【正文】 ..... 15 基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 4 配置 VPN 服務(wù)器 ................................................................................ 17 網(wǎng)絡(luò)規(guī)則 ............................................................................................. 18 防火墻策略 ........................................................................................ 18 用戶(hù)撥入權(quán)限 .................................................................................. 18 5. 結(jié)束語(yǔ) ................................................................................................................. 21 致 謝 ........................................................................................................................ 22 參考文獻(xiàn) ................................................................................................................... 23 基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 1 Inter 的發(fā)展給政府結(jié)構(gòu)、企事業(yè)單位帶來(lái)了革命性的改革和開(kāi)放。他們正努力通過(guò)利用 Inter 來(lái)提高辦事效率和市場(chǎng)反應(yīng)速度，以便更具競(jìng)爭(zhēng)力。通過(guò) Inter ，企業(yè)可以從異地取回重要數(shù)據(jù)，同時(shí)又要面對(duì) Inter 開(kāi)放帶來(lái)的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn)：即客戶(hù)、銷(xiāo)售商、移動(dòng)用戶(hù)、異地員工和內(nèi)部員工的安全訪(fǎng)問(wèn)；以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此企業(yè)必須加筑安全的 戰(zhàn)壕 ，而這個(gè) 戰(zhàn)壕 就是防火墻。 防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來(lái)越多地應(yīng)用于專(zhuān)用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入 Inter 網(wǎng)絡(luò)為最甚。 的定義 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的 組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter 之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。 所有的防火墻都具有 IP 地址過(guò)濾功能。這項(xiàng)任務(wù)要檢查 IP 包頭，根據(jù)其IP 源地址和目標(biāo)地址作出放行 /丟棄決定?？纯聪旅孢@張圖，兩個(gè)網(wǎng)段之間隔了一個(gè)防火墻，防火墻 的一端有臺(tái) UNIX 計(jì)算機(jī)，另一邊的網(wǎng)段則擺了臺(tái) PC 客戶(hù)機(jī)。 圖 11 IP 地址過(guò)濾 基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 2 當(dāng) PC 客戶(hù)機(jī)向 UNIX 計(jì)算機(jī)發(fā)起 tel 請(qǐng)求時(shí)， PC 的 tel 客戶(hù)程序就產(chǎn)生一個(gè) TCP 包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來(lái)，協(xié)議棧將這個(gè) TCP包 “ 塞 ” 到一個(gè) IP 包里，然后通過(guò) PC 機(jī)的 TCP/IP 棧所定義的路徑將它發(fā)送給UNIX 計(jì)算機(jī)。在這個(gè)例子里，這個(gè) IP 包必須經(jīng)過(guò)橫在 PC 和 UNIX 計(jì)算機(jī)中的防火墻才能到達(dá) UNIX 計(jì)算機(jī)。 圖 12 防火墻阻止 IP 流量 現(xiàn)在我們 “ 命令 ” （用專(zhuān)業(yè)術(shù)語(yǔ)來(lái)說(shuō)就是配制）防火墻把所有發(fā)給 UNIX 計(jì)算機(jī)的數(shù)據(jù)包都給拒了，完成這項(xiàng)工作以后， “ 心腸 ” 比較好的防火墻還會(huì)通知客戶(hù)程序一聲呢！既然發(fā)向目標(biāo)的 IP 數(shù)據(jù) 沒(méi)法轉(zhuǎn)發(fā)，那么只有和 UNIX 計(jì)算機(jī)同在一個(gè)網(wǎng)段的用戶(hù)才能訪(fǎng)問(wèn) UNIX 計(jì)算機(jī)了。 還有一種情況，你可以命令防火墻專(zhuān)給那臺(tái)可憐的 PC 機(jī)找茬，別人的數(shù)據(jù)包都讓過(guò)就它不行。這正是防火墻最基本的功能：根據(jù) IP 地址做轉(zhuǎn)發(fā)判斷。但要上了大場(chǎng)面這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用 IP 地址欺騙技術(shù)，偽裝成合法地址的計(jì)算機(jī)就可以穿越信任這個(gè)地址的防火墻了。不過(guò)根據(jù)地址的轉(zhuǎn)發(fā)決策機(jī)制還是最基本和必需的。另外要注意的一點(diǎn)是，不要用 DNS 主機(jī)名建立過(guò)濾表，對(duì) DNS 的偽造比 IP 地址欺騙要容易多了。 服務(wù)器 TCP/UDP 端口過(guò) 濾 僅僅依靠地址進(jìn)行數(shù)據(jù)過(guò)濾在實(shí)際運(yùn)用中是不可行的，還有個(gè)原因就是目標(biāo)主機(jī)上往往運(yùn)行著多種通信服務(wù)，比方說(shuō)，我們不想讓用戶(hù)采用 tel 的方式連到系統(tǒng)，但這絕不等于我們非得同時(shí)禁止他們使用 SMTP/POP 郵件服務(wù)器吧？所以說(shuō)，在地址之外我們還要對(duì)服務(wù)器的 TCP/ UDP 端口進(jìn)行過(guò)濾。 基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 3 圖 13 服務(wù)器端的 TCP/UDP 端 口過(guò)濾 比如，默認(rèn)的 tel 服務(wù)連接端口號(hào)是 23。假如我們不許 PC 客戶(hù)機(jī)建立對(duì) UNIX 計(jì)算機(jī)（在這時(shí)我們當(dāng)它是服務(wù)器）的 tel 連接，那么我們只需命令防火墻檢查發(fā)送目標(biāo)是 UNIX 服務(wù)器的數(shù)據(jù)包，把其中具有 23 目標(biāo)端口號(hào)的包過(guò)濾就行了。這樣，我們把 IP 地址和目標(biāo)服務(wù)器 TCP/UDP 端口結(jié)合起來(lái)不就可以作為過(guò)濾標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)相當(dāng)可靠的防火墻了嗎？不，沒(méi)這么簡(jiǎn)單。 客戶(hù)機(jī)也有 TCP/UDP 端口 TCP/IP 是一種端對(duì)端協(xié)議，每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)都具有唯一的地址。網(wǎng)絡(luò)節(jié)點(diǎn)的應(yīng)用層也是這樣，處于應(yīng)用層的每 個(gè)應(yīng)用程序和服務(wù)都具有自己的對(duì)應(yīng) “ 地址 ” ，也就是端口號(hào)。地址和端口都具備了才能建立客戶(hù)機(jī)和服務(wù)器的各種應(yīng)用之間的有效通信聯(lián)系。比如， tel 服務(wù)器在端口 23 偵聽(tīng)入站連接。同時(shí)tel 客戶(hù)機(jī)也有一個(gè)端口號(hào)，否則客戶(hù)機(jī)的 IP 棧怎么知道某個(gè)數(shù)據(jù)包是屬于哪個(gè)應(yīng)用程序的呢？ 由于歷史的原因，幾乎所有的 TCP/IP 客戶(hù)程序都使用大于 1023 的隨機(jī)分配端口號(hào)。只有 UNIX 計(jì)算機(jī)上的 root 用戶(hù)才可以訪(fǎng)問(wèn) 1024 以下的端口，而這些端口還保留為服務(wù)器上的服務(wù)所用。所以，除非我們讓所有具有大于 1023 端口號(hào)的數(shù)據(jù)包進(jìn) 入網(wǎng)絡(luò)，否則各種網(wǎng)絡(luò)連接都沒(méi)法正常工作。 這對(duì)防火墻而言可就麻煩了，如果阻塞入站的全部端口，那么所有的客戶(hù)機(jī)都沒(méi)法使用網(wǎng)絡(luò)資源。因?yàn)榉?wù)器發(fā)出響應(yīng)外部連接請(qǐng)求的入站（就是進(jìn)入防火墻的意思）數(shù)據(jù)包都沒(méi)法經(jīng)過(guò)防火墻的入站過(guò)濾。反過(guò)來(lái)，打開(kāi)所有高于1023 的端口就可行了嗎？也不盡然。由于很多服務(wù)使用的端口都大于 1023，比如 X client、基于 RPC 的 NFS 服務(wù)以及為數(shù)眾多的非 UNIX IP 產(chǎn)品等（ NetWare/IP）就是這樣的。那么讓達(dá)到 1023 端口標(biāo)準(zhǔn)的數(shù)據(jù)包都進(jìn)入網(wǎng)絡(luò)的話(huà)網(wǎng)絡(luò)還能說(shuō)是安全的嗎？連這些客 戶(hù)程序都不敢說(shuō)自己是足夠安全的。 基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 4 圖 14 客戶(hù) 端的 TCP/UDP 端 口過(guò)濾 雙向過(guò)濾 OK，咱們換個(gè)思路。我們給防火墻這樣下命令：已知服務(wù)的數(shù)據(jù)包可以進(jìn)來(lái)，其他的全部擋在防火墻之外。比如，如果你知道用戶(hù)要訪(fǎng)問(wèn) Web 服務(wù)器，那就只讓具有源端口號(hào) 80 的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)： 圖 15 雙向過(guò)濾 不過(guò)新問(wèn)題又出現(xiàn)了。首先，你怎么知道你要訪(fǎng)問(wèn)的服務(wù)器具有哪些正在運(yùn)行的端口號(hào)呢？ 像 HTTP 這樣的服務(wù)器本來(lái)就是可以任意配置的，所采用的基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 5 端口也可以隨意配置。如果你這樣設(shè)置防火墻，你就沒(méi)法訪(fǎng)問(wèn)哪些沒(méi)采用標(biāo)準(zhǔn)端口號(hào)的的網(wǎng)絡(luò)站點(diǎn)了！反過(guò)來(lái)，你也沒(méi)法保證進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包中具有端口號(hào) 80的就一定來(lái)自 Web服務(wù)器。有些黑客就是利用這一點(diǎn)制作自己的入 侵工具，并讓其運(yùn)行在本機(jī)的 80 端口！ 檢查 ACK 位 源地址我們不相信，源端口也信不得了，這個(gè)不得不與黑客共舞的瘋狂世界上還有什么值得我們信任呢？還好，事情還沒(méi)到走投無(wú)路的地步。對(duì)策還是有的，不過(guò)這個(gè)辦法只能用于 TCP 協(xié)議。 TCP 是一種可靠的通信協(xié)議， “ 可靠 ” 這個(gè)詞意味著協(xié)議具有包括糾錯(cuò)機(jī)制在內(nèi)的一些特殊性質(zhì)。為了實(shí)現(xiàn)其可靠性，每個(gè) TCP 連接都要先經(jīng)過(guò)一個(gè) “ 握手 ” 過(guò)程來(lái)交換連接參數(shù)。還有，每個(gè)發(fā)送出去的包在后續(xù)的其他包被發(fā)送出去之前必須獲得一個(gè)確認(rèn)響應(yīng)。但并不是對(duì)每個(gè) TCP 包都非要采用專(zhuān)門(mén)的 ACK包來(lái)響 應(yīng)，實(shí)際上僅僅在 TCP 包頭上設(shè)置一個(gè)專(zhuān)門(mén)的位就可以完成這個(gè)功能了。所以，只要產(chǎn)生了響應(yīng)包就要設(shè)置 ACK 位。連接會(huì)話(huà)的第一個(gè)包不用于確認(rèn)，所以它就沒(méi)有設(shè)置 ACK 位，后續(xù)會(huì)話(huà)交換的 TCP 包就要設(shè)置 ACK 位了。 圖 16 檢查 ACK 位 舉個(gè)例子， PC 向遠(yuǎn)端的 Web 服務(wù)器發(fā)起一個(gè)連接，它生成一個(gè)沒(méi)有設(shè)置 ACK位的連接請(qǐng) 求包。當(dāng)服務(wù)器響應(yīng)該請(qǐng)求時(shí)，服務(wù)器就發(fā)回一個(gè)設(shè)置了 ACK 位的數(shù)據(jù)包，同時(shí)在包里標(biāo)記從客戶(hù)機(jī)所收到的字節(jié)數(shù)。然后客戶(hù)機(jī)就用自己的響應(yīng)包再響應(yīng)該數(shù)據(jù)包，這個(gè)數(shù)據(jù)包也設(shè)置了 ACK 位并標(biāo)記了從服務(wù)器收到的字節(jié)數(shù)。通過(guò)監(jiān)視 ACK 位，我們就可以將進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)限制在響應(yīng)包的范圍之內(nèi)。于是，遠(yuǎn)程系統(tǒng)根本無(wú)法發(fā)起 TCP 連接但卻能響應(yīng)收到的數(shù)據(jù)包了。 這套機(jī)制還不能算是無(wú)懈可擊，簡(jiǎn)單地舉個(gè)例子，假設(shè)我們有臺(tái)內(nèi)部 Web服務(wù)器，那么端口 80 就不得不被打開(kāi)以便外部請(qǐng)求可以進(jìn)入網(wǎng)絡(luò)。還有，對(duì)UDP 包而言就沒(méi)法監(jiān)視 ACK 位了，因?yàn)?UDP 包壓根就沒(méi)有 ACK 位。還有一些 TCP應(yīng)用程序，比如 FTP，連接就必須由這些服務(wù)器程序自己發(fā)起。 FTP 帶來(lái)的困難 一般的 Inter 服務(wù)