【正文】 而且，這些惡意程序不僅僅來自網(wǎng)絡(luò)，也可能來自軟盤。另外，一些用來傳送數(shù)據(jù)的電話線很有可能 被用來入侵內(nèi)部網(wǎng)絡(luò)。某些威脅是防火墻力所不及的，防火墻不能防止內(nèi)部的攻擊，因?yàn)樗惶峁┝藢W(wǎng)絡(luò)邊緣的防衛(wèi)，內(nèi)部人員可能濫用被給予的訪問權(quán)，從而導(dǎo)致事故。 (6) 和可用性相比，站點(diǎn)的安全性放在什么位置。 (4) 提供這些服務(wù)的風(fēng)險(xiǎn)是什么。 (2) 在那里使用這些服務(wù)，如本地、穿越因特網(wǎng)、從家里或遠(yuǎn)方的辦公機(jī)構(gòu)等等。 防火墻設(shè)計(jì)時(shí)需要考慮的問題 為了確定防火墻設(shè)計(jì)策略，進(jìn)而構(gòu)建實(shí)現(xiàn)策略的防火墻，應(yīng)從最安全的防火墻設(shè)計(jì)策略開始，即除非明確允許，否則禁止某種服務(wù)。 防火墻可以實(shí)施一 種寬松的策略（第一種），也可以實(shí)施一種限制性策略（第二種），這就是制定防火墻策略的入手點(diǎn)。防火墻一般執(zhí)行以下兩種基本策略中的一種： (1) 除非明確不允許，否則允許某種服務(wù)； (2) 除非明確允許，否則將禁止某項(xiàng)服務(wù)； 執(zhí)行第一種策略的防火墻在默認(rèn)情況下允許所有的服務(wù)，除非管理員對某種服務(wù)明確表示禁止。 防火墻的設(shè)計(jì)策略 防火墻的設(shè)計(jì)策略是具體地針對防火墻，負(fù)責(zé)制定相應(yīng)的規(guī)章制度來實(shí)施網(wǎng)絡(luò)服務(wù)訪問策略。 防火墻主要技術(shù)特點(diǎn) (1) 應(yīng)用層采用 Winsock 2 SPI 進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)控制、過濾； (2) 核心層采用 NDIS HOOK 進(jìn)行控制，尤其是在 Windows 2020 下，此技術(shù)屬微軟未公開技術(shù)。 防火墻的主體功能歸納為以下幾點(diǎn)： (1) 根據(jù)應(yīng)用程序訪問規(guī)則可對應(yīng)用程序連網(wǎng)動作進(jìn)行過濾； (2) 對應(yīng)用程序訪問規(guī)則具有自學(xué)習(xí)功能； (3) 可實(shí)時(shí)監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動； (4) 具有日志，以記錄網(wǎng)絡(luò)訪問動作的詳細(xì)信息； (5) 被攔阻時(shí)能通過聲音或閃爍圖標(biāo)給用 戶報(bào)警提示。 防火墻的核心功能主要是包過濾。它主要的保護(hù)就是加強(qiáng)外部 Inter 對內(nèi)部網(wǎng)的訪問控制，它主要任務(wù)是允許特別的連接 通過，也可以阻止其它不允許的連接。通常是指運(yùn)行特別編寫或更改過操作系統(tǒng)的計(jì)算機(jī)，它的目的就是保護(hù)內(nèi)部網(wǎng)的訪問安全。它結(jié)合了代理類型防火墻和包過濾防火墻的優(yōu)點(diǎn)，即保證了安全性又保持了高速度，同時(shí)它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。由于內(nèi)外網(wǎng)的計(jì)算機(jī)對話機(jī)會根本沒有，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。代理防火墻也經(jīng)歷了兩代。代理服務(wù)器型防火墻與包過濾防火墻不同之點(diǎn)在于，它的內(nèi)外網(wǎng)之 間不存在直接的連接，一般由兩部分組成：服務(wù)器端程 序和客戶端程序，其中客戶端程序通過中間節(jié)點(diǎn)與提供服務(wù)的服務(wù)器連接。它可以根據(jù)需要動態(tài)的在過濾原則中增加或更新條目，在這點(diǎn)上靜態(tài)防火墻是比不上它的，它主要對建立的每一個(gè)連接都進(jìn)行跟蹤。 網(wǎng)絡(luò)安全防護(hù)中防火墻技術(shù)問題分析及應(yīng)用策略 22 動態(tài)包過濾防火墻 靜態(tài)包過濾防火墻的缺點(diǎn)，動態(tài)包過濾防火墻都可以避免。而一個(gè)單純的包過濾的防火墻的防御能力是非常弱的，對于惡意的攻擊者來說是攻破它是非常容易的。這種靜態(tài)包過濾防火墻，對用戶是透明的，它不需要用戶的用戶名和密碼就可以登錄，它的速度快，也易于維護(hù)。相反的，如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。 靜態(tài)包過濾防火墻 靜態(tài)包過濾防火墻采用的是一個(gè)都不放過的原則。 防火墻的分類 從防火墻的防范方式和側(cè)重點(diǎn)的不同來看，防火墻可以分為很多類型，但是根據(jù)防火墻對內(nèi)外來往數(shù)據(jù)處理方法，大致可將防火墻分為兩大體系：包過濾防火墻和代理防火墻。這種體系結(jié)構(gòu)給 予網(wǎng)絡(luò)安全更高的信心，進(jìn)攻者必須首先穿過篩選路由器，如果設(shè)法穿過了篩選路由器，還必須對付堡壘主機(jī)。篩選路由器的一個(gè)端口與內(nèi)部網(wǎng)絡(luò)相連，另一個(gè)端口與 INTERNET 相連，這種配置方式被稱為有屏蔽主機(jī)網(wǎng)關(guān)。 又因?yàn)楸局鳈C(jī)對內(nèi)部網(wǎng)絡(luò)的安全是至關(guān)重要的，人們常 常在外部不可信賴網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間增加另外一條防線。 (4) 堡壘主機(jī)的最簡單的設(shè)置方法 因?yàn)楸局鳈C(jī)是與外部不可信賴網(wǎng)絡(luò)的接口點(diǎn)，它們常常容易受到攻擊。有屏蔽子網(wǎng)的方法是建立一個(gè)被隔離的子網(wǎng)，位于 Inter 和內(nèi)部網(wǎng)絡(luò)之間，用兩臺分組過濾路由器將這一子網(wǎng)分別與 Inter 和內(nèi)部網(wǎng)絡(luò)分開。在第一種方案中，一個(gè)分組過濾路由器與 Inter 相連，同時(shí)，一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。 為了達(dá)到更高程度的安全性要求，有的廠商把基于分組過濾技術(shù)的方法和基于 代理服務(wù)的方法結(jié)合起來，形成了新型的防火墻產(chǎn)品。對訪問記錄應(yīng)進(jìn)行查看，以發(fā)現(xiàn)潛在的安全漏洞和對堡壘主機(jī)的試探性攻擊。這就是說，堡壘主機(jī)是由網(wǎng)絡(luò)管理員嚴(yán)密監(jiān)視的。堡壘主機(jī)是一個(gè)組織機(jī)構(gòu)網(wǎng)絡(luò)安全的中心主機(jī)。應(yīng)用層網(wǎng)關(guān) (不論是堡壘主機(jī)還是雙宿主機(jī) )都暴露在網(wǎng)絡(luò)面前，因此可能需要采用其它手段來保護(hù)應(yīng)用層網(wǎng)關(guān)主機(jī)，例 如分組過濾技術(shù)。 網(wǎng)絡(luò)安全防護(hù)中防火墻技術(shù)問題分析及應(yīng)用策略 20 由于每個(gè)報(bào)文分組都將由在應(yīng)用層運(yùn)行的軟件進(jìn)行處理，主機(jī)的性能將會受到影響。 在線路 線路網(wǎng)關(guān) (circuitcircuit gateway)中，可能需要安裝專門的客戶機(jī)軟件，而用戶可能需要與改變了的用戶界面打交道，或者改變他們的工作習(xí)慣。線路網(wǎng)關(guān)中可能包括支持某些特定 TCP/IP 應(yīng)用的程序代碼，但這通常是有限的。線路網(wǎng)關(guān)只是在兩個(gè)端點(diǎn)之間復(fù)制字節(jié)。在線路層網(wǎng)關(guān)中，分組的地址是一個(gè)應(yīng)用層的用戶進(jìn)程。例如：當(dāng)一個(gè)標(biāo)準(zhǔn)的客戶機(jī)應(yīng)用程序被用來與代理服務(wù)器相連，那么這 種通信應(yīng)該被禁止，并且不能對防火墻或篩選路由器引起不希望的或不可預(yù)料的行為。這時(shí)，你必須將客戶機(jī)應(yīng)用程序和這些代理版本的系統(tǒng)調(diào)用一起進(jìn)行編譯和鏈接。 由于在配置代理程序的客戶機(jī)方面存在的諸多問題，一些站點(diǎn)傾向于使用分組過濾技術(shù)來處理像 FTP 或 TELNET 等可由適當(dāng)?shù)倪^濾規(guī)則來保證安全的應(yīng)用，而使用代理程序客戶機(jī)方式處理比較復(fù)雜的應(yīng)用，如 DNS、 SMTP、 NFS、 HTTP 和 GOPHER等。 如果代理程序客戶機(jī)只能使用某一個(gè)應(yīng)用層網(wǎng)關(guān)服務(wù)器，則當(dāng)這個(gè)服務(wù)器關(guān)閉時(shí)，這個(gè)系統(tǒng)就很容易發(fā)生單點(diǎn)失效。如果你的一些用戶在使用 DOS/WINDOWS 或 MACINTOSH 客戶機(jī)，則通常沒有與這種客戶機(jī)應(yīng)用程序相對應(yīng)的代理程序。 對于某一應(yīng)用代理程序，如果需使用專用的客戶機(jī)程序時(shí)，那么就必須在所有的要使用 INTERNET 的內(nèi)部網(wǎng)絡(luò)主機(jī)上安裝該專用客戶程序。此后，代理機(jī)將與最終的目標(biāo)地址相連并傳遞數(shù)據(jù)。不管采用的是哪種途徑，用戶與標(biāo)準(zhǔn)服務(wù)之間的接口將會被改變。 在連接到代理服務(wù)所在的端口之后，你將會看到標(biāo)識該應(yīng)用代理的特定的提示符。另一種方法是使用 TELNET 命令并給出可提供代理的應(yīng)用服務(wù)的端口號。在許多應(yīng)用層網(wǎng)關(guān)中， 代理程序是由一個(gè)單一的應(yīng)用層模塊實(shí)現(xiàn)的。一旦會話已經(jīng)建立起來，應(yīng)用代理程序便作為中轉(zhuǎn)站在起動該應(yīng)用的客戶機(jī)和服務(wù)器之間轉(zhuǎn)抄數(shù)據(jù)。因此，代理程序擔(dān)當(dāng)著客戶機(jī)和服務(wù)器的雙重角色。 專用應(yīng)用程序的作用是作為“代理”接收進(jìn)入的請求，并按照一個(gè)訪問規(guī) 則檢查表進(jìn)行核查，檢查表中給出所允許的請求類型。 采用應(yīng)用層網(wǎng)關(guān)的一個(gè)缺陷是必須為每一項(xiàng)應(yīng)用編制專用程序。正是如此，許多應(yīng)用層網(wǎng)關(guān)只能提供有限的應(yīng)用和服務(wù)功能。在需要時(shí)，在網(wǎng)關(guān)本身中還可以增加額外的安全措施。 (2) 應(yīng)用層網(wǎng)關(guān) 應(yīng)用層網(wǎng)關(guān)可以處理存儲轉(zhuǎn)發(fā)通信業(yè)務(wù)，也可以處理交互式通信業(yè)務(wù)。一個(gè)明顯的例子是許多的 Web 瀏覽器中加入了大量的安全措施，防火墻的購買者應(yīng)留心詢問防火墻廠商他們的產(chǎn)品到底能處理哪些應(yīng)用程序。 基于代理服務(wù)的防火墻廠商正在開始解決這個(gè)問題，基于代理的產(chǎn)品開始改進(jìn)成能夠設(shè)置常用服務(wù)和非標(biāo)準(zhǔn)端口。假如一個(gè)節(jié)點(diǎn)在非標(biāo)準(zhǔn)端口上運(yùn)行一個(gè)標(biāo)準(zhǔn)應(yīng)用程序，代理將不支持這個(gè)應(yīng)用程序。即便如此，最終用戶也許還需要學(xué)習(xí)特定的步驟通過防火墻進(jìn)行通信。然而，它也給軟件開發(fā)者、網(wǎng)絡(luò)系統(tǒng)員和最終用戶帶來了很大的不便，這就是使用代理的代價(jià)。相當(dāng)多的代理服務(wù)器要求使用固定的客戶程序，例如 SOCKS 要求適應(yīng) SICKS 的客戶程序。在一個(gè)稱為 SOCKS 的免費(fèi)程序庫中包括了與許多標(biāo)準(zhǔn)系統(tǒng)調(diào)用基本兼容的代理 版 本 ， 如 SOCKS() 、 BIND() 、 CONNECT() ，在 URL 統(tǒng) 一 資 源 定 位 地 中可以得到該程序。代理服務(wù)器可運(yùn)行在雙宿主機(jī)上，它是基于特定應(yīng)用程序的。中間結(jié)點(diǎn)通常為網(wǎng)絡(luò)安全防護(hù)中防火墻技術(shù)問題分析及應(yīng)用策略 17 雙宿主機(jī)。與分組過濾器所不同的 是，使用這類防火墻時(shí)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間不存在直接連接。編輯 /etc/ 和/etc/services 文件，刪除不需要的網(wǎng)絡(luò)服務(wù)定義。下面是 UNIX 雙宿主機(jī)防火墻的一部分有用的檢查點(diǎn)： (1) 移走程序開發(fā)工具：編譯器、鏈接器等； (2) 移走你不需要或不了解的具有 SUID 和 SGID 權(quán)限的程序。在允許 IP 轉(zhuǎn)發(fā)后，防火墻機(jī)制就會被旁路掉了。 在前面，我們已經(jīng)了解到 UNIX 內(nèi)核變量 ifrorwarding 控制著是否允許進(jìn)行 IP 路由選擇。這種攻擊可以通過以下任何一種方式來進(jìn)行： (1) 通過文件系統(tǒng)上寬松的許可權(quán)限制； 網(wǎng)絡(luò)安全防護(hù)中防火墻技術(shù)問題分析及應(yīng)用策略 16 (2) 通過內(nèi)部網(wǎng)絡(luò)上由 NFS 安裝的卷； (3) 利用已經(jīng)被破壞的用戶帳號，通過在這類用戶的主目錄下的主機(jī)等價(jià)文件 ，如 .rhosts，來訪問由 Berkeley r*工具授權(quán)的服務(wù)； (4) 利用可能恢復(fù)的過分訪問權(quán)的網(wǎng)絡(luò)備份程序； (5) 通過使用沒有適當(dāng)安全防范的用于管理的 SHELL 腳本； (6) 通過從沒有適當(dāng)安全防范的過時(shí)軟件的修訂版和發(fā)行文檔來掌握系統(tǒng)的漏洞； (7) 通過安裝允許 IP 傳遞的老版本操作系統(tǒng)內(nèi)核，或者安裝存在安全問題的老版本操作系統(tǒng)內(nèi)核。 (2) 對安全最大的威脅是一個(gè)攻擊者掌握了直接登錄到雙宿主機(jī)的權(quán)限，登錄到一個(gè)雙宿主機(jī)上總是應(yīng)該通過雙宿主機(jī)上的一個(gè)應(yīng)用層代理進(jìn)行，對從外部不可信任網(wǎng)絡(luò)進(jìn)行登錄應(yīng)該進(jìn)行嚴(yán)格的身份驗(yàn)證。 options GATEWAY 同時(shí)，檢驗(yàn)下列 TCP/IP 內(nèi)核配置語句是否存在： options INET Inter Protocol support is to be included pseudodevice loop The loop back device is to be defined () pseudodevice ehter Generic Ether support such as ARP functions pseudodevice pty pseudo teletypes for tel /rlogin access device we0 at isa? port 0x280 Could be different for your Ether interface 運(yùn)行 CONFIG 命令來建立 LOCAL 目錄，然后進(jìn)入該目錄： config LOCAL cd ../../pile/LOCAL 然后，運(yùn)行 MAKE 命令來建立必要的相關(guān)部件和內(nèi)核： make depend make 將內(nèi)核映像復(fù)制到根目錄下，然后重新啟動 (reboot)： cp /bsd / cp bsd /bsd reboot 現(xiàn)在，這臺主機(jī)可以用來作為雙宿主機(jī)防火墻了。這個(gè)變量的作用是設(shè)置內(nèi)核變量 ipforwarding 的值，從而禁止 IP 轉(zhuǎn)發(fā)。例如，你可以將這個(gè)文件稱為 FIREWALL 或 LOCAL。例如： % strings /bsd | grep BSD BSDI $Id: , v 1993/02/21 20:35:01 karels Exp $ BSDI $Id: , v 1993/02/21 20:36:09 karels Exp $ BSD/386 ()BSDI BSD/386 kernel 0: Wed Mar 24 17:23:44 MST 1993 最后一行說明當(dāng)前的配置文件是 GENERIC 。在使用 Intel 硬件的 BSDI UNIX 平臺上，配置文件在/usr/src/sys/i386/conf 目錄下。在 BSD UNIX 系統(tǒng)中該過程如下所述：使用 MAKE 命令編譯 UNIX 系統(tǒng)內(nèi)核。如果該功能沒有被禁止，你必須知道如何去禁止它。然而與它相連的每一個(gè)網(wǎng)絡(luò)都可以執(zhí)行由它所提供的網(wǎng)絡(luò)應(yīng)用，如果這個(gè)應(yīng)用允許的話，它們還可以共享數(shù)據(jù)。但近年來人們一般用術(shù)語路由器來描述這種尋徑功能，而網(wǎng)關(guān)則用于描述相當(dāng)于 OSI 模型上幾層中所進(jìn)行的尋徑功能。通常，每一個(gè)網(wǎng)絡(luò)接口與一個(gè)網(wǎng)絡(luò)相連。在這種情況下，不是先阻塞該服務(wù)，從而聽取用戶因?yàn)楹戏ǖ姆?wù)被阻塞而抱怨，然后再允許該服務(wù)，我們也可以以網(wǎng)絡(luò)安全風(fēng)險(xiǎn)為代價(jià)允許用戶自由地訪問該服務(wù)，直到制定了相應(yīng)的安全規(guī)則為止。如果采用后一種思想來設(shè)計(jì)分組過濾規(guī)則，就必須仔細(xì)考慮分組過濾規(guī)則沒有包括的每一種可能的情況來確保網(wǎng)絡(luò)的安全。這是一個(gè)在設(shè)計(jì)安全可靠 的網(wǎng)絡(luò)時(shí)應(yīng)該遵循的失效安全原則。如果一個(gè)分組過濾規(guī)則排序有錯(cuò)，我們就有可能拒絕進(jìn)行某些合法的訪問，而又允許訪問本想拒絕的服務(wù)。 從規(guī)則 4 和 5，我們可以看到將規(guī)則按適當(dāng)?shù)捻樞蚺帕惺欠浅Ｖ匾摹? ⑤ 如果一條規(guī)則允許傳遞或接收一個(gè)分組，則允許該分組通過。當(dāng)一個(gè)分組到達(dá)時(shí)，將按分組規(guī)則的存貯順序依次運(yùn)用每條規(guī)則對分組進(jìn)行檢查。大多數(shù)分組過濾裝置只檢查 IP、 TCP 或 UDP 頭部內(nèi)的字段。 (3) 分 組過濾器的操作