操作系統(tǒng)安全》第十一章安全操作系統(tǒng)應(yīng)用.ppt

第11章 安全操作系統(tǒng)應(yīng)用,第一部分 教學(xué)組織,一、目的要求 1.了解目前安全操作系統(tǒng)以及WWW安全服務(wù)。 2.掌握防火墻系統(tǒng)的安全技術(shù)及保護(hù)機(jī)制。 二、工具器材 1.具有WWW服務(wù)的服務(wù)器。 2.防火墻系統(tǒng)。,第二部分 教學(xué)內(nèi)容,迄今為止，整個(gè)國際上安全操作系統(tǒng)的實(shí)際應(yīng)用并不成功。在實(shí)際應(yīng)用中發(fā)揮作用的操作系統(tǒng)絕大部分不是安全操作系統(tǒng)。有專家認(rèn)為，安全操作系統(tǒng)在商業(yè)和民用領(lǐng)域的不成功，主要是因?yàn)榘踩僮飨到y(tǒng)缺少靈活性和兼容性，降低了系統(tǒng)性能和效率，應(yīng)發(fā)展專用安全操作系統(tǒng)。,當(dāng)前安全操作系統(tǒng)不成功的本質(zhì)原因是安全操作系統(tǒng)存在諸多不完善的地方，如對多安全政策的支持；對動(dòng)態(tài)多安全政策的支持，包括政策切換、權(quán)限撤銷等方面；對環(huán)境適應(yīng)性的支持等。本章主要介紹安全操作系統(tǒng)的兩個(gè)應(yīng)用,即WWW安全和防火墻系統(tǒng)安全。,11.1 操作系統(tǒng)安全與www安全,11.1.1 WWW概述 WWW(World Wide Web)是建立在Internet上的一種網(wǎng)絡(luò)服務(wù)。它遵循HTTP協(xié)議，缺省端口是80。WWW所依存的超文本（Hyper-text）數(shù)據(jù)結(jié)構(gòu)，采用超文本和多媒體技術(shù)，將不同的文件通過關(guān)鍵字進(jìn)行鏈接。 HTTP是一個(gè)屬于應(yīng)用層面向?qū)ο蟮膮f(xié)議，由于其簡捷、快速的方式，適用于分布式超媒體信息系統(tǒng)。一個(gè)完整的HTTP協(xié)議會(huì)話過程包括四個(gè)步驟：連接；請求；應(yīng)答；關(guān)閉連接。,11.1.1 WWW概述,1HTTP協(xié)議的命令 （1）GET命令 請求獲取Request-URI所標(biāo)識(shí)的資源，使用GET命令檢索服務(wù)器上的資源時(shí)需要指定URL，協(xié)議版本號(hào)等信息。此命令相對簡單。 例如:GET /form.html HTTP/1.1,（2）POST 命令 在Request-URI所標(biāo)識(shí)的資源后附加新的數(shù)據(jù)。POST方法要求被請求服務(wù)器接受附在請求后面的數(shù)據(jù)，常用于提交表單。 eg：POST /reg.jsp HTTP/ Accept:image/gif,image/x-xbit,. . HOST: Content-Length:22 Connection:Keep-Alive Cache-Control:no-cache (CRLF) /該CRLF表示消息報(bào)頭已經(jīng)結(jié)束，在此之前為消息報(bào)頭 user=jeffrey&pwd=1234 /此行以下為提交的數(shù)據(jù),（3）HEAD命令 如果我們只對關(guān)于網(wǎng)頁或資源的信息感興趣，而不想檢索資源本身的全部內(nèi)容，可以使用HEAD命令。HEAD的使用方法與GET正好相同，只是它不返回Web頁的正文內(nèi)容。當(dāng)一個(gè)Web頁的內(nèi)容被更新時(shí)，可以使用這個(gè)命令通知你。它也可以使瀏覽器作出有關(guān)是否根據(jù)其大小下載網(wǎng)頁的決定。 HEAD方法與GET方法幾乎是一樣的，對于HEAD請求的回應(yīng)部分來說，它的HTTP頭部中包含的信息與通過GET請求所得到的信息是相同的。利用這個(gè)方法，不必傳輸整個(gè)資源內(nèi)容，就可以得到Request-URI所標(biāo)識(shí)的資源的信息。該方法常用于測試超鏈接的有效性，是否可以訪問，以及最近是否更新。,（4）PUT命令 PUT是另一個(gè)常用的HTTP命令，HTTP協(xié)議文件上傳的標(biāo)準(zhǔn)方法是使用PUT命令。它允許從客戶端到服務(wù)器的簡單文件傳輸，常用于HTML編譯器，如Netscape的Composer和HotDog實(shí)用程序。PUT命令和POST命令的區(qū)別在于兩個(gè)命令的使用方式不同，PUT命令帶有一個(gè)參數(shù)，這個(gè)參數(shù)作為目的URI，類似于POST命令的參數(shù)。但是，PUT命令請求服務(wù)器將數(shù)據(jù)放在URI，而POST命令請求服務(wù)器將數(shù)據(jù)發(fā)給URI。,（5）DELETE命令 Delete方法就是通過http請求刪除指定的URL上的資源，Delete請求一般會(huì)返回3種狀態(tài)碼：200 (OK) - 刪除成功，同時(shí)返回已經(jīng)刪除的資源 ；202 (Accepted) - 刪除請求已經(jīng)接受，但沒有被立即執(zhí)行（資源也許已經(jīng)被轉(zhuǎn)移到了待刪除區(qū)域）；204 (No Content) - 刪除請求已經(jīng)被執(zhí)行，但是沒有返回資源（也許是請求刪除不存在的資源造成的）。Web站點(diǎn)管理應(yīng)用程序常常使用DELETE命令和PUT命令管理服務(wù)器上的文件。,（6）OPTIONS命令 OPTIONS命令請求服務(wù)器描述“命令-URI”指定資源的特點(diǎn)。OPTIONS命令格式類似于其他HTTP命令。eg:OPTIONS / HTTP/1.1 (CRLF),（7）TRACE命令 TRACE命令類似于PING命令，提供路由器到目的地址的每一跳的信息。它通過控制IP報(bào)文的生存期(TTL)字段來實(shí)現(xiàn)。TTL等于1的ICMP回應(yīng)請求報(bào)文將被首先發(fā)送。路徑上的第一個(gè)路由器將會(huì)丟棄該報(bào)文并且發(fā)送回標(biāo)識(shí)錯(cuò)誤消息的報(bào)文。錯(cuò)誤消息通常是ICMP超時(shí)消息，表明報(bào)文順利到達(dá)路徑的下一跳，或者端口不可達(dá)消息，表明報(bào)文已經(jīng)被目的地址接收但是不能向上傳送到IP協(xié)議棧。,2. 目前流行的WWW服務(wù)器 目前流行WWW服務(wù)器的三大主流為Apache Group公司的Apache Web Server服務(wù)器（阿帕奇），簡稱為Apache；基于Windows NT系統(tǒng)的微軟公司的Internet Information Server服務(wù)器，簡稱為IIS；Netscape公司的Netscape Enterprise Server服務(wù)器，簡稱Netscape。,（1）Apache服務(wù)器 Apache服務(wù)器，是一個(gè)開放源碼的Web服務(wù)器平臺(tái)，該服務(wù)器的目的是服務(wù)于一個(gè)廣為流行的現(xiàn)代網(wǎng)絡(luò)平臺(tái)/操作系統(tǒng)，兼容HTTP/1.1協(xié)議，可擴(kuò)展性，支持大多數(shù)操作系統(tǒng)。如Unix， Windows，Linux，Solaris，還有Novell公司的NetWare，F(xiàn)reeBSD上的Mac OS X，微軟Windows，OS/2，NetBSD，BSDI,AIX，SCO，HPUX等系統(tǒng)。,（2）IIS服務(wù)器 IIS可以賦予一部主機(jī)電腦一組以上的IP地址，而且還可以有一個(gè)以上的域名作為Web網(wǎng)站，您可以利用TCP/IP內(nèi)容設(shè)置兩組以上的IP地址給它，除了為網(wǎng)卡再加進(jìn)一組IP地址之外，必須在負(fù)責(zé)這個(gè)點(diǎn)的DNS上為這組IP地址指定另一個(gè)域名，完成這些步驟以后，在Internet Service Manage中就會(huì)出現(xiàn)一個(gè)虛擬Web服務(wù)器，虛擬服務(wù)器（Virtual Server）必須有它自己的主目錄（home directory），對于IIS來說，所有服務(wù)器都是它的虛擬服務(wù)器。,（3）Netscape服務(wù)器 Netscape服務(wù)器支持Java run-time（JDK1.1），能將PDF格式轉(zhuǎn)化成HTMl格式，并且支持LDAP服務(wù)和Oracle，Informix數(shù)據(jù)庫。 Netscape服務(wù)器支持Digital UNIX，AIX，HPUX，Windows NT，IRIX。,11.1.2 安全WebServer概念的提出及相應(yīng)的解決方案,1Apache WEB Server的安全問題及相應(yīng)的解決方案 Apache服務(wù)器是應(yīng)用最為廣泛的Web服務(wù)器軟件之一，服務(wù)器快速、可靠，如果經(jīng)過用戶精心配置之后，就完全能夠令其適應(yīng)高負(fù)荷的互聯(lián)網(wǎng)工作。但是，Apache服務(wù)器的Perl/Python解釋器可被編譯到服務(wù)器中,且完全免費(fèi),源代碼也完全開放,并且基于Web的通信建立在HTTP協(xié)議之上，因此，存在以下幾個(gè)安全問題：,（1) 使用HTTP協(xié)議進(jìn)行的拒絕服務(wù)攻擊(denial of service):攻擊者會(huì)通過某些手段使服務(wù)器拒絕對HTTP應(yīng)答。這樣會(huì)使Apache對系統(tǒng)資源(CPU時(shí)間和內(nèi)存)需求巨增,造成Apache系統(tǒng)變慢甚至完全癱瘓。 （2） 緩沖區(qū)溢出:由于源代碼完全開放,攻擊者就可以利用程序編寫的一些缺陷,使程序偏離正常流程。程序使用靜態(tài)分配的內(nèi)存保存請求數(shù)據(jù),攻擊者就可以發(fā)送一個(gè)超長請求使緩沖區(qū)溢出。,（3） 被攻擊者獲得root權(quán)限:由于Apache服務(wù)器一般以root權(quán)限運(yùn)行,攻擊者通過它獲得root權(quán)限,進(jìn)而控制整個(gè)Apache系統(tǒng)。 （4） 惡意攻擊者進(jìn)行“拒絕服務(wù)”(DoS)攻擊:它主要是存在于Apache的chunk encoding中,這是一個(gè)HTTP協(xié)議定義的用于接受web用戶所提交數(shù)據(jù)的功能。利用黑客程序可以對于運(yùn)行在FreeBSD 4.5, OpenBSD 3.0/3.1, NetBSD 1.5.2平臺(tái)上的Apache服務(wù)器進(jìn)行攻擊。,為了解決以上問題，結(jié)合Apache服務(wù)器的設(shè)置，正確維護(hù)和配置Apache服務(wù)器時(shí)應(yīng)注意以下幾點(diǎn): （1）認(rèn)真設(shè)置Apache服務(wù)器的配置文件。配置文件主要有三個(gè): httpd.con主配置文件;srm.conf填加資源文件;access.conf設(shè)置文件的訪問權(quán)限。,（2） Apache服務(wù)器的日志文件。我們可以使用日志格式指令來控制日志文件的信息。使用LogFormar“%a %1”指令,可以把發(fā)出HTTP請求瀏覽器的IP地址和主機(jī)名記錄到日志文件。出于安全的考慮,在日志中我們應(yīng)知道有多少被驗(yàn)證失敗的WEB用戶,在http.conf文件中加入LogFormat“%401u”指令可以實(shí)現(xiàn)這個(gè)目的。Apache的錯(cuò)誤日志文件對于系統(tǒng)管理員來說是非常重要的,錯(cuò)誤日志文件中包括服務(wù)器的啟動(dòng)、停止以及CGI執(zhí)行失敗等信息。,（3）加強(qiáng)對Apache服務(wù)器目錄的安全認(rèn)證:在Apache Server中是允許使用。htaccess是做目錄安全保護(hù)的,欲讀取這保護(hù)的目錄需要先鍵入正確用戶賬號(hào)與密碼。這樣可做為專門管理網(wǎng)頁存放的目錄或做為會(huì)員區(qū)等。,（4）加強(qiáng)Apache服務(wù)器訪問控制 配置文件中的accessconf文件,包含一些指令控制允許什么用戶訪問Apache目錄。應(yīng)該把deny from all設(shè)為初始化指令,再使用allow from指令打開訪問權(quán)限。,（5）Apache服務(wù)器的密碼保護(hù)問題 使用.htaccess文件把某個(gè)目錄的訪問權(quán)限賦予某個(gè)用戶。系統(tǒng)管理員需要在httpd.conf或者srm.conf文件中使用AccessFileName指令打開目錄的訪問控制。,2安全WebServer概念的提出及相應(yīng)的解決方案,基于Web的通信系統(tǒng)采用客戶/服務(wù)器結(jié)構(gòu):客戶端利用瀏覽器連接至Web服務(wù)器獲取相應(yīng)的信息,在客戶端從Web服務(wù)器取得相應(yīng)的應(yīng)答后兩者就不再存在網(wǎng)絡(luò)的連接,而要等到下次傳送數(shù)據(jù)時(shí),連接才會(huì)再次建立.這種客戶端與服務(wù)器端之間的交互作用方式稱之為查詢-應(yīng)答(Query-Response)模式。只有在雙方建立起連接之后才可以查詢,而在查詢結(jié)束之后,這種連接也要釋放.在基于Web的通信中,瀏覽器和Web服務(wù)器之間采用HTTP協(xié)議進(jìn)行通信.正是由于基于Web通信的這兩點(diǎn)特征,導(dǎo)致了基于Web的通信中存在以下幾個(gè)重要的弱點(diǎn):,（1）由于Web服務(wù)器基于操作系統(tǒng)之上,因此操作系統(tǒng)的安全性直接關(guān)系到WWW系統(tǒng)的安全性,如果沒有操作系統(tǒng)的良好的安全性作為支撐,一切基于它的應(yīng)用服務(wù)的安全性都將大打折扣； （2）由于HTTP協(xié)議沒有提供方法來認(rèn)證正在進(jìn)行的會(huì)話，因此不能判斷是否有不信任的第三方劫持了該會(huì)話；,（3）由于HTTP協(xié)議沒有提供加密機(jī)制,因此不信任的第三方可以在客戶和服務(wù)器之間竊聽用戶之間的通信； （4）由于HTTP是一個(gè)無狀態(tài)協(xié)議,不保存有關(guān)用戶的信息，因此不能證實(shí)用戶的身份,訪問控制也就無法建立；,（5）目前大多數(shù)Web服務(wù)器只提供公共服務(wù),不能夠針對企業(yè)內(nèi)部用戶進(jìn)行粒度更為精細(xì)的訪問控制； （6）大多數(shù)的Web服務(wù)器只提供非常弱的基于用戶ID/口令字的認(rèn)證,并且一旦用戶通過認(rèn)證,則所有的用戶權(quán)限相等,均能夠擁有Web提供的所有服務(wù)。,正是由于基于Web的通信存在著以上弱點(diǎn),因此要建立一個(gè)安全的Web站點(diǎn),必須要考慮到兩點(diǎn)因素： （1）Web服務(wù)器系統(tǒng)所處的操作系統(tǒng)平臺(tái)的安全性； （2）Web服務(wù)器系統(tǒng)本身和網(wǎng)路傳輸?shù)陌踩浴?為此，我們提出一種我們所理解的安全Web服務(wù)器概念： （1）Web服務(wù)器所基于的操作系統(tǒng)平臺(tái)的安全性良好； （2）網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)經(jīng)過加密； （3）對正在進(jìn)行的會(huì)話應(yīng)提供方法來進(jìn)行認(rèn)證； （4）主/客體也應(yīng)按安全級(jí)進(jìn)行分類,即主體應(yīng)擁有與其身份相符的許可證,而客體亦應(yīng)賦以與其敏感性相稱的安全級(jí)標(biāo)簽； （5）不同的主體只能訪問獲得相應(yīng)授權(quán)的客體； （6）攻擊者不能夠通過Web服務(wù)器的漏洞來攻擊操作系統(tǒng)本身。,為達(dá)到以上幾點(diǎn),相應(yīng)的解決方案可以通過以下機(jī)制來實(shí)現(xiàn)： （1）選用最新的操作系統(tǒng)版本,并隨著最新公布的系統(tǒng)Patch隨時(shí)更新操作系統(tǒng)； （2）保證網(wǎng)路上傳輸?shù)臄?shù)據(jù)加密及對正在進(jìn)行的會(huì)話進(jìn)行認(rèn)證,例如將SSL與Web服務(wù)器源代碼無縫連接；,（3）將多級(jí)安全機(jī)制(即BLP模型)應(yīng)用于Web服務(wù)器中,從而實(shí)現(xiàn)主/客體間的訪問控制機(jī)制,保證不同的主體只能訪問獲得相應(yīng)授權(quán)的客體； （4）為保證攻擊者不能夠通過Web服務(wù)器的漏洞來攻擊操作系統(tǒng)平臺(tái),要保證Web服務(wù)器源代碼中盡可能少地存在漏洞,特別應(yīng)該指出的是,針對目前對Web服務(wù)器和操作系統(tǒng)最典型的攻擊方法堆棧溢出攻擊應(yīng)提供良好的解決方案。,11.1.3 基于BLP模型的SecWeb系統(tǒng)描述,1SecWeb系統(tǒng)的操作系統(tǒng)平臺(tái)SecLinux操作系統(tǒng),SecLinux 安全操作系統(tǒng)體系結(jié)構(gòu)如下圖所示,11.1.3 基于BLP模型的SecWeb系統(tǒng)描述,2.SecWeb系統(tǒng)中的自主訪問控制 在網(wǎng)絡(luò)服務(wù)自主訪問控制(NDAC)機(jī)制中,其控制結(jié)構(gòu)如下圖所示.,NACE,MAC Range,Remote Host,3SecWeb系統(tǒng)中的強(qiáng)制訪問控制,4SecWeb系統(tǒng)中對緩沖區(qū)溢出的處理 為解決緩沖區(qū)溢出的問題,SecWeb系統(tǒng)對Web服務(wù)器源代碼中可能造成緩沖區(qū)溢出的庫函數(shù)進(jìn)行了替換，首先截獲這些庫函數(shù)調(diào)用，對之進(jìn)行緩沖區(qū)邊界檢查,對可能造成緩沖區(qū)溢出的調(diào)用進(jìn)行強(qiáng)制退出，防止不適當(dāng)?shù)幕驉阂獾膽?yīng)用程序編程所造成的緩沖區(qū)溢出漏洞被惡意地加以利用。,11.2 操作系統(tǒng)安全與防火墻安全,11.2.1 防火墻介紹 1. 防火墻技術(shù) 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。盡管防火墻有許許多多種形式，有以軟件形式運(yùn)行在普通計(jì)算機(jī)之上的，也有以固件形式設(shè)計(jì)在路由器之中的,但總的來說業(yè)界的分類有三種：包過濾防火墻，應(yīng)用級(jí)網(wǎng)關(guān)和狀態(tài)監(jiān)視器。,（1）包過濾防火墻 在互聯(lián)網(wǎng)絡(luò)這樣的TCP/IP網(wǎng)絡(luò)上，所有往來的信息都被分割成許許多多一定長度的信息包，包中包含發(fā)送者的IP地址和接收者的IP地址信息。當(dāng)這些信息包被送上互聯(lián)網(wǎng)絡(luò)時(shí)，路由器會(huì)讀取接收者的IP并選擇一條合適的物理線路發(fā)送出去，信息包可能經(jīng)由不同的路線抵達(dá)目的地，當(dāng)所有的包抵達(dá)目的地后會(huì)重新組裝還原。包過濾式的防火墻會(huì)檢查所有通過的信息包中的IP地址，并按照系統(tǒng)管理員所給定的過濾規(guī)則進(jìn)行過濾。如果對防火墻設(shè)定某一IP地址的站點(diǎn)為不適宜訪問的話，從這個(gè)地址來的所有信息都會(huì)被防火墻屏蔽掉。,（2）應(yīng)用級(jí)網(wǎng)關(guān) 應(yīng)用級(jí)網(wǎng)關(guān)也就是通常我們提到的代理服務(wù)器。它適用于特定的互聯(lián)網(wǎng)服務(wù)，如超文本傳輸(HTTP)，遠(yuǎn)程文件傳輸(FTP)等等。代理服務(wù)器通常運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對于客戶來說象是一臺(tái)真的服務(wù)器，而對于外界的服務(wù)器來說，它又是一臺(tái)客戶機(jī)。當(dāng)代理服務(wù)器接收到用戶對某站點(diǎn)的訪問請求后會(huì)檢查該請求是否符合規(guī)定，如果規(guī)則允許用戶訪問該站點(diǎn)的話，代理服務(wù)器會(huì)象一個(gè)客戶一樣去那個(gè)站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶。,代理服務(wù)器通常都擁有一個(gè)高速緩存，這個(gè)緩存存儲(chǔ)有用戶經(jīng)常訪問的站點(diǎn)內(nèi)容，在下一個(gè)用戶要訪問同一站點(diǎn)時(shí)，服務(wù)器就不用重復(fù)地獲取相同的內(nèi)容，直接將緩存內(nèi)容發(fā)出即可，既節(jié)約了時(shí)間也節(jié)約了網(wǎng)絡(luò)資源。 代理服務(wù)器會(huì)象一堵墻一樣擋在內(nèi)部用戶和外界之間，從外部只能看到該代理服務(wù)器而無法獲知任何的內(nèi)部資源，諸如用戶的IP地址等。,應(yīng)用級(jí)網(wǎng)關(guān)比單一的包過濾更為可靠，而且會(huì)詳細(xì)地記錄所有的訪問狀態(tài)信息。但是應(yīng)用級(jí)網(wǎng)關(guān)也存在一些不足之處，首先它會(huì)使訪問速度變慢，因?yàn)樗辉试S用戶直接訪問網(wǎng)絡(luò)，而且應(yīng)用級(jí)網(wǎng)關(guān)需要對每一個(gè)特定的互聯(lián)網(wǎng)服務(wù)安裝相應(yīng)的代理服務(wù)軟件，用戶不能使用未被務(wù)器支持的服務(wù)，對每一類服務(wù)要使用特殊的客戶端軟件，更不幸的是，并不是所有的互聯(lián)網(wǎng)應(yīng)用軟件都可以使用代理服務(wù)器。,（3）狀態(tài)監(jiān)測防火墻 這種防火墻具有非常好的安全特性，它使用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊，稱之為監(jiān)測引擎。監(jiān)測引擎在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測，抽取狀態(tài)信息，并動(dòng)態(tài)地保存起來作為以后執(zhí)行安全策略的參考。監(jiān)測引擎支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。,與前兩種防火墻不同，當(dāng)用戶訪問請求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作。一旦某個(gè)訪問違反安全規(guī)定，就會(huì)拒絕該訪問，并報(bào)告有關(guān)狀態(tài)作日志記錄。,2. 防火墻的類型 （1）堡壘主機(jī)或雙穴主機(jī)網(wǎng)關(guān)（Dual Homed Gateway） 堡壘主機(jī)是一種被強(qiáng)化的能防御進(jìn)攻的計(jì)算機(jī)，被暴露于因特網(wǎng)之上，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其他主機(jī)的安全的目的。從堡壘主機(jī)的定義我們能看到，堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)。所以堡壘主機(jī)也必須是自身保護(hù)最完善的主機(jī)。,（2）被屏蔽主機(jī)網(wǎng)關(guān) 屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也最為安全。一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)惟一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。如果受保護(hù)網(wǎng)是一個(gè)虛擬擴(kuò)展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)部網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置。危險(xiǎn)帶限制在堡壘主機(jī)和屏蔽路由器。網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者沒法登錄到它上面，內(nèi)網(wǎng)中的其余主機(jī)就會(huì)受到很大威脅。這與雙穴主機(jī)網(wǎng)關(guān)受攻擊時(shí)的情形差不多。,11.2.2 防火墻涉及的安全技術(shù),防火墻涉及到的技術(shù)有： 1. 通信過程加密 2. 強(qiáng)化操作系統(tǒng) 3. 認(rèn) 證 4. 日志和警報(bào) 另外，包分類、存取控制、入侵檢測和動(dòng)態(tài)技術(shù)等都是提高防火墻性能的關(guān)鍵技術(shù)。,11.2.3 防火墻利用安全操作系統(tǒng)的保護(hù)機(jī)制,利用域間隔離來保護(hù)防火墻中的安全數(shù)據(jù) 利用安全操作系統(tǒng)的特權(quán)管理機(jī)制 利用安全操作系統(tǒng)的審計(jì)機(jī)制進(jìn)行入侵檢測與預(yù)警 利用操作系統(tǒng)的網(wǎng)絡(luò)安全機(jī)制,1利用域間隔離來保護(hù)防火墻中的安全數(shù)據(jù),根據(jù)TCSEC（Trusted Computer System Evaluation Criteria）的規(guī)定，B1以上級(jí)安全操作系統(tǒng)將系統(tǒng)信息劃分三個(gè)區(qū)，即系統(tǒng)管理區(qū)，用戶空間區(qū)，病毒保護(hù)區(qū)。如圖11.9所示，該圖可看作一組系統(tǒng)安全級(jí)和用戶安全級(jí)，它們通過MAC機(jī)制的控制被分隔，從而保持了系統(tǒng)的安全性。其中，“箭頭”表示安全級(jí)支配關(guān)系。,2利用安全操作系統(tǒng)的特權(quán)管理機(jī)制,最小特權(quán)管理的思想是將超級(jí)用戶的特權(quán)劃分為一組細(xì)粒度的特權(quán)，分別授給不同的系統(tǒng)操作員/管理員，使各種系統(tǒng)管理員/操作員只具有完成其任務(wù)所需的特權(quán)，從而滿足最小特權(quán)原理。,我們知道，攻擊防火墻的技術(shù)之一便是修改防火墻的規(guī)則使得防火墻的規(guī)則對其攻擊無效，而要修改規(guī)則，則修改者須有一定的特權(quán)即可。在實(shí)際的安全操作系統(tǒng)設(shè)計(jì)中，普通用戶和特權(quán)用戶的操作在特權(quán)判斷之前是一樣的，但是到了特權(quán)判斷時(shí)普通用戶的操作請求被拒絕。一般情況下，入侵者至少使用不獲得特權(quán)的進(jìn)程來完成特權(quán)操作的嘗試。,在防火墻中，一般處理特權(quán)違反操作有:報(bào)警，審計(jì)，送入侵檢測中心。表11-1就特權(quán)違反處理做詳細(xì)描述。其中，&表示送到入侵檢測中心，*表示報(bào)警。 同時(shí)，根據(jù)防火墻操作系統(tǒng)的特點(diǎn)，將系統(tǒng)的對防火墻的本機(jī)管理的特權(quán)賦予安全管理員。這樣，經(jīng)過權(quán)限分割，系統(tǒng)的安全性大大的提高。我們給該管理員一定的安全級(jí)別，同時(shí)該防火墻的相關(guān)關(guān)鍵數(shù)據(jù)目錄文件也具有該安全級(jí)。,3利用安全操作系統(tǒng)的審計(jì)機(jī)制進(jìn)行入侵檢測與預(yù)警,（1）利用審計(jì)進(jìn)行入侵檢測 入侵檢測技術(shù)的關(guān)鍵是能夠得到足夠多的連接的上下文的內(nèi)容，所以其基礎(chǔ)是連接跟蹤，通過積累足夠多的信息來進(jìn)行專家支持與決策。現(xiàn)在關(guān)于入侵檢測，一般的模式是主機(jī)分布式采樣過濾，中心機(jī)來專家決策和報(bào)警。工程上一般采用的技術(shù)異常探測和模式匹配技術(shù)。在這里，足夠多的數(shù)據(jù)的一部分便是通過操作系統(tǒng)的審計(jì)子系統(tǒng)獲得的。,（2）防火墻操作系統(tǒng)中的審計(jì)數(shù)據(jù) 系統(tǒng)中特權(quán)相關(guān)事件審計(jì)。通常，一個(gè)特權(quán)命令需要使用多個(gè)系統(tǒng)調(diào)用，逐個(gè)審計(jì)所用到的系統(tǒng)調(diào)用，會(huì)使審計(jì)數(shù)據(jù)復(fù)雜而難于理解，審計(jì)員很難判斷出命令的使用情況，因此，雖然系統(tǒng)調(diào)用的審計(jì)已經(jīng)是十分充分的，然而特權(quán)命令的審計(jì)仍然必要。在被審計(jì)的特權(quán)命令的每個(gè)可能的出口處增加一個(gè)新的系統(tǒng)調(diào)用專門用于該命令的審計(jì)。當(dāng)發(fā)生可審計(jì)事件時(shí)，要在審計(jì)點(diǎn)調(diào)用審計(jì)函數(shù)并向?qū)徲?jì)進(jìn)程發(fā)消息。由審計(jì)進(jìn)程完成審計(jì)信息的緩沖、存貯、歸檔工作。,（3）利用審計(jì)進(jìn)行入侵檢測的過程 綜合本地審計(jì)數(shù)據(jù)與防火墻對安全服務(wù)的審計(jì)信息。根據(jù)審計(jì)數(shù)據(jù)的類型，判斷是否交送入侵檢測中心。,4利用操作系統(tǒng)的網(wǎng)絡(luò)安全機(jī)制,（1）利用安全操作系統(tǒng)來防御碎片攻擊 IP碎片指IP FRAGMENT，經(jīng)常被用來作DOS攻擊，典型的例子便是teardrop和jolt2，其原理都是利用發(fā)送異常的分片，如果操作系統(tǒng)的內(nèi)核在處理分片重組時(shí)沒有考慮到所有的異常情況，將可能引向異常的流程，造成拒絕服務(wù)(DOS)。,碎片攻擊不光會(huì)攻擊操作系統(tǒng)，由于許多網(wǎng)絡(luò)工具，如防火墻，入侵檢測系統(tǒng)(功S)也在內(nèi)部作了分片組裝，如果處理不當(dāng)，也同樣會(huì)遭受攻擊，如著名的checkpoint的防火墻FW-1某些版本(最新的已經(jīng)改正了)便同樣會(huì)受到碎片DOS攻擊。碎片也可以用來逃避IDS檢測，許多網(wǎng)絡(luò)入侵檢測系統(tǒng)的機(jī)理是單IP包檢測，沒有處理分片，即使是象ISS這樣的公司也是在最新的5.0版本中才實(shí)現(xiàn)了組裝功能，更不用說snort了，其IP組裝插件經(jīng)常造成系統(tǒng)錯(cuò)誤，因此大多數(shù)人都將此功能關(guān)閉了。,（2）對碎片攻擊的防御 這里主要介紹安全操作系統(tǒng)網(wǎng)絡(luò)的碎片組裝程序，首先對關(guān)鍵數(shù)據(jù)結(jié)構(gòu)描述。 在我們的安全防火墻操作系統(tǒng)中，用四元組(數(shù)據(jù)包的功號(hào)，源IP地址，目的IP地址，協(xié)議號(hào))，表示一個(gè)IP碎片，四個(gè)值都相同的碎片在一個(gè)IPQ鏈中按到達(dá)操作系統(tǒng)的先后次序連接，所有的IP碎片通過哈稀表組織起來。哈稀表的大小為64，哈稀計(jì)算表達(dá)式為：,(id)1)(saddr)(daddr)(prot)&(IPQ_HASHSZ-1) 其中id為數(shù)據(jù)包的ID號(hào)，saddr為源IP地址，daddr為目的IP地址，proto為協(xié)議號(hào)，IPQ_HASHSZ為哈稀表的最大值，在此為64。表示邏輯異或算法。具體的數(shù)據(jù)結(jié)構(gòu)可以表示為如圖11.10。,本章小結(jié),在本章中,我們針對安全操作系統(tǒng)的兩種應(yīng)用,即WWW安全與防火墻系統(tǒng)安全。首先介紹了WWW服務(wù)系統(tǒng)中HTTP協(xié)議中的常用命令，并且對目前流行的WWW服務(wù)器的特性和支持的操作系統(tǒng)作了比較。然后介紹了基于Web通信中存在的弱點(diǎn)，提出了安全Web服務(wù)器的概念，同時(shí)為了將多級(jí)安全機(jī)制整合到Web服務(wù)器中，介紹了一種基于BLP形式化模型的安全Web服務(wù)器系統(tǒng)SecWeb。最后，介紹了防火墻為核心技術(shù)：包過濾防火墻、代理防火墻、狀態(tài)監(jiān)控防火墻；論述了最常用的防火墻的類型即堡壘主機(jī)網(wǎng)關(guān)、雙穴主機(jī)網(wǎng)關(guān)、被屏蔽主機(jī)網(wǎng)關(guān)。重點(diǎn)介紹了防火墻涉及的安全技術(shù)和防火墻利用安全操作系統(tǒng)的保護(hù)機(jī)制。,實(shí)驗(yàn)：配置Linux下的防火墻,【實(shí)驗(yàn)?zāi)康摹客ㄟ^本實(shí)驗(yàn)，掌握在Linux系統(tǒng)平臺(tái)下用ipchains配置防火墻的方法。 【實(shí)驗(yàn)準(zhǔn)備】 1. 網(wǎng)絡(luò)中包括兩個(gè)子網(wǎng)A和B。子網(wǎng)A的網(wǎng)絡(luò)地址為/24，網(wǎng)關(guān)為host A。Host A有兩個(gè)接口，eth0和eth1。Eth0連接子網(wǎng)A，IP地址為。eth1連接外部網(wǎng)絡(luò)，Ip地址為1。子網(wǎng)B的網(wǎng)絡(luò)地址為/24，網(wǎng)關(guān)為host B。Host B有兩個(gè)網(wǎng)絡(luò)接口，eth0和eth1。Eth0連接子網(wǎng)B，IP地址為。eth1連接外部網(wǎng)絡(luò)，Ip地址為01。Host A和Host B構(gòu)成子網(wǎng)C，網(wǎng)絡(luò)地址是/24，通過交換機(jī)連接到Host C，然后通過host C連接Internet。Host C的內(nèi)部網(wǎng)絡(luò)接口為eth0，IP地址為。,實(shí)驗(yàn)：配置Linux下的防