【導讀】眾所周知，隨著計算機的飛速發(fā)展以及網(wǎng)絡技術的普遍應用，信息時代已經(jīng)來臨，信息作為一種重要的資源正得到了人們的重視與應用。因特網(wǎng)是一個發(fā)展非?；钴S的領。壞，保護數(shù)據(jù)及其傳送、處理都是非常必要的。隨著Inter在我國的迅速發(fā)展，cisco防火墻技術引起了各方面的廣泛關注。展了一些研究工作。目前使用較多的，是在路由器上采用分組過濾技術提供安全保證，對其它方面的技術尚缺乏深入了解[1]。cisco防火墻技術還處在一個發(fā)展階段，仍有許。多問題有待解決。因此，密切關注防火墻的最新發(fā)展，對推動Inter在我國的健康

　　

【正文】 過 cisco防火墻進行通信。 青島理工大學畢業(yè)設計（論文）用紙 22 透明性對基于代理服務企的 cisco 防火墻顯然是一個大問題。 即使是那些聲稱是透明性 cisco 防火墻的代理也期望應用程序使用特定的 TCP 或 UDP 端口。 假如一個節(jié)點在非標準端口上運行一個標準應用程序， 代理將不支持這個應用程序。 許多 cisco防火墻允許系統(tǒng)管理員運行兩個代理拷貝， 一個在標準端口運行，另一個在非標準端口運行，常用服務的最大數(shù)目取決于不同的 cisco 防火墻產(chǎn)品。 基于代理服務的 cisco 防火墻廠商正在開始解決這個問題。 基于代理的產(chǎn)品開始改進成能夠設置常用服務和非標準端口。 然而，只要應用程序需要升級，基于代理的用戶會發(fā)現(xiàn)他們必須發(fā)展新的代理。 一個明顯的例子是許多的 Web 瀏覽器中加入了大量的安全措施。 cisco 防火墻的購買者應留心詢問 cisco 防火墻廠商他們的產(chǎn)品到底能處理哪些應用程序。 另外 , 基于代理服務器的 cisco 防火墻常常會使網(wǎng)絡性能明顯下降。相當多的 cisco 防火墻不能處理高負載的網(wǎng)絡通信。 應用層網(wǎng)關 應用層網(wǎng)關可以處理存儲轉(zhuǎn)發(fā)通信業(yè)務，也可以處理交互式通信業(yè)務。 通過適當?shù)某绦蛟O計，應用層網(wǎng)關可以理解在用戶應用層 (OSI 模型第七層 )的通信業(yè)務。這樣便可以 在用戶層或應用層提供訪問控制，并且可以用來對各種應用程序的使用情況維持一個智能性的日志文件。能夠記錄和控制所有進出通信業(yè)務，是采用應用層網(wǎng)關的主要優(yōu)點。 在需要時，在網(wǎng)關本身中還可以增加額外的安全措施。 對于所中轉(zhuǎn)的每種應用，應用層網(wǎng)關需要使用專用的程序代碼。 由于有這種專用的程序代碼，應用層網(wǎng)關可以提供高可靠性的安全機制。 每當一個新的需保護的應用加入網(wǎng)絡中時，必須為其編制專門的程序代碼。 正是如此，許多應用層網(wǎng)關只能提供有限的應用和服務功能。 為了使用應用層網(wǎng)關，用戶或者在應用層網(wǎng)關上登錄請求，或者 在本地機器上使用一個為該服務特別編制的程序代碼。每個針對特定應用的網(wǎng)關模塊都有自己的一套管理工具和命令語言。 采用應用層網(wǎng)關的一個缺陷是必須為每一項應用編制專用程序。 但從安全角度上看，這也是一個優(yōu)點，因為除非明確地提供了應用層網(wǎng)關，就不可能通過 cisco 防火墻。 這也是在實踐“未被明確允許的就將被禁止”的原則。 專用應用程序的作用是作為“代理”接收進入的請求，并按照一個訪問規(guī)則檢查表進行核查，檢查表中給出所允許的請求類型。 在這種情況下，這個代理程序被稱為一青島理工大學畢業(yè)設計（論文）用紙 23 個應用層服務程序代理。當收到一個請求并證實該請求 是允許的之后，代理程序?qū)言撜埱筠D(zhuǎn)發(fā)給所要求的服務程序。 因此，代理程序擔當著客戶機和服務器的雙重角色。 它作為服務器接收外來請求，而在轉(zhuǎn)發(fā)請求時它又擔當客戶機。 一旦會話已經(jīng)建立起來，應用代理程序便作為中轉(zhuǎn)站在起動該應用的客戶機和服務器之間轉(zhuǎn)抄數(shù)據(jù)。 因為在客戶機和服務器之間傳遞的所有數(shù)據(jù)均由應用層代理程序轉(zhuǎn)發(fā)，因此它完全控制著會話過程，并可按照需要進行詳細的記錄。 在許多應用層網(wǎng)關中，代理程序是由一個單一的應用層模塊實現(xiàn)的。 為了連接到一個應用層代理程序，許多應用層網(wǎng)關要求用戶在內(nèi)部網(wǎng)絡的主機上運行一個專用的客戶方應用程序。另一種方法是使用 TELNET 命令并給出 可提供代理的應用服務的端口號。 例如：如果應用代理程序運行在主機 上，其端口號為 63，則可以使用下列命令： tel 63 在連接到代理服務所在的端口之后，你將會看到標識該應用代理的特定的提示符。 這時，需要執(zhí)行專門配制命令來指定目的服務器。 不管采用的是哪種途徑，用戶與標準服務之間的接口將會被改變。 如果使用的是一個專用的客戶程序，則必須對該程 序進行修改，使它總是連向代理程序所在的主機 (即代理機 )上，并告訴代理機你所要連接的目的地址。 此后，代理機將與最終的目標地址相連并傳遞數(shù)據(jù)。 一些代理服務程序模擬標準應用服務的工作方式，當用戶指定一個在不同網(wǎng)絡中的連接目標時，代理應用程序就將被調(diào)用。 對于某一應用代理程序，如果需使用專用的客戶機程序時，那么就必須在所有的要使用 INTERNET 的內(nèi)部網(wǎng)絡主機上安裝一該專用客戶程序。 當網(wǎng)絡的規(guī)模較大時，這將是一件困難的工作。 如果你的一些用戶在使用 DOS/WINDOWS 或 MACINTOSH 客戶機，則通常沒有與 這種客戶機應用程序相對應的代理程序。 這時，如果你沒有相應客戶機應用程序的源碼（通常為在 PC 或 MAC機上用的），你將無法修改這些程序。 如果代理程序客戶機只能使用某一個應用層網(wǎng)關服務器，則當這個服務器關閉時，這個系統(tǒng)就很容易發(fā)生單點失效。 如果一個客戶端代理可以由管理員指定連向另一個應用層網(wǎng)關，就可以避免單點失效錯誤。 由于在配置代理程序的客戶機方面存在的諸多問題，一些站點傾向于使用分組過濾技術來處理象 FTP 或 TELNET 等可由適當?shù)倪^濾規(guī)則來保證安全的應用；而使用代理程青島理工大學畢業(yè)設計（論文）用紙 24 序客戶機方式處理比較復雜的應 用，如 DNS、 SMTP、 NFS、 HTTP 和 GOPHER 等。 當需要通過專用客戶機應用程序與代理服務器通信時，象 CONNECT()這樣的一些標準系統(tǒng)調(diào)用必須被替換為相應的代理版本。 這時，你必須將客戶機應用程序和這些代理版本的系統(tǒng)調(diào)用一起進行編譯和鏈接。 代理服務程序應該設計為在未使用適當修改了的客戶機程序的情況下能夠提供“失效安全” (fail safe) 的運行模式。 例如：當一個標準的客戶機應用程序被用來與代理服務器相連，那么這種通信應該被禁止，并且不能對 cisco 防火墻或篩選路由器引起不希望的或不可預料 的行為。 另一種類型的應用層網(wǎng)關被稱為“線路網(wǎng)關” (circuit gateway)。 在線路層網(wǎng)關中，分組的地址是一個應用層的用戶進程。 線路網(wǎng)關用于在兩個通信端點之間中轉(zhuǎn)分組。 線路網(wǎng)關只是在兩個端點之間復制字節(jié)。 路網(wǎng)關是建立應用層 cisco 防火墻的一種更靈活、更通用的途徑。 線路網(wǎng)關中可能包括支持某些特定 TCP/IP 應用的程序代碼，但這通常是有限的。 如果它能支持某些應用，則這些應用通常是一些 TCP/IP 的應用。 在線路 線路網(wǎng)關 (circuitcircuit gateway)中，可能需要安裝專門 的客戶機軟件，而用戶可能需要與改變了的用戶界面打交道，或者改變他們的工作習慣。 在每一臺內(nèi)部主機上安裝和配置專門的應用程序?qū)⑹且患M時的工作，而對大型異構網(wǎng)絡來說很容易出錯，因為硬件平臺和操作系統(tǒng)不同。 由于每個報文分組都將由在應用層運行的軟件進行處理，主機的性能將會受到影響。 每個分組都將被所有的通信層次處理兩遍，并需要在用戶層上進行處理以及轉(zhuǎn)換工作環(huán)境。 應用層網(wǎng)關 (不論是堡壘主機還是雙宿主機 )都暴露在網(wǎng)絡面前，因此可能需要采用其它手段來保護應用層網(wǎng)關主機，例如分組過濾技術。 堡壘主機 (Bastion Host)及其應用 堡壘主機指的是任何對網(wǎng)絡安全至關重要的 cisco 防火墻主機。 堡壘主機是一個組織機構網(wǎng)絡安全的中心主機。 因為堡壘主機對網(wǎng)絡安全至關重要，對它必須進行完善的防御。 這就是說，堡壘主機是由網(wǎng)絡管理員嚴密監(jiān)視的。 堡壘主機軟件和系統(tǒng)的安全情況應該定期地進行審查。 對訪問記錄應進行查看，以發(fā)現(xiàn)潛在的安全漏洞和對堡壘主機的試探性攻擊。 雙宿主機是堡壘主機的一個實例，因為它們對網(wǎng)絡的安全至關重要。 青島理工大學畢業(yè)設計（論文）用紙 25 為了達到更高程度的安全性要求，有的廠商把基于分組過濾技術的方法和基于代理服務的方法結合起來，形成 了新型的 cisco 防火墻產(chǎn)品。 這種結合通常是以下面兩種方案之一實現(xiàn)的：有屏蔽主機 (Screened Host)或有屏蔽子網(wǎng) (Screened Sub)。 在第一種方案中，一個分組過濾路由器與 Inter 相連，同時，一個堡壘主機安裝在內(nèi)部網(wǎng)絡上。 通常，在路由器上設立過濾規(guī)則，使這個堡壘主機成為 Inter 上其他節(jié)點所能達到的唯一節(jié)點。 這確保了內(nèi)部網(wǎng)絡不受未被授權的外部用戶的攻擊。 有屏蔽子網(wǎng)的方法是建立一個被隔離的子網(wǎng)，位于 Inter 和內(nèi)部網(wǎng)絡之間，用兩臺分組過濾路由器將這一子網(wǎng)分別 與 Inter 和內(nèi)部網(wǎng)絡分開。 在許多有屏蔽子網(wǎng)的實現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構成一個禁止穿行區(qū)。 即 Inter 和內(nèi)部網(wǎng)絡均可訪問有屏蔽子網(wǎng)，但禁止它們穿過有屏蔽子網(wǎng)進行通信。 像 WWW 和 FTP這樣的 Inter 服務器一般就放在這種禁止穿行區(qū)中。 堡壘主機的最簡單的設置方法 因為堡壘主機是與外部不可信賴網(wǎng)絡的接口點，它們常常容易受到攻擊。 堡壘主機最簡單的設置，是作為外部網(wǎng)絡通信業(yè)務的第一個也是唯一的一個入口點。 有屏蔽主機網(wǎng)關 因為堡壘主機對內(nèi)部網(wǎng)絡的安全是至關重要的， 人們常常在外部不可信賴網(wǎng)絡和內(nèi)部網(wǎng)絡之間增加另外一條防線。 第一條防線通常由篩選路由器充當。 對篩選路由器必須做如下配置，它應將從外部網(wǎng)絡收到的目的地為內(nèi)部網(wǎng)絡的所有通信業(yè)務首先送到堡壘主機。 在將信息轉(zhuǎn)發(fā)到堡壘主機之前，篩選路由器對收到的分組運行自己的過濾規(guī)則。 只有通過了過濾規(guī)則的網(wǎng)絡信息才被送到堡壘主機，所有其它網(wǎng)絡信息將被拒絕進入。 這種體系結構給予網(wǎng)絡安全更高的信心，進攻者必須首先穿過篩選路由器，如果設法穿過了篩選路由器，還必須對付堡壘主機。 堡壘主機使用應用層功能來確定允許或拒絕來自或發(fā)向外部網(wǎng) 絡的請求。 如該請求通過了堡壘主機的嚴格審查，它將被作為進來的信息轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡上。對于通向外部的網(wǎng)絡的信息，該請求被轉(zhuǎn)發(fā)到篩選路由器。 青島理工大學畢業(yè)設計（論文）用紙 26 第 4章 防火墻存在的問題和改善措施 現(xiàn)在隨著人們的安全意識加強，防火墻一般都被公司企業(yè)采用來保障網(wǎng)絡的安全，一般的攻擊者在有防火墻的情況下，一般是很難入侵的。上面我們分析了一下入侵有防火墻服務器過程中的相關問題，下面談談針對各種防火墻環(huán)境下的可能的攻擊手段。 繞過包過濾防火墻 包過濾防火墻是最簡單的一種了，它在網(wǎng)絡層截獲網(wǎng)絡數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表，來檢測攻 擊行為。他根據(jù)數(shù)據(jù)包的源 IP 地址；目的 IP 地址： TCP/ UDP 源端口；TCP/UDP 目的端口來過濾，很容易受到如下攻擊： IP 欺騙攻擊 這種攻擊，主要是修改數(shù)據(jù)包的源，目的地址和端口，模仿一些合法的數(shù)據(jù)包來騙過防火墻的檢測。如：外部攻擊者，將他的數(shù)據(jù)報源地址改為內(nèi)部網(wǎng)絡地址，防火墻看到是合法地址就放行了?？墒?，如果防火墻能結合接口，地址來匹配，這種攻擊就不能成功了。 DOS 拒絕服務攻擊 簡單的包過濾防火墻不能跟蹤 TCP 的狀態(tài)，很容易受到拒絕服務攻擊，一旦防火墻受到 DOS 攻擊，他 可能會忙于處理，而忘記了他自己的過濾功能。 分片攻擊 這種攻擊的原理是：在 IP 的分片包中，所有的分片包用一個分片偏移字段標志分片包的順序，但是，只有第一個分片包含有 TCP 端口號的信息。當 IP 分片包通過分組過濾防火墻時，防火墻只根據(jù)第一個分片包的 TCP 信息判斷是否允許通過，而其他后續(xù)的分片不作防火墻檢測，直接讓它們通過。這樣，攻擊者就可以通過先發(fā)送第一個合法的 IP 分片，騙過防火墻的檢測，接著封裝了惡意數(shù)據(jù)的后續(xù)分片包就可以直接穿透防火墻，直接到達內(nèi)部網(wǎng)絡主機，從而威脅網(wǎng)絡和主機的安全。 木馬攻擊 對于包過濾防火墻最有效的攻擊就是木馬了，一旦你在內(nèi)部網(wǎng)絡安裝了木馬，防火墻基本上是無能為力的。原因是：包過濾防火墻一般只過濾低端口 (11024)，而高端口他不可能過濾的（因為，一些服務要用到高端口，因此防火墻不能關閉高端口的），青島理工大學畢業(yè)設計（論文）用紙 27 所以很多的木馬都在高端口打開等待，如攻擊者就可以通過 LOKI 客戶端將希望遠程執(zhí)行的攻擊命令（對應 IP 分組）嵌入在 ICMP 或 UDP 包頭部，再發(fā)送給內(nèi)部網(wǎng)絡服務端LOKID，由它執(zhí)行其中的命令，并以同樣的方式返回結果。由于許多防火墻允許 ICMP 和UDP 分組自由出入，因 此攻擊者的惡意數(shù)據(jù)就能附帶在正常的分組，繞過防火墻的認證，順利地到達攻擊。 繞過代理防火墻 代理是運行在應用層的防火墻，他實質(zhì)是啟動兩個連接，一個是客戶到代理，另一個是代理到目的服務器。實現(xiàn)上比較簡單，和前面的一樣也是根據(jù)規(guī)則過濾。由于運行在應用層速度比較慢，攻擊代理的方法很多。 這里就以 Wingate 為例， Wingate 是目前應用非常廣泛的一種。 Windows95/NT 代理防火墻軟件，內(nèi)部用戶可以通過一臺安裝有 Wingate 的主機訪問外部網(wǎng)絡，但是它也存在著幾個安全脆弱點。黑客經(jīng)常利用這些 安全漏洞獲得 Wingate的非授權 Web、 Socks 和 Tel 的訪問，從而偽裝成 Wingate 主機的身份對下一個攻擊目標發(fā)動攻擊。因此，這種攻擊非常難于被跟蹤和記錄。導致 Wingate 安全漏洞的原因大多數(shù)是管理員沒有根據(jù)網(wǎng)絡的實際情況對 Wingate 代理防火墻軟件進行合理的設置，只是簡單地從缺省設置安裝完畢后就讓軟件運行，這就給攻擊者可