暑期实习信息安全调研报告.docx

1、北京科技大学信安09班 40950195 杨郅文暑期实习信息安全调研报告学校：北京科技大学学院：计算机与通信工程学院专业：信息安全班级：信安09姓名：杨郅文学号：409501952012年7月身边的信息安全技术及科学问题目录1.前言21.1 防火墙：21.1.1 防火墙类型：21.1.2 代理服务：31.1.3 防火墙架设结构：31.1.4 防火墙的缺点：41.2 路由器防火墙：52 TP-link路由器防火墙设置52.1 路由器防火墙应用举例53 思科路由器防火墙设置84 TP-LINK路由器防火墙与思科路由器防火墙设置区别105 安全路由器与防火墙的区别105.1 背景105.2 目的10

2、5.3 核心技术115.3.1 IP地址欺骗（使连接非正常复位）115.3.2 TCP欺骗（会话重放和劫持）115.3.3 安全策略115.3.4 对性能的影响115.3.5 防攻击能力126 调研感想121.前言我所做的关于身边的信息安全技术及科学问题的调研内容主要是关于路由器防火墙的相关知识内容和对比，以及防火墙、安全路由器和路由器防火墙的对比。首先在这里介绍一下防火墙的概念。1.1 防火墙：在电脑运算领域中，防火墙(英文：firewall)是一项协助确保资讯安全的设备，会依照特定的规则，允许或是限制传输的资料通过。防火墙可能是一台专属的硬件或是架设在一般硬件上的一套软件。防火墙最基本的功

3、能就是隔离网络，通过将网络划分成不同的区域（通常情况下称为ZONE），制定出不同区域之间的访问控制策略来控制不同任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则 例如：TCP/IP Port 135139是 Microsoft Windows 的【网上邻居】所使用的。如果电脑有使用【网上邻居】的【分享资料夹】

4、，又没使用任何防火墙相关的防护措施的话，就等于把自己的【分享资料夹】公开到Internet，供不特定的任何人有机会浏览目录内的档案。且早期版本的Windows有【网上邻居】系统溢位的无密码保护的漏洞（这里是指【分享资料夹】有设密码，但可经由此系统漏洞，达到无须密码便能浏览资料夹的需求）。1.1.1 防火墙类型：1.1.1.1 个人防火墙：个人防火墙，通常是在一部电脑上具有封包过滤功能的软件，如ZoneAlarm及Windows XP SP2后内建的防火墙程式。而专用的防火墙通常做成网络设备，或是拥有2个以上网络接口的电脑。以作用的TCP/IP堆栈区分，主要分为网络层防火墙和应用层防火墙两种，但

5、也有些防火墙是同时运作于网络层及应用层。1.1.1.2 网络层防火墙：网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协定堆栈上。我们可以以列举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内建的规则。我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内建防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源埠号、目的 IP 地址或埠号、服务类型(如 WWW 或是 FTP)。也能经由通讯协定

6、、TTL 值、来源的网域名称或网段.等属性来进行过滤。1.1.1.3 应用层防火墙：防火墙的视察软件接口范例，纪录IP进出情况与对应事件应用层防火墙是在TCP/IP堆栈的“应用层”上运作，使用浏览器时所产生的资料流或是使用 FTP 时的资料流都是属于这一层。应用层防火墙可以拦截进出某应用程式的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的资料流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的属性，可以防范电脑蠕虫或是木马程式的快速蔓延。不过就实作而言，这个方法既烦且杂（因软件种类极其繁多），所以大部分的防火墙都不会考虑以这种方法设计。

7、XML防火墙是一种新型态的应用层防火墙。1.1.2 代理服务：代理服务（Proxy）设备（可能是一台专属的硬件，或只是普通电脑上的一套软件）也能像应用程式一样回应输入封包(例如连线要求)，同时封锁其他的封包，达到类似于防火墙的效果。代理会使从外部网络窜改一个内部系统更加困难，且只要对于代理有良好的设定，即使内部系统出现问题也不一定会造成安全上的漏洞。相反地，入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的；代理人伪装作为那个系统对其它内部机器。当对内部地址空间的用途加强安全，破坏狂也许仍然使用方法譬如IP欺骗（IP spoofing）试图通过小包对目标网络。防火墙经常有网络地

8、址转换(NAT) 的功能，并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”，定义在RFC 1918。防火墙的适当的配置要求技巧和智慧，它要求管理员对网络协议和电脑安全有深入的了解，因小差错可使防火墙不能作为安全工具。1.1.3 防火墙架设结构：1.1.3.1 堡垒主机式防火墙：此防火墙需有两片网络卡，一片与互联网连接，另一片与内部网络连接，如此互联网与内部网络的通路，无法直接接通，所有封包都需要透过堡垒主机转送。1.1.3.2 双闸式防火墙：此防火墙除了堡垒主机式防火墙的两片网络卡设计外，另有安装一称为应用服务转送器的软件，所有网络封包都须经过此软件检查，此软件将过滤掉不被系统所允许

9、的封包。1.1.3.3 屏障单机式防火墙：此防火墙的硬件设备除需要主机外，还需要另一路由器，路由器需具有封包过滤的功能，主机则负责过滤及处理网络服务要求的封包，当互联网的封包进入屏障单机式防火墙时，路由器会先检查此封包是否满足过滤规则，再将过滤成功的封包，转送到主机做网络服务层的检查与转送。1.1.3.4 屏障双闸式防火墙：将屏障单机式防火墙的主机换成，双闸式防火墙。1.1.3.5 屏障子网域式防火墙：此防火墙借由多台主机与两个路由器组成，电脑分成两个区块，屏障子网域与内部网络，封包经由以下路径，第一个路由器-屏障子网域-第二路由器-内部网络，此设计因有阶段式的过滤功能，因此两个路由器可以有不

10、同的过滤规则，让网络封包使用更有效率。若一封包通过第一过滤器封包，会先在屏障子网域做服务处理，若要做更深入内部网络的服务，则要通过第二路由器的过滤。1.1.4 防火墙的缺点：正常状况下，所有互联网的封包软件都应经过防火墙的过滤，这将造成网络交通的瓶颈。例如在攻击性封包出现时，攻击者会不时寄出封包，让防火墙疲于过滤封包，而使一些合法封包软件亦无法正常进出防火墙。防火墙虽然可以过滤互联网的封包，但却无法过滤内部网络的封包。因此若有人从内部网络攻击时，防火墙是毫无用武之地的。而电脑本身操作系统亦可能一些系统漏洞，使入侵者可以利用这些系统漏洞来绕过防火墙的过滤，进而入侵电脑。防火墙无法有效阻挡病毒的攻

11、击，尤其是隐藏在资料中的病毒。接下来介绍路由器防火墙。1.2 路由器防火墙：路由器通常支持一个或者多个防火墙功能； 它们可被划分为用于 Internet 连接的 低端设备和传统的高端路由器。低端路由器提供了用于阻止和允许特定 IP 地址和端 口号的基本防火墙功能，并使用 NAT 来隐藏内部 IP 地址。它们通常将防火墙功能 提供为标准的、为阻止来自 Internet 的入侵进行了优化的功能；虽然不需要配置，但 是对它们进行进一步配置可进一步优化它们的性能。 高端路由器可配置为通过阻止较为明显的入侵 （如 ping） 以及通过使用 ACL 实 现其他 IP 地址和端口限制，来加强访问权限。也可提

12、供其他的防火墙功能，这些功 能在某些路由器中提供了静态数据包筛选。在高端路由器中，以较低的成本提供了与 硬件防火墙设备相似的防火墙功能，但是吞吐量较低。接下来分别介绍一下TP-LINK路由器和思科路由器关于防火墙的设定。2 TP-link路由器防火墙设置 2.1 路由器防火墙应用举例IP地址过滤的使用IP地址过滤用于通过IP地址设置内网主机对外网的访问权限，适用于这样的需求：在某个时间段，禁止/允许内网某个IP（段）所有或部分端口和外网IP的所有或部分端口的通信。开启IP地址过滤功能时，必须要开启防火墙总开关，并明确IP地址过滤的缺省过滤规则（设置过程中若有不明确处，可点击当前页面的“帮助”按

13、钮查看帮助信息）：下面将通过两个例子说明IP地址过滤的使用例一：预期目的：不允许内网192.168.1.100-192.168.1.102的IP地址访问外网所有IP地址；允许192.168.1.103完全不受限制的访问外网的所有IP地址。设置方法如下：1选择缺省过滤规则为：凡是不符合已设IP地址过滤规则的数据包，禁止通过本路由器：2添加IP地址过滤新条目：允许内网192.168.1.103完全不受限制的访问外网的所有IP地址因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”，所以内网电脑IP地址段：192.168.1.100-192.168.1.102不需要进行添加，默认禁止其通过。3保

14、存后生成如下条目，即能达到预期目的：例二：预期目的：内网192.168.1.100-192.168.1.102的IP地址在任何时候都只能浏览外网网页；192.168.1.103从上午8点到下午6点只允在外网219.134.132.62邮件服务器上收发邮件，其余时间不能和对外网通信。浏览网页需使用到80端口（HTTP协议），收发电子邮件使用25（SMTP）与110（POP），同时域名服务器端口号53（DNS）设置方法如下：1选择缺省过滤规则为：凡是不符合已设IP地址过滤规则的数据包，禁止通过本路由器：2设置生成如下条目后即能达到预期目的：3 思科路由器防火墙设置思科路由器防火墙的设定全部是基于命

15、令行来设定的，下面简单介绍一下相关设定的命令行。enable进入特权用户模式config t进入全局配置模式ip dhcp excluded-address 192.168.100.1 192.168.100.10从内部DHCP地址池中排除前10个IP地址ip dhcp pool Internal-DHCP创建一个称为“Internal DHCP”的DHCP池import all将外部的DHCP设置从ISP导入到“Internal DHCP”池中network 192.168.100.0 255.255.255.0定义这个DHCP池运行的网络default-router 192.168.100.1为“Internal DHCP”池设置默认网关ip inspect name cbac tcp检查向外发出的数据通信，以便于准许对内的响应TCP通信ip inspect name cbac udp检查向外发出的数据通信，以便于准许对内的响应UDP通信interface f0/0