操作系統(tǒng)安全》第十一章安全操作系統(tǒng)應用.ppt

第11章 安全操作系統(tǒng)應用,第一部分 教學組織,一、目的要求 1.了解目前安全操作系統(tǒng)以及WWW安全服務。 2.掌握防火墻系統(tǒng)的安全技術及保護機制。 二、工具器材 1.具有WWW服務的服務器。 2.防火墻系統(tǒng)。,第二部分 教學內容,迄今為止，整個國際上安全操作系統(tǒng)的實際應用并不成功。在實際應用中發(fā)揮作用的操作系統(tǒng)絕大部分不是安全操作系統(tǒng)。有專家認為，安全操作系統(tǒng)在商業(yè)和民用領域的不成功，主要是因為安全操作系統(tǒng)缺少靈活性和兼容性，降低了系統(tǒng)性能和效率，應發(fā)展專用安全操作系統(tǒng)。,當前安全操作系統(tǒng)不成功的本質原因是安全操作系統(tǒng)存在諸多不完善的地方，如對多安全政策的支持；對動態(tài)多安全政策的支持，包括政策切換、權限撤銷等方面；對環(huán)境適應性的支持等。本章主要介紹安全操作系統(tǒng)的兩個應用,即WWW安全和防火墻系統(tǒng)安全。,11.1 操作系統(tǒng)安全與www安全,11.1.1 WWW概述 WWW(World Wide Web)是建立在Internet上的一種網絡服務。它遵循HTTP協議，缺省端口是80。WWW所依存的超文本（Hyper-text）數據結構，采用超文本和多媒體技術，將不同的文件通過關鍵字進行鏈接。 HTTP是一個屬于應用層面向對象的協議，由于其簡捷、快速的方式，適用于分布式超媒體信息系統(tǒng)。一個完整的HTTP協議會話過程包括四個步驟：連接；請求；應答；關閉連接。,11.1.1 WWW概述,1HTTP協議的命令 （1）GET命令 請求獲取Request-URI所標識的資源，使用GET命令檢索服務器上的資源時需要指定URL，協議版本號等信息。此命令相對簡單。 例如:GET /form.html HTTP/1.1,（2）POST 命令 在Request-URI所標識的資源后附加新的數據。POST方法要求被請求服務器接受附在請求后面的數據，常用于提交表單。 eg：POST /reg.jsp HTTP/ Accept:image/gif,image/x-xbit,. . HOST: Content-Length:22 Connection:Keep-Alive Cache-Control:no-cache (CRLF) /該CRLF表示消息報頭已經結束，在此之前為消息報頭 user=jeffrey&pwd=1234 /此行以下為提交的數據,（3）HEAD命令 如果我們只對關于網頁或資源的信息感興趣，而不想檢索資源本身的全部內容，可以使用HEAD命令。HEAD的使用方法與GET正好相同，只是它不返回Web頁的正文內容。當一個Web頁的內容被更新時，可以使用這個命令通知你。它也可以使瀏覽器作出有關是否根據其大小下載網頁的決定。 HEAD方法與GET方法幾乎是一樣的，對于HEAD請求的回應部分來說，它的HTTP頭部中包含的信息與通過GET請求所得到的信息是相同的。利用這個方法，不必傳輸整個資源內容，就可以得到Request-URI所標識的資源的信息。該方法常用于測試超鏈接的有效性，是否可以訪問，以及最近是否更新。,（4）PUT命令 PUT是另一個常用的HTTP命令，HTTP協議文件上傳的標準方法是使用PUT命令。它允許從客戶端到服務器的簡單文件傳輸，常用于HTML編譯器，如Netscape的Composer和HotDog實用程序。PUT命令和POST命令的區(qū)別在于兩個命令的使用方式不同，PUT命令帶有一個參數，這個參數作為目的URI，類似于POST命令的參數。但是，PUT命令請求服務器將數據放在URI，而POST命令請求服務器將數據發(fā)給URI。,（5）DELETE命令 Delete方法就是通過http請求刪除指定的URL上的資源，Delete請求一般會返回3種狀態(tài)碼：200 (OK) - 刪除成功，同時返回已經刪除的資源 ；202 (Accepted) - 刪除請求已經接受，但沒有被立即執(zhí)行（資源也許已經被轉移到了待刪除區(qū)域）；204 (No Content) - 刪除請求已經被執(zhí)行，但是沒有返回資源（也許是請求刪除不存在的資源造成的）。Web站點管理應用程序常常使用DELETE命令和PUT命令管理服務器上的文件。,（6）OPTIONS命令 OPTIONS命令請求服務器描述“命令-URI”指定資源的特點。OPTIONS命令格式類似于其他HTTP命令。eg:OPTIONS / HTTP/1.1 (CRLF),（7）TRACE命令 TRACE命令類似于PING命令，提供路由器到目的地址的每一跳的信息。它通過控制IP報文的生存期(TTL)字段來實現。TTL等于1的ICMP回應請求報文將被首先發(fā)送。路徑上的第一個路由器將會丟棄該報文并且發(fā)送回標識錯誤消息的報文。錯誤消息通常是ICMP超時消息，表明報文順利到達路徑的下一跳，或者端口不可達消息，表明報文已經被目的地址接收但是不能向上傳送到IP協議棧。,2. 目前流行的WWW服務器 目前流行WWW服務器的三大主流為Apache Group公司的Apache Web Server服務器（阿帕奇），簡稱為Apache；基于Windows NT系統(tǒng)的微軟公司的Internet Information Server服務器，簡稱為IIS；Netscape公司的Netscape Enterprise Server服務器，簡稱Netscape。,（1）Apache服務器 Apache服務器，是一個開放源碼的Web服務器平臺，該服務器的目的是服務于一個廣為流行的現代網絡平臺/操作系統(tǒng)，兼容HTTP/1.1協議，可擴展性，支持大多數操作系統(tǒng)。如Unix， Windows，Linux，Solaris，還有Novell公司的NetWare，FreeBSD上的Mac OS X，微軟Windows，OS/2，NetBSD，BSDI,AIX，SCO，HPUX等系統(tǒng)。,（2）IIS服務器 IIS可以賦予一部主機電腦一組以上的IP地址，而且還可以有一個以上的域名作為Web網站，您可以利用TCP/IP內容設置兩組以上的IP地址給它，除了為網卡再加進一組IP地址之外，必須在負責這個點的DNS上為這組IP地址指定另一個域名，完成這些步驟以后，在Internet Service Manage中就會出現一個虛擬Web服務器，虛擬服務器（Virtual Server）必須有它自己的主目錄（home directory），對于IIS來說，所有服務器都是它的虛擬服務器。,（3）Netscape服務器 Netscape服務器支持Java run-time（JDK1.1），能將PDF格式轉化成HTMl格式，并且支持LDAP服務和Oracle，Informix數據庫。 Netscape服務器支持Digital UNIX，AIX，HPUX，Windows NT，IRIX。,11.1.2 安全WebServer概念的提出及相應的解決方案,1Apache WEB Server的安全問題及相應的解決方案 Apache服務器是應用最為廣泛的Web服務器軟件之一，服務器快速、可靠，如果經過用戶精心配置之后，就完全能夠令其適應高負荷的互聯網工作。但是，Apache服務器的Perl/Python解釋器可被編譯到服務器中,且完全免費,源代碼也完全開放,并且基于Web的通信建立在HTTP協議之上，因此，存在以下幾個安全問題：,（1) 使用HTTP協議進行的拒絕服務攻擊(denial of service):攻擊者會通過某些手段使服務器拒絕對HTTP應答。這樣會使Apache對系統(tǒng)資源(CPU時間和內存)需求巨增,造成Apache系統(tǒng)變慢甚至完全癱瘓。 （2） 緩沖區(qū)溢出:由于源代碼完全開放,攻擊者就可以利用程序編寫的一些缺陷,使程序偏離正常流程。程序使用靜態(tài)分配的內存保存請求數據,攻擊者就可以發(fā)送一個超長請求使緩沖區(qū)溢出。,（3） 被攻擊者獲得root權限:由于Apache服務器一般以root權限運行,攻擊者通過它獲得root權限,進而控制整個Apache系統(tǒng)。 （4） 惡意攻擊者進行“拒絕服務”(DoS)攻擊:它主要是存在于Apache的chunk encoding中,這是一個HTTP協議定義的用于接受web用戶所提交數據的功能。利用黑客程序可以對于運行在FreeBSD 4.5, OpenBSD 3.0/3.1, NetBSD 1.5.2平臺上的Apache服務器進行攻擊。,為了解決以上問題，結合Apache服務器的設置，正確維護和配置Apache服務器時應注意以下幾點: （1）認真設置Apache服務器的配置文件。配置文件主要有三個: httpd.con主配置文件;srm.conf填加資源文件;access.conf設置文件的訪問權限。,（2） Apache服務器的日志文件。我們可以使用日志格式指令來控制日志文件的信息。使用LogFormar“%a %1”指令,可以把發(fā)出HTTP請求瀏覽器的IP地址和主機名記錄到日志文件。出于安全的考慮,在日志中我們應知道有多少被驗證失敗的WEB用戶,在http.conf文件中加入LogFormat“%401u”指令可以實現這個目的。Apache的錯誤日志文件對于系統(tǒng)管理員來說是非常重要的,錯誤日志文件中包括服務器的啟動、停止以及CGI執(zhí)行失敗等信息。,（3）加強對Apache服務器目錄的安全認證:在Apache Server中是允許使用。htaccess是做目錄安全保護的,欲讀取這保護的目錄需要先鍵入正確用戶賬號與密碼。這樣可做為專門管理網頁存放的目錄或做為會員區(qū)等。,（4）加強Apache服務器訪問控制 配置文件中的accessconf文件,包含一些指令控制允許什么用戶訪問Apache目錄。應該把deny from all設為初始化指令,再使用allow from指令打開訪問權限。,（5）Apache服務器的密碼保護問題 使用.htaccess文件把某個目錄的訪問權限賦予某個用戶。系統(tǒng)管理員需要在httpd.conf或者srm.conf文件中使用AccessFileName指令打開目錄的訪問控制。,2安全WebServer概念的提出及相應的解決方案,基于Web的通信系統(tǒng)采用客戶/服務器結構:客戶端利用瀏覽器連接至Web服務器獲取相應的信息,在客戶端從Web服務器取得相應的應答后兩者就不再存在網絡的連接,而要等到下次傳送數據時,連接才會再次建立.這種客戶端與服務器端之間的交互作用方式稱之為查詢-應答(Query-Response)模式。只有在雙方建立起連接之后才可以查詢,而在查詢結束之后,這種連接也要釋放.在基于Web的通信中,瀏覽器和Web服務器之間采用HTTP協議進行通信.正是由于基于Web通信的這兩點特征,導致了基于Web的通信中存在以下幾個重要的弱點:,（1）由于Web服務器基于操作系統(tǒng)之上,因此操作系統(tǒng)的安全性直接關系到WWW系統(tǒng)的安全性,如果沒有操作系統(tǒng)的良好的安全性作為支撐,一切基于它的應用服務的安全性都將大打折扣； （2）由于HTTP協議沒有提供方法來認證正在進行的會話，因此不能判斷是否有不信任的第三方劫持了該會話；,（3）由于HTTP協議沒有提供加密機制,因此不信任的第三方可以在客戶和服務器之間竊聽用戶之間的通信； （4）由于HTTP是一個無狀態(tài)協議,不保存有關用戶的信息，因此不能證實用戶的身份,訪問控制也就無法建立；,（5）目前大多數Web服務器只提供公共服務,不能夠針對企業(yè)內部用戶進行粒度更為精細的訪問控制； （6）大多數的Web服務器只提供非常弱的基于用戶ID/口令字的認證,并且一旦用戶通過認證,則所有的用戶權限相等,均能夠擁有Web提供的所有服務。,正是由于基于Web的通信存在著以上弱點,因此要建立一個安全的Web站點,必須要考慮到兩點因素： （1）Web服務器系統(tǒng)所處的操作系統(tǒng)平臺的安全性； （2）Web服務器系統(tǒng)本身和網路傳輸的安全性。,為此，我們提出一種我們所理解的安全Web服務器概念： （1）Web服務器所基于的操作系統(tǒng)平臺的安全性良好； （2）網絡上傳輸的數據經過加密； （3）對正在進行的會話應提供方法來進行認證； （4）主/客體也應按安全級進行分類,即主體應擁有與其身份相符的許可證,而客體亦應賦以與其敏感性相稱的安全級標簽； （5）不同的主體只能訪問獲得相應授權的客體； （6）攻擊者不能夠通過Web服務器的漏洞來攻擊操作系統(tǒng)本身。,為達到以上幾點,相應的解決方案可以通過以下機制來實現： （1）選用最新的操作系統(tǒng)版本,并隨著最新公布的系統(tǒng)Patch隨時更新操作系統(tǒng)； （2）保證網路上傳輸的數據加密及對正在進行的會話進行認證,例如將SSL與Web服務器源代碼無縫連接；,（3）將多級安全機制(即BLP模型)應用于Web服務器中,從而實現主/客體間的訪問控制機制,保證不同的主體只能訪問獲得相應授權的客體； （4）為保證攻擊者不能夠通過Web服務器的漏洞來攻擊操作系統(tǒng)平臺,要保證Web服務器源代碼中盡可能少地存在漏洞,特別應該指出的是,針對目前對Web服務器和操作系統(tǒng)最典型的攻擊方法堆棧溢出攻擊應提供良好的解決方案。,11.1.3 基于BLP模型的SecWeb系統(tǒng)描述,1SecWeb系統(tǒng)的操作系統(tǒng)平臺SecLinux操作系統(tǒng),SecLinux 安全操作系統(tǒng)體系結構如下圖所示,11.1.3 基于BLP模型的SecWeb系統(tǒng)描述,2.SecWeb系統(tǒng)中的自主訪問控制 在網絡服務自主訪問控制(NDAC)機制中,其控制結構如下圖所示.,NACE,MAC Range,Remote Host,3SecWeb系統(tǒng)中的強制訪問控制,4SecWeb系統(tǒng)中對緩沖區(qū)溢出的處理 為解決緩沖區(qū)溢出的問題,SecWeb系統(tǒng)對Web服務器源代碼中可能造成緩沖區(qū)溢出的庫函數進行了替換，首先截獲這些庫函數調用，對之進行緩沖區(qū)邊界檢查,對可能造成緩沖區(qū)溢出的調用進行強制退出，防止不適當的或惡意的應用程序編程所造成的緩沖區(qū)溢出漏洞被惡意地加以利用。,11.2 操作系統(tǒng)安全與防火墻安全,11.2.1 防火墻介紹 1. 防火墻技術 防火墻是指設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。盡管防火墻有許許多多種形式，有以軟件形式運行在普通計算機之上的，也有以固件形式設計在路由器之中的,但總的來說業(yè)界的分類有三種：包過濾防火墻，應用級網關和狀態(tài)監(jiān)視器。,（1）包過濾防火墻 在互聯網絡這樣的TCP/IP網絡上，所有往來的信息都被分割成許許多多一定長度的信息包，包中包含發(fā)送者的IP地址和接收者的IP地址信息。當這些信息包被送上互聯網絡時，路由器會讀取接收者的IP并選擇一條合適的物理線路發(fā)送出去，信息包可能經由不同的路線抵達目的地，當所有的包抵達目的地后會重新組裝還原。包過濾式的防火墻會檢查所有通過的信息包中的IP地址，并按照系統(tǒng)管理員所給定的過濾規(guī)則進行過濾。如果對防火墻設定某一IP地址的站點為不適宜訪問的話，從這個地址來的所有信息都會被防火墻屏蔽掉。,（2）應用級網關 應用級網關也就是通常我們提到的代理服務器。它適用于特定的互聯網服務，如超文本傳輸(HTTP)，遠程文件傳輸(FTP)等等。代理服務器通常運行在兩個網絡之間，它對于客戶來說象是一臺真的服務器，而對于外界的服務器來說，它又是一臺客戶機。當代理服務器接收到用戶對某站點的訪問請求后會檢查該請求是否符合規(guī)定，如果規(guī)則允許用戶訪問該站點的話，代理服務器會象一個客戶一樣去那個站點取回所需信息再轉發(fā)給客戶。,代理服務器通常都擁有一個高速緩存，這個緩存存儲有用戶經常訪問的站點內容，在下一個用戶要訪問同一站點時，服務器就不用重復地獲取相同的內容，直接將緩存內容發(fā)出即可，既節(jié)約了時間也節(jié)約了網絡資源。 代理服務器會象一堵墻一樣擋在內部用戶和外界之間，從外部只能看到該代理服務器而無法獲知任何的內部資源，諸如用戶的IP地址等。,應用級網關比單一的包過濾更為可靠，而且會詳細地記錄所有的訪問狀態(tài)信息。但是應用級網關也存在一些不足之處，首先它會使訪問速度變慢，因為它不允許用戶直接訪問網絡，而且應用級網關需要對每一個特定的互聯網服務安裝相應的代理服務軟件，用戶不能使用未被務器支持的服務，對每一類服務要使用特殊的客戶端軟件，更不幸的是，并不是所有的互聯網應用軟件都可以使用代理服務器。,（3）狀態(tài)監(jiān)測防火墻 這種防火墻具有非常好的安全特性，它使用了一個在網關上執(zhí)行網絡安全策略的軟件模塊，稱之為監(jiān)測引擎。監(jiān)測引擎在不影響網絡正常運行的前提下，采用抽取有關數據的方法對網絡通信的各層實施監(jiān)測，抽取狀態(tài)信息，并動態(tài)地保存起來作為以后執(zhí)行安全策略的參考。監(jiān)測引擎支持多種協議和應用程序，并可以很容易地實現應用和服務的擴充。,與前兩種防火墻不同，當用戶訪問請求到達網關的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關數據進行分析，結合網絡配置和安全規(guī)定作出接納、拒絕、身份認證、報警或給該通信加密等處理動作。一旦某個訪問違反安全規(guī)定，就會拒絕該訪問，并報告有關狀態(tài)作日志記錄。,2. 防火墻的類型 （1）堡壘主機或雙穴主機網關（Dual Homed Gateway） 堡壘主機是一種被強化的能防御進攻的計算機，被暴露于因特網之上，作為進入內部網絡的一個檢查點，以達到把整個網絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其他主機的安全的目的。從堡壘主機的定義我們能看到，堡壘主機是網絡中最容易受到侵害的主機。所以堡壘主機也必須是自身保護最完善的主機。,（2）被屏蔽主機網關 屏蔽主機網關易于實現也最為安全。一個堡壘主機安裝在內部網絡上，通常在路由器上設立過濾規(guī)則，并使這個堡壘主機成為從外部網絡惟一可直接到達的主機，這確保了內部網絡不受未被授權的外部用戶的攻擊。如果受保護網是一個虛擬擴展的本地網，即沒有子網和路由器，那么內部網的變化不影響堡壘主機和屏蔽路由器的配置。危險帶限制在堡壘主機和屏蔽路由器。網關的基本控制策略由安裝在上面的軟件決定。如果攻擊者沒法登錄到它上面，內網中的其余主機就會受到很大威脅。這與雙穴主機網關受攻擊時的情形差不多。,11.2.2 防火墻涉及的安全技術,防火墻涉及到的技術有： 1. 通信過程加密 2. 強化操作系統(tǒng) 3. 認 證 4. 日志和警報 另外，包分類、存取控制、入侵檢測和動態(tài)技術等都是提高防火墻性能的關鍵技術。,11.2.3 防火墻利用安全操作系統(tǒng)的保護機制,利用域間隔離來保護防火墻中的安全數據 利用安全操作系統(tǒng)的特權管理機制 利用安全操作系統(tǒng)的審計機制進行入侵檢測與預警 利用操作系統(tǒng)的網絡安全機制,1利用域間隔離來保護防火墻中的安全數據,根據TCSEC（Trusted Computer System Evaluation Criteria）的規(guī)定，B1以上級安全操作系統(tǒng)將系統(tǒng)信息劃分三個區(qū)，即系統(tǒng)管理區(qū)，用戶空間區(qū)，病毒保護區(qū)。如圖11.9所示，該圖可看作一組系統(tǒng)安全級和用戶安全級，它們通過MAC機制的控制被分隔，從而保持了系統(tǒng)的安全性。其中，“箭頭”表示安全級支配關系。,2利用安全操作系統(tǒng)的特權管理機制,最小特權管理的思想是將超級用戶的特權劃分為一組細粒度的特權，分別授給不同的系統(tǒng)操作員/管理員，使各種系統(tǒng)管理員/操作員只具有完成其任務所需的特權，從而滿足最小特權原理。,我們知道，攻擊防火墻的技術之一便是修改防火墻的規(guī)則使得防火墻的規(guī)則對其攻擊無效，而要修改規(guī)則，則修改者須有一定的特權即可。在實際的安全操作系統(tǒng)設計中，普通用戶和特權用戶的操作在特權判斷之前是一樣的，但是到了特權判斷時普通用戶的操作請求被拒絕。一般情況下，入侵者至少使用不獲得特權的進程來完成特權操作的嘗試。,在防火墻中，一般處理特權違反操作有:報警，審計，送入侵檢測中心。表11-1就特權違反處理做詳細描述。其中，&表示送到入侵檢測中心，*表示報警。 同時，根據防火墻操作系統(tǒng)的特點，將系統(tǒng)的對防火墻的本機管理的特權賦予安全管理員。這樣，經過權限分割，系統(tǒng)的安全性大大的提高。我們給該管理員一定的安全級別，同時該防火墻的相關關鍵數據目錄文件也具有該安全級。,3利用安全操作系統(tǒng)的審計機制進行入侵檢測與預警,（1）利用審計進行入侵檢測 入侵檢測技術的關鍵是能夠得到足夠多的連接的上下文的內容，所以其基礎是連接跟蹤，通過積累足夠多的信息來進行專家支持與決策?，F在關于入侵檢測，一般的模式是主機分布式采樣過濾，中心機來專家決策和報警。工程上一般采用的技術異常探測和模式匹配技術。在這里，足夠多的數據的一部分便是通過操作系統(tǒng)的審計子系統(tǒng)獲得的。,（2）防火墻操作系統(tǒng)中的審計數據 系統(tǒng)中特權相關事件審計。通常，一個特權命令需要使用多個系統(tǒng)調用，逐個審計所用到的系統(tǒng)調用，會使審計數據復雜而難于理解，審計員很難判斷出命令的使用情況，因此，雖然系統(tǒng)調用的審計已經是十分充分的，然而特權命令的審計仍然必要。在被審計的特權命令的每個可能的出口處增加一個新的系統(tǒng)調用專門用于該命令的審計。當發(fā)生可審計事件時，要在審計點調用審計函數并向審計進程發(fā)消息。由審計進程完成審計信息的緩沖、存貯、歸檔工作。,（3）利用審計進行入侵檢測的過程 綜合本地審計數據與防火墻對安全服務的審計信息。根據審計數據的類型，判斷是否交送入侵檢測中心。,4利用操作系統(tǒng)的網絡安全機制,（1）利用安全操作系統(tǒng)來防御碎片攻擊 IP碎片指IP FRAGMENT，經常被用來作DOS攻擊，典型的例子便是teardrop和jolt2，其原理都是利用發(fā)送異常的分片，如果操作系統(tǒng)的內核在處理分片重組時沒有考慮到所有的異常情況，將可能引向異常的流程，造成拒絕服務(DOS)。,碎片攻擊不光會攻擊操作系統(tǒng)，由于許多網絡工具，如防火墻，入侵檢測系統(tǒng)(功S)也在內部作了分片組裝，如果處理不當，也同樣會遭受攻擊，如著名的checkpoint的防火墻FW-1某些版本(最新的已經改正了)便同樣會受到碎片DOS攻擊。碎片也可以用來逃避IDS檢測，許多網絡入侵檢測系統(tǒng)的機理是單IP包檢測，沒有處理分片，即使是象ISS這樣的公司也是在最新的5.0版本中才實現了組裝功能，更不用說snort了，其IP組裝插件經常造成系統(tǒng)錯誤，因此大多數人都將此功能關閉了。,（2）對碎片攻擊的防御 這里主要介紹安全操作系統(tǒng)網絡的碎片組裝程序，首先對關鍵數據結構描述。 在我們的安全防火墻操作系統(tǒng)中，用四元組(數據包的功號，源IP地址，目的IP地址，協議號)，表示一個IP碎片，四個值都相同的碎片在一個IPQ鏈中按到達操作系統(tǒng)的先后次序連接，所有的IP碎片通過哈稀表組織起來。哈稀表的大小為64，哈稀計算表達式為：,(id)1)(saddr)(daddr)(prot)&(IPQ_HASHSZ-1) 其中id為數據包的ID號，saddr為源IP地址，daddr為目的IP地址，proto為協議號，IPQ_HASHSZ為哈稀表的最大值，在此為64。表示邏輯異或算法。具體的數據結構可以表示為如圖11.10。,本章小結,在本章中,我們針對安全操作系統(tǒng)的兩種應用,即WWW安全與防火墻系統(tǒng)安全。首先介紹了WWW服務系統(tǒng)中HTTP協議中的常用命令，并且對目前流行的WWW服務器的特性和支持的操作系統(tǒng)作了比較。然后介紹了基于Web通信中存在的弱點，提出了安全Web服務器的概念，同時為了將多級安全機制整合到Web服務器中，介紹了一種基于BLP形式化模型的安全Web服務器系統(tǒng)SecWeb。最后，介紹了防火墻為核心技術：包過濾防火墻、代理防火墻、狀態(tài)監(jiān)控防火墻；論述了最常用的防火墻的類型即堡壘主機網關、雙穴主機網關、被屏蔽主機網關。重點介紹了防火墻涉及的安全技術和防火墻利用安全操作系統(tǒng)的保護機制。,實驗：配置Linux下的防火墻,【實驗目的】通過本實驗，掌握在Linux系統(tǒng)平臺下用ipchains配置防火墻的方法。 【實驗準備】 1. 網絡中包括兩個子網A和B。子網A的網絡地址為/24，網關為host A。Host A有兩個接口，eth0和eth1。Eth0連接子網A，IP地址為。eth1連接外部網絡，Ip地址為1。子網B的網絡地址為/24，網關為host B。Host B有兩個網絡接口，eth0和eth1。Eth0連接子網B，IP地址為。eth1連接外部網絡，Ip地址為01。Host A和Host B構成子網C，網絡地址是/24，通過交換機連接到Host C，然后通過host C連接Internet。Host C的內部網絡接口為eth0，IP地址為。,實驗：配置Linux下的防