【文章內容簡介】 外部網卡一樣，可以達到隱藏內部網結 構的作用。由于內外網的計算機對話機會根本沒有，從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。 自適應代理防火墻 自適應代理技術是商業(yè)應用防火墻中實現的一種革命性技術。它結合了代理類型防火墻和包過濾防火墻的優(yōu)點，即保證了安全性又保持了高速度，同時它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。 2 防火墻的功能 防火墻是一個保護裝置，它是一個或一組網絡設備裝置。通常是 指運行特別編寫或更改過操作系統的計算機，它的目的就是保護內部網的訪問安全。防火墻可以安裝在兩個組織結構的內部網與外部的 Inter 之間，同時在多個組織結構的內部網和 Inter 之間也會起到同樣的保護作用。它主要的保護就是加強外部 Inter 對內部網的訪問控制，它主要任務是允許特別的連接通過，也可以阻止其它不允許的連接。防火墻只是網絡安全策略的一部分，它通過少數幾個良好的監(jiān)控位置來進行內部網與 Inter 的連接。防火墻的核心功能主要是包過濾。其中入侵檢測，控管規(guī)則過濾，實時監(jiān) 防火墻技術研究 19 控及電子郵件過 濾這些功能都是基于封包過濾技術的。 防火墻的主體功能歸納為以下幾點： (1) 防火墻是網絡安全的屏障 一個防火墻 (作為阻塞點、控制點 )能極大地提高一個內部網絡的安全性 , 并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻 , 所以網絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的 NFS 協議進出受保護網絡 , 這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊 , 如 IP 選項中的源路由攻擊和 ICMP 重定向中的重定向路徑。防火 墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。 (2) 防火墻可以強化網絡安全策略 通過以防火墻為中心的安全方案配置 ,能將所有安全軟件 (如口令、加密、身 份認證、審計等 )配置在防火墻上。與將網絡安全問題分散到各個主機上相比 , 防火墻的集中安全管理更經濟。例如在網絡訪問時 , 一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上 ,而集中在防火墻一身上。 (3) 對網絡存取和訪問進行監(jiān)控審計 如果所有的訪問都經過防火墻 , 那么 ,防火墻就能記錄下這些訪問并作出日志記錄 , 同時也能提供網絡使用 情況的統計 數據。當發(fā)生可疑動作時 , 防火墻能進行適當的報警 , 并提供網絡是否受到監(jiān)測和攻擊的詳細信息。另外 , 收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊 , 并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。 防火墻技術研究 20 (4)防止內部信息的外泄 通過利用防火墻對內部網絡的劃分 ,可實現內部網重點網段的隔離 , 從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者 , 隱私是內部網絡非常關心的問題 , 一個內部網絡中 不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣 , 甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節(jié)如 Finger、 DNS 等服務。 Finger 顯示了主機的所有用戶的注冊名、真名 ,最后登錄時間和使用 shell 類型等。但是Finger 顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度 , 這個系統是否有用戶正在連線上網 , 這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的 DNS 信息 ,這樣一臺主機的域名和 IP 地址就不會被外界所 了解。 (5)被攔阻時能通過聲音或閃爍圖標給用戶報警提示。 防火墻僅靠這些核心技術功能是遠遠不夠的。核心技術是基礎 ,必須在這個 基礎之上加入輔助功能才能流暢的工作。而實現防火墻的核心功能是封包過濾 3 防火墻的不足 防火墻對網絡的威脅進行極好的防范，但是，它們不是安全解決方案的全部。某些威脅是防火墻力所不及的。 (1)防火墻可以阻斷攻擊 ,但不可消滅攻擊源 “各家自掃門前雪 , 不管他人瓦上霜”就是目前網絡安全的現狀?；ヂ摼W上的病毒 ,惡意試探等造成的攻擊行為絡繹不絕。設置得當的防火墻能夠阻擋他們 ,但是無法消除攻擊 源。即使防火墻進行了很好的設置 ,使得攻擊無法滲透防火墻 , 但各種攻擊仍然會源源不斷地向防火墻發(fā)出嘗試。 (2) 防火墻不能夠抵抗最新的未設置策略的攻擊漏洞 就如殺毒軟件與病毒一樣 , 總是先出現病毒 , 殺毒軟件經過分析出其特征碼后加入到病毒庫內才能查殺。防火墻的各種策略 ,也是在該攻擊方式經過專家 防火墻技術研究 21 分析后根據其特征而進行設置的 , 如果世界上新發(fā)現某個主機漏洞的 CRACKER 把第一個攻擊對象擊中了您的網絡 ,那么防火墻也沒有辦法幫助您的。 (3) 防火墻的并發(fā)連接數限制容易導致擁塞或者謚出 由于要判斷處理流經防 火墻的每一個包 , 因此防火墻在某些流量大 , 并發(fā)請求多的情況下 , 很容易導致擁塞 ,成為整個網絡的瓶頸影響性能。而當防火墻謚出的時候 , 整個防線就如同虛設 , 原本被禁止的連接也能從容通過了。 (4) 防火墻對服務器合法開放的端口攻擊大多無法阻止 某些情況下 , 攻擊者利用服務器提供服務進行缺陷攻擊。 (5)防火墻對待內部主動發(fā)起連接的攻擊一般無法阻擊 “外緊內松”是一般局域網絡的特點 , 或許一道嚴密防火墻內部的網絡是一片混亂也有可能。通過社會工程學發(fā)送帶木馬的郵件、帶木馬的 URL 等方式 , 然 后由中木馬的機器 主動對攻擊者連接 , 將壁一樣的防火墻瞬間破壞掉。另外 ,防火墻內部各主機間的攻擊行為 ,防火墻出只有如旁觀者一樣冷視而愛莫能助。 (6) 防火墻本身也會出現問題和受到攻擊 防火墻也是一個 OS , 也有著其硬件系統和軟件系統 ,因此依然有著漏洞和bug 。所以其本身也有可能受到攻擊和出現軟、硬件方面的故障。 4 防火墻主要技術特點 1）應用層采用 Winsock 2 SPI 進行網絡數據控制、過濾； 2）核心層采用 NDIS HOOK 進行控制，尤其是在 Windows 2021 下，此技術屬微軟未公開技術。 此防火墻還采用兩種封包過濾技術：一是應用層封包過濾，采用Winsock 2 SPI ；二是核心層封包過濾，采用 NDIS_HOOK。 Winsock 2 SPI 工作在 API 之下、 Driver 之上，屬于應用層的范疇。利用這項技術可以截獲所有的基于 Socket 的網絡通信。比如 IE、 OUTLOOK 等常見的 防火墻技術研究 22 應用程序都是使用 Socket 進行通信。采用 Winsock 2 SPI 的優(yōu)點是非常明顯的：其工作在應用層以 DLL 的形式存在，編程、測試方便；跨 Windows 平臺，可以直接在 Windows98/ME/NT/2021/XP 上通用， Windows95 只需安裝上 Winsock 2 for 95，也可以正常運行；效率高，由于工作在應用層， CPU 占用率低；封包還沒有按照低層協議進行切片，所以比較完整。而防火墻正是在 TCP/IP 協議在 windows 的基礎上才得以實現。 防火墻技術研究 23 第三章 防火墻的體系結構 雙重 宿主主機體系結構是圍繞具有雙重宿主的主機計算機而構筑的，該計算機至少有兩個網絡接口。這樣的主機可以充當與這些接口相連的網絡之間的路由器；它能夠從一個網絡到另一個網絡發(fā)送 IP 數據包。然而，實現雙重宿主主機的防火墻體系結構禁止這種發(fā)送功能。因而， IP 數據包從一個網絡 (例如，因特網 )并不是直接發(fā)送到其他網絡 (例如，內部的、被保護的網絡 )。防火墻內部的系統能與雙重宿主主機通信，同時防火墻外部的系統 (在因特網上 )能與雙重宿主主機通信，但是這些系統不能直接互相通信。它們之間的 IP 通信被完全阻止。 但這種體系結構中用戶訪問 因特網的速度會較慢，也會因為雙重宿主主機的被侵襲而失效。 雙重宿主主機的防火墻體系結構是相當簡單的：雙重宿主主機位于兩者之間，并且被連接到因特網和內部的網絡，如圖 4 所示 圖 4 雙重宿主主機體系結構 防火墻技術研究 24 屏蔽主機體系結構 雙重宿主主機體系結構提供來自與多個網絡相連的主機的服務 (但是路由關閉 ),而被屏蔽主機體系結構使用一個單獨的路由器提供來自僅僅與內部的網絡相連的主機的服務。在這種體系結構中 ,主要的安全由數據包過濾。其結構如下圖 5 所示 圖 5 屏蔽主機體系結構 在屏蔽的路由器上的數據包過濾是按這樣一種方法設置的 : 堡壘主機是因特網上的主機能連接到內部網絡上的系統的橋梁 (例如，傳送進 來的電子郵件 )。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統試圖訪問內部的系統或服務將必須連接到這臺堡壘主機上。因此，堡壘主機需要擁有高等級的安全。 數據包過濾也允許堡壘主機開放可允許的連接 (什么是 “ 可允許 ” 將由用戶的站點的安全策略決定 )到外部世界。在屏蔽的路由器中數據包過濾配置可以按下列之一執(zhí)行： 防火墻技術研究 25 (1)允許其他的內部主機為了某些服務與因特網上的主機連接 (即允許那些已經由數據包過濾的服務 )。 (2)不允許來自內部主機的所有連接 (強迫那些主機經由堡壘主機使用代理服務 )。 用戶可以針對不同的服務混 合使用這些手段；某些服務可以被允許直接經由數據包過濾，而其他服務可以被允許僅僅間接地經過代理。這完全取決于用戶實行的安全策略。 因為這種體系結構允許數據包從因特網向內部網的移動，所以它的設計比沒有外部數據包能到達內部網絡的雙重宿主主機體系結構似乎是更冒風險。實際上，雙重宿主主機體系結構在防備數據包從外部網絡穿過內部的網絡也容易產生失敗 (因為這種失敗類型是完全出乎預料的，不太可能防備黑客侵襲 )。進而言之，保衛(wèi)路由器比保衛(wèi)主機較易實現，因為它提供非常有限的服務組。多數情況下，被屏蔽的主機體系結構提供比雙重宿主主 機體系結構具有更好的安全性和可用性。 然而，比較其他體系結構，如在下面要討論的屏蔽子網體系結構也有一些缺點。主要是如果侵襲者沒有辦法侵入堡壘主機時，而且在堡壘主機和其余的內部主機之間沒有任何保護網絡安全的東西存在的情況下，路由器同樣出現一個單點失效。如果路由器被損害，整個網絡對侵襲者是開放的。 屏蔽子網體系結構添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步地把內部網絡和外部網絡 (通常是 Inter)隔離開。屏蔽子網體系結構的最簡單的形式為：兩個屏蔽路由器，每一個 都連接到周邊網。一個位于周邊網與內部網絡之間，另一個位于周邊網與外部網絡 (通常為 Inter)之間。這樣就在內部網絡與外部網絡之間形成了一個 “隔離帶 ”。為了侵入用這 種 防火墻技術研究 26 體系結構構筑的內部網絡，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，它將仍然必須通過內部路由器，如圖 6 所示 圖 6 被屏蔽子網體系結構 對圖 6 的要點說明如下： (1)周邊網絡周邊網絡是另一個安全層 ,是在外部網絡與用戶的被保護的內部網絡之間的附加的網絡。如果侵襲者成功地侵入用戶的防火墻的外層領域，周邊網絡在那個侵襲者與用戶的內 部系統之間提供一個附加的保護層。 對于周邊網絡的作用，舉例說明如下。在許多網絡設置中，用給定網絡 的任何機器來查看這個網絡上的每一臺機器的通信是可能的，對大多數以太網為基礎的網絡確實如此 (而且以太網是當今使用最廣泛的局域網技術 )；對若干其他成熟的技術，諸如令牌環(huán)和 FDDI 也是如此。探聽者可以通過查看那些在Tel、 FTP 以及 Rlogin 會話期間使用過的口令成功地探測出口令。即使口令沒被攻破，探聽者仍然能偷看或訪問他人的敏感文件的內容，或閱讀他們感興趣的電子郵件等；探聽者能完全監(jiān)視何人在使用網絡。對于周邊 網絡，如果某 防火墻技術研究