猾華大學出版社

第8章防火墻與平臺安全

8.1防火墻

8.2漏洞

8.3NetWare系統

8.4WindowsNT

8.5UNIX

習題

參考文獻

防火墻作為網絡安全的一種防護手段得到了廣泛的

應用，應該說它對網絡起到了一定的防護作用，

但并非萬無一失。網絡操作系統的安全是站點安

全的關鍵。本章主要介紹防火墻技術及NetWare、

WindowsNT>UNIX平臺的安全性。

8.1.1防火墻基本概念

防火墻是一個或一組在兩個網絡之間執行訪問控制

策略的系統，包括硬件和軟件，目的是保護網絡

不被可疑人侵擾。本質上，它遵從的是一種允許

或阻止業務來往的網絡通信安全機制，也就是提

供可控的過濾網絡通信，只允許授權的通訊。

通常，防火墻就是位于內部網或Web站點與

Intemet之間俯一個路由器最一臺計算機，文稱

為堡壘主機。其目的如同一個安全門，為門內的

部門提供安全，控制那些可被允許出入該受保護

環境的人或物。就像工作在前門的安全衛士，控

制并檢查站點的訪問者。

清華尤學鄴肱鈍?蘭星冷；，家嬲

防火墻是由管理員為保護自己的網絡免遭外界非授

權訪問但又允許與Internet聯接而發展起來的。從

網際角度，防火墻可以看成是安裝在兩個網絡之

間的一道柵欄，根據安全計劃和安全策略中的定

義來保護其后面的網絡。由軟件和硬件組成的防

火墻應該具有以下功能：

所有進出網絡的通信流都應該通過防火墻

所有穿過防火墻的通信流都必須有安全策略和計劃

的確認和授權

理論上說，防火墻是穿不透的

利用防火墻能保護站點不被任意聯接，甚至能建立

跟蹤工具，幫助總結并記錄有關正在進行的聯接

資源、服務器提供的通信量以及試圖闖入者的任

何企圖。

清華:簿出版社廂做出1sH土

總之，防火墻是阻止外面的人對你的網絡進行訪問

的任何設備，此設備通常是軟件和硬件的組合體,

它通常根據一些規則來挑選想要或不想要的地址。

隨著Internet上越來越多的用戶要訪問Web,運行例

如Telnet、FTP和InternetMail之類的服務，系統

管理者和LAN管理者必須能夠在提供訪問的同時,

保護他們的內部網，不給闖入者留有可乘之機。

需要防范的三種基本進攻：

間諜：試圖偷走敏感信息的黑客、入侵者和闖入者:

盜竊：盜竊對象包括數據、Web表格、磁盤空間、

CPU資源、聯接等。

清華關淳圜朧鈍,號，梵I;：,麗墟朋比堂翼?MMH

破壞系統：通過路由器或主機/服務器蓄意破壞文

件系統或阻止授權用戶訪問內部網（外部網）和

服務器。

這里，防火墻的作用是保護Web站點和公司的內部

網，使之免遭Internet上各種危險的侵犯。

典型的防火墻建立在一個服務器/主機機器上，亦

稱“堡壘”，是一個多邊協議路由器。這個堡壘

有兩個網絡聯接：一邊與內部網相聯，另一邊與

Internet相聯。它的主要作用除了防止未經授權的

來自或對Internet而訪問外，這包括為安全管理提

供詳細的系統活動的記錄。在有的配置中，這個

堡壘主機經常作為一個公共Web服務器或一個

FTP或E-mail服務器使用。

通過在防火墻上運行的專門HTTP服務器，可使用

“代理”服務器，以訪問防火墻的另一邊的Web

服務器。

防火墻的基本目的之一就是防止黑客侵擾站點。站

點暴露于無數威脅之中，而防火墻可以幫助防止

外部聯接。因此，還應小心局域網內的非法的

MODEM聯接，特別是當Web服務器在受保護的

局域內時。

若Web站點置于內部網中，也要提防內部襲擊。對

于這種情況，防火墻幾乎無用。若一個心懷不滿

的雇員拔掉Web服務器的插頭，將其關閉，防火

墻將對此無能為力。防火墻不是萬無一失的，其

目的只是加強安全性，而不是保證安全。

清華文學出據他用於序1號號mwi

8.1.2包過濾

防火墻常常就是一個具備包過濾功能的簡單路由器,

支持Internet安全。這是使Internet寐接更加安全

的一種簡單方法，因為包過濾是路由器的固有屬

包是網絡上信息流動的單位。在網上傳輸的文件一

般在發出端被劃分成一串包，經過網上的中間站

點，最終傳到目的地，然后這些包中的數據又重

新組成原來的文件。

每個包有兩個部分：數據部分和包頭。包頭中含有

源地址和目標地址等信息。

包過濾一直是一種簡單而有效的方法，通過攔截數

據包，讀出并拒絕那些不符合標準的包頭，過濾

掉不應入站的信息。

包過濾器又稱為篩選路由器，它通過將包頭信息和

管理員設定的規則表比較，如果有一條規則不允

許發送某個包，路由器將它丟棄。

包過濾規則一般基于部分的或全部的包頭信息，例

如對于TCP包頭信息為：

LIP協議類型

2.IP源地址

3.IP目標地址

4.IP選擇域的內容

5.TCP源端口號

6.TCP目標端口號

7.TCPACK標識，指出這個包是否是聯接中的第一

個包，是否是對另一個包的響應

清均無學圈泌苞一就能就朋嵐旖廿”HMHI

包過濾的一個重要的局限是它不能分辨好的和壞的

用戶，只能區分好的包和壞的包。包過濾只能工

作在有黑白分明安全策略的網中，即內部人是好

的，外部人是可疑的。

不幸的是，包過濾不能有效到足以保證站點的安全。

站點受到許多新的協議的威脅，它們能毫不費力

地通過那些過濾器。例如，對于FTP協議，包過

濾就不十分有效，因為為完成數據傳輸，FTP允

許聯接外部服務器并使聯接返回到端口20。這甚

至成為一條規則附加于路由器之上，即內部網絡

機器上的端口20可用于探查外部情況。黑客們很

容易“欺騙”這些路由器。而防火墻則使這些

“欺騙”變得困難，并且幾乎不可能實現。在決

定實施防火墻計劃之前，先要決定使用哪種類型

的防火墻及其設計。

清華大學出朧社颼顯

'?a?**「二/lPX了?■?'?)|‘.C：.A<:,'f.,t'「?■I**..、r71

8.1.3代理服務

代理服務是運行在防火墻主機上的一些特定的應用

程序或者服務器程序。而所謂的防火墻主機是指

由一個網絡接口聯接互連網絡而另一個接口聯接

內部網絡的雙宿主主機，具有至少兩個網絡接口

的通用計算機系統；或其他既能聯接互聯網絡又

能聯接內部網絡的堡壘主機，它對互聯網暴露，

又是內部網絡用戶的主要連接點。這些程序將用

戶對互聯網絡的服務請求依據已制定的安全規則

向外提交。代理服務替代了用戶與互聯網絡的連

接。對用戶請求的外界服務而言，代理服務相當

于一個網關。代理服務有時被稱為應用層網關。

清華吳淳展版社-號宣茄黑魄冊B亡卅?MMMH

代理服務位于內部網絡的用戶和外部網絡的服務

（一般是互聯網絡）之間。它在很大程度上是透

明的。在代理服務中，內外各個站點之間的連接

被切斷了，都必須經過代理方才能相互連通。代

理服務在幕后操縱著個站點間的連接。

透明性是代理服務的主要優點。在用戶端，代理服

務給用戶的假象是：用戶是直接與真正的服務器

相連的；而在服務器端代理服務給出的假象是：

服務器是直接面對連在代理服務器上的用戶。要

注意的是，代理服務只有在需要嚴格控制內部與

外部主機直接連接的場合才是一個比較有效的機

制。而雙宿主主機與包過濾也是具有這種特性的

另外兩種機制。

如果內、外部主機能夠直接相互通信，那么用戶就

沒有必要使用代理服務，在這種情況下，代理服

務也不可能起作用。而這種由旁路的拓撲與網絡

的信息安全是相悖的。

代理服務器并非將用戶的全部網絡服務請求提交給

互聯網絡上的真正的服務器，因為服務器能依據

安全規則和用戶的請求做出判斷是否代理執行該

請求，所以它能控制用戶的請求。有些請求可能

會被否決，比如：FTP代理就可能拒絕用戶把文

件往遠程主機上送，或者它只允許用戶將某些特

定的外部站點的文件下載。還有的代理服務可能

對于不同的主機執行不同的安全規則，而不對所

有主機執行同一標準。

江二7J/I27產/.9/產丁"力7V『,芽/>/*/j/Au/7.「了二^三

僅僅使用某種單項技術來建立正確完整防火墻是不

太可能的。經常要用若干的混合技術方可解決面

對的各種問題。要根據想提供給客戶的服務種類

和安全保護級別來解決由此而產生的各類問題。

對于某些協議來講如Telnet和SMTP用包過濾技

術比較有效；而其他的一些協議如FTP、Archie>

Gopher、WWW則用代理服務比較有效。許多防

火墻產品軟件混合使用包過濾與代理服務這兩種

技術。

8.1.4防火墻類型

最常見的防火墻是按照基本概念工作的邏輯設備，

用于在公共網上保護私人網絡。配置一堵防火墻

是很簡單的，步驟如下：

①選擇一臺具有路由能力PC。

②加上兩塊接口卡，例如以太網卡或串行卡等。

③禁止IP轉發。

④打開一個網卡通向Internet。

⑤打開另一個網卡通向內部網。

現在，兩個不同的網絡被這個防火墻分割開來。由

于內部網不能再訪問Internet,所以訪問網際空間

就必須經過防火墻。欲進入內部網絡，必須先通

過防火墻。

并且，若站點正處于防火墻保護之下，對它的訪問

也是被禁止的，用戶不得不先登錄防火墻后再進

入Internet,這時便需要代理服務器了。因此，為

使防火墻有效，必須超越其概念設計。

防火墻的設計類型有好幾種，但都可分為兩類：網

絡級防火墻及應用級防火墻。它們采用不同的方

式提供相同的功能，任何一種都能適合站點防火

墻的保護需要。而且現在有些防火墻產品具有雙

重性能，因此應選擇最適合當前配置的防火墻類

型。

1.網絡級防火墻

這一類型的防火墻，通常使用簡單的路由器，采用

包過濾技術，檢查個人的IP包并決定允許或不允

許基于資源的服務、目的地址及使用端口。

最新式的防火墻較之以前更為復雜，它能監控通過

防火墻的聯接狀態等等。這是一類快速且透明的

防火墻，易于實現，且具最佳性價比。

圖8.1是一個隔離式主機防火墻的示意圖例，是最為

流行的網絡級防火墻之一。在該設計里，路由器

在網絡級上運行，控制所有出入內部的訪問，并

將所有的請求傳給堡壘主機。

盡管上述例子提供了良好安全，但是或許還想創建

一個解除武裝的子網來安置Web服務器，見圖8.2。

注意：以上兩個例子都是假定Web服務器安放在

防火墻之內。在這種模式中，對Web服務器的訪

問由運行在網絡級上的路由器控制。除了它是作

為隔離主機的網絡Web服務器只是其中一部分之

外，這種設計與原先隔離式模式很相似。

2.應用級防火墻

-6—

主機或來自主機的傳輸

圖8」

信衫大學出版社.

圖8.2

應用級防火墻通常是運行在防火墻上的軟件部分。

這一類的設備也稱為應用網關。它是運行代理服

務器軟件的計算機。由于代理服務器在同一級上

運行，故它對采集訪問信息并加以控制是非常有

用的，例如記錄什么樣的用戶在什么時候連接了

什么站點，這對識別網絡間諜是有價值的。因此,

此類防火墻能提供關于出入站訪問的詳細信息，

從而較之網絡級防火墻，其安全性更強。

圖8.3是應用級防火墻的示意圖例，又名雙宿主機網

關。雙宿主機是一臺有兩塊網絡接口卡（NIC）

的計算機。每一塊NIC有一個IP地址，如果網絡

上的一臺計算機想與另一臺計算機通信，它必須

與雙宿主機上能“看到”的IP地址聯系，代理服

務器軟件查看其規則是否允許連接。

清華廣學出版社

ESS

圖8.3

如果允許，代理服務器通過另一塊網卡（NIC）啟

動到其他網絡的聯系。

SmartWall網關是一個雙宿主機的例子。

注意，如果欲建立一個雙宿主機，應當確認操作系

統的路由能力是關閉的。否則，從一塊（NIC）

到另一塊網卡的通信會繞過代理服務器。

若打算將服務器安在內部網內，由于代理服務器將

阻塞大多數連接，因此與服務器的連接受到很大

限制。但這是一個高度安全的設計，適用于內部

網上高水平的保護。

若站點上已實現了類似的防火墻，也許想將Web服

務器置于防火墻之外（WebA）,并且可能通過

一個代理服務器在內部網與Web服務器之間建立

聯接。但要小心不要使站點出現安全漏洞。

3.其他種類的防火墻

目前有很多種類的防火墻，應仔細選擇。使防火墻

適合當前的配置或預算，正如前面所討論的，防

火墻可分為應用級與網絡級二類。但就具體產品

而言，有很多種類，它們都各具特色。

以下列出了最常見的幾種防火墻。

(1)隔離式過濾器這是一種最基本的模式，它利用

路由器聯接Web站點與Internet。所有進入Web服

務器的IP包在到達目的地之前先被過濾器隱臧。

過濾器控制了出入服務器的訪問。而且這種隔離

因其完全通過過濾器而不能在應用級上執行。

(2)堡壘主機這種模式好比國際機場的入境部門。

沒有一個人能不通過入境處而進入國內。

同樣地，沒有一個IP包能不經過堡壘主機確認而訪

問Web服務器。這個主機通常是一臺安放在Web

服務器與Internet之間的PC。用戶或應用層都能

控制訪問，但為了Web安全，同時考慮到大量用

戶訪問站點的多種方式，故在用戶級上控制站點

是不合適的。

(3)雙宿主機網關該種模式將一臺堡壘主機和一個

隔離式過濾器組合成一臺機器，其長處在于既允

許保護Web服務器又允許訪問一些堡壘應用。

(4)安全IP通道這種模式并不表明能使Web站點免

受Internet上的黑客侵擾。假定你有一臺堡壘主機,

或在別的站點上保護你的服務器免受“瘋狂”的

黑客侵擾，這種模式將有助于在Web服務器與你

的組織內部之間建立安全聯接。

清華十字出版社-

J?-J_J-/-?J，:J./?1J-'J'?/?'?J''

本質上，安全IP通道利用壓縮方式將IP包頭插入加

密IP包中。包在通道的一端被加密，如Web服務

器，傳送到另一端，如客戶機，被解密。對于

Internet上用戶來說，推廣這種模式的困難在于必

須公認通道端，或者包是非智能的且是被廢棄的。

(5)IP過濾這是防火墻功能的基礎。它是保護Web

服務器的最有效方法之一，但并非萬無一失，就

像其他類型的防火墻一樣，例如隔離式過濾。

(6)Circuit網關(巡回網關)當由網絡應用所傳遞

的信息不重要時，使用巡回網關。巡回網關最好

看作通過防火墻聯接兩面的系統的通道。巡回網

關與包過濾沒有太大的不同，是聯接到一個無約

束地增加了一些附加信息的認證系統。

).-J?J.(,__1^J.'J?*—4'J1-''-"J.J.**J*'?J~~~*~二?，”

以上類型的防火墻，若能正確實施，則能加強Web

站點的安全。包過濾對于網絡安全也不失為一種

安全且高性價比的方式。

而且，Web具備多線程、多過程環境特征。但由于

其靜態特點，包過濾不適合于聯接變化的過程。

例如在FTP會話期，與公共HTTP傳輸中的在遠

程站點與Web服務器之間傳遞數據有顯著不同。

因此，在一個Web會話期，Web安全會遭到破壞。

8.1.5防火墻配置

1.Web服務器置于防火墻之內

防火墻將極大地增強內部網和Web站點的安全。根

據不同的需要，防火墻在網中的配置有很多方式。

清華文學出版^

根據防火墻和Web服務器所處的位置，總的可以分

為3種配置：Web服務器置于防火墻之內、Web服

務器置于防火墻之外和Web服務器置于防火墻之

_bo

圖8.4是防火墻作用的圖示。此模式中，Web服務器

置于防火墻之內。

將Web服務器裝在防火墻內的好處是它得到了安全

保護，不容易被黑客闖入，但不易被外界所用。

當Web站點主要用于宣傳企業形象時，顯然這不

是好的配置，這時應當將Web服務器放在防火墻

之外。

2.Web服務器置于防火墻之外

圖8.5是Web服務器置于防火墻之外的配置的圖示。

〈，一二；圃NGHUAUNIVE鼻SJTYPRESS

Internet

圖8.4

■

圖8.5

事實上，為保證組織內部網絡的安全，將Web服務

器完全置于防火墻之外是比較合適的。在這種模

式中，Web服務器不受保護，但內部網則處于保

護之下，即使黑客闖進了你的Web站點，內部網

絡仍是安全的。代理支持在此十分重要，特別是

在這種配置中，防火墻對Web站點的保護幾乎不

起作用。

3.Web服務器置于防火墻之上

一些管理者試圖在防火墻機器上運行Web服務器，

以此增強Web站點的安全性。這種配置的缺點是,

一旦服務器有一點毛病，整個組織和Web站點就

全部處于危險之中。圖8.6是此種配置的圖示。

TSINGi

Internet

圖8.6

清將關淳圜加泡雪的:宗肘咖比比會身?MMH

這種基本配置有多種變化，包括利用代理服務器、

雙重防火墻、利用成對的“入”、“出”服務器

提供對公眾信息的訪問及內部網絡對私人文檔的

訪問。

一些防火墻的結構不允許將Web服務器設置其外。

在這種情況下將不得不打通防火墻。可以這樣做:

(1)允許防火墻傳遞對端口80的請求，訪問請求或被

限制到Web站點或從Web站點返回(假定你正使

用“screenedhost”型防火墻)；

(2)可在防火墻機器上安裝代理服務器，但需一個

“雙宿主網關”類型的防火墻。來自Web服務器

的所有訪問請求在被代理服務器截獲之后才傳給

服務器。對訪問請求的回答直接返回給請求者。

鬲學出瓶社與曲

8.1.6制定訪問控制策略

訪問控制策略就是說明了允許使用公司設備進行的

訪問類型。例如，用戶公司的策略可以是“內部

用戶可以訪問因特網Web站點和FTP站點或發送

SMTP電子郵件，但只允許來自因特網的SMTP郵

件進入內部網絡”。內容清楚的訪問控制策略有

助于保證正確選擇防火墻產品。

一個內部網路的不同部分也可能使用訪問控制策略。

例如，用戶公司可能具有WAN連接，以支持商業

伙伴的活動。這樣，用戶可能希望限制通過此連

接進行訪問的范圍，以保證它們確實被用于工作

目的。

清華為學出版社

訪問控制策略規定了網絡不同部分允許的數據流向,

還會指定哪些類型的傳輸是允許的，哪些傳輸將

被阻塞。在指定訪問控制策略時，用戶可以使用

許多不同的參數說明傳輸流。

表8.1列出了可以使用的一些普通應用說明。

說明內容

規定

流向

按信息的流向規定允許的傳輸行為。例如由因特網

傳入內部網絡（入站）的信息或從內部網絡發送

到因特網（出站）的信息。

服務

訪問的服務器應用的服務類型。

例如Web訪問（HTTP）、文件傳輸協議（FTP）、

簡單文件傳輸協議（SMTP）o

指定主機

有時除制定傳輸方向外還需要更詳細的說明。例如,

某公司可能希望允許入站的HTTP訪問，但只允

許訪問某臺指定的計算機。相反，該公司可能只

有一個部門需要由因特網Web服務器訪問。

用戶個人

許多公司的某些業務只需要特定的人員完成制定的

工作，而不想讓每個人都具有此種訪問能力。例

如，公司的CFO可能需要通過因轉網訪問內部網

絡，因為她總在外地出差。這樣，完成訪問控制

策略的設備必須對每個試圖訪問的人進行授權檢

查保證只有CFO可以進入。

高華廣學出版社

時間

有時，公司需要對訪問進行限制，只允許在一天中

的某些時刻進行訪問。例如，訪問技術策略中可

以規定，“內部用戶只能在5：OOPM和7：OOAM

之間訪問因特網Web服務器。”

公用或私用

有時使用公共網絡（如幀中繼或因特網）發送私用

數據十分方便。訪問控制策略可以規定一種或多

種類型的在指定主機或整個網絡段中的傳輸是必

須加密的。

服務質量

公司可能希望根據用戶帶寬限制訪問活動。

南華美淳圜版強':*“則青思

例如假設公司里有一臺Web服務器可以供因特網訪

問，并且希望保證對它的訪問總能夠得到回應。

該公司可能會在訪問控制策略中規定允許內部用

戶訪問因特網，但如果有潛在客戶正在訪問Web

服務器時，內部用戶的訪問被限制在某種帶寬范

圍之內。當該客戶訪問完畢時，內部用戶就可以

使用百分之百的帶寬訪問因特網資源。

8.1.7防火墻選擇原則

設計和選用防火墻首先要明確哪些數據是必須保護

的，這些數據的被侵入會導致什么樣的后果及網

絡不同區域需要什么等級的安全級別。不管采用

原始設計還是使用現成的防火墻產品，對于防火

墻的安全標準，首先得根據安全級別確定。

清華無淳圜版社11mMM"I

其次，設計或選用防火墻必須與網絡接口匹配，要

防止你所能想到的威脅。防火墻可以是軟件或硬

件模塊，并能集成于網橋、網關、路由器等設備

之事。

面對市場上數十種產品，如何選擇最適合于你的公

司的產品呢？這應當從安全策略開始考慮。

1.防火墻自身的安全性

大多數人在選擇防火墻時都將注意力放在防火墻如

何控制連接以及防火墻支持多少種服務上，但往

往忽略一點，防火墻也是網絡上的主機設備，也

可能存在安全問題。防火墻如果不能確保自身安

全，則防火墻的控制功能再強，也終究不能完全

保護內部網絡。

大部分防火墻都安裝在一般的操作系統上，如Unix、

NT系統等。在防火墻主機上執行的除了防火墻軟

件外，所有的程序、系統核心，也大多來自于操

作系統本身的原有程序。當防火墻上所執行的軟

件出現安全漏洞時，防火墻本身也將受到威脅。

此時，任何的防火墻控制機制都可能失效，因為

當一個黑客取得了防火墻上的控制權以后，黑客

幾乎可為所欲為地修改防火墻上的存取規則，進

而侵入更多的系統。因此，防火墻自身仍應有相

當高的安全保護。

2.應考慮的特殊需求

企業安全政策中往往有些特殊需求不是每一個防火

墻都會提供的，這是選擇防火墻需考慮的因素之

一，常見的需求如下：

高子玄學出版社Ja嬲?捌巍嬲SB整IWWI

(1)IP轉換(IPaddresstranslation)

進行IP轉換有兩個好處：其一是隱臧內部網絡真正

的IP,這可以使黑客無法直接攻擊內部網絡，也

是要強調防火墻自身安全性問題的主要原因；另

一個好處是可以讓內部使用保留的IP,這對許多

IP不足的企業是有益的。

(2)雙重DNS

當內部網絡使用沒有注冊的IP地址，或是防火墻進

行IP轉換時，DNS也必須經過轉換。因為，同樣

的一個主機在內部的IP與給予外界的IP將會不同,

有的防火墻會提供雙重DNS,有的則必須在不同

主機上各安裝一個DNS。

(3)虛擬企業網絡(VPN)

VPN可以在防火墻與防火墻或移動的client間對所有

網絡傳輸的內容加密，建立一個虛擬通道，讓兩

者間感覺是在同一個網絡上，可以安全且不受拘

束地互相存取。這對總公司與分公司之間或公司

與外出的員工之間，需要直接聯系又不愿花費大

量金錢，申請專線或用長途電話撥號連接時，將

會非常有用。

(4)掃毒功能

大部分防火墻都可以與防病毒防火墻搭配實現掃毒

功能。有的防火墻則可以直接集成掃毒功能，差

別只是掃毒工作是由防火墻完成，或是由另一臺

專用的計算機完成。

高堂文學出施社

)?一_J???'J■'?'Ji-''J.'J..*1*?"J~'

(5)特殊控制需求

有時候企業會有特別的控制需求，如限制特定使用

者才能發送E-maiLFTP只能GET檔案不能PUT

檔案，限制同時上網人數、使用時間或Block

Java、ActiveX等，依需求不同而定。

3.防火墻選擇須知

當我們在規劃網絡時，不能不考慮整體網絡的安全

性。而談到網絡安全，就不能忽略防火墻的功能。

防火墻產品往往有上千種，如何在其中選擇最符

合您需要的產品，是消費者最關心的事。在選購

防火墻軟件時，應該考慮以下幾點：

(1)一個好的防火墻應該是一個整體網絡的保護者

[I-W行

一個好的防火墻應該以整體網絡保護者自居，它所

保護的又寸象應該是全部的Intranet,并不僅是那些

通過防火墻的使用者。

(2)一個好的防火墻必須能彌補其他操作系統之不足

一個好的防火墻必須是建立在操作系統之前而不是

在操作系統之上，所以操作系統有的漏洞可能并

不會影響到一個好的防火墻系統所提供的安全性。

由于硬件平臺的普及以及執行效率的因素，大部

分企業均會把對外提供各種服務的服務器分散至

許多操作平臺上，但我們在無法保證所有主機安

全的情況下，選擇防火墻作為整體安全的保護者。

這正說明了操作系統提供B級或是C級的安全并不

一定會直接對整體安全造成影響，因為一個好的

防火墻必須能彌補操作系統的不足。

(3)一個好的防火墻應該為使用者提供不同平臺的選

擇

由于防火墻并非完全由硬件構成，所以軟件(操作

系統)所提供的功能以及執行效率一定會影響到

整體的表現，而使用者的操作意愿及熟悉程度也

是必須考慮的重點。因此一個好的防火墻不但本

身要有良好的執行效率，也應該提供多平臺的執

行方式供使用者選擇，畢竟使用者才是完全的控

制者。使用者應該選擇一套符合現有環境需求的

軟件，而非為了軟件的限制而改變現有環境。

(4)一個好的防火墻應能向使用者提供完善的售后服

務

高華廣學出版社

由于有新的產品出現，就會有人研究新的破解方法,

所以一個好的防火墻提供者必須有一個龐大的組

織作為使用者的安全后盾，也應該有眾多的使用

者所建立的口碑為防火墻作見證。防火墻安裝和

投入使用后，并非萬事大吉。要想充分發揮它的

安全防護作用，必須對它進行跟蹤和維護，要與

商家保持密切的聯系，時刻注視商家的動態。因

為商家一旦發現其產品存在安全漏洞，那么會盡

快發布補救產品，此時應盡快確認真偽（防止特

洛伊木馬等病毒），并對防火墻軟件進行更新。

清華文學出版社羸麗層同感庸氮

JJJl一丁尸jVJ,'J//?F1J,?”，.廠FJ-j>*_^x

8.2漏洞

8.2.1漏洞的概念

廣義的漏洞是指非法用戶未經授權獲得訪問或提高

其訪問層次的硬件或軟件特征。

漏洞就是某種形式的脆弱性。實際上，漏洞可以是

任何東西。許多用戶非常熟悉的特殊的硬件或軟

件存在漏洞；IBM兼容機的CMOS口令在CMOS

的電池供電不足，不能供電或被移走的情況下會

丟失也是漏洞；操作系統、瀏覽器、TCP/IP、

免費郵箱等也存在漏洞。每個平臺無論是硬件還

是軟件都存在漏洞。總之，沒有絕對安全的事物。

高學出瓶就

8.2.2脆弱性等級

漏洞或脆弱性存在不同的類型，包括允許拒絕服務

的漏洞、允許有限權限的本地用戶未經授權提高

其權限的漏洞、允許外來團體（在遠程主機上）

未經授權訪問網絡。

1.允許拒絕服務的漏洞

允許拒絕訪問的漏洞屬于C類，是不太重要的漏洞。

這種攻擊幾乎總是基于操作系統的。也就是說，這

些漏洞存在于操作系統網絡傳送本身。當存在這

種漏洞時，必須通過軟件開發者或銷售商的彌補

予以糾正。

清華充學出版他案::，覺哪廿域療身

對于大的網絡或站點，拒絕服務或攻擊只是有限的影響,

最多不過是使人心煩而已。然而對于小的站點，可能

會受到拒絕服務的重創。特別對于站點只是一臺單獨

的機器（單獨的郵件或新聞服務器）更是如此。

拒絕服務攻擊是一類人或多人利用Internet協議組的某

些方面拒絕其他用戶對系統或信息進行合法的訪問的

攻擊。在TCPSYN攻擊中，連接請求大量的傳給服

務器，導致其請求信息被淹沒。結果是服務器反應很

慢或不可達，從而使用戶不知所措。

還有其他形式的拒絕服務的攻擊。某些拒絕服務攻擊的

實現可以針對個人而不是針對網絡用戶的。這種類型

的攻擊不涉及任何bug或漏洞，而是利用了WWW的

基本設計。

并非每個拒絕服務攻擊都需要在Internet發起。有許

多在本地機甚至在沒有網絡環境的情況下發生的

拒絕服務攻擊。

2.允許本地用戶非法訪問的漏洞（B類）

（B類）漏洞是允許本地用戶獲得增加的和未授權

的訪問。這種漏洞一般在多種平臺的應用程序中

發現。

（1）一個很好的例子是眾所周知的Sendmail問題。

Sendmail可能是世界上發送電子郵件最盛行的方

法，是Internet的E?mail系統的中心。這個程序一

般在啟動時作為例程初始化并且只要機器可用它

也可用。在活動可用狀態下，Sendmail（左端口

25）偵聽網絡空間上的發送和請求。

清華文學出瓶苞

當Sendmail啟動時,它一般要求檢驗用戶的身份，

因為只有root有權啟動和維護Sendmail程序。其

他有相同權限的用戶也可這樣做，但也只是這些

內容。然而，根據CERT咨詢處的“Sendmail

DaemonModeVulnerability^：

“很遺憾，由于一個代碼錯誤，Sendmail在例程模式

下可以以一種繞過潛入的方式激活。當繞過檢查

后，任何本地用戶都可以在例程下啟動Sendmail。

另外，在8?7版本中，Sendmail收到一個SIGHUP

信號時會重啟。它通過使用exec(2)系統調用重

新執行自己來重新開始操作。重新執行作為root

用P實現。通過控制Sendmail環境，用戶可以用

root權限讓Sendmail運行一任意的程序。"

清華大學出版強向上卅房廿卅

因此，本地用戶獲得一種形式的root訪問。這些漏

洞是很常見的，差不多每月都有一次。Sendmail

以這些漏洞而出名，但卻不是唯一的現象（也不

是UNIX自身的問題）。

像Sendmail這樣的程序中的漏洞特別重要，因為這

些程序對網上所有的用戶都是可用的。所有用戶

都至少有使用Sendmail程序的基本權限。如果沒

有的話，他們沒法發送郵件。因止匕Sendmail中的

任何bug或漏洞都是十分危險的。

這些類型的漏洞唯一令人欣慰的是有較大的可能檢

查出入侵者，特別是在入侵者沒有經驗的情況下

更是如此。如果系統管理員運行強有力的登錄工

具，入侵者還需要有較多的專業知識才能逃避檢

查。

高華尤學出頒社—IMMMHWMIWr

(2)B類漏洞

大多數B類漏洞由應用程序中的一些缺陷引起。有

些常見的編程錯誤導致這種漏洞的產生。緩沖區

溢出在術語文件中這樣定義：

“當試圖將超過的緩沖區能處理更多的數據加入到

緩沖區時，發生緩沖區溢出。這可能是由于生產

者和消費者進程處理不一致造成的，或者是由于

緩沖區太小，以致于裝不下一次處理的必須數

據。”

用C編寫的程序常用到緩沖區。一般來說，緩沖區

就是選出的一塊存儲空間，其中可以存儲某種類

型的文本或數據。程序員利用緩沖區為一塊或多

塊數據提供給系統預先指定的空間。

高華文學出版社流嵐房廿"immH

例如，如果希望用戶輸入名字，程序員必須先判斷

名字緩沖區要求有多少個字符（該字段要求有多

少字符，或者用戶在給定的字段中可以敲多少

鍵）。這稱為字符緩沖區的大小。因此如果程序

員編寫：

charfirst_name[20];

他就允許用戶用20個字符作為名字。但假設用戶的

名字有35個字符，最后面的15個字符會出現什么

情況呢？它們溢出字符緩沖區。溢出時，最后的

15個字符放在內存其他某一位置（程序員本不想

將這些多余的字符放于該地址處）。攻擊者通過

控制多余的字符結束的位置，可以引起任意的可

被操作系統執行的命令。這種技術經常地被本地

用戶用來獲取對root的訪問。

清華文學蜀越社之咚麻晶01脫囊U愚醵般mpi

很遺憾，許多常見的工具都易受到緩沖區溢出的攻

擊。

程序員可以通過謹慎的編程技巧消除問題。并不是

說程序員應該為每個字符緩沖區提供錯誤檢測，

這是不現實的，也很浪費時間。因為盡管這些缺

陷會使你的網絡有一定的危險，但攻擊者需要很

高的技巧才能實現緩沖區溢出攻擊。盡管這個問

題在攻擊者的圈子里經常討論，但很少人用編程

知識案做到這一點。

緩沖區溢出問題不是個新問題，至少從蠕蟲發作的

那天起就一直跟隨我們了。

Morris蠕蟲利用了Finger例程的脆弱性（這個例程

偵聽并答復來自79端口的請求）。

高子玄學出版社Ja嬲?捌巍嬲SB整IWW

Finger程序使用了C語言的一個常用函數Gets(),執

行從下一行輸入中讀取文本的簡單任務。Gets()

沒有任何檢測邊界的功能，輸入可能會超過緩沖

區的范圍。這樣，Morris能夠使緩沖區溢出，據

說再將其他代碼放入堆棧中，這些代碼為Worm

提供了所需的系統訪問。這一脆弱性在編程領域

是眾所周知的。但即使現在，程序也還是這么編

寫，這些基本的缺陷允許Worm順利地傳播。

3.允許過程用戶未經授權訪問的漏洞(A類)

A類漏洞是威脅性最大的一種漏洞。大多數的A類漏

洞是由于較差的系統管理或設置有誤造成的。

高華尤學出版社.jsa髓?費嬲嬲SB霆mf

典型的設置錯誤（或設置失敗）是任何存放在驅動

器上的例子腳本，即使這些版本的文檔建議刪掉

這些腳本。這種漏洞在網絡上重現過無數次，包

括那些在Web服務器版本中的文件。這些腳本有

時會為來自網絡空間的侵入者提供有限的訪問權

族甚至root的訪問權限。如，test_cgi文件的缺格

是允許來自網絡空間的侵入者讀取CGI目錄下的

文件。

Novell平臺的一種HTTP服務器含有一個稱作

Convert,bas的例子腳本。這個用BASIC編寫的月卻

本，允許遠程用戶讀取系統上的任何文件。

這個問題涉及的不僅是一個文件，有時它與腳本的

解釋方法有關。例如，Microsoft的Internet信息

服務器（HS）包含一個允許任何遠程用戶執行任

意命令的漏洞。

高華廣學出版社

問題是IISHTTP將所有.bat或.cmd后綴的文件與

cmd.exe程序聯系起來，如JulianAssange（Strobe

的作者）所解釋的：

“第一個bug允許用戶訪問與wwwroot目錄在同一

分區的任何文件（認為IlS—iiser可以讀此文件）。

它也允許與腳本目錄在同一分區的任意可執行文

件的運行（認為IIS_user足以執行此文件）。如

果cmd.exe文件能被執行，那么它也允許你執行任

何命令，讀取任意分區的任意文件（認為

IIS_user可以讀取并執行此文件……遺憾的是

Netscape通信和Netscape商業服務器也都有相類

似的bug。對于Netscape服務使用BAT或CMD文

件做為CGI腳本則會發生類似的事情。”

清華文學出版社一，葡蕨，感裳士smu

很自然，這些漏洞從外界對系統造成嚴重的威脅。

在許多情況下，如果系統管理員只運行了很少的

日志的話，這些攻擊可能會不被記錄，使捉獲更

為困難。

你會很容易看到為什么像搜索器這樣的程序成為安

全性的重要部分。搜索器的重要目的即為檢查這

些漏洞。因此，盡管安全性程序員把這些漏洞包

含進他們的程序中作為檢查的選擇，但他們經常

是在攻擊者幾個月之后才這樣做（某些漏洞，比

如說允許拒絕服務的synhooding漏澗不容易彌補。

系統管理員目前必須得學會在這些不盡人意的漏

洞下工作）。

使形勢更為困難的是非UNIX平臺的漏洞要花更多

的日寸間才會表現出來。

許多NT的系統管理員不運行重日志文件。為報告漏

洞，他們必須首先有漏洞存在的證據。另外，新

的系統管理員（在IBM兼容機中，這樣的管理員

占很大比例）沒有對文檔和報告安全性事故做好

準備。這意味著漏洞出現后，被測試、重建測試

環境及最后加入到搜索器前的時間浪費了。

4.TCP/IP協議存在安全漏洞

目前使用最廣泛的網絡協議是TCP/IP協議，而

TCP/IP協議恰恰存在著安全漏洞。如IP層協議就

有許多安全缺陷。IP地址可以由軟件設置，這就

造成了地址假冒和地址欺騙兩類安全隱患；IP協

議支持源路由方式，即源點可以指定信息包傳送

到目的節點的中間路由，這就提供了源路由攻擊

的條件。

再如應用層協議Telnet、FTP、SMTP等協議缺乏認

證和保密措施，這就為否認、拒絕等欺瞞行為開

了方便之門。對運行TCP/IP協議的網絡系統，存

在著如下五種類型的威脅和攻擊：欺騙攻擊、否

認服務、拒絕服務、數據截取和數據纂改。以下

是一些發現存在有嚴重的A類漏洞的程序：

FTP

Gopher

Telnet

Sendmail

NFS

ARP

Portmap

finger

這些程序除了有A類漏洞外，還含有B類漏洞。大量

的程序都有C類漏洞。

5.CGI漏洞

CGI(CommomGateInterface)是外部應用程序與

Web服務器交互的一個標準接口。CGI應用程序

可以完成客戶端與服務器的交互操作。例如：一

個能夠訪問外部數據庫的CGI程序可以使客戶端

用戶通過Web服務器進行數據庫的查詢。傳統的

Web瀏覽方式均為單向，CGI的出現提供了交互

訪問能力，使得Intemet漫游更生動更實用，因此

在我們編寫出一個CGI程序后，一定會倍感欣慰。

清」容浮出版社1M紫函,對厥僚

但是Internet的宗旨是面向每個人的，任何人可在任

何時候任意多次地通過Internet訪問某Web服務器,

而這又會給Internet帶來安全上的問題。

在編寫CGI程序時應尤其注意安全問題。幾乎所有

的CGI漏洞均來自與用戶的交互，這種交互性在

給主頁帶來活力的同時，成為Web服務器的一個

潛在危險。具有破壞性的數據可以從多種渠道進

入Web服務器。客戶可以設計自己的數據錄入方

式和數據內容，然后調用服務器端的CGI程序。

客戶端用戶很容易將服務器的地址和CGI程序寫進

來，然后可以任意修改要傳遞的參數。

假設服務器端的CGI程序對輸入數據不進行嚴格檢

查，這些數據就會進入服務器端的數據庫，而長

度可以由客戶端用戶任意設定。還有一些別有用

心的黑客冒充“忠實”的客戶端用戶把上面的數

據傳送給CGI程序，假如CGI程序沒有查覺，后

果便很難想象，起碼的結果是系統“死機”甚至

可能癱瘓。“黑客”可以使用各種方式侵擾服務

器系統，那么究竟應如何防止這些數據的入侵呢?

首先服務器應對輸入數據的長度有嚴格限制，在使

用POST方法時,環境變量Content?Length能確保

合理的數據長度，對總的數據長度和單個變量的

數據長度都應有檢查功能；

J?二J?JI'>'J?'4'J!-''j-'J.?*1??'J~~-'

另外，GET方法雖可以自動設定長度，但不要輕信

這種方法，因為客戶可以很容易地將GET改為

POSTo

CGI程序還應具有檢查異常情況的功能，在檢查出

陌生數據后CGI還應能及時處理這些情況。CGI

在增加這些功能后，很可能變得很繁瑣。在實際

應用當中還要在程序的繁瑣度和安全性上折衷考

慮。“黑客”還可以想出其他辦法進攻服務器，

比如以GET和POST以外的方法傳輸數據，通過

改變路徑信息盜竊傳統上的密碼文件/etc/passwd,

在HTML里增加radio選項等等。

Internet的開放性肯定會帶來一些安全問題，如何處

理好開放性和安全性的關系是一個貫徹始終的問

題，不是一蹴而就的。

清畢無學出版社吊黑’施嬲盤就北馬—MHI

只有在使用中不斷積累經驗，總結教訓，才能最大

程度地發揮Internet的開放性及CGI的靈活性，安

全上又有起碼的保證。

6.留言板漏洞

隨著Internet的飛速發展，在網上占有一席之地是每

個公司乃至個人的迫切愿望。尤其是交互式的網

頁更是吸引著每一個來訪者，所以大家都喜歡在

自己的網頁上搞個留言板，水平低的就申請一個,

水平高的就自己編一個CGI程序。但這里的漏洞

實在是太多。

CGI是這樣工作的，它把用戶（來訪者）輸入的留

言變為一個變量，然后把這個變量插入到顯示留

言的HTM文件里。

清區文字圜朧他掾|二：茄魄冊霍力MMMH

當然用戶輸入的是一些文本，如要在HTM文件里顯

示就要符合HTM的語言標準，所以在編寫CGI程

序時，編程人員會在里面輸入特定的一些HTM語

言標準。以常用的免費留言板Guestbook為例。

設定用戶輸入文本為變量A,在每次插入HTM文件

時同時插入頭尾HTM語法，如：

<font>用戶輸入的變量A</font>（當它插入到

HTM文件時就顯示了用戶文本）

但是我們如果采用屏蔽的方法，就能做我們想干的

一切事。方法如下：

在我們輸入時打上

v/font>這里你可以打上所有你知道的HTM語言

<font>

膏華史學崗版詫I看弱”馬凰弱翻鰥MW

前后v/font>vf(mt>用來敝屏，這時插入HTM文件里

的就是如下的東西：

<font></font>你的輸入一定要用HTM標準

<font></font>

如你想在留言本里顯示你的GIF圖片，可以這樣輸

入：

</font><p><ahref=nhttp：//網頁鏈接位置",

<imgsrc=nhttp：///GIF圖片的位置/green.gif1

width=H235n

height=n77nalt="要顯示的字“></a></p><font>

一旦我們屏蔽之后就可以在他人的留言板上做一切

事，甚至可以輸入一段JAVAScript讓其他來訪留

言板的人不斷的打開新的瀏覽器窗口。這樣做的

結果是他的留言板就被你炸了。

清華文學出瓶泡

).^>//［」，)>r：'_ZA，yI/V*『"八八.if」_'二?二’

8.3NetWare系統

NetWare服務器的缺省狀態對安全的要求十分嚴格。

文件系統支持詳細的許可權制度，在缺省狀態

時對用戶只提供很少的系統資源訪問權。盡管如

止匕人們還需要做一些工作以加強它的安全性。

8.3.1C2級認證

NetWare是唯一符合C2級安全標準的分布式網絡

操作系統，被美國國家計算機安全中心(National

ComputerSecurityCenter,NCSC)認證為信得

過網絡組件。NetWare經過了電子數據協會的E2

評價，它相當于歐洲的C2級安全標準，兩者各

方面的規定十分相似。

J?:J?J.I'?'J■'_*/，:J./-''-，1''J..*/,-??」'~~*-^Lz*'

C2級技術規范規定，為了通過NCSC的C2級信得過

網絡組件認證，產品必須符合如下規定：

系統必須能夠唯一地識別每一位系統用戶。

系統必須能夠分別跟蹤用戶的登錄和對象修改。

系統必須能夠維護一份審核日志。

系統的審核日志必須能夠識別各種記錄的來源（來

自哪些遠程系統、終端或者服務器控制臺）。

系統管理員必須能夠限制對審核日志的訪問。

系統必須能夠設置個人和工作組訪問控制。

系統管理員必須能夠判斷系統是否工作正常。

系統必須具有解釋所有安全功能的手冊。

安全功能必須經過NCSC的測試，并且證明為沒有

明顯缺陷。

清華系學出血社M曇費翳肺姍氏旃

J?E>f//」，產J廣「'「NJ1/=5*以［八a/^rI--二2■/三/7

正是最后一條規定（無明顯缺陷）使得大多數提交

NCSC進行C2級網絡安全認證的系統未能通過。

C2級認證并不能保證該系統無法被侵入，只是說

明該產品的設計考慮到了安全需要，而且這些安

全措施需要被第三方政府機構認可。

8.3.2NetWare系統目錄服務

在訪問控制方面，NetWare使用NetWare目錄服務

（NetWareDirectoryServices,NDS）提供層次

式的分配和管理網絡訪問權的辦法。它可以使用

一個控制臺實現對整個網絡環境的管理。NDS還

提供了十分詳細的用戶對網絡資源訪問的分級控

制。企業的NDS結構通常稱為NDS樹（NDS

tree）。

NDS的結構與硬盤目錄結構相似。它的子目錄稱為

機構單位(OrganizationalUnits,OU)或者容器

對蒙(container),可以從根目錄向下延伸。每

個容器對象都可以定義訪問權限，使用戶只能訪

問自己需要的資源。網絡管理員可以定義更多的

容器對象，以進一步管理用戶的訪問活動。

管理員甚至可能指定子管理員，使之具有對目錄樹

一小部分的超級特權。NDS的可縮放性很強，因

為它允許大型機構分別設立管理各指定工作組的

管理員，而負責管理整個網絡的人員則可以擁有

全部的管理權。

網絡訪問活動也是集中式的。當用戶登錄進入時，

可以向整個NDS提出授權檢查，而不只是特定的

服務器或者目錄樹的一部分。

信弟文學出越泡

這就是說即使有些資源位于目錄樹的遠程位置（如

位于遠程辦公室的打印機），用戶也會自動獲得

已經分配給自己的所有網絡資源的訪問權。

8.3.3帳戶管理器

用戶帳戶的管理使用nwadmn95實用程序來完成。

在NetWare5.0版本中，管理員還可以直接從服務

器中使用ConsoleOne管理帳戶。

帳戶管理工作十分容易。為了查看指定用戶的所有

安全設置，管理員可以用鼠標右鍵單擊相應的對

象，并且選擇詳細情況項（Details）。用戶可以

看到，這個控制臺可供管理員管理用戶的所有方

面，包括口令設置，文件訪問權限甚至用戶的登

錄文稿。下面介紹管理員可以在這個控制臺中實

現的一些安全管理。

清華友淳圜版社^I:：頻誠置ImT”■MMH

1.Identification：該（身份識別）按鈕允許系統記

錄用戶的登錄名和其他信息，其中包括

全名

位置

部門

電話號碼

說明信息，如該用戶的直接管理員

記錄用戶詳細信息的能力表面上看似乎不屬于安全

保護功能的范圍，但對于追蹤問題的起因卻是極

有幫助的。

假設管理員正在查看系統，這時發現從用戶帳戶

smith正在做一些可疑的活動，似乎jsmith正在試

圖獲得對薪金數據庫的訪問權。

通過nwadmn95程序，管理員可以迅速查看jsmith的

帳戶信息，并且在TobyjsmithMiller下的1379項

發現他的報告。

進行系統審核時，訪問用戶的詳細信息是十分有益

的。這樣管理員就可以把用戶的登錄活動和實際

用戶的審核日志記錄聯系起來。

2.LogonRestrictions：該（登錄限制）按鈕允許管

理員把預先設定的截止日期分配給每個帳戶。這

種設置對于雇用臨時工作人員的企業十分有用的o

LogonRestrictions屏幕還允許管理員關閉一個帳

戶，并且限制每個用戶可以同時發出的連接數量。

限制一名用戶可以使用的服務器連接數量有益于防

止用戶把自己的授權檢查機密信息透露給他人。

高華7二字出版社

如果每個時刻只允許一條連接，則用戶就很少會讓

別人使用自己的登錄授權，因為如果別的用戶使

用他的授權登錄，則他自己將無法同時登錄進入

網絡。

限制并發的連接數量還有助于識別帳戶失竊情況。

如果一名用戶試圖進行連接時系統提示說該帳戶

已經在另一個位置建立了連接，他就可以通知系

統管理員追蹤潛在的攻擊者。

3.PasswordRestrictions：該（口令限制）按鈕允許

管理員定義每個用戶的口令條件。下面是管理員

可以通過配置屏幕設置的內容：

允許用戶修改自己的口令

定義該帳戶是否需要使用口令

清華7二學出版社

定義口令至少具有的最小長度

要求該帳戶總使用同一個口令

定義口令必須修改的最長時間

定義不正確的登錄嘗試次數，如果有多于此限制的

登錄將鎖定該用戶

修改帳戶的當前口令

NDS的口令限制十分靈活，管理員可以對每個用戶

定義具有針對性的參數。例如，可以規定普通用

戶使用至少6個字符組成的口令。另外，還可以要

求網絡管理員使用12個字符的口令，以保證這些

高級帳戶不容易被破解。

猾華廣學出版社

4.LoginTimeRestrictions：該（登錄時間限制）按

鈕允許系統管理員定義允許特定的用戶通過授權

檢查進入NDS樹。設置的限制可以是每天中的某

些時段或者每星期的某些天。

5.NetworkAddressRestrictions：該（網絡地址限

制）按鈕允許NDS管理員識別用戶在通過授權檢

查進入NDS樹時使用的是哪個系統。管理員允許

使用網絡主機地址或者拓撲MediaAccessControl

（MAC）號限制用戶，這樣可以保證用戶只能通

過各自分配的工作站訪問網絡資源。

6.IntruderLockout：該（封鎖入侵者）按鈕會出現

對失敗的登錄嘗試進行的統計。

華文學出朧濁—嬲鼐財刪翻?牌m■HI

系統管理員可以查看某個帳戶是否已經因為有過多

的錯誤口令嘗試而被封鎖，還可以查看錯誤口令

嘗試的次數及使用的主機名稱。失敗的登錄嘗試

信息也會記錄在審核日志中。這些信息對于跟蹤

入侵者是十分重要的。

即使某個帳號沒有被封鎖，IntruderLockout屏幕

也可以顯示其失敗的登錄嘗試和距離失敗嘗試剩

余次數變成0之前還有多少。

7.RightstoFilesandDirectories：該（對文件和目

錄的訪問權限）按鈕允許NDS管理員查看分配給

特定用戶的所有文件和目錄許可權。可以按照地

理位置顯示和查看用戶分配的所有文件訪問權限。

8.GroupMembership：該（成員分組）按鈕允許管

理員定義各用戶屬于哪些工作組。由于可以對工

作組授予訪問權限，因此對于每個工作組應該先

授予許可權，再向組中添加需要該權限的用戶，

這種作法更方便。

注意：如果一名用戶與所有的工作組都相連，則管

理員就需要查看各工作組具有的權限，以掌握該

用戶可以訪問文件區的整體情況。

9.SecurityEqualTo：該（安全等價性）按鈕允許

管理員查看和配置從其他用戶或者工作組延續下

來的所有訪問權限。這個屏幕為NDS管理員提供

了集中查看所有安全等價情況的場所。

膏舒j學出膽粒.置界j局fllSBBjSEBBBSMMMH

例如，人們通常把所有技術支持人員的安全等價性

設置為NDSAdmino這樣可以使技術支持人員具

有對所有NDS對象的完整的控制。雖然與Admin

等價的設置需要逐個用戶進行檢查，但最好讓技

術支持人員使用不同于管理員的另一個帳戶。這

樣可以在審核日志中留下更清楚的記錄。如果所

有技術支持人員都使用Admin帳戶進行修改，則

系統管理員此后將無法對這些活動進行跟蹤。而

為技術支持人員分配自己的帳戶，管理員就能夠

從日志記錄中查看誰進行了何種特定的修改。

管理員應該為技術支持人員提供兩個帳戶，一個用

于進行管理員級的修改，另一個用于日常活動。

清華關淳圜版社巧Mg黑炭懶!怎

管理員在工作中很容易出現疏忽，從而給系統帶來

故障。擁有對系統的完全訪問的權限有時會給系

統帶來重大的損害。使用另一個帳戶進行管理員

活動，技術支持人員就能夠比較清楚地把注意力

集中在手頭的工作上。完成整個任務后，技術支

持人員就可以退出登錄再使用自己普通的用戶帳

戶。

8.3.4文件系統

多數文件系統的訪問權是通過nwadmii95進行控制

的。這樣可以保證NDS管理員快速識別分配給每

個用戶的訪問權限。NetWare系統還提供了一種

名叫Filer的實用程序，允許管理員以遞歸方式控

制目錄的訪問權限系列。這種訪問權限系列可以

使用繼承式權限屏蔽(inheritedrightsmask)進

行控制。

清華文學出演社