CISCO防火墻專題-防火墻技術(shù)

1、Evaluation Warning: The document was created with Spire.Doc for .NET.CISCO防火墻專題-防火墻技術(shù)摘要防火墻技術(shù)的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。本文介紹了防火墻技術(shù)的基本概念和系統(tǒng)結(jié)構(gòu)，討論了實現(xiàn)cisco防火墻的兩種主要技術(shù)手段：一種是基于分組過濾技術(shù)(Packet filtering)，它的代表是在篩選路由器上實現(xiàn)的防火墻功能；一種是基于代理技術(shù)(Proxy)，它的代表是在應(yīng)用層網(wǎng)關(guān)上實現(xiàn)的防火墻功能。一、cisco防火墻的概念與構(gòu)成所謂cisco防火墻就是一個或一組網(wǎng)絡(luò)設(shè)備(計算機或路由

2、器等)，可用來在兩個或多個網(wǎng)絡(luò)間加強訪問控制。它的實現(xiàn)有好多種形式，有些實現(xiàn)還是很復(fù)雜的，但基本原理原理卻很簡單。你可以把它想象成一對開關(guān)， 一個開關(guān)用來阻止傳輸, 另一個開關(guān)用來允許傳輸。設(shè)立cisco防火墻的主要目的是保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊。通常，被保護的網(wǎng)絡(luò)屬于我們自己，或者是我們負(fù)責(zé)管理的，而所要防備的網(wǎng)絡(luò)則是一個外部的網(wǎng)絡(luò)，該網(wǎng)絡(luò)是不可信賴的，因為可能有人會從該網(wǎng)絡(luò)上對我們的網(wǎng)絡(luò)發(fā)起攻擊，破壞網(wǎng)絡(luò)安全。對網(wǎng)絡(luò)的保護包括下列工作：拒絕未經(jīng)授權(quán)的用戶訪問，阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。不同的cisco防火墻側(cè)重點不同。從某種意義上來

3、說，cisco防火墻實際上代表了一個網(wǎng)絡(luò)的訪問原則。如果某個網(wǎng)絡(luò)決定設(shè)定cisco防火墻，那么首先需要由網(wǎng)絡(luò)決策人員及網(wǎng)絡(luò)專家共同決定本網(wǎng)絡(luò)的安全策略(security policy)，即確定那些類型的信息允許通過cisco防火墻，那些類型的信息不允許通過cisco防火墻。cisco防火墻的職責(zé)就是根據(jù)本單位的安全策略，對外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)交流的數(shù)據(jù)進(jìn)行檢查，符合的予以放行，不符合的拒之門外。在設(shè)計cisco防火墻時，除了安全策略以外，還要確定cisco防火墻類型和拓?fù)浣Y(jié)構(gòu)。一般來說，cisco防火墻被設(shè)置在可信賴的內(nèi)部網(wǎng)絡(luò)和不可信賴的外部網(wǎng)絡(luò)之間。cisco防火墻相當(dāng)于一個控流器，可用來監(jiān)視

4、或拒絕應(yīng)用層的通信業(yè)務(wù)， cisco防火墻也可以在網(wǎng)絡(luò)層和傳輸層運行，在這種情況下，cisco防火墻檢查進(jìn)入和離去的報文分組的IP和TCP頭部，根據(jù)預(yù)先設(shè)計的報文分組過濾規(guī)則來拒絕或允許報文分組通過。cisco防火墻是用來實現(xiàn)一個組織機構(gòu)的網(wǎng)絡(luò)安全措施的主要設(shè)備。在許多情況下需要采用驗證安全和增強私有性技術(shù)來加強網(wǎng)絡(luò)的安全或?qū)崿F(xiàn)網(wǎng)絡(luò)方面的安全措施。本文主要介紹下列cisco防火墻的基本構(gòu)件和技術(shù)：篩選路由器(screening router)、分組過濾(packet filtering)技術(shù)、雙宿主機(dual-homed host)、代理服務(wù) (Proxy Service)、應(yīng)用層網(wǎng)關(guān)(ap

5、plication level gateway)和堡壘主機(bastion host)。象篩選路由器這樣的能夠?qū)崿F(xiàn)安全措施的路由器常常被稱為安全路由器或安全網(wǎng)關(guān)，而實現(xiàn)安全管理的應(yīng)用層網(wǎng)關(guān)又稱為安全應(yīng)用層網(wǎng)關(guān)。二、cissco防防火墻的的基本構(gòu)構(gòu)件和技技術(shù) 21篩選選路由器器 (SScreeeniing Rouuterr) 許許多路由由器產(chǎn)品品都具有有根據(jù)給給定規(guī)則則對報文文分組進(jìn)進(jìn)行篩選選的功能能，這些些規(guī)則包包括協(xié)議議的類型型、特定定協(xié)議類類型的源源地址和和目的地地址字段段以及作作為協(xié)議議一部分分的控制制字段。例例如在常常用的CCiscco路由由器上就就具有這這種對報報文分組組進(jìn)行篩篩選的

6、功功能，這這種路由由器被稱稱為篩選選路由器器。最早早的Ciiscoo路由器器只能根根據(jù)IPP數(shù)據(jù)報報頭部內(nèi)內(nèi)容進(jìn)行行過濾，而而目前的的產(chǎn)品還還可以根根據(jù)TCCP端口口及連接接建立的的情況進(jìn)進(jìn)行過濾濾, 而而且在過過濾語法法上也有有了一定定改進(jìn)。篩選路由器提供了一種強有力的機制，可用于控制任何網(wǎng)絡(luò)段上的通信業(yè)務(wù)類型。而通過控制一個網(wǎng)絡(luò)段上的通信業(yè)務(wù)類型，篩選路由器可以控制該網(wǎng)絡(luò)段上網(wǎng)絡(luò)服務(wù)的類型，從而可以限制對網(wǎng)絡(luò)安全有害的服務(wù)。 篩選路由器可以根據(jù)協(xié)議類型和報文分組中有關(guān)協(xié)議字段的值來區(qū)別不同的網(wǎng)絡(luò)通信業(yè)務(wù)。路由器根據(jù)與協(xié)議相關(guān)的準(zhǔn)則來區(qū)別和限制通過其端口的報文分組的能力被稱為報文分組過濾。因

7、此，篩選路由器又稱為分組過濾路由器。下面我們首先介紹應(yīng)用篩選路由器時需要考慮的安全防線設(shè)置問題，以及篩選路由器與OSI模型的關(guān)系，分組過濾技術(shù)將在下一節(jié)討論。識別危險區(qū)域 根據(jù)1996年1月的統(tǒng)計，連入INTERNET的網(wǎng)絡(luò)大約為60,000個左右，主機總數(shù)則已超過900萬臺。由于INTERNET上有如此眾多的用戶，其中難免有少數(shù)居心不良的所謂“黑客”。這種情況就象遷入一個大城市時會遇到犯罪問題一樣。在大城市中，使用帶鎖的門來保護我們的居室是明智之舉。在這種環(huán)境下要求凡事要小心謹(jǐn)慎，因此當(dāng)有人來敲我們的門時，應(yīng)首先查看來人，再決定是否讓來人進(jìn)入。如果來人看起來很危險(安全風(fēng)險很高)，則不應(yīng)讓其

8、進(jìn)來。類似地，篩選路由器也通過查看進(jìn)入的分組來決定它們當(dāng)中是否有可能有害的分組。企業(yè)網(wǎng)絡(luò)中的邊界被稱為安全環(huán)形防線。由于在INTERNET上危險的“黑客”很多，確定一個危險區(qū)域是很有用的。這個危險區(qū)域就是指通過INTERNET可以直接訪問的所有具有TCP/IP功能的網(wǎng)絡(luò)。這里“具有TCP/IP功能”是指一臺主機支持TCP/IP協(xié)議和它所支持的上層協(xié)議?！爸苯釉L問”是指在INTERNET和企業(yè)網(wǎng)絡(luò)的主機之間沒有設(shè)置強有力的安全措施(沒有“鎖門”)。從我們自己的角度上看，INTERNET中的地區(qū)網(wǎng)、國家網(wǎng)和主干網(wǎng)都代表著一個危險區(qū)域，在危險區(qū)域內(nèi)的主機對于外來攻擊的防范是很脆弱的。因此，我們當(dāng)然希

9、望把自己的網(wǎng)絡(luò)和主機置于危險區(qū)域之外。然而，沒有相應(yīng)的設(shè)備去攔截對自己網(wǎng)絡(luò)的攻擊，則危險區(qū)域?qū)由熘磷约旱木W(wǎng)絡(luò)上。篩選路由器就是這樣一種設(shè)備，它可以用來減小危險區(qū)域，從而使其不能滲透到我們網(wǎng)絡(luò)的安全防線之內(nèi)。在我們的企業(yè)網(wǎng)絡(luò)中，可能不是所有的主機都具有TCP/IP功能。即使這樣，這些非TPC/IP主機也可能成為容易攻擊的，盡管從技術(shù)上說它們不屬于危險區(qū)域。如果一臺非TCP/IP主機與一臺TCP/IP主機相連，就會發(fā)生這種情況。入侵者可以使用一種TCP/IP主機和非TCP/IP主機都支持的協(xié)議來通過TCP/IP主機訪問非TCP/IP主機，例如：如果這兩臺主機都連在同一個以太網(wǎng)網(wǎng)段上，入侵者就可

10、以通過以太網(wǎng)協(xié)議去訪問非TCP/IP主機。篩選路由器本身不能夠消除危險區(qū)域，但它們可以極為有效地減小危險區(qū)域。篩選路由器和cisco防火墻與OSI模型的關(guān)系 按照與OSI模型的關(guān)系將篩選路由器和cisco防火墻進(jìn)行比較。篩選路由器的功能相當(dāng)于OSI模型的網(wǎng)絡(luò)層(IP協(xié)議)和傳輸層(TCP協(xié)議)。cisco防火墻常常被描述為網(wǎng)關(guān)，而網(wǎng)關(guān)應(yīng)可以在OSI模型的所有七個層次上執(zhí)行處理功能。通常，網(wǎng)關(guān)在OSI模型的第七層(應(yīng)用層)執(zhí)行處理功能。對于大多數(shù)cisco防火墻網(wǎng)關(guān)來說，也確實如此。cisco防火墻可以執(zhí)行分組過濾功能，因為cisco防火墻覆蓋了網(wǎng)絡(luò)層和傳輸層。某些廠商，可能是由于市場營銷策略，

11、模糊了篩選路由器和cisco防火墻之間的區(qū)別，將他們的篩選路由器產(chǎn)品稱為cisco防火墻產(chǎn)品。為了清晰起見，我們根據(jù)OSI模型對篩選路由器和cisco防火墻加以區(qū)別。有些時候，篩選路由器也被稱為分組過濾網(wǎng)關(guān)。使用“網(wǎng)關(guān)”這一術(shù)語來稱呼分組過濾設(shè)備可能有以下理由，即在傳輸層根據(jù)TCP標(biāo)志執(zhí)行的過濾功能不屬于路由器的功能，因為路由器運行在OSI模型的網(wǎng)絡(luò)層。在網(wǎng)絡(luò)層以上運行的設(shè)備也被稱為網(wǎng)關(guān)。22分組過濾 (Packet Filtering) 技術(shù) 篩選路由器可以采用分組過濾功能以增強網(wǎng)絡(luò)的安全性。篩選功能也可以由許多商業(yè)cisco防火墻產(chǎn)品和一些類似于Karlbridge的基于純軟件的產(chǎn)品來實現(xiàn)

12、。但是，許多商業(yè)路由器產(chǎn)品都可以被編程以用來執(zhí)行分組過濾功能。許多路由器廠商，象Cisco、Bay Networks、3COM、DEC、IBM等，他們的路由器產(chǎn)品都可以用來通過編程實現(xiàn)分組過濾功能。分組過濾和網(wǎng)絡(luò)安全策略 分組過濾可以用來實現(xiàn)許多種網(wǎng)絡(luò)安全策略。網(wǎng)絡(luò)安全策略必須明確描述被保護的資源和服務(wù)的類型、重要程度和防范對象。通常，網(wǎng)絡(luò)安全策略主要用于防止外來的入侵，而不是監(jiān)控內(nèi)部用戶。例如，阻止外來者入侵內(nèi)部網(wǎng)絡(luò)，對一些敏感數(shù)據(jù)進(jìn)行存取和破壞網(wǎng)絡(luò)服務(wù)是更為重要的。這種類型的網(wǎng)絡(luò)安全策略決定了篩選路由器將被置于何處，以及如何進(jìn)行編程用來執(zhí)行分組過濾。良好的網(wǎng)絡(luò)安全的實現(xiàn)同時也應(yīng)該使內(nèi)部用戶

13、難以妨害網(wǎng)絡(luò)安全，但這通常不是網(wǎng)絡(luò)安全工作的重點。網(wǎng)絡(luò)安全策略的一個主要目標(biāo)是向用戶提供透明的網(wǎng)絡(luò)服務(wù)機制。由于分組過濾執(zhí)行在OSI模型的網(wǎng)絡(luò)層和傳輸層，而不是在應(yīng)用層，所以這種途徑通常比cisco防火墻產(chǎn)品提供更強的透明性。我們曾經(jīng)提到cisco防火墻在OSI模型應(yīng)用層上運行，在這個層次實現(xiàn)的安全措施通常都不夠透明。一個分組過濾的簡單模型 一個分組過濾裝置常被置于一個或幾個網(wǎng)段與其他網(wǎng)段之間。網(wǎng)段通常被分為內(nèi)部網(wǎng)段和外部網(wǎng)段，外部網(wǎng)段將你的網(wǎng)絡(luò)連向外部網(wǎng)絡(luò)，例如INTERNET；內(nèi)部網(wǎng)段用來連接一個單位或組織內(nèi)部的主機和其它網(wǎng)絡(luò)資源。在分組過濾裝置的每一個端口都可以實施網(wǎng)絡(luò)安全策略，這種策略

14、描述通過該端口可存取的網(wǎng)絡(luò)服務(wù)的類型。如果同時有許多網(wǎng)段同該過濾裝置相連，則分組過濾裝置所實施的策略將變得很復(fù)雜。一般來說，在解決網(wǎng)絡(luò)安全問題時應(yīng)該避免過于復(fù)雜的方案，其原因如下：難于維護，在配置過濾規(guī)則時容易發(fā)生錯誤，執(zhí)行復(fù)雜的方案將對設(shè)備的性能產(chǎn)生負(fù)作用。在許多實際情況下，一般都只采用簡單模型來實現(xiàn)網(wǎng)絡(luò)安全策略。在這個模型中只有兩個網(wǎng)段與過濾裝置相連，典型的情況是一個網(wǎng)段連向外部網(wǎng)絡(luò)，另一個連向內(nèi)部網(wǎng)絡(luò)。通過分組過濾來限制請求被拒絕服務(wù)的網(wǎng)絡(luò)通信流。由于分組過濾規(guī)則的設(shè)計原則是有利于內(nèi)部網(wǎng)絡(luò)連向外部網(wǎng)絡(luò)，所以在篩選路由器兩側(cè)所執(zhí)行的過濾規(guī)則是不同的。換句話說，分組過濾器是不對稱的。分組過濾

15、器的操作 當(dāng)前，幾乎所有的分組過濾裝置(篩選路由器或分組過濾網(wǎng)關(guān))都按如下方式操作：(1) 對于分組過濾裝置的有關(guān)端口必須設(shè)置分組過濾準(zhǔn)則，也稱為分組過濾規(guī)則。(2) 當(dāng)一個分組到達(dá)過濾端口時，將對該分組的頭部進(jìn)行分析。大多數(shù)分組過濾裝置只檢查IP、TCP或UDP頭部內(nèi)的字段。(3) 分組過濾規(guī)則按一定的順序存貯。當(dāng)一個分組到達(dá)時，將按分組規(guī)則的存貯順序依次運用每條規(guī)則對分組進(jìn)行檢查。(4) 如果一條規(guī)則阻塞傳遞或接收一個分組，則不允許該分組通過。(5) 如果一條規(guī)則允許傳遞或接收一個分組，則允許該分組通過。(6) 如果一個分組不滿足任何規(guī)則，則該分組被阻塞。從規(guī)則4和5，我們可以看到到將規(guī)則

16、按適當(dāng)?shù)捻樞蚺帕惺欠浅Ｖ匾摹Ｔ谂渲梅纸M過濾規(guī)則時一個常犯的錯誤就是將分組過濾規(guī)則按錯誤的順序排列。如果一個分組過濾規(guī)則排序有錯，我們就有可能拒絕進(jìn)行某些合法的訪問，而又允許訪 問本想拒絕的服務(wù)。規(guī)則6遵循守以下原則：未被明確允許的就將被禁止。這是一個在設(shè)計安全可靠的網(wǎng)絡(luò)時應(yīng)該遵循的失效安全原則。與之相對的是一種寬容的原則，即：沒有被明確禁止的就是允許的。如果采用后一種思想來設(shè)計分組過濾規(guī)則，就必須仔細(xì)考慮分組過濾規(guī)則沒有包括的每一種可能的情況來確保網(wǎng)絡(luò)的安全。當(dāng)一個新的服務(wù)被加入到網(wǎng)絡(luò)中時，我們可以很容易地遇到?jīng)]有規(guī)則與之相匹配的情況。在這種情況下，不是先阻塞該服務(wù)，從而聽取用戶因為合法的服

17、務(wù)被阻塞而抱怨，然后再允許該服務(wù)，我們也可以以網(wǎng)絡(luò)安全風(fēng)險為代價來允許用戶自由地訪問該服務(wù)，直到制定了相應(yīng)的安全規(guī)則為止。23雙宿主機 (Dual-Homed Host) 在TCP/IP網(wǎng)絡(luò)中，術(shù)語多宿主機被用來描述一臺配有多個網(wǎng)絡(luò)接口的主機。通常，每一個網(wǎng)絡(luò)接口與一個網(wǎng)絡(luò)相連。在以前，這種多宿主機也可以用來在幾個不同的網(wǎng)段間進(jìn)行尋徑，術(shù)語網(wǎng)關(guān)用來描述由多宿主機執(zhí)行的尋徑功能。但近年來人們一般用術(shù)語路由器來描述這種尋徑功能，而網(wǎng)關(guān)則用于描述相當(dāng)于OSI模型上幾層中所進(jìn)行的尋徑功能。如果在一臺多宿主機中尋徑功能被禁止了，則這個主機可以隔離與它相連的網(wǎng)絡(luò)之間的通信流量；然而與它相連的每一個網(wǎng)絡(luò)都可

18、以執(zhí)行由它所提供的網(wǎng)絡(luò)應(yīng)用，如果這個應(yīng)用允許的話，它們還可以共享數(shù)據(jù).在雙宿主機cisco防火墻中禁止尋徑。 大多數(shù)cisco防火墻建立在運行UNIX的機器上。證實在雙宿主機cisco防火墻中的尋徑功能是否被禁止是非常重要的；如果該功能沒有被禁止，你必須知道如何去禁止它.為了在基于UNIX的雙宿主機中禁止進(jìn)行尋徑，需要重新配置和編譯內(nèi)核。在BSD UNIX系統(tǒng)中該過程如下所述。使用MAKE命令編譯UNIX系統(tǒng)內(nèi)核。使用一個叫做CONFIG的命令來讀取內(nèi)核配置文件并生成重建內(nèi)核所需的文件。內(nèi)核配置文件在/usr/sys/conf或 /usr/src/sys目錄下。在使用Intel硬件的BSDI

19、UNIX平臺上，配置文件在/usr/src/sys/i386/conf目錄下。為檢查你所使用的是哪一個內(nèi)核配置文件，你可以對內(nèi)核映像文件使用strings命令并查找操作系統(tǒng)的名字。例如：% strings /bsd | grep BSDBSDI $Id: if_pe.c, v 1.4 1993/02/21 20:35:01 karels Exp $BSDI $Id: if_petbl.c, v 1.2 1993/02/21 20:36:09 karels Exp $BSD/386(#)BSDI BSD/386 1.0 kernel #0: Wed Mar 24 17:23:44 MST 199

20、3polkhilltop.BSDI.COM:/home/hilltop/polk/sys.clean/compile/GENERIC最后一行說明當(dāng)前的配置文件是GENERIC.進(jìn)入配置文件目錄(/usr/src/sys/i386/conf)，將文件GENERIC復(fù)制到一個新的配置文件中，其名字應(yīng)對新的配置有所啟發(fā)。例如，你可以將這個文件稱為FIREWALL或LOCAL。cd /usr/src/sys/i386/confcp GENERIC FIREWALL下一步，編輯文件FIREWALL中的選項參數(shù)IPFORWARDING，將其值改為- 1，代表“不轉(zhuǎn)發(fā)任何IP數(shù)據(jù)報”。這個變量的作用是設(shè)置內(nèi)

21、核變量ipforwarding的值，從而禁止IP轉(zhuǎn)發(fā)。options IPFORWARDING=-1在某些其它的系統(tǒng)上，你看到的可能不是IPFORWARDING參數(shù)，而是：options GATEWAY為禁止IP分組的轉(zhuǎn)發(fā)，可以將一個#號放在這一行的起始處，將這句話注釋掉。#options GATEWAY同時，檢驗下列TCP/IP內(nèi)核配置語句是否存在：options INET # Internet Protocol support is to be includedpseudo-device loop # The loop back device is to be defined ()pseu

22、do-device ehter # Generic Ethernet support such as ARP functionspseudo-device pty # pseudo teletypes for telnet /rlogin accessdevice we0 at isa? port 0 x280 # Could be different for your Ethernet interface運行CONFIG命令來建立LOCAL目錄，然后進(jìn)入該目錄：config LOCALcd ././compile/LOCAL然后，運行MAKE命令來建立必要的相關(guān)部件和內(nèi)核：make depe

23、ndmake將內(nèi)核映像復(fù)制到根目錄下，然后重新啟動(reboot)：cp /bsd /bsd.oldcp bsd /bsdreboot現(xiàn)在，這臺主機可以用來作為雙宿主機cisco防火墻了。怎樣破壞雙宿主機cisco防火墻的安全 了解雙宿主機cisco防火墻的安全性是如何被破壞的是很有用的，因為這樣一來你就可以采取相應(yīng)的措施來防止發(fā)生這種破壞。對安全最大的危脅是一個攻擊者掌握了直接登錄到雙宿主機的權(quán)限。登錄到一個雙宿主機上總是應(yīng)該通過雙宿主機上的一個應(yīng)用層代理進(jìn)行。對從外部不可信任網(wǎng)絡(luò)進(jìn)行登錄應(yīng)該進(jìn)行嚴(yán)格的身份驗證。如果外部用戶獲得了在雙宿主機上進(jìn)行登錄的權(quán)利，那么內(nèi)部網(wǎng)絡(luò)就容易遭到攻擊。這種攻

24、擊可以通過以下任何一種方式來進(jìn)行：1）通過文件系統(tǒng)上寬松的許可權(quán)限制。2）通過內(nèi)部網(wǎng)絡(luò)上由NFS安裝的卷。3）利用已經(jīng)被破壞了的用戶帳號，通過在這類用戶的主目錄下的主機等價文件，如.rhosts，來訪問由Berkeley r*工具授權(quán)的服務(wù)。4）利用可能恢復(fù)的過分訪問權(quán)的網(wǎng)絡(luò)備份程序。5）通過使用沒有適當(dāng)安全防范的用于管理的SHELL腳本。6）通過從沒有適當(dāng)安全防范的過時軟件的修訂版和發(fā)行文檔來掌握系統(tǒng)的漏洞。7）通過安裝允許IP傳遞的老版本操作系統(tǒng)內(nèi)核，或者安裝存在安全問題的老版本操作系統(tǒng)內(nèi)核。 如果一臺雙宿主機失效了，則內(nèi)部網(wǎng)絡(luò)將被置于外部攻擊之下，除非這個問題很快被查出并解決。在前面，我

25、們已經(jīng)了解到UNIX內(nèi)核變量ifrorwarding控制著是否允許進(jìn)行IP路由選擇。如果一個攻擊者獲得了足夠的系統(tǒng)權(quán)限，則這個攻擊者就可以改變這個內(nèi)核變量的值，從而允許IP轉(zhuǎn)發(fā)。在允許IP轉(zhuǎn)發(fā)后，cisco防火墻機制就會被旁路掉了.雙宿主機cisco防火墻上的服務(wù) 除了禁止IP轉(zhuǎn)發(fā)，你還應(yīng)該從雙宿主機cisco防火墻中移走所有的影響到安全的程序、工具和服務(wù)，以免落入攻擊者的手中。下面是UNIX雙宿主機cisco防火墻的一部分有用的檢查點：1）移走程序開發(fā)工具：編譯器、鏈接器等。2）移走你不需要或不了解的具有 SUID和SGID權(quán)限的程序。如果系統(tǒng)不工作，你可以移回一些必要的基本程序。3）使用磁

26、盤分區(qū)，從而使在一個磁盤分區(qū)上發(fā)動的填滿所有磁盤空間的攻擊被限制在那個磁盤分區(qū)當(dāng)中。4）刪去不需要的系統(tǒng)和專門帳號。5）刪去不需要的網(wǎng)絡(luò)服務(wù)，使用netstat -a來檢驗。編輯/etc/inetd.conf和/etc/services文件，刪除不需要的網(wǎng)絡(luò)服務(wù)定義。24代理服務(wù)和應(yīng)用層網(wǎng)關(guān) 代理服務(wù) (Proxy Service) 代理服務(wù)使用的的方法與分組過濾器不同，代理(Proxy)使用一個客戶程序(或許經(jīng)過修改)，與特定的中間結(jié)點連接，然后中間結(jié)點與期望的服務(wù)器進(jìn)行實際連接。與分組過濾器所不同的是， 使用這類cisco防火墻時外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間不存在直接連接。因此，即使cisco防

27、火墻發(fā)生了問題，外部網(wǎng)絡(luò)也無法與被保護的網(wǎng)絡(luò)連接。中間結(jié)點通常為雙宿主機。代理服務(wù)可提供詳細(xì)的日志記錄(log)及審計(audit)功能， 這大大提高了網(wǎng)絡(luò)的安全性，也為改進(jìn)現(xiàn)有軟件的安全性能提供了可能性。代理服務(wù)器可運行在雙宿主機上，它是基于特定應(yīng)用程序的。為了通過代理支持一個新的協(xié)議，必須修改代理以適應(yīng)新協(xié)議。在一個稱為SOCKS的免費程序庫中包括了與許多標(biāo)準(zhǔn)系統(tǒng)調(diào)用基本兼容的代理版本，如SOCKS()、BIND()、CONNECT()等。在URL統(tǒng)一資源定位地址/pub/security/sock.cstc中可以得到該程序.代理服務(wù)通常由兩個部分構(gòu)成： 代理服務(wù)器程序和客戶程序。相當(dāng)多的

28、代理服務(wù)器要求使用固定的客戶程序。例如SOCKS要求適應(yīng)SICKS的客戶程序。如果網(wǎng)絡(luò)管理員不能改變所有的代理服務(wù)器和客戶程序， 系統(tǒng)就不能正常工作。代理使網(wǎng)絡(luò)管理員有了更大的能力改善網(wǎng)絡(luò)的安全特性。然而，它也給軟件開發(fā)者、網(wǎng)絡(luò)系統(tǒng)員和最終用戶帶來了很大的不便，這就是使用代理的代價。也有一些標(biāo)準(zhǔn)的客戶程序可以利用代理服務(wù)器通過cisco防火墻運行，如mail、FTP和telnet等。即便如此，最終用戶也許還需要學(xué)習(xí)特定的步驟通過cisco防火墻進(jìn)行通信。透明性對基于代理服務(wù)企的cisco防火墻顯然是一個大問題。即使是那些聲稱是透明性cisco防火墻的代理也期望應(yīng)用程序使用特定的TCP或UDP端

29、口。假如一個節(jié)點在非標(biāo)準(zhǔn)端口上運行一個標(biāo)準(zhǔn)應(yīng)用程序， 代理將不支持這個應(yīng)用程序。許多cisco防火墻允許系統(tǒng)管理員運行兩個代理拷貝， 一個在標(biāo)準(zhǔn)端口運行，另一個在非標(biāo)準(zhǔn)端口運行，常用服務(wù)的最大數(shù)目取決于不同的cisco防火墻產(chǎn)品。基于代理服務(wù)的cisco防火墻廠商正在開始解決這個問題。基于代理的產(chǎn)品開始改進(jìn)成能夠設(shè)置常用服務(wù)和非標(biāo)準(zhǔn)端口。然而，只要應(yīng)用程序需要升級，基于代理的用戶會發(fā)現(xiàn)他們必須發(fā)展新的代理。一個明顯的例子是許多的Web瀏覽器中加入了大量的安全措施。cisco防火墻的購買者應(yīng)留心詢問cisco防火墻廠商他們的產(chǎn)品到底能處理哪些應(yīng)用程序。另外, 基于代理服務(wù)器的cisco防火墻常常

30、會使網(wǎng)絡(luò)性能明顯下降。相當(dāng)多的cisco防火墻不能處理高負(fù)載的網(wǎng)絡(luò)通信。應(yīng)用層網(wǎng)關(guān) 應(yīng)用層網(wǎng)關(guān)可以處理存儲轉(zhuǎn)發(fā)通信業(yè)務(wù)，也可以處理交互式通信業(yè)務(wù)。通過適當(dāng)?shù)某绦蛟O(shè)計，應(yīng)用層網(wǎng)關(guān)可以理解在用戶應(yīng)用層(OSI模型第七層)的通信業(yè)務(wù)。這樣便可以在用戶層或應(yīng)用層提供訪問控制，并且可以用來對各種應(yīng)用程序的使用情況維持一個智能性的日志文件。能夠記錄和控制所有進(jìn)出通信業(yè)務(wù)，是采用應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點。在需要時，在網(wǎng)關(guān)本身中還可以增加額外的安全措施。對于所中轉(zhuǎn)的每種應(yīng)用，應(yīng)用層網(wǎng)關(guān)需要使用專用的程序代碼。由于有這種專用的程序代碼，應(yīng)用層網(wǎng)關(guān)可以提供高可靠性的安全機制。每當(dāng)一個新的需保護的應(yīng)用加入網(wǎng)絡(luò)中時，必須

31、為其編制專門的程序代碼。正是如此，許多應(yīng)用層網(wǎng)關(guān)只能提供有限的應(yīng)用和服務(wù)功能.為了使用應(yīng)用層網(wǎng)關(guān)，用戶或者在應(yīng)用層網(wǎng)關(guān)上登錄請求，或者在本地機器上使用一個為該服務(wù)特別編制的程序代碼。每個針對特定應(yīng)用的網(wǎng)關(guān)模塊都有自己的一套管理工具和命令語言.采用應(yīng)用層網(wǎng)關(guān)的一個缺陷是必須為每一項應(yīng)用編制專用程序。但從安全角度上看，這也是一個優(yōu)點，因為除非明確地提供了應(yīng)用層網(wǎng)關(guān)，就不可能通過cisco防火墻。這也是在實踐“未被明確允許的就將被禁止”的原則。專用應(yīng)用程序的作用是作為“代理”接收進(jìn)入的請求，并按照一個訪問規(guī)則檢查表進(jìn)行核查，檢查表中給出所允許的請求類型。在這種情況下，這個代理程序被稱為一個應(yīng)用層服務(wù)

32、程序代理。當(dāng)收到一個請求并證實該請求是允許的之后，代理程序?qū)言撜埱筠D(zhuǎn)發(fā)給所要求的服務(wù)程序。因此，代理程序擔(dān)當(dāng)著客戶機和服務(wù)器的雙重角色。它作為服務(wù)器接收外來請求，而在轉(zhuǎn)發(fā)請求時它又擔(dān)當(dāng)客戶機。一旦會話已經(jīng)建立起來，應(yīng)用代理程序便作為中轉(zhuǎn)站在起動該應(yīng)用的客戶機和服務(wù)器之間轉(zhuǎn)抄數(shù)據(jù)。因為在客戶機和服務(wù)器之間傳遞的所有數(shù)據(jù)均由應(yīng)用層代理程序轉(zhuǎn)發(fā)，因此它完全控制著會話過程，并可按照需要進(jìn)行詳細(xì)的記錄。在許多應(yīng)用層網(wǎng)關(guān)中，代理程序是由一個單一的應(yīng)用層模塊實現(xiàn)的。為了連接到一個應(yīng)用層代理程序，許多應(yīng)用層網(wǎng)關(guān)要求用戶在內(nèi)部網(wǎng)絡(luò)的主機上運行一個專用的客戶方應(yīng)用程序。另一種方法是使用TELNET命令并給出 可

33、提供代理的應(yīng)用服務(wù)的端口號。例如：如果應(yīng)用代理程序運行在主機上，其端口號為63，則可以使用下列命令：telnet 63在連接到代理服務(wù)所在的端口之后，你將會看到標(biāo)識該應(yīng)用代理的特定的提示符。這時，需要執(zhí)行專門配制命令來指定目的服務(wù)器。不管采用的是哪種途徑，用戶與標(biāo)準(zhǔn)服務(wù)之間的接口將會被改變。如果使用的是一個專用的客戶程序，則必須對該程序進(jìn)行修改，使它總是連向代理程序所在的主機(即代理機)上，并告訴代理機你所要連接的目的地址。此后，代理機將與最終的目標(biāo)地址相連并傳遞數(shù)據(jù)。一些代理服務(wù)程序模擬標(biāo)準(zhǔn)應(yīng)用服務(wù)的工作方式，當(dāng)用戶指定一個在不同網(wǎng)絡(luò)中的連接目標(biāo)時，代理應(yīng)用程序就將被調(diào)用.對于某一應(yīng)用代理程

34、序，如果需使用專用的客戶機程序時，那么就必須在所有的要使用INTERNET的內(nèi)部網(wǎng)絡(luò)主機上安裝一該專用客戶程序。當(dāng)網(wǎng)絡(luò)的規(guī)模較大時，這將是一件困難的工作。如果你的一些用戶在使用DOS/WINDOWS或MACINTOSH客戶機，則通常沒有與這種客戶機應(yīng)用程序相對應(yīng)的代理程序。這時，如果你沒有相應(yīng)客戶機應(yīng)用程序的源碼（通常為在PC或MAC機上用的），你將無法修改這些程序。如果代理程序客戶機只能使用某一個應(yīng)用層網(wǎng)關(guān)服務(wù)器，則當(dāng)這個服務(wù)器關(guān)閉時，這個系統(tǒng)就很容易發(fā)生單點失效。如果一個客戶端代理可以由管理員指定連向另一個應(yīng)用層網(wǎng)關(guān)，就可以避免單點失效錯誤.由于在配置代理程序的客戶機方面存在的諸多問題，一

35、些站點傾向于使用分組過濾技術(shù)來處理象FTP或TELNET等可由適當(dāng)?shù)倪^濾規(guī)則來保證安全的應(yīng)用；而使用代理程序客戶機方式處理比較復(fù)雜的應(yīng)用，如DNS、SMTP、NFS、HTTP和GOPHER等。當(dāng)需要通過專用客戶機應(yīng)用程序與代理服務(wù)器通信時，象CONNECT()這樣的一些標(biāo)準(zhǔn)系統(tǒng)調(diào)用必須被替換為相應(yīng)的代理版本。這時，你必須將客戶機應(yīng)用程序和這些代理版本的系統(tǒng)調(diào)用一起進(jìn)行編譯和鏈接.代理服務(wù)程序應(yīng)該設(shè)計為在未使用適當(dāng)修改了的客戶機程序的情況下能夠提供“失效安全”(fail safe) 的運行模式。例如：當(dāng)一個標(biāo)準(zhǔn)的客戶機應(yīng)用程序被用來與代理服務(wù)器相連，那么這種通信應(yīng)該被禁止，并且不能對cisco防

36、火墻或篩選路由器引起不希望的或不可預(yù)料的行為。另一種類型的應(yīng)用層網(wǎng)關(guān)被稱為“線路網(wǎng)關(guān)”(circuit gateway)。在線路層網(wǎng)關(guān)中，分組的地址是一個應(yīng)用層的用戶進(jìn)程。線路網(wǎng)關(guān)用于在兩個通信端點之間中轉(zhuǎn)分組。線路網(wǎng)關(guān)只是在兩個端點之間復(fù)制字節(jié)。線路網(wǎng)關(guān)是建立應(yīng)用層cisco防火墻的一種更靈活、更通用的途徑。線路網(wǎng)關(guān)中可能包括支持某些特定TCP/IP應(yīng)用的程序代碼，但這通常是有限的。如果它能支持某些應(yīng)用，則這些應(yīng)用通常是一些TCP/IP的應(yīng)用。在線路-線路網(wǎng)關(guān)(circuit-circuit gateway)中，可能需要安裝專門的客戶機軟件，而用戶可能需要與改變了的用戶界面打交道，或者改變他

37、們的工作習(xí)慣。在每一臺內(nèi)部主機上安裝和配置專門的應(yīng)用程序?qū)⑹且患M時的工作，而對大型異構(gòu)網(wǎng)絡(luò)來說很容易出錯，因為硬件平臺和操作系統(tǒng)不同。由于每個報文分組都將由在應(yīng)用層運行的軟件進(jìn)行處理，主機的性能將會受到影響。每個分組都將被所有的通信層次處理兩遍，并需要在用戶層上進(jìn)行處理以及轉(zhuǎn)換工作環(huán)境。應(yīng)用層網(wǎng)關(guān)(不論是堡壘主機還是雙宿主機)都暴露在網(wǎng)絡(luò)面前，因此可能需要采用其它手段來保護應(yīng)用層網(wǎng)關(guān)主機，例如分組過濾技術(shù)。堡壘主機 (Bastion Host)及其應(yīng)用。 堡壘主機指的是任何對網(wǎng)絡(luò)安全至關(guān)重要的cisco防火墻主機。堡壘主機是一個組織機構(gòu)網(wǎng)絡(luò)安全的中心主機。因為堡壘主機對網(wǎng)絡(luò)安全至關(guān)重要，對它

38、必須進(jìn)行完善的防御。這就是說，堡壘主機是由網(wǎng)絡(luò)管理員嚴(yán)密監(jiān)視的。堡壘主機軟件和系統(tǒng)的安全情況應(yīng)該定期地進(jìn)行審查。對訪問記錄應(yīng)進(jìn)行查看，以發(fā)現(xiàn)潛在的安全漏洞和對堡壘主機的試探性攻擊。雙宿主機是堡壘主機的一個實例，因為它們對網(wǎng)絡(luò)的安全至關(guān)重要。為了達(dá)到更高程度的安全性要求，有的廠商把基于分組過濾技術(shù)的方法和基于代理服務(wù)的方法結(jié)合起來，形成了新型的cisco防火墻產(chǎn)品。這種結(jié)合通常是以下面兩種方案之一實現(xiàn)的：有屏蔽主機(Screened Host)或有屏蔽子網(wǎng)(Screened Subnet)。在第一種方案中，一個分組過濾路由器與Internet相連，同時，一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上。通常，在路由

39、器上設(shè)立過濾規(guī)則，使這個堡壘主機成為Internet上其他節(jié)點所能達(dá)到的唯一節(jié)點。這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。有屏蔽子網(wǎng)的方法是建立一個被隔離的子網(wǎng)，位于Internet和內(nèi)部網(wǎng)絡(luò)之間，用兩臺分組過濾路由器將這一子網(wǎng)分別與Internet和內(nèi)部網(wǎng)絡(luò)分開。在許多有屏蔽子網(wǎng)的實現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個禁止穿行區(qū)。即Internet和內(nèi)部網(wǎng)絡(luò)均可訪問有屏蔽子網(wǎng)，但禁止它們穿過有屏蔽子網(wǎng)進(jìn)行通信。象WWW和FTP這樣的Internet服務(wù)器一般就放在這種禁止穿行區(qū)中。堡壘主機的最簡單的設(shè)置方法因為堡壘主機是與外部不可信賴網(wǎng)絡(luò)的接口點，它們常常容易受到攻

40、擊。堡壘主機最簡單的設(shè)置，是作為外部網(wǎng)絡(luò)通信業(yè)務(wù)的第一個也是唯一的一個入口點。有屏蔽主機網(wǎng)關(guān)因為堡壘主機對內(nèi)部網(wǎng)絡(luò)的安全是至關(guān)重要的，人們常常在外部不可信賴網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間增加另外一條防線。第一條防線通常由篩選路由器充當(dāng)。圖9說明了以篩選路由器作為第一條防線的堡壘主機的一種應(yīng)用方法。在這個例子中，只配置了堡壘主機的網(wǎng)絡(luò)接口，該接口與內(nèi)部網(wǎng)絡(luò)相連。篩選路由器的一個端口與內(nèi)部網(wǎng)絡(luò)相連，另一個端口與INTERNET相連。這種配置方式被稱為有屏蔽主機網(wǎng)關(guān).對篩選路由器必須做如下配置，它應(yīng)將從外部網(wǎng)絡(luò)收到的目的地為內(nèi)部網(wǎng)絡(luò)的所有通信業(yè)務(wù)首先送到堡壘主機。在將信息轉(zhuǎn)發(fā)到堡壘主機之前，篩選路由器對收到的分組運行自己的過濾規(guī)則。只有通過了過濾規(guī)則的網(wǎng)絡(luò)信息才被送到堡壘主機，所有其它網(wǎng)絡(luò)信息將被拒絕進(jìn)入。這種體系結(jié)構(gòu)給予網(wǎng)絡(luò)安全更高的信心，進(jìn)攻者必須首先穿過篩選路由器，如果設(shè)法穿過了篩選路由器，還必須對付堡壘主機.堡壘主機使用應(yīng)用層功能來確定允許或拒絕來自或發(fā)向外部網(wǎng)絡(luò)的請求。如該請求通過了堡壘主機的嚴(yán)格審查，它將被作為進(jìn)來的信息轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)上。對于通向外