防 火 墙 的 安 全 技 术 分 析

邹 伟 颍

一、 防 火 墙 的 安 全 性
----防 火 墙 作 为 网 络 安 全 的 一 种 防 护 手 段 得 到 了 广 泛 的 应 用， 应 该 说 它 对 网 络 起 到 了 一 定 的 防 护 作 用， 但 并 非 万 无 一 失。 通 过 对 防 火 墙 的 基 本 原 理 和 实 现 方 式 进 行 分 析 和 研 究， 笔 者 对 防 火 墙 的 安 全 性 有 如 下 几 点 认 识。

----1. 正 确 选 用、 合 理 配 置 防 火 墙 并 不 容 易

----防 火 墙 作 为 网 络 安 全 的 一 种 防 护 手 段， 有 多 种 实 现 方 式。 建 立 合 理 的 防 护 系 统， 配 置 有 效 的 防 火 墙 应 遵 循 如 下 四 个 步 骤：

风 险 分 析(Risks Analysis)；
需 求 分 析(Needs Analysis)；
确 立 安 全 政 策(Security Policy)；
选 择 准 确 的 防 护 手 段， 并 使 之 与 安 全 政 策 保 持 一 致(Identifying Security Mechanisms and Methods)。
----然 而， 多 数 防 火 墙 的 设 立 没 有 或 很 少 进 行 充 分 的 风 险 分 析 和 需 求 分 析， 而 只 是 根 据 不 很 完 备 的 安 全 政 策 选 择 了 一 种 似 乎 能 满 足 需 要 的 防 火 墙， 因 此 防 火 墙 能 否" 防 火" 存 在 疑 问。

----2 ． 防 火 墙 的 失 效 状 态 急 需 关 注

----评 价 防 火 墙 性 能 如 何 及 能 否 起 到 安 全 防 护 作 用， 不 仅 要 看 它 工 作 是 否 正 常， 能 否 阻 挡 或 捕 捉 到 恶 意 攻 击 和 非 法 访 问 的 蛛 丝 马 迹， 而 且 要 看 到 一 旦 防 火 墙 被 攻 破， 它 的 状 态 如 何? 按 级 别 来 分， 它 有 以 下 四 种 状 态：

未 受 伤 害 能 够 继 续 正 常 工 作；
关 闭 并 重 新 启 动， 同 时 恢 复 到 正 常 工 作 状 态；
关 闭 并 禁 止 所 有 的 数 据 通 行；
关 闭 并 允 许 所 有 的 数 据 通 行。
----前 两 种 状 态 比 较 理 想， 而 第 四 种 最 不 安 全。 但 是 许 多 防 火 墙 由 于 无 条 件 进 行 失 效 状 态 测 试 和 验 证， 无 法 确 定 其 失 效 状 态 等 级， 因 此 网 络 存 在 安 全 隐 患。

----3 ． 防 火 墙 的 动 态 维 护 很 有 必 要

----防 火 墙 安 装 和 投 入 使 用 后， 并 非 万 事 大 吉。 要 想 充 分 发 挥 它 的 安 全 防 护 作 用， 必 须 对 它 进 行 跟 踪 和 维 护， 要 与 商 家 保 持 密 切 的 联 系， 时 刻 注 视 商 家 的 动 态。 因 为 商 家 一 旦 发 现 其 产 品 存 在 安 全 漏 洞， 那 么 会 尽 快 发 布 补 救(Patch) 产 品， 此 时 应 尽 快 确 认 真 伪( 防 止 特 洛 伊 木 马 等 病 毒)， 并 对 防 火 墙 软 件 进 行 更 新。

----4 ． 防 火 墙 的 测 试 验 证 难 以 实 现

----防 火 墙 能 否 起 到 防 护 作 用， 最 根 本、 最 有 效 的 证 明 方 法 是 对 其 进 行 测 试， 甚 至 站 在" 黑 客" 的 角 度 采 用 各 种 手 段 对 防 火 墙 进 行 攻 击。 然 而 具 体 执 行 时 难 度 较 大：

防 火 墙 性 能 测 试 目 前 还 是 一 种 很 新 的 技 术， 尚 无 正 式 出 版 刊 物， 可 用 的 工 具 和 软 件 更 是 寥 寥 无 几。 据 了 解 目 前 只 有 美 国ISS 公 司 提 供 有 防 火 墙 性 能 测 试 的 工 具 软 件。
防 火 墙 测 试 技 术 尚 不 先 进， 与 防 火 墙 设 计 并 非 完 全 吻 合， 使 得 测 试 工 作 难 以 达 到 既 定 的 效 果。
选 择" 谁" 进 行 公 正 的 测 试 也 是 一 个 问 题。
----可 见， 防 火 墙 的 性 能 测 试 决 不 是 一 件 简 单 的 事 情， 但 这 种 测 试 又 相 当 必 要， 进 而 提 出 这 样 一 个 问 题： 不 进 行 测 试， 何 以 证 明 防 火 墙 安 全 ？

----5. 防 火 墙 的 非 法 访 问

----深 入 分 析 研 究 防 火 墙 技 术， 利 用 防 火 墙 配 置 和 实 现 的 漏 洞， 可 以 对 它 实 施 攻 击。 通 常 情 况 下， 有 效 的 攻 击 都 是 从 相 关 的 子 网 进 行 的， 因 为 这 些 网 址 得 到 了 防 火 墙 的 信 赖， 虽 说 成 功 与 否 尚 取 决 于 机 遇 等 其 他 因 素， 但 对 攻 击 者 而 言 很 值 得 一 试。

----下 面 我 们 以 数 据 包 过 滤 防 火 墙 为 例， 简 要 描 述 可 能 的 攻 击 过 程。

----这 种 类 型 的 防 火 墙 以IP 地 址 作 为 鉴 别 数 据 包 是 否 允 许 其 通 过 的 条 件， 而 这 恰 恰 是 实 施 攻 击 的 突 破 口。 许 多 防 火 墙 软 件 无 法 识 别 数 据 包 到 底 来 自 哪 个 网 络 接 口， 因 此 攻 击 者 无 需 表 明 进 攻 数 据 包 的 真 正 来 源， 只 需 伪 装IP 地 址， 取 得 目 标 的 信 任， 使 其 认 为 来 自 网 络 内 部 即 可。IP 地 址 欺 骗 攻 击 正 是 基 于 这 类 防 火 墙 对IP 地 址 缺 乏 识 别 和 验 证 的 机 制。

----通 常 主 机A 与 主 机B 的 TCP 连 接( 中 间 有 或 无 防 火 墙) 是 通 过 主 机A 向 主 机B 提 出 请 求 建 立 起 来 的， 而 其 间A 和B 的 确 认 仅 仅 根 据 由 主 机A 产 生 并 经 主 机B 验 证 的 初 始 序 列 号ISN。 具 体 分 三 个 步 骤：

主 机A 产 生 它 的ISN， 传 送 给 主 机B， 请 求 建 立 连 接；
B 接 收 到 来 自A 的 带 有SYN 标 志 的ISN 后， 将 自 己 本 身 的ISN 连 同 应 答 信 息ACK 一 同 返 回 给A；
A 再 将B 传 送 来 的ISN 及 应 答 信 息ACK 返 回 给B。
----至 此， 正 常 情 况， 主 机A 与B 的 TCP 连 接 就 建 立 起 来 了。

----IP 地 址 欺 骗 攻 击 的 第 一 步 是 切 断 可 信 赖 主 机。 这 样 可 以 使 用TCP 淹 没 攻 击(TCP Syn Flood Attack)， 使 得 信 赖 主 机 处 于" 自 顾 不 暇" 的 忙 碌 状 态， 相 当 于 被 切 断， 这 时 目 标 主 机 会 认 为 信 赖 主 机 出 现 了 故 障， 只 能 发 出 无 法 建 立 连 接 的RST 包 而 无 暇 顾 及 其 他。

----攻 击 者 最 关 心 的 是 猜 测 目 标 主 机 的ISN。 为 此， 可 以 利 用SMTP 的 端 口(25)， 通 常 它 是 开 放 的， 邮 件 能 够 通 过 这 个 端 口， 与 目 标 主 机 打 开(Open) 一 个TCP 连 接， 因 而 得 到 它 的ISN。 在 此 有 效 期 间， 重 复 这 一 过 程 若 干 次， 以 便 能 够 猜 测 和 确 定ISN 的 产 生 和 变 化 规 律， 这 样 就 可 以 使 用 被 切 断 的 可 信 赖 主 机 的IP 地 址 向 目 标 主 机 发 出 连 接 请 求。 请 求 发 出 后， 目 标 主 机 会 认 为 它 是TCP 连 接 的 请 求 者， 从 而 给 信 赖 主 机 发 送 响 应( 包 括SYN)， 而 信 赖 主 机 目 前 仍 忙 于 处 理Flood 淹 没 攻 击 产 生 的" 合 法" 请 求， 因 此 目 标 主 机 不 能 得 到 来 自 于 信 赖 主 机 的 响 应。

----现 在 攻 击 者 发 出 回 答 响 应， 并 连 同 预 测 的 目 标 主 机 的ISN 一 同 发 给 目 标 主 机。

----随 着 不 断 地 纠 正 预 测 的ISN， 攻 击 者 最 终 会 与 目 标 主 机 建 立 一 个 会 晤。 通 过 这 种 方 式， 攻 击 者 以 合 法 用 户 的 身 份 登 录 到 目 标 主 机 而 不 需 进 一 步 的 确 认。 如 果 反 复 试 验 使 得 目 标 主 机 能 够 接 收 对 网 络 的ROOT 登 录， 那 么 就 可 以 完 全 控 制 整 个 网 络。

----下 面 是 防 火 墙 安 全 防 护 面 临 威 胁 的 几 个 主 要 原 因：

SOCK 的 错 误 配 置；
不 适 当 的 安 全 政 策；
强 力 攻 击；
允 许 匿 名 的FTP 协 议；
允 许TFTP 协 议；
允 许Rlogin 命 令；
允 许X －Windows 或Open Windows；
端 口 映 射；
可 加 载 的NFS 协 议；
允 许Win95/NT 文 件 共 享；
Open 端 口。
----破 坏 防 火 墙 的 另 一 种 方 式 是 攻 击 与 干 扰 相 结 合， 也 就 是 在 攻 击 期 间 使 防 火 墙 始 终 处 于 繁 忙 的 状 态。 防 火 墙 过 分 的 繁 忙 有 时 会 导 致 它 忘 记 履 行 安 全 防 护 的 职 能， 处 于 失 效 状 态。

----内 部 攻 击 防 火 墙 也 是 可 能 的。 由 于 安 全 防 护 的 需 要， 安 装 了 防 火 墙， 随 意 访 问 被 严 格 禁 止 了， 这 样 内 部 人 员 无 法 在 闲 暇 的 时 间 通 过Telnet 浏 览 邮 件 或 使 用FTP 向 外 发 送 信 息， 个 别 人 会 对 防 火 墙 不 满 进 而 会 攻 击 它， 破 坏 它， 期 望 回 到 从 前 的 状 态。 这 里， 攻 击 的 目 标 常 常 是 防 火 墙 或 防 火 墙 运 行 的 操 作 系 统， 因 此 不 仅 涉 及 网 络 安 全， 还 涉 及 主 机 安 全 问 题。

----以 上 种 种 原 因 表 明， 防 火 墙 的 安 全 防 护 性 能 依 赖 的 因 素 很 多。 防 火 墙 并 非 万 能。

二、 几 点 启 示
----通 过 对 防 火 墙 进 行 分 析， 我 们 对 各 种 防 火 墙 的 设 置 过 程、 技 术 原 理、 实 现 方 式， 以 及 可 能 遇 到 的 攻 击 方 法 和 测 试 技 术 都 有 了 较 深 入 的 理 解 和 认 识。 在 此 基 础 上， 我 们 得 到 以 下 几 点 启 示：

一 个 计 算 机 网 络， 从 应 用 层 到 网 络 层 直 至 物 理 层 都 存 在 安 全 问 题。 防 火 墙 只 是 整 个 网 络 安 全 防 护 的 一 部 分， 其 他 各 种 防 护 技 术 和 手 段， 如 密 码 技 术、 鉴 别 技 术、 访 问 控 制、 口 令 控 制、 计 算 机 网 络 病 毒 防 治 等 对 网 络 安 全 都 相 当 重 要。
防 火 墙 并 非 绝 对 安 全， 它 最 多 只 能 防 护 经 过 其 本 身 的 非 法 访 问 和 攻 击， 而 对 不 经 防 火 墙 的 访 问 和 攻 击 无 能 为 力。 从 技 术 来 讲， 绕 过 防 火 墙 进 入 网 络 并 非 不 可 能。
防 火 墙 的 正 确 实 施 需 要 进 行 风 险 分 析 及 商 业 需 求 分 析， 确 立 安 全 政 策， 选 择 准 确 的 防 护 手 段， 并 使 之 与 安 全 政 策 保 持 一 致 等 多 个 步 骤， 而 且 需 要 动 态 维 护。
由 于 防 火 墙 受 到 测 试 和 验 证 等 各 方 面 的 限 制， 因 此 很 难 证 明 防 火 墙 的 防 护 能 力 及 失 效 状 态 能 否 满 足 安 全 政 策 的 需 要。
目 前， 大 多 数 防 火 墙 都 是 基 于 路 由 器 的 数 据 包 分 组 过 滤 类 型， 防 护 能 力 差， 存 在 各 种 网 络 外 部 或 网 络 内 部 攻 击 防 火 墙 的 技 术 手 段。
防 火 墙 安 全 测 试 技 术、 测 试 工 具 和 软 件 正 在 发 展， 并 越 来 越 受 到 人 们 的 重 视。