1、第第6 6章章 服务器安全服务器安全6.1 6.1 对服务器的安全威胁对服务器的安全威胁6.2 6.2 访问控制和认证访问控制和认证 6.3 6.3 常见企业级防火墙介绍常见企业级防火墙介绍6.4 6.4 常见企业级防火墙的使用方法常见企业级防火墙的使用方法6.5 6.5 常见的入侵检测方法常见的入侵检测方法 6.1 6.1 对服务器的安全威胁对服务器的安全威胁6.1.1 6.1.1 对对WWWWWW服务器的安全威胁服务器的安全威胁6.1.2 6.1.2 对数据库的安全威胁对数据库的安全威胁6.1.3 6.1.3 对公用网关接口的安全威胁对公用网关接口的安全威胁6.1.4 6.1.4 对其他程
2、序的安全威胁对其他程序的安全威胁 客户机、互联网、服务器的电子商务链上客户机、互联网、服务器的电子商务链上第三个环节是服务器。对企图破坏或非法获取第三个环节是服务器。对企图破坏或非法获取信息的人来说,服务器有很多弱点可被利用。信息的人来说,服务器有很多弱点可被利用。其中一个入口是其中一个入口是WWWWWW服务器极其软件,其他入服务器极其软件,其他入口包括任何有数据的后台程序,如数据库和数口包括任何有数据的后台程序,如数据库和数据库服务器。也许最危险的入口是服务器上的据库服务器。也许最危险的入口是服务器上的公用网关接口程序或其他工具程序。公用网关接口程序或其他工具程序。6.1.16.1.1对对W
3、WWWWW服务器的安全威胁服务器的安全威胁 WWWWWW服务器软件是用来响应服务器软件是用来响应HTTPHTTP请求进行页面传请求进行页面传输的。虽然输的。虽然WWWWWW服务器软件本身并没有内在的高风险服务器软件本身并没有内在的高风险性,但其主要设计目标是支持性,但其主要设计目标是支持WWWWWW服务和方便使用,服务和方便使用,所以软件越复杂,包含错误代码的概率就越高,有所以软件越复杂,包含错误代码的概率就越高,有安全漏洞的概率也就越高。安全漏洞是指破坏者可安全漏洞的概率也就越高。安全漏洞是指破坏者可因之进入系统的安全方面的缺陷。在大多数情况下,因之进入系统的安全方面的缺陷。在大多数情况下,
4、WWWWWW服务器提供的是在低权限下能完成的普通服务和服务器提供的是在低权限下能完成的普通服务和任务。任务。6.1.26.1.2对数据库的安全威胁对数据库的安全威胁 电子商务系统以数据库存储用户数据,电子商务系统以数据库存储用户数据,并可从并可从WWWWWW服务器所连的数据库中检索产品服务器所连的数据库中检索产品信息。数据库服务器实际上是每一个电子交信息。数据库服务器实际上是每一个电子交易、金融和企业资源规划系统的基础。数据易、金融和企业资源规划系统的基础。数据库除存储产品信息外,还可能保存有价值的库除存储产品信息外,还可能保存有价值的信息或隐私信息,如果被更改或泄露会对公信息或隐私信息,如果
5、被更改或泄露会对公司带来无法弥补的损失。司带来无法弥补的损失。1.1.数据库安全问题的重要性数据库安全问题的重要性(1)(1)保护系统敏感信息和数字资产不受非法访问。保护系统敏感信息和数字资产不受非法访问。(2)(2)数据库是个极为复杂的系统,因此很难进行正数据库是个极为复杂的系统,因此很难进行正确的配置和安全维护。确的配置和安全维护。(3)(3)保障数据库服务器上的网络和操作系统数据安保障数据库服务器上的网络和操作系统数据安全是至关重要的。全是至关重要的。(4)(4)拙劣的数据库安全保障设施拙劣的数据库安全保障设施 不仅会危及数据库不仅会危及数据库的安全,还会影响到服务器的操作系统和其他信用
6、的安全,还会影响到服务器的操作系统和其他信用系统。系统。(5)(5)数据库是新型电子交易、企业资源规划和其他数据库是新型电子交易、企业资源规划和其他重要商业系统的基础。重要商业系统的基础。2.2.数据库的漏洞数据库的漏洞 传统的数据库安全系统只侧重于以下几项:用户传统的数据库安全系统只侧重于以下几项:用户帐户、作用和对特定数据库目标的操作许可。必须对帐户、作用和对特定数据库目标的操作许可。必须对数据库系统做范围更广的彻底安全分析,找出所有可数据库系统做范围更广的彻底安全分析,找出所有可能领域内的潜在漏洞,包括以下提到的各项内容:能领域内的潜在漏洞,包括以下提到的各项内容:(1)(1)与销售商提
7、供的软件相关的风险与销售商提供的软件相关的风险软件的软件的BUGBUG、缺少操作系统补丁、脆弱的服务和选择不安全的默认缺少操作系统补丁、脆弱的服务和选择不安全的默认配置。配置。(2)(2)与管理有关的风险与管理有关的风险可用的但并未正确使用的安可用的但并未正确使用的安全选项、危险的默认设置、给用户更多的不适当的权全选项、危险的默认设置、给用户更多的不适当的权限、对系统配置的未经授权的改动。限、对系统配置的未经授权的改动。(3)(3)与用户活动有关的风险与用户活动有关的风险密码长度不够、对重要密码长度不够、对重要数据的非法访问以及窃取数据库内容等恶意行动。数据的非法访问以及窃取数据库内容等恶意行
8、动。3.3.数据库安全数据库安全漏洞区域及示例漏洞区域及示例(1)(1)安全特征不够成熟。安全特征不够成熟。(2)(2)数据库密码的管理。数据库密码的管理。(3)(3)操作系统的后门。操作系统的后门。(4)(4)校验。校验。(5)(5)特洛伊木马程序。特洛伊木马程序。6.1.36.1.3对公用网关接口的安全威胁对公用网关接口的安全威胁 公用网关接口公用网关接口(CGI)(CGI),它可实现从,它可实现从WWWWWW服务器到服务器到另一个程序的信息传输。另一个程序的信息传输。CGICGI和接受它所传输数据的和接受它所传输数据的程序为网页提供了活动内容。因为程序为网页提供了活动内容。因为CGICG
9、I是程序,如果是程序,如果滥用就会带来安全威胁。滥用就会带来安全威胁。6.1.46.1.4对其他程序的安全威胁对其他程序的安全威胁1.1.对服务器的攻击可能来自服务器上所运行的对服务器的攻击可能来自服务器上所运行的程序。例:蠕虫程序。例:蠕虫2.2.溢出攻击就是将指令写在关键的内存位置上,溢出攻击就是将指令写在关键的内存位置上,使侵入的程序在完成了覆盖缓存内容后,使侵入的程序在完成了覆盖缓存内容后,WWWWWW服服务器通过载入记录攻击程序地址的内部寄存器务器通过载入记录攻击程序地址的内部寄存器来恢复执行。例:邮件服务器来恢复执行。例:邮件服务器3.DNS3.DNS对服务器的威胁对服务器的威胁(
10、1)1)名字欺骗名字欺骗(2)(2)信息隐藏信息隐藏解决以上两个问题的办法主要有两种:解决以上两个问题的办法主要有两种:(1)(1)直接直接 利用利用DNSDNS软件本身具备的安全特性来实现。软件本身具备的安全特性来实现。(2)(2)以防火墙以防火墙/NAT/NAT为基础,并运用私有地址和注册地为基础,并运用私有地址和注册地址的概念。址的概念。6.2 6.2 访问控制和认证访问控制和认证6.2.1 入网访问控制6.2.2 权限控制6.2.3 目录级安全控制6.2.4 属性安全控制6.2.5 服务器安全控制 访问控制和认证是指控制访问电子商访问控制和认证是指控制访问电子商务服务器的人和访问内容。
11、访问控制是网务服务器的人和访问内容。访问控制是网络安全防范和保护的主要策略,它的主要络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以访问控制、网络权限控制、目录级控制以及属性控制等多种手段。及属性控制等多种手段。6.2.16.2.1入网访问控制入网访问控制 入网访问控制为网络访问提供了第一入网访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够
12、登录到层访问控制,它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡证、用户帐号的缺省限制检查。三道关卡只要任何一关未过,该用户便不能进入该只要任何一关未过,该用户便不能进入该网络。网络。6.2.26.2.2权限控制权限控制 网络的权限控制是针对网络非法操作所提出的一种网络的权限控制是针对网络非法操作
13、所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。执行哪些操作。我们可以根据访问权限将用户分为以下几类:特殊用户我们可以根据访问权限将用户分为以下几类:特殊用户(系统管理员系统管理员);一般用户;审计用户;一般用户;审计用户6.2.36.2.3目录级安全控制目录级安全控制 网络应允许控制用户对目录、文件、设备网络应允许控制用户对目录、
14、文件、设备的访问。用户在目录一级指定的权限对所有文的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。件查找权限、访问控制权限。6.2.46.2.4属性安全控制属性安全控制 当用文件、目录和网络设备时,网络系统管理员当用文件、目录和网络设备时,网络系统管理员应给
15、文件、目录等指定访问属性。属性安全在权限安应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。属性往往能控制全的基础上提供更进一步的安全性。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。隐含文件、共享、系统属性等。6.2.56.2.5服务器安全控制服务器安全控制服务器安全控制通常是采用服务器认证方法来实现服务器安全控制通常是采用服务器认证方法来实现的。的。服务器认证就是验证期望访问计算机
16、的人的身份,服务器认证就是验证期望访问计算机的人的身份,一般用数字证书进行验证。一般用数字证书进行验证。第一,证书是用户的许可证。第一,证书是用户的许可证。第二,服务器检查证书上的时间标记以确认证书未第二,服务器检查证书上的时间标记以确认证书未过期,并拒绝为过期证书提供服务。过期,并拒绝为过期证书提供服务。第三,服务器可使用回叫系统,即根据用户名和为第三,服务器可使用回叫系统,即根据用户名和为其指定的客户机地址的清单来核对用户名和客户机其指定的客户机地址的清单来核对用户名和客户机地址。地址。6.36.3常见企业级防火墙介绍常见企业级防火墙介绍6.3.1 6.3.1 选择防火墙的要求选择防火墙的
17、要求6.3.2 6.3.2 选购防火墙应该注意的问题选购防火墙应该注意的问题6.3.3 6.3.3 防火墙的局限防火墙的局限6.3.4 6.3.4 常见企业级防火墙产品介绍常见企业级防火墙产品介绍6.3.16.3.1选择防火墙的要求选择防火墙的要求1.1.防火墙应具备的基本功能防火墙应具备的基本功能 支持支持“除非明确允许,否则就禁止除非明确允许,否则就禁止”的设计策略,的设计策略,即使这种策略不是最初使用的策略;本身支持安全策即使这种策略不是最初使用的策略;本身支持安全策略,而不是添加上去的;如果组织机构的安全策略发略,而不是添加上去的;如果组织机构的安全策略发生改变,可以加入新的服务;有先
18、进的认证手段或有生改变,可以加入新的服务;有先进的认证手段或有挂钩程序,可以安装先进的认证方法;如果需要,可挂钩程序,可以安装先进的认证方法;如果需要,可以运用过滤技术允许和禁止服务;可以使用以运用过滤技术允许和禁止服务;可以使用FTPFTP和和TELNETTELNET等服务代理,以便先进的认证手段可以被安装等服务代理,以便先进的认证手段可以被安装和运行在防火墙上;拥有界面友好、易于编程的和运行在防火墙上;拥有界面友好、易于编程的IPIP过过滤语言,并可以根据数据包的性质进行包过滤。滤语言,并可以根据数据包的性质进行包过滤。2.2.其他功能其他功能 防火墙应该能够集中和过滤拨入访问,并可以记防
19、火墙应该能够集中和过滤拨入访问,并可以记录网络流量和可疑的活动。此外,为了使日志具有可录网络流量和可疑的活动。此外,为了使日志具有可读性,防火墙应具有精简日志的能力。读性,防火墙应具有精简日志的能力。6.3.26.3.2选购防火墙应该注意的问题选购防火墙应该注意的问题 防火墙作为网络安全体系的基础和核心控制防火墙作为网络安全体系的基础和核心控制设备,它贯穿于受控网络通信主干线。因此,设备,它贯穿于受控网络通信主干线。因此,选用一个安全、稳定和可靠的防火墙产品,其选用一个安全、稳定和可靠的防火墙产品,其重要性不言而喻。重要性不言而喻。1.1.防火墙自身是否安全防火墙自身是否安全防火墙自身的安全性
20、主要体现在自身设计和管理两个防火墙自身的安全性主要体现在自身设计和管理两个方面。防火墙安全指标最终可归结为以下两个问题:方面。防火墙安全指标最终可归结为以下两个问题:(1)(1)防火墙是否基于安全的操作系统。防火墙是否基于安全的操作系统。(2)(2)防火墙是否采用专用的硬件平台。防火墙是否采用专用的硬件平台。2.2.系统是否稳定系统是否稳定可以从以下几个渠道获得:可以从以下几个渠道获得:(1)(1)国家权威的测评认证机构,如公安部计算机安全产国家权威的测评认证机构,如公安部计算机安全产品检测中心和中国国家信息安全测评认证中心。品检测中心和中国国家信息安全测评认证中心。(2)(2)与其他产品相比
21、,是否获得更多的国家权威机构的与其他产品相比,是否获得更多的国家权威机构的认证、推荐和入网证明。认证、推荐和入网证明。(3)(3)施加调查施加调查(这是最有效的方法这是最有效的方法),考察使用单位和用,考察使用单位和用户对该防火墙的评价。户对该防火墙的评价。(4)(4)自己试用。自己试用。(5)(5)厂商开发研制的历史。厂商开发研制的历史。(6)(6)厂商的实力。厂商的实力。3.3.防火墙是否高效防火墙是否高效高性能是防火墙的一个重要指标,它直接体现可防火墙的高性能是防火墙的一个重要指标,它直接体现可防火墙的可用性,也体现可用户使用防火墙所需付出的安全代价。可用性,也体现可用户使用防火墙所需付
22、出的安全代价。4.4.防火墙是否可靠防火墙是否可靠可靠性对防火墙类访问控制设备来说尤为重要,其直接影可靠性对防火墙类访问控制设备来说尤为重要,其直接影响受控网络的可用性。响受控网络的可用性。5.5.防火墙功能是否灵活防火墙功能是否灵活对通信行为的有效控制,要求防火墙设备有一系列不同级对通信行为的有效控制,要求防火墙设备有一系列不同级别,满足不同拥护的各类安全控制要求的控制注意。控制别,满足不同拥护的各类安全控制要求的控制注意。控制注意的有效性、多样性、级别目标的清晰性、制定的难易注意的有效性、多样性、级别目标的清晰性、制定的难易性和经济性等,体现着控制注意的高效和质量。性和经济性等,体现着控制
23、注意的高效和质量。6.6.防火墙配置是否方便防火墙配置是否方便防火墙有没有简洁的安装方法呢?有!就是支持透明防火墙有没有简洁的安装方法呢?有!就是支持透明通信的防火墙。通信的防火墙。7.7.防火墙管理是简便防火墙管理是简便提供灵活的管理方式和方法。通常体现为管理途径、提供灵活的管理方式和方法。通常体现为管理途径、管理工具和管理权限。管理工具和管理权限。8.8.防火墙是否可以抵抗解决服务攻击防火墙是否可以抵抗解决服务攻击拒绝服务攻击可以分为两类:一类是由于操作系统或拒绝服务攻击可以分为两类:一类是由于操作系统或应用软件本身设计或编程上的缺陷而造成的,由此带应用软件本身设计或编程上的缺陷而造成的,
24、由此带来的攻击种类很多,只有通过打补丁的来的攻击种类很多,只有通过打补丁的 办法来解决;办法来解决;另一类是由于另一类是由于TCP/IPTCP/IP协议本身的缺陷造成的,只有有协议本身的缺陷造成的,只有有数的几种,但危害性非常大。数的几种,但危害性非常大。9.9.防火墙是否可以针对用户身份进行过滤防火墙是否可以针对用户身份进行过滤10.10.防火墙是否具有可扩展、可升级性防火墙是否具有可扩展、可升级性下面是选购一个防火墙时,应该考虑的其他下面是选购一个防火墙时,应该考虑的其他因素:因素:(1)(1)网络受威胁的程度。网络受威胁的程度。(2)(2)若入侵者闯入网络,将要受到的潜在的损失。若入侵者
25、闯入网络,将要受到的潜在的损失。(3)(3)其他已经用来保护网络极其资源的安全措施。其他已经用来保护网络极其资源的安全措施。(4)(4)由于硬件湖软件失效,或防火墙遭到由于硬件湖软件失效,或防火墙遭到“拒绝服务侵拒绝服务侵袭袭”而导致用户不能访问因特网,造成整个机构的损失。而导致用户不能访问因特网,造成整个机构的损失。(5)(5)机构所希望提供给因特网的服务,以及希望能从因机构所希望提供给因特网的服务,以及希望能从因特网得到的服务。特网得到的服务。(6)(6)可以同时通过防火墙的用户数目。可以同时通过防火墙的用户数目。(7)(7)站点是否有经验丰富的管理员。站点是否有经验丰富的管理员。(8)(
26、8)今后可能的要求,如要求增加通过防火墙的网络活今后可能的要求,如要求增加通过防火墙的网络活动或要求新的因特网服务。动或要求新的因特网服务。6.3.36.3.3防火墙的局限防火墙的局限 我们在利用防火墙的各种益处的同时也应我们在利用防火墙的各种益处的同时也应该意识到防火墙的局限。有时防火墙会给人一该意识到防火墙的局限。有时防火墙会给人一种虚假的安全感,导致在防火墙内部放松安全种虚假的安全感,导致在防火墙内部放松安全警惕,而许多攻击正是内部犯罪,这是任何基警惕,而许多攻击正是内部犯罪,这是任何基于隔离的防范措施都无能为力的。同样,防火于隔离的防范措施都无能为力的。同样,防火墙也不能解决进入防火墙
27、的数据带来的所有安墙也不能解决进入防火墙的数据带来的所有安全问题。全问题。6.3.46.3.4常见企业级防火墙产品介绍常见企业级防火墙产品介绍 在国际防火墙市场上,能够占有两位数市在国际防火墙市场上,能够占有两位数市场份额的厂家就只有场份额的厂家就只有CHECK POINT SOFTWARECHECK POINT SOFTWARE公司和公司和CISCOCISCO公司。它们的市场占有率都在百公司。它们的市场占有率都在百分之二十左右。其他厂家比如分之二十左右。其他厂家比如AXENTAXENT公司、公司、NETWORK ASSOCIATESNETWORK ASSOCIATES公司公司CYBERGUA
28、RDCYBERGUARD公司等公司等的市场份额都在百分之五左右。的市场份额都在百分之五左右。在我国国内市场,占有优势的仍旧是国外在我国国内市场,占有优势的仍旧是国外的防火墙产品。从的防火墙产品。从20002000年开始,国内的防火墙年开始,国内的防火墙产品纷纷出台,出现了许多专业防火墙公司,产品纷纷出台,出现了许多专业防火墙公司,如东方龙马、天融信公司等。如东方龙马、天融信公司等。1.CHECKPOINT FIREWALL11.CHECKPOINT FIREWALL1厂家:厂家:CHECK POINT CHECK POINT 软件技术有限公司软件技术有限公司网址:网址:http:/http:/
29、基本特性:基本特性:(1)(1)软件防火墙。软件防火墙。(2)(2)通用平台支持广泛。通用平台支持广泛。(3)(3)状态检测。状态检测。(4)(4)结合了多种安全机制。结合了多种安全机制。(5)(5)一个开放的系统。一个开放的系统。(6)(6)性能好。性能好。(7)(7)优秀的用户管理方式。优秀的用户管理方式。2.CISCO SECURE PIX FIREWALL2.CISCO SECURE PIX FIREWALL厂家:厂家:CISCO CISCO 系统公司系统公司网址:网址:http:/http:/基本特性:基本特性:(1)(1)硬件防火墙。硬件防火墙。(2)(2)专用系统。专用系统。(3
30、)(3)性能:是同类产品中最好的,对性能:是同类产品中最好的,对100baset100baset可达线速。可达线速。(4)(4)管理模块能力没有管理模块能力没有CHECK POINTCHECK POINT防火墙管理模块那防火墙管理模块那么强劲。么强劲。3.NETSCREEN FIREWALL 3.NETSCREEN FIREWALL 厂家:厂家:NETSCREENNETSCREEN公司公司网址:网址:http:/http:/基本特性:基本特性:(1)(1)硬件防火墙。硬件防火墙。(2)(2)集成了防火墙、集成了防火墙、VPNVPN、流量控制三种功能。、流量控制三种功能。(3)(3)将防火墙、虚
31、拟专用网、网络流量控制和宽带接入将防火墙、虚拟专用网、网络流量控制和宽带接入这些功能全部集成在专有的一体硬件中,该项技术能有这些功能全部集成在专有的一体硬件中,该项技术能有效消除传统防火墙实现数据加密时的性能瓶颈。效消除传统防火墙实现数据加密时的性能瓶颈。(4)(4)配置可在网络上任何一台带有浏览器的机器上完成。配置可在网络上任何一台带有浏览器的机器上完成。4.NAI GAUNTLET4.NAI GAUNTLET防火墙防火墙厂家:厂家:NAI NAI 公司公司网址:网址:http:/http:/基本特性:基本特性:(1)(1)软件的防火墙。软件的防火墙。(2)(2)应用层代理。应用层代理。(3
32、)(3)提出集成防病毒产品的解决方案。提出集成防病毒产品的解决方案。5.5.天融信公司网络卫士防火墙天融信公司网络卫士防火墙北京天融信公司的网络卫士是我国第一套自主版北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。科研等单位广泛使用。它由防火墙和管理器组成。6.6.紫光紫光UNIS FIREWALLUNIS FIREWALL基本特性:基本特性:(1)网络地址转换网络地址转换(NAT)。(2)中立区中立区(DMZ)策略。策略。(3)(3)多级过滤、动态过滤和代理。多级过滤
33、、动态过滤和代理。(4)URL(4)URL过滤。过滤。(5)(5)基于基于SSLSSL的浏览器管理界面,允许通过流行的的浏览器管理界面,允许通过流行的WEBWEB浏浏览器使用览器使用HTTPHTTP协议管理和配置防火墙,保证了防火墙协议管理和配置防火墙,保证了防火墙管理的安全性和易用性。支持浏览器超时退出的功能,管理的安全性和易用性。支持浏览器超时退出的功能,保证了管理员离开管理计算机后的安全。保证了管理员离开管理计算机后的安全。(6)(6)访问记录。访问记录。(7)(7)传输定制。传输定制。7.7.东大阿尔派东大阿尔派NETEYENETEYE基本特性:基本特性:(1)(1)强大的过滤功能,提
34、供了包过滤规则的时间属性,强大的过滤功能,提供了包过滤规则的时间属性,以限制网络访问的时间。以限制网络访问的时间。(2)(2)面向对象的可视化的规则编辑和管理工具,全新面向对象的可视化的规则编辑和管理工具,全新的可视化的管理和配置概念。的可视化的管理和配置概念。(3)(3)双机热备份,即在同一个网络节点使用两个配置双机热备份,即在同一个网络节点使用两个配置相同的防火墙。相同的防火墙。(4)(4)双向双向NATNAT功能,支持在内部网和功能,支持在内部网和DMZDMZ区使用保留的区使用保留的IPIP地址,通过动态的地址转换功能实现对外部网的地址,通过动态的地址转换功能实现对外部网的访问。访问。(
35、5)(5)提供三个网络界面,即内网、外网和提供三个网络界面,即内网、外网和DMZDMZ区。区。(6)(6)实时入侵检测,可以有效地防范外部黑客对内部实时入侵检测,可以有效地防范外部黑客对内部网络的攻击,提高了被保护网络的安全性。网络的攻击,提高了被保护网络的安全性。(7)(7)对防火墙用户的一次性口令验证。对防火墙用户的一次性口令验证。8.8.东方龙马防火墙东方龙马防火墙基本特性:基本特性:(1)(1)动态设置过滤规则的功能。动态设置过滤规则的功能。(2)(2)双向的网络地址转换功能,同时支持一对一的静态双向的网络地址转换功能,同时支持一对一的静态地址映射和多对一的动态地址映射两种方式的地址转
36、地址映射和多对一的动态地址映射两种方式的地址转换。换。(3)(3)抗攻击和自我保护能力强。抗攻击和自我保护能力强。(4)(4)提供操作简单的图形化用户界面对防火墙进行配提供操作简单的图形化用户界面对防火墙进行配置。置。(5)(5)采用负载均衡技术,可以智能地将用户的服采用负载均衡技术,可以智能地将用户的服务请求分布到多台服务器上面。同时,提供容错务请求分布到多台服务器上面。同时,提供容错功能,可以自动隔离出有问题的服务器。功能,可以自动隔离出有问题的服务器。(6)(6)通过双机热备份,提供可靠的容错通过双机热备份,提供可靠的容错/热待机功热待机功能。能。(7)(7)提供创新的提供创新的URLU
37、RL级统计、屏蔽功能,管理员可级统计、屏蔽功能,管理员可以根据上述内容控制的统计结果,手动或计算机以根据上述内容控制的统计结果,手动或计算机自动屏蔽某些自动屏蔽某些URLURL。6.46.4常见企业级防火墙的使用方法常见企业级防火墙的使用方法6.4.1 6.4.1 FIREWALL16.4.2 6.4.2 CISCO PIX防火墙6.4.1FIREWALL16.4.1FIREWALL1一、一、FIREWALL1FIREWALL1产品组成产品组成包括以下模块:包括以下模块:(1)(1)基本模块基本模块 状态检测模块:提供访问控制、客户机认证、会话状态检测模块:提供访问控制、客户机认证、会话认证、
38、地转换和审计功能。认证、地转换和审计功能。防火墙模块:包含一个状态检测模块,另外提供用防火墙模块:包含一个状态检测模块,另外提供用户认证、内容安全和多防火墙同步功能。户认证、内容安全和多防火墙同步功能。管理模块:对一个或多个安全策略执行点提供集中管理模块:对一个或多个安全策略执行点提供集中的、图形化的安全管理功能。的、图形化的安全管理功能。(2)(2)可选模块可选模块连接控制:为提供相同服务的多个应用服务器连接控制:为提供相同服务的多个应用服务器提供负载平衡功能。提供负载平衡功能。路由器安全管理模块:提供通过防火墙管理工路由器安全管理模块:提供通过防火墙管理工作站配置、维护作站配置、维护3CO
39、M3COM、CISCOCISCO、BAYBAY等路由等路由器的安全规则。器的安全规则。其他模块:如加密模块等。其他模块:如加密模块等。(3)(3)图形用户界面图形用户界面(GUI)(GUI)是管理模块功能的体现,包括:是管理模块功能的体现,包括:策略编辑器:维护管理对象、建立安全规则、把安全策略编辑器:维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去。规则施加到安全策略执行点上去。日志查看器:查看经过防火墙的连接,识别并阻断攻日志查看器:查看经过防火墙的连接,识别并阻断攻击。击。系统状态查看器:查看所有被保护对象的状态。系统状态查看器:查看所有被保护对象的状态。(4)FIREWA
40、LL(4)FIREWALL1 1提供单网关和企业级两种产品组合:提供单网关和企业级两种产品组合:单网关产品:只有防火墙模块、管理模块和图形用户单网关产品:只有防火墙模块、管理模块和图形用户界面各一个且防火墙模块和管理模块必须安装在同一界面各一个且防火墙模块和管理模块必须安装在同一台机器上。台机器上。企业级产品:可以有若干个基本模块和可选模块以企业级产品:可以有若干个基本模块和可选模块以及图形用户界面组成,特别是可能配置较多的防火及图形用户界面组成,特别是可能配置较多的防火墙模块和独立的状态检测模块。企业级产品的不同墙模块和独立的状态检测模块。企业级产品的不同模块可以安装在不同的机器上。模块可以
41、安装在不同的机器上。二、二、CHECK POINT CHECK POINT 的主要特性的主要特性(1)(1)状态检测机制状态检测机制(2)OPSEC(2)OPSEC(3)(3)企业级防火墙安全管理企业级防火墙安全管理 安全策略编辑器安全策略编辑器 日志管理器日志管理器 系统状态查看器系统状态查看器(4)分布的客户机/服务器结构(5)认证 三种认证方法:用户认证客、户机认证、会话认证(6)(6)地址转换地址转换(NAT)(NAT)三种不同的地址转换模式:三种不同的地址转换模式:静态源地址转换静态源地址转换静态目的地址转换静态目的地址转换动态地址转换动态地址转换(7)(7)内容安全内容安全 利用第
42、三方的防病毒服务器,通过防火墙规则配置,利用第三方的防病毒服务器,通过防火墙规则配置,扫描通过防火墙的文件,清除计算机病毒。扫描通过防火墙的文件,清除计算机病毒。根据安全策略,在访问根据安全策略,在访问WEBWEB资源时,从资源时,从HTTPHTTP页面剥离页面剥离JAVAJAVA等代码。等代码。用户定义过滤条件、过滤用户定义过滤条件、过滤URLURL。控制控制FTPFTP的操作,过滤的操作,过滤FTPFTP传输的文件内容。传输的文件内容。SMTPSMTP的内容安全。的内容安全。可以设置在发现异常时进行记录或报警。可以设置在发现异常时进行记录或报警。通过控制台集中管理、配置、维护。通过控制台集
43、中管理、配置、维护。(8)连接控制连接控制 Server LoadServer Load Round TripRound Trip Round RobinRound Robin RandomRandom DomainDomain(9)(9)路由器安全管理路由器安全管理 通过图形用户界面生成路由器的过滤和配置。通过图形用户界面生成路由器的过滤和配置。引入、维护路由器的访问控制列表。引入、维护路由器的访问控制列表。记录路由器事件。记录路由器事件。在路由器上执行通过图形用户界面制定的安全策略。在路由器上执行通过图形用户界面制定的安全策略。三、三、.FIREWALL1.FIREWALL1在在WINDO
44、WS NTWINDOWS NT下下的安装的安装第一,了解整个网络的拓扑结构。第一,了解整个网络的拓扑结构。第二,安装防火墙主机操作系统。第二,安装防火墙主机操作系统。第三,安装防火墙。第三,安装防火墙。第四,定义网络对象。第四,定义网络对象。第五,配置防火墙主机的地址映射。第五,配置防火墙主机的地址映射。第六,设定防火墙的安全策略。第六,设定防火墙的安全策略。6.4.2CISCO PIX6.4.2CISCO PIX防火墙防火墙 防火墙产品氛围硬件和软件两种:硬件防防火墙产品氛围硬件和软件两种:硬件防火墙采用专用的硬件设备,然后集成生产厂商火墙采用专用的硬件设备,然后集成生产厂商的专用防火墙软件
45、;软件防火墙一般基于某个的专用防火墙软件;软件防火墙一般基于某个操作系统平台开发,直接在计算机上进行软件操作系统平台开发,直接在计算机上进行软件的安装和配置。相对于软件防火墙而言,硬件的安装和配置。相对于软件防火墙而言,硬件防火墙往往能提供更优越的网络速度和性能。防火墙往往能提供更优越的网络速度和性能。CISCOCISCO公司的公司的PIXPIX防火墙就是一种典型的企业防火墙就是一种典型的企业级硬件防火墙。它优势有两点:级硬件防火墙。它优势有两点:第一,网络性能相当不错。第一,网络性能相当不错。第二,包含了丰富的基于第二,包含了丰富的基于IPSECIPSEC的的VPNVPN服务软件。服务软件。
46、不足之处是管理完全基于命令行方式。不足之处是管理完全基于命令行方式。安装步骤如下:安装步骤如下:(1)(1)连接一台控制终端。连接一台控制终端。(2)(2)获得最新获得最新PIXPIX软件。软件。(3)(3)配置网络路由。配置网络路由。(4)(4)配置配置PIXPIX。(5)(5)配置网络接口。配置网络接口。(6)(6)允许内部用户访问外部网段。允许内部用户访问外部网段。(7)(7)定义外部路由。定义外部路由。(8)(8)允许使用允许使用PINGPING命令。命令。(9)(9)保存设置和重新启动。保存设置和重新启动。(10)(10)增加增加TELNETTELNET访问控制。访问控制。(11)(
47、11)增加服务器访问控制。增加服务器访问控制。(12)(12)控制内部网段对外的访问。控制内部网段对外的访问。6.5 6.5 常见的入侵检测系统常见的入侵检测系统6.5.1 6.5.1 概述6.5.2 6.5.2 常见的企业级网络入侵检测系统6.5.16.5.1概述概述 Intrusion Detection System(Intrusion Detection System(入侵检测入侵检测系统系统),顾名思义,便是对入侵行为的发觉。它,顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或
48、系统收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的相位和被攻击的迹象。中是否有违反安全策略的相位和被攻击的迹象。入侵检测是防火墙的合理补充,帮助系统对付网入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力络攻击,扩展了系统管理员的安全管理能力(包包括安全审计、监视、进攻识别和响应括安全审计、监视、进攻识别和响应),提高了,提高了信息安全基础结构的完整性。入侵检测被认为是信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门。防火墙之后的第二道安全闸门。一般可以从以下几个方面去评价一个入侵检测一般可以从以下几个方面去评价一个入侵检测系
49、统:系统:(1)(1)能保证自身的安全。能保证自身的安全。(2)(2)运行与维护系统的开销。运行与维护系统的开销。(3)(3)入侵检测系统报警的准确率,要使误报和漏报的情入侵检测系统报警的准确率,要使误报和漏报的情况尽量少。况尽量少。(4)(4)网络入侵检测系统负载能力以及可支持的网络类型。网络入侵检测系统负载能力以及可支持的网络类型。(5)(5)支持的入侵特征数。支持的入侵特征数。(6)(6)是否支持是否支持IPIP碎片重组。碎片重组。(7)(7)是否支持是否支持TCPTCP流重组。流重组。入侵检测系统的产品形式一般有两种:入侵检测系统的产品形式一般有两种:(1)(1)纯软件形纯软件形式。式
50、。(2)(2)硬件集成形式。硬件集成形式。部署方式一般有两种:部署方式一般有两种:(1)(1)基于网络。基于网络。(2)(2)基于主机。基于主机。入侵检测产品由两部分组成:入侵检测产品由两部分组成:(1)(1)传感器。传感器。(2)(2)控制台。控制台。6.5.26.5.2常见的企业级网络入侵检测常见的企业级网络入侵检测 系统系统1.Cisco1.Cisco公司的公司的NetRangerNetRanger公司:公司:Cisco SystemsCisco Systems公司公司网址:网址:http:/http:/2.Axent Technologies2.Axent Technologies公司