【文章內容簡介】 上。 在防火墻上可以很方便的監(jiān)視網絡的安全性，并產生報警。應該注意的是：對一個內部網絡已經連接到 Inter 上的機構來說，重要的問題并不是網絡是否會受到攻擊，而是何時會受到攻擊。網絡管理員必須審計并記錄所有通過防火墻的重要信息。如果網絡管理員不能及時響應報警并審查常規(guī)記錄，防火墻就形同虛設。在這種情況 下，網絡管理員永遠不會知道防火墻是否受到攻擊。 9 過去的幾年里， Inter 經歷了地址空間的危機，使得 IP 地址越來越少。這意味著想進入 Inter 的機構可能申請不到足夠的 IP 地址來滿足其內部網絡上用戶的需要。 Inter防火墻可以作為部署 NAT(Network Address Translator，網絡地址變換）的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題，并消除機構在變換 ISP 時帶來的重新編址的麻煩。 Inter 防火墻是審計和記錄 Inter 使用量的一個最佳地方。網絡管理員 可以在此向管理部門提供Inter 連接的費用情況，查出潛在的帶寬瓶頸的位置，并能夠根據機構的核算模式提供部門級的記費。 Inter 防火墻也可以成為向客戶發(fā)布信息的地點。 Inter 防火墻作為部署 WWW 服務器和 FTP 服務器的地點非常理想。還可以對防火墻進行配置，允許 Inter 訪問上述服務，而禁止外部對受保護的內部網絡上其它系統(tǒng)的訪問。 也許會有人說，部署防火墻會產生單一失效點。但應該強調的是，即使到 Inter 的連接失效，內部網絡仍舊可以工作，只是不能訪問 Inter 而已。如果 存在多個訪問點，每個點都可能受到攻擊，網絡管理員必須在每個點設置防火墻并經常監(jiān)視。 ? Inter 防火墻的限制 Inter 防火墻無法防范通過防火墻以外的其它途徑的攻擊。例如，在一個被保護的網絡上有一個沒有限制的撥出存在，內部網絡上的用戶就可以直接通過 SLIP 或 PPP 連接進入 Inter。聰明的用戶可能會對需要附加認證的代理服務器感到厭煩，因而向 ISP 購買直接的 SLIP 或 PPP 連接，從而試圖繞過由精心構造的防火墻系統(tǒng)提供的安全系統(tǒng)。這就為從后門攻擊創(chuàng)造了極大的可能（圖 3）。網絡上的用戶們必須了 解這種類型的連接對于一個有全面的安全保護系統(tǒng)來說是絕對不允許的。 圖 3 繞過防火墻系統(tǒng)的連接 10 Inter 防火墻也不能防止來自內部變節(jié)者和不經心的用戶們帶來的威脅。防火墻無法禁止變節(jié)者或公司內部存在的間諜將敏感數(shù)據拷貝到軟盤或 PCMCIA 卡上，并將其帶出公司。防火墻也不能防范這樣的攻擊：偽裝成超級用戶或詐稱新雇員，從而勸說沒有防范心理的用戶公開口令或授予其臨時的網絡訪問權限。所以必須對雇員們進行教育，讓它們了解網絡攻擊的各種類型，并懂得保護自己的用戶口令和周期性變換口令的必要性。 Inter 防火墻也不能防止傳送已感染病毒得軟件或文件。這是因為病毒的類型太多，操作系統(tǒng)也有多種，編碼與壓縮二進制文件的方法也各不相同。所以不能期望 Inter 防火墻去對每一個文件進行掃描，查出潛在的病毒。對病毒特別關心的機構應在每個桌面部署防病毒軟件，防止病毒從軟盤或其它來源進入網絡系統(tǒng)。 最后 一點是，防火墻無法防范數(shù)據驅動型的攻擊。數(shù)據驅動型的攻擊從表面上看是無害的數(shù)據被郵寄或拷貝到 Inter 主機上。但一旦執(zhí)行就開成攻擊。例如，一個數(shù)據型攻擊可能導致主機修改與安全相關的文件，使得入侵者很容易獲得對系統(tǒng)的訪問權。后面我們將會看到，在堡壘主機上部署代理服務器是禁止從外部直接產生網絡連接的最佳方式，并能減少數(shù)據驅動型攻擊的威脅。 機構的安全策略 如前所述， Inter 防火墻并不是獨立的－－它是機構總體安全策略的一部分。機構總體安全策略定義了安全防御的方方面面。為確保成功，機構必須知道其所有 保護的是什么。安全策略必須建立在精心進行的安全分析、風險評估以及商業(yè)需求分析基礎之上。如果機構沒有詳盡的安全策略，無論如何精心構建的防火墻都會被繞過去，從而整個內部網絡都暴露在攻擊面下。 機構能夠負擔起什么樣的防火墻？簡單的包過濾防火墻的費用最低，因為機構至少需要一個路由器才能連入 Inter，并且包過濾功能包括在標準的路由器配置中。商業(yè)的防火墻系統(tǒng)提供了附加的安全功能，具體價格要看系統(tǒng)的復雜性和要保護的系統(tǒng)的數(shù)量。如果一個機構有自己的專業(yè)人員，也可以構建自己的防火墻系統(tǒng)，但是仍舊有開發(fā)時間和部署防火 墻系統(tǒng)等的費用問題。還有，防火墻系統(tǒng)需要管理，一般性的維護、軟件升級、安全上的補漏、事故處理等，這些都要產生費用。 11 圖 4 包過濾路由器 防火墻系統(tǒng)的組成 在確定了防火墻的姿態(tài)、安全策略、以及預算問題之后，就能夠確定防火墻系統(tǒng)的特定組件。典型的防火墻有一個或多個構件組成： 包過濾路由器 應用層網關（或代理服務器） 電路層網關 在后面我們將討論每一種構件，并描述其如何一起構成一個有效的防火墻系統(tǒng)。 ? 構件：包過濾路由器 包過濾路由器（圖 4）對所接收的每個數(shù)據包做允許拒絕的決定。路由器審查每個數(shù)據報以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于可以提供給 IP 轉發(fā)過程的包頭信息。包頭信息中包括 IP 源地址、 IP 目標端Ｆ地址、內裝協(xié)（ ICP、 UDP、 ICMP、或 IP Tunnel）、 TCP/UDP 目標端口、 ICMP 消息類型、包的進入接口和出接口如果有匹配并且規(guī)則允許該數(shù)據包，那么該數(shù)據包就 會按照路由表中的信息被轉發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據包，那么該數(shù)據包就會被丟棄。如果沒有匹配規(guī)則，用戶配置的缺省參數(shù)會決定是轉發(fā)還是丟棄數(shù)據包。 與服務相關的過濾 包過濾路由器使得路由器能夠根據特定的服務允許或拒絕流動的數(shù)據，因為多數(shù)的服務收聽者都在已知的 TCP/UDP 端口號上。例如， Tel 服務器在 TCP 的 23 號端口上監(jiān)聽遠地連接，而 SMTP 服務器在TCP 的 25 號端口上監(jiān)聽人連接。為了阻塞所有進入的 Tel 連接，路由器只需簡單的丟棄所有 TCP 端口號等于 23 的數(shù)據包。為了將進來的 Tel 連 接限制到內部的數(shù)臺機器上，路由器必須拒絕所有 TCP 端口 12 號等于 23 并且目標 IP 地址不等于允許主機的 IP 地址的數(shù)據包。 一些典型的過濾規(guī)則包括： 允許進入的 Telne 會話與指定的內部主機連接 允許進入的 FTP 會話與指定的內部主機連接 允許所有外出的 Telne 會話 允許所有外出的 FTP 會話 拒絕所有來自特定的外部主機的數(shù)據包 與服務無關的過濾 有幾種類型的攻擊很難使用基本的包頭信息來識別，因為這幾種攻擊是與服務無關的?？梢詫β酚善髋渲靡员惴乐惯@幾種類型的攻擊。但是它們很難指定，因為過濾規(guī)則需要附加 的信息，并且這些信息只能通過審查路由表和特定的 IP 選項、檢查特定段的內容等等才能學習到。下面是這幾種攻擊類型的例子： 源 IP 地址欺騙式攻擊（ Sowrce IP Address Spoofing Attacks）。這種類型的攻擊的特點是入侵者從外部傳輸一個假裝是來自內部主機的數(shù)據包，即數(shù)據包中所包含的 IP 地址為內部網絡上的 IP 地址。入侵者希望借助于一個假的源 IP 地址就能滲透到一個只使用了源地址安全功能的系統(tǒng)中。在這樣的系統(tǒng)中，來自內部的信任主機的數(shù)據包被接受，而來自其它主機的數(shù)據包全部被丟棄。對于源 IP 地址 欺騙式攻擊，可以利用丟棄所有來自路由器外部端口的使用內部源地址的數(shù)據包的方法來挫敗。 源路由攻擊（ Source Rowing Attacks）。這種類型的攻擊的特點是源站點指定了數(shù)據包在 Inter 中所走的路線。這種類型的攻擊是為了旁路安全措施并導致數(shù)據包循著一個對方不可預料的路徑到達目的地。只需簡單的丟棄所有包含源路由選項的數(shù)據包即可防范這種類型的攻擊。 極小數(shù)據段式攻擊（ Tiny Fragment Attacks）。這種類型的攻擊的特點是入侵者使用了 IP 分段的特性，創(chuàng)建極小的分段并強行將 TCP 頭 信息分成多個數(shù)據包段。這種攻擊是為了繞過用戶定義的過濾規(guī)則。黑客寄希望于過濾器路由器只檢查第一個分段而允許其余的分段通過。對于這種類型的攻擊，只要丟棄協(xié)議類型為 TCP， IP FragmentOffset 等于 1 的數(shù)據包就可安然無恙。 包過濾路由器的優(yōu)點 已部署的防火墻系統(tǒng)多數(shù)只使用了包過濾器路由器。除了花費時間去規(guī)劃過濾器和配置路由器之外，實現(xiàn)包過濾幾乎不再需要費用（或極少的費用），因為這些特點都包含在標準的路由器軟件中。由于 Inter訪問一般都是在 WAN 接口上提供，因此在流量適中并定義較少過濾器時 對路由器的性能幾乎沒有影響。另外，包過濾路由器對用戶和應用來講是透明的，所以不必對用戶進行特殊的培訓和在每臺主機上安裝特 13 定的軟件。 包過濾路由器的缺點 定義數(shù)據包過濾器會比較復雜，因為網絡管理員需要對各種 Inter 服務、包頭格式、以及每個域的意義有非常深入的理解。如果必須支持非常復雜的過濾，過濾規(guī)則集合會非常的大和復雜，因而難于管理和理解。另外，在路由器上進行規(guī)則配置之后，幾乎沒有什么工具可以用來難過濾規(guī)則的正確性，因此會成為一個脆弱點。 任何直接經過路由器的數(shù)據包都有被用做數(shù)據驅動式攻擊的潛在 危險。我們已經知道數(shù)據驅動式攻擊從表面上來看是由路由器轉發(fā)到內部主機上沒有害處的數(shù)據。該數(shù)據包括了一些隱藏的指令，能夠讓主機修改訪問控制和與安全有關的文件，使得入侵者能夠獲得對系統(tǒng)的訪問權。 一般來說，隨著過濾器數(shù)目的增加，路由器的吞吐量會下降?？梢詫β酚善鬟M行這樣的優(yōu)化抽取每個數(shù)據包的目的 IP 地址，進行簡單的路由表查詢，然后將數(shù)據包轉發(fā)到正確的接口上去傳輸。如果打開過濾功能，路由器不僅必須對每個數(shù)據包作出轉發(fā)決定，還必須將所有的過濾器規(guī)則施用給每個數(shù)據包。這樣就消耗了 CPU 時間并影響系統(tǒng)的性能。 IP 包過濾器可能無法對網絡上流動的信息提供全面的控制。包過濾路由器能夠允許或拒絕特定的服務，但是不能理解特定服務的上下文環(huán)境 /數(shù)據。例如，網絡管理員可能需要在應用層過濾信息以便將訪問限制在可用的 FTP 或 Tel 命令的子集之內，或者阻塞郵件的進入及特定話題的新聞進入。這種控制最好在高層由代理服務和應用層網關來完成。 ? 構件：應用層網關 應用層網關使得網絡管理員能夠實現(xiàn)比包過濾路由器更嚴格的安全策略。應用層網關不用依賴包過濾工具來管理 Inter 服務在防火墻系統(tǒng)中的進出，而是采用為每種所需服務而安裝在網關 上特殊代碼（代理服務）的方式來管理 Inter 服務。如果網絡管理員沒有為某種應用安裝代理編碼，那么該項服務就不支持并不能通過防火墻系統(tǒng)來轉發(fā)。同時，代理編碼可以配置成只支持網絡管理員認為必須的部分功能。 這樣增強的安全帶來了附加的費用：購買網關硬件平臺、代理服務應用、配置網關所需的時間和知識、提供給用戶的服務水平的下降、由于缺少透明性而導致缺少友好性的系統(tǒng)。同以往一樣，仍要求網絡管理員在機構安全需要和系統(tǒng)的易于使用性方面作出平衡。允許用戶訪問代理服務是很重要的，但是用戶是絕對不允許注冊到應用層網關中的 。假如允許用戶注