【文章內(nèi)容簡介】 如果黑客對專用網(wǎng)絡(luò)內(nèi)部的機器具有了不知從何得 來的訪問權(quán)，這種過濾方式可以阻止黑客從網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊。 ●在公共網(wǎng)絡(luò)，只允許目的地址為 80 端口的包通過。這條規(guī)則只允許傳入的連接為 Web 連接。這條規(guī)則也允許與 Web 連接使用相同端口的連接，所以它并不是十分安全。 ●丟棄從公共網(wǎng)絡(luò)傳入的包，而這些包都有你的網(wǎng)絡(luò)內(nèi)的源地址，從而減少IP 欺騙性的攻擊。 ●丟棄包含源路由信息的包，以減少源路由攻擊。要記住，在源路由攻擊中，防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合 傳入的包包含路由信息，它覆蓋了包通過網(wǎng) 絡(luò)應(yīng)采取得正常路由，可能會繞過已有的安全程序。通過忽略源路由信息，防火墻可以減少這種方式的攻擊。 （ 2） 狀態(tài) /動態(tài)檢測防火墻 狀態(tài) /動態(tài)檢測防火墻，試圖跟蹤通過防火墻的網(wǎng)絡(luò)連接和包，這樣防火墻就可以使用一組附加的標準，以確定是否允許和拒絕通信。它是在使用了基本包過濾防火墻的通信上應(yīng)用一些技術(shù)來做到這點的。當包過濾防火墻見到一個網(wǎng)絡(luò)，包是孤立存在的。它沒有防火墻所關(guān)心的歷史或未來。允許和拒絕包的決定完全取決于包自身所包含的信息，如源地址、目的地址、端口號等。包中沒有包含任何描述它在信息流中的 位置的信息，則該包被認為是無狀態(tài)的；它僅是存在而已。一個有狀態(tài)包檢查防火墻跟蹤的不僅是包中包含的信息。為了跟蹤包的狀態(tài)，防火墻還記錄有用的信息以幫助識別包，例如已有的網(wǎng)絡(luò)連接、數(shù)據(jù)的傳出請求等。例如，如果傳入的包包含視頻數(shù)據(jù)流，而防火墻可能已經(jīng)記錄了有關(guān)信息，是關(guān)于位于特定 IP 地址的應(yīng)用程序最近向發(fā)出包的源地址請求視頻信號的信息。如果傳入的包是要傳給發(fā)出請求的相同系統(tǒng)，防火墻進行匹配，包就可以被允許通過。 一個狀態(tài) /動態(tài)檢測防火墻可截斷所有傳入的通信，而允許所有傳出的通信。因為防火墻跟蹤內(nèi)部出去的請求，所有 按要求傳入的數(shù)據(jù) 9 被允許通過，直到連接被關(guān)閉為止。只有未被請求的傳入通信被截斷。 如果在防火墻內(nèi)正運行一臺服務(wù)器，配置就會變得稍微復(fù)雜一些，但狀態(tài)包檢查是很有力和適應(yīng)性的技術(shù)。例如，可以將防火墻配置成只允許從特定端口進入的通信，只可傳到特定服務(wù)器。如果正在運行 Web 服務(wù)器，防火墻只將 80 端口傳入的通信發(fā)到指定的 Web 服務(wù)器。狀態(tài) /動態(tài)檢測防火墻可提供的其他一些額外的服務(wù)有： ●將某些類型的連接重定向到審核服務(wù)中去。例如，到專用 Web 服務(wù)器的連接，在 Web 服務(wù)器連接被允許之前，可能被發(fā)到 SecutID 服務(wù)器（用一次性口令來使用）。 ●拒絕攜帶某些數(shù)據(jù)的網(wǎng)絡(luò)通信，如帶有附加可執(zhí)行程序的傳入電子消息，或包含 ActiveX 程序的 Web 頁面。 跟蹤連接狀態(tài)的方式取決于包通過防火墻的類型： ●TCP 包。當建立起一個 TCP 連接時，通過的第一個包被標有包的 SYN 標志。通常情況下，防火墻丟棄所有外部的連接企圖，除非已經(jīng)建立起某條特定規(guī)則來處理它們。對內(nèi)部的連接試圖連到外部主機，防火墻注明連接包，允許響應(yīng)及隨后再兩個系統(tǒng)之間的包，直到連接結(jié)束為止。在這種方式下，傳入的包只有在它是響應(yīng)一個已建立的連接時，才會被 允許通過。 ●UDP 包。 UDP 包比 TCP 包簡單，因為它們不包含任何連接或序列信息。它們只包含源地址、目的地址、校驗和攜帶的數(shù)據(jù)。這種信息的缺乏使得防火墻確定包的合法性很困難，因為沒有打開的連接可利用，以測試傳入的包是否應(yīng)被允許通過?？墒?，如果防火墻跟蹤包的狀態(tài)，就可以確定。對傳入的包，若它所使用的地址和 UDP 包攜帶的協(xié)議與傳出的連接請求匹配，該包就被允許通過。和 TCP 包一樣，沒有傳入的 UDP 包會被允許通過，除非它是響應(yīng)傳出的請求或已經(jīng)建立了指定的規(guī)則來處理它。對其他種類的包，情況和 UDP 包類似。防火墻仔細 地跟蹤傳出的請求，記錄下所使用的地址、協(xié)議和包的類型，然后對照保存過的信息核對傳入的包，以確保這些包是被請求的。 （ 3） 應(yīng)用程序代理防火墻 應(yīng)用程序代理防火墻實際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反，它是接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨的連接。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分。另外，如果不為特定的應(yīng)用程序安裝代理程序代碼，這種服務(wù)是不會被支持的，不能建立任何連接。這種建立方式拒絕任何沒有明確配置的連 接，從而提供了額外的安全性和控制性。例如，一個用戶的 Web 瀏覽器可能在 80 端口，但也經(jīng)?？赡苁窃?1080 端口，連接到了內(nèi)部網(wǎng)絡(luò)的 HTTP 代理防火墻。防火墻然后會接受這個連接請求，并把它轉(zhuǎn)到所請求的 Web 服務(wù)器。這種連接和轉(zhuǎn)移對該用戶來說是透明的，因為它完全是由代理防火墻自動處理的。代理防火墻通常支持的一些常見的應(yīng)用程序有： 10 ●HTTP ●HTTPS/SSL ●SMTP ●POP3 ●IMAP ●NNTP ●TELNET ●FTP ●IRC 應(yīng)用程序代理防火墻可以配置成允許來自內(nèi)部網(wǎng)絡(luò)的任何連接，它也可以配置成要求用戶認證后才建立連接。要求認證的方式由只為已知的用戶建立連接的這種限制，為安全性提供了額外的保證。如果網(wǎng)絡(luò)受到危害，這個特征使得從內(nèi)部發(fā)動攻擊的可能性大大減少。 （ 4） NAT 討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術(shù)上講它根本不是防火墻。網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)協(xié)議將內(nèi)部網(wǎng)絡(luò)的多個IP 地址轉(zhuǎn)換到一個公共地址發(fā)到 Inter 上。 NAT 經(jīng)常用于小型辦公室、家庭等網(wǎng)絡(luò)，多個用戶分享單一的 IP 地址，并為 Inter 連接提供一些安全機制。當內(nèi)部用戶與一個公共主機通信時， NAT 追蹤是哪一個用戶作的請求，修改傳出的包，這樣包就像是來自單一的公共 IP 地址，然后再打開連接。一旦建立了連接，在內(nèi)部計算機和 Web 站點之間來回流動的通信就都是透明的了。當從公共網(wǎng)絡(luò)傳來一個未經(jīng)請求的 傳入連接時， NAT 有一套規(guī)則來決定如何處理它。如果沒有事先定義好的規(guī)則， NAT 只是 簡 單的丟棄所有未經(jīng)請求的傳入連接，就像包過濾防火墻所做的那樣?？墒牵拖駥Π^濾防火墻一樣，你可以將 NAT 配置為接受某些特定端口傳來的傳入連接，并將它們送到一個特定的主機地址。 （ 5） 個人防火墻 現(xiàn)在網(wǎng)絡(luò)上流傳著很多的個人防火墻軟件，它是應(yīng)用程序級的。個人防火墻是一種能夠保護個人計算機系統(tǒng)安全的軟件，它可以直接在用戶的計算機上運行，使用與狀態(tài) /動態(tài)檢測防火墻相同的方式，保護一臺計算機免受攻擊。通常，這些防火墻 是安裝在計算機網(wǎng)絡(luò)接口的較低級別上，使得它們可以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。一旦安裝上個人防火墻，就可以把它設(shè)置成 “學習模式 ”，這樣的話，對遇到的每一種新的網(wǎng)絡(luò)通信，個人防火墻都會提示用戶一次，詢問如何處理那種通信。然后個人防火墻便記住響應(yīng)方式，并應(yīng)用于以后遇到的相同那種網(wǎng)絡(luò)通信。例如，如果用戶已經(jīng)安裝了一臺個人 Web 服務(wù)器，個人防火墻可能將第一個傳入的Web 連接作上標志，并詢問用戶是否允許它通過。用戶可能允許所有的 Web連接、來自某些特定 IP 地址范圍的連接等，個人防火墻然后把這條規(guī)則應(yīng)用于所有傳入的 Web 連接。基本上，你可以將個人防火墻想象成在用戶計算機上建立了一個虛擬網(wǎng)絡(luò)接口。不再是計算機的操作系統(tǒng)直接通過網(wǎng)卡進行通信，而是以操作系統(tǒng)通過和個人防火墻對話，仔細檢查網(wǎng)絡(luò)通信，然后再通過網(wǎng)卡通信。 防火墻的基本功能 11 網(wǎng)絡(luò)安全的屏障 防火墻可通過過濾不安全的服務(wù)而減低風險，極大地提高內(nèi)部網(wǎng)絡(luò)的安全性。由于只有經(jīng)過選擇并授權(quán)允許的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以禁止諸如不安全的 NFS 協(xié)議進出受保護的網(wǎng)絡(luò)，使攻擊者不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火 墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項中的源路由攻擊和 ICMP 重定向路徑。防火墻能夠拒絕所有以上類型攻擊的報文，并將情況及時通知防火墻管理員。 強化網(wǎng)絡(luò)安全策略 通過以防火墻為中心的安全方案配置。能將所有安全軟件 (如口令、加密、身份認證等 )配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如，在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其他的身份認證系統(tǒng)完全可以不必分散在各個主機上而集中在防火墻。 對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審 計 由于所有的訪問都必須經(jīng)過防火墻，所以防火墻就不僅能夠制作完整的日志記錄，而且還能夠提供網(wǎng)絡(luò)使用的情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是一項非常重要的工作。這不僅有助于了解防火墻的控制是否能夠抵擋攻擊者的探測和攻擊，了解防火墻的控制是否充分有效，而且有助于作出網(wǎng)絡(luò)需求分析和威脅分析。 防止內(nèi)部信息的外泄 通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)中重點網(wǎng)段的隔離， 限制內(nèi)部網(wǎng)絡(luò)中不同部門之間互相訪問，從而保障了網(wǎng)絡(luò)內(nèi)部敏感數(shù)據(jù)的安全。另外，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)，可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至由此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱藏那些透露內(nèi)部細節(jié)的服務(wù)，如 Finger、 DNS 等。 Finger 顯示了主機的所有用戶的用戶名、真名、最后登錄時間和使用 Shell 類型等。但是 Finger 顯示的信息非常容易被 12 攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶在連線上網(wǎng)，這個系統(tǒng)是否在 被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)的 DNS 信息，這樣一臺