第五讲防火墙与可信任系统2资料.pptVIP

* 参数配置A：对发入内网邮件服务器的包放行（端口25是简单邮件传输协议SMTP服务器的端口号），但只针对一台网关主机。然而，对来自外网的主机的访问是阻止的，因为此主机有利用电子邮件发送海量文件攻击的历史记录，即它是黑名单成员。 参数配置B：这是默认的初始策略的明确表述，初始状态是将所有的进出包阻断。 参数配置C：此设置规定了任何内部网络的主机都可以向外部电子邮件服务器发送电子邮件。一个具有信宿端口号为25的TCP包可以被转发给外网的SMTP邮件服务器。此设置存在的问题是：公认端口号25一般就表示此包是发给SMTP邮件服务器的，但是外网的主机也可以将非邮件服务器的应用端口配置为25。如果防火墙使用了这样的设置，一个外网的攻击者能够将一个TCP包的信源端口号设为25，伪装成是外部SMTP邮件服务器发给内网主机的响应，从而欺骗防火墙，进入到内网的主机。 * 参数配置D：此规则设置可以实现在上述C项设置中所不能实现的目标。此设置利用了建立TCP连接的三次握手的一个属性：一旦内网的主机与外网的主机建立了TCP连接，外网主机将会向内网主机发回一个TCP的控制字段为ACK的确认包。因此，此规则说明它将允许信源IP地址是内部主机之一，而信宿端口号为25的IP包从防火墙出去。它也允许一个信源端口号为25，并在TCP控制字段中包含ACK确认标识的IP包从外网进入内网。注意在此规则中明确地指定了信源和信宿的系统，从而提高了防欺骗的能力。 参数配置E：此设置是处理文件传输协议FTP连接的一种方法。在FTP中使用了两个TCP的连接：一个控制连接用于建立文件传输的进程，另一个数据连接用于传输文件数据。数据连接使用一个不同的端口号，它是为本次传输动态指定的。大部分服务器（即大部分攻击目标）使用的是低端口号（小于1023），大部分向外网发出的请求使用高端口号（大于1023）。因此本设置将放行如下数据包： 1）从内网发出的包； 2）外网对内网主机发出的连接请求返回的响应包； 3）发向内网主机的高端口号的包。 此方案要求只有正确地使用端口号才能配置好系统。配置E表明了在包过滤层次上判断应用层包是否该放行较困难。处理FTP等类应用业务的另外方法是使用应用层的网关。 * 1）堡垒主机的硬件平台上安装的是它的操作系统的一个安全版本，使它成为一个受信任系统。 2）堡垒主机上只安装网络管理员认为是最基本的服务。其中包括TELNET、DNS、FTP、SMTP之类的代理服务，以及用户认证等。 3）堡垒主机在允许一个用户访问代理服务之前，可以要求进行额外的认证。另外，每个代理服务在允许用户访问之前，也可以要求它自己的认证。 4）每个代理服务被设置了只支持标准应用指令集中的一个子集。 5）每个代理服务被配置了只允许访问特定的主机系统。这意味着，有限的指令/特性集只能用于受保护网络的一个子系统。 6）每个代理服务对所有的数据流、每个连接、以及每个连接的持续时间进行详细的日志记录，保存详细的审计信息。审计日志对于发现和确认入侵攻击是一个重要的工具。 7）每个代理服务模块是一个很小的软件包，特别设计了用于网络安全。因为它相对较简单，检测它的安全缺陷也较容易。例如，一个典型的UNIX邮件应用软件可能包含20,000多条代码，而一个邮件代理服务软件的代码仅1000条多一点。 8）在堡垒主机中每个代理服务是独立于其他代理服务的。如果任何代理服务的操作有问题，或者发现了一个潜在的脆弱性，可以将此代理服务卸载，而不会影响到其他代理服务的运行。同样地，如果有些用户要求支持新的代理服务，网络管理员也能够容易地将所要求的代理服务安装在堡垒主机上。 9）一个代理服务通常不进行磁盘访问，不去读它的初始配置文件。这就使得入侵者很难在堡垒主机上安装特洛伊木马、嗅探器或其他危险的文件。 10）每个代理服务作为在堡垒主机中的安全的目录中的一个无特权的用户运行。 * 这种配置比单一的包过滤路由器或应用层网关具有更高的安全性，其原因有二： 首先，这种配置同时执行IP层和应用层的过滤，在定义安全策略方面允许有相当的灵活性； 其二，一个入侵者要对内网的安全造成损坏之前，他必须穿透两个独立的系统。 这种配置也提供直接访问互联网的灵活性。例如，内网中也可以包含一个公共信息服务器，如Web服务器，对于这种公共服务系统并不要求高级别的安全性。在这种情况下，路由器可以配置了允许从互联网到信息服务器的数据流直接通过。 第五讲 防火墙与可信任系统 防火墙（Firewall） 防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。 接入控制策略是由使用防火墙的单位自行定制的 防火墙内的网络称“可信任的网络”（Trusted network），而将外部因特网称“不可信赖的网络”（Untr