【正文】 防火墻也不能防止像社會工程攻擊一樣的一種很常用的入侵手段，就是靠欺騙獲得一 些可以破壞安全的信息，如網(wǎng)絡(luò)的口令。策略應(yīng)該解決一下的問題： (1) 需要什么服務(wù)，如 Tel、 WWW 或 NFS 等等。 此外防火墻還采用兩種封包過濾技術(shù)：一是應(yīng)用層封包過濾，采用 Winsock 2 SPI ；二是核心層封包過濾，采用 NDIS_HOOK。防火墻 可以安裝在兩個(gè)組織結(jié)構(gòu)的內(nèi)部網(wǎng)與外部的 Inter 之間，同時(shí)在多個(gè)組織結(jié)構(gòu)的內(nèi)部網(wǎng)和Inter 之間也會起到同樣的保護(hù)作用。代理服務(wù)器型防火墻提供了日志和審記服務(wù)。但由于用戶的使用記錄沒有記載，如果有不懷好意的人進(jìn)行攻擊的話，我們即不能從訪問記錄中得到它的攻擊記錄，也無法得知它的來源。 堡壘主機(jī)使用應(yīng)用層功能來確定允許或拒絕來自或發(fā)向外部網(wǎng)絡(luò)的請求，如該請求通過了堡壘主機(jī)的嚴(yán)格審查，它將被作為進(jìn)來的信息轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)上；對于通向外部的網(wǎng)絡(luò)的信息，該請求被轉(zhuǎn)發(fā)到篩選路由器。在許多有屏蔽子網(wǎng)的實(shí)現(xiàn)中，兩個(gè)分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)禁止穿行區(qū)，即 Inter 和內(nèi)部網(wǎng)絡(luò)均可訪問有屏蔽子網(wǎng)，但禁止它們穿過有屏蔽子網(wǎng)進(jìn)行通信，像 WWW 和 FTP 這樣的 Inter 服務(wù)器一般就放在這種禁止穿行區(qū)中。堡壘主機(jī)軟件和系統(tǒng)的安全情況應(yīng)該定期地進(jìn)行審查。在每一臺內(nèi)部主機(jī)上安裝和配置專門的應(yīng)用程序?qū)⑹且患M(fèi)時(shí)的工作，而對大型異構(gòu)網(wǎng)絡(luò)來說很容易出錯(cuò)，因?yàn)橛布脚_和操作系統(tǒng)不同。 另一種類型的應(yīng)用層網(wǎng)關(guān)被稱為“線路網(wǎng)關(guān)” (circuit gateway)。這時(shí)，如果你沒有相應(yīng)客戶機(jī)應(yīng)用程序的源碼（通常為在 PC 或 MAC 機(jī)上用的），你將無法修改這些程序。這時(shí)，需要執(zhí)行專門配制命令來指定目的服務(wù)器 。它作為服務(wù)器接收外來請求，而在轉(zhuǎn)發(fā)請求時(shí)它又擔(dān)當(dāng)客戶機(jī)。 對于所中轉(zhuǎn)的每種應(yīng)用，應(yīng)用層網(wǎng)關(guān)需要使用專用的程序代碼，由于有這種專用的程序代碼，應(yīng)用層網(wǎng)關(guān)可以提供高可靠性的安全機(jī)制，每當(dāng)一個(gè)新的需保護(hù)的應(yīng)用加入網(wǎng)絡(luò)中時(shí) ，必須為其編制專門的程序代碼。許多防火墻允許系統(tǒng)管理員運(yùn)行兩個(gè) 代理拷貝，一個(gè)在標(biāo)準(zhǔn)端口運(yùn)行，另一個(gè)在非標(biāo)準(zhǔn)端口運(yùn)行，常用服務(wù)的最大數(shù)目取決于不同的防火墻產(chǎn)品。 代理服務(wù)通常由兩個(gè)部分構(gòu)成：代理服務(wù)器程序和客戶程序。 代理服務(wù)和應(yīng)用層網(wǎng)關(guān) (1) 代理服務(wù) (Proxy Service) 代理服務(wù)使用的方法與分組過濾器不同，代理 (Proxy)使用一個(gè)客戶程序 (或許經(jīng)過修改 )，與特定的中間結(jié)點(diǎn)連接，然后中間結(jié)點(diǎn)與期望的服務(wù)器進(jìn)行實(shí)際連接。 如果一臺雙宿主機(jī)失效了，則內(nèi)部網(wǎng)絡(luò)將被置于外部攻擊之下，除非這個(gè)問題很快被查出并解決。 cd /usr/src/sys/i386/conf cp GENERIC FIREWALL 下一步，編輯文件 FIREWALL 中的選項(xiàng)參數(shù) IPFORWARDING，將其值改為 1，代表“不轉(zhuǎn)發(fā)任 何 IP 數(shù)據(jù)報(bào)”。為了在基于 UNIX的雙宿主機(jī)中禁止進(jìn)行尋徑，需要重新配置和編譯內(nèi)核。 網(wǎng)絡(luò)安全防護(hù)中防火墻技術(shù)問題分析及應(yīng)用策略 14 雙宿主機(jī) (DualHomed Host) 在 TCP/IP 網(wǎng)絡(luò)中，術(shù)語多宿主機(jī)被用來描述一臺配有多個(gè)網(wǎng)絡(luò)接口的主機(jī)。在配置分組過濾規(guī)則時(shí)一個(gè)常犯的錯(cuò)誤就是將分組過濾規(guī)則按錯(cuò)誤的順序排列。 ② 當(dāng)一個(gè)分組到達(dá)過濾端口時(shí)，將對該分組的頭部進(jìn)行分析。如果同時(shí)有許多網(wǎng)段和該過濾裝置相連，則分組過濾裝網(wǎng)絡(luò)安全防護(hù)中防火墻技術(shù)問題分析及應(yīng)用策略 13 置 所實(shí)施的策略將變得很復(fù)雜。這種類型的網(wǎng)絡(luò)安全策略決定了篩選路由器將被置于何處，以及如何進(jìn)行編程用來執(zhí)行分組過濾。 分組過濾 (Packet Filtering) 技術(shù) 篩選路由器可以采用分組過濾功能以增強(qiáng)網(wǎng)絡(luò)的安全性。通常，網(wǎng)關(guān)在 OSI 模型的第七層(應(yīng)用層 )執(zhí)行處理功能。 在我們的企業(yè)網(wǎng)絡(luò)中，可能不是所有的主機(jī)都具有 TCP/IP 功能。由于在 INTERNET 上危險(xiǎn)的“黑客”很多，確定一個(gè)危險(xiǎn)區(qū)域是很有用的。 (1) 識別危險(xiǎn)區(qū)域 網(wǎng)絡(luò)安全防護(hù)中防火墻技術(shù)問題分析及應(yīng)用策略 11 根據(jù) 1996 年 1 月的統(tǒng)計(jì)，連入 INTERNET 的網(wǎng)絡(luò)大約為 60,000 個(gè)左右，主機(jī)總數(shù)則已超過 900 萬臺。例如在常用的 Cisco 路由器上就具有這種對報(bào)文分組進(jìn)行篩選的功能，這種路由器被稱為篩選路由器。 網(wǎng)絡(luò)安全防護(hù)中防火墻技術(shù)問題分析及應(yīng)用策略 10 在設(shè)計(jì)防火墻時(shí)，除了安全策略以外，還要確定防火墻類型和拓?fù)浣Y(jié)構(gòu)。你可以把它想象成一對開關(guān)，一個(gè)開關(guān)用來阻止傳輸 , 另一個(gè)開關(guān)用來允許傳輸。一種單一的防護(hù)手段不可能解決所有問題，或者說是很不安全的。 其他措施 其他措施包括信息過濾、容錯(cuò)、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計(jì)等。數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。 數(shù)據(jù)包過濾 數(shù)據(jù)包過濾 (Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表 (Access Control Table)。 (2) 由于采用了文件重定向的臨時(shí)緩存文件技術(shù)，造成了安全漏洞和效率下降。加密的作用是保障信息被人截獲后不能讀懂其含義。建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴(yán)格管理相結(jié)合。其安全手段涉及 LDAP、 DES、 RSA 等各種方式。不同的用戶應(yīng)從不同的方面對其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)?？傮w來說物理安全的風(fēng)險(xiǎn)主要有：地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機(jī)多冗余的設(shè)計(jì)；機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識等，因此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)。 隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展，在計(jì)算機(jī)上處理的業(yè)務(wù)也由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理，基于簡單連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動化等發(fā)展到基于復(fù)雜的內(nèi)部網(wǎng)（ Intra）、企業(yè)外部網(wǎng)（ Extra）、全球互連網(wǎng)（ Inter）的企業(yè)級計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。而對于政府等許多單位來講，網(wǎng)絡(luò)安全 問題也 關(guān)系到一個(gè) 國家的 整體，甚至威脅 到國家的安全、利益和發(fā)展。分析了常用防火墻的設(shè)計(jì)策略和需要注意的問題，對現(xiàn)有防火墻的不足之處進(jìn)行了分析。 本文第二三章節(jié)先從物理安全、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)安全、應(yīng)用系統(tǒng)安全等方面分析了網(wǎng)絡(luò)安全方面的隱患，然后介紹了幾種網(wǎng)絡(luò)安全防護(hù)技術(shù)以及其優(yōu)缺點(diǎn)。 Grouping filtration technology。 信息網(wǎng)絡(luò)安全方面的基礎(chǔ)問題 2 2 信息網(wǎng)絡(luò)安全方面的基礎(chǔ)問題 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。 物理安全分析 網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。 系統(tǒng)的安全分析 所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時(shí)的檢測、監(jiān)控、報(bào)告與預(yù)警。 訪問控制 對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。檢查前面的技術(shù)可以看出，文件（文檔）加密技術(shù)的核心是基于應(yīng)用進(jìn)程來實(shí)現(xiàn)加密控制。 但是，由于磁盤加密技術(shù)僅針對特定的文件存儲區(qū)域進(jìn)行保護(hù)，缺乏對文件本身保密屬性的判斷能力，所以基于該技術(shù)開發(fā)的內(nèi)網(wǎng)安全產(chǎn)品，也具有以下缺點(diǎn)： (1) 因?yàn)榇疟P加密技術(shù)需要對文件的存儲區(qū)域進(jìn)行條件限制，所以必然對使用環(huán)境帶來一定的影響，需要部署的時(shí)候?qū)κ褂铆h(huán)境進(jìn)行調(diào)整； (2) 單一的磁盤加密技術(shù)無法防止通過網(wǎng)絡(luò)和其他途徑的文件泄密行為，一個(gè)基于該技術(shù)的成熟內(nèi)網(wǎng)安全產(chǎn)品，需要綜合網(wǎng)絡(luò)控制等技術(shù)，內(nèi)網(wǎng)安全產(chǎn)品開發(fā)難度大、周期長。 應(yīng)用級網(wǎng)關(guān) 應(yīng)用級網(wǎng)關(guān) (Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)過濾和轉(zhuǎn)發(fā)功能。此外，代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。這里特別需要指出的是防火墻、防病毒和安全協(xié)議的技術(shù)。 而對于網(wǎng)絡(luò)安全防護(hù)技術(shù)的研究，我將主要研究防火墻技術(shù)，下面開始對防火墻技術(shù)進(jìn)行討論。從某種意義上來說，防火墻實(shí)際上代表了一個(gè)網(wǎng)絡(luò)的訪問原則。下面介紹了防火墻的基本構(gòu)件和技術(shù)：篩選路由器 (screening router)、分組過濾 (packet filtering)技術(shù)、雙宿主機(jī) (dualhomed host)、代理服務(wù) (Proxy Service)、應(yīng)用層網(wǎng)關(guān)(application level gateway)和堡壘主機(jī) (bastion host)。路由器根據(jù)與協(xié)議相關(guān)的準(zhǔn)則來區(qū)別和限制通過其端口的報(bào)文分組的能力被稱為報(bào)文分組過濾。如果來人看起來很危險(xiǎn) (安全風(fēng)險(xiǎn)很高 )，則不應(yīng)讓其進(jìn)來。因此，我們當(dāng)然希望把自己的網(wǎng)絡(luò)和主機(jī)置于危險(xiǎn)區(qū)域之外。 (2) 篩選路由器和防火墻與 OSI 模型的關(guān)系 按照與 OSI 模型的關(guān)系將篩選路由器和防火墻進(jìn)行比較。 有些時(shí)候，篩選路由器也被稱為分組過濾網(wǎng)關(guān)。網(wǎng)絡(luò)安全策略必須明確描述被保護(hù)的資源和服務(wù)的類型、重要程度和防范對象。 (2) 一個(gè)分組過濾的簡單模型 一個(gè)分組過濾裝置常被置于一個(gè)或幾個(gè)網(wǎng)段之間。由于分組過濾規(guī)則的設(shè)計(jì)原則是有利于內(nèi)部網(wǎng)絡(luò)連向外部網(wǎng)絡(luò)，所以在篩選路由器兩側(cè)所執(zhí)行的過濾規(guī)則是不同的。 ⑤ 如果一條規(guī)則允許傳遞或接收一個(gè)分組，則允許該分組通過。如果采用后一種思想來設(shè)計(jì)分組過濾規(guī)則，就必須仔細(xì)考慮分組過濾規(guī)則沒有包括的每一種可能的情況來確保網(wǎng)絡(luò)的安全。然而與它相連的每一個(gè)網(wǎng)絡(luò)都可以執(zhí)行由它所提供的網(wǎng)絡(luò)應(yīng)用，如果這個(gè)應(yīng)用允許的話，它們還可以共享數(shù)據(jù)。例如： % strings /bsd | grep BSD BSDI $Id: , v 1993/02/21 20:35:01 karels Exp $ BSDI $Id: , v 1993/02/21 20:36:09 karels Exp $ BSD/386 ()BSDI BSD/386 kernel 0: Wed Mar 24 17:23:44 MST 1993 最后一行說明當(dāng)前的配置文件是 GENERIC 。 (2) 對安全最大的威脅是一個(gè)攻擊者掌握了直接登錄到雙宿主機(jī)的權(quán)限，登錄到一個(gè)雙宿主機(jī)上總是應(yīng)該通過雙宿主機(jī)上的一個(gè)應(yīng)用層代理進(jìn)行，對從外部不可信任網(wǎng)絡(luò)進(jìn)行登錄應(yīng)該進(jìn)行嚴(yán)格的身份驗(yàn)證。下面是 UNIX 雙宿主機(jī)防火墻的一部分有用的檢查點(diǎn)： (1) 移走程序開發(fā)工具：編譯器、鏈接器等； (2) 移走你不需要或不了解的具有 SUID 和 SGID 權(quán)限的程序。代理服務(wù)器可運(yùn)行在雙宿主機(jī)上，它是基于特定應(yīng)用程序的。即便如此，最終用戶也許還需要學(xué)習(xí)特定的步驟通過防火墻進(jìn)行通信。 (2) 應(yīng)用層網(wǎng)關(guān) 應(yīng)用層網(wǎng)關(guān)可以處理存儲轉(zhuǎn)發(fā)通信業(yè)務(wù)，也可以處理交互式通信業(yè)務(wù)。 專用應(yīng)用程序的作用是作為“代理”接收進(jìn)入的請求，并按照一個(gè)訪問規(guī) 則檢查表進(jìn)行核查，檢查表中給出所允許的請求類型。另一種方法是使用 TELNET 命令并給出可提供代理的應(yīng)用服務(wù)的端口號。 對于某一應(yīng)用代理程序，如果需使用專用的客戶機(jī)程序時(shí)，那么就必須在所有的要使用 INTERNET 的內(nèi)部網(wǎng)絡(luò)主機(jī)上安裝該專用客戶程序。這時(shí)，你必須將客戶機(jī)應(yīng)用程序和這些代理版本的系統(tǒng)調(diào)用一起進(jìn)行編譯和鏈接。線路網(wǎng)關(guān)中可能包括支持某些特定 TCP/IP 應(yīng)用的程序代碼，但這通常是有限的。堡壘主機(jī)是一個(gè)組織機(jī)構(gòu)網(wǎng)絡(luò)安全的中心主機(jī)。在第一種方案中，一個(gè)分組過濾路由器與 Inter 相連，同時(shí)，一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。篩選路由器的一個(gè)端口與內(nèi)部網(wǎng)絡(luò)相連，另一個(gè)端口與 INTERNET 相連，這種配置方式被稱為有屏蔽主機(jī)網(wǎng)關(guān)。相反的，如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。它可以根據(jù)需要?jiǎng)討B(tài)的在過濾原則中增加或更新條目，在這點(diǎn)上靜態(tài)防火墻是比不上它的，它主要對建立的每一個(gè)連接都進(jìn)行跟蹤。它結(jié)合了代理類型防火墻和包過濾防火墻的優(yōu)點(diǎn)，即保證了安全性又保持了高速度，同時(shí)它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。 防火墻的主體功能歸納為以下幾點(diǎn)： (1) 根據(jù)應(yīng)用程序訪問規(guī)則可對應(yīng)用程序連網(wǎng)動作進(jìn)行過濾； (2) 對應(yīng)用程序訪問規(guī)則具有自學(xué)習(xí)功能； (3) 可實(shí)時(shí)監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動； (4) 具有日志，以記錄網(wǎng)絡(luò)訪問動作的詳細(xì)信息； (5) 被攔阻時(shí)能通過聲音或閃爍圖標(biāo)給用 戶報(bào)警提示。 防火墻可以實(shí)施一 種寬松的策略（第一種），也可以實(shí)施一種限制性策略（第二種），這就是制定防火墻策略的入手點(diǎn)。 (6) 和可用性相比，站點(diǎn)的安全性放在什么位置。而且，這些惡意程序不僅僅來自網(wǎng)絡(luò)，也可能來自軟盤。 (4) 提供這些服務(wù)的風(fēng)險(xiǎn)是什么。防火墻一般執(zhí)行以下兩種基本策略中的一種： (1) 除非明確不允許，否則允許某種服務(wù)； (2) 除非明確允許，否則將禁止某項(xiàng)服務(wù)； 執(zhí)行第一種策略的防火墻在默認(rèn)情況下允許所有的服務(wù)，除非管理員對某種服務(wù)明確表示禁止。 防火墻的核心功能主要是包過濾。由于內(nèi)外網(wǎng)的計(jì)算機(jī)對話機(jī)會根本沒有，從而避免了入侵者使