不可忽视谈网络防火墙和安全问题[五]

520pub

与服务相关的过滤 \r\n\r\n　　包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接，路由器只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上，路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。 \r\n\r\n　　一些典型的过滤规则包括： \r\n\r\n　　· 允许进入的Telne会话与指定的内部主机连接 \r\n\r\n　　· 允许进入的FTP会话与指定的内部主机连接 \r\n\r\n　　· 允许所有外出的Telne会话 \r\n\r\n　　· 允许所有外出的FTP会话 \r\n\r\n　　· 拒绝所有来自特定的外部主机的数据包 与服务无关的过滤 \r\n\r\n　　有几种类型的攻击很难使用基本的包头信息来识别，因为这几种攻击是与服务无关的。可以对路由器配置以便防止这几种类型的攻击。但是它们很难指定，因为过滤规则需要附加的信息，并且这些信息只能通过审查路由表和特定的IP选项、检查特定段的内容等等才能学习到。 \r\n\r\n　　下面是这几种攻击类型的例子： \r\n\r\n　　源IP地址欺骗式攻击（Sowrce IP Address Spoofing Attacks）。这种类型的攻击的特点是入侵者从外部传输一个假装是来自内部主机的数据包，即数据包中所包含的IP地址为内部网络上的IP地址。入侵者希望借助于一个假的源IP地址就能渗透到一个只使用了源地址安全功能的系统中。在这样的系统中，来自内部的信任主机的数据包被接受，而来自其它主机的数据包全部被丢弃。对于源IP地址欺骗式攻击，可以利用丢弃所有来自路由器外部端口的使用内部源地址的数据包的方法来挫败。 \r\n\r\n　　源路由攻击（Source Rowing Attacks）。这种类型的攻击的特点是源站点指定了数据包在Internet中所走的路线。这种类型的攻击是为了旁路安全措施并导致数据包循着一个对方不可预料的路径到达目的地。只需简单的丢弃所有包含源路由选项的数据包即可防范这种类型的攻击。 \r\n\r\n　　极小数据段式攻击（Tiny Fragment Attacks）。这种类型的攻击的特点是入侵者使用了IP分段的特性，创建极小的分段并强行将TCP头信息分成多个数据包段。这种攻击是为了绕过用户定义的过滤规则。黑客寄希望于过滤器路由器只检查第一个分段而允许其余的分段通过。对于这种类型的攻击，只要丢弃协议类型为TCP，IP FragmentOffset等于1的数据包就可安然无恙。 \r\n\r\n　　包过滤路由器的优点 \r\n\r\n　　已部署的防火墙系统多数只使用了包过滤器路由器。除了花费时间去规划过滤器和配置路由器之外，实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中。由于Internet访问一般都是在WAN接口上提供，因此在流量适中并定义较少过滤器时对路由器的性能几乎没有影响。另外，包过滤路由器对用户和应用来讲是透明的，所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。