agt_0504_计算机专网安全产品解决方案网络防火墙doc84页

agt_0504_计算机专网安全产品解决方案网络防火墙doc84页内容摘要：

mazon、 eBay、 CNN 陷入瘫痪，造成了十几亿美元的损失，令美国上下如临大敌。 黑客使用了 DDoS（分布式拒绝服务）的攻击手段，用大量无用信息阻塞网站的服务器，使其不能提供正常服务。 在随后的不到一个月的时间里，又先后有微软、 ZDNet 和 E*TRADE 等著名网站遭受攻击。 国内网站也未能幸免于难，新浪、当当书店、 EC123 等知名网站也先后受到黑客攻击。 国内第一家大型网上连锁商城 IT163 网站 3 月 6 日开始运营，然而仅四天，该商城突遭网上黑客袭击，界面文件全部被删除，各种数据库遭到不同程度的破坏，致使网站无法运作。 客观地说，没有任何一个网络能够免受安全的困扰，依据 Financial Times 曾做过的统计，平均每 20 秒钟就有一个网络遭到入侵。 仅在美国，每年由于网络安全问题造成的经济损失就超过 100 亿美元。 . 典型的黑客攻击 黑客们进行网络 攻击的目的各种各样，有的是出于政治目的，有的是员工内部破坏，还有的是出于好奇或者满足自己的虚荣心。 随着 Inter 的高速发展，也出现了有明确军事目的的军方黑客组织。 在典型的网络攻击中，黑客一般会采取如下的步骤： 自我隐藏 ，黑客使用通过 rsh 或 tel 在以前攻克的主机上跳转、通过错误 配置的 proxy 主机跳转等各种技术来隐藏他们的 IP 地址，更高级一点的黑客，精通利用电话交换侵入主机。 网络侦探和信息收集 ，在利用 Inter 开始对目标网络进行攻击前，典型的黑客将会对网络的外部主机进行一些初步的探测。 黑客通常在查找其他弱点之前首先试图收集网络结构本身的信息。 通过查看上面查询来的结果列表，通常很容易建立一个主机列表并且开始了解主机之间的联系。 黑客在这个阶段使用一些简单的命令来获得外部和内部主机的名称：例如，使用 nslookup 来执行 “ ls domain or work”， finger 外部主机上的用户等。 确认信任的网络组成 ，一般而言，网络中的主控主机都会受到良好的安全保护，黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始攻击的，一个网络信任成员往往是主控主机或者被认为是安全的主机。 黑客通常通过检查运行 nfsd 或 mountd 的那些主机输出的 NFS 开始入侵，有时候一些重要目录（例如 /etc， /home）能被一个信任主机 mount。 确认网络组成的弱点 ，如果一个黑客能建立你的外部和内部主机列表，他就可以用扫描程序（如 ADMhack, mscan, nmap 等）来扫描一些特定的远程弱点。 启动扫描程序的主机系统管理员通常都不知道一个扫描器已经在他的主机上运行，因为 ’ps’和 ’stat’都被特洛伊化来隐藏扫描程序。 在对外部主机扫描之后，黑客就会对主机是否易受攻击或安全有一个正确的判断。 有 效利用网络组成的弱点 ，当黑客确认了一些被信任的外部主机，并且同时确认了一些在外部主机上的弱点，他们就要尝试攻克主机了。 黑客将攻击一个被信任的外部主机，用它作为发动攻击内部网络的据点。 要攻击大多数的网络组成，黑客就要使用程序来远程攻击在外部主机上运行的易受攻击服务程序，这样的例子包括易受攻击的 Sendmail,IMAP,POP3 和诸如 statd,mountd, pfsd 等 RPC 服务。 获得对有弱点的网络组成的访问权 ，在攻克了一个服务程序后，黑客就要开始清除他在记录文件中所留下的痕迹，然后留下作后门的二进 制文件，使其以后可以不被发觉地访问该主机。 目前，黑客的主要攻击方式有： 欺骗：通过伪造 IP 地址或者盗用用户帐号等方法来获得对系统的非授权使 用，例如盗用拨号帐号。 窃听：利用以太网广播的特性，使用监听程序来截获通过网络的数据包，对信息进行过滤和分析后得到有用的信息，例如使用 sniffer 程序窃听用户密码。 数据窃取：在信息的共享和传递过程中，对信息进行非法的复制，例如，非法拷贝网站数据库内重要的商业信息，盗取网站用户的个人信息等。 数据篡改：在信息的共享和传递过程中，对信息进行非法的修改，例如，删除系统内的 重要文件，破坏网站数据库等。 拒绝服务：使用大量无意义的服务请求来占用系统的网络带宽、 CPU 处理能力和 IO 能力，造成系统瘫痪，无法对外提供服务。 典型的例子就是 2020 年年初黑客对 Yahoo 等大型网站的攻击。 黑客的攻击往往造成重要数据丢失、敏感信息被窃取、主机资源被利用和网络瘫痪等严重后果，如果是对军用和政府网络的攻击，还会对国家安全造成严重威胁。 . 网络与信息安全平台的任务 网络与信息安全平台的任务就是创建一个完善的安全防护体系，对所有非法网络行为，如越权访问、病毒传播、恶意破坏等等，事前预防、事中报警并阻 止，事后能有效的将系统恢复。 在上文对黑客行为的描述中，我们可以看出，网络上任何一个安全漏洞都会给黑客以可乘之机。 著名的木桶原理（木桶的容量由其最短的木板决定）在网络安全里尤其适用。 所以，我们的方案必须是一个完整的网络安全解决方案，对网络安全的每一个环节，都要有仔细的考虑。 2. 安全架构分析与设计 逻辑上， 宁波市政府系统计算机专网将划分为三个区域：数据发布区、局域网用户、远程其他用户。 其中每一个局域网节点划分为内部操作（控制）区、信息共享区两个网段，网段之间设置安全隔离区。 每一个网段必须能够构成一个独立的 、完整的、安全的、可靠的系统。 . 网络整体结构 宁波市政府系统计算机专网 需要涉及若干政府部门，各地方的网络通过专用网连接起来。 . 宁波在全国政府专网中的位置 政府专网是由国家、省、市及县级政府部门共同组成的全国性广域网。 整个广域网 网络系统是一个典型的星形拓朴型结构，主要负责传输国家、省、市、县政府间的文字、图像和视频信息。 其结构图如下： 政府系统结构图 整个区域网络拓朴为一倒叉树结构，国务院为根节点，宁波市作为网络中的一级节点同时又作为一个区域中心节点，它既要与国家、省各部门互联，又要与各县（市）、区政 府和市政府各部门互联，在整个网络中起着一个承上启下的作用。 . 光纤网络平台 光纤网络平台的提供商为宁波市广电网络传输 中心。 具体情况如下： （东北大院以外） 73 家单位采用物理光纤分别接入四个汇集点。 这四个汇集点分别是广电网络传输中心汇集点、华侨城汇集点、广电局汇集点、电视中心汇集点。 单点接入示意图如下： 市区内各部门逻辑分布图如下图： 、慈溪、奉化、宁海 、象山、镇海、北仑、经济技术开发区、保税区、大榭开发区、港务局等 部门。 这些部门与核心节点之间将借助宁波广电的 SDH 环网。 单点接入示意图如下： 市区外各部门逻辑分布图如下图： . 宁波政府专网安全风险分析 . 主要应用服务的安全风险 应用服务 系统中各个节点有各种应用服务，这些应用服务提供给各级部门或单位使用。 不能防止未经验证的操作人员利用应用系统的脆弱性来攻击应用系统，使得系统数据丢失、数据更改、获得非法数据等。 而宁波市政府的这些应用系统是政府专网中最重要的组成部分。 DNS 服务 DNS 是网络正常运作的基本元素，它们是由运行专门的或操作系统提供的服务的 Unix 或 NT主机构成。 这些系统很容易成为外部网络攻击的目标或 跳板。 对 DNS 的攻击通常是对其他远程主机进行攻击做准备，如篡改域名解析记录以欺骗被攻击的系统，或通过获取 DNS 的区域文件而得到进一步入侵的重要信息。 著名的域名服务系统 BIND 就存在众多的可以被入侵者利用的漏洞。 特别是基于 URL 的应用依赖于 DNS 系统， DNS 的安全性也是网络安全关注的焦点。 EMail 由于邮件服务器软件的众多广为人知的安全漏洞，邮件服务器成为进 行远程攻击的首选目标之一。 如利用公共的邮件服务器进行的邮件欺骗或邮件炸弹的中转站或引擎；利用 sendmail 的漏洞直接入侵到邮件服务器的主机等。 而宁 波政府专网的内部 Email 系统覆盖面广，所以迫切需要使用防火墙来保护内部 Email系统。 WWW 利用 HTTP 服务器的一些漏洞，特别是在大量使用服务器脚本的系统上，利用这些可执行的脚本程序，未经授权的操作者可以很容易地获得系统的控制权。 在宁波市政府存在各种 WWW 服务，这些服务协议或多或少存在安全隐患。 FTP 一些 FTP 服务器的缺陷会使服务器很容易被错误的配置，从而导致安全问题，如被匿名用户上载的木马程序，下载系统中的重要信息（如口令文件）并导致最终的入侵。 有些服务器版本带有严重的错误，比如可以使任何人 获得对包括 root 在内的任何帐号的访问。 . 网络中主要系统的安全风险 整个系统中网络设备主要采用路由器设备，有必要分析这些设备的风险。 路由器是网络的核心部件，路由器的安全将直接影响整个网络的安全。 下面列举了一些路由器所存在的主要安全风险： ■ 路由器缺省情况下只使用简单的口令验证用户身份，并且远程 TELNET 登录时以明文传输口令。 一旦口令泄密路由器将失去所有的保护能力。 ■ 路由器口令的弱点是没有计数器功能，所以每个人都可以不限次数的尝试登录口令，在口令字典等工具的帮助下很容易破解登录口令。 ■ 每个管理员都 可能使用相同的口令，因此，路由器对于谁曾经作过什么修改，系统没有跟踪审计的能力。 ■ 路由器实现的某些动态路由协议存在一定的安全漏洞，有可能被恶意的攻击者利用来破坏网络的路由设置，达到破坏网络或为攻击做准备的目的。 针对这种情况，必须采取措施，有效防止非法对网络设备访问。 ■ TCP/IP 风险：系统采用 TCP/IP 协议进行通信，而因为 TCP/IP 协议中存在固有的漏洞，比如：针对 TCP 序号的攻击， TCP 会话劫持， TCP SYN 攻击等。 同时系统的 DNS 采用 UDP 协议，因为 UDP 协议是非面向连接的协议，对系统中的 DNS 等相关应用带来安全风险。 . 数据库系统安全分析 数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。 数据库的安全问题，在数据库技术诞生之后就一直存在，并随着数据库技术的发展而不断深化。 不法份子利用已有的或者更加先进的技术手段通常对数据库进行伪造数据库中的数据、损坏数据库、窃取数据库中的数据。 如何保证和加强数据库系统的安全性和保密性对于网络的正常、安全运行至关重要。 . Unix 系统的安全分析 UNIX系统安全具有如下特征 ：  操作系统可靠性：它用于保证系统的完整性，系统处于保护模式下，通过硬件和软 件保证系统操作可靠性。  访问控制：允许通过改变用户安全级别、访问权限，具有统一的访问控制表。  对象可用：当对象不需要时应该立即清除。  个人身份标识与认证：它主要为了确定身份，如用户登陆时采用扩展的DES 算法对口令进行加密。  审计：它要求对使用身份标识和认证的机制，文件的创建，修改，系统管理的所有操作以及其他有关安全事件进行记录，以便系统管理员进行安全跟踪。  往来文件系统： UNIX 系统提供了分布式文件系统（ DFS）的网络安全。 将网络与外部网络相连接，会使您的网络遭受潜在的服务中断、未经授权的入侵以及相当 大的破坏。 比如下面的一些安全隐患： ■ “拒绝服务”攻击 (Denial of Service Attacks): 这些攻击禁止系统向顾客提供服务，使顾客不能得到某种服务。 例如，攻击可能使用大而无用的流量充斥网络，导致无法向顾客提供服务。 最通常的情况是这种攻击可能毁坏系统或者只是让系统在向顾客提供服务时慢的出奇。 ■缓冲区溢出攻击 (Buffer Overrun Exploits): 其中包括利用软件的弱点将任意数据添加进某个程序中，从而在它以根的身份运行时，有可能赋予剥削者对您的系统的根访问权。 这也可能导 致某种“拒绝服务”攻击。 ■窃听和重放攻击 (Snooping and Replay Attacks): 窃听攻击涉及某个对网络上的两台机器之间的通讯流进行侦听的入侵者。 通讯流可能包含使用 tel、 rlogin 或 ftp 时来回传递的未加密的口令。 这有可能造成某个未经授权的个人非法进入您的网络或看到机密数据。 ■ IP 欺骗 (IP Spoofing): 基于 IP 欺骗的攻击涉及对计算机未经授权的访问。 通过侦听网络通讯流，入侵者找到受信任主机的一个 IP 地址，然后发送消息时指示该消息来自受信任主机。 ■ 内部泄密 (Internal Exposure): 绝大多数网络非法进入皆起因于某个心怀恶意或对现状不满的现任或前任雇员滥用对信息的访问权或非法闯入您的网络。 针对 Unix 系统存在的诸多风险，应该采取相应的安全措施。 必须对这些风险加以控制。 针对这个部分的安全控制可以采取特殊的安全策略，同时利用相关的软件对系统进行配置、监控。 制定详细的访问控制计划、策略。 . Windows NT 系统的安全分析 Windows NT 的安全机制的基础是所有的资源和操作都受到选择访问控制的保护，可以为同一目录的不同文件设置不同的 权限。 这是 NT 的文件系统的最大特点。 NT 的安全机制不是外加的，而是建立在操作系统内部的，可以通过一定的设置使文件和其他资源免受在存放的计算机上工作的。