INTERNET或信息發(fā)布服務(wù)

這種情況非常普遍，ISP或ICP，企業(yè)的網(wǎng)頁，在INTERNET上提供息服務(wù)或提供數(shù)據(jù)庫服務(wù)等。任何一種想提供普遍服務(wù)或廣而告之的網(wǎng)絡(luò)行為，必須允許用戶能夠訪問到你提供服務(wù)的主機，都屬于這種情況。

對訪問服務(wù)行業(yè)而言，訪問服務(wù)提供者必須把要提供服務(wù)的服務(wù)器主機放在外部用戶可以訪問的地方，也就是說，主機安全幾乎是唯一的保證。除非明確地知道 誰會對你的訪問驚醒破壞，才可以對出口路由器或出口防火墻驚醒一些針對性的限制訪問控制的設(shè)定，否則，訪問控制變得毫無意義。

主機安全是一個非常有效的手段。所謂的主機安全是一個非常廣義的概念，首先是要有一個安全的操作系統(tǒng)，建立在一個不安全、甚至穩(wěn)定性都很差的操作系統(tǒng)上，是無法作到一個安全的主機。然后是仔細的檢查你所提供的服務(wù)，如果不是你所必須提供的服務(wù)，建議除掉一切你所不需要的進程，對你的服務(wù)而言，它們都是你安全上的隱患。

可以采用一些安全檢測或網(wǎng)絡(luò)掃描工具來確定你的服務(wù)器上到底有伸麼服務(wù)，以保證是否有安全漏洞或隱患。最后是對主機確定非常嚴(yán)格的訪問限制規(guī)則，除了允許提供商愿意提供的服務(wù)之外，宣紙并拒絕所有未允許的服務(wù)，這是一個非常嚴(yán)格的措施。

除了主機安全以外，如果還需要提高服務(wù)的安全性，就該考慮采用網(wǎng)絡(luò)實時監(jiān)控和交互式動態(tài)防火墻。網(wǎng)絡(luò)實時監(jiān)控系統(tǒng)，會自動捕捉網(wǎng)絡(luò)上所有的通信包，并對其進行分析和解析，并判斷出用戶的行為和企圖。如果發(fā)現(xiàn)用戶的行為或企圖與服務(wù)商所允許的服務(wù)不同，交互式防火墻立即采取措施，封堵或拒絕用戶的訪問，將其拒絕在防火墻之外，并報警。網(wǎng)絡(luò)實時監(jiān)控系統(tǒng)和交互式防火墻具有很強的審計功能，但成本相對偏高。

INTERNET和內(nèi)部網(wǎng)

企業(yè)一方面訪問INTERNET，得到INTERNET所帶來的好處，另一方面，卻不希望外部用戶去訪問企業(yè)的內(nèi)部數(shù)據(jù)庫和網(wǎng)絡(luò)。企業(yè)當(dāng)然沒有辦法去建立兩套網(wǎng)絡(luò)來滿足這種需求。

防火墻的基本思想不是對每臺主機系統(tǒng)進行保護，而是讓所有對系統(tǒng)的訪問通過某一點，并且保護這一點，并盡可能地對受保護的內(nèi)部網(wǎng)和不可信任的外界網(wǎng)絡(luò)之間建立一道屏障，它可以實施比較慣犯的安全政策來控制信息流，防止不可預(yù)料的潛在的入侵破壞。

根據(jù)企業(yè)內(nèi)部網(wǎng)安全政策的不同，采取防火墻的技術(shù)手段也有所不同。

1.包過濾防火墻

包過濾防火墻的安全性是基于對包的IP地址的校驗。在Internet上，所有信息都是以包的形式傳輸?shù)模畔邪l(fā)送方的IP地址和接收方的IP地址。包過濾防火墻將所有通過的信息包中發(fā)送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態(tài)等信息讀出，并按照預(yù)先設(shè)定過濾原則過濾信息包。那些不符合規(guī)定的IP地址的信息包會被防火墻過濾掉，以保證網(wǎng)絡(luò)系統(tǒng)的安全。

包過濾防火墻是基于訪問控制來實現(xiàn)的。它利用數(shù)據(jù)包的頭信息（源IP地址、封裝協(xié)議、端口號等）判定與過濾規(guī)則相匹配與否決定舍取。建立這類防火墻需按如下步驟去做；建立安全策略；寫出所允許的和禁止的任務(wù)；將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達式；用相應(yīng)的句法重寫邏輯表達式并設(shè)置之，

包過濾防火墻主要是防止外來攻擊，或是限制內(nèi)部用戶訪問某些外部的資源。如果是防止外部攻擊，針對典型攻擊的過濾規(guī)則，大體有：

對付源IP地址欺騙式攻擊（Source IP Address Spoofing Attacks）

對入侵者假冒內(nèi)部主機，從外部傳輸一個源IP地址為內(nèi)部網(wǎng)絡(luò)IP地址的數(shù)據(jù)包的這類攻擊，防火墻只需把來自外部端口的使用內(nèi)部源地址的數(shù)據(jù)包統(tǒng)統(tǒng)丟棄掉。

對付殘片攻擊（Tiny Fragment Attacks）

入侵者使用TCP/IP數(shù)據(jù)包 分段特性，創(chuàng)建極小的分段并強行將TCP/IP頭信息分成多個數(shù)據(jù)包，以繞過用戶防火墻的過濾規(guī)則。黑客期望防火墻只檢查第一個分段而允許其余的分段通過。對付這類攻擊，防火墻只需將TCP/IP協(xié)議片斷位移植（Fragment Offset）為1的數(shù)據(jù)包全部丟棄即可。

包過濾防火墻簡單、透明，而且非常行之有效，能解決大部分的安全問題，但必須了解包過濾防火墻不能做伸麼和有伸麼缺點。

對于采用動態(tài)分配端口的服務(wù)，如很多RPC（遠程過程調(diào)用）服務(wù)相關(guān)聯(lián)的服務(wù)器在系統(tǒng)啟動時隨機分配端口的，就很難進行有效地過濾。

包過濾防火墻只按照規(guī)則丟棄數(shù)據(jù)包而不對其作日志，導(dǎo)致對過濾的IP地址的不同用戶，不具備用戶身份認證功能，不具備檢測通過高層協(xié)議（如應(yīng)用層）實現(xiàn)的安全攻擊的能力。

2.代理防火墻

包過濾防火墻從很大意義上像一場戰(zhàn)爭，黑客想攻擊，防火墻堅決予以拒絕。而代理服務(wù)器則是另外一種方式，能回避就回避，甚至干脆隱藏起來。代理服務(wù)器接收客戶請求后會檢查驗證其合法性，如其合法，代理服務(wù)器象一臺客戶機一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界隔離開來，從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。代理服務(wù)器只允許有代理的服務(wù)通過，而其他所有服務(wù)都完全被封鎖住。

代理服務(wù)器非常適合那些根本就不希望外部用戶訪問企業(yè)內(nèi)部的網(wǎng)絡(luò)，而也不希望內(nèi)部的用戶無限制的使用或濫用INTERNET。采用代理服務(wù)器，可以把企業(yè)的內(nèi)部網(wǎng)絡(luò)隱藏起來，內(nèi)部的用戶需要驗證和授權(quán)之后才可以去訪問INTERNET。

代理服務(wù)器包含兩大類：一類是電路級代理網(wǎng)關(guān)，另一類是應(yīng)用級代理網(wǎng)關(guān)。

電路級網(wǎng)關(guān)又稱線路級網(wǎng)關(guān)，它工作在會話層。它在兩主機收次建立TCP連接時創(chuàng)立一個電子屏障。它作為服務(wù)器接收外來請求，轉(zhuǎn)發(fā)請求；與被保護的主機連接時則擔(dān)當(dāng)客戶機角色、起代理服務(wù)的作用。它監(jiān)視兩主機建立連接時的握手信息，如Syn、Ack和序列數(shù)據(jù)等是否合乎邏輯，信號有效后網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)，而不進行過濾。電路網(wǎng)關(guān)中特殊的客戶程序只在初次連接時進行安全協(xié)商控制，其后就透明了。只有懂得如何與該電路網(wǎng)關(guān)通信的客戶機才能到達防火墻另一邊的服務(wù)器。

電路級網(wǎng)關(guān)的防火墻的安全性比較高，但它仍不能檢查應(yīng)用層的數(shù)據(jù)包以消除應(yīng)用層攻擊的威脅。

應(yīng)用級網(wǎng)關(guān)使用軟件來轉(zhuǎn)發(fā)和過濾特定的應(yīng)用服務(wù)，如TELNET、FTP等服務(wù)的連接。這是一種代理服務(wù)。它只允許有代理的服務(wù)通過，也就是說只有那些被認為“可信賴的”服務(wù)才被允許通過防火墻。另外代理服務(wù)還可以過濾協(xié)議，如過濾FTP連接、拒絕使用FTP放置命令等。應(yīng)用級網(wǎng)關(guān)的安全性高，其不足是要為每種應(yīng)用提供專門的代理服務(wù)程序。

兩種代理技術(shù)都具有登記、日記、統(tǒng)計和報告功能，有很好的審計功能。還可以具有嚴(yán)格的用戶認證功能。先進的認證措施，如驗證授權(quán)RADIUS、智能卡、認證令牌、生物統(tǒng)計學(xué)和基于軟件的工具已被用來克服傳統(tǒng)口令的弱點。

3.狀態(tài)監(jiān)控技術(shù)

網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)普遍被認為是下一代的網(wǎng)絡(luò)安全技術(shù)。傳統(tǒng)的網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)對網(wǎng)絡(luò)安全正常的工作完全沒有影響的前提下，采用捕捉網(wǎng)絡(luò)數(shù)據(jù)包的方法對網(wǎng)絡(luò)通信的各個層次實行監(jiān)測，并作安全決策的依據(jù)。監(jiān)視模塊支持多種網(wǎng)絡(luò)協(xié)議和應(yīng)用協(xié)議，可以方便地實現(xiàn)應(yīng)用和服務(wù)擴充。狀態(tài)監(jiān)視服務(wù)可以監(jiān)視RPC（遠程過程調(diào)用）和UDP（用戶數(shù)據(jù)包）端口信息，而包過濾和代理服務(wù)則都無法做到。

網(wǎng)絡(luò)狀態(tài)監(jiān)控對主機的要求非常高，128M的內(nèi)存可能是一個基本的要求，硬盤的要求也非常大，至少要求9G，對SWAP區(qū)至少也要求192M以上。一個好的網(wǎng)絡(luò)狀態(tài)監(jiān)控系統(tǒng)，處理的量可能高達每秒45M左右（一條T3的線路）。

網(wǎng)絡(luò)狀態(tài)的監(jiān)控的結(jié)果，直接就是要求能夠有一種交互式的防火墻來滿足客戶較高的要求。中網(wǎng)的IP防火墻就是這樣一種產(chǎn)品。

虛擬專用網(wǎng)VPN

EXTRANET和VPN是現(xiàn)代網(wǎng)絡(luò)的新熱點。虛擬專用網(wǎng)的本質(zhì)實際上涉及到密碼的問題。在無法保證電路安全、信道安全、網(wǎng)絡(luò)安全、應(yīng)用安全的情況下，或者也不相信其他安全措施的情況下，一種行之有效的辦法就是加密，而加密就是必須考慮加密算法和密碼的問題。考慮到我國對密碼管理的體制情況，密碼是一個單獨的領(lǐng)域。對防火墻而言，是否防火墻支持對其他密碼體制的支持，支持提供API來調(diào)用第三方的加密算法和密碼，非常重要。

原文鏈接：http://netsecurity.51cto.com/art/201103/249659.htm