网络防火墙设计中的一些重点问题.doc

　　网络防火墙设计中的一些重点问题～教育资源库 　　1．方案：硬件？还是软件？ 　　现在防火墙的功能越来越多越花哨，如此多的功能必然要求系统有一个高效的处理能力。 　　防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以checkpoint公司的Fire）； 　　限制命令执行权限； 　　取消IP转发功能； 　　检查每个分组的接口； 　　采用随机连接序号； 　　驻留分组过滤模块； 　　取消动态路由功能； 　　采用多个安全内核（这个只见有人提出，但未见到实例，对此不是很清楚）。 　　以上诸多工作，其实基本上都没有对内核源码做太大改动，因此从个人角度来看算不上可以太夸大的地方。 　　对于防火墙部分，国内大部分已经升级到2.4内核所支持的filter。filter已经是一个功能比较完善的防火墙框架，它已经支持基于状态的监测（通过connection track模块实现）。而且filter是一个设计很合理的框架，可以在适当的位置上登记一些需要的处理函数，正式代码中已经登记了许多处理函数，如在NF_IP_FORZ内主机都无法窃听到该通信，安全性显然很高，而且设计时也无需考虑通信过程加密的问题。 　　然而这样做，我们需要单独设置一台管理主机，显然太过浪费，而且这样管理起来的灵活性也不好。 　　b．通信过程加密 　　这样无需一个专门的端口，内网任意一台主机都可以在适当的情况下成为管理主机，管理主机和防火墙之间采用加密的方式通信。 　　目前国内 1234下一页 友情提醒：，特别！有采用的是使用自定义协议、一次性口令认证。对加密这个领域了解不多，不做详细讨论。 　　B．对来自外部（和内部）攻击的反应能力 　　目前常见的来自外部的攻击方式主要有： 　　a．DOS（DDOS）攻击 　　（分布式）拒绝服务攻击是目前一种很普遍的攻击方式，在预防上也是非常困难的。目前防火墙对于这种攻击似乎没有太多的解决办法，主要是提高防火墙本身的健壮性（如增加缓冲区大小）。在Linux内核中有一个防止Syn flooding攻击的选项：CONFIG_SYN_COOKIES，它是通过为每一个Syn建立一个缓冲（cookie）来分辨可信请求和不可信请求。另外对于ICMP攻击，可以通过关闭ICMP 回应来实现。 　　b．IP假冒（IP spoofing） 　　IP假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的信任，从而达到对网络的攻击目的。 　　第一，防火墙设计上应该知道网络内外的IP地址分配，从而丢弃所有来自网络外部但却有内部地址的数据包。实际实现起来非常简单，只要在内核中打开rp_filter功能即可。 　　第二，防火墙将内网的实际地址隐蔽起来，外网很难知道内部的IP地址，攻击难度加大。IP假冒主要来自外部，对内网无需考虑此问题（其实同时内网的IP假冒情况也可以得到遏制）。 　　c．特洛伊木马 　　防火墙本身预防木马比较简单，只要不让系统不能执行下载的程序即可。 　　一个需要说明的地方是必须指出的是，防火墙能抗特洛伊木马的攻击并不意味着内网主机也能防止木马攻击。事实上，内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决（防火墙只能在内网主机感染木马以后起一定的防范作用）。 　　d．口令字攻击 　　口令字攻击既可能来自外部，也可能来自内部，主要是来自内部。（在管理主机与防火墙通过单独接口通信的情况下，口令字攻击是不存在的） 　　来自外部的攻击即用穷举的办法猜测防火墙管理的口令字，这个很容易解决，只要不把管理部分提供给外部接口即可。 　　内部的口令字攻击主要是穷举和嗅探，其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字，如果口令字已加密，则解密得到口令字。目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。 　　e．邮件诈骗 　　邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单，不接收任何邮件就可以了。然而象木马攻击一样，内网主机仍可收发邮件，邮件诈骗的危险仍然存在，其解决办法一个是内网主机本身采取措施防止邮件诈骗，另一个是在防火墙上做过滤。 　　f．对抗防火墙（anti-fireAC地址回送ARP包；内网内某一主机发送ARP广播包询问路由器的硬件地址时，防火墙用和内网相连接口的MAC地址回送ARP包，因此路由器和内网主机都认为将数据包发给了对方，而实际上是发给了防火墙转发。 　　显然，此时防火墙还必须实现路由转发，使内外网之间的数据包能够透明的转发。另外，防火墙要起到防火墙的作用，显然还需要把数据包上