●将过滤功能从路由器中独立出来,并加上审计和告警功能;●针对用户需求,提供模块化的软件包;●软件可通过网络发送,用户可自己动手构造防火墙;●与第一代防火墙相比,安全性提高了,价格降低了。由于是纯软件产品,第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:●配置和维护过程复杂、费时;●对用户的技术要求高;●全软件实现、安全性和处理速度均有局限;●实践表明,使用中出现差错的情况很多。第三阶段:建立在通用操作系统上的防火墙基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品,近年来在市场上广泛可用的就是这一代产品,它具有以下特点:●是批量上市的专用防火墙产品;●包括分组过滤或者借用路由器的分组过滤功能;●装有专用的代理系统,监控所有协议的数据和指令;●保护用户编程空间和用户可配置内核参数的设置;●安全性和速度大为提高。第三代防火墙有以纯软件实现的,也有以硬件方式实现的,已得到广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:●作为基础的操作系统及其内核往往不为防火墙管理者所知,由于原码的保密,其安全性无从保证。●由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;●从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击。●用户必须依赖两方面的安全支持:一是防火墙厂商、一是操作系统厂商。第四阶段:具有安全操作系统的防火墙防火墙技术和产品随着网络攻击和安全防护手段的发展而演进,到1997年初,具有安全操作系统的防火墙产品面市,使防火墙产品步入了第四个发展阶段。具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上较之第三代防火墙有质的提高。获得安全操作系统的办法有两种:一种是通过许可证方式获得操作系统的源码;另一种是通过固化操作系统内核来提高可靠性,由此建立的防火墙系统具有以下特点:●防火墙厂商具有操作系统的源代码,并可实现安全内核;●对安全内核实现加固处理:即去掉不必要的系统特性,加上内核特性,强化安全保护;●对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其它部份构成威胁;●在功能上包括了分组过滤、应用网关、电路级网关,且具有加密与鉴别功能;●透明性好,易于使用。防火墙的核心技术•简单包过滤技术包过滤工作在网络层,对数据包的源及目地IP具有识别和控制用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息,由于只对数据包的IP地址、TCP/UDP协议和端口进行分析.包过滤防火墙的处理速度较快,并且易于配置。包过滤型防火墙中的包过滤器一般安装在路由器上,工作在网络层(IP)。它基于单个包实施网络控制,根据所收到的数据包的源地址、目的地址、TCP/UDP、源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施信息过滤。实际上,它一般容许网络内部的主机直接访问外部网络,而外部网络上的主机对内部网络的访问则要受到限制。包过滤防火墙的工作原理•在互联网上提供某些特定服务的服务器一般都使用相对固定的端口号。因此路由器在设置包过滤规则时指定:对于某些端口号允许数据包与该端口交换,或者阻断数据包与它们的连接。过滤规则示例:规则协议源IP地址目标IP地址源端口目的端口行为1TCPAny192.168.0.1AnyHTTP(80)Accept2UDPAny192.168.0.8Any53Accept在上表中,规则1允许所有的IP访问服务器192.168.0.1的HTTP协议,规则2则允许所有的IP访问服务器的域名解析服务。简单包过滤防火墙的优点:1.处理包的速度比代