不可忽视谈网络防火墙和安全问题(2)

520pub

Internet防火墙的限制 \r\n\r\n　　Internet防火墙无法防范通过防火墙以外的其它途径的攻击。例如，在一个被保护的网络上有一个没有限制的拨出存在，内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet。聪明的用户可能会对需要附加认证的代理服务器感到厌烦，因而向ISP购买直接的SLIP或PPP连接，从而试图绕过由精心构造的防火墙系统提供的安全系统。这就为从后门攻击创造了极大的可能（图3）。网络上的用户们必须了解这种类型的连接对于一个有全面的安全保护系统来说是绝对不允许的。 \r\n\r\n　　图3 绕过防火墙系统的连接 \r\n\r\n\r\n\r\n\r\n　　Internet防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。防火墙无法禁止变节者或公司内部存在的间谍将敏感数据拷贝到软盘或PCMCIA卡上，并将其带出公司。防火墙也不能防范这样的攻击：伪装成超级用户或诈称新雇员，从而劝说没有防范心理的用户公开口令或授予其临时的网络访问权限。所以必须对雇员们进行教育，让它们了解网络攻击的各种类型，并懂得保护自己的用户口令和周期性变换口令的必要性。 \r\n\r\n　　Internet防火墙也不能防止传送已感染病毒得软件或文件。这是因为病毒的类型太多，操作系统也有多种，编码与压缩二进制文件的方法也各不相同。所以不能期望Internet防火墙去对每一个文件进行扫描，查出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防病毒软件，防止病毒从软盘或其它来源进入网络系统。 \r\n\r\n　　最后一点是，防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet主机上。但一旦执行就开成攻击。例如，一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权。后面我们将会看到，在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式，并能减少数据驱动型攻击的威胁。 \r\n\r\n　　黑客的工具箱 \r\n\r\n　　要描述一个典型的黑客的攻击是很，因为入侵者们的技术水平和经验差异很大，各自的动机也不尽相同。某些黑客只是为了挑战，有一些是为了给别人找麻烦，还有一些是以图利为目的而获取机密数据。 \r\n\r\n　　信息收集 \r\n\r\n　　一般来讲，突破的第一步是各种形式的信息收集。信息惧收集的目的是构造目标机构网络的数据库并收集驻留在网络上的各个主机的有关信息。黑客可以使用下面几种工具来收集这些信息： \r\n\r\n　　· SNMP协议，用来查阅非安全路由器的路由表，从而了解目标机构网络拓扑的内部细节。 \r\n\r\n　　· TraceRoute程序能够得出到达目标主机所要经过的网络数和路由器数。 \r\n\r\n　　· Whois协议是一种信息服务，能够提供有关所有DNS域和负责各个域的系统管理员数据。不过这些数据常常是过时的。 \r\n\r\n　　· DNS服务器可以访问主机的IP地址表和它们对应的主机名。 \r\n\r\n　　· Finger协议能够提供特定主机上用户们的详细信息（注册名、电话号码、最后一次注册的时间等） \r\n\r\n　　· Ping实用程序可以用来确定一个指定的主机的位置并确定其是否可达。把这个简单的工具用在扫描程序中，可以Ping网络上每个可能的主机地址，从而可以构造出实际驻留在网络上的主机的清单。