【正文】 ，無法確定其 失效狀態(tài)等級(jí)，因此網(wǎng)絡(luò)必然存在安全隱患。防火墻能否起到防護(hù)作用，最根本、最有效的證明方法是對(duì)其進(jìn)行測(cè)試，甚至站在 “ 黑客 ” 的角度采用各種手段對(duì)防火墻進(jìn)行攻擊。然而具體執(zhí)行時(shí)難度較大，原因是： 第 17 頁(yè) 共 20 頁(yè) 防火墻性能測(cè)試目前還是一種很新的技術(shù)，可用的工具和軟件較少。 防火墻測(cè)試技術(shù)尚不先迸，與防火墻設(shè)計(jì)并非完全吻合，使得測(cè)試工作難以達(dá)到既定的效果。 選擇 “ 誰 ” 進(jìn)行公正的測(cè)試也是一個(gè)問題。可見，防火墻的性能測(cè)試決不是一件簡(jiǎn)單的事情，但這種測(cè)試又相當(dāng)重要。（ 3）防火墻必須進(jìn)行動(dòng)態(tài)維護(hù) 防火墻安裝和投入使用后，并非萬事大吉。要想充分發(fā)揮它的安全防護(hù)作用，必須對(duì)它進(jìn)行跟蹤和維護(hù)，商家一旦發(fā)現(xiàn)其產(chǎn)品存在安全漏洞，就會(huì)盡快發(fā)布補(bǔ)救產(chǎn)品，此時(shí)應(yīng)盡快確認(rèn)真?zhèn)危ǚ乐固芈逡聊抉R等病毒），并對(duì)防火墻軟件進(jìn)行更新。 （ 4）非法攻擊防火墻的基本 “ 招數(shù) ” 通常情況下，有效的攻擊都是從相關(guān)的子網(wǎng)進(jìn)行的。因?yàn)檫@些網(wǎng)址得到了防火墻的信賴，雖說成功與否尚取決于機(jī)遇等其他因素，但對(duì)攻擊者而言很值得一試。許多防火墻軟件無法識(shí)別數(shù)據(jù)包到底來自哪個(gè)網(wǎng)絡(luò)接口，因此攻擊者無 12 需表明進(jìn)攻數(shù)據(jù)包的真 正來源，只需偽裝 ip 地址，取得目標(biāo)的信任，使其認(rèn)為來自網(wǎng)絡(luò)內(nèi)部即可。 ip 地址欺騙攻擊正是基于這類防火墻對(duì) ip 地址缺乏識(shí)別和驗(yàn)證的機(jī)制。 通常主機(jī) a 與主機(jī) b 的 tcp 連接（中間有或無防火墻）是通過主機(jī) a 向主機(jī) b 提出請(qǐng)求建立起來的，而其間 a 和 b 的確認(rèn)僅 第 18 頁(yè) 共 20 頁(yè) 僅根據(jù)由主機(jī) a 產(chǎn)生并經(jīng)主機(jī) b 驗(yàn)證的初始序列號(hào) isn。 具體分三個(gè)步驟： a 產(chǎn)生它的 isn，傳送給主機(jī) b，請(qǐng)求建立連接； 接收到來自 a 的帶有 syn 標(biāo)志的 isn 后，將自己本身的isn 連同應(yīng)答信息 ack 一同返回給 a； 再將 b 傳送來的 isn 及應(yīng)答信息 ack 返回給 b。至此，正常情況，主機(jī) a 與 b 的 tcp 連接就建立起來了。 ip地址欺騙攻擊的第一步是切斷可信賴主機(jī) .這樣可以使用tcp 淹沒攻擊，使得信賴主機(jī)處于 自顧不暇 的忙碌狀態(tài)，相當(dāng)于被切斷，這時(shí)目標(biāo)主機(jī)會(huì)認(rèn)為信賴主機(jī)出現(xiàn)了故障，只能發(fā)出無法建立連接的 rst 包而無暇顧及其他。 攻擊者最關(guān)心的是猜測(cè)目標(biāo)主機(jī)的 isn。為此，可以利用smtp 的端口（ 25），通常它是開放的，郵件能夠通過這個(gè)端口，與目標(biāo)主機(jī)打開一個(gè) tcp 連接，因而得到它的 isn。在 此有效期間，重復(fù)這一過程若干次，以便能夠猜測(cè)和確定 isn 的產(chǎn)生和變化規(guī)律，這樣就可以使用被切斷的可信賴主機(jī)的 ip 地址向目標(biāo)主機(jī)發(fā)出連接請(qǐng)求。 請(qǐng)求發(fā)出后，目標(biāo)主機(jī)會(huì)認(rèn)為它是 tcp 連接的請(qǐng)求者，從而給信賴主機(jī)發(fā)送響應(yīng)（包括 syn），而信賴主機(jī)目前仍忙于處理flood 淹沒攻擊產(chǎn)生的 合法 請(qǐng)求，因此目標(biāo)主機(jī)不能得到來自于信賴主機(jī)的響應(yīng)。 第 19 頁(yè) 共 20 頁(yè) 現(xiàn)在攻擊者發(fā)出回答響應(yīng)，并連同預(yù)測(cè)的目標(biāo)主機(jī)的 isn 一同發(fā)給目標(biāo)主機(jī)。 隨著不斷地糾正預(yù)測(cè)的 isn，攻擊者最終會(huì)與目標(biāo)主機(jī)建立一個(gè)會(huì)晤。通過這種方 式，攻擊者以合法用戶的身份登錄到目標(biāo)主機(jī)而不需進(jìn)一步的確認(rèn)。如果反復(fù)試驗(yàn)使得目標(biāo)主機(jī)能夠接收對(duì)網(wǎng)絡(luò)的 root 登錄，那么就可以完全控制整個(gè)網(wǎng)絡(luò)。 13歸納起來，防火墻安全防護(hù)面臨威脅的幾個(gè)主要原因有：①sock 的錯(cuò)誤配置； ② 不適當(dāng)?shù)陌踩撸?③ 強(qiáng)力攻擊； ④ 允許匿名的 ftp 協(xié)議； ⑤ 允許 tftp 協(xié)議； ⑥ 允許 rlogin 命令； ⑦允許 x－ windows 或 openwindows； ⑧ 端口映射； ⑨ 可加載的 nfs協(xié)議； ⑩ 允許 win95/nt 文件共享。 破壞防火墻的另一種方式是攻擊與干擾相結(jié)合。也就是在攻擊 期間使防火墻始終處于繁忙的狀態(tài)。防火墻過分的繁忙有時(shí)會(huì)導(dǎo)致它忘記履行安全防護(hù)的職能，處于失效狀態(tài)。 需要特別注意的是，防火墻也可能被內(nèi)部攻擊。因?yàn)榘惭b了防火墻后，隨意訪問被嚴(yán)格禁止了，這樣內(nèi)部人員無法在閑暇的時(shí)間通過 tel 瀏覽郵件或使用 ftp 向外發(fā)送信息，個(gè)別人會(huì)對(duì)防火墻不滿進(jìn)而可能攻擊它、破壞它，期望回到從前的狀態(tài)。這里，攻擊的目標(biāo)常常是防火墻或防火墻運(yùn)行的操作系統(tǒng)，因此不僅涉及網(wǎng)絡(luò)安全，還涉及主機(jī)安全問題。 以上分析表明，防火墻的安全防護(hù)性能依賴的因素很多。防 第 20 頁(yè) 共 20 頁(yè) 火墻并非萬能，它最 多只能防護(hù)經(jīng)過其本身的非法訪問和攻擊，而對(duì)不經(jīng)防火墻的訪問和攻擊則無能為力。 六、防火墻的安全措施 各種防火墻的安全性能不盡相同，以下是一些一般防火墻的常用安全措施： 防電子欺騙術(shù)功能是保證數(shù)據(jù)包的 ip 地址與網(wǎng)關(guān)接口相符，防止通過修改 ip 地址的方法進(jìn)行非授權(quán)訪問。還應(yīng)對(duì)可疑信息進(jìn)行鑒別，并向網(wǎng)絡(luò)管理員報(bào)警。 地址轉(zhuǎn)移是對(duì) inter 隱藏內(nèi)部地址，防止內(nèi)部地址公開。這一功能可以克服 ip 尋址方式的諸多限制，完善內(nèi) 部尋址模式。把未注冊(cè) ip地址映射成合法地址，就可以對(duì) inter進(jìn)行訪問。 開放式結(jié)構(gòu)設(shè)計(jì)使得防火墻與相關(guān)應(yīng)用程序和外部用戶數(shù)據(jù)庫(kù)的連接相當(dāng)容易，典型的應(yīng)用程序連接如財(cái)務(wù)軟件包、病毒掃描、登錄分析等。 七、總結(jié)