【文章內容簡介】 取舍以一個特殊服務為基礎的信息流，因為大多數服務檢測器駐留于眾所周知的TCP/UDP端口。例如，Telnet Service 為TCP port 23端口等待遠程連接，而SMTP Service為TCP Port 25端口等待輸入連接。如要封鎖輸入Telnet、SMTP的連接，則Router舍棄端口值為23,25的所有的數據包。典型的過濾規(guī)則有以下幾種：.允許特定名單內的內部主機進行Telnet輸入對話.只允許特定名單內的內部主機進行FTP輸入對話.只允許所有Telnet 輸出對話.只允許所有FTP 輸出對話.拒絕來自一些特定外部網絡的所有輸入信息* 獨立于服務的過濾有些類型的攻擊很難用基本包頭信息加以鑒別，因為這些獨立于服務。一些Router可以用來防止這類攻擊，但過濾規(guī)則需要增加一些信息，而這些信息只有通過以下方式才能獲悉：研究Router選擇表、檢查特定的IP選項、校驗特殊的片段偏移等。這類攻擊有以下幾種:.源IP地址欺騙攻擊入侵者從偽裝成源自一臺內部主機的一個外部地點傳送一些信息包；這些信息包似乎像包含了一個內部系統(tǒng)的源IP地址。如果這些信息包到達Router的外部接口，則舍棄每個含有這個源IP地址的信息包，就可以挫敗這種源欺騙攻擊。.源路由攻擊源站指定了一個信息包穿越Internet時應采取的路徑，這類攻擊企圖繞過安全措施，并使信息包沿一條意外(疏漏)的路徑到達目的地。可以通過舍棄所有包含這類源路由選項的信息包方式，來挫敗這類攻擊。.殘片攻擊入侵者利用Ip殘片特性生成一個極小的片斷并將TCP報頭信息肢解成一個分離的信息包片斷。舍棄所有協議類型為TCP、IP片斷偏移值等于1的信息包，即可挫敗殘片的攻擊。從以上可看出定義一個完善的安全過濾規(guī)則是非常重要的。通常，過濾規(guī)則以表格的形式表示，其中包括以某種次序排列的條件和動作序列。每當收到一個包時，則按照從前至后的順序與表格中每行的條件比較，直到滿足某一行的條件，然后執(zhí)行相應的動作(轉發(fā)或舍棄)。有些數據包過濾在實現時，“動作”這一項還詢問，若包被丟棄是否要通知發(fā)送者(通過發(fā)ICMP信息),并能以管理員指定的順序進行條件比較，直至找到滿足的條件。以下是兩個例子: * 例 一某公司有一個B類地址 ,它不希望Internet上的其他站點對它進行訪問。但是， 用于和某大學合作開發(fā)項目，該大學有一個B類地址 ， 子網。但是， 子網中存在著不安全因素，因此， 子網之外，不能訪問公司網中的其它子網。為了簡單起見，假定只有從大學到公司的包，表一中列出了所需的規(guī)則集。表 一規(guī) 則源地 址目 的 地 址動作ApermitBdenyCdeny，規(guī)則C是缺省規(guī)則，若沒有其它的規(guī)則可滿足，則應用此規(guī)則。如果還有從公司到大學的包，相對稱的規(guī)則應加入到此表格中，即源地址與目的地址對調，再定義相應的動作?，F在，我們按照規(guī)則ABC的順序來進行過濾和按照BAC的順序來進行過濾后采取的動作的結果如表二所示(注意：兩種動作的結果有不同)表二 Packet 源 地 址目 的 地 址希望的動作 執(zhí)行ABC后 執(zhí)行BAC后denydeny(B)deny(B)* 2permitpermit(A)deny(B)3permitpermit(A)permit(A)4denydeny(C)deny(c)從表二可以看出，以ABC的順序來應用規(guī)則的Router能達到預想的結果： (如包1)都被拒絕(根據規(guī)則B)，(如包2)將被轉發(fā)(根據規(guī)則A)，(如包3)也將被轉發(fā)(根據規(guī)則A)，從大學中的其它子網到公司中的其它字網的包(如包4)都被拒絕(根據規(guī)則C)。若以BAC的順序來應用規(guī)則，則不能達到預計的目的。實際上，在上面的規(guī)則外集中存在著一個小錯誤，正是由于這個錯誤，導致了以ABC的順序和以BAC的順序來應用規(guī)則而出現了不同的結果。該錯誤就是:，但實際上這是多余的。如果將這條規(guī)則去掉，那么順序ABC和BAC都將歸結為AC順序。以AC的順序進行過濾后的結果如表三所示。表三Packet源 地 址目 的 地 址希望的動作AC 動作denydeny(C)permitpermit(A)permitpermit(A)denydeny(C)* 例 二如圖一所示的網絡，由包過濾的Router作為在內部被保護的網絡與外部不安全的網絡之間的第一道防線。假設網絡的安全策略為:從外部主機來的Internet Mail 在一個指定的網關上接收，同時你不信任外部網絡上一個名叫HPVC的主機，準備拒絕任何由它發(fā)起的網絡通信。本例中，關于使用SMTP的網絡安全策略必須轉移為包過濾規(guī)則。可以將網絡安全規(guī)則轉換成下述用語言表示的規(guī)則：規(guī)則1: 拒絕從主機HPVC發(fā)起的連接。規(guī)則2：允許連接到我們的EMail網關。這些規(guī)則可以用下面的表四來表示。星號(*)表示可以匹配該列的任何值。表四規(guī)則動作本地本地遠地主機遠地說明序號主機端口號端口號Block**HPVC*Block traffic fromHPVC 2Allow MailGW 25**Allow Connection to OurMail gateway對于表四所示的規(guī)則1而言，在遠地主機欄中填入了HPVC，而其它所有欄的內容都是星號；在動作欄填入阻塞。這條規(guī)則的意義可以理解為：阻塞所有從遠地主機HPVC發(fā)起的從它的任意端口到我們本地任意主機的任意端口的連接。對于表四所示的規(guī)則2而言，在本地主機和本地端口號兩欄中都有內容，而其它欄都是星號；在動作欄填入允許。這個規(guī)則的意義可以理解為：允許從任意遠地主機的任意端口發(fā)起的到本地主機MailGW的25號端口連接(端口25是為SMTP保留的)規(guī)則是按照它們在表中的順序來執(zhí)行的。如果一個分組不符合任何規(guī)則，則它將被拒絕。在表四中對規(guī)則的描述有一個嚴重的問題，它允許任意外部主機從端口25發(fā)起一個呼叫。端口25是為SMTP保留的，但是一個外部主機有可能利用這個權利從事其它活動。這條規(guī)則的一個更好的描述方案是允許本地主機發(fā)起呼叫，同遠地主機的端口25進行通信。這使得本地主機可以向遠地站點發(fā)送電子郵件。如果遠地主機不是用端口25執(zhí)行SMTP，則SMTP的發(fā)送進程將不能發(fā)送電子郵件。這等價與遠地主機不支持電子郵件。一個TCP連接是一個全雙工連接，信息雙向流動。在表四所示的包過濾規(guī)則中沒有明確指定被發(fā)送報文分組中信息的傳遞方向，即是從本地主機發(fā)送遠地站點，還是從遠地站點發(fā)送到本地主機。當一個TCP包在某一個方向上傳遞時，它必須被接收方確認。接收方通過設置TCP ACK標志來發(fā)送應答幀。TCP ACK標志也被用來確認TCP建立連接請求，ACK包將在所有TCP連接上發(fā)送。當一個ACK包被發(fā)送后，發(fā)送方向就逆轉過來，包過濾規(guī)則應該考慮為響應控制或數據包而發(fā)回的ACK包。對于下面的表五中的規(guī)則1,在目標主機端口號欄中填入25,其它欄中都填入星號,:(,主機號字段為0表示網絡上任意一臺主機).基于以上的討論,五SMTP的包過濾規(guī)則規(guī)則 動作源主機源端目標主機遠地TCP標識說明序號口號端口號/IP選項 Allow **Allow packetfrom Network Allow* *TCP ACK Allow returnacknowledgement對于表五中的規(guī)則2,在源端口號欄中填入25,在TCP標志和IP選項欄中填入TCP ACK,其它欄中都填入星號,:允許所有從任何外部網絡主機上源端口號25發(fā)起的到任意本地主機()任意端口號的TCP :(數據層和網絡層).,這個策略運行得很好,因為TCP維護連接兩側的狀態(tài)信息,一些上層應用服務,例如TELNET ,SMTP 和FTP等,只能接受遵循應用層協議規(guī)則的包,可考慮和應用層網關一起使用(下節(jié)將會討論).羅羅嗦嗦說了一大通,可以綜述為下面兩點:包過濾路由器的優(yōu)點:絕大多數Internet ,執(zhí)行PACKET FILTER ,包過濾路由器對終端用戶和應用程序是透明的,:定義包過濾器可能是一項復雜的工作,因為網管員需要詳細地了解Internet 各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的，則過濾規(guī)則集可能會變得很長和很復雜，從而很難管理。存在幾種自動測試軟件，被配置到Router上后即可校驗過濾規(guī)則。這可能對未檢測到的易損部件開放了一個地點。一般來說，一個路由器和信息包吞吐量隨過濾器數量的增加而減少。Router 被優(yōu)化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表，而后將信息包順向運行到適當轉發(fā)接口。如果過濾可執(zhí)行，Router還必須對每個包執(zhí)行所有過濾規(guī)則。這可能消耗CPU的資源，并影響一個完全飽和的系統(tǒng)性能。 應用網關為了克服與包過濾路由器相關聯的某些弱點,防火墻需要使用應用軟件來轉發(fā)和過濾Telnet和Ftp等服務的連接。這樣一種應用叫做代理服務，而運行代理服務軟件的主系統(tǒng)叫做應用網關。應用網關和包過濾路由器可以組合在一起使用，以獲得高于單獨使用的安全性和靈活性。作為一個例子，請考慮一個用包過濾路由器封鎖所有輸入Telnet 和Ftp 連接的網點。路由器允許Telnet和Ftp包只通過一個主系統(tǒng)，即Telnet/Ftp應用網關，然后再連接到目的主系統(tǒng)，過程如下：，并輸入內部主系統(tǒng)的名字；，并根據任何合適的訪問準則接受或拒絕；（可使用一次性口令裝置）；；，代理服務軟件在兩個連接之間傳送數據；。這一例子指出了使用代理服務軟件的幾個好處。第一，代理服務軟件只允許有代理的服務通過。換句話說，如果應用網關包含Telnet和Ftp的代理軟件，則只有Ftp和Telnet被允許進入受保護的子網，而其它所有服務都完全被封鎖住。對有些網點來說，這種程度的安全性是很重要的，因為它保證，只有那些被認為“可信賴的”服務才被允許通過防火墻。它還防止其他不可靠的服務不會背著防火墻管理人員實施。使用代理服務的另一好處是可以過濾協議。例如，有些防火墻可以過濾FTP連接，并拒絕使用FTP 協議中的 put 命令。如果人們要保證用戶不能寫到匿名FTP服務器軟件，則這一點是很有用的。應用網關有三種基本的原型，分別適用于不同的網絡規(guī)模。* 雙穴主機網關（DualHomed Gateway）* 屏蔽主機網關（Screened Host Gateway)* 屏蔽子網網關（Screened Subnet Gateway）這三種原型有一個共同的特點，就是都需要一臺主機（如上面所述一樣）,通常稱為橋頭堡主機(Bastion Host)。該主機充當應用程序轉發(fā)者、通信登記者以及服務提供者的角色。因此，保護該主機的安全性是至關重要的，建立防火墻時，應將較多的注意力放在該主機上。* 雙穴主機網關該原型的結構如下圖所示。其中，橋頭堡主機充當網關，因此，需要在此主機中裝兩塊網卡，并在其上運行防火墻軟件。受保護網與Internet之間不能直接進行通信，必須經過橋頭堡主機，因此，不必顯示地列出受保護網與不受保護網之間的路由，從而達到受保護網除了看到橋頭堡主機之外，不能看到其他任何系統(tǒng)的效果。同時，橋頭堡主機不轉發(fā)TCP/IP包，網絡中的所有服務都必須由此主機的相應代理程序支持。由于雙穴主機網關容易安裝，所需的硬件設備也較少，且容易驗證其正確性，因此，這是一種使用較多的紡火墻。雙穴主機網關最致命的弱點是:一旦防火墻被破壞，橋頭堡主機實際上就變成了一臺沒有尋徑功能的路由器，一個有經驗的攻擊者就能使它尋徑，從而使受保護網完全開放并受到攻擊。例如，在基于Unix的雙穴主機網關中，通常是先修改一個名叫IPforwarding的內核變量，來禁止橋頭堡主機的尋徑能力，