李永義,郭 勝

(1.唐山廣播電視大學,河北唐山 063000; 2.河北廣播電視大學,河北石家莊 050071)

穿透防火墻的幾種思路與方法*

李永義1,郭 勝2

(1.唐山廣播電視大學,河北唐山 063000; 2.河北廣播電視大學,河北石家莊 050071)

由于技術(shù)發(fā)展限制、使用者技術(shù)水平等原因,防火墻不可能提供絕對的安全,由內(nèi)到外的安全問題的難控性及由外到內(nèi)的安全問題的復雜性,都需要在深入研究防火墻工作原理的基礎(chǔ)上,制定有效地安全策略,以提供相對安全的網(wǎng)絡(luò)環(huán)境。

代理;訪問控制表;D.Dos

隨著網(wǎng)絡(luò)安全的深入發(fā)展,從企業(yè)到個人用戶,都會安裝不同的防火墻來抵御外來的攻擊,防火墻產(chǎn)品本身的技術(shù)也日趨完善。但防火墻并不能給用戶提供絕對的安全,其提供的安全程度,受多方面因素制約。所以,無論是要利用防火墻來達到保護網(wǎng)絡(luò)的目的,還是要穿透防火墻達到入侵的目的,對防火墻的工作原理及與之相應的安全知識,都有必要作全面系統(tǒng)的了解。

一、防火墻的基本原理

防火墻實質(zhì)上是一種能將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)分開的技術(shù),它可以定制策略,允許或禁止數(shù)據(jù)的出入,凡是可以提供上述服務(wù)的軟件或硬件,都可以稱為防火墻。

防火墻的核心是訪問控制,一般通過一個“訪問控制表”來判斷數(shù)據(jù)的合法性。防火墻的工作過程是一個匹配的過程,當有數(shù)據(jù)包經(jīng)過時,防火墻便搜索“訪問控制表”,逐條規(guī)則進行匹配,直到找到一條相匹配的規(guī)則后,并執(zhí)行相應的規(guī)則。

防火墻作為網(wǎng)絡(luò)安全的屏障,對于保護內(nèi)部網(wǎng)絡(luò)具有相當大的積極意義,主要優(yōu)點表現(xiàn)在:強化安全策略;日志記錄的功能;為用戶提供不同級別的安全保護;制定統(tǒng)一的安全策略。

受各種因素的制約,防火墻也存在一些不可避免的不足:

對內(nèi)網(wǎng)控制能力較弱。由于 TCP/IP協(xié)議自身的設(shè)計問題,防火墻可以制定較嚴格地外部訪問策略,如限定特定端口開放等,但卻無法對從內(nèi)部到外部的訪問制定嚴格的訪問策略。

防火墻無法控制不通過它的連接。防火墻只能對經(jīng)過它的數(shù)據(jù)進行過濾,如果有用戶開了“后門”,入侵者就可以穿透防火墻自由出入了。

不能防范病毒。理論上,防火墻完全可以實現(xiàn)病毒防火墻的功能,但勢必對其復雜性、效率、成本及易維護性等方面造成影響。

作為攻防雙方,只有對防火墻自身存在的優(yōu)缺點都很清楚,才能有效地利用防火墻實現(xiàn)保護或穿透防火限制。

二、防火墻的防護措施與穿透策略

常見的穿透防火墻的方法可分為兩大類:一種是穿透防火墻的限制從內(nèi)部網(wǎng)絡(luò)連接到外部網(wǎng)絡(luò);另一種是穿透防火墻的限制,從外部深入到內(nèi)部網(wǎng)絡(luò)。

1.穿透防火墻限制,自由訪問外部網(wǎng)絡(luò)

相對于由外到內(nèi)來說,從內(nèi)部網(wǎng)絡(luò)穿透防火墻限制訪問外部網(wǎng)絡(luò)相對容易得多,從另一角度來說,作為管理員,要想很好地控制內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問,難度則相對較大。常見地從內(nèi)部突破防火墻限制的方法有:

(1)代理法。內(nèi)網(wǎng)用戶可以借助合法的代理服務(wù)器做中轉(zhuǎn),訪問防火墻限制的站點,也可以利用一些特殊的代理訪問防火墻限制的服務(wù),如利用HTTP代理實現(xiàn)SOCKS服務(wù)等。利用代理,就可以將受限制的服務(wù)偽裝成防火墻允許的正常服務(wù),從而穿透防火墻。

(2)網(wǎng)頁轉(zhuǎn)向法。很多網(wǎng)站都提供網(wǎng)頁轉(zhuǎn)向功能,那么內(nèi)網(wǎng)用戶就可以利用這些合法的網(wǎng)站,訪問受限制的網(wǎng)站,從而穿透防火墻。

(3)端口轉(zhuǎn)向法。如果防火墻對內(nèi)到外的端口做了相對嚴格限制,如1024以內(nèi)的端口,只開放了80端口,此時,利用端口轉(zhuǎn)向方法即可輕松穿透防火墻了?？梢詫崿F(xiàn)端口轉(zhuǎn)向的工具很多,如早期的Leapfrog,一直受到很多用戶的推崇。

2.穿透防火墻阻攔,深入內(nèi)部網(wǎng)絡(luò)

由于防火墻對外網(wǎng)進入內(nèi)網(wǎng)的限制比較嚴格,對于配置嚴格的防火墻,從外部穿透它進入內(nèi)網(wǎng)難度較大,下面簡單介紹幾種常見的方法。

(1)反彈法。反彈型木馬對于包過濾防火墻是最有效地攻擊方法之一,此類木馬程序也相當多,如灰鴿子、網(wǎng)絡(luò)神偷等。這種方法正是利用了防火墻對于內(nèi)部發(fā)起的連接限制不嚴格的弱點。攻擊者安裝在內(nèi)部網(wǎng)絡(luò)的反彈型木馬會自動或由一定外部條件觸發(fā)后連接外部控制端主機,由于連接由內(nèi)部發(fā)起,防火墻會認為它是一個合法的連接。

反彈法的關(guān)鍵是要在內(nèi)部安裝反彈型木馬,而現(xiàn)在利用IE漏洞、E-mail、軟件下載等很多方法可以實現(xiàn)木馬的安裝。另一個關(guān)鍵是對于流行的木馬,防火墻可以通過限制端口等方式加以防范,所以最新流行的反彈型木馬大多會采用無端口、無進程、HTTP隧道、可變端口等技術(shù)來穿透防火墻,有些反彈型木馬還會利用 ICMP、SNMP等協(xié)議,所以,無論是在本地查殺,還是在防火墻上過濾都比較困難。

(2)D.Dos法。對于簡單的包過濾型防火墻,如路由器,可以采取拒絕服務(wù)攻擊,使防火墻暫時失去過濾功能。其原理其實比較簡單,例如,防火墻限制了沒有經(jīng)過三次握手或不合法的Sequence Number、Acknowledgment Number的數(shù)據(jù)通過 ,是由于它在緩沖區(qū)對已發(fā)生過的通信有記錄,通過比較來判斷數(shù)據(jù)包是否合法。當防火墻受到Dos攻擊后,大量的數(shù)據(jù)包會使防火墻失去原有的記錄,從而無法對新收到的數(shù)據(jù)包作出分析。當然,此種方法只能對一些簡單的防火墻有效,一般的防火墻對于Dos攻擊都有較強的防御能力。

(3)IP欺騙法。防火墻判斷數(shù)據(jù)合法性的三個最主要的內(nèi)容是數(shù)據(jù)包的源地址、目的地址和端口號。攻擊者可以修改數(shù)據(jù)包的地址,使防火墻判斷為合法數(shù)據(jù)而放行。其實,ARP欺騙、SMB欺騙、中間人攻擊等與IP欺騙基本思路都相近,都是通過修改數(shù)據(jù)包來欺騙防火墻。對這類攻擊,除了嚴格的過濾策略外,目前還缺乏有效的對策。

(4)分片法。分片法的基本原理是,利用防火墻一般只對分片數(shù)據(jù)包的第一個分片檢查,對于后繼的分片一般檢查不嚴格。所以,攻擊者可以構(gòu)造一個合法的分片數(shù)據(jù)包,通過防火墻后,再把非法數(shù)據(jù)以分片形式通過防火墻,這也是數(shù)據(jù)驅(qū)動型攻擊的基本原理。這種方式對一般防火墻都有效,但關(guān)鍵在于數(shù)據(jù)的封裝及目的端的合并較復雜,所以這類攻擊相對較少。

(5)代理法。一般來說,處于協(xié)議棧層次越高的協(xié)議越復雜,可以制定的策略也越詳細,但也越容易出現(xiàn)問題。代理服務(wù)是運行在OSI的應用層的防火墻,它實質(zhì)上是啟動兩個連接,一個是客戶到代理,另一個是代理到目的服務(wù)器。如果代理存在策略漏洞,則攻擊者很容易深入內(nèi)部網(wǎng)絡(luò)。

三、結(jié)束語

防火墻技術(shù)幾乎是與路由技術(shù)同時出現(xiàn)的,經(jīng)過長期的發(fā)展完善,目前已經(jīng)發(fā)展到第五代了。雖然防火墻還存在許多不足,但它對于保護內(nèi)部網(wǎng)絡(luò)確實起著關(guān)鍵作用。網(wǎng)絡(luò)安全技術(shù)是一個復雜、多變、發(fā)展迅速的領(lǐng)域,除了要對已有的技術(shù)掌握外,還要認識未來發(fā)展的趨勢,才能在攻與防的對抗中處于主動地位。

[1]余偉建,嚴忠軍,盧科霞,王凌.防守反擊——黑客攻擊手段分析與防范[M].北京:人民郵電出版社,2001.

[2]許治坤,王偉,郭添森,楊冀龍.網(wǎng)絡(luò)滲透技術(shù)[M].北京:電子工業(yè)出版社,2005.

[3]萬平國.網(wǎng)絡(luò)隔離與網(wǎng)閘[M].北京:機械工業(yè)出版社,2004.

(責任編輯 靳榮莉)

TP393.08

A

1008-469X(2010)03-0019-02

2010-03-12

李永義(1972-),男,河北唐山人,工程師,主要從事網(wǎng)絡(luò)教育、網(wǎng)絡(luò)管理及開發(fā)方面研究。