防火墙技术指南(PDF格式).PDF

发布时间：2022-06-10 发布人：admin 分类：说明书资料大小：13.80M 资料格式：pdf 举报版权申诉

第1页 / 共137页

第2页 / 共137页

第3页 / 共137页

第4页 / 共137页

第5页 / 共137页

第6页 / 共137页

第7页 / 共137页

第8页 / 共137页

01.pdf

第一部分TCP/IP 及其安全需求：防火墙

第1 章网络互连协议和标准概述

1.1 网际协议

1.1.1 IP 寻址

1.1.2 IP 安全风险

1.2 用户数据报协议

1.2.1 攻击用户数据报协议服务：SATAN 轻松应对

1.2.2 用于UNIX 和Windows NT 上的因特网安全系统

1.3 传输控制协议

1.4 通过CIDR 扩展IP 地址

1.4.1 TCP/IP 安全风险及其对策

1.4.2 IPSEC —IETF 提出的IP 安全对策

1.4.3 IPSO —（美）国防部IP 安全对策

1.5 路由信息协议

1.6 MBONE ——多播骨干网

1.7 因特网控制报文协议

1.8 因特网组管理协议

1.9 开放式最短路径优先

1.10 边界网关协议版本4（BGP-4 ）

1.11 地址转换协议

1.11.1 反向地址转换协议

1.11.2 通过路由器传递IP 数据报的安全风险

1.12 简单网络管理协议

1.13 监视ISP 连接

1.14 下一代IP 协议IPv6

1.14.1 地址扩展

1.14.2 网络设备的自动配置

1.14.3 安全性

1.14.4 实时性能

1.14.5 多播

1.14.6 IPv6 安全性

1.15 网络时间协议

1.16 动态主机配置协议

1.17 Windows 套接字（Winsock ）标准

1.18 域名系统

1.19 防火墙概念

1.19.1 防火墙缺陷

1.19.2 停火区

1.19.3 认证问题

1.19.4 周边信任

1.19.5 内部网

02.pdf

第2 章基础连接

2.1 关于TTY

2.2 UNIX to UNIX Copy

2.3 SLIP 和PPP

2.4 Rlogin

2.5 虚拟终端协议

2.5.1 哥伦比亚大学的Kermit ：一种安全可靠的Telnet 服务器

2.5.2 Telnet 服务的安全考虑

2.5.3 网络安全系统管理员

2.5.4 Telnet 会话安全检查表

2.6 简单文件传输协议

2.7 文件传输协议

2.8 使用防火墙的一些挑战

2.9 IP 网络日益增加的安全需求

03.pdf

第3 章加密：足够吗

3.1 引言

3.2 对称密钥加密(私有密钥)

3.2.1 数据加密标准

3.2.2 国际数据加密算法

3.2.3 CAST 算法

3.2.4 Skipjack 算法

3.2.5 RC2/RC4 算法

3.3 非对称密钥加密/公开密钥加密

3.3.1 RSA

3.3.2 数字签名标准

3.4 消息摘要算法

3.4.1 MD2 、MD4 和MD5

3.4.2 安全哈希标准/安全哈希算法

3.5 证书

3.6 密钥管理

3.6.1 Kerberos 协议

3.6.2 密钥交换算法

3.7 密码分析与攻击

3.7.1 唯密文攻击

3.7.2 已知明文攻击

3.7.3 选择明文攻击

3.7.4 自适应选择明文攻击

3.7.5 中间人攻击

3.7.6 选择密文攻击

3.7.7 选择密钥攻击

3.7.8 软磨硬泡密码分析

3.7.9 时间攻击

3.8 加密应用程序及应用程序编程接口

3.8.1 数据保密及安全通信信道

3.8.2 认证

3.8.3 认证码

3.8.4 NT 安全支持服务接口

3.8.5 Microsoft 加密API

04.pdf

第4 章防火墙面临的挑战：基础Web

4.1 HTTP

4.1.1 基础Web

4.1.2 怎样监视HTTP 协议

4.1.3 利用S-HTTP

4.1.4 使用SSL 增强安全性

4.1.5 小心Web 缓存

4.1.6 堵住漏洞：一个配置检查表

4.1.7 安全检查表

4.1.8 Novell 的HTTP 协议：小心为妙

4.1.9 监视基于UNIX 的Web 服务器的安全问题

4.2 URI/URL

4.2.1 文件URL

4.2.2 Gopher URL

4.2.3 新闻URL

4.2.4 部分URL

4.3 CGI

05.pdf

第5 章防火墙面临的挑战：高级Web

5.1 扩展Web 服务器：危险不断增加

5.1.1 ISAPI

5.1.2 NSAPI

5.1.3 servlet

5.1.4 服务器端ActiveX 服务器

5.1.5 Web 数据库网关

5.1.6 电子邮件应用系统的安全

5.1.7 Macromedia 的Shockwave

5.2 Web 页面中的代码

5.2.1 Java applet

5.2.2 ActiveX 控件和安全威胁

5.2.3 采用面向对象技术

下载第一部分 TCP/IP 及其安全需求：防火墙第1章网络互连协议和标准概述因特网是一个发展非常活跃的领域。在 1 9 6 8年，它的早期研究成果开始崭露头角，后来便出现了它的前身 A R PA N E T，A R PA N E T为表现因特网特性的试验平台做出了重大贡献， 1 9 7 3年，因特网正式面世。从那时起，关于因特网的研究和努力就一直没有间断过，其中大部分努力都是围绕着被称为网络的一个新型赛博空间所需要的标准而进行的。当然，你必须明白，在因特网环境中 “成就”一词的意义已超出了这个词在字典里原来的意义。因为因特网有着无限的生机，它对问题和困难的解决总是超过预想的标准， Ly n c h与R o s e所写的书“ Internet system Handbook” ( 1 9 9 3 )中引用 David Croker的一句话：“因特网标准的进化过程把实用的工程学风格与广泛的社会支持结合在一起了”。“成就”一词所代表的更是一种个人的成功，而不是某个机构筹划的结果。因特网协议及其标准与世界上任何其他事物的结构不同，它总是由一些机构或专业人士中的个人首先提出的。为了了解新的协议是如何出现并最终成为标准的，应该首先熟悉缩写词R F C，即Request for Comment。它的发展变迁过程要追溯到 1 9 6 9年，起因是由于因特网的成员过于分散。正如这个词的字面意思所示，这些文档是一些实用文档、方法、测试结果、模型甚至完整的规范。因特网社会的成员可以阅读，也可以把意见反馈给 R F C，如果这些想法（或基本原理）被社会接受，就有可能成为标准。在因特网社会中关于 R F C的用法（ M O）以及如何操作并没有太大的变化。 1 9 6 9年，当时只有一个网络，整个社会不超过一百位专业人员；随着因特网的飞速发展，因特网不但需要一个机构来集中和协调这些成果，并且需要制定一个最低要求的准则，至少能在成员之间进行有效的通信并取得相互了解。 1 9 7 4年前后，摆在 A R PA N E T面前的形势很清晰了，通信联络需要进一步扩展，它需要的不仅是要能容纳成倍增加的通信媒体，而且要了解早已存在于群组中的许多领域的意义。这个领域需要一个管理者。大约在 1 9 7 7年，随着作为因特网实验备忘录（ I E N）一部分的许多实验的进行，著名的 T C P / I P协议获得了发展的动力。没过多久（1 9 8 6年），为了R F C讨论的需要，需要建立一个由工程技术人员组成的、对标准的发展负责的工作机构，以便有效地引导因特网的发展成长，这样，因特网工程工作组（I N E N G）成立了。今天，因特网工程部（ I E T F）和因特网研究部（ T RT F）成为对因特网近期工程需求和远期研究目标负责、并担负重任的两个工作组。这两个组织曾直接隶属于国际网络执行委员会（I A B），现在属于因特网协会（ 1 9 9 2年成立），这个协会最终也是为因特网技术的发展负责的。但是，如果你是一个因特网上的常客，可能对缩略词 I A B并不满意，的确，在 I A B的逐步发展

2 第一部分 TCP/IP 及其安全需求：防火墙下载并走向成熟过程中， I A B将它的名字改为“ Internet Architecture Board”（由“A c t i v i t i e s”改为 “A r c h i t e c t u r e”），因为I A B在因特网发展的运作方面并没起多大作用。谈到R F C标准，那么首先考虑到的应该是 RFC 733。如果有关于标准的想法或对因特网有益的新技术，可以把它作为 R F C提交给因特网社会。作为 I A B成员之一的 R F C编辑，决定着 R F C的发表，对任一正式文档， R F C都有一种确定的风格和格式。提示如果想得到RFC格式指南，请参考RFC 1111。有关RFC提交方面的信息，请发邮件到rfc-editor@isi.edu。要得到RFC目录，可以检索文件rfc/rfc-index.txt。注意关于I A B、I E T F和I RT F更详细的信息，建议查阅 Ly n c h与R o s e所著的《I n t e r n e t System Handbook》，这不属于本书所讨论的范围。本书并不讨论因特网上所用到的每一个协议，这是因为： ■ 这些协议太多且一直在不停地变化，全部列出来对你并没有太多帮助。 ■ 我们的主要目的是集中在每个协议具体的安全缺陷上。通过对它们安全特性的评估，不但会使你在选择一个协议时做出更明确的决定，而且也会使你明白为什么诸如密码、防火墙和代理服务器等技术会成为系统安全决策时的必要选择。因此，本章集中讨论主要的因特网协议及它们的特性、缺陷、强度以及在因特网上它们是如何对连通性和数据交换产生影响的。表 1 - 1列出了因特网上用到的主要协议。表1-1 提交给IETF 的关于IP 支持的R F C R F C号 7 6 8 7 8 3 7 9 1 7 9 2 7 9 3 / 1 3 2 3 8 2 6 8 5 4 8 7 7 / 1 3 5 6 9 0 3 9 0 4 9 5 0 9 5 1 1 0 0 1 1 0 0 2 1 0 0 9 1 0 4 2 1 0 5 8 1 0 6 3 1 0 7 5 1 0 8 4 11 0 8 111 2 11 5 5 文档内容描述用户数据报协议 ( U D P ) 次要文件传输协议 ( T F T P ) 网际协议( I P ) 因特网控制报文协议 ( I C M P ) 传输控制协议 ( T C P ) 地址转换协议 ( A R P ) 虚终端协议 ( Te l n e t ) X.25 网络IP over 反向地址转换协议 ( R A R P ) 外部网关协议 ( E G P )版本2 I P子网扩展引导协议( B o o t P ) T C P / U D P中NetBIOS 服务协议标准传输：概念和方法 T C P / U D P中NetBIOS 服务协议标准传输：详细规范因特网网关需求 IP over IEEE 802 网络路由信息协议 ( R I P ) 最大传播单元发现选项距离向量多播路由协议 ( D V M R P ) 引导协议厂商扩展修订网际协议安全选项 ( R I P S O ) 因特网群组管理协议管理信息的结构和鉴别

下载第1章网络互连协议和标准概述 3 （续） R F C号文档内容描述 11 5 6 11 5 7 11 8 8 1 2 4 7 1 2 5 6 1 2 6 7 1 5 1 9 1 5 3 2 1 5 3 3 1 5 4 2 1 6 5 4 因特网管理信息基础简单网络管理协议 ( S N M P ) IP over FDDI 开放式最短路径优先 ( O S P F )版本2 路由器的发现边界网关协议 ( B G P )版本3 无类域间路由选择 ( C I D R ) 分类和扩展 BootP for 引导协议 D H C P选项和自举协议扩展分类和扩展 BootP for DHCP 边界网关协议版本 4（B G P - 4） 1.1 网际协议网际协议（ I P）是广泛用于公司、政府部门和因特网上的网络协议。它支持许多个人、专业以及商业上的应用系统，像电子邮件、数据处理以及图像、声音的传输等。 I P是一个无连接的数据报（报文）传输协议。用它来进行网上的寻址、路由选择以及对传输和接收数据报进行控制。每个数据报都包括源地址和目的地址、控制信息以及传向主机层或来自主机层的真实数据。 I P数据报是进行网上（包括因特网）传送的基本单位。由于 I P 是一个无连接协议，所以它不需要预定义一个与逻辑网络连接的关联路径。由于信息包是由路由器接收的，因此 I P寻址信息常用来确定信息包到达其最终目的地址的最佳路由。这样，尽管I P没有关于数据路径用法的控制，但当一个资源不可用时，它能为数据报重选路由。 1.1.1 IP寻址在I P中有一种机制，它能使主机和网关通过网络路由数据报。 I P的这种传递是根据每个数据报的目的地址进行的。当 I P接收到一份数据报时，便检查它的报头（报头存在于每个数据报中），查找目的网络号和路由表。 I P数据报的包头格式如下（见图 1 - 1）：版本包头长度服务类型总长识别码标志标志偏移量生存时间 (4位) (4位) (1) (2) (2) ( 1 3位) ( 1 3位) ( 1 ) 协议头部校验和 ( 2 ) ( 1 ) 源IP 地址 ( 4 ) 目的 IP地址 ( 4 ) 填充数据 IP选项 (可变)(可变) (65 500 位) 图1-1 IP包头格式 ■ 用来创建数据报的 I P协议的版本号。 ■ 报头长度。 ■ 数据报需要的服务类型。 ■ 数据报长。 ■ 数据报标识号。

4 第一部分 TCP/IP 及其安全需求：防火墙下载 ■ 段控制信息。 ■ 数据报在因特网/内部网中传输的最大跳数。 ■ 数据域协议格式。 ■ 源地址、目的地址。 ■ I P选项。所有具有本地地址的数据报都可用 I P直接传送，而具有外部地址的数据报则根据路由表信息向着目的地址的方向传向下一站。 I P还管理着数据报的大小，如果数据报的大小超过实际网络能传送的最大长度， I P将会根据网络硬件的处理能力把数据报分成更小的段，这些数据报在最终被传送到目的地址后又重新被组装在一起。 I P连接由I P地址控制。每个 I P地址唯一标识网络上的一个节点，这在受保护的网络（局域网，广域网和内部网）和诸如因特网的不受保护的网络上都是一样的。 I P地址是用来沿网络传递信息包的，就像美国邮局向全国和全世界按邮政编码顺次递送信件和包裹那样。在一个诸如 L A N的受保护的网络环境中，一个节点可以是一台使用 D O S局域网工作区（LW P D）的P C，这里的I P地址是在LW P D软件安装过程中经过对配置文件的修改而设置的。 I P协议是 T C P / I P的基础。 T C P / I P的特别之处在于它能用于连接非同类的计算机系统，这将在本章后面部分详细介绍。 1.1.2 IP安全风险如果在因特网上没有关于连接的安全风险，也就没必要有防火墙和其他防范机制了。基于I P协议的安全解决方案虽然可以广泛地由商业渠道获得并且能随意使用，但从本书中你可以认识到，在大部分时间内，一个系统还需要行政管理的力量，从而尽可能地把黑客挡在门外。计算机安全越来越成为一个公众关注的问题，我们不可能全部列出处理基于 I P协议安全问题的工具及其实用程序。本书介绍一些安全机制、硬件技术和应用软件以帮助审核所在网络的安全性。现在，让我们把注意力集中到因特网连接协议的安全缺陷上来，看一看缺陷的鉴别及其可能的解决方案。 IP Wa t c h e r：I P协议的劫持如图1 - 2所示，这里有一个称之为 IP Wa t c h e r的商业产品。无论何时，只要管理员（或黑客）需要，IP Wa t c h e r就可通过监视因特网会话以终止或取得对它们的控制，从而劫持 I P连接。在公开的连接表上迅速点一下，就可显示当前的会话和所有键入的信息。再点一下，当 I P Wa t c h e r接管会话时，用户已经彻底被控制了。不用说，这种软件的罪恶用途几乎是无限的。但是，当考虑 I P连接的安全时，所要关注的不仅仅是 IP Wa t c h e r，在黑客团体中，还有很多用来劫持连接的工具。而 IP Wa t c h e r的方便之处（实在是一种威胁）在于它能被很容易地通过点击而加以利用。尽管被IP Wa t c h e r监视时所产生的痕迹很少，很容易骗过你，但还是可以发觉的。如果发往服务器的数据报严重超时，这就是一个明显的迹象，说明你的 I P连接被劫持了；还有，如果你是一个很警觉的网络管理员，就能看到通常提到的 A C K风暴：即当某人劫持了一个 I P连接，由于试图要在服务器（或工作站）上试着重建会话连接而造成的一种风暴。这会引起网

下载络上信息的严重泛滥和阻塞。第1章网络互连协议和标准概述 5 图1-2 IP Watcher，一个黑客引擎还有一些出自黑客的高级工具，用来拦截 I P连接，但使用起来并不是很容易；甚至还有一些工具能够在你阅读电子邮件时将数据插入到连接中。例如，你的文件突然可通过网线传到远程网站，你所觉察到的迹象仅仅是信息包传送时有些延时，但当阅读电子邮件时，却不会觉察到它。不过劫持 I P连接并不像说起来那样简单，这需要攻击者直接进入连接的数据流中，因此，大多数情况下，攻击者若想劫持 I P，必须进入你的站点。提示如果想在因特网或受保护的网络上得到更多的关于管理或劫持IP连接的工具，请查询下列站点： ■ http://cws.iworld.com—此站点提供了一些16位和32位Windows(NT或Windows 95) 因特网工具。 ■ h t t p : / / w w w. u h s q . u h . e d u—此站点提供了一些U N I X安全工具，并对工具作了简短的综合描述。 ■ ftp://ftp.bellcore.com/pub/nmh, ftp://primal.iems.nwu.edu/pub/skey—此站点支持S / K e y 核心软件。 ■ f t p : / / f t p . f u n e t . f i—在这里你会找到一些普通的关于安全 /破坏的实用程序，诸如 n p a s s w d、p a s s w d +、t r a c e r o u t e（如图1 - 3所示）、w h o i s、t c p d u m p、S ATA N以及C r a c k。为了在实用程序中进行快速查找，一旦进入站点，使用引用站点查找＜f i n d＞，

6 第一部分 TCP/IP 及其安全需求：防火墙下载 f i n d ＞是查找文件系统的语句。若使用 We b 客户，则使用 h t t p : / / f t p . f u n e t . f i / search:站点。图1-3 运行中的路由跟踪工具的界面对于提供给因特网网络信息中心（ I n t e r N I C）的信息一定要注意。如果要在因特网上建立一个站点，则必须向 I n t e r N I C申请一个域名，这时，必须提供所在机构的管理和技术联系方面的信息，以及他们的电话、电子邮件地址和网站的物理地址。尽管这是一个很好的安全方法，但如果有人使用 U N I X命令“whois ”，其结果将如图 1 - 4所示，将列出你提供给 I n t e r N I C的所有信息。图1-4 UNIX 中whois命令的使用

下载第1章网络互连协议和标准概述 7 但这意味着你可以拒绝向 I n t e r N I C提供信息。向InterNIC 提供信息是必需的，并且反过来也能用来为你提供保护。不过，当你提交完这个信息时必须记住，黑客通常就是用它来找到一个网站的基本信息的。因此，一定要谨慎。例如，对于联系名，可以用一个缩写或用绰号。向I n t e r N I C进行信息咨询，通常是你的网络遭受攻击的开端。 1 9 9 7年春，我的函件发往南方，去协调从 MS Mail 到MS Exchange的转换，结果有少数几个邮寄列表服务器出现信息垃圾。几个小时内，我们的一个系统管理员在家接到一个投诉电话，拨的就是他家的电话号码，投诉者很清楚要找谁。通过使用“ w h o i s”，遭受信息垃圾攻击的列表服务器的系统操作员能够识别出我所在公司的名字和地址，因为是周末，他找不到别人讨论这个问题，只能根据系统管理员的名字和我们公司所在的城市，快速搜索（如： F o u r这样的搜索引擎h t t p : / / w w w. f o u r 11 . c o m）以获悉我们系统管理员的家庭地址和电话号码。 1.2 用户数据报协议 RFC 768中记录的用户数据报协议（ U D P），为I P提供了一种不可靠、无连接的数据报传输服务。因此，此协议通常应用于面向事务的实用程序，如 I P标准“简单网络管理协议（S N M P）”和“次要文件传输协议（ T F T P）”。同下一节要讨论的 T C P一样，U D P与I P协同工作用来传送报文到目的地址，并提供协议端口以区分运行于单个主机上的软件应用程序。然而，与 T C P不同的是， U D P并不保证数据不丢失和不被复制，因此，如果要使数据传输可靠的话，一定要用 T C P而不是 U D P。图1 - 5给出了U D P报头格式。 0 7 8 源端口长度 15 16 23 24 31 目的端口校验和数据. . . 图1-5 用户数据报报头格式 1.2.1 攻击用户数据报协议服务：SATAN轻松应对 S ATA N，一个流行的用于 U N I X系统网络审查的免费工具。它是一个基于因特网的工具，能够审视运行于系统上开放的用户数据报协议（ U D P）服务（同T C P一样），并且在它发现的服务上能进行低层的脆弱性检测。尽管当前操作系统中被检测出的脆弱之处大多数已被修正， S ATA N仍广泛地用于系统配置的检查。这个工具用起来简单，但有点慢，当网络不稳定时，也不太精确。 S ATA N运行于U N I X的X - w i n d o w s下，为使它更具特色，需要有一个能为 L i n u x提供补丁的版本。当用这个工具进行繁重的审查设置时要当心，因为它经常对过时的脆弱之处不给予报警。 1.2.2 用于UNIX和Windows NT上的因特网安全系统因特网安全系统（ I S S），如图1 - 6所示，是一套用于审查 We b服务器、防火墙和内部主机的商业产品。这套产品包括许多最新的探查 U D P服务（同 T C P一样）的因特网攻击工具和检

8 第一部分 TCP/IP 及其安全需求：防火墙下载查系统脆弱性的工具。经过配置它可以进行周期性检查，并有几个选项可用于报告的生成，其中也包括输出到数据库。图1-6 ISS 扫描本地主机的界面作为一种审查工具， I S S的攻击水平和高度可定制的特点远远超过 S ATA N。如图 1 - 7显示图1-7 ISS Web 站点免费提供审查产品的测试版

分享到：

赞收藏

资料库

防火墙技术指南(PDF格式).PDF

相关推荐

网络技术

热门标签

最新资料