王杰昌

摘要：防火墻是網(wǎng)絡(luò)安全的重要技術(shù)手段，一般而言，防火墻設(shè)備是被嵌入內(nèi)網(wǎng)和因特網(wǎng)之間，防止內(nèi)網(wǎng)受到來(lái)自因特網(wǎng)的攻擊。然而，在內(nèi)網(wǎng)中服務(wù)器若想防范來(lái)自?xún)?nèi)網(wǎng)普通用戶(hù)的攻擊，就需要構(gòu)筑內(nèi)網(wǎng)虛擬防火墻。另外，在服務(wù)器區(qū)，為防范來(lái)自同vlan的中毒服務(wù)器攻擊，其他服務(wù)器需開(kāi)啟并設(shè)置自帶的系統(tǒng)防火墻。

關(guān)鍵詞：防火墻設(shè)備;內(nèi)網(wǎng)虛擬防火墻;系統(tǒng)防火墻

中圖分類(lèi)號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）19-0052-02

近幾年來(lái)，隨著網(wǎng)絡(luò)安全形勢(shì)的日益嚴(yán)峻，尤其是“棱鏡門(mén)”事件的曝光和“勒索病毒”的肆虐，網(wǎng)絡(luò)安全越來(lái)越受到大家的重視，我國(guó)將其上升到國(guó)家戰(zhàn)略層面，先是成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，后又將其改為中央網(wǎng)絡(luò)安全和信息化委員會(huì)。而防火墻又是網(wǎng)絡(luò)安全中一種重要的技術(shù)手段和有效的防御工具，通過(guò)因特網(wǎng)訪問(wèn)內(nèi)網(wǎng)的資源時(shí)，以及通過(guò)內(nèi)部主機(jī)訪問(wèn)因特網(wǎng)時(shí)，防火墻可保護(hù)內(nèi)網(wǎng)免受來(lái)自外網(wǎng)的安全威脅[1]。

1 常規(guī)防火墻設(shè)備介紹

常規(guī)防火墻設(shè)備被嵌入內(nèi)網(wǎng)和因特網(wǎng)之間，從而創(chuàng)建受控制的連接且構(gòu)成外部安全墻或者說(shuō)是邊界。這個(gè)邊界的目的在于防止內(nèi)網(wǎng)受到來(lái)自因特網(wǎng)的攻擊，并在安全性將受到影響的地方形成阻塞點(diǎn)[1]。

防火墻的設(shè)計(jì)目標(biāo)[2]：（1）所有的通信連接，不管是從內(nèi)網(wǎng)到外網(wǎng)還是從外網(wǎng)到內(nèi)網(wǎng)，都必須經(jīng)過(guò)防火墻。（2）只有被授權(quán)的通信連接才能通過(guò)防火墻，本地安全策略將規(guī)定這些授權(quán)。（3）防火墻本省對(duì)于滲透必須是免疫的。

防火墻用以控制訪問(wèn)和加強(qiáng)網(wǎng)絡(luò)站點(diǎn)安全策略的主要有以下四項(xiàng)常用技術(shù)[3]：

（1）服務(wù)控制：決定哪些服務(wù)可以被訪問(wèn)，不管服務(wù)是從內(nèi)網(wǎng)而外網(wǎng)，還是從外網(wǎng)到內(nèi)網(wǎng)。防火墻可以以IP地址和TCP端口為基礎(chǔ)過(guò)濾通信。

（2）方向控制：決定在哪些特定的方向上服務(wù)請(qǐng)求可以被發(fā)起并通過(guò)防火墻。

（3）用戶(hù)控制：根據(jù)用戶(hù)正在試圖訪問(wèn)的服務(wù)器，來(lái)控制他的訪問(wèn)。這個(gè)技術(shù)特性主要應(yīng)用于防火墻網(wǎng)絡(luò)內(nèi)部的用戶(hù)（本地用戶(hù)），它也可以應(yīng)用到來(lái)自外部用戶(hù)的通信。

（4）行為控制：控制一個(gè)具體的服務(wù)如何被實(shí)現(xiàn)。舉例來(lái)說(shuō)，防火墻可以通過(guò)過(guò)濾郵件來(lái)清除垃圾郵件。它也可能只允許外部用戶(hù)訪問(wèn)本地服務(wù)器的部分信息。

2 常規(guī)防火墻設(shè)備不能解決的問(wèn)題

2.1 內(nèi)網(wǎng)普通用戶(hù)對(duì)中心機(jī)房服務(wù)器區(qū)發(fā)起的攻擊

普通的防火墻產(chǎn)品只是被嵌入內(nèi)網(wǎng)和因特網(wǎng)之間，防止內(nèi)網(wǎng)受到來(lái)自因特網(wǎng)的攻擊。但是有三種安全威脅常規(guī)防火墻設(shè)備無(wú)法防范：（1）內(nèi)網(wǎng)的普通用戶(hù)若上網(wǎng)不慎導(dǎo)致電腦中毒，會(huì)對(duì)內(nèi)網(wǎng)服務(wù)器區(qū)造成安全威脅。（2）內(nèi)網(wǎng)的普通用戶(hù)被黑客攻擊變成肉雞，被黑客控制對(duì)服務(wù)器區(qū)發(fā)動(dòng)攻擊。（3）內(nèi)網(wǎng)用戶(hù)本人直接在內(nèi)網(wǎng)對(duì)服務(wù)器發(fā)動(dòng)惡意攻擊。因這些針對(duì)內(nèi)網(wǎng)服務(wù)器的攻擊都是在內(nèi)網(wǎng)發(fā)起的，而不是直接從因特網(wǎng)發(fā)起的，內(nèi)外網(wǎng)之間的那道防火墻也愛(ài)莫能助。

2.2 中心機(jī)房服務(wù)器間發(fā)起的攻擊

普通的防火墻產(chǎn)品只是被嵌入內(nèi)網(wǎng)和因特網(wǎng)之間，所以其根本無(wú)法防御中心機(jī)房服務(wù)器間（尤其是同vlan）發(fā)動(dòng)的攻擊。一臺(tái)服務(wù)器中毒的話，它會(huì)很容易感染同vlan服務(wù)器。另外，如果一臺(tái)服務(wù)器被別人遠(yuǎn)程控制，那么別人會(huì)輕而易舉地通過(guò)這臺(tái)服務(wù)器去攻擊其他同vlan服務(wù)器。因?yàn)檫@些攻擊是在中心機(jī)房服務(wù)器區(qū)內(nèi)發(fā)動(dòng)的，內(nèi)網(wǎng)與因特網(wǎng)間的防火墻更加無(wú)能為力了。

3 解決問(wèn)題的對(duì)策

3.1 為防范內(nèi)網(wǎng)攻擊而設(shè)立的內(nèi)網(wǎng)虛擬防火墻

若中心機(jī)房服務(wù)器要防范直接或間接從內(nèi)網(wǎng)普通用戶(hù)發(fā)起的攻擊，必須在內(nèi)網(wǎng)的中心機(jī)房服務(wù)器區(qū)和內(nèi)網(wǎng)普通用戶(hù)之間另設(shè)一道防火墻，我們稱(chēng)之為虛擬防火墻。

虛擬防火墻主要用于防范來(lái)自?xún)?nèi)網(wǎng)普通用戶(hù)對(duì)服務(wù)器發(fā)起的攻擊，為了防范來(lái)自?xún)?nèi)網(wǎng)的攻擊，可以為其設(shè)置相應(yīng)的安全策略。以校園網(wǎng)為例，大部分服務(wù)器的端口（尤其是遠(yuǎn)程控制）或高級(jí)權(quán)限只能開(kāi)放給網(wǎng)絡(luò)中心的管理員，教務(wù)系統(tǒng)服務(wù)器的高級(jí)控制權(quán)限只能開(kāi)放給教務(wù)處的系統(tǒng)管理員，財(cái)務(wù)服務(wù)器的高級(jí)控制權(quán)限只能開(kāi)放給財(cái)務(wù)處的系統(tǒng)操作員，等等，同時(shí)，要求這些管理員老師要對(duì)自己的辦公PC定期殺毒，而且不要隨便下載或點(diǎn)擊因特網(wǎng)上一些不明資源或鏈接。對(duì)于普通老師和學(xué)生用戶(hù)，只對(duì)他們開(kāi)放一些必需的http訪問(wèn)權(quán)限。這樣服務(wù)器就能有效避免來(lái)自?xún)?nèi)網(wǎng)普通用戶(hù)的攻擊。具體操作如下：

以阿姆瑞特防火墻為例，通過(guò)web頁(yè)面管理，網(wǎng)絡(luò)中心管理員登錄進(jìn)去后，為各業(yè)務(wù)系統(tǒng)設(shè)置權(quán)限。若是為教務(wù)系統(tǒng)設(shè)置權(quán)限，那么首先要打開(kāi)對(duì)象，選擇地址簿，將教務(wù)處系統(tǒng)管理員、成績(jī)管理員、學(xué)籍管理員、評(píng)教管理員等老師的辦公電腦ip地址添加進(jìn)去并命名，還可以將他們編成一個(gè)教務(wù)處ip組。然后再在對(duì)象下選擇服務(wù)，將tcp80端口添加（tcp/udp服務(wù)）并命名為http，將tcp3389端口添加（tcp/udp服務(wù)）并命名為rdp，另外再將兩個(gè)數(shù)據(jù)庫(kù)端口添加并命名為兩個(gè)tcp/udp服務(wù)，并且將這兩個(gè)數(shù)據(jù)庫(kù)tcp/udp服務(wù)添加并命名到一個(gè)服務(wù)組里。新建幾條策略，首先將教務(wù)系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器的數(shù)據(jù)庫(kù)服務(wù)組開(kāi)放給教務(wù)處ip組，然后將教務(wù)系統(tǒng)web服務(wù)器的http服務(wù)開(kāi)放給校內(nèi)所有人，因這兩臺(tái)服務(wù)器vlan相同，虛擬防火墻不會(huì)限制它倆的任何通信;如有需要，可將這兩臺(tái)服務(wù)器的rdp服務(wù)分別開(kāi)放給教務(wù)系統(tǒng)管理員和網(wǎng)絡(luò)中心管理員;然后點(diǎn)擊讓這些策略生效。

3.2 為防范同vlan服務(wù)器間的攻擊而開(kāi)啟的服務(wù)器系統(tǒng)防火墻

一般而言，內(nèi)網(wǎng)虛擬防火墻對(duì)服務(wù)器區(qū)不同vlan間的服務(wù)器也有隔離作用，但同vlan的服務(wù)器間虛擬防火墻不起作用，如果一臺(tái)服務(wù)器中毒，那么它會(huì)輕而易舉地對(duì)同vlan的服務(wù)器發(fā)起攻擊，此時(shí)就需要開(kāi)啟服務(wù)器自帶的系統(tǒng)防火墻。

專(zhuān)門(mén)的防火墻產(chǎn)品可以定向只對(duì)某些用戶(hù)開(kāi)放端口，限制普通用戶(hù)的訪問(wèn)權(quán)限。而服務(wù)器系統(tǒng)防火墻只能粗放型地對(duì)所有用戶(hù)開(kāi)放哪些端口，關(guān)閉哪些端口。雖然服務(wù)器自帶的系統(tǒng)防火墻沒(méi)有專(zhuān)門(mén)的防火墻產(chǎn)品那么智能，但是它卻能有效地防范來(lái)自同vlan的服務(wù)器攻擊。一臺(tái)服務(wù)器開(kāi)啟系統(tǒng)防火墻后，可以只令部分業(yè)務(wù)端口（比如http端口）例外通過(guò)，關(guān)閉高風(fēng)險(xiǎn)端口（比如遠(yuǎn)程連接端口），這些高風(fēng)險(xiǎn)端口只有在必須使用的情況下才臨時(shí)打開(kāi)一會(huì)兒，這樣就能有效避免來(lái)自同vlan的服務(wù)器攻擊。下面就兩種常見(jiàn)的服務(wù)器系統(tǒng)防火墻設(shè)置舉例：

（1）對(duì)于win server 2008系統(tǒng)來(lái)說(shuō)，我們首先要打開(kāi)控制面板，然后再控制面板中找到windows防火墻并打開(kāi)，然后點(diǎn)擊打開(kāi)或關(guān)閉windows防火墻，啟用windows防火墻，在這種情況下大部分端口都被封閉了，服務(wù)器是很安全的，但是基本是不能對(duì)外界提供服務(wù)，安全和便利是矛盾的，是既對(duì)立又統(tǒng)一的。服務(wù)器如果想在相對(duì)安全的條件下對(duì)外提供服務(wù)，那就需要在開(kāi)啟防火墻的情況下開(kāi)啟端口例外。

在windows防火墻設(shè)置選項(xiàng)卡下點(diǎn)擊高級(jí)設(shè)置，然后在高級(jí)安全windows防火墻右上方，點(diǎn)擊創(chuàng)建規(guī)則，在新建入站規(guī)則向?qū)Т翱谙逻x擇端口，點(diǎn)擊下一步，選擇TCP或UDP，點(diǎn)擊特定本地端口輸入端口號(hào)（例如80、8080-8081），下一步選擇允許連接，再點(diǎn)擊下一步，選擇域、專(zhuān)用、公用等，然后命名該條規(guī)則（例如：http）完成;出站規(guī)則和入站規(guī)則設(shè)置一樣。通過(guò)這些操作就可以使特定服務(wù)端口例外通過(guò)防火墻。

如果想遠(yuǎn)程控制服務(wù)器，那么不僅要讓TCP3389端口例外通過(guò)windows防火墻，而且還要服務(wù)器中右擊計(jì)算機(jī)，選擇屬性，然后點(diǎn)擊遠(yuǎn)程設(shè)置，最后選擇允許運(yùn)行任意版本遠(yuǎn)程桌面的計(jì)算機(jī)連接。只有這樣，才能打開(kāi)遠(yuǎn)程連接，服務(wù)器才能被遠(yuǎn)程控制。但是服務(wù)器能夠被遠(yuǎn)程連接也是非常危險(xiǎn)的，特別容易被攻擊，所以一定要在管理員或廠家使用完遠(yuǎn)程連接后，及時(shí)遠(yuǎn)程連接。

（2）對(duì)于Linux操作系統(tǒng)（以Centos6.5為例）來(lái)說(shuō)，開(kāi)啟防火墻需要敲入命令：service iptables start;如果我們要讓80、443、8080這三個(gè)端口例外通過(guò)防火墻，我們可以在/etc/sysconfig/iptables文件中添加三行命令：

-A INPUT –m state –state NEW –m tcp –p tcp –dport 80 –j ACCEPT

-A INPUT –m state –state NEW –m tcp –p tcp –dport 443 –j ACCEPT

-A INPUT –m state –state NEW –m tcp –p tcp –dport 8080 –j ACCEPT

4 結(jié)語(yǔ)

隨著網(wǎng)絡(luò)安全越來(lái)越被大家重視，防火墻技術(shù)的重要性凸顯，本文從實(shí)踐中深入探討了一般防火墻所不能防范的兩種網(wǎng)絡(luò)威脅，并提出了相應(yīng)的解決方法。希望對(duì)大家有所啟發(fā)，共同進(jìn)步。

參考文獻(xiàn)：

[1] 斯托林斯.密碼編碼學(xué)與網(wǎng)絡(luò)安全——原理與實(shí)踐[M]. 3版.北京：電子工業(yè)出版社，2004.

[2] Bellovin S， Cheswick W.Network Firewalls[J].IEEE Communications Magazine，1994（9）.

[3] Smith R.Internet Cryptography[M]. MA：Addison-Wesley，1997.

【通聯(lián)編輯：代影】