【文章內(nèi)容簡介】 址黑客利用一個類似于內(nèi)部網(wǎng)絡(luò)的IP地址，以“逃過”服務(wù)器檢測，從而進入內(nèi)部網(wǎng)達到攻擊的目的。策略：通過打開內(nèi)核rp_filter功能，丟棄所有來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包；同時將特定IP地址與MAC綁定，只有擁有相應(yīng)MAC地址的用戶才能使用被綁定的IP地址進行網(wǎng)絡(luò)訪問。 應(yīng)對策略 方案選擇市場上的防火墻大致有軟件防火墻和硬件防火墻兩大類。軟件防火墻需運行在一臺標準的主機設(shè)備上，依托網(wǎng)絡(luò)在操作系統(tǒng)上實現(xiàn)防火墻的各種功能，因此也稱“個人”防火墻，其功能有限，基本上能滿足單個用戶。硬件防火墻是一個把硬件和軟件都單獨設(shè)計，并集成在一起，運行于自己專用的系統(tǒng)平臺。由于硬件防火墻集合了軟件方面，從功能上更為強大，目前已普遍使用。在制造上，硬件防火墻須同時設(shè)計硬件和軟件兩方面。國外廠家基本上是將軟件運算硬件化，將主要運算程序做成芯片，以減少CPU的運算壓力；國內(nèi)廠家的防火墻硬件平臺仍使用通用PC系統(tǒng)，增加了內(nèi)存容量，增大了CPU的頻率。在軟件性能方面，國外一些著名的廠家均采用專用的操作系統(tǒng)，自行設(shè)計防火墻，提供高性能的產(chǎn)品；而國內(nèi)廠家大部分基于Linux操作平臺，有針對性的修改代碼、增加技術(shù)及系統(tǒng)補丁等。因此，國產(chǎn)防火墻與國外的相比仍有一定差距，但科技的進步，也生產(chǎn)出了較為優(yōu)秀的產(chǎn)品。如北京天融信的NG系列產(chǎn)品，支持TOPSEC安全體系、多級過濾、透明應(yīng)用代理等先進技術(shù)。 結(jié)構(gòu)透明防火墻的透明性是指防火墻對于用戶是透明的。以網(wǎng)橋的方式將防火墻接入網(wǎng)絡(luò)，網(wǎng)絡(luò)和用戶無需做任何設(shè)置和改動，也根本意識不到防火墻的存在。然后根椐自己企業(yè)的網(wǎng)絡(luò)規(guī)模，以及安全策略來選擇合適的防火墻的構(gòu)造結(jié)構(gòu)（可參照本文第3點分析），如果經(jīng)濟實力雄厚的可采用屏蔽子網(wǎng)的拓撲結(jié)構(gòu)。 堅持策略（1）管理主機與防火墻專用服務(wù)器端口連接，形成單獨管理通道，防止來自內(nèi)外部的攻擊。（2）使用FTP、Telnet、News等服務(wù)代理，以提供高水平的審計和潛在的安全性。（3）支持“除非明確允許，否則就禁止”的安全防范原則。（4）確定可接受的風險水平，如監(jiān)測什么傳輸，允許和拒絕什么傳輸流通過。 實施措施好的防火墻產(chǎn)品應(yīng)向使用者提供完整的安全檢查功能，應(yīng)有完善及時的售后服務(wù)。但一個安全的網(wǎng)絡(luò)仍必須靠使用者的觀察與改進，企業(yè)要達到真正的安全仍需內(nèi)部的網(wǎng)絡(luò)管理者不斷記錄、追蹤、改進，定期對防火墻和相應(yīng)操作系統(tǒng)用補丁程序進行升級。9防火墻的發(fā)展歷程由于多數(shù)路由器本身就包含有分組過濾功能，故網(wǎng)絡(luò)訪問控制可能通過路控制來實現(xiàn)，從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。：1)利用路由器本身對分組的解析，以訪問控制表(Access List)方式實現(xiàn)對分組的過濾；2)過濾判斷的依據(jù)可以是：地址、端口號、IP旗標及其他網(wǎng)絡(luò)特征；3)只有分組過濾的功能，且防火墻與路由器是一體的。這樣，對安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法，而對安全性要求高的網(wǎng)絡(luò)則需要單獨利用一臺路由器作為防火墻。具體表現(xiàn)為：1) 路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如，在使用FTP協(xié)議時，外部服務(wù)器容易從20號端口上與內(nèi)部網(wǎng)相連，即使在路由器上設(shè)置了過濾規(guī)則，內(nèi)部網(wǎng)絡(luò)的20號端口仍可以由外部探尋。2) 路由器上分組過濾規(guī)則的設(shè)置和配置存在安全隱患。對路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜，它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制，這往往會帶來很多錯誤。3) 路由器防火墻的最大隱患是：攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的，黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。路由器防火墻的本質(zhì)缺陷是：由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動態(tài)的、靈活的路由，而防火墻則要對訪問行為實施靜態(tài)的、固定的控制，這是一對難以調(diào)和的矛盾，防火墻的規(guī)則設(shè)置會大大降低路由器的性能。可以說基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施，用這種權(quán)宜之計去對付黑客的攻擊是十分危險的。 用戶化的防火墻工具套為了彌補路由器防火墻的不足，很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護自己的網(wǎng)絡(luò)，從而推動了用戶防火墻工具套的出現(xiàn)。，用戶化的防火墻工具套具有以下特征：1)將過濾功能從路由器中獨立出來，并加上審計和告警功能；2)針對用戶需求，提供模塊化的軟件包；3)軟件可以通過網(wǎng)絡(luò)發(fā)送，用戶可以自己動手構(gòu)造防火墻；4)與第一代防火墻相比，安全性提高了，價格也降低了。1) 無論在實現(xiàn)上還是在維護上都對系統(tǒng)管理員提出了相當復(fù)雜的要求，2) 配置和維護過程復(fù)雜、費時；3) 對用戶的技術(shù)要求高；4) 全軟件實現(xiàn)，使用中出現(xiàn)差錯的情況很多。 建立在通用操作系統(tǒng)上的防火墻基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。：1)是批量上市的專用防火墻產(chǎn)品；2)包括分組過濾或者借用路由器的分組過濾功能；3)裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；4)保護用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；5)安全性和速度大大提高。第三代防火墻有以純軟件實現(xiàn)的，也有以硬件方式實現(xiàn)的，它們已經(jīng)得到了廣大用戶的認同。但隨著安全需求的變化和使用時間的推延，仍表現(xiàn)出不少問題。)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于源碼的保密，其安全性無從保證；)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商，通用操作系統(tǒng)廠商不會對操作系統(tǒng)的安全性負責；)從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊，還要防止來自操作系統(tǒng)廠商的攻擊；)在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)且具有加密鑒別功能；)透明性好，易于使用。. 第四代防火墻 第四代防火墻的主要技術(shù)及功能第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)功能。 雙端口或三端口的結(jié)構(gòu)新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不做IP轉(zhuǎn)化而串接于內(nèi)部與外部之間，另一個網(wǎng)卡可專用于對服務(wù)器的安全保護。 透明的訪問方式以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄，要么需要通過SOCKS等庫路徑修改客戶機的應(yīng)用。第四代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風險和出錯概率。 靈活的代理系統(tǒng)代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊，第四代防火墻采用了兩種代理機制：一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接；另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決。 多級過濾技術(shù)為保證系統(tǒng)的安全性和防護水平，第四代防火墻采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒IP地址；在應(yīng)用級網(wǎng)關(guān)一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所有通用服務(wù)；在電路網(wǎng)關(guān)一級，實現(xiàn)內(nèi)部主機與外部站點的透明連接，并對服務(wù)的通行實行嚴格控制。 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)第四代防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址做轉(zhuǎn)換，使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。 Internet網(wǎng)關(guān)技術(shù)由于是直接串聯(lián)在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù)，同時還要防止與Internet服務(wù)有關(guān)的安全漏洞，故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來實現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。在域名服務(wù)方面，第四代防火墻采用兩種獨立的域名服務(wù)器：一種是內(nèi)部DNS服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息；另一種是外部DNS服務(wù)器，專門用于處理機構(gòu)內(nèi)部向Internet提供的部分DNS信息。在匿名FTP方面，服務(wù)器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務(wù)器中，只支持靜態(tài)的網(wǎng)頁，而不允許圖形或CGI代碼等在防火墻內(nèi)運行。在Finger服務(wù)器中，對外部訪問，防火墻只提供可由內(nèi)部用戶配置的基本的文本信息，而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對所有進、出防火墻的郵件做處理，并利用郵件映射與標頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對用戶連接的識別做專門處理，網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。 安全服務(wù)器網(wǎng)絡(luò)(SSN)為了適應(yīng)越來越多的用戶向Internet上提供服務(wù)時對服務(wù)器的需要，第四代防火墻采用分別保護的策略對用戶上網(wǎng)的對外服務(wù)器實施保護，它利用一張網(wǎng)卡將對外服務(wù)器作為一個獨立網(wǎng)絡(luò)處理，對外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離，這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對SSN上的主機既可單獨管理，也可設(shè)置成通過FTP、Tnlnet等方式從內(nèi)部網(wǎng)上管理。SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多，因為SSN與外部網(wǎng)之間有防火墻保護，SSN與風部網(wǎng)之間也有防火墻的保護，而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之，一旦SSN受破壞，內(nèi)部網(wǎng)絡(luò)仍會處于防火墻的保護之下，而一旦DMZ受到破壞，內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。 用戶鑒別與加密為了減低防火墻產(chǎn)品在Tnlnet、FTP等服務(wù)和遠程管理上的安全風險，鑒別功能必不可少。第四代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段，并實現(xiàn)了對郵件的加密。 用戶定制服務(wù)為了滿足特定用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時，還為用戶定制提供支持，這類選項有：通用TCP、出站UDP、FTP、SMTP等，如果某一用戶需要建立一個數(shù)據(jù)庫的代理，便可以利用這些支持，方便