网络层及web应用层的安全技术研究(一)

目录     

引言            

一． 网络威胁

   1.1 网络威胁的来源  -------------------------------------------------------------------2

   1.2 网络攻击的发展趋势----------------------------------------------------------------3

   1.3 网络安全管理措施-------------------------------------------------------------------4

   1.4 通过核心交换机对汇聚交换机进行ACL控制端口 ------------------5

二．网络安全技术发展，目前常见安全组件技术分析

    2.1 防火墙技术--------------------------------------------------6

    2.2 加密及数字签名技术------------------------------------------7

    2.3 PKI技术加密技术 -----------------------------------------------------------------8

三．入侵检测机制及入侵防御系统的工作过程

    3.1 入侵防御系统的概念及其特点----------------------------------9

    3.2 入侵防御系统的分类、部署方式及工作原理----------------------10

    3.3 入侵防御系统的具体实现-------------------------------------11

四．研究web应用安全产生的根源，及防护措施

    4.1 Web 应用的安全现状-----------------------------------------12

4.2 Web 安全防护措施-------------------------------------------13

4.3 应急措实---------------------------------------------------14

4.4 什么是XSS攻击---------------------------------------------15

4.5 XSS漏洞如何利用--------------------------------------------15

4.6 XSS跨站漏洞的防范和应对------------------------------------16

4.7 结合某公司真实情况，案例分析----------------------------17-21

五．主要研究sql注入攻击的形为分析

     5.1 sql注入原理-----------------------------------------------22

     5.2 SQL注入攻击的简单示例 ------------------------------------23

     5.3 SQL注入式攻击的防治---------------------------------------23

     5.4 MySQL表名注入案例分析-------------------------------------------24-26

                             引言

21世纪全世界的计算机大部分都将通过互联网连到一起，在信息社会中，随着国民经济的信息化程度的提高，有关的大量情报和商务信息都高度集中地存放在计算机中，随着网络应用范围的扩大，信息的泄露问题也变得日益严重，因此，计算机网络的安全性问题就越来越重要。计算机网络安全从技术上来说，主要由防病毒、防火墙等多个安全组件组成，一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有：防火墙技术、加密及数字签名技术、PKI技术等，随着互联网基础设施建设的推进与完善，Web 技术的迅速发展，基于互联网平台的 Web 应用也势如破竹、如火如荼，为互联网的发展增添了不少活力。然而，随之而来的信息安全问题也日益突出，大量的数据窃取、网站挂马、恶意攻击等信息安全事件损害人们的财产利益、危及国家安全与社会稳定。根据 Gartner 的最新调查，信息安全攻击有 75%都是发生在 Web 应用而非网络层面上。同时，数据也显示，三分之二的 Web 站点都相当脆弱，易受攻击。而在绝大多数的网络安全措施中，人们将大量的投资都花费在网络和服务器的硬件安全上，没有从真正意义上保证 Web 应用本身的安全。如何在推动社会信息化进程中加强 Web 应用平台的安全，维护各方的根本利益和构建社会的和谐稳定，促进社会经济的健康发展，成为信息安全研究里必须要认真对待的一个问题。

       

               网络层及web应用层的安全技术分析

一．网络威胁

1.1  网络威胁的来源

　　(1)网络操作系统的不安全性：目前流行的操作系统均存在网络安全漏洞。

　　(2)来自外部的安全威胁：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒等。

　　(3)网络通信协议本身缺乏安全性(如：TCP/IP协议)：协议的最大缺点就是缺乏对IP地址的保护，缺乏对IP包中源IP地址真实性的认证机制与保密措施。

　　(4)木马及病毒感染。

　　(5)应用服务的安全：许多应用服务系统在访问控制及安全通信方面考虑的不周全。

 1.2 网络攻击的发展趋势

     目前新发现的安全漏洞每年都要增加一倍。管理人员不断用最新的补丁修补这些漏洞，而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标，而且现在攻击工具越来越复杂，与以前相比，攻击工具的特征更难发现，更难利用特征进行检测，具有反侦察的动态行为攻击者采用隐蔽攻击工具特性的技术。攻击自动化程度和攻击速度提高，杀伤力逐步提高。越来越多的攻击技术可以绕过防火墙。在许多的网站上都有大量的穿过防火墙的技术和资料。由此可见管理人员应对组成网络的各种软硬件设施进行综合管理，以达到充分利用这些资源的目的，并保证网络向用户提供可靠的通信服务。

 1.3 网络安全管理措施

    安全管理是指按照本地的指导来控制对网络资源的访问，以保证网络不被侵害，并保证重要信息不被未授权的用户访问。网络安全管理主要包括：安全设备的管理、安全策略管理、安全风险控制、安全审计等几个方面。安全设备管理：指对网络中所有的安全产品。如防火墙、VPN、防病毒、入侵检测(网络、主机)、漏洞扫描等产品实现统一管理、统一监控。

　　安全策略管理：指管理、保护及自动分发全局性的安全策略，包括对安全设备、操作系统及应用系统的安全策略的管理。

　　安全分析控制：确定、控制并消除或缩减系统资源的不定事件的总过程，包括风险分析、选择、实现与测试、安全评估及所有的安全检查(含系统补丁程序检查)。

安全审计：对网络中的安全设备、操作系统及应用系统的日志信息收集汇总。实现对这些信息的查询和统计;并通过对这些集中的信息的进一步分析，可以得出更深层次的安全分析结果。

  1.4 通过核心交换机对汇聚交换机进行ACL控制策略，开放端口

   

      测试环境拓扑如下：

                        

 

目前搭建环境是通过核心交换机对汇聚交换机out方向做端口限制，搭建了一台测试服务器使用ip：14.29.125.250 掩码：255.255.255.252 网关：14.29.125.249,通过外网端口扫描显示开启了5666和16120两个端口。

                      图1

以下从vlan990调用acl策略：

acl number 3000

rule 0 permit tcp destination-port eq www

 rule 5 permit tcp destination-port eq 443

 rule 10 permit tcp destination-port eq 8443

 rule 15 permit tcp destination-port eq 1710

 rule 25 permit tcp destination-port eq 8080

 rule 30 permit tcp destination-port eq ftp-data

 rule 31 permit tcp destination-port eq ftp

 rule 35 permit tcp destination-port eq 5000

 rule 40 permit tcp destination-port eq 5001

 rule 45 permit tcp destination-port eq 8000

 rule 55 permit tcp destination-port eq 8001

 rule 60 permit tcp destination-port eq 9000

 rule 65 permit tcp destination-port eq 16120

 rule 67 permit tcp destination-port eq 5666

 rule 70 permit tcp destination-port eq 9999

 rule 75 permit udp destination 14.152.74.242 0

 rule 80 permit udp destination 14.152.74.243 0

 rule 85 permit udp destination 14.152.74.244 0

 rule 90 permit udp destination 221.5.107.232 0

 rule 95 permit udp destination 221.5.107.233 0

 rule 100 permit udp destination 221.5.107.234 0

 rule 200 deny tcp

interface Vlan-interface990

 ip address 14.29.125.249 255.255.255.252

 packet-filter 3000 outbound

再次外网测试端口显示5666关闭，16120匹配到acl3000规则所以放开。

经上述测试可以过滤非知名和未登记端口。

二． 网络安全发展，目前常见安全组件技术分析 

2.1 防火墙技术

　　防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备，主要方法有：堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

　　根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型、网络地址转换(NAT)、代理型和监测型。

　　(1)包过滤型

　　包过滤型产品是防火墙的初级产品，这种技术由路由器和Filter共同完成，路由器审查每个包以便确定其是否与某一包过滤原则相匹配。防火墙通过读取数据包中的“包头”的地址信息来判断这些“包”是否来自可信任的安全站，如果来自危险站点，防火墙便会将这些数据拒绝。包过滤的优点是处理速度快易于维护。其缺点是包过滤技术完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法告知何人进入系统，无法识别基于应用层的恶意入侵，如木马程序，另一不足是不能在用户级别上进行过滤。即不能鉴别不同的用户和防止IP盗用。

　　(2)网络地址转换

　　网络地址转换在内部网络通过安全网卡访问外部网络时。将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，而隐藏真实的内部网络地址。利用网络地址转换技术能透明地对所有内部地址作转换，使外部网络无法了解内部结构，同时允许内部网络使用自编的IP地址和专用网络。防火墙根据预先定义好的映射规则来判断这个访问是否安全。

　　(3)代理型

　　代理型的特点是将所有跨越防火墙的网络通讯链路分为二段。防火墙内外计算机系统间的应用层的“连接”由二个终止于代理服务器上的“连接”来实现，外部计算机的网络链路只能到达代理服务器，由此实现了“防火墙”内外计算机系统的隔离，代理服务器在此等效于一个网络传输层上的数据转发器的功能，外部的恶意侵害也就很难破坏内部网络系统。代理型防火墙的优点是安全性较高，可对应用层进行侦测和扫描，对基于应用层的入侵和病毒十分有效。其缺点是对系统的整体性能有较大的影响，系统管理复杂。

　　(4)监测型

　　监测型防火墙是新一代的产品，监测型防火墙能够对各层的数据进行主动的、实时的监测。在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种监测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中。不仅能够监测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品，但其缺点是实现成本较高，管理复杂。所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面已开始使用监测型防火墙。

2.2加密及数字签名技术

　　加密技术的出现为全球电子商务提供了保证，从而使基于Internet上的电子交易系统成为了可能，因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术，加密运算与解密运算使用同样的密钥。

　　不对称加密，即“公开密钥密码体制，其中加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用，解密密钥只有解密人自己知道，分别称为“公开密钥”和“秘密密钥”。

　　目前，广为采用的一种对称加密方式是数据加密标准(DES)，DES对64位二进制数据加密，产生64位密文数据，实际密钥长度为56位(有8位用于奇偶校验，解密时的过程和加密时相似，但密钥的顺序正好相反)，这个标准由美国国家安全局和国家标准与技术局来管理。DES的成功应用是在银行业中的电子资金转账(EFT)领域中。现在DES也可由硬件实现，AT&T首先用LSI芯片实现了DES的全部工作模式，该产品称为数据加密处理机DEP。另一个系统是国际数据加密算法(IDEA)，它比DES的加密性好，而且计算机功能也不需要那么强。在未来，它的应用将被推广到各个领域。IDEA加密标准由PGP(Pretty Good Privacy)系统使用，PGP是一种可以为普通电子邮件用户提供加密、解密方案的安全系统。在PGP系统中，使用IDEA(分组长度128bit)、RSA(用于数字签名、密钥管理)、MD5(用于数据压缩)算法，它不但可以对你的邮件保密以防止非授权者阅读，还能对你的邮件加以数字签名从而使收信人确信邮件是由你发出。

在电脑网络系统中使用的数字签名技术将是未来最通用的个人安全防范技术，其中采用公开密钥算法的数字签名会进一步受到网络建设者的青睐。这种数字签名的实现过程非常简单：首先，发送者用其秘密密钥对邮件进行加密，建立了一个“数字签名”，然后通过公开的通信途径将签名和邮件一起发给接收者，接收者在收到邮件后使用发送者的另一个密匙——公开密钥对签名进行解密，如果计算的结果相同他就通过了验证。数字签名能够实现对原始邮件不可抵赖性的鉴别。另外，多种类型的专用数字签名方案也将在电子货币、电子商业和其他的网络安全通信中得到应用。

2.3  PKI技术

　　PKI(Public Key Infrastructure，公开密钥基础设施)是一种遵循既定标准的密钥管理平台，它是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份。例如，某企业可以建立公钥基础设施(PKI)体系来控制对其计算机网络的访问。在将来，企业还可以通过公钥基础设施(PKI)系统来完成对进入企业大门和建筑物的提货系统的访问控制。

　　PKI让个人或企业安全地从事其商业行为。企业员工可以在互联网上安全地发送电子邮件而不必担心其发送的信息被非法的第三方(竞争对手等)截获。企业可以建立其内部Web站点，只对其信任的客户发送信息。

　　PKI采用各参与方都信任一个同一CA(认证中心)，由该CA来核对和验证各参与方身份的身份这种信任机制。例如，许多个人和企业都信任合法的驾驶证或护照。这是因为他们都信任颁发这些证件的同一机构——政府，因而他们也就信任这些证件。然而，一个学生的学生证只能被核发此证的学校来进行验证。数字证书也一样。

在一个典型、完整和有效的PKI系统中，除证书的创建和发布，特别是证书的撤销，一个可用的PKI产品还必须提供相应的密钥管理服务，包括密钥的备份、恢复和更新等。没有一个好的密钥管理系统，将极大影响一个PKI系统的规模、可伸缩性和在协同网络中的运行成本。在一个企业中，PKI系统必须有能力为一个用户管理多对密钥和证书;能够提供安全策略编辑和管理工具，如密钥周期和密钥用途。 PKI发展的一个重要方面就是标准化问题，它也是建立互操作性的基础。目前，PKI标准化主要有两个方面：一是RSA公司的公钥加密标准PKCS(Public Key Cryptography Standards)，它定义了许多基本PKI部件，包括数字签名和证书请求格式等;二是由Internet工程任务组IETF(Internet Engineering Task Force)和PKI工作组PKIX(Public Key Infrastructure Working Group)所定义的一组具有互操作性的公钥基础设施协议。在今后很长的一段时间内，PKCS和PKIX将会并存，大部分的PKI产品将保持兼容性，这两种标准都会得到支持。