【正文】 ：設定安全等級，嚴格阻止系統(tǒng)在未經安全檢測的情況下執(zhí)行下載程序；或者通過常用的基于主機的安全方法來保護網絡。（二）口令字對口令字的攻擊方式有兩種：窮舉和嗅探。窮舉針對來自外部網絡的攻擊，來猜測防火墻管理的口令字。嗅探針對內部網絡的攻擊，通過監(jiān)測網絡獲取主機給防火墻的口令字。策略：設計主機與防火墻通過單獨接口通信（即專用服務器端口）、采用一次性口令或禁止直接登錄防火墻。（三）郵件來自于郵件的攻擊方式越來越突出，在這種攻擊中，垃圾郵件制造者將一條消息復制成成千上萬份，并按一個巨大的電子郵件地址清單發(fā)送這條信息，當不經意打開郵件時，惡意代碼即可進入。策略：打開防火墻上的過濾功能，在內網主機上采取相應阻止措施。（四）IP地址黑客利用一個類似于內部網絡的IP地址，以“逃過”服務器檢測，從而進入內部網達到攻擊的目的。策略：通過打開內核rp_filter功能，丟棄所有來自網絡外部但卻有內部地址的數據包；同時將特定IP地址與MAC綁定，只有擁有相應MAC地址的用戶才能使用被綁定的IP地址進行網絡訪問。八、防火墻的反戰(zhàn)前景以及技術方向伴隨著Internet的飛速發(fā)展，防火墻技術與產品的更新步伐必然會加強，而要全面展望防火墻技術的發(fā)展幾乎是不可能的。但是，從產品及功能上，卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇：（1)防火墻將從目前對子網或內部網管理的方式向遠程上網集中管理的方式發(fā)展。（2)過濾深度會不斷加強，從目前的地址、服務過濾，發(fā)展到URL(頁面)過濾、關鍵字過濾和對ActiveX、Java等的過濾，并逐漸有病毒掃描功能。（3)利用防火墻建立專用網是較長一段時間用戶使用的主流，IP的加密需求越來越強，安全協(xié)議的開發(fā)是一大熱點。（4)單向防火墻(又叫做網絡二極管)將作為一種產品門類而出現。（5)對網絡攻擊的檢測和各種告警將成為防火墻的重要功能。（6)安全管理工具不斷完善，特別是可以活動的日志分析工具等將成為防火墻產品中的一部分。 另外值得一提的是，伴隨著防火墻技術的不斷發(fā)展，人們選擇防火墻的標準將主要集中在易于管理、應用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、VPN 的功能與CA的功能、接口的數量、成本等幾個方面。幾乎所有接觸網絡的人都知道網絡中有一些費盡心機闖入他人計算機系統(tǒng)的人，他們利用各種網絡和系統(tǒng)的漏洞，非法獲得未授權的訪問信息。不幸的是如今攻擊網絡系統(tǒng)和竊取信息已經不需要什么高深的技巧。網絡中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。不需要去了解那些攻擊程序是如何運行的，只需要簡單的執(zhí)行就可以給網絡造成巨大的威脅。甚至部分程序不需要人為的參與，非常智能化的掃描和破壞整個網絡。這種情況使得近幾年的攻擊頻率和密度顯著增長，給網絡安全帶來越來越多的安全隱患九、結束語隨著Internet/Intranet技術的飛速發(fā)展，網絡安全問題必將愈來愈引起人們的重視。防火墻技術作為目前用來實現網絡安全措施的一種主要手段，它主要是用來拒絕未經授權用戶的訪問，阻止未經授權用戶存取敏感數據，同時允許合法用戶不受妨礙的訪問網絡資源。如果使用得當，可以在很大程度上提高網絡安全。但是沒有一種技術可以百分之百地解決網絡上的所有問題，比如防火墻雖然能對來自外部網絡的攻擊進行有效的保護，但對于來自網絡內部的攻擊卻無能為力。事實上60%以上的網絡安全問題來自網絡內部。因此網絡安全單靠防火墻是不夠的，還需要有其它技術和非技術因素的考慮，如信息加密技術、身份驗證技術、制定網絡法規(guī)、提高網絡管理人員的安全意識等等。十、參考文獻[1] 作者：彭濤.《計算機網絡教程 》 機械工業(yè)出版社 [2] 作者： 《網絡安全技術白皮書》 艾邦公司資料[3] 作者：楚狂 等 《網絡安全與Firewall技術》 人民郵電出版社 [4] 作者：聶元銘 丘平《網絡信息安全技術》 科學出版社第三篇：防火墻基礎知識防火墻基礎知識 包過濾包過濾技術(Ip Filtering or packet filtering)的原理在于監(jiān)視并過濾網絡上流入流出的Ip包，拒絕發(fā)送可疑的包。由于Internet 與Intranet 的連接多數都要使用路由器，所以Router成為內外通信的必經端口，Router的廠商在Router上加入IP Filtering 功能，這樣的Router也就成為Screening Router 或稱為Circuitlevel 應該是足夠安全的，但前提是配置合理。然而一個包過濾規(guī)則是否完全嚴密及必要是很難判定的，因而在安全要求較高的場合，通常還配合使用其它的技術來加強安全性。Router 逐一審查每份數據包以判定它是否與其它包過濾規(guī)則相匹配。(注：只檢查包頭的內容，不理會包內的正文信息內容)過濾規(guī)則以用于IP順行處理的包頭信息為基礎。包頭信息包括: IP 源地址、IP目的地址、封裝協(xié)議(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包類型、包輸入接口和包輸出接口。如果找到一個匹配，且規(guī)則允許這包，這一包則根據路由表中的信息前行。如果找到一個匹配，且規(guī)則允許拒絕此包，這一包則被舍棄。如果無匹配規(guī)則，一個用戶配置的缺省參數將決定此包是前行還是被舍棄。*從屬服務的過濾包過濾規(guī)則允許Router取舍以一個特殊服務為基礎的信息流，因為大多數服務檢測器駐留于眾所周知的TCP/UDP端口。例如，Telnet Service 為TCP port 23端口等待遠程連接，而SMTP Service為TCP Port 25端口等待輸入連接。如要封鎖輸入Telnet、SMTP的連接，則Router舍棄端口值為23,25的所有的數據包。典型的過濾規(guī)則有以下幾種：.允許特定名單內的內部主機進行Telnet輸入對話.只允許特定名單內的內部主機進行FTP輸入對話.只允許所有Telnet 輸出對話.只允許所有FTP 輸出對話.拒絕來自一些特定外部網絡的所有輸入信息* 獨立于服務的過濾有些類型的攻擊很難用基本包頭信息加以鑒別，因為這些獨立于服務。一些Router可以用來防止這類攻擊，但過濾規(guī)則需要增加一些信息，而這些信息只有通過以下方式才能獲悉：研究Router選擇表、檢查特定的IP選項、校驗特殊的片段偏移等。這類攻擊有以下幾種:.源IP地址欺騙攻擊入侵者從偽裝成源自一臺內部主機的一個外部地點傳送一些信息包；這些信息包似乎像包含了一個內部系統(tǒng)的源IP地址。如果這些信息包到達Router的外部接口，則舍棄每個含有這個源IP地址的信息包，就可以挫敗這種源欺騙攻擊。.源路由攻擊源站指定了一個信息包穿越Internet時應采取的路徑，這類攻擊企圖繞過安全措施，并使信息包沿一條意外(疏漏)的路徑到達目的地?？梢酝ㄟ^舍棄所有包含這類源路由選項的信息包方式，來挫敗這類攻擊。.殘片攻擊入侵者利用Ip殘片特性生成一個極小的片斷并將TCP報頭信息肢解成一個分離的信息包片斷。舍棄所有協(xié)議類型為TCP、IP片斷偏移值等于1的信息包，即可挫敗殘片的攻擊。從以上可看出定義一個完善的安全過濾規(guī)則是非常重要的。通常，過濾規(guī)則以表格的形式表示，其中包括以某種次序排列的條件和動作序列。每當收到一個包時，則按照從前至后的順序與表格中每行的條件比較，直到滿足某一行的條件，然后執(zhí)行相應的動作(轉發(fā)或舍棄)。有些數據包過濾在實現時，“動作”這一項還詢問，若包被丟棄是否要通知發(fā)送者(通過發(fā)ICMP信息),并能以管理員指定的順序進行條件比較，直至找到滿足的條件。以下是兩個例子: * 例 一某公司有一個B類地址 ,它不希望Internet上的其他站點對它進行訪問。但是， 用于和某大學合作開發(fā)項目，該大學有一個B類地址 ， 子網。但是， 子網中存在著不安全因素，因此， 子網之外，不能訪問公司網中的其它子網。為了簡單起見，假定只有從大學到公司的包，表一中列出了所需的規(guī)則集。表 一規(guī) 則源地 址目 的 地 址動作ApermitBdenyCdeny，規(guī)則C是缺省規(guī)則，若沒有其它的規(guī)則可滿足，則應用此規(guī)則。如果還有從公司到大學的包，相對稱的規(guī)則應加入到此表格中，即源地址與目的地址對調，再定義相應的動作。現在，我們按照規(guī)則ABC的順序來進行過濾和按照BAC的順序來進行過濾后采取的動作的結果如表二所示(注意：兩種動作的結果有不同)表二 Packet 源 地 址目 的 地 址希望的動作 執(zhí)行ABC后 執(zhí)行BAC后denydeny(B)deny(B)* 2permitpermit(A)deny(B)3permitpermit(A)permit(A)4denydeny(C)deny(c)從表二可以看出，以ABC的順序來應用規(guī)則的Router能達到預想的結果： (如包1)都被拒絕(根據規(guī)則B)，(如包2)將被轉發(fā)(根據規(guī)則A)，(如包3)也將被轉發(fā)(根據規(guī)則A)，從大學中的其它子網到公司中的其它字網的包(如包4)都被拒絕(根據規(guī)則C)。若以BAC的順序來應用規(guī)則，則不能達到預計的目的。實際上，在上面的規(guī)則外集中存在著一個小錯誤，正是由于這個錯誤，導致了以ABC的順序和以BAC的順序來應用規(guī)則而出現了不同的結果。該錯誤就是:，但實際上這是多余的。如果將這條規(guī)則去掉，那么順序ABC和BAC都將歸結為AC順序。以AC的順序進行過濾后的結果如表三所示。表三Packet源 地 址目 的 地 址希望的動作AC 動作denydeny(C)permitpermit(A)permitpermit(A)denydeny(C)* 例 二如圖一所示的網絡，由包過濾的Router作為在內部被保護的網絡與外部不安全的網絡之間的第一道防線。假設網絡的安全策略為:從外部主機來的Internet Mail 在一個指定的網關上接收，同時你不信任外部網絡上一個名叫HPVC的主機，準備拒絕任何由它發(fā)起的網絡通信。本例中，關于使用SMTP的網絡安全策略必須轉移為包過濾規(guī)則?？梢詫⒕W絡安全規(guī)則轉換成下述用語言表示的規(guī)則：規(guī)則1: 拒絕從主機HPVC發(fā)起的連接。規(guī)則2：允許連接到我們的EMail網關。這些規(guī)則可以用下面的表四來表示。星號(*)表示可以匹配該列的任何值。表四規(guī)則動作本地本地遠地主機遠地說明序號主機端口號端口號Block**HPVC*Block traffic fromHPVC 2Allow MailGW 25**Allow Connection to OurMail gateway對于表四所示的規(guī)則1而言，在遠地主機欄中填入了HPVC，而其它所有欄的內容都是星號；在動作欄填入阻塞。這條規(guī)則的意義可以理解為：阻塞所有從遠地主機HPVC發(fā)起的從它的任意端口到我們本地任意主機的任意端口的連接。對于表四所示的規(guī)則2而言，在本地主機和本地端口號兩欄中都有內容，而其它欄都是星號；在動作欄填入允許。這個規(guī)則的意義可以理解為：允許從任意遠地主機的任意端口發(fā)起的到本地主機MailGW的25號端口連接(端口25是為SMTP保留的)規(guī)則是按照它們在表中的順序來執(zhí)行的。如果一個分組不符合任何規(guī)則，則它將被拒絕。在表四中對規(guī)則的描述有一個嚴重的問題，它允許任意外部主機從端口25發(fā)起一個呼叫。端口25是為SMTP保留的，但是一個外部主機有可能利用這個權利從事其它活動。這條規(guī)則的一個更好的描述方案是允許本地主機發(fā)起呼叫，同遠地主機的端口25進行通信。這使得本地主機可以向遠地站點發(fā)送電子郵件。如果遠地主機不是用端口25執(zhí)行SMTP，則SMTP的發(fā)送進程將不能發(fā)送電子郵件。這等價與遠地主機不支持電子郵件。一個TCP連接是一個全雙工連接，信息雙向流動。在表四所示的包過濾規(guī)則中沒有明確指定被發(fā)送報文分組中信息的傳遞方向，即是從本地主機發(fā)送遠地站點，還是從遠地站點發(fā)送到本地主機。當一個TCP包在某一個方向上傳遞時，它必須被接收方確認。接收方通過設置TCP ACK標志來發(fā)送應答幀。TCP ACK標志也被用來確認TCP建立連接請求，ACK包將在所有TCP連接上發(fā)送。當一個ACK包被發(fā)送后，發(fā)送方向就逆轉過來，包過濾規(guī)則應該考慮為響應控制或數據包而發(fā)回的ACK包。對于下面的表五中的規(guī)則1,在目標主機端口號欄中填入25,其它欄中都填入星號,:(,主機號字段為0表示網絡上任意一臺主機).基于以上的討論,五SMTP的包過濾規(guī)則規(guī)則 動作源主機源端目標主機遠地TCP標識說明序號口號端口號/IP選項 Allow **Allow packetfrom Network Allow* *TCP ACK Allow returnacknowledgement對于表五中的規(guī)則2,在源端口號欄中填入25,在TCP標志和IP選項欄中填入TCP ACK,其它欄中都填入星號,:允許所有從任何外部網絡主機上源端口號25發(fā)起的到任意本地主機()任意端口號的TCP :(數據層和網絡層).,這個策略運行得很好,因為TCP維護連接兩側的狀態(tài)信息,一些上層應用服務,例如TELNET ,SMTP 和FTP等,只能接受遵循應用層協(xié)議規(guī)則的包,可考慮和應用層網關一起使用(下節(jié)將會討論).羅羅嗦嗦說了一大通,可以綜述為下面兩點:包過濾路由器的優(yōu)點:絕大多數Internet ,執(zhí)行PACKET FILTER ,包過濾路由器對終端用戶和應用程序是透明的,:定義包過濾器可能是一項復雜的工作,因為網管員需要詳細地了解Internet 各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的，則過濾規(guī)則集可能會變得很長和很復雜，從而很難管理。存在幾種自動測試軟件，被配置到Router上后即可校驗過濾規(guī)則。這可能對未檢測到的易損部件開放了一個地點。一般來說，一個路由器和信息包吞吐量隨過濾器數量的增加而減少。Router 被優(yōu)化用來從每個包中提取目