防火墙设计中的一些重点问题(5)

　　邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单，不接收任何邮件就可以了。然而象木马攻击一样，内网主机仍可收发邮件，邮件诈骗的危险仍然存在，其解决办法一个是内网主机本身采取措施防止邮件诈骗，另一个是在防火墙上做过滤。

　　f．对抗防火墙（anti-firewall）

　　目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙功能和探测防火墙内部网络结构，典型的如Firewalk。另外有一些其他的网络安全性分析工具本身具有双刃性，这类工具用于攻击网络，也可能会很有效的探测到防火墙和内部网络的安全缺陷，典型的如SATAN和ISS公司的 Internet Security Scanner。目前对于这种探测（攻击）手段，尚无有效的预防措施，因为防火墙本身是一个被动的东西，它只能靠隐藏内部网络结构和提高自身的安全性来对抗这些攻击。

　　C．透明代理的采用

　　应用代理防火墙一般是通过设置不同用户的访问权限来实现，这样就需要有用户认证体系。以前的防火墙在访问方式上主要是要求用户登录进系统（如果采用 sock代理的方式则需要修改客户应用）。透明代理的采用，可以降低系统登录固有的安全风险和出错概率，从而提高了防火墙的安全性。

　　防火墙的透明性指防火墙对于用户是透明的，在防火墙接入网络时，网络和用户无需做任何设置和改动，也根本意识不到防火墙的存在。

　　防火墙作为一个实际存在的物理设备，要想放入已存在地网络中又不对网络有任何影响，就必须以网桥的方式置入网络。传统方式下，防火墙安装时，更象是一台路由器或者网关，原有网络拓扑结构往往需要改变，网络设备（包括主机和路由器）的设置（IP和网关、DNS、路由表等等）也需要改变。但如果防火墙采用了透明模式，即采用类似网桥的方式运行，用户将不必重新设定和修改路由，也不需要知道防火墙的位置，防火墙就可以直接安装和放置到网络中使用。