歡迎來(lái)到(dào)天津津久新天馬科技有限公司官網!

專注企業IT系統集成,提供信息化解決方案成就客戶、與客戶雙赢

全國服務熱線022-58900196

熱門(mén)關鍵詞: IBM 聯想 戴爾 HP

您的位置: 首頁 > 新聞資訊 > 常見問題

防火牆的概念及應用(yòng)範圍

返回列表 來(lái)源: 發布日期: 2018-09-19 12:02:30

      1.什(shén)麽是防火牆?

  防火牆是一個或一組系統,它在網絡之間執行訪問控制策略。實現(xiàn)防火牆的實際方式各不相同,但(dàn)是在原則上(shàng),防火牆可以被認爲是這(zhè)樣一對(duì)機制:一種機制是攔阻傳輸流通行,另一種機制是允許傳輸流通過。一些(xiē)防火牆偏重攔阻傳輸流的通行,而另一些(xiē)防火牆則偏重允許傳輸流通過。了(le)解有關防火牆的最重要的概念可能(néng)就是它實現(xiàn)了(le)一種訪問控制策略。如果你(nǐ)不太清楚你(nǐ)需要允許或否決那類訪問,你(nǐ)可以讓其他(tā)人或某些(xiē)産品根據他(tā)(它)們認爲應當做的事(shì)來(lái)配置防火牆,然後他(tā)(它)們會(huì)爲你(nǐ)的機構全面地制定訪問策略。

  2.爲何需要防火牆?

  同其它任何社會(huì)一樣,Internet也(yě)受到(dào)某些(xiē)無聊之人的困擾,這(zhè)些(xiē)人喜愛在網上(shàng)做這(zhè)類的事(shì),像在現(xiàn)實中向其他(tā)人的牆上(shàng)噴染塗鴉、将他(tā)人的郵箱推倒或者坐(zuò)在大(dà)街上(shàng)按汽車喇叭一樣。一些(xiē)人試圖通過Internet完成一些(xiē)真正的工(gōng)作(zuò),而另一些(xiē)人則擁有敏感或專有數據需要保護。一般來(lái)說,防火牆的目是将那些(xiē)無聊之人擋在你(nǐ)的網絡之外(wài),同時(shí)使你(nǐ)仍可以完成工(gōng)作(zuò)。

  許多傳統風(fēng)格的企業和(hé)數據中心都制定了(le)計(jì)算(suàn)安全策略和(hé)必須遵守的慣例。在一家公司的安全策略規定數據必須被保護的情況下(xià),防火牆更顯得十分重要,因爲它是這(zhè)家企業安全策略的具體體現(xiàn)。如果你(nǐ)的公司是一家大(dà)企業,連接到(dào)Internet上(shàng)的最難做的工(gōng)作(zuò)經常不是費用(yòng)或所需做的工(gōng)作(zuò),而是讓管理(lǐ)層信服上(shàng)網是安全的。防火牆不僅提供了(le)真正的安全性,而且還起到(dào)了(le)爲管理(lǐ)層蓋上(shàng)一條安全的毯子的重要作(zuò)用(yòng)。

  最後,防火牆可以發揮你(nǐ)的企業駐Internet“大(dà)使”的作(zuò)用(yòng)。許多企業利用(yòng)其防火牆系統作(zuò)爲保存有關企業産品和(hé)服務的公開(kāi)信息、下(xià)載文(wén)件、錯誤修補以及其它一些(xiē)文(wén)件的場所。這(zhè)些(xiē)系統當中的幾種系統已經成爲Internet服務結構(如UUnet.uu.net、whitehouse.gov、gatekeeper.dec.com)的重要組成部分,并且給這(zhè)些(xiē)機構的贊助者帶來(lái)了(le)良好(hǎo)的影響。

 

  3.防火牆可以防範什(shén)麽?

一些(xiē)防火牆隻允許電子郵件通過,因而保護了(le)網絡免受除對(duì)電子郵件服務攻擊之外(wài)的任何攻擊。另一些(xiē)防火牆提供不太嚴格的保護措施,并且攔阻一些(xiē)衆所周知(zhī)存在問題的服務。

  一般來(lái)說,防火牆在配置上(shàng)是防止來(lái)自(zì)“外(wài)部”世界未經授權的交互式登錄的。這(zhè)大(dà)大(dà)有助于防止破壞者登錄到(dào)你(nǐ)網絡中的計(jì)算(suàn)機上(shàng)。一些(xiē)設計(jì)更爲精巧的防火牆可以防止來(lái)自(zì)外(wài)部的傳輸流進入内部,但(dàn)又允許内部的用(yòng)戶可以自(zì)由地與外(wài)部通信。如果你(nǐ)切斷防火牆的話(huà),它可以保護你(nǐ)免受網絡上(shàng)任何類型的攻擊。

  防火牆的另一個非常重要的特性是可以提供一個單獨的“攔阻點”,在“攔阻點”上(shàng)設置安全和(hé)審計(jì)檢查。與計(jì)算(suàn)機系統正受到(dào)某些(xiē)人利用(yòng)調制解調器撥入攻擊的情況不同,防火牆可以發揮一種有效的“電話(huà)監聽”(Phone tap)和(hé)跟蹤工(gōng)具的作(zuò)用(yòng)。防火牆提供了(le)一種重要的記錄和(hé)審計(jì)功能(néng);它們經常可以向管理(lǐ)員提供一些(xiē)情況概要,提供有關通過防火牆的傳流輸的類型和(hé)數量以及有多少次試圖闖入防火牆的企圖等等信息。

  4.防火牆不能(néng)防範什(shén)麽?

  防火牆不能(néng)防範不經過防火牆的攻擊。許多接入到(dào)Internet的企業對(duì)通過接入路線造成公司專用(yòng)數據數據洩露非常擔心。不幸得是,對(duì)于這(zhè)些(xiē)擔心來(lái)說,一盤磁帶可以被很(hěn)有效地用(yòng)來(lái)洩露數據。許多機構的管理(lǐ)層對(duì)Internet接入非常恐懼,它們對(duì)應當如何保護通過調制解調器撥号訪問沒有連慣的政策。當你(nǐ)住在一所木(mù)屋中,卻安裝了(le)一扇六英尺厚的鋼門(mén),會(huì)被認爲很(hěn)愚蠢。然而,有許多機構購買了(le)價格昂貴的防火牆,但(dàn)卻忽視(shì)了(le)通往其網絡中的其它幾扇後門(mén)。要使防火牆發揮作(zuò)用(yòng),防火牆就必須成爲整個機構安全架構中不可分割的一部分。防火牆的策略必須現(xiàn)實,能(néng)夠反映出整個網絡安全的水(shuǐ)平。例如,一個保存着超級機密或保密數據的站(zhàn)點根本不需要防火牆:首先,它根本不應當被接入到(dào)Internet上(shàng),或者保存着真正秘密數據的系統應當與這(zhè)家企業的其餘網絡隔離開(kāi)。

  防火牆不能(néng)真正保護你(nǐ)防止的另一種危險是你(nǐ)網絡内部的叛變者或白(bái)癡。盡管一個工(gōng)業間諜可以通過防火牆傳送信息,但(dàn)他(tā)更有可能(néng)利用(yòng)電話(huà)、傳真機或軟盤來(lái)傳送信息。軟盤遠比防火牆更有可能(néng)成爲洩露你(nǐ)機構秘密的媒介!防火牆同樣不能(néng)保護你(nǐ)避免愚蠢行爲的發生。通過電話(huà)洩露敏感信息的用(yòng)戶是社會(huì)工(gōng)程(social engineering)的好(hǎo)目标;如果攻擊者能(néng)找到(dào)内部的一個“對(duì)他(tā)有幫助”的雇員,通過欺騙他(tā)進入調制解調器池,攻擊者可能(néng)會(huì)完全繞過防火牆打入你(nǐ)的網絡。

  5.防火牆能(néng)否防止病毒的攻擊?

  防火牆不能(néng)有效地防範像病毒這(zhè)類東西的入侵。在網絡上(shàng)傳輸二進制文(wén)件的編碼方式太多了(le),并且有太多的不同的結構和(hé)病毒,因此不可能(néng)查找所有的病毒。換句話(huà)說,防火牆不可能(néng)将安全意識(security-consciosness)交給用(yòng)戶一方。總之,防火牆不能(néng)防止數據驅動的攻擊:即通過将某種東西郵寄或拷貝到(dào)内部主機中,然後它再在内部主機中運行的攻擊。過去曾發生過對(duì)不同版本的郵件寄送程序和(hé)幻像腳本(ghostscript)和(hé)免費PostScript閱讀器的這(zhè)類攻擊。

  對(duì)病毒十分憂慮的機構應當在整個機構範圍内采取病毒控制措施。不要試圖将病毒擋在防火牆之外(wài),而是保證每個脆弱的桌面系統都安裝上(shàng)病毒掃描軟件,隻要一引導計(jì)算(suàn)機就對(duì)病毒進行掃描。利用(yòng)病毒掃描軟件防護你(nǐ)的網絡将可以防止通過軟盤、調制解調器和(hé)Internet傳播的病毒的攻擊。試圖禦病毒于防火牆之外(wài)隻能(néng)防止來(lái)自(zì)Internet的病毒,而絕大(dà)多數病毒是通過軟盤傳染上(shàng)的。

  盡管如此,還是有越來(lái)越多的防火牆廠(chǎng)商正提供“病毒探測”防火牆。這(zhè)類防火牆隻對(duì)那種交換Windows-on-Intel執行程序和(hé)惡意宏應用(yòng)文(wén)檔的毫無經驗的用(yòng)戶有用(yòng)。不要指望這(zhè)種特性能(néng)夠對(duì)攻擊起到(dào)任何防範作(zuò)用(yòng)。

  6.在防火牆設計(jì)中需要做哪些(xiē)基本設計(jì)決策?

  在負責防火牆的設計(jì)、制定工(gōng)程計(jì)劃以及實施或監督安裝的幸運兒面前,有許多基本設計(jì)問題等着他(tā)去解決。

  首先,最重要的問題是,它應體現(xiàn)你(nǐ)的公司或機構打算(suàn)如何運行這(zhè)個系統的策略:安裝後的防火牆是爲了(le)明(míng)确地拒絕除對(duì)于連接到(dào)網絡至關重的服務之外(wài)的所有服務,或者,安裝就緒的防火牆是爲以非威脅方式對(duì)“魚貫而入”的訪問("queuing" access)提供一種計(jì)量和(hé)審計(jì)的方法。在這(zhè)些(xiē)選擇中存在着某種程度的偏執狂;防火牆的最終功能(néng)可能(néng)将是行政上(shàng)的結果,而非工(gōng)程上(shàng)的決策。

  第二個問題是:你(nǐ)需要何種程度的監視(shì)、冗餘度以及控制水(shuǐ)平?通過解決第一個問題,确定了(le)可接受的風(fēng)險水(shuǐ)平(例如你(nǐ)的偏執到(dào)何種程度)後,你(nǐ)可以列出一個必須監測什(shén)麽傳輸、必須允許什(shén)麽傳輸流通行以及應當拒絕什(shén)麽傳輸的清單。換句話(huà)說,你(nǐ)開(kāi)始時(shí)先列出你(nǐ)的總體目标,然後把需求分析與風(fēng)險評估結合在一起,挑出與風(fēng)險始終對(duì)立的需求,加入到(dào)計(jì)劃完成的工(gōng)作(zuò)的清單中。

  第三個問題是财務上(shàng)的問題。在此,我們隻能(néng)以模糊的表達方式論述這(zhè)個問題,但(dàn)是,試圖以購買或實施解決方案的費用(yòng)多少來(lái)量化提出的解決方案十分重要。例如,一個完整的防火牆的高(gāo)端産品可能(néng)價值10萬美(měi)元,而低(dī)端産品可能(néng)是免費的。像在Cisco或類似的路由器上(shàng)做一些(xiē)奇妙的配置這(zhè)類免費選擇不會(huì)花(huā)你(nǐ)一分錢(qián),隻需要工(gōng)作(zuò)人員的時(shí)間和(hé)幾杯咖啡。從(cóng)頭建立一個高(gāo)端防火牆可能(néng)需要幾個人工(gōng)月,它可能(néng)等于價值3萬美(měi)元的工(gōng)作(zuò)人員工(gōng)資和(hé)利潤。系統管理(lǐ)開(kāi)銷也(yě)是需要考慮的問題。建立自(zì)行開(kāi)發的防火牆固然很(hěn)好(hǎo),但(dàn)重要的是使建立的防火牆不需要費用(yòng)高(gāo)昂的不斷幹預。換句話(huà)說,在評估防火牆時(shí),重要的是不僅要以防火牆目前的費用(yòng)來(lái)評估它,而且要考慮到(dào)像支持服務這(zhè)類後續費用(yòng)。

  出于實用(yòng)目的,我們目前談論的是網絡服務提供商提供的路由器與你(nǐ)内部網絡之間存在的靜态傳輸流路由服務,因此基于爲一事(shì)實,在技術上(shàng),還需要做出幾項決策。傳輸流路由服務可以通過諸如路由器中的過濾規則在IP層實現(xiàn),或通過代理(lǐ)網關和(hé)服務在應用(yòng)層實現(xiàn)。

  需要做出的決定是,是否将暴露的簡易機放(fàng)置在外(wài)部網絡上(shàng)爲telnet、ftp、news等運行代理(lǐ)服務,或是否設置像過濾器這(zhè)樣的屏蔽路由器,允許與一台或多台内部計(jì)算(suàn)機的通信。這(zhè)兩種方式都存在着優缺點,代理(lǐ)機可以提供更高(gāo)水(shuǐ)平的審計(jì)和(hé)潛在的安全性,但(dàn)代價是配置費用(yòng)的增加,以及可能(néng)提供的服務水(shuǐ)平的降低(dī)(由于代理(lǐ)機需要針對(duì)每種需要的服務進行開(kāi)發)。由來(lái)以久的易使性與安全性之間的平衡問題再次死死地困擾着我們。

  7.防火牆的基本類型是什(shén)麽?

  在概念上(shàng),有兩種類型的防火牆:

    1、網絡級防火牆
         2、應用(yòng)級防火牆

  這(zhè)兩種類型的差異并不像你(nǐ)想像得那樣大(dà),最新的技術模糊了(le)兩者之間的區(qū)别,使哪個“更好(hǎo)”或“更壞”不再那麽明(míng)顯。同以往一樣,你(nǐ)需要謹慎選擇滿足你(nǐ)需要的防火牆類型。

  網絡級防火牆一般根據源、目的地址做出決策,輸入單個的IP包。一台簡單的路由器是“傳統的”網絡級防火牆,因爲它不能(néng)做出複雜(zá)的決策,不能(néng)判斷出一個包的實際含意或包的實際出處。現(xiàn)代網絡級防火牆已變得越來(lái)越複雜(zá),可以保持流經它的接入狀态、一些(xiē)數據流的内容等等有關信息。許多網絡級防火牆之間的一個重要差别是防火牆可以使傳輸流直接通過,因此要使用(yòng)這(zhè)樣的防火牆通常需要分配有效的IP地址塊。網絡級防火牆一般速度都很(hěn)快(kuài),對(duì)用(yòng)戶很(hěn)透明(míng)。

  網絡級防火牆的例子:在這(zhè)個例子中,給出了(le)一種稱爲“屏蔽主機防火牆”(screened host
firewall)的網絡級防火牆。在屏蔽主機防火牆中,對(duì)單個主機的訪問或從(cóng)單個主機進行訪問是通過運行在網絡級上(shàng)的路由器來(lái)控制的。這(zhè)台單個主機是一台橋頭堡主機(bastion host),是一個可以(希望如此)抵禦攻擊的高(gāo)度設防和(hé)保險的要塞。

  網絡級防火牆的例子:在這(zhè)個例子中,給出了(le)一種所謂“屏蔽子網防火牆”的網絡級防火牆。在屏蔽子網防火牆中,對(duì)網絡的訪問或從(cóng)這(zhè)個網絡中進行訪問是通過運行在網絡級上(shàng)的路由器來(lái)控制的。除了(le)它實際上(shàng)是由屏蔽主機組成的網絡外(wài),它與被屏蔽主機的作(zuò)用(yòng)相似。

  應用(yòng)級防火牆一般是運行代理(lǐ)服務器的主機,它不允許傳輸流在網絡之間直接傳輸,并對(duì)通過它的傳輸流進行記錄和(hé)審計(jì)。由于代理(lǐ)應用(yòng)程序是運行在防火牆上(shàng)的軟件部件,因此它處于實施記錄和(hé)訪問控制的理(lǐ)想位置。應用(yòng)級防火牆可以被用(yòng)作(zuò)網絡地址翻譯器,因爲傳輸流通過有效地屏蔽掉起始接入原址的應用(yòng)程序後,從(cóng)一“面”進來(lái),從(cóng)另一面出去。在某些(xiē)情況下(xià),設置了(le)應用(yòng)級防火牆後,可能(néng)會(huì)對(duì)性能(néng)造成影響,會(huì)使防火牆不太透明(míng)。早期的應用(yòng)級防火牆,如那些(xiē)利用(yòng)TIS防火牆工(gōng)具包構造的防火牆,對(duì)于最終用(yòng)戶不很(hěn)透明(míng),并需要對(duì)用(yòng)戶進行培訓。應用(yòng)級防火牆一般會(huì)提供更詳盡的審計(jì)報(bào)告,比網絡級防火牆實施更保守的安全模型。

  應用(yòng)級防火牆舉例:這(zhè)此例中,給出了(le)一個所謂“雙向本地網關”(dual homed gateway)的應用(yòng)級防火牆。雙向本地網關是一種運行代理(lǐ)軟件的高(gāo)度安全主機。它有兩個網絡接口,每個網絡上(shàng)有一個接口,攔阻通過它的所有傳輸流。

  防火牆未來(lái)的位置應當處于網絡級防火牆與應用(yòng)級防火牆之間的某一位置。網絡級防火牆可能(néng)對(duì)流經它們的信息越來(lái)越“了(le)解”(aware),而應用(yòng)級防火牆可能(néng)将變得更加“低(dī)級”和(hé)透明(míng)。最終的結果将是能(néng)夠對(duì)通過的數據流記錄和(hé)審計(jì)的快(kuài)速包屏蔽系統。越來(lái)越多的防火牆(網絡和(hé)應用(yòng)層)中都包含了(le)加密機制,使它們可以在Internet上(shàng)保護流經它們之間的傳輸流。具有端到(dào)端加密功能(néng)的防火牆可以被使用(yòng)多點Internet接入的機構所用(yòng),這(zhè)些(xiē)機構可以将Internet作(zuò)爲“專用(yòng)骨幹網”,無需擔心自(zì)己的數據或口令被偷看(kàn)。

  8.什(shén)麽是“單故障點”?應當如何避免出現(xiàn)這(zhè)種故障?

  安全性取決于一種機制的結構具有單故障點。運行橋頭堡主機的軟件存在錯誤。應用(yòng)程序存在錯誤。控制路由器的軟件存在錯誤。使用(yòng)所有這(zhè)些(xiē)組件建造設計(jì)安全的網絡,并以冗餘的方式使用(yòng)它們才有意義。

  如果你(nǐ)的防火牆結構是屏蔽子網,那麽,你(nǐ)有兩台包過濾路由器和(hé)一台橋頭堡主機。(參見本節的問題2)Internet訪問路由器不允許傳輸流從(cóng)Internet進入你(nǐ)的專用(yòng)網絡。然而,如果你(nǐ)不在橋頭堡主機以及(或)阻塞(choke)路由器上(shàng)與其它任何機制一道(dào)執行這(zhè)個規則(rule)的話(huà),那麽隻要這(zhè)種結構中的一個組件出現(xiàn)故障或遭到(dào)破壞就會(huì)使攻擊者進入防火牆内部。另一方面,如果你(nǐ)在橋頭堡主機上(shàng)具有冗餘規則,并在阻塞路由器上(shàng)也(yě)有冗餘規則,那麽攻擊者必須對(duì)付三種機制。

  此外(wài),如果這(zhè)台橋頭堡主機或阻塞路由器使用(yòng)規則來(lái)攔阻外(wài)部訪問進入内部網絡的話(huà),你(nǐ)可能(néng)需要讓它觸發某種報(bào)警,因爲你(nǐ)知(zhī)道(dào)有人進入了(le)你(nǐ)的訪問路由器。

  9.如何才能(néng)将所有的惡意的傳輸攔在外(wài)面?

  對(duì)于重點在于安全而非連接性的防火牆來(lái)說,你(nǐ)應當考慮缺省攔阻所有的傳輸,并且隻特别地根據具體情況允許你(nǐ)所需要的服務通過。

  如果你(nǐ)将除特定的服務集之外(wài)的所有東西都擋在外(wài)面,那麽你(nǐ)已經使你(nǐ)的任務變得很(hěn)容易了(le)。你(nǐ)無需再爲周圍的每樣産品和(hé)每件服務的各種安全問題擔心了(le),你(nǐ)隻需關注特定産品和(hé)服務存在的各種安全問題。:-)

  在啓動一項服務之前,你(nǐ)應當考慮下(xià)列問題:

    *這(zhè)個産品的協議(yì)是人們熟知(zhī)的公開(kāi)協議(yì)嗎?
   *爲這(zhè)個協議(yì)提供服務的應用(yòng)程序的應用(yòng)情況是否可供公開(kāi)檢查?
  *這(zhè)項服務和(hé)産品是否爲人們熟知(zhī)?
  *使用(yòng)這(zhè)項服務會(huì)怎樣改變防火牆的結構?攻擊者會(huì)從(cóng)不同的角度看(kàn)待這(zhè)些(xiē)嗎?攻擊者能(néng)利用(yòng)這(zhè)點進入我的内部網絡,或者會(huì)改變我的DMZ中主機上(shàng)的東西嗎?

  在考慮上(shàng)述問題時(shí),請(qǐng)記住下(xià)列忠告:

    *“不爲人所知(zhī)的安全性根本不安全。許多未公開(kāi)的協議(yì)都被那些(xiē)壞家夥研究并破解過。
   *無論營銷人員說些(xiē)什(shén)麽,不是所有的協議(yì)或服務在設計(jì)時(shí)考慮了(le)安全性。事(shì)實上(shàng),真正在設計(jì)時(shí)考慮了(le)安全性的協議(yì)或服務數量很(hěn)少。
   *甚至在考慮過安全性的情況下(xià),并不是所有的機構都擁有合格的負責安全的人員。在那些(xiē)沒有稱職負責安全的人員的機構中,不是所有的機構都願意請(qǐng)稱職的顧問參與工(gōng)程項目。這(zhè)樣做的結果是那些(xiē)其它方面還稱職的、好(hǎo)心腸的開(kāi)發者會(huì)設計(jì)出不安全的系統。
  *廠(chǎng)商越不願意告訴你(nǐ)他(tā)們系統的真正工(gōng)作(zuò)原理(lǐ),它就越有可能(néng)可存安全性(或其它)問題。隻有有什(shén)麽東西需要隐瞞的廠(chǎng)商才有理(lǐ)由隐瞞他(tā)們的設計(jì)和(hé)實施情況。

  10.有哪些(xiē)常見的攻擊?應當如何保護系統不受它們的攻擊呢(ne)?

  每個站(zhàn)點與其它站(zhàn)點遭受攻擊的類型都略有不同。但(dàn)仍有一些(xiē)共同之處。

  SMTP會(huì)話(huà)攻擊(SMTP Session Hijacking)

  在這(zhè)種攻擊中,垃圾郵件制造者将一條消息複制成千上(shàng)萬份,并按一個巨大(dà)的電子郵件地址清單發送這(zhè)條消息。由于這(zhè)些(xiē)地址清單常常很(hěn)糟糕,并且爲了(le)加快(kuài)垃圾制造者的操作(zuò)速度,許多垃圾制造者采取了(le)将他(tā)們所有的郵件都發送到(dào)一台SMTP服務器上(shàng)作(zuò)法,由這(zhè)台服務器負責實際發送這(zhè)些(xiē)郵件。

  當然,彈回(bounces)消息、對(duì)垃圾制造者的抱怨、咒罵的郵件和(hé)壞的PR都湧入了(le)曾被用(yòng)作(zuò)中繼站(zhàn)的站(zhàn)點。這(zhè)将着實要讓這(zhè)個站(zhàn)點破費一下(xià)了(le),其中大(dà)部分花(huā)費被用(yòng)到(dào)支付以後清除這(zhè)些(xiē)信息的人員費用(yòng)上(shàng)。

  《防止郵件濫用(yòng)系統傳輸安全性建議(yì)》(The Mail Abuse Prevention System Transport Security Initiative)中對(duì)這(zhè)個問題作(zuò)了(le)詳盡的叙述,以及如何對(duì)每個寄信人進行配置防止這(zhè)種攻擊。

利用(yòng)應用(yòng)程序中的錯誤(bugs)

不同版本的web服務器、郵件服務器和(hé)其它Internet服務軟件都存在各種錯誤,因此,遠程(Internet)用(yòng)戶可以利用(yòng)錯誤做從(cóng)造成對(duì)計(jì)算(suàn)機的控制到(dào)引起應用(yòng)程序癱瘓等各種後果。

  隻運行必要的服務、用(yòng)最新的補丁程序修補程序以及使用(yòng)應用(yòng)過一段時(shí)間的産品可以減少遭遇這(zhè)種風(fēng)險的可能(néng)。

  利用(yòng)操作(zuò)系統中的錯誤

  這(zhè)類攻擊一般也(yě)是由遠程用(yòng)戶發起的。相對(duì)于IP網絡較新的操作(zuò)系統更易出現(xiàn)問題,而很(hěn)成熟的操作(zuò)系統有充分的時(shí)間來(lái)發現(xiàn)和(hé)清除存在的錯誤。攻擊者經常可以使被攻擊的設備不斷重新引導、癱瘓、失去與網絡通信的能(néng)力,或替換計(jì)算(suàn)機上(shàng)的文(wén)件。

  因此,盡可能(néng)少地運行操作(zuò)系統服務可以有助于防範對(duì)系統的攻擊。此外(wài),在操作(zuò)系統前端安裝一個包過濾器也(yě)可以大(dà)大(dà)減少受這(zhè)類攻擊的次數。

  當然,選擇一個穩定的操作(zuò)系統也(yě)同樣會(huì)有幫助。在選擇操作(zuò)系統時(shí),不要輕信“好(hǎo)貨不便宜”這(zhè)類說法。自(zì)由軟件操作(zuò)系統常常比商用(yòng)操作(zuò)系統更強健。

  11.我必須滿足用(yòng)戶要求的各種要求嗎?

  對(duì)這(zhè)個問題的答(dá)案完全有可能(néng)是“不”。對(duì)于需要什(shén)麽,不需要什(shén)麽,每個站(zhàn)點都有自(zì)己的策略,但(dàn)是,重要的是記住作(zuò)爲一家機構的看(kàn)門(mén)人的主要工(gōng)作(zuò)之一是教育。用(yòng)戶需要流視(shì)頻、實時(shí)聊天,并要求能(néng)夠向請(qǐng)求在内部網絡上(shàng)的活數據庫進行交互查詢的外(wài)部客戶提供服務。

  這(zhè)意味着完成任何這(zhè)類事(shì)情都會(huì)給機構造成風(fēng)險,而造成的風(fēng)險往往比想像中沿着這(zhè)條路走下(xià)去的“價值”的回報(bào)更高(gāo)。多數用(yòng)戶不願使自(zì)己的機構遭受風(fēng)險。他(tā)們隻看(kàn)一看(kàn)商标,閱讀一下(xià)廣告,他(tā)們也(yě)願意做上(shàng)述那些(xiē)事(shì)。重要的是了(le)解用(yòng)戶真正想幹些(xiē)什(shén)麽,幫助他(tā)們懂得他(tā)們可以以更安全的方式實現(xiàn)他(tā)們的真正目的。

  你(nǐ)不會(huì)總受到(dào)歡迎,你(nǐ)可以甚至會(huì)發現(xiàn)自(zì)己收到(dào)了(le)難以置信愚蠢的命令,讓你(nǐ)做一些(xiē)諸如“打開(kāi)所有的口子”這(zhè)樣的事(shì),但(dàn)不要爲此擔心。在這(zhè)種時(shí)刻,明(míng)智的做法是将你(nǐ)的交換數據全都保存起來(lái),這(zhè)樣當一個十二歲的小(xiǎo)孩闖入網絡時(shí),你(nǐ)至少能(néng)夠使你(nǐ)自(zì)己遠離混亂局面。

  12.如何才能(néng)通過自(zì)己的防火牆運行Web/HTTP?

  有三種辦法做到(dào)這(zhè)點:

      1、如果你(nǐ)使用(yòng)屏蔽路由器的話(huà),允許“建立起的”連接經過路由器接入到(dào)防火牆外(wài)。

      2、使用(yòng)支持SOCKS的Web客戶機,并在你(nǐ)的橋頭堡主機上(shàng)運行SOCKS。

      3、運行橋頭堡主機上(shàng)的某種具有代理(lǐ)功能(néng)的Web服務器。一些(xiē)可供選擇的代理(lǐ)服務器包括Squid、Apache、Netscape Proxy和(hé)TIS防火牆工(gōng)具包中的http-gw。這(zhè)些(xiē)選件中的多數還可以代理(lǐ)其它協議(yì)(如gopher和(hé)ftp),并可緩存捕獲的對(duì)象。後者一般會(huì)提高(gāo)用(yòng)戶的性能(néng),使你(nǐ)能(néng)更有效地使用(yòng)到(dào)Internet的連接。基本上(shàng)所有的Web客戶機(Mozilla、Internet Explorer、Lynx等等)都具有内置的對(duì)代理(lǐ)服務器的支持。

  13.在使用(yòng)防火牆時(shí),怎樣使用(yòng)DNS呢(ne)?

  一些(xiē)機構想隐藏DNS名,不讓外(wài)界知(zhī)道(dào)。許多專家認爲隐藏DNS名沒有什(shén)麽價值,但(dàn)是,如果站(zhàn)點或企業的政策強制要求隐藏域名,它也(yě)不失爲一種已知(zhī)可行的辦法。你(nǐ)可能(néng)必須隐藏域名的另一條理(lǐ)由是你(nǐ)的内部網絡上(shàng)是否有非标準的尋址方案。不要自(zì)欺欺人的認爲,如果隐藏了(le)你(nǐ)的DNS名,在攻擊者打入你(nǐ)的防火牆時(shí),會(huì)給攻擊者增加困難。有關你(nǐ)的網絡的信息可以很(hěn)容易地從(cóng)網絡層獲得。假如你(nǐ)有興趣證實這(zhè)點的話(huà),不妨在LAN上(shàng)“ping”一下(xià)子網廣播地址,然後再執行“arp -a”。還需要說明(míng)的是,隐藏DNS中的域名不能(néng)解決從(cóng)郵件頭、新聞文(wén)章等中“洩露”主機名的問題。

  這(zhè)種方法是許多方法中的一個,它對(duì)于希望向Internet隐瞞自(zì)己的主機名的機構很(hěn)有用(yòng)。這(zhè)種辦法的成功取決于這(zhè)樣一個事(shì)實:即一台機器上(shàng)的DNS客戶機不必與在同一台機器上(shàng)的DNS服務器對(duì)話(huà)。換句話(huà)說,正是由于在一台機器上(shàng)有一個DNS服務器,因此,将這(zhè)部機器的DNS客戶機活動重定向到(dào)另一台機器上(shàng)的DNS服務器沒有任何不妥(并且經常有好(hǎo)處)。

  首先,你(nǐ)在可以與外(wài)部世界通信的橋頭堡主機上(shàng)建立DNS服務器。你(nǐ)建立這(zhè)台服務器使它宣布對(duì)你(nǐ)的域名具有訪問的權力。事(shì)實上(shàng),這(zhè)台服務器所了(le)解的就是你(nǐ)想讓外(wài)部世界所了(le)解的:你(nǐ)網關的名稱和(hé)地址、你(nǐ)的通配符MX記錄等等。這(zhè)台服務器就是“公共”服務器。

  然後,在内部機器上(shàng)建立一台DNS服務器。這(zhè)台服務器也(yě)宣布對(duì)你(nǐ)的域名具有權力;與公共服務器不同,這(zhè)台服務器“講的是真話(huà)”。它是你(nǐ)的“正常”的命名服務器,你(nǐ)可以在這(zhè)台服務器中放(fàng)入你(nǐ)所有的“正常”DNS名。你(nǐ)再設置這(zhè)台服務器,使它可以将它不能(néng)解決的查詢轉發到(dào)公共服務器(例如,使用(yòng)Unix機上(shàng)的/etc/
named.boot中的“轉發器”行(forwarder line))。

  最後,設置你(nǐ)所有的DNS客戶機(例如,Unix機上(shàng)的/etc/resolv.conf文(wén)件)使用(yòng)内部服務器,這(zhè)些(xiē)DNS客戶機包括公共服務器所在機器上(shàng)的DNS客戶機。這(zhè)是關鍵。

  詢問有關一台内部主機信息的内部客戶機向内部服務器提出問題,并得到(dào)回答(dá);詢問有關一部外(wài)部主機信息的内部客戶機向内部服務器查詢,内部客戶機再向公共服務器進行查詢,公共服務器再向Internet查詢,然後将得到(dào)的答(dá)案再一步一步傳回來(lái)。公共服務器上(shàng)的客戶機也(yě)以相同的方式工(gōng)作(zuò)。但(dàn)是,一台詢問關于一台内部主機信息的外(wài)部客戶機,隻能(néng)從(cóng)公共服務器上(shàng)得到(dào)“限制性”的答(dá)案。

  這(zhè)種方式假定在這(zhè)兩台服務器之間有一個包過濾防火牆,這(zhè)個防火牆允許服務器相互傳遞DNS,但(dàn)除此之外(wài),限制其它主機之間的DNS。

  這(zhè)種方式中的另一項有用(yòng)的技巧是利用(yòng)你(nǐ)的IN-ADDR.AROA域名中通配符PTR記錄。這(zhè)将引起對(duì)任何非公共主機的“地址到(dào)名稱”(address-to-name)的查找返回像“unknown.YOUR.DOMAIN”這(zhè)樣的信息,而非返回一個錯誤。這(zhè)就滿足了(le)像ftp.uu.net匿名FTP站(zhàn)點的要求。這(zhè)類站(zhàn)點要求得到(dào)與它們通信的計(jì)算(suàn)機的名字。當與進行DNS交叉檢查的站(zhàn)點通信時(shí),這(zhè)種方法就不靈了(le)。在交叉檢查中,主機名要與它的地址匹配,地址也(yě)要與主機名匹配。

  14.怎樣才能(néng)穿過防火牆使用(yòng)FTP?

  一般來(lái)說,可以通過使用(yòng)像防火牆工(gōng)具包中的ftp-gw這(zhè)類代理(lǐ)服務器,或在有限的端口範圍允許接入連接到(dào)網絡上(shàng)(利用(yòng)如“建立的”屏蔽規則這(zhè)樣的規則來(lái)限制除上(shàng)述端口外(wài)的接入),使FTP可以穿過防火牆工(gōng)作(zuò)。然後,修改FTP客戶機,使其将數據端口連接在允許端口範圍内的一個端口上(shàng)。這(zhè)樣做需要能(néng)夠修改在内部主機上(shàng)的
FTP客戶機應用(yòng)。
在某些(xiē)情況下(xià),如果FTP的下(xià)載是你(nǐ)所希望支持的,你(nǐ)不妨考慮宣布FTP爲“死協議(yì)”(dead protocol),并且讓戶通過Web下(xià)載文(wén)件。如果你(nǐ)選擇FTP-via-Web方式,用(yòng)戶将不能(néng)使用(yòng)FTP向外(wài)傳輸文(wén)件,這(zhè)可能(néng)會(huì)造成問題,不過這(zhè)取決你(nǐ)試圖完成什(shén)麽。

  另一個不同的辦法是使用(yòng)FTP "PASV"選項來(lái)指示遠程FTP服務器允許客戶機開(kāi)始連接。PASV方式假設遠程系統上(shàng)的FTP服務器支持這(zhè)種操作(zuò)。(詳細說明(míng)請(qǐng)參看(kàn)RFC1579)

  另一些(xiē)站(zhàn)點偏愛建立根據SOCKS庫鏈接的FTP程序的客戶機版本。

  15.怎樣才能(néng)穿過防火牆使用(yòng)telnet?

利用(yòng)像防火牆工(gōng)具包中的tn-gw這(zhè)類應用(yòng)代理(lǐ),或簡單地配置一台路由器使它利用(yòng)像“建立的”屏蔽規則等策略允許接出,一般都可以支持使用(yòng)telnet。應用(yòng)代理(lǐ)可以以運行在橋頭堡主機上(shàng)的獨立代理(lǐ)的形式,或以SOCKS服務器和(hé)修改的客戶機的形式存在。

  16.怎樣才能(néng)穿過防火牆使用(yòng)RealAudio?

  RealNetworks中含有關于如何使穿過防火牆RealAudio的一些(xiē)說明(míng)。在沒有清楚地了(le)解做哪些(xiē)改動,了(le)解新的改動将帶來(lái)什(shén)麽樣的風(fēng)險的情況下(xià),就改動你(nǐ)的防火牆,是很(hěn)不明(míng)智的。

  17.如何才能(néng)使web服務器作(zuò)爲專用(yòng)網絡上(shàng)的一個數據庫的前端呢(ne)?

  實現(xiàn)這(zhè)點的最佳途徑是通過特定的協議(yì)在web服務器與數據庫服務器之間允許很(hěn)有限的連接。特定的協議(yì)隻支持你(nǐ)将使用(yòng)的功能(néng)的級别。允許原始SQL或其它任何可爲攻擊者利用(yòng)來(lái)進行定制提取(extractions)的東西,一般來(lái)說不是一個好(hǎo)主意。

  假設攻擊者能(néng)夠進入你(nǐ)的web服務器,并以web服務器同樣的方式進行查詢。難道(dào)沒有一種機制能(néng)提取web服務器不需要的像信用(yòng)卡信息這(zhè)樣的敏感信息嗎?攻擊者難道(dào)不能(néng)發出一次SQL選擇,然後提取你(nǐ)整個的專用(yòng)數據庫嗎?

  同其它所有應用(yòng)一樣,“電子商務”應用(yòng)從(cóng)一開(kāi)始設計(jì)時(shí)就充分考慮到(dào)了(le)安全問題,而不是以後再想起來(lái)“增加”安全性。應當從(cóng)一個攻擊者的角度,嚴格審查你(nǐ)的結構。假設攻擊者了(le)解你(nǐ)的結構的每一個細節。現(xiàn)在,再問問自(zì)己,想要竊取你(nǐ)的數據、進行非授權的改動或做其它任何你(nǐ)不想讓做的事(shì)的話(huà),應當做些(xiē)什(shén)麽。你(nǐ)可能(néng)會(huì)發現(xiàn),不需要增加任何功能(néng),隻需做出一些(xiē)設計(jì)和(hé)實施上(shàng)的決策就可大(dà)大(dà)地增加安全性。

  下(xià)面是一些(xiē)如何做到(dào)這(zhè)點的想法:

  以一般的原則,從(cóng)數據庫中提取你(nǐ)所需要的數據,使你(nǐ)不用(yòng)對(duì)包含攻擊者感興趣的信息的整個數據庫進行查詢。對(duì)你(nǐ)允許在web服務器與數據庫之間傳輸流實行嚴格的限制和(hé)審計(jì)。

上(shàng)一條 返回列表
下(xià)一條 服務器使用(yòng)寶典

本文(wén)标簽:

咨詢熱線

022-58900196