毕业论文(设计)公司网络安全.doc
二一一届学生毕业论文(设计) 存档编号: 毕业论文(设计)论文题目 企业网络安全英 文 network security for SMEs显示对应的拉丁字符的拼音字典 - 查看字典详细内容学 院 数学与计算机科学学院 专 业 计算机网络与技术系 姓 名 学 号 指导教师 年 月 日企业网络安全梅启浩(江汉大学数计学院计算机科学系 学号:016507202589)【摘要】企业网络安全是一个企业的命脉,只有创造优秀的网络安全环境才能有利于企业的发展,企业网络安全隐患来源于计算机各个系统单元,同样分为内外两个因素,只有抓住网络安全隐患的核心,才能清楚,明确的创造安全的网络环境。论文通过检测软件的安装,操作系统的设置,防火墙的建立,数据加密等一系列具体的措施来防止企业网络安全隐患。显示对应的拉丁字符的拼音字典 - 查看字典详细内容【关键词】企业命脉 安全隐患核心 监测系统 设置操作系统 数据加密 【Abstract】Enterprise network security is the lifeblood of a business, only to create good network security environment conducive to the development of enterprises, enterprise network security risks from the various computer system unit, is also divided into two factors both inside and outside, only to seize the core of the network security risks In order to clear, clear to create a secure network environment. Articles by detecting the installation of software, operating system settings, the establishment of firewalls, data encryption and a series of specific measures to prevent the enterprise network security risks.【Keywords】Enterprise lifeline The core of security risks Monitoring System Set the operating system Data Encryption第一章绪论一、课题背景随着国家网络信息化建设的飞速发展,有越来越多的企业建立起自己的局域网络,应用于文件共享,办公自动化,电子邮件等功能,随着计算机的广泛应用,企业网络的建立,网络安全越来越受到人们的重视,网络安全也成为企业网络建立所必须解决的主要难题,企业网络安全已成为一门具体专业的课程供大学生学习,研究。二、课题研究内容及要求 在基于各种网络操作系统的前提下,实现企业网络中计算机,打印机硬件设备的正常运行,还要以维护系统安全为主要任务。根据企业网络这一具体实例,课题研究的要求具体包括:网络的正常运行,网络管理具体日常事务,网络部署公司计划,发展方向,数据库安全与共享,服务器资料不被窃取,公司各级人员的限制访问权,员工私人资料不被泄露,管理数据库访问权限,分配个人操作等级,用户身份认证,服务器,计算机,网关的防毒,提高内外通信的高效,灵活,员工上网安全等。三、课题预期效果提高企业网络安全管理人员的网络安全技术,了解网络攻击手段,从而做好相应防御措施,还要灵活处理突发状况,降低网络攻击对企业的损失,加强企业员工的网络安全意识,从企业内部降低网络安全风险,从根本上避免降低计算机黑客的病毒攻击,保证网络的正常运行,网络管理具体事务的正常进行,网络部署公司计划,发展方向,数据库及其他服务器资料的秘密性,避免企业员工的越级操作从而导致的各级人员的权限混乱,保证服务器,计算机,网关的防毒安全,通畅企业内外通信的高效,保证员工上网的安全等。四、课题研究的意义对将来从事的网络工作有一定的经验,对企业网络系统有一定的了解,提高了网络安全意识。第二章、企业网络安全框架结构 为了能够有效的了解企业和员工的网络安全需求,在选择各种硬件软件的安全行上 有必要建立系统的方法进行网络安全防范。使网络安全防范体系的科学性,可行性顺利实施的保障 图2-1 三维安全防范技术体系框架结构图为三维安全防范技术体系框架结构,第一维是安全服务,给出了8种安全属性,第二维是系统单元,给出了信息网络的组成。第三维是结构层次,给出并扩展了国际标准化组织ISO的开放系统互联(OSI)模型。 框架结构中的每一个系统单元都对应于某一个协议层次,需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制,应用平台需要有针对用户的认证、访问控制,需要保证数据传输的完整性、保密性,需要有抗抵赖和审计的功能,需要保证应用系统的可用性和可靠性。针对一个信息网络系统,如果在各个系统单元都有相应的安全措施来满足其安全需求,则我们认为该信息网络是安全的。第三章、企业网络安全隐患 当我们根据以上给出的三维安全防范框架结构,做到企业网络安全体系中的每一个层次,每一个面及面与面之间相接的部分安全,我们就能够做到整个企业局域网络的安全。(一).物理环境的安全 这层次的安全是整个网络安全的基础,只有当我们企业的计算机,打印机,投影机一系列的硬件设施能过正常的工作,我们才能够考虑其他方面的安全,所以要格外重视 物理环境安全包括通信线路安全,设备软硬件安全,运行环境安全。<1>通信线路安全:线路备份,网管软件,传输介质 <2>设备硬件安全:替换设备、拆卸设备、增加设备 <3>设备软件安全:设备的备份,防灾害能力、防干扰能力 <4>运行环境安全:温度、湿度、烟尘),不间断电源保障(二).操作系统的安全性该层次的安全问题来自网络内使用的操作系统的安全,如Windows NT,Windows 2000等。主要表现在三方面:<1>是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等。<2>是对操作系统的安全配置问题。<3>是病毒对操作系统的威胁。(三).网络的安全性该层次的安全问题主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。(四) .应用的安全性该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、DNS等。此外,还包括病毒对系统的威胁。(五).管理的安全性安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞本章主要讲述企业网络安全隐患,只有找出网络,硬件,环境,操作人员等一系列复杂因素对企业网络安全的影响,才能解决问题,建立一个安全的企业网络环境。第四章 企业网络安全措施1.电源管理及监控软件电源管理软件能够对UPS发送的信息进行反应,向用户播放警告讯息,然后等待一定的时间,再进行一个有次序的关机过程。有的电源管理软件还能在关闭整个系统前先关闭正在运行的程序。监控软件则是一种不是必需但很有用的工具。它一般通过图形方式显示出电池电量、主输入电压、剩余供电时间以及UPS状态及其他信息。监控信息一般通过SNMP协议在网络上传输,而不像关机软件使用当地的串口连接以防在断电情况下集线器或路由器失效。当UPS出现异常情况时,它就会在SNMP监测工作站上显示出来。2.控制湿度的措施为了防止机房内湿度的过高或过低以及急剧变化对计算机设备及附属设备的影响,必须采取以下措施,以保证机房内的湿度控制在一个稳定的范围内。1)使用恒温、恒湿装置来调节机房内的湿度; 2)在机房内安装除湿机和加湿机;当机房内湿度超过规定值时,使用除湿机使机房内湿度降低;当机房内湿度低于规定值时,使用加湿机对机房内空气进行加湿,提高机房内湿度。 3)机房内外为了进行空气交换和维持机房正压值所使用的新风机系统,必须具有加湿和去湿功能。在对送入机房内的新鲜空气湿度过高(大于机房湿度规定的范围)时要进行除湿;过低时要加湿,以保证机房内的空气湿度符合计算机设备及工作人员的要求。3.操作系统安全的实现 1、对于系统漏洞:定期的添加services pack和hot fixes,如果系统没有相关服务,不要随意的安装补丁 2、注册表安全性: 注册表的结构:相当于win.ini,集中存储了系统的配置信息 5个配置单元(hive key),4个存放于winntsystem32config目录下:SAM, SYSTEM, SECURITY, SOFTWARE,对此4个文件设置权限,仅允许system账号访问。HARDWARE又称易失关键字,每次系统启动时由ntdetect.com进行硬件检测,将检测的结果只与此关键字中,保存在内存中 H K E Y _ L O C A L _ M A C H I N E ( H K L M )是包含操作系统及硬件相关信息(例如计算机总线类型,系统可用内存,当前装载了哪些设备驱动程序以及启动控制数据等)的配置单元。实际上,H K L M保存着注册表中的大部分信息,因为另外四个配置单元都是其子项的别名。不同的用户登录时,此配置单元保持不变。H K E Y _ C U R R E N T _ U S E R ( H K C U )配置单元包含着当前登录到由这个注册表服务的计算机上的用户的配置文件。其子项包含着环境变量、个人程序组、桌面设置、网络连接、打印机和应用程序首选项(环境变量在Windows 2000中被用来允许脚本、注册表条目,以及其它应用程序使用通配符来代替可能会发生改变的重要的系统信息),存储于用户配置文件的ntuser.dat中。优先于H K L M中相同关键字。这些信息是HKEY_USERS 配置单元当前登录用户的Security ID(SID)子项的映射。H K E Y _ U S E R S ( H K U )配置单元包含的子项含有当前计算机上所有的用户配置文件。其中一个子项总是映射为H K E Y _ C U R R E N T _ U S E R (通过用户的S I D值)。另一个子项H K E Y _U S E R S D E FA U LT包含用户登录前使用的信息。H K E Y _ C L A S S E S _ R O O T ( H K C R )配置单元包含的子项列出了当前已在计算机上注册的所有C O M服务器和与应用程序相关联的所有文件扩展名。这些信息是H K E Y _ L O C A L _M A C H I N E S O F T WA R E C l a s s e s子项的映射。H K E Y _ C U R R E N T _ C O N F I G ( H K C C )配置单元包含的子项列出了计算机当前会话的所有硬件配置信息。硬件配置文件出现于Windows NT版本4,它允许你选择在机器某个指定的会话中支持哪些设备驱动程序。这些信息是H K E Y _ L O C A L _ M A C H I N E S Y S T E M C u r r e n t C o n t r o l S e t子项的映射。H K E Y _ L O C A L _ M A C H I N E ( H K L M )的子树:HARDWARE:在系统启动时建立,包含了系统的硬件的信息SAM:包含了用户帐号和密码信息SECURITY:包含了所有的安全配置信息SOFTWARE:包含应用程序的配置信息SYSTEM:包含了服务和设备的配置信息以上这些HKEY项在哪里?如何管理和设置?设置注册表的权限:Windows NT:使用C2Config和C2regacl.infWindows 2000:使用组策略审核注册表: 3、禁止和删除不必要的服务 删除OS/2和POSIX 在web服务器上禁止server services 在firewall上过滤相应的数据包 4、保护网络连接安全性: SMB connection process Establish a TCP connection negotiate dialect set up SMB session access resource Pc network program 1.0 Microsoft networks 1.03 Lanman 1.0 LM 1.2X002 LanMan 2.1 Windows NTLM 禁止匿名连接:HKLM SYSTEMCCScontrollsarestrictanonymous=1 服务器控制验证方法:lmcompatibilitylevel 0 任何都是可用的 1 由服务器决定使用哪种方法 2 不使用LM验证 激活SMB签名:HKLM SYSTEMCCSserviceslanmanserverparametersrequiresecuritysignature 0/1 HKLM SYSTEMCCSservicesrdrparametersrequiresecuritysignature 0/1 5、其他的配置: 禁止除管理员和打印操作员以外的用户安装打印驱动程序: HKLM SYSTEMCCScontrolprintproviderslanman print servicesaddprintdrivers=1 隐藏上一次登录的系统名 限制对打印机和串口的使用: HKLM SYSTEMCCScontrolsession managerprotectionmode=1 在系统关机时清空页面文件 HKLM SYSTEMCCScontrol session managermemory managementclearpagefileatshutdown =1 禁止缓存登录证书 限制对scheduler服务的使用 限制对可移动介质的访问4.文件系统安全的实现1、所支持的文件系统: FAT16, FAT32, NTFS4.0, NTFS5.0, CDFS 2、NTFS权限: 标准的权限 权限单元 权限的继承:ACL列表的拷贝 权限的迁移:移动和拷贝 磁盘的分区:系统,程序和数据注意: erveryone和authenticated users的区别 缺省,新建的文件权限为everyone full control 新添加用户的权限位read only 3、EFS: 作用:利用公钥技术,对磁盘上存储的静态数据进行加密保护的措施。 原理:根据用户的身份为每个用户构建一对密钥 图4-1 EPS实现的原理 实现: 恢复代理:为了防止出现由于密钥损坏造成数据不能正常解密而构建的一种补救措施。 如何恢复: 如何添加恢复代理: 注意事项: 只有被授权的用户或恢复代理才能访问加密的文件加密和压缩是相斥的对文件的重命名,移动不会影响加密属性至少需要一个恢复代理仅能对静态存储的数据进行加密,若需要网络中传输的数据提供安全性,可使用IPSec和PPTP对一个文件夹加密,则此文件夹内所有新创建的文件均会被加密若将一个加密后的文件移动一个非NTFS文件系统上,则加密属性丢失,除Backup外,所以应该分别分配备份和恢复的权利并谨慎分配恢复的权利 4、磁盘限额: 基于文件和文件夹的所有权来统计用户所使用的磁盘空间对于压缩状态的文件按非压缩状态统计磁盘空间的使用量 基于分区水平上的剩余空间是指可供用户使用的磁盘限额内剩余空间的大小可以设置当用户超出限额时是仅仅提出警告还是拒绝提供空间 可以针对所有用户也可针对个别用户设置设置限额后,对已有的用户存储不进行限额,但可对老用户添加限额管理员组的成员不受限额的影响仅管理员组的成员有权利设置限额 5、共享安全性:谨对网络访问生效 仅能对文件夹设置共享,不能针对文件设置缺省Administrators、Server Operators、Power Users group有权利设置共享 新建共享后,Everyone group是FC所能接受的最大用户数:Win 2k Professional 10 Win 2k Serve CALPermission:Read、Change、FCDeny优先于Allow的权限若用户属于多个组,则share security取并集可以在FAT、FAT32、NTFS上设置共享 6、联合NTFS安全性和共享安全性:网络访问取交集 本地访问仅考虑NTFS安全性 隐藏文件:attrib +H directoryNTFS文件分流:不需要重新共建文件系统就能够给一个文件添加属性和信息的机制,Macintosh的文件兼容特性。需使用NTRK中POSIX的工具cpcp nc.exe oso001.009:nc.exe反分流:cp oso001.009:nc.exe nc.exe分流后oso001.009大小没有变化,但修改日期可能会有变化分流后不能直接执行:start oso001.009:nc.exe删除:需把文件拷贝到FAT分区,在拷贝会NTFS分区搜索:唯一可靠的工具是ISS的Streamfinder.一、加密文件或文件夹 步骤一:打开Windows资源管理器。 步骤二:右键单击要加密的文件或文件夹,然后单击“属性”。 步骤三:在“常规”选项卡上,单击“高级”。选中“加密内容以便保护数据”复选框 二、解密文件或文件夹 步骤一:打开Windows资源管理器。 步骤二:右键单击加密文件或文件夹,然后单击“属性”。 步骤三:在“常规”选项卡上,单击“高级”。 步骤四:清除“加密内容以便保护数据”复选框。 同样,我们在使用解密过程中要注意以下问题: 1.要打开“Windows资源管理器”,请单击“开始程序附件”,然后单击“Windows资源管理器”。 2.在对文件夹解密时,系统将询问是否要同时将文件夹内的所有文件和子文件夹解密。如果选择仅解密文件夹,则在要解密文件夹中的加密文件和子文件夹仍保持加密。但是,在已解密文件夹内创立的新文件和文件夹将不会被自动加密。 以上就是使用文件加、解密的方法!而在使用过程中我们也许会遇到以下一些问题,在此作以下说明: 1.高级按钮不能用 原因:加密文件系统(EFS)只能处理NTFS文件系统卷上的文件和文件夹。如果试图加密的文件或文件夹在FAT或FAT32卷上,则高级按钮不会出现在该文件或文件夹的属性中。 解决方案: 将卷转换成带转换实用程序的NTFS卷。 打开命令提示符。 键入:Convert drive/fs:ntfs (drive 是目标驱动器的驱动器号) 2.当打开加密文件时,显示“拒绝访问”消息 原因:加密文件系统(EFS)使用公钥证书对文件加密,与该证书相关的私钥在本计算机上不可用。 解决方案: 查找合适的证书的私钥,并使用证书管理单元将私钥导入计算机并在本机上使用。 3.用户基于NTFS对文件加密,重装系统后加密文件无法被访问的问题的解决方案(注意:重装Win2000/XP前一定要备份加密用户的证书): 步骤一:以加密用户登录计算机。 步骤二:单击“开始运行”,键入“mmc”,然后单击“确定”。 步骤三:在“控制台”菜单上,单击“添加/删除管理单元”,然后单击“添加”。 步骤四:在“单独管理单元”下,单击“证书”,然后单击“添加”。 步骤五:单击“我的用户账户”,然后单击“完成”(如图2,如果你加密用户不是管理员就不会出现这个窗口,直接到下一步) 。 步骤六:单击“关闭”,然后单击“确定”。 步骤七:双击“证书当前用户”,双击“个人”,然后双击“证书”。 步骤八:单击“预期目的”栏中显示“加密文件”字样的证书。 步骤九:右键单击该证书,指向“所有任务”,然后单击“导出”。 步骤十:按照证书导出向导的指示将证书及相关的私钥以PFX文件格式导出(注意:推荐使用“导出私钥”方式导出,这样可以保证证书受密码保护,以防别人盗用。另外,证书只能保存到你有读写权限的目录下)。 4.保存好证书 注意将PFX文件保存好。以后重装系统之后无论在哪个用户下只要双击这个证书文件,导入这个私人证书就可以访问NTFS系统下由该证书的原用户加密的文件夹(注意:使用备份恢复功能备份的NTFS分区上的加密文件夹是不能恢复到非NTFS分区的)。 最后要提一下,这个证书还可以实现下述用途: (1)给予不同用户访问加密文件夹的权限 将我的证书按“导出私钥”方式导出,将该证书发给需要访问这个文件夹的本机其他用户。然后由他登录,导入该证书,实现对这个文件夹的访问。 (2)在其也WinXP机器上对用“备份恢复”程序备份的以前的加密文件夹的恢复访问权限 将加密文件夹用“备份恢复”程序备份,然后把生成的Backup.bkf连同这个证书拷贝到另外一台WinXP机器上,用“备份恢复”程序将它恢复出来(注意:只能恢复到NTFS分区)。然后导入证书,即可访问恢复出来的文件了。 5.身份系统的实现和安全用户认证系统采用各种认证方式实现用户的安全登陆和认证,独立于计算机原有的登陆系统,安全可靠性更高。一般由认证服务器和认证代理组成,有些产品提供认证令牌。认证服务器是网络中的认证引擎,由安全管理员或者网络管理员进行管理,主要用于令牌签发,安全策略的设置与实施,日志创建等;认证代理是一种专用代理软件,实施认证服务器建立的各种安全策略;认证令牌以硬件、软件或智能卡等多种形式向用户提供,用以确认用户身份,如果某个用户提供了一个正确的令牌码,就可以高度确信该用户是合法用户。根据需求和建设目标,我们将以身份认证系统、应用安全支撑平台为用户构建基于数字证书的统一身份认证、统一用户管理和应用安全支撑系统。 全局范围内,将建立统一的目录服务体系,以完善的数据复制策略实现对应用系统的全面支撑。身份认证系统(PKI基础设施)1、证书签发系统(CA系统)为所有的实体(设备、人员等)管理身份证书。2、用户管理系统(UMS系统)在身份认证系统之上,以数字证书为用户标识实现统一的用户管理、组织机构管理,为相关业务系统提供全局统一的用户属性信息。3、密钥管理系统(KMC系统)对用户的密钥进行管理和备份,能够通过严格的流程实现密钥的恢复。4、目录服务系统(LDAP系统)实现证书的发布和CRL的发布,并能够实现和AD之间的用户同步。应用安全支撑平台以身份认证系统、用户管理系统为基础,采用应用安全支撑平台的各产品组件实现应用系统的安全接入,使得身份认证、用户管理、数字签名等技术能够方边的整合到原有的业务系统中。在安全支撑平台的支持下,能够为用户构建操作系统层和应用层的统一身份认证和单点登录。标准规范体系根据实际业务特点,针对系统的运行维护、使用流程、应用接入标准等制订一系列标准和规范,以利于业务的有序开展。如上所述,身份认证系统为内部人员、设备等应用安全域内的物理或逻辑实体提供了统一的数字实体标识,统一的用户管理系统则根据具体的组织机构、用户属性、用户级别等实际情况,对数字实体标识进行可定制的统一管理和授权,最后再通过应用安全支撑平台为业务系统提供服务,实现了独立于各应用系统的安全的、统一的身份认证和管理体系。总体设计思路示意图如下所示:图4-2 总体物理部署设计根据总体设计思路,基于性能和投资相平衡的原则,系统物理部署设计如下图所示:图4-3 系统物理部署设计如上图所示,根据系统的不同功能,从网络上以VLAN方式划分不同区域,包括核心区、服务区和应用区。身份认证核心区包括CA、KMC、UMS等证书、用户管理系统,是整个系统的核心功能区。身份认证服务区包括IAS和从目录服务器,实现对外的身份验证支持。应用系统区中部署身份认证网关,使应用系统与外界实现安全隔离。6.防火墙技术防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间的任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:(1) 屏蔽路由器:又称包过滤防火墙。(2) 双穴主机:双穴主机是包过滤网关的一种替代。(3) 主机过滤结构:这种结构实际上是包过滤和代理的结合。(4) 屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。1、安装一台Linux服务器,配置双网卡,两端地址分别为192.168.233.1 /255.255.255.252(内部端口ETH 0)和202.102.184.1/255.255.255.248(外部端口ETH 1)。在IPChains中去除诸如 HTTPD、Finger、DNS、DHCP、NFS、SendMail之类所有不需要的服务,仅保留Telnet和FTP服务,以保证系统运行稳定,提高网络安全性。 2、启动IPChains后,为保证安全性,首先将Forward Chains的策略设置为DENY,禁止所有的未许可包转发,保障内部网安全性,以满足需求1。 eg:# ipchains-P forward DENY 3、为满足需求2,必须禁止所有来自外部网段对防火墙发起的低于1024端口号的连接请求。在此,我做了如下设定来阻止对ETH1端口请求连接小于1024端口号的TCP协议的数据报(请求连接数据报带有SYN标记,IPChains中使用参数-y表示) eg:#ipchains -A input -p tcp -d 202.102.184.1 0:1024 -y -i eth1 -j DENY 之所以不是简单的拒绝所有小于1024端口号的数据报在于,某些情况下服务器会回复一个小于1024接口的数据报。比如某些搜索引擎就可能在回复查询中使用一个不常用的小于1024的端口号。此外,当使用DNS查询域名时,如果服务器回复的数据超过512字节,客户机使用TCP连接从53端口获得数据。 4、为满足需求3,必须使用IP地址翻译功能。来自内部保留地址的用户数据包在经过防火墙时被重写,使包看起来象防火墙自身发出的。然后防火墙重写返回的包,使它们看起来象发往原来的申请者。采用这种方法,用户就可以透明地使用因特网上的各种服务,同时又不会泄露自身的网络情况。注意,对于FTP服务,需要加载FTP伪装模块。命令如下: eg: # insmod ip_masq_ftp5、为满足需求4,可以在已经设置为DENY的Forward Chains中添加许可用户。因为许可这部分用户使用所有的服务,访问所有的地址,所以不用再指定目标地址和端口号。假定许可IP地址为192.168.1.22,配置命令如下: eg: #ipchains-A forward-s 192.168.1.22 -j MASQ 同时,必须启动系统的IP包转发功能。出于安全的考虑,建议在设置了Forward Chains的策略设置为DENY,禁止所有的未许可包转发后再开启转发功能。 配置命令如下: # echo 1 > /proc/sys/net/ipv4/ip_forward 6、关于防止IP地址盗用问题,在本网络拓扑中,可见所有用户都是通过两个路由器连接到防火墙,所以只需要在路由器中建立授权IP地址到MAC地址的静态映射表即可。如果有客户机直接连接到防火墙主机,就需要使用ARP命令在防火墙主机中建立IP地址到MAC地址的静态映射表。 7、只要在进入端口中设定IP地址确认,丢弃不可能来自端口的数据包就可以了。配置命令如下: # ipchains -A input -i eth1 -s 192.168.0.0/255.255.0.0 -j DENY 至此,就算基本建立起来一个较为安全的防火墙了,再针对运行中出现的问题进行修改,调试无误后就可以用ipchains-save命令将配置保存起来。需要再次使用时,用命令 ipchains-restore即可。 其他的包过滤防火墙与IPChains的运行原理都相差不远,配置命令也大同小异。市面上出售的防火墙虽然可以预置一些基本的内容,但由于最终用户要求和环境千差万别,免不了要自己动手配置。 从上面的例子我们可以看出,建立一个安全的防火墙关键在于对实际情况的了解,对用户需求的掌握和对工具的熟练运用与正确实施上,这是真正的重点。7.数据加密数据加密的术语有:明文,即原始的或未加密的数据。通过加密算法对其进行加密,加密算法的输入信息为明文和密匙;密文,明文加密后的格式,是加密算法的输出信息。加密算法是公开的,而密钥则是不公开的。密文,不应为无密钥的用户理解,用于数据的存储以及传输。 例:明文为字符串: AS KINGFISHERS CATCH FIRE 为简便起见,假定所处理的数据字符仅为大写字母和空格符)。假定密钥为字符串: ELIOT 加密算法为: 1) 将明文划分成多个密钥字符串长度大小的块(空格符以"+"表示) AS+KI NGFIS HERS+ CATCH +FIRE 2) 用0026范围的整数取代明文的每个字符,空格符=00,A=01,.,Z=26: 0119001109 1407060919 0805181900 0301200308 0006091805 3) 与步骤2一样对密钥的每个字符进行取代: 0512091520 4) 对明文的每个块,将其每个字符用对应的整数编码与密钥中相应位置的字符的整数编码的和模27后的值取代: 5) 将步骤4的结果中的整数编码再用其等价字符替换: FDIZB SSOXL MQ+GT HMBRA ERRFY 如果给出密钥,该例的解密过程很简单。问题是对于一个恶意攻击者来说,在不知道密钥的情况下,利用相匹配的明文和密文获得密钥究竟有多困难?对于上面的简单例子,答案是相当容易的,不是一般的容易,但是,复杂的加密模式同样很容易设计出。理想的情况是采用的加密模式使得攻击者为了破解所付出的代价应远远超过其所获得的利益。实际上,该目的适用于所有的安全性措施。这种加密模式的可接受的最终目标是:即使是该模式的发明者也无法通过相匹配的明文和密文获得密钥,从而也无法破解密文。公开密钥加密思想最初是由Diffie和Hellman提出的,最著名的是Rivest、Shamir以及Adleman提出的,现在通常称为RSA(以三个发明者的首位字母命名)的方法,该方法基于下面的两个事实: 1) 已有确定一个数是不是质数的快速算法; 2) 尚未找到确定一个合数的质因子的快速算法。 RSA方法的工作原理如下: 1) 任意选取两个不同的大质数p和q,计算乘积r=p*q; 2) 任意选取一个大整数e,e与(p-1)*(q-1)互质,整数e用做加密密钥。注意:e的选取是很容易的,例如,所有大于p和q的质数都可用。 3) 确定解密密钥d: d * e = 1 modulo(p - 1)*(q - 1) 根据e、p和q可以容易地计算出d。 4) 公开整数r和e,但是不公开d; 5) 将明文P (假设P是一个小于r的整数)加密为密文C,计算方法为: C = Pe modulo r 6) 将密文C解密为明文P,计算方法为: P = Cd modulo r 然而只根据r和e(不是p和q)要计算出d是不可能的。因此,任何人都可对明文进行加密,但只有授权用户(知道d)才可对密文解密。 下面举一简单的例子对上述过程进行说明,显然我们只能选取很小的数字。 例:选取p=3, q=5,则r=15,(p-1)*(q-1)=8。选取e=11(大于p和q的质数),通过d * 11 = 1 modulo 8, 计算出d =3。 假定明文为整数13。则密文C为 C = Pe modulo r = 1311 modulo 15 = 1,792,160,394,0