网络操作系统漏洞分析及安全策略的研究(设计书)

1、 目 录绪论 3 网络安全全问题及及其现实实意义 5引言 5网络安全全历史回回顾 5网络安全全技术现现状 7网络安全全策略 9（一） 站点安安全策略略 9 （二二） 安全策策略方案案 100构筑Innterrnett防火墙墙 111防火墙的的概念及及其重要要作用 11（一） 防火墙墙的概念念 111 （二二） 防火墙墙能实现现那些功功能 122防火墙的的模型 14防火墙的的基本安安全策略略 15防火墙关关键技术术及发展展 17（一） 数据包包过滤技技术 177（二） 代理技技术 221（三） 防火墙墙技术发发展趋势势 266WinddowssNT Serrverr系统概概述及技技术漏洞洞分析

2、288WinddowssNT Serrverr系统综综述 28WinddowssNT Serrverr系统安安全性 30（一） WiindoowsNNT中的的识别和和验证 300（二） WiindoowsNNT中的的访问控控制 311WinddowssNT 系统技技术漏洞洞及解决决办法 31优秀防火火墙系统统实例 411东大阿尔尔派网眼眼防火墙墙系统产产品概述述 41网眼防火火墙系统统基本功功能和系系统特性性 41（一） 网眼防防火墙系系统的基基本功能能 411（二） 网眼防防火墙的的系统特特征 433第五章 关于校校园网安安全策略略的研究究 444我校校园园网概况况 44（一） 校园网网建设

3、背背景 444（二） 网络方方案技术术特点 444（三） 校园网网建设现现状 466校园网安安全状况况分析 46校园网络络安全解解决方案案 47结束语 553致谢 555参考文献献 556附录A附录B 绪 论论 随随着Innterrnett在世界界范围内内的普及及和发展展，政府府机构、企事业业单位、教育科科研等各各行各业业的人们们正努力力通过IInteerneet来提提高工作作效率和和市场反反应速度度，以便便更具竞竞争力。作为全全球使用用范围最最广的信信息网，Intternnet自自身协议议的开放放性极大大的方便便了各种种计算机机入网，拓宽了了资源共共享。与与此同时时，人们们也正逐逐渐认识识到

4、与因因特网相相伴而来来的巨大大风险来来自世界界各地的的形形色色色的侵侵袭者随随时有可可能对你你的站点点发动攻攻击，破破坏你的的站点安安全，窃窃取你的的重要资资源，修修改、破破坏系统统的数据据计算算机的安安全性历历来都是是人们讨讨论的主主要话题题之一，而计算算机安全全主要研研究的是是计算机机病毒的的防治和和系统的的安全。在计算算机网络络日益发发展普及及的今天天，计算算机安全全的要求求更高，涉及面面更广。不但要要求防治治病毒，还要提提高系统统抵抗外外来非法法黑客入入侵的能能力，更更要提高高对远程程数据传传输的保保密性，避免在在传输途途中遭受受非法窃窃取。构筑 IInteerneet防火火墙保护护内

5、部系系统与网网络即是是一种行行之有效效的网络络安全手手段。它它常常被被安装在在受保护护的内部部网络进进而连接接到因特特网上，防止因因特网的的危险传传播到你你的内部部网络。形象的的说，因因特网防防火墙很很象中世世纪城堡堡的护城城河，它它服务于于多个目目的：限限定人们们从一个个特定的的控制点点进入；防止侵侵袭者接接近你的的其他防防御设备备；限定定人们从从一个特特别控制制点离开开。逻辑辑上，防防火墙是是分离器器、限制制器、分分析器，有效地地监控了了内部网网和 Intternnet之之间的任任何活动动，保证证了内部部网络的的安全。通常，防火墙墙是一组组硬件设设备路由器器、主计计算机，或者是是路由器器、

6、计算算机和配配有适当当软件的的网络的的多种组组合。WinddowssNT作作为在世世界范围围内被广广泛应用用的网络络操作系系统，它它的安全全性自然然显得尤尤为重要要。发现现WinndowwsNTT的技术术漏洞并并采取相相应的手手段减小小风险也也成为人人们关注注的热门门话题，目前已已有的防防火墙产产品为我我们进一一步考虑虑网络安安全解决决方案提提供了方方便，我我们终要要力争建建立一个个尽可能能完善的的Intternnet安安全体制制并提供供相应的的安全服服务。相相信这一一天的到到来不会会太久远远了。 第第一章网络安全全问题及及其现实实意义一、引言言现代社会会是一个个高度信信息化的的社会，世纪之之

7、交，知知识经济济时代正正向我们们走来，信息化化程度的的高低已已经成为为一个国国家现代代化水平平和综合合国力的的重要标标志。从从世界范范围来看看，推进进政府部部门办公公网络化化、自动动化、电电子化，全面信信息共享享已是大大势所趋趋。网络络技术的的飞速发发展为加加快世界界经济信信息化的的进程带带来了前前所未有有的机遇遇和挑战战。由于网络络是一个个开放的的环境，信息在在网络上上传输的的过程中中完全丧丧失了私私有性。今天, Innterrnett 环环境中，不断传传出侵犯犯安全的的事件报报道。为为了保护护网络上上的重要要数据免免于丢失失和遭受受病毒、黑客、窃贼侵侵扰，以以及其它它无孔不不入的数数据安全

8、全威胁，网络安安全解决决方案成成为人们们关注的的焦点。网络安全全历史回回顾 TTCP/IP协协议群在在网际互互联中的的使用的的迅速崛崛起, 导致了了通常被被称为IInteerneet的由由主机和和网络组组成的全全球网际际互联系系统。过过去的十十年, 是Innterrnett胜利大大进军的的十年。按它现现在的发发展速率率预测, 到本本世纪末末, 将将有超过过一百万万个计算算机网络络和超过过十亿的的用户加加入Innterrnett。正因因为如此此, IInteerneet 被看成成是美国国政府提提出的国国家信息息基础设设施(NNII)的第一一个具体体体现。 然而而, 最最初面向向研究的的Intte

9、rnnet和和它的通通信协议议群是为为比现在在良好得得多的环环境而设设计的。应该说说, 那那是一个个君子的的环境, 用户户和主机机之间互互相信任任, 志志在进行行自由开开放的信信息交换换。在这这样的环环境里, 使用用Intternnet的的人实际际上就是是创建 Intternnet的的人。随随着时间间的推移移, IInteerneet 变变得更加加有用和和可靠, 别的的人也就就参杂了了进来。人越来来越多, 共同同目标却却越来越越少, Intternnet的的初衷渐渐渐地被被扭曲了了。 今天, Intternnet的的环境中中, 君君子风度度和信任任感已经经所剩无无几了。社会上上能找到到的所有有

10、的凶险险, 鄙鄙和投机机, IInteerneet上应应有尽有有。在这这样的新新环境里里, 开开放性成成了Innterrnett的一把把双刃剑剑。从IInteerneet诞生生之日起起, 特特别是自自90年年代它向向公众开开放以来来, 它它已经成成为众矢矢之的。19888年111月, 小RRobeert T. Morrriss放出的的蠕虫染染指了数数千台主主机。从从那时起起，不断断传出侵侵犯安全全的事件件报道。19996年初初，美国国国防部部宣布其其计算机机系统在在一年中中遭到225万次次进攻，更令人人不安的的是，大大多数进进攻未被被察觉。这些进进攻给国国家安全全带来的的影响程程度还未未确定，

11、但多数数已发现现的进攻攻是针对对计算机机系统所所存放的的敏感和和分类信信息，其其中2/3的进进攻被认认为是成成功的入入侵者（黑客）盗窃、修改或或破坏了了系统上上的数据据。企图图闯入系系统者有有之, 成功闯闯入系统统者有之之, 抓抓住Innterrnett上主机机的其他他种种弱弱点和漏漏洞加以以利用者者也有之之。最近近, 成千成成万的口口令在IInteerneet上被被盗取, 序列列数猜测测的攻击击手段已已经被用用来冒充充IP特特别要指指出的是是: 很很早就有有人知道道这些易易受攻击击的弱点点了。实实际上, 在网网际互联联的早期期, 安安全专家家就警告告过明文文传送口口令的危危害。MMorrri

12、s在在19885年于于AT&T贝尔尔实验室室工作期期间就详详细描述述了用来来破解BBSD UNIIX 44.2序序列数猜猜测的攻攻击手段段。 如今Innterrnett 上的的每一个个人实际际上都是是脆弱的的。Innterrnett的安全全问题成成了关注注的焦点点。计算算机和通通信界一一片恐慌慌。对安安全问题题的考虑虑，给认认为Innterrnett 已经经完全胜胜任商务务活动的的过高期期望泼了了一盆冷冷水, 可能也也延缓或或阻碍了了Intternnet作作为国家家信息基基础设施施或全球球信息基基础设施施成为大大众媒体体。一些些调查研研究表明明,许多多个人和和公司之之所以对对加入IInteer

13、neet持观观望态度度, 其其主要原原因就是是出于安安全的考考虑。与与此同时时, 也也有分析析家警告告商家不不加Innterrnett会有什什么危害害。尽管众说说纷纭,有一点点是差不不多大家家都同意意的, 那就是是Intternnet需需要更多多更好的的安全机机制。早早在19994年年,IAAB (Intternnet体体系结构构理事会会 ) 的一一次研讨讨会上,扩充与与安全就就被当作作关系IInteerneet全局局的两个个最重要要的问题题领域了了。然而而安全性性, 特特别是IInteerneet的安安全性, 是一一个很含含糊的术术语, 不同的的人可能能会有不不同的理理解。本本质上IInte

14、erneet的安安全性只只能通过过提供下下面两方方面的安安全 。1. 通过服服务来达达到: 访问控控制服务务用来保保护计算算和联网网资源不不被非授授权使用用； 2.通通信安全全服务：用来提提供认证证, 数据据机要性性与完整整性和各各通信端端的不可可否认性性服务。例如,基于IInteerneet或WWWW的的电子商商务就必必须依赖赖于通信信安全服服务的广广泛采用用。目前前来看，采用防防火墙技技术是防防止网络络入侵的的最好办办法。网络安全全技术现现状19933年100月244日美国国著名的的计算机机安全专专家、AAT&TT贝尔实实验室的的计算机机科学家家Robber Morrriss在美国国众议院

15、院科学技技术会议议运输、航空、材料工工业委员员会上作作了关于于计算机机安全重重要性的的报告，从此计计算机安安全成了了国际上上研究的的热点。现在随随着网络络技术的的发展，网络安安全成了了新的安安全研究究热点。网络安安全就是是如何保保证网络络上存储储和传输输的信息息的安全全性。但但是由于于网络设设计之初初，只考考虑方便便性、开开放性，使得网网络非常常脆弱，极易受受到黑客客的攻击击或有组组织的群群体的入入侵，也也会由于于系统内内部人员员的不规规范使用用和蓄意意破坏，使得网网络信息息系统遭遭到破坏坏信息泄泄漏。为为了解决决这个问问题，国国内外很很多研究究机构在在这方面面做了很很多工作作。主要要从事数数

16、据加密密技术、身份认认证、数数字签名名、防火火墙、安安全审计计、安全全管理、安全内内核、安安全协议议、ICC卡（存存储卡、加密存存储卡、CPUU卡）、拒绝服服务、网网络安全全性分析析、网络络信息安安全监测测、信息息安全标标准化等等方面的的研究。 密码码技术是是网络安安全的核核心。现现代密码码技术发发展至今今20余余年，出出现了很很多高强强度的密密码算法法和密钥钥管理技技术。数数据安全全技术也也已经由由传统的的只注重重保密性性转移到到了保密密性、真真实性、完整性性和可靠靠性的完完美结合合，并且且相继发发展了身身份认证证、消息息确认和和数字签签名技术术。从某某种意义义上讲，数据加加密系统统的强度度

17、主要取取决于所所用的安安全协议议设计的的安全性性。Innterrnett主要建建立在TTCP/IP协协议之上上，而TTCP/IP协协议的安安全性不不够，不不能满足足目前日日益增长长的网络络安全要要求，因因此有必必要对其其改进。当企业内内部网络络连接到到Intternnet上上时，防防止非法法入侵，确保企企业内部部网络的的安全是是至关重重要的。最有效效的防范范措施是是在企业业内部网网络和外外部网络络之间设设置一个个防火墙墙，实施施网络之之间的安安全访问问控制，确保企企业内部部网络的的安全。防火墙墙是一种种综合性性技术，涉及到到计算机机网络技技术、密密码技术术、安全全技术、软件技技术、安安全协议议

18、、网络络标准化化组织（ISOO）的安安全规范范以及安安全操作作系统等等多方面面。作为为一种有有效的解解决网络络之间访访问控制制的有效效方法，国际上上在这方方面的研研究很多多。特别别是国外外，近几几年发展展迅速，产品众众多，而而且更新新换代快快，并不不断有新新的信息息安全技技术和软软件技术术等应用用在防火火墙的开开发上。国外技技术虽然然相对领领先（比比如包过过滤、代代理服务务器、VV P N、状状态监测测、加密密技术、身份认认证等），但总总的来讲讲，此方方面的技技术并不不十分成成熟完善善，标准准也不健健全，实实用效果果并不十十分理想想。和国际相相比，国国内的网网络安全全技术方方面的研研究和产产品

19、开发发方面相相对比较较薄弱，起步也也晚。由由于国外外加密技技术的限限制和保保护，国国内无法法得到急急需的安安全而实实用的网网络安全全系统和和加密软软件。同同时由于于政治、军事、经济的的原因，我们也也应研制制开发并并采用自自己的网网络安全全系统和和数据加加密软件件，以满满足用户户和市场场的巨大大需求。网络安安全是国国家安全全的一个个重要方方面，它它的技术术和产品品必须立立足于我我国自主主开发，这也是是信息安安全技术术有别于于其他技技术的最最重要特特征。网络安全全策略在你准备备将你的的网络连连接到 Intternnet上上之前，准确的的理解需需要保护护什么样样的网络络资源和和服务是是非常重重要的。

20、网络策策略Nettworrk PPoliicy是是描述一一个组织织的网络络安全关关系的文文档。站点安全全策略一个组织织可以有有多个站站点，每每个站点点有它自自己的网网络。如如果组织织比较大大，它的的站点就就可能拥拥有不同同目标的的网络管管理员。如果这这些站点点不是通通过内部部网络来来连接的的，那么么每个站站点可能能有它们们自己的的网络安安全策略略。但是是，如果果站点是是通过内内部网络络连接的的，则网网络策略略应该涵涵盖所有有内连站站点的目目标。一般来说说，站点点是一个个拥有计计算机和和与网络络相关的的资源的的组织的的任何部部分。这这些资源源包括：工作站站 ；主主计算机机和服务务器；内内连设备备

21、（网关关、路由由器、网网桥、转转发器）；终端端服务器器；网络络和应用用程序软软件；网网络电缆缆；文件件和数据据库中的的信息等等。站点安全全策略应应该考虑虑保护这这些资源源。因为为站点是是连接到到其它网网络的，所以站站点安全全策略应应该考虑虑安全需需要和所所有内连连网络的的要求。安全策略略方案定义一个个安全策策略，也也就是开开发保护护你的网网络资源源免受损损失和破破坏的过过程和计计划。开开发该策策略的一一种可能能的方法法是检查查如下问问题：你试图保保护哪些些资源；你需要保保护这些些资源防防备那些些人；可能存在在什么样样的威胁胁；资源如何何重要；你能够采采取什么么措施以以合算和和节时的的方式保保护

22、你的的财产；定期检查查网络安安全策略略，察看看你的目目标和网网络环境境是否已已经改变变。第二章构筑Innterrnett防火墙墙一、防火火墙的概概念及其其重要意意义 防火墙的的概念因特网以以变革的的方式，提供了了检索信信息和发发布信息息的能力力，这是是个不可可思议的的技术进进步；但但它也以以变革的的方式带带来了信信息污染染和信息息破坏的的主要危危险，现现在人们们已经采采取不同同的安全全措施来来保护其其数据和和资源的的安全。防火墙墙即是其其中最行行之有效效的一种种安全模模式。古时候,人们常常在寓所所之间砌砌起一道道砖墙, 一旦旦火灾发发生, 它能够够防止火火势蔓延延到别的的寓所。自然,这种墙墙因

23、此而而得名“防火墙墙”。现在，如如果一个个网络接接到了IInteerneet上面面, 它它的用户户就可以以访问外外部世界界并与之之通信。但同时时, 外外部世界界也同样样可以访访问该网网络并与与之交互互。为安安全起见见, 可可以在该该网络和和Intternnet之之间插入入一个中中介系统统, 竖竖起一道道安全屏屏障。这这道屏障障的作用用是阻断断来自外外部通过过网络对对本网络络的威胁胁和入侵侵, 提提供扼守守本网络络的安全全和审计计的唯一一关卡。这种中中介系统统也叫做做“防火墙墙”,或“防火墙墙系统”。 简言之, 一个个防火墙墙在一个个被认为为是安全全和可信信的内部部网络和和一个被被认为是是不那么

24、么安全和和可信的的外部网网络(Intternnet)之间提提供一个个封锁工工具。它它通过监监测、限限制、更更改跨越越防火墙墙的数据据流，尽尽可能地地对外部部屏蔽网网络内部部的信息息、结构构和运行行情况，以此来来实现网网络的安安全保护护。在逻逻辑上，防火墙墙是一个个分离器器，一个个限制器器，也是是一个分分析器，它有效效地监控控了内部部网和IInteerneet之间间的活动动，保证证了内部部网络的的安全。在使用用防火墙墙的决定定背后, 潜藏藏着这样样的推理理: 假假如没有有防火墙墙, 一一个网络络就暴露露在不那那么安全全的 Intternnet 诸协协议和设设施面前前, 面面临来自自Inttern

25、net其其他主机机的探测测和攻击击的危险险。在一一个没有有防火墙墙的环境境里, 网络的的安全性性只能体体现为每每一个主主机的功功能,在在某种意意义上,所有主主机必须须通力合合作,才才能达到到较高程程度的安安全性。网络越越大, 这种较较高程度度的安全全性越难难管理。随着安安全性问问题上的的失误和和缺陷越越来越普普遍, 对网络络的入侵侵不仅来来自高超超的攻击击手段, 也有有可能来来自配置置上的低低级错误误或不合合适的口口令选择择。因此此, 防防火墙的的作用是是防止不不希望的的、未授授权的通通信进出出被保护护的网络络, 迫迫使单位位强化自自己的网网络安全全政策。（二）防防火墙能能实现那那些功能能保护

26、脆弱弱的服务务通过过滤滤不安全全的服务务，Fiirewwalll可以极极大地提提高网络络安全和和减少子子网中主主机的风风险。例例如，FFireewalll可以以禁止NNIS、NFSS服务通通过，FFireewalll同时时可以拒拒绝源路路由和IICMPP重定向向封包。控制对系系统的访访问Fireewalll可以以提供对对系统的的访问控控制。如如允许从从外部访访问某些些主机，同时禁禁止访问问另外的的主机。例如FFireewalll允许许外部访访问特定定的Maail Serrverr和Webb Seerveer。集中的安安全管理理 Firrewaall对对企业内内部网实实现集中中的安全全管理，在防

27、火火墙定义义的安全全规则可可以运行行于整个个内部网网络系统统，而无无须在内内部网每每台机器器上分别别设立安安全策略略。Fiirewwalll可以定定义不同同的认证证方法，而不需需要在每每台机器器上分别别安装特特定的认认证软件件外部用用户也只只需要经经过一次次认证即即可访问问内部网网。增强的保保密性 使用Fiirewwalll可以阻阻止攻击击者获取取攻击网网络系统统的有用用信息,如Figger和和DNSS。记录和统统计网络络利用数数据以及及非法使使用数据据 Firrewaall可可以记录录和统计计通过FFireewalll的网网络通讯讯，提供供关于网网络使用用的统计计数据，并且，Firrewaa

28、ll可可以提供供统计数数据，来来判断可可能的攻攻击和探探测。策略执行行 Firrewaall提提供了制制定和执执行网络络安全策策略的手手段。未未设置防防火墙时时，网络络安全取取决于每每台主机机的用户户。 总的的来说，一个好好的防火火墙系统统应具有有以下五五方面的的特征：（1）所所有在内内部网络络和外部部网络之之间传输输的数据据都必须须能够通通过防火火墙；（2）只只有被授授权的合合法数据据，即防防火墙系系统中安安全策略略允许的的数据，可以通通过防火火墙；（3）防防火墙本本身不受受各种攻攻击的影影响；（4）使使用目前前新的信信息安全全技术，比如现现代密码码技术、一次口口令系统统、智能能卡等；（5）

29、人人机界面面良好，用户配配置使用用方便，易管理理。系统统管理员员可以方方便地对对防火墙墙进行设设置，对对Intternnet的的访问者者、被访访问者、访问协协议以及及方式进进行控制制。二、防火火墙的模模型国际标准准化组织织ISOO的计算算机专业业委员会会根据网网络开发发系统互互联七层层模型（OSII/RMM）制定定了一个个网络安安全体系系结构，该模型型主要用用来解决决网络系系统中的的信息安安全问题题，如下下图所示示： 层层 次安全服务务物理层数据链路 层网络层传送层回话层表示层应用层对等实体体鉴别访问控制制连接保密密选择字段段保密报文流安安全数据完整整性数据源鉴鉴别禁止否认认服务防火墙目目的在

30、于于实现安安全访问问控制,因此按按照OSSI/RRM模型型及上图图的安全全要求,防火墙墙可以在在 OSSI/RRM七层层中的五五层设置置。一般般的防火火墙模型型如下图图所示：OSI/RM 防火火墙 应用层 网关级 表示层 回话层 传输层 电路级 网络层 路由器级 数据链路层 网桥级 物理层 中继器级 外部网络内部网络 安安全系统统 防火火墙系统统 非保护护区一个防火火墙从功功能上来来分，通通常由以以下几部部分组成成，如图图所示： 传机接口访问控制策略 审 计 安全管理 数据加密 网络互联设备三、防火火墙基本本安全策策略一个防火火墙系统统通常由由屏蔽路路由器和和代理服服务器组组成。屏屏蔽路由由器

31、是一一个多端端口的IIP路由由器, 它通过过对每一一个到来来的IPP包依据据一组规规则进行行检查来来判断是是否对之之进行转转发。屏屏蔽路由由器从包包头取得得信息, 例如如协议号号、收发发报文的的IP地地址和端端口号, 连接接标志以以至另外外一些IIP选项项, 对对IP包包进行过过滤。 代理服务务器是防防火墙系系统中的的一个服服务器进进程, 它能够够代替网网络用户户完成特特定的TTCP/IP功功能。一一个代理理服务器器本质上上是一个个应用层层的网关关, 一一个为特特定网络络应用而而连接两两个网络络的网关关。用户户就一项项TCPP/IPP应用, 比如如Tellnett或者fftp,同代理理服务器器

32、打交道道, 代代理服务务器要求求用户提提供其要要访问的的远程主主机名。当用户户答复并并提供了了正确的的用户身身份及认认证信息息后, 代理服服务器连连通远程程主机, 为两两个通信信点充当当中继。整个过过程可以以对用户户完全透透明。用用户提供供的用户户身份及及认证信信息可用用于用户户级的认认证。最最简单的的情况是是: 它它只由用用户标识识和口令令构成。但是, 如果果防火墙墙是通过过Intternnet可可访问的的, 我我们推荐荐使用更更强的认认证机制制,比如如一次性性口令或或挑战回回应式系系统。屏蔽路由由器的优优点是简简单和低低(硬件件)成本本。其缺缺点关系系到正确确建立包包过滤规规则比较较困难、

33、屏蔽路路由器的的管理成成本、还还有用户户级身份份认证的的缺乏。路由器器生产商商们正在在着手解解决这些些问题。特别值值得注意意的是, 它们们正在开开发编辑辑包过滤滤规则的的图形用用户界面面。他们们也在制制订标准准的用户户级身份份认证协协议, 来提供供远程身身份认证证拨入用用户服务务。代理服务务器的优优点是用用户级的的身份认认证、日日志记录录和帐号号管理。其缺点点关系到到这样一一个事实实: 要要想提供供全面的的安全保保证, 就要对对每一项项服务都都建立对对应的应应用层网网关。这这个事实实严重地地限制了了新应用用的采纳纳。最近近, 一一个名叫叫SOCCKS的的包罗万万象的代代理服务务器问世世了。SS

34、OCKKS主要要由一个个运行在在防火墙墙系统上上的代理理服务器器软件包包和一个个链接到到各种网网络应用用程序的的库函数数包组成成。这样样的结构构有利于于新应用用的挂接接。 屏蔽路由由器和代代理服务务器通常常组合在在一起构构成混合合系统, 其中中屏蔽路路由器主主要用来来防止IIP 欺欺骗攻击击。目前前最广泛泛采用的的配置是是Duaal-hhomeed防火火墙, 被屏蔽蔽主机型型防火墙墙, 以以及被屏屏蔽子网网型防火火墙。 设计一个个防火墙墙安全策策略是研研制和开开发一个个有效的的防火墙墙的第一一步。目目前安全全策略主主要有两两种：（1）没没有被允允许就是是禁止；（2）没有被被禁止就就是允许许。目

35、前前一般采采用策略略（1）来设计计防火墙墙。整体体安全策策略应包包含以下下主要内内容：用用户账号号策略；用户权权限策略略；信任任关系策策略；包包过滤策策略；认认证策略略；签名名策略；数据加加密策略略；密钥钥分配策策略；审审计策略略。四、防火火墙关键键技术及及发展 目前，用于防防火墙的的几种关关键技术术有：包包过滤技技术、代代理技术术、SOOCKSS 技术术、状态态检查技技术（SStattefuul SSpeccifiicattionn）、地地址翻译译(NAAT)技技术、VVPN技技术、内内容检查查技术和和其他防防火墙技技术。本本章主要要讨论应应用最为为广泛的的包过滤滤技术和和代理技技术。（一）

36、数数据包过过滤技术术数据包过过滤(PPackket Fillterringg)技术术是在网网络层对对数据包包进行选选择，选选择的依依据是系系统内设设置的过过滤逻辑辑，被称称为访问问控制表表Acccesss Coontrrol Tabble。通过检检查数据据流中每每个数据据包的源源地址、目的地地址、所所用的端端口号、协议状状态等因因素，或或它们的的组合来来确定是是否允许许该数据据包通过过。数据据包过滤滤防火墙墙逻辑简简单，价价格便宜宜，易于于安装和和使用，网络性性能和透透明性好好，它通通常安装装在路由由器上。路由器器是内部部网络与与Intternnet连连接必不不可少的的设备，因此在在原有网网络

37、上增增加这样样的防火火墙几乎乎不需要要任何额额外的费费用。 1 数据包包为什么么要过滤滤为了通过过网络传传送信息息，信息息必须被被打破分分成小片片，每件件被分别别传送。将信息息分成小小片可使使许多系系统共享享网络，每个系系统可以以按顺序序发送小小片。在在IP网网络中，那些小小片数据据叫做数数据包。所以通通过IPP网络传传送的数数据都是是以数据据包的形形式传送送的。连接IPP网络的的基本设设备是路路由器，传过因因特网的的数据包包从路由由器到路路由器游游历，直直到他们们的目的的地。路路由器必必须对它它所接收收的每一一个数据据包做出出路由选选择策略略，必须须决定如如何把数数据包发发送到最最终目的的地

38、址。数据包过过滤在网网络中起起着举足足轻重的的作用：它允许许你在单单个地方方为整个个网络提提供特别别的保护护。比如如：不让让任何人人从外界界使用TTelnnet登登陆；让让每个人人经由SSMTPP向我们们发送电电子函件件等等。 一一旦数据据包过滤滤路由器器完成对对一特定定的数据据包的检检测，它它能利用用那个数数据包做做出两个个选择：1.通通过数据据包，通通常，如如果数据据包通过过了数据据包过滤滤配置的的准则要要求，路路由器将将把数据据包向其其目标传传送，就就像一个个正常路路由器所所做的那那样；22.放弃弃数据包包，如果果不能通通过数据据包过滤滤配置标标准，就就放弃数数据包。2配置置数据包包过滤

39、路路由器 数据据包过滤滤器改善善了对作作为操作作系统一一部分而而交付使使用的网网络软件件的访问问控制能能力。访访问控制制规则是是规定操操作是否否允许的的约束。从概念念上讲，就是将将一组变变量的值值与访问问控制数数据库中中的规则则进行比比较，而而这些变变量的值值由表示示主体和和对象属属性的状状态信息息得出。例如，网络传传输中两两个重要要的值是是源地址址和目的的地址。数据包包过滤规规则可以以被配置置成根据据这些值值来允许许或拒绝绝IP传传输。数据包过过滤器是是对网络络通信的的访问控控制机制制。数据据包过滤滤器在处处理每个个数据包包之前都都要查阅阅它的访访问控制制规则，而不是是处理或或转发到到达结点

40、点网络适适配器的的所有的的数据包包。因为为网络协协议栈较较低的层层运行在在操作系系统内核核中，多多数的数数据包过过滤器作作为操作作系统的的核心的的扩展或或替代而而实现。这是非非常重要要的，因因为一些些防火墙墙完全替替代了部部分核心心，而另另外那些些则附在在核上并并拦载功功能调用用。那末末，数据据包过滤滤器能控控制些什什么呢?因为数据据包过滤滤器就是是网络协协议栈，所以它它能够根根据网络络数据包包的包头头中出现现的任意意字段来来作出访访问控制制决策。如果有有必要，数据包包过滤器器还能检检验数据据包的数数据部分分一致性性安全性性策略或或者寻找找攻击。第一代代的数据据包过滤滤器通过过察看如如下字段段

41、来放行行或丢弃弃数据包包：源或或目的地地址；端端口；协协议类型型（TCCP，UUDP或或其它）；服务务类型（FTPP，teelneet，DDNS，RIPP）。由由于协议议攻击变变得常见见，数据据包过滤滤器得到到加强以以察看数数据包的的SYNN和ACCK域的的设置以以及其它它特征。发现新新的协议议攻击之之后，防防火墙经经销商迅迅速地进进行防卫卫。也就就是说，数据包包过滤的的访问控控制能力力一直在在改进。3包过过滤规则则的约定定假定对每每一个数数据包，路由器器按照顺顺序仔细细研究规规则直到到他找到到一个匹匹配的规规则，之之后它根根据规则则采取行行动。如如果没有有规则可可以采用用，我们们将其缺缺省设

42、置置为“拒绝”。（1）按按地址过过滤最简单的的但不是是最普通通的数据据包过滤滤结构是是通过地地址过滤滤的。这这种方法法的过滤滤要你限限制基于于数据包包源或目目标地址址的数据据包流，而不必必考虑包包括什么么协议。这样过过滤能用用来允许许特定的的外部主主机与特特定的内内部主机机对话，例如，阻止侵侵袭者注注入伪造造的数据据包到你你的网络络之中。 因因为源地地址能被被伪造，信任源源地址不不一定安安全。除除非在你你和你要要交谈的的主机之之间使用用某种密密码认证证，你不不知道你你是否真真的在与与你所期期待的那那个主机机对话，还是与与其它正正在假装装成主机机的机器器对话。如果一一个外部部主机声声称自己己是一

43、部部内部主主机的话话，那么么过滤器器将帮助助你； 如果一一个外部部主机声声称是另另一个不不同的外外部主机机，它们们将无能能为力。（2）按按服务过过滤 包过滤规规则允许许Rouuterr取舍以以一个特特殊服务务为基础础的信息息流，因因为大多多数服务务检测器器驻留于于众所周周知的TTCP/UDPP端口。下面以TTelnnet为为例，说说明数据据包过滤滤的特性性。Teelneet可使使一个用用户注册册到另一一个系统统，就好好像用户户有一台台终端直直接连接接到那个个系统一一样。TTelnnet Serrvicce为 TCPP poort 23, 端口口等待远远程连接接,而SSMTPP Seerviic

44、e为为TCPP Poort 25端端口等待待输入连连接。如如要封锁锁输入TTelnnet、SMTTP的连连接，则则Rouuterr舍弃端端口值为为23，25的的所有的的数据包包。典型的过过滤规则则有如下下几种：* 只允允许特定定名单内内的内部部主机进进行Teelneet输入入对话* 只允允许特定定名单内内的内部部主机进进行FPPT输入入对话* 只允允许所有有Tellnett输入对对话* 只允允许所有有FTPP输入对对话* 拒绝绝来自一一些特定定外部网网络的所所有输入入信息4包过过滤技术术的优缺缺点 包包过滤对对用户来来说有以以下的优优点： *帮助助保护整整个网络络，减少少暴露的的风险。 *对用

45、用户完全全透明，不需要要对客户户端做任任何改动动，也不不需要对对用户做做任何培培训。 *很多多路由器器可以做做数据包包过滤，因此不不需要专专门添加加设备。 包包过滤最最明显的的缺陷是是即使是是最基本本的网络络服务和和协议，它也不不能提供供足够的的安全保保护，包包过滤是是不够安安全的，因为它它不能提提供防火火墙所必必需的保保护能力力。她的的缺点主主要表现现在： *包过过滤规则则难于配配置，一一旦配置置，数据据包过滤滤规则也也难于检检验 *包过过滤仅可可以访问问包头信信息中的的有限信信息。 *包过过滤是无无状态的的，因为为包过滤滤不能保保证与传传输相关关的状态态信息或或与应用用相关的的状态信信息。

46、 *包过过滤对信信息的处处理能力力非常有有限。 *一些些协议不不适合用用数据包包过滤，如基于于RPCC的应用用的“r”命令等等。（二）代代理技术术 代理理(Prroxyy) 技术与与包过滤滤技术完完全不同同，包过过滤技术术是在网网络层拦拦截所有有的信息息流，代代理技术术是针对对每一个个特定应应用都有有一个程程序。代代理是企企图在应应用层实实现防火火墙的功功能，代代理的主主要特点点是有状状态性。代理能能提供部部分与传传输有关关的状态态，能完完全提供供与应用用相关的的状态和和部分传传输方面面的信息息，代理理也能处处理和管管理信息息。代理服务务(Prroxyy Seerviice)也称链链路级网网关

47、或TTCP通通道Ciircuuit Levvel Gattewaays or TCPP Tuunneels，也有人人将它归归于应用用级网关关一类。它是针针对数据据包过滤滤和应用用网关技技术存在在的缺点点而引入入的防火火墙技术术，其特特点是将将所有跨跨越防火火墙的网网络通信信链路分分为两段段。防火火墙内外外计算机机系统间间应用层层的 链接，由两两个终止止代理服服务器上上的 链接来实现现，外部部计算机机的网络络链路只只能到达达代理服服务器，从而起起到了隔隔离防火火墙内外外计算机机系统的的作用此外，代理服服务也对对过往的的数据包包进行分分析、注注册登记记，形成成报告，同时当当发现被被攻击迹迹象时会会

48、向网络络管理员员发出警警报，并并保留攻攻击痕迹迹。1代理理服务器器代理服务务器是一一种调节节两个网网络段之之间的信信息传输输的应用用程序。代理服服务器经经常用于于信息过过滤，以以防止网网络之间间的直接接传输。有了代代理服务务器作为为调节者者，源系系统和目目标系统统就永远远不会直直接“连接”起来。代理服服务器在在所有连连接尝试试中扮演演中间人人的角色色。代理使得得网络管管理员能能够实现现，比包包过滤路路由器更更严格的的安全策策略。应应用层网网关不用用依靠包包过滤工工具来管管理Innterrnett服务在在防火墙墙体系中的进进出，而而是采用用为每钟钟所需服服务而安安装在网网关上特特殊代码码（代理服

49、务）的方式式来管理理Intternnet服服务，应应用层网网关能够够让网络络管理员员对服务进进行全面面的控制制。如果果网络管管理员没没有为某某种应用用安装代代理编码码，那么么该项服服务就不不支持并并不能通通过防火火墙系统统来转发发。同时时，代理编码可可以配置置成只支支持网络络管理员员认为必必须的部部分功能能。 22代理理服务器器是如何何工作的的与对应的的分组过过滤器不不同，代代理服务务器不对对任何网网络传输输选择路路由。实实际上，配置正正确的代代理服务务器会把把所有的的路由选选择功能能关闭。正如其其名称所所示，代代理服务务器是防防火墙每每一方的的每个系系统的代代言人。比方说，有两个个人通过过翻

50、译进进行交谈谈。他们们两人确确实在进进行会话话，但从从没有人人直接对对另一个个人说话话。所有有通讯都都通过翻翻译，才才转向另另一方。翻译可可能会把把两人使使用的一一些词句句删除，或者去去掉不必必要的解解释，或或者去掉掉一些具具有敌意意的话。这个比喻喻与网络络通讯的的关系可可以参见见图。内内部主机机希望请请求远程程服务器器上的一一个Weeb网页页。它生生成一个个请求并并且把信信息传送送给与远远程网络络相连的的网关，在本例例中就是是代理服服务器。当代理理服务器器接收到到请求之之后，它它先识别别内部主主机试图图访问的的服务类类型。由由于本例例中主机机请求的的是 WWeb 网页，因此代代理服务务器把请

51、请求传送送到只处处理HTTTP 会话的的应用程程序。该该应用程程序是一一个在内内存中运运行的简简单程序序，只具具有处理理HTTTP通讯讯的功能能。当HTTTP应用用程序收收到请求求时，要要验证AACL是是否允许许此类传传输。如如果允许许，代理理服务器器回生成成一个新新请求发发送给远远程服务务器并使用用自己作作为源系系统。 也就是是说，代代理服务务器不是是简单地地让请求求通过；而是生生成一个个对远程程信息的的新请求求。这个个新请求求接着被被传送到到远程服服务器。如果用用网络分分析器分分析这份份请求，就会看看到好像像代理服服务器发发出了HHTTPP请求，而不是是内部主主机。因因此，当当远程服服务器

52、回回复时，也向代代理服务务器发出出回复信信息。代理服务务器接收收到回复复信息时时，会再再次把回回复信息息传送给给HTTTP应用用程序。HTTTP应用用程序接接着详细细查看远远程服务务器发过过来的实实际数据据中有无无特殊情情况。如如果这些些数据可可以接受受，HTTTP应应用程序序会生成成一个新新分组，并且把把信息发发送给内内部主机机。可以以看到，两端的的系统根根本没有有直接交交换信息息。代理理服务器器一直插插手其中中，保证证一切活活动的安安全性。由于代理理服务器器必须“理解”使用的的应用程程序协议议，所以以它们也也可以实实现针对对协议的的安全保保护。例例如，入入站FTTP代理理服务器器可以配配置

53、成滤滤掉外部部系统接接收到的的所有pput和和mpuut请求求。这样样可以生生成一个个只读FFTP服服务器：防火墙墙之外的的人们将将不能把把初始化化文件写写操作所所需要的的命令发发送给 FTPP 服务务器。但但是，他他们可以以读取文文件，接接收到来来自FTTP服务务器的文文件。提供代理理服务的的可以是是一台双双宿主机机，也可可以是一一台堡垒垒主机。允许用用户访问问代理服服务时很很重要的的，但是是用户是是绝对不不允许注注册到应应用层网网关中的的。假如如允许用用户注册册到防火火墙系统统中，防防火墙系系统的安安全就会会受到威威胁，因因为入侵侵者可能能会在暗暗地里进进行某些些损害防防火墙有有效性的的操

54、作。例如，入侵者者获取rroott权限，安装特特洛伊木木马来截截取口令令，并修修改防火火墙的安安全配置置文件。 3应用层层代理的的优缺点点 提提供代理理的应用用层网关关的主要要优点： *应用用层网关关有能力力支持可可靠的用用户认证证并提供供详细的的注册信信息 *用用于应用用层的过过滤规则则相对于于包过滤滤路由器器来说更更容易配配置和测测试。 *代代理工作作在客户户机和真真实服务务器之间间，完全全控制会会话，所所以可以以提供很很详细的的日志和和安全审审计功能能。 *提提供代理理服务的的防火墙墙可以被被配置成成唯一的的可被外外部看见见的主机机，这样样可以隐隐藏内部部网络的的IP地地址，可可以保护护

55、内部主主机免受受外部主主机的进进攻。 *通通过代理理访问IInteerneet可以以解决合合法的IIP地址址不够用用的问题题，因为为Intternnet所所见到的的只是代代理服务务器的地地址，内内部不合合法的IIP通过过代理可可以访问问Intternnet。 应用层层代理的的缺点： *有有限的连连接性：代理服服务器一一般具有有解释应应用层命命令的功功能，如如解释FFTP命命令、TTelnnet命命令等，那么这这种代理理服务器器就只能能用于一一种服务务。因此此，可能能需要提提供很多多种不同同的代理理服务器器，如FFTP代代理服务务器、TTelnnet代代理服务务器等等等。所以以能提供供的服务务和

56、可伸伸缩性是是有限的的。 *有有限的技技术：应应用层网网关不能能为RPPC、ttalkk和其它它一些基基于通用用协议族族的服务务提供代代理。 *应应用层实实现的防防火墙会会造成明明显的性性能下降降。 *每每个应用用程序都都必须有有一个代代理服务务程序来来进行安安全控制制每一种种应用升升级时，相应代代理服务务程序也也要升级级。 *应应用层网网关要求求用户改改变自己己的行为为，或者者在访问问代理服服务器的的每个系系统上安安装特殊殊的软件件。比如如，透过过应用层层网关TTelnnet的的访问，要求用用户通过过两步而而不是一一步来建建立连接接。不过过，特殊殊的端系系统软件件可以让让用户在在Tellne

57、tt命令中中指定目目标主机机而不是是应用层层网关来来使应用用层网关关透明。此外，代代理对操操作系统统和应用用层的漏漏洞也是是脆弱的的，不能能有效检检查底层层的信息息，传统统的代理理也很少少是透明明的。从历史发发展的观观点来说说，应用用层网关关适应IInteerneet的通通用用途途和需要要。但是是，Innterrnett的环境境在不断断变化，现在，新的协协议、服服务和应应用在不不断涌现现，代理理不再能能处理IInteerneet上的的各种类类型的传传输，不不能满足足新的商商务需求求，不能能胜任对对网络搞搞带宽和和安全性性的需求求。（三）防防火墙技技术发展展趋势考虑到IInteerneet发展展

58、的凶猛猛势头和和防火墙墙产品的的更新步步伐，要要全面展展望防火火墙技术术发展的的未来趋趋势是不不可能的的，但是是，从产产品及功功能来说说，却又又看出一一些动向向和趋势势，下面面几点可可能是下下一步发发展的走走向和选选择：*防火墙墙将从目目前对子子网或内内部网管管理的方方式向远远程网集集中管理理的方向向发展；*过滤深深度不断断加强，从目前前的地址址及服务务过滤发发展到UURL过过滤、内内容过滤滤、AxxtivveX、Javva AAppllet过过滤，并并具备病病毒清除除的功能能。*利用防防火墙建建立虚拟拟专用网网（VPPN）是较长长一段时时间的用用户使用用的主流流，IPP的加密密需求越越来越强

59、强，安全全协议的的开发是是一大热热点。*单项防防火墙（又叫网网络二极极管）将将作为一一种产品品门类而而出现。*对网络络攻击的的监测和和告警将将成为防防火墙的的重要的的功能。*安全管管理工具具不断完完善，特特别是可可疑活动动的日志志分析工工具将成成为防火火墙产品品的一部部分。*防火墙墙将从目目前被动动防护状状态转变变为智能能地、动动态地保保护内部部网络，并集成成目前各各种信息息安全技技术。*根据以以上分析析，人们们选择防防火墙的的标准将将集中在在以下几几个方面面：易于于管理性性；应用用透明性性；鉴别别与加密密功能；操作环环境和硬硬件要求求；VPPA的功功能与CCA的功功能；接接口的数数量；成成本

60、。 第三三章WinddowssNT Serrverr系统概概述及技术漏漏洞分析析一、WiindoowsNNT SServver系系统综述述随着网络络环境从从基于文文件系统统向客户户/服务务器结构构转移，NT系系统也以以令人惊惊讶的速速度迅速速流行起起来。这这在很大大程度上上是应该该归功于于NT与与Winndowws系统统拥有相相似的界界面及易易于管理理的特性性。对于于熟悉WWin995的用用户，使使用Wiindoows NT会会感到轻轻车熟路路，因为为 Wiindoows NT Serrverr (WWinddowss NTT服务器器)与WWinddowss 955的界面面完全相相同。两两者的