防火墙知识普及

出于实用目的，我们目前谈论的是网络服务提供商提供的路由器与你内部网络之间存在的静态传输流路由服务，因此基于为一事实，在技术上，还需要做出几项决策。传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现，或通过代理网关和服务在应用层实现。 

　　需要做出的决定是，是否将暴露的简易机放置在外部网络上为telnet、ftp、news等运行代理服务，或是否设置像过滤器这样的屏蔽路由器，允许与一台或多台内部计算机的通信。这两种方式都存在着优缺点，代理机可以提供更高水平的审计和潜在的安全性，但代价是配置费用的增加，以及可能提供的服务水平的降低（由于代理机需要针对每种需要的服务进行开发）。由来以久的易使性与安全性之间的平衡问题再次死死地困扰着我们。 

7．防火墙的基本类型是什么？ 

在概念上，有两种类型的防火墙： 

  1、网络级防火墙 
  2、应用级防火墙 

　　这两种类型的差异并不像你想像得那样大，最新的技术模糊了两者之间的区别，使哪个“更好”或“更坏”不再那么明显。同以往一样，你需要谨慎选择满足你需要的防火墙类型。 

　　网络级防火墙一般根据源、目的地址做出决策，输入单个的IP包。一台简单的路由器是“传统的”网络级防火墙，因为它不能做出复杂的决策，不能判断出一个包的实际含意或包的实际出处。现代网络级防火墙已变得越来越复杂，可以保持流经它的接入状态、一些数据流的内容等等有关信息。许多网络级防火墙之间的一个重要差别是防火墙可以使传输流直接通过，因此要使用这样的防火墙通常需要分配有效的IP地址块。网络级防火墙一般速度都很快，对用户很透明。 

　　网络级防火墙的例子：在这个例子中，给出了一种称为“屏蔽主机防火墙”（screened host 
firewall）的网络级防火墙。在屏蔽主机防火墙中，对单个主机的访问或从单个主机进行访问是通过运行在网络级上的路由器来控制的。这台单个主机是一台桥头堡主机（bastion host），是一个可以（希望如此）抵御攻击的高度设防和保险的要塞。 

　　网络级防火墙的例子：在这个例子中，给出了一种所谓“屏蔽子网防火墙”的网络级防火墙。在屏蔽子网防火墙中，对网络的访问或从这个网络中进行访问是通过运行在网络级上的路由器来控制的。除了它实际上是由屏蔽主机组成的网络外，它与被屏蔽主机的作用相似。 

　　应用级防火墙一般是运行代理服务器的主机，它不允许传输流在网络之间直接传输，并对通过它的传输流进行记录和审计。由于代理应用程序是运行在防火墙上的软件部件，因此它处于实施记录和访问控制的理想位置。应用级防火墙可以被用作网络地址翻译器，因为传输流通过有效地屏蔽掉起始接入原址的应用程序后，从一“面”进来，从另一面出去。在某些情况下，设置了应用级防火墙后，可能会对性能造成影响，会使防火墙不太透明。早期的应用级防火墙，如那些利用TIS防火墙工具包构造的防火墙，对于最终用户不很透明，并需要对用户进行培训。应用级防火墙一般会提供更详尽的审计报告，比网络级防火墙实施更保守的安全模型。 

　　应用级防火墙举例：这此例中，给出了一个所谓“双向本地网关”（dual homed gateway）的应用级防火墙。双向本地网关是一种运行代理软件的高度安全主机。它有两个网络接口，每个网络上有一个接口，拦阻通过它的所有传输流。 

　　防火墙未来的位置应当处于网络级防火墙与应用级防火墙之间的某一位置。网络级防火墙可能对流经它们的信息越来越“了解”（aware），而应用级防火墙可能将变得更加“低级”和透明。最终的结果将是能够对通过的数据流记录和审计的快速包屏蔽系统。越来越多的防火墙（网络和应用层）中都包含了加密机制，使它们可以在Internet上保护流经它们之间的传输流。具有端到端加密功能的防火墙可以被使用多点Internet接入的机构所用，这些机构可以将Internet作为“专用骨干网”，无需担心自己的数据或口令被偷看。 

8．什么是“单故障点”？应当如何避免出现这种故障？ 

　　安全性取决于一种机制的结构具有单故障点。运行桥头堡主机的软件存在错误。应用程序存在错误。控制路由器的软件存在错误。使用所有这些组件建造设计安全的网络，并以冗余的方式使用它们才有意义。 

　　如果你的防火墙结构是屏蔽子网，那么，你有两台包过滤路由器和一台桥头堡主机。（参见本节的问题2）Internet访问路由器不允许传输流从Internet进入你的专用网络。然而，如果你不在桥头堡主机以及（或）阻塞（choke）路由器上与其它任何机制一道执行这个规则（rule）的话，那么只要这种结构中的一个组件出现故障或遭到破坏就会使攻击者进入防火墙内部。另一方面，如果你在桥头堡主机上具有冗余规则，并在阻塞路由器上也有冗余规则，那么攻击者必须对付三种机制。 

　　此外，如果这台桥头堡主机或阻塞路由器使用规则来拦阻外部访问进入内部网络的话，你可能需要让它触发某种报警，因为你知道有人进入了你的访问路由器。 

9．如何才能将所有的恶意的传输拦在外面？ 

　　对于重点在于安全而非连接性的防火墙来说，你应当考虑缺省拦阻所有的传输，并且只特别地根据具体情况允许你所需要的服务通过。 

　　如果你将除特定的服务集之外的所有东西都挡在外面，那么你已经使你的任务变得很容易了。你无需再为周围的每样产品和每件服务的各种安全问题担心了，你只需关注特定产品和服务存在的各种安全问题。 
　在启动一项服务之前，你应当考虑下列问题： 

＊这个产品的协议是人们熟知的公开协议吗？ 
＊为这个协议提供服务的应用程序的应用情况是否可供公开检查？ 
＊这项服务和产品是否为人们熟知？ 
＊使用这项服务会怎样改变防火墙的结构？攻击者会从不同的角度看待这些吗？攻击者能利用这点进入我的内部网络，或 
者会改变我的DMZ中主机上的东西吗？ 

　　在考虑上述问题时，请记住下列忠告： 

＊“不为人所知的安全性根本不安全。许多未公开的协议都被那些坏家伙研究并破解过。 
＊无论营销人员说些什么，不是所有的协议或服务在设计时考虑了安全性。事实上，真正在设计时考虑了安全性的协议或服务数量很少。 
＊甚至在考虑过安全性的情况下，并不是所有的机构都拥有合格的负责安全的人员。在那些没有称职负责安全的人员的机构中，不是所有的机构都愿意请称职的顾问参与工程项目。这样做的结果是那些其它方面还称职的、好心肠的开发者会设计出不安全的系统。 
＊厂商越不愿意告诉你他们系统的真正工作原理，它就越有可能可存安全性（或其它）问题。只有有什么东西需要隐瞒的厂商才有理由隐瞒他们的设计和实施情况。 

10．有哪些常见的攻击？应当如何保护系统不受它们的攻击呢？ 

　　每个站点与其它站点遭受攻击的类型都略有不同。但仍有一些共同之处。 

SMTP会话攻击（SMTP Session Hijacking） 

　　在这种攻击中，垃圾邮件制造者将一条消息复制成千上万份，并按一个巨大的电子邮件地址清单发送这条消息。由于这些地址清单常常很糟糕，并且为了加快垃圾制造者的操作速度，许多垃圾制造者采取了将他们所有的邮件都发送到一台SMTP服务器上作法，由这台服务器负责实际发送这些邮件。 

　　当然，弹回（bounces）消息、对垃圾制造者的抱怨、咒骂的邮件和坏的PR都涌入了曾被用作中继站的站点。这将着实要让这个站点破费一下了，其中大部分花费被用到支付以后清除这些信息的人员费用上。 

　　《防止邮件滥用系统传输安全性建议》（The Mail Abuse Prevention System Transport Security Initiative）中对这个问题作了详尽的叙述，以及如何对每个寄信人进行配置防止这种攻击。 

利用应用程序中的错误（bugs） 
　　 
　　不同版本的web服务器、邮件服务器和其它Internet服务软件都存在各种错误，因此，远程（Internet）用户可以利用错误做从造成对计算机的控制到引起应用程序瘫痪等各种后果。 

　　只运行必要的服务、用最新的补丁程序修补程序以及使用应用过一段时间的产品可以减少遭遇这种风险的可能。 

利用操作系统中的错误 

　　这类攻击一般也是由远程用户发起的。相对于IP网络较新的操作系统更易出现问题，而很成熟的操作系统有充分的时间来发现和清除存在的错误。攻击者经常可以使被攻击的设备不断重新引导、瘫痪、失去与网络通信的能力，或替换计算机上的文件。 

　　因此，尽可能少地运行操作系统服务可以有助于防范对系统的攻击。此外，在操作系统前端安装一个包过滤器也可以大大减少受这类攻击的次数。 

　　当然，选择一个稳定的操作系统也同样会有帮助。在选择操作系统时，不要轻信“好货不便宜”这类说法。自由软件操作系统常常比商用操作系统更强健。 
11．我必须满足用户要求的各种要求吗？ 

　　对这个问题的答案完全有可能是“不”。对于需要什么，不需要什么，每个站点都有自己的策略，但是，重要的是记住作为一家机构的看门人的主要工作之一是教育。用户需要流视频、实时聊天，并要求能够向请求在内部网络上的活数据库进行交互查询的外部客户提供服务。 

　　这意味着完成任何这类事情都会给机构造成风险，而造成的风险往往比想像中沿着这条路走下去的“价值”的回报更高。多数用户不愿使自己的机构遭受风险。他们只看一看商标，阅读一下广告，他们也愿意做上述那些事。重要的是了解用户真正想干些什么，帮助他们懂得他们可以以更安全的方式实现他们的真正目的。 

　　你不会总受到欢迎，你可以甚至会发现自己收到了难以置信愚蠢的命令，让你做一些诸如“打开所有的口子”这样的事，但不要为此担心。在这种时刻，明智的做法是将你的交换数据全都保存起来，这样当一个十二岁的小孩闯入网络时，你至少能够使你自己远离混乱局面。 

12．如何才能通过自己的防火墙运行Web／HTTP？ 

　　有三种办法做到这点： 

1、如果你使用屏蔽路由器的话，允许“建立起的”连接经过路由器接入到防火墙外。 

2、使用支持SOCKS的Web客户机，并在你的桥头堡主机上运行SOCKS。 

3、运行桥头堡主机上的某种具有代理功能的Web服务器。一些可供选择的代理服务器包括Squid、Apache、Netscape Proxy和TIS防火墙工具包中的http-gw。这些选件中的多数还可以代理其它协议（如gopher和ftp），并可缓存捕获的对象。后者一般会提高用户的性能，使你能更有效地使用到Internet的连接。基本上所有的Web户机（Mozilla、Inter-net Explorer、Lynx等等）都具有内置的对代理服务器的支持。 

13．在使用防火墙时，怎样使用DNS呢？ 

　　一些机构想隐藏DNS名，不让外界知道。许多专家认为隐藏DNS名没有什么价值，但是，如果站点或企业的政策强制要求隐藏域名，它也不失为一种已知可行的办法。你可能必须隐藏域名的另一条理由是你的内部网络上是否有非标准的寻址方案。不要自欺欺人的认为，如果隐藏了你的DNS名，在攻击者打入你的防火墙时，会给攻击者增加困难。有关你的网络的 
信息可以很容易地从网络层获得。假如你有兴趣证实这点的话，不妨在LAN上“ping”一下子网广播地址，然后再执行“arp -a”。还需要说明的是，隐藏DNS中的域名不能解决从邮件头、新闻文章等中“泄露”主机名的问题。 

　　这种方法是许多方法中的一个，它对于希望向Internet隐瞒自己的主机名的机构很有用。这种办法的成功取决于这样一个事实：即一台机器上的DNS客户机不必与在同一台机器上的DNS服务器对话。换句话说，正是由于在一台机器上有一个DNS服务器，因此，将这部机器的DNS客户机活动重定向到另一台机器上的DNS服务器没有任何不妥（并且经常有好处）。 

　　首先，你在可以与外部世界通信的桥头堡主机上建立DNS服务器。你建立这台服务器使它宣布对你的域名具有访问的权力。事实上，这台服务器所了解的就是你想让外部世界所了解的：你网关的名称和地址、你的通配符MX记录等等。这台服务器就是“公共”服务器。 

　　然后，在内部机器上建立一台DNS服务器。这台服务器也宣布对你的域名具有权力；与公共服务器不同，这台服务器“讲的是真话”。它是你的“正常”的命名服务器，你可以在这台服务器中放入你所有的“正常”DNS名。你再设置这台服务器，使它可以将它不能解决的查询转发到公共服务器（例如，使用Unix机上的/etc/named.boot中的“转发器”行（forwarder line））。 

　　最后，设置你所有的DNS客户机（例如，Unix机上的/etc/resolv.conf文件）使用内部服务器，这些DNS客户机包括公共服务器所在机器上的DNS客户机。这是关键。 

　　询问有关一台内部主机信息的内部客户机向内部服务器提出问题，并得到回答；询问有关一部外部主机信息的内部客户机向内部服务器查询，内部客户机再向公共服务器进行查询，公共服务器再向Internet查询，然后将得到的答案再一步一步传回来。公共服务器上的客户机也以相同的方式工作。但是，一台询问关于一台内部主机信息的外部客户机，只能从公共服务器上得到“限制性”的答案。 

　　这种方式假定在这两台服务器之间有一个包过滤防火墙，这个防火墙允许服务器相互传递DNS，但除此之外，限制其它主机之间的DNS。 

　　这种方式中的另一项有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR记录。这将引起对任何非公共主机的“地址到名称”（address-to-name）的查找返回像“unknown.YOUR.DOMAIN”这样的信息，而非返回一个错误。这就满足了像ftp.uu.net匿名FTP站点的要求。这类站点要求得到与它们通信的计算机的名字。当与进行DNS交叉检查的站点通信时，这种方法就不灵了。在交叉检查中，主机名要与它的地址匹配，地址也要与主机名匹配。 

上一页  [1] [2] [3]  下一页