1/10近年來,網(wǎng)絡(luò)犯罪的遞增、大量黑客的誕生，促使人們思考網(wǎng)絡(luò)的安全性問題。各種網(wǎng)絡(luò)安全工具也跟著在市場上被炒得火熱。其中最受人注目的當屬網(wǎng)絡(luò)安全工具中最早成熟，也是最早產(chǎn)品化的網(wǎng)絡(luò)防火墻產(chǎn)品了。目前防火墻產(chǎn)品已經(jīng)進入戰(zhàn)國時代，在全球至少有千種以上的防火墻，那么防火墻到底是一種什么東西？它有那些技術(shù)指標？我們應(yīng)該怎樣選擇一個合適的防火墻呢？本文試圖就這些問題對所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。二．防火墻的安全技術(shù)分析無一失。通過對防火墻的基本原理和實現(xiàn)方式進行分析和研究，我對防火墻的安全性有如下幾點認識。1．正確選用、合理配置防火墻非常不容易建立合理的防護系統(tǒng)，配置有效的防火墻應(yīng)遵循這樣四個基2/10d.選擇準確的防護手段，并使之與安全政策保持一致。析和需求分析，而只是根據(jù)不很完備的安全政策選擇了一種似乎能“滿足”需要的防火墻，這樣的防火墻能否“防火”2．需要正確評估防火墻的失效狀態(tài)看它工作是否正常，能否阻擋或捕捉到惡意攻擊和非法訪問按級別來分，它應(yīng)有這樣四種狀態(tài)：a.未受傷害能夠繼續(xù)正火墻由于沒有條件進行失效狀態(tài)測試和驗證，無法確定其失效狀態(tài)等級，因此網(wǎng)絡(luò)必然存在安全隱患。3.防火墻必須進行動態(tài)維護揮它的安全防護作用，必須對它進行跟蹤和維護，要與商家保持密切的聯(lián)系，時刻注視商家的動態(tài)。因為商家一旦發(fā)現(xiàn)應(yīng)盡快確認真?zhèn)?防止特洛伊木馬等病毒)，并對防火墻軟件4.目前很難對防火墻進行測試驗證是對其進行測試，甚至站在“黑客”的角度采用各種手段對3/10防火墻進行攻擊。然而具體執(zhí)行時難度較大：a．防火墻性能測試目前還是一種很新的技術(shù)，尚無正式出版刊物，可用的工具和軟件更是寥寥無幾。據(jù)了解目前b．防火墻測試技術(shù)尚不先進，與防火墻設(shè)計并非完全吻合，使得測試工作難以達到既定的效果。c.選擇“誰”進行公正的測試也是一個問題。種測試又相當必要，進而提出這樣一個問題：不進行測試，5．非法攻擊防火墻的基本“招數(shù)”因為這些網(wǎng)址得到了防火墻的信賴，雖說成功與否尚取決于機遇等其他因素，但對攻擊者而言很值得一試。下面我們以數(shù)據(jù)包過濾防火墻為例，簡要描述可能的攻擊過程。這種類型的防火墻以IP地址作為鑒別數(shù)據(jù)包是否允許其通過的條件，而這恰恰是實施攻擊的突破口。許多防火墻軟件無法識別數(shù)據(jù)包到底來自哪個網(wǎng)絡(luò)接口，因此攻擊者無4/10己本身的ISN連同應(yīng)答信息ACK一同返回給A；于"自顧不暇"的忙碌狀態(tài)，相當于被切斷，這時目標主機會而無暇顧及其他。攻擊者最關(guān)心的是猜測目標主機的ISN。為此，可以利用SMTP的端口(25)，通常它是開放的，能夠通過這個端口，與目標主機打開(Open)一個TCP連接，因而得到它的ISN。在此有效期間，重復這一過程若干次，以Flood法"請求，因此目標主機不能得到來自于信賴主機的響應(yīng)。現(xiàn)在攻擊者發(fā)出回答響應(yīng)，并連同預測的ISN，攻擊者最終會與目標主機建立一個會晤。通過這種方式，攻擊者以合法用戶的身份登錄到目標主機而不需進一步的確認。如果反復試驗使得目標主機能夠接收對網(wǎng)絡(luò)的ROOT登錄，那么就可以完全控制整個網(wǎng)絡(luò)。SOCK的錯誤配置；不適當?shù)陌踩撸粡娏?；允許匿名的FTP協(xié)議；允許TFTP協(xié)議；允許Rlogin命令；允許X5/10b．破壞防火墻的另一種方式是攻擊與干擾相結(jié)合。也就是在攻擊期間使防火墻始終處于繁忙的狀態(tài)。防火墻過分的繁忙有時會導致它忘記履行安全防護的職能，處于失效狀C．需要特別注意的是，防火墻也可能被內(nèi)部攻擊。因為安裝了防火墻后，隨意訪問被嚴格禁止了，這樣內(nèi)部人員個別人會對防火墻不滿進而可能攻擊它、破壞它，期望回到從前的狀態(tài)。這里，攻擊的目標常常是防火墻或防火墻運行防火墻并非萬能，它最多只能防護經(jīng)過其本身的非法訪問和攻擊，而對不經(jīng)防火墻的訪問和攻擊則無能為力。從技術(shù)來講，繞過防火墻進入網(wǎng)絡(luò)并非不可能。目前大多數(shù)防火墻都是基于路由器的數(shù)據(jù)包分組過濾類型，防護能力差，存在各種網(wǎng)絡(luò)外部或網(wǎng)絡(luò)內(nèi)部攻擊防火三.防火墻的基本類型過濾型防火墻)、應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和規(guī)則檢查防火包的端口來作出通過與否的判斷。一個路由器便是一個“傳統(tǒng)”的網(wǎng)絡(luò)級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個IP6/10包來自何方，去向何處。信息以說明所通過的連接狀態(tài)和一些數(shù)據(jù)流的內(nèi)容，把判斷的信息同規(guī)則表進行比較，在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認規(guī)則，一般情況下，默認規(guī)則就是據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，下面是某一網(wǎng)絡(luò)級防火墻的訪問控制規(guī)則：(4)允許任何數(shù)據(jù)(80口)通過；但是對網(wǎng)絡(luò)的保護很有限，因為它只檢查地址和端口，對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。用級網(wǎng)關(guān)數(shù)據(jù)，防止在受信任服務(wù)器和客戶機與不受信任的主機間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復雜一些的訪問控制，并做精細的注冊和稽核。但每一種協(xié)議需要相應(yīng)的代理軟件，使用時工作量大，效率不如網(wǎng)絡(luò)級7/10常用的應(yīng)用級防火墻已有了相應(yīng)的代理服務(wù)器，例如：是，對于新開發(fā)的應(yīng)用，尚沒有相應(yīng)的代理服務(wù)，它們將通過網(wǎng)絡(luò)級防火墻和一般的代理服務(wù)。技術(shù)，但實現(xiàn)困難，而且有的應(yīng)用級網(wǎng)關(guān)缺乏"透明度"。在電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信否合法,電路級網(wǎng)關(guān)是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。等產(chǎn)品。另外，電路級網(wǎng)關(guān)還提供一個重要的安全功能：代理服務(wù)器(ProxyServer)，代理服務(wù)器是個防火墻，在其上運行一個叫做"地址轉(zhuǎn)移"的進程，來將所有你公司內(nèi)部的IP地址映射到一個"安全"的IP地址，這個地址是由防火墻使用的。但是，作為電路級網(wǎng)關(guān)也存在著一些缺陷，因為該網(wǎng)關(guān)是在會話層工作的，它就無法檢查應(yīng)用層級的數(shù)據(jù)包。4.規(guī)則檢查防火墻關(guān)的特點。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在8/10字是否邏輯有序。當然它也象應(yīng)用級網(wǎng)關(guān)一樣，可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合公司用層的數(shù)據(jù)，它允許受信任的客戶機和不受信任的主機建立直接連接。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識別進出的應(yīng)用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效。行的防火墻大多屬于規(guī)則檢查防火墻，因為該防火墻對于用戶透明，在OSI最高層上加密數(shù)據(jù)，不需要你去修改客戶端的程序，也不需對每個需要在防火墻上運行的服務(wù)額外增加一個代理。如現(xiàn)在最流行的防火墻之一級防火墻之間，也就是說，網(wǎng)絡(luò)級防火墻將變得更加能夠識“低級”方面發(fā)展。最終防火墻將成為一個快速注冊稽查系統(tǒng)，可保護數(shù)據(jù)以加密方式通過，使所有組織可以放心地在四.防火墻的配置9/10是它有單點失敗的問題。這種結(jié)構(gòu)沒有增加網(wǎng)絡(luò)安全的自我防衛(wèi)能力，而它往往是受“黑客”攻擊的首選目標，它自己一旦被攻破，整個網(wǎng)絡(luò)也就暴露了。Bastionhost息先要有一個失敗，整個網(wǎng)絡(luò)就暴露了。放置在"?；饏^(qū)"內(nèi)。這種結(jié)構(gòu)安全性好，只有當兩個安全單元被破壞后，網(wǎng)絡(luò)才被暴露，但是成本也很昂貴。五.防火墻的安全措施防電子欺騙術(shù)功能是保證數(shù)據(jù)包的IP地址與網(wǎng)關(guān)接口可疑信息進行鑒別，并向網(wǎng)絡(luò)管理員報警。2.網(wǎng)絡(luò)地址轉(zhuǎn)移Internet止內(nèi)部地址公3.開放式結(jié)構(gòu)設(shè)計0/10開放式結(jié)構(gòu)設(shè)計使得防火墻與相關(guān)應(yīng)用程序和外部用戶數(shù)據(jù)庫的連接相當容易，典型的應(yīng)用程序連接如財務(wù)軟件包、病毒掃描、登錄分析等。4.路由器安全管理程序六.結(jié)