再谈防火墙及防火墙的渗透

创建时间：2005-02-20
文章属性：原创
文章提交：mrcool (mrcoolfuyu_at_tom.com)

（一）  防火墙介绍

    防火墙是一种功能，它使得内部网络和外部网络或Internet互相隔离，以此来保护内部网络或主机。简单的防火墙可以由Router,3 Layer Switch的ACL（access control list）来充当，也可以用一台主机，甚至是一个子网来实现。复杂的可以购买专门的硬件防火墙或软件防火墙来实现。
    
    防火墙的功能有：
    1、过滤掉不安全服务和非法用户
    2、控制对特殊站点的访问
    3、提供监视Internet安全和预警的方便端点
    
    防火墙并不是万能的，也有很多防火墙无能为力的地方：
    1、防火墙防不住绕过防火墙的攻击。比如，防火墙不限制从内部网络到外部网络的连接，那么，一些内部用户可能形成一个直接通往Internet的连接，从而绕过防火墙，造成一个潜在的backdoor.恶意的外部用户直接连接到内部用户的机器上，以这个内部用户的机器为跳板，发起绕过防火墙的不受限制的攻击。
    2、防火墙不是防毒墙，不能拦截带病毒的数据在网络之间传播。
    3、防火墙对数据驱动式攻击也无能为力。

    因此，我们不能过分依赖防火墙。网络的安全是一个整体，并不是有某一样特别出色的配置。网络安全遵循的是“木桶原则”。

    一般防火墙具备以下特点：

    1、广泛的服务支持：通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、 FTP等；

    2、对私有数据的加密支持：保证通过Internet进行虚拟私人网络和商务活动不受损坏；

    3、客户端认证只允许指定的用户访问内部网络或选择服务：企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；

    4、反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们；

    5、C/S模式和跨平台支持：能使运行在一平台的管理模块控制运行在另一平台的监视模块。

    让我们来看看传统的防火墙工作原理及优缺点：
    
    1．(传统的)包过滤防火墙的工作原理

　　包过滤是在IP层实现的，因此，它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过。过滤用户定义的内容，如IP地址。其工作原理是系统在网络层检查数据包，与应用层无关，包过滤器的应用非常广泛，因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。这样系统就具有很好的传输性能，易扩展。但是这种防火墙不太安全，因为系统对应用层信息无感知——也就是说，它们不理解通信的内容，不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通过包过滤器，这样更容易被黑客攻破。 基于这种工作机制，包过滤防火墙有以下缺陷：

　　通信信息：包过滤防火墙只能访问部分数据包的头信息；

　　通信和应用状态信息：包过滤防火墙是无状态的，所以它不可能保存来自于通信和应用的状态信息；

　　信息处理：包过滤防火墙处理信息的能力是有限的。

    比如针对微软IIS漏洞的Unicode攻击，因为这种攻击是走的防火墙所允许的80端口，而包过滤的防火墙无法对数据包内容进行核查，因此此时防火墙等同于虚设，未打相应patch的提供web