計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件

防火墻技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念安全層次安全的密碼算法安全協(xié)議網(wǎng)絡(luò)安全系統(tǒng)安全應(yīng)用安全安全層次安全的密碼算法安全協(xié)議網(wǎng)絡(luò)安全系統(tǒng)安全應(yīng)用安全防火墻(Firewall)防火墻的基本設(shè)計(jì)目標(biāo)對(duì)于一個(gè)網(wǎng)絡(luò)來(lái)說(shuō)，所有通過(guò)“內(nèi)部”和“外部”的網(wǎng)絡(luò)流量都要經(jīng)過(guò)防火墻防火墻的基本目標(biāo)是通過(guò)隔離達(dá)到訪問(wèn)控制的目的通過(guò)一些安全策略，來(lái)保證只有經(jīng)過(guò)授權(quán)的流量才可以通過(guò)防火墻防火墻本身必須建立在安全操作系統(tǒng)的基礎(chǔ)上防火墻(Firewall)防火墻的基本設(shè)計(jì)目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件防火墻(Firewall)防火墻的定義是一種高級(jí)訪問(wèn)控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，能根據(jù)有關(guān)的安全策略控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。防火墻(Firewall)防火墻的定義防火墻(Firewall)防火墻的控制能力服務(wù)控制，確定哪些服務(wù)可以被訪問(wèn)方向控制，對(duì)于特定的服務(wù)，可以確定允許哪個(gè)方向能夠通過(guò)防火墻用戶控制，根據(jù)用戶來(lái)控制對(duì)服務(wù)的訪問(wèn)行為控制，控制一個(gè)特定的服務(wù)的行為防火墻(Firewall)防火墻的控制能力防火墻能做什么定義一個(gè)必經(jīng)之點(diǎn)擋住未經(jīng)授權(quán)的訪問(wèn)流量禁止具有脆弱性的服務(wù)帶來(lái)危害實(shí)施保護(hù)，以避免各種IP欺騙和路由攻擊防火墻能做什么定義一個(gè)必經(jīng)之點(diǎn)防火墻能做什么防火墻提供了一個(gè)監(jiān)視各種安全事件的位置，所以，可以在防火墻上實(shí)現(xiàn)審計(jì)和報(bào)警對(duì)于有些Internet功能來(lái)說(shuō)，防火墻也可以是一個(gè)理想的平臺(tái)，比如地址轉(zhuǎn)換，Internet日志、審計(jì)，甚至計(jì)費(fèi)功能防火墻可以作為IPSec的實(shí)現(xiàn)平臺(tái)防火墻能做什么防火墻提供了一個(gè)監(jiān)視各種安全事件的位置，所以，防火墻本身的局限性對(duì)于繞過(guò)防火墻的攻擊，它無(wú)能為力，例如，在防火墻內(nèi)部通過(guò)撥號(hào)出去防火墻不能防止內(nèi)部的攻擊，以及內(nèi)部人員與外部人員的聯(lián)合攻擊(比如，通過(guò)tunnel進(jìn)入)防火墻不能防止被病毒感染的程序或者文件、郵件等防火墻的性能要求防火墻本身的局限性對(duì)于繞過(guò)防火墻的攻擊，它無(wú)能為力，例如，在計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件串口：可對(duì)防火墻進(jìn)行初始化的配置串口：可對(duì)內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程基于路由器的防火墻利用路由器本身對(duì)分組的解析，進(jìn)行分組過(guò)濾過(guò)濾判斷依據(jù)：地址、端口號(hào)以及其他網(wǎng)絡(luò)特征防火墻與路由器合為一體，只有過(guò)濾功能適用于對(duì)安全要求不高的網(wǎng)絡(luò)環(huán)境防火墻工具組件將過(guò)濾功能從路由器中獨(dú)立出來(lái)，并加上審計(jì)和告警功能針對(duì)用戶需求，提供模塊化的軟件包軟件可以通過(guò)網(wǎng)絡(luò)發(fā)送，用戶可根據(jù)需要構(gòu)造防火墻與第一代相比，安全性提高了，價(jià)格降低了防火墻的發(fā)展歷程基于路由器的防火墻防火墻的發(fā)展歷程基于通用操作系統(tǒng)的防火墻是批量上市的專用防火墻。包括分組過(guò)濾或者借用路由器的分組過(guò)濾功能。裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令。保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置。安全性和速度大為提高基于安全操作系統(tǒng)的防火墻防火墻廠商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)安全內(nèi)核。去掉不必要的系統(tǒng)特性，加固內(nèi)核，強(qiáng)化安全保護(hù)。在功能上包括了分組過(guò)濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)。增加了許多附加功能：加密、鑒別、審計(jì)、NAT轉(zhuǎn)換。透明性好，易于使用。防火墻的發(fā)展歷程基于通用操作系統(tǒng)的防火墻計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念防火墻的類型簡(jiǎn)單包過(guò)濾防火墻狀態(tài)檢測(cè)包過(guò)濾防火墻應(yīng)用代理防火墻包過(guò)濾與應(yīng)用代理復(fù)合型防火墻核檢測(cè)防火墻防火墻的類型簡(jiǎn)單包過(guò)濾防火墻計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件簡(jiǎn)單包過(guò)濾防火墻包過(guò)濾防火墻是第一代和最基本形式的防火墻，防火墻檢查每一個(gè)通過(guò)的數(shù)據(jù)包，并查看數(shù)據(jù)包的包頭，然后依據(jù)一套規(guī)則決定或者丟棄，或者放行該數(shù)據(jù)包。這稱為包過(guò)濾防火墻。包過(guò)濾防火墻檢查每一個(gè)傳入包，查看包中可用的基本信息（源地址和目的地址、端口號(hào)、協(xié)議等）。然后，將這些信息與設(shè)立的規(guī)則相比較。簡(jiǎn)單包過(guò)濾防火墻包過(guò)濾防火墻是第一代和最基本形式的防火墻，防簡(jiǎn)單包過(guò)濾防火墻包過(guò)濾器操作的基本過(guò)程包過(guò)濾規(guī)則必須被包過(guò)濾設(shè)備端口存儲(chǔ)起來(lái)。當(dāng)包到達(dá)端口時(shí)，對(duì)包報(bào)頭進(jìn)行語(yǔ)法分析。大多數(shù)包過(guò)濾設(shè)備只檢查IP、TCP、或UDP報(bào)頭中的字段。包過(guò)濾規(guī)則以特殊的方式存儲(chǔ)。應(yīng)用于包的規(guī)則的順序與包過(guò)濾器規(guī)則存儲(chǔ)順序必須相同。若一條規(guī)則阻止包傳輸或接收，則此包便不被允許。若一條規(guī)則允許包傳輸或接收，則此包便可以被繼續(xù)處理。若包不滿足任何一條規(guī)則，則此包便被阻塞。簡(jiǎn)單包過(guò)濾防火墻包過(guò)濾器操作的基本過(guò)程簡(jiǎn)單包過(guò)濾防火墻不檢查數(shù)據(jù)區(qū)。不建立連接狀態(tài)表。前后報(bào)文無(wú)關(guān)。應(yīng)用層控制很弱。效率高。簡(jiǎn)單包過(guò)濾防火墻不檢查數(shù)據(jù)區(qū)。包過(guò)濾路由器基本的思想很簡(jiǎn)單對(duì)于每個(gè)進(jìn)來(lái)的包，適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或者丟棄該包往往配置成雙向的包過(guò)濾路由器基本的思想很簡(jiǎn)單包過(guò)濾路由器如何過(guò)濾過(guò)濾的規(guī)則以IP和傳輸層的頭中的域(字段)為基礎(chǔ)，包括源和目標(biāo)IP地址、IP協(xié)議域、源和目標(biāo)端口號(hào)過(guò)濾器往往建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件來(lái)作出決定。如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄如果所有規(guī)則都不匹配，則根據(jù)缺省策略包過(guò)濾路由器如何過(guò)濾安全缺省策略兩種基本策略，或缺省策略沒(méi)有被拒絕的流量都可以通過(guò)管理員必須針對(duì)每一種新出現(xiàn)的攻擊，制定新的規(guī)則沒(méi)有被允許的流量都要拒絕比較保守根據(jù)需要，逐漸開(kāi)放安全缺省策略兩種基本策略，或缺省策略包過(guò)濾防火墻在網(wǎng)絡(luò)層上進(jìn)行監(jiān)測(cè)并沒(méi)有考慮連接狀態(tài)信息通常在路由器上實(shí)現(xiàn)實(shí)際上是一種網(wǎng)絡(luò)的訪問(wèn)控制機(jī)制數(shù)據(jù)包過(guò)濾技術(shù)的發(fā)展：靜態(tài)包過(guò)濾、動(dòng)態(tài)包過(guò)濾包過(guò)濾防火墻在網(wǎng)絡(luò)層上進(jìn)行監(jiān)測(cè)包過(guò)濾防火墻優(yōu)點(diǎn)：不用改動(dòng)應(yīng)用程序一個(gè)過(guò)濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)過(guò)濾路由器速度快數(shù)據(jù)包過(guò)濾對(duì)用戶透明效率高包過(guò)濾防火墻優(yōu)點(diǎn)：包過(guò)濾防火墻缺點(diǎn)：正確制定規(guī)則并不容易不可能引入認(rèn)證機(jī)制不能徹底防止地址欺騙一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾正常的數(shù)據(jù)包過(guò)濾路由器無(wú)法執(zhí)行某些安全策略包過(guò)濾防火墻缺點(diǎn)：Ftp文件傳輸協(xié)議clientftpserver命令通道：21端口數(shù)據(jù)通道：20端口515151502120PORT5151OK建立數(shù)據(jù)通道OKFtp文件傳輸協(xié)議clientftpserver命令通道：Ftp文件傳輸協(xié)議(續(xù))clientftpserver命令通道：21端口數(shù)據(jù)通道：大于1023515151502120PASVPORT3267建立數(shù)據(jù)通道OK3267Ftp文件傳輸協(xié)議(續(xù))clientftpserver命令針對(duì)ftp的包過(guò)濾規(guī)則注意事項(xiàng)建立一組復(fù)雜的規(guī)則集是否允許正常模式的ftp數(shù)據(jù)通道？有些ftpclient不支持pasv模式動(dòng)態(tài)監(jiān)視ftp通道發(fā)出的port命令有一些動(dòng)態(tài)包過(guò)濾防火墻可以做到啟示包過(guò)濾防火墻比較適合于單連接的服務(wù)(比如smtp,pop3)，不適合于多連接的服務(wù)(比如ftp)針對(duì)ftp的包過(guò)濾規(guī)則注意事項(xiàng)建立一組復(fù)雜的規(guī)則集針對(duì)包過(guò)濾防火墻的攻擊IP地址欺騙，例如，假冒內(nèi)部的IP地址。對(duì)策：在外部接口上禁止內(nèi)部地址源路由攻擊，即由源指定路由，繞開(kāi)防火墻。對(duì)策：禁止這樣的選項(xiàng)IP碎片攻擊。對(duì)策：Windows系統(tǒng)請(qǐng)打上最新的Service

Pack，目前的Linux內(nèi)核已經(jīng)不受影響。

如果可能，在網(wǎng)絡(luò)邊界上禁止碎片包通過(guò)，或者用iptables限制每秒通過(guò)碎片包的數(shù)目。

如果防火墻有重組碎片的功能，請(qǐng)確保自身的算法沒(méi)有問(wèn)題，否則被DoS就會(huì)影響整個(gè)網(wǎng)絡(luò)。

Win2K系統(tǒng)中，自定義IP安全策略，設(shè)置“碎片檢查”。

利用復(fù)雜協(xié)議和管理員的配置失誤進(jìn)入防火墻。例如，利用ftp協(xié)議對(duì)內(nèi)部進(jìn)行探查針對(duì)包過(guò)濾防火墻的攻擊IP地址欺騙，例如，假冒內(nèi)部的IP地址IP碎片攻擊1.

為什么存在IP碎片

鏈路層具有最大傳輸單元MTU這個(gè)特性，它限制了數(shù)據(jù)幀的最大長(zhǎng)度，不同的網(wǎng)絡(luò)類型都有一個(gè)上限值。以太網(wǎng)的MTU是1500，你可以用

netstat

-i

命令查看這個(gè)值。如果IP層有數(shù)據(jù)包要傳，而且數(shù)據(jù)包的長(zhǎng)度超過(guò)了MTU，那么IP層就要對(duì)數(shù)據(jù)包進(jìn)行分片（fragmentation）操作，使每一片的長(zhǎng)度都小于或等于MTU。我們假設(shè)要傳輸一個(gè)UDP數(shù)據(jù)包，以太網(wǎng)的MTU為1500字節(jié)，一般IP首部為20字節(jié)，UDP首部為8字節(jié)，數(shù)據(jù)的凈荷（payload）部分預(yù)留是1500-20-8=1472字節(jié)。如果數(shù)據(jù)部分大于1472字節(jié)，就會(huì)出現(xiàn)分片現(xiàn)象。

IP首部包含了分片和重組所需的信息：

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

|

Identification

|R|DF|MF|

Fragment

Offset

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|<-------------16----------->|<---3---->|<----------13----------->|

IP碎片攻擊1.

為什么存在IP碎片

鏈路層具有最大傳輸單IP碎片攻擊Identification：發(fā)送端發(fā)送的IP數(shù)據(jù)包標(biāo)識(shí)字段都是一個(gè)唯一值，該值在分片時(shí)被復(fù)制到每個(gè)片中。

R：保留未用。

DF：Don‘t

Fragment，“不分片”位，如果將這一比特置1

，IP層將不對(duì)數(shù)據(jù)報(bào)進(jìn)行分片。

MF：More

Fragment，“更多的片”，除了最后一片外，其他每個(gè)組成數(shù)據(jù)報(bào)的片都要把比特置1。

Fragment

Offset：該片偏移原始數(shù)據(jù)包開(kāi)始處的位置。偏移的字節(jié)數(shù)是該值乘以8。

另外，當(dāng)數(shù)據(jù)報(bào)被分片后，每個(gè)片的總長(zhǎng)度值要改為該片的長(zhǎng)度值。每一IP分片都各自路由，到達(dá)目的主機(jī)后在IP層重組，請(qǐng)放心，首部中的數(shù)據(jù)能夠正確完成分片的重組。既然分片可以被重組，那么所謂的碎片攻擊是如何產(chǎn)生的呢？

IP碎片攻擊Identification：發(fā)送端發(fā)送的IP數(shù)IP碎片攻擊2.

IP碎片攻擊

IP首部有兩個(gè)字節(jié)表示整個(gè)IP數(shù)據(jù)包的長(zhǎng)度，所以IP數(shù)據(jù)包最長(zhǎng)只能為0xFFFF，就是65535字節(jié)。如果有意發(fā)送總長(zhǎng)度超過(guò)65535的IP碎片，一些老的系統(tǒng)內(nèi)核在處理的時(shí)候就會(huì)出現(xiàn)問(wèn)題，導(dǎo)致崩潰或者拒絕服務(wù)。另外，如果分片之間偏移量經(jīng)過(guò)精心構(gòu)造，一些系統(tǒng)就無(wú)法處理，導(dǎo)致死機(jī)。所以說(shuō)，漏洞的起因是出在重組算法上。IP碎片攻擊2.

IP碎片攻擊

IP首部有兩個(gè)字節(jié)表示整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件狀態(tài)檢測(cè)包過(guò)濾防火墻不檢查數(shù)據(jù)區(qū)。建立連接狀態(tài)表。前后報(bào)文相關(guān)。應(yīng)用層控制很弱。檢測(cè)性能提高了。狀態(tài)檢測(cè)包過(guò)濾防火墻不檢查數(shù)據(jù)區(qū)。計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件不檢查IP、TCP包頭。不建立連接狀態(tài)表。網(wǎng)絡(luò)層保護(hù)比較弱。安全性提高了，性能降低了。應(yīng)用代理防火墻不檢查IP、TCP包頭。應(yīng)用代理防火墻計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件復(fù)合型防火墻可以檢查整個(gè)數(shù)據(jù)包內(nèi)容。根據(jù)需要建立連接狀態(tài)表。網(wǎng)絡(luò)層保護(hù)強(qiáng)。應(yīng)用層控制細(xì)。會(huì)話控制弱。復(fù)合型防火墻可以檢查整個(gè)數(shù)據(jù)包內(nèi)容。計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件核檢測(cè)防火墻網(wǎng)絡(luò)層保護(hù)強(qiáng)。應(yīng)用層保護(hù)強(qiáng)。會(huì)話保護(hù)很強(qiáng)。上下文相關(guān)。前后報(bào)文有聯(lián)系。核檢測(cè)防火墻網(wǎng)絡(luò)層保護(hù)強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件核檢測(cè)技術(shù)就是基于操作系統(tǒng)內(nèi)核的會(huì)話檢測(cè)技術(shù)。核檢測(cè)技計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件基于內(nèi)核的會(huì)話檢測(cè)技術(shù)就是在操作系統(tǒng)內(nèi)核模擬出典型的應(yīng)用層協(xié)議，在內(nèi)核實(shí)現(xiàn)應(yīng)用層協(xié)議的過(guò)濾，從而得到極高的性能?；趦?nèi)核的會(huì)話檢測(cè)技術(shù)就是在操作系統(tǒng)內(nèi)核模擬出典型的應(yīng)用層協(xié)并發(fā)連接數(shù)：20萬(wàn)vs120萬(wàn)并發(fā)連接數(shù)：內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念防火墻構(gòu)造體系篩選路由器。多宿主主機(jī)。被屏蔽主機(jī)。被屏蔽子網(wǎng)。防火墻構(gòu)造體系篩選路由器。計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件優(yōu)點(diǎn)：結(jié)構(gòu)簡(jiǎn)單部署容易、靈活缺點(diǎn)：安全防護(hù)能力弱篩選路由器優(yōu)點(diǎn)：篩選路由器多宿主主機(jī)：即帶有多個(gè)網(wǎng)卡的主機(jī)，也就是一個(gè)代理服務(wù)器。多宿主主機(jī)：缺點(diǎn)：安全防護(hù)能力只有一層，一旦多宿主主機(jī)受到攻擊，內(nèi)網(wǎng)就可能完全暴露于外網(wǎng)之下。多宿主主機(jī)缺點(diǎn)：多宿主主機(jī)堡壘主機(jī)：對(duì)外部網(wǎng)絡(luò)暴露，同時(shí)也是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點(diǎn)堡壘主機(jī)：

堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊屏蔽主機(jī)

堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過(guò)濾規(guī)則，并使優(yōu)點(diǎn)：只要包過(guò)濾防火墻安全，即使堡壘主機(jī)被攻破，其他主機(jī)仍然是安全的。缺點(diǎn)：堡壘主機(jī)與其他主機(jī)處于同一個(gè)子網(wǎng)。一旦包過(guò)濾防火墻被攻破，堡壘主機(jī)和其他主機(jī)都暴露在外網(wǎng)之下，是不安全的。被屏蔽主機(jī)優(yōu)點(diǎn)：被屏蔽主機(jī)堡壘主機(jī)的實(shí)現(xiàn)（1）堡壘主機(jī)操作系統(tǒng)的選擇；（2）堡壘主機(jī)速度的選擇；（3）堡壘主機(jī)的硬件；（4）堡壘主機(jī)的物理位置。堡壘主機(jī)的實(shí)現(xiàn)（1）堡壘主機(jī)操作系統(tǒng)的選擇應(yīng)該選較為熟悉的、流行的系統(tǒng)作為堡壘主機(jī)的操作系統(tǒng)。選擇主機(jī)時(shí)，應(yīng)該選擇一個(gè)可支持有若干個(gè)接口同時(shí)處于活躍狀態(tài)并且能可靠地提供一系列內(nèi)部網(wǎng)用戶所需要的因特網(wǎng)服務(wù)的機(jī)器。（1）堡壘主機(jī)操作系統(tǒng)的選擇應(yīng)該選較為熟悉的、流行的系統(tǒng)作為（2）堡壘主機(jī)速度的選擇實(shí)際上，選用功能并不十分強(qiáng)大的機(jī)器作為堡壘主機(jī)反而更好。不使用功能過(guò)高的機(jī)器充當(dāng)堡壘主機(jī)的理由如下：①低檔的機(jī)器對(duì)入侵者的吸引力要小一些；②如若堡壘主機(jī)被破壞，低檔的堡壘主機(jī)對(duì)于入侵者進(jìn)一步侵入內(nèi)部網(wǎng)提供的幫助要小些；

③也可降低內(nèi)部網(wǎng)用戶破壞的興趣。

（2）堡壘主機(jī)速度的選擇實(shí)際上，選用功能并不十分強(qiáng)大的機(jī)器作（3）堡壘主機(jī)的硬件因?yàn)槲覀兛偸窍Ｍ局鳈C(jī)上有高可靠性，所以，應(yīng)慎選產(chǎn)品。還希望堡壘主機(jī)具有高兼容性，所以不可選太舊的產(chǎn)品。在不追求純粹的高CPU性能的同時(shí)，我們要求它至少能支持同時(shí)處理兩個(gè)網(wǎng)際連接的能力。這個(gè)要求使得堡壘主機(jī)的內(nèi)存要大，并配置有足夠的交換空間。另外，如果在堡壘主機(jī)上要運(yùn)行代理服務(wù)還需要有較大的磁盤空間作為存儲(chǔ)緩沖。（3）堡壘主機(jī)的硬件因?yàn)槲覀兛偸窍Ｍ局鳈C(jī)上有高可靠性，所（4）堡壘主機(jī)的物理位置①位置要安全：如若入侵者與堡壘主機(jī)有物理接觸，他就有很多我們無(wú)法控制的方法來(lái)攻破堡壘主機(jī)。對(duì)堡壘主機(jī)提供了許多內(nèi)部網(wǎng)與因特網(wǎng)的功能性連接，如果它被損或被盜，那整個(gè)站點(diǎn)與外部網(wǎng)就地脫離或完全中斷。對(duì)堡壘主機(jī)要細(xì)心保護(hù)，以免發(fā)生不測(cè)。應(yīng)把它放在通風(fēng)良好、溫濕度較為恒定的房間，并最好配備有空調(diào)和不間斷電源。（4）堡壘主機(jī)的物理位置①位置要安全：②堡壘主機(jī)在網(wǎng)絡(luò)上的位置：堡壘主機(jī)應(yīng)被放置在沒(méi)有機(jī)密信息流的網(wǎng)絡(luò)上，最好放置一個(gè)單獨(dú)的網(wǎng)絡(luò)上。將堡壘主機(jī)放置在參數(shù)網(wǎng)絡(luò)上而不放在內(nèi)部網(wǎng)上。即使我們無(wú)法將堡壘主機(jī)放置在參數(shù)網(wǎng)絡(luò)上，也應(yīng)該將它放置在信息流不太敏感的網(wǎng)絡(luò)上。（4）堡壘主機(jī)的物理位置②堡壘主機(jī)在網(wǎng)絡(luò)上的位置：（4）堡壘主機(jī)的物理位置DMZ區(qū)：非軍事化區(qū)，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個(gè)子網(wǎng)。DMZ區(qū)：DMZ是英文“demilitarizedzone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開(kāi)的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過(guò)這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對(duì)攻擊者來(lái)說(shuō)又多了一道關(guān)卡。被屏蔽子網(wǎng)DMZ是英文“demilitarizedzone”的縮寫，被屏蔽子網(wǎng)包括兩個(gè)防火墻，外部防火墻抵擋外部網(wǎng)絡(luò)的攻擊，并管理所有外部網(wǎng)絡(luò)對(duì)DMZ的訪問(wèn)。內(nèi)部防火墻管理DMZ對(duì)于內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。內(nèi)部防火墻是內(nèi)部網(wǎng)絡(luò)的第三道安全防線(前面有了外部防火墻和堡壘主機(jī))，當(dāng)外部防火墻失效的時(shí)候，它還可以起到保護(hù)內(nèi)部網(wǎng)絡(luò)的功能。而局域網(wǎng)內(nèi)部，對(duì)于Internet的訪問(wèn)由內(nèi)部防火墻和位于DMZ的堡壘主機(jī)控制。在這樣的結(jié)構(gòu)里，一個(gè)黑客必須穿過(guò)三個(gè)獨(dú)立的區(qū)域(外部防火墻、內(nèi)部防火墻和堡壘主機(jī))才能夠到達(dá)局域網(wǎng)。攻擊難度大大加強(qiáng)，相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強(qiáng)，但投資成本也是最高的。

被屏蔽子網(wǎng)被屏蔽子網(wǎng)包括兩個(gè)防火墻，外部防火墻抵擋外部網(wǎng)絡(luò)的攻擊，并管優(yōu)點(diǎn)：提供多重保護(hù)措施，提高安全保護(hù)的強(qiáng)度。被屏蔽子網(wǎng)優(yōu)點(diǎn)：被屏蔽子網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件串口：可對(duì)防火墻進(jìn)行初始化的配置串口：可對(duì)內(nèi)容提要防火墻的基本概念防火墻的發(fā)展歷程防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的構(gòu)造體系防火墻的功能與原理內(nèi)容提要防火墻的基本概念計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件計(jì)算機(jī)網(wǎng)絡(luò)之防火墻全解課件RADIUS服務(wù)器（遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)

）RemoteAuthenticationDial-InUserService服務(wù)器（RADIUS），以執(zhí)行對(duì)用戶的驗(yàn)證（Authentication

）、授權(quán)（Authorization

）和記帳（Accounting

）（AAA）功能。它允許網(wǎng)絡(luò)訪問(wèn)服務(wù)器（NAS）執(zhí)行對(duì)用戶的驗(yàn)證、授權(quán)和記帳。RADIUS是基于UDP的一種客戶機(jī)/服務(wù)器協(xié)議。RADIUS服務(wù)器通常是在UNIX、LINUX或Windows服務(wù)器上運(yùn)行的一個(gè)監(jiān)護(hù)程序。如果NAS收到用戶連接請(qǐng)求，它會(huì)將它們傳遞到指定的RADIUS服務(wù)器，后者對(duì)用戶進(jìn)行驗(yàn)證，并將用戶的配置信息返回給NAS。然后，NAS接受或拒絕連接請(qǐng)求。認(rèn)證服務(wù)RADIUS服務(wù)器（遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)）認(rèn)證服務(wù)雖然大部分用戶還在使用可重用口令技術(shù)來(lái)保護(hù)他們的系統(tǒng)，但隨著網(wǎng)絡(luò)應(yīng)用的大規(guī)模普及，可重用口令技術(shù)的缺陷日漸暴露無(wú)遺。

在我們能夠使用信息系統(tǒng)之前，通常需要經(jīng)過(guò)以下兩個(gè)步驟：鑒別和授權(quán)。鑒別是授權(quán)的基礎(chǔ)，因?yàn)槿绻荒苷_的識(shí)別用戶的身份，正確的授權(quán)就無(wú)從談起。利用口令認(rèn)證用戶是最常用的一種鑒別技術(shù)，而口令鑒別技術(shù)通常又分為兩種：歷史悠久的可重用口令鑒別技術(shù)和后起之秀一次性口令鑒別技術(shù)?？芍赜每诹铍m然大部分用戶還在使用可重用口令技術(shù)來(lái)保護(hù)他們的系統(tǒng)，但隨著可重用口令鑒別技術(shù)的歷史很悠久，其缺陷也非常明顯：

·網(wǎng)絡(luò)竊聽(tīng)：有時(shí)候口令需要通過(guò)網(wǎng)絡(luò)傳輸，很多鑒別系統(tǒng)的口令是未經(jīng)加密的明文，攻擊者只要通過(guò)竊聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)，就很容易獲取鑒別所需的用戶名和口令。

·重放攻擊：有的系統(tǒng)會(huì)將鑒別信息進(jìn)行簡(jiǎn)單加密后進(jìn)行傳輸，這時(shí)攻擊者雖然無(wú)法竊聽(tīng)密碼，但他們卻可以首先截取加密后的口令然后將其重放，從而利用這種方式進(jìn)行有效的攻擊。

·字典攻擊：由于多數(shù)用戶習(xí)慣使用有意義的單詞或數(shù)字作為密碼，某些攻擊者會(huì)使用字典中的單詞來(lái)嘗試用戶的密碼。所以大多數(shù)系統(tǒng)都建議用戶在口令中加入特殊字符，以增加口令的安全性?？芍赜每诹羁芍赜每诹铊b別技術(shù)的歷史很悠久，其缺陷也非常明顯：

·網(wǎng)可重用口令鑒別技術(shù)的歷史很悠久，其缺陷也非常明顯：

·強(qiáng)力攻擊：這是一種特殊的字典攻擊，它使用字符串的全集作為字典，即窮舉所有可能的口令空間。這需要很大的耐心和巨大的工作量以及一點(diǎn)運(yùn)氣。然而，若用戶的密碼較短，那么它很快就會(huì)被窮舉出來(lái)，因而很多系統(tǒng)都建議用戶使用長(zhǎng)口令。

·窺探：攻擊者利用與被攻擊系統(tǒng)接近的機(jī)會(huì)，安裝監(jiān)視器或親自窺探合法用戶輸入口令的過(guò)程，以得到口令。對(duì)于后者，根本不需要特別的技術(shù)或設(shè)備，只要眼睛不是近視，需要的僅是靜悄悄的站在您的身后，就可以輕松實(shí)施攻擊。

·社交工程：攻擊者冒充管理人員發(fā)送郵件或打電話給合法用戶，比如“我是某某單位的系統(tǒng)管理員，現(xiàn)在需要更新所有用戶的密碼，請(qǐng)將您原來(lái)使用的口令告訴我。”這種情況下，許多經(jīng)驗(yàn)不足的用戶會(huì)毫不猶豫地將其口令奉上。

可重用口令可重用口令鑒別技術(shù)的歷史很悠久，其缺陷也非常明顯：

·強(qiáng)力可重用口令鑒別技術(shù)的歷史很悠久，其缺陷也非常明顯：

·垃圾搜索：攻擊者通過(guò)搜索被攻擊者的廢棄物，得到與攻擊系統(tǒng)有關(guān)的信息，如果用戶將口令寫在紙上又隨便丟棄，則很容易成為垃圾搜索的攻擊對(duì)象。有文章報(bào)道說(shuō)，當(dāng)今的商業(yè)間諜流行以清潔工人的身份來(lái)搜集情報(bào)，一方面清潔工人不太引起人們的注意，同時(shí)工作起來(lái)特順手。

雖然可以通過(guò)強(qiáng)迫用戶經(jīng)常更換密碼和增加密碼長(zhǎng)度來(lái)保證安全，但由于人類天性懶惰的緣故，經(jīng)常更換難以記憶的密碼會(huì)讓他們感覺(jué)很不舒服，這時(shí)難保他們不會(huì)將口令寫到小紙條上并置于鍵盤之下（若系統(tǒng)管理員看到了會(huì)氣得在地上打滾）。所以說(shuō)實(shí)施某項(xiàng)安全措施時(shí)，必須考慮到來(lái)自用戶的阻力?？芍赜每诹羁芍赜每诹铊b別技術(shù)的歷史很悠久，其缺陷也非常明顯：

·一次性口令的工作原理為了解決固定口令的諸多問(wèn)題，安全專家提出了一次性口令（OTP：OneTimePassword）的密碼體制，以保護(hù)關(guān)鍵的計(jì)算資源。OTP的主要思路是：在登錄過(guò)程中加入不確定因素，使每次登錄過(guò)程中傳送的信息都不相同，以提高登錄過(guò)程安全性。例如：登錄密碼=MD5(用戶名＋密碼＋時(shí)間），系統(tǒng)接收到登錄口令后做一個(gè)驗(yàn)算即可驗(yàn)證用戶的合法性。

OTP：OneTimePassword

一次性口令的工作原理OTP：OneTimePasswor不確定因子選擇與口令生成口令序列(S/KEY)口令為一個(gè)單向的前后相關(guān)的序列，系統(tǒng)只用記錄第N個(gè)口令。用戶用第N－1個(gè)口令登錄時(shí)，系統(tǒng)用單向算法算出第N個(gè)口令與自己保存的第N個(gè)口令匹配，以判斷用戶的合法性。由于N是有限的，用戶登錄N次后必須重新初始化口令序列。挑戰(zhàn)/回答(CRYPTOCard)用戶要求登錄時(shí)，系統(tǒng)產(chǎn)生一個(gè)隨機(jī)數(shù)發(fā)送給用戶。用戶用某種單向算法將自己的秘密口令和隨機(jī)數(shù)混合起來(lái)發(fā)送給系統(tǒng)，系統(tǒng)用同樣的方法做驗(yàn)算即可驗(yàn)證用戶身份。時(shí)間同步(SecureID)以用戶登錄時(shí)間作為隨機(jī)因素。這種方式對(duì)雙方的時(shí)間準(zhǔn)確度要求較高，一般采取以分鐘為時(shí)間單位的折中辦法。在SecureID產(chǎn)品中，對(duì)時(shí)間誤差的容忍可達(dá)±1分鐘。事件同步(SafeWord)這種方法以挑戰(zhàn)/回答方式為基礎(chǔ)，將單向的前后相關(guān)序列作為系統(tǒng)的挑戰(zhàn)信息，以節(jié)省用戶每次輸入挑戰(zhàn)信息的麻煩。但當(dāng)用戶的挑戰(zhàn)序列與服務(wù)器產(chǎn)生偏差后，需要重新同步。OTP：OneTimePassword

不確定因子選擇與口令生成OTP：OneTimePass一次性口令的使用過(guò)程當(dāng)一個(gè)用戶在服務(wù)器上首次注冊(cè)時(shí)，系統(tǒng)給用戶分配一個(gè)種子值（seed）和一個(gè)迭代值（iteration），這兩個(gè)值就構(gòu)成了一個(gè)原始口令，同時(shí)在服務(wù)器端還保留有僅用戶自己知道的通行短語(yǔ)。當(dāng)用戶每次向服務(wù)器發(fā)出連接請(qǐng)求時(shí)，服務(wù)器把用戶的原始口令傳給用戶。用戶接到原始口令以后，利用口令生成程序，采用MD4或MD5散列算法，結(jié)合通行短語(yǔ)計(jì)算出本次連接實(shí)際使用的口令，然后再把口令傳回服務(wù)器；服務(wù)器先保存用戶傳來(lái)的口令，然后調(diào)用口令生成器，采用MD