網(wǎng)絡(luò)操作系統(tǒng)漏洞分析及安全策略的研究(設(shè)計書).doc

目 錄緒論 3 第一章 網(wǎng)絡(luò)安全問題及其現(xiàn)實意義 5一、 引言 5二、 網(wǎng)絡(luò)安全歷史回顧 5三、 網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀 7四、 網(wǎng)絡(luò)安全策略 9（一） 站點(diǎn)安全策略 9 （二） 安全策略方案 10第二章 構(gòu)筑Internet防火墻 11一、 防火墻的概念及其重要作用 11（一） 防火墻的概念 11 （二） 防火墻能實現(xiàn)那些功能 12二、 防火墻的模型 14三、 防火墻的基本安全策略 15四、 防火墻關(guān)鍵技術(shù)及發(fā)展 17（一） 數(shù)據(jù)包過濾技術(shù) 17（二） 代理技術(shù) 21（三） 防火墻技術(shù)發(fā)展趨勢 26第三章 WindowsNT Server系統(tǒng)概述及技術(shù)漏洞分析 28一、 WindowsNT Server系統(tǒng)綜述 28二、 WindowsNT Server系統(tǒng)安全性 30（一） WindowsNT中的識別和驗證 30（二） WindowsNT中的訪問控制 31三、 WindowsNT 系統(tǒng)技術(shù)漏洞及解決辦法 31第四章 優(yōu)秀防火墻系統(tǒng)實例 41一、 東大阿爾派網(wǎng)眼防火墻系統(tǒng)產(chǎn)品概述 41二、 網(wǎng)眼防火墻系統(tǒng)基本功能和系統(tǒng)特性 41（一） 網(wǎng)眼防火墻系統(tǒng)的基本功能 41（二） 網(wǎng)眼防火墻的系統(tǒng)特征 43第五章 關(guān)于校園網(wǎng)安全策略的研究 44一、 我校校園網(wǎng)概況 44（一） 校園網(wǎng)建設(shè)背景 44（二） 網(wǎng)絡(luò)方案技術(shù)特點(diǎn) 44（三） 校園網(wǎng)建設(shè)現(xiàn)狀 46二、 校園網(wǎng)安全狀況分析 46三、 校園網(wǎng)絡(luò)安全解決方案 47結(jié)束語 53致謝 55參考文獻(xiàn) 56附錄A附錄B 緒 論 隨著Internet在世界范圍內(nèi)的普及和發(fā)展，政府機(jī)構(gòu)、企事業(yè)單位、教育科研等各行各業(yè)的人們正努力通過Internet來提高工作效率和市場反應(yīng)速度，以便更具競爭力。作為全球使用范圍最廣的信息網(wǎng)，Internet自身協(xié)議的開放性極大的方便了各種計算機(jī)入網(wǎng)，拓寬了資源共享。與此同時，人們也正逐漸認(rèn)識到與因特網(wǎng)相伴而來的巨大風(fēng)險來自世界各地的形形色色的侵襲者隨時有可能對你的站點(diǎn)發(fā)動攻擊，破壞你的站點(diǎn)安全，竊取你的重要資源，修改、破壞系統(tǒng)的數(shù)據(jù)計算機(jī)的安全性歷來都是人們討論的主要話題之一，而計算機(jī)安全主要研究的是計算機(jī)病毒的防治和系統(tǒng)的安全。在計算機(jī)網(wǎng)絡(luò)日益發(fā)展普及的今天，計算機(jī)安全的要求更高，涉及面更廣。不但要求防治病毒，還要提高系統(tǒng)抵抗外來非法黑客入侵的能力，更要提高對遠(yuǎn)程數(shù)據(jù)傳輸?shù)谋Ｃ苄裕苊庠趥鬏斖局性馐芊欠ǜ`取。構(gòu)筑 Internet防火墻保護(hù)內(nèi)部系統(tǒng)與網(wǎng)絡(luò)即是一種行之有效的網(wǎng)絡(luò)安全手段。它常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)進(jìn)而連接到因特網(wǎng)上，防止因特網(wǎng)的危險傳播到你的內(nèi)部網(wǎng)絡(luò)。形象的說，因特網(wǎng)防火墻很象中世紀(jì)城堡的護(hù)城河，它服務(wù)于多個目的：限定人們從一個特定的控制點(diǎn)進(jìn)入；防止侵襲者接近你的其他防御設(shè)備；限定人們從一個特別控制點(diǎn)離開。邏輯上，防火墻是分離器、限制器、分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。通常，防火墻是一組硬件設(shè)備路由器、主計算機(jī)，或者是路由器、計算機(jī)和配有適當(dāng)軟件的網(wǎng)絡(luò)的多種組合。WindowsNT作為在世界范圍內(nèi)被廣泛應(yīng)用的網(wǎng)絡(luò)操作系統(tǒng)，它的安全性自然顯得尤為重要。發(fā)現(xiàn)WindowsNT的技術(shù)漏洞并采取相應(yīng)的手段減小風(fēng)險也成為人們關(guān)注的熱門話題，目前已有的防火墻產(chǎn)品為我們進(jìn)一步考慮網(wǎng)絡(luò)安全解決方案提供了方便，我們終要力爭建立一個盡可能完善的Internet安全體制并提供相應(yīng)的安全服務(wù)。相信這一天的到來不會太久遠(yuǎn)了。 第一章網(wǎng)絡(luò)安全問題及其現(xiàn)實意義一、引言現(xiàn)代社會是一個高度信息化的社會，世紀(jì)之交，知識經(jīng)濟(jì)時代正向我們走來，信息化程度的高低已經(jīng)成為一個國家現(xiàn)代化水平和綜合國力的重要標(biāo)志。從世界范圍來看，推進(jìn)政府部門辦公網(wǎng)絡(luò)化、自動化、電子化，全面信息共享已是大勢所趨。網(wǎng)絡(luò)技術(shù)的飛速發(fā)展為加快世界經(jīng)濟(jì)信息化的進(jìn)程帶來了前所未有的機(jī)遇和挑戰(zhàn)。由于網(wǎng)絡(luò)是一個開放的環(huán)境，信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中完全喪失了私有性。今天, Internet 環(huán)境中，不斷傳出侵犯安全的事件報道。為了保護(hù)網(wǎng)絡(luò)上的重要數(shù)據(jù)免于丟失和遭受病毒、黑客、竊賊侵?jǐn)_，以及其它無孔不入的數(shù)據(jù)安全威脅，網(wǎng)絡(luò)安全解決方案成為人們關(guān)注的焦點(diǎn)。二、 網(wǎng)絡(luò)安全歷史回顧 TCP/IP協(xié)議群在網(wǎng)際互聯(lián)中的使用的迅速崛起, 導(dǎo)致了通常被稱為Internet的由主機(jī)和網(wǎng)絡(luò)組成的全球網(wǎng)際互聯(lián)系統(tǒng)。過去的十年, 是Internet勝利大進(jìn)軍的十年。按它現(xiàn)在的發(fā)展速率預(yù)測, 到本世紀(jì)末, 將有超過一百萬個計算機(jī)網(wǎng)絡(luò)和超過十億的用戶加入Internet。正因為如此, Internet 被看成是美國政府提出的國家信息基礎(chǔ)設(shè)施(NII)的第一個具體體現(xiàn)。 然而, 最初面向研究的Internet和它的通信協(xié)議群是為比現(xiàn)在良好得多的環(huán)境而設(shè)計的。應(yīng)該說, 那是一個君子的環(huán)境, 用戶和主機(jī)之間互相信任, 志在進(jìn)行自由開放的信息交換。在這樣的環(huán)境里, 使用Internet的人實際上就是創(chuàng)建 Internet的人。隨著時間的推移, Internet 變得更加有用和可靠, 別的人也就參雜了進(jìn)來。人越來越多, 共同目標(biāo)卻越來越少, Internet的初衷漸漸地被扭曲了。 今天, Internet的環(huán)境中, 君子風(fēng)度和信任感已經(jīng)所剩無幾了。社會上能找到的所有的兇險, 鄙和投機(jī), Internet上應(yīng)有盡有。在這樣的新環(huán)境里, 開放性成了Internet的一把雙刃劍。從Internet誕生之日起, 特別是自90年代它向公眾開放以來, 它已經(jīng)成為眾矢之的。1988年11月, 小Robert T. Morris放出的蠕蟲染指了數(shù)千臺主機(jī)。從那時起，不斷傳出侵犯安全的事件報道。1996年初，美國國防部宣布其計算機(jī)系統(tǒng)在一年中遭到25萬次進(jìn)攻，更令人不安的是，大多數(shù)進(jìn)攻未被察覺。這些進(jìn)攻給國家安全帶來的影響程度還未確定，但多數(shù)已發(fā)現(xiàn)的進(jìn)攻是針對計算機(jī)系統(tǒng)所存放的敏感和分類信息，其中2/3的進(jìn)攻被認(rèn)為是成功的入侵者（黑客）盜竊、修改或破壞了系統(tǒng)上的數(shù)據(jù)。企圖闖入系統(tǒng)者有之, 成功闖入系統(tǒng)者有之, 抓住Internet上主機(jī)的其他種種弱點(diǎn)和漏洞加以利用者也有之。最近, 成千成萬的口令在Internet上被盜取, 序列數(shù)猜測的攻擊手段已經(jīng)被用來冒充IP特別要指出的是: 很早就有人知道這些易受攻擊的弱點(diǎn)了。實際上, 在網(wǎng)際互聯(lián)的早期, 安全專家就警告過明文傳送口令的危害。Morris在1985年于AT&T貝爾實驗室工作期間就詳細(xì)描述了用來破解BSD UNIX 4.2序列數(shù)猜測的攻擊手段。 如今Internet 上的每一個人實際上都是脆弱的。Internet的安全問題成了關(guān)注的焦點(diǎn)。計算機(jī)和通信界一片恐慌。對安全問題的考慮，給認(rèn)為Internet 已經(jīng)完全勝任商務(wù)活動的過高期望潑了一盆冷水, 可能也延緩或阻礙了Internet作為國家信息基礎(chǔ)設(shè)施或全球信息基礎(chǔ)設(shè)施成為大眾媒體。一些調(diào)查研究表明,許多個人和公司之所以對加入Internet持觀望態(tài)度, 其主要原因就是出于安全的考慮。與此同時, 也有分析家警告商家不加Internet會有什么危害。盡管眾說紛紜,有一點(diǎn)是差不多大家都同意的, 那就是Internet需要更多更好的安全機(jī)制。早在1994年,IAB (Internet體系結(jié)構(gòu)理事會 ) 的一次研討會上,擴(kuò)充與安全就被當(dāng)作關(guān)系Internet全局的兩個最重要的問題領(lǐng)域了。然而安全性, 特別是Internet的安全性, 是一個很含糊的術(shù)語, 不同的人可能會有不同的理解。本質(zhì)上Internet的安全性只能通過提供下面兩方面的安全 。1. 通過服務(wù)來達(dá)到: 訪問控制服務(wù)用來保護(hù)計算和聯(lián)網(wǎng)資源不被非授權(quán)使用； 2.通信安全服務(wù)：用來提供認(rèn)證, 數(shù)據(jù)機(jī)要性與完整性和各通信端的不可否認(rèn)性服務(wù)。例如,基于Internet或WWW的電子商務(wù)就必須依賴于通信安全服務(wù)的廣泛采用。目前來看，采用防火墻技術(shù)是防止網(wǎng)絡(luò)入侵的最好辦法。三、 網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀1993年10月24日美國著名的計算機(jī)安全專家、AT&T貝爾實驗室的計算機(jī)科學(xué)家Rober Morris在美國眾議院科學(xué)技術(shù)會議運(yùn)輸、航空、材料工業(yè)委員會上作了關(guān)于計算機(jī)安全重要性的報告，從此計算機(jī)安全成了國際上研究的熱點(diǎn)。現(xiàn)在隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成了新的安全研究熱點(diǎn)。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲和傳輸?shù)男畔⒌陌踩?。但是由于網(wǎng)絡(luò)設(shè)計之初，只考慮方便性、開放性，使得網(wǎng)絡(luò)非常脆弱，極易受到黑客的攻擊或有組織的群體的入侵，也會由于系統(tǒng)內(nèi)部人員的不規(guī)范使用和蓄意破壞，使得網(wǎng)絡(luò)信息系統(tǒng)遭到破壞信息泄漏。為了解決這個問題，國內(nèi)外很多研究機(jī)構(gòu)在這方面做了很多工作。主要從事數(shù)據(jù)加密技術(shù)、身份認(rèn)證、數(shù)字簽名、防火墻、安全審計、安全管理、安全內(nèi)核、安全協(xié)議、IC卡（存儲卡、加密存儲卡、CPU卡）、拒絕服務(wù)、網(wǎng)絡(luò)安全性分析、網(wǎng)絡(luò)信息安全監(jiān)測、信息安全標(biāo)準(zhǔn)化等方面的研究。 密碼技術(shù)是網(wǎng)絡(luò)安全的核心?，F(xiàn)代密碼技術(shù)發(fā)展至今20余年，出現(xiàn)了很多高強(qiáng)度的密碼算法和密鑰管理技術(shù)。數(shù)據(jù)安全技術(shù)也已經(jīng)由傳統(tǒng)的只注重保密性轉(zhuǎn)移到了保密性、真實性、完整性和可靠性的完美結(jié)合，并且相繼發(fā)展了身份認(rèn)證、消息確認(rèn)和數(shù)字簽名技術(shù)。從某種意義上講，數(shù)據(jù)加密系統(tǒng)的強(qiáng)度主要取決于所用的安全協(xié)議設(shè)計的安全性。Internet主要建立在TCP/IP協(xié)議之上，而TCP/IP協(xié)議的安全性不夠，不能滿足目前日益增長的網(wǎng)絡(luò)安全要求，因此有必要對其改進(jìn)。當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)連接到Internet上時，防止非法入侵，確保企業(yè)內(nèi)部網(wǎng)絡(luò)的安全是至關(guān)重要的。最有效的防范措施是在企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間設(shè)置一個防火墻，實施網(wǎng)絡(luò)之間的安全訪問控制，確保企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。防火墻是一種綜合性技術(shù)，涉及到計算機(jī)網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全技術(shù)、軟件技術(shù)、安全協(xié)議、網(wǎng)絡(luò)標(biāo)準(zhǔn)化組織（ISO）的安全規(guī)范以及安全操作系統(tǒng)等多方面。作為一種有效的解決網(wǎng)絡(luò)之間訪問控制的有效方法，國際上在這方面的研究很多。特別是國外，近幾年發(fā)展迅速，產(chǎn)品眾多，而且更新?lián)Q代快，并不斷有新的信息安全技術(shù)和軟件技術(shù)等應(yīng)用在防火墻的開發(fā)上。國外技術(shù)雖然相對領(lǐng)先（比如包過濾、代理服務(wù)器、V P N、狀態(tài)監(jiān)測、加密技術(shù)、身份認(rèn)證等），但總的來講，此方面的技術(shù)并不十分成熟完善，標(biāo)準(zhǔn)也不健全，實用效果并不十分理想。和國際相比，國內(nèi)的網(wǎng)絡(luò)安全技術(shù)方面的研究和產(chǎn)品開發(fā)方面相對比較薄弱，起步也晚。由于國外加密技術(shù)的限制和保護(hù)，國內(nèi)無法得到急需的安全而實用的網(wǎng)絡(luò)安全系統(tǒng)和加密軟件。同時由于政治、軍事、經(jīng)濟(jì)的原因，我們也應(yīng)研制開發(fā)并采用自己的網(wǎng)絡(luò)安全系統(tǒng)和數(shù)據(jù)加密軟件，以滿足用戶和市場的巨大需求。網(wǎng)絡(luò)安全是國家安全的一個重要方面，它的技術(shù)和產(chǎn)品必須立足于我國自主開發(fā)，這也是信息安全技術(shù)有別于其他技術(shù)的最重要特征。四、 網(wǎng)絡(luò)安全策略在你準(zhǔn)備將你的網(wǎng)絡(luò)連接到 Internet上之前，準(zhǔn)確的理解需要保護(hù)什么樣的網(wǎng)絡(luò)資源和服務(wù)是非常重要的。網(wǎng)絡(luò)策略Network Policy是描述一個組織的網(wǎng)絡(luò)安全關(guān)系的文檔。（一） 站點(diǎn)安全策略一個組織可以有多個站點(diǎn)，每個站點(diǎn)有它自己的網(wǎng)絡(luò)。如果組織比較大，它的站點(diǎn)就可能擁有不同目標(biāo)的網(wǎng)絡(luò)管理員。如果這些站點(diǎn)不是通過內(nèi)部網(wǎng)絡(luò)來連接的，那么每個站點(diǎn)可能有它們自己的網(wǎng)絡(luò)安全策略。但是，如果站點(diǎn)是通過內(nèi)部網(wǎng)絡(luò)連接的，則網(wǎng)絡(luò)策略應(yīng)該涵蓋所有內(nèi)連站點(diǎn)的目標(biāo)。一般來說，站點(diǎn)是一個擁有計算機(jī)和與網(wǎng)絡(luò)相關(guān)的資源的組織的任何部分。這些資源包括：工作站 ；主計算機(jī)和服務(wù)器；內(nèi)連設(shè)備（網(wǎng)關(guān)、路由器、網(wǎng)橋、轉(zhuǎn)發(fā)器）；終端服務(wù)器；網(wǎng)絡(luò)和應(yīng)用程序軟件；網(wǎng)絡(luò)電纜；文件和數(shù)據(jù)庫中的信息等。站點(diǎn)安全策略應(yīng)該考慮保護(hù)這些資源。因為站點(diǎn)是連接到其它網(wǎng)絡(luò)的，所以站點(diǎn)安全策略應(yīng)該考慮安全需要和所有內(nèi)連網(wǎng)絡(luò)的要求。（二） 安全策略方案定義一個安全策略，也就是開發(fā)保護(hù)你的網(wǎng)絡(luò)資源免受損失和破壞的過程和計劃。開發(fā)該策略的一種可能的方法是檢查如下問題：1. 你試圖保護(hù)哪些資源；2. 你需要保護(hù)這些資源防備那些人；3. 可能存在什么樣的威脅；4. 資源如何重要；5. 你能夠采取什么措施以合算和節(jié)時的方式保護(hù)你的財產(chǎn)；6. 定期檢查網(wǎng)絡(luò)安全策略，察看你的目標(biāo)和網(wǎng)絡(luò)環(huán)境是否已經(jīng)改變。第二章構(gòu)筑Internet防火墻一、防火墻的概念及其重要意義 （一） 防火墻的概念因特網(wǎng)以變革的方式，提供了檢索信息和發(fā)布信息的能力，這是個不可思議的技術(shù)進(jìn)步；但它也以變革的方式帶來了信息污染和信息破壞的主要危險，現(xiàn)在人們已經(jīng)采取不同的安全措施來保護(hù)其數(shù)據(jù)和資源的安全。防火墻即是其中最行之有效的一種安全模式。古時候,人們常在寓所之間砌起一道磚墻, 一旦火災(zāi)發(fā)生, 它能夠防止火勢蔓延到別的寓所。自然,這種墻因此而得名“防火墻”。現(xiàn)在，如果一個網(wǎng)絡(luò)接到了Internet上面, 它的用戶就可以訪問外部世界并與之通信。但同時, 外部世界也同樣可以訪問該網(wǎng)絡(luò)并與之交互。為安全起見, 可以在該網(wǎng)絡(luò)和Internet之間插入一個中介系統(tǒng), 豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡(luò)對本網(wǎng)絡(luò)的威脅和入侵, 提供扼守本網(wǎng)絡(luò)的安全和審計的唯一關(guān)卡。這種中介系統(tǒng)也叫做“防火墻”,或“防火墻系統(tǒng)”。 簡言之, 一個防火墻在一個被認(rèn)為是安全和可信的內(nèi)部網(wǎng)絡(luò)和一個被認(rèn)為是不那么安全和可信的外部網(wǎng)絡(luò)(Internet)之間提供一個封鎖工具。它通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行情況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。在使用防火墻的決定背后, 潛藏著這樣的推理: 假如沒有防火墻, 一個網(wǎng)絡(luò)就暴露在不那么安全的 Internet 諸協(xié)議和設(shè)施面前, 面臨來自Internet其他主機(jī)的探測和攻擊的危險。在一個沒有防火墻的環(huán)境里, 網(wǎng)絡(luò)的安全性只能體現(xiàn)為每一個主機(jī)的功能,在某種意義上,所有主機(jī)必須通力合作,才能達(dá)到較高程度的安全性。網(wǎng)絡(luò)越大, 這種較高程度的安全性越難管理。隨著安全性問題上的失誤和缺陷越來越普遍, 對網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段, 也有可能來自配置上的低級錯誤或不合適的口令選擇。因此, 防火墻的作用是防止不希望的、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò), 迫使單位強(qiáng)化自己的網(wǎng)絡(luò)安全政策。（二）防火墻能實現(xiàn)那些功能1 保護(hù)脆弱的服務(wù)通過過濾不安全的服務(wù)，F(xiàn)irewall可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險。例如，F(xiàn)irewall可以禁止NIS、NFS服務(wù)通過，F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包。2 控制對系統(tǒng)的訪問Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)，同時禁止訪問另外的主機(jī)。例如Firewall允許外部訪問特定的Mail Server和Web Server。3 集中的安全管理 Firewall對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以運(yùn)行于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機(jī)器上分別設(shè)立安全策略。Firewall可以定義不同的認(rèn)證方法，而不需要在每臺機(jī)器上分別安裝特定的認(rèn)證軟件外部用戶也只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng)。4 增強(qiáng)的保密性 使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息,如Figer和DNS。5 記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù) Firewall可以記錄和統(tǒng)計通過Firewall的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和探測。6 策略執(zhí)行 Firewall提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置防火墻時，網(wǎng)絡(luò)安全取決于每臺主機(jī)的用戶。 總的來說，一個好的防火墻系統(tǒng)應(yīng)具有以下五方面的特征：（1）所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)都必須能夠通過防火墻；（2）只有被授權(quán)的合法數(shù)據(jù)，即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)，可以通過防火墻；（3）防火墻本身不受各種攻擊的影響；（4）使用目前新的信息安全技術(shù)，比如現(xiàn)代密碼技術(shù)、一次口令系統(tǒng)、智能卡等；（5）人機(jī)界面良好，用戶配置使用方便，易管理。系統(tǒng)管理員可以方便地對防火墻進(jìn)行設(shè)置，對Internet的訪問者、被訪問者、訪問協(xié)議以及方式進(jìn)行控制。二、防火墻的模型國際標(biāo)準(zhǔn)化組織ISO的計算機(jī)專業(yè)委員會根據(jù)網(wǎng)絡(luò)開發(fā)系統(tǒng)互聯(lián)七層模型（OSI/RM）制定了一個網(wǎng)絡(luò)安全體系結(jié)構(gòu)，該模型主要用來解決網(wǎng)絡(luò)系統(tǒng)中的信息安全問題，如下圖所示： 層 次安全服務(wù)物理層數(shù)據(jù)鏈路 層網(wǎng)絡(luò)層傳送層回話層表示層應(yīng)用層對等實體鑒別訪問控制連接保密選擇字段保密報文流安全數(shù)據(jù)完整性數(shù)據(jù)源鑒別禁止否認(rèn)服務(wù)防火墻目的在于實現(xiàn)安全訪問控制,因此按照OSI/RM模型及上圖的安全要求,防火墻可以在 OSI/RM七層中的五層設(shè)置。一般的防火墻模型如下圖所示：OSI/RM 防火墻 應(yīng)用層 網(wǎng)關(guān)級 表示層 回話層 傳輸層 電路級 網(wǎng)絡(luò)層 路由器級 數(shù)據(jù)鏈路層 網(wǎng)橋級 物理層 中繼器級 外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò) 安全系統(tǒng) 防火墻系統(tǒng) 非保護(hù)區(qū)一個防火墻從功能上來分，通常由以下幾部分組成，如圖所示： 傳機(jī)接口訪問控制策略 審 計 安全管理 數(shù)據(jù)加密 網(wǎng)絡(luò)互聯(lián)設(shè)備三、防火墻基本安全策略一個防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個多端口的IP路由器, 它通過對每一個到來的IP包依據(jù)一組規(guī)則進(jìn)行檢查來判斷是否對之進(jìn)行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息, 例如協(xié)議號、收發(fā)報文的IP地址和端口號, 連接標(biāo)志以至另外一些IP選項, 對IP包進(jìn)行過濾。 代理服務(wù)器是防火墻系統(tǒng)中的一個服務(wù)器進(jìn)程, 它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。一個代理服務(wù)器本質(zhì)上是一個應(yīng)用層的網(wǎng)關(guān), 一個為特定網(wǎng)絡(luò)應(yīng)用而連接兩個網(wǎng)絡(luò)的網(wǎng)關(guān)。用戶就一項TCP/IP應(yīng)用, 比如Telnet或者ftp,同代理服務(wù)器打交道, 代理服務(wù)器要求用戶提供其要訪問的遠(yuǎn)程主機(jī)名。當(dāng)用戶答復(fù)并提供了正確的用戶身份及認(rèn)證信息后, 代理服務(wù)器連通遠(yuǎn)程主機(jī), 為兩個通信點(diǎn)充當(dāng)中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認(rèn)證信息可用于用戶級的認(rèn)證。最簡單的情況是: 它只由用戶標(biāo)識和口令構(gòu)成。但是, 如果防火墻是通過Internet可訪問的, 我們推薦使用更強(qiáng)的認(rèn)證機(jī)制,比如一次性口令或挑戰(zhàn)回應(yīng)式系統(tǒng)。屏蔽路由器的優(yōu)點(diǎn)是簡單和低(硬件)成本。其缺點(diǎn)關(guān)系到正確建立包過濾規(guī)則比較困難、屏蔽路由器的管理成本、還有用戶級身份認(rèn)證的缺乏。路由器生產(chǎn)商們正在著手解決這些問題。特別值得注意的是, 它們正在開發(fā)編輯包過濾規(guī)則的圖形用戶界面。他們也在制訂標(biāo)準(zhǔn)的用戶級身份認(rèn)證協(xié)議, 來提供遠(yuǎn)程身份認(rèn)證撥入用戶服務(wù)。代理服務(wù)器的優(yōu)點(diǎn)是用戶級的身份認(rèn)證、日志記錄和帳號管理。其缺點(diǎn)關(guān)系到這樣一個事實: 要想提供全面的安全保證, 就要對每一項服務(wù)都建立對應(yīng)的應(yīng)用層網(wǎng)關(guān)。這個事實嚴(yán)重地限制了新應(yīng)用的采納。最近, 一個名叫SOCKS的包羅萬象的代理服務(wù)器問世了。SOCKS主要由一個運(yùn)行在防火墻系統(tǒng)上的代理服務(wù)器軟件包和一個鏈接到各種網(wǎng)絡(luò)應(yīng)用程序的庫函數(shù)包組成。這樣的結(jié)構(gòu)有利于新應(yīng)用的掛接。 屏蔽路由器和代理服務(wù)器通常組合在一起構(gòu)成混合系統(tǒng), 其中屏蔽路由器主要用來防止IP 欺騙攻擊。目前最廣泛采用的配置是Dual-homed防火墻, 被屏蔽主機(jī)型防火墻, 以及被屏蔽子網(wǎng)型防火墻。 設(shè)計一個防火墻安全策略是研制和開發(fā)一個有效的防火墻的第一步。目前安全策略主要有兩種：（1）沒有被允許就是禁止；（2）沒有被禁止就是允許。目前一般采用策略（1）來設(shè)計防火墻。整體安全策略應(yīng)包含以下主要內(nèi)容：用戶賬號策略；用戶權(quán)限策略；信任關(guān)系策略；包過濾策略；認(rèn)證策略；簽名策略；數(shù)據(jù)加密策略；密鑰分配策略；審計策略。四、防火墻關(guān)鍵技術(shù)及發(fā)展 目前，用于防火墻的幾種關(guān)鍵技術(shù)有：包過濾技術(shù)、代理技術(shù)、SOCKS 技術(shù)、狀態(tài)檢查技術(shù)（Stateful Specification）、地址翻譯(NAT)技術(shù)、VPN技術(shù)、內(nèi)容檢查技術(shù)和其他防火墻技術(shù)。本章主要討論應(yīng)用最為廣泛的包過濾技術(shù)和代理技術(shù)。（一）數(shù)據(jù)包過濾技術(shù)數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表Access Control Table。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。 1 數(shù)據(jù)包為什么要過濾為了通過網(wǎng)絡(luò)傳送信息，信息必須被打破分成小片，每件被分別傳送。將信息分成小片可使許多系統(tǒng)共享網(wǎng)絡(luò)，每個系統(tǒng)可以按順序發(fā)送小片。在IP網(wǎng)絡(luò)中，那些小片數(shù)據(jù)叫做數(shù)據(jù)包。所以通過IP網(wǎng)絡(luò)傳送的數(shù)據(jù)都是以數(shù)據(jù)包的形式傳送的。連接IP網(wǎng)絡(luò)的基本設(shè)備是路由器，傳過因特網(wǎng)的數(shù)據(jù)包從路由器到路由器游歷，直到他們的目的地。路由器必須對它所接收的每一個數(shù)據(jù)包做出路由選擇策略，必須決定如何把數(shù)據(jù)包發(fā)送到最終目的地址。數(shù)據(jù)包過濾在網(wǎng)絡(luò)中起著舉足輕重的作用：它允許你在單個地方為整個網(wǎng)絡(luò)提供特別的保護(hù)。比如：不讓任何人從外界使用Telnet登陸；讓每個人經(jīng)由SMTP向我們發(fā)送電子函件等等。 一旦數(shù)據(jù)包過濾路由器完成對一特定的數(shù)據(jù)包的檢測，它能利用那個數(shù)據(jù)包做出兩個選擇：1.通過數(shù)據(jù)包，通常，如果數(shù)據(jù)包通過了數(shù)據(jù)包過濾配置的準(zhǔn)則要求，路由器將把數(shù)據(jù)包向其目標(biāo)傳送，就像一個正常路由器所做的那樣；2.放棄數(shù)據(jù)包，如果不能通過數(shù)據(jù)包過濾配置標(biāo)準(zhǔn)，就放棄數(shù)據(jù)包。2配置數(shù)據(jù)包過濾路由器 數(shù)據(jù)包過濾器改善了對作為操作系統(tǒng)一部分而交付使用的網(wǎng)絡(luò)軟件的訪問控制能力。訪問控制規(guī)則是規(guī)定操作是否允許的約束。從概念上講，就是將一組變量的值與訪問控制數(shù)據(jù)庫中的規(guī)則進(jìn)行比較，而這些變量的值由表示主體和對象屬性的狀態(tài)信息得出。例如，網(wǎng)絡(luò)傳輸中兩個重要的值是源地址和目的地址。數(shù)據(jù)包過濾規(guī)則可以被配置成根據(jù)這些值來允許或拒絕IP傳輸。數(shù)據(jù)包過濾器是對網(wǎng)絡(luò)通信的訪問控制機(jī)制。數(shù)據(jù)包過濾器在處理每個數(shù)據(jù)包之前都要查閱它的訪問控制規(guī)則，而不是處理或轉(zhuǎn)發(fā)到達(dá)結(jié)點(diǎn)網(wǎng)絡(luò)適配器的所有的數(shù)據(jù)包。因為網(wǎng)絡(luò)協(xié)議棧較低的層運(yùn)行在操作系統(tǒng)內(nèi)核中，多數(shù)的數(shù)據(jù)包過濾器作為操作系統(tǒng)的核心的擴(kuò)展或替代而實現(xiàn)。這是非常重要的，因為一些防火墻完全替代了部分核心，而另外那些則附在核上并攔載功能調(diào)用。那末，數(shù)據(jù)包過濾器能控制些什么呢?因為數(shù)據(jù)包過濾器就是網(wǎng)絡(luò)協(xié)議棧，所以它能夠根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的包頭中出現(xiàn)的任意字段來作出訪問控制決策。如果有必要，數(shù)據(jù)包過濾器還能檢驗數(shù)據(jù)包的數(shù)據(jù)部分一致性安全性策略或者尋找攻擊。第一代的數(shù)據(jù)包過濾器通過察看如下字段來放行或丟棄數(shù)據(jù)包：源或目的地址；端口；協(xié)議類型（TCP，UDP或其它）；服務(wù)類型（FTP，telnet，DNS，RIP）。由于協(xié)議攻擊變得常見，數(shù)據(jù)包過濾器得到加強(qiáng)以察看數(shù)據(jù)包的SYN和ACK域的設(shè)置以及其它特征。發(fā)現(xiàn)新的協(xié)議攻擊之后，防火墻經(jīng)銷商迅速地進(jìn)行防衛(wèi)。也就是說，數(shù)據(jù)包過濾的訪問控制能力一直在改進(jìn)。3包過濾規(guī)則的約定假定對每一個數(shù)據(jù)包，路由器按照順序仔細(xì)研究規(guī)則直到他找到一個匹配的規(guī)則，之后它根據(jù)規(guī)則采取行動。如果沒有規(guī)則可以采用，我們將其缺省設(shè)置為“拒絕”。（1）按地址過濾最簡單的但不是最普通的數(shù)據(jù)包過濾結(jié)構(gòu)是通過地址過濾的。這種方法的過濾要你限制基于數(shù)據(jù)包源或目標(biāo)地址的數(shù)據(jù)包流，而不必考慮包括什么協(xié)議。這樣過濾能用來允許特定的外部主機(jī)與特定的內(nèi)部主機(jī)對話，例如，阻止侵襲者注入偽造的數(shù)據(jù)包到你的網(wǎng)絡(luò)之中。 因為源地址能被偽造，信任源地址不一定安全。除非在你和你要交談的主機(jī)之間使用某種密碼認(rèn)證，你不知道你是否真的在與你所期待的那個主機(jī)對話，還是與其它正在假裝成主機(jī)的機(jī)器對話。如果一個外部主機(jī)聲稱自己是一部內(nèi)部主機(jī)的話，那么過濾器將幫助你； 如果一個外部主機(jī)聲稱是另一個不同的外部主機(jī)，它們將無能為力。（2）按服務(wù)過濾 包過濾規(guī)則允許Router取舍以一個特殊服務(wù)為基礎(chǔ)的信息流，因為大多數(shù)服務(wù)檢測器駐留于眾所周知的TCP/UDP端口。下面以Telnet為例，說明數(shù)據(jù)包過濾的特性。Telnet可使一個用戶注冊到另一個系統(tǒng)，就好像用戶有一臺終端直接連接到那個系統(tǒng)一樣。Telnet Service為 TCP port 23, 端口等待遠(yuǎn)程連接,而SMTP Service為TCP Port 25端口等待輸入連接。如要封鎖輸入Telnet、SMTP的連接，則Router舍棄端口值為23，25的所有的數(shù)據(jù)包。典型的過濾規(guī)則有如下幾種：* 只允許特定名單內(nèi)的內(nèi)部主機(jī)進(jìn)行Telnet輸入對話* 只允許特定名單內(nèi)的內(nèi)部主機(jī)進(jìn)行FPT輸入對話* 只允許所有Telnet輸入對話* 只允許所有FTP輸入對話* 拒絕來自一些特定外部網(wǎng)絡(luò)的所有輸入信息4包過濾技術(shù)的優(yōu)缺點(diǎn) 包過濾對用戶來說有以下的優(yōu)點(diǎn)： *幫助保護(hù)整個網(wǎng)絡(luò)，減少暴露的風(fēng)險。 *對用戶完全透明，不需要對客戶端做任何改動，也不需要對用戶做任何培訓(xùn)。 *很多路由器可以做數(shù)據(jù)包過濾，因此不需要專門添加設(shè)備。 包過濾最明顯的缺陷是即使是最基本的網(wǎng)絡(luò)服務(wù)和協(xié)議，它也不能提供足夠的安全保護(hù)，包過濾是不夠安全的，因為它不能提供防火墻所必需的保護(hù)能力。她的缺點(diǎn)主要表現(xiàn)在： *包過濾規(guī)則難于配置，一旦配置，數(shù)據(jù)包過濾規(guī)則也難于檢驗 *包過濾僅可以訪問包頭信息中的有限信息。 *包過濾是無狀態(tài)的，因為包過濾不能保證與傳輸相關(guān)的狀態(tài)信息或與應(yīng)用相關(guān)的狀態(tài)信息。 *包過濾對信息的處理能力非常有限。 *一些協(xié)議不適合用數(shù)據(jù)包過濾，如基于RPC的應(yīng)用的“r”命令等。（二）代理技術(shù) 代理(Proxy) 技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流，代理技術(shù)是針對每一個特定應(yīng)用都有一個程序。代理是企圖在應(yīng)用層實現(xiàn)防火墻的功能，代理的主要特點(diǎn)是有狀態(tài)性。代理能提供部分與傳輸有關(guān)的狀態(tài)，能完全提供與應(yīng)用相關(guān)的狀態(tài)和部分傳輸方面的信息，代理也能處理和管理信息。代理服務(wù)(Proxy Service)也稱鏈路級網(wǎng)關(guān)或TCP通道Circuit Level Gateways or TCP Tunnels，也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機(jī)系統(tǒng)間應(yīng)用層的 鏈接，由兩個終止代理服務(wù)器上的 鏈接來實現(xiàn)，外部計算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機(jī)系統(tǒng)的作用此外，代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記，形成報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。1代理服務(wù)器代理服務(wù)器是一種調(diào)節(jié)兩個網(wǎng)絡(luò)段之間的信息傳輸?shù)膽?yīng)用程序。代理服務(wù)器經(jīng)常用于信息過濾，以防止網(wǎng)絡(luò)之間的直接傳輸。有了代理服務(wù)器作為調(diào)節(jié)者，源系統(tǒng)和目標(biāo)系統(tǒng)就永遠(yuǎn)不會直接“連接”起來。代理服務(wù)器在所有連接嘗試中扮演中間人的角色。代理使得網(wǎng)絡(luò)管理員能夠?qū)崿F(xiàn)，比包過濾路由器更嚴(yán)格的安全策略。應(yīng)用層網(wǎng)關(guān)不用依靠包過濾工具來管理Internet服務(wù)在防火墻體系中的進(jìn)出，而是采用為每鐘所需服務(wù)而安裝在網(wǎng)關(guān)上特殊代碼（代理服務(wù)）的方式來管理Internet服務(wù)，應(yīng)用層網(wǎng)關(guān)能夠讓網(wǎng)絡(luò)管理員對服務(wù)進(jìn)行全面的控制。如果網(wǎng)絡(luò)管理員沒有為某種應(yīng)用安裝代理編碼，那么該項服務(wù)就不支持并不能通過防火墻系統(tǒng)來轉(zhuǎn)發(fā)。同時，代理編碼可以配置成只支持網(wǎng)絡(luò)管理員認(rèn)為必須的部分功能。 2代理服務(wù)器是如何工作的與對應(yīng)的分組過濾器不同，代理服務(wù)器不對任何網(wǎng)絡(luò)傳輸選擇路由。實際上，配置正確的代理服務(wù)器會把所有的路由選擇功能關(guān)閉。正如其名稱所示，代理服務(wù)器是防火墻每一方的每個系統(tǒng)的代言人。比方說，有兩個人通過翻譯進(jìn)行交談。他們兩人確實在進(jìn)行會話，但從沒有人直接對另一個人說話。所有通訊都通過翻譯，才轉(zhuǎn)向另一方。翻譯可能會把兩人使用的一些詞句刪除，或者去掉不必要的解釋，或者去掉一些具有敵意的話。這個比喻與網(wǎng)絡(luò)通訊的關(guān)系可以參見圖。內(nèi)部主機(jī)希望請求遠(yuǎn)程服務(wù)器上的一個Web網(wǎng)頁。它生成一個請求并且把信息傳送給與遠(yuǎn)程網(wǎng)絡(luò)相連的網(wǎng)關(guān)，在本例中就是代理服務(wù)器。當(dāng)代理服務(wù)器接收到請求之后，它先識別內(nèi)部主機(jī)試圖訪問的服務(wù)類型。由于本例中主機(jī)請求的是 Web 網(wǎng)頁，因此代理服務(wù)器把請求傳送到只處理HTTP 會話的應(yīng)用程序。該應(yīng)用程序是一個在內(nèi)存中運(yùn)行的簡單程序，只具有處理HTTP通訊的功能。當(dāng)HTTP應(yīng)用程序收到請求時，要驗證ACL是否允許此類傳輸。如果允許，代理服務(wù)器回生成一個新請求發(fā)送給遠(yuǎn)程服務(wù)器并使用自己作為源系統(tǒng)。 也就是說，代理服務(wù)器不是簡單地讓請求通過；而是生成一個對遠(yuǎn)程信息的新請求。這個新請求接著被傳送到遠(yuǎn)程服務(wù)器。如果用網(wǎng)絡(luò)分析器分析這份請求，就會看到好像代理服務(wù)器發(fā)出了HTTP請求，而不是內(nèi)部主機(jī)。因此，當(dāng)遠(yuǎn)程服務(wù)器回復(fù)時，也向代理服務(wù)器發(fā)出回復(fù)信息。代理服務(wù)器接收到回復(fù)信息時，會再次把回復(fù)信息傳送給HTTP應(yīng)用程序。HTTP應(yīng)用程序接著詳細(xì)查看遠(yuǎn)程服務(wù)器發(fā)過來的實際數(shù)據(jù)中有無特殊情況。如果這些數(shù)據(jù)可以接受，HTTP應(yīng)用程序會生成一個新分組，并且把信息發(fā)送給內(nèi)部主機(jī)。可以看到，兩端的系統(tǒng)根本沒有直接交換信息。代理服務(wù)器一直插手其中，保證一切活動的安全性。由于代理服務(wù)器必須“理解”使用的應(yīng)用程序協(xié)議，所以它們也可以實現(xiàn)針對協(xié)議的安全保護(hù)。例如，入站FTP代理服務(wù)器可以配置成濾掉外部系統(tǒng)接收到的所有put和mput請求。這樣可以生成一個只讀FTP服務(wù)器：防火墻之外的人們將不能把初始化文件寫操作所需要的命令發(fā)送給 FTP 服務(wù)器。但是，他們可以讀取文件，接收到來自FTP服務(wù)器的文件。提供代理服務(wù)的可以是一臺雙宿主機(jī)，也可以是一臺堡壘主機(jī)。允許用戶訪問代理服務(wù)時很重要的，但是用戶是絕對不允許注冊到應(yīng)用層網(wǎng)關(guān)中的。假如允許用戶注冊到防火墻系統(tǒng)中，防火墻系統(tǒng)的安全就會受到威脅，因為入侵者可能會在暗地里進(jìn)行某些損害防火墻有效性的操作。例如，入侵者獲取root權(quán)限，安裝特洛伊木馬來截取口令，并修改防火墻的安全配置文件。 3應(yīng)用層代理的優(yōu)缺點(diǎn) 提供代理的應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點(diǎn)： *應(yīng)用層網(wǎng)關(guān)有能力支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊信息 *用于應(yīng)用層的過濾規(guī)則相對于包過濾路由器來說更容易配置和測試。 *代理工作在客戶機(jī)和真實服務(wù)器之間，完全控制會話，所以可以提供很詳細(xì)的日志和安全審計功能。 *提供代理服務(wù)的防火墻可以被配置成唯一的可被外部看見的主機(jī)，這樣可以隱藏內(nèi)部網(wǎng)絡(luò)的IP地址，可以保護(hù)內(nèi)部主機(jī)免受外部主機(jī)的進(jìn)攻。 *通過代理訪問Internet可以解決合法的IP地址不夠用的問題，因為Internet所見到的只是代理服務(wù)器的地址，內(nèi)部不合法的IP通過代理可以訪問Internet。 應(yīng)用層代理的缺點(diǎn)： *有限的連接性：代理服務(wù)器一般具有解釋應(yīng)用層命令的功能，如解釋FTP命令、Telnet命令等，那么這種代理服務(wù)器就只能用于一種服務(wù)。因此，可能需要提供很多種不同的代理服務(wù)器，如FTP代理服務(wù)器、Telnet代理服務(wù)器等等。所以能提供的服務(wù)和可伸縮性是有限的。 *有限的技術(shù)：應(yīng)用層網(wǎng)關(guān)不能為RPC、talk和其它一些基于通用協(xié)議族的服務(wù)提供代理。 *應(yīng)用層實現(xiàn)的防火墻會造成明顯的性能下降。 *每個應(yīng)用程序都必須有一個代理服務(wù)程序來進(jìn)行安全控制每一種應(yīng)用升級時，相應(yīng)代理服務(wù)程序也要升級。 *應(yīng)用層網(wǎng)關(guān)要求用戶改變自己的行為，或者在訪問代理服務(wù)器的每個系統(tǒng)上安裝特殊的軟件。比如，透過應(yīng)用層網(wǎng)關(guān)Telnet的訪問，要求用戶通過兩步而不是一步來建立連接。不過，特殊的端系統(tǒng)軟件可以讓用戶在Telnet命令中指定目標(biāo)主機(jī)而不是應(yīng)用層網(wǎng)關(guān)來使應(yīng)用層網(wǎng)關(guān)透明。此外，代理對操作系統(tǒng)和應(yīng)用層的漏洞也是脆弱的，不能有效檢查底層的信息，傳統(tǒng)的代理也很少是透明的。從歷史發(fā)展的觀點(diǎn)來說，應(yīng)用層網(wǎng)關(guān)適應(yīng)Internet的通用用途和需要。但是，Internet的環(huán)境在不斷變化，現(xiàn)在，新的協(xié)議、服務(wù)和應(yīng)用在不斷涌現(xiàn)，代理不再能處理Internet上的各種類型的傳輸，不能滿足新的商務(wù)需求，不能勝任對網(wǎng)絡(luò)搞帶寬和安全性的需求。（三）防火墻技術(shù)發(fā)展趨勢考慮到Internet發(fā)展的兇猛勢頭和防火墻產(chǎn)品的更新步伐，要全面展望防火墻技術(shù)發(fā)展的未來趨勢是不可能的，但是，從產(chǎn)品及功能來說，卻又看出一些動向和趨勢，下面幾點(diǎn)可能是下一步發(fā)展的走向和選擇：*防火墻將從目前對子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程網(wǎng)集中管理的方向發(fā)展；*過濾深度不斷加強(qiáng)，從目前的地址及服務(wù)過濾發(fā)展到URL過濾、內(nèi)容過濾、AxtiveX、Java Applet過濾，并具備病毒清除的功能。*利用防火墻建立虛擬專用網(wǎng)（VPN）是較長一段時間的用戶使用的主流，IP的加密需求越來越強(qiáng)，安全協(xié)議的開發(fā)是一大熱點(diǎn)。*單項防火墻（又叫網(wǎng)絡(luò)二極管）將作為一種產(chǎn)品門類而出現(xiàn)。*對網(wǎng)絡(luò)攻擊的監(jiān)測和告警將成為防火墻的重要的功能。*安全管理工具不斷完善，特別是可疑活動的日志分析工具將成為防火墻產(chǎn)品的一部分。*防火墻將從目前被動防護(hù)狀態(tài)轉(zhuǎn)變?yōu)橹悄艿亍討B(tài)地保護(hù)內(nèi)部網(wǎng)絡(luò)，并集成目前各種信息安全技術(shù)。*根據(jù)以上分析，人們選擇防火墻的標(biāo)準(zhǔn)將集中在以下幾個方面：易于管理性；應(yīng)用透明性；鑒別與加密功能；操作環(huán)境和硬件要求；VPA的功能與CA的功能；接口的數(shù)量；成本。 第三章WindowsNT Server系統(tǒng)概述及技術(shù)漏洞分析一、WindowsNT Server系統(tǒng)綜述隨著網(wǎng)絡(luò)環(huán)境從基于文件系統(tǒng)向客戶/服務(wù)器結(jié)構(gòu)轉(zhuǎn)移，NT系統(tǒng)也以令人驚訝的速度迅速流行起來。這在很大程度上是應(yīng)該歸功于NT與Windows系統(tǒng)擁有相似的界面及易于管理的特性。對于熟悉Win95的用戶，使用Windows NT會感到輕車熟路，因為 Windows NT Server (Windows NT服務(wù)器)與Windows 95的界面完全相同。兩者的不同點(diǎn)在于NT Server支持一些其他功能。NT服務(wù)器的缺省狀態(tài)安全性很低，為了提高其安全水平，用戶必須按照一定的程序?qū)θ笔∨渲眠M(jìn)行修改。NT Server操作系統(tǒng)使用 32位內(nèi)核，這雖然在兼容性上給16位Windows應(yīng)用程序帶來一些問題，但有助于保證操作系統(tǒng)內(nèi)核的穩(wěn)定性。NT系統(tǒng)同時也是多任務(wù)和多線程的操作系統(tǒng)，這樣可以防止任何程序獨(dú)占所有的CPU處理時間。NT Server使用的應(yīng)用界面與NT工作站、Windows 95和98相同，這樣可以使這些系統(tǒng)的編程環(huán)境彼此相似，是程序員理論上能夠?qū)懗龈€(wěn)定的應(yīng)用程序。因為NT系統(tǒng)的服務(wù)器和工作站使用相同的Win32借口，所以支持大多數(shù)桌面環(huán)境的應(yīng)用程序。這個優(yōu)點(diǎn)對于不能購置專用的設(shè)備完成服務(wù)器操作的小型應(yīng)用領(lǐng)域可以節(jié)省大量的資金。與NetWare不同，NetWare要求有專用的系統(tǒng)作為服務(wù)器，而NTServer則同時也能夠作為用戶工作站使用。服務(wù)器對Win32的支持也為系統(tǒng)管理員平時的工作節(jié)省了大量的時間，因為他們在桌面環(huán)境中使用的大多數(shù)工具在服務(wù)器上也能夠使用。此外，NT Server提供了對多達(dá)4個處理器的支持能力。如果硬件具有足夠的支持水平，多處理器的支持能力還可以增加到32個處理器。采用多處理器的優(yōu)點(diǎn)很明顯，處理器越多就可以為服務(wù)器運(yùn)行的應(yīng)用程序提供更多的CPU處理時間。N T系統(tǒng)使用一種名叫Registry(注冊表)的數(shù)據(jù)庫保存系統(tǒng)的大多數(shù)配置信息，如關(guān)于用戶賬戶、服務(wù)或者系統(tǒng)設(shè)備驅(qū)動程序的信息。據(jù)說相關(guān)信息也存儲在同樣的一個結(jié)構(gòu)（hive）中。例如，結(jié)構(gòu)HKEY_USERS中存儲了關(guān)于用戶賬戶的信息，這種結(jié)構(gòu)中保存的信息值稱為鍵值（key）。使用Registry的優(yōu)點(diǎn)是信息都可以集中存儲，從而簡化了查找和修改信息的過程。雖然多數(shù)NT系統(tǒng)的設(shè)置可以通過圖形化界面修改，但許多設(shè)置還需要手工修改Registry.用于查看和修改Registry信息的工具是regedt32程序。NT Server支持對系統(tǒng)中運(yùn)行的所有應(yīng)用程序進(jìn)行內(nèi)存隔離，還支持對虛擬內(nèi)存的使用。虛擬內(nèi)存允許服務(wù)器使用比計算機(jī)中實際安裝的物理內(nèi)存更大的內(nèi)存空間，因此應(yīng)用程序可以自由地按自己的意愿使用內(nèi)存，缺點(diǎn)是虛擬內(nèi)存實際上存儲在磁盤上，訪問速度比實際內(nèi)存慢約100倍。一旦使用大量的虛擬內(nèi)存，系統(tǒng)的性能就會明顯地下降。人們雖然可以聽從微軟公司的建議，使用最低限度的32MB RAM服務(wù)器提供基本的文件、打印、HTTP、WINS和DHCP服務(wù)，系統(tǒng)仍然可以啟動和工作，但系統(tǒng)的性能卻是十分糟糕。對于有上述要求的系統(tǒng)，應(yīng)該計劃安裝至少96MB128MB物理內(nèi)存。二、WindowsNT系統(tǒng)安全性（一）WindowsNT中的識別和驗證 微軟公司的NT是基于Mach 操作系統(tǒng)的，這個操作系統(tǒng)也有UNIX 基礎(chǔ)。同UNIX 操作系統(tǒng)一樣，NT也有諸如用戶和組的實體。NT的結(jié)構(gòu)也支持從一個中央服務(wù)器，或稱為域控制器domain controller的驗證。 NT把用戶和組信息存儲在NT注冊表（Registry）,其目的也是作為重要系統(tǒng)信息的倉庫。SUN 僅將有限的信息放入NIS數(shù)據(jù)庫中，而NT注冊表則包括了系統(tǒng)的所有重要信息。NT中的每個用戶以用戶名識別并以口令驗證?？诹钭质褂肕D4哈西化，結(jié)果值存放在注冊表?？诹钭铋L可達(dá)128 個字符。當(dāng)使用域控制器時，關(guān)于組的不同類型就會存在一些有趣精妙的事情。 象在UNIX 環(huán)境一樣，用戶的字符串名不是做訪問控制決定的基礎(chǔ)。NT中與用戶的UID等價的是安全標(biāo)識符(SID)。當(dāng)向系統(tǒng)中添加用戶或組時，NT 就使用計算機(jī)名（在安裝時選擇的），當(dāng)前系統(tǒng)時間和當(dāng)前線程用來計算SID所花費(fèi)的累計時間來產(chǎn)生一個SID。從技術(shù)上講，它是鏈接的用戶模式時間，而不是內(nèi)和模式時間，這是要考慮的。原則上講，這個合并保證了在給定的網(wǎng)絡(luò)SID是唯一的。 N T的登陸過程有幾個協(xié)同工作的部件控制。Win logon是一個顯示初始登陸窗口和獲取用戶名和口令的程序。S A M時一組例程，對登陸用戶賬戶負(fù)責(zé)并根據(jù)它的數(shù)據(jù)庫驗證用戶信息。局部安全授權(quán)（Local Security Authority,L S A）執(zhí)行實際上的用戶鑒別過程。其它安全任務(wù)有LSA完成，如審核，但這些任務(wù)與I&A不相關(guān)。（二）NT中的訪問控制 NT是基于主體、對象和訪問控制列表做訪問控制決定的。在NT中你可以做些什么是由你有的權(quán)限和為你要訪問的對象定義的訪問控制規(guī)則一起決定的。NT操作系統(tǒng)中包含多于27種的指定權(quán)限。你有的權(quán)限是由分配給你個體的所有權(quán)限加上你所在組的權(quán)限組成的。典型的權(quán)限包括從網(wǎng)絡(luò)登陸到一個系統(tǒng)的能力，登陸到本地系統(tǒng)的能力，假扮其它用戶的能力，備份文件的能力，和創(chuàng)建新用戶的能力。一個特別強(qiáng)的權(quán)限是可以作為操作系統(tǒng)操作的能力。當(dāng)然，你不能讓在系統(tǒng)中的任何人都有這個權(quán)限。三、WindowsNT服務(wù)器和工作站的技術(shù)漏洞及解決辦法WindowsNT所采用的存儲數(shù)據(jù)庫和加密過程導(dǎo)致了一系列安全漏洞值得探討。特別地，NT把用戶信息和加密口令保存于NTRegistry中的SAM文件中，即安全帳戶管理 (Security Accounts Management) 數(shù)據(jù)庫。加密口令分兩個步驟完成。首先，采用RSA MD4 系統(tǒng)對口令進(jìn)行加密。第二步則是令人迷惑的缺乏復(fù)雜度的過程，不添加任何“調(diào)料”，比如加密口令時考慮時間的因素。結(jié)果，NT口令比UNIX口令更加脆弱，更容易受到一本簡單字典的攻擊。由于有這么多與NT口令有關(guān)的安全問題，Microsoft已經(jīng)在NT第5.0版中加密口令時增加一個步驟。