參考案例講稿ns

1、主要內(nèi)概結(jié)主要內(nèi)概結(jié)設(shè)計(jì)、發(fā)展趨勢(shì)與動(dòng)典產(chǎn)攻防概2概網(wǎng)的3概網(wǎng)的3了第一道安全防線，正受到越來(lái)越多用戶的關(guān)注在4了第一道安全防線，正受到越來(lái)越多用戶的關(guān)注在4Windows自從WindoswXPsp2開(kāi)始，系統(tǒng)自帶防火Windows自從WindoswXPsp2開(kāi)始，系統(tǒng)自帶防火。5Windows自默認(rèn)不允許ICMP命打開(kāi)，切換到“高級(jí)”Windows自默認(rèn)不允許ICMP命打開(kāi)，切換到“高級(jí)”ICMP選項(xiàng)框中的設(shè)置，勾選“傳入的回顯請(qǐng)求”67788的定施網(wǎng)9的定施網(wǎng)9網(wǎng)網(wǎng)第一第二、三的發(fā)展簡(jiǎn)濾（Packetfilter）的DavePresotto第一第二、三的發(fā)展簡(jiǎn)濾（Packetfilter）

2、的DavePresottoHowardTrickey層層（第4、5(3)1992年，USC信的Bob Braden開(kāi)發(fā)出濾（Dynamicpacket第4、5(3)1992年，USC信的Bob Braden開(kāi)發(fā)出濾（Dynamicpacketfilter）技術(shù)，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視術(shù)。1994年，以色列的公司開(kāi)發(fā)出第一個(gè)基于這種技術(shù)的商業(yè)化的產(chǎn)品(4) 1998年，NAI公司推出了一種自適（Adaptive proxy）技術(shù)，并在其產(chǎn)品FirewallforNT中得以實(shí)現(xiàn)，類型賦予了全新的意義，可以稱之為第五的功是的功是的功能(1) (2 net(3)的功能(1) (2 net(3)的

3、的功能檢測(cè)和告(5網(wǎng)的功能檢測(cè)和告(5網(wǎng)根據(jù)網(wǎng)絡(luò)開(kāi)放系統(tǒng)。2.1 雙重宿2.1 雙重宿主主機(jī)體系結(jié)雙重宿主主機(jī)體系結(jié)雙重宿主主機(jī)體系結(jié)器；它能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包IP數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)（例如，因特網(wǎng)）并不是直接送到其它網(wǎng)絡(luò)（例如的、被保護(hù)的網(wǎng)絡(luò)）。火的系統(tǒng)能與雙重宿主主機(jī)通信，同雙重宿主主機(jī)體系結(jié)構(gòu)是相當(dāng)簡(jiǎn)單的：雙主機(jī)體系結(jié)內(nèi)網(wǎng)的主機(jī)體系結(jié)內(nèi)網(wǎng)的問(wèn)基本上通過(guò)壘主機(jī)進(jìn)過(guò)濾路由器供主要安主機(jī)體系結(jié)網(wǎng)主機(jī)體系結(jié)網(wǎng)子網(wǎng)體系結(jié)子網(wǎng)體系結(jié)周邊網(wǎng)絡(luò)造成的影子網(wǎng)體系結(jié)主機(jī)網(wǎng)子網(wǎng)體系結(jié)主機(jī)網(wǎng)與開(kāi)通過(guò)用周邊網(wǎng)堡壘主機(jī)，能減少堡壘主機(jī)被侵造成的影響?？梢哉f(shuō)，它只者一的會(huì)，但不是全部子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)

4、單的形為，兩路由器，每一個(gè)都連接到周邊網(wǎng)。一位于周邊網(wǎng)與被保護(hù)網(wǎng)絡(luò)之間，另一個(gè)位于ernet）邊網(wǎng)與外部網(wǎng)絡(luò)之間（通常為了侵入用這種類型的體系結(jié)構(gòu)保護(hù)網(wǎng)絡(luò)，襲者必須要通過(guò)兩個(gè)路由器。即使侵襲者設(shè)法侵入壘主機(jī)，他將仍然必須通路由器。作者，只是進(jìn)行了一。體系結(jié)構(gòu)的組合形（1）使用多堡壘主機(jī)（體系結(jié)構(gòu)的組合形（1）使用多堡壘主機(jī)（2）合（3）合并堡壘主機(jī)與外部路由器（4）合并堡壘主機(jī)（5）使用多（8）濾濾濾且濾。濾濾濾且濾。濾（PacketFiltering）sControl TableACL）濾濾（PacketFiltering）sControl TableACL）濾濾濾器（Packet Filt

5、er）的存在，除非他是被PacketFilterPacketFilter無(wú)法有效地區(qū)分同一IP濾濾器（Packet Filter）的存在，除非他是被PacketFilterPacketFilter無(wú)法有效地區(qū)分同一IP濾模一般有一個(gè)包檢查模塊，可以根據(jù)濾據(jù)包頭中的各項(xiàng)信息來(lái)控制站點(diǎn)與站點(diǎn)、站點(diǎn)與網(wǎng)絡(luò)網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的相，但不能控制傳輸?shù)臄?shù)內(nèi)容，因?yàn)閮?nèi)容是應(yīng)用層數(shù)據(jù)包檢查模塊應(yīng)該深入到濾模一般有一個(gè)包檢查模塊，可以根據(jù)濾據(jù)包頭中的各項(xiàng)信息來(lái)控制站點(diǎn)與站點(diǎn)、站點(diǎn)與網(wǎng)絡(luò)網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的相，但不能控制傳輸?shù)臄?shù)內(nèi)容，因?yàn)閮?nèi)容是應(yīng)用層數(shù)據(jù)包檢查模塊應(yīng)該深入到操作系統(tǒng)，在操作系或路由器轉(zhuǎn)發(fā)包之所有的數(shù)據(jù)包。濾

6、安裝在網(wǎng)關(guān)上之后濾檢查模塊深入到濾位層濾的工作過(guò)濾的工作過(guò)。是過(guò)濾規(guī)則是否允許傳輸否是過(guò)濾規(guī)則是否阻塞傳輸否是是是過(guò)濾規(guī)則是否允許傳輸否是過(guò)濾規(guī)則是否阻塞傳輸否是是否最后一條過(guò)濾規(guī)則阻塞允許傳否應(yīng)用下一條過(guò)濾規(guī)分析報(bào)頭字段：IP、TDP和TCP濾規(guī)濾路由器的配濾路由器的配）濾的缺(1) 不能徹底防止地被或?yàn)V的缺(1) 不能徹底防止地被或(2制(2制(3(3(4濾Betheley的“r”命令（rcprshNFSNISIYS(4濾Betheley的“r”命令（rcprshNFSNISIYS協(xié)議的RPC濾(5濾(5濾4.應(yīng)（Proxy）分為應(yīng)用層網(wǎng)關(guān)和電路網(wǎng)關(guān)的原服務(wù)器，是指代表客戶處理連接請(qǐng)求的程

7、序。 4.應(yīng)（Proxy）分為應(yīng)用層網(wǎng)關(guān)和電路網(wǎng)關(guān)的原服務(wù)器，是指代表客戶處理連接請(qǐng)求的程序。 。應(yīng)工作于應(yīng)用層，且針對(duì)特定應(yīng)應(yīng)工作于應(yīng)用層，且針對(duì)特定應(yīng)用層協(xié)議用協(xié)議層間提能在用戶層和控制，還可用來(lái)保一個(gè)所有應(yīng)用程序使用。和控制所有進(jìn)出流量的能力是應(yīng)用網(wǎng)關(guān)的主要優(yōu)點(diǎn)之一的工作原理如圖9所示圖的工作方網(wǎng)客戶機(jī)C圖的工作方網(wǎng)客戶機(jī)C4.2應(yīng)用層網(wǎng)關(guān)(1應(yīng)用層網(wǎng)關(guān)（ApplicationLevelGateways）型在4.2應(yīng)用層網(wǎng)關(guān)(1應(yīng)用層網(wǎng)關(guān)（ApplicationLevelGateways）型在應(yīng)用層網(wǎng)關(guān)當(dāng)某用戶（應(yīng)用層網(wǎng)關(guān)當(dāng)某用戶（。如果此連接請(qǐng)求符合預(yù)定的安全策略或規(guī)則，應(yīng)用層網(wǎng)關(guān)應(yīng)用

8、層網(wǎng)關(guān)圖網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口應(yīng)用應(yīng)用應(yīng)用傳輸傳輸傳輸因特網(wǎng)因特網(wǎng)因特網(wǎng)圖網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口應(yīng)用應(yīng)用應(yīng)用傳輸傳輸傳輸因特網(wǎng)因特網(wǎng)因特網(wǎng)(2)優(yōu)最突出的優(yōu)點(diǎn)就是安全，這被。和(2)優(yōu)最突出的優(yōu)點(diǎn)就是安全，這被。和從從(3)缺入(3)缺入來(lái)是4.3電路層網(wǎng)另一種類型技術(shù)稱4.3電路層網(wǎng)另一種類型技術(shù)稱為電路層網(wǎng)（Circuit Level Gateway）或TCP通（TCP Tunnels）這不建立被保護(hù)網(wǎng)和外網(wǎng)直接連接，而是通過(guò)電路層網(wǎng)關(guān)中TCP連接11電路層網(wǎng)電路層網(wǎng)網(wǎng)絡(luò)接服務(wù)客戶11電路層網(wǎng)電路層網(wǎng)網(wǎng)絡(luò)接服務(wù)客戶自適。服務(wù)器（AdaptiveProxyServer）濾器（Dynami

9、cPacketFilter）與自適。服務(wù)器（AdaptiveProxyServer）濾器（DynamicPacketFilter）與自適濾自適濾圖電路層網(wǎng)圖電路層網(wǎng)技術(shù)的優(yōu)因技術(shù)的優(yōu)因技術(shù)的優(yōu)點(diǎn)技術(shù)的優(yōu)點(diǎn)加路由器只是簡(jiǎn)單察看TCP/IP報(bào)頭，檢查特定的幾個(gè)域，不作詳細(xì)分析技術(shù)的缺（如HTTP）（路由器只是簡(jiǎn)單察看TCP/IP報(bào)頭，檢查特定的幾個(gè)域，不作詳細(xì)分析技術(shù)的缺（如HTTP）（應(yīng)），(3)技術(shù)的缺點(diǎn)，些技術(shù)的缺點(diǎn)，些設(shè)設(shè)設(shè)設(shè)設(shè) SPI TDI過(guò)濾驅(qū)動(dòng)程序，設(shè) SPI TDI過(guò)濾驅(qū)動(dòng)程序，NDIS設(shè)Linuxkernel設(shè)Linuxkernel集成有過(guò)濾系大多數(shù)linux下統(tǒng)之上開(kāi)發(fā)設(shè)都是

10、在這些過(guò)濾發(fā)展動(dòng)態(tài)和趨。例如不能防范不經(jīng)的。發(fā)展動(dòng)態(tài)和趨。例如不能防范不經(jīng)的。目前還不能防了的或。件的傳輸。這只能在每臺(tái)主機(jī)上裝。當(dāng)有些表不能防止數(shù)據(jù)驅(qū)動(dòng)到還存。當(dāng)有些表不能防止數(shù)據(jù)驅(qū)動(dòng)到還存在著安裝、管理、配置復(fù)，發(fā)展趨型發(fā)展趨型(2) 可擴(kuò)展的結(jié)構(gòu)和功系統(tǒng)而言，它的規(guī)模和功能應(yīng)該能網(wǎng)絡(luò)的規(guī)模和安全策略的變化。選擇哪(2) 可擴(kuò)展的結(jié)構(gòu)和功系統(tǒng)而言，它的規(guī)模和功能應(yīng)該能網(wǎng)絡(luò)的規(guī)模和安全策略的變化。選擇哪，應(yīng)服務(wù)，例如，如果用戶需要型濾(3) 簡(jiǎn)化的安裝與管網(wǎng)的安全性。因此面市場(chǎng)的發(fā)展證明了這種趨勢(shì)。Windows 于基于Unix，但DNS(3) 簡(jiǎn)化的安裝與管網(wǎng)的安全性。因此面市場(chǎng)的發(fā)展證明

11、了這種趨勢(shì)。Windows 于基于Unix，但DNS(4)主動(dòng)過(guò)開(kāi)發(fā)商通過(guò)建立功能更強(qiáng)大的過(guò)還在它們的。(4)主動(dòng)過(guò)開(kāi)發(fā)商通過(guò)建立功能更強(qiáng)大的過(guò)還在它們的。(5)與TCPIP和“SYN泛濫”這類更復(fù)雜(5)與TCPIP和“SYN泛濫”這類更復(fù)雜(6)發(fā)展聯(lián)動(dòng)技，將(6)發(fā)展聯(lián)動(dòng)技，將發(fā)展趨勢(shì)總此發(fā)展趨勢(shì)總此如Web頁(yè)6典介。6典介。Secure/WAN（S/WAN）標(biāo)RSA數(shù)據(jù)安全公司與一Microsystems公司、操作性，從而解決了建立虛擬網(wǎng)）。中采用的信息加密技術(shù)一致性（即加密算法）Secure/WAN（S/WAN）標(biāo)RSA數(shù)據(jù)安全公司與一Microsystems公司、操作性，從而解決了

12、建立虛擬網(wǎng)）。中采用的信息加密技術(shù)一致性（即加密算法）FWPD(FirewallProduct制訂測(cè)試標(biāo)ComputerSecurity開(kāi)發(fā)商FWPDFWPD(FirewallProduct制訂測(cè)試標(biāo)ComputerSecurity開(kāi)發(fā)商FWPD（FirewallProductDeveloper）基于上述標(biāo)準(zhǔn)目前已經(jīng)有大量產(chǎn)產(chǎn)6.1FireWallFireWall-公Firewall-1和帶寬管理解決方FloodGate-1。其全資子公司MetaInfoIP6.1FireWallFireWall-公Firewall-1和帶寬管理解決方FloodGate-1。其全資子公司MetaInfoIP狀態(tài)

13、監(jiān)測(cè)技利用公司創(chuàng)新的狀態(tài)監(jiān)測(cè)狀態(tài)監(jiān)測(cè)技利用公司創(chuàng)新的狀態(tài)監(jiān)測(cè)信息專利的OPSEC（Open Platform for rise Connectivity）技術(shù)為各廠Secure專利的OPSEC（Open Platform for rise Connectivity）技術(shù)為各廠SecureEnt安全產(chǎn)品的整合提供了方的接口FireWall-1可以有效地集成的安全產(chǎn)品，為企提供、的面、靈活的管，因而覆蓋方方面面。甚至可以通過(guò)FireWall-1管理CiscoBay、Xylan等網(wǎng)絡(luò)設(shè)備供應(yīng)商的不同產(chǎn)品FireWall-1（1）企業(yè)集中管理下的分布式客戶機(jī)/服FireWall-1（1）企業(yè)集中管理下

14、的分布式客戶機(jī)/服務(wù)器結(jié)FireWall-1采用集中控制下的分布式客戶機(jī)服務(wù)器結(jié)構(gòu)，能好，配置靈活。網(wǎng)絡(luò)可以設(shè)置多個(gè)Firewall-模塊，的安全策略一個(gè)GUI工作站負(fù)責(zé)管，以實(shí)現(xiàn)企管理工作站和各模塊之間的數(shù)據(jù)通信采用加密傳輸，成安全的通信通道。所有的安全策略規(guī)則都是通過(guò)象的圖形用戶界面（GUI）定義，可以定義的對(duì)象類包括：機(jī)、網(wǎng)段、其他網(wǎng)絡(luò)設(shè)備、用戶、服務(wù)、資源、時(shí)間、加密鑰等。Firewall-1還提供了圖形化的日志、計(jì)賬功能FireWall-1Firewall-1支持預(yù)定義的網(wǎng)絡(luò)通信協(xié)議多達(dá)120多種FireWall-1Firewall-1支持預(yù)定義的網(wǎng)絡(luò)通信協(xié)議多達(dá)120多種，包ern

15、et的主要服務(wù)（如HTTP協(xié)議），Oracle SQL*Net、Real VDOLive和MS NetMeeting功能強(qiáng)大的編程語(yǔ)言）FireWall-1（3）增強(qiáng)的加密 Firewall-1的用戶認(rèn)FireWall-1（3）增強(qiáng)的加密 Firewall-1的用戶認(rèn)證功 Firewall-1的加密模塊可以使您ernet上建立數(shù)據(jù)全的信道。 Firewall-1的加密模塊可以使您ernet上建立數(shù)據(jù)全的信道。在公共傳Firewall-1可以確保靈活性，而費(fèi)用要比租工作站通信的安全性線路少得多?？蛇x的加密方案有FWZ、ManualIPSec和Skip，加密 Firewall-1的SecuRemo

16、te客戶加提供個(gè)用戶的加密通信。這一過(guò)程對(duì)用戶來(lái)說(shuō)全透明。對(duì)網(wǎng)絡(luò)進(jìn)的移動(dòng)用戶用是適用 存取控制等。內(nèi)容安全的新功能緊密集成在Firewall- Firewall-1的防地址轉(zhuǎn)換（NAT）Cisco的路由器提供集中管理系統(tǒng)管理員的傳呼設(shè)備）利用 FireWall-1支持SunSolaris、Windows系統(tǒng)管理員的傳呼設(shè)備）利用 FireWall-1支持SunSolaris、WindowsNT 有關(guān)的文章可在以找到 HYPERLINK http:/w/ 6.2CiscoSystemsCisco，6.2CiscoSystemsCisco，Cisco技術(shù)集成到路由器中是Cisco網(wǎng)將技術(shù)集成到路由

17、器中是Cisco網(wǎng)將安全產(chǎn)品的一大特色Cisco在路由器市場(chǎng)的占有率達(dá)到80，路由器的IOS中集技術(shù)是其他廠無(wú)可比擬的，這樣做的好處是用戶無(wú)須外購(gòu)，可降低網(wǎng)絡(luò)建設(shè)的總成本的產(chǎn)品特的“”的產(chǎn)品特的“”技250000URL過(guò)HPOpenView6.3國(guó)產(chǎn)天融信“網(wǎng)絡(luò)衛(wèi)士產(chǎn)、6.3國(guó)產(chǎn)天融信“網(wǎng)絡(luò)衛(wèi)士產(chǎn)、認(rèn)控認(rèn)控?？?。控“網(wǎng)絡(luò)衛(wèi)士”系產(chǎn)品特、發(fā)，整個(gè)系統(tǒng)小于2M，最大程度地確保了系統(tǒng)自身的安“網(wǎng)絡(luò)衛(wèi)士”系產(chǎn)品特、發(fā)，整個(gè)系統(tǒng)小于2M，最大程度地確保了系統(tǒng)自身的安全性和高性能平均無(wú)故障時(shí)間40000小時(shí)。支持雙電源、雙系統(tǒng)和雙機(jī)備份功能；支持SNMP模塊化結(jié)構(gòu)，多接口設(shè)計(jì)，可以支持12個(gè)接口模塊，支持

18、TOPSEC、IDS攻防概自開(kāi)始部署以來(lái)，已保護(hù)無(wú)數(shù)的攻防概自開(kāi)始部署以來(lái)，已保護(hù)無(wú)數(shù)的它們還遠(yuǎn)遠(yuǎn)不是確的市場(chǎng)上每產(chǎn)品幾乎每年都有安脆弱點(diǎn)被發(fā)現(xiàn)。更糟糕的是，大多數(shù)防墻往往配置不當(dāng)且無(wú)和監(jiān)視如果不犯錯(cuò)誤，從設(shè)計(jì)到配置再都做如果不犯錯(cuò)誤，從設(shè)計(jì)到配置再都做得很好事實(shí)上大多數(shù)差不多是不可滲透的者知道這一點(diǎn)，因通過(guò)發(fā)掘信任關(guān)系和最薄弱環(huán)節(jié)上的安脆弱點(diǎn)來(lái)繞，或者經(jīng)由撥號(hào)賬。實(shí)來(lái)根本避7.1獲標(biāo)幾乎每都會(huì)有其獨(dú)特的電子特征7.1獲標(biāo)幾乎每都會(huì)有其獨(dú)特的電子特征也就是說(shuō)。憑借端口掃描、firewalk工具旗標(biāo)攫取等技巧者能夠有效地確的類型、版這種標(biāo)識(shí)之所以重要，是因?yàn)橐坏?biāo)識(shí)目標(biāo)網(wǎng)絡(luò)，者就能確定它的脆弱點(diǎn)

19、所在，從而嘗它們(1)直接掃標(biāo)識(shí)自己(1)直接掃標(biāo)識(shí)自己的Proxy Server則通常在1080和上，1745號(hào)TCP端口。掌握這一點(diǎn)后，使用像 nmapnvvp0p256,1080,1745 墻前面的路由器上阻塞這些端口。例如使用以下路由器ACL規(guī)則顯式地阻s-list101denytcpanyanyeq256log!Fcirevwall-1 墻前面的路由器上阻塞這些端口。例如使用以下路由器ACL規(guī)則顯式地阻s-list101denytcpanyanyeq256log!Fcirevwall-1 s-list101denytcpanyanyeq257log!Fcirevwall-1 s-li

20、st101denytcpanyanyeq258log!Fcirevwall-1 s-list101denytcpanyanyeq1080log!Sockss-list101denytcpanyanyeq1745log!Winsock當(dāng)然，如果在邊界路由器上阻塞了（256258），將不能通過(guò)外部網(wǎng)絡(luò)（例如因理。(2)路徑C:tracertTracing route (2)路徑C:tracertTracing route overumof30 12345610 10 10ms 20 20 10 10 10 20 20 10 ncvn29（UN KNOWN）C：ncvn29（UN KNOWN）29 EagleSecureGateway （1）輸入（可以（3）如果認(rèn)證通過(guò)，你就擁有了的本權(quán)，這時(shí)運(yùn)用一個(gè)本地的緩沖區(qū)溢出（如rdist）或類似發(fā)掘獲取權(quán)的的(2) 未加認(rèn)證的外的 (2) 未加認(rèn)證的外的 （1）選擇菜單“工