【正文】 因此，這種攻擊非常難于被跟蹤和記錄。 Windows95/NT 代理防火墻軟件，內(nèi)部用戶可以通過一臺安裝有 Wingate 的主機訪問外部網(wǎng)絡(luò)，但是它也存在著幾個安全脆弱點。由于運行在應(yīng)用層速度比較慢，攻擊代理的方法很多。 繞過代理防火墻 代理是運行在應(yīng)用層的防火墻，他實質(zhì)是啟動兩個連接，一個是客戶到代理，另一個是代理到目的服務(wù)器。原因是：包過濾防火墻一般只過濾低端口 (11024)，而高端口他不可能過濾的（因為，一些服務(wù)要用到高端口，因此防火墻不能關(guān)閉高端口的），青島理工大學(xué)畢業(yè)設(shè)計（論文）用紙 27 所以很多的木馬都在高端口打開等待，如攻擊者就可以通過 LOKI 客戶端將希望遠程執(zhí)行的攻擊命令（對應(yīng) IP 分組）嵌入在 ICMP 或 UDP 包頭部，再發(fā)送給內(nèi)部網(wǎng)絡(luò)服務(wù)端LOKID，由它執(zhí)行其中的命令，并以同樣的方式返回結(jié)果。這樣，攻擊者就可以通過先發(fā)送第一個合法的 IP 分片，騙過防火墻的檢測，接著封裝了惡意數(shù)據(jù)的后續(xù)分片包就可以直接穿透防火墻，直接到達內(nèi)部網(wǎng)絡(luò)主機，從而威脅網(wǎng)絡(luò)和主機的安全。 分片攻擊 這種攻擊的原理是：在 IP 的分片包中，所有的分片包用一個分片偏移字段標志分片包的順序，但是，只有第一個分片包含有 TCP 端口號的信息。可是，如果防火墻能結(jié)合接口，地址來匹配，這種攻擊就不能成功了。他根據(jù)數(shù)據(jù)包的源 IP 地址；目的 IP 地址： TCP/ UDP 源端口；TCP/UDP 目的端口來過濾，很容易受到如下攻擊： IP 欺騙攻擊 這種攻擊，主要是修改數(shù)據(jù)包的源，目的地址和端口，模仿一些合法的數(shù)據(jù)包來騙過防火墻的檢測。上面我們分析了一下入侵有防火墻服務(wù)器過程中的相關(guān)問題，下面談?wù)勧槍Ω鞣N防火墻環(huán)境下的可能的攻擊手段。對于通向外部的網(wǎng)絡(luò)的信息，該請求被轉(zhuǎn)發(fā)到篩選路由器。 堡壘主機使用應(yīng)用層功能來確定允許或拒絕來自或發(fā)向外部網(wǎng) 絡(luò)的請求。 只有通過了過濾規(guī)則的網(wǎng)絡(luò)信息才被送到堡壘主機，所有其它網(wǎng)絡(luò)信息將被拒絕進入。 對篩選路由器必須做如下配置，它應(yīng)將從外部網(wǎng)絡(luò)收到的目的地為內(nèi)部網(wǎng)絡(luò)的所有通信業(yè)務(wù)首先送到堡壘主機。 有屏蔽主機網(wǎng)關(guān) 因為堡壘主機對內(nèi)部網(wǎng)絡(luò)的安全是至關(guān)重要的， 人們常常在外部不可信賴網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間增加另外一條防線。 堡壘主機的最簡單的設(shè)置方法 因為堡壘主機是與外部不可信賴網(wǎng)絡(luò)的接口點，它們常常容易受到攻擊。 即 Inter 和內(nèi)部網(wǎng)絡(luò)均可訪問有屏蔽子網(wǎng)，但禁止它們穿過有屏蔽子網(wǎng)進行通信。 有屏蔽子網(wǎng)的方法是建立一個被隔離的子網(wǎng)，位于 Inter 和內(nèi)部網(wǎng)絡(luò)之間，用兩臺分組過濾路由器將這一子網(wǎng)分別 與 Inter 和內(nèi)部網(wǎng)絡(luò)分開。 通常，在路由器上設(shè)立過濾規(guī)則，使這個堡壘主機成為 Inter 上其他節(jié)點所能達到的唯一節(jié)點。 這種結(jié)合通常是以下面兩種方案之一實現(xiàn)的：有屏蔽主機 (Screened Host)或有屏蔽子網(wǎng) (Screened Sub)。 雙宿主機是堡壘主機的一個實例，因為它們對網(wǎng)絡(luò)的安全至關(guān)重要。 堡壘主機軟件和系統(tǒng)的安全情況應(yīng)該定期地進行審查。 因為堡壘主機對網(wǎng)絡(luò)安全至關(guān)重要，對它必須進行完善的防御。 堡壘主機 (Bastion Host)及其應(yīng)用 堡壘主機指的是任何對網(wǎng)絡(luò)安全至關(guān)重要的 cisco 防火墻主機。 每個分組都將被所有的通信層次處理兩遍，并需要在用戶層上進行處理以及轉(zhuǎn)換工作環(huán)境。 在每一臺內(nèi)部主機上安裝和配置專門的應(yīng)用程序?qū)⑹且患M時的工作，而對大型異構(gòu)網(wǎng)絡(luò)來說很容易出錯，因為硬件平臺和操作系統(tǒng)不同。 如果它能支持某些應(yīng)用，則這些應(yīng)用通常是一些 TCP/IP 的應(yīng)用。 路網(wǎng)關(guān)是建立應(yīng)用層 cisco 防火墻的一種更靈活、更通用的途徑。 線路網(wǎng)關(guān)用于在兩個通信端點之間中轉(zhuǎn)分組。 另一種類型的應(yīng)用層網(wǎng)關(guān)被稱為“線路網(wǎng)關(guān)” (circuit gateway)。 代理服務(wù)程序應(yīng)該設(shè)計為在未使用適當修改了的客戶機程序的情況下能夠提供“失效安全” (fail safe) 的運行模式。 當需要通過專用客戶機應(yīng)用程序與代理服務(wù)器通信時，象 CONNECT()這樣的一些標準系統(tǒng)調(diào)用必須被替換為相應(yīng)的代理版本。 如果一個客戶端代理可以由管理員指定連向另一個應(yīng)用層網(wǎng)關(guān)，就可以避免單點失效錯誤。 這時，如果你沒有相應(yīng)客戶機應(yīng)用程序的源碼（通常為在 PC 或 MAC機上用的），你將無法修改這些程序。 當網(wǎng)絡(luò)的規(guī)模較大時，這將是一件困難的工作。 一些代理服務(wù)程序模擬標準應(yīng)用服務(wù)的工作方式，當用戶指定一個在不同網(wǎng)絡(luò)中的連接目標時，代理應(yīng)用程序就將被調(diào)用。 如果使用的是一個專用的客戶程序，則必須對該程 序進行修改，使它總是連向代理程序所在的主機 (即代理機 )上，并告訴代理機你所要連接的目的地址。 這時，需要執(zhí)行專門配制命令來指定目的服務(wù)器。另一種方法是使用 TELNET 命令并給出 可提供代理的應(yīng)用服務(wù)的端口號。 在許多應(yīng)用層網(wǎng)關(guān)中，代理程序是由一個單一的應(yīng)用層模塊實現(xiàn)的。 一旦會話已經(jīng)建立起來，應(yīng)用代理程序便作為中轉(zhuǎn)站在起動該應(yīng)用的客戶機和服務(wù)器之間轉(zhuǎn)抄數(shù)據(jù)。 因此，代理程序擔當著客戶機和服務(wù)器的雙重角色。 在這種情況下，這個代理程序被稱為一青島理工大學(xué)畢業(yè)設(shè)計（論文）用紙 23 個應(yīng)用層服務(wù)程序代理。 這也是在實踐“未被明確允許的就將被禁止”的原則。 采用應(yīng)用層網(wǎng)關(guān)的一個缺陷是必須為每一項應(yīng)用編制專用程序。 為了使用應(yīng)用層網(wǎng)關(guān)，用戶或者在應(yīng)用層網(wǎng)關(guān)上登錄請求，或者 在本地機器上使用一個為該服務(wù)特別編制的程序代碼。 每當一個新的需保護的應(yīng)用加入網(wǎng)絡(luò)中時，必須為其編制專門的程序代碼。 對于所中轉(zhuǎn)的每種應(yīng)用，應(yīng)用層網(wǎng)關(guān)需要使用專用的程序代碼。能夠記錄和控制所有進出通信業(yè)務(wù)，是采用應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點。 通過適當?shù)某绦蛟O(shè)計，應(yīng)用層網(wǎng)關(guān)可以理解在用戶應(yīng)用層 (OSI 模型第七層 )的通信業(yè)務(wù)。相當多的 cisco 防火墻不能處理高負載的網(wǎng)絡(luò)通信。 cisco 防火墻的購買者應(yīng)留心詢問 cisco 防火墻廠商他們的產(chǎn)品到底能處理哪些應(yīng)用程序。 然而，只要應(yīng)用程序需要升級，基于代理的用戶會發(fā)現(xiàn)他們必須發(fā)展新的代理。 基于代理服務(wù)的 cisco 防火墻廠商正在開始解決這個問題。 假如一個節(jié)點在非標準端口上運行一個標準應(yīng)用程序， 代理將不支持這個應(yīng)用程序。 青島理工大學(xué)畢業(yè)設(shè)計（論文）用紙 22 透明性對基于代理服務(wù)企的 cisco 防火墻顯然是一個大問題。也有一些標準的客戶程序可以利用代理服務(wù)器通過 cisco 防火墻運行，如 mail、 FTP 和 tel 等。 代理使網(wǎng)絡(luò)管理員有了更大的能力改善網(wǎng)絡(luò)的安全特性。 例如 SOCKS 要求適應(yīng) SICKS 的客戶程序。 代理服務(wù)通常由兩個部分構(gòu)成： 代理服務(wù)器程序和客戶程序。 在一個稱為 SOCKS 的免費程序庫中包括了與許多標準系統(tǒng)調(diào)用基本兼容的代理版本，如 SOCKS() 、 BIND() 、 CONNECT() 等。代理服務(wù)器可運行在雙宿主機上，它是基于特定應(yīng)用程序的。中間結(jié)點通常為雙宿主機。 與分組過濾器所不同的是， 使用這類 cisco 防火墻時外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間不存在直接連接。如果系統(tǒng)不工作，你可以移回一些必要的基本程序 （ 3）使用磁盤分區(qū)，從而使在一個磁盤分區(qū)上發(fā)動的填滿所有磁盤空間的攻擊被限制在那個磁盤分區(qū)當中 （ 4）刪去不需要的系統(tǒng)和專門帳號 （ 5）刪去不需要的網(wǎng)絡(luò)服務(wù)，使用 stat a 來檢驗。 雙宿主機 cisco 防火墻上的服務(wù) 。 如果一個攻擊者獲得了足夠的系統(tǒng)權(quán)限，則這個攻擊者就可以改變這個內(nèi)核變量的值，從而允許 IP 轉(zhuǎn)發(fā)。 這種攻擊可以通過以下任何一種方式來進行： （ 1）通過文件系統(tǒng)上寬松的許可權(quán)限制 （ 2）通過內(nèi)部網(wǎng)絡(luò)上由 NFS 安裝的卷 （ 3）利用已經(jīng)被破壞了的用戶帳號，通過在這類用戶的主目錄下的主機等價文件，如 .rhosts，來訪問由 Berkeley r*工具授權(quán)的服務(wù) （ 4）利用可能恢復(fù)的過分訪問權(quán)的網(wǎng)絡(luò)備份程序 （ 5）通過使用沒有適當安全防范的用于管理的 SHELL 腳本 （ 6）通過從沒有適當安全防范的過時軟 件的修訂版和發(fā)行文檔來掌握系統(tǒng)的漏洞 （ 7）通過安裝允許 IP 傳遞的老版本操作系統(tǒng)內(nèi)核，或者安裝存在安全問題的老版本操作系統(tǒng)內(nèi)核 如果一臺雙宿主機失效了，則內(nèi)部網(wǎng)絡(luò)將被置于外部攻擊之下，除非這個問題很快被查出并解決。對從外部不可信任網(wǎng)絡(luò)進 行登錄應(yīng)該進行嚴格的身份驗證。 對安全最大的危脅是一個攻擊者掌握了直接登錄到雙宿主機的權(quán)限。 options GATEWAY 同時，檢驗下列 TCP/IP 內(nèi)核配置語句是否存在： options INET Inter Protocol support is to be included pseudodevice loop The loop back device is to be defined () pseudodevice ehter Generic Ether support such as ARP functions pseudodevice pty pseudo teletypes for tel /rlogin access device we0 at isa? port 0x280 Could be different for your Ether interface 運行 CONFIG 命令來建立 LOCAL 目錄，然后進入該目錄： config LOCAL cd ../../pile/LOCAL 然后，運行 MAKE 命令來建立必要的相關(guān)部件和內(nèi)核： make depend 青島理工大學(xué)畢業(yè)設(shè)計（論文）用紙 20 make 將內(nèi)核映像復(fù)制到根目錄下，然后重新啟動 (reboot)： cp /bsd / cp bsd /bsd reboot 現(xiàn)在，這臺主機可以用來作為雙宿主機 cisco 防火墻了。 進入配置文件目錄 (/usr/src/sys/i386/conf)，將文件 GENERIC 復(fù)制到一個新的配置文件中，其名字應(yīng)對新的配置有所啟發(fā)。 為檢查你所使用的是哪一個內(nèi)核配置文件，你可以對內(nèi)核映像文件使用 strings 命令并查找操作系統(tǒng)的名字。內(nèi)核配置文件在 /usr/sys/conf 或 /usr/src/sys 目錄下。 使用 MAKE 命令編譯 UNIX 系統(tǒng)內(nèi)核。 為了在基于 UNIX 的雙宿主機中禁止進行尋徑，需要重新配置和編譯內(nèi)核。 大多數(shù) cisco 防火墻建立在運行 UNIX 的機器上。 如果在一臺多宿主機中尋徑功能被禁止了，則這個主機可以隔離與它相連的網(wǎng)絡(luò)之間的通信流量；然而與它相連的每一個網(wǎng)絡(luò)都可以執(zhí)行由它所提供的網(wǎng)絡(luò)應(yīng)用，如果這個應(yīng)用允許的話，它們還可以共享數(shù)據(jù)。 在以前，這種多宿主機也可以用來在幾個不同的網(wǎng)段間進行尋徑， 術(shù)語網(wǎng)關(guān)用來描述由多宿主機執(zhí)行的尋徑功能。 雙宿主機 (DualHomed Host) 在 TCP/IP 網(wǎng)絡(luò)中，術(shù)語多宿主機被用來描述一臺配有多個網(wǎng)絡(luò)接口的主機。 當一個新的服務(wù)被加入到網(wǎng)絡(luò)中時，我們可以很容易地遇到?jīng)]有規(guī)則與之相匹配的情況。 這是一個在設(shè)計安全可靠的網(wǎng)絡(luò)時應(yīng)該遵循的失效安全原則 , 與之相對的是一種青島理工大學(xué)畢業(yè)設(shè)計（論文）用紙 18 寬容的原則，即：沒有被明確禁止的就是允許的。 如果一個分組過濾規(guī)則排序有錯，我們就有可能拒絕進行某些合法的訪問，而又允許訪 問本想拒絕的服務(wù)。 從規(guī)則④和⑤，我們可以看到到將規(guī)則按適當?shù)捻樞蚺帕惺欠浅Ｖ匾摹? ⑤ 如果一條規(guī)則允許傳遞或接收一個分組，則允許該分組通過。 當一個分組到達時，將按分組規(guī)則的存貯順序依次運用每條規(guī)則對分組進行檢查。 ② 當一個分組到達過濾端口時，將對該分組的頭部進行分析 . 大多數(shù)分組過濾裝置只檢查 IP、 TCP 或 UDP 頭部內(nèi)的字段。換句話說，分組過濾器是不對稱的。 通過分組過濾來限制請求被拒絕服務(wù)的網(wǎng)絡(luò)通信流。一般來 說，在解決網(wǎng)絡(luò)安全問題時應(yīng)該避免過于復(fù)雜的方案，其原因如下： ①難于維護 ②在配置過濾規(guī)則時容易發(fā)生錯誤 ③執(zhí)行復(fù)雜的方案將對設(shè)備的性能產(chǎn)生負作用 在許多實際情況下，一般都只采用簡單模型來實現(xiàn)網(wǎng)絡(luò)安全策略。網(wǎng)段通常被分為內(nèi)部網(wǎng)段和外部網(wǎng)段，外部網(wǎng)段將你的網(wǎng)絡(luò)連向外部網(wǎng)絡(luò)，例如 INTERNET；內(nèi)部網(wǎng)段用來青島理工大學(xué)畢業(yè)設(shè)計（論文）用紙 17 連接一個單位或組織內(nèi)部的主機和其它網(wǎng)絡(luò)資源。我們曾 經(jīng)提到 cisco 防火墻在 OSI 模型應(yīng)用層上運行，在這個層次實現(xiàn)的安全措施通常都不夠透明。 網(wǎng)絡(luò)安全策略的一個主要目標是向用戶提供透明的網(wǎng)絡(luò)服務(wù)機制。 這種類型的網(wǎng)絡(luò)安全策略決定了篩選路由器將被置于何處，以及如何進行編程用來執(zhí)行分組過濾。 通常 ，網(wǎng)絡(luò)安全策略主要用于防止外來的入侵，而不是監(jiān)控內(nèi)部用戶 [10]。 （ 1）分組過濾和網(wǎng)絡(luò)安全策略 分組過濾可以用來實現(xiàn)許多種網(wǎng)絡(luò)安全策略。 但是，許多商業(yè)路由器產(chǎn)品都可以被編程以用來執(zhí)行分組過濾功能。 分組過濾 (Packet Filtering) 技術(shù) 篩選路由器可以采用分組過濾功能以增強網(wǎng)絡(luò)的安全性。 使用“網(wǎng)關(guān)”這一術(shù)語來稱呼