【文章內(nèi)容簡介】 取舍以一個特殊服務(wù)為基礎(chǔ)的信息流，因為大多數(shù)服務(wù)檢測器駐留于眾所周知的TCP/UDP端口。例如，Telnet Service 為TCP port 23端口等待遠(yuǎn)程連接，而SMTP Service為TCP Port 25端口等待輸入連接。如要封鎖輸入Telnet、SMTP的連接，則Router舍棄端口值為23,25的所有的數(shù)據(jù)包。典型的過濾規(guī)則有以下幾種：.允許特定名單內(nèi)的內(nèi)部主機(jī)進(jìn)行Telnet輸入對話.只允許特定名單內(nèi)的內(nèi)部主機(jī)進(jìn)行FTP輸入對話.只允許所有Telnet 輸出對話.只允許所有FTP 輸出對話.拒絕來自一些特定外部網(wǎng)絡(luò)的所有輸入信息* 獨立于服務(wù)的過濾有些類型的攻擊很難用基本包頭信息加以鑒別，因為這些獨立于服務(wù)。一些Router可以用來防止這類攻擊，但過濾規(guī)則需要增加一些信息，而這些信息只有通過以下方式才能獲悉：研究Router選擇表、檢查特定的IP選項、校驗特殊的片段偏移等。這類攻擊有以下幾種:.源IP地址欺騙攻擊入侵者從偽裝成源自一臺內(nèi)部主機(jī)的一個外部地點傳送一些信息包；這些信息包似乎像包含了一個內(nèi)部系統(tǒng)的源IP地址。如果這些信息包到達(dá)Router的外部接口，則舍棄每個含有這個源IP地址的信息包，就可以挫敗這種源欺騙攻擊。.源路由攻擊源站指定了一個信息包穿越Internet時應(yīng)采取的路徑，這類攻擊企圖繞過安全措施，并使信息包沿一條意外(疏漏)的路徑到達(dá)目的地?？梢酝ㄟ^舍棄所有包含這類源路由選項的信息包方式，來挫敗這類攻擊。.殘片攻擊入侵者利用Ip殘片特性生成一個極小的片斷并將TCP報頭信息肢解成一個分離的信息包片斷。舍棄所有協(xié)議類型為TCP、IP片斷偏移值等于1的信息包，即可挫敗殘片的攻擊。從以上可看出定義一個完善的安全過濾規(guī)則是非常重要的。通常，過濾規(guī)則以表格的形式表示，其中包括以某種次序排列的條件和動作序列。每當(dāng)收到一個包時，則按照從前至后的順序與表格中每行的條件比較，直到滿足某一行的條件，然后執(zhí)行相應(yīng)的動作(轉(zhuǎn)發(fā)或舍棄)。有些數(shù)據(jù)包過濾在實現(xiàn)時，“動作”這一項還詢問，若包被丟棄是否要通知發(fā)送者(通過發(fā)ICMP信息),并能以管理員指定的順序進(jìn)行條件比較，直至找到滿足的條件。以下是兩個例子: * 例 一某公司有一個B類地址 ,它不希望Internet上的其他站點對它進(jìn)行訪問。但是， 用于和某大學(xué)合作開發(fā)項目，該大學(xué)有一個B類地址 ， 子網(wǎng)。但是， 子網(wǎng)中存在著不安全因素，因此， 子網(wǎng)之外，不能訪問公司網(wǎng)中的其它子網(wǎng)。為了簡單起見，假定只有從大學(xué)到公司的包，表一中列出了所需的規(guī)則集。表 一規(guī) 則源地 址目 的 地 址動作ApermitBdenyCdeny，規(guī)則C是缺省規(guī)則，若沒有其它的規(guī)則可滿足，則應(yīng)用此規(guī)則。如果還有從公司到大學(xué)的包，相對稱的規(guī)則應(yīng)加入到此表格中，即源地址與目的地址對調(diào)，再定義相應(yīng)的動作?，F(xiàn)在，我們按照規(guī)則ABC的順序來進(jìn)行過濾和按照BAC的順序來進(jìn)行過濾后采取的動作的結(jié)果如表二所示(注意：兩種動作的結(jié)果有不同)表二 Packet 源 地 址目 的 地 址希望的動作 執(zhí)行ABC后 執(zhí)行BAC后denydeny(B)deny(B)* 2permitpermit(A)deny(B)3permitpermit(A)permit(A)4denydeny(C)deny(c)從表二可以看出，以ABC的順序來應(yīng)用規(guī)則的Router能達(dá)到預(yù)想的結(jié)果： (如包1)都被拒絕(根據(jù)規(guī)則B)，(如包2)將被轉(zhuǎn)發(fā)(根據(jù)規(guī)則A)，(如包3)也將被轉(zhuǎn)發(fā)(根據(jù)規(guī)則A)，從大學(xué)中的其它子網(wǎng)到公司中的其它字網(wǎng)的包(如包4)都被拒絕(根據(jù)規(guī)則C)。若以BAC的順序來應(yīng)用規(guī)則，則不能達(dá)到預(yù)計的目的。實際上，在上面的規(guī)則外集中存在著一個小錯誤，正是由于這個錯誤，導(dǎo)致了以ABC的順序和以BAC的順序來應(yīng)用規(guī)則而出現(xiàn)了不同的結(jié)果。該錯誤就是:，但實際上這是多余的。如果將這條規(guī)則去掉，那么順序ABC和BAC都將歸結(jié)為AC順序。以AC的順序進(jìn)行過濾后的結(jié)果如表三所示。表三Packet源 地 址目 的 地 址希望的動作AC 動作denydeny(C)permitpermit(A)permitpermit(A)denydeny(C)* 例 二如圖一所示的網(wǎng)絡(luò)，由包過濾的Router作為在內(nèi)部被保護(hù)的網(wǎng)絡(luò)與外部不安全的網(wǎng)絡(luò)之間的第一道防線。假設(shè)網(wǎng)絡(luò)的安全策略為:從外部主機(jī)來的Internet Mail 在一個指定的網(wǎng)關(guān)上接收，同時你不信任外部網(wǎng)絡(luò)上一個名叫HPVC的主機(jī)，準(zhǔn)備拒絕任何由它發(fā)起的網(wǎng)絡(luò)通信。本例中，關(guān)于使用SMTP的網(wǎng)絡(luò)安全策略必須轉(zhuǎn)移為包過濾規(guī)則?？梢詫⒕W(wǎng)絡(luò)安全規(guī)則轉(zhuǎn)換成下述用語言表示的規(guī)則：規(guī)則1: 拒絕從主機(jī)HPVC發(fā)起的連接。規(guī)則2：允許連接到我們的EMail網(wǎng)關(guān)。這些規(guī)則可以用下面的表四來表示。星號(*)表示可以匹配該列的任何值。表四規(guī)則動作本地本地遠(yuǎn)地主機(jī)遠(yuǎn)地說明序號主機(jī)端口號端口號Block**HPVC*Block traffic fromHPVC 2Allow MailGW 25**Allow Connection to OurMail gateway對于表四所示的規(guī)則1而言，在遠(yuǎn)地主機(jī)欄中填入了HPVC，而其它所有欄的內(nèi)容都是星號；在動作欄填入阻塞。這條規(guī)則的意義可以理解為：阻塞所有從遠(yuǎn)地主機(jī)HPVC發(fā)起的從它的任意端口到我們本地任意主機(jī)的任意端口的連接。對于表四所示的規(guī)則2而言，在本地主機(jī)和本地端口號兩欄中都有內(nèi)容，而其它欄都是星號；在動作欄填入允許。這個規(guī)則的意義可以理解為：允許從任意遠(yuǎn)地主機(jī)的任意端口發(fā)起的到本地主機(jī)MailGW的25號端口連接(端口25是為SMTP保留的)規(guī)則是按照它們在表中的順序來執(zhí)行的。如果一個分組不符合任何規(guī)則，則它將被拒絕。在表四中對規(guī)則的描述有一個嚴(yán)重的問題，它允許任意外部主機(jī)從端口25發(fā)起一個呼叫。端口25是為SMTP保留的，但是一個外部主機(jī)有可能利用這個權(quán)利從事其它活動。這條規(guī)則的一個更好的描述方案是允許本地主機(jī)發(fā)起呼叫，同遠(yuǎn)地主機(jī)的端口25進(jìn)行通信。這使得本地主機(jī)可以向遠(yuǎn)地站點發(fā)送電子郵件。如果遠(yuǎn)地主機(jī)不是用端口25執(zhí)行SMTP，則SMTP的發(fā)送進(jìn)程將不能發(fā)送電子郵件。這等價與遠(yuǎn)地主機(jī)不支持電子郵件。一個TCP連接是一個全雙工連接，信息雙向流動。在表四所示的包過濾規(guī)則中沒有明確指定被發(fā)送報文分組中信息的傳遞方向，即是從本地主機(jī)發(fā)送遠(yuǎn)地站點，還是從遠(yuǎn)地站點發(fā)送到本地主機(jī)。當(dāng)一個TCP包在某一個方向上傳遞時，它必須被接收方確認(rèn)。接收方通過設(shè)置TCP ACK標(biāo)志來發(fā)送應(yīng)答幀。TCP ACK標(biāo)志也被用來確認(rèn)TCP建立連接請求，ACK包將在所有TCP連接上發(fā)送。當(dāng)一個ACK包被發(fā)送后，發(fā)送方向就逆轉(zhuǎn)過來，包過濾規(guī)則應(yīng)該考慮為響應(yīng)控制或數(shù)據(jù)包而發(fā)回的ACK包。對于下面的表五中的規(guī)則1,在目標(biāo)主機(jī)端口號欄中填入25,其它欄中都填入星號,:(,主機(jī)號字段為0表示網(wǎng)絡(luò)上任意一臺主機(jī)).基于以上的討論,五SMTP的包過濾規(guī)則規(guī)則 動作源主機(jī)源端目標(biāo)主機(jī)遠(yuǎn)地TCP標(biāo)識說明序號口號端口號/IP選項 Allow **Allow packetfrom Network Allow* *TCP ACK Allow returnacknowledgement對于表五中的規(guī)則2,在源端口號欄中填入25,在TCP標(biāo)志和IP選項欄中填入TCP ACK,其它欄中都填入星號,:允許所有從任何外部網(wǎng)絡(luò)主機(jī)上源端口號25發(fā)起的到任意本地主機(jī)()任意端口號的TCP :(數(shù)據(jù)層和網(wǎng)絡(luò)層).,這個策略運行得很好,因為TCP維護(hù)連接兩側(cè)的狀態(tài)信息,一些上層應(yīng)用服務(wù),例如TELNET ,SMTP 和FTP等,只能接受遵循應(yīng)用層協(xié)議規(guī)則的包,可考慮和應(yīng)用層網(wǎng)關(guān)一起使用(下節(jié)將會討論).羅羅嗦嗦說了一大通,可以綜述為下面兩點:包過濾路由器的優(yōu)點:絕大多數(shù)Internet ,執(zhí)行PACKET FILTER ,包過濾路由器對終端用戶和應(yīng)用程序是透明的,:定義包過濾器可能是一項復(fù)雜的工作,因為網(wǎng)管員需要詳細(xì)地了解Internet 各種服務(wù)、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復(fù)雜的過濾要求的，則過濾規(guī)則集可能會變得很長和很復(fù)雜，從而很難管理。存在幾種自動測試軟件，被配置到Router上后即可校驗過濾規(guī)則。這可能對未檢測到的易損部件開放了一個地點。一般來說，一個路由器和信息包吞吐量隨過濾器數(shù)量的增加而減少。Router 被優(yōu)化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表，而后將信息包順向運行到適當(dāng)轉(zhuǎn)發(fā)接口。如果過濾可執(zhí)行，Router還必須對每個包執(zhí)行所有過濾規(guī)則。這可能消耗CPU的資源，并影響一個完全飽和的系統(tǒng)性能。 應(yīng)用網(wǎng)關(guān)為了克服與包過濾路由器相關(guān)聯(lián)的某些弱點,防火墻需要使用應(yīng)用軟件來轉(zhuǎn)發(fā)和過濾Telnet和Ftp等服務(wù)的連接。這樣一種應(yīng)用叫做代理服務(wù)，而運行代理服務(wù)軟件的主系統(tǒng)叫做應(yīng)用網(wǎng)關(guān)。應(yīng)用網(wǎng)關(guān)和包過濾路由器可以組合在一起使用，以獲得高于單獨使用的安全性和靈活性。作為一個例子，請考慮一個用包過濾路由器封鎖所有輸入Telnet 和Ftp 連接的網(wǎng)點。路由器允許Telnet和Ftp包只通過一個主系統(tǒng)，即Telnet/Ftp應(yīng)用網(wǎng)關(guān)，然后再連接到目的主系統(tǒng)，過程如下：，并輸入內(nèi)部主系統(tǒng)的名字；，并根據(jù)任何合適的訪問準(zhǔn)則接受或拒絕；（可使用一次性口令裝置）；；，代理服務(wù)軟件在兩個連接之間傳送數(shù)據(jù)；。這一例子指出了使用代理服務(wù)軟件的幾個好處。第一，代理服務(wù)軟件只允許有代理的服務(wù)通過。換句話說，如果應(yīng)用網(wǎng)關(guān)包含Telnet和Ftp的代理軟件，則只有Ftp和Telnet被允許進(jìn)入受保護(hù)的子網(wǎng)，而其它所有服務(wù)都完全被封鎖住。對有些網(wǎng)點來說，這種程度的安全性是很重要的，因為它保證，只有那些被認(rèn)為“可信賴的”服務(wù)才被允許通過防火墻。它還防止其他不可靠的服務(wù)不會背著防火墻管理人員實施。使用代理服務(wù)的另一好處是可以過濾協(xié)議。例如，有些防火墻可以過濾FTP連接，并拒絕使用FTP 協(xié)議中的 put 命令。如果人們要保證用戶不能寫到匿名FTP服務(wù)器軟件，則這一點是很有用的。應(yīng)用網(wǎng)關(guān)有三種基本的原型，分別適用于不同的網(wǎng)絡(luò)規(guī)模。* 雙穴主機(jī)網(wǎng)關(guān)（DualHomed Gateway）* 屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway)* 屏蔽子網(wǎng)網(wǎng)關(guān)（Screened Subnet Gateway）這三種原型有一個共同的特點，就是都需要一臺主機(jī)（如上面所述一樣）,通常稱為橋頭堡主機(jī)(Bastion Host)。該主機(jī)充當(dāng)應(yīng)用程序轉(zhuǎn)發(fā)者、通信登記者以及服務(wù)提供者的角色。因此，保護(hù)該主機(jī)的安全性是至關(guān)重要的，建立防火墻時，應(yīng)將較多的注意力放在該主機(jī)上。* 雙穴主機(jī)網(wǎng)關(guān)該原型的結(jié)構(gòu)如下圖所示。其中，橋頭堡主機(jī)充當(dāng)網(wǎng)關(guān)，因此，需要在此主機(jī)中裝兩塊網(wǎng)卡，并在其上運行防火墻軟件。受保護(hù)網(wǎng)與Internet之間不能直接進(jìn)行通信，必須經(jīng)過橋頭堡主機(jī)，因此，不必顯示地列出受保護(hù)網(wǎng)與不受保護(hù)網(wǎng)之間的路由，從而達(dá)到受保護(hù)網(wǎng)除了看到橋頭堡主機(jī)之外，不能看到其他任何系統(tǒng)的效果。同時，橋頭堡主機(jī)不轉(zhuǎn)發(fā)TCP/IP包，網(wǎng)絡(luò)中的所有服務(wù)都必須由此主機(jī)的相應(yīng)代理程序支持。由于雙穴主機(jī)網(wǎng)關(guān)容易安裝，所需的硬件設(shè)備也較少，且容易驗證其正確性，因此，這是一種使用較多的紡火墻。雙穴主機(jī)網(wǎng)關(guān)最致命的弱點是:一旦防火墻被破壞，橋頭堡主機(jī)實際上就變成了一臺沒有尋徑功能的路由器，一個有經(jīng)驗的攻擊者就能使它尋徑，從而使受保護(hù)網(wǎng)完全開放并受到攻擊。例如，在基于Unix的雙穴主機(jī)網(wǎng)關(guān)中，通常是先修改一個名叫IPforwarding的內(nèi)核變量，來禁止橋頭堡主機(jī)的尋徑能力，