黃慧

上海濟光職業(yè)技術學院信息中心 上海 201901

0 引言

隨著計算機網(wǎng)絡的不斷發(fā)展，網(wǎng)絡的開放性、共享性、互連性隨之擴大。特別是互聯(lián)網(wǎng)的普及，使得網(wǎng)上交易、網(wǎng)絡銀行等一些網(wǎng)絡新生業(yè)務的迅速興起，計算機網(wǎng)絡安全性問題顯得相當重要。目前造成網(wǎng)絡不安全的主要因素是系統(tǒng)、協(xié)議及數(shù)據(jù)庫等的設計上存在缺陷。由于當今的計算機網(wǎng)絡操作系統(tǒng)在本身結構設計和代碼設計時偏重考慮系統(tǒng)使用時的方便性，導致了系統(tǒng)在遠程訪問、權限控制和口令管理等許多方面存在安全漏洞。網(wǎng)絡互連一般采用 TCP/IP協(xié)議，它是一個工業(yè)標準的協(xié)議簇，但該協(xié)議簇在制訂之初，對安全問題考慮不多，協(xié)議中有很多的安全漏洞。同樣，數(shù)據(jù)庫管理系統(tǒng)(DBMS)也存在數(shù)據(jù)的安全性、權限管理及遠程訪問等方面問題，在DBMS或應用程序中可以預先安置從事情報收集、受控激發(fā)、定時發(fā)作等破壞程序。

由此可見，針對系統(tǒng)、網(wǎng)絡協(xié)議及數(shù)據(jù)庫等，無論是其自身的設計缺陷，還是由于人為的因素產(chǎn)生的各種安全漏洞，都可能被一些另有圖謀的黑客所利用并發(fā)起攻擊。因此要保證校園網(wǎng)網(wǎng)絡安全，則必須熟知黑客攻擊網(wǎng)絡的一般過程。只有這樣方可在黑客攻擊前做好必要的防備，從而確保網(wǎng)絡運行的安全和可靠。

1 校園網(wǎng)防火墻配置的總原則

在校園網(wǎng)防火墻的配置時，要考慮以下兩個問題：

(1) 可伸縮性問題：某學院校園網(wǎng)對防火墻的需求不同于一般性的商業(yè)公司。按照校園網(wǎng)要求配置防火墻的時候，防火墻應當具有伸縮性，可以隨著它所保護網(wǎng)絡的發(fā)展而升級。它應該考慮到教工和學生的需求，他們希望能網(wǎng)上沖浪和發(fā)送e_mail。如今，由于TCP/IP協(xié)議既用于Internet又用于內(nèi)部網(wǎng)絡，防火墻也需要根據(jù)學校的具體需要對IP地址進行一些處理，例如，IP轉(zhuǎn)發(fā)或NAT等。

防火墻需要根據(jù)它所保護網(wǎng)絡不同要求作相應的改變。很可能，這其中的變化之一就是某學院自身的發(fā)展，而更多教學方面信息來自 Internet這些意味著將需要更多的防火墻資源，要注意進行定期檢查并按需要升級軟件和硬件來更新防火墻。

(2) 系統(tǒng)效率問題：安裝防火墻的挑戰(zhàn)之一，就是上網(wǎng)人員用來通信和交換數(shù)據(jù)的速度。防火墻的功能越強大，數(shù)據(jù)的傳送速度可能就越小。

可供堡壘主機使用的處理資源和內(nèi)存資源是防火墻的兩個重要特征。盡管堡壘主機可能不是防火墻組成結構中惟一的硬件部分，當其防火墻軟件運行時，它具有重要的作用。如果主機運行得太慢，或者它沒有足夠的內(nèi)存來處理大量的包過濾決策、代理服務請求和其他通信，整個系統(tǒng)的效率將會受到嚴重的影響，這是因為堡壘主機處于網(wǎng)絡的周邊，并且如果沒有設置其他的堡壘主機和防火墻來保證網(wǎng)絡負載平衡的話，該堡壘主機將是通信能否順利通過的惟一網(wǎng)關。

堡壘主機并不僅僅是一臺經(jīng)過特別配置的，可以運行的防火墻、代理服務器和其他軟件的計算機，它還需要足夠快的處理器速度和大容量的內(nèi)存來處理網(wǎng)絡的當前通信。對防火墻和堡壘主機來說，可伸縮性和安全性都很重要，但是，內(nèi)存狀況對防火墻的性能發(fā)揮和它所保護的個人用戶的工作效率很重要。堡壘主機需要足夠的 RAM，以便支持每個程序的運行，這些程序?qū)Ρ緳C加載必不可少，否則，堡壘主機需要執(zhí)行內(nèi)存交換，從而降低了效率。

關鍵資源是和硬件或者軟件相關的內(nèi)容，它在服務或者程序的運行過程中起重要作用。表1列出了防火墻成功運行的關鍵資源。

表1 防火墻服務的關鍵資源

表中第二列中的限制項目可以節(jié)省關鍵資源。

2 校園網(wǎng)防火墻配置的具體策略

設置了安全策略，并且決定了防火墻要遵循的規(guī)則以后，就可以按照既定的策略來配置防火墻。不同防火墻配置的特點，如表2所示。

表2 不同防火墻配置的特點

表3 防火墻受到的威脅及相應的抵御措施

2.1 DMZ屏蔽子網(wǎng)的防火墻

某學院校園網(wǎng)的防火墻系統(tǒng)類似于DMZ屏蔽子網(wǎng)的防火墻。所謂DMZ屏蔽子網(wǎng)的防火墻是在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡和外部網(wǎng)絡分開，在很多實現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構成一個“非軍事區(qū)”DMZ。有的屏蔽子網(wǎng)中還設有一堡壘主機作為惟一可訪問點，支持終端交互或作為應用網(wǎng)關代理。這種配置的危險帶僅包括堡壘主機、子網(wǎng)主機及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。

如果攻擊者試圖完全破壞防火墻，他必須重新配置連接三個網(wǎng)的路由器，既不切斷連接又不要把自己鎖在外面，同時又不使自己被發(fā)現(xiàn)，這樣也還是可能的。但若禁止網(wǎng)絡訪問路由器或只允許內(nèi)網(wǎng)中的某些主機訪問它，則攻擊會變得很困難。在這種情況下，攻擊者得先侵入堡壘主機，然后進入內(nèi)網(wǎng)主機，再返回來破壞屏蔽路由器，整個過程中不能引發(fā)警報。屏蔽子網(wǎng)防火墻能夠幫助建立一個非防護區(qū)，這種類型防火墻利用堡壘主機夾在兩個路由器中間，所以它是最安全的防火墻系統(tǒng)。

對于進來的信息，外面的這個路由器用于防范通常的外部攻擊(如源地址欺騙和源路由攻擊)，并管理Internet到DMZ網(wǎng)絡的訪問。它只允許外部系統(tǒng)訪問堡壘主機(還可能有信息服務器)。里面的這個路由器提供第二層防御，只接受源于堡壘主機的數(shù)據(jù)包，負責的是管理DMZ到內(nèi)部網(wǎng)絡的訪問。

對于去往 Internet的數(shù)據(jù)包，里面的路由器管理內(nèi)部網(wǎng)絡到DMZ網(wǎng)絡的訪問。它允許內(nèi)部系統(tǒng)只訪問堡壘主機(還可能有信息服務器)。外面的路由器上的過濾規(guī)則要求使用代理服務(只接受來自堡壘主機的去往Internet的數(shù)據(jù)包)。如圖1所示。

圖1 DMZ屏蔽子網(wǎng)示意圖

部署DMZ屏蔽子網(wǎng)防火墻系統(tǒng)有如下優(yōu)點：

(1) 入侵者必須突破 3個不同的設備(夫法探測)才能侵襲內(nèi)部網(wǎng)絡：外部路由器，堡壘主機，還有內(nèi)部路由器。

(2) 由于外部路由器只能向Internet通告DMZ網(wǎng)絡的存在，Internet上的系統(tǒng)不需要有路由器與內(nèi)部網(wǎng)絡相連。這樣網(wǎng)絡管理員就可以保證內(nèi)部網(wǎng)絡是“不可見”的，并且只有在DMZ網(wǎng)絡上選定的系統(tǒng)才對Internet開放(通過路由表和DNS信息交換)。

(3) 由于內(nèi)部路由器只向內(nèi)部網(wǎng)絡通告 DMZ網(wǎng)絡的存在，內(nèi)部網(wǎng)絡上的系統(tǒng)不能直接通往Internet，這樣就保證了內(nèi)部網(wǎng)絡上的用戶必須通過駐留在堡壘主機上的代理服務才能訪問Internet。

(4) 包過濾路由器直接將數(shù)據(jù)引向 DMZ網(wǎng)絡上所指定的系統(tǒng)，消除了堡壘主機雙宿的必要。

(5) 內(nèi)部路由器在作為內(nèi)部網(wǎng)絡和 Internet之間最后的防火墻系統(tǒng)時，能夠支持比雙宿堡壘主機更大的數(shù)據(jù)包吞吐量。

(6) 由于 DMZ網(wǎng)絡是一個與內(nèi)部網(wǎng)絡不同的網(wǎng)絡，NAT(網(wǎng)絡地址變換)可以安裝在堡壘主機上，從而避免在內(nèi)部網(wǎng)絡上重新編址或重新劃分子網(wǎng)。

2.2 校園網(wǎng)防火墻系統(tǒng)的新功能

為了使學校的校園網(wǎng)絡更加安全可靠，某學院對其校園網(wǎng)的防火墻添加了一些特殊的功能。

(1) NAT

學校的路由器或者防火墻執(zhí)行NAT時，可以把公共IP地址轉(zhuǎn)變?yōu)閷Ｓ玫刂?，反之亦然，這樣可以對外部的計算機隱藏受保護網(wǎng)絡上計算機的IP地址。使用NAT進行簡單的數(shù)據(jù)傳送的步驟如圖2所示。

圖2 網(wǎng)絡地址轉(zhuǎn)換示意圖

(2) 加密

做SSL或者其他類型加密的路由器或者防火墻在接收一個請求后，通過私鑰將它轉(zhuǎn)為雜亂數(shù)據(jù)，然后通過接收者的路由器或者防火墻交換公鑰。接著就可以對消息進行解密，并以一種容易理解的形式把它提供給終端用戶，如圖3所示。

圖3 路由器或者防火墻可以對消息加密

(3) 應用程序代理

應用程序代理是一個軟件，它根據(jù)主機的要求，接收請求，重建請求，把它們發(fā)送到指定的位置，就像是從它(代理)那里發(fā)出的請求一樣。它可以通過雙宿主主機來創(chuàng)建。在雙宿主主機設置中，包括防火墻或者代理服務器軟件的主機擁有兩個接口，一個和 Internet相連，另一個和受保護的內(nèi)部網(wǎng)絡相連(見圖4)。某學院校園網(wǎng)采用的是應用程序代理，因為它是一套軟件相對來講比較易維護、易操作；同時也比較安全可靠。

圖4 雙宿主主機上的應用程序代理

因為雙宿主主機位于內(nèi)部LAN和Internet之間，位于內(nèi)部網(wǎng)絡上的主機永遠不能直接訪問Internet。根據(jù)雙宿主主機的要求，代理服務器程序發(fā)出請求，并且將來自 Internet的包轉(zhuǎn)發(fā)到主機上去。

在屏蔽子網(wǎng)中，提供代理服務器軟件的主機擁有一個獨立的網(wǎng)絡接口。除了代理服務器軟件指定的數(shù)據(jù)類型，主機過濾器兩端的包過濾器會過濾掉所有的通信。

(4) 入侵檢測系統(tǒng)(IDS)

監(jiān)控到可能的入侵襲擊并及時報警，可以有多種選擇。入侵檢測系統(tǒng)安裝在處于網(wǎng)絡邊界的外部或者內(nèi)部的路由器上(見圖5)。許多流行的軟件防火墻包中內(nèi)置IDSB了，包括Secure Computing的Sidewinder。

圖5 并入邊界路由器的IDS系統(tǒng)

圖6 防火墻與外部路由器之間的Cisco CIDS設備

某學院校園網(wǎng)為什么要安裝IDS呢？安裝IDS的外部路由器負責告知來自Internet的入侵攻擊，而安裝了IDS的內(nèi)部路由器負責監(jiān)控內(nèi)部網(wǎng)絡上的主機，在他們試圖通過可疑端口或者不尋常的服務進入 Internet時通知管理員，這些動作可能是已侵入計算機的特洛伊木馬病毒引起的。IDS也可以用來尋找是否有大量的 TCP連接請求發(fā)送到了目標計算機的許多端口上，因此可以發(fā)現(xiàn)是否有人正企圖進行TCP端口的掃描。若有則發(fā)送警報通知管理員，及時阻斷此類攻擊。

Cisco CIDS的入侵檢測系統(tǒng)(IDS)可以有不同的工作方式。它負責監(jiān)控防火墻和 Internet之間的區(qū)域。通過配置，能夠檢測到來自Internet上對防火墻的攻擊時間(見圖6)。

3 小結

校園網(wǎng)的安全性是校園網(wǎng)正常運行的前提，對校園網(wǎng)健康發(fā)展至關重要。首先，提出了防火墻配置總的策略，主要關心兩點：(1)可伸縮性；(2)運行效率。對不同的防火墻配置進行了列表比較，某學院選用的是性價比較高的 DMZ屏蔽子網(wǎng)防火墻系統(tǒng)，因為其對安全性有較大的保證，所以被人們認為是目前最好的校園網(wǎng)防火墻。在此基礎上，某學院又對防火墻添加了新功能有4個：(1)NAT；(2)加密；(3)應用程序代理；(4)入侵檢測系統(tǒng)。

[1] 孫鋒編著.網(wǎng)絡安全與防黑技術.北京: 機械工業(yè)出版社.2004.

[2] 趙泉編.網(wǎng)絡安全與電子商務.北京:清華大學出版社.2005.

[3] 朱傳靖著.知者無畏:一個真實的病毒世界.北京:金城出版社.2002.