不可忽视：谈网络防火墙和安全问题

与服务相关的过滤

　　包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接，路由器只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上，路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。

　　一些典型的过滤规则包括：

　　· 允许进入的Telne会话与指定的内部主机连接

　　· 允许进入的FTP会话与指定的内部主机连接

　　· 允许所有外出的Telne会话

　　· 允许所有外出的FTP会话

　　· 拒绝所有来自特定的外部主机的数据包 与服务无关的过滤

　　有几种类型的攻击很难使用基本的包头信息来识别，因为这几种攻击是与服务无关的。可以对路由器配置以便防止这几种类型的攻击。但是它们很难指定，因为过滤规则需要附加的信息，并且这些信息只能通过审查路由表和特定的IP选项、检查特定段的内容等等才能学习到。

　　下面是这几种攻击类型的例子：

　　源IP地址欺骗式攻击（Sowrce IP Address Spoofing Attacks）。这种类型的攻击的特点是入侵者从外部传输一个假装是来自内部主机的数据包，即数据包中所包含的IP地址为内部网络上的IP地址。入侵者希望借助于一个假的源IP地址就能渗透到一个只使用了源地址安全功能的系统中。在这样的系统中，来自内部的信任主机的数据包被接受，而来自其它主机的数据包全部被丢弃。对于源IP地址欺骗式攻击，可以利用丢弃所有来自路由器外部端口的使用内部源地址的数据包的方法来挫败。

　　源路由攻击（Source Rowing Attacks）。这种类型的攻击的特点是源站点指定了数据包在Internet中所走的路线。这种类型的攻击是为了旁路安全措施并导致数据包循着一个对方不可预料的路径到达目的地。只需简单的丢弃所有包含源路由选项的数据包即可防范这种类型的攻击。

　　极小数据段式攻击（Tiny Fragment Attacks）。这种类型的攻击的特点是入侵者使用了IP分段的特性，创建极小的分段并强行将TCP头信息分成多个数据包段。这种攻击是为了绕过用户定义的过滤规则。黑客寄希望于过滤器路由器只检查第一个分段而允许其余的分段通过。对于这种类型的攻击，只要丢弃协议类型为TCP，IP FragmentOffset等于1的数据包就可安然无恙。

　　包过滤路由器的优点

　　已部署的防火墙系统多数只使用了包过滤器路由器。除了花费时间去规划过滤器和配置路由器之外，实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中。由于Internet访问一般都是在WAN接口上提供，因此在流量适中并定义较少过滤器时对路由器的性能几乎没有影响。另外，包过滤路由器对用户和应用来讲是透明的，所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。

　　包过滤路由器的缺点

　　定义数据包过滤器会比较复杂，因为网络管理员需要对各种Internet服务、包头格式、以及每个域的意义有非常深入的理解。如果必须支持非常复杂的过滤，过滤规则集合会非常的大和复杂，因而难于管理和理解。另外，在路由器上进行规则配置之后，几乎没有什么工具可以用来难过滤规则的正确性，因此会成为一个脆弱点。

　　任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。我们已经知道数据驱动式攻击从表面上来看是由路由器转发到内部主机上没有害处的数据。该数据包括了一些隐藏的指令，能够让主机修改访问控制和与安全有关的文件，使得入侵者能够获得对系统的访问权。

　　一般来说，随着过滤器数目的增加，路由器的吞吐量会下降。可以对路由器进行这样的优化抽取每个数据包的目的IP地址，进行简单的路由表查询，然后将数据包转发到正确的接口上去传输。如果打开过滤功能，路由器不仅必须对每个数据包作出转发决定，还必须将所有的过滤器规则施用给每个数据包。这样就消耗了CPU时间并影响系统的性能。

　　IP包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器能够允许或拒绝特定的服务，但是不能理解特定服务的上下文环境/数据。例如，网络管理员可能需要在应用层过滤信息以便将访问限制在可用的FTP或Telnet命令的子集之内，或者阻塞邮件的进入及特定话题的新闻进入。这种控制最好在高层由代理服务和应用层网关来完成。

上一页  [1] [2] [3] [4] [5] [6] [7]  下一页