谈网络防火墙和安全问题(4)

　　有几种类型的攻击很难使用基本的包头信息来识别，因为这几种攻击是与服务无关的。可以对路由器配置以便防止这几种类型的攻击。但是它们很难指定，因为过滤规则需要附加的信息，并且这些信息只能通过审查路由表和特定的IP选项、检查特定段的内容等等才能学习到。

　　下面是这几种攻击类型的例子：

　　源IP地址欺骗式攻击（Sowrce IP Address Spoofing Attacks）。这种类型的攻击的特点是入侵者从外部传输一个假装是来自内部主机的数据包，即数据包中所包含的IP地址为内部网络上的IP地址。入侵者希望借助于一个假的源IP地址就能渗透到一个只使用了源地址安全功能的系统中。在这样的系统中，来自内部的信任主机的数据包被接受，而来自其它主机的数据包全部被丢弃。对于源IP地址欺骗式攻击，可以利用丢弃所有来自路由器外部端口的使用内部源地址的数据包的方法来挫败。

　　源路由攻击（Source Rowing Attacks）。这种类型的攻击的特点是源站点指定了数据包在Internet中所走的路线。这种类型的攻击是为了旁路安全措施并导致数据包循着一个对方不可预料的路径到达目的地。只需简单的丢弃所有包含源路由选项的数据包即可防范这种类型的攻击。

　　极小数据段式攻击（Tiny Fragment Attacks）。这种类型的攻击的特点是入侵者使用了IP分段的特性，创建极小的分段并强行将TCP头信息分成多个数据包段。这种攻击是为了绕过用户定义的过滤规则。黑客寄希望于过滤器路由器只检查第一个分段而允许其余的分段通过。对于这种类型的攻击，只要丢弃协议类型为TCP，IP FragmentOffset等于1的数据包就可安然无恙。

　　包过滤路由器的优点

　　已部署的防火墙系统多数只使用了包过滤器路由器。除了花费时间去规划过滤器和配置路由器之外，实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中。由于Internet访问一般都是在WAN接口上提供，因此在流量适中并定义较少过滤器时对路由器的性能几乎没有影响。另外，包过滤路由器对用户和应用来讲是透明的，所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。

　　包过滤路由器的缺点

　　定义数据包过滤器会比较复杂，因为网络管理员需要对各种Internet服务、包头格式、以及每个域的意义有非常深入的理解。如果必须支持非常复杂的过滤，过滤规则集合会非常的大和复杂，因而难于管理和理解。另外，在路由器上进行规则配置之后，几乎没有什么工具可以用来难过滤规则的正确性，因此会成为一个脆弱点。

　　任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。我们已经知道数据驱动式攻击从表面上来看是由路由器转发到内部主机上没有害处的数据。该数据包括了一些隐藏的指令，能够让主机修改访问控制和与安全有关的文件，使得入侵者能够获得对系统的访问权。

　　一般来说，随着过滤器数目的增加，路由器的吞吐量会下降。可以对路由器进行这样的优化抽取每个数据包的目的IP地址，进行简单的路由表查询，然后将数据包转发到正确的接口上去传输。如果打开过滤功能，路由器不仅必须对每个数据包作出转发决定，还必须将所有的过滤器规则施用给每个数据包。这样就消耗了CPU时间并影响系统的性能。

　　IP包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器能够允许或拒绝特定的服务，但是不能理解特定服务的上下文环境/数据。例如，网络管理员可能需要在应用层过滤信息以便将访问限制在可用的FTP或Telnet命令的子集之内，或者阻塞邮件的进入及特定话题的新闻进入。这种控制最好在高层由代理服务和应用层网关来完成。

　　构件：应用层网关

　　应用层网关使得网络管理员能够实现比包过滤路由器更严格的安全策略。应用层网关不用依赖包过滤工具来管理Internet服务在防火墙系统中的进出，而是采用为每种所需服务而安装在网关上特殊代码（代理服务）的方式来管理Internet服务。如果网络管理员没有为某种应用安装代理编码，那么该项服务就不支持并不能通过防火墙系统来转发。同时，代理编码可以配置成只支持网络管理员认为必须的部分功能。

　　这样增强的安全带来了附加的费用：购买网关硬件平台、代理服务应用、配置网关所需的时间和知识、提供给用户的服务水平的下降、由于缺少透明性而导致缺少友好性的系统。同以往一样，仍要求网络管理员在机构安全需要和系统的易于使用性方面作出平衡。允许用户访问代理服务是很重要的，但是用户是绝对不允许注册到应用层网关中的。假如允许用户注册到防火墙系统中，防火墙系统的安全就会受到威胁，因为入侵者可能会在暗地里进行某些损害防火墙有效性运动作。例如，入侵者获取Root权限，安装特洛伊马来截取口令，并修改防火墙的安全配置文件。

　　堡垒主机（Bastion host）

　　与包过滤路由器（其允许数据包在内部系统和外部系统之间直接流入和流出）不同，应用层网关允许信息在系统之间流动，但不允许直接交换数据包。允许在内部系统和外部系统之间直接交换数据包的主要危险是驻留在受保护网络系统上的主机应用避免任何由所允许服务带来的威胁。

　　一个应用层网关常常被称做“堡垒主机”（Bastion Host）。因为它是一个专门的系统，有特殊的装备，并能抵御攻击。有几种特点是专门设计给堡垒主机来提供安全性的：

　　· 堡垒主机的硬件执行一个安全版本的操作系统。例如，如果堡垒主机是一个UNIX平台，那么它执行UNIX操作系统的安全版本，其经过了特殊的设计，避免了操作系统的脆弱点，保证防火墙的完整性。

　　· 只有网络管理员认为必需的服务才能安装在堡垒主机上。原因是如果一个服务没有安装，它就不能受到攻击。一般来说，在堡垒主机上安装有限的代理服务，如Telnet，DNS，FTP，SMTP以及用户认证等。

　　· 用户在访问代理服务之前堡垒主机可能要求附加认证。比如说，堡垒主机是一个安装严格认证的理想位置。在这里，智能卡认证机制产生一个唯一的访问代码。另外每种代理可能在授予用户访问权之前进行其自己的授权。

　　· 对代理进行配置，使得其只支持标准应用的命令集合的子集。如果代理应用不支持标准的命令，那么很简单，被认证的用户没有使用该命令的权限。

　　· 对代理进行配置，使得其只允许对特定主机的访问。这表明，有限的命令/功能只能施用于内部网络上有限数量的主机。

　　· 每个代理都通过登记所有的信息、每一次连接、以及每次连接的持续时间来维持一个详细的审计信息。审计记录是发现和终止入侵者攻击的一个基本工具。

　　· 每个代理都是一个简短的程序，专门为网络安全目的而设计。因此可以对代理应用的源程序代码进行检查，以确定其是否有纰漏和安全上的漏洞。比如说，典型的UNIX邮件应用可能包括20,000行代码，而邮件代理只有不到1,000行的程序。

　　· 在堡垒主机上每个代理都与所有其它代理无关。如果任何代理的工作产生问题，或在将来发现脆弱性，只需简单的卸出，不会影响其它代理的工作。并且，如果一些用户要求支持新的应用，网络管理员可以轻而易举的在堡垒主机上安装所需应用。

　　· 代理除了读取初始化配置文件之外，一般不进行磁盘操作。这使得入侵者很难在堡垒主机上安装特洛伊马程序或其它的危险文件。

　　· 每个代理在堡垒主机上都以非特权用户的身份运行在其自己的并且是安全的目录中。