第8章网络协议的安全祥解.ppt

在处理文件传输协议时要注意以下问题。 ① 最好是在有支持被动模式的FTP客户时，才允许内部主机与外部服务器联系。 ② 如果没有支持被动模式的FTP客户，就用FTP代理服务器。 ③ 如果允许入站的FTP连接，设置包过滤规则使得只有进入某台特定主机（如堡垒主机）的连接才允许进入。 ④ 不允许TFTP穿过防火墙，最好在服务器中去掉这个服务。 ⑤ 不允许FSP通过防火墙，尽量隔开所有TCP，但某些特殊服务除外，如DNS。 ⑥ 不允许NFS通过防火墙。 8.3.2 Telnet的安全 Telnet是一种因特网远程终端访问标准。它真实地模仿远程终端，但是不具有图形功能，它仅提供基于字符应用的访问。Telnet允许为任何站点上地合法用户提供远程访问权，而不需要做特殊约定。 1．Telnet简介 Telnet提供对一台主机简单地终端访问。这个协议包括处理各种终端设置，如原始模式与字符回显等。 2．Telnet的安全问题 对于出站Telnet服务，一个本地客户进入到一个远程服务器，需要处理系统输出和输入数据包，输出数据包含有用户键入的内容，它具有以下几个特点。 ① 数据包的IP源地址是Telnet客户机的地址。 ② 数据包的IP目的地址是Telnet服务器的地址。 ③ Telnet的数据包类型为TCP。 ④ 一般情况下，目标端口为23，但Telnet服务器可以自己设置。 ⑤ 源端口为一个大于1 023的随机数。 ⑥ 第一个数据包没有设置ACK位，而其余的包将设置了ACK位。 而对于出站服务的输入数据包含有的显示到用户屏幕上的数据具有以下特点。 ① 输入数据包的IP源地址是Telnet服务器的地址。 ② 数据包的IP目的地址是Telnet客户机的地址。 ③ Telnet的数据包类型为TCP。 ④ 一般情况下，源端口为23，但Telnet服务器可以自己设置。 ⑤ 目标端口为一大于1 023的随机数。 ⑥ 所有的输入数据包都设置ACK位。 入站Telnet服务是一个远程客户机和防火墙里面的Telnet服务器通信。入站的Telnet服务的输入数据包含有远程用户键入的内容，具有以下特点。 ① 输入数据包的IP源地址是Telnet客户机（远程主机）的地址。 ② 数据包的IP目的地址是Telnet服务器（本地主机）的地址。 ③ Telnet的数据包类型为TCP。 ④ 一般情况下，目标端口为23，但Telnet服务器可以自己设置。 ⑤ 源端口为一大于1 023的随机数。 ⑥ 第一个数据包没有设置ACK位，而其余的包将设置ACK位。 入站Telnet服务的输出数据包有以下特点。 ① 输入数据包的IP源地址是Telnet服务器（本地主机）的地址。 ② 数据包IP目的地址是Telnet客户机（远程主机）的地址。 ③ Telnet的数据包类型为TCP。 ④ 一般情况下，目标端口为23，但Telnet服务器可以自己设置。 ⑤ 源端口为一大于1 023的随机数。 ⑥ 第一个数据包没有设置ACK位，而其余的包将设置ACK位。 服务方向 包的流出 源地址 目标地址 包类型 源端口 目标端口 ACK 出 出 内部 外部 TCP 1 023 23 1 出 入 外部 内部 TCP 23 1 023 Yes 入 入 外部 内部 TCP 1 023 23 1 入 出 内部 外部 TCP 23 1 023 yes 表8.3 　　　　Telnet数据包过滤表 规则 包的流向 源地址 目标地址 包类型 源端口 目标端口 ACK 是否通过 1 出 内部 外部 TCP 1 023 23 任意 允许 2 入 外部 内部 TCP 23 1 023 设置 允许 3 双向 任意 任意 任意 任意 任意 任意 拒绝 表8.4 　　　　Telnet出站服务数据包过滤表 总之，Telnet是一个非常有用的工具，并且一般主机总都开启了Telnet服务。但Telnet本身存在很多的安全问题，主要表现在以下几个方面。 （1）传输明文。 （2）没有强力认证过程。 （3）没有完整性检查。 （4）传送的数据都没有加密。 只有替换在传输过程中使用明文的传统Telnet软件，使用SSL Telnet等一些Telnet的加密版本才能保证Telnet的安全。 8.3.3 S-HTTP 1．协议简介 S-HTTP（Secure Hyper Text Transfer Protocol）是保护Internet上所传输的敏感信息的安全协议。 2．S-HTTP与SSL的比较 SSL加密整个通信信道，而S-HTTP则分别加密每条消息。S-HTTP允许用户在每条消息上产生数字签名，而不只是认证协议作用期间的特定消息，SSL则缺乏此功能。 8.3.4 电子商务的安