网络操作系统漏洞分析及安全策略的研究设计书样本.doc

《网络操作系统漏洞分析及安全策略的研究设计书样本.doc》由会员分享，可在线阅读，更多相关《网络操作系统漏洞分析及安全策略的研究设计书样本.doc（56页珍藏版）》请在咨信网上搜索。

目 录 绪论 ………………………………………………………………3 第一章 网络安全问题及其现实意义 …………………………5 一、 引言 …………………………………………………5 二、 网络安全历史回顾 …………………………………5 三、 网络安全技术现状 …………………………………7 四、 网络安全方略 ………………………………………9 （一） 站点安全方略 ………………………………………9 （二） 安全方略方案 ………………………………………10 第二章 构筑Internet防火墙 …………………………………11 一、 防火墙概念及其重要作用 ………………………11 （一） 防火墙概念 ………………………………………11 （二） 防火墙能实现那些功能 ……………………………12 二、 防火墙模型 ………………………………………14 三、 防火墙基本安全方略 ……………………………15 四、 防火墙核心技术及发展 ……………………………17 （一） 数据包过滤技术 ……………………………………17 （二） 代理技术 ……………………………………………21 （三） 防火墙技术发展趋势 ………………………………26 第三章 WindowsNT Server系统概述及技术漏洞分析 …………28 一、 WindowsNT Server系统综述 …………………………28 二、 WindowsNT Server系统安全性 ………………………30 （一） WindowsNT中辨认和验证 …………………………30 （二） WindowsNT中访问控制 ……………………………31 三、 WindowsNT 系统技术漏洞及解决办法 ………………31 第四章 先进防火墙系统实例 …………………………………41 一、 东大阿尔派网眼防火墙系统产品概述 ……………41 二、 网眼防火墙系统基本功能和系统特性 ……………41 （一） 网眼防火墙系统基本功能 ………………………41 （二） 网眼防火墙系统特性 ……………………………43 第五章 关于校园网安全方略研究 …………………………44 一、 我校校园网概况 ……………………………………44 （一） 校园网建设背景 ……………………………………44 （二） 网络方案技术特点 …………………………………44 （三） 校园网建设现状 ……………………………………46 二、 校园网安全状况分析 ………………………………46 三、 校园网络安全解决方案 ……………………………47 结束语 ……………………………………………………………53 道谢 ………………………………………………………………55 参照文献 …………………………………………………………56 附录A 附录B 绪 论 随着Internet在世界范畴内普及和发展，政府机构、企事业单位、教诲科研等各行各业人们正努力通过Internet来提高工作效率和市场反映速度，以便更具竞争力。作为全球使用范畴最广信息网，Internet自身合同开放性极大以便了各种计算机入网，拓宽了资源共享。与此同步，人们也正逐渐结识到与因特网相伴而来巨大风险来自世界各地形形色色侵袭者随时有也许对你站点发动袭击，破坏你站点安全，窃取你重要资源，修改、破坏系统数据……计算机安全性从来都是人们讨论重要话题之一，而计算机安全重要研究是计算机病毒防治和系统安全。在计算机网络日益发展普及今天，计算机安全规定更高，涉及面更广。不但规定防治病毒，还要提高系统抵抗外来非法黑客入侵能力，更要提高对远程数据传播保密性，避免在传播途中遭受非法窃取。 构筑 Internet防火墙保护内部系统与网络即是一种行之有效网络安全手段。它经常被安装在受保护内部网络进而连接到因特网上，防止因特网危险传播到你内部网络。形象说，因特网防火墙很象中世纪城堡护城河，它服务于各种目：限定人们从一种特定控制点进入；防止侵袭者接近你其她防御设备；限定人们从一种特别控制点离开。逻辑上，防火墙是分离器、限制器、分析器，有效地监控了内部网和 Internet之间任何活动，保证了内部网络安全。普通，防火墙是一组硬件设备——路由器、主计算机，或者是路由器、计算机和配有恰当软件网络各种组合。 WindowsNT作为在世界范畴内被广泛应用网络操作系统，它安全性自然显得尤为重要。发现WindowsNT技术漏洞并采用相应手段减小风险也成为人们关注热门话题，当前已有防火墙产品为咱们进一步考虑网络安全解决方案提供了以便，咱们终要力求建立一种尽量完善Internet安全体制并提供相应安全服务。相信这一天到来不会太久远了。 第一章 网络安全问题及其现实意义 一、引言 当代社会是一种高度信息化社会，世纪之交，知识经济时代正向咱们走来，信息化限度高低已经成为一种国家当代化水平和综合国力重要标志。从世界范畴来看，推动政府部门办公网络化、自动化、电子化，全面信息共享已是大势所趋。网络技术飞速发展为加快世界经济信息化进程带来了前所未有机遇和挑战。 由于网络是一种开放环境，信息在网络上传播过程中完全丧失了私有性。今天，Internet 环境中，不断传出侵犯安全事件报道。为了保护网络上重要数据免于丢失和遭受病毒、黑客、窃贼侵扰，以及其他无孔不入数据安全威胁，网络安全解决方案成为人们关注焦点。 二、 网络安全历史回顾 TCP/IP合同群在网际互联中使用迅速崛起，导致了普通被称为Internet由主机和网络构成全球网际互联系统。过去十年，是Internet胜利大进军十年。按它当前发展速率预测，到本世纪末，将有超过一百万个计算机网络和超过十亿顾客加入Internet。正由于如此，Internet 被当作是美国政府提出国家信息基本设施(NII)第一种详细体现。 然而，最初面向研究Internet和它通信合同群是为比当前良好得多环境而设计。应当说，那是一种君子环境，顾客和主机之间互相信任，志在进行自由开放信息互换。在这样环境里，使用Internet人事实上就是创立 Internet人。随着时间推移，Internet 变得更加有用和可靠，别人也就参杂了进来。人越来越多，共同目的却越来越少，Internet初衷徐徐地被扭曲了。 今天，Internet环境中，君子风度和信任感已经所剩无几了。社会上能找到所有凶险，鄙和投机，Internet上应有尽有。在这样新环境里，开放性成了Internet一把双刃剑。从Internet诞生之日起，特别是自90年代它向公众开放以来，它已经成为众矢之。1988年11月，小Robert T. Morris放出蠕虫染指了数千台主机。从那时起，不断传出侵犯安全事件报道。1996年初，美国国防部宣布其计算机系统在一年中遭到25万次攻打，更令人不安是，大多数攻打未被察觉。这些攻打给国家安全带来影响限度尚未拟定，但多数已发现攻打是针对计算机系统所存储敏感和分类信息，其中2/3攻打被以为是成功入侵者（黑客）盗窃、修改或破坏了系统上数据。企图闯入系统者有之，成功闯入系统者有之，抓住Internet上主机其她种种弱点和漏洞加以运用者也有之。近来， 成千成万口令在Internet上被盗取，序列数猜测袭击手段已经被用来冒充IP特别要指出是：很早就有人懂得这些易受袭击弱点了。事实上，在网际互联初期，安全专家就警告过明文传送口令危害。Morris在1985年于AT&T贝尔实验室工作期间就详细描述了用来破解BSD UNIX 4.2序列数猜测袭击手段。 如今Internet 上每一种人事实上都是脆弱。Internet安全问题成了关注焦点。计算机和通信界一片恐慌。对安全问题考虑，给以为Internet 已经完全胜任商务活动过高盼望泼了一盆冷水，也许也延缓或阻碍了Internet作为国家信息基本设施或全球信息基本设施成为大众媒体。某些调查研究表白,许各种人和公司之因此对加入Internet持观望态度，其重要因素就是出于安全考虑。与此同步，也有分析家警告商家不加Internet会有什么危害。 尽管众说纷纭,有一点是差不多人们都批准，那就是Internet需要更多更好安全机制。早在1994年,IAB (Internet体系构造理事会 ) 一次研讨会上,扩充与安全就被当作关系Internet全局两个最重要问题领域了。然而安全性，特别是Internet安全性，是一种很含糊术语，不同人也许会有不同理解。本质上Internet安全性只能通过提供下面两方面安全 。1. 通过服务来达到：访问控制服务用来保护计算和联网资源不被非授权使用； 2.通信安全服务：用来提供认证，数据机要性与完整性和各通信端不可否认性服务。例如,基于Internet或WWW电子商务就必要依赖于通信安全服务广泛采用。当前来看，采用防火墙技术是防止网络入侵最佳办法。 三、 网络安全技术现状 1993年10月24日美国知名计算机安全专家、AT&T贝尔实验室计算机科学家Rober Morris在美国众议院科学技术会议运送、航空、材料工业委员会上作了关于计算机安全重要性报告，从此计算机安全成了国际上研究热点。当前随着网络技术发展，网络安全成了新安全研究热点。网络安全就是如何保证网络上存储和传播信息安全性。但是由于网络设计之初，只考虑以便性、开放性，使得网络非常脆弱，极易受到黑客袭击或有组织群体入侵，也会由于系统内部人员不规范使用和蓄意破坏，使得网络信息系统遭到破坏信息泄漏。为理解决这个问题，国内外诸多研究机构在这方面做了诸多工作。重要从事数据加密技术、身份认证、数字签名、防火墙、安全审计、安全管理、安全内核、安全合同、IC卡（存储卡、加密存储卡、CPU卡）、回绝服务、网络安全性分析、网络信息安全监测、信息安全原则化等方面研究。 密码技术是网络安全核心。当代密码技术发展至今20余年，浮现了诸多高强度密码算法和密钥管理技术。数据安全技术也已经由老式只注重保密性转移到了保密性、真实性、完整性和可靠性完美结合，并且相继发展了身份认证、消息确认和数字签名技术。从某种意义上讲，数据加密系统强度重要取决于所用安全合同设计安全性。Internet重要建立在TCP/IP合同之上，而TCP/IP合同安全性不够，不能满足当前日益增长网络安全规定，因而有必要对其改进。 当公司内部网络连接到Internet上时，防止非法入侵，保证公司内部网络安全是至关重要。最有效防范办法是在公司内部网络和外部网络之间设立一种防火墙，实行网络之间安全访问控制，保证公司内部网络安全。防火墙是一种综合性技术，涉及到计算机网络技术、密码技术、安全技术、软件技术、安全合同、网络原则化组织（ISO）安全规范以及安全操作系统等多方面。作为一种有效解决网络之间访问控制有效办法，国际上在这方面研究诸多。特别是国外，近几年发展迅速，产品众多，并且更新换代快，并不断有新信息安全技术和软件技术等应用在防火墙开发上。国外技术虽然相对领先（例如包过滤、代理服务器、V P N、状态监测、加密技术、身份认证等），但总来讲，此方面技术并不十提成熟完善，原则也不健全，实用效果并不十分抱负。 和国际相比，国内网络安全技术方面研究和产品开发方面相对比较薄弱，起步也晚。由于国外加密技术限制和保护，国内无法得到急需安全而实用网络安全系统和加密软件。同步由于政治、军事、经济因素，咱们也应研制开发并采用自己网络安全系统和数据加密软件，以满足顾客和市场巨大需求。网络安全是国家安全一种重要方面，它技术和产品必要立足于国内自主开发，这也是信息安全技术有别于其她技术最重要特性。 四、 网络安全方略 在你准备将你网络连接到 Internet上之前，精确理解需要保护什么样网络资源和服务是非常重要。网络方略——Network Policy是描述一种组织网络安全关系文档。 （一） 站点安全方略 一种组织可以有各种站点，每个站点有它自己网络。如果组织比较大，它站点就也许拥有不同目的网络管理员。如果这些站点不是通过内部网络来连接，那么每个站点也许有它们自己网络安全方略。但是，如果站点是通过内部网络连接，则网络方略应当涵盖所有内连站点目的。 普通来说，站点是一种拥有计算机和与网络有关资源组织任何某些。这些资源涉及：工作站 ；主计算机和服务器；内连设备（网关、路由器、网桥、转发器）；终端服务器；网络和应用程序软件；网络电缆；文献和数据库中信息等。 站点安全方略应当考虑保护这些资源。由于站点是连接到其他网络，因此站点安全方略应当考虑安全需要和所有内连网络规定。 （二） 安全方略方案 定义一种安全方略，也就是开发保护你网络资源免受损失和破坏过程和筹划。开发该方略一种也许办法是检查如下问题： 1. 你试图保护哪些资源； 2. 你需要保护这些资源防备那些人； 3. 也许存在什么样威胁； 4. 资源如何重要； 5. 你可以采用什么办法以合算和节时方式保护你财产； 6. 定期检查网络安全方略，察看你目的和网络环境与否已经变化。 第二章 构筑Internet防火墙 一、防火墙概念及其重要意义 （一） 防火墙概念 因特网以变革方式，提供了检索信息和发布信息能力，这是个不可思议技术进步；但它也以变革方式带来了信息污染和信息破坏重要危险，当前人们已经采用不同安全办法来保护其数据和资源安全。防火墙即是其中最行之有效一种安全模式。 古时候,人们常在寓所之间砌起一道砖墙，一旦火灾发生，它可以防止火势蔓延到别寓所。自然,这种墙因而而得名“防火墙”。 当前，如果一种网络接到了Internet上面，它顾客就可以访问外部世界并与之通信。但同步，外部世界也同样可以访问该网络并与之交互。为安全起见，可以在该网络和Internet之间插入一种中介系统，竖起一道安全屏障。这道屏障作用是阻断来自外部通过网络对本网络威胁和入侵，提供扼守本网络安全和审计唯一关卡。这种中介系统也叫做“防火墙”,或“防火墙系统”。 简言之，一种防火墙在一种被以为是安全和可信内部网络和一种被以为是不那么安全和可信外部网络(Internet)之间提供一种封锁工具。它通过监测、限制、更改跨越防火墙数据流，尽量地对外部屏蔽网络内部信息、构造和运营状况，以此来实现网络安全保护。在逻辑上，防火墙是一种分离器，一种限制器，也是一种分析器，它有效地监控了内部网和Internet之间活动，保证了内部网络安全。在使用防火墙决定背后，潜藏着这样推理：如果没有防火墙，一种网络就暴露在不那么安全 Internet 诸合同和设施面前，面临来自Internet其她主机探测和袭击危险。在一种没有防火墙环境里，网络安全性只能体现为每一种主机功能,在某种意义上,所有主机必要通力合伙,才干达到较高限度安全性。网络越大，这种较高限度安全性越难管理。随着安全性问题上失误和缺陷越来越普遍，对网络入侵不但来自高超袭击手段，也有也许来自配备上低档错误或不适当口令选取。因而，防火墙作用是防止不但愿、未授权通信进出被保护网络，迫使单位强化自己网络安全政策。 （二）防火墙能实现那些功能 1． 保护脆弱服务 通过过滤不安全服务，Firewall可以极大地提高网络安全和减少子网中主机风险。例如，Firewall可以禁止NIS、NFS服务通过，Firewall同步可以回绝源路由和ICMP重定向封包。 2． 控制对系统访问 Firewall可以提供对系统访问控制。如容许从外部访问某些主机，同步禁止访问此外主机。例如Firewall容许外部访问特定Mail Server和Web Server。 3． 集中安全管理 Firewall对公司内部网实现集中安全管理，在防火墙定义安全规则可以运营于整个内部网络系统，而不必在内部网每台机器上分别设立安全方略。Firewall可以定义不同认证办法，而不需要在每台机器上分别安装特定认证软件外部顾客也只需要通过一次认证即可访问内部网。 4． 增强保密性 使用Firewall可以制止袭击者获取袭击网络系统有用信息,如Figer和DNS。 5． 记录和记录网络运用数据以及非法使用数据 Firewall可以记录和记录通过Firewall网络通讯，提供关于网络使用记录数据，并且，Firewall可以提供记录数据，来判断也许袭击和探测。 6． 方略执行 Firewall提供了制定和执行网络安全方略手段。未设立防火墙时，网络安全取决于每台主机顾客。 总来说，一种好防火墙系统应具备如下五方面特性： （1）所有在内部网络和外部网络之间传播数据都必要可以通过防火墙； （2）只有被授权合法数据，即防火墙系统中安全方略容许数据，可以通过防火墙； （3）防火墙自身不受各种袭击影响； （4）使用当前新信息安全技术，例如当代密码技术、一次口令系统、智能卡等； （5）人机界面良好，顾客配备使用以便，易管理。系统管理员可以以便地对防火墙进行设立，对Internet访问者、被访问者、访问合同以及方式进行控制。 二、防火墙模型 国际原则化组织ISO计算机专业委员会依照网络开发系统互联七层模型（OSI/RM）制定了一种网络安全体系构造，该模型重要用来解决网络系统中信息安全问题，如下图所示： 层 次 安全服务 物理层 数据链 路 层 网络层 传送层 回话层 表达层 应用层 对等实体鉴别 × × × 访问控制 × × × × × 连接保密 × × × × × × 选取字段保密 × × 报文流安全 × × × 数据完整性 × × × × 数据源鉴别 × 禁止否认服务 × 防火墙目在于实现安全访问控制,因而按照OSI/RM模型及上图安全规定,防火墙可以在 OSI/RM七层中五层设立。普通防火墙模型如下图所示： OSI/RM 防火墙 应用层 网关级 表达层 回话层 传播层 电路级 网络层 路由器级 数据链路层 网桥级 物理层 中继器级 外部网络 内部网络 安全系统 防火墙系统 非保护区 一种防火墙从功能上来分，普通由如下几某些构成，如图所示： 传机接口 访问控制方略 审 计 安全管理 数据加密 网络互联设备 三、防火墙基本安全方略 一种防火墙系统普通由屏蔽路由器和代理服务器构成。屏蔽路由器是一种多端口IP路由器，它通过对每一种到来IP包根据一组规则进行检查来判断与否对之进行转发。屏蔽路由器从包头获得信息，例如合同号、收发报文IP地址和端标语，连接标志以至此外某些IP选项，对IP包进行过滤。 代理服务器是防火墙系统中一种服务器进程，它可以代替网络顾客完毕特定TCP/IP功能。一种代理服务器本质上是一种应用层网关，一种为特定网络应用而连接两个网络网关。顾客就一项TCP/IP应用，例如Telnet或者ftp,同代理服务器打交道，代理服务器规定顾客提供其要访问远程主机名。当顾客答复并提供了对的顾客身份及认证信息后，代理服务器连通远程主机，为两个通信点充当中继。整个过程可以对顾客完全透明。顾客提供顾客身份及认证信息可用于顾客级认证。最简朴状况是：它只由顾客标记和口令构成。但是，如果防火墙是通过Internet可访问，咱们推荐使用更强认证机制,例如一次性口令或挑战回应式系统。 屏蔽路由器长处是简朴和低(硬件)成本。其缺陷关系到对的建立包过滤规则比较困难、屏蔽路由器管理成本、尚有顾客级身份认证缺少。路由器生产商们正在着手解决这些问题。特别值得注意是，它们正在开发编辑包过滤规则图形顾客界面。她们也在制定原则顾客级身份认证合同，来提供远程身份认证拨入顾客服务。 代理服务器长处是顾客级身份认证、日记记录和帐号管理。其缺陷关系到这样一种事实：要想提供全面安全保证，就要对每一项服务都建立相应应用层网关。这个事实严重地限制了新应用采纳。近来，一种名叫SOCKS包罗万象代理服务器问世了。SOCKS重要由一种运营在防火墙系统上代理服务器软件包和一种链接到各种网络应用程序库函数包构成。这样构造有助于新应用挂接。 屏蔽路由器和代理服务器普通组合在一起构成混合系统，其中屏蔽路由器重要用来防止IP 欺骗袭击。当前最广泛采用配备是Dual-homed防火墙，被屏蔽主机型防火墙，以及被屏蔽子网型防火墙。 设计一种防火墙安全方略是研制和开发一种有效防火墙第一步。当前安全方略重要有两种：（1）没有被容许就是禁止；（2）没有被禁止就是容许。当前普通采用方略（1）来设计防火墙。整体安全方略应包括如下重要内容：顾客账号方略；顾客权限方略；信任关系方略；包过滤方略；认证方略；签名方略；数据加密方略；密钥分派方略；审计方略。 四、防火墙核心技术及发展 当前，用于防火墙几种核心技术有：包过滤技术、代理技术、SOCKS 技术、状态检查技术（Stateful Specification）、地址翻译(NAT)技术、VPN技术、内容检查技术和其她防火墙技术。本章重要讨论应用最为广泛包过滤技术和代理技术。 （一）数据包过滤技术 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选取，选取根据是系统内设立过滤逻辑，被称为访问控制表———Access Control Table。通过检查数据流中每个数据包源地址、目地址、所用端标语、合同状态等因素，或它们组合来拟定与否容许该数据包通过。数据包过滤防火墙逻辑简朴，价格便宜，易于安装和使用，网络性能和透明性好，它普通安装在路由器上。路由器是内部网络与Internet连接必不可少设备，因而在原有网络上增长这样防火墙几乎不需要任何额外费用。 1． 数据包为什么要过滤 为了通过网络传送信息，信息必要被打破提成小片，每件被分别传送。将信息提成小片可使许多系统共享网络，每个系统可以按顺序发送小片。在IP网络中，那些小片数据叫做数据包。因此通过IP网络传送数据都是以数据包形式传送。 连接IP网络基本设备是路由器，传过因特网数据包从路由器到路由器游历，直到她们目地。路由器必要对它所接受每一种数据包做出路由选取方略，必要决定如何把数据包发送到最后目地址。 数据包过滤在网络中起着举足轻重作用：它容许你在单个地方为整个网络提供特别保护。例如：不让任何人从外界使用Telnet登陆；让每个人经由SMTP向咱们发送电子函件等等。 一旦数据包过滤路由器完毕对一特定数据包检测，它能运用那个数据包做出两个选取：1.通过数据包，普通，如果数据包通过了数据包过滤配备准则规定，路由器将把数据包向其目的传送，就像一种正常路由器所做那样；2.放弃数据包，如果不能通过数据包过滤配备原则，就放弃数据包。 2．配备数据包过滤路由器 数据包过滤器改进了对作为操作系统一某些而交付使用网络软件访问控制能力。访问控制规则是规定操作与否容许约束。从概念上讲，就是将一组变量值与访问控制数据库中规则进行比较，而这些变量值由表达主体和对象属性状态信息得出。例如，网络传播中两个重要值是源地址和目地址。数据包过滤规则可以被配备成依照这些值来容许或回绝IP传播。 数据包过滤器是对网络通信访问控制机制。数据包过滤器在解决每个数据包之前都要查阅它访问控制规则，而不是解决或转发到达结点网络适配器所有数据包。由于网络合同栈较低层运营在操作系统内核中，多数数据包过滤器作为操作系统核心扩展或代替而实现。这是非常重要，由于某些防火墙完全代替了某些核心，而此外那些则附在核上并拦载功能调用。那末，数据包过滤器能控制些什么呢? 由于数据包过滤器就是网络合同栈，因此它可以依照网络数据包包头中浮现任意字段来作出访问控制决策。如果有必要，数据包过滤器还能检查数据包数据某些一致性安全性方略或者寻找袭击。第一代数据包过滤器通过察看如下字段来放行或丢弃数据包：源或目地址；端口；合同类型（TCP，UDP或其他）；服务类型（FTP，telnet，DNS，RIP）。由于合同袭击变得常用，数据包过滤器得到加强以察看数据包SYN和ACK域设立以及其他特性。发现新合同袭击之后，防火墙经销商迅速地进行防卫。也就是说，数据包过滤访问控制能力始终在改进。 3．包过滤规则商定 假定对每一种数据包，路由器按照顺序仔细研究规则直到她找到一种匹配规则，之后它依照规则采用行动。如果没有规则可以采用，咱们将其缺省设立为“回绝”。 （1）按地址过滤 最简朴但不是最普通数据包过滤构造是通过地址过滤。这种办法过滤要你限制基于数据包源或目的地址数据包流，而不必考虑涉及什么合同。这样过滤能用来容许特定外部主机与特定内部主机对话，例如，制止侵袭者注入伪造数据包到你网络之中。 由于源地址能被伪造，信任源地址不一定安全。除非在你和你要交谈主机之间使用某种密码认证，你不懂得你与否真在与你所期待那个主机对话，还是与其他正在假装成主机机器对话。如果一种外部主机声称自己是一部内部主机话，那么过滤器将协助你； 如果一种外部主机声称是另一种不同外部主机，它们将无能为力。 （2）按服务过滤 包过滤规则容许Router取舍以一种特殊服务为基本信息流，由于大多数服务检测器驻留于众所周知TCP/UDP端口。 下面以Telnet为例，阐明数据包过滤特性。Telnet可使一种顾客注册到另一种系统，就好像顾客有一台终端直接连接到那个系统同样。Telnet Service为 TCP port 23，端口等待远程连接,而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet、SMTP连接，则Router舍弃端口值为23，25所有数据包。 典型过滤规则有如下几种： * 只容许特定名单内内部主机进行Telnet输入对话 * 只容许特定名单内内部主机进行FPT输入对话 * 只容许所有Telnet输入对话 * 只容许所有FTP输入对话 * 回绝来自某些特定外部网络所有输入信息 4．包过滤技术优缺陷 包过滤对顾客来说有如下长处： *协助保护整个网络，减少暴露风险。 *对顾客完全透明，不需要对客户端做任何改动，也不需要对顾客做任何培训。 *诸多路由器可以做数据包过滤，因而不需要专门添加设备。 包过滤最明显缺陷是虽然是最基本网络服务和合同，它也不能提供足够安全保护，包过滤是不够安全，由于它不能提供防火墙所必须保护能力。她缺陷重要体当前： *包过滤规则难于配备，一旦配备，数据包过滤规则也难于检查 *包过滤仅可以访问包头信息中有限信息。 *包过滤是无状态，由于包过滤不能保证与传播有关状态信息或与应用有关状态信息。 *包过滤对信息解决能力非常有限。 *某些合同不适合用数据包过滤，如基于RPC应用“r”命令等。 （二）代理技术 代理(Proxy) 技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有信息流，代理技术是针对每一种特定应用均有一种程序。代理是企图在应用层实现防火墙功能，代理重要特点是有状态性。代理能提供某些与传播关于状态，能完全提供与应用有关状态和某些传播方面信息，代理也能解决和管理信息。 代理服务(Proxy Service)也称链路级网关或TCP通道———Circuit Level Gateways or TCP Tunnels，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在缺陷而引入防火墙技术，其特点是将所有跨越防火墙网络通信链路分为两段。防火墙内外计算机系统间应用层" 链接"，由两个终结代理服务器上" 链接"来实现，外部计算机网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统作用此外，代理服务也对过往数据包进行分析、注册登记，形成报告，同步当发现被袭击迹象时会向网络管理员发出警报，并保存袭击痕迹。 1．代理服务器 代理服务器是一种调节两个网络段之间信息传播应用程序。代理服务器经惯用于信息过滤，以防止网络之间直接传播。有了代理服务器作为调节者，源系统和目的系统就永远不会直接“连接”起来。代理服务器在所有连接尝试中扮演中间人角色。 代理使得网络管理员可以实现，比包过滤路由器更严格安全方略。应用层网关不用依托包过滤工具来管理Internet服务在防火墙体 系中进出，而是采用为每钟所需服务而安装在网关上特殊代码（代 理服务）方式来管理Internet服务，应用层网关可以让网络管理员 对服务进行全面控制。如果网络管理员没有为某种应用安装代理编码，那么该项服务就不支持并不能通过防火墙系统来转发。同步，代 理编码可以配备成只支持网络管理员以为必要某些功能。 2．代理服务器是如何工作 与相应分组过滤器不同，代理服务器不对任何网络传播选取路由。事实上，配备对的代理服务器会把所有路由选取功能关闭。正如其名称所示，代理服务器是防火墙每一方每个系统代言人。 比喻说，有两个人通过翻译进行交谈。她们两人的确在进行会话，但从没有人直接对另一种人说话。所有通讯都通过翻译，才转向另一方。翻译也许会把两人使用某些词句删除，或者去掉不必要解释，或者去掉某些具备敌意话。 这个比喻与网络通讯关系可以参见图。内部主机但愿祈求远程服务器上一种Web网页。它生成一种祈求并且把信息传送给与远程网络相连网关，在本例中就是代理服务器。当代理服务器接受到祈求之后，它先辨认内部主机试图访问服务类型。由于本例中主机祈求是 Web 网页，因而代理服务器把祈求传送到只解决HTTP 会话应用程序。该应用程序是一种在内存中运营简朴程序，只具备解决HTTP通讯功能。 当HTTP应用程序收到祈求时，要验证ACL与否容许此类传播。如果容许，代理服务器回生成一种新祈求发送给远程服务器—并使用自己作为源系统。 也就是说，代理服务器不是简朴地让祈求通过；而是生成一种对远程信息新祈求。这个新祈求接着被传送到远程服务器。如果用网络分析器分析这份祈求，就会看到好像代理服务器发出了HTTP祈求，而不是内部主机。因而，当远程服务器回答时，也向代理服务器发出回答信息。 代理服务器接受到回答信息时，会再次把回答信息传送给HTTP应用程序。HTTP应用程序接着详细查看远程服务器发过来实际数据中有无特殊状况。如果这些数据可以接受，HTTP应用程序会生成一种新分组，并且把信息发送给内部主机。可以看到，两端系统主线没有直接互换信息。代理服务器始终插手其中，保证一切活动安全性。 由于代理服务器必要“理解”使用应用程序合同，因此它们也可以实现针对合同安全保护。例如，入站FTP代理服务器可以配备成滤掉外部系统接受到所有put和mput祈求。这样可以生成一种只读FTP服务器：防火墙之外人们将不能把初始化文献写操作所需要命令发送给 FTP 服务器。但是，她们可以读取文献，接受到来自FTP服务器文献。 提供代理服务可以是一台双宿主机，也可以是一台堡垒主机。容许顾客访问代理服务时很重要，但是顾客是绝对不容许注册到应用层网关中。如果容许顾客注册到防火墙系统中，防火墙系统安全就会受到威胁，由于入侵者也许会在暗地里进行某些损害防火墙有效性操作。例如，入侵者获取root权限，安装特洛伊木马来截取口令，并修改防火墙安全配备文献。 3．应用层代理优缺陷 提供代理应用层网关重要长处： *应用层网关有能力支持可靠顾客认证并提供详细注册信息 *用于应用层过滤规则相对于包过滤路由器来说更容易配备和测试。 *代理工作在客户机和真实服务器之间，完全控制会话，因此可以提供很详细日记和安全审计功能。 *提供代理服务防火墙可以被配备成唯一可被外部看见主机，这样可以隐藏内部网络IP地址，可以保护内部主机免受外部主机攻打。 *通过代理访问Internet可以解决合法IP地址不够用问题，由于Internet所见到只是代理服务器地址，内部不合法IP通过代理可以访问Internet。 应用层代理缺陷： *有限连接性：代理服务器普通具备解释应用层命令功能，如解释FTP命令、Telnet命令等，那么这种代理服务器就只能用于一种服务。因而，也许需要提供诸各种不同代理服务器，如FTP代理服务器、Telnet代理服务器等等。因此能提供服务和可伸缩性是有限。 *有限技术：应用层网关不能为RPC、talk和其他某些基于通用合同族服务提供代理。 *应用层实现防火墙会导致明显性能下降。 *每个应用程序都必要有一种代理服务程序来进行安全控制每一种应用升级时，相应代理服务程序也要升级。 *应用层网关规定顾客变化自己行为，或者在访问代理服务器每个系统上安装特殊软件。例如，透过应用层网关Telnet访问，规定顾客通过两步而不是一步来建立连接。但是，特殊端系统软件可以让顾客在Telnet命令中指定目的主机而不是应用层网关来使应用层网关透明。 此外，代理对操作系统和应用层漏洞也是脆弱，不能有效检查底层信息，老式代理也很少是透明。 从历史发展观点来说，应用层网关适应Internet通用用途和需要。但是，Internet环境在不断变化，当前，新合同、服务和应用在不断涌现，代理不再能解决Internet上各种类型传播，不能满足新商务需求，不能胜任对网络搞带宽和安全性需求。 （三）防火墙技术发展趋势 考虑到Internet发展凶猛势头和防火墙产品更新步伐，要全面展望防火墙技术发展将来趋势是不也许，但是，从产品及功能来说，却又看出某些动向和趋势，下面几点也许是下一步发展走向和选取： *防火墙将从当前对子网或内部网管理方式向远程网集中管理方向发展； *过滤深度不断加强，从当前地址及服务过滤发展到URL过滤、内容过滤、AxtiveX、Java Applet过滤，并具备病毒清除功能。 *运用防火墙建立虚拟专用网（VPN）是较长一段时间顾客使用主流，IP加密需求越来越强，安全合同开发是一大热点。 *单项防火墙（又叫网络二极管）将作为一种产品门类而浮现。 *对网络袭击监测和告警将成为防火墙重要功能。 *安全管理工具不断完善，特别是可疑活动日记分析工具将成为防火墙产品一某些。 *防火墙将从当前被动防护状态转变为智能地、动态地保护内部网络，并集成当前各种信息安全技术。 *依照以上分析，人们选取防火墙原则将集中在如下几种方面：易于管理性；应用透明性；鉴别与加密功能；操作环境和硬件规定；VPA功能与CA功能；接口数量；成本。 第三章 WindowsNT Server系统概述 及技术漏洞分析 一、WindowsNT Server系统综述 随着网络环境从基于文献系统向