暑期实习信息安全调研报告.docx

暑期实习信息安全调研报告.docx

《暑期实习信息安全调研报告.docx》由会员分享，可在线阅读，更多相关《暑期实习信息安全调研报告.docx（14页珍藏版）》请在冰豆网上搜索。

暑期实习信息安全调研报告

暑期实习信息安全调研报告

学校：

北京科技大学

学院：

计算机与通信工程学院

专业：

信息安全

班级：

信安 09

姓名：

杨郅文

学号：

40950195

2012 年 7 月

北京科技大学信安 09 班40950195 杨郅文

身边的信息安全技术及科学问题

1.前言................................................................................................................................................2

1.1 防火墙：

..........................................................................................................................2

1.1.1 防火墙类型：

.......................................................................................................2

1.1.2 代理服务：

...........................................................................................................3

1.1.3 防火墙架设结构：

...............................................................................................3

1.1.4 防火墙的缺点：

...................................................................................................4

1.2 路由器防火墙：

..............................................................................................................5

2 TP-link 路由器防火墙设置 .......................................................................................................5

2.1 路由器防火墙应用举例—..............................................................................................5

3 思科路由器防火墙设置.............................................................................................................8

4 TP-LINK 路由器防火墙与思科路由器防火墙设置区别 ......................................................10

5 安全路由器与防火墙的区别...................................................................................................10

5.1 背景................................................................................................................................10

5.2 目的................................................................................................................................10

5.3 核心技术........................................................................................................................11

5.3.1 IP 地址欺骗（使连接非正常复位） ................................................................11

5.3.2 TCP 欺骗（会话重放和劫持） ........................................................................11

5.3.3 安全策略.............................................................................................................11

5.3.4 对性能的影响.....................................................................................................11

5.3.5 防攻击能力.........................................................................................................12

6 调研感想...................................................................................................................................12

1

北京科技大学信安 09 班40950195 杨郅文

1.前言

我所做的关于身边的信息安全技术及科学问题的调研内容主要是关于路由

器防火墙的相关知识内容和对比，以及防火墙、安全路由器和路由器防火墙的

对比。

首先在这里介绍一下防火墙的概念。

1.1防火墙：

在电脑运算领域中，防火墙（英文：

firewall）是一项协助确保资讯安全的

设备，会依照特定的规则，允许或是限制传输的资料通过。

防火墙可能是一台

专属的硬件或是架设在一般硬件上的一套软件。

防火墙最基本的功能就是隔离网络，通过将网络划分成不同的区域（通常

情况下称为 ZONE），制定出不同区域之间的访问控制策略来控制不同任程度区

域间传送的数据流。

例如互联网是不可信任的区域，而内部网络是高度信任的

区域。

以避免安全策略中禁止的一些通信。

它有控制信息基本的任务在不同信

任的区域。

 典型信任的区域包括互联网（一个没有信任的区域） 和一个内部网

络（一个高信任的区域） 。

 最终目标是提供受控连通性在不同水平的信任区域

通过安全政策的运行和连通性模型之间根据最少特权原则 例如：

TCP/IP Port

135~139 是MicrosoftWindows的【网上邻居】所使用的。

如果电脑有使用

【网上邻居】的【分享资料夹】，又没使用任何防火墙相关的防护措施的话，就

等于把自己的【分享资料夹】公开到 Internet，供不特定的任何人有机会浏览

目录内的档案。

且早期版本的 Windows 有【网上邻居】系统溢位的无密码保护

的漏洞（这里是指【分享资料夹】有设密码，但可经由此系统漏洞，达到无须

密码便能浏览资料夹的需求）。

1.1.1防火墙类型：

1.1.1.1个人防火墙：

个人防火墙，通常是在一部电脑上具有封包过滤功能的软件，如 ZoneAlarm

及 Windows XP SP2 后内建的防火墙程式。

而专用的防火墙通常做成网络设备，

或是拥有 2 个以上网络接口的电脑。

以作用的 TCP/IP 堆栈区分，主要分为网络

层防火墙和应用层防火墙两种，但也有些防火墙是同时运作于网络层及应用层。

1.1.1.2网络层防火墙：

网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协定堆栈

上。

我们可以以列举的方式，只允许符合特定规则的封包通过，其余的一概禁

止穿越防火墙。

这些规则通常可以经由管理员定义或修改，不过某些防火墙设

2

北京科技大学信安 09 班40950195 杨郅文

备可能只能套用内建的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何

一项“否定规则”就予以放行。

现在的操作系统及网络设备大多已内建防火墙

功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：

来源 IP 地址、

来源埠号、目的 IP 地址或埠号、服务类型（如 WWW 或是 FTP）。

也能经由通讯

协定、TTL 值、来源的网域名称或网段...等属性来进行过滤。

1.1.1.3应用层防火墙：

防火墙的视察软件接口范例，纪录 IP 进出情况与对应事件

应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，使用浏览器时所产生

的资料流或是使用 FTP 时的资料流都是属于这一层。

应用层防火墙可以拦截进

出某应用程式的所有封包，并且封锁其他的封包（通常是直接将封包丢弃）。

理

论上，这一类的防火墙可以完全阻绝外部的资料流进到受保护的机器里。

防火墙借由监测所有的封包并找出不符规则的属性，可以防范电脑蠕虫或

是木马程式的快速蔓延。

不过就实作而言，这个方法既烦且杂（因软件种类极

其繁多），所以大部分的防火墙都不会考虑以这种方法设计。

XML 防火墙是一种新型态的应用层防火墙。

1.1.2代理服务：

代理服务（Proxy）设备（可能是一台专属的硬件，或只是普通电脑上的一

套软件）也能像应用程式一样回应输入封包（例如连线要求），同时封锁其他的

封包，达到类似于防火墙的效果。

代理会使从外部网络窜改一个内部系统更加困难，且只要对于代理有良好

的设定，即使内部系统出现问题也不一定会造成安全上的漏洞。

相反地，入侵

者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的；代理

人伪装作为那个系统对其它内部机器。

当对内部地址空间的用途加强安全，破

坏狂也许仍然使用方法譬如 IP 欺骗（IP spoofing）试图通过小包对目标网络。

防火墙经常有网络地址转换（NAT）的功能，并且主机被保护在防火墙之后

共同地使用所谓的“私人地址空间”，定义在 RFC 1918。

防火墙的适当的配置要求技巧和智慧，它要求管理员对网络协议和电脑安

全有深入的了解，因小差错可使防火墙不能作为安全工具。

1.1.3防火墙架设结构：

1.1.3.1堡垒主机式防火墙：

此防火墙需有两片网络卡，一片与互联网连接，另一片与内部网络连接，

3

北京科技大学信安 09 班40950195 杨郅文

如此互联网与内部网络的通路，无法直接接通，所有封包都需要透过堡垒主机

转送。

1.1.3.2双闸式防火墙：

此防火墙除了堡垒主机式防火墙的两片网络卡设计外，另有安装一称为应

用服务转送器的软件，所有网络封包都须经过此软件检查，此软件将过滤掉不

被系统所允许的封包。

1.1.3.3屏障单机式防火墙：

此防火墙的硬件设备除需要主机外，还需要另一路由器，路由器需具有封

包过滤的功能，主机则负责过滤及处理网络服务要求的封包，当互联网的封包

进入屏障单机式防火墙时，路由器会先检查此封包是否满足过滤规则，再将过

滤成功的封包，转送到主机做网络服务层的检查与转送。

1.1.3.4屏障双闸式防火墙：

将屏障单机式防火墙的主机换成，双闸式防火墙。

1.1.3.5屏障子网域式防火墙：

此防火墙借由多台主机与两个路由器组成，电脑分成两个区块，屏障子网

域与内部网络，封包经由以下路径，第一个路由器->屏障子网域->第二路由器->内

部网络，此设计因有阶段式的过滤功能，因此两个路由器可以有不同的过滤规

则，让网络封包使用更有效率。

若一封包通过第一过滤器封包，会先在屏障子

网域做服务处理，若要做更深入内部网络的服务，则要通过第二路由器的过滤。

1.1.4防火墙的缺点：

正常状况下，所有互联网的封包软件都应经过防火墙的过滤，这将造成网

络交通的瓶颈。

例如在攻击性封包出现时，攻击者会不时寄出封包，让防火墙

疲于过滤封包，而使一些合法封包软件亦无法正常进出防火墙。

防火墙虽然可以过滤互联网的封包，但却无法过滤内部网络的封包。

因此

若有人从内部网络攻击时，防火墙是毫无用武之地的。

而电脑本身操作系统亦可能一些系统漏洞，使入侵者可以利用这些系统漏

洞来绕过防火墙的过滤，进而入侵电脑。

防火墙无法有效阻挡病毒的攻击，尤其是隐藏在资料中的病毒。

接下来介绍路由器防火墙。

4

北京科技大学信安 09 班40950195 杨郅文

1.2路由器防火墙：

路由器通常支持一个或者多个防火墙功能；它们可被划分为用于

Internet 连接的 低端设备和传统的高端路由器。

低端路由器提供了用于阻止

和允许特定 IP 地址和端 口号的基本防火墙功能，并使用 NAT 来隐藏内部 IP

地址。

它们通常将防火墙功能 提供为标准的、为阻止来自 Internet 的入侵进

行了优化的功能；虽然不需要配置，但 是对它们进行进一步配置可进一步优化

它们的性能。

 高端路由器可配置为通过阻止较为明显的入侵 （如 ping） 以

及通过使用 ACL 实 现其他 IP 地址和端口限制，来加强访问权限。

也可提供

其他的防火墙功能，这些功 能在某些路由器中提供了静态数据包筛选。

在高端

路由器中，以较低的成本提供了与 硬件防火墙设备相似的防火墙功能，但是吞

吐量较低。

接下来分别介绍一下 TP-LINK 路由器和思科路由器关于防火墙的设定。

2TP-link 路由器防火墙设置

2.1路由器防火墙应用举例—

IP 地址过滤的使用 IP 地址过滤用于通过 IP 地址设置内网主机对外网的访

问权限，适用于这样的需求：

在某个时间段，禁止/允许内网某个 IP（段）所有

或部分端口和外网 IP 的所有或部分端口的通信。

开启 IP 地址过滤功能时，必须要开启防火墙总开关，并明确 IP 地址过滤的缺

省过滤规则（设置过程中若有不明确处，可点击当前页面的“帮助”按钮查看

帮助信息）：

5

北京科技大学信安 09 班40950195 杨郅文

下面将通过两个例子说明 IP 地址过滤的使用

例一：

预期目的：

不允许内网 192.168.1.100-192.168.1.102 的 IP 地址访问外网所有 IP

地址；允许 192.168.1.103 完全不受限制的访问外网的所有 IP 地址。

设置方法

如下：

1．选择缺省过滤规则为：

凡是不符合已设 IP 地址过滤规则的数据包，禁止通

过本路由器：

2．添加 IP 地址过滤新条目：

允许内网 192.168.1.103 完全不受限制的访问外网的所有 IP 地址

因默认规则为“禁止不符合 IP 过滤规则的数据包通过路由器”，所以内网电脑

IP 地址段：

192.168.1.100-192.168.1.102 不需要进行添加，默认禁止其通过。

6

北京科技大学信安 09 班40950195 杨郅文

3．保存后生成如下条目，即能达到预期目的：

例二：

预期目的：

内网 192.168.1.100-192.168.1.102 的 IP 地址在任何时候都只能浏览

外网网页；192.168.1.103 从上午 8 点到下午 6 点只允在外网 219.134.132.62 邮

件服务器上收发邮件，其余时间不能和对外网通信。

浏览网页需使用到 80 端口（HTTP 协议），收发电子邮件使用 25（SMTP）与

110（POP），同时域名服务器端口号 53（DNS）

设置方法如下：

1．选择缺省过滤规则为：

凡是不符合已设 IP 地址过滤规则的数据包，禁止通

过本路由器：

7

北京科技大学信安 09 班40950195 杨郅文

2．设置生成如下条目后即能达到预期目的：

3思科路由器防火墙设置

思科路由器防火墙的设定全部是基于命令行来设定的，下面简单介绍一下相关设定的

命令行。

enable

进入特权用户模式

config t

进入全局配置模式

ip dhcp excluded-address 192.168.100.1 192.168.100.10

从内部 DHCP 地址池中排除前 10 个 IP 地址

ip dhcp pool Internal-DHCP

创建一个称为“Internal DHCP”的 DHCP 池

8

北京科技大学信安 09 班40950195 杨郅文

import all

将外部的 DHCP 设置从 ISP 导入到“Internal DHCP”池中

network 192.168.100.0 255.255.255.0

定义这个 DHCP 池运行的网络

default-router 192.168.100.1

为“Internal DHCP”池设置默认网关

ip inspect name cbac tcp

检查向外发出的数据通信，以便于准许对内的响应 TCP 通信

ip inspect name cbac udp

检查向外发出的数据通信，以便于准许对内的响应 UDP 通信

interface f0/0

进入接口 f0/0， F0/0 在这里即是内部的局域网接口

ip address 192.168.100.1 255.255.255.0

将内部的局域网接口 IP 设置为 192.168.100.1，子网掩码为 24 位。

ip nat inside

将此接口指定为网络地址转换的内部接口

interface e0/0

进入接口 e0/0. E0/0 在这里即是外部的局域网接口。

ip address dhcp

设置外部局域网接口的 IP 使用 DHCP，DHCP 由 ISP 提供。

ip access-group CBAC in

打开对内的状态数据包检查

ip inspect cbac out

打开对内的状态数据包检查，这点对于响应对内通信极为关键。

ip nat outside

将这个接口指定为网络地址转换的内部接口

mac-address ffff.ffff.ffff

可选， 允许用户进行 MAC 地址欺骗。

有一些 ISP 会锁定 MAC 地址。

ip nat inside source list NATACL interface e0/0 overload

它将所有的 IP 地址从 NATACL ACL 转换到外部的接口和 IP 地址

ip access-list extended CBAC

定义一个称为 CBAC 的扩展 ACL，用于对内的防火墙规则

permit udp any eq bootps any eq bootpc

准许对内的 DHCP。

如果不用这个功能，用户的 ISP 就不能为其分配一个

DHCP IP 地址。

permit gre any any

如果不这样的话，外发的 PPTP VPN 无法工作

permit icmp any any echo

准许 ping 入. 注意，如果你想要保持秘密，请不要使用此功能。

permit icmp any any echo-reply

准许 ping 出

permit icmp any any traceroute

准许 traceroute

deny ip any any log

9

北京科技大学信安 09 班40950195 杨郅文

如果你想记录所拒绝的进入企图功能，这条命令就很有用。

ip access-list extended NATACL

定义一个称为 NATACL 的扩展 ACL，用于实现 NAT

permit ip 192.168.100.0 0.0.0.255 any

准许 192.168.100.0/24 到达已经进行了网络地址转换的任何地方。

exit

退出 NATACL ACL

exit

退出全局配置模式

wr mem

将配置改变写往永久性闪存

4TP-LINK 路由器防火墙与思科路由器

防火墙设置区别

首先从上文的介绍中可以看出，TP-link 路由器与思科路由器的防火墙关于

设定的方法就存在着不同。

TP-link 路由器的设置基于图形界面，类似于

Windows Server 上防火墙的设置方式，相比较而言更为简单，便于操作，看起

来也更为直观。

思科路由器的设置方式则完全不同。

首先，思科路由器的设置方式基于命

令行，操作起来较为复杂，类似于 linux 系统的命令行模式，不易于查看，命

令行的输入格式以及内容需要查看后才可正确输入。

但是对比 TP-link 而言，

思科路由器的防火墙功能更加强大，也更多一些，如果操作熟练的话可以更好

的保护自己的网络和计算机。

总体而言，TP-link 路由器更加适合初学者的使用，因为其简单方便，易于

设置；思科路由器则适合技术过关的人使用，可以最大发挥思科路由器的作用，

也能更好的保护自己的计算机。

5安全路由器与防火墙的区别

目前市面上的路由器基本都带有简单的防火墙功能，不论是消费级还是企业级，

可以实现一些诸如包过滤，IP 过滤这样的功能。

所以有些用户就开始质疑硬件

防火墙的存在价值。

那么我们就来详细的比较一下这两设备有什么差别。

　　5.1背景

　　路由器的产生是基于对网络数据包路由而产生的。

路由器需要完成的是将

不同网段的数据包进行有效的路由管理，路由器所关心的是：

能否将不同的网

10

北京科技大学信安 09 班40950195 杨郅文

段的数据包进行路由从而进行通讯。

　　防火墙是产生于人们对于安全性的需求。

数据包是否可以正确的到达、到

达的时间、方向等不是防火墙关心的重点，重点是这个数据包是否应该通过、

通过后是否会对网络造成危害。

　　5.2目的

　　路由器的根本目的是：

保持网络和数据的“通”。

　　防火墙根本的的目的是：

保证任何非允许的数据包“不通”。

　　5.3核心技术

　　路由器核心的 ACL 列表是基于简单的包过滤，属于 OSI 第三层过滤。

从防

火墙技术实现的角度来说，防火墙是基于状态包过滤的应用级信息流过滤。

　　内网的一台服务器，通过路由器对内网提供服务，假设提供服务的端口为

TCP80。

为了保证安全性，在路由器上需要配置成：

只允许客户端访问服务器

的 TCP 80 端口，其他拒绝。

这样的设置存在的安全漏洞如下：

　　5.3.1IP 地址欺骗（使连接非正常复位）

　　5.3.2TCP 欺骗（会话重放和劫持）

　　存在上述隐患的原因是，路由器不能