谈网络防火墙和安全问题(4)

【 tulaoshi.com - 防火墙的作用 】

　　有几种类型的攻击很难使用基本的包头信息来识别，因为这几种攻击是与服务无关的。可以对路由器配置以便防止这几种类型的攻击。但是它们很难指定，因为过滤规则需要附加的信息，并且这些信息只能通过审查路由表和特定的IP选项、检查特定段的内容等等才能学习到。

　　下面是这几种攻击类型的例子：

　　源IP地址欺骗式攻击（Sowrce IP Address Spoofing Attacks）。这种类型的攻击的特点是入侵者从外部传输一个假装是来自内部主机的数据包，即数据包中所包含的IP地址为内部网络上的IP地址。入侵者希望借助于一个假的源IP地址就能渗透到一个只使用了源地址安全功能的系统中。在这样的系统中，来自内部的信任主机的数据包被接受，而来自其它主机的数据包全部被丢弃。对于源IP地址欺骗式攻击，可以利用丢弃所有来自路由器外部端口的使用内部源地址的数据包的方法来挫败。

　　源路由攻击（Source Rowing Attacks）。这种类型的攻击的特点是源站点指定了数据包在Internet中所走的路线。这种类型的攻击是为了旁路安全措施并导致数据包循着一个对方不可预料的路径到达目的地。只需简单的丢弃所有包含源路由选项的数据包即可防范这种类型的攻击。

　　极小数据段式攻击（Tiny Fragment Attacks）。这种类型的攻击的特点是入侵者使用了IP分段的特性，创建极小的分段并强行将TCP头信息分成多个数据包段。这种攻击是为了绕过用户定义的过滤规则。黑客寄希望于过滤器路由器只检查第一个分段而允许其余的分段通过。对于这种类型的攻击，只要丢弃协议类型为TCP，IP FragmentOffset等于1的数据包就可安然无恙。

　　包过滤路由器的优点

　　已部署的防火墙系统多数只使用了包过滤器路由器。除了花费时间去规划过滤器和配置路由器之外，实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中。由于Internet访问一般都是在WAN接口上提供，因此在流量适中并定义较少过滤器时对路由器的性能几乎没有影响。另外，包过滤路由器对用户和应用来讲是透明的，所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。

　　包过滤路由器的缺点

　　定义数据包过滤器会比较复杂，因为网络管理员需要对各种Internet服务、包头格式、以及每个域的意义有非常深入的理解。如果必须支持非常复杂的过滤，过滤规则集合会非常的大和复杂，因而难于管理和理解。另外，在路由器上进行规则配置之后，几乎没有什么工具可以用来难过滤规则的正确性，因此会成为一个脆弱点。

　　任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。我们已经知道数据驱动式攻击从表面上来看是由路由器转发到内部主机上没有害处的数据。该数据包括了一些隐藏的指令，能够让主机修改访问控制和与安全有关的文件，使得入侵者能够获得对系统的访问权。

　　一般来说，随着过滤器数目的增加，路由器的吞吐量会下降。可以对路由器进行这样的优化抽取每个数据包的目的IP地址，进行简单的路由表查询，然后将数据包转发到正确的接口上去传输。如果打开过滤功能，路由器不仅必须对每个数据包作出转发决定，还必须将所有的过滤器规则施用给每个数据包。这样就消耗了CPU时间并影响系统的性能。

　　IP包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器能够允许或拒绝特定的服务，但是不能理解特定服务的上下文环境/数据。例如，网络管理员可能需要在应用层过滤信息以便将访问限制在可用的FTP或Telnet命令的子集之内，或者阻塞邮件的进入及特定话题的新闻进入。这种控制最好在高层由代理服务和应用层网关来完成。

　　构件：应用层网关

　　应用层网关使得网络管理员能够实现比包过滤路由器更严格的安全策略。应用层网关不用依赖包过滤工具来管理Internet服务在防火墙系统中的进出，而是采用为每种所需服务而安装在网关上特殊代码（代理服务）的方式来管理Internet服务。如果网络管理员没有为某种应用安装代理编码，那么该项服务就不支持并不能通过防火墙系统来转发。同时，代理编码可以配置成只支持网络管理员认为必须的部分功能。

　　这样增强的安全带来了附加的费用：购买网关硬件平台、代理服务应用、配置网关所需的时间和知识、提供给用户的服务水平的下降、由于缺少透明性而导致缺少友好性的系统。同以往一样，仍要求网络管理员在机构安全需要和系统的易于使用性方面作出平衡。允许用户访问代理服务是很重要的，但是用户是绝对不允许注册到应用层网关中的。假如允许用户注册到防火墙系统中，防火墙系统的安全就会受到威胁，因为入侵者可能会在暗地里进行某些损害防火墙有效性运动作。例如，入侵者获取Root权限，安装特洛伊马来截取口令，并修改防火墙的安全配置文件。

　　堡垒主机（Bastion host）

　　与包过滤路由器（其允许数据包在内部系统和外部系统之间直接流入和流出）不同，应用层网关允许信息在系统之间流动，但不允许直接交换数据包。允许在内部系统和