【正文】 （ 3） Inter防火墻無法防范通過防火墻以外 的其他途徑的攻擊。 （ 5）防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。 4． 防火墻的作用 防火墻用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取。 1． 數(shù)據(jù)包過濾路由器 ?防火墻常見的有三種類型：數(shù)據(jù)包過濾路由器、應(yīng)用層網(wǎng)關(guān)、電路層網(wǎng)關(guān)。 ?數(shù)據(jù)包過濾技術(shù)，顧名思義是在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢脤?shù)據(jù)包實施有選擇的通過規(guī)則，選擇依據(jù)，即為系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則（即訪問控制表），只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口，其余數(shù)據(jù)包則被從數(shù)據(jù)流中刪除。 因為 傳輸?shù)臄?shù)據(jù)內(nèi)容 是應(yīng)用層數(shù)據(jù) ， 不是包過濾系統(tǒng)所能辨認(rèn)的 ， 數(shù)據(jù)包過濾允許用戶在單個地方為整個網(wǎng)絡(luò)提供特別的保護(hù) 。 因為數(shù)據(jù)鏈路層是事實上的網(wǎng)卡（ NIC），網(wǎng)絡(luò)層是第一層協(xié)議堆棧，所以防火墻位于軟件層次的最底層。 ① 設(shè)置步驟 ?必須制定一個安全策略； ?必須正式規(guī)定允許的包類型、包字段的邏輯表達(dá)； ?必須用防火墻支持的語法重寫表達(dá)式。下表是根據(jù)上面的政策所制定的規(guī)則。 缺省 狀態(tài) * * * * 拒絕 雙向 C 允許聯(lián)接 * * * * 允許 出 B 不信任 25 E m ai l * M 拒絕 進(jìn) A 注釋 目的端口 目的地址 源端口 源 地址 動作 方向 規(guī)則 “ *”代表任意值，沒有被過濾器規(guī)則明確允許的包將被拒絕。 除此之外，隨著過濾數(shù)目的增加，路由器的吞吐量會下降，從而影響網(wǎng)絡(luò)性能。代理是企圖在應(yīng)用層實現(xiàn)防火墻的功能，代理的主要特點(diǎn)是有狀態(tài)性。 ?下圖是應(yīng)用層網(wǎng)關(guān)的結(jié)構(gòu)示意圖，其中內(nèi)部網(wǎng)的一個 Tel客戶通過代理訪問外部網(wǎng)的一個Tel服務(wù)器的情況。 應(yīng)用層網(wǎng)關(guān)上 的代理服務(wù)事實上分為一個客戶代理和一個服務(wù)器代理， Tel是一個 Tel的服務(wù)器守護(hù)進(jìn)程，當(dāng)它偵聽到一個連接到來之后，它首先要進(jìn)行相應(yīng)的身份認(rèn)證，并根據(jù)安全策略來決定是否中轉(zhuǎn)連接。 提供代理服務(wù)的可以是一臺雙宿網(wǎng)關(guān)，也可以是一臺堡壘主機(jī)，允許用戶訪問代理服務(wù)是很重要的，但是用戶是絕對不允許注冊到應(yīng)用層網(wǎng)關(guān)中的。 ③ 代理工作在客戶機(jī)和真實服務(wù)器之間，完全控制會話，所以可以提供很詳細(xì)的日志和安全審計功能。 ⑤ 通過代理訪問 Inter可以解決合法的 IP地址不夠用的問題，因為 Inter所見到只是代理服務(wù)器的地址，內(nèi)部不合法的 IP通過代理可以訪問 Inter。 ?應(yīng)用層代理的缺點(diǎn)： ① 有限的聯(lián)接性。 ③ 應(yīng)用層實現(xiàn)的防火墻會造成明顯的性能下降。 ⑤ 應(yīng)用層網(wǎng)關(guān)要求用戶改變自己的行為，或者在訪問代理服務(wù)的每個系統(tǒng)上安裝特殊的軟件。主要的安全優(yōu)點(diǎn)在基于代理服務(wù)的防火墻設(shè)計上，即使一個基于代理的防火墻遭到破壞，還是沒有直接傳到防火墻后面的網(wǎng)絡(luò)上；而包過濾防火墻上，如一個過濾規(guī)則被修改或破壞了，防火墻還繼續(xù)為包路由。如果防火墻遭到損害，所有它后面的網(wǎng)絡(luò)都面臨危險。電路級網(wǎng)關(guān)只依賴于 TCP聯(lián)接，并不進(jìn)行任何附加的包處理或過濾。它適用于多個協(xié)議，但它不能識別在同一個協(xié)議棧上運(yùn)行的不同的應(yīng)用。這種網(wǎng)關(guān)對外像一個代理，而對內(nèi)則是一個過濾路由器。屏蔽路由器作為內(nèi)外連接的惟一通道，要求所有的報文都必須在此通過檢查。 2． 雙穴主機(jī)網(wǎng)關(guān) (DualHomedGateway) 穴主機(jī)網(wǎng)關(guān)是用一臺裝有兩塊網(wǎng)卡的堡壘主機(jī)的做防火墻。堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。 ?網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。 ?這種配置的危險僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。 網(wǎng)絡(luò)服務(wù)訪問策略是一種高層次的、具體到事件的策略，主要用于定義在網(wǎng)絡(luò)中允許的或禁止的網(wǎng)絡(luò)服務(wù)，而且還包括對撥號訪問以及 SLIP／ PPP聯(lián)接的限制。 通常， 一個防火墻執(zhí)行兩個通用網(wǎng)絡(luò)服務(wù)訪問策略中的一個：允許從內(nèi)部站點(diǎn)訪問 Inter而不允許從 Inter訪問內(nèi)部站點(diǎn)；只允許從 Inter訪問特定的系統(tǒng)，如信息服務(wù)器和電子郵件服務(wù)器。 因此，在這個普遍原則之下是與具體事情相關(guān)的政策，如公司財物的使用規(guī)定、信息系統(tǒng)的使用規(guī)定，防火墻的網(wǎng)絡(luò)服務(wù)訪問政策就是在這一個層次上。在制定這種策略之前，必須了解這種防火墻的性能以及缺點(diǎn)、 TCP／ IP本身所具有的易受攻擊性和危險性。執(zhí)行第一種策略的防火墻在默認(rèn)情況下允許所有的服務(wù)，除非管理員對某種服務(wù)明確表示禁止。執(zhí)行第二種策略的防火墻在默認(rèn)情況下禁止所有的服務(wù)，除非管理員對某種服務(wù)明確表示允許。如果不這樣做，會導(dǎo)致防火墻不能達(dá)到要求。 加密技術(shù)實際上是一種對要經(jīng)由公共網(wǎng)絡(luò)傳送的信息進(jìn)行編碼的方法，它是確保數(shù)據(jù)安全的最有效方法。保護(hù)接收網(wǎng)絡(luò)的防火墻然后能夠檢查信息，對其進(jìn)行解碼，并將其發(fā)送到正確的授權(quán)用戶手中。 3． 4 防火墻攻 擊策略 從黑客攻擊防火墻的過程上看， 防火墻攻擊策略大概可以分為三類： 3． 4． 1 掃描防火墻策略 掃描防火墻策略的方法是探測在目標(biāo)網(wǎng)絡(luò)上安裝的是何種防火墻系統(tǒng)并且找出此防火墻系統(tǒng)允許哪些服務(wù)，通常稱之為對防火墻的探測攻擊。 1． IP地址欺騙 ： 突破防火墻系統(tǒng)最常用的方法是因特網(wǎng)地址欺騙，它同時也是其他一系列攻擊方法的基礎(chǔ)。 尋找、利用防火墻系統(tǒng)實現(xiàn)和設(shè)計上的安全漏洞，從而有針對性地發(fā)動攻擊。 防火墻不能防止對自己的攻擊，只能強(qiáng)制對抗。防火墻不能干涉還沒有到達(dá)防火墻的包，如果這個包是攻擊防火墻的，只有已經(jīng)發(fā)生了攻擊，防火墻才可以對抗，根本不能防止。獲得安全操作系統(tǒng)的辦法有兩種：一種是通過許可證方式獲得操作系統(tǒng)的源碼；另一種是通過固化操作系統(tǒng)內(nèi)核來提高可靠性。 防火墻技術(shù)的發(fā)展經(jīng)歷了基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻四個階段。 2． 透明的訪問方式 ： 第四代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險和出錯概率。 4． 多級的過濾技術(shù) ： 第四代防火墻采用了三級過濾措施，并輔以鑒別手段。 5． 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù) ： 第四代防火墻利用 NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自編的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個主機(jī)的通信，確保每個分組送往正確的地址。 在域名服務(wù)方面，第四代防火墻采用兩種獨(dú)立的域名服務(wù)器：一種是內(nèi)部 DNS服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)的 DNS信息；另一種是外部 DNS服務(wù)器，專門用于處理機(jī)構(gòu)內(nèi)部向 Inter提供的部分 DNS信息。它利用一張網(wǎng)卡將對外服務(wù)器作為一個獨(dú)立網(wǎng)絡(luò)處理，對外服務(wù)器既是內(nèi)部網(wǎng)的一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離。 8． 用戶鑒別與加密 ： 為了降低在 Tel、 FTP等服務(wù)和遠(yuǎn)程管理上的風(fēng)險，第四代防火墻采