防火墙基本知识(7)

　　如果你将除特定的服务集之外的所有东西都挡在外面，那么你已经使你的任务变得很容易了。你无需再为周围的每样产品和每件服务的各种安全问题担心了，你只需关注特定产品和服务存在的各种安全问题。

　　在启动一项服务之前，你应当考虑下列问题：＊这个产品的协议是人们熟知的公开协议吗？＊为这个协议提供服务的应用程序的应用情况是否可供公开检查？＊这项服务和产品是否为人们熟知？＊使用这项服务会怎样改变防火墙的结构？攻击者会从不同的角度看待这些吗？攻击者能利用这点进入我的内部网络，或者会改变我的DMZ中主机上的东西吗？

　　在考虑上述问题时，请记住下列忠告：＊“不为人所知的安全性根本不安全。许多未公开的协议都被那些坏家伙研究并破解过。＊无论营销人员说些什么，不是所有的协议或服务在设计时考虑了安全性。事实上，真正在设计时考虑了安全性的协议或服务数量很少。＊甚至在考虑过安全性的情况下，并不是所有的机构都拥有合格的负责安全的人员。在那些没有称职负责安全的人员的机构中，不是所有的机构都愿意请称职的顾问参与工程项目。这样做的结果是那些其它方面还称职的、好心肠的开发者会设计出不安全的系统。＊厂商越不愿意告诉你他们系统的真正工作原理，它就越有可能可存安全性（或其它）问题。只有有什么东西需要隐瞒的厂商才有理由隐瞒他们的设计和实施情况。

　　10．有哪些常见的攻击？应当如何保护系统不受它们的攻击呢？

　　每个站点与其它站点遭受攻击的类型都略有不同。但仍有一些共同之处。SMTP会话攻击（SMTP Session Hijacking）在这种攻击中，垃圾邮件制造者将一条消息复制成千上万份，并按一个巨大的电子邮件地址清单发送这条消息。由于这些地址清单常常很糟糕，并且为了加快垃圾制造者的操作速度，许多垃圾制造者采取了将他们所有的邮件都发送到一台SMTP服务器上作法，由这台服务器负责实际发送这些邮件。

　　当然，弹回（bounces）消息、对垃圾制造者的抱怨、咒骂的邮件和坏的PR都涌入了曾被用作中继站的站点。这将着实要让这个站点破费一下了，其中大部分花费被用到支付以后清除这些信息的人员费用上。