全面分析防火墙及防火墙的渗透(9)

　　对于通道技术，我们的解决方案是采用应用层的数据包检测技术，因为在正常的HTTP请求中，GET、POST等行为是必不可少的，如果来自一个连接的HTTP请求中，总是没有GET、POST，那么这个连接肯定有问题。从而终止此连接。现在已经有公司的IDS产品能够查出隐藏在80中的tunnel,但是这些IDS产品的费用恐怕也不是中小型企业能承受的了的。

　　对于防火墙的渗透，还有一些方法，比如找防火墙本身的设计缺陷等等，但那些难度太大。恐怕不是我们应该考虑的了。

　　总结：

　　我们又把防火墙和防火墙的渗透深入浅出的复习了一遍。现在我们应该更清楚的知道，防火墙不是万能的，即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。那么，对于一个网络来说，我们应该怎么做才能够保证它的最大安全呢？

　　1.根据需要合适的配置防火墙，尽量少开端口。

　　2.采用过滤严格的WEB程序。

　　3.采用加密的HTTP协议(HTTPS)。

　　4.如果条件允许，购买一台功能较强大的NIDS。

　　5.管理好你的内网用户，防止攻击者和内网用户直接连接绕过防火墙。

　　6.经常升级你的firewall产品

　　为了通信，不论是什么防火墙，都不可能把所有的服务，所有的端口都封闭。（如果有那样的防火墙，还不如拔网线来的直接，呵呵）大多数的防火墙或多或少都要开放一个端口或服务（比如HTTP），只要开放了端口和服务，就给了我们渗透的可能。HTTP是一种比较简单而常用的互交式协议，你给服务器发送一个请求，服务器就返回给你一个回应。几乎所有的主机都被允许发送HTTP请求。网络上HTTP协议使用的是如此广泛，这也决定了我们可以通过使用通道技术而轻松的通过防火墙或其他类似设备而将我们需要的数据发送至目标。一个很典型的例子就是http-tunnel.