防火墙的技术与应用-选购和应用(16)

【 tulaoshi.com - 防火墙的作用 】

　　在特洛伊战争中，要不是特洛依人多事将木马拖入城内，也不会造成木马屠城的惨剧；不过在Internet的时代，防火墙城门是不能紧闭的，在某些程度上甚至是欢迎大家光临的；控管只是要降低与外界的接触面，并不能完全阻隔。因此提供外界的连线存取是有必要的，而依赖防火墙的连线存取控管，是否就可以免于黑客入侵了呢？

　　答案是否定的。防火墙可以阻挡一些入侵行为，但是并不能完全抵挡。依连线控管级别来分析，采用Packet Filtering或Stateful Inspection控管机制的防火墙，可轻易被伪装成正常网络程序端口号的后门程序欺瞒！Application Layer Gateway能阻挡的入侵行为最多，包含防止身分伪冒、数据包调包以及确保协定内容的真实。但这些还是不够，因为即使传输内容合乎协定标准，但是数据包内容传递至远端系统后，系统的反应却不见得是正常的。

　　就如同上述的例子，A书店如果是儿童书店，而收到的杂志内容却是光怪陆离，或是色情暴力，这样对于书店读者来说反应是负面的，其实并不应该收下这些杂志的。但因为守卫并不负责书刊分级，他只管将东西传送到目的地，A书店还是照单全收，书店也只好自行处理这些垃圾；有时也可能收到一大堆的垃圾杂志，堵住整间书店，以致不能正常营业！

　　而在Internet的环境中，各Internet Service的问题通常还更严重，我们称之为“弱点(Vulnerability)”或“漏洞”，黑客可以利用Internet Service的正常传输指令，夹带的却是系统所不能接收的内容，来达到入侵系统有弱点的主机的目的。一旦入侵到内部系统后，就有机会再入侵到其他系统。

　　这就是一副网络木马屠城图：防火墙提供内部的Web与Mail供外界存取，Internet使用者使用标准的程序或指令来达到连线的目的；黑客却可以利用这些已开启的通道，对内部Web Server与E-Mail Server进行破坏，且一旦破坏成功后，又转而破坏其他Unix与NT主机。

在防火墙的保护伞后面，仍然会遭受外部入侵的行为有：

　　1、妨碍系统正常运作(Denial of Service)，以让所有网络连线中断为目的。

　　2、Buffer Overflow利用程序设计的疏失，异常中断程序运作。通常会伴随“root exploit”或“backdoor”的攻击。

　　3、截取超级使用者权限(root exploit)以控制系统，并据此攻击内部其他机器。

　　4、安装后门木马程序，供黑客随时进入系统用，同时自动收集相关信息传送给黑客。
　　

网络需要全方位防卫

　　特洛伊城之所以久攻不破，是它有一道坚固的城墙，不会因城墙溃败而引来全面性的杀机；在Internet上我们也需要一道坚实的防火墙，以确保防火墙不会因被击溃，而导致企业内部数十乃至数百台的电脑的入侵危机。但木马屠城却给我们另一层的启示：在外需要厚实的城墙抵挡，在内更须时时提高警觉，防止可疑份子的渗透破坏。

　　因此即使有了防火墙，也须要时时提防所有的连线是否隐藏破坏分子，也要审视系统是否脆弱地不堪黑客一击。同时更须设法提高系统的自卫能力。如此遇到木马时，也不至于被屠城了。