再谈防火墙及防火墙的渗透(9)

　　上述功能似乎用端口映射也能做的到，把A主机上的23端口重定向到80端口，再把B主机上的80端口重定向到23端口就行了。但如果B主机已经开启了 WWW服务了呢？要使用上述功能，使用端口映射必须牺牲B主机的80端口，这是得不偿失的。试想在一次渗透防火墙的对某台主机的攻击中，把别人本来已经开启的WWW服务DOWN了，你还能在这台主机上呆多久？但是，使用http-tunnel就可以完美实现，即使B主机已经开放80，提供WWW，我们也照样可以发送telnet到其80端口上，享受到“正版”的telnet服务。

　　对于通道技术，我们的解决方案是采用应用层的数据包检测技术，因为在正常的HTTP请求中，GET、POST等行为是必不可少的，如果来自一个连接的HTTP请求中，总是没有GET、POST，那么这个连接肯定有问题。从而终止此连接。现在已经有公司的IDS产品能够查出隐藏在80中的 tunnel,但是这些IDS产品的费用恐怕也不是中小型企业能承受的了的。

　　对于防火墙的渗透，还有一些方法，比如找防火墙本身的设计缺陷等等，但那些难度太大。恐怕不是我们应该考虑的了。

　　--------------------------------------------------------

　　总结：

　　我们又把防火墙和防火墙的渗透深入浅出的复习了一遍。现在我们应该更清楚的知道，防火墙不是万能的，即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。那么，对于一个网络来说，我们应该怎么做才能够保证它的最大安全呢？

　　1.根据需要合适的配置防火墙，尽量少开端口。

　　2.采用过滤严格的WEB程序。

　　3.采用加密的HTTP协议(HTTPS)。

　　4.如果条件允许，购买一台功能较强大的NIDS。

　　5.管理好你的内网用户，防止攻击者和内网用户直接连接绕过防火墙。

　　6.经常升级你的firewall产品。