強(qiáng)化操作系統(tǒng)

防火墻要求盡可能只配置必需的少量的服務(wù)。為了加強(qiáng)操作系統(tǒng)的穩(wěn)固性，防火墻安裝程序要禁止或刪除所有不需要的服務(wù)。多數(shù)的防火墻產(chǎn)品，包括Axent Raptor（www.axent.com），CheckPoint（www.checkpoint.com）和Network Associates Gauntlet （www.networkassociates.com）都可以在目前較流行的操作系統(tǒng)上運(yùn)行。

如Axent Raptor防火墻就可以安裝在Windows NT Server4.0，Solaris及HP-UX操作系統(tǒng)上。理論上來講，讓操作系統(tǒng)只提供最基本的功能，可以使利用系統(tǒng)BUG來攻擊的方法非常困難。最 后，當(dāng)你加強(qiáng)你的系統(tǒng)時(shí)，還要考慮到除了TCP/IP協(xié)議外不要把任何協(xié)議綁定到你的外部網(wǎng)卡上。

非軍事化區(qū)域（DMZ）

DMZ是一個(gè)小型網(wǎng)絡(luò)存在于公司的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。這個(gè)網(wǎng)絡(luò)由篩選路由器建立，有時(shí)是一個(gè)阻塞路由器。 DMZ用來作為一個(gè)額外的緩沖區(qū)以進(jìn)一步隔離公網(wǎng)和你的內(nèi)部私有網(wǎng)絡(luò)。DMZ另一個(gè)名字叫做Service Network，因?yàn)樗浅７奖?。這種實(shí)施的缺點(diǎn)在于存在于DMZ區(qū)域的任何服務(wù)器都不會(huì)得到防火墻的完全保護(hù)。

篩選路由器

篩選路由器的另一個(gè)術(shù)語就是包過濾路由器并且至少有一個(gè)接口是連向公網(wǎng)的，如Internet。它是對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的安全 策略——信息過濾規(guī)則對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制，允許授權(quán)信息通過，拒絕非授權(quán)信息通過。信息過濾規(guī)則是以其所收到的數(shù)據(jù)包頭信息為基礎(chǔ)的。采用這種 技術(shù)的防火墻優(yōu)點(diǎn)在于速度快、實(shí)現(xiàn)方便，但安全性能差，且由于不同操作系統(tǒng)環(huán)境下TCP和UDP端口號(hào)所代表的應(yīng)用服務(wù)協(xié)議類型有所不同，故兼容性差。

阻塞路由器

阻塞路由器（也叫內(nèi)部路由器）保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受Internet和周邊網(wǎng)的侵犯。內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。它允許從內(nèi)部網(wǎng)絡(luò)到Internet的有選擇的出站服務(wù)。這些服務(wù)是用戶的站點(diǎn)能使用數(shù)據(jù)包過濾而不是代理服務(wù)安全支持和安全提供的服務(wù)。內(nèi)部路由器所允許的在堡壘主機(jī)（在周邊網(wǎng)上）和用戶的內(nèi)部網(wǎng)之間服務(wù)可以不同于內(nèi)部路由器所允許的在Internet和用戶的內(nèi)部網(wǎng)之間的服務(wù)。限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致的受到來自堡壘主機(jī)侵襲的機(jī)器的數(shù)量。

防火墻默認(rèn)的配置

默認(rèn)情況下，防火墻可以配置成以下兩種情況：

·拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型。

·允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。

可論證地，大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項(xiàng)。一旦你安裝防火墻后，你需要打開一些必要的端口來使防火墻內(nèi)的用戶在通過驗(yàn)證之后可以訪問系統(tǒng)。換句話說，如果你想讓你的員工們能夠發(fā)送和接收Email，你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開啟允許 POP3和SMTP的進(jìn)程。

防火墻的一些高級(jí)特性

今天多數(shù)的防火墻系統(tǒng)組合包過濾，電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的功能。它們檢查單獨(dú)的數(shù)據(jù)包或整個(gè)信息包，然后利用事先訂制的規(guī)則來強(qiáng)制安全策略。只有那些可接受的數(shù)據(jù)包才能進(jìn)出整個(gè)網(wǎng)絡(luò)。當(dāng)你實(shí)施一個(gè)防火墻策略時(shí)，這三種防火墻類型可能都需要。更高級(jí)的防火墻提供額外的功能可以增強(qiáng)你的網(wǎng)絡(luò)的安全性。盡管不是必需，每個(gè)防火墻都應(yīng)該實(shí)施日志記錄，哪怕是一些最基本的。

認(rèn) 證

防火墻是一個(gè)合理的放置提供認(rèn)證方法來避開特定的IP包。你可以要求一個(gè)防火墻令牌（firewall token），或反向查詢一個(gè)IP地址。反向查詢可以檢查用戶是否真正地來自它所報(bào)告的源位置。這種技術(shù)有效地反擊IP欺騙的攻擊。防火墻還允許終端用戶認(rèn)證。應(yīng)用級(jí)網(wǎng)關(guān)或代理服務(wù)器可以工作在TCP/IP四層的每一層上。多數(shù)的代理服務(wù)器提供完整的用戶帳號(hào)數(shù)據(jù)庫。結(jié)合使用這些用戶帳號(hào)數(shù)據(jù)庫和代理服務(wù)器自定義的選項(xiàng)來進(jìn)行認(rèn)證。代理服務(wù)器還可以利用這些帳號(hào)數(shù)據(jù)庫來提供更詳細(xì)的日志。

日志和警報(bào)

包過濾或篩選路由器一般在默認(rèn)情況下為了不降低性能是不進(jìn)行日志記錄的。永遠(yuǎn)不要認(rèn)為你的防火墻會(huì)自動(dòng)地對(duì)所有活動(dòng)創(chuàng)建日志。篩選路由器只能記錄一些最基 本的信息，而電路級(jí)網(wǎng)關(guān)也只能記錄相同的信息但除此之外還包括任何NAT解釋信息。因?yàn)槟阋诜阑饓ι蟿?chuàng)建一個(gè)阻塞點(diǎn)，潛在的黑客必須要先穿過它。

如果你放置全面記錄日志的設(shè)備并在防火墻本身實(shí)現(xiàn)這種技術(shù)，那么你有可能捕獲到所有用戶的活動(dòng)包括那些黑客。你可以確切地知道黑客在做些什么并得到這些活 動(dòng)信息代審計(jì)。一些防火墻允許你預(yù)先配置對(duì)不期望的活動(dòng)做何響應(yīng)。防火墻兩種最普通的活動(dòng)是中斷TCP/IP連接或自動(dòng)發(fā)出警告。相關(guān)的警報(bào)機(jī)制包括可見 的和可聽到的警告。

建立一個(gè)防火墻

在準(zhǔn)備和建立一個(gè)防火墻設(shè)備時(shí)要高度重視。以前，堡壘主機(jī)這個(gè)術(shù)語是指所有直接連入公網(wǎng)的設(shè)備?，F(xiàn)在，它經(jīng)常汲及到的是防火墻設(shè)備。堡壘主機(jī)可以是三種防火墻中的任一種類型：包過濾，電路級(jí)網(wǎng)關(guān)，應(yīng)用級(jí)網(wǎng)關(guān)。

當(dāng)建設(shè)你的堡壘主機(jī)時(shí)要特別小心。堡壘主機(jī)的定義就是可公共訪問的設(shè)備。當(dāng)Internet用戶企圖訪問你網(wǎng)絡(luò)上的資源時(shí)，首先進(jìn)入的機(jī)器就是堡壘主機(jī)。 因?yàn)楸局鳈C(jī)是直接連接到Internet上的，其上面的所有信息都暴露在公網(wǎng)之上。這種高度地暴露規(guī)定了硬件和軟件的配置。

堡壘主機(jī)就好像是在軍事基地上的警衛(wèi)一樣。警衛(wèi)必須檢查每個(gè)人的身份來確定他們是否可以進(jìn)入基地及可以訪問基地中的什么地方。警衛(wèi)還經(jīng)常準(zhǔn)備好強(qiáng)制阻止進(jìn) 入。同樣地，堡壘主機(jī)必須檢查所有進(jìn)入的流量并強(qiáng)制執(zhí)行在安全策略里所指定的規(guī)則。它們還必須準(zhǔn)備好對(duì)付從外部來的攻擊和可能來自內(nèi)部的資源。堡壘主機(jī)還 有日志記錄及警報(bào)的特性來阻止攻擊。有時(shí)檢測(cè)到一個(gè)威脅時(shí)也會(huì)采取行動(dòng)。 設(shè)計(jì)規(guī)則

當(dāng)構(gòu)造防火墻設(shè)備時(shí)，經(jīng)常要遵循下面兩個(gè)主要的概念。第一，保持設(shè)計(jì)的簡(jiǎn)單性。第二，要計(jì)劃好一旦防火墻被滲透應(yīng)該怎么辦。

保持設(shè)計(jì)的簡(jiǎn)單性

一個(gè)黑客滲透系統(tǒng)最常見的方法就是利用安裝在堡壘主機(jī)上不注意的組件。建立你的堡壘主機(jī)時(shí)要盡可能使用較小的組件，無論硬件還是軟件。堡壘主機(jī)的建立只需提供防火墻功能。在防火墻主機(jī)上不要安裝像WEB服務(wù)的應(yīng)用程序服務(wù)。要?jiǎng)h除堡壘主機(jī)上所有不必需的服務(wù)或守護(hù)進(jìn)程。在堡壘主機(jī)上運(yùn)行少量的服務(wù)給潛在的黑客很少的機(jī)會(huì)穿過防火墻。

安排事故計(jì)劃

如果你已設(shè)計(jì)好你的防火墻性能，只有通過你的防火墻才能允許公共訪問你的網(wǎng)絡(luò)。當(dāng)設(shè)計(jì)防火墻時(shí)安全管理員要對(duì)防火墻主機(jī)崩潰或危及的情況作出計(jì)劃。如果你僅僅是用一個(gè)防火墻設(shè)備把內(nèi)部網(wǎng)絡(luò)和公網(wǎng)隔離開，那么黑客滲透進(jìn)你的防火墻后就會(huì)對(duì)你內(nèi)部的網(wǎng)絡(luò)有著完全訪問的權(quán)限。為了防止這種滲透，要設(shè)計(jì)幾種不同級(jí)別的防火墻設(shè)備。不要依賴一個(gè)單獨(dú)的防火墻保護(hù)惟獨(dú)的網(wǎng)絡(luò)。如果你的安全受到損害，那你的安全策略要確定該做些什么。采取一些特殊的步驟，包括

· 創(chuàng)建同樣的軟件備份

· 配置同樣的系統(tǒng)并存儲(chǔ)到安全的地方

· 確保所有需要安裝到防火墻上的軟件都容易，這包括你要有恢復(fù)磁盤。

堡壘主機(jī)的類型

當(dāng)創(chuàng)建堡壘主機(jī)時(shí)，要記住它是在防火墻策略中起作用的。識(shí)別堡壘主機(jī)的任務(wù)可以幫助你決定需要什么和如何配置這些設(shè)備。下面將討論三種常見的堡壘主機(jī)類型。這些類型不是單獨(dú)存在的，且多數(shù)防火墻都屬于這三類中的一種。

單宿主堡壘主機(jī)

單宿主堡壘主機(jī)是有一塊網(wǎng)卡的防火墻設(shè)備。單宿主堡壘主機(jī)通常是用于應(yīng)用級(jí)網(wǎng)關(guān)防火墻。外部路由器配置把所有進(jìn)來的數(shù)據(jù)發(fā)送到堡壘主機(jī)上，并且所有內(nèi)部客戶端配置成所有出去的數(shù)據(jù)都發(fā)送到這臺(tái)堡壘主機(jī)上。然后堡壘主機(jī)以安全方針作為依據(jù)檢驗(yàn)這些數(shù)據(jù)。這種類型的防火墻主要的缺點(diǎn)就是可以重配置路由器使信息直接進(jìn)入內(nèi)部網(wǎng)絡(luò)，而完全繞過堡壘主機(jī)。還有，用戶可以重新配置他們的機(jī)器繞過堡壘主機(jī)把信息直接發(fā)送到路由器上。

雙宿主堡壘主機(jī)

雙宿主堡壘主機(jī)結(jié)構(gòu)是圍繞著至少具有兩塊網(wǎng)卡的雙宿主主機(jī)而構(gòu)成的。雙宿主主機(jī)內(nèi)外的網(wǎng)絡(luò)均可與雙宿主主機(jī)實(shí)施通信，但內(nèi)外網(wǎng)絡(luò)之間不可直接通信，內(nèi)外部網(wǎng)絡(luò)之間的數(shù)據(jù)流被雙宿主主機(jī)完全切斷。雙宿主主機(jī)可以通過代理或讓用戶直接注冊(cè)到其上來提供很高程度的網(wǎng)絡(luò)控制。它采用主機(jī)取代路由器執(zhí)行安全控制功能，故類似于包過濾防火墻。

雙宿主機(jī)即一臺(tái)配有多個(gè)網(wǎng)絡(luò)接口的主機(jī)，它可以用來在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行尋址。當(dāng)一個(gè)黑客想要訪問你內(nèi)部設(shè)備時(shí)，他（她）必須先要攻破雙宿主堡壘主機(jī)，這有希望讓你有足夠的時(shí)間阻止這種安全侵入和作出反應(yīng)。

單目的堡壘主機(jī)

單目的堡壘主機(jī)既可是單堡壘也可是多堡壘主機(jī)。經(jīng)常，根據(jù)公司的改變，需要新的應(yīng)用程序和技術(shù)。很多時(shí)候這些新的技術(shù)不能被測(cè)試并成為主要的安全突破口。你要為這些需要?jiǎng)?chuàng)建特定的堡壘主機(jī)。在上面安裝未測(cè)試過的應(yīng)用程序和服務(wù)不要危及到你的防火墻設(shè)備。使用單目的堡壘主機(jī)允許你強(qiáng)制執(zhí)行更嚴(yán)格的安全機(jī)制。舉個(gè)例子，你的公司可能決定實(shí)施一個(gè)新類型的流程序，假設(shè)公司的安全策略需要所有進(jìn)出的流量都要通過一個(gè)代理服務(wù)器送出，你要為這個(gè)表的流程序單獨(dú)地創(chuàng)建一個(gè)新代理服務(wù)器。

在這個(gè)新的代理服務(wù)器上，你要實(shí)施用戶認(rèn)證和拒絕IP地址。使用這個(gè)單獨(dú)的代理服務(wù)器，不要危害到當(dāng)前的安全配置并且你可以實(shí)施更嚴(yán)格的安全機(jī)制如認(rèn)證。

內(nèi)部堡壘主機(jī)

內(nèi)部堡壘主機(jī)是標(biāo)準(zhǔn)的單堡壘或多堡壘主機(jī)存在于公司的內(nèi)部網(wǎng)絡(luò)中。它們一般用作應(yīng)用級(jí)網(wǎng)關(guān)接收所有從外部堡壘主機(jī)進(jìn)來的流量。當(dāng)外部防火墻設(shè)備受到損害時(shí)提供額外的安全級(jí)別。所有內(nèi)部網(wǎng)絡(luò)設(shè)備都要配置成通過內(nèi)部堡壘主機(jī)通信，這樣當(dāng)外部堡壘主機(jī)受到損害時(shí)不會(huì)造成影響。

四種常見的防火墻設(shè)計(jì)都提供一個(gè)確定的安全級(jí)別，一個(gè)簡(jiǎn)單的規(guī)則是越敏感的數(shù)據(jù)就要采取越廣泛的防火墻策略，這四種防火墻的實(shí)施都是建立一個(gè)過濾的距陣和能夠執(zhí)行和保護(hù)信息的點(diǎn)。這四種選擇是：

·篩選路由器

·單宿主堡壘主機(jī)

·雙宿主堡壘主機(jī)

·屏蔽子網(wǎng)

篩選路由器的選擇是最簡(jiǎn)單的，因此也是最常見的，大多數(shù)公司至少使用一個(gè)篩選路由器作為解決方案，因?yàn)樗行枰挠布呀?jīng)投入使用。用于創(chuàng)建篩選主機(jī)防火墻的兩個(gè)選擇是單宿主堡壘主機(jī)和雙宿主堡壘主機(jī)。不管是電路級(jí)還是應(yīng)用級(jí)網(wǎng)關(guān)的配置都要求所有的流量通過堡壘主機(jī)。最后一個(gè)常用的方法是篩選子網(wǎng)防火墻，利用額外的包過濾路由器來達(dá)到另一個(gè)安全的級(jí)別。

wangliang