《网络安全实用教程》配套(人民邮电出版)ch8

第8章网络的攻击与防护本章有四小节：8.1防火墙安全8.2黑客的攻击与防范8.3网络扫描与监听8.4入侵检测与入侵防护系统8．1防火墙安全8.1.1防火墙概述1.防火墙的基本概念在网络安全领域，防火墙是设置在不同网络（如可信任的企业内部网和不可信的公共网）之间的一组由软、硬件构成的安全设施，如图8.1所示。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流，从而有效地控制内部网和外部网之间的信息传输。图8.1防火墙基本功能示意图2.防火墙的功能(1)扫描信息，过滤攻击。(2)关闭不需要的端口。(3)禁止特定端口的流出通信。(4)禁止特殊站点的访问。(5)限制特定用户的通信。3.防火墙的不足(1)网络瓶颈。(2)不能防范不经过防火墙的信息攻击。(3)不能防范病毒的传播。(4)不能防范内部人员的攻击。4．防火墙的特征(1)内部网和外部网之间的所有网络数据流都必须经过防火墙(2)只有符合安全策略的数据才能通过防火墙(3)自身具有非常强的抗攻击力8.1.2防火墙技术1.防火墙的体系结构(1)过滤路由器结构过滤路由器结构是指由具有过滤功能的路由器充当防火墙的结构，如图8.2所示。(2)双宿主机结构双宿主机结构防火墙是指担任防火墙功能的是一台双重宿主（双网卡）主机，如图8.3所示。图8.3双宿主机结构防火墙(3)屏蔽子网结构屏蔽子网结构是指在内外部网之间新增加一个子网DMZ（非军事区），如图8.4所示。图8.4屏蔽子网结构防火墙2.防火墙的技术分类(1)包过滤技术包过滤技术是防火墙最为基本和传统的技术。所谓“包过滤”就是过滤数据包，使符合规则的数据包通过而不符合规则的数据包被拒绝或丢弃。包过滤技术防火墙工作在第三层及三层以下。静态包过滤技术是传统的包过滤技术，它是根据流过防火墙的数据包是否符合防火墙所制定的规则来决定是否允许数据包通过，它所制定的规则只检查数据的协议、源和目标IP地址、源和目标端口。动态包过滤技术是静态包过滤技术的发展，它可以动态地根据实际应用请求自动生成和删除包过滤规则，从而解决静态包过滤制定规则难度大的问题。①包过滤技术的优点：实现简单，对设备要求较低。②包过滤技术的缺点：随着规则的增加，规则库变得越来越大。无法防范外部的IP欺骗。(2)应用级网关应用级网关也叫代理服务器，通过网关复制传输数据，防止在受信任的服务器或客户机与不受信任的主机间建立直接的联系。应用级网关防火墙建立在应用层。(3)电路级网关电路级网关防火墙通过检查握手信息来判断是否合法从而判断是否对信息放行。电路级网关又称为线路级网关，工作在会话层。(4)状态检测技术状态检测防火墙，顾名思义就是要检查数据包的状态变化，它在每一层都会对数据包进行检查，集成了以上几种防火墙的特点，安全性得到了很大的提高。3.防火墙的实现分类(1)基于网络主机的防火墙基于网络主机的防火墙是指将网络中的一台主机安装防火墙软件用以保护受信任的网络（企业网）。(2)基于路由器的防火墙基于路由器的防火墙是指利用路由器的过滤功能来实现防火墙的功能。(3)基于单个主机的防火墙基于单个主机的防火墙是指安装在单一主机上的防火墙软件，它只适合保护单一主机的安全。(4)硬件防火墙硬件防火墙是指用一台专门的硬件产品作为防火墙。在这种产品中，防火墙厂家是将防火墙软件固化在硬件芯片里，用硬件方式实现防火墙的功能。8.1.3防火墙应用实例1．Cisco公司的PIX防火墙Cisco公司成立于1984年，是全球互联网解决方案提供商。CiscoPIX（PrivateInterneteXchange）系列防火墙是业界领先的产品之一，具有很好的安全性和可靠性。(1)CiscoPIX的主要特点①嵌入式的操作系统。②高安全性。③高可靠性。④强大的远程管理功能。(2)CiscoPIX的基本应用和配置①PIX防火墙的配置连接使用CONSOLE线连接PIX的CONSOLE接口与PC的串口后，通过PC的“超级终端”来配置PIX的性能。根据实际情况选择与计算机相连的端口，如：COM1，再配置端口属性。在端口属性里，要选择“每秒位数”为“9600”，如图8.5所示。图8.5超级终端端口属性配置②PIX防火墙的配置模式非特权模式。CiscoPIX防火墙开启以后进入的第一个工作模式，默认表示为“Pixfirewall”。在非特权模式下，用户只有很少的查看权限。特权模式。特权模式是CiscoPIX防火墙的第二个工作模式，默认表示为“Pixfirewall#”。在特权模式下，用户可以进行很少的配置和查看。配置模式。配置模式是CiscoPIX防火墙的主要工作模式，大多数的配置命令只有在此模式下才有效，其默认表示为“Pixfirewall(config)#”。③CiscoPIX的一般配置步骤连接好PIX和PC，设置好PC的超级终端，开启PIX。PIX进入非特权模式，显示Pixfirewall。输入命令enable，PIX进入特权模式，显示Pixfirewall#。输入命令configureterminal进入配置模式，显示Pixfirewall(config)#。指定内外部网卡名称及安全级别。配置以太接口数据传输状态(速率、通信方式)。配置内外部网卡和DMZ区的接口IP地址。指定DMZ区和外部地址范围。指定要进行NAT转换的内部地址。设置指向DMZ区和外部网的缺省路由。配置静态IP地址映射。保存配置。2．ISASERVER防火墙ISA(InternetSecurityandAcceleration)SERVER是微软公司所出品的企业级防火墙软件。此款防火墙产品不仅具有安全防护性能，而且还具有网络缓存功能。(1)ISASERVER的主要特点①安全性与网络性能兼顾。②提供多项安全选项。③实现服务器的安全发布。④扩展容易。⑤企业版的高级功能。(2)ISASERVER2004的安装第1步：将光盘放入光驱后，执行ISAAutorun.exe文件，在出现的初始界面中，点击“安装ISASERVER2004”，出现如图8.6所示安装向导界面。图8.6ISASERVER2004安装类型界面第2步：选择“安装类型”。建议不熟悉者选择默认选项，即“典型”。第3步：按要求配置内部网、外部网及DMZ区所对应的网卡及地址范围，如图8.7、图8.8所示。接下来的步骤是向导自动安装的过程，不再赘述。图8.7内部网络地址范围配置图8.8网卡IP配置(3)ISASERVER2004的简单配置注意：ISASERVER2004的默认规则是拒绝任何通信；ISASERVER2004所配置的规则具有独立性和顺序性。第1步：单击“程序”→“MicrosoftISASERVER”→“ISA服务器管理”，右击“防火墙策略”，选择“新建”→“访问规则”，如图8.9所示。图8.9新建访问规则第2步：在出现的图8.10所示的“访问规则”框中输入名称，如“允许内部网访问外部网”，单击“下一步”按钮。图8.10为访问规则命名第3步：为所见规则确定操作方式。在出现的图8.11所示界面中，选择“允许”，单击“下一步”按钮。图8.11ISASERVER规则操作第4步：选择规则所采用的协议。如图8.12所示，在“此规则应用到”项选择“所有出站通讯”，再单击“下一步”按钮。图8.12选择规则所使用的协议第5步：选择规则源。在图8.13所示的“访问规则源”界面中点击“添加”按钮，在出现的“添加网络实体”中选择“网络”→“内部”，点击“下一步”按钮，即完成添加。图8.13选择规则源第6步：选择规则目标。在图8.14所示“访问规则目标”界面中点击“添加”按钮，在“添加网络实体”中选择“网络”→“外部”，点击“下一步”按钮，即完成添加。图8.14选择规则目标第7步：选择规则所适用的用户。在图8.15用户集界面中点击“添加”按钮，选择“所有用户”，单击“下一步”按钮。图8.15选择规则所适用的用户第8步：在确认规则配置无误后，在出现的图8.16界面中点击“完成”按钮。至此，规则建立完成。图8.16新建规则向导信息提示8．2黑客的攻击与防范8.2.1黑客与网络攻击1．黑客攻击的手段和工具黑客常用的攻击手段有获取用户口令、放置木马程序、电子邮件攻击、网络监听、利用账号进行攻击、获取超级用户权限等。黑客攻击系统通常使用的工具有扫描器、嗅探器、木马和炸弹等。2．黑客攻击的过程(1)确定攻击目的。(2)收集信息。(3)系统安全弱点的探测。(4)建立模拟环境，进行模拟攻击。(5)实施网络攻击8.2.2网络攻击的主要类型与防范1．网络攻击的类型(1)拒绝服务型攻击拒绝服务（DoS）攻击是攻击者利用系统漏洞通过各种手段来消耗网络带宽或服务器的系统资源，最终导致被攻击服务器资源耗尽或系统崩溃而无法提供正常的网络服务。具体的DoS攻击方式有SYNFlood(洪泛)攻击、IP碎片攻击、Smurf攻击、死亡之ping攻击、泪滴(teardrop)攻击、UDPFlood(UDP洪泛)攻击和Fraggle攻击等。(2)利用型攻击①猜测口令。②安放木马。③缓冲区溢出。(3)信息收集型攻击信息收集型攻击被用来为进一步入侵系统提供有用的信息。这类攻击主要利用扫描技术和信息服务技术进行，其具体实现方式有地址扫描、端口扫描、反向映射、DNS域转换和Finger服务等。(4)虚假信息型攻击虚假信息型攻击用于攻击目标配置不正确的消息。2．拒绝服务攻击与防范DoS攻击主要是攻击者利用TCP/IP协议本身的漏洞或网络中操作系统漏洞实现的。攻击者通过加载过多的服务将系统资源全部或部分占用，大量耗尽系统资源，使得服务器无法对正常请求进行响应，造成服务器瘫痪。可采用防火墙、入侵检测系统（IDS）和入侵防护系统（IPS）等技术措施防范DoS攻击。具体措施包括：关掉可能产生无限序列的服务，防止洪泛攻击。对系统设定相应的内核参数，使系统强制对超时的SYN请求连接数据包复位，同时通过缩短超时常数和加长等候队列使系统能迅速处理无效的SYN请求数据包。在路由器上做些诸如限制SYN半开数据包流量和个数配置的调整。在路由器的前端做必要的TCP拦截，使得只有完成TCP三次握手过程的数据包才可进入该网段。3．分布式拒绝服务攻击与防范(1)DDoS攻击的过程DDoS攻击是在传统的DoS攻击基础之上产生的一种攻击方式。它利用更多的被控制机发起进攻，以更大的规模进攻受害者。(2)DDoS攻击的防范在主机上可使用扫描工具检测系统的脆弱性、采用网络入侵检测系统和嗅探器、及时更新系统补丁等措施防范DDoS攻击。在防火墙上采取禁止对主机的非开放服务的访问、限制同时打开的SYN最大连接数、限制特定IP地址的访问、限制开放服务器的对外访问等设置；在路由器上采取检查每一个经过路由器的数据包、设置SYN数据包流量速率、在边界路由器上部署策略、使用CAR(ControlAccessRate)限制ICMP数据包流量速率等设置防范DDoS攻击。4．缓冲区溢出攻击与防范(1)缓冲区溢出攻击缓冲区是用户为程序运行而在计算机中申请的一段连续的内存，它保存给定类型的数据。缓冲区溢出是指通过向缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令的攻击。(2)缓冲区溢出攻击的防范①编写正确的代码。②非执行缓冲区保护。③数组边界检查。④程序指针完整性检查。8.2.3密码保护技巧1．密码的设置一般情况下，密码长度应不少于6位，密码中最好包含大小写字符、数字、标点符号、控制字符和空格等，且最好这些符号交叉混合排序。2．密码的管理要有严格的密码管理观念，要定期更换密码，不要保存密码在本地等。3．使用动态密码动态密码（DynamicPassword）也称一次性密码，它是指用户的密码按照时间或使用次数不断地动态变化，每个密码只使用一次。4．使用生物特征密码生物特征识别技术是指利用人体所固有的生理特征或行为特征来进行个人