




版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
第11章防火墻技術(shù)11.1防火墻概念11.2防火墻原理及實(shí)現(xiàn)方法11.3防火墻體系結(jié)構(gòu)11.4防火墻的構(gòu)成11.5防火墻所采用的技術(shù)及其作用11.6防火墻選擇原則11.7防火墻建立實(shí)例7.1防火墻概念
基于Internet體系結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用有兩大部分,即Intranet和Extranet。Intranet是借助Intranet的技術(shù)和設(shè)備在Intranet上構(gòu)造出企業(yè)WWW網(wǎng),可放入企業(yè)全部信息,實(shí)現(xiàn)企業(yè)信息資源的共享;而Extranet是在電子商務(wù)、協(xié)同合作的需求下,用Intranet間的通道獲得其它網(wǎng)絡(luò)中允許共享的、有用的信息。因此按照企業(yè)內(nèi)部的安全體系結(jié)構(gòu),防火墻應(yīng)當(dāng)滿足如下的要求:(1)保證對(duì)主機(jī)和應(yīng)用安全訪問(wèn);
(2)保證多種客戶機(jī)和服務(wù)器的安全性;
(3)保護(hù)關(guān)鍵部門(mén)不受到來(lái)自內(nèi)部和外部的攻擊,為通過(guò)Internet與遠(yuǎn)程訪問(wèn)的雇員、客戶、供應(yīng)商提供安全通道。因此,防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)(包括硬件和軟件),目的是保護(hù)網(wǎng)絡(luò)不被可疑人入侵。本質(zhì)上,它遵從的是一種允許或組織業(yè)余來(lái)往的網(wǎng)絡(luò)通信安全機(jī)制,也就是提供可控的過(guò)濾網(wǎng)絡(luò)通信,或者只允許授權(quán)的通信。圖11.1防火墻配置示意圖
防火墻是由IT管理員為保護(hù)自己的網(wǎng)絡(luò)免遭外界非授權(quán)訪問(wèn),但允許與Internet互連而發(fā)展起來(lái)的。從網(wǎng)際角度,防火墻可以看成是安裝在兩個(gè)網(wǎng)絡(luò)之間的一道柵欄,根據(jù)安全計(jì)劃和安全網(wǎng)絡(luò)中的定義來(lái)保護(hù)其后面的網(wǎng)絡(luò)。因此,從理論上講,由軟件和硬件組成的防火墻可以做到:
(1)所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過(guò)防火墻;
(2)所有穿過(guò)防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)及授權(quán);
(3)防火墻是穿不透的。
利用防火墻能保護(hù)站點(diǎn)不被任意互連,甚至能建立跟蹤工具,幫助總結(jié)并記錄有關(guān)連接來(lái)源、服務(wù)器提供的通信量以及試圖闖入者的任何企圖。由于單個(gè)防火墻不能防止所有可能的威脅,因此,防火墻只能加強(qiáng)安全,而不能保證安全。11.2.1防火墻的原理
1.基于網(wǎng)絡(luò)體系結(jié)構(gòu)的防火墻原理防火墻的主要目的是為了分隔Intranet和Extranet,以保護(hù)網(wǎng)絡(luò)的安全。因此,從OSI的網(wǎng)絡(luò)體系結(jié)構(gòu)來(lái)看,防火墻是建立在不同分層結(jié)構(gòu)上的、具有一定安全級(jí)別和執(zhí)行效率的通信交換技術(shù)。無(wú)論是OSI/RM還是TCP/IPRM都具有相同的實(shí)現(xiàn)原理,如圖11.2所示。11.2防火墻原理及實(shí)現(xiàn)方法圖11.2基于網(wǎng)絡(luò)體系結(jié)構(gòu)的防火墻實(shí)現(xiàn)原理
根據(jù)網(wǎng)絡(luò)分層結(jié)構(gòu)的實(shí)現(xiàn)思想,若防火墻所采用的通信協(xié)議棧越是在高層,所能檢測(cè)到的通信資源就越多,其安全級(jí)別也就越高,但其執(zhí)行效率卻較差。反之,如果防火墻所采用的通信協(xié)議棧越在低層,所能檢測(cè)到的通信資源就越少,其安裝級(jí)別也就越低,但其執(zhí)行效率卻較佳。
按照網(wǎng)絡(luò)的分層體系結(jié)構(gòu),在不同的分層結(jié)構(gòu)上實(shí)現(xiàn)的防火墻不同,所采用的實(shí)現(xiàn)方法技術(shù)和安全性能也就不盡相同,通常有:
(1)基于網(wǎng)絡(luò)層實(shí)現(xiàn)的防火墻,通常稱為包過(guò)濾防火墻;
(2)基于傳輸層實(shí)現(xiàn)的防火墻,通常稱為傳輸級(jí)網(wǎng)關(guān);
(3)基于應(yīng)用層實(shí)現(xiàn)的防火墻,通常稱為應(yīng)用級(jí)網(wǎng)關(guān);
(4)整合上述所有技術(shù),形成混合型防火墻,根據(jù)安全性能以進(jìn)行彈性管理。2.基于DualNetworkStack防火墻的實(shí)現(xiàn)圖11.3基于DualNetworkStack防火墻實(shí)現(xiàn)原理
基于DualNetworkStack的防火墻有效地保護(hù)了網(wǎng)絡(luò)之間的通信和連接管理。從網(wǎng)際的角度看,Intranet被完全隔離而實(shí)現(xiàn)了安全保護(hù);從網(wǎng)絡(luò)體系結(jié)構(gòu)的角度看,在不同的分層協(xié)議棧上也有不同的防火墻實(shí)現(xiàn)技術(shù),主要依賴于網(wǎng)絡(luò)具體的協(xié)議結(jié)構(gòu)。當(dāng)然,對(duì)于內(nèi)部和外部網(wǎng)絡(luò)而言,其協(xié)議結(jié)構(gòu)有可能是不同的,因而具有更好的適應(yīng)性和安全性。11.2.2防火墻的實(shí)現(xiàn)方法
1.?dāng)?shù)據(jù)包過(guò)濾
防火墻通常就是一個(gè)具備包過(guò)濾功能的簡(jiǎn)單路由器,支持因特網(wǎng)安全。因?yàn)榘^(guò)濾是路由器的固有屬性,因而它是一種因特網(wǎng)互聯(lián)更加安全的簡(jiǎn)單方法。包過(guò)濾是一種簡(jiǎn)單而有效的方法。即通過(guò)攔截?cái)?shù)據(jù)包,讀出并拒絕那些不符合標(biāo)準(zhǔn)的包頭,過(guò)濾掉不應(yīng)入站的信息。
包是網(wǎng)絡(luò)上信息流動(dòng)的單位。在網(wǎng)上傳輸?shù)奈募话阍诎l(fā)送端被劃分成一串?dāng)?shù)據(jù)包,經(jīng)過(guò)網(wǎng)上的中間站點(diǎn),最終傳到目的地,最后把這些包中的數(shù)據(jù)又重新組成原來(lái)的文件。每個(gè)包有兩個(gè)部分:數(shù)據(jù)部分和包頭。包頭中含有源地址和目標(biāo)地址等信息。包過(guò)濾器又稱為過(guò)濾路由器,它把包頭信息和管理員設(shè)定的規(guī)則表進(jìn)行比較,如果有一條規(guī)則不允許發(fā)送某個(gè)包,路由器將會(huì)丟棄它。每個(gè)數(shù)據(jù)包都包含有特定信息的一組報(bào)頭,其主要信息是:(1)IP協(xié)議類(lèi)型(TCP、UDP和ICMP等);(2)IP源地址;(3)IP目標(biāo)地址;(4)IP選擇域的內(nèi)容;(5)TCP或UDP源端口號(hào);(6)TCP或UDP目標(biāo)端口號(hào);(7)ICMP消息類(lèi)型。
另外,路由器也會(huì)得到一些在數(shù)據(jù)包頭部信息中沒(méi)有的有關(guān)數(shù)據(jù)包的其它信息。如數(shù)據(jù)包到達(dá)的網(wǎng)絡(luò)接口和數(shù)據(jù)包出去的網(wǎng)絡(luò)接口。過(guò)濾路由器與普通路由器的差別主要在于,普通路由器只是簡(jiǎn)單地查看每一個(gè)數(shù)據(jù)包的目標(biāo)地址,并且選取數(shù)據(jù)包發(fā)往目標(biāo)地址的最佳路徑。如何處理數(shù)據(jù)包上的目標(biāo)地址,一般有兩種情況出現(xiàn),即路由器知道如何發(fā)送數(shù)據(jù)包到目標(biāo)地址,則發(fā)送數(shù)據(jù)包;路由器不知道如何發(fā)送數(shù)據(jù)包到目標(biāo)地址,則返回?cái)?shù)據(jù)包,并向源地址發(fā)送“不能到達(dá)目標(biāo)地址”的消息。
作為過(guò)濾路由器,它將更嚴(yán)格地檢查數(shù)據(jù)包,除了決定它是否能發(fā)送數(shù)據(jù)包到其它目標(biāo)之外,過(guò)濾路由器還決定它是否應(yīng)該發(fā)送?!皯?yīng)該”或者“不應(yīng)該”由站點(diǎn)的安全策略決定,并由過(guò)濾路由器強(qiáng)制設(shè)置。過(guò)濾路由器放置在內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間,作用為:
(1)過(guò)濾路由器將擔(dān)負(fù)更大的責(zé)任,它不但需要執(zhí)行轉(zhuǎn)發(fā)及確定轉(zhuǎn)發(fā)的任務(wù),而且它是惟一的保護(hù)系統(tǒng);
(2)如果安全保護(hù)失?。ɑ蛟谇忠u下失?。?,內(nèi)部的網(wǎng)絡(luò)將被暴露;(3)簡(jiǎn)單的過(guò)濾路由器不能修改任務(wù);
(4)過(guò)濾路由器能允許或否認(rèn)服務(wù),但它不能保護(hù)在一個(gè)服務(wù)之內(nèi)的單獨(dú)操作。如果一個(gè)服務(wù)沒(méi)有提供安全的操作要求,或者這個(gè)服務(wù)由不安全的服務(wù)器提供,數(shù)據(jù)包過(guò)濾路由器則不能保護(hù)它。包過(guò)濾的一個(gè)重要的局限是它不能分辨好的用戶和不好的用戶,它只能區(qū)分好的包和壞的包。包過(guò)濾只好工作在有黑白分明的安全策略的網(wǎng)中,即內(nèi)部人是好的,外部人是不好的。
例如,對(duì)于FTP協(xié)議,包過(guò)濾就不十分有效,因?yàn)闉橥瓿蓴?shù)據(jù)傳輸,F(xiàn)TP允許連接外部服務(wù)器并使連接返回到端口21。這甚至成為一條規(guī)則附加于路由器上,即內(nèi)部網(wǎng)絡(luò)機(jī)器上的端口21可用于探查外部情況。另外,黑客們很容易“欺騙”這些路由器,而防火墻則不同。因此,在決定實(shí)施防火墻計(jì)劃之前,先要決定使用哪種類(lèi)型的防火墻及設(shè)計(jì)。
2.代理服務(wù)代理服務(wù)是運(yùn)行在防火墻主機(jī)上的一些特定的應(yīng)用程序或者服務(wù)程序。防火墻主機(jī)可以是有一個(gè)內(nèi)部網(wǎng)絡(luò)接口和一個(gè)外部網(wǎng)絡(luò)接口的雙重宿主主機(jī),也可以是一些可以訪問(wèn)因特網(wǎng)并可被內(nèi)部主機(jī)訪問(wèn)的堡壘主機(jī)。這些程序接受用戶對(duì)因特網(wǎng)服務(wù)的請(qǐng)求(最如文件傳輸FTP和遠(yuǎn)程登錄Telnet等),并按照安全策略轉(zhuǎn)發(fā)它們到實(shí)際的服務(wù)。所謂代理就是一個(gè)提供替代連接并且充當(dāng)服務(wù)的網(wǎng)關(guān)。代理也稱之為應(yīng)用級(jí)網(wǎng)關(guān)。代理服務(wù)位于內(nèi)部用戶(在內(nèi)部的網(wǎng)絡(luò)上)和外部服務(wù)(在因特網(wǎng)上)之間。代理在幕后處理所有用戶和因特網(wǎng)服務(wù)之間的通信以代替相互間的直接交談。
透明是代理服務(wù)的一大優(yōu)點(diǎn)。對(duì)于用戶來(lái)說(shuō),代理服務(wù)器給出用戶直接使用真正的服務(wù)器的假象;對(duì)于真正的服務(wù)器來(lái)說(shuō),代理服務(wù)器給出真正的服務(wù)器在代理主機(jī)上直接處理用戶的假象(與用戶真正的主機(jī)不同)。圖11.4代理的實(shí)現(xiàn)過(guò)程及代理服務(wù)器技術(shù)細(xì)節(jié)
在一些代理系統(tǒng)中,可使用現(xiàn)有商用的軟件,但要通過(guò)設(shè)置客戶端用戶過(guò)程使用它,而不是安裝客戶端客戶代理軟件。代理服務(wù)器并非將用戶的全部網(wǎng)絡(luò)服務(wù)請(qǐng)求提交給因特網(wǎng)上的真正服務(wù)器,因?yàn)榇矸?wù)器能依據(jù)安全規(guī)則和用戶的請(qǐng)求作出判斷是否代理執(zhí)行該請(qǐng)求,所以它能控制用戶的請(qǐng)求。有些請(qǐng)求可能會(huì)被否決,比如,F(xiàn)TP代理就可能拒絕用戶把文件往遠(yuǎn)程主機(jī)上傳送,或者它只允許用戶將某些特定的外部站點(diǎn)的圍殲下載。代理服務(wù)可能對(duì)于不同的主機(jī)執(zhí)行不同的安全規(guī)則,而不對(duì)所有主機(jī)執(zhí)行同一個(gè)標(biāo)準(zhǔn)。
在應(yīng)用中,如果數(shù)據(jù)流的實(shí)際內(nèi)容很重要,并且需要控制,就應(yīng)使用代理。例如一個(gè)應(yīng)用代理可以用以限制FTP用戶,使得他們能夠從Internet上得到文件,而不能把文件上載到Internet上。代理服務(wù)器在內(nèi)部網(wǎng)和外部網(wǎng)之間充當(dāng)“中間人”,通過(guò)打開(kāi)堡壘主機(jī)上的套接字,允許直接從防火墻后訪問(wèn)Internet并允許通過(guò)這個(gè)套接字進(jìn)行交流。代理服務(wù)器軟件可以獨(dú)立的在一臺(tái)機(jī)器上運(yùn)行,或者與諸如包過(guò)濾器的其它軟件一起運(yùn)行。
例如,某個(gè)Web服務(wù)器在防火墻外,有一個(gè)用戶想訪問(wèn)它,則需要在防火墻上設(shè)置一個(gè)代理服務(wù)器,允許用戶的請(qǐng)求通過(guò),并試著用端口80與用戶端口1080相連,再將所有請(qǐng)求重新定位到正確的地方。在Web服務(wù)器上,或在防火墻上的代理服務(wù)器,可通過(guò)幾條途徑與瀏覽器協(xié)調(diào)。如果防火墻不能執(zhí)行訪問(wèn)控制,代理服務(wù)器可以執(zhí)行這項(xiàng)功能??赏ㄟ^(guò)有選擇的禁止一些HTTP方法的使用,來(lái)所強(qiáng)迫客戶機(jī)和服務(wù)器訪問(wèn)預(yù)先選定的服務(wù)器或主機(jī)。例如,可控制哪些站點(diǎn)允許用戶訪問(wèn),哪些站點(diǎn)希望與自己的站點(diǎn)相連。
代理服務(wù)器可檢查不同的協(xié)議以保護(hù)指令的完整性,包括濾去可疑的URL及其它的HTTP子集或不連貫或形式錯(cuò)誤的HTML指令??赏ㄟ^(guò)濾掉已知的危險(xiǎn)或陌生的數(shù)據(jù)或程序,來(lái)檢閱從服務(wù)器傳向客戶機(jī)的語(yǔ)言。如果正確配置,代理服務(wù)器是非常安全的。它們是站點(diǎn)忠實(shí)的“看門(mén)狗”,決不允許任何未經(jīng)授權(quán)的聯(lián)機(jī)進(jìn)入。一般在堡壘主機(jī)上,代理服務(wù)器還用于控制出入Web站點(diǎn)或任何內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。圖11.4(b)給出了代理服務(wù)器的技術(shù)細(xì)節(jié)。
盡管代理服務(wù)器很強(qiáng)大,若不仔細(xì)操作,也會(huì)給站點(diǎn)帶來(lái)不利影響。因此,設(shè)置代理服務(wù)器時(shí),應(yīng)做到:(1)打開(kāi)所有輸出TCP連接;(2)允許SMTP和DNS進(jìn)入郵件主機(jī);(3)允許FTP進(jìn)入大于1024的端口。11.3防火墻體系結(jié)構(gòu)
防火墻的主要目的是對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù),以防止其它網(wǎng)絡(luò)的影響。通常,當(dāng)你所處的網(wǎng)絡(luò)需要保護(hù)時(shí),你所防止的網(wǎng)絡(luò)是不可信的外部網(wǎng),同時(shí)也是安全入侵的發(fā)源地。因此,保護(hù)網(wǎng)絡(luò)包括阻止非授權(quán)用戶訪問(wèn)敏感數(shù)據(jù)的同時(shí),應(yīng)該允許合法用戶無(wú)妨礙地訪問(wèn)網(wǎng)絡(luò)資源。
一般說(shuō)來(lái),防火墻置于內(nèi)部可信網(wǎng)絡(luò)和外部不可信網(wǎng)絡(luò)之間。防火墻作為一個(gè)阻塞點(diǎn)來(lái)監(jiān)視和拋棄應(yīng)用層的網(wǎng)絡(luò)流量(如圖11.5所示)。防火墻也可以運(yùn)行于網(wǎng)絡(luò)層和傳輸層,它在此處檢查接收和送出包的IP及TCP包頭,并且丟棄一些包,這些包是基于已編程的包過(guò)濾器規(guī)則的。同時(shí),防火墻是實(shí)施網(wǎng)絡(luò)安全策略的主要工具,在許多情況下,需要身份驗(yàn)證、安全和增強(qiáng)保密技術(shù)來(lái)加強(qiáng)網(wǎng)絡(luò)安全或?qū)嵤┚W(wǎng)絡(luò)安全策略的其它方面。圖11.5防火墻操作目前,常見(jiàn)的防火墻體系結(jié)構(gòu)有下列四種:(1)雙宿主主機(jī)體系結(jié)構(gòu);(2)堡壘主機(jī)過(guò)濾體系結(jié)構(gòu);(3)過(guò)濾子網(wǎng)體系結(jié)構(gòu);(4)應(yīng)用層網(wǎng)關(guān)體系結(jié)構(gòu)。11.3.1雙宿主主機(jī)體系結(jié)構(gòu)在TCP/IP網(wǎng)絡(luò)中,多宿主主機(jī)指具有多個(gè)網(wǎng)絡(luò)接口的主機(jī)(如圖11.6所示)。通常,每個(gè)網(wǎng)絡(luò)接口都與網(wǎng)絡(luò)互連。早期,這種宿主主機(jī)也可以在網(wǎng)絡(luò)段之間傳送流量。網(wǎng)關(guān)過(guò)去是完成這些多宿主主機(jī)的路由功能,今天,路由器是用來(lái)完成路由功能,而網(wǎng)關(guān)則保留下來(lái)僅用于描述OSI模型層上相似的那部分功能。圖11.6典型多宿主主機(jī)
1.雙宿主主機(jī)體系結(jié)構(gòu)的防火墻應(yīng)用模式
1)一個(gè)路由功能被禁止的雙宿主主機(jī)防火墻一個(gè)路由功能被禁止的雙宿主主機(jī)防火墻如圖11.7所示。圖中網(wǎng)絡(luò)1上的主機(jī)A可以訪問(wèn)雙宿主主機(jī)上的應(yīng)用程序A。類(lèi)似的,主機(jī)B可以訪問(wèn)雙宿主主機(jī)上的應(yīng)用程序B。由于雙宿主主機(jī)上的這兩個(gè)應(yīng)用程序可以共享數(shù)據(jù)。使得主機(jī)A和B通過(guò)雙宿主主機(jī)上的數(shù)據(jù)共享來(lái)交換信息,此時(shí)在雙宿主主機(jī)上相連的兩個(gè)網(wǎng)絡(luò)段之間沒(méi)有網(wǎng)絡(luò)流量的交換。這就是此方法的優(yōu)點(diǎn)。圖11.7雙宿主主機(jī)2)雙宿主主機(jī)防火墻雙宿主主機(jī)可用于把一個(gè)內(nèi)部網(wǎng)絡(luò)從一個(gè)不可信的外部網(wǎng)絡(luò)中分離出來(lái)(如圖11.8所示)。因?yàn)殡p宿主主機(jī)不能直接轉(zhuǎn)發(fā)任何TCP/IP流量,所以它可以徹底阻塞內(nèi)部和外部不可信網(wǎng)絡(luò)間的任何IP流量。圖11.8作為防火墻的雙宿主主機(jī)3)具有應(yīng)用程序轉(zhuǎn)發(fā)進(jìn)程的雙宿主主機(jī)防火墻
Internet服務(wù),如郵件和新聞等本質(zhì)上都是存儲(chǔ)轉(zhuǎn)發(fā)服務(wù)。WWW網(wǎng)也可以認(rèn)為是存儲(chǔ)和轉(zhuǎn)發(fā),如“caching”和“proxy”。如果這些服務(wù)運(yùn)行于雙宿主主機(jī)上,它們將加以配置,用來(lái)在網(wǎng)絡(luò)之間傳送應(yīng)用程序服務(wù)。如果應(yīng)用程序的數(shù)據(jù)必須穿過(guò)防火墻,則應(yīng)用程序轉(zhuǎn)發(fā)進(jìn)程被創(chuàng)建,并可以在雙宿主主機(jī)上運(yùn)行(如圖11.9所示)。由此可見(jiàn),應(yīng)用程序轉(zhuǎn)發(fā)進(jìn)程是用于在兩個(gè)互連的網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)應(yīng)用程序需求的特殊軟件。圖11.9具有應(yīng)用程序轉(zhuǎn)發(fā)進(jìn)程的雙宿主主機(jī)4)允許用戶登錄到雙宿主主機(jī)防火墻允許用戶登錄到雙宿主主機(jī),并且雙宿主主機(jī)的外部網(wǎng)絡(luò)接口訪問(wèn)外部服務(wù)(如圖11.10所示)。如果使用了應(yīng)用程序轉(zhuǎn)發(fā)器,那么應(yīng)用程序的流量就不能穿過(guò)雙宿主主機(jī)防火墻,除非應(yīng)用程序轉(zhuǎn)發(fā)器運(yùn)行和配置在防火墻機(jī)器上,這是一種實(shí)施安全的策略,即“若沒(méi)有明確允許,則就是被禁止”。如果用戶被允許直接登陸到防火墻,那么防火墻的安全性就將受到危害,這是因?yàn)殡p宿主主機(jī)防火墻是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連的中心點(diǎn)。根據(jù)定義,雙宿主主機(jī)防火墻處于危險(xiǎn)區(qū)中,如果用戶選擇了較弱的密碼,或者他的用戶帳戶密碼泄漏,那么危險(xiǎn)區(qū)可能延伸到內(nèi)部網(wǎng)絡(luò),從而就失去了雙宿主主機(jī)防火墻的作用。圖11.10標(biāo)準(zhǔn)用戶登錄到雙宿主主機(jī)的不安全性簡(jiǎn)圖
如果適當(dāng)?shù)赜涗浻脩舻牡卿?,那么?dāng)安全破壞問(wèn)題被發(fā)現(xiàn)后,就有可能對(duì)登錄到防火墻上的非授權(quán)用戶進(jìn)行跟蹤;如果用戶不允許直接登錄到雙宿主主機(jī)防火墻上,那么,任何企圖登錄的用戶都被登記為一個(gè)警告的事件,即存在一種潛在的不安全性因素。5)作為郵電轉(zhuǎn)發(fā)器的雙宿主主機(jī)防火墻存儲(chǔ)轉(zhuǎn)發(fā)的應(yīng)用實(shí)例是SMTP(郵件)。作為郵電轉(zhuǎn)發(fā)器的雙宿主主機(jī)防火墻(如圖11.11所示),給出了已配置的雙宿主主機(jī)在外部不可信網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間任意轉(zhuǎn)發(fā)郵件消息的位置。圖11.11作為郵件轉(zhuǎn)發(fā)器的雙宿主主機(jī)6)作為新聞發(fā)送器的雙宿主主機(jī)防火墻圖11.12作為新聞發(fā)送器的雙宿主主機(jī)7)無(wú)配置的雙宿主主機(jī)防火墻圖11.13無(wú)配置的雙宿主防火墻
大多數(shù)防火墻是基于UNIX平臺(tái)實(shí)施的,在一些UNIX實(shí)施中缺省的路由功能是允許的。因此,驗(yàn)證雙宿主防火墻的路由功能是否被禁止就非常重要,如果沒(méi)有禁止,就應(yīng)該禁止它。
2.雙宿主防火墻的不安全隱患的消除如果一個(gè)入侵者獲得了對(duì)雙宿主主機(jī)直接登錄訪問(wèn)的權(quán)力,這將構(gòu)成最大的威脅。登錄驗(yàn)證應(yīng)該通過(guò)雙宿主主機(jī)的應(yīng)用程序代理完成。一般來(lái)講,來(lái)自外部不可信網(wǎng)絡(luò)的登錄需要有嚴(yán)格的身份驗(yàn)證。對(duì)防火墻自身的訪問(wèn)要么通過(guò)控制臺(tái),要么取得遠(yuǎn)程訪問(wèn)權(quán),為了防止對(duì)防火墻的威脅,在系統(tǒng)中,任何用戶的帳戶都不能得到允許。如果用戶取得了對(duì)雙宿主主機(jī)的登錄訪問(wèn)權(quán),內(nèi)部網(wǎng)絡(luò)就遭到了入侵,這些入侵可以通過(guò)以下的途徑來(lái)實(shí)現(xiàn)對(duì)雙宿主機(jī)防火墻的攻擊。(1)文件系統(tǒng)上較弱的許可保護(hù);
(2)內(nèi)部網(wǎng)絡(luò)NFS安裝卷標(biāo);
(3)通過(guò)對(duì)已入侵的用戶帳號(hào)的用戶主目錄中,等價(jià)的主機(jī)文件(如.rhosts)的分析,而遵照Berkeleyr*-設(shè)備的一些許可;
(4)網(wǎng)絡(luò)備份程序可能允許過(guò)多的恢復(fù);
(5)使用了沒(méi)被正式確認(rèn)的管理性Shell的文本;
(6)從舊軟件修訂的高度來(lái)學(xué)習(xí)系統(tǒng)并且釋放了一些尚未正式確認(rèn)的紀(jì)錄;(7)安裝舊的具有IP轉(zhuǎn)發(fā)允許的操作系統(tǒng)核心或者安裝有明顯安全漏洞的操作核心;
(8)使用探查程序如tcpdump或etherfind來(lái)探查內(nèi)部網(wǎng)絡(luò)以尋找用戶名和密碼信息。
(9)如果雙宿主主機(jī)防范機(jī)制失敗,內(nèi)部網(wǎng)絡(luò)將向潛在的入侵者敞開(kāi),除非問(wèn)題被檢測(cè)到并很快的得到校正。如UNIX核心變量ipforwarding控制IP路由器是否有效。如果入侵者得到了足夠的系統(tǒng)特權(quán),那么入侵者就可以改變這個(gè)核心變量的值并且允許IP轉(zhuǎn)發(fā)。如果IP轉(zhuǎn)發(fā)被允許,則防火墻的結(jié)構(gòu)就被越過(guò)。
3.雙宿主主機(jī)防火墻應(yīng)完成的服務(wù)除了禁止IP轉(zhuǎn)發(fā)外,還應(yīng)該清除所有危險(xiǎn)的程序、實(shí)用工具以及服務(wù),它們?cè)谌肭终呤种惺呛芪kU(xiǎn)的。下面是雙宿主主機(jī)防火墻要完成的服務(wù):
(1)清除程序工具(編譯器,連接器等)。
(2)清除不需要或不理解的,帶SUID和SGID允許的程序。如果無(wú)法工作,可以把一些必要的程序放回原處。對(duì)于一個(gè)有經(jīng)驗(yàn)者來(lái)講,可以建一個(gè)監(jiān)控器,當(dāng)磁盤(pán)分區(qū)溢出時(shí),則關(guān)閉雙宿主機(jī)。(3)使用磁盤(pán)分區(qū),從而將填滿該分區(qū)上所有磁盤(pán)空間的入侵的危害限制在該分區(qū)上。
(4)清除不需要的系統(tǒng)和帳戶。
(5)刪除不需要的網(wǎng)絡(luò)服務(wù)。用netstat-a命令驗(yàn)證你只擁有自己所必需的網(wǎng)絡(luò)服務(wù)。編輯/etc/inetd.conf和/etc/服務(wù)文件并清除不需要的服務(wù)定義。
(6)改變系統(tǒng)啟動(dòng)的文本,防止不需要程序的初始化,如路由/輸出和某些路由支持程序。11.3.2堡壘主機(jī)過(guò)濾體系結(jié)構(gòu)堡壘主機(jī)是網(wǎng)絡(luò)安全中的中心主機(jī),它對(duì)網(wǎng)絡(luò)安全至關(guān)重要,所以更應(yīng)該加強(qiáng)防衛(wèi)。要求網(wǎng)絡(luò)管理員對(duì)堡壘主機(jī)就近實(shí)施監(jiān)控。堡壘主機(jī)軟件和系統(tǒng)安全要進(jìn)行定期的審核,還應(yīng)該定期檢查一些關(guān)于潛在的安全破壞和企圖對(duì)堡壘主機(jī)進(jìn)行攻擊的訪問(wèn)記錄。前面介紹的雙宿主主機(jī)是堡壘主機(jī)的一種特例。
1.堡壘主機(jī)
堡壘主機(jī)是內(nèi)部網(wǎng)在因特網(wǎng)(外部網(wǎng))上的代表。按照設(shè)計(jì)要求,由于堡壘主機(jī)在因特網(wǎng)上是可見(jiàn)的,因此它是高度暴露的。正因?yàn)檫@個(gè)原因,防火墻的建造者和防火墻的管理者應(yīng)盡力給予其保護(hù),特別是在防火墻的安裝和初始化的過(guò)程中應(yīng)予以特別保護(hù)。
1)建立堡壘主機(jī)的一般原則設(shè)計(jì)和建立堡壘主機(jī)的基本原則有兩條:最簡(jiǎn)化原則和預(yù)防原則。(1)最簡(jiǎn)化原則堡壘主機(jī)越簡(jiǎn)單,對(duì)它進(jìn)行保護(hù)就越方便。堡壘主機(jī)提供的任何網(wǎng)絡(luò)服務(wù)都有可能在軟件上存在缺陷或在配置上存在錯(cuò)誤,而這些差錯(cuò)就可能使堡壘主機(jī)的安全保障出問(wèn)題。因此,在堡壘主機(jī)上設(shè)置的服務(wù)必須最少,同時(shí)對(duì)必須設(shè)置的服務(wù)軟件只能給予盡可能低的權(quán)限。(2)預(yù)防原則盡管你已對(duì)堡壘主機(jī)嚴(yán)加保護(hù),但還有可能被入侵者破壞,對(duì)此你得有所準(zhǔn)備,只有對(duì)最壞的情況加以準(zhǔn)備,并設(shè)計(jì)好對(duì)策,才可能有備無(wú)患。對(duì)網(wǎng)絡(luò)的其它部分施加保護(hù)時(shí),也應(yīng)考慮到“堡壘主機(jī)被攻破怎么辦”。我們強(qiáng)調(diào)這一點(diǎn)的原因非常簡(jiǎn)單,就是因?yàn)楸局鳈C(jī)是外部網(wǎng)最易接觸到的機(jī)器,所以它也是最可能被首先攻擊到的機(jī)器。由于外部網(wǎng)與內(nèi)部網(wǎng)無(wú)直接連接,因此堡壘主機(jī)是試圖破壞內(nèi)部系統(tǒng)的入侵者首先到達(dá)的機(jī)器。
一旦堡壘主機(jī)被破壞,我們還得盡力讓內(nèi)部網(wǎng)仍處于安全保障之中。要做到這一點(diǎn),必須讓內(nèi)部網(wǎng)只有在堡壘主機(jī)正常工作時(shí)才信任堡壘主機(jī)。我們要仔細(xì)觀察堡壘主機(jī)提供給內(nèi)部網(wǎng)機(jī)器的服務(wù),并根據(jù)這些服務(wù)的主要內(nèi)容,確定這些服務(wù)的可信度及擁有權(quán)。另外,還有很多方法可用來(lái)加強(qiáng)內(nèi)部網(wǎng)的安全性,比如,可以在內(nèi)部網(wǎng)主機(jī)上安裝操作控制機(jī)制(設(shè)置口令、鑒別設(shè)備等),或者在內(nèi)部網(wǎng)與堡壘主機(jī)間設(shè)置包過(guò)濾。2)堡壘主機(jī)的種類(lèi)堡壘主機(jī)目前有以下三種類(lèi)型:無(wú)路由雙宿主主機(jī)、犧牲主機(jī)和內(nèi)部堡壘主機(jī)。無(wú)路由雙宿主主機(jī)有多個(gè)網(wǎng)絡(luò)接口,但這些接口間沒(méi)有信息流。這種主機(jī)本身就可作為一個(gè)防火墻,也可作為一個(gè)更復(fù)雜防火墻結(jié)構(gòu)的一部分。無(wú)路由雙宿主主機(jī)的大部分配置雷同于其它堡壘主機(jī),但就像我們后面討論的那樣,必須多加小心,確保它沒(méi)有路由。如果某臺(tái)無(wú)路由雙宿主主機(jī)就是一個(gè)防火墻,必須在配置上考慮得較為周到,同時(shí)要小心謹(jǐn)慎地運(yùn)行堡壘主機(jī)的例行程序。
有些用戶可能想用一些無(wú)論使用代理服務(wù)還是包過(guò)濾都難以保障安全的網(wǎng)絡(luò)服務(wù)或者一些對(duì)其安全性沒(méi)有把握的服務(wù),針對(duì)這種情況,使用犧牲主機(jī)就非常有效。犧牲主機(jī)是一種上面沒(méi)有任何需要保護(hù)信息的主機(jī),同時(shí)它又不與任何入侵者想利用的主機(jī)相連,用戶只有在使用某種特殊服務(wù)時(shí)才用到它。犧牲主機(jī)除了可讓用戶隨意登錄外,其配置基本上與一般的堡壘主機(jī)一樣。用戶總是希望在堡壘主機(jī)上存有盡可能多的服務(wù)與程序,但出于安全性的考慮,我們不可隨意滿足用戶的要求,也不能讓用戶在犧牲主機(jī)上太舒暢,否則會(huì)使用戶越來(lái)越信任犧牲主機(jī)而違反設(shè)置犧牲主機(jī)的初衷。犧牲主機(jī)的主要特點(diǎn)是它易于被管理,即使被侵襲也無(wú)礙內(nèi)部網(wǎng)的安全。
在大多數(shù)配置中,堡壘主機(jī)可與某些內(nèi)部主機(jī)進(jìn)行交互。比如,堡壘主機(jī)可傳送電子郵件給內(nèi)部主機(jī)的郵件服務(wù)器,傳送Usenet新聞給新聞服務(wù)器,與內(nèi)部域名服務(wù)器協(xié)同工作等。這些內(nèi)部主機(jī)其實(shí)是有效的次級(jí)堡壘主機(jī),對(duì)它們就應(yīng)像保護(hù)堡壘主機(jī)一樣加以保護(hù)。我們可以在它們上面多放一些服務(wù),但對(duì)它們的配置必須遵循與堡壘主機(jī)一樣的過(guò)程。3)堡壘主機(jī)的選擇
(1)堡壘主機(jī)操作系統(tǒng)的選擇應(yīng)該選擇較為熟悉的系統(tǒng)作為堡壘主機(jī)的操作系統(tǒng)。一個(gè)配置好的堡壘主機(jī)是一個(gè)具有高度限制性的操作環(huán)境的軟件平臺(tái),所以對(duì)它的進(jìn)一步開(kāi)發(fā)與完善最好在其它機(jī)器上完成后再移植。這樣做也為在開(kāi)發(fā)時(shí)與內(nèi)部網(wǎng)的其它外設(shè)與機(jī)器交換信息提供了方便。
選擇主機(jī)時(shí),應(yīng)該選擇一個(gè)可支持有若干個(gè)接口,同時(shí)處于活躍狀態(tài)并且能可靠地提供一系列內(nèi)部網(wǎng)用戶所需要的因特網(wǎng)服務(wù)的機(jī)器。如果站點(diǎn)內(nèi)都是一些MS-DOS、Windows和Macintosh系統(tǒng),那么在這些內(nèi)部網(wǎng)站點(diǎn)的軟件平臺(tái)上,許多工具軟件(如代理服務(wù)、包過(guò)濾系統(tǒng)或其它提供SMTP、DNS服務(wù)的工具軟件)將不能運(yùn)行。我們應(yīng)該用諸如UNIX、WindowsNT或者其它系統(tǒng)作為堡壘主機(jī)的軟件平臺(tái)。UNIX是能提供因特網(wǎng)服務(wù)的最流行操作系統(tǒng),當(dāng)堡壘主機(jī)在UNIX操作系統(tǒng)下運(yùn)行時(shí),有大量現(xiàn)成的工具可供使用。因此,在沒(méi)有發(fā)現(xiàn)更好的系統(tǒng)之前,我們推薦使用UNIX作為堡壘主機(jī)的操作系統(tǒng)。同時(shí),在UNIX系統(tǒng)下也易于找到建立堡壘主機(jī)的工具軟件。
如果選用UNIX作為堡壘主機(jī)的操作系統(tǒng),在版本選擇上,我們應(yīng)選用自己最為熟悉的版本,同時(shí)該版本下的軟件工具應(yīng)比較齊全、豐富。如果我們的站點(diǎn)也是用某個(gè)版本的UNIX作為操作系統(tǒng),那么,最好就選用該版本的UNIX作為堡壘主機(jī)的操作系統(tǒng)。如果我們有很多版本的UNIX可供選擇,那就應(yīng)選用戶群最小的那個(gè)版本。這樣做可使入侵者用預(yù)編譯的方法來(lái)攻擊堡壘主機(jī)的可能性減至最?。ㄒ?yàn)槿肭终呖赡芤驘o(wú)此版本的系統(tǒng)而無(wú)法預(yù)編譯)。如果我們對(duì)UNIX一點(diǎn)都不了解,那就可任選一個(gè)UNIX版本。(2)堡壘主機(jī)的速度選擇作為堡壘主機(jī)的計(jì)算機(jī)并不要求有很高的速度。實(shí)際上,選用功能并不十分強(qiáng)大的機(jī)器作為堡壘主機(jī)反而更好。除了經(jīng)費(fèi)問(wèn)題外,選擇機(jī)器只要物盡其用即可,因?yàn)樵诒局鳈C(jī)上提供服務(wù)的運(yùn)算量并非很大。
人們經(jīng)常用速度介于2~5MIPS的機(jī)器(如Sun[CD*2]3、MicroVaxII或其它基于386、486的UNIX平臺(tái))作為堡壘主機(jī),這些機(jī)種對(duì)普通的使用已經(jīng)足夠了。對(duì)運(yùn)算速度的要求主要由它的內(nèi)部網(wǎng)和外部網(wǎng)的速度確定。網(wǎng)絡(luò)在56KB/s甚至1.544MB/s(T1干線)速度下處理電子郵件、DNS、FTP和代理服務(wù)并不占用很多CPU資源。但如若在堡壘主機(jī)上運(yùn)行具有壓縮/解壓功能的軟件(如NNTP)和搜索服務(wù)(如WWW)或有可能同時(shí)為幾十個(gè)用戶提供代理服務(wù),那就需要更高速的機(jī)器了。如果我們的站點(diǎn)在因特網(wǎng)上非常受歡迎,我們對(duì)外的服務(wù)也很多,那就需要由較快速度的機(jī)器來(lái)當(dāng)堡壘主機(jī)。針對(duì)這種情況,也可使用多堡壘主機(jī)結(jié)構(gòu)。在因特網(wǎng)上提供多種連接服務(wù)的大公司一般均采用若干臺(tái)大型高速的堡壘主機(jī)。
因?yàn)槲覀兛偸窍M局鳈C(jī)具有高可靠性,所以,在選擇堡壘主機(jī)及它的外圍設(shè)備時(shí),應(yīng)慎選產(chǎn)品。另外,我們還希望堡壘主機(jī)具有高兼容性,所以也不可選太舊的產(chǎn)品。在不追求純粹的好CPU性能的同時(shí)我們要求它至少能支持同時(shí)處理幾個(gè)網(wǎng)絡(luò)的連接能力。這個(gè)要求使得堡壘主機(jī)的內(nèi)存要大,并配置有足夠大的交換空間。另外,如果在堡壘主機(jī)上要運(yùn)行代理服務(wù)還需要有較大的磁盤(pán)空間作為存儲(chǔ)緩沖。(3)堡壘主機(jī)的物理位置有兩條理由要求堡壘主機(jī)必須安置在較為安全的物理位置:①如若入侵者與堡壘主機(jī)有物理接觸,他就有很多我們無(wú)法控制的方法來(lái)攻破堡壘主機(jī)。②對(duì)堡壘主機(jī)提供了許多內(nèi)部網(wǎng)與因特網(wǎng)的功能性連接,如果它被損壞或被盜,那整個(gè)站點(diǎn)與外部網(wǎng)就會(huì)脫離或完全中斷。對(duì)堡壘主機(jī)要細(xì)心保護(hù),以免發(fā)生不測(cè)。應(yīng)把它放在通風(fēng)良好,溫、濕度較為恒定的房間,是最好配備有空調(diào)和不間斷電源。(4)堡壘主機(jī)在網(wǎng)絡(luò)上的位置堡壘主機(jī)應(yīng)被放置在沒(méi)有機(jī)密信息流的網(wǎng)絡(luò)上,最好放置在一個(gè)單獨(dú)的網(wǎng)絡(luò)上。大多數(shù)以太網(wǎng)和令牌網(wǎng)的接口都可工作在混合模式,在這種模式下,該接口可捕捉到與該接口連接的網(wǎng)絡(luò)上的所有數(shù)據(jù)包,而不僅僅是那些發(fā)給該接口所在機(jī)器的地址的數(shù)據(jù)包。其它類(lèi)型的網(wǎng)絡(luò)接口如FDDI就不能捕捉到接口所連接的網(wǎng)上的所有數(shù)據(jù)包,但根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu),它們能經(jīng)常捕捉到一些并非發(fā)往該接口所在主機(jī)的數(shù)據(jù)包。
接口的這種功能在用Etherfind、Tcpdump程序?qū)W(wǎng)絡(luò)進(jìn)行測(cè)試、分析和單步調(diào)試時(shí)非常有效,但這也為入侵者偷看他所在網(wǎng)段上的全部信息流提供了便利。這些信息流中包含有FTP、Telnet、rlogin、機(jī)密郵件和NFS操作等。應(yīng)作好最壞打算,假如堡壘主機(jī)被侵入,就不應(yīng)該讓侵入堡壘主機(jī)的入侵者方便地看到上述這些信息流。
解決以上問(wèn)題的方法是將堡壘主機(jī)放置在參數(shù)網(wǎng)絡(luò)上而不放在內(nèi)部網(wǎng)上。正如我們前面討論的那樣,參數(shù)網(wǎng)絡(luò)是內(nèi)部網(wǎng)與因特網(wǎng)間的一層安全控制機(jī)制,參數(shù)網(wǎng)絡(luò)與內(nèi)部網(wǎng)是由網(wǎng)橋或路由器隔離的。內(nèi)部網(wǎng)上的信息流對(duì)參數(shù)網(wǎng)絡(luò)來(lái)講是不可見(jiàn)的。處在參數(shù)網(wǎng)絡(luò)上的堡壘主機(jī)只可看到在因特網(wǎng)與參數(shù)網(wǎng)絡(luò)間來(lái)往的信息流,雖然這些信息流有可能比較敏感,但其敏感性要比典型的內(nèi)部網(wǎng)信息流低得多。用一個(gè)由包過(guò)濾路由器與內(nèi)部網(wǎng)分隔的參數(shù)網(wǎng)絡(luò)還可為我們帶來(lái)益處,因?yàn)樵谶@種結(jié)構(gòu)中,如若堡壘主機(jī)被破壞,可使與堡壘主機(jī)交互的內(nèi)部主機(jī)數(shù)目減少,從而減少了內(nèi)部網(wǎng)的暴露程度。
即使我們無(wú)法將堡壘主機(jī)放置在參數(shù)網(wǎng)絡(luò)上,也應(yīng)該將它放置在信息流不太敏感的網(wǎng)絡(luò)上。比如我們可將它接在智能型10-BASET的集線器上、以太網(wǎng)交換器上,或者ATM網(wǎng)上。如果這樣,由于在堡壘主機(jī)與內(nèi)部網(wǎng)間已無(wú)其它保護(hù)措施,此時(shí)對(duì)堡壘主機(jī)的運(yùn)行應(yīng)加以特別關(guān)注。4)堡壘主機(jī)提供的服務(wù):堡壘主機(jī)應(yīng)當(dāng)提供站點(diǎn)所需求的所有與因特網(wǎng)有關(guān)的服務(wù),同時(shí)還要經(jīng)過(guò)包過(guò)濾提供內(nèi)部網(wǎng)向外界的服務(wù)。任何與外部網(wǎng)無(wú)關(guān)的服務(wù)都不應(yīng)該放置在堡壘主機(jī)上。
(1)堡壘主機(jī)提供的服務(wù):①無(wú)風(fēng)險(xiǎn)服務(wù)僅僅通過(guò)包過(guò)濾便可實(shí)施的服務(wù);②低風(fēng)險(xiǎn)服務(wù)在有些情況下這些服務(wù)運(yùn)行時(shí)有安全隱患,但增加一些安全控制措施便可消除安全問(wèn)題,這類(lèi)服務(wù)只能由堡壘主機(jī)提供;③高風(fēng)險(xiǎn)服務(wù)在使用這些服務(wù)時(shí)無(wú)法徹底消除安全隱患,這類(lèi)服務(wù)一般應(yīng)被禁用,特別需要時(shí)也只能放置在主機(jī)上使用;④禁用服務(wù)應(yīng)被徹底禁止使用的服務(wù)(2)堡壘主機(jī)應(yīng)提供的其它服務(wù):①FTP文件傳輸服務(wù);②WAIS基于關(guān)鍵字的信息瀏覽服務(wù);③HTTP超文本方式的信息瀏覽服務(wù);④NNTPUsenet新聞組服務(wù);⑤Gopher菜單驅(qū)動(dòng)的信息瀏覽服務(wù)。
為了支持以上這些服務(wù),堡壘主機(jī)還應(yīng)有域名服務(wù)(DNS)。域名服務(wù)很少單獨(dú)使用,但必須由它將主機(jī)的名字翻譯成IP地址。另外還要由它提供其它有關(guān)站點(diǎn)和主機(jī)的零散信息,所以它是實(shí)施其它服務(wù)的基礎(chǔ)服務(wù)。來(lái)自于因特網(wǎng)的入侵者可以利用許多內(nèi)部網(wǎng)上的服務(wù)來(lái)破壞堡壘主機(jī)。因此應(yīng)該將內(nèi)部網(wǎng)上的那些不用的服務(wù)全部關(guān)閉。
值得注意的是,在堡壘主機(jī)上禁止使用用戶帳戶。如果有可能的話,在堡壘主機(jī)上應(yīng)禁止使用一切用戶帳戶,即不準(zhǔn)用戶使用堡壘主機(jī)。這樣做會(huì)給堡壘主機(jī)帶來(lái)最大的安全保障。這是因?yàn)椋孩賻粝到y(tǒng)本身就易被攻破;②對(duì)帳戶系統(tǒng)的支撐軟件一般也較易被攻破;③用戶在堡壘主機(jī)上操作,可能會(huì)無(wú)意地破壞堡壘主機(jī)的安全機(jī)制;④堡壘主機(jī)上較多的用戶帳戶。5)建立堡壘主機(jī)我們?cè)谏厦嬉呀榻B了堡壘主機(jī)應(yīng)完成的工作,而建立堡壘主機(jī)則應(yīng)遵循以下步驟:(1)給堡壘主機(jī)一個(gè)安全的運(yùn)行環(huán)境;(2)關(guān)閉機(jī)器上所有不必要的服務(wù)軟件;(3)安裝或修改必需的服務(wù)軟件;(4)根據(jù)最終需要重新配置機(jī)器;(5)核查機(jī)器上的安全保障機(jī)制;(6)將堡壘主機(jī)連入網(wǎng)絡(luò)。
在進(jìn)行最后一步工作之前,必須保證機(jī)器與因特網(wǎng)是相互隔離的。如果內(nèi)部網(wǎng)尚未與因特網(wǎng)相連,那我們應(yīng)將堡壘主機(jī)完全配置好后方可讓內(nèi)部網(wǎng)與因特網(wǎng)相連;如果我們?cè)谝粋€(gè)已與因特網(wǎng)相連的內(nèi)部網(wǎng)上建立防火墻,那就應(yīng)該將堡壘主機(jī)配置成與內(nèi)部網(wǎng)無(wú)連接的單獨(dú)機(jī)器。如果在配置堡壘主機(jī)時(shí)被入侵,那這個(gè)堡壘主機(jī)就可能由內(nèi)部網(wǎng)的防衛(wèi)機(jī)制變成內(nèi)部網(wǎng)的入侵機(jī)制。6)堡壘主機(jī)的監(jiān)測(cè)監(jiān)測(cè)堡壘主機(jī)的運(yùn)行一旦完成了對(duì)堡壘主機(jī)的所有配置,我們就可把它連到網(wǎng)上,但這并不意味著我們有關(guān)堡壘主機(jī)的工作已結(jié)束。我們必須時(shí)刻關(guān)注著它的運(yùn)行情況。為了能監(jiān)視堡壘主機(jī)的運(yùn)行情況,應(yīng)及時(shí)發(fā)現(xiàn)出現(xiàn)的異常現(xiàn)象,及早發(fā)現(xiàn)入侵者或系統(tǒng)本身的安全漏洞。在這里,我們必須詳細(xì)了解正常系統(tǒng)運(yùn)行時(shí)預(yù)處理文件的內(nèi)容:
(1)一般在同一時(shí)刻大概會(huì)有幾個(gè)作業(yè)在運(yùn)行;
(2)每個(gè)作業(yè)一般花費(fèi)多少CPU時(shí)間;
(3)一天內(nèi)哪些時(shí)間是系統(tǒng)重載的時(shí)間。(2)自動(dòng)檢測(cè)堡壘主機(jī)長(zhǎng)時(shí)間的人工監(jiān)測(cè)會(huì)使人感到非常疲勞,從而降低監(jiān)測(cè)的質(zhì)量。雖然系統(tǒng)自動(dòng)產(chǎn)生的日志文件能提供許多有用的信息,但日志文件太大,在這個(gè)文件中仔細(xì)檢查就會(huì)使人感到厭倦。甚至有些重要信息還會(huì)被人疏忽掉。另外還會(huì)發(fā)生這樣的情況,當(dāng)我們?cè)诳慈罩疚募V瓜到y(tǒng)生成日志時(shí),入侵者恰恰在這個(gè)時(shí)候登錄。因此我們必須想辦法讓計(jì)算機(jī)來(lái)完成監(jiān)測(cè)工作。由于各站點(diǎn)的情況不一樣,所使用的操作系統(tǒng)也千差萬(wàn)別,各堡壘主機(jī)的配置也不盡相同,因此各站點(diǎn)對(duì)自動(dòng)監(jiān)測(cè)系統(tǒng)的要求也就不一樣。比如,有些站點(diǎn)要求對(duì)電子郵件進(jìn)行監(jiān)測(cè),有些站點(diǎn)要求對(duì)系統(tǒng)管理員的操作進(jìn)行跟蹤等等。7)堡壘主機(jī)的保護(hù)與備份在完成堡壘主機(jī)的配置并將它投入正常運(yùn)行后,要給它以較好的物理運(yùn)行環(huán)境,并將有關(guān)軟件做備份,將文檔資料妥善保存。在系統(tǒng)被黑客侵入時(shí),有時(shí)系統(tǒng)會(huì)有很明顯的反應(yīng),有時(shí)系統(tǒng)的反應(yīng)并不明顯,需要我們從系統(tǒng)的運(yùn)行情況加以推測(cè),比如系統(tǒng)出現(xiàn)不可理解的重新啟動(dòng)或自動(dòng)關(guān)閉就是跡象之一。因?yàn)楹诳腿绻膭?dòng)內(nèi)核并要使新的內(nèi)核生效,就必須將系統(tǒng)重新啟動(dòng)。
在一臺(tái)運(yùn)行正常的堡壘主機(jī)上,重新啟動(dòng)的現(xiàn)象是極少見(jiàn)的,系統(tǒng)的運(yùn)行應(yīng)該是非常平穩(wěn)的。如果發(fā)生了以上現(xiàn)象,就應(yīng)該立即進(jìn)行仔細(xì)檢查,確定這種現(xiàn)象到底是由系統(tǒng)中的合法問(wèn)題引起的還是由入侵者造成的。我們甚至可以這樣來(lái)配置堡壘主機(jī),使它在被其它用戶執(zhí)行reboot命令時(shí)不能正常啟動(dòng)。這樣設(shè)置后,如果有人要強(qiáng)迫系統(tǒng)重新啟動(dòng),那機(jī)器就會(huì)自動(dòng)停頓,等待我們的處理。即使機(jī)器的重啟功能不能被關(guān)閉,我們也可以在配置時(shí)將系統(tǒng)的啟動(dòng)系統(tǒng)定義為一個(gè)并不存在的磁盤(pán)以達(dá)到同樣的目的。
在防火墻系統(tǒng)中,內(nèi)部網(wǎng)與堡壘主機(jī)間應(yīng)是互不信任的。因?yàn)閮?nèi)部網(wǎng)主機(jī)可以認(rèn)為堡壘主機(jī)已被入侵者破壞,而堡壘主機(jī)同樣可以認(rèn)為來(lái)自于內(nèi)部網(wǎng)的一個(gè)用戶有可能是偽裝的入侵者。因此要制作安全的備份就得費(fèi)一番功夫。通常在堡壘主機(jī)與內(nèi)部網(wǎng)間的dump機(jī)制(如BSDdump和rdump命令)肯定已被包過(guò)濾系統(tǒng)阻斷。由于堡壘主機(jī)應(yīng)是一個(gè)穩(wěn)定的系統(tǒng),因而備份的制作頻度可以稍低一些,每周一次或每月一次便足夠了。
堡壘主機(jī)的系統(tǒng)備份不僅僅是為系統(tǒng)癱瘓后而重建系統(tǒng)時(shí)用的,它也是我們檢查系統(tǒng)是否被侵入的工具之一。像其它重要的備份一樣,妥善保管好堡壘主機(jī)的備份與保護(hù)機(jī)器本身同樣重要。堡壘主機(jī)的備份包含著堡壘主機(jī)上所有的配置信息。如果備份被黑客非法獲取,那他可以很快找到最便捷的入侵方式,并將系統(tǒng)的報(bào)警軟件全部關(guān)閉。2.基于堡壘主機(jī)的防火墻應(yīng)用模式
1)網(wǎng)絡(luò)中的防火墻配置符號(hào)表示法的定義(見(jiàn)表11.1)表11.1網(wǎng)絡(luò)中的防火墻配置符號(hào)表示法的定義2)基于堡壘主機(jī)的防火墻應(yīng)用模式
(1)B2配置的堡壘主機(jī)的防火墻在B2配置(如圖11.14所示)中,堡壘主機(jī)的最簡(jiǎn)單實(shí)用是作為第一個(gè),也是惟一的外部網(wǎng)絡(luò)流量的入口點(diǎn)。其缺點(diǎn)是,因?yàn)楸局鳈C(jī)作為與外部不可信網(wǎng)絡(luò)的接口點(diǎn),所以它們經(jīng)常面臨著入侵。圖11.14最簡(jiǎn)單的堡壘主機(jī)的使用(B2配置)(2)SB1配置的堡壘主機(jī)的防火墻在SB1配置(如圖11.15所示)中,只有堡壘主機(jī)的網(wǎng)絡(luò)接口是被配置的,這個(gè)網(wǎng)絡(luò)接口是與內(nèi)部網(wǎng)絡(luò)接口相連的。過(guò)濾路由器的一個(gè)端口與內(nèi)部網(wǎng)絡(luò)相連,另一個(gè)端口接Internet,這種類(lèi)型的配置稱為被過(guò)濾的主機(jī)網(wǎng)關(guān)。圖11.15過(guò)濾路由器與堡壘主機(jī)(SB1配置)SB1中必須配置過(guò)濾路由器,它可以把所有內(nèi)部網(wǎng)絡(luò)所接到的外部網(wǎng)絡(luò)流量首先發(fā)送給堡壘主機(jī)。在它把流量轉(zhuǎn)發(fā)給堡壘主機(jī)之前,過(guò)濾路由器將把它的過(guò)濾規(guī)則應(yīng)用于包流量。只有通過(guò)過(guò)濾規(guī)則的網(wǎng)絡(luò)流量才能轉(zhuǎn)發(fā)到堡壘主機(jī);所有其它網(wǎng)絡(luò)流量都被丟棄。這種雙重防衛(wèi)體系結(jié)構(gòu)使網(wǎng)絡(luò)安全在一定程度上進(jìn)一步加強(qiáng),這在B2中沒(méi)有提到。入侵者必須首先穿透過(guò)濾路由器。如果入侵者設(shè)法穿過(guò)了過(guò)濾路由器,他還必須與堡壘主機(jī)競(jìng)爭(zhēng)。
堡壘主機(jī)使用應(yīng)用層功能來(lái)判定從外部網(wǎng)絡(luò)發(fā)出的請(qǐng)求和對(duì)外部網(wǎng)絡(luò)的請(qǐng)求是否被允許或拒絕。如果這些請(qǐng)求通過(guò)了堡壘主機(jī)的詳細(xì)審查,它就可以將收到的流量轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò);對(duì)輸出的流量(對(duì)外部網(wǎng)絡(luò)的流量),請(qǐng)求轉(zhuǎn)發(fā)給過(guò)濾路由器。圖11.16顯示了網(wǎng)絡(luò)流量在內(nèi)部和外部網(wǎng)絡(luò)間的路徑。圖11.16帶過(guò)濾路由器和堡壘主機(jī)的網(wǎng)絡(luò)流量路徑(3)把包過(guò)濾卸載到IAP配置的堡壘主機(jī)的防火墻一些企業(yè)采用Internet訪問(wèn)供給器(IAP)為送往該企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量提供包過(guò)濾器規(guī)則(如圖11.17所示)。包過(guò)濾器仍然是第一位,但是必須依靠IAP對(duì)包過(guò)濾器規(guī)則進(jìn)行正確的管理。圖11.17IAP為內(nèi)部提供包過(guò)濾(4)被過(guò)濾堡壘主機(jī)網(wǎng)關(guān)網(wǎng)絡(luò)的路由配置防火墻過(guò)濾路由器的路由表必須加以配置以便外部流量可以轉(zhuǎn)發(fā)給堡壘主機(jī)。過(guò)濾路由器的路由表應(yīng)該加以保護(hù),使其免受入侵和非法授權(quán)的修改。如果路由表的項(xiàng)目發(fā)生修改,那么流量就不能轉(zhuǎn)發(fā)到堡壘主機(jī)而是直接轉(zhuǎn)發(fā)給局部連接網(wǎng)絡(luò),堡壘主機(jī)就被越過(guò)了。圖11.18顯示了過(guò)濾路由器的路由表指向堡壘主機(jī)的位置。內(nèi)部網(wǎng)絡(luò)號(hào)是,堡壘主機(jī)的IP地址是0。過(guò)濾路由器在它的路由表中有下面的項(xiàng)目:
目的網(wǎng)絡(luò)為
轉(zhuǎn)發(fā)至網(wǎng)絡(luò)為0圖11.18過(guò)濾路由器的路由表的正常設(shè)置
網(wǎng)絡(luò)的所有網(wǎng)絡(luò)流量都被轉(zhuǎn)發(fā)到堡壘主機(jī)的IP地址0處。圖11.19顯示的是過(guò)濾路由器的路由表被破壞,目的網(wǎng)絡(luò)的項(xiàng)目被清除的情況。過(guò)濾路由器接收到的網(wǎng)絡(luò)外部流量沒(méi)有轉(zhuǎn)發(fā)到堡壘主機(jī)而是直接通過(guò)本地接口傳送到內(nèi)部網(wǎng)絡(luò)。堡壘主機(jī)被越過(guò),過(guò)濾路由器成了惟一的防線。如果過(guò)濾路由器被破壞,路由器的其它功能也同樣被破壞,這時(shí)內(nèi)部網(wǎng)絡(luò)的安全就會(huì)受到威脅。圖11.19過(guò)濾路由器的路由表被破壞
如果過(guò)濾路由器對(duì)ICMP(InternetControlMessageProtocal)重定向消息做出應(yīng)答,那么就容易受到入侵者所發(fā)錯(cuò)誤ICMP消息的攻擊,因此,對(duì)ICMP重定向消息的應(yīng)答必須被禁止。圖11.20雙網(wǎng)絡(luò)接口的堡壘主機(jī)(SB2)配置(5)SB2配置堡壘主機(jī)的防火墻在SB2配置(如圖11.20所示)中,顯示了帶過(guò)濾路由器的堡壘主機(jī)的使用,而堡壘主機(jī)的兩個(gè)網(wǎng)絡(luò)接口都已配置,一個(gè)網(wǎng)絡(luò)接口連接到“Outside”網(wǎng)絡(luò),另一個(gè)網(wǎng)絡(luò)接口連接到“Inside”網(wǎng)絡(luò)。其中過(guò)濾路由器的一個(gè)端口連接到“Inside”網(wǎng)絡(luò),而另一個(gè)端口連接到Internet。在SB2中,過(guò)濾路由必須加以配置,以便它能把從外部網(wǎng)絡(luò)傳到內(nèi)部網(wǎng)絡(luò)的所有流量發(fā)送給堡壘主機(jī)的“Inside”網(wǎng)絡(luò)接口。在流量轉(zhuǎn)發(fā)到主機(jī)前,過(guò)濾路由器將把它的過(guò)濾器規(guī)則用于包流量。只有通過(guò)過(guò)濾路由器規(guī)則的網(wǎng)絡(luò)流量才能轉(zhuǎn)發(fā)給堡壘主機(jī),其它所有的網(wǎng)絡(luò)流量都被丟棄。入侵者必須經(jīng)過(guò)過(guò)濾路由器。如果入侵者設(shè)法穿透過(guò)濾路由器,它必須和堡壘主機(jī)競(jìng)爭(zhēng)。
若在Outside網(wǎng)絡(luò)上沒(méi)有主機(jī),則Outside網(wǎng)絡(luò)組成了一個(gè)非軍事區(qū)(DMZ),因?yàn)镈MZ只有兩個(gè)網(wǎng)絡(luò)連接,它可以被專用的點(diǎn)對(duì)點(diǎn)連接所代替,這就使得通過(guò)協(xié)議分析來(lái)獲取這個(gè)連接變得更加困難。如果在DMZ中使用以太網(wǎng)中的令牌環(huán)網(wǎng)絡(luò),那么一臺(tái)放置了混雜模式網(wǎng)絡(luò)接口的工作站就可以捕獲到網(wǎng)絡(luò)流量并訪問(wèn)敏感數(shù)據(jù)。在正常情況下,網(wǎng)絡(luò)接口只讀取直接發(fā)送給它的包,但是,在混雜模式下,網(wǎng)絡(luò)接口讀取所有的網(wǎng)絡(luò)接口能看到的包。所有組織的主機(jī)(堡壘主機(jī)除外)都與Inside網(wǎng)絡(luò)相連。
在SB2配置中,如果只有堡壘主機(jī)的一個(gè)網(wǎng)絡(luò)接口被使用(參見(jiàn)圖11.15),那么使得不能通過(guò)對(duì)過(guò)濾路由器路由表的攻擊而越過(guò)堡壘主機(jī),網(wǎng)絡(luò)流量必須通過(guò)堡壘主機(jī)而到達(dá)Inside網(wǎng)絡(luò)。(6)SB2B2配置的防火墻在SB2B2配置(如圖11.21所示)中,顯示了兩臺(tái)帶過(guò)濾路由器的堡壘主機(jī)的使用情況。這兩臺(tái)堡壘主機(jī)的雙網(wǎng)絡(luò)接口都已配置,在內(nèi)部網(wǎng)絡(luò)中形成了4個(gè)網(wǎng)絡(luò)區(qū):內(nèi)部網(wǎng)絡(luò)、Outside網(wǎng)絡(luò)、私有網(wǎng)絡(luò)、Inside網(wǎng)絡(luò)。圖11.21兩臺(tái)帶有雙網(wǎng)絡(luò)接口卡配置的堡壘主機(jī)(SB2B2)配置
過(guò)濾路由器和Outside堡壘主機(jī)是Outside網(wǎng)絡(luò)上僅有的兩個(gè)網(wǎng)絡(luò)接口。Outside網(wǎng)絡(luò)組成了OutsideDMZ。私有網(wǎng)絡(luò)存在于Inside和Outside堡壘之間。私有網(wǎng)絡(luò)提供與圖11.18類(lèi)似的一定程度的保護(hù)。一個(gè)組織可以把它的一些主機(jī)放在私有網(wǎng)絡(luò)上,并把比較敏感的主機(jī)隱藏在Inside堡壘主機(jī)的后面。換言之,一個(gè)組織可能需要最大的安全并且用私有網(wǎng)絡(luò)作為第二緩沖區(qū)或InsideDMZ,把所有主機(jī)都放置在Inside網(wǎng)絡(luò)。如果一個(gè)組織想提供大范圍服務(wù)的完全訪問(wèn),如匿名FTP(FileTransferProtocol)、Gopher和WWW(WordWideWeb)服務(wù),它就可以在OutsideDMZ上提供一定的主機(jī)作為奉獻(xiàn)(如圖11.22所示)。堡壘主機(jī)不能相信任何來(lái)自這些奉獻(xiàn)主機(jī)的流量。圖11.22外網(wǎng)DMZ的奉獻(xiàn)主機(jī)
過(guò)濾路由器必須加以配置,以便它能把Outside網(wǎng)絡(luò)傳到Inside網(wǎng)絡(luò)的所有流量發(fā)送給Inside堡壘主機(jī)。在流量轉(zhuǎn)發(fā)到堡壘主機(jī)前,過(guò)濾路由器將把它的過(guò)濾器規(guī)則用于包流量。只有通過(guò)過(guò)濾路由器規(guī)則的網(wǎng)絡(luò)流量才能轉(zhuǎn)發(fā)給堡壘主機(jī),其它所有網(wǎng)絡(luò)流量都被丟棄。入侵者必須首先穿越過(guò)濾路由器。如果入侵者設(shè)法穿越了過(guò)濾路由器,它必須和堡壘主機(jī)競(jìng)爭(zhēng)。
如果Outside網(wǎng)絡(luò)防衛(wèi)受到破壞,入侵者就會(huì)穿透Inside堡壘主機(jī)。如果資源允許,你可以使每臺(tái)堡壘主機(jī)由不同的管理者負(fù)責(zé)。這樣就能保證一臺(tái)主機(jī)管理者所犯的錯(cuò)誤不會(huì)在其它管理者那里重復(fù)發(fā)生。還可以保證的是,堡壘主機(jī)中所發(fā)現(xiàn)的缺陷可以被兩個(gè)管理者發(fā)現(xiàn)并得以校正。圖11.23顯示了外部和內(nèi)部網(wǎng)絡(luò)之間網(wǎng)絡(luò)流量所選擇的路徑。圖11.23圖7.21網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量的路徑(7)SB1B1配置的防火墻
SB1B1(圖11.24所示)中使用兩臺(tái)堡壘主機(jī),但每臺(tái)堡壘主機(jī)只有一個(gè)網(wǎng)絡(luò)接口,第二個(gè)路由器稱為阻塞器(choke),它加在DMZ和Inside網(wǎng)絡(luò)之間。圖11.25顯示了網(wǎng)絡(luò)流量在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的所選路徑,在SB1B1的網(wǎng)絡(luò)配置中要做到:過(guò)濾路由器應(yīng)使用的是靜態(tài)路由技術(shù)。圖11.24使用了單網(wǎng)絡(luò)接口的堡壘主機(jī)(SB1B1)配置圖11.25圖7.24網(wǎng)絡(luò)的網(wǎng)絡(luò)流量路徑(8)SB2B1配置的防火墻
SB2B1配置(如圖11.26所示)是實(shí)現(xiàn)以下問(wèn)題的方法之一。當(dāng)堡壘主機(jī)只有一個(gè)網(wǎng)絡(luò)接口被使用時(shí),應(yīng)選用靜態(tài)路由器并且正確配置路由表項(xiàng)目,以保證堡壘主機(jī)沒(méi)有越過(guò)。圖11.26雙端/單端堡壘主機(jī)配置(SB2B1配置(9)SB1B2配置的防火墻圖11.27單端/雙端堡壘主機(jī)配置(SB1B2配置)7.3.3過(guò)濾子網(wǎng)體系結(jié)構(gòu)在某些防火墻配置中,可以創(chuàng)建如圖11.28所示類(lèi)型的分離網(wǎng)絡(luò)。在此網(wǎng)絡(luò)中,外部不可信網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)都可以訪問(wèn)該分離網(wǎng)絡(luò)。但是,網(wǎng)絡(luò)流量卻不能通過(guò)該分離網(wǎng)絡(luò)在外部不可信網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間流動(dòng)。這個(gè)分離的網(wǎng)絡(luò)使用正確配置的過(guò)濾路由器的組合進(jìn)行工作(如圖11.29所示)。因此,這種分離子網(wǎng)絡(luò)就稱為過(guò)濾子網(wǎng)(網(wǎng)絡(luò)中的防火墻配置符號(hào)表示法的定義見(jiàn)本章表11.1)。圖11.28過(guò)濾子網(wǎng)圖11.29使用過(guò)濾器的過(guò)濾子網(wǎng)實(shí)現(xiàn)圖11.30帶有堡壘主機(jī)的過(guò)濾子網(wǎng)
圖11.31使用SB1S配置的過(guò)濾子網(wǎng)
一個(gè)已配置的過(guò)濾子網(wǎng)如圖11.31所示。已配置的過(guò)濾子網(wǎng)指所帶的堡壘主機(jī)作為過(guò)濾子網(wǎng)的中心訪問(wèn)點(diǎn)。這種類(lèi)型的配置是S-B1-S,或SB1S配置。過(guò)濾路由器用來(lái)連接Internet和內(nèi)部網(wǎng)絡(luò)。堡壘主機(jī)是一個(gè)應(yīng)用程序網(wǎng)關(guān),它拒絕所有未被明確允許的流量。由于對(duì)過(guò)濾子網(wǎng)惟一的訪問(wèn)是通過(guò)堡壘主機(jī),因此,入侵者對(duì)過(guò)濾子網(wǎng)的破壞將非常困難。如果入侵者通過(guò)Internet進(jìn)入,那么入侵者必須重新配置Internet上的路由、過(guò)濾子網(wǎng)和內(nèi)部網(wǎng)絡(luò),以獲得自由的訪問(wèn)權(quán)(如果過(guò)濾路由器只允許特定的主機(jī)訪問(wèn),則上述做法將非常困難)。即使堡壘主機(jī)被破壞,入侵者必須闖入內(nèi)部網(wǎng)絡(luò)的主機(jī)上,然后進(jìn)入過(guò)濾路由器訪問(wèn)過(guò)濾子網(wǎng)。如果沒(méi)有斷開(kāi)連接或碰到警報(bào),這種類(lèi)型的跳躍式入侵是非常困難的。
因?yàn)檫^(guò)濾子網(wǎng)不允許網(wǎng)絡(luò)流量在Internet和內(nèi)部網(wǎng)絡(luò)之間流動(dòng),所以這些網(wǎng)絡(luò)上主機(jī)的IP地址是相互隱藏的。盡管如此,一個(gè)還沒(méi)有從NIC(NetworkInformationCenter)正式分配網(wǎng)絡(luò)號(hào)的組織,也可以通過(guò)過(guò)濾子網(wǎng)上堡壘主機(jī)所提供的應(yīng)用程序網(wǎng)關(guān)服務(wù)訪問(wèn)Internet。如果這些服務(wù)通過(guò)應(yīng)用程序網(wǎng)關(guān)加以限制,那么就把內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)換為正式分配網(wǎng)絡(luò)號(hào)的網(wǎng)絡(luò)。11.3.4應(yīng)用層網(wǎng)關(guān)體系結(jié)構(gòu)
1.具有管理存儲(chǔ)轉(zhuǎn)發(fā)流量以及某些交互流量的應(yīng)用層網(wǎng)關(guān)圖11.32應(yīng)用層網(wǎng)關(guān)
應(yīng)用層網(wǎng)關(guān)通過(guò)編程來(lái)計(jì)算用戶應(yīng)用層(OSI模型第7層)的流量,并能在用戶層和應(yīng)用協(xié)議層提供訪問(wèn)控制。而且,還可用來(lái)保留一個(gè)所有應(yīng)用程序使用的紀(jì)錄。因此,記錄和控制所有進(jìn)出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點(diǎn)之一。網(wǎng)關(guān)本身可以建立它們所需的附加安全。對(duì)于每一個(gè)它所轉(zhuǎn)接的應(yīng)用程序,應(yīng)用層網(wǎng)關(guān)使用一個(gè)特殊目的的代碼。由于這個(gè)特殊目的代碼,應(yīng)用層網(wǎng)關(guān)提供了可靠的安全性,對(duì)于每一個(gè)新增到網(wǎng)絡(luò)上并需要保護(hù)的新類(lèi)型的應(yīng)用程序,新的特殊目的代碼就需要記錄下來(lái)。
為了使用應(yīng)用層網(wǎng)關(guān),用戶必須登錄到應(yīng)用程序網(wǎng)關(guān)的機(jī)器上,或者在每一臺(tái)將使用特定服務(wù)的主機(jī)上實(shí)施指定的代理應(yīng)用程序服務(wù)。每一個(gè)應(yīng)用程序的網(wǎng)關(guān)模塊應(yīng)具有自己的一套管理工具和命令語(yǔ)言。應(yīng)用層網(wǎng)關(guān)的缺點(diǎn)是,用戶經(jīng)常為每個(gè)應(yīng)用程序而寫(xiě)程序。但是從安全角度來(lái)看,這也是一個(gè)優(yōu)點(diǎn),因?yàn)闊o(wú)法進(jìn)入防火墻,除非能提供非常明確的應(yīng)用層網(wǎng)關(guān)。
用戶的應(yīng)用程序相當(dāng)于一個(gè)代理,它不僅能接收進(jìn)來(lái)的呼叫而且還能對(duì)呼叫進(jìn)行檢查,以防備任何類(lèi)型請(qǐng)求的訪問(wèn)被允許。這個(gè)事件中的代理是一個(gè)應(yīng)用程序服務(wù)器代理。接收呼叫,并且驗(yàn)證任何呼叫允許后,代理就把它轉(zhuǎn)發(fā)給請(qǐng)求服務(wù)器。因此,代理既是服務(wù)器又是客戶機(jī)(如圖11.33所示),它在接收進(jìn)入的請(qǐng)求時(shí)是作為服務(wù)器,在轉(zhuǎn)發(fā)請(qǐng)求時(shí)是作為客戶機(jī)。會(huì)話建立后,應(yīng)用程序代理作為一個(gè)轉(zhuǎn)接,在一初始化應(yīng)用程序的客戶機(jī)和服務(wù)器之間拷貝數(shù)據(jù)。因?yàn)樵诳蛻魴C(jī)和服務(wù)器之間的所有數(shù)據(jù)都由應(yīng)用程序代理攔截,所以它對(duì)會(huì)話擁有全部的控制,并詳盡的處理記錄。圖7.33顯示了作為客戶機(jī)和服務(wù)器的代理。在眾多的實(shí)現(xiàn)中,這是一個(gè)單應(yīng)用程序模塊的實(shí)現(xiàn)方法。圖11.33作為客戶機(jī)和服務(wù)器的代理
為了與代理應(yīng)用程序連接,許多應(yīng)用層網(wǎng)關(guān)要求用戶在內(nèi)部機(jī)器上運(yùn)行客戶機(jī)應(yīng)用程序。另外,用戶可以用Telnet命令指定代理應(yīng)用程序服務(wù)可用的端口。例如,代理主機(jī)上,在端口63處,用戶可以用下面的命令:
telnet63
在用戶與代理服務(wù)器運(yùn)行的端口建立連接后,將會(huì)看到一個(gè)特殊的提示符,它用來(lái)標(biāo)識(shí)代理應(yīng)用程序,用戶也可以運(yùn)行定制命令到指定的目的服務(wù)器。不管使用哪種方法,標(biāo)準(zhǔn)應(yīng)用程序的用戶接口都會(huì)改變。如果使用用戶客戶機(jī),那么客戶機(jī)通常會(huì)被修改,以便它能與代理機(jī)器相連并且通知代理機(jī)器連接的位置。這樣,代理機(jī)器就可連接到最遠(yuǎn)目的端并轉(zhuǎn)發(fā)數(shù)據(jù)。2.巡回網(wǎng)關(guān)(如圖11.34所示)圖11.34應(yīng)用程序巡回網(wǎng)關(guān)
巡回網(wǎng)關(guān)是建立在應(yīng)用程序網(wǎng)關(guān)的一個(gè)更加靈活的方法。在巡回網(wǎng)關(guān)中,包被提交給用戶應(yīng)用層處理。巡回網(wǎng)關(guān)用來(lái)在兩個(gè)通信的終點(diǎn)之間轉(zhuǎn)包。巡回網(wǎng)關(guān)簡(jiǎn)單地在兩個(gè)終點(diǎn)之間來(lái)回拷貝字節(jié)。巡回網(wǎng)關(guān)存在的問(wèn)題是:
(1)在巡回網(wǎng)關(guān)中,可能需要安裝特殊應(yīng)用的客戶機(jī)軟件,用戶可能需要一個(gè)可變用戶接口來(lái)相互協(xié)調(diào)。由于硬件平臺(tái)和操作系統(tǒng)都存在差異,因此為異構(gòu)網(wǎng)絡(luò)的每一臺(tái)主機(jī)安裝和配置特定的應(yīng)用程序既耗費(fèi)時(shí)間,又容易出錯(cuò)。(2)因?yàn)槊恳话纪ㄟ^(guò)運(yùn)行于應(yīng)用層的軟件來(lái)處理,所以主機(jī)的工作受到影響。每個(gè)包被所有的通信層處理兩次,并且需要用戶層處理和上下文轉(zhuǎn)換。應(yīng)用層網(wǎng)關(guān)(堡壘主機(jī)或雙宿主主機(jī))對(duì)網(wǎng)絡(luò)層是暴露的,一般采用其它方法加以處理,如包過(guò)濾,可以用來(lái)保護(hù)應(yīng)用程序網(wǎng)關(guān)主機(jī)。7.4防火墻的構(gòu)成7.4.1防火墻的類(lèi)型及構(gòu)成
1.常見(jiàn)的防火墻
最常見(jiàn)的防火墻是按照它的基本概念工作的邏輯設(shè)備,用于在公共網(wǎng)上保護(hù)個(gè)人網(wǎng)絡(luò)。配置一堵防火墻是很簡(jiǎn)單的,步驟如下:
(1)選擇一臺(tái)具有路由能力的PC;
(2)加上兩塊網(wǎng)卡,例如以太網(wǎng)或串行卡等;
(3)禁止IP轉(zhuǎn)發(fā);(4)打開(kāi)一個(gè)網(wǎng)卡通向Internet;
(5)打開(kāi)另一個(gè)網(wǎng)卡通向內(nèi)部網(wǎng)。防火墻的設(shè)計(jì)類(lèi)型有好幾種,但大體可分為兩類(lèi):網(wǎng)絡(luò)級(jí)防火墻和應(yīng)用級(jí)防火墻。它們采用不同的方式提供相同的功能。任何一種都能適合站點(diǎn)防火墻的保護(hù)需要。而現(xiàn)在有些防火墻產(chǎn)品具有雙重特效,因此應(yīng)該選擇最適合當(dāng)前配置的防火墻類(lèi)型來(lái)構(gòu)建防火墻。2.網(wǎng)絡(luò)級(jí)防火墻
這一類(lèi)型的防火墻,通常使用簡(jiǎn)單的路由器,采用包過(guò)濾技術(shù),檢查個(gè)人的IP包并決定允許或不允許基于資源的服務(wù)、目的地址以及使用端口來(lái)構(gòu)建。
最新式的防火墻較之前身更為復(fù)雜,它能監(jiān)控通過(guò)防火墻的連接狀態(tài)等等。這是一類(lèi)快速且透明的防火墻,易于實(shí)現(xiàn),且性價(jià)比最佳。
圖11.35是一個(gè)隔離式主機(jī)防火墻的應(yīng)用,它是最流行的網(wǎng)絡(luò)級(jí)防火墻之一。在該種設(shè)計(jì)中,路由器在網(wǎng)絡(luò)級(jí)上運(yùn)行,控制所有出入內(nèi)部網(wǎng)的訪問(wèn),并將所有的請(qǐng)求傳送給堡壘主機(jī)。盡管上述例子提供了良好的安全性,但仍需創(chuàng)建一個(gè)安全的子網(wǎng)來(lái)安置Web服務(wù)器。圖11.36所示的隔離式子網(wǎng)防火墻就是這種設(shè)想的實(shí)例。
注意,以上兩個(gè)例子都是假定Web服務(wù)器安放在防火墻之內(nèi)。在這種模式中,對(duì)Web服務(wù)器的訪問(wèn)由運(yùn)行在網(wǎng)絡(luò)上的路由器控制。這種設(shè)計(jì)與原先的隔離主機(jī)模式很相似。圖11.35主機(jī)隔離式防火墻的構(gòu)成圖11.36隔離式子網(wǎng)防火墻構(gòu)成
3.應(yīng)用級(jí)防火墻
應(yīng)用級(jí)防火墻通常是運(yùn)行在防火墻之上的軟件部分。這一類(lèi)的設(shè)備稱為應(yīng)用網(wǎng)關(guān),它是運(yùn)用代理服務(wù)器軟件的計(jì)算機(jī)。由于代理服務(wù)器在同一級(jí)上運(yùn)行,故它對(duì)采集訪問(wèn)信息并加以控制是非常有用的,例如記錄什么樣的用戶在什么時(shí)候連接了什么站點(diǎn),這對(duì)識(shí)別網(wǎng)絡(luò)間諜是有價(jià)值的。因此,此類(lèi)防火墻能提供關(guān)于出入站點(diǎn)訪問(wèn)的詳細(xì)信息,從而較之網(wǎng)絡(luò)級(jí)防火墻,其安全性更強(qiáng)。
圖11.37是應(yīng)用級(jí)防火墻的圖例,也稱為雙宿主機(jī)(Dual-Homed)網(wǎng)關(guān)。雙宿主機(jī)是一臺(tái)由兩塊網(wǎng)絡(luò)接口卡(NIC)組成的計(jì)算機(jī)。每塊NIC有一個(gè)IP地址,如果網(wǎng)絡(luò)上的一臺(tái)計(jì)算機(jī)想與另一臺(tái)計(jì)算機(jī)通信,它必須與雙宿主機(jī)上能“看到”的IP地址聯(lián)系,代理服務(wù)器軟件查看其規(guī)則是否允許連接,如果允許,代理服務(wù)器軟件通過(guò)另一塊網(wǎng)卡(NIC)啟動(dòng)到其它網(wǎng)絡(luò)的連接。圖11.37雙宿主機(jī)網(wǎng)關(guān)式防火墻的構(gòu)成
4.動(dòng)態(tài)防火墻動(dòng)態(tài)防火墻是解決Web安全的一種新技術(shù)。防火墻的某些產(chǎn)品,一般稱為OS保護(hù)程序,安裝在操作系統(tǒng)上。OS保護(hù)程序通過(guò)包過(guò)濾結(jié)合代理的某些功能,如監(jiān)控任何協(xié)議下的數(shù)據(jù)和命令流來(lái)保護(hù)站點(diǎn),盡管這種方法在某種程度上已流行,但因?yàn)槠渑渲?,所以并不成功。原因是管理員無(wú)法看見(jiàn)配置,并且強(qiáng)迫管理員添加一些附加產(chǎn)品來(lái)實(shí)現(xiàn)服務(wù)器的安全。
動(dòng)態(tài)防火墻技術(shù)(DFT)與靜態(tài)防火墻技術(shù)主要區(qū)別是:
(1)允許任何服務(wù);
(2)拒絕于任何服務(wù);
(3)允許/拒絕任何服務(wù);
(4)動(dòng)態(tài)防火墻技術(shù)適應(yīng)于網(wǎng)上通信,動(dòng)態(tài)比靜態(tài)的包過(guò)濾模式要好,其優(yōu)勢(shì)是,動(dòng)態(tài)防火墻提供自適應(yīng)及流體方式控制網(wǎng)絡(luò)訪問(wèn)的防火技術(shù)。即Web安全能力為防火墻所控制,基于其設(shè)置時(shí)所創(chuàng)建的訪問(wèn)平臺(tái),能限制或禁止靜態(tài)形式的訪問(wèn)。
(5)動(dòng)態(tài)防火墻還能適應(yīng)Web上多樣連接提出的變化及新的要求。當(dāng)需要訪問(wèn)時(shí),動(dòng)態(tài)防火墻就允許通過(guò)Web服務(wù)器防火墻進(jìn)行訪問(wèn)。5.防火墻的各種變化和組合
1)內(nèi)部路由器內(nèi)部路由器(有時(shí)也稱為阻流路由器)的主要功能是保護(hù)內(nèi)部網(wǎng)免受來(lái)自外部網(wǎng)與參數(shù)網(wǎng)絡(luò)的侵?jǐn)_。內(nèi)部路由器完成防火墻的大部分包過(guò)濾工作,它允許某些站點(diǎn)的包過(guò)濾系統(tǒng)認(rèn)為符合安全規(guī)則的服務(wù)在內(nèi)外部網(wǎng)之間互傳(各站點(diǎn)對(duì)各類(lèi)服務(wù)的安全確認(rèn)規(guī)則是不同的)。根據(jù)各站點(diǎn)的需要和安全規(guī)則,可允許的服務(wù)是以下這些外向服務(wù)中的若干種,如:Telnet、FTP、WAIS、Archie、Gopher或者其它服務(wù)。
內(nèi)部路由器可以設(shè)定,使參數(shù)網(wǎng)絡(luò)上的堡壘主機(jī)與內(nèi)部網(wǎng)之間傳遞的各種服務(wù)和內(nèi)部網(wǎng)與外部網(wǎng)之間傳遞的各種服務(wù)不完全相同。限制一些服務(wù)在內(nèi)部網(wǎng)與堡壘主機(jī)之間互傳的目的是減少在堡壘主機(jī)被侵入后而受到入侵的內(nèi)部網(wǎng)主機(jī)的數(shù)目。應(yīng)該根據(jù)實(shí)際需要來(lái)限制允許在堡壘主機(jī)與內(nèi)部網(wǎng)站點(diǎn)之間可互傳的服務(wù)數(shù)目。如:SMTP、DNS等。還能對(duì)這些服務(wù)作進(jìn)一步的限定,限定它們只能在提供某些特定服務(wù)的主機(jī)與內(nèi)部網(wǎng)的站點(diǎn)之間互傳。比如,對(duì)于SMTP就可以限定站點(diǎn)只能與堡壘主機(jī)或內(nèi)部網(wǎng)的郵件服務(wù)器通信。對(duì)其余可以從堡壘主機(jī)上申請(qǐng)連接到的主機(jī)就更得加以仔細(xì)保護(hù)。因?yàn)檫@些主機(jī)將是入侵者打開(kāi)堡壘主機(jī)的保護(hù)后首先能攻擊到的機(jī)器。2)外部路由器理論上,外部路由器(有時(shí)也稱為接觸路由器)既保護(hù)參數(shù)網(wǎng)絡(luò)又保護(hù)內(nèi)部網(wǎng)。實(shí)際上,在外部路由器上僅做一小部分包過(guò)濾,它幾乎讓所有參數(shù)網(wǎng)絡(luò)的外向請(qǐng)求通過(guò),而外部路由器與內(nèi)部路由器的包過(guò)濾規(guī)則是基本上相同的。也就是說(shuō),如果安全規(guī)則上存在疏忽,那么,入侵者可以用同樣的方法通過(guò)內(nèi)、外部路由器。由于外部路由器一般是由外界(如因特網(wǎng)服務(wù)供應(yīng)商)提供,因此對(duì)外部路由器可做的操作是受限制的。網(wǎng)絡(luò)服務(wù)供應(yīng)商一般僅會(huì)在該路由器上設(shè)置一些普通的包過(guò)濾,而不會(huì)專為設(shè)置特別的包過(guò)濾,或更換包過(guò)濾系統(tǒng)。因此,對(duì)于安全保障而言,不能像依賴內(nèi)部路由器一樣依賴于外部路由器。
外部路由器的包過(guò)濾主要是對(duì)參數(shù)網(wǎng)絡(luò)上的主機(jī)提供保護(hù)。然而,一般情況下,因?yàn)閰?shù)網(wǎng)絡(luò)上的主機(jī)的安全主要通過(guò)主機(jī)安全機(jī)制加以保障,所以由外部路由器提供的很多保護(hù)并非必要。外部路由器真正有效地任務(wù)就是阻斷來(lái)自外部網(wǎng)上偽造源地址進(jìn)來(lái)的任何數(shù)據(jù)包。這些數(shù)據(jù)包自稱是來(lái)自內(nèi)部網(wǎng),而其實(shí)它是來(lái)自外部網(wǎng)。3)防火墻的各種變化和組合形式建造防火墻時(shí),一般很少采用單一的技術(shù),通常是采用多種解決不同問(wèn)題的技術(shù)的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù),以及網(wǎng)管中心能接受什么等級(jí)風(fēng)險(xiǎn)。采用哪種技術(shù)主要取決于投資的大小、設(shè)計(jì)人員的技術(shù)、時(shí)間等因素。一般有以下幾種形式:(1)使用多堡壘主機(jī);(2)合并內(nèi)部路由器與外部路由器;(3)合并堡壘主機(jī)與外部路由器;(4)合并堡壘主機(jī)與內(nèi)部路由器;(5)使用多臺(tái)內(nèi)部路由器;(6)使用多臺(tái)外部路由器;(7)使用多個(gè)參數(shù)網(wǎng)絡(luò);(8)使用雙重宿主主機(jī)與子網(wǎng)過(guò)濾。11.4.2防火墻的配置防火墻極大地增強(qiáng)了Web站點(diǎn)的安全性。根據(jù)不同的需要,防火墻在網(wǎng)中的配置有很多種方式。根據(jù)防火墻和Web服務(wù)器所處的位置,總的可以分為三種配置:Web服務(wù)器置于防火墻之內(nèi)、Web服務(wù)器置于防火墻之外和Web服務(wù)器置于防火墻之上。
1.Web服務(wù)器置于防火墻之內(nèi)
Web服務(wù)器置于防火墻之內(nèi),如圖11.38所示。圖11.38Web服務(wù)器放在防火墻內(nèi)
將Web服務(wù)器裝在防火墻內(nèi)的優(yōu)點(diǎn)是它得到了安全保護(hù),不容易被黑客闖入,但缺點(diǎn)是不易被外界所用。例如Web站點(diǎn)主要用于宣傳企業(yè)形象,顯然這不是好的配置,這時(shí)應(yīng)當(dāng)將Web服務(wù)器放在防火墻之外。2.Web服務(wù)器置于防火墻之外圖11.39Web服務(wù)器放在防火墻之外Web服務(wù)器置于防火墻之外的配置,如圖7.39所示。事實(shí)上,為保證組織內(nèi)部網(wǎng)絡(luò)的安全,將Web服務(wù)器完全置于防火墻之外是比較合適的。在這種模式中,Web服務(wù)器不受保護(hù),但內(nèi)部網(wǎng)則被保護(hù),即使黑客闖入了你的Web站點(diǎn),內(nèi)部網(wǎng)絡(luò)仍是安全的。但在這種配置中,防火墻對(duì)Web站點(diǎn)的保護(hù)幾乎不起作用,這時(shí)就需要代理服務(wù)的支持。
3.Web服務(wù)器置于防火墻之上如前所述,一些管理者試圖在防火墻機(jī)器上運(yùn)行Web服務(wù)器,以此增強(qiáng)Web站點(diǎn)的安全性。這種配置的缺點(diǎn)是,一旦服務(wù)器有一點(diǎn)故障,整個(gè)組織和站點(diǎn)就全部處在危險(xiǎn)之中,如圖11.40所示。圖11.40Web服務(wù)器放在防火墻之上
這種基本配置有許多種變化,包括利用代理服務(wù)器,雙重防火墻利用成對(duì)的“入”、“出”服務(wù)器提供對(duì)公眾信息的訪問(wèn)及內(nèi)部網(wǎng)絡(luò)對(duì)私人文檔的訪問(wèn)。一些防火墻不允許將Web服務(wù)器設(shè)置其外,在這種情況下要開(kāi)通防火墻。一般的做法是:
(1)允許防火墻傳遞對(duì)端口80的請(qǐng)求,訪問(wèn)請(qǐng)求或被限制到Web站點(diǎn)或從Web站點(diǎn)返回(假定正在使用“screenedhost”型防火墻)。
(2)可在防火墻機(jī)器上安裝代理服務(wù)器,但需一個(gè)“雙宿主網(wǎng)關(guān)”類(lèi)型的防火墻。來(lái)自Web服務(wù)器的所有訪問(wèn)請(qǐng)求被代理服務(wù)器截獲后才傳送到服務(wù)器,并對(duì)訪問(wèn)請(qǐng)求的回答應(yīng)直接返回給請(qǐng)求者。11.5防火墻所采用的技術(shù)及其作用11.5.1隔離技術(shù)
1.隔離的定義最安全且簡(jiǎn)單的做法是將網(wǎng)絡(luò)的物理線路切斷,但完全的中斷卻失去了網(wǎng)絡(luò)本身的優(yōu)勢(shì)及方便性。因此,解決的方法是設(shè)計(jì)防火墻系統(tǒng)在不同區(qū)域間執(zhí)行連接的管理(如圖11.41所示)。圖11.41防火墻隔離技術(shù)
2.防火墻隔離技術(shù)根據(jù)其所能支持區(qū)域隔離網(wǎng)絡(luò)數(shù)量的三種分類(lèi)法
(1)Dual-Home將網(wǎng)絡(luò)區(qū)隔為兩段,如圖11.42所示。
(2)Tri-Home在防火墻上增加第三塊網(wǎng)卡的網(wǎng)絡(luò),稱SSN(SecureServerNetwork)或DMZ(DelimitationMilitaryZone),如圖11.42所示。
(3)Multi-Home支持區(qū)域隔離多端網(wǎng)絡(luò)的防火墻,如圖11.42所示。圖11.42防火墻隔離技術(shù)類(lèi)型11.5.2管理技術(shù)從管理網(wǎng)絡(luò)互聯(lián)的角度來(lái)說(shuō),主要管理下述內(nèi)容:
(1)連接來(lái)源地址(IP地址、主機(jī)名稱、網(wǎng)絡(luò)名稱、子網(wǎng)絡(luò)區(qū)段);
(2)連接目的地址(IP地址、主機(jī)名稱、網(wǎng)絡(luò)名稱、子網(wǎng)絡(luò)區(qū)段);
(3)網(wǎng)絡(luò)服務(wù)的類(lèi)別(HTTP、Telnet、FTP、SMTP…);
(4)連接的時(shí)間;
(5)連接的方向(Ext→Int、Int→Ext…);
(6)連接的身份(Username/Password)。11.5.3防火墻操作系統(tǒng)的技術(shù)
不管是軟件還是硬件,防火墻的設(shè)備都必須考慮防火墻的操作系統(tǒng)環(huán)境是否安全。如果采用不安全的防火墻操作系統(tǒng),防火墻就很難保護(hù)網(wǎng)絡(luò)的安全。目前,市場(chǎng)上的防火墻大多數(shù)是構(gòu)建在下列類(lèi)型的操作系統(tǒng)上的,其優(yōu)缺點(diǎn)如表11.2所示。表11.2防火墻操作系統(tǒng)安全性能比較表11.5.
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 鉛酸電池外殼解讀
- 數(shù)控加工技術(shù)報(bào)告
- 2024學(xué)年南京市八年級(jí)語(yǔ)文上學(xué)期期中考試卷附答案解析
- 醫(yī)院6S管理實(shí)施成果匯報(bào)
- 細(xì)胞融合技術(shù)原理與教學(xué)應(yīng)用
- 三好學(xué)生評(píng)選個(gè)人事跡匯報(bào)
- 2026屆江蘇省南京市燕子磯中學(xué)高一化學(xué)第一學(xué)期期末考試試題含解析
- 線下儲(chǔ)值操作講解
- 全國(guó)TRIZ大賽匯報(bào)
- 搶救室搶救藥物
- 2025年高考生物甘肅卷試題答案解讀及備考指導(dǎo)(精校打?。?/a>
- WST856-2025安全注射標(biāo)準(zhǔn)解讀
- 2025年國(guó)有企業(yè)管理崗競(jìng)聘筆考試試題庫(kù)及答案
- 醫(yī)美項(xiàng)目規(guī)劃方案(3篇)
- 2025年全國(guó)反詐騙知識(shí)競(jìng)賽試題含答案
- IATF16949中英文對(duì)照版2025-10-13新版
- 2069-3-3101-002WKB產(chǎn)品判定準(zhǔn)則-外發(fā)
- 全國(guó)學(xué)校藝術(shù)教育總體規(guī)劃1989~2000年
- GB∕T 10715-2021 帶傳動(dòng) 多楔帶、聯(lián)組V帶及包括寬V帶、六角帶在內(nèi)的單根V帶 抗靜電帶的導(dǎo)電性:要求和試驗(yàn)方法
- 藥學(xué)英語(yǔ)詞匯匯總
- 吉利集團(tuán)績(jī)效管理創(chuàng)新與實(shí)踐
評(píng)論
0/150
提交評(píng)論