TCP/IP网络的信息安全与防火墙技术

　　自从INTERNET进入我们的生活，到目前为止，它的影响已几乎可达全世界每个角落，真正从信息意义上形成了世界范围的地球村。我国近十年来的 INTERNET用户数与带宽均以惊人的速度增长，根据CNNIC在2000年7月份的最新统计，中国网民数量已经达到1690万，相比较于同年1月份的 890万，在短短的半年内，网民数量增长了一倍;2000年7月，国内注册的各类域名达到99734个，比同年1月的48695个也增长了一倍。2000 年1月的统计数字表明，我国国际线路的总带宽达到35lMbps，而2000年7月，这一数字已经达到1234Mbps，预计2001年将达到 3.3Gbps。但是随之而来的是与之相伴随的很多困扰我们的因素，比如IP地址的短缺、垃圾信息的泛滥、对传统伦理观念的影响，尤其是由于当前网络协议 TCP/IP所固有的缺陷所造成的安全问题。

　　网络上的信息安全可以大致分为三个部分：系统信息安全、传播信息安全及信息内容的安全。网络上系统信息的安全包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等等;网络上信息的传播安全侧重于防止和控制非法、有害的信息进行传播后的后果、避免公用网络上大量自由传输的信息失控;网络上信息内容的安全则侧重于保护信息的保密性、真实性和完整性，避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为，其本质上是保护用户的利益和隐私。

　　由于TCP/IP协议自身在安全上的脆弱性，事实上，当前INTERNET上的信息无论系统信息、还是内容信息，都具有不安全因素，比如大量的网站被黑、用户个人帐号、银行帐号被盗用、国防机密档案失窃等等，说明网络的不安全因素它已经严重影响到它自身的发展。去年被媒体爆炒的电子商务终于受到冷落的重要原因之一即是：如何保证网上交易信息的安全？

　　一 TCP/IP网络的脆弱性

　　目前使用最广泛的网络协议是TCP/IP协议，TCP/IP最初是在美国国防高级研究项目局(DARPA)的赞助下开发的，并成功应用于 APPANET上，开发它的初衷当然是军事目的，但军方后来公开了TCP/IP的核心技术，由于该技术简洁而良好的开放性，终于使它成为网际互联的基础，最终形成了今天的INTERNET。

　　1 TCP/IP协议存在安全漏洞

　　而TCP/IP的简洁与开放恰恰就意味着它在安全上存在隐患，如在IP层的IP地址可以软件设置，这就造成了地址假冒和地址欺骗两类安全隐患;IP协议支持源路由方式，即源点可以指定信息包传送到目的节点的中间路由，这就提供了源路由攻击的条件;TCP层的三次连接握手事实上也是SYN FLOODING拒绝服务的基础;其它应用层协议Telnet、FTP、SMTP等协议缺乏强有力的认证和保密措施，黑客极可能籍此造成否认、拒绝等欺瞒行为的攻击。

　　TCP/IP网络的开放性可以给予黑客更多的机会，但在这里需要说明的是，最终的安全问题会集中到网络服务器的操作系统上去，黑客利用TCP/IP找到了目标，最终的信息失窃和操作系统的漏洞有关，黑客们一般是利用OS的漏洞来掌握远程主机权限从而达到窃取或破坏目的。

　　当然，我们不可能不注意到的是网络传输中信息内容，TCP/IP协议不包含加密层，那么一旦用户捕获到网络数据后再根据协议分层分析，有可能得到大量机密信息。比如说，局域网内可能就是纯文本的信息流，通常的电子邮件也是不加密的，更糟的是，在缺省模式中电子邮件客户端用来与其电子邮件服务器进行核查的用户名与口令也是以纯文本形式发出的，可能被截获或假冒。

　　2 基于TCP/IP网络进行攻击的手段

　　一般情况下，攻击大体有如下三个步骤： 即信息收集→对系统的安全弱点探测与分析→实施攻击。

　　1) 信息收集

　　信息收集的目的是为了进入所要攻击的目标网络的数据库。黑客会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息。

　　● SNMP协议。用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。

　　● TraceRoute程序。能够用该程序获得到达目标主机所要经过的网络数和路由器数。

　　● Whois协议。该协议的服务信息能提供所有有关DNS域和相关的管理参数。

　　● DNS服务器。该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名。

　　● Finger协议。可以用Finger来获取一个指定主机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等)。

　　● Ping实用程序。可以用来确定一个指定的主机的位置。

　　● 自动Wardialing软件。可以向目标站点一次连续拨出大批电话号码，直至遇到某一正确的号码使其MODEM响应。

　　2) 系统安全弱点的探测

　　在收集到攻击目标的一批网络信息之后，黑客会探测网络上的每台主机，以寻求该系统的安全漏洞或安全弱点，黑客可能使用下列方式自动扫描驻留网络上的主机。

　　● 自编程序对某些产品或者系统，已经发现了一些安全漏洞，该产品或系统的厂商或组织会提供一些“补丁”程序给予弥补。但是用户并不一定及时使用这些“补丁” 程序。黑客发现这些“补丁”程序的接口后会自己编写程序，通过该接口进入目标系统，这时该目标系统对于黑客来讲就变得一览无余了。

　　● 利用公开的工具象INTERNET的电子安全扫描程序IIS(INTERNET Security Scanner)、审计网络用的安全分析工具SATAN(Security Analysis Toolfor Auditing Network)等这样的工具，可以对整个网络或子网进行扫描，寻找安全漏洞。这些工具有两面性，就看是什么人在使用它们。系统管理员可以使用它们，以帮 助发现其管理的网络系统内部隐藏的安全漏洞，从而确定系统中那些主机需要用“补丁”程序去堵塞漏洞。而黑客也可以利用这些工具，收集目标系统的信息，获取 攻击目标系统的非法访问权。

　　3) 网络攻击

　　黑客使用上述方法，收集或探测到一些“有用”信息之后，就可能会对目标系统实施攻击。黑客一旦获得了对攻击的目标系统的访问权后，又可能有下述多种选择：

　　● 该黑客可能试图毁掉攻击入侵的痕迹，并在受到损害的系统上建立另外的新的安全漏洞或后门，以便在先前的攻击点被发现之后，继续访问这个系统。

　　● 该黑客可能在目标系统中安装探测器软件，包括特洛伊木马程序，用来窥探所在系统的活动，收集黑客感兴趣的一切信息，如Telnet和FTP的帐号名和口令 等等。

　　● 黑客可能进一步发现受损系统在网络中的信任等级，这样黑客就可以通过该系统信任级展开对整个系统的攻击。

　　● 如果该黑客在这台受损系统上获得了特许访问权，那么它就可以读取邮件，搜索和盗窃私人文件，毁坏重要数据，破坏整个系统的信息，造成不堪设想的后果。