Internet防火墙

　　Internet防火墙是这样的系统（或一组系统），它能增强机构内部网络的安全性。防火墙系统决定了那些内部服务可以被外界访问；外界的那些人可以访问内部的那些可以访问的服务，以及那些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙，接受防火墙的检查（图1）。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。但不幸的是，防火墙系统一旦被攻击者突破或迂回，就不能提供任何的保护了。

　　图1安全策略建立的防御范围。


　　应给予特别注意的是，Internet防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。这种安全策略应包括在出版的安全指南中，告诉用户们他们应有的责任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

　　Internet防火墙负责管理Internet和机构内部网络之间的访问（图2）。在没有防火墙时，内部网络上的每个节点都暴露给Internet上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。

　　图2 Internet防火墙的好处

　　Internet防火墙的好处:

　　· 集中的网络安全

　　· 可作为中心“扼制点”

　　· 产生安全报警

　　· 监视并记录Internet的使用

　　· NAT的理想位置

　　· WWW和FTP服务器的理想位置

　Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。

　　在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。

　　过去的几年里，Internet经历了地址空间的危机，使得IP地址越来越少。这意味着想进入Internet的机构可能申请不到足够的IP地址来满足其内部网络上用户的需要。Internet防火墙可以作为部署NAT(Network Address Translator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。

　　Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。

　　Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。

　　也许会有人说，部署防火墙会产生单一失效点。但应该强调的是，即使到Internet的连接失效，内部网络仍旧可以工作，只是不能访问Internet而已。如果存在多个访问点，每个点都可能受到攻击，网络管理员必须在每个点设置防火墙并经常监视。

　　Internet防火墙的限制

　　Internet防火墙无法防范通过防火墙以外的其它途径的攻击。例如，在一个被保护的网络上有一个没有限制的拨出存在，内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet。聪明的用户可能会对需要附加认证的代理服务器感到厌烦，因而向ISP购买直接的SLIP或PPP连接，从而试图绕过由精心构造的防火墙系统提供的安全系统。这就为从后门攻击创造了极大的可能（图3）。网络上的用户们必须了解这种类型的连接对于一个有全面的安全保护系统来说是绝对不允许的。

图3 绕过防火墙系统的连接

　　Internet防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。防火墙无法禁止变节者或公司内部存在的间谍将敏感数据拷贝到软盘或PCMCIA卡上，并将其带出公司。防火墙也不能防范这样的攻击：伪装成超级用户或诈称新雇员，从而劝说没有防范心理的用户公开口令或授予其临时的网络访问权限。所以必须对雇员们进行教育，让它们了解网络攻击的各种类型，并懂得保护自己的用户口令和周期性变换口令的必要性。

　　Internet防火墙也不能防止传送已感染病毒得软件或文件。这是因为病毒的类型太多，操作系统也有多种，编码与压缩二进制文件的方法也各不相同。所以不能期望Internet防火墙去对每一个文件进行扫描，查出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防病毒软件，防止病毒从软盘或其它来源进入网络系统。

　　最后一点是，防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet主机上。但一旦执行就开成攻击。例如，一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权。后面我们将会看到，在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式，并能减少数据驱动型攻击的威胁。

　　黑客的工具箱

　　要描述一个典型的黑客的攻击是很，因为入侵者们的技术水平和经验差异很大，各自的动机也不尽相同。某些黑客只是为了挑战，有一些是为了给别人找麻烦，还有一些是以图利为目的而获取机密数据。

　　信息收集

　　一般来讲，突破的第一步是各种形式的信息收集。信息惧收集的目的是构造目标机构网络的数据库并收集驻留在网络上的各个主机的有关信息。黑客可以使用下面几种工具来收集这些信息：

　　· SNMP协议，用来查阅非安全路由器的路由表，从而了解目标机构网络拓扑的内部细节。

　　· TraceRoute程序能够得出到达目标主机所要经过的网络数和路由器数。

　　· Whois协议是一种信息服务，能