1、第七章 网络安全设备的攻击与防御第七章第七章 网络安全设备的攻击与防御网络安全设备的攻击与防御7.1 路由技术路由技术7.2 路由器安全路由器安全7.3 防火墙防火墙7.4 防火墙攻击防火墙攻击7.5 路由器和防火墙的路由器和防火墙的比较比较第七章 网络安全设备的攻击与防御7.1 路路 由由 技技 术术7.1.1 路由和路由器路由和路由器 1路由路由路由是数据从一个节点传输到另外一个节点的过程。我们要出发到某地,一般先确定路线,但是走到中途,可能由于某些原因必须改变路线,路由就是在网络上类似的路线。路由的功能就是选择一条从源网络到目的网络的路径,并进行数据包的转发。在网络中,携带目的地址的数据
2、包沿着指定的路由传送到目的地。第七章 网络安全设备的攻击与防御2路由器路由器路由器是在互联网中实现路由功能的主要节点设备。同一子网中的计算机可以直接通信,不同子网中的计算机要互相通信,则必须借助路由器。路由器通过路由来决定数据在网络之间的转发。路由器有两大典型功能,即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等,一般由特定的硬件来完成;控制功能一般用软件来实现,包括与相邻路由器之间的信息交换、系统配置、系统管理等。第七章 网络安全设备的攻击与防御人们一般会把路由和交换进行比较,主要是因为在普通用户看来两者所实现的功能是完全一样的。其实,路由和交换之间的主要区别就
3、是交换发生在 OSI 参考模型的第 2 层(数据链路层),而路由发生在第 3 层(网络层)。但是为了实现从源网络到目的网络的数据包传递,应该使用路由选择功能。第七章 网络安全设备的攻击与防御3支持路由的网络协议支持路由的网络协议在常见的网络协议中,TCP/IP、IPX/SPX(主要用于 Novell NetWare 网 络)和AppleTalk(主要用于 Apple Macintosh 网络)等都是支持路由的协议,支持这些协议的路由器也称为 IP 路由器、IPX 路由器、AppleTalk 路由器。能够同时支持两种以上网络协议的路由器称为多协议路由器。在 TCP/IP 网络中,IP 路由器又叫
4、 IP 网关。第七章 网络安全设备的攻击与防御4软件路由器和专用路由器软件路由器和专用路由器在路由的实现过程中,根据方法的不同,可以分为专用路由器路由及软件路由,相应地,路由器可以是专门的硬件设备,一般称专用路由器或硬件路由器,也可以由软件来实现,一般称主机路由器或软件路由器。一般认为普通 PC 安装一套专用的路由器程序组成的系统称为软件路由器。第七章 网络安全设备的攻击与防御专用路由器在速度、流量控制方面都比较优越,网络接口多,适用于多个网络的互联。如果网络的规模较大,如大学的校园网、大型企业的网络、ISP 等,还是采用专用的路由器为好。专用路由器并不是纯粹的硬件产品,像计算机一样,它包括电
5、源、内部总线、主存、闪存、处理器和操作系统,而且其内部组件还包括专用网卡,用来处理各种各样的可能连接。Cisco 路由器有自己专用的网络操作系统(ISO)。第七章 网络安全设备的攻击与防御7.1.2 路由路由表表1路由表结构路由表结构路由表中的每项包括网络地址、转发地址、接口和跃点等信息。不同的网络协议,路由表的结构略有不同。TCP/IP 对应的是 IP 路由表,每台安装 TCP/IP 的系统里面都有一份路由表,在命令行中输入 route print 命令,就可以查看当前的路由表,如图 7-1 所示。第七章 网络安全设备的攻击与防御第七章 网络安全设备的攻击与防御路由表中相关字段:活动路由网络
6、目标:目的地址,用来标识 IP 包的目的地址或者目的网络。网络掩码:与目的地址一起标识目的主机或者路由器所在的网段的地址。网关:转发路由数据包的 IP 地址,一般就是下一个路由器的地址。在路由表中查到目的地址后,将数据包发送到此 IP 地址,由该地址的路由器接收数据包。该地址可以是本机网卡的 IP 地址,也可以是同一子网的路由的地址。接口:指定转发 IP 数据包的网络接口,也就是路由数据包从哪个接口转发出去。跃点数:一个路由为一个跃点。跃点数是经过了多少个跃点的累加器,为了防止无用的数据包在网上流散。第七章 网络安全设备的攻击与防御2主机路由、网络路由和默认路由主机路由、网络路由和默认路由主机
7、路由:到特定 IP 地址即特定主机的路由。主机路由通常用于将自定义路由创建到特定主机以控制或优化网络通信。主机路由的网络掩码为 255.255.255.255。网络路由:到特定网络 ID 的路由。默认路由:如果在路由表中没有找到其他路由,则使用默认路由。例如,如果路由器或主机不能找到目标的网络路由或主机路由,则使用默认路由。默认路由简化了主机的配置。默认路由的网络地址和网络掩码均为 0.0.0.0。第七章 网络安全设备的攻击与防御7.1.3 路由选择过程路由选择过程路由功能就是指选择一条从源到目的的路径,并进行数据包的转发。了解路由选择功能是理解路由的关键。数据在路由选择时 IP 数据包的格式
8、如图 7-2 所示。第七章 网络安全设备的攻击与防御第七章 网络安全设备的攻击与防御7.1.4 静态路由和动态静态路由和动态路由路由1静态路由静态路由静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的,不会传递给其他的路由器。当然,网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境,在这样的环境中,网络管理员易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。在一个支持 DDR(Dial-on-Demand Routing)的网络中,拨号链路
9、只在需要时才拨通,因此不能为动态路由信息表提供路由信息的变更情况。在这种情况下,网络也适合使用静态路由。第七章 网络安全设备的攻击与防御使用静态路由的另一个好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表,而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。因此,网络出于安全方面的考虑也可以采用静态路由。大型和复杂的网络环境通常不宜采用静态路由。一方面,网络管理员难以全面地了解整个网络的拓扑结构;另一方面,当网络的拓扑结构和链路状态发生变化时,路由器中的静态路由信息需要大范围地调整,这一工作的难度和复杂程度非常高。第七章 网络安全设备的攻击与防御2.动态路由动态路由
10、动态路由是指路由器能够自动地建立自己的路由表,并且能够根据实际情况的变化适时地进行调整。动态路由机制的运作依赖路由器的两个基本功能:对路由表的维护;路由器之间适时的路由信息交换。第七章 网络安全设备的攻击与防御路由器之间的路由信息交换是基于路由协议实现的。交换路由信息的最终目的在于通过路由表找到一条数据交换的“最佳”路径。每一种路由算法都有其衡量“最佳”的一套原则。大多数算法使用一个量化的参数来衡量路径的优劣,一般来说,参数值越小,路径越好。该参数可以通过路径的某一特性进行计算,也可以在综合多个特性的基础上进行计算。几个比较常用的特征是:路径所包含的路由器节点数(hop count)、网络传输
11、费用(cost)、带宽(bandwidth)、延迟(delay)、负载(load)、可靠性(reliability)和最大传输单元 MTU(Maximum Transmission Unit)。第七章 网络安全设备的攻击与防御7.1.5 路由协议路由协议1内部网关协议和外部网关协议内部网关协议和外部网关协议按作用范围,路由协议可分为内部网关协议和外部网关协议。1)内部网关协议内部网关协议简称 IGP,用于自治系统内部,内部网关协议实现简单,系统开销小,不适用于特大规模网络。最常见的是路由信息协议(RIP)、开放式最短路径优先(OSPF)协议。在路由配置中用得最多的是内部网关协议。第七章 网络安
12、全设备的攻击与防御2)外部网关协议外部网关协议简称 EGP,工作在自治系统之间,实现自治域系统之间的通信。外部网关协议针对特大规模网络,复杂程度高,系统开销大。最流行的是边界路由协议(BGP),它是 Internet 上互联网络使用的外部网关协议。第七章 网络安全设备的攻击与防御2距离向量路由协议和连接状态路由协议距离向量路由协议和连接状态路由协议按照路由信息交换的方法,路由协议可分为距离向量路由协议和连接状态路由协议。1)距离向量路由协议距离向量路由协议只与直接连接到网络中的路由器交换路由信息,各个路由器都将信息转发到直接邻接的路由器。交换的路由信息网络链路的距离向量,主要就是在路由表中包含
13、到达目的网络所经过的距离和到达目的网络的下一跳地址。运行距离向量协议的路由器会根据相邻路由器发送过来的信息更改自己的路由表。RIP 是典型的距离向量协议,适用于中小型网络。第七章 网络安全设备的攻击与防御2)连接状态路由协议典型的连接状态路由选择协议是 OSPF 协议。连接状态路由选择协议的目的是得到整个网络的拓扑结构。每个运行连接状态路由协议的路由器都要提供链路状态的拓扑结构信息,并配合网络拓扑结构的变化及时修改路由配置,以适应新的路由选择。连接状态路由协议非常适合中大型网络。第七章 网络安全设备的攻击与防御3RIP 路由信息协议(RIP)是内部网关协议(IGP)中最先得到合法使用的协议。R
14、IP 是一种分布式的基于距离向量的路由选择协议,是因特网的标准协议,其最大的优点就是简单。RIP要求网络中的每一个路由器都要维护从它自己到其他每一个目的网络的距离记录。这里有三个要点,和后面的 OSPF 协议不相同。(1)仅和相邻路由交换信息。两个路由器是相邻的,即在同一个网络上有自己的接口。RIP 规定,不相邻的路由器不交换信息。第七章 网络安全设备的攻击与防御(2)交换的信息是当前本路由器所知道的全部信息,即自己的路由表。即到本自治系统中所有网络的(最短)距离,以及到每个网络应经的下一跳路由器。(3)按固定的时间间隔交换路由信息。例如,每隔 30 秒,路由器根据收到的路由信息更新路由表。当
15、网络拓扑发生变化时,路由器也及时向相邻路由器通告拓扑变化后的路由信息。第七章 网络安全设备的攻击与防御4OSPF 协议OSPF 协议是典型的连接状态路由协议。OSPF 路由器与区域内的每个路由器通信,从而获知整个网络的拓扑结构,是网络拓扑结构来选择路由。这里我们将 OSPF 和 RIP 进行比较。第七章 网络安全设备的攻击与防御第七章 网络安全设备的攻击与防御OSPF 最主要的特征就是使用分布式的链路状态协议,而不是像 RIP 那样的距离向量协议。和 RIP 相比,OSPF 的三个要点和 RIP 的都是不一样的,具体如下:(1)向本自治系统中所有路由器发送信息。这里使用的是洪泛法,就是路由器通
16、过所有输出端口向所有相邻的路由器发送信息。每一个相邻路由器又再次将此信息发往其所有的相邻路由器(但是不再发送给刚刚发来信息的那个路由器)。这样,最终整个区域中所有的路由器都得到了这个信息的一个副本。第七章 网络安全设备的攻击与防御(2)发送的信息就是与本路由器相邻的所有路由器的链接状态。但这只是路由器所知道的部分信息。这里的链路状态是指本路由器和哪些路由器相邻,以及该链路的度量。OSPF用这个“度量”来表示费用、距离、时延、带宽等,这些可以由管理人员自己来决定。(3)只有当链路状态发生变化时,路由器才用洪泛法向所有路由器发送此信息(RIP 是不管网络拓扑有无变化,路由器之间都要定时交换路由表的
17、信息)。第七章 网络安全设备的攻击与防御7.2 路由器路由器安全安全7.2.1 路由器的安全设计路由器的安全设计为了使路由器将合法信息完整、及时、安全地转发到目的地,许多路由器厂商开始在路由器中添加安全模块,于是出现了路由器与安全设备融合的趋势。从本质上讲,增加安全模块的路由器,在路由器功能实现方面与普通路由器没有区别。所不同的是,添加安全模块的路由器可以通过加密、认证等技术手段增强报文的安全性,与专用安全设备进行有效配合,来提高路由器本身的安全性和所管理网段的可用性。第七章 网络安全设备的攻击与防御1网络应用环境对路由器提出的安全要求网络应用环境对路由器提出的安全要求 完整性:要求路由器在转
18、发报文过程中,保证信息不会遭到偶然或蓄意地添加、删除、修改、重放等破坏。保密性:要求路由器保证信息在发送过程中不会被窃听,即使信息被窃听也不能被破译。可用性:要求路由器保证系统或系统资源可被授权用户访问并按照需求使用。可控性:要求路由器根据需要对转发信息进行安全监控,对可疑的网络信息进行分析、截留或其他处理。及时性:要求路由器保证网络信息能够被及时转发,不会因安全处理而使转发时间超出限度。抗攻击性:要求路由器具有抵抗网络攻击的能力。第七章 网络安全设备的攻击与防御2采用的安全技术采用的安全技术为了满足网络应用环境对路由器的安全要求,许多路由器厂商将防火墙、VPN、IDS、防病毒、URL 过滤等
19、技术引入路由器当中。1)访问控制技术用户验证是实现用户安全防护的基础技术。路由器上可以采用多种用户接入的控制手段,如 PPP、Web 登录认证、ACL、802.1x 协议等,保护接入用户不受网络攻击,同时能够阻止接入用户攻击其他用户和网络。基于 CA 标准体系的安全认证,将进一步加强访问控制的安全性。第七章 网络安全设备的攻击与防御2)传输加密技术IPSec 是路由器常用的协议。借助该协议,路由器支持建立虚拟专用网(VPN)。IPSec协议包括 ESP(Encapsulating Security Payload,封装安全负载)、AH(Authentication Header,报头验证)协议
20、及 IKE(Internet Key Exchange,密钥交换)协议等,可以用在公共 IP 网络上确保数据通信的可靠性和完整性,能够保障数据安全穿越公网而没有被侦听。IPSec 部署简便,只需安全通道两端的路由器或主机支持 IPSec 协议即可,几乎不需对网络现有基础设施进行更动。这正是 IPSec 协议能够确保包括远程登录、客户机、服务器、电子邮件、文件传输及 Web 访问等多种应用程序安全的重要原因。第七章 网络安全设备的攻击与防御3)防火墙防护技术采用防火墙功能模块的路由器具有报文过滤功能,能够对所有接收和转发的报文进行过滤和检查,检查策略可以通过配置实现更改和管理。路由器还可以利用
21、NAT/PAT 功能隐藏内网拓扑结构,进一步实现复杂的应用网关(ALG)功能。还有一些路由器提供基于报文内容的防护。原理是,当报文通过路由器时,防火墙功能模块可以对报文与指定的访问规则进行比较,如果规则允许,报文将接受检查,否则报文直接被丢弃。如果该报文用于打开一个新的控制或数据连接,防护功能模块将动态修改或创建规则,同时更新状态表以允许与新创建的连接相关的报文。回来的报文只有属于一个已经存在的有效连接,才会被允许通过。第七章 网络安全设备的攻击与防御4)入侵检测技术在安全架构中,入侵检测(IDS)是一个非常重要的技术,目前有些路由器和高端交换机已经内置 IDS 功能模块。内置入侵检测模块需要
22、路由器具备完善的端口镜像(一对一、多对一)和报文统计支持功能。5)HA(高可用性)提高自身的安全性,需要路由器能够支持备份协议(如 VRRP)和具有日志管理功能,以使得网络数据具备更高的冗余性和能够获取更多的保障。第七章 网络安全设备的攻击与防御7.2.2 路由器的安全路由器的安全设置设置1.堵住安全漏洞堵住安全漏洞限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问,用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被
23、披露,这就使得黑客抢在供应商发行补丁之前利用受影响的系统,这需要引起用户的关注。第七章 网络安全设备的攻击与防御2.避免身份危机避免身份危机黑客常常利用弱口令或默认口令进行攻击。加长口令、选用 30 到 60 天的口令有效期等措施有助于防止这类漏洞。另外,一旦重要的 IT 员工辞职,用户应该立即更换口令。用户应该启用路由器上的口令加密功能,这样即使黑客能够浏览系统的配置文件,他仍然需要破译密文口令。另外,要实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上,用户可以配置一些协议,如远程验证拨入用户服务,这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用
24、户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证,以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分,后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳(SSH)或 IPSec 内传送安全证书。第七章 网络安全设备的攻击与防御3.禁用不必要的服务禁用不必要的服务拥有众多路由服务是件好事,但近来许多安全事件都凸显了禁用不需要的本地服务的重要性。需要注意的是,禁用路由器上的 CDP(Cisco 发现协议)可能会影响路由器的性能。另一个需要用户考虑的因素是定时,定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步,经过一段时间后,时钟仍
25、有可能逐渐失去同步。用户可以利用名为网络时间协议(NTP)的服务,对照有效准确的时间源以确保网络上的设备时针同步。不过,确保网络设备时钟同步的最佳方式不是通过路由器,而是在防火墙保护的非军事区(DMZ)的网络区段放一台 NTP 服务器,将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上,用户很少需要运行其他服务,如 SNMP 和 DHCP,只有绝对必要的时候才使用这些服务。第七章 网络安全设备的攻击与防御4.限制逻辑访问限制逻辑访问主要是借助于合理处置访问控制列表。限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH 是优先的逻辑访问方法,但如果无法避免 Telnet,不妨
26、使用终端访问控制,以限制只能访问可信主机。因此,用户需要给 Telnet 在路由器上使用的虚拟终端端口添加一份访问列表。控制消息协议(ICMP)有助于排除故障,但也为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对 OS 修正版本作出推测的信息。为了防止黑客搜集上述信息,只允许以下类型的 ICMP 流量进入用户网络:ICMP 网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间(TTL)的。此外,逻辑访问控制还应禁止 ICMP 流量以外的所有流量。第七章 网络安全设备的攻击与防御使用入站访问控制将特定服务引导至对应的服务器。例如,只允许 SMTP 流量进
27、入邮件服务器;DNS 流量进入 DSN 服务器;通过安全套接协议层(SSL)的 HTTP(HTTP/S)流量进入 Web 服务器。为了避免路由器成为 DoS 攻击目标,用户应该拒绝以下流量进入:没有 IP 地址的包,采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然用户无法杜绝 DoS 攻击,但用户可以限制 DoS 的危害。用户可以采取增加 SYN ACK队列长度、缩短 ACK 超时等措施来保护路由器免受 TCP SYN 攻击。用户还可以利用出站访问控制限制来自网络内部的流量。这种控制可以防止内部主机发送 ICMP 流量,只允许有效的源地址包离开网络。这有助于防止 IP 地址
28、欺骗,减小黑客利用用户系统攻击另一站点的可能性。第七章 网络安全设备的攻击与防御5.监控配置更改监控配置更改用户在对路由器配置进行改动之后,需要对其进行监控。如果用户使用 SNMP,那么一定要选择功能强大的共用字符串,最好是使用提供消息加密功能的 SNMP。如果不通过SNMP 管理对设备进行远程配置,用户最好将 SNMP 设备配置成只读。拒绝对这些设备进行写访问,用户就能防止黑客改动或关闭接口。此外,用户还需将系统日志消息从路由器发送至指定服务器。为进一步确保安全管理,用户可以使用 SSH 等加密机制,利用 SSH 与路由器建立加密的远程会话。为了加强保护,用户还应该限制 SSH 会话协商,只
29、允许会话用于同用户经常使用的几个可信系统进行通信。第七章 网络安全设备的攻击与防御6.实施配置管理实施配置管理用户应该实施控制存放、检索及更新路由器配置的配置管理策略,并将配置备份文档妥善保存在安全服务器上,以防新配置遇到问题时用户需要更换、重装或恢复到原先的配置。用户可以通过两种方法将配置文档存放在支持命令行接口(CLI)的路由器平台上。一种方法是运行脚本,脚本能够在配置服务器到路由器之间建立 SSH 会话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统;另外一种方法是在配置服务器到路由器之间建立 IPSec 隧道,通过该安全隧道内的 TFTP 将配置文件拷贝到服务器
30、。用户还应该明确哪些人员可以更改路由器配置、何时进行更改以及如何进行更改。在进行任何更改之前,制订详细的逆序操作规程。第七章 网络安全设备的攻击与防御7.2.3 路由器的安全路由器的安全特性特性1.可靠性与线路安全可靠性与线路安全可靠性要求是针对故障恢复和负载能力而提出来的。对于路由器来说,可靠性主要体现在接口故障和网络流量增大两种情况下,为此,备份是路由器不可或缺的手段之一。当主接口出现故障时,备份接口自动投入工作,保证网络的正常运行;当网络流量增大时,备份接口又可承担负载分管的任务。2.身份认证身份认证 路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份
31、认证。第七章 网络安全设备的攻击与防御3.访问控制访问控制 对于路由器的访问控制,需要进行口令的分级保护。有基于 IP 地址的访问控制和基于用户的访问控制。4.信息隐藏信息隐藏 与对端通信时,不一定需要用真实身份进行通信。通过地址转换,可以做到隐藏网内地址,只以公共地址的方式访问外部网络。除了由内部网络首先发起的连接,网外用户不能通过地址转换直接访问网内资源。第七章 网络安全设备的攻击与防御5.数据加密 为了避免因为数据窃听而造成的信息泄漏,有必要对所传输的信息进行加密,只有与之通信的对端才能对此密文进行解密。通过对路由器所发送的报文进行加密,即使在Internet 上进行传输,也能保证数据的
32、私有性、完整性以及报文内容的真实性。6.攻击探测和防范 路由器作为一个内部网络对外的接口设备,是攻击者进入内部网络的第一个目标。如果路由器不提供攻击检测和防范,则也是攻击者进入内部网络的一个桥梁。在路由器上提供攻击检测,可以防止一部分的攻击。第七章 网络安全设备的攻击与防御7.安全管理安全管理内部网络与外部网络之间的每一个数据报文都会通过路由器,在路由器上进行报文的审计可以提供网络运行的必要信息,有助于分析网络的运行情况。各厂商提供了不同的解决方案。如华为 Quidway 系列路由器提供了一个全面的网络安全解决方案,包括用户验证、授权、数据保护等,所采用的安全技术包括 CallBack 技术、
33、备份中心、AAA、CA 技术、包过滤技术、地址转换、VPN 技术、加密与密钥交换技术、智能防火墙和安全管理。第七章 网络安全设备的攻击与防御7.2.4 路由器防御路由器防御 DoS 攻击攻击拒绝服务(DoS)攻击是目前黑客广泛使用的一种攻击手段,它通过独占网络资源使其他主机不能进行正常访问,从而导致死机或网络瘫痪。DoS 攻击主要分为 Smurf、SYN Flood 和 Fraggle 三种,在 Smurf 攻击中,攻击者使用ICMP 数据包阻塞服务器和其他网络资源;SYN Flood 攻击使用数量巨大的 TCP 半连接来占用网络资源;Fraggle 攻击与 Smurf 攻击原理类似,使用 U
34、DP echo 请求而不是 ICMP echo请求发起攻击。第七章 网络安全设备的攻击与防御1.使用扩展访问列表使用扩展访问列表 扩展访问列表是防止 DoS 攻击的有效工具。它既可以用来探测 DoS 攻击的类型,也可以阻止 DoS 攻击。Show ip access-list 命令能够显示每个扩展访问列表的匹配数据包,根据数据包的类型,用户就可以确定 DoS 攻击的种类。如果网络中出现了大量建立 TCP 连接的请求,表明网络受到了 SYN Flood 攻击,这时用户就可以改变访问列表的配置,阻止 DoS 攻击。第七章 网络安全设备的攻击与防御2.使用使用 QoS 使用服务质量优化(QoS)特征
35、,如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)以及定制队列(CQ)等,都可以有效阻止 DoS 攻击。需要注意的是,不同的 QoS策略对付不同 DoS 攻击的效果是有差别的。例如,WFQ 对付 Ping Flood 攻击要比防止 SYN Flood 攻击更有效,这是因为 Ping Flood 通常会在 WFQ 中表现为一个单独的传输队列,而SYN Flood 攻击中的每一个数据包都会表现为一个单独的数据流。此外,人们可以利用CAR 来限制 ICMP 数据包流量的速度,防止 Smurf 攻击,也可以用来限制 SYN 数据包的流量速度,防止 SYN Flood 攻击。使用
36、 QoS 防止 DoS 攻击,需要用户弄清楚 QoS 以及DoS 攻击的原理,这样才能针对 DoS 攻击的不同类型采取相应的防范措施。第七章 网络安全设备的攻击与防御3.使用单一地址逆向转发使用单一地址逆向转发 逆向转发(RPF)是路由器的一个输入功能,该功能用来检查路由器接口所接收的每一个数据包。如果路由器接收到一个源 IP 地址为 10.10.10.1 的数据包,但是 CEF(Cisco Express Forwarding)路由表中没有为该 IP 地址提供任何路由信息,路由器就会丢弃该数据包,因此逆向转发能够阻止 Smurf 攻击和其他基于 IP 地址伪装的攻击。使用 RPF 功能需要将
37、路由器设为快速转发模式(CEF switching),并且不能将启用 RPF功能的接口配置为 CEF 交换。RPF 在防止 IP 地址欺骗方面比访问列表具有优势,首先它能动态地接受动态和静态路由表中的变化;第二 RPF 所需要的操作维护较少;第三 RPF作为一个反欺骗的工具,对路由器本身产生的性能冲击要比使用访问列表小得多。第七章 网络安全设备的攻击与防御4.使用使用 TCP 拦截拦截 TCP 拦截功能可以有效防止 SYN Flood 攻击内部主机。在 TCP 连接请求到达目标主机之前,TCP 拦截通过拦截和验证来阻止这种攻击。TCP拦截可以在拦截和监视两种模式下工作。在拦截模式下,路由器拦截
38、到达的 TCP 同步请求,并代表服务器建立与客户机的连接,如果连接成功,则代表客户机建立与服务器的连接,并将两个连接进行透明合并。在整个连接期间,路由器会一直拦截和发送数据包。对于非法的连接请求,路由器提供更为严格的对于 half-open 的超时限制,以防止自身的资源被SYN 攻击耗尽。在监视模式下,路由器被动地观察流经路由器的连接请求,如果连接超过了所配置的建立时间,路由器就会关闭此连接。第七章 网络安全设备的攻击与防御5.使用基于内容的访问控制使用基于内容的访问控制 基于内容的访问控制(CBAC)是对传统访问列表的扩展,它基于应用层会话信息,智能化地过滤TCP 和 UDP 数据包,防止
39、DoS 攻击。CBAC 通过设置超时时限值和会话门限值来决定会话的维持时间以及何时删除半连接。对 TCP 而言,半连接是指一个没有完成三阶段握手过程的会话。对 UDP 而言,半连接是指路由器没有检测到返回流量的会话。CBAC 正是通过监视半连接的数量和产生的频率来防止 SYN Flood 攻击的。第七章 网络安全设备的攻击与防御每当有不正常的半连接建立或者在短时间内出现大量半连接的时候,用户可以判断是遭受了 SYN Flood 攻击。CBAC 每分钟检测一次已经存在的半连接数量和试图建立连接的频率,当已经存在的半连接数量超过了门限值,路由器就会删除一些半连接,以保证新建立连接的需求。路由器持续
40、删除半连接,直到存在的半连接数量低于另一个门限值。同样,当试图建立连接的频率超过门限值,路由器就会采取相同的措施,删除一部分连接请求,并持续到请求连接的数量低于另一个门限值。通过这种连续不断的监视和删除,CBAC 可以有效防止 SYN Flood 和 Fraggle 攻击。第七章 网络安全设备的攻击与防御路由器是企业内部网络的第一道防护屏障,也是黑客攻击的一个重要目标。如果路由器很容易被攻破,那么企业内部网络的安全也就无从谈起,因此在路由器上采取适当措施,防止各种 DoS 攻击是非常必要的。用户需要注意的是,以上介绍的几种方法,对付不同类型的 DoS 攻击的能力是不同的,对路由器 CPU 和内
41、存资源的占用也有很大差别。在实际环境中,用户需要根据自身情况和路由器的性能来选择使用适当的方式。第七章 网络安全设备的攻击与防御7.3 防防 火火 墙墙7.3.1 防火墙技术概述防火墙技术概述1.防火墙的定义防火墙的定义防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,有效地监控了内部网和 Internet 之间的任何活动,保证了内部网络的安全。第七章 网络安全设备的攻
42、击与防御2.设置防火墙的目的和功能设置防火墙的目的和功能防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同的保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口,以及禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。第七章 网络安全设备的攻击与防御7.3.2 防火墙的分类防火墙的分类1.数据包过滤数据包过滤 数据包过滤(Packet
43、Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,通常安装在路由器上。路由器是内部网络与 Internet 连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。数据包过滤防火墙的缺点如下:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及 IP
44、的端口号都在数据包的头部,很有可能被窃听或假冒。第七章 网络安全设备的攻击与防御2.应用级网关应用级网关 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问
45、和攻击。第七章 网络安全设备的攻击与防御3.代理服务代理服务代理服务(Proxy Service)也称链路级网关或 TCP 通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络
46、管理员发出警报,并保留攻击痕迹。第七章 网络安全设备的攻击与防御7.3.3 防火墙的局限性防火墙的局限性虽然防火墙有很多优点,但它还是有缺点的,主要表现在以下方面。(1)不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户可以偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育等。第七章 网络安全设备的攻击与防御(2)不能防范不通过它的连接。防火墙能够有效地防止通过它进行信息传输,然而不能防止不
47、通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。(3)不能防备全部的威胁。防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,可以防备新的威胁,但没有一个防火墙能自动防御所有新的威胁。(4)防火墙不能防范病毒。防火墙不能消除网络上的 PC 的病毒。第七章 网络安全设备的攻击与防御7.3.4 防火墙体系结构防火墙体系结构1.双重宿主主机体系结构双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器,它能够从一个网络
48、向另一个网络发送 IP 数据包。然而,实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而,IP 数据包并不是直接从一个网络(例如因特网)发送到其他网络(例如内部的、被保护的网络)。防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统(在因特网上)能与双重宿主主机通信,但是这些系统不能直接互相通信。它们之间的 IP 通信被完全阻止。第七章 网络安全设备的攻击与防御2.被屏蔽主机体系结构被屏蔽主机体系结构双重宿主主机体系结构提供与多个网络相连的主机的服务(但是路由关闭),而被屏蔽主机体系结构使用一个单独的路由器提供内部网络主机之间的服务。在这种体系结构中,主要的安全机制由数据包过滤提供。
49、在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:即堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统(例如传送进来的电子邮件)。即使这样,也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务,必须连接到这台堡垒主机上。因此,堡垒主机需要拥有高等级的安全性。第七章 网络安全设备的攻击与防御在屏蔽的路由器中数据包过滤配置可以按下列之一执行:(1)允许其他的内部主机为了某些服务与因特网上的主机连接(即允许那些已经由数据包过滤的服务)。(2)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。用户可以针对不同的服务混合使用以上手段,某些服务可以被允许直接
50、经由数据包过滤,而其他服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。第七章 网络安全设备的攻击与防御因为这种体系结构允许数据包从因特网向内部网移动,所以,它的设计比没有外部数据包能到达内部网络的双重宿主主机体系结构似乎更冒风险。话说回来,实际上双重宿主主机体系结构在防备数据包从外部网络穿过内部网络方面也容易产生失败(因为这种失败类型是完全出乎预料的,不大可能防备黑客侵袭)。进而言之,保卫路由器比保卫主机较易实现,因为它提供非常有限的服务组。多数情况下,被屏蔽主机体系结构提供比双重宿主主机体系结构更好的安全性和可用性。然而,相比较其他体系结构,如下面要讨论的屏蔽子网体系结构而
