暑期实习信息安全调研报告.docx
《暑期实习信息安全调研报告.docx》由会员分享,可在线阅读,更多相关《暑期实习信息安全调研报告.docx(13页珍藏版)》请在冰豆网上搜索。
北京科技大学信安09班40950195杨郅文
暑期实习信息安全调研报告
学校:
北京科技大学
学院:
计算机与通信工程学院
专业:
信息安全
班级:
信安09
姓名:
杨郅文
学号:
40950195
2012年7月
身边的信息安全技术及科学问题
目录
1.前言 2
1.1防火墙:
2
1.1.1防火墙类型:
2
1.1.2代理服务:
3
1.1.3防火墙架设结构:
3
1.1.4防火墙的缺点:
4
1.2路由器防火墙:
5
2TP-link路由器防火墙设置 5
2.1路由器防火墙应用举例— 5
3思科路由器防火墙设置 8
4TP-LINK路由器防火墙与思科路由器防火墙设置区别 10
5安全路由器与防火墙的区别 10
5.1背景 10
5.2目的 10
5.3核心技术 11
5.3.1IP地址欺骗(使连接非正常复位) 11
5.3.2TCP欺骗(会话重放和劫持) 11
5.3.3安全策略 11
5.3.4对性能的影响 11
5.3.5防攻击能力 12
6调研感想 12
1.前言
我所做的关于身边的信息安全技术及科学问题的调研内容主要是关于路由器防火墙的相关知识内容和对比,以及防火墙、安全路由器和路由器防火墙的对比。
首先在这里介绍一下防火墙的概念。
1.1防火墙:
在电脑运算领域中,防火墙(英文:
firewall)是一项协助确保资讯安全的设备,会依照特定的规则,允许或是限制传输的资料通过。
防火墙可能是一台专属的硬件或是架设在一般硬件上的一套软件。
防火墙最基本的功能就是隔离网络,通过将网络划分成不同的区域(通常情况下称为ZONE),制定出不同区域之间的访问控制策略来控制不同任程度区域间传送的数据流。
例如互联网是不可信任的区域,而内部网络是高度信任的区域。
以避免安全策略中禁止的一些通信。
它有控制信息基本的任务在不同信任的区域。
典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。
最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则例如:
TCP/IPPort135~139是MicrosoftWindows的【网上邻居】所使用的。
如果电脑有使用【网上邻居】的【分享资料夹】,又没使用任何防火墙相关的防护措施的话,就等于把自己的【分享资料夹】公开到Internet,供不特定的任何人有机会浏览目录内的档案。
且早期版本的Windows有【网上邻居】系统溢位的无密码保护的漏洞(这里是指【分享资料夹】有设密码,但可经由此系统漏洞,达到无须密码便能浏览资料夹的需求)。
1.1.1防火墙类型:
1.1.1.1个人防火墙:
个人防火墙,通常是在一部电脑上具有封包过滤功能的软件,如ZoneAlarm及WindowsXPSP2后内建的防火墙程式。
而专用的防火墙通常做成网络设备,或是拥有2个以上网络接口的电脑。
以作用的TCP/IP堆栈区分,主要分为网络层防火墙和应用层防火墙两种,但也有些防火墙是同时运作于网络层及应用层。
1.1.1.2网络层防火墙:
网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协定堆栈上。
我们可以以列举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。
这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内建的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。
现在的操作系统及网络设备大多已内建防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:
来源IP地址、来源埠号、目的IP地址或埠号、服务类型(如WWW或是FTP)。
也能经由通讯协定、TTL值、来源的网域名称或网段...等属性来进行过滤。
1.1.1.3应用层防火墙:
防火墙的视察软件接口范例,纪录IP进出情况与对应事件
应用层防火墙是在TCP/IP堆栈的“应用层”上运作,使用浏览器时所产生的资料流或是使用FTP时的资料流都是属于这一层。
应用层防火墙可以拦截进出某应用程式的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。
理论上,这一类的防火墙可以完全阻绝外部的资料流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的属性,可以防范电脑蠕虫或是木马程式的快速蔓延。
不过就实作而言,这个方法既烦且杂(因软件种类极其繁多),所以大部分的防火墙都不会考虑以这种方法设计。
XML防火墙是一种新型态的应用层防火墙。
1.1.2代理服务:
代理服务(Proxy)设备(可能是一台专属的硬件,或只是普通电脑上的一套软件)也能像应用程式一样回应输入封包(例如连线要求),同时封锁其他的封包,达到类似于防火墙的效果。
代理会使从外部网络窜改一个内部系统更加困难,且只要对于代理有良好的设定,即使内部系统出现问题也不一定会造成安全上的漏洞。
相反地,入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的;代理人伪装作为那个系统对其它内部机器。
当对内部地址空间的用途加强安全,破坏狂也许仍然使用方法譬如IP欺骗(IPspoofing)试图通过小包对目标网络。
防火墙经常有网络地址转换(NAT)的功能,并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”,定义在RFC1918。
防火墙的适当的配置要求技巧和智慧,它要求管理员对网络协议和电脑安全有深入的了解,因小差错可使防火墙不能作为安全工具。
1.1.3防火墙架设结构:
1.1.3.1堡垒主机式防火墙:
此防火墙需有两片网络卡,一片与互联网连接,另一片与内部网络连接,如此互联网与内部网络的通路,无法直接接通,所有封包都需要透过堡垒主机转送。
1.1.3.2双闸式防火墙:
此防火墙除了堡垒主机式防火墙的两片网络卡设计外,另有安装一称为应用服务转送器的软件,所有网络封包都须经过此软件检查,此软件将过滤掉不被系统所允许的封包。
1.1.3.3屏障单机式防火墙:
此防火墙的硬件设备除需要主机外,还需要另一路由器,路由器需具有封包过滤的功能,主机则负责过滤及处理网络服务要求的封包,当互联网的封包进入屏障单机式防火墙时,路由器会先检查此封包是否满足过滤规则,再将过滤成功的封包,转送到主机做网络服务层的检查与转送。
1.1.3.4屏障双闸式防火墙:
将屏障单机式防火墙的主机换成,双闸式防火墙。
1.1.3.5屏障子网域式防火墙:
此防火墙借由多台主机与两个路由器组成,电脑分成两个区块,屏障子网域与内部网络,封包经由以下路径,第一个路由器->屏障子网域->第二路由器->内部网络,此设计因有阶段式的过滤功能,因此两个路由器可以有不同的过滤规则,让网络封包使用更有效率。
若一封包通过第一过滤器封包,会先在屏障子网域做服务处理,若要做更深入内部网络的服务,则要通过第二路由器的过滤。
1.1.4防火墙的缺点:
正常状况下,所有互联网的封包软件都应经过防火墙的过滤,这将造成网络交通的瓶颈。
例如在攻击性封包出现时,攻击者会不时寄出封包,让防火墙疲于过滤封包,而使一些合法封包软件亦无法正常进出防火墙。
防火墙虽然可以过滤互联网的封包,但却无法过滤内部网络的封包。
因此若有人从内部网络攻击时,防火墙是毫无用武之地的。
而电脑本身操作系统亦可能一些系统漏洞,使入侵者可以利用这些系统漏洞来绕过防火墙的过滤,进而入侵电脑。
防火墙无法有效阻挡病毒的攻击,尤其是隐藏在资料中的病毒。
接下来介绍路由器防火墙。
1.2路由器防火墙:
路由器通常支持一个或者多个防火墙功能;它们可被划分为用于Internet连接的低端设备和传统的高端路由器。
低端路由器提供了用于阻止和允许特定IP地址和端口号的基本防火墙功能,并使用NAT来隐藏内部IP地址。
它们通常将防火墙功能提供为标准的、为阻止来自Internet的入侵进行了优化的功能;虽然不需要配置,但是对它们进行进一步配置可进一步优化它们的性能。
高端路由器可配置为通过阻止较为明显的入侵(如ping)以及通过使用ACL实现其他IP地址和端口限制,来加强访问权限。
也可提供其他的防火墙功能,这些功能在某些路由器中提供了静态数据包筛选。
在高端路由器中,以较低的成本提供了与硬件防火墙设备相似的防火墙功能,但是吞吐量较低。
接下来分别介绍一下TP-LINK路由器和思科路由器关于防火墙的设定。
2TP-link路由器防火墙设置
2.1路由器防火墙应用举例—
IP地址过滤的使用IP地址过滤用于通过IP地址设置内网主机对外网的访问权限,适用于这样的需求:
在某个时间段,禁止/允许内网某个IP(段)所有或部分端口和外网IP的所有或部分端口的通信。
开启IP地址过滤功能时,必须要开启防火墙总开关,并明确IP地址过滤的缺省过滤规则(设置过程中若有不明确处,可点击当前页面的“帮助”按钮查看帮助信息):
下面将通过两个例子说明IP地址过滤的使用
例一:
预期目的:
不允许内网192.168.1.100-192.168.1.102的IP地址访问外网所有IP地址;允许192.168.1.103完全不受限制的访问外网的所有IP地址。
设置方法如下:
1.选择缺省过滤规则为:
凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器:
2.添加IP地址过滤新条目:
允许内网192.168.1.103完全不受限制的访问外网的所有IP地址
因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”,所以内网电脑IP地址段:
192.168.1.100-192.168.1.102不需要进行添加,默认禁止其通过。
3.保存后生成如下条目,即能达到预期目的:
例二:
预期目的:
内网192.168.1.100-192.168.1.102的IP地址在任何时候都只能浏览外网网页;192.168.1.103从上午8点到下午6点只允在外网219.134.132.62邮件服务器上收发邮件,其余时间不能和对外网通信。
浏览网页需使用到80端口(HTTP协议),收发电子邮件使用25(SMTP)与110(POP),同时域名服务器端口号53(DNS)
设置方法如下:
1.选择缺省过滤规则为:
凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器:
2.设置生成如下条目后即能达到预期目的:
3思科路由器防火墙设置
思科路由器防火墙的设定全部是基于命令行来设定的,下面简单介绍一下相关设定的命令行。
enable
进入特权用户模式
configt
进入全局配置模式
ipdhcpexcluded-address192.168.100.1192.168.100.10
从内部DHCP地址池中排除前10个IP地址
ipdhcppoolInternal-DHCP
创建一个称为“InternalDHCP”的DHCP池
importall
将外部的DHCP设置从ISP导入到“InternalDHCP”池中
network192.168.100.0255.255.255.0
定义这个DHCP池运行的网络
default-router192.168.100.1
为“InternalDHCP”池设置默认网关
ipinspectnamecbactcp
检查向外发出的数据通信,以便于准许对内的响应TCP通信
ipinspectnamecbacudp
检查向外发出的数据通信,以便于准许对内的响应UDP通信
interfacef0/0
升级会员 