目錄     

引言            

一． 網絡威脅

   1.1 網絡威脅的來源  -------------------------------------------------------------------2

   1.2 網絡攻擊的發展趨勢----------------------------------------------------------------3

   1.3 網絡安全管理措施-------------------------------------------------------------------4

   1.4 通過核心交換機對匯聚交換機進行ACL控制端口 ------------------5

二．網絡安全技術發展，目前常見安全組件技術分析

    2.1 防火墻技術--------------------------------------------------6

    2.2 加密及數字簽名技術------------------------------------------7

    2.3 PKI技術加密技術 -----------------------------------------------------------------8

三．入侵檢測機制及入侵防御系統的工作過程

    3.1 入侵防御系統的概念及其特點----------------------------------9

    3.2 入侵防御系統的分類、部署方式及工作原理----------------------10

    3.3 入侵防御系統的具體實現-------------------------------------11

四．研究web應用安全產生的根源，及防護措施

    4.1 Web 應用的安全現狀-----------------------------------------12

4.2 Web 安全防護措施-------------------------------------------13

4.3 應急措實---------------------------------------------------14

4.4 什么是XSS攻擊---------------------------------------------15

4.5 XSS漏洞如何利用--------------------------------------------15

4.6 XSS跨站漏洞的防范和應對------------------------------------16

4.7 結合某公司真實情況，案例分析----------------------------17-21

五．主要研究sql注入攻擊的形為分析

     5.1 sql注入原理-----------------------------------------------22

     5.2 SQL注入攻擊的簡單示例 ------------------------------------23

     5.3 SQL注入式攻擊的防治---------------------------------------23

     5.4 MySQL表名注入案例分析-------------------------------------------24-26

                             引言

21世紀全世界的計算機大部分都將通過互聯網連到一起，在信息社會中，隨著國民經濟的信息化程度的提高，有關的大量情報和商務信息都高度集中地存放在計算機中，隨著網絡應用范圍的擴大，信息的泄露問題也變得日益嚴重，因此，計算機網絡的安全性問題就越來越重要。計算機網絡安全從技術上來說，主要由防病毒、防火墻等多個安全組件組成，一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有：防火墻技術、加密及數字簽名技術、PKI技術等，隨著互聯網基礎設施建設的推進與完善，Web 技術的迅速發展，基于互聯網平臺的 Web 應用也勢如破竹、如火如荼，為互聯網的發展增添了不少活力。然而，隨之而來的信息安全問題也日益突出，大量的數據竊取、網站掛馬、惡意攻擊等信息安全事件損害人們的財產利益、危及國家安全與社會穩定。根據 Gartner 的最新調查，信息安全攻擊有 75%都是發生在 Web 應用而非網絡層面上。同時，數據也顯示，三分之二的 Web 站點都相當脆弱，易受攻擊。而在絕大多數的網絡安全措施中，人們將大量的投資都花費在網絡和服務器的硬件安全上，沒有從真正意義上保證 Web 應用本身的安全。如何在推動社會信息化進程中加強 Web 應用平臺的安全，維護各方的根本利益和構建社會的和諧穩定，促進社會經濟的健康發展，成為信息安全研究里必須要認真對待的一個問題。

       

               網絡層及web應用層的安全技術分析

一．網絡威脅

1.1  網絡威脅的來源

　　(1)網絡操作系統的不安全性：目前流行的操作系統均存在網絡安全漏洞。

　　(2)來自外部的安全威脅：非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統正常運行、利用網絡傳播病毒等。

　　(3)網絡通信協議本身缺乏安全性(如：TCP/IP協議)：協議的最大缺點就是缺乏對IP地址的保護，缺乏對IP包中源IP地址真實性的認證機制與保密措施。

　　(4)木馬及病毒感染。

　　(5)應用服務的安全：許多應用服務系統在訪問控制及安全通信方面考慮的不周全。

 1.2 網絡攻擊的發展趨勢

     目前新發現的安全漏洞每年都要增加一倍。管理人員不斷用最新的補丁修補這些漏洞，而且每年都會發現安全漏洞的新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標，而且現在攻擊工具越來越復雜，與以前相比，攻擊工具的特征更難發現，更難利用特征進行檢測，具有反偵察的動態行為攻擊者采用隱蔽攻擊工具特性的技術。攻擊自動化程度和攻擊速度提高，殺傷力逐步提高。越來越多的攻擊技術可以繞過防火墻。在許多的網站上都有大量的穿過防火墻的技術和資料。由此可見管理人員應對組成網絡的各種軟硬件設施進行綜合管理，以達到充分利用這些資源的目的，并保證網絡向用戶提供可靠的通信服務。

 1.3 網絡安全管理措施

    安全管理是指按照本地的指導來控制對網絡資源的訪問，以保證網絡不被侵害，并保證重要信息不被未授權的用戶訪問。網絡安全管理主要包括：安全設備的管理、安全策略管理、安全風險控制、安全審計等幾個方面。安全設備管理：指對網絡中所有的安全產品。如防火墻、VPN、防病毒、入侵檢測(網絡、主機)、漏洞掃描等產品實現統一管理、統一監控。

　　安全策略管理：指管理、保護及自動分發全局性的安全策略，包括對安全設備、操作系統及應用系統的安全策略的管理。

　　安全分析控制：確定、控制并消除或縮減系統資源的不定事件的總過程，包括風險分析、選擇、實現與測試、安全評估及所有的安全檢查(含系統補丁程序檢查)。

安全審計：對網絡中的安全設備、操作系統及應用系統的日志信息收集匯總。實現對這些信息的查詢和統計;并通過對這些集中的信息的進一步分析，可以得出更深層次的安全分析結果。

  1.4 通過核心交換機對匯聚交換機進行ACL控制策略，開放端口

   

      測試環境拓撲如下：

                        

 

目前搭建環境是通過核心交換機對匯聚交換機out方向做端口限制，搭建了一臺測試服務器使用ip：14.29.125.250 掩碼：255.255.255.252 網關：14.29.125.249,通過外網端口掃描顯示開啟了5666和16120兩個端口。

                      圖1

以下從vlan990調用acl策略：

acl number 3000

rule 0 permit tcp destination-port eq www

 rule 5 permit tcp destination-port eq 443

 rule 10 permit tcp destination-port eq 8443

 rule 15 permit tcp destination-port eq 1710

 rule 25 permit tcp destination-port eq 8080

 rule 30 permit tcp destination-port eq ftp-data

 rule 31 permit tcp destination-port eq ftp

 rule 35 permit tcp destination-port eq 5000

 rule 40 permit tcp destination-port eq 5001

 rule 45 permit tcp destination-port eq 8000

 rule 55 permit tcp destination-port eq 8001

 rule 60 permit tcp destination-port eq 9000

 rule 65 permit tcp destination-port eq 16120

 rule 67 permit tcp destination-port eq 5666

 rule 70 permit tcp destination-port eq 9999

 rule 75 permit udp destination 14.152.74.242 0

 rule 80 permit udp destination 14.152.74.243 0

 rule 85 permit udp destination 14.152.74.244 0

 rule 90 permit udp destination 221.5.107.232 0

 rule 95 permit udp destination 221.5.107.233 0

 rule 100 permit udp destination 221.5.107.234 0

 rule 200 deny tcp

interface Vlan-interface990

 ip address 14.29.125.249 255.255.255.252

 packet-filter 3000 outbound

再次外網測試端口顯示5666關閉，16120匹配到acl3000規則所以放開。

經上述測試可以過濾非知名和未登記端口。

二． 網絡安全發展，目前常見安全組件技術分析 

2.1 防火墻技術

　　防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備，主要方法有：堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。

　　根據防火墻所采用的技術不同，我們可以將它分為四種基本類型：包過濾型、網絡地址轉換(NAT)、代理型和監測型。

　　(1)包過濾型

　　包過濾型產品是防火墻的初級產品，這種技術由路由器和Filter共同完成，路由器審查每個包以便確定其是否與某一包過濾原則相匹配。防火墻通過讀取數據包中的“包頭”的地址信息來判斷這些“包”是否來自可信任的安全站，如果來自危險站點，防火墻便會將這些數據拒絕。包過濾的優點是處理速度快易于維護。其缺點是包過濾技術完全基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法告知何人進入系統，無法識別基于應用層的惡意入侵，如木馬程序，另一不足是不能在用戶級別上進行過濾。即不能鑒別不同的用戶和防止IP盜用。

　　(2)網絡地址轉換

　　網絡地址轉換在內部網絡通過安全網卡訪問外部網絡時。將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，而隱藏真實的內部網絡地址。利用網絡地址轉換技術能透明地對所有內部地址作轉換，使外部網絡無法了解內部結構，同時允許內部網絡使用自編的IP地址和專用網絡。防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。

　　(3)代理型

　　代理型的特點是將所有跨越防火墻的網絡通訊鏈路分為二段。防火墻內外計算機系統間的應用層的“連接”由二個終止于代理服務器上的“連接”來實現，外部計算機的網絡鏈路只能到達代理服務器，由此實現了“防火墻”內外計算機系統的隔離，代理服務器在此等效于一個網絡傳輸層上的數據轉發器的功能，外部的惡意侵害也就很難破壞內部網絡系統。代理型防火墻的優點是安全性較高，可對應用層進行偵測和掃描，對基于應用層的入侵和病毒十分有效。其缺點是對系統的整體性能有較大的影響，系統管理復雜。

　　(4)監測型

　　監測型防火墻是新一代的產品，監測型防火墻能夠對各層的數據進行主動的、實時的監測。在對這些數據加以分析的基礎上，監測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種監測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中。不僅能夠監測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。因此，監測型防火墻不僅超越了傳統防火墻的定義，而且在安全性上也超越了前兩代產品，但其缺點是實現成本較高，管理復雜。所以目前在實用中的防火墻產品仍然以第二代代理型產品為主，但在某些方面已開始使用監測型防火墻。

2.2加密及數字簽名技術

　　加密技術的出現為全球電子商務提供了保證，從而使基于Internet上的電子交易系統成為了可能，因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規的以口令為基礎的技術，加密運算與解密運算使用同樣的密鑰。

　　不對稱加密，即“公開密鑰密碼體制，其中加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道，分別稱為“公開密鑰”和“秘密密鑰”。

　　目前，廣為采用的一種對稱加密方式是數據加密標準(DES)，DES對64位二進制數據加密，產生64位密文數據，實際密鑰長度為56位(有8位用于奇偶校驗，解密時的過程和加密時相似，但密鑰的順序正好相反)，這個標準由美國國家安全局和國家標準與技術局來管理。DES的成功應用是在銀行業中的電子資金轉賬(EFT)領域中。現在DES也可由硬件實現，AT&T首先用LSI芯片實現了DES的全部工作模式，該產品稱為數據加密處理機DEP。另一個系統是國際數據加密算法(IDEA)，它比DES的加密性好，而且計算機功能也不需要那么強。在未來，它的應用將被推廣到各個領域。IDEA加密標準由PGP(Pretty Good Privacy)系統使用，PGP是一種可以為普通電子郵件用戶提供加密、解密方案的安全系統。在PGP系統中，使用IDEA(分組長度128bit)、RSA(用于數字簽名、密鑰管理)、MD5(用于數據壓縮)算法，它不但可以對你的郵件保密以防止非授權者閱讀，還能對你的郵件加以數字簽名從而使收信人確信郵件是由你發出。

在電腦網絡系統中使用的數字簽名技術將是未來最通用的個人安全防范技術，其中采用公開密鑰算法的數字簽名會進一步受到網絡建設者的青睞。這種數字簽名的實現過程非常簡單：首先，發送者用其秘密密鑰對郵件進行加密，建立了一個“數字簽名”，然后通過公開的通信途徑將簽名和郵件一起發給接收者，接收者在收到郵件后使用發送者的另一個密匙——公開密鑰對簽名進行解密，如果計算的結果相同他就通過了驗證。數字簽名能夠實現對原始郵件不可抵賴性的鑒別。另外，多種類型的專用數字簽名方案也將在電子貨幣、電子商業和其他的網絡安全通信中得到應用。

2.3  PKI技術

　　PKI(Public Key Infrastructure，公開密鑰基礎設施)是一種遵循既定標準的密鑰管理平臺，它是通過使用公開密鑰技術和數字證書來確保系統信息安全并負責驗證數字證書持有者身份。例如，某企業可以建立公鑰基礎設施(PKI)體系來控制對其計算機網絡的訪問。在將來，企業還可以通過公鑰基礎設施(PKI)系統來完成對進入企業大門和建筑物的提貨系統的訪問控制。

　　PKI讓個人或企業安全地從事其商業行為。企業員工可以在互聯網上安全地發送電子郵件而不必擔心其發送的信息被非法的第三方(競爭對手等)截獲。企業可以建立其內部Web站點，只對其信任的客戶發送信息。

　　PKI采用各參與方都信任一個同一CA(認證中心)，由該CA來核對和驗證各參與方身份的身份這種信任機制。例如，許多個人和企業都信任合法的駕駛證或護照。這是因為他們都信任頒發這些證件的同一機構——政府，因而他們也就信任這些證件。然而，一個學生的學生證只能被核發此證的學校來進行驗證。數字證書也一樣。

在一個典型、完整和有效的PKI系統中，除證書的創建和發布，特別是證書的撤銷，一個可用的PKI產品還必須提供相應的密鑰管理服務，包括密鑰的備份、恢復和更新等。沒有一個好的密鑰管理系統，將極大影響一個PKI系統的規模、可伸縮性和在協同網絡中的運行成本。在一個企業中，PKI系統必須有能力為一個用戶管理多對密鑰和證書;能夠提供安全策略編輯和管理工具，如密鑰周期和密鑰用途。 PKI發展的一個重要方面就是標準化問題，它也是建立互操作性的基礎。目前，PKI標準化主要有兩個方面：一是RSA公司的公鑰加密標準PKCS(Public Key Cryptography Standards)，它定義了許多基本PKI部件，包括數字簽名和證書請求格式等;二是由Internet工程任務組IETF(Internet Engineering Task Force)和PKI工作組PKIX(Public Key Infrastructure Working Group)所定義的一組具有互操作性的公鑰基礎設施協議。在今后很長的一段時間內，PKCS和PKIX將會并存，大部分的PKI產品將保持兼容性，這兩種標準都會得到支持。