融合防火墙软件用户手册.doc

目 录 1概述概述3 2运行环境运行环境4 3软件安装软件安装4 4配置使用指导配置使用指导4 4.1基本流程4 4.2防火墙连接5 4.2.1网线：5 4.2.2串口线：5 4.2.3防火墙设备连接图6 4.3防火墙工作方法7 4.3.1开机7 4.3.2防火墙系统安全措施7 4.3.3使用要求：7 4.4防火墙登录方式7 4.4.1防火墙串口登录7 4.4.2web 网络登录 8 4.4.3SSH 网络登录10 4.4.4系统管理员登录须知10 4.4.5rhfw后可使用的命令（所有命令严格区分大小写）11 5策略配置基础知识策略配置基础知识12 5.1网络常见攻击方法及防御12 5.1.1拒绝服务型攻击（DoS）.12 5.1.2利用型攻击13 5.1.3信息收集型攻击14 5.1.4利用信息服务14 5.1.5欺骗型攻击15 5.2包过滤防火墙的一般概念15 5.2.1什么是包过滤15 5.2.2包过滤防火墙的工作层次15 5.2.3包过滤防火墙的工作原理16 5.2.4包过滤器操作的基本过程17 5.3状态包过滤防火墙17 5.4包过滤具体工作步骤18 5.5TCP/IP 标记.19 5.6ICMP 类型 .20 5.7常用端口介绍20 6WEB 防火墙配置防火墙配置23 6.1系统系统信息23 6.2系统连接信息23 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 2 页 共 43 页 6.3系统系统设置24 6.4系统添加修改信任通道24 6.5系统关机重启25 6.6网络设置网络接口设置25 6.7网络设置网关26 6.8网络设置DNS26 6.9网络设置网络测试27 6.10用户管理27 6.11规则管理规则28 6.12规则管理网络对象28 6.13规则管理端口29 6.14规则管理访问策略29 6.15规则管理访问策略增加、修改策略30 6.16规则管理IP 伪装与 SNAT31 6.17规则管理目标地址转换31 6.18DMZ 举例：32 6.19规则管理端口重定向34 6.20高级规则管理TOS 规则配置34 6.21高级规则管理高级安全策略35 6.22网桥防火墙35 6.23透明代理代理的运行35 6.24透明代理端口和网络36 6.25透明代理访问控制36 6.26透明代理清除和重建高速缓存37 6.27流量控制流量控制37 6.28流量控制流量统计37 6.29IDS 入侵检测.38 6.30防火墙日志系统日志39 6.31防火墙日志用户日志39 6.32操作日志40 6.33默认规则的日志纪录标记40 7结束语：结束语：41 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 3 页 共 43 页 融合防火墙软件说明书融合防火墙软件说明书 1概述概述 融合网络防火墙设备是由融合网络设备项目组自主研发的，融合众多安全技术、客户需求及发展战 略的，有自主知识产权的新一代网络安全产品。该产品严格按照国家网络安全设备有关设计标准进 行设计、研发和实现，并同时参照国内外多个防火墙产品的可用性、安全性、多功能、扩充性等研 究，使自身达到了各方面的完美结合。融合网络防火墙不但在防火墙中实现了核心层的包过滤处理， 而且还同时扩充了代理服务、网络桥、透明代理、多种攻击防御、入侵检测、地址转换、数据流量 统计及分析等功能。奔腾 4 级 CPU、大容量内存、千兆以太网接口无不为数据传输提供高速度、 高性能物理保证。 融合防火墙软件是运行在融合防火墙设备上的具有防火墙，路由器功能的安全操作系统，融合防火 墙软件是一套全面创新，高安全性、高性能、可增值服务网络安全软件系统。它根据系统管理员设 定的安全规则(Security Rules)把守企事业单位网络，提供强大的访问控制，身份认证，网络地址转 换(Network Address Translation)，信息过滤，虚拟专网(VPN)，DoS（拒绝服务攻击）与 DDoS（分布 式拒绝服务攻击）防御，流量控制，代理服务，入侵检测，日志分析，架设网桥等功能。提供完善 的安全性设置，通过高性能的网络核心进行访问控制。它使用 SSL128 位加密 WEB 管理，中文化 的界面，通过直观、易用的界面管理强大、复杂的系统功能。 融合防火墙软件的功能特点： 支持专用的嵌入式防火墙硬件平台 自行研发的安全操作系统内核 RHOS 基于 RHOS 上设计的专用防火墙系统 支持各类标准因特网网络服务和协议 基于状态检测的包过滤 完善的访问控制 TCP 标志位检测 双向网络地址转换（NAT） 流量统计与流量限制 网络连接时段限制 具有包过滤功能的虚拟网桥 多层登录权限控制 DoS 防御网关,有效的防止各种类型的 DoS 攻击 多达 4 个千兆网接口，提供更多服务扩展空间 网络接口可绑定多个 IP 地址 IP 地址与 MAC 地址绑定,防止 IP 欺骗 系统操作记录,记录系统管理员的所有操作情况 选用功能：选用功能：代理服务、网络监控、入侵检测、VPN 隧道、详细日志分析等 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 4 页 共 43 页 2运行环境运行环境 融合防火墙软件本身是架构在 RHOS 操作系统上，软件本身于 RHOS 内核一起编译，运行时无需依赖 于任何第三方操作系统，融合防火墙软件专用于融合网络防火墙设备。 3软件安装软件安装 融合防火墙软件在融合网络防火墙设备出厂时已安装在设备上，不提供用户安装途径，融合防火墙 软件与融合防火墙设备做为一个整体提供。 4配置使用指导配置使用指导 由于融合防火墙软件是融合防火墙设备的专用软件，文中所指“融合网络防火墙设备”的功能，可 理解为“融合防火墙软件”的功能。 4.1基本流程基本流程 以下是使用融合网络防火墙设备的操作流程： 1.画一份单位的网络拓扑简图，确定整个网络的外网入口和内网保护区域，并划分好内网子 网架构，明确 IP 地址分布，从而确定融合网络防火墙设备的使用位置。 2.一般来说，融合网络防火墙设备都是同路由设备或其他交换设备共同使用，所以，本防火 墙设备主要提供外网与内网的包过滤功能，要明确这台设备同其他网络设备之间的关系。 3.融合网络防火墙设备的出厂设置执行的是外网安全最大化，内网防护最小化的基础策略， 具体用户策略可以在这个策略的基础上进行添加，基本不需要修改或删除现有策略。 4.基础策略：从 Internet 网过来的主动连接（new）全部拒绝，从内部网络发出的主动连接 （new）和 Internet 网返回的应答（established）都全部放行。这种策略应用于一般的上网 防护需求，如果单位需求不只如此，网管人员要能够订制符合自身需求的策略，添加上需 要放行的规则和拦截的规则。 5.希望网管人员能够尽可能多的了解本防火墙软件的工作原理及相关专业术语，这样才可以 流畅地进行防火墙的设置，提高防火墙的效率，最大限度的满足单位的具体需求。 6.在一切都规划好后，进入防火墙设置界面，按计划进行相应的操作，策略规则修改是不需 重新启动机器就能令最新的设置生效（其他某些操作有可能需要重新启动防火墙） 。把设好 的防火墙接入到您的网络上（最初已经确定好的位置）进行调试，如发现有错漏，马上找 原因，重新设置，直到满意为止。防火墙配置是一个十分繁琐、细致的工作，不允许有任 何漏洞隐藏其中，如果没有把握，就全部拒绝。 7.妥善保管您的所有用户的密码，并提醒您注意防火墙的物理安全（机柜尽量上锁） ，当您万 一忘记了系统管理员的密码，无法用串口或 ssh 登录系统时，请与我们联系。 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 5 页 共 43 页 4.2防火墙连接防火墙连接 4.2.1网线：网线： 本防火墙设备一共提供 4 个千兆网卡端口，其中分别为外网入口、内网接口、DMZ 接口、日 志（入侵检测、管理机）服务器接口，当然，如果不需要后两种接口，也可以把它们作为其他 内网接口来用。网络连接推荐使用六类双绞线。 Internet 网通过宽带拨号或其他设备接入后，通过一条六类双绞线连接至防火墙设备的外网接 入口，并记住该端口的名称（ethx） ，如果其他三个网卡接口连接的是网管工作站，或连接融 合网络的千兆光纤路由器，需要使用交叉线，如果是与集线器或交换机等网络设备连接时，就 需要使用直联线。 （关于双绞线的详细说明和制作请上网查询） 网络连接后注意内网架构确定每个网段的网关，使得每个网段的客户机都能够找到自己正确的 网关，如果网络比较复杂，就用其中的一台客户机试用可能的地址，查看是否能够访问防火墙。 防火墙出厂 IP 地址设定：eth0：192.168.0.254/32eth1：192.168.1.254/32 （请确定因特网接入所对应的 ethx）eth2：192.168.2.254/32eht3：192.168.3.254/32 4.2.2串口线：串口线： 串口线是专门用于连接防火墙设备的 CONSOLE 口与网管工作站的串行口。利用 CONSOLE 口可以对防火墙设备进行调试。这里使用的串行线为 9 针的对联串口线， 以下为 9 针串行口的针脚功能表: 针脚 功能 针脚 功能 1 载波检测(DCD) 2接受数据(RXD) 3 发出数据(TXD) 4数据终端准备好(DTR) 5 信号地线(SG) 6数据准备好(DSR) 7 请求发送(RTS) 8清除发送(CTS) 9 振铃指示(RI) 以下为串口连机线表：串口连机线表： 9 针母头针脚针母头针脚连接连接9 针母头针脚针母头针脚 2连接3 3连接2 4连接6 5连接5 6连接4 7连接8 8连接7 市面上一般卖的串口线大多都是用来连接计算机和 MODEM 的，这种线不适合做防火墙设备 CONSOLE 口的连线，买的时候一定要买双机互联的串口线。 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 6 页 共 43 页 4.2.3防火墙设备连接图防火墙设备连接图 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 7 页 共 43 页 4.3防火墙工作方法防火墙工作方法 4.3.1开机开机 防火墙开启后，大约经过 20 到 30 秒钟的时间，防火墙系统就启动完成，此时局域网的机器 就可以在防火墙的保护下上网工作。第一次使用防火墙设备，就需要进行防火墙配置工作。 通常是首先从串口登录，然后修改系统管理员的密码； 然后从 web 登录，添加操作管理员名称和日志管理员的名称及密码，添加可进行 ssh 和 web 管理的计算机信任通道。 接着开始进行 web 配置访问策略。 4.3.2防火墙系统安全措施防火墙系统安全措施 防火墙一共提供三种登录方式： 1、串口登录，进行日常的系统维护或执行一些系统命令。需要进行 md5 加密密码校验。 2、ssh 登录，网络系统登录，同串口登录，网络传输通过信任通道防火墙过滤，以及基于口 令的安全验证ssh 本身的数据加密。如果需要做成基于密匙的安全验证的 ssh 登录，就需 要在串口登录条件下进行相关操作。 3、web 的 SSL 加密技术进行的网页访问，在这种登录情况下，将使用 128 位的 SSL 加密技 术进行网页数据传输，使用任何支持 SSL 加密的 web 浏览器均可实现。 4、密码没有绝对的安全，因此，经常更换密码和使用较为复杂的密码是一个网络管理员应该 注意的问题。 4.3.3使用要求：使用要求： 系统管理员更改密码必须在串口模式下进行（网络永远是不安全的）；除非必须，不要从网络 上用非 SSH 进行系统配置；确定下自己的网管机的 MAC 之后，在 web 配置项中将网管机 IP 和它的 MAC 地址绑定（后面有这句话的详细介绍），最大限度的提高访问可靠性。 4.4防火墙登录方式防火墙登录方式 4.4.1防火墙串口登录防火墙串口登录 1使用上面提到的标准串口连接线分别连接防火墙的串口和网管机的串口，网管机系统以 windows2000 为例： 执行操作：开始=程序=附件=通讯=超级终端，打开“超级终端”的“新建连接”， 在名称框中任意输入名称，点确定，在“连接到”的“连接时使用”下拉框中选择你所连接的 com 口（指网管机），点确定，在“端口设置”中单击还原为默认值，点确定。 在超级终端的界面中，执行呼叫，等连接成功后，敲击回车键，会看到有屏幕输出。如果长 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 8 页 共 43 页 时间没有任何信息输出，请检查串口线和网管机的超级终端配置，并检查下面所列出的 CMOS 设置，如果还不行，请来电。 CMOS 出厂设置（需要安装显示器和键盘）出厂设置（需要安装显示器和键盘） 2关闭软驱 3在 Integrated Peripherals 设置分类中分别进行如下设置： USB Controller Disabled AC97 AudioDisabled Onboard Serial Port 1 Auto UART Mode SelectASKIR Onboard Parallel PortDisabled Game Port AddressDisabled 登登录信息：（系统管理员串口登录）录信息：（系统管理员串口登录） RHOS RHFW604T v1.0 i686（系统信息） RHFW604T login: （登录用户名输入区）（输入）sysadmin（回车） Password:（用户密码）（输入）rhosrhos（回车） 输入正确后，可以看到 “rhfw”提示符，此为系统登录台的 shell 命令提示符。 修改密码：修改密码： 在号后，输入 rchgsyspwd 回车，根据提示需要输入一个最少 6 位的非简单规则的字符串。 简单规则：使用纯数字或 aaaaaaa 等简单字符规律的字符串。 请连续输入两遍。并请记住您新设的密码，如果该密码遗失，请来电。 密码请定期更改，而且请尽量复杂，密码被窃取所导致的一切后果，本产品都无法负责。 重要信息：重要信息： 由于串口速率问题，所以在串口模式下，管理员只能够使用命令行进行操作。不能进行“编辑”等 大数据量操作。如果要进行此类操作，请进入 SSH 模式进行。 登录成功后，就可以使用命令进行系统维护。 4.4.2web 网络登录网络登录 确定网管机的 ip 和防火墙的任何一个网卡在同一网段，并知道防火墙该网卡的 ip 地址，以 192.168.3.254 为例，在网管机的网页浏览器中输入该地址，当出现证书安全警报框后（见图 1） ， 点“是”继续，然后就可以看到 web 验证页面（见图 2） 图 1 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 9 页 共 43 页 图 2 出厂设置是：用户名和密码均为 admin；点击“登录”按钮后进入图 3 所示的防火墙配置界面。 这边还要补充说明一点（非常重要）：这边还要补充说明一点（非常重要）： 在本防火墙设备出厂时，防火墙系统就被配置了只有只有 192.168.3.1 能够通过能够通过 ssh 和和 web 访问访问，所以， 需要网管员将网管机的 IP 地址配置好，连接网卡网卡 eth3。然后登录 web 后，再进行修改。否则 web 是无法登录的。 图 3 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 10 页 共 43 页 防火墙配置界面将在下面做详细介绍，现在先介绍“系统”中的“信任通道” （见图 4） 图 4 这个页面就可以添加网管机的 ip 地址和 mac 地址，这条防火墙规则将优先于其它所有规则。 注意：这样，只有这台（或几台）机器才能够登录注意：这样，只有这台（或几台）机器才能够登录 SSH 和和 WEB 设置页面了。设置页面了。 4.4.3SSH 网络登录网络登录 根据上述一些内容进行正确网络连接，在网管机中使用 SSH 客户端软件连接防火墙系统，防火墙 的 IP 地址根据你的连接端口确定，用户名和密码与串口一样，登录后的操作和串口一致，如果网 管人员对系统知识有很深的了解，才可以通过这种方法手工修改系统文件。否则极会导致系统重要 文件被更改。 4.4.4系统管理员登录须知系统管理员登录须知 注意注意：系统管理员能够完全毁掉防火墙的主要文件，从而使得防火墙只剩下 RHOS 基本系统，如 果出现这种情况，请来电，我们会给您恢复到出厂状态，但您配置的规则将不再留有。 添加系统管理员、操作管理员、维护操作员使用的计算机的 IP 和 MAC，绑定界面视具体情况而定，推荐使用专门的 eht3。 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 11 页 共 43 页 4.4.5rhfw后可使用的命令（所有命令严格区分大小写）后可使用的命令（所有命令严格区分大小写） 命令说明范例 rhelp控制命令列表rhelp rping网络测试 pingrping 192.168.0.254 rreboot防火墙重新启动rreboot rshowip显示所有防火墙网络设备rshowip rinit恢复规则到出厂设置rinit rdate显示系统时间及修改系统时间rdate rsetip设置网络设备 IP Rsetip eth1 192.168.1.1 rpwdreset恢复 web 管理员 admin 的密码到出厂设置 rpwdreset rsockinf显示当前网络状态，查看服务及端口设置rsockinf rclr清空屏幕rclr rbye退出登录rbye rdefgw显示当前的路由状态rdefgw rchgsyspwd修改系统管理员的密码rchgsyspwd 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 12 页 共 43 页 5策略配置基础知识策略配置基础知识 5.1网络常见攻击方法及防御网络常见攻击方法及防御 5.1.1拒绝服务型攻击（拒绝服务型攻击（DoS） 拒绝服务攻击是网络攻击中最常见的攻击方法。在拒绝服务攻击中，攻击者不断地向网络接口 传输数据，使服务器过于繁忙以至于不能应答请求。或者，攻击者向计算机发送特定的无效包，导 致计算机的操作系统崩溃。这种攻击对攻击者并无益处，攻击者得不到传输的任何信息。攻击者的 目的仅仅是破坏机器设备，使对方不能正常工作。 1 1 死亡之死亡之pingping （pingping ofof deathdeath） 概览概览：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现 在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为 有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过 64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。 防御：防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过 滤这些攻击，包括：从windows98之后的windows,NT(service pack 3之后)，linux、Solaris、和 Mac OS都具有抵抗一般ping of death攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何 未知协议，都讲防止此类攻击。 2 2 泪滴（泪滴（teardropteardrop） 概览：概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现 自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括service pack 4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃。 防御：防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。 3 3 UDPUDP洪水洪水（UDPUDP floodflood） 概览：概览：各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满 带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服 务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致 带宽的服务攻击。 防御：防御：关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的 UDP请求。 4 4 SYNSYN洪水（洪水（SYNSYN floodflood） 概览概览：也被称为TCPTCP连接同步淹没攻击连接同步淹没攻击，一些TCP/IP栈的实现只能等待从有限数量的计算机发 来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的 初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在一些创建连 接不受限制的实现里，SYN洪水具有类似的影响。 防御：防御：在防火墙上过滤来自同一主机的后续连接。 未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输 中鉴别出来。 5 5 LandLand攻击攻击 概览：概览：在Land攻击中，一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器 地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创 建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩 溃，NT变的极其缓慢（大约持续五分钟）。 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 13 页 共 43 页 防御：防御：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤 掉。（包括 10域、127域、192.168域、172.16到172.31域） 6 6 SmurfSmurf攻击攻击 概览：概览：一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求 （ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出 答复，导致网络阻塞，比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地 址改为第三方的受害者，最终导致第三方雪崩。 防御：防御：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防 止被攻击，在防火墙上设置规则，丢弃掉ICMP包。 7 7 FraggleFraggle攻击攻击 概览：概览：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP 防御：防御：在防火墙上过滤掉UDP应答消息 8 8 电子邮件炸弹电子邮件炸弹 概览：概览：电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发 送电子邮件，攻击者能够耗尽接受者网络的带宽。 防御：防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。 9 9 畸形消息攻击畸形消息攻击 概览：概览：各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适 当正确的错误校验，在收到畸形的信息可能会崩溃。 防御：防御：打最新的服务补丁。 5.1.2利用型攻击利用型攻击 利用型攻击是一类试图直接对你的机器进行控制的攻击。 1 1 口令猜测和字典攻击口令猜测和字典攻击 概览：概览：一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的 用户帐号，成功的口令猜测能提供对机器的控制。 防御：防御：要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样 可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。 2 2 特洛伊木马特洛伊木马 概览：概览：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目 标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。 最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k,用于控制系统的良性程 序如：netcat、VNC、pcAnywhere。理想的后门程序透明运行。 防御：防御：避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。 3 3 缓冲区溢出缓冲区溢出 概览：概览：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位 检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在 缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会 被夺取。 防御：防御：利用 SafeLib、tripwire 这样的程序保护系统，或者浏览最新的安全公告不断更新操作 系统。 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 14 页 共 43 页 5.1.3信息收集型攻击信息收集型攻击 信息收集型攻击并不对目标本身造成危害，这类攻击被用来为进一步入侵提供有用的信息。 1 1 地址扫描地址扫描 概览：概览：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。 防御：防御：在防火墙上过滤掉ICMP应答消息。 2 2 端口扫描端口扫描 概览概览：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建 立了连接的主机所开的端口。 防御：防御：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。 3 3 反响映射反响映射 概览概览：黑客向主机发送虚假消息，然后根据返回“host unreachable”这一消息特征判断出哪些 主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则 的常见消息类型，这些类型包括：RESET消息、SYN-ACK消息、DNS响应包。 防御：防御：NAT和非路由代理服务器能够自动抵御此类攻击，也可以在防火墙上过滤 “host unreachable”（主机不可达）ICMP应答。 4 4 慢速扫描慢速扫描 概览：概览：由于一般扫描侦测器的实现是通过监视某个时间帧里一台特定主机发起的连接的数目 （例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫 描。 防御：防御：通过引诱服务来对慢速扫描进行侦测。 5 5 体系结构探测体系结构探测 概览：概览：黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送 所作出的响应进行检查。由于每种操作系统都有其独特的响应方法（例NT和Solaris的TCP/IP堆栈 具体实现有所不同），通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出 目标主机所运行的操作系统。 防御：防御：去掉或修改各种Banner，包括操作系统和各种应用服务的，阻断用于识别的端口扰乱对 方的攻击计划。 5.1.4利用信息服务利用信息服务 1 1 DNSDNS域转换域转换 概览：概览：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式 加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主 机的名称以及内部IP地址。 防御：防御：在防火墙处过滤掉域转换请求。 2 2 FingerFinger服务服务 概览：概览：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。 防御：防御：关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。 3 3 LDAPLDAP服务服务 概览：概览：黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。 防御：防御：对于刺探内部网络的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把 LDAP服务器放入DMZ。 用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。 4 4 DNSDNS高速缓存污染高速缓存污染 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 15 页 共 43 页 概览：概览：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可 以将不正确的信息掺进来并把用户引向黑客自己的主机。 防御：防御：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器 的认识。 5 5 伪造电子邮件伪造电子邮件 概览：概览：由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子 邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向 恶意网站的连接。 防御：防御：使用PGP等安全工具并安装电子邮件证书。 5.1.5欺骗型攻击欺骗型攻击 欺骗型攻击通常是以伪造自身的方式来取得对方的信任从而达到迷惑对方瘫痪其服务的目的。 1 1 地址欺骗型攻击地址欺骗型攻击 概览：概览：由于数据包通常工作的方式以及报头构造的方式，保护包的真正来源实际上是不可能的。 攻击者可以假冒他人的地址向目标机发送数据，而目标机错误的认为数据是被假冒机器发来的。 防御：防御：连接认证 2 2 数据修改数据修改 概览：概览：数据在传输过程中被攻击者截获并修改，然后再继续发往目的地。 防御：防御：对网络中的数据进行加密。 3 3 中间人攻击中间人攻击 概览：概览：在数据传输过程中，攻击者控制了该传输通道，成为数据端两头的“中间人”，他可以 截获、阅读、存储、分析甚至修改通道中的数据。中间人攻击一般来说是好几种攻击的组合。 防御：防御：互相验证 5.2包过滤防火墙的一般概念包过滤防火墙的一般概念 5.2.1什么是包过滤什么是包过滤 包过滤就是查看所有流经防火墙的数据包的包头（header） ，由此决定整个数据包的命运。他可 能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过） ，也可能执行其 他更复杂的动作。 在防火墙系统下，包过滤功能是内建于核心的（作为核心的一个组成部分，或者作为一个核心 模块） ，同时还有一些可以运用于数据包之上的技巧，不过最常用的依然是查看包头已决定包的命 运。 5.2.2包过滤防火墙的工作层次包过滤防火墙的工作层次 包过滤防火墙示意图如下，工作在网络层。 数据 应用层 传输层 网络层 数据链路层 物理层 数据链路层 物理层 数据 防火墙 应用层 传输层 网络层 数据链路层 物理层 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 16 页 共 43 页 5.2.3包过滤防火墙的工作原理包过滤防火墙的工作原理 （1）使用过滤系统。数据包过滤用在内部主机和外部主机之间，过滤系统是一台路由器或是 一台主机。过滤系统根据过滤规则原则来决定是否让数据包通过。 数据包过滤是通过对数据包的 IP 头和 TCP 或 UDP 头的检查来实现的，主要信息有： IP 源地址 IP 目的地址 协议（TCP 包、UDP 包和 ICMP 包） TCP 或 UDP 包的源端口 TCP 或 UDP 包的目标端口 ICMP 消息类型 TCP 包头中的 ACK 位 数据包到达的端口 数据包出去的端口 在 TCP/IP 中，存在着一些标准的服务端口号，例如：HTTP 的端口号为 80。通过屏蔽特定的 端口就可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间的连接， 例如，可以阻塞一些被视为是有敌意的或不可信任的主机或网络连接到内部受保护网络中。 （2）过滤器的实现。数据包过滤一般使用过滤器来实现。 普通的路由器只检查数据包的目的地址，并选择一个达到目的地址的最佳路径。它处理数据包 是以目标地址为基础的，存在着两种可能性：若路由器可以找到一个路径到达目标地址则发送出去； 若路由器不知道如何发送数据包则通知数据包的发送者“数据不可达” 。 过滤器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该 发送数据包。 “应该与否”是由过滤策略决定并强行执行的。 过滤策略主要有： 拒绝来自某主机或某网段的所有连接。 允许来自某主机或某网段的所有连接。 拒绝来自某主机或某网段的指定端口的连接。 允许来自某主机或某网段的指定端口的连接。 拒绝本地主机或本地网络与其他主机或其他网络的所有连接。 允许本地主机或本地网络与其他主机或其他网络的所有连接。 拒绝本地主机或本地网络与其他主机或其他网络的指定端口的连接。 允许本地主机或本地网络与其他主机或其他网络的指定端口的连接。 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 17 页 共 43 页 5.2.4包过滤器操作的基本过程包过滤器操作的基本过程 包过滤器的操作流程图： 几乎所有现有的包过滤器都遵循上述流程所示的工作过程，下面做个简单的叙述： （1） 包过滤规则必须被包过滤设备端口存储起来。 （2） 当包到达端口时，对包报头进行语法分析。大多数包过滤设备只检查 IP、TCP 或 UDP 报头中的字段。 （3） 包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相 同。 （4） 若一条规则阻止包传输或接收，则此包便不被允许。 （5） 若一条规则允许包传输或接收，则此包便可以被继续处理。 （6） 若包不满足任何一条规则，则此包便被阻塞。 5.3状态包过滤防火墙状态包过滤防火墙 在上述基础包过滤的基础上，融合网络防火墙更增加了状态规则的设定。 有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息 包的连接跟踪状态获得该信息。在决定新的信息包过滤时，防火墙所使用的这些状态信息可以增加 其效率和速度。有 4 种有效状态，名称分别为 ESTABLISHED、INVALID、NEW 和 RELATED。其中的定义请参考“1.5 术语及定义”中的内容，这里就不再赘述。 存储包过滤规则 分析包报头字段 IP、UDP、TCP 应用下一个包规则 包规则是否 允许传输 允许包 包规则是否 阻塞传输 阻塞包 是否是最后 一个包规则 否 是 是 是 否 否 融合防火墙软件用户手册 版本： 版 权 所 有：江苏华丽网络工程有限公司 2005 第 18 页 共 43 页 5.4包过滤具体工作步骤包过滤具体工作步骤 1）路由。当信息包到达防火墙时，内核先检查信息包的头信息，尤其是信息包的目的地。我 们将这个过程称为路由。 2）根据情况将数据包送往包过滤表的不同的链。 如果信息包源自外界并且数据包的目的地址是本机，而且防火墙是打开的，那么内核将它传递 到内核空间信息包过滤表的“进入” （INPUT）链。 如果信息包源自系统本机或系统所连接的内部网上的其他源，并且此信息包要前往另一个外部 系统，那么信息包被传递到“送出” （OUTPUT）链。 信息包源自外部系统并前往外部系统的信息包被传递到“转发” （FORWARD）链。 3）规则检查