1、淺議計(jì)算機(jī)XX絡(luò)安全與防火墻技術(shù)XX：1009-914X（20XX）35-301-01影響計(jì)算機(jī)XX絡(luò)安全的因素很多，有些因素可能是有意的，也可能是無(wú)意的；可能是人為的，也可能是非人為的；可能是外來(lái)黑客對(duì)XX絡(luò)系統(tǒng)資源的非法使有。這些因素可以大體分類(lèi)為：計(jì)算機(jī)病毒、人為的無(wú)意失誤、人為的惡意攻擊、XX絡(luò)軟件的缺陷和漏洞、物理安全問(wèn)題。而防火墻是一種保護(hù)計(jì)算機(jī)XX絡(luò)安全的技術(shù)性措施，所謂“防火墻”，是指一種將內(nèi)部XX和公眾訪問(wèn)XX（如Internet）分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)XX絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)操縱尺度，它能同意你“同意”的人和數(shù)據(jù)進(jìn)入你的XX絡(luò)，同時(shí)將你“不同意

2、”的人和數(shù)據(jù)拒之門(mén)外，最大限度地阻止XX絡(luò)中的黑客來(lái)訪問(wèn)你的XX絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。非法攻擊防火墻的基本“招數(shù)”通常情況下，有效的攻擊都是從相關(guān)的子X(jué)X進(jìn)行的。因?yàn)檫@些XX址得到了防火墻的信賴，雖說(shuō)成功與否尚取決于機(jī)遇等其他因素，但對(duì)攻擊者而言很值得一試。下面以數(shù)據(jù)包過(guò)濾防火墻為例，簡(jiǎn)要描述可能的攻擊過(guò)程。通常主機(jī)與主機(jī)B的TCP連接（中間有或無(wú)防火墻）是通過(guò)主機(jī)向主機(jī)B提出請(qǐng)求建立起來(lái)的，而其間和B的確認(rèn)僅僅根據(jù)由主機(jī)產(chǎn)生并經(jīng)主機(jī)B驗(yàn)證的初始序列號(hào)ISN。IP地址欺騙攻擊的第一步是切斷可信賴主機(jī)。這樣可以使用TCP淹沒(méi)攻擊（TCPSynFloodttck），使得信賴主機(jī)

3、處于“自顧不暇”的忙碌狀態(tài)，相當(dāng)于被切斷，這時(shí)目標(biāo)主機(jī)會(huì)認(rèn)為信賴主機(jī)出現(xiàn)了故障，只能發(fā)出無(wú)法建立連接的RST包，而無(wú)暇顧及其他。攻擊者最關(guān)懷的是推測(cè)目標(biāo)主機(jī)的ISN。為此，可以利用SMTP的端口（25），通常它是開(kāi)放的，郵件能夠通過(guò)這個(gè)端口，與目標(biāo)主機(jī)打開(kāi)（Open）一個(gè)TCP連接，因而得到它的ISN。在此有效期間，重復(fù)這一過(guò)程若干次，以便能夠推測(cè)和確定ISN的產(chǎn)生和變化規(guī)律，這樣就可以使用被切斷的可信賴主機(jī)的IP地址向目標(biāo)主機(jī)發(fā)出連接請(qǐng)求。請(qǐng)求發(fā)出后，目標(biāo)主機(jī)會(huì)認(rèn)為它是TCP連接的請(qǐng)求者，從而給信賴主機(jī)發(fā)送響應(yīng)（包括SYN），而信賴主機(jī)目前仍忙于處理Flood淹沒(méi)攻擊產(chǎn)生的“合法”請(qǐng)求，因此

4、目標(biāo)主機(jī)不能得到來(lái)自于信賴主機(jī)的響應(yīng)?，F(xiàn)在攻擊者發(fā)出回答響應(yīng)，并連同預(yù)測(cè)的目標(biāo)主機(jī)的ISN一同發(fā)給目標(biāo)主機(jī)，隨著不斷地糾正預(yù)測(cè)的ISN，攻擊者最終會(huì)與目標(biāo)主機(jī)建立一個(gè)會(huì)晤。通過(guò)這種方式，攻擊者以合法用戶的身份登錄到目標(biāo)主機(jī)而不需進(jìn)一步的確認(rèn)。如果反復(fù)試驗(yàn)使得目標(biāo)主機(jī)能夠接收對(duì)XX絡(luò)的ROOT登錄，那么就可以完全操縱整個(gè)XX絡(luò)。歸納起來(lái)，防火墻安全防護(hù)面臨威脅的幾個(gè)主要原因有：SOCK的錯(cuò)誤配置；不適當(dāng)?shù)陌踩?；?qiáng)力攻擊；同意匿名的FTP協(xié)議；同意TFTP協(xié)議；同意Rlogin命令；同意X-Windows或OpenWindows；端口映射；可加載的NFS協(xié)議；同意文件共享；Open端口。單防火

5、墻和單子X(jué)X由于不同的資源存在著不同的風(fēng)險(xiǎn)程度，所以要基于此來(lái)對(duì)XX絡(luò)資源進(jìn)行劃分。這里的風(fēng)險(xiǎn)包含兩個(gè)因素：資源將被妥協(xié)的可能性和資源本身的敏感性。例如：一個(gè)好的Web服務(wù)器運(yùn)行CGI會(huì)比僅僅提供靜態(tài)XX頁(yè)更容易得到用戶的認(rèn)可，但隨之帶來(lái)的卻是Web服務(wù)器的安全隱患。XX絡(luò)治理員在服務(wù)器前端配置防火墻，會(huì)減少它全面暴露的風(fēng)險(xiǎn)。數(shù)據(jù)庫(kù)服務(wù)器中存放有重要數(shù)據(jù)，它比Web服務(wù)器更加敏感，因此需要添加額外的安全保護(hù)層。使用單防火墻和單子X(jué)X保護(hù)多級(jí)應(yīng)用系統(tǒng)的XX絡(luò)結(jié)構(gòu)，這里所有的服務(wù)器都被安排在同一個(gè)子X(jué)X，防火墻接在邊界路由器與內(nèi)部XX絡(luò)之間，防備來(lái)自Internet的XX絡(luò)攻擊。在XX絡(luò)使用和基于

6、主機(jī)的入侵檢測(cè)系統(tǒng)下，服務(wù)器得到了加強(qiáng)和防護(hù)，這樣便可以保護(hù)應(yīng)用系統(tǒng)免遭攻擊。像這樣的縱向防護(hù)技術(shù)在所有牢固的設(shè)計(jì)中是非常普遍的，但它們并沒(méi)有明顯的顯示在圖表中。在這種設(shè)計(jì)方案中，所有服務(wù)器都安排在同一個(gè)子X(jué)X，用防火墻將它們與Internet隔離，這些不同安全級(jí)別的服務(wù)器在子X(jué)X中受到同等級(jí)的安全保護(hù)。盡管所有服務(wù)器都在一個(gè)子X(jué)X，但XX絡(luò)治理員仍然可以將內(nèi)部資源與外部共享資源有效地分離。使用單防火墻和單子X(jué)X保護(hù)服務(wù)器的方案系統(tǒng)造價(jià)廉價(jià)，而且XX絡(luò)治理和維護(hù)比較簡(jiǎn)單，這是該方案的一個(gè)重要優(yōu)點(diǎn)。因此，當(dāng)進(jìn)一步隔離XX絡(luò)服務(wù)器并不能從實(shí)質(zhì)上降低重要數(shù)據(jù)的安全風(fēng)險(xiǎn)時(shí)，采納單防火墻和單子X(jué)X的方案

7、的確是一種經(jīng)濟(jì)的選擇。單防火墻和多子X(jué)X如果遇見(jiàn)適合劃分多個(gè)子X(jué)X的情況，XX絡(luò)治理員可以把內(nèi)部XX絡(luò)劃分成獨(dú)立的子X(jué)X，不同層的服務(wù)器分別放在不同的子X(jué)X中，數(shù)據(jù)層服務(wù)器只接受中間層服務(wù)器數(shù)據(jù)查詢時(shí)連接的端口，就能有效地提高數(shù)據(jù)層服務(wù)器的安全性，也能夠幫助防備其它類(lèi)型的攻擊。這時(shí)，更適于采納一種更為精巧的XX絡(luò)結(jié)構(gòu)單個(gè)防火墻劃分多重子X(jué)X結(jié)構(gòu)。單個(gè)防火墻劃分多重子X(jué)X的方法就是在一個(gè)防火墻上開(kāi)放多個(gè)端口，用該防火墻把整個(gè)XX絡(luò)劃分成多個(gè)子X(jué)X，每個(gè)子X(jué)X分管應(yīng)用系統(tǒng)的特定的層。治理員能夠在防火墻不同的端口上設(shè)置不同的安全策略。在這種配制中，Internet用戶只能直接訪問(wèn)表述層的服務(wù)器，表述層服務(wù)器只能訪問(wèn)到中間層服務(wù)器，而中間層服務(wù)器也只能訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器。這種結(jié)構(gòu)與多級(jí)應(yīng)用結(jié)構(gòu)進(jìn)行對(duì)比，就會(huì)發(fā)現(xiàn)這種設(shè)計(jì)能貼切地反映應(yīng)用系統(tǒng)的需求，并且能對(duì)每個(gè)層進(jìn)行有效的訪問(wèn)操縱。但是，這種情況下防火墻的訪問(wèn)操縱策略要比所有服務(wù)器在同一個(gè)子X(jué)X的情況復(fù)雜得多，因而這種設(shè)計(jì)也增加了防火墻配置失誤的可能性。使用單個(gè)防火墻分割XX絡(luò)是對(duì)應(yīng)用系統(tǒng)分層的最經(jīng)濟(jì)的一種方法，但它并不是沒(méi)有局限性。邏輯上的單個(gè)防火墻，即便有冗余的硬件設(shè)備，當(dāng)用它來(lái)加強(qiáng)不同安全風(fēng)險(xiǎn)級(jí)別的服務(wù)器的安全策略時(shí)，如果該防火墻出現(xiàn)危險(xiǎn)或錯(cuò)誤的配置，入