《網(wǎng)絡(luò)信息安全技術(shù)》課件第10章

第10章包過(guò)濾技術(shù)原理及應(yīng)用10.1高層IP網(wǎng)絡(luò)的概念10.2包過(guò)濾的工作原理10.3包過(guò)濾路由器的配置10.4包的基本構(gòu)造10.5包過(guò)濾處理內(nèi)核10.6包過(guò)濾規(guī)則10.7依據(jù)地址進(jìn)行過(guò)濾

10.8依據(jù)服務(wù)進(jìn)行過(guò)濾10.1高層IP（因特網(wǎng)協(xié)議）網(wǎng)絡(luò)的概念

一個(gè)文件要穿過(guò)網(wǎng)絡(luò)，必須將文件分成小塊，每小塊文件單獨(dú)傳輸。把文件分成小塊的做法主要是為了讓多個(gè)系統(tǒng)共享網(wǎng)絡(luò)，每個(gè)系統(tǒng)可以依次發(fā)送文件塊。在IP網(wǎng)絡(luò)中，這些小塊被稱為包。所有的信息傳輸都是以包的方式來(lái)實(shí)施的。

將多個(gè)IP網(wǎng)絡(luò)互連的基本設(shè)備是路由器。路由器可以是一臺(tái)專門的硬件設(shè)備，也可以是一個(gè)工作在通用系統(tǒng)（如UNIX、MS-DOS、Windows和Macintosh）下的軟件包。軟件包在網(wǎng)絡(luò)群中穿越就是從一臺(tái)路由器到另一臺(tái)路由器，最后抵達(dá)目的地。因特網(wǎng)本身就是一個(gè)巨大的網(wǎng)絡(luò)群，也可叫做網(wǎng)中網(wǎng)。

路由器針對(duì)每一個(gè)接收到的包做出路由決定如何將包送達(dá)目的地。在一般情況下，包本身不包含任何有助確定路由的信息。包只告訴路由器要將它發(fā)往何地，至于如何將它送達(dá)，包本身則不提供任何幫助。路由器之間通過(guò)諸如RIP和OSPF的路由協(xié)議相互通信，并在內(nèi)存中建立路由表。當(dāng)路由器對(duì)包進(jìn)行路由時(shí)，它將包的目的地址與路由表中的入口地址相比較，并依據(jù)該表來(lái)發(fā)送這個(gè)包。在一般情況下，一個(gè)目的地的路由不可能是固定的。同時(shí)，路由器還經(jīng)常使用“默認(rèn)路由”，即把包發(fā)往一個(gè)更加智能的或更上一級(jí)的路由器。包過(guò)濾路由器是具有包過(guò)濾特性的一種路由器。在對(duì)包做出路由決定時(shí)，普通路由器只依據(jù)包的目的地址引導(dǎo)包，而包過(guò)濾路由器就必須依據(jù)路由器中的包過(guò)濾規(guī)則做出是否引導(dǎo)該包的決定。10.2包過(guò)濾的工作原理10.2.1包過(guò)濾技術(shù)傳遞的判據(jù)

包過(guò)濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞，它依據(jù)以下的判據(jù)：（１）將包的目的地址作為判據(jù)；（２）將包的源地址作為判據(jù)；（３）將包的傳送協(xié)議作為判據(jù)。10.2.2包過(guò)濾技術(shù)傳遞操作大多數(shù)包過(guò)濾系統(tǒng)判決是否傳送包時(shí)都不關(guān)心包的具體內(nèi)容。

1.包過(guò)濾系統(tǒng)允許的操作（１）不讓任何用戶從外部網(wǎng)用Telnet登錄；（２）允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件；（３）只允許某臺(tái)機(jī)器通過(guò)NNTP往內(nèi)部網(wǎng)發(fā)新聞。

包過(guò)濾不允許的操作（１）允許某個(gè)用戶從外部網(wǎng)用Telnet登錄而不允許其他用戶進(jìn)行這種操作；（２）允許用戶傳送一些文件而不允許用戶傳送其他文件。圖10.1源地址偽裝10.2.3包過(guò)濾方式的優(yōu)缺點(diǎn)

1．包過(guò)濾方式的優(yōu)點(diǎn)

包過(guò)濾方式有許多優(yōu)點(diǎn)，而其主要優(yōu)點(diǎn)之一是僅用一個(gè)放置在重要位置上的包過(guò)濾路由器就可保護(hù)整個(gè)網(wǎng)絡(luò)。如果我們的站點(diǎn)與因特網(wǎng)間只有一臺(tái)路由器，那么不管站點(diǎn)規(guī)模有多大，只要在這臺(tái)路由器上設(shè)置合適的包過(guò)濾，我們的站點(diǎn)就可獲得很好的網(wǎng)絡(luò)安全保護(hù)。

包過(guò)濾不需要用戶軟件的支持，也不需要對(duì)客戶機(jī)作特別的設(shè)置，也沒(méi)有必要對(duì)用戶作任何培訓(xùn)。當(dāng)包過(guò)濾路由器允許包通過(guò)時(shí)，它表現(xiàn)得和普通路由器沒(méi)有任何區(qū)別。在這時(shí)，用戶甚至感覺(jué)不到包過(guò)濾的存在，只有在某些包被禁入或禁出時(shí)，用戶才認(rèn)識(shí)到它與普通路由器的不同。包過(guò)濾工作對(duì)用戶來(lái)講是透明的。這種透明就是不要求用戶作任何操作的前提下完成包過(guò)濾工作。

2．包過(guò)濾系統(tǒng)缺點(diǎn)及局限性（１）在機(jī)器中配置包過(guò)濾規(guī)則比較困難；（２）對(duì)系統(tǒng)中的包過(guò)濾規(guī)則的配置進(jìn)行測(cè)試也較麻煩；（３）許多產(chǎn)品的包過(guò)濾功能有這樣或那樣的局限性，要找一個(gè)比較完整的包過(guò)濾產(chǎn)品比較困難。包過(guò)濾系統(tǒng)本身就可能存在缺陷，這些缺陷對(duì)系統(tǒng)安全性的影響要大大超過(guò)代理服務(wù)系統(tǒng)對(duì)系統(tǒng)安全性的影響。因?yàn)榇矸?wù)的缺陷僅會(huì)使數(shù)據(jù)無(wú)法傳遞，而包過(guò)濾的缺陷會(huì)使得一些平常該拒絕的包也能進(jìn)出網(wǎng)絡(luò)。

即使在系統(tǒng)中安裝了比較完善的包過(guò)濾系統(tǒng)，我們也會(huì)發(fā)現(xiàn)對(duì)有些協(xié)議使用包過(guò)濾方式不太合適。比如，對(duì)Berkeley的“r”命令（rcp、rsh、rlogin）和類似于NFS和NIS/YS協(xié)議的RPC，用包過(guò)濾系統(tǒng)就不太合適。有些安全規(guī)則是難以用包過(guò)濾系統(tǒng)來(lái)實(shí)施的，比如，在包中只有來(lái)自于某臺(tái)主機(jī)的信息而無(wú)來(lái)自于某個(gè)用戶的信息，此時(shí)用戶就不能用包過(guò)濾。10.3包過(guò)濾路由器的配置10.3.1協(xié)議的雙向性協(xié)議總是雙向的，協(xié)議包括一方發(fā)送一個(gè)請(qǐng)求而另一方返回一個(gè)應(yīng)答。在制訂包過(guò)濾規(guī)則時(shí)，要注意包是從兩個(gè)方向來(lái)到路由器的，比如，只允許往外的Telnet包將我們鍵入的信息送達(dá)遠(yuǎn)程主機(jī)，而不允許返回的顯示信息包通過(guò)相同的連接，這種規(guī)則是不正確的，同時(shí)，拒絕半個(gè)連接往往也是不起作用的。在許多攻擊中，入侵者向內(nèi)部網(wǎng)發(fā)送包，他們甚至不用返回信息就可完成對(duì)內(nèi)部網(wǎng)的攻擊，因?yàn)樗麄兡軐?duì)返回信息加以推測(cè)。10.3.2“往內(nèi)”與“往外”在我們制訂包過(guò)濾規(guī)則時(shí)，必須準(zhǔn)確理解“往內(nèi)”與“往外”的包和“往內(nèi)”與“往外”的服務(wù)這幾個(gè)詞的語(yǔ)義。一個(gè)往外的服務(wù)（如上面提到的Telnet）同時(shí)包含往外的包（鍵入信息）和往內(nèi)的包（返回的屏幕顯示信息）。雖然大多數(shù)人習(xí)慣于用“服務(wù)”來(lái)定義規(guī)定，但在制訂包過(guò)濾規(guī)則時(shí)，我們一定要具體到每一種類型的包。我們?cè)谑褂冒^(guò)濾時(shí)也一定要弄清“往內(nèi)”與“往外”的包和“往內(nèi)”與“往外”的服務(wù)這幾個(gè)詞之間的區(qū)別。10.3.3“默認(rèn)允許”與“默認(rèn)拒絕”

網(wǎng)絡(luò)的安全策略中有兩種方法：默認(rèn)拒絕（沒(méi)有明確地被允許就應(yīng)被拒絕）與默認(rèn)允許（沒(méi)有明確地被拒絕就應(yīng)被允許）。從安全角度來(lái)看，用默認(rèn)拒絕應(yīng)該更合適。就如我們前面討論的，我們首先應(yīng)從拒絕任何傳輸來(lái)開(kāi)始設(shè)置包過(guò)濾規(guī)則，然后再對(duì)某些應(yīng)被允許傳輸?shù)膮f(xié)議設(shè)置允許標(biāo)志。這樣做我們會(huì)感到系統(tǒng)的安全性更好一些。10.4包的基本構(gòu)造

為了更好的理解包過(guò)濾，我們首先必須正確理解包的構(gòu)造和它在TCP/IP協(xié)議各層上的操作，這些層是：應(yīng)用層（如HTTP、FTP和Telnet）、傳輸層（如TCP、UDP）、因特網(wǎng)絡(luò)層（IP）和網(wǎng)絡(luò)接口層（FDDI、ATM和以太網(wǎng)）。包的構(gòu)造有點(diǎn)像洋蔥一樣，它是由各層連接的協(xié)議組成的。在每一層－包都由包頭與包體兩部分組成。在包頭中存放與這一層相關(guān)的協(xié)議信息，在包體中存放包在這一層的數(shù)據(jù)信息。這些數(shù)據(jù)信息也包含了上層的全部信息。在每一層上對(duì)包的處理是將從上層獲取的全部信息作為包體，然后依本層的協(xié)議加上包頭。這種對(duì)包的層次性操作（每一層均加裝一個(gè)包頭）一般稱為封裝。

在應(yīng)用層，包頭含有需被傳送的數(shù)據(jù)（如需被傳送的文件內(nèi)容）。當(dāng)構(gòu)成下一層（傳輸層）的包時(shí)，傳輸控制協(xié)議（TCP）或用戶數(shù)據(jù)報(bào)協(xié)議（UDP）從應(yīng)用層將數(shù)據(jù)全部取來(lái)，然后再加裝上本層的包頭。當(dāng)構(gòu)筑再下一層（因特網(wǎng)絡(luò)層）的包時(shí)，IP協(xié)議將上層的包頭與包體全部當(dāng)作本層的包體，然后再加裝上本層的包頭。在構(gòu)筑最后一層（網(wǎng)絡(luò)接口層）的包時(shí)，以太網(wǎng)或其他網(wǎng)絡(luò)協(xié)議將IP層的整個(gè)包作為包體，再加上本層的包頭。圖9.2顯示了這種操作過(guò)程。圖10.2數(shù)據(jù)包的封裝10.5包過(guò)濾處理內(nèi)核10.5.1包過(guò)濾和網(wǎng)絡(luò)策略

包過(guò)濾還可以用來(lái)實(shí)現(xiàn)大范圍內(nèi)的網(wǎng)絡(luò)安全策略。網(wǎng)絡(luò)安全策略必須清楚地說(shuō)明被保護(hù)的網(wǎng)絡(luò)和服務(wù)的類型、它們的重要程度和這些服務(wù)要保護(hù)的對(duì)象。一般來(lái)說(shuō)，網(wǎng)絡(luò)安全策略主要集中在阻截入侵者，而不是試圖警戒內(nèi)部用戶。它的工作重點(diǎn)是阻止外來(lái)用戶的突然侵入和故意暴露敏感性數(shù)據(jù)，而不是阻止內(nèi)部用戶使用外部網(wǎng)絡(luò)服務(wù)。這種類型的網(wǎng)絡(luò)安全策略決定了過(guò)濾路由器應(yīng)該放在哪里和怎樣通過(guò)編程來(lái)執(zhí)行包過(guò)濾。一個(gè)好的網(wǎng)絡(luò)安全策略還應(yīng)該做到，使內(nèi)部用戶也難以危害網(wǎng)絡(luò)的安全。

網(wǎng)絡(luò)安全策略的一個(gè)目標(biāo)就是要提供一個(gè)透明機(jī)制，以便這些策略不會(huì)對(duì)用戶產(chǎn)生障礙。因?yàn)榘^(guò)濾工作在OSI模型的網(wǎng)絡(luò)層和傳輸層，而不是在應(yīng)用層，這種方法一般來(lái)說(shuō)比防火墻方法更具透明性。因此，要記住防火墻是工作在OSI模型的應(yīng)用層的，這一層的安全措施不應(yīng)成為透明的。10.5.2一個(gè)簡(jiǎn)單的包過(guò)濾模型包過(guò)濾器通常置于一個(gè)或多個(gè)網(wǎng)段之間。網(wǎng)絡(luò)段區(qū)分為外部網(wǎng)段或內(nèi)部網(wǎng)段。外部網(wǎng)段是通過(guò)網(wǎng)絡(luò)將用戶的計(jì)算機(jī)連接到外面的網(wǎng)絡(luò)上，內(nèi)部網(wǎng)段用來(lái)連接公司的主機(jī)和其他網(wǎng)絡(luò)資源。包過(guò)濾器設(shè)備的每一個(gè)端口都可用來(lái)完成網(wǎng)絡(luò)安全策略，該策略描述了通過(guò)此端口可訪問(wèn)的網(wǎng)絡(luò)服務(wù)類型。如果連在包過(guò)濾設(shè)備上的網(wǎng)絡(luò)段的數(shù)目很大，那么包過(guò)濾所要完成的服務(wù)就會(huì)變得很復(fù)雜。一般來(lái)說(shuō)，應(yīng)當(dāng)避免對(duì)網(wǎng)絡(luò)安全問(wèn)題采取過(guò)于復(fù)雜的解決方案，理由如下：（１）它們難以維護(hù)；（２）配置包過(guò)濾時(shí)容易出錯(cuò)；（３）它們對(duì)所實(shí)施的設(shè)備的功能有副作用。大多數(shù)情況下包過(guò)濾設(shè)備只連兩個(gè)網(wǎng)段，即外部網(wǎng)段和內(nèi)部網(wǎng)段。包過(guò)濾用來(lái)限制那些它拒絕服務(wù)的網(wǎng)絡(luò)流量。因?yàn)榫W(wǎng)絡(luò)策略是應(yīng)用于那些與外部主機(jī)有聯(lián)系的內(nèi)部用戶的，所以過(guò)濾路由器端口兩面的過(guò)濾器必須以不同的方式工作。10.5.3包過(guò)濾器操作幾乎所有的包過(guò)濾設(shè)備（過(guò)濾路由器或包過(guò)濾網(wǎng)關(guān)）都按照如下方式工作：（１）包過(guò)濾標(biāo)準(zhǔn)必須由包過(guò)濾設(shè)備端口存儲(chǔ)起來(lái)，這些包過(guò)濾標(biāo)準(zhǔn)叫做包過(guò)濾規(guī)則；（２）當(dāng)包到達(dá)端口時(shí)，對(duì)包的報(bào)頭進(jìn)行語(yǔ)法分析，大多數(shù)包過(guò)濾設(shè)備只檢查IP、TCP或UDP報(bào)頭中的字段，不檢查包體的內(nèi)容；（３）包過(guò)濾器規(guī)則以特殊的方式存儲(chǔ)；（４）如果一條規(guī)則阻止包傳輸或接收，此包便不被通過(guò)；（５）如果一條規(guī)則允許包傳輸或接收，該包可以繼續(xù)處理；（６）如果一個(gè)包不滿足任何一條規(guī)則，該包便被阻塞。圖10.3包過(guò)濾操作流程圖10.5.4包過(guò)濾設(shè)計(jì)圖10.4有包過(guò)濾路由器的網(wǎng)絡(luò)

假設(shè)網(wǎng)絡(luò)策略安全規(guī)則確定：從外部主機(jī)發(fā)來(lái)的因特網(wǎng)郵件在某一特定網(wǎng)關(guān)被接收，并且想拒絕從不信任的名為Cree-Phost的主機(jī)發(fā)來(lái)的數(shù)據(jù)流（拒絕的原因可能是該主機(jī)發(fā)送郵件系統(tǒng)不能處理大量的報(bào)文，也可能是懷疑這臺(tái)主機(jī)會(huì)給網(wǎng)絡(luò)安全帶來(lái)極大的威脅）。在這個(gè)例子中，SMTP使用的網(wǎng)絡(luò)安全策略必須翻譯成包過(guò)濾規(guī)則。我們可以把網(wǎng)絡(luò)安全規(guī)則翻譯成下列中文規(guī)則：

［過(guò)濾器規(guī)則1］我們不相信從Cree-Phost來(lái)的連接;

［過(guò)濾器規(guī)則2］我們?cè)试S與我們的郵件網(wǎng)關(guān)的連接；這些規(guī)則可以編輯成如表9.1所示的規(guī)則表，其中星號(hào)（*）表明它可以匹配該列的任何值。表10.1一個(gè)包過(guò)濾規(guī)則的編碼例子

對(duì)于過(guò)濾器規(guī)則1（表9.1），有一外部主機(jī)列，而其他列有星號(hào)(*)標(biāo)記。其“動(dòng)作”是阻塞連接。這一規(guī)則可以翻譯為：阻塞任何以(*)Cree-Phost端口來(lái)的到我們?nèi)我?*)主機(jī)的任意(*)端口的連接。對(duì)于過(guò)濾規(guī)則2，有我們的主機(jī)和主機(jī)端口列，其他的列都為(*)號(hào)，其“動(dòng)作”是允許連接，這可翻譯為：

·

允許任意（*）外部主機(jī)從其任意（*）端口到我們的Mail-GW主機(jī)端口的連接。

·使用端口號(hào)25是因?yàn)檫@個(gè)TCP端口是保留給SMTP的。

這些規(guī)則應(yīng)用的順序與它們?cè)诒碇械捻樞蛳嗤Ｈ绻粋€(gè)包不與任何規(guī)則匹配，它就會(huì)遭到拒絕。在表9.1中規(guī)定的過(guò)濾規(guī)則方式的一個(gè)問(wèn)題是：它允許任何外部機(jī)器從端口25產(chǎn)生一個(gè)請(qǐng)求。端口25應(yīng)該保留SMTP，但一個(gè)外部主機(jī)可能用這個(gè)端口做其他用途。過(guò)濾規(guī)則3表示了一個(gè)內(nèi)部主機(jī)如何發(fā)送SMTP郵件到外部主機(jī)端口25，以使內(nèi)部主機(jī)完成發(fā)送郵件到外部站點(diǎn)的任務(wù)。如果外部站點(diǎn)對(duì)SMTP不使用端口號(hào)25，那么SMTP發(fā)送者便發(fā)送郵件。TCP是全雙工連接的，信息流是雙向的。表9.1中的包過(guò)濾規(guī)則不能明確地區(qū)分包中的信息流向，即是從我們的主機(jī)到外部站點(diǎn)，還是從外部站點(diǎn)到我們的主機(jī)。當(dāng)TCP包從任一方向發(fā)送出去時(shí)，接收者必須通過(guò)設(shè)置確認(rèn)（ACK，Acknowledgement)標(biāo)志來(lái)發(fā)送確認(rèn)。ACK標(biāo)志是用在正常的TCP傳輸中的，首包的ACK=0，而后續(xù)包的ACK=1，如圖10.5所示。圖10.5在TCP數(shù)據(jù)傳輸中使用確認(rèn)

在圖10.5中，發(fā)送者發(fā)送一個(gè)段（TCP發(fā)送的數(shù)據(jù)叫做段），其開(kāi)始的比特?cái)?shù)是1001（SEQ#），長(zhǎng)度是100；接收者發(fā)送回去一個(gè)確認(rèn)包，其中ACK標(biāo)志置為1，且確認(rèn)數(shù)(ACK＃)設(shè)置為1001+100=1101；發(fā)送者再發(fā)送1個(gè)TCP段數(shù)，每段為200bit。這些是通過(guò)一個(gè)單一確認(rèn)包來(lái)確認(rèn)，其中ACK設(shè)置為1，確認(rèn)數(shù)表明下一個(gè)TCP數(shù)據(jù)段開(kāi)始的比特?cái)?shù)是（1101+200）=1301。從圖10.5我們可以看到，所有的TCP連接都要發(fā)送ACK包。當(dāng)ACK包被發(fā)送出去時(shí)，其發(fā)送方向相反，且包過(guò)濾規(guī)則應(yīng)考慮那些確認(rèn)控制包或數(shù)據(jù)包的ACK包。表10.2SMTP的包過(guò)濾規(guī)則

對(duì)于表10.2中的過(guò)濾規(guī)則1，源主機(jī)或網(wǎng)絡(luò)列有一項(xiàng)為，目的主機(jī)端口列有一項(xiàng)為25，所有其他的列都是“*”號(hào)。過(guò)濾規(guī)則1的動(dòng)作是允許連接。這可翻譯為：允許任何從網(wǎng)絡(luò)的任一端口（*）產(chǎn)生的到具有任何TCP標(biāo)志或IP選項(xiàng)設(shè)置（包括源路由選擇）的、任一目的主機(jī)（*）的端口25的連接。注意，由于是一個(gè)C類IP地址（也叫netid）,主機(jī)號(hào)（也叫hostid）字段中的0指的是在網(wǎng)絡(luò)199.245.180中的任何主機(jī)。

對(duì)于過(guò)濾規(guī)則2，源主機(jī)端口列有一項(xiàng)為25，目的主機(jī)或網(wǎng)絡(luò)列有一項(xiàng)是，TCP標(biāo)志或IP選項(xiàng)列為ACK，所有其他的列都是“*”號(hào)。過(guò)濾規(guī)則2的動(dòng)作是允許連接。這可翻譯為：允許任何來(lái)自任一（*）端口的連接被繼續(xù)設(shè)置。表10.2的過(guò)濾規(guī)則1和2的組合效應(yīng)就是允許TCP包在網(wǎng)絡(luò)和任一外部主機(jī)的SMTP端口之間傳輸，即過(guò)濾規(guī)則3。

因?yàn)榘^(guò)濾只檢驗(yàn)OSI模型的第二和第三層，所以無(wú)法絕對(duì)保證返回的TCP確認(rèn)包是同一個(gè)連接的部分。在實(shí)際應(yīng)用中，因?yàn)門CP連接維持兩方的狀態(tài)信息，它們知道什么樣的序列號(hào)和確認(rèn)是所期望的。另外，上一層的應(yīng)用服務(wù)，如Telnet和SMTP只能接受那些遵守應(yīng)用協(xié)議規(guī)則的包。偽造一個(gè)含有正確ACK包的確認(rèn)是很困難的（盡管理論上是可能的）。對(duì)于更高層的安全，我們可以使用應(yīng)用層的網(wǎng)關(guān)，如防火墻等。10.6包過(guò)濾規(guī)則10.6.1制訂包過(guò)濾規(guī)則時(shí)應(yīng)注意的事項(xiàng)

(1)聯(lián)機(jī)編輯過(guò)濾規(guī)則。一般的文件編輯器都比較小，我們?cè)诰庉嫲^(guò)濾規(guī)則時(shí)有時(shí)還不太清楚新規(guī)則與原有的老規(guī)則是否會(huì)有沖突。我們發(fā)覺(jué)將過(guò)濾規(guī)則以文本文件方式保存在其他的PC機(jī)上，第一個(gè)好處是很方便。因?yàn)檫@樣我們可以找到比較熟悉的工具對(duì)它進(jìn)行加工，然后再將它裝入到包過(guò)濾系統(tǒng)。第二個(gè)好處是可將每條過(guò)濾規(guī)則的注釋部分也保存下來(lái)。大多數(shù)包過(guò)濾系統(tǒng)會(huì)自動(dòng)將過(guò)濾程序中的注釋部分消除，因此，當(dāng)過(guò)濾規(guī)則裝入過(guò)濾系統(tǒng)后，我們會(huì)發(fā)現(xiàn)注釋部分已不再存在。(2)要用IP地址值，而不用主機(jī)名

在包過(guò)濾規(guī)則中，要用具體的IP地址值來(lái)指定某臺(tái)主機(jī)或某個(gè)網(wǎng)絡(luò)而不要用主機(jī)名字。這樣可以防止有人有意或無(wú)意破壞名字——通過(guò)地址翻譯器后帶來(lái)的麻煩。(3)從scratch中將新的過(guò)濾規(guī)則裝入

規(guī)則文件生成后先要將老的規(guī)則文件消除，然后再?gòu)膕cratch中將新的規(guī)則文件裝入。這樣做可以使你不用再為新的規(guī)則集是否與老規(guī)則集產(chǎn)生沖突而擔(dān)憂。10.6.2設(shè)定包過(guò)濾規(guī)則的簡(jiǎn)單實(shí)例我們讓內(nèi)部網(wǎng)（C類地址為）只與某一臺(tái)外部主機(jī)（0）之間進(jìn)行數(shù)據(jù)交換，在這種情況下，采用如表10.3所示規(guī)則。表10.3包過(guò)濾規(guī)則例10.1

當(dāng)用screend時(shí)，我們可以這樣來(lái)寫命令betweenhost0andnetaccept;betweenhostanyandhostanyreject;

例10.2當(dāng)用TelehitMctbiazer時(shí)，我們還必須設(shè)定此規(guī)則用于哪個(gè)接口和該規(guī)則是否對(duì)進(jìn)出流量均有效，如對(duì)一個(gè)名為“Syno”的外接口，我們的規(guī)則可用以下的命令來(lái)寫：permit0/32/24synoindeny/0/0synoinpermit/240/32synooutdeny/0/0synoout

例10.3

針對(duì)一個(gè)Cisco路由器，我們也必須將規(guī)則變成設(shè)置，并將該設(shè)置用于相應(yīng)的端口與數(shù)據(jù)流方向。假定端口為“serial1”，我們的規(guī)則應(yīng)寫成下面的樣子：access-list101permitip055access-list101denyip5555interfaceserial0access-group101inaccess-list101permitip550access-list102denyip5555interfaceSerial0access-group102out10.7依據(jù)地址進(jìn)行過(guò)濾

在包過(guò)濾系統(tǒng)中，簡(jiǎn)單的方法是依據(jù)地址進(jìn)行過(guò)濾。用地址進(jìn)行過(guò)濾可以不管使用什么協(xié)議，僅根據(jù)源地址/目的地址對(duì)流動(dòng)的包進(jìn)行過(guò)濾。我們可用這種方法只讓某些被指定的外部主機(jī)與某些被指定的內(nèi)部主機(jī)進(jìn)行交互。還可以防止黑客用偽包裝成來(lái)自某臺(tái)主機(jī)，而其實(shí)并非來(lái)自于那臺(tái)主機(jī)的包對(duì)網(wǎng)絡(luò)進(jìn)行的侵?jǐn)_。

例如，為了防止偽包流入內(nèi)部網(wǎng)，我們可以這樣來(lái)制訂規(guī)則：RuleDirectionSourceAddressDestinationAddressActionAInboundInternalAnyDeny

請(qǐng)注意，方向是往內(nèi)的。在外部網(wǎng)與內(nèi)部網(wǎng)間的路由器上，我們可以將往內(nèi)的規(guī)則用于路由器的外部網(wǎng)接口，以控制流入的包；也可以將規(guī)則用于路由器的內(nèi)部網(wǎng)接口，用來(lái)控制流出的包。這兩種方法對(duì)內(nèi)部網(wǎng)的保護(hù)效果是一樣的，但對(duì)路由器而言，第二種方法顯然沒(méi)有對(duì)它（路由器）提供保護(hù)。

有時(shí)，依據(jù)源地址過(guò)濾有一定的風(fēng)險(xiǎn)，因?yàn)榘脑吹刂芬子诒粋卧欤室揽吭吹刂穪?lái)過(guò)濾就不太可靠。除非我們?cè)偈褂靡恍┢渌募夹g(shù)如加密、認(rèn)證，否則我們不能完全確認(rèn)我們正在與之交互的機(jī)器就是我們想要與之交互的機(jī)器，而不是什么其他機(jī)器偽裝的。上面討論的規(guī)則能防止外部主機(jī)偽裝成內(nèi)部主機(jī)，而該規(guī)則對(duì)外部主機(jī)冒充另一臺(tái)外部主機(jī)則束手無(wú)策。依靠偽裝發(fā)動(dòng)攻擊的技術(shù)有兩種：源地址偽裝和途中人的攻擊。

在一個(gè)基本的源地址偽裝攻擊中，入侵者用一個(gè)用戶認(rèn)為信賴的源地址向用戶發(fā)送一個(gè)包，他希望用戶基于對(duì)源地址的信任而對(duì)該包進(jìn)行正常的操作。他并不希望用戶給他什么響應(yīng)，即回送他的包。因此，他沒(méi)有必要等待返回信息，他可以呆在任何地方。而用戶對(duì)該包的響應(yīng)則會(huì)送到被偽裝的那臺(tái)機(jī)器。其實(shí)，大多數(shù)協(xié)議對(duì)一個(gè)有經(jīng)驗(yàn)的入侵者來(lái)講，其響應(yīng)都是可預(yù)測(cè)的。有些入侵者是不用獲得響應(yīng)就可實(shí)施的。

例：假定一個(gè)入侵者在用戶的系統(tǒng)注冊(cè)了一個(gè)命令，該命令讓系統(tǒng)將口令文件以E-mail方式發(fā)送給他。對(duì)于這種入侵，他就只要等待系統(tǒng)發(fā)出的口令文件即可，而不用再觀察系統(tǒng)對(duì)該命令的執(zhí)行過(guò)程了。在許多情形下，特別是在涉及TCP的連接中，真正的主機(jī)（入侵者就是冒充它）對(duì)收到莫名其妙的包后的反應(yīng)一般是將這種有問(wèn)題的連接清除掉。當(dāng)然，入侵者不希望看到這種情況發(fā)生。他們要保證在真正的主機(jī)連到我們的包前就要完成攻擊，或者在我們接收到真正的主機(jī)要求清除連接前完成入侵。入侵者有一系列的手段可做到這一點(diǎn)，如：

（１）在真正主機(jī)關(guān)閉的情形下，入侵者冒充它來(lái)攻擊內(nèi)部網(wǎng)；（２）先破壞真正主機(jī)以保證偽裝入侵成功；（３）在實(shí)施入侵時(shí)用大流量數(shù)據(jù)塞死真正主機(jī)；（４）將真正主機(jī)與攻擊目標(biāo)間的路由搞亂；（５）使用不要求兩次響應(yīng)的攻擊技術(shù)。采用以上技術(shù)實(shí)施攻擊，在以前被認(rèn)為是一種理論上的可能性，而非實(shí)際可能性，而目前這些技術(shù)已成為潛在的威脅。

途中人偽裝攻擊是依靠偽裝成某臺(tái)主機(jī)與內(nèi)部網(wǎng)完成交互的能力，要做到這點(diǎn)，入侵者既要偽裝成某臺(tái)主機(jī)向被攻擊者發(fā)送包，而且還要中途攔截返回的包，要做到這樣，入侵者可用如下兩種操作。

(1)入侵者必須使自己處于被攻擊對(duì)象與被偽裝機(jī)器的路徑當(dāng)中。要達(dá)到這樣的要求，最簡(jiǎn)單的方法是入侵者將自己安排在路徑的兩端，而最難的方法是將自己設(shè)置在路徑中間，因?yàn)楝F(xiàn)代的IP網(wǎng)絡(luò)，兩點(diǎn)之間的路徑是可變的。(2)將被偽裝主機(jī)和被攻擊主機(jī)的路徑更改成必須通過(guò)攻擊者的機(jī)器。這樣做可能非常容易，也可能非常困難，主要取決于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)的路由系統(tǒng)。雖然這種技術(shù)被稱為“途中人”技術(shù)，但這種攻擊卻很少由處于路徑中間的機(jī)器發(fā)起，因?yàn)樘幵诰W(wǎng)絡(luò)路徑中間的大都是網(wǎng)絡(luò)（或網(wǎng)絡(luò)服務(wù)）供應(yīng)商。10.8依據(jù)服務(wù)進(jìn)行過(guò)濾10.8.1往外的Telnet服務(wù)圖10.6往外的Telnet服務(wù)

在這種Telnet服務(wù)器中，往外的包中包含了用戶擊鍵的信息，并具有如下特征：（１）該包的IP源地址是本地主機(jī)的IP地址；（２）該包的IP目的地址是遠(yuǎn)程主機(jī)的IP地址；（３）Telnet是基于TCP的服務(wù)，所以該IP包是滿足TCP協(xié)議的；（４）TCP的目標(biāo)端口號(hào)是23；（５）TCP的源端口號(hào)在本例中（下面用‘Y’表示）應(yīng)該是一個(gè)大于1023的隨機(jī)數(shù)；（６）為建立連接的第一個(gè)外向包的ACK位的信息是ACK=0，其余外向包均為ACK=1。

這種服務(wù)中往內(nèi)的包中含有用戶的屏幕顯示信息（如login提示符），并具有以下特征：（１）該包的IP源地址是遠(yuǎn)程主機(jī)的IP地址；（２）該包的IP目的地址是本地主機(jī)的IP地址；（３）該包是TCP類型的；（４）該包的源端口號(hào)是23；（５）該包的目標(biāo)端口號(hào)為‘Y’；（６）所有往內(nèi)的包的ACK=1。

我們注意到往內(nèi)與往外的包頭信息中，使用了相同的地址與端口號(hào)，只是將目標(biāo)與源互換而已。另外，至于為何往外的包的源端口號(hào)肯定大于1023？這最初是由BSDUNIX規(guī)定的，而后面的大多數(shù)UNIX都繼承了這一慣例。BSDUNIX將0~1023號(hào)端口保留給root使用。這些端口號(hào)只有服務(wù)器可用（而B(niǎo)SD的“r”命令如rcp和rlogin是例外）。甚至有些沒(méi)有特權(quán)用戶概念的操作系統(tǒng)如MS-DOS、Mashintosh也繼承了這一慣例。當(dāng)客戶程序要用到端口號(hào)時(shí)，只能被分配到1023號(hào)以上的端口號(hào)。10.8.2往內(nèi)的Telnet服務(wù)下面，我們?cè)倏匆幌峦鶅?nèi)的Telnet服務(wù)的情形。在這種服務(wù)中，一個(gè)遠(yuǎn)程用戶與一個(gè)本地主機(jī)通信。同樣，我們要同時(shí)觀察往內(nèi)與往外的包，往內(nèi)的包中含有用戶的擊鍵信息，并具有如下特征：（１）該包的IP源地址是遠(yuǎn)程主機(jī)的地址