4月11

让iptables配置随系统启动

23:25siutungFireWall  
1、默认脚本的启动
   iptables的启动脚本文件/etc/rc.d/init.d/iptables在每次启动时都要使用/etc/sysconfig/iptables提供的规则进行规则恢复,并可以使用如下命令保存规则:
[root@CentOS ~]#service iptables save

2、自定义脚本的启动
   用户可以在自定义脚本中直接用iptables命令编写一个规则集,并在启动时执行这个脚本。设用户自定义脚本文件名为/etc/fw/rules,则可以在启动脚本/etc/rc.d/rc.local中加入代码:if[-x/etc/fw/rules];then /etc/fw/rules; fi;即可在每次启动时执行该脚本。
注:如果使用此种方式,建议使用ntsysv命令关闭系统的iptables守护进程。

Tags: , ,
阅读(1349) | 评论(1) | 引用(0)
9月22

忘记McAfee控制台管理密码的解决方法

16:39adminFireWall  

控制台的密码设置相关信息保存在
HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\TVD\VirusScan Enterprise\CurrentVersion
下的UIP、UIPMode、UIPpages这三个子键里。

UIP为具体的密码内文;
mode为加密状况,0为锁定、1则相反;
pages就对应的是相关的页面锁定范围。

UIP就是MD5加密过的密码。
直接清除掉UIP键值里的值,再回到卖咖啡那里,就不需要密码了。

Tags: , , ,
阅读(1276) | 评论(0) | 引用(0)
9月17

绿盟科技黑洞抗拒绝服务系统解决方案(转)

18:03adminFireWall  

一、前言

  DoS(Denial of Service 拒绝服务)攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。拒绝服务攻击可以有各种分类方法,如果按照攻击方式来分可以分为:资源消耗、服务中止和物理破坏。资源消耗指攻击者试图消耗目标的合法资源,例如:网络带宽、内存和磁盘空间、CPU使用率等等。通常,网络层的拒绝服务攻击利用了网络协议的漏洞,或者抢占网络或者设备有限的处理能力,造成网络或者服务的瘫痪,而DDoS攻击又可以躲过目前常见的网络安全设备的防护,诸如防火墙、入侵监测系统等,这就使得对拒绝服务攻击的防治,成为了一个令管理员非常头痛的问题。

  传统的攻击都是通过对业务系统的渗透,非法获得信息来完成,而DDoS攻击则是一种可以造成大规模破坏的黑客武器,它通过制造伪造的流量,使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高,从而最终导致系统崩溃,无法提供正常的Internet服务。

  由于防护手段较少同时发起DDoS攻击也越来越容易,所以DDoS的威胁也在逐步增大,它们的攻击目标不仅仅局限在Web服务器或是网络边界设备等单一的目标,网络本身也渐渐成为DDoS攻击的牺牲品。许多网络基础设施,诸如汇聚层/核心层的路由器和交换机、运营商的域名服务系统(DNS)都不同程度的遭受到了DDoS攻击的侵害。2002年10月,一次大规模黑客攻击的前兆就是十三台根域名服务器中的八台遭受到“野蛮”的DDoS攻击,从而影响了整个Internet的通讯。

  随着各种业务对Internet依赖程度的日益加强,DDoS攻击所带来的损失也愈加严重。包括运营商、企业及政府机构的各种用户时刻都受到了DDoS攻击的威胁,而未来更加强大的攻击工具的出现,为日后发动数量更多、破坏力更强的DDoS攻击带来可能。

  正是由于DDoS攻击非常难于防御,以及其危害严重,所以如何有效的应对DDoS攻击就成为 Internent使用者所需面对的严峻挑战。网络设备或者传统的边界安全设备,诸如防火墙、入侵检测系统,作为整体安全策略中不可缺少的重要模块,都不能有效的提供针对DDoS攻击完善的防御能力。面对这类给Internet可用性带来极大损害的攻击,必须采用专门的机制,对攻击进行有效检测,进而遏制这类不断增长的、复杂的且极具欺骗性的攻击形式。

本文内容将包含如下部分:

.. DDoS威胁的发展趋势以及攻击案例介绍

.. 为什么传统安全设备无法防御DDoS攻击

.. 对DDoS攻击防护所必须考虑的一些因素

.. 绿盟科技的抗拒绝服务攻击整体解决方案

二 DDoS的威胁愈演愈烈

  DDoS攻击一般通过Internet上那些“僵尸”系统完成,由于大量个人电脑联入 Internet,且防护措施非常少,所以极易被黑客利用,通过植入某些代码,这些机器就成为DDoS攻击者的武器。当黑客发动大规模的DDoS时,只需要同时向这些将僵尸机发送某些命令,就可以由这些“僵尸”机器完成攻击。随着Botnet的发展,DDoS造成的攻击流量的规模可以非常惊人,会给应用系统或是网络本身带来非常大的负载消耗。

2.1 攻击影响

  成功的DDoS攻击所带来的损失是巨大的。DDoS攻击之下的门户网站性能急剧下降,无法正常处理用户的正常访问请求,造成客户访问失败;服务质量协议(SLA)也会受到破坏,带来高额的服务赔偿。同时,公司的信誉也会蒙受损失,而这种危害又常常是长期性的。利润下降、生产效率降低、IT开支增高以及相应问题诉诸法律而带来的费用增加等等,这些损失都是由于DDoS攻击造成的。

2.2 攻击分析

  那么DDoS攻击究竟如何工作呢?通常而言,网络数据包利用TCP/IP协议在Internet传输,这些数据包本身是无害的,但是如果数据包异常过多,就会造成网络设备或者服务器过载;或者数据包利用了某些协议的缺陷,人为的不完整或畸形,就会造成网络设备或服务器服务正常处理,迅速消耗了系统资源,造成服务拒绝,这就是DDoS攻击的工作原理。DDoS攻击之所以难于防护,其关键之处就在于非法流量和合法流量相互混杂,防护过程中无法有效的检测到DDoS攻击,比如利用基于特征库模式匹配的IDS系统,就很难从合法包中区分出非法包。加之许多DDoS 攻击都采用了伪造源地址IP的技术,从而成功的躲避了基于异常模式监控的工具的识别。

  一般而言,DDoS攻击主要分为以下两种类型:

  带宽型攻击——这类DDoS攻击通过发出海量数据包,造成设备负载过高,最终导致网络带宽或是设备资源耗尽。通常,被攻击的路由器、服务器和防火墙的处理资源都是有限的,攻击负载之下它们就无法处理正常的合法访问,导致服务拒绝。

  流量型攻击最通常的形式是flooding方式,这种攻击把大量看似合法的TCP、UDP、ICPM包发送至目标主机,甚至,有些攻击还利用源地址伪造技术来绕过检测系统的监控。

  应用型攻击——这类DDoS攻击利用了诸如TCP或是HTTP协议的某些特征,通过持续占用有限的资源,从而达到阻止目标设备无法处理处理正常访问请求的目的,比如HTTP Half Open攻击和HTTP Error攻击就是该类型的攻击。

2.3 发展趋势

  DDoS攻击有两个发展趋势:其一是黑客不断采用更加复杂的欺骗技术,用于躲避各类防护设备检测;其二是DDoS攻击更多地采用了合法协议构造攻击,比如利用某些游戏服务的验证协议等。这些技术的使用造成DDoS攻击更加隐蔽,也更具有破坏性。尤其是那些利用了合法应用协议和服务的DDoS攻击,非常难于识别和防护,而采用传统包过滤或限流量机制的防护设备只能更好的帮助攻击者完成DDoS攻击。

三 DDoS防护的必要性

  任何需要通过网络提供服务的业务系统,不论是处于经济原因还是其他方面,都应该对DDoS攻击防护的投资进行考虑。大型企业、政府组织以及服务提供商都需要保护其基础业务系统(包括Web、DNS、Mail、交换机、路由器或是防火墙)免受DDoS攻击的侵害,保证其业务系统运行的连续性。虽然DDoS防护需要增加运营成本,但是从投资回报率上进行分析,可以发现这部分的投资是值得的。

  企业/政府网络——对于企业或政府的网络系统,一般提供内部业务系统或网站的Internet出口,虽然不会涉及大量的Internet用户的访问,但是如果遭到DDoS攻击,仍然会带来巨大的损失。对于企业而言,DDoS攻击意味着业务系统不能正常对外提供服务,势必影响企业正常的生产;政府网络的出口如果遭到攻击,将会带来重大的政治影响,这些损失都是可以通过部署DDoS防护系统进行规避的。

  电子商务网站——电子商务网站经常是黑客实施DDoS攻击的对象,其在DDoS防护方面的投资非常有必要。如果一个电子商务网站遭受了DDoS攻击,则在系统无法提供正常服务的时间内,由此引起的交易量下降、广告损失、品牌损失、网站恢复的代价等等,都应该作为其经济损失计算在内,甚至目前有些黑客还利用DDoS攻击对网站进行敲诈勒索,这些都给网站的正常运营带来极大的影响,而DDoS防护措施就可以在很大程度上减小这些损失;另一方面,这些防护措施又避免了遭受攻击的网站购买额外的带宽或是设备,节省了大量重复投资,为客户带来了更好的投资回报率。

  电信运营商——对于运营商而言,保证其网络可用性是影响ROI的决定因素。如果运营商的基础网络遭受攻击,那么所有承载的业务都会瘫痪,这必然导致服务质量的下降甚至失效。同时,在目前竞争激烈的运营商市场,服务质量的下降意味着客户资源的流失,尤其是那些高ARPU值的大客户,会转投其他的运营商,这对于运营商而言是致命的打击。所以,有效的DDoS防护措施对于保证网络服务质量有着重要意义。

  另一方面,对运营商或是IDC而言,DDoS防护不仅仅可以避免业务损失,还能够作为一种增值服务提供给最终用户,这给运营商带来了新的利益增长点,也增强了其行业竞争能力。

四 当前防护手段的不足

  虽然目前网络安全产品的种类非常多,但是对于DDoS攻击却一筹莫展。常见的防火墙、入侵检测、路由器等,由于涉及之初就没有考虑相应的DDoS防护,所以无法针对复杂的DDoS攻击进行有效的检测和防护。而至于退让策略或是系统调优等方法只能应付小规模 DDoS攻击,对大规模DDoS攻击还是无法提供有效的防护。

4.1 手工防护

  一般而言手工方式防护DDoS主要通过两种形式:

  系统优化——主要通过优化被攻击系统的核心参数,提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDoS进行防护,当黑客提高攻击的流量时,这种防护方法就无计可施了。

  网络追查——遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商,这有可能是 ISP、IDC等,目的就是为了弄清楚攻击源头。但是如果DDoS攻击流量的地址是伪造的,那么寻找其攻击源头的过程往往涉及很多运营商以及司法机关。再者,即使已经确定了攻击源头,进而对其流量进行阻断,也会造成相应正常流量的丢失。加之目前Botnet以及新型DrDoS攻击的存在,所以通过网络追查来防护DDoS攻击的方法没有任何实际意义。

4.2 退让策略

  为了抵抗DDoS 攻击,客户可能会通过购买冗余硬件的方式来提高系统抗DDoS的能力。但是这种退让策略的效果并不好,一方面由于这种方式的性价比过低,另一方面,黑客提高攻击流量之后,这种方法往往失效,所以不能从根本意义上防护DDoS攻击。

4.3 路由器

  通过路由器,我们确实可以实施某些安全措施,比如ACL等,这些措施从某种程度上确实可以过滤掉非法流量。一般来说,ACL可以基于协议或源地址进行设置,但是目前众多的DDoS攻击采用的是常用的一些合法协议,比如http协议,这种情况下,路由器就无法对这样的流量进行过滤。同时,如果DDoS攻击如果采用地址欺骗的技术伪造数据包,那么路由器也无法对这种攻击进行有效防范。

  另一种基于路由器的防护策略是采用Unicast Reverse Path Forwarding (uRPF)在网络边界来阻断伪造源地址IP的攻击,但是对于今天的DDoS攻击而言,这种方法也不能奏效,其根本原因就在于uRPF的基本原理是路由器通过判断出口流量的源地址,如果不属于内部子网的则给予阻断。而攻击者完全可以伪造其所在子网的IP地址进行DDoS攻击,这样就完全可以绕过uRPF防护策略。除此之外,如果希望uRPF策略能够真正的发挥作用,还需要在每个潜在攻击源的前端路由器上配置uRPF,但是要实现这种情况,现实中几乎不可能做到。

4.4 防火墙

  防火墙几乎是最常用的安全产品,但是防火墙设计原理中并没有考虑针对DDoS攻击的防护,在某些情况下,防火墙甚至成为DDoS攻击的目标而导致整个网络的拒绝服务。

  首先是防火墙缺乏DDoS攻击检测的能力。通常,防火墙作为三层包转发设备部署在网络中,一方面在保护内部网络的同时,它也为内部需要提供外部Internet服务的设备提供了通路,如果DDoS攻击采用了这些服务器允许的合法协议对内部系统进行攻击,防火墙对此就无能为力,无法精确的从背景流量中区分出攻击流量。虽然有些防火墙内置了某些模块能够对攻击进行检测,但是这些

  检测机制一般都是基于特征规则,DDoS攻击者只要对攻击数据包稍加变化,防火墙就无法应对,对DDoS攻击的检测必须依赖于行为模式的算法。

  第二个原因就是传统防火墙计算能力的限制,传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。而DDoS攻击中的海量流量会造成防火墙性能急剧下降,不能有效地完成包转发的任务。

  防火墙的部署位置也影响了其防护DDoS攻击的能力。传统防火墙一般都是部署在网络入口位置,虽然某种意义上保护了网络内部的所有资源,但是其往往也成为DDoS攻击的目标,攻击者一旦发起DDoS攻击,往往造成网络性能的整体下降,导致用户正常请求被拒绝。

4.5 入侵检测

  目前IDS系统是最广泛的攻击检测工具,但是在面临DDoS攻击时,IDS系统往往不能满足要求。

  原因其一在于入侵检测系统虽然能够检测应用层的攻击,但是基本机制都是基于规则,需要对协议会话进行还原,但是目前DDoS攻击大部分都是采用基于合法数据包的攻击流量,所以IDS系统很难对这些攻击有效检测。虽然某些IDS系统本身也具备某些协议异常检测的能力,但这都需要安全专家手工配置才能真正生效,其实施成本和易用性极低。

  原因之二就在于IDS系统一般对攻击只进行检测,但是无法提供阻断的功能。IDS系统需要的是特定攻击流检测之后实时的阻断能力,这样才能真正意义上减缓DDoS对于网络服务的影响。

  IDS系统设计之初就是作为一种基于特征的应用层攻击检测设备。而DDoS攻击主要以三层或是四层的协议异常为其特点,这就注定了IDS技术不太可能作为DDoS的检测或是防护手段。

五 DDoS防护的基本要求

  DDoS防护一般包含两个方面:其一是针对不断发展的攻击形式,尤其是采用多种欺骗技术的技术,能够有效地进行检测;其二,也是最为重要的,就是如何降低对业务系统或者是网络的影响,从而保证业务系统的连续性和可用性。

完善的DDoS攻击防护应该从四个方面考虑:

.. 能够从背景流量中精确的区分攻击流量;

.. 降低攻击对服务的影响,而不仅仅是检测;

.. 能够支持在各类网络入口点进行部署,包括性能和体系架构等方面;

.. 系统具备很强的扩展性和良好的可靠性;

基于以上四点,抗拒绝服务攻击的设备应具有如下特性:

.. 通过集成的检测和阻断机制对DDoS攻击实时响应;

.. 采用基于行为模式的异常检测,从背景流量中识别攻击流量;

.. 提供针对海量DDoS攻击的防护能力;

.. 提供灵活的部署方式保护现有投资,避免单点故障或者增加额外投资;

.. 对攻击流量进行智能处理,保证最大程度的可靠性和最低限度的投资;

.. 降低对网络设备的依赖及对设备配置的修改;

.. 尽量采用标准协议进行通讯,保证最大程度的互操作性和可靠性;

六 绿盟科技抗拒绝服务系统

  针对目前流行的DDoS攻击,包括未知的攻击形式,绿盟科技提供了自主研发的抗拒绝服务产品——黑洞(Collapsar)。通过及时发现背景流量中各种类型的攻击流量,黑洞可以迅速对攻击流量进行过滤或旁路,保证正常流量的通过。产品可以在多种网络环境下轻松部署,不仅能够避免单点故障的发生,同时也能保证网络的整体性能和可靠性。

6.1 产品功能

6.1.1 攻击检测和防护

  “黑洞”系列抗拒绝服务产品应用了自主研发的抗拒绝服务攻击算法,对SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽这些常见的攻击行为能够有效识别,并通过集成的机制实时对这些攻击流量进行阻断。

6.1.2 海量DDoS防护

  绿盟科技抗拒绝服务系统采用专用硬件架构,同时结合业界独创的攻击检测算法,所以能够针对海量DDoS 进行防护。由于系统支持旁路部署方式,可对DDoS攻击流量进行牵引,同时通过部署若干台黑洞设备形成集群,更加增强了系统抵御巨大规模的DDoS攻击的能力,保证了正常流量的顺畅通过。

6.1.3 强大的部署能力

  由于客户类型不同,所以抗拒绝服务所面临的网络环境也非常复杂,企业网、IDC、ICP或是城域网等多种网络协议并存,给抗拒绝服务系统的部署带来了不同的挑战。绿盟科技的抗拒绝服务系统具备了多种环境下的部署能力,支持多种网络协议,诸如OSPF、 RIP、BGPv4、VRRP、VLAN等,加之其基于应用的负载均衡能力,帮助整个产品成为多种客户环境下抗拒绝服务攻击的首选。

6.1.4 丰富的管理功能

  绿盟科技抗拒绝服务系统具备强大的设备管理能力,提供基于Web和串口的管理方式,支持本地或远程的升级。同时,其丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。

6.2 核心原理

  绿盟抗拒绝服务产品基于嵌入式系统设计,在系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避免了TCP/UDP/IP等高层系统网络堆栈的处理,使整个运算代价大大降低,并结合特有硬件加速运算,因此系统效率极高。该方案的核心技术架构如图1所示。


图表 1 绿盟科技抗拒绝服务系统核心架构

  攻击识别——绿盟Anti-DoS技术利用了多种技术手段对DDoS攻击是否发生进行有效的识别,除了采用先进的流量梯度算法对是否发生攻击进行判断外,还通过衡量承受能力的参照物的方式提高攻击发生判断的准确度。

  协议分析——针对不同协议的数据包,绿盟Anti-DoS技术采用了不同的处理方法,比如TCP协议就采用了反向探测算法、指纹识别算法;而UDP或ICMP协议往往采用指纹识别算法进行攻击分析。

  主机识别——如果DoS攻击受保护网段中的一台主机的某些端口,那么绿盟Anti-DoS技术将会保证同网段内其他主机或受攻击主机的其他端口的正常访问不会受到DoS攻击;

  概率统计——绿盟Anti-DoS技术通过流量梯度算法对攻击进行判断,如果发现攻击,则进一步对数据包的特征进行统计,其内容包括目标IP地址、端口、包长、包内特征字以及校验和等。

  反向探测——针对TCP协议,绿盟Anti-DoS技术将会对数据包源地址和端口的正确性进行验证,同时还对流量在统计和分析的基础上提供针对性的反向探测。

  指纹识别——作为一种通用算法,指纹识别和协议无关,绿盟Anti-DoS技术通过采样自学习模式,取数据包的某些固定位置进行比较,进而对背景流量和攻击流量进行有效的区分。

6.3 组件产品

绿盟抗拒绝服务方案由两类组件产品构成:

.. NSFocus Collapsar Defender (COLLAPSAR-D)

.. NSFocus Collapsar Probe (COLLAPSAR-P)

  COLLPSAR DEFENDER——作为黑洞产品系列中的关键设备,Collapsar Defender提供了对DDoS攻击流量的防护能力,通过部署Collaspar-D设备,可以对网络中的DDoS攻击流量进行清除,同时保证正常流量的通过。

  Collaspar-D设备可以通过串行、旁路两种方式部署在网络中,同时多台Collaspar-D设备可以形成集群,提高整个系统抵御海量DDoS攻击的能力。

  Collapsar-D设备按照硬件平台的不同,可以划分为Collapsar-200D、 Collapsar-600D、Collapsar-1600D和Collapsar-2000D四个产品系列,同时在每种产品系列中还根据被保护系统的数量分为5IP,50IP和无限IP三种类型。

  Collapsar-200D/600D/1600D这三种产品型号都是基于X86体系架构,Collapsar-2000D基于全新的NP架构,虽然体系架构不同,但相应产品在功能上保持一致,主要区别体现在性能方面。

  Collapsar Probe——黑洞产品系列中还有一类设备,称之为Collapsar Probe,该设备主要应用于黑洞旁路部署方式下,需要和Collapsar-D设备配合工作。Collapsar-P设备可以通过网络设备支持的流量采集协议(如netflow协议)对网络中的DDoS攻击流量进行监控和告警,在发现DDoS攻击流量后, Collapsar-P设备可实时通知Collapsar-D设备,将相关可疑流量分流至Collapsar-D设备进行清除。

6.4 部署方式

  无论中小企业,还是数据中心,或是运营商网络,绿盟科技都提供不同环境下的抗拒绝服务攻击系统。

1. 串行部署方式

  针对少量服务器或出口带宽较小的网络,绿盟科技抗拒绝服务产品提供串行部署方式,通过Collapsar-D设备“串联”在网络入口端,对DDoS攻击进行检测、分析和阻断。,部署拓扑图如下所示:


图表 2 “黑洞”产品的串行部署方式

2. 旁路部署方式

  针对IDC、ICP或关键业务系统,绿盟科技抗拒绝服务产品提供了旁路部署的方式。通常,Collapsar-P设备部署在网络任意位置,Collapsar-D设备“旁路”部署在网络入口下端。Collapsar-P设备主要对网络入口的流量提供监控功能,及时检测DDoS攻击的类型和来源。当发现DDoS攻击发生时,Collapsar-P设备会及时通知Collapsar-D设备,随后由Collapsar-D设备启动流量牵引机制,从路由器或交换机处分流可疑流量至Collapsar-D设备,在完成DDoS攻击的过滤后,Collapsar-D再将“干净”的流量注入网络中。


图表 3 “黑洞”产品的旁路部署方式

3. 集群部署方式

  针对大型IDC、城域网或骨干网,当发生海量DDoS攻击时,绿盟科技抗拒绝服务产品还能够提供集群部署的方式。集群部署方式分为串联集群部署和旁路集群部署两种形式。分别如图四和图五所示:

  在串联集群部署方式中,作为Master角色的Collapsar-D和其他若干台作为Slave角色的Collapsar-D设备“并联”在网络入口端。在攻击流量较小时,作为Master的Collapsar-D设备完成对DDoS攻击流量的异常检测和攻击清除的工作;当攻击流量增大时,Master角色设备会及时启动流量牵引机制,分流攻击流量至Slave角色设备,以均衡系统负载,保证整个网络的正常运行。


图表 4 串联集群部署方式

  在旁路集群部署中,若干台Collapsar-D设备并联在网络中,在某台Collapsar-D设备接收到Collapsar-P设备的攻击告警后,会启动流量牵引机制,将可疑流量均衡分配到若干台Collapsar-D上进行流量过滤。


图表 5 旁路集群部署方式

七 结论

  随着DDoS攻击工具不断的普遍和强大,Internet上的安全隐患越来越多,以及客户业务系统对网络依赖程度的增高,可以预见的是DDoS攻击事件数量会持续增长,而攻击规模也会更大,损失严重程度也会更高。由于这些攻击带来的损失增长,运营商、企业或是政府必须有所对策以保护其投资、利润和服务。

  为了弥补目前安全设备(防火墙、入侵检测等)对DDoS攻击防护能力的不足,我们需要一种新的工具用于保护业务系统不受DDoS攻击的影响。这种工具不仅仅能够检测目前复杂的DDoS攻击,而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见的安全产品,必须具备更细粒度的攻击检测和分析机制。

  绿盟科技的“黑洞”抗拒绝服务攻击产品提供了业界领先的DDoS防护能力,通过多种机制的分析检测机制以及灵活的部署方式,绿盟的产品和技术能够有效的阻断攻击,保证合法流量的正常传输,这对于保障业务系统的运行连续性和完整性有着极为重要的意义。

Tags: , , ,
阅读(879) | 评论(0) | 引用(0)
9月10

BlackICE(黑冰)防火墙蓝屏解决方法

08:51adminFireWall  

    ISS出品的BlackICE是俺近几年来一直比较信赖的服务器防火墙。为了服务器安全,俺管理的所有服务器都无一例外的装上了卡巴斯基(KasperSky)反病毒服务器版和BlackICE的服务器版。这款软防火墙可以有效的阻止企图穿过防火墙的入侵者。

    BlackICE集成有非常强大的检测和分析引擎,可以识别 200 多种入侵技巧,有全面的网络检测以及系统防护,还能即时监测网络端口和协议,拦截所有可疑的网络入侵。而且它还可以将查明那些试图入侵的黑客的 NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址记录下来,以便你采取进一步行动。简单滴说就是可以通过以下多种组合方式去保护服务器 和进行服务授权:按照应用程序、按照网络协议、按照IP或IP段、按照机器名……对非法协议请求和IP可以进行一小时、一天、一月,乃至永久的封闭。功能 之强大确实是一言难尽,但设置应用之难也甚于其它防火墙。

    近期单位新购置了几台DELL的机架式服务器,俺和魔铃在安装设置系统的时 候都遇到了安装完BlackICE后系统就立马蓝屏重启的困惑,开始以为是软件冲突,但卸载了所有其它软件后已然如故。三番五次卸载重装还是无法解决问 题。(这软件卸载做的比较那个,用控制面板里的添加删除程序功能是无法卸载的,得在进程中中断了该程序后,用它的目录下那个BIRemove.exe去卸 载)。后来俺上网查了很多资料,总算找到了解决知道,这里做个记录,一则以后再用到的时候回来查,再则给遇到同样困扰的朋友提供个方便。

    这种现在在以前没有发生过的原因和Windows Server 2003的SP1补丁和WinXP SP2补丁有关,因为补丁新增了一个名为DEP(数据执行保护)的安全保护功能。如果你用上了64位CPU,那么,这个保护功能将更加强大,因为64处理 器中采用了一种全新的防毒技术--EVP(增强型病毒防护),配合DEP技术,能将病毒的防治机制提升到一个新的高度。

    不过EVP和DEP也存在兼容问题,它可能将对用户有用的程序也阻止掉,对普通用户而言,首先要解决这个问题。
有的朋友建议先不打补丁,装好黑冰后再打补丁,其实这种方法也不好,一则黑冰升级后可能会又导致这个问题,再则现在俺们装的系统往往已经是集成了补丁的,所以还得从根子上想办法去解决。俺查到的2个方法如下:(经过验证,顺利可行)

1.在系统属性中修改

    默认下,在“系统属性”下的“高级→设置→数据执行保护”中选择的是“仅为基本Windows程序和服务启用DEP”。在这种状态下,有的程序不能正常运行,如Virtual PC。

    如果出现了有些应用程序不能正常运行,可在“数据执行保护”项中选择“为除下列选定程序之外的所有程序和服务启用DEP”,再单击“添加”,定位到某应用程序的安装目录,找到该程序的可执行文件,将其添加进来。一般地,这个程序就能正常运行了。重启电脑后设置生效。

2.直接修改Boot.ini文件

    在系统所在分区根目录下找到Boot.ini文件。注意看,它多出了一个“NoExecute”参数,而前面在系统属性中对DEP的修改也会反映在这个参数上。

    在“数据执行保护”项中只有两个选项,反映在Boot.ini文件中就是“NoExecute”参数的“Optin”和“Opton”两个值。可是,有 些应用程序或驱动程序的兼容性不强,纵使在“数据执行保护”中将其“放行”,它还是不能正常运行,比如ZoneAlarm Pro等,这就要靠“NoExecute”参数的其他两个值了。

    把这句最后改为NoExecute=AlwaysOff,这相当于关闭了 EVP和DEP功能,此时,这两项功能将全部丧失。由这项功能引起的兼容性问题全部解决了,但少了一堵安全保护的墙。不过俺们终于能用到BlackICE 的强大保护功能,算是有得有失吧,但毕竟得大于失。

Tags: , ,
阅读(568) | 评论(0) | 引用(0)
9月6

防火墙知识普及

17:26adminFireWall  

1、什么是防火墙?

  防火墙是一个或一组系统,它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。如果你不太清楚你需要允许或否决那类访问,你可以让其他人或某些产品根据他(它)们认为应当做的事来配置防火墙,然后他(它)们会为你的机构全面地制定访问策略。

2、为何需要防火墙?

  同其它任何社会一样,Internet也受到某些无聊之人的困扰,这些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。一些人试图通过Internet完成一些真正的工作,而另一些人则拥有敏感或专有数据需要保护。一般来说,防火墙的目是将那些无聊之人挡在你的网络之外,同时使你仍可以完成工作。

  许多传统风格的企业和数据中心都制定了计算安全策略和必须遵守的惯例。在一家公司的安全策略规定数据必须被保护的情况下,防火墙更显得十分重要,因为它是这家企业安全策略的具体体现。如果你的公司是一家大企业,连接到Internet上的最难做的工作经常不是费用或所需做的工作,而是让管理层信服上网是安全的。防火墙不仅提供了真正的安全性,而且还起到了为管理层盖上一条安全的毯子的重要作用。

  最后,防火墙可以发挥你的企业驻Internet“大使”的作用。许多企业利用其防火墙系统作为保存有关企业产品和服务的公开信息、下载文件、错误修补以及其它一些文件的场所。这些系统当中的几种系统已经成为Internet服务结构(如UUnet.uu.net、whitehouse.gov、 gatekeeper.dec.com)的重要组成部分,并且给这些机构的赞助者带来了良好的影响。

3、防火墙可以防范什么?
  
  一些防火墙只允许电子邮件通过,因而保护了网络免受除对电子邮件服务攻击之外的任何攻击。另一些防火墙提供不太严格的保护措施,并且拦阻一些众所周知存在问题的服务。

  一般来说,防火墙在配置上是防止来自“外部”世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。

  防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”,在“拦阻点”上设置安全和审计检查。与计算机系统正受到某些人利用调制解调器拨入攻击的情况不同,防火墙可以发挥一种有效的“电话监听”(Phone tap)和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能;它们经常可以向管理员提供一些情况概要,提供有关通过防火墙的传流输的类型和数量以及有多少次试图闯入防火墙的企图等等信息。

4、防火墙不能防范什么?

  防火墙不能防范不经过防火墙的攻击。许多接入到Internet的企业对通过接入路线造成公司专用数据数据泄露非常担心。不幸得是,对于这些担心来说,一盘磁带可以被很有效地用来泄露数据。许多机构的管理层对Internet接入非常恐惧,它们对应当如何保护通过调制解调器拨号访问没有连惯的政策。当你住在一所木屋中,却安装了一扇六英尺厚的钢门,会被认为很愚蠢。然而,有许多机构购买了价格昂贵的防火墙,但却忽视了通往其网络中的其它几扇后门。要使防火墙发挥作用,防火墙就必须成为整个机构安全架构中不可分割的一部分。防火墙的策略必须现实,能够反映出整个网络安全的水平。例如,一个保存着超级机密或保密数据的站点根本不需要防火墙:首先,它根本不应当被接入到Internet上,或者保存着真正秘密数据的系统应当与这家企业的其余网络隔离开。

  防火墙不能真正保护你防止的另一种危险是你网络内部的叛变者或白痴。尽管一个工业间谍可以通过防火墙传送信息,但他更有可能利用电话、传真机或软盘来传送信息。软盘远比防火墙更有可能成为泄露你机构秘密的媒介!防火墙同样不能保护你避免愚蠢行为的发生。通过电话泄露敏感信息的用户是社会工程(social engineering)的好目标;如果攻击者能找到内部的一个“对他有帮助”的雇员,通过欺骗他进入调制解调器池,攻击者可能会完全绕过防火墙打入你的网络。

5、防火墙能否防止病毒的攻击?

  防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了,并且有太多的不同的结构和病毒,因此不可能查找所有的病毒。换句话说,防火墙不可能将安全意识(security-consciosness)交给用户一方。总之,防火墙不能防止数据驱动的攻击:即通过将某种东西邮寄或拷贝到内部主机中,然后它再在内部主机中运行的攻击。过去曾发生过对不同版本的邮件寄送程序和幻像脚本(ghostscript)和免费 PostScript阅读器的这类攻击。

  对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外,而是保证每个脆弱的桌面系统都安装上病毒扫描软件,只要一引导计算机就对病毒进行扫描。利用病毒扫描软件防护你的网络将可以防止通过软盘、调制解调器和Internet传播的病毒的攻击。试图御病毒于防火墙之外只能防止来自Internet的病毒,而绝大多数病毒是通过软盘传染上的。

  尽管如此,还是有越来越多的防火墙厂商正提供“病毒探测”防火墙。这类防火墙只对那种交换Windows-on-Intel执行程序和恶意宏应用文档的毫无经验的用户有用。不要指望这种特性能够对攻击起到任何防范作用。

6、在防火墙设计中需要做哪些基本设计决策?

  在负责防火墙的设计、制定工程计划以及实施或监督安装的幸运儿面前,有许多基本设计问题等着他去解决。

  首先,最重要的问题是,它应体现你的公司或机构打算如何运行这个系统的策略:安装后的防火墙是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务,或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问("queuing" access)提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂;防火墙的最终功能可能将是行政上的结果,而非工程上的决策。

  第二个问题是:你需要何种程度的监视、冗余度以及控制水平?通过解决第一个问题,确定了可接受的风险水平(例如你的偏执到何种程度)后,你可以列出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清单。换句话说,你开始时先列出你的总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作的清单中。

  第三个问题是财务上的问题。在此,我们只能以模糊的表达方式论述这个问题,但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的。像在Cisco或类似的路由器上做一些奇妙的配置这类免费选择不会花你一分钱,只需要工作人员的时间和几杯咖啡。从头建立一个高端防火墙可能需要几个人工月,它可能等于价值3万美元的工作人员工资和利润。系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是使建立的防火墙不需要费用高昂的不断干预。换句话说,在评估防火墙时,重要的是不仅要以防火墙目前的费用来评估它,而且要考虑到像支持服务这类后续费用。

  出于实用目的,我们目前谈论的是网络服务提供商提供的路由器与你内部网络之间存在的静态传输流路由服务,因此基于为一事实,在技术上,还需要做出几项决策。传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过代理网关和服务在应用层实现。

  需要做出的决定是,是否将暴露的简易机放置在外部网络上为telnet、ftp、news等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机的通信。这两种方式都存在着优缺点,代理机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及可能提供的服务水平的降低(由于代理机需要针对每种需要的服务进行开发)。由来以久的易使性与安全性之间的平衡问题再次死死地困扰着我们。

7、防火墙的基本类型是什么?

在概念上,有两种类型的防火墙:

1、网络级防火墙
2、应用级防火墙

  这两种类型的差异并不像你想像得那样大,最新的技术模糊了两者之间的区别,使哪个“更好”或“更坏”不再那么明显。同以往一样,你需要谨慎选择满足你需要的防火墙类型。

  网络级防火墙一般根据源、目的地址做出决策,输入单个的IP包。一台简单的路由器是“传统的”网络级防火墙,因为它不能做出复杂的决策,不能判断出一个包的实际含意或包的实际出处。现代网络级防火墙已变得越来越复杂,可以保持流经它的接入状态、一些数据流的内容等等有关信息。许多网络级防火墙之间的一个重要差别是防火墙可以使传输流直接通过,因此要使用这样的防火墙通常需要分配有效的IP地址块。网络级防火墙一般速度都很快,对用户很透明。

  网络级防火墙的例子:在这个例子中,给出了一种称为“屏蔽主机防火墙”(screened host
firewall)的网络级防火墙。在屏蔽主机防火墙中,对单个主机的访问或从单个主机进行访问是通过运行在网络级上的路由器来控制的。这台单个主机是一台桥头堡主机(bastion host),是一个可以(希望如此)抵御攻击的高度设防和保险的要塞。

  网络级防火墙的例子:在这个例子中,给出了一种所谓“屏蔽子网防火墙”的网络级防火墙。在屏蔽子网防火墙中,对网络的访问或从这个网络中进行访问是通过运行在网络级上的路由器来控制的。除了它实际上是由屏蔽主机组成的网络外,它与被屏蔽主机的作用相似。

  应用级防火墙一般是运行代理服务器的主机,它不允许传输流在网络之间直接传输,并对通过它的传输流进行记录和审计。由于代理应用程序是运行在防火墙上的软件部件,因此它处于实施记录和访问控制的理想位置。应用级防火墙可以被用作网络地址翻译器,因为传输流通过有效地屏蔽掉起始接入原址的应用程序后,从一“面”进来,从另一面出去。在某些情况下,设置了应用级防火墙后,可能会对性能造成影响,会使防火墙不太透明。早期的应用级防火墙,如那些利用TIS防火墙工具包构造的防火墙,对于最终用户不很透明,并需要对用户进行培训。应用级防火墙一般会提供更详尽的审计报告,比网络级防火墙实施更保守的安全模型。

  应用级防火墙举例:这此例中,给出了一个所谓“双向本地网关”(dual homed gateway)的应用级防火墙。双向本地网关是一种运行代理软件的高度安全主机。它有两个网络接口,每个网络上有一个接口,拦阻通过它的所有传输流。

  防火墙未来的位置应当处于网络级防火墙与应用级防火墙之间的某一位置。网络级防火墙可能对流经它们的信息越来越“了解”(aware),而应用级防火墙可能将变得更加“低级”和透明。最终的结果将是能够对通过的数据流记录和审计的快速包屏蔽系统。越来越多的防火墙(网络和应用层)中都包含了加密机制,使它们可以在Internet上保护流经它们之间的传输流。具有端到端加密功能的防火墙可以被使用多点Internet接入的机构所用,这些机构可以将 Internet作为“专用骨干网”,无需担心自己的数据或口令被偷看。

8、什么是“单故障点”?应当如何避免出现这种故障?

  安全性取决于一种机制的结构具有单故障点。运行桥头堡主机的软件存在错误。应用程序存在错误。控制路由器的软件存在错误。使用所有这些组件建造设计安全的网络,并以冗余的方式使用它们才有意义。

  如果你的防火墙结构是屏蔽子网,那么,你有两台包过滤路由器和一台桥头堡主机。(参见本节的问题2)Internet访问路由器不允许传输流从 Internet进入你的专用网络。然而,如果你不在桥头堡主机以及(或)阻塞(choke)路由器上与其它任何机制一道执行这个规则(rule)的话,那么只要这种结构中的一个组件出现故障或遭到破坏就会使攻击者进入防火墙内部。另一方面,如果你在桥头堡主机上具有冗余规则,并在阻塞路由器上也有冗余规则,那么攻击者必须对付三种机制。

  此外,如果这台桥头堡主机或阻塞路由器使用规则来拦阻外部访问进入内部网络的话,你可能需要让它触发某种报警,因为你知道有人进入了你的访问路由器。

9、如何才能将所有的恶意的传输拦在外面?

  对于重点在于安全而非连接性的防火墙来说,你应当考虑缺省拦阻所有的传输,并且只特别地根据具体情况允许你所需要的服务通过。

  如果你将除特定的服务集之外的所有东西都挡在外面,那么你已经使你的任务变得很容易了。你无需再为周围的每样产品和每件服务的各种安全问题担心了,你只需关注特定产品和服务存在的各种安全问题。:-)

  在启动一项服务之前,你应当考虑下列问题:

*这个产品的协议是人们熟知的公开协议吗?
*为这个协议提供服务的应用程序的应用情况是否可供公开检查?
*这项服务和产品是否为人们熟知?
*使用这项服务会怎样改变防火墙的结构?攻击者会从不同的角度看待这些吗?攻击者能利用这点进入我的内部网络,或者会改变我的DMZ中主机上的东西吗?

  在考虑上述问题时,请记住下列忠告:

*“不为人所知的安全性根本不安全。许多未公开的协议都被那些坏家伙研究并破解过。
*无论营销人员说些什么,不是所有的协议或服务在设计时考虑了安全性。事实上,真正在设计时考虑了安全性的协议或服务数量很少。
*甚至在考虑过安全性的情况下,并不是所有的机构都拥有合格的负责安全的人员。在那些没有称职负责安全的人员的机构中,不是所有的机构都愿意请称职的顾问参与工程项目。这样做的结果是那些其它方面还称职的、好心肠的开发者会设计出不安全的系统。
*厂商越不愿意告诉你他们系统的真正工作原理,它就越有可能可存安全性(或其它)问题。只有有什么东西需要隐瞒的厂商才有理由隐瞒他们的设计和实施情况。

10、有哪些常见的攻击?应当如何保护系统不受它们的攻击呢?

  每个站点与其它站点遭受攻击的类型都略有不同。但仍有一些共同之处。

SMTP会话攻击(SMTP Session Hijacking)

  在这种攻击中,垃圾邮件制造者将一条消息复制成千上万份,并按一个巨大的电子邮件地址清单发送这条消息。由于这些地址清单常常很糟糕,并且为了加快垃圾制造者的操作速度,许多垃圾制造者采取了将他们所有的邮件都发送到一台SMTP服务器上作法,由这台服务器负责实际发送这些邮件。

  当然,弹回(bounces)消息、对垃圾制造者的抱怨、咒骂的邮件和坏的PR都涌入了曾被用作中继站的站点。这将着实要让这个站点破费一下了,其中大部分花费被用到支付以后清除这些信息的人员费用上。

  《防止邮件滥用系统传输安全性建议》(The Mail Abuse Prevention System Transport Security Initiative)中对这个问题作了详尽的叙述,以及如何对每个寄信人进行配置防止这种攻击。

利用应用程序中的错误(bugs)
  
  不同版本的web服务器、邮件服务器和其它Internet服务软件都存在各种错误,因此,远程(Internet)用户可以利用错误做从造成对计算机的控制到引起应用程序瘫痪等各种后果。

  只运行必要的服务、用最新的补丁程序修补程序以及使用应用过一段时间的产品可以减少遭遇这种风险的可能。

利用操作系统中的错误

  这类攻击一般也是由远程用户发起的。相对于IP网络较新的操作系统更易出现问题,而很成熟的操作系统有充分的时间来发现和清除存在的错误。攻击者经常可以使被攻击的设备不断重新引导、瘫痪、失去与网络通信的能力,或替换计算机上的文件。

  因此,尽可能少地运行操作系统服务可以有助于防范对系统的攻击。此外,在操作系统前端安装一个包过滤器也可以大大减少受这类攻击的次数。

  当然,选择一个稳定的操作系统也同样会有帮助。在选择操作系统时,不要轻信“好货不便宜”这类说法。自由软件操作系统常常比商用操作系统更强健。

11、我必须满足用户要求的各种要求吗?

  对这个问题的答案完全有可能是“不”。对于需要什么,不需要什么,每个站点都有自己的策略,但是,重要的是记住作为一家机构的看门人的主要工作之一是教育。用户需要流视频、实时聊天,并要求能够向请求在内部网络上的活数据库进行交互查询的外部客户提供服务。

  这意味着完成任何这类事情都会给机构造成风险,而造成的风险往往比想像中沿着这条路走下去的“价值”的回报更高。多数用户不愿使自己的机构遭受风险。他们只看一看商标,阅读一下广告,他们也愿意做上述那些事。重要的是了解用户真正想干些什么,帮助他们懂得他们可以以更安全的方式实现他们的真正目的。

  你不会总受到欢迎,你可以甚至会发现自己收到了难以置信愚蠢的命令,让你做一些诸如“打开所有的口子”这样的事,但不要为此担心。在这种时刻,明智的做法是将你的交换数据全都保存起来,这样当一个十二岁的小孩闯入网络时,你至少能够使你自己远离混乱局面。

12、如何才能通过自己的防火墙运行Web/HTTP?

  有三种办法做到这点:

1、如果你使用屏蔽路由器的话,允许“建立起的”连接经过路由器接入到防火墙外。

2、使用支持SOCKS的Web客户机,并在你的桥头堡主机上运行SOCKS。

3、运行桥头堡主机上的某种具有代理功能的Web服务器。一些可供选择的代理服务器包括Squid、Apache、Netscape Proxy和TIS防火墙工具包中的http-gw。这些选件中的多数还可以代理其它协议(如gopher和ftp),并可缓存捕获的对象。后者一般会提高用户的性能,使你能更有效地使用到Internet的连接。基本上所有的Web客户机(Mozilla、Internet Explorer、Lynx等等)都具有内置的对代理服务器的支持。

13、在使用防火墙时,怎样使用DNS呢?

  一些机构想隐藏DNS名,不让外界知道。许多专家认为隐藏DNS名没有什么价值,但是,如果站点或企业的政策强制要求隐藏域名,它也不失为一种已知可行的办法。你可能必须隐藏域名的另一条理由是你的内部网络上是否有非标准的寻址方案。不要自欺欺人的认为,如果隐藏了你的DNS名,在攻击者打入你的防火墙时,会给攻击者增加困难。有关你的网络的信息可以很容易地从网络层获得。假如你有兴趣证实这点的话,不妨在LAN上“ping”一下子网广播地址,然后再执行“arp -a”。还需要说明的是,隐藏DNS中的域名不能解决从邮件头、新闻文章等中“泄露”主机名的问题。

  这种方法是许多方法中的一个,它对于希望向Internet隐瞒自己的主机名的机构很有用。这种办法的成功取决于这样一个事实:即一台机器上的DNS 客户机不必与在同一台机器上的DNS服务器对话。换句话说,正是由于在一台机器上有一个DNS服务器,因此,将这部机器的DNS客户机活动重定向到另一台机器上的DNS服务器没有任何不妥(并且经常有好处)。

  首先,你在可以与外部世界通信的桥头堡主机上建立DNS服务器。你建立这台服务器使它宣布对你的域名具有访问的权力。事实上,这台服务器所了解的就是你想让外部世界所了解的:你网关的名称和地址、你的通配符MX记录等等。这台服务器就是“公共”服务器。

  然后,在内部机器上建立一台DNS服务器。这台服务器也宣布对你的域名具有权力;与公共服务器不同,这台服务器“讲的是真话”。它是你的“正常”的命名服务器,你可以在这台服务器中放入你所有的“正常”DNS名。你再设置这台服务器,使它可以将它不能解决的查询转发到公共服务器(例如,使用Unix机上的/etc/
named.boot中的“转发器”行(forwarder line))。

  最后,设置你所有的DNS客户机(例如,Unix机上的/etc/resolv.conf文件)使用内部服务器,这些DNS客户机包括公共服务器所在机器上的DNS客户机。这是关键。

  询问有关一台内部主机信息的内部客户机向内部服务器提出问题,并得到回答;询问有关一部外部主机信息的内部客户机向内部服务器查询,内部客户机再向公共服务器进行查询,公共服务器再向Internet查询,然后将得到的答案再一步一步传回来。公共服务器上的客户机也以相同的方式工作。但是,一台询问关于一台内部主机信息的外部客户机,只能从公共服务器上得到“限制性”的答案。

  这种方式假定在这两台服务器之间有一个包过滤防火墙,这个防火墙允许服务器相互传递DNS,但除此之外,限制其它主机之间的DNS。

  这种方式中的另一项有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR记录。这将引起对任何非公共主机的“地址到名称 ”(address-to-name)的查找返回像“unknown.YOUR.DOMAIN”这样的信息,而非返回一个错误。这就满足了像 ftp.uu.net匿名FTP站点的要求。这类站点要求得到与它们通信的计算机的名字。当与进行DNS交叉检查的站点通信时,这种方法就不灵了。在交叉检查中,主机名要与它的地址匹配,地址也要与主机名匹配。

14、怎样才能穿过防火墙使用FTP?

  一般来说,可以通过使用像防火墙工具包中的ftp-gw这类代理服务器,或在有限的端口范围允许接入连接到网络上(利用如“建立的”屏蔽规则这样的规则来限制除上述端口外的接入),使FTP可以穿过防火墙工作。然后,修改FTP客户机,使其将数据端口连接在允许端口范围内的一个端口上。这样做需要能够修改在内部主机上的
FTP客户机应用。
在某些情况下,如果FTP的下载是你所希望支持的,你不妨考虑宣布FTP为“死协议”(dead protocol),并且让户通过Web下载文件。如果你选择FTP-via-Web方式,用户将不能使用FTP向外传输文件,这可能会造成问题,不过这取决你试图完成什么。

  另一个不同的办法是使用FTP "PASV"选项来指示远程FTP服务器允许客户机开始连接。PASV方式假设远程系统上的FTP服务器支持这种操作。(详细说明请参看RFC1579)

  另一些站点偏爱建立根据SOCKS库链接的FTP程序的客户机版本。

15、怎样才能穿过防火墙使用telnet?
  
  利用像防火墙工具包中的tn-gw这类应用代理,或简单地配置一台路由器使它利用像“建立的”屏蔽规则等策略允许接出,一般都可以支持使用 telnet。应用代理可以以运行在桥头堡主机上的独立代理的形式,或以SOCKS服务器和修改的客户机的形式存在。

16、怎样才能穿过防火墙使用RealAudio?

  RealNetworks中含有关于如何使穿过防火墙RealAudio的一些说明。在没有清楚地了解做哪些改动,了解新的改动将带来什么样的风险的情况下,就改动你的防火墙,是很不明智的。

17、如何才能使web服务器作为专用网络上的一个数据库的前端呢?

  实现这点的最佳途径是通过特定的协议在web服务器与数据库服务器之间允许很有限的连接。特定的协议只支持你将使用的功能的级别。允许原始SQL或其它任何可为攻击者利用来进行定制提取(extractions)的东西,一般来说不是一个好主意。

  假设攻击者能够进入你的web服务器,并以web服务器同样的方式进行查询。难道没有一种机制能提取web服务器不需要的像信用卡信息这样的敏感信息吗?攻击者难道不能发出一次SQL选择,然后提取你整个的专用数据库吗?

  同其它所有应用一样,“电子商务”应用从一开始设计时就充分考虑到了安全问题,而不是以后再想起来“增加”安全性。应当从一个攻击者的角度,严格审查你的结构。假设攻击者了解你的结构的每一个细节。现在,再问问自己,想要窃取你的数据、进行非授权的改动或做其它任何你不想让做的事的话,应当做些什么。你可能会发现,不需要增加任何功能,只需做出一些设计和实施上的决策就可大大地增加安全性。

  下面是一些如何做到这点的想法:

  以一般的原则,从数据库中提取你所需要的数据,使你不用对包含攻击者感兴趣的信息的整个数据库进行查询。对你允许在web服务器与数据库之间传输流实行严格的限制和审计。
 

 

Tags: ,
阅读(422) | 评论(0) | 引用(0)
分页: 2/2 第一页 上页 1 2 最后页 [ 显示模式: 摘要 | 列表 ]