再谈防火墙及防火墙的渗透.doc

一） 防火墙介绍防火墙是一种功能，它使得内部网络和外部网络或 Internet 互相隔离，以此 来保护内部网络或主机简单的防火墙可以由 Router,3 Layer Switch 的 ACL（access control list）来充当，也可以用一台主机，甚至是一个子网来实现 复杂的可以购买专门的硬件防火墙或软件防火墙来实现防火墙的功能有：1、过滤掉不安全服务和非法用户 2、控制对特殊站点的访问 3、提供监视 Internet 安全和预警的方便端点防火墙并不是万能的，也有很多防火墙无能为力的地方：1、防火墙防不住绕过防火墙的攻击比如，防火墙不限制从内部网络到外部 网络的连接，那么，一些内部用户可能形成一个直接通往 Internet 的连接，从 而绕过防火墙，造成一个潜在的 backdoor.恶意的外部用户直接连接到内部用户 的机器上，以这个内部用户的机器为跳板，发起绕过防火墙的不受限制的攻击2、防火墙不是防毒墙，不能拦截带病毒的数据在网络之间传播3、防火墙对数据驱动式攻击也无能为力因此，我们不能过分依赖防火墙网络的安全是一个整体，并不是有某一样 特别出色的配置网络安全遵循的是“木桶原则”。

一般防火墙具备以下特点： 1、广泛的服务支持：通过将动态的、应用层的过滤能力和认证相结合，可实 现 WWW 浏览器、HTTP 服务器、 FTP 等； 2、对私有数据的加密支持：保证通过 Internet 进行虚拟私人网络和商务活动 不受损坏； 3、客户端认证只允许指定的用户访问内部网络或选择服务：企业本地网与分 支机构、商业伙伴和移动用户间安全通信的附加部分； 4、反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自 网络内部防火墙能监视这样的数据包并能扔掉它们； 5、C/S 模式和跨平台支持：能使运行在一平台的管理模块控制运行在另一平 台的监视模块让我们来看看传统的防火墙工作原理及优缺点：1．(传统的)包过滤防火墙的工作原理 包过滤是在 IP 层实现的，因此，它可以只用路由器完成包过滤根据包的 源 IP 地址、目的 IP 地址、源端口、目的端口及包传递方向等报头信息来判断 是否允许包通过过滤用户定义的内容，如 IP 地址其工作原理是系统在网络 层检查数据包，与应用层无关，包过滤器的应用非常广泛，因为 CPU 用来处理 包过滤的时间可以忽略不计而且这种防护措施对用户透明，合法用户在进出 网络时，根本感觉不到它的存在，使用起来很方便。

这样系统就具有很好的传 输性能，易扩展但是这种防火墙不太安全，因为系统对应用层信息无感知— —也就是说，它们不理解通信的内容，不能在用户级别上进行过滤，即不能识 别不同的用户和防止 IP 地址的盗用如果攻击者把自己主机的 IP 地址设成一 个合法主机的 IP 地址，就可以很轻易地通过包过滤器，这样更容易被黑客攻破基于这种工作机制，包过滤防火墙有以下缺陷： 通信信息：包过滤防火墙只能访问部分数据包的头信息； 通信和应用状态信息：包过滤防火墙是无状态的，所以它不可能保存来自 于通信和应用的状态信息； 信息处理：包过滤防火墙处理信息的能力是有限的 比如针对微软 IIS 漏洞的 Unicode 攻击，因为这种攻击是走的防火墙所允许 的 80 端口，而包过滤的防火墙无法对数据包内容进行核查，因此此时防火墙等 同于虚设，未打相应 patch 的提供 web 服务的系统，即使在防火墙的屏障之后， 也会被攻击者轻松拿下超级用户的权限包过滤防火墙的缺点和不足，可以在应用层解决下面我们来看看应用层网 关2．应用网关1、应用代理服务器（Application Gateway Proxy） 在网络应用层提供授权检查及代理服务。

当外部某台主机试图访问受保护网 络时，必须先在防火墙上经过身份认证通过身份认证后，防火墙运行一个专 门为该网络设计的程序，把外部主机与内部主机连接在这个过程中，防火墙 可以限制用户访问的主机、访问时间及访问的方式同样，受保护网络内部用 户访问外部网时也需先登录到防火墙上，通过验证后，才可访问 应用网关代理的优点是既可以隐藏内部 IP 地址，也可以给单个用户授权，即 使攻击者盗用了一个合法的 IP 地址，也通不过严格的身份认证因此应用网关 比报文过滤具有更高的安全性但是这种认证使得应用网关不透明，用户每次 连接都要受到认证，这给用户带来许多不便这种代理技术需要为每个应用写 专门的程序 2、回路级代理服务器 即通常意义的代理服务器，它适用于多个协议，但不能解释应用协议，需要 通过其他方式来获得信息，所以，回路级代理服务器通常要求修改过的用户程 序 套接字服务器（Sockets Server）就是回路级代理服务器套接字(Sockets)是 一种网络应用层的国际标准当受保护网络客户机需要与外部网交互信息时， 在防火墙上的套服务器检查客户的 User ID、IP 源地址和 IP 目的地址，经过确 认后，套服务器才与外部的服务器建立连接。

对用户来说，受保护网与外部网 的信息交换是透明的，感觉不到防火墙的存在，那是因为网络用户不需要登录 到防火墙上但是客户端的应用软件必须支持 “Socketsified API”，受保护网络 用户访问公共网所使用的 IP 地址也都是防火墙的 IP 地址 3、代管服务器 代管服务器技术是把不安全的服务如 FTP、Telnet 等放到防火墙上，使它同 时充当服务器，对外部的请求作出回答与应用层代理实现相比，代管服务器 技术不必为每种服务专门写程序而且，受保护网内部用户想对外部网访问时， 也需先登录到防火墙上，再向外提出请求，这样从外部网向内就只能看到防火 墙，从而隐藏了内部地址，提高了安全性 4、IP 通道（IP Tunnels） 如果一个大公司的两个子公司相隔较远，通过 Internet 通信这种情况下， 可以采用 IP Tunnels 来防止 Internet 上的黑客截取信息，从而在 Internet 上形成 一个虚拟的企业网 5、网络地址转换器(NAT Network Address Translate) 当受保护网连到 Internet 上时，受保护网用户若要访问 Internet，必须使用一 个合法的 IP 地址。

但由于合法 Internet IP 地址有限，而且受保护网络往往有自 己的一套 IP 地址规划（非正式 IP 地址） 网络地址转换器就是在防火墙上装一 个合法 IP 地址集当内部某一用户要访问 Internet 时，防火墙动态地从地址集 中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信 同时，对于内部的某些服务器如 Web 服务器，网络地址转换器允许为其分配一 个固定的合法地址外部网络的用户就可通过防火墙来访问内部的服务器这 种技术既缓解了少量的 IP 地址和大量的主机之间的矛盾，又对外隐藏了内部主 机的 IP 地址，提高了安全性 6、隔离域名服务器（Split Domain Name Server ） 这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔 离，使外部网的域名服务器只能看到防火墙的 IP 地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的 IP 地址不被外部网络知悉 7、邮件技术（Mail Forwarding） 当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的 IP 地址和 域名时，从外部网络发来的邮件，就只能送到防火墙上。

这时防火墙对邮件进 行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地 址进行转换，送到内部的邮件服务器，由其进行转发应用网关是检查所有应用层的信息包，并将检查的内容信息放入决策过程， 这样安全性有所提高然而，它们是通过打破客户机/服务器模式实现的，每一 个客户机/服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防 火墙到服务器另外，每一个代理需要一个不同的应用进程，或一个后台运行 的服务程序，这样如果有一个新的应用就必须添加对此应用的服务程序，否则 不能使用该种服务，可伸缩性差 基于这种工作机制，应用网关防火墙有以下 缺陷： 连接限制：每一个服务需要自己的代理，所以可提供的服务数和伸缩性受 到限制； 技术限制：应用网关不能为 UDP、RPC 及普通协议族的其他服务提供代理；性能：实现应用网关防火墙牺牲了一些系统性能防火墙的体系结构及组合形式 1、屏蔽路由器（Screening Router） 这是防火墙最基本的构件它可以由厂家专门生产的路由器实现，也可以用 主机来实现屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在 此通过检查路由器上可以装基于 IP 层的报文过滤软件，实现报文过滤功能。

许多路由器本身带有报文过滤配置选项，但一般比较简单 单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的 主机它的缺点是一旦被攻陷后很难发现，而且不能识别不同的用户 2、双宿主机网关（Dual Homed Gateway） 任何拥有多个接口卡的系统都被称为多宿的，双宿主机网关是用一台装有两 块网卡的主机做防火墙两块网卡各自与受保护网和外部网相连主机上运行 着防火墙软件，可以转发应用程序，提供服务等 双宿主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系 统日志、硬件拷贝日志或远程日志这对于日后的检查很有用但这不能帮助 网络管理者确认内网中哪些主机可能已被黑客入侵 双宿主机网关的一个致命弱点是：一旦入侵者侵入堡垒主机并使其只具有路 由功能，则任何网上用户均可以随便访问内网 3、被屏蔽主机网关（Screened Host Gateway） 屏蔽主机网关易于实现也很安全，因此应用广泛例如，一个分组过滤路由 器连接外部网络，同时一个堡垒主机安装在内部网络上，通常在路由器上设立 过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保 了内部网络不受未被授权的外部用户的攻击。

如果受保护网是一个虚拟扩展的本地网，即没有子网和路由器，那么内网的 变化不影响堡垒主机和屏蔽路由器的配置危险带限制在堡垒主机和屏蔽路由 器网关的基本控制策略由安装在上面的软件决定如果攻击者设法登录到它 上面，内网中的其余主机就会受到很大威胁这与双穴主机网关受攻击时的情 形差不多 4、被屏蔽子网 （Screened Subnet） 这种方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组 过滤路由器将这一子网分别与内部网络和外部网络分开在很多实现中，两个 分组过滤路由器放在子网的两端，在子网内构成一个“非军事区”DMZ有的屏 蔽子网中还设有一堡垒主机作为唯一可访问点，支持终端交互或作为应用网关 代理这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和 屏蔽子网的路由器 如果攻击者试图完全破坏防火墙，他必须重新配置连接三个网的路由器，既 不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能 的但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变 得很困难在这种情况下，攻击者得先侵入堡垒主机，然后进入内网主机，再 返回来破坏屏蔽路由器，整个过程中不能引发警报。

建造防火墙时，一般很少采用单一的技术，通常是多种解决不同问题的技术 的组合这种组合主要取决于网管中心向用户提供什么样的服务，以及网管中 心能接受什么等级风险采用哪种技术主要取决于经费，投资的大小或技术人 员的技术、时间等因素一般有以下几种形式： 1、使用多堡垒主机； 2、合并内部路由器与外部路由器； 3、合并堡垒主机与外部路由器； 4、合并堡垒主机与内部路由器； 5、使用多台内部路由器； 6、使用多台外部路由器； 7、使用多个周边网络； 8、使用双重宿主主机与屏蔽子网 随着人们对网络安全意识的提高，防火墙的应用越来越广泛有钱的用高级 硬件防火墙，没钱的用免费的。