第6章Internet代理服务与网络安全

1、第6章 Internet代理服务与网络安全,主要内容： 代理服务器的基本概念 常用的代理服务器软件的使用 代理服务器应用实例 网络安全与防火墙技术,6.1 代理服务器（Proxy Servers）的基本概念 一、位置与作用 ： 位于Intranet内部网与Internet之间，负责在内部网和Internet之间进行数据的转发。 它是一台连接有2块或以上网络适配器(网卡)的计算机。,代理服务器（Proxy）的作用： 一、提高访问速度。 二、Proxy可以起到防火墙的作用。 三、通过代理服务器访问一些不能直接访问的网站。 四、安全性得到提高。,采用代理服务器（Proxy）可以实现以下功能： 可以使

2、多台计算机连入Internet，而不需要每台计算机都具有有效的IP地址。 可以对内部用户使用Internet的进行信息流量的统计和计算。 可以对内部访问权限和访问内容进行控制和管理。 可以对所有用户访问Internet进行总体经费控制和管理。 可以保证内部网络的安全。,二、工作原理 (P180)： 代理服务器对硬件平台没有特别要求。只要能连接上网就可以了。主要部分是代理服务软件，而软件的核心是应用代理程序。它决定了代理服务器所能实现的功能。,1、Proxy的安装条件 安装代理服务器的计算机必须具备两个网络接口：一个通过网卡连接内部局域网；另一个网络接口连接Internet。就是说代理服务器软件

3、需要安装在一台同时外部网和内部网的计算机上。故安装了代理服务器的计算机又称为“双端口主机”或“双宿主机”。 2、Proxy的工作方式 代理服务器一方面接受或解释客户端连接，另一方面连接Internet服务器，是客户端/服务器的桥梁。由于内部网上的计算机没有真正与Internet相连必须通过代理服务器与Internet对话，因此，代理服务器对本地局域网来说是服务器，而对远程的目的服务器而言，又是一个客户机。,3、代理服务器的工作原理 Proxy的主要部件是一个Socket池。内部网用户的客户程序（如浏览器）先向Proxy发出Socket连接请求，Proxy立即响应并根据不同的网络应用层协议分配一

4、个或多个Socket与客户程序连接，用于命令和数据的传输，Proxy分配Socket与远程服务器连接并转发客户机请求。远程服务器相应后，Proxy又将该响应传给客户机。建立连接后，保持两组Socket状态和数据流一致，完成代理功能。,4、应用代理程序的工作过程： 应用代理程序启动，留听某个应用端口； 客户需应用代理程序提供代理程服务，向代理服务器发出连接请求； 应用代理程序被激活，客户向PS发出代理信息(要求代理的Server地址，主机名，端口等) 应用代理程序向相应服务器发出连接请求； 代理服务器与服务器之间建立连接，从而使客户与服务器之间建立虚连接； 客户和服务器之间通过代理服务器中转进行

5、数据交换； 交换结束，连接拆除。,三、代理服务器阵列： 对于一个大规模的内部网络，往往需要设立多个代理服务器协同工作。根据这些代理服务器的互联关系，可分为如下几种类型： 1、阵列型缓存：将一个网络中的多个代理服务器配置成一个大型的代理服务器缓存阵列，逻辑上是一个单独的缓存。阵列成员可以按需任意增减。 2、层次型缓存：由一些独立的代理服务器级联组成的。 3、组合型缓存,四、功能 (P182-184) ： 节省IP地址 构筑内部与外部网络之间的防火墙 通过缓存区的使用降低网络通信费用 访问权限控制和信息流量计费管理 对访问内容进行控制 反向代理功能,6.2 常用软件 目前代理服务器软件很多，功能也

6、十分强大，一般都可以提供WWW浏览、FTP文件下载、Telnet远程登录、Email的接收和发送、TCP/UDP映射、Socks代理服务等功能。目前绝大部分的Internet应用都可以通过代理方式实现。在中小规模的内部网络中主要有： WinGate WinRoute SyGate,6.2.1 WinGate,WinGate分为服务器和客户端两部分，服务器可运行于Win9X/ME/NT/2000/XP等平台。 1、内部局域网的准备 2、安装代理服务器 3、安装客户端软件 4、WinGate代理服务器的配置,WinGate官方下载网站： 安装分服务器和客户端。如果是服务器安装，就选择第二项！,Wi

7、nGate安装完成之后，机器会要求重启。启动后WinGate有后台服务和相关程序，在开始程序WinGateStart WinGate Engine，开始服务。,右边为常用的功能设置，分为三页： System（系统页），services（服务页），users（用户页）。,所有的服务的设置都差不多，例如：当中的www proxy server的设置。单击右键，会弹出菜单。,其中的属性对话框：,例子：我想允许test 只使用pop3服务，而且只能在192.168.101.* 里使用。,6.2.2 WinRoute,如果说WinGate侧重于实现代理功能的话，WinRoute则除了具有代理服务器的功能

8、外，还具有NAT（Network Address Translation：网络地址转换）、防火墙、邮件服务器、DHCP服务器、DNS服务器等功能，可为用户提供一个功能强大的软网关。 WinRoute目前的版本是4.1，网站地址： http:/www.winroute.nl/,案例：用WinRoute实现全自动Internet共享,功能设想： 1.每天早上打开WinRoute主机，自动拨号上网。、 2.根据时间表(图2)，自动控制每台机器的上网权限。,3.已经允许上网的机器到规定时间自动断线。 4.开始被拒绝上网的机器到了规定时间自动上线。 5.临时需要改变时可以进行手动设置，在下次启动后仍按原

9、来的时间表来控制。,实现原理： 1. WinRoute主机安装还原精灵，设置为启动自动还原，保证每次重新启动后恢复原始设置。 2.利用WinRoute的固定拨号功能，进行自动拨号、断线无限次重拨。 3.利用WinRoute的封包过滤器设置规则，决定与哪些机器进行数据交换。 4.利用WinRoute的时间表，决定某一时段上网与否。 5.利用WinRoute的地址组，决定某台机器上网与否。,方案实施： 1.设置自动拨号,2.设置时间表,3.设置地址组,4.设置封包过滤器规则（只设置允许上网的情况）,6.2.3 SyGate,SyGate是一个功能强大的共享软件，利用一条电话线、一个MODEM就可将

10、整个局域网中所有PC与Internet相连。特别适合于中小型公司、企事业单位的办公室以及拥有多台电脑的家庭用户。 SyGate是作为网关与Internet相连的，因此只需在具有MODEM的那台计算机上安装SyGate，其它计算机不需要安装任何软件。和其它Proxy软件相比，SyGate具有无可比拟的易用性。主要特点有： （1）便于安装； （2）易于使用； （3）管理方便； （4）防火墙保护 主页：,案例：用SyGate实现共享调制解调器,SyGate设置对话框,SyGate支持ICQ的设置,6.3 代理服务器应用实例 6.3.1 局域网共享拔号连接 在很多场合下，在已建成的小型局域内计算机数量

11、不是太多，希望所有计算机都能接入Internet，对接入速度要求不太高，但要求费用低廉。这时只需一台计算机采用MODEM拨号、ISDN或ADSL接入，其它计算机则通过安装代理服务器来实现对Internet的访问。,小型局域网通过代理服务器访问Internet的具体步骤如下： 1、工作站和服务器的准备 2、网络的连接 3、内部IP地址的分配 4、内部网络的连通 5、Internet连接的建立 6、代理服务器的安装和设置 7、客户端配置,“代理型”共享方案的拓扑结构,“代理型”共享方案的局域网设置,例如：对等网共享Modem 一般家庭的组网方式大多采用对等网，每台机器既可是服务器，有是客户端，经济

12、实惠，在Windows 95/98/Me下就可以创建。但将其中一台换成Windows 2000 Professional ，数据的安全性会更好。,应用设备： PCI网卡（2块，有同轴电缆接口）,2个终端器，一段同轴电缆，2个T型接头。,网卡,计算机,计算机,网卡,同轴电缆,Internet,安装： 1、安装PCI网卡 (系统自动搜寻，安装驱动) 2、网络设置, “控制面板”“网络”“配置”“添加” 在网络组件中选“协议” “添加” 厂商中选“Microsoft”网络协议选“TCP/IP” “确定” 一般还选择“IPX/SPX兼容协议”，还可加上“NetBEUI”协议, 在“要安装的网络组件”栏

13、中，选“客户” “添加” 再选“Microsoft”和“Microsoft网络客户”“确定” 在“要安装的网络组件”拦中，选“服务”“添加”，选“Microsoft网络上的文件与打印机共享”“确定” “网络” “标识” 设置：计算机名、工作组及说明，以保网上识别该计算机 “网络” “访问控制” 选“共享级访问控制”， 在其中一台机器上安装好Modem，并设置Internet连接, 在客户端和服务器上安装WinGate 在客户端选择“Configure this machine as a WinGate Internet Client” 在服务器选择“Configure this machine

14、 as a WinGate Server” 安装完后，设置TCP/IP协议： a “网络”“配置” 选TCP/IP“属性” b 在“TCP/IP属性”对话框中，“指定IP地址”： IP地址：192、168、0、 1 子网掩码：255、255、255、0,c “DNS配置”：“启用DNS” 主机：Seruer 域：corr DNS服务器地址：ISP的DNS服务器地址或Microsoft的域名服务器 单击“添加”重启，运行WinGate。 设置客户端Internet连接共享 需要时TCP/IP协议属性和WinGate Client Applet程序进行设置。,6.3.2 基于校园网的应用 目前很多

15、学校都建立了校园网，但分配到一个部门的端口和IP地址不够用。端口可以用HUB扩展，但IP地址却限制了上网的机器数量。这时只能通过代理服务器来解决。安装步骤与上述例子类似，（在WinRoute中讲过一个案例）但应注意两点： 1、Internet连接的建立： 用作代理服务器的计算机上应安装两块网卡，一块连接校园网（设定校园网分配的IP地址），另一块连接内部网（设定内部网的IP地址），DNS和网关地址按校园网的要求配置。 2、代理服务器、Web服务器和邮件服务器的建立： 除建立代理服务器外，还可建立Web服务器、FTP和邮件服务器。,6.4 网络安全与防火墙技术 随着网络应用技术的不断深入，网络安全

16、的问题日益突出，各种电脑黑客和计算机病毒制造者利用各种技术手段破坏计算机和网络系统的工作，因此要求技术人员在网络建设和网络管理中时刻注意安全问题。并且要求能全方位的针对各种不同的威胁，提出相应的方法来确保网络信息的保密性、完整性和可用性。,6.4.1 网络安全性规划与配置 网络安全主要包括线路传输的安全和服务器的 安全两方面，尤其是后者更重要。在服务器的系统安全方面，应该从以下几方面考虑： 1、安全可靠的防御体系结构 服务器的安全，必须在建立时就考虑安全可靠的防御体系结构，一般的防御层次如下： （1）路由器：这是第一层。用来过滤某些IP地址和服务（如只提供Web服务，不提供FTP、Telnet

17、等服务）。 （2）防火墙系统：过滤IP和服务，建立VPN等认证机制，正确进行配置。,（3）入侵监测系统 被动地监测网络上的所有数据包，检测是否有危险或恶意的不安全的操作访问，以便采取不同的对策。 （4）操作系统安全 （5）Web服务器软件的安全 对操作系统和服务器软件必须进行正确的配置，以保证系统的安全。,2、服务器的选用 应选用高可靠性的专用服务器。 采用硬件冗余方法来提高服务器的容错能力。 3、操作系统的选择 目前服务器采用的操作系统主要有：Unix和Windows NT。选用时应注意如下几点： 应选用安全级别高的操作系统（安全级别由低至高依次为：D、C1、C2、B1、B2、B3和A7个级

18、别）。 应选用成熟稳定的系统。 及时了解新系统的安全漏洞并及时下载安装安全补丁程序。,4、服务器软件的选用 选用服务器软件时应考虑是否适应现有环境，是否达到业务要求，在增加其它软件时是否可能造成新的安全漏洞。一般来说应考虑以下因素： 易于同外部信息整合 有良好的用户管理接口，最好是图形界面 适应目前的需要，并足够开放，易于扩展 有良好的技术支持,5、服务器软件的安全配置 Internet服务器安装完成后，必须进行一些必要的安全特性方面的配置，主要有： 区分客户可访问和不可访问部分，使敏感数据不对用户开放。 对于Web服务器，要检查所使用的Applet和脚本，尤其是与客户交互作用的脚本，防止外部

19、用户执行非法指令。 排除站点的安全漏洞，加装补丁程序，监测兼容性问题。 关闭无关的服务和帐户，尽量减少拥有过多权限的用户 设置监控机制，监控来访用户的情况，提高安全性。,6.4.2 Internet服务器的安全防范 Internet的交互性既是它的优势，也是易受攻击的弱点，被攻击或入侵的主要类型有： 1、密码破译 服务器上的许多重要信息（如密码、口令）均采用加密方式存储在系统中，加密后的信息，权限大的用户可以直接看到，但其它用户也可能利用系统漏洞等方法得到，并用解密工具得到加密前的明码。因此要增强密码的强度，同时应定期更换密码。,一段破译日期型密码的BASIC小程序： Open “Dates”

20、 for output as #1 For I=1 to 12 For J=1 to 31 I1$=rtrim$(1trim$(str$(I) J1$=rtrim$(1trim$(str$(J) If len(I1$)=1 then I1$=“0”+I1$ If len(J1$)=1 then J1$=“0”+J1$ Out$=I1$+J1$ Print #1,Out$ Next I Next J Close,2、未授权访问 服务器上的未授权访问将破坏文件的私有性、机密性和完整性。要控制未授权访问可采取以下几种方法： 通过IP地址来控制：此方法是在Web服务器上设置拒绝某些IP地址的访问，但非

21、法用户可以伪造IP地址或域名。 通过用户名/口令限制方法：可通过设置对口令的要求和输入错误口令的次数进行限制。 通过信息加密的方法：采用安全性能更好的非对称加密系统。这时密码是成对的，一个用于编码，一个用于解码收发双方各有一个，这就可防止信息在传输过程中被截取。,3、信息截取 当服务器和用户交换信息时，在适当的地方安装能俘获网络报文的设备或软件（如嗅探器：Sniffer），就可能截取用户信息。为避免信息被截取，可采用以下方法： 检测和消灭嗅探器软件：主要检查网络接口是否有杂收模式。因为只有在该模式下才能截取本不应该接收的数据包。 将数据隐藏或加密：这样可使嗅探器发现不了或截取了也没用。由于嗅探

22、器软件不能跨过交换机、路由器和网桥三种网络设备进行信息截取，因此可灵活应用这三种设备进行网络分割，使之收集的信息减少而增强Web系统的安全。,4、系统中的漏洞和病毒 利用系统漏洞，黑客可以对服务器发出指令，非法取得系统文件并无限制地向服务器发出大量指令，最终导致整个系统崩溃。因此网络管理员应能及时发现漏洞并及时修复。此外要特别注意对病毒进行检查的工作，尤其在上传文件时。 案例： 拒绝服务攻击（DoS攻击），是Denial of Service的简称。 分布式拒绝服务（DDoS：Distributed Denial of Service）攻击。,分布式拒绝服务（DDoS：Distributed

23、Denial of Service）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。,DoS攻击主要是利用了TCP连接的三次握手中的漏洞。,SYN Flood攻击者不会完成三次握手,假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发

24、出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接。,被DDoS攻击时的现象： 被攻击主机上有大量等待的TCP连接。 网络中充斥着大量的无用的数据包，源地址为假。 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求。 严重时会造成系统死机。,DDoS攻击对Web站点的影响： 当对一个Web站点执行 DDoS 攻击时，这个站点的一个或多个Web服务会

25、接到非常多的请求，最终使它无法再正常使用。在一个DDoS攻击期间，如果有一个不知情的用户发出了正常的页面请求，这个请求会完全失败，或者是页面下载速度变得极其缓慢，看起来就是站点无法使用。 典型的DDoS攻击利用许多计算机同时对目标站点发出成千上万个请求。为了避免被追踪，攻击者会闯进网上的一些无保护的计算机内，在这些计算机上藏匿DDoS程序，将它们作为同谋和跳板，最后联合起来发动匿名攻击。,被攻击了怎么办？ 用一切方法告诉你的网友，通过IP来打开主页。 也就是第一步的同时，向政府机关报案。 组织你的技术精兵，备份并分析服务器LOG日志。 连上您所在服务器IDC的骨干网，和非法攻击者对峙。 更改服

26、务器IP，恢复域名解析。 让律师、公证等各处公证评估受到非法攻击的损失。,5、Web服务器的CGI脚本漏洞 CGI脚本可能会产生两个方面的安全漏洞：一是可能暴露主机的信息；增加受攻击的可能性；二是在处理远程用户输入时，可以骗取在系统上执行命令的权限使系统直接受到攻击。因此应仔细坚持CGI源程序、运行方式、CGI是否对系统文件的读取和修改、对非法输入数据是否进行处理等。,例如：!/cgi-bin/phf 漏洞描述：Apache httpd服务器程序（1.0.3版本）的PHF脚本由于输入验证中遗失了对换行符（“n”，十六进制为0 x0a）的检查，从而可用于转义脚本，诱骗Web服务器程序的本地语法运

27、行该转义符后的任何内容。 比如，如果受攻击的Web服务器程序的执行用户具有/etc/passwd文件的读权限，那么以下URL将输出该文件的内容： /cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd 解决方案：自行修改该脚本，加入对n的检验，或者暂停使用该脚本。,例如：!/shop.cgi 漏洞描述：shop.cgi/shop.pl用于网上购物，支持SSL，包含多种验证模块，配置文件是shop.cfg。正常的请求显示商品信息的URL语法是： 于是带有客户信息的products.htm文件被显示出来。$pag

28、e变量的值是通过open()调用打开的，open()调用本身并没有做任何输入/访问验证，也没有任何边界检查，诸如： 这样的URL请求是合法的，于是/etc/passwd就会被打开并显示出来。 解决方案：考虑利用正则表达式增加输入验证，过滤诸如./ 和 ./ . 之类的字符组合，也可以增加一个变量限制目录遍历深度。结合这两种技术，就可以限制来自潜在攻击者的任意目录遍历行为。,6.4.3 基于NT的安全技术 Microsoft的IIS（Internet Information Server）不但能提供多种服务，而且有较强的安全性能，主要使用了以下Windows NT的安全体系结构： 1、IIS的认

29、证方式（三种） 匿名访问：大多数情况下的用户是以匿名方式连接到IIS 明文认证：这种方式的安全性能较差 NT Challenge/Response 2、通过IP地址或域名限制某些用户的访问 3、使用NTFS权限 4、SSL（Secure Sockets Layer）的应用,6.4.4 防火墙技术 由于系统漏洞难以避免，服务器又暴露在整个Internet中，受到很大的威胁，为了进一步加强安全性能，产生了防火墙技术。 1、什么是防火墙： 防火墙（Firewall）是指位于两个网络之间执行控制策略的系统（可以用硬件/软件或两者的结合来实现），用来限制外部未经许可的非法用户访问内部网络资源或内部非法向外部传递信息，只允许授权的数据通过。 2、防火墙的主要功能： （1）过滤不安全的服务和非法用户；（2）控制对特殊站点的访问；（3）监视Internet的安全和预警。,3、防火墙的种类 防火墙的实现技术 可以从层次上划分为两种： 报文过滤：报文过滤是在IP协议层实现的，用路由器就可完成。这种方式对用户是透明的，但不能在用户级别上进行过滤（即不能识别不同的用户和防止IP地址的盗用）。 应用层网关：报文过滤的上述