防火墙的概念，核心技术，原理，以及可能受到的各种攻击

一：防火墙

防火墙指的是一个由 软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
换句话说，防火墙是一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、拒绝、监视、记录）进出网络的访问行为。

二：防火墙的匹配（过滤）的依据

一、各层封包包头内的信息

在防火墙的匹配条件中，最基本且最简单的就是数据包中各层包头内的信息。 

    1、连接层 

      这一层中最重要的信息是MAC地址，我们可以在防火墙的过滤规则中借助Destination MAC来判别封包是由哪一台主机送出来的。 

    2、网络层

     IP包头中是有很多信息是可以拿来作为过滤条件的。如下： 
           Header Length －－ IP包的长度 
           Differentiated Service －－ 差别服务判别，执行Qos时即可能会用到，   一般正常值应为0 
           Total Length －－ 数据包不包含连接层包头的整体长度 
           Flags －－ 注明数据包是否可以被切割，或者指定数据包可不可以被切割 
           Time To Live －－ 数据包的存活时间 
           Protocol －－ 上层协议，如TCP为06、UDP为17、ICMP为01等 
           Source －－ 来源端主机的IP地址 
           Destination －－ 目的端主机的IP地址 
    3、传输层 

     在传输层的世头中也有很多信息可以作为过滤条件，我们这里以TCP协议为例 

          Source Port －－来源端应用程序所在的Port号 
          Destination Port －－ 目的端应用程序所在的Port号 
          Header Length －－ TCP包头的整体长度 
          Flags －－ TCP包头内的连接控制标志，这是TCP包头内最为重要的信息。 
二、数据包所承载的数据内容 
     我们可以使用数据包中内容部分的特定字符串来作为过滤条件。

三、连接状态

    根据防火墙提供的“连接状态判别”的机制

三：防火墙核心技术：

包过滤防火墙技术原理

1、 简单包过滤防火墙不检查数据区

2、 简单包过滤防火墙不建立连接状态表

3、 前后报文无关

4、 应用层控制很弱

应用代理防火墙技术原理

1、 不检查IP\TCP报头

2、 不建立连接状态表

3、 网络层保护比较弱

状态检测防火墙技术原理

1、 不检查数据区

2、 建立连接状态表

3、 前后报文相关

4、 应用层控制很弱

完全内容检测（深度包检测）防火墙技术原理

完全内容检测（深度包检测）则可以看做是IDS(入侵检测)和IPS(入侵防御)技术的结合。

1、 网络层保护强

2、 应用层保护强

3、 会话保护很强

4、 上下文相关

5、 前后报文有联系

防火墙主要是针对外网的攻击添加规则，所以对于内网的攻击并无太强的招架之力。
防火墙一般有两个以上的网络卡，一个连到外部(router)，另一个是连到内部网络。当打开主机网络转发功能时，两个网卡间的网络通讯能直接通过。当有防火墙时，他好比插在网卡之间，对所有的网络通讯进行控制。

四：访问控制

防火墙主要通过一个访问控制表来判断的，他的形式一般是一连串的如下规则：

1 accept from+ 源地址，端口 to+ 目的地址，端口+ 采取的动作

2 deny …(deny就是拒绝。。)

3 nat …(nat是地址转换。后面说)

防火墙在网络层(包括以下的炼路层)接受到网络数据包后，就从上面的规则连表一条一条地匹配，如果符合就执行预先安排的动作了！如丢弃包。。。。

但是，不同的防火墙，在判断攻击行为时，有实现上的差别。下面结合实现原理说说可能的攻击。

五：攻击包过滤防火墙

包过滤防火墙是最简单的一种了，它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为。他根据数据包的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口来过滤！！很容易受到如下攻击：

1 ip 欺骗攻击：

这种攻击，主要是修改数据包的源，目的地址和端口，模仿一些合法的数据包来骗过防火墙的检测。如：外部攻击者，将他的数据报源地址改为内部网络地址，防火墙看到是合法地址就放行了：)。可是，如果防火墙能结合接口，地址来匹配，这种攻击就不能成功了：(

2 dos(Denial of Service)拒绝服务攻击

使系统过于忙碌而不能执行有用的业务并且占尽关键系统资源。它是基于这样的思想：用数据包淹没本地系统，以打扰或严重阻止捆绑本地的服务响应外来合法的请求，甚至使本地系统崩溃。实现Dos攻击，常见的方式有：TCP SYN泛洪(SYN Flood)，ping泛洪(ping-Flood)，UDP泛洪(UDP-Flood)，分片炸弹(fragmentation bombs)，缓冲区溢出(buffer overflow)和ICMP路由重定向炸弹(ICMP routeing redirect bomb)。
简单的包过滤防火墙不能跟踪 tcp的状态，很容易受到拒绝服务攻击，一旦防火墙受到dos攻击，他可能会忙于处理，而忘记了他自己的过滤功能。

3 分片攻击

这种攻击的原理是：在IP的分片包中，所有的分片包用一个分片偏移字段标志分片包的顺序，但是，只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时，防火墙只根据第一个分片包的Tcp信息判断是否允许通过，而其他后续的分片不作防火墙检测，直接让它们通过。

这样，攻击者就可以通过先发送第一个合法的IP分片，骗过防火墙的检测，接着封装了恶意数据的后续分片包就可以直接穿透防火墙，直接到达内部网络主机，从而威胁网络和主机的安全。

4 木马攻击

对于包过滤防火墙最有效的攻击就是木马了，一但你在内部网络安装了木马，防火墙基本上是无能为力的。

原因是：包过滤防火墙一般只过滤低端口(1-1024)，而高端口他不可能过滤的(因为，一些服务要用到高端口，因此防火墙不能关闭高端口的)，所以很多的木马都在高端口打开等待，如冰河，subseven等。。。

但是木马攻击的前提是必须先上传，运行木马，对于简单的包过滤防火墙来说，是容易做的,大概就是利用内部网络主机开放的服务漏洞。

早期的防火墙都是这种简单的包过滤型的，到现在已很少了，不过也有。现在的包过滤采用的是状态检测技术，下面谈谈状态检测的包过滤防火墙。

六：攻击状态检测的包过滤

状态检测技术最早是checkpoint提出的，在国内的许多防火墙都声称实现了状态检测技术。 状态检测l防火墙虽然继承了包过滤防火墙和应用网关防火墙的优点，克服了它们的缺点，但它仍只是检测数据包的第三层信息，无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。

七：攻击代理

代理是运行在应用层的防火墙，他实质是启动两个连接，一个是客户到代理，另一个是代理到目的服务器。

实现上比较简单，和前面的一样也是根据规则过滤。由于运行在应用层速度比较慢。

攻击代理的方法很多。

这里就以wingate为例，简单说说了。

WinGate是目前应用非常广泛的一种Windows95/NT代理防火墙软件，内部用户可以通过一台安装有WinGate的主机访问外部网络，但是它也存在着几个安全脆弱点。

黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问，从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此，这种攻击非常难于被跟踪和记录。

导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate代理防火墙软件进行合理的设置，只是简单地从缺省设置安装完毕后就让软件运行，这就给攻击者可乘之机。

1 非授权Web访问

某些WinGate版本(如运行在NT系统下的2.1d版本)在误配置情况下，允许外部主机完全匿名地访问因特网。因此，外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击( 如CGI的漏洞攻击等)，同时由于Web攻击的所有报文都是从80号Tcp端口穿过的，因此，很难追踪到攻击者的来源。

检测

检测WinGate主机是否有这种安全漏洞的方法如下：

1. 以一个不会被过滤掉的连接(譬如说拨号连接)连接到因特网上。

2. 把浏览器的代理服务器地址指向待测试的WinGate主机。

如果浏览器能访问到因特网，则WinGate主机存在着非授权Web访问漏洞。

2 非授权Socks访问

在WinGate的缺省配置中，Socks代理(1080号Tcp端口)同样是存在安全漏洞。与打开的Web代理(80号Tcp端口)一样，外部攻击者可以利用Socks代理访问因特网。

3非授权Telnet访问

它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的inGate服务器的Telnet服务，攻击者可以使用别人的主机隐藏自己的踪迹，随意地发动攻击。

八：应对措施

防火墙的攻击不单是上面的一点

一直以来，黑客都在研究攻击防火墙的技术和手段，攻击的手法和技术越来越智能化和多样化。但是就黑客攻击防火墙的过程上看，大概可以分为三类攻击。

第一类攻击防火墙的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些服务。我们叫它为对防火墙的探测攻击。

第二类攻击防火墙的方法是采取地址欺骗、TCP序号攻击等手法绕过防火墙的认证机制，从而 对防火墙和内部网络破坏。

第三类攻击防火墙的方法是寻找、利用防火墙系统实现和设计上的安全漏洞，从而有针对性地发动攻击。这种攻击难度比较大，可是破坏性很大。
包过滤防火墙和应用代理防火墙以及状态检测防火墙都有固有的无法克服的缺陷，不能满足用户对于安全性的不断的要求，于是完全内容检测（深度包检测）防火墙技术被提出了。 完全内容检测（深度包检测）防火墙通过指纹匹配、启发式、异常检测等技术来决定处理数据包的方式。它可以比状态检测防火墙更为有效的辨识缓冲区溢出攻击、DOS攻击以及各种蠕虫病毒的侵扰。它真正的将IDS技术完全融入其中。