613SJBH防火墙的工作原理及在企业中的应用

虽然计算机网络给人们带来了巨大的便利，但互联网是一个面向大众的开放系统，对信息的保密和系统的安全考虑得并不完备，存在着安全隐患，网络的安全形势日趋严峻。一般来说，网络安全由四个部分组成：一是运行系统的安全，即保证信息处理和传输系统的安全，它侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失，避免由于电磁泄漏产生信息泄露；二是系统信息的安全，包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计，安全问题跟踪，计算机病毒防治，数据加密；三是信息传播的安全，指可对信息的传播后果进行控制，包括信息过滤等，对非法、有害的信息传播后造成的后果，能进行防止和控制，避免公用网络上大量自由传输的信息失控；四是信息内容的安全，它侧重于保护信息的保密性、真实性和完整性，避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。加强网络安全建设，是关系到单位整体形象和利益的大问题。目前在各单位的网络中都存储着大量的信息资料，许多方面的工作也越来越依赖网络，一旦网络安全方面出现问题，造成信息的丢失或不能及时流通，或者被篡改、增删、破坏或窃用，都将带来难以弥补的巨大损失。而对于企业来讲，加强网络安全建设的意义甚至关系到企业的安全、利益和发展。

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。该局域网内所有的计算机流入流出多的所有网络通信均要经过防火墙。

防火墙、IDS、IPS，是解决网络安全问题的基础设备，他们所具备的过滤、安全功能能够抵抗大多数来自外网的攻击。配备这些传统的网络防护设备，实现面向网络层的访问控制，是企业安全上网的前提。

TCP/IP是一种开放式的标准，在Internet上被广泛使用，但是存在很多安全漏洞。例如HTTP、FTP和ICMP，其本质上就是不安全的；ICMP对于消息不作验证就可以发出，当收到后，可以继续重定向发送到下一个设备上；而对于SNMP而言，它是网络管理中用得最多的消息，但是版本1和版本2中的身份验证和访问控制等功能相当的薄弱，而且不具有保密性；对于TCP/IP而言，容易受到SYN flood攻击，也是该协议 不完善的一个地方。

所有需要一系列相对安全的处理方式来对这些漏洞进行弥补。通常对于远程节点的访问采用基于安全的IP协议IPSec来实现。而对于其他关键数据在发送的时候已经做好了相应的处理。

对于操作系统而言，也存在很多安全漏洞，许多Web服务器及其他关键数据受到的攻击都来自这些漏洞，通常WindowsXp/2003/Vista 以及Linux、Unix、等系统都存在操作系统安全漏洞，特别应值得注意的是，这些安全漏洞通常在发布后几个小时，就有主机因这些漏洞被攻破。

很多网络设备也有漏洞，例如Cisco的路由器和交换机所使用的IOS软件通常也会爆出一些安全性的漏洞，另外像Juniper使用FreeBSD系统作为控制平台，所有也会出现一些安全性漏洞。这些漏洞将会给网络带来致命性的打击。

网络攻击，从20世纪80年代单纯使用密码猜测的方式，发展到现在的SQL注入、网络钓鱼、跨站攻击、溢出漏洞、拒绝服务攻击及社会工程学等技术的应用，攻击难度越来越低。网络变得十分脆弱，一方面因为威胁变得越来越复杂，另一方面因为实施这些威胁所需要的知识越来越简单。

随着Internet的发展，基于DBMS的Web查询数据库逐渐增多，但是Web制作行业门槛不高，程序员的水平和经验参差不齐，相当大一部分 程序员在编写代码的社会没有对用户输入数据合法性进行判断，导致程序出现隐患。攻击者可以通过互联网，构造一个精妙的SQL语句注入到DBMS中，从而获取访问权限。

SQL注入手法相当灵活，能够根据不同的情况进行具体的构造。通常，几乎所有的防火墙对通过Internet访问的数据库请求都无法发出及时的警报，所有SQL注入具有极高的隐蔽性。

网络钓鱼，英文为“Phishing”。钓鱼攻击通常采用大量发送垃圾电子邮件的形式，诱骗收到邮件的用户发送自己相关的金融帐号和密码，已经身份证号码等其他个人信息，继而盗取现金。

蒙骗方法通常很简单，例如注册www.lcbc.com来模仿www.icbc.com等，粗心的用户会忽视这样的拼写错误。在中国工商银行hotspot.jsp页面上，也可以通过对column函数进行修改直接伪造页面。

DDOS攻击很简单，即用大量的主机来访问网络中的某一台机器，导致其性能下降影响正常的服务。DDos是一种简单的攻击工具，当某些IDC机房服务器被攻破后，将其作为DDos攻击源，后果将不堪设想。同时，对于DDos攻击，如何找出源地址，也是一个非常困难的事情。

由于DDos非常容易实施，并且成功率非常高，所有在安全事件中，这类攻击增长非常迅猛。在我国的部分ISP统计数据中显示，有些攻击就来自IDC机房，例如不同的网络游戏服务商之间的竞争等。而且在过去几年较为重大的几起安全时间中，几乎都是由DDos攻击引起。

由于网络安全产品正在变得越来越强大，攻击者不得不增加赌注。2006年Rootkit技术开始被广泛地应用，而且由不断增长的趋势。Rootkit其实是一种功能更强大的软件工具集，能够让网络管理员访问一台计算机或者一个网络。一旦安装了Rootkit，攻击者就可以把自己隐藏起来，在用户计算机安装间谍软件和其他监视敲击键盘以及修改记录文件的软件。虽然微软发布的Vista操作系统能够减少某些Rootkit的应用，但是Rootkit还是2007年黑客普遍使用的技术。据赛门铁克称，用户模式Rootkit策略目前以及非常普遍，内核模式Rootkit的使用也在增长。

通常读取攻击主要来自侦查和扫描，并将结果用于后续的拒绝服务攻击，它是在未授权的情况下查看信息。首先对于一个黑客而言，他需要寻找其猎物拥有的是哪些地址段，哪些是Web服务器，哪些是数据库服务器，哪些是DNS服务器。通过whois，nslookup，namp等命令进行踩点，为攻击做好准备。

操作攻击以修改数据为目的，前文中的SQL注入和跨站脚本属于这类攻击。当然还有一些早期使用CGI的网站，可以直接通过URL进行注入，使得被攻击服务器主动发起到黑客计算机的连接。默认的防火墙规则对外部流入限制严格，但对内部流出不做过多的限制，因此这种链接一般防火墙无法察觉。

缓冲区溢出也是非常常见的攻击方式。例如某程序员认为，用户合理的输入数据流不会超过10个字节，而当恶意攻击者用1000个字节的信息进行攻击时，就会导致缓冲区溢出，从而使得其些代码被执行。

在欺骗攻击中除了前文介绍的钓鱼攻击外，还有其他很多欺骗方式。现在最常见的方式为STP欺骗、VTP欺骗、ARP欺骗等。特别是身份欺骗。例如X.509证书标准的IETF配置文件定义了几个可选的域，这几个域可被包含在一个数字证书中，其中一个为基本约束域，它指明了证书链的最大允许长度，以及此证书是一个证书颁发机构还是一个终端实体证书。然而，Windows构建和验证证书链的CryptoAPI中的API并没有检查此基本约束域。

拥有一个有效的终端实体证书的攻击者，可以利用这个薄弱环境发布一个从属证书，这个证书尽管是假的，也可以通过验证。由于CryptoAPI被用于各种应用程序，将导致许多身份欺骗的攻击行为。在FAQ中对这些进行了详细的讨论，包括:建立一个网站，同时假装它是另一个网站，然后通过建立一个SSL会话“证实”它自己是一个合法的网站发送据称属于“其他用户”的数据证书签名的电子邮件；欺骗那些基于证书验证的系统，以便作为一个高级用户得到入口；使用一个据称已颁发给用户可以信任的公司的验证码证书给不良制品进行数字签名。

泛洪攻击较多使用在DDos攻击上，目的是让对端服务器无法承受巨大的流量攻击而瘫痪。当然在泛洪攻击还有其他的攻击手法。

TCP SYN是泛洪攻击最早形式，由于TCP SYN数据包发出后，不再对相应端送回的SYN-ACK进行确认，但是收到TCP SYN后服务器将一直保持连接开放状态，在SYN-ACK最终被确认的情况下，对持续时间进行确认，服务器还会定期重发SYN-ACK，在连接拆除之前最多重试4次。这样，当发送大量的TCP SYN报文到服务器后，服务器将疲于应付而崩溃。

重定向攻击也是比较常见的一种攻击行为，ARP病毒就是这类攻击。ARP病毒采用虚拟ARP报文，让一个网段内所有的主机误认为它就是网关，从而截获所有的报文。由于截获报文后，中毒机器并不转发到真实的网关，这样就导致了整个局域网内同网段主机全部断网。

第4章  企业网络中防火墙的应用

随着政府、企业、个人主机的网络安全需求的与日俱增，防火墙技术应运而生。传统的边界式防火墙是企业内部网络与外部网络的一道屏障,但是其无法对内部网络访问进行控制，也没有对黑客行为进行入侵检测和阻断的功能。企业迫切需要一套真正能够解决网络内部和外部的防火墙和防黑客的安全解决方案，为客户提供可靠的网络安全服务。

4.1、企业网络中使用防火墙的选用原则

（1）、总体拥有成本

防火墙产品作为网络系统的安全屏障，其TCO（Total Cost of Ownership，总体拥有成本）不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例，假如其系统中的所有信息及所支持应用的总价值为10万元，则该部门所配备防火墙的总成本也不应该超过10万元。当然，对于关键部门来说，其所造成的负面影响和连带损失也应考虑在内。

（2）、防火墙本身是安全的。

作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。

（3）、管理与培训

管理和培训是评价一个防火墙好坏的重要方面。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

（4）、可扩充性。

在网络系统建设的初期，由于内部信息系统的规模较小，遭受攻击造成的损失也较小，因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加，网络的风险成本也会急剧上升，此时便需要增加具有更高安全性的防火墙产品。好的产品应该留给用户足够的弹性空间，在安全水平要求不高的情况下，可以只选购基本系统，而随着要求的提高，用户仍然有进一步增加选件的余地。防火墙技术是网络安全技术中最基本也是最重要的一个，因此根据实际情况合理地选择防火墙，对网络的安全性、扩展性、稳定性都是至关重要的。

一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通

过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。

应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。 在实际工作中，应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。 应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟并且必须进行多次登录（Login）才能访问Internet或Intranet。

第5章  网络安全措施

网络安全在网络中是很重要的，现在黑客的脚步以前走在网络安全的前面了，只所以我们因该注意网络安全，尽量避免黑客的攻击。

5.1、网络安全防火墙防病毒软件

随着互联网的快速发展，网络安全也越来越重要。网络的安全隐患不仅仅是企业内部人员操作的问题，越来越多的隐患是出于企业内部网络和Internet互联网的连接问题。由于互联网的开放性，使得所有的网络终端都可以通过它互相访问。因此为自己的网络建立相应的防火墙，将允许的访问接入，而将一些非法的访问请求拒绝已经是企业网络必不可缺的一部分了。