1.什么是防火墻?
防火墻是一個(gè)或一組系統(tǒng)�,它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。防火墻的實(shí)際方式各不相同,但是在原則上��,防火墻可以被認(rèn)為是這樣一對(duì)機(jī)制:一種機(jī)制是攔阻傳輸流通行�,另一種機(jī)制是允許傳輸流通過。一些防火墻偏重?cái)r阻傳輸流的通行,而另一些防火墻則偏重允許傳輸流通過�。了解有關(guān)防火墻的最重要的概念可能就是它實(shí)現(xiàn)了一種訪問控制策略����。如果你不太清楚你需要允許或否決那類訪問�,你可以讓其他人或某些產(chǎn)品根據(jù)他(它)們認(rèn)為應(yīng)當(dāng)做的事來配置防火墻,然后他(它)們會(huì)為你的機(jī)構(gòu)全面地制定訪問策略�。
2.為何需要防火墻����?
同其它任何社會(huì)一樣��,Internet也受到某些無聊之人的困擾��,這些人喜愛在網(wǎng)上做這類的事,像在現(xiàn)實(shí)中向其他人的墻上噴染涂鴉、將他人的郵箱推倒或者坐在大街上按汽車?yán)纫粯�。一些人試圖通過Internet完成一些真正的工作����,而另一些人則擁有敏感或?qū)S袛?shù)據(jù)需要保護(hù)��。一般來說�,防火墻的目是將那些無聊之人擋在你的網(wǎng)絡(luò)之外����,同時(shí)使你仍可以完成工作。
許多傳統(tǒng)風(fēng)格的企業(yè)和數(shù)據(jù)中心都制定了計(jì)算安全策略和必須遵守的慣例。在一家公司的安全策略規(guī)定數(shù)據(jù)必須被保護(hù)的情況下�,防火墻更顯得十分重要��,因?yàn)樗沁@家企業(yè)安全策略的具體體現(xiàn)。如果你的公司是一家大企業(yè),連接到Internet上的最難做的工作經(jīng)常不是費(fèi)用或所需做的工作�,而是讓管理層信服上網(wǎng)是安全的�。防火墻不僅提供了真正的安全性����,而且還起到了為管理層蓋上一條安全的毯子的重要作用����。
最后,防火墻可以發(fā)揮你的企業(yè)駐Internet“大使”的作用。許多企業(yè)利用其防火墻系統(tǒng)作為保存有關(guān)企業(yè)產(chǎn)品和服務(wù)的公開信息、下載文件、錯(cuò)誤修補(bǔ)以及其它一些文件的場(chǎng)所。這些系統(tǒng)當(dāng)中的幾種系統(tǒng)已經(jīng)成為Internet服務(wù)結(jié)構(gòu)(如whitehouse.gov)的重要組成部分��,并且給這些機(jī)構(gòu)的贊助者帶來了良好的影響����。
3.防火墻可以防范什么?
一些防火墻只允許電子郵件通過,因而保護(hù)了網(wǎng)絡(luò)免受除對(duì)電子郵件服務(wù)攻擊之外的任何攻擊����。另一些防火墻提供不太嚴(yán)格的保護(hù)措施����,并且攔阻一些眾所周知存在問題的服務(wù)。
一般來說,防火墻在配置上是防止來自“外部”世界未經(jīng)授權(quán)的交互式登錄的����。這大大有助于防止破壞者登錄到你網(wǎng)絡(luò)中的計(jì)算機(jī)上�。一些設(shè)計(jì)更為精巧的防火墻可以防止來自外部的傳輸流進(jìn)入內(nèi)部��,但又允許內(nèi)部的用戶可以自由地與外部通信��。如果你切斷防火墻的話,它可以保護(hù)你免受網(wǎng)絡(luò)上任何類型的攻擊。
防火墻的另一個(gè)非常重要的特性是可以提供一個(gè)單獨(dú)的“攔阻點(diǎn)”,在“攔阻點(diǎn)”上設(shè)置安全和審計(jì)檢查。與計(jì)算機(jī)系統(tǒng)正受到某些人利用調(diào)制解調(diào)器撥入攻擊的情況不同,防火墻可以發(fā)揮一種有效的“電話監(jiān)聽”(Phone tap)和跟蹤工具的作用。防火墻提供了一種重要的記錄和審計(jì)功能;它們經(jīng)常可以向管理員提供一些情況概要����,提供有關(guān)通過防火墻的傳流輸?shù)念愋秃蛿?shù)量以及有多少次試圖闖入防火墻的企圖等等信息��。
4.防火墻不能防范什么?
防火墻不能防范不經(jīng)過防火墻的攻擊。許多接入到Internet的企業(yè)對(duì)通過接入路線造成公司專用數(shù)據(jù)數(shù)據(jù)泄露非常擔(dān)心。不幸得是����,對(duì)于這些擔(dān)心來說,一盤磁帶可以被很有效地用來泄露數(shù)據(jù)�。許多機(jī)構(gòu)的管理層對(duì)Internet接入非����?謶�,它們對(duì)應(yīng)當(dāng)如何保護(hù)通過調(diào)制解調(diào)器撥號(hào)訪問沒有連慣的政策。當(dāng)你住在一所木屋中��,卻安裝了一扇六英尺厚的鋼門����,會(huì)被認(rèn)為很愚蠢。然而�,有許多機(jī)構(gòu)購(gòu)買了價(jià)格昂貴的防火墻�,但卻忽視了通往其網(wǎng)絡(luò)中的其它幾扇后門�。要使防火墻發(fā)揮作用,防火墻就必須成為整個(gè)機(jī)構(gòu)安全架構(gòu)中不可分割的一部分�。防火墻的策略必須現(xiàn)實(shí)�,能夠反映出整個(gè)網(wǎng)絡(luò)安全的水平�。例如,公司財(cái)務(wù)的電腦根本不需要防火墻��,因?yàn)樗静粦?yīng)當(dāng)被接入到Internet上��,甚至很多規(guī)范的公司會(huì)把財(cái)務(wù)電腦與其余網(wǎng)絡(luò)隔離開����。防火墻不能真正保護(hù)你的另一種危險(xiǎn)是你網(wǎng)絡(luò)內(nèi)部的叛變者或白癡�。盡管一個(gè)工業(yè)間諜可以通過防火墻傳送信息,但他更有可能利用電話�、傳真機(jī)或U盤來傳送信息��。U盤遠(yuǎn)比防火墻更有可能成為泄露你機(jī)構(gòu)秘密的媒介!防火墻同樣不能保護(hù)你避免愚蠢行為的發(fā)生����。通過電話泄露敏感信息的用戶是攻擊者的好目標(biāo)�;如果攻擊者能找到內(nèi)部的一個(gè)“對(duì)他有幫助”的雇員�,通過欺騙他進(jìn)入調(diào)制解調(diào)器池,攻擊者可能會(huì)完全繞過防火墻打入你的網(wǎng)絡(luò)����。
5.防火墻能否防止病毒的攻擊?
防火墻不能有效地防范像病毒這類東西的入侵����。在網(wǎng)絡(luò)上傳輸二進(jìn)制文件的編碼方式太多了����,并且有太多的不同的結(jié)構(gòu)和病毒�,因此不可能查找所有的病毒。換句話說����,防火墻不可能將安全意識(shí)交給用戶一方��。總之�,防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)的攻擊:即通過將某種東西郵寄或拷貝到內(nèi)部主機(jī)中�,然后它再在內(nèi)部主機(jī)中運(yùn)行的攻擊����。過去曾發(fā)生過對(duì)不同版本的郵件寄送程序和ghost腳本和免費(fèi) 閱讀器的這類攻擊。對(duì)病毒十分憂慮的機(jī)構(gòu)應(yīng)當(dāng)在整個(gè)機(jī)構(gòu)范圍內(nèi)采取病毒控制措施��。不要試圖將病毒擋在防火墻之外��,而是保證每個(gè)電腦都安裝上防病毒軟件�,只要一引導(dǎo)計(jì)算機(jī)就對(duì)病毒進(jìn)行掃描。利用病毒掃描軟件防護(hù)你的網(wǎng)絡(luò)將可以防止通過U盤��、調(diào)制解調(diào)器和Internet傳播的病毒的攻擊�。試圖御病毒于防火墻之外只能防止來自Internet的病毒,而絕大多數(shù)病毒是通過U盤傳染上的����。
盡管如此����,還是有越來越多的防火墻廠商正提供“病毒探測(cè)”防火墻��。這類防火墻只對(duì)那種毫無經(jīng)驗(yàn)的用戶有用。不要指望這種特性能夠?qū)羝鸬饺魏畏婪蹲饔谩?nbsp;
6.在防火墻設(shè)計(jì)中需要做哪些基本設(shè)計(jì)決策�?
在負(fù)責(zé)防火墻的設(shè)計(jì)����、制定工程計(jì)劃以及實(shí)施或監(jiān)督安裝的幸運(yùn)兒面前����,有許多基本設(shè)計(jì)問題等著他去解決。
首先����,最重要的問題是��,它應(yīng)體現(xiàn)你的公司或機(jī)構(gòu)打算如何運(yùn)行這個(gè)系統(tǒng)的策略:安裝后的防火墻是為了明確地拒絕除對(duì)于連接到網(wǎng)絡(luò)至關(guān)重的服務(wù)之外的所有服務(wù),或者,安裝就緒的防火墻是為以非威脅方式對(duì)“魚貫而入”的訪問提供一種計(jì)量和審計(jì)的方法����。在這些選擇中存在著某種程度的偏執(zhí)狂�;防火墻的最終功能可能將是行政上的結(jié)果��,而非工程上的決策����。
第二個(gè)問題是:你需要何種程度的監(jiān)視��、冗余度以及控制水平�?通過解決第一個(gè)問題��,確定了可接受的風(fēng)險(xiǎn)水平(例如你的偏執(zhí)到何種程度)后��,你可以列出一個(gè)必須監(jiān)測(cè)什么傳輸、必須允許什么傳輸流通行以及應(yīng)當(dāng)拒絕什么傳輸?shù)那鍐����。換句話說�,你開始時(shí)先列出你的總體目標(biāo)�,然后把需求分析與風(fēng)險(xiǎn)評(píng)估結(jié)合在一起����,挑出與風(fēng)險(xiǎn)始終對(duì)立的需求,加入到計(jì)劃完成的工作的清單中����。
第三個(gè)問題是財(cái)務(wù)上的問題����。在此��,我們只能以模糊的表達(dá)方式論述這個(gè)問題�,但是����,試圖以購(gòu)買或?qū)嵤┙鉀Q方案的費(fèi)用多少來量化提出的解決方案十分重要。例如��,一個(gè)完整的防火墻的高端產(chǎn)品可能價(jià)值幾十萬����,而低端產(chǎn)品可能是免費(fèi)的。像在華為或類似的路由器上做一些奇妙的配置這類免費(fèi)選擇不會(huì)花你一分錢����,只需要工作人員的時(shí)間����。從頭建立一個(gè)高端防火墻可能需要幾個(gè)人工月,它可能等于價(jià)值3萬元的工作人員工資。系統(tǒng)管理開銷也是需要考慮的問題。建立自行開發(fā)的防火墻固然很好��,但重要的是使建立的防火墻不需要費(fèi)用高昂的不斷干預(yù)��。換句話說��,在評(píng)估防火墻時(shí)����,重要的是不僅要以防火墻目前的費(fèi)用來評(píng)估它,而且要考慮到像支持服務(wù)這類后續(xù)費(fèi)用�。
出于實(shí)用目的����,我們目前談?wù)摰氖蔷W(wǎng)絡(luò)服務(wù)提供商提供的路由器與你內(nèi)部網(wǎng)絡(luò)之間存在的靜態(tài)傳輸流路由服務(wù)��,因此基于為一事實(shí)����,在技術(shù)上�,還需要做出幾項(xiàng)決策。傳輸流路由服務(wù)可以通過諸如路由器中的過濾規(guī)則在IP層實(shí)現(xiàn)��,或通過代理網(wǎng)關(guān)和服務(wù)在應(yīng)用層實(shí)現(xiàn)�。需要做出的決定是,是否將暴露的簡(jiǎn)易機(jī)放置在外部網(wǎng)絡(luò)上為telnet����、ftp�、news等運(yùn)行代理服務(wù)����,或是否設(shè)置像過濾器這樣的屏蔽路由器,允許與一臺(tái)或多臺(tái)內(nèi)部計(jì)算機(jī)的通信�。這兩種方式都存在著優(yōu)缺點(diǎn)��,代理機(jī)可以提供更高水平的審計(jì)和潛在的安全性,但代價(jià)是配置費(fèi)用的增加����,以及可能提供的服務(wù)水平的降低(由于代理機(jī)需要針對(duì)每種需要的服務(wù)進(jìn)行開發(fā))�。由來以久的易使性與安全性之間的平衡問題再次死死地困擾著我們����。
7.防火墻的基本類型
在概念上�,有兩種類型的防火墻:
1、網(wǎng)絡(luò)級(jí)防火墻
2����、應(yīng)用級(jí)防火墻
這兩種類型的差異并不像你想像得那樣大�,最新的技術(shù)模糊了兩者之間的區(qū)別����,使哪個(gè)“更好”或“更壞”不再那么明顯。同以往一樣,你需要謹(jǐn)慎選擇滿足你需要的防火墻類型。
網(wǎng)絡(luò)級(jí)防火墻一般根據(jù)源、目的地址做出決策�,輸入單個(gè)的IP包��。一臺(tái)簡(jiǎn)單的路由器是“傳統(tǒng)的”網(wǎng)絡(luò)級(jí)防火墻,因?yàn)樗荒茏龀鰪?fù)雜的決策,不能判斷出一個(gè)包的實(shí)際含意或包的實(shí)際出處��,F(xiàn)代網(wǎng)絡(luò)級(jí)防火墻已變得越來越復(fù)雜�,可以保持流經(jīng)它的接入狀態(tài)、一些數(shù)據(jù)流的內(nèi)容等等有關(guān)信息。許多網(wǎng)絡(luò)級(jí)防火墻之間的一個(gè)重要差別是防火墻可以使傳輸流直接通過,因此要使用這樣的防火墻通常需要分配有效的IP地址塊����。網(wǎng)絡(luò)級(jí)防火墻一般速度都很快�,對(duì)用戶很透明����。
網(wǎng)絡(luò)級(jí)防火墻的例子:在這個(gè)例子中,給出了一種稱為“屏蔽主機(jī)防火墻”(screened hostfirewall)的網(wǎng)絡(luò)級(jí)防火墻����。在屏蔽主機(jī)防火墻中����,對(duì)單個(gè)主機(jī)的訪問或從單個(gè)主機(jī)進(jìn)行訪問是通過運(yùn)行在網(wǎng)絡(luò)級(jí)上的路由器來控制的����。這臺(tái)單個(gè)主機(jī)是一臺(tái)橋頭堡主機(jī)(bastion host),是一個(gè)可以(希望如此)抵御攻擊的高度設(shè)防和保險(xiǎn)的要塞。
網(wǎng)絡(luò)級(jí)防火墻的例子:在這個(gè)例子中,給出了一種所謂“屏蔽子網(wǎng)防火墻”的網(wǎng)絡(luò)級(jí)防火墻��。在屏蔽子網(wǎng)防火墻中��,對(duì)網(wǎng)絡(luò)的訪問或從這個(gè)網(wǎng)絡(luò)中進(jìn)行訪問是通過運(yùn)行在網(wǎng)絡(luò)級(jí)上的路由器來控制的����。除了它實(shí)際上是由屏蔽主機(jī)組成的網(wǎng)絡(luò)外����,它與被屏蔽主機(jī)的作用相似。
應(yīng)用級(jí)防火墻一般是運(yùn)行代理服務(wù)器的主機(jī),它不允許傳輸流在網(wǎng)絡(luò)之間直接傳輸,并對(duì)通過它的傳輸流進(jìn)行記錄和審計(jì)��。由于代理應(yīng)用程序是運(yùn)行在防火墻上的軟件部件����,因此它處于實(shí)施記錄和訪問控制的理想位置。應(yīng)用級(jí)防火墻可以被用作網(wǎng)絡(luò)地址翻譯器��,因?yàn)閭鬏斄魍ㄟ^有效地屏蔽掉起始接入原址的應(yīng)用程序后��,從一“面”進(jìn)來����,從另一面出去�。在某些情況下,設(shè)置了應(yīng)用級(jí)防火墻后,可能會(huì)對(duì)性能造成影響,會(huì)使防火墻不太透明����。早期的應(yīng)用級(jí)防火墻��,如那些利用 TIS防火墻工具包構(gòu)造的防火墻,對(duì)于最終用戶不很透明,并需要對(duì)用戶進(jìn)行培訓(xùn)。應(yīng)用級(jí)防火墻一般會(huì)提供更詳盡的審計(jì)報(bào)告,比網(wǎng)絡(luò)級(jí)防火墻實(shí)施更保守的安全模型�。
應(yīng)用級(jí)防火墻舉例:這此例中����,給出了一個(gè)所謂“雙向本地網(wǎng)關(guān)”(dual homed gateway)的應(yīng)用級(jí)防火墻��。雙向本地網(wǎng)關(guān)是一種運(yùn)行代理軟件的高度安全主機(jī)。它有兩個(gè)網(wǎng)絡(luò)接口��,每個(gè)網(wǎng)絡(luò)上有一個(gè)接口�,攔阻通過它的所有傳輸流。
防火墻未來的位置應(yīng)當(dāng)處于網(wǎng)絡(luò)級(jí)防火墻與應(yīng)用級(jí)防火墻之間的某一位置�。網(wǎng)絡(luò)級(jí)防火墻可能對(duì)流經(jīng)它們的信息越來越“了解”(aware)�,而應(yīng)用級(jí)防火墻可能將變得更加“低級(jí)”和透明����。最終的結(jié)果將是能夠?qū)νㄟ^的數(shù)據(jù)流記錄和審計(jì)的快速包屏蔽系統(tǒng)。越來越多的防火墻(網(wǎng)絡(luò)和應(yīng)用層)中都包含了加密機(jī)制����,使它們可以在Internet上保護(hù)流經(jīng)它們之間的傳輸流�。具有端到端加密功能的防火墻可以被使用多點(diǎn)Internet接入的機(jī)構(gòu)所用�,這些機(jī)構(gòu)可以將Internet作為“專用骨干網(wǎng)”,無需擔(dān)心自己的數(shù)據(jù)或口令被偷看。
8.什么是“單故障點(diǎn)”?應(yīng)當(dāng)如何避免出現(xiàn)這種故障��?
安全性取決于一種機(jī)制的結(jié)構(gòu)具有單故障點(diǎn)����。運(yùn)行橋頭堡主機(jī)的軟件存在錯(cuò)誤。應(yīng)用程序存在錯(cuò)誤���?刂坡酚善鞯能浖嬖阱e(cuò)誤。使用所有這些組件建造設(shè)計(jì)安全的網(wǎng)絡(luò)�,并以冗余的方式使用它們才有意義�。
如果你的防火墻結(jié)構(gòu)是屏蔽子網(wǎng)����,那么,你有兩臺(tái)包過濾路由器和一臺(tái)橋頭堡主機(jī)�。(參見本節(jié)的問題2)Internet訪問路由器不允許傳輸流從Internet進(jìn)入你的專用網(wǎng)絡(luò)�。然而����,如果你不在橋頭堡主機(jī)以及(或)阻塞(choke)路由器上與其它任何機(jī)制一道執(zhí)行這個(gè)規(guī)則(rule)的話,那么只要這種結(jié)構(gòu)中的一個(gè)組件出現(xiàn)故障或遭到破壞就會(huì)使攻擊者進(jìn)入防火墻內(nèi)部��。另一方面����,如果你在橋頭堡主機(jī)上具有冗余規(guī)則�,并在阻塞路由器上也有冗余規(guī)則,那么攻擊者必須對(duì)付三種機(jī)制����。
此外��,如果這臺(tái)橋頭堡主機(jī)或阻塞路由器使用規(guī)則來攔阻外部訪問進(jìn)入內(nèi)部網(wǎng)絡(luò)的話�,你可能需要讓它觸發(fā)某種報(bào)警����,因?yàn)槟阒烙腥诉M(jìn)入了你的訪問路由器。
9.如何才能將所有的惡意的傳輸攔在外面�?
對(duì)于重點(diǎn)在于安全而非連接性的防火墻來說����,你應(yīng)當(dāng)考慮缺省攔阻所有的傳輸�,并且只特別地根據(jù)具體情況允許你所需要的服務(wù)通過。
如果你將除特定的服務(wù)集之外的所有東西都擋在外面�,那么你已經(jīng)使你的任務(wù)變得很容易了�。你無需再為周圍的每樣產(chǎn)品和每件服務(wù)的各種安全問題擔(dān)心了����,你只需關(guān)注特定產(chǎn)品和服務(wù)存在的各種安全問題。
在啟動(dòng)一項(xiàng)服務(wù)之前�,你應(yīng)當(dāng)考慮下列問題:*這個(gè)產(chǎn)品的協(xié)議是人們熟知的公開協(xié)議嗎��?*為這個(gè)協(xié)議提供服務(wù)的應(yīng)用程序的應(yīng)用情況是否可供公開檢查?*這項(xiàng)服務(wù)和產(chǎn)品是否為人們熟知����?*使用這項(xiàng)服務(wù)會(huì)怎樣改變防火墻的結(jié)構(gòu)����?攻擊者會(huì)從不同的角度看待這些嗎�?攻擊者能利用這點(diǎn)進(jìn)入我的內(nèi)部網(wǎng)絡(luò)��,或者會(huì)改變我的DMZ中主機(jī)上的東西嗎����?
在考慮上述問題時(shí)����,請(qǐng)記住下列忠告:*“不為人所知的安全性根本不安全。許多未公開的協(xié)議都被那些壞家伙研究并破解過�。*無論營(yíng)銷人員說些什么�,不是所有的協(xié)議或服務(wù)在設(shè)計(jì)時(shí)考慮了安全性��。事實(shí)上��,真正在設(shè)計(jì)時(shí)考慮了安全性的協(xié)議或服務(wù)數(shù)量很少。*甚至在考慮過安全性的情況下��,并不是所有的機(jī)構(gòu)都擁有合格的負(fù)責(zé)安全的人員�。在那些沒有稱職負(fù)責(zé)安全的人員的機(jī)構(gòu)中,不是所有的機(jī)構(gòu)都愿意請(qǐng)稱職的顧問參與工程項(xiàng)目��。這樣做的結(jié)果是那些其它方面還稱職的�、好心腸的開發(fā)者會(huì)設(shè)計(jì)出不安全的系統(tǒng)。*廠商越不愿意告訴你他們系統(tǒng)的真正工作原理�,它就越有可能可存安全性(或其它)問題����。只有有什么東西需要隱瞞的廠商才有理由隱瞞他們的設(shè)計(jì)和實(shí)施情況����。
10.有哪些常見的攻擊?應(yīng)當(dāng)如何保護(hù)系統(tǒng)不受它們的攻擊呢?
每個(gè)站點(diǎn)與其它站點(diǎn)遭受攻擊的類型都略有不同��。但仍有一些共同之處�。SMTP會(huì)話攻擊(SMTP Session Hijacking)在這種攻擊中,垃圾郵件制造者將一條消息復(fù)制成千上萬份,并按一個(gè)巨大的電子郵件地址清單發(fā)送這條消息�。由于這些地址清單常常很糟糕��,并且為了加快垃圾制造者的操作速度,許多垃圾制造者采取了將他們所有的郵件都發(fā)送到一臺(tái)SMTP服務(wù)器上作法,由這臺(tái)服務(wù)器負(fù)責(zé)實(shí)際發(fā)送這些郵件。
當(dāng)然��,彈回(bounces)消息����、對(duì)垃圾制造者的抱怨�、咒罵的郵件和壞的PR都涌入了曾被用作中繼站的站點(diǎn)。這將著實(shí)要讓這個(gè)站點(diǎn)破費(fèi)一下了,其中大部分花費(fèi)被用到支付以后清除這些信息的人員費(fèi)用上����。
《防止郵件濫用系統(tǒng)傳輸安全性建議》(The Mail Abuse Prevention System Transport Security Initiative)中對(duì)這個(gè)問題作了詳盡的敘述�,以及如何對(duì)每個(gè)寄信人進(jìn)行配置防止這種攻擊�。利用應(yīng)用程序中的錯(cuò)誤(bugs)不同版本的web服務(wù)器、郵件服務(wù)器和其它 Internet服務(wù)軟件都存在各種錯(cuò)誤,因此����,遠(yuǎn)程(Internet)用戶可以利用錯(cuò)誤做從造成對(duì)計(jì)算機(jī)的控制到引起應(yīng)用程序癱瘓等各種后果��。
只運(yùn)行必要的服務(wù)��、用最新的補(bǔ)丁程序修補(bǔ)程序以及使用應(yīng)用過一段時(shí)間的產(chǎn)品可以減少遭遇這種風(fēng)險(xiǎn)的可能。利用操作系統(tǒng)中的錯(cuò)誤這類攻擊一般也是由遠(yuǎn)程用戶發(fā)起的。相對(duì)于IP網(wǎng)絡(luò)較新的操作系統(tǒng)更易出現(xiàn)問題��,而很成熟的操作系統(tǒng)有充分的時(shí)間來發(fā)現(xiàn)和清除存在的錯(cuò)誤��。攻擊者經(jīng)��?梢允贡还舻脑O(shè)備不斷重新引導(dǎo)、癱瘓、失去與網(wǎng)絡(luò)通信的能力,或替換計(jì)算機(jī)上的文件。
因此,盡可能少地運(yùn)行操作系統(tǒng)服務(wù)可以有助于防范對(duì)系統(tǒng)的攻擊。此外,在操作系統(tǒng)前端安裝一個(gè)包過濾器也可以大大減少受這類攻擊的次數(shù)。 當(dāng)然�,選擇一個(gè)穩(wěn)定的操作系統(tǒng)也同樣會(huì)有幫助�。在選擇操作系統(tǒng)時(shí)��,不要輕信“好貨不便宜”這類說法��。自由軟件操作系統(tǒng)常常比商用操作系統(tǒng)更強(qiáng)健。
11.我必須滿足用戶要求的各種要求嗎?
對(duì)這個(gè)問題的答案完全有可能是“不”。對(duì)于需要什么��,不需要什么�,每個(gè)站點(diǎn)都有自己的策略,但是,重要的是記住作為一家機(jī)構(gòu)的看門人的主要工作之一是教育��。用戶需要流視頻�、實(shí)時(shí)聊天,并要求能夠向請(qǐng)求在內(nèi)部網(wǎng)絡(luò)上的活數(shù)據(jù)庫(kù)進(jìn)行交互查詢的外部客戶提供服務(wù)。
這意味著完成任何這類事情都會(huì)給機(jī)構(gòu)造成風(fēng)險(xiǎn),而造成的風(fēng)險(xiǎn)往往比想像中沿著這條路走下去的“價(jià)值”的回報(bào)更高��。多數(shù)用戶不愿使自己的機(jī)構(gòu)遭受風(fēng)險(xiǎn)����。他們只看一看商標(biāo)��,閱讀一下廣告����,他們也愿意做上述那些事����。重要的是了解用戶真正想干些什么,幫助他們懂得他們可以以更安全的方式實(shí)現(xiàn)他們的真正目的��。
你不會(huì)總受到歡迎����,你可以甚至?xí)l(fā)現(xiàn)自己收到了難以置信愚蠢的命令,讓你做一些諸如“打開所有的口子”這樣的事��,但不要為此擔(dān)心�。在這種時(shí)刻,明智的做法是將你的交換數(shù)據(jù)全都保存起來�,這樣當(dāng)一個(gè)十二歲的小孩闖入網(wǎng)絡(luò)時(shí)����,你至少能夠使你自己遠(yuǎn)離混亂局面����。
12.如何才能通過自己的防火墻運(yùn)行Web/HTTP?
有三種辦法做到這點(diǎn):
1����、如果你使用屏蔽路由器的話�,允許“建立起的”連接經(jīng)過路由器接入到防火墻外��。
2�、使用支持SOCKS的Web客戶機(jī)��,并在你的橋頭堡主機(jī)上運(yùn)行SOCKS。
3�、運(yùn)行橋頭堡主機(jī)上的某種具有代理功能的Web服務(wù)器�。一些可供選擇的代理服務(wù)器包括Squid�、Apache、Netscape Proxy 和TIS防火墻工具包中的http-gw��。這些選件中的多數(shù)還可以代理其它協(xié)議(如gopher和ftp)��,并可緩存捕獲的對(duì)象��。后者一般會(huì)提高用戶的性能,使你能更有效地使用到Internet的連接������;旧纤械腤eb客戶機(jī)(Mozilla、Inter-net Explorer����、Lynx等等)都具有內(nèi)置的對(duì)代理服務(wù)器的支持����。
13.在使用防火墻時(shí),怎樣使用DNS呢����?
一些機(jī)構(gòu)想隱藏DNS名�,不讓外界知道�。許多專家認(rèn)為隱藏DNS名沒有什么價(jià)值,但是��,如果站點(diǎn)或企業(yè)的政策強(qiáng)制要求隱藏域名��,它也不失為一種已知可行的辦法�。你可能必須隱藏域名的另一條理由是你的內(nèi)部網(wǎng)絡(luò)上是否有非標(biāo)準(zhǔn)的尋址方案����。不要自欺欺人的認(rèn)為�,如果隱藏了你的DNS名,在攻擊者打入你的防火墻時(shí)����,會(huì)給攻擊者增加困難��。有關(guān)你的網(wǎng)絡(luò)的信息可以很容易地從網(wǎng)絡(luò)層獲得。假如你有興趣證實(shí)這點(diǎn)的話,不妨在LAN上“ping”一下子網(wǎng)廣播地址�,然后再執(zhí)行“arp -a”�。還需要說明的是�,隱藏DNS中的域名不能解決從郵件頭、新聞文章等中“泄露”主機(jī)名的問題。
這種方法是許多方法中的一個(gè)�,它對(duì)于希望向Internet隱瞞自己的主機(jī)名的機(jī)構(gòu)很有用����。這種辦法的成功取決于這樣一個(gè)事實(shí):即一臺(tái)機(jī)器上的DNS客戶機(jī)不必與在同一臺(tái)機(jī)器上的DNS服務(wù)器對(duì)話�。換句話說,正是由于在一臺(tái)機(jī)器上有一個(gè)DNS服務(wù)器,因此,將這部機(jī)器的DNS客戶機(jī)活動(dòng)重定向到另一臺(tái)機(jī)器上的DNS服務(wù)器沒有任何不妥(并且經(jīng)常有好處)����。
首先��,你在可以與外部世界通信的橋頭堡主機(jī)上建立DNS服務(wù)器。你建立這臺(tái)服務(wù)器使它宣布對(duì)你的域名具有訪問的權(quán)力。事實(shí)上�,這臺(tái)服務(wù)器所了解的就是你想讓外部世界所了解的:你網(wǎng)關(guān)的名稱和地址��、你的通配符MX記錄等等。這臺(tái)服務(wù)器就是“公共”服務(wù)器。
然后����,在內(nèi)部機(jī)器上建立一臺(tái)DNS服務(wù)器�。這臺(tái)服務(wù)器也宣布對(duì)你的域名具有權(quán)力��;與公共服務(wù)器不同�,這臺(tái)服務(wù)器“講的是真話”�。它是你的“正常”的命名服務(wù)器�,你可以在這臺(tái)服務(wù)器中放入你所有的“正��!盌NS名。你再設(shè)置這臺(tái)服務(wù)器,使它可以將它不能解決的查詢轉(zhuǎn)發(fā)到公共服務(wù)器(例如�,使用 Unix機(jī)上的/etc/named.boot中的“轉(zhuǎn)發(fā)器”行(forwarder line))。
最后����,設(shè)置你所有的DNS客戶機(jī)(例如��,Unix機(jī)上的/etc/resolv.conf文件)使用內(nèi)部服務(wù)器,這些DNS客戶機(jī)包括公共服務(wù)器所在機(jī)器上的DNS客戶機(jī)��。這是關(guān)鍵�。
詢問有關(guān)一臺(tái)內(nèi)部主機(jī)信息的內(nèi)部客戶機(jī)向內(nèi)部服務(wù)器提出問題,并得到回答����;詢問有關(guān)一部外部主機(jī)信息的內(nèi)部客戶機(jī)向內(nèi)部服務(wù)器查詢����,內(nèi)部客戶機(jī)再向公共服務(wù)器進(jìn)行查詢����,公共服務(wù)器再向Internet查詢,然后將得到的答案再一步一步傳回來����。公共服務(wù)器上的客戶機(jī)也以相同的方式工作��。但是,一臺(tái)詢問關(guān)于一臺(tái)內(nèi)部主機(jī)信息的外部客戶機(jī)�,只能從公共服務(wù)器上得到“限制性”的答案�。這種方式假定在這兩臺(tái)服務(wù)器之間有一個(gè)包過濾防火墻,這個(gè)防火墻允許服務(wù)器相互傳遞DNS,但除此之外,限制其它主機(jī)之間的DNS����。
這種方式中的另一項(xiàng)有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR記錄��。這將引起對(duì)任何非公共主機(jī)的“地址到名稱” (address-to-name)的查找返回像“unknown.YOUR.DOMAIN”這樣的信息,而非返回一個(gè)錯(cuò)誤。這就滿足了像 ftp.uu.net匿名FTP站點(diǎn)的要求。這類站點(diǎn)要求得到與它們通信的計(jì)算機(jī)的名字。當(dāng)與進(jìn)行DNS交叉檢查的站點(diǎn)通信時(shí)�,這種方法就不靈了��。在交叉檢查中,主機(jī)名要與它的地址匹配,地址也要與主機(jī)名匹配��。
14.如何才能使web服務(wù)器作為專用網(wǎng)絡(luò)上的一個(gè)數(shù)據(jù)庫(kù)的前端呢��?
實(shí)現(xiàn)這點(diǎn)的最佳途徑是通過特定的協(xié)議在web服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器之間允許很有限的連接。特定的協(xié)議只支持你將使用的功能的級(jí)別��。允許原始SQL或其它任何可為攻擊者利用來進(jìn)行定制提����。╡xtractions)的東西,一般來說不是一個(gè)好主意�。
假設(shè)攻擊者能夠進(jìn)入你的web服務(wù)器��,并以web服務(wù)器同樣的方式進(jìn)行查詢。難道沒有一種機(jī)制能提取web服務(wù)器不需要的像信用卡信息這樣的敏感信息嗎��?攻擊者難道不能發(fā)出一次SQL選擇��,然后提取你整個(gè)的專用數(shù)據(jù)庫(kù)嗎��?
同其它所有應(yīng)用一樣,“電子商務(wù)”應(yīng)用從一開始設(shè)計(jì)時(shí)就充分考慮到了安全問題��,而不是以后再想起來“增加”安全性����。應(yīng)當(dāng)從一個(gè)攻擊者的角度,嚴(yán)格審查你的結(jié)構(gòu)����。假設(shè)攻擊者了解你的結(jié)構(gòu)的每一個(gè)細(xì)節(jié)����,F(xiàn)在����,再問問自己,想要竊取你的數(shù)據(jù)����、進(jìn)行非授權(quán)的改動(dòng)或做其它任何你不想讓做的事的話,應(yīng)當(dāng)做些什么��。你可能會(huì)發(fā)現(xiàn)��,不需要增加任何功能��,只需做出一些設(shè)計(jì)和實(shí)施上的決策就可大大地增加安全性。
15.硬件防火墻和軟件防火墻的區(qū)別
防火墻的另一種分類方法是分為硬件防火墻和軟件防火墻。例如作為一名ISP的系統(tǒng)管理員的主要職責(zé)就是支持幾千用戶,確保設(shè)備和設(shè)施運(yùn)轉(zhuǎn)正常。根據(jù)客戶的具體情況�,這一工作可能包括維護(hù)on-site路由和防火墻設(shè)備�,這些設(shè)備因客戶的具體需求而異��。在提供互聯(lián)網(wǎng)接入的時(shí)候��,ISP通常會(huì)為客戶提供一個(gè)單一的IP地址或者一個(gè)子網(wǎng)。我通常會(huì)建議訪問互聯(lián)網(wǎng)的人用軟件防火墻或者硬件防火墻來保護(hù)自己。當(dāng)然,IT專家們都知道防火墻是用來保護(hù)電腦或者網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的破壞侵襲����。但是對(duì)于最終用戶來說����,我認(rèn)為互聯(lián)網(wǎng)上有問題的行為在全世界范圍內(nèi)都很普遍�。因?yàn)楣不ヂ?lián)網(wǎng)地址可以從全世界的任何角落進(jìn)行訪問,甚至只要你通過撥號(hào)連接到互聯(lián)網(wǎng)����,使用公共IP地址����,你的計(jì)算機(jī)就暴露在互聯(lián)網(wǎng)上了��。這意味著任何人�,只要連接到互聯(lián)網(wǎng)上��,就能夠找到你的計(jì)算機(jī)��,而且可能還能夠掃描你的計(jì)算機(jī)�,以尋找任何軟件或者服務(wù)的安全漏洞����。這就是你需要用防火墻來保護(hù)計(jì)算機(jī)的原因��。
如同我和我的客戶所說的那樣����,決定使用哪一類的防火墻取決于你要保護(hù)的是什么�。如果你擔(dān)心的僅僅是某一臺(tái)連接互聯(lián)網(wǎng)的電腦,軟件防火墻對(duì)于絕大部分人來說已經(jīng)足夠了。軟件防火墻不僅僅會(huì)在有人試圖訪問你的電腦的時(shí)候提醒你����,當(dāng)你電腦上的程序試圖在未經(jīng)授權(quán)的情況下訪問互聯(lián)網(wǎng)的時(shí)候��,它也會(huì)提醒你。如果訪問是 正當(dāng)?shù)�,你可以指示軟件防火墻記錄這個(gè)程序�,并允許它未來可以訪問互聯(lián)網(wǎng)��,無須報(bào)警��。盡管這不是一個(gè)反病毒軟件,軟件防火墻仍然可以探測(cè)到特洛伊木馬和間諜軟件�。
但是��,有時(shí)候軟件防火墻不能夠清除它們。我建議在下列情況下使用硬件防火墻:1、用戶需要讓多臺(tái)電腦連接互聯(lián)網(wǎng)�。2��、用戶需要和主辦公室之間的安全連接。3、客戶是一個(gè)辦事處/分支機(jī)構(gòu)�。4����、一家需要托管電子郵件和Web服務(wù)器的公司����。盡管你可以分享互聯(lián)網(wǎng)連接,讓防火墻軟件使用一臺(tái)計(jì)算機(jī)作為路由器,我認(rèn)為這樣使用工作站的方式很糟糕�。網(wǎng)絡(luò)里的每個(gè)人都要依賴其他電腦的可靠性��。如果一臺(tái)電腦被鎖定或者重新啟動(dòng)��,它會(huì)切斷互聯(lián)網(wǎng)連接��。這個(gè)時(shí)候人們會(huì)打電話到ISP去抱怨,即使這個(gè)問題并不是ISP造成的�。硬件防火墻不一定都會(huì)很昂貴的�。例如華為的功能都很不錯(cuò)�,而價(jià)格也合理。
來源:巨靈鳥 歡迎分享本文
