网络防火墙与防范溢出策略(1)

　　“溢出”一直以来都是很多黑帽子黑客最常用(或者说是最喜欢用)的手段之一，随安全文化的逐步普及，大量的公开shellcode(“溢出”代码)与溢出攻击原理都可以随意在各大的网络安全网站中找得到，由此衍生了一系列的安全隐患...小黑黑使用它们来进行非法的攻击、恶意程序员使用它们来制造蠕虫等等...而网络_blank">防火墙作为人们最喜欢的网络安全“设施”之一，它又能如何“拦截”这一类型的攻击呢？这就是今天小神与大伙一起讨论的问题了。

　　写这篇烂文时小神粗略地翻了一下CIW SP的教科书，5、6章节详细的介绍了_blank">防火墙的种类、作用、优略点等，但没有提出关于使用_blank">防火墙来进行溢出防御的文章，这是为什么呢？大概是因为这样吧:目前大多的防火墙系统都是针对包过滤规则进行安全防御的，这类型的_blank">防火墙再高也只能工作在传输层，而溢出程序的she llcode是放在应用层的，因此对这类攻击就无能为力了。打个比方:前段时间比较火热的IIS WEBDAV溢出漏洞，若黑客攻击成功能直接得到ROOTSHELL(命令行管理员控制台)，它是在正常提供HTTP服务的情况下产生的溢出漏洞，若在不打补丁与手工处理的情况下一台_blank">防火墙又能做到什么呢？相信你除了把访问该服务器TCP80端口(提供正常地HTTP服务的情况下)的包过滤掉以外就什么都不会去做了，当然，这样也会使你的HTTP服务无法正常地开放(等于没有提供服务...)。下面就让小神以这个漏洞为“论点&&题材”，说说自己的解决方案吧。

　　1)对希望保护的主机实行“单独开放端口”访问控制策略所谓“单独开放端口”就是指只开放需要提供的端口，对于不需要提供服务的端口实行过滤策略。打个比方，现在我们需要保护一台存在WebDAV缺陷的WEB服务器，如何能令它不被骇客入侵呢？答案是：在这台WEB服务器的前端_blank">防火墙中加入一个“只允许其他机器访问此机的TCP80端口”的包过滤规则(至于阁下的_blank">防火墙能否实现这样的规则就另当别论了)。加上这个规则又会有怎样的效果呢？经常做入侵渗透测试的朋友应该比我还清楚远程溢出的攻击实施流程了吧？