网络防火墙设计中的一些重点问题

　　然而这样做，我们需要单独设置一台管理主机，显然太过浪费，而且这样管理起来的灵活性也不好。

　　b．通信过程加密

　　这样无需一个专门的端口，内网任意一台主机都可以在适当的情况下成为管理主机，管理主机和防火墙之间采用加密的方式通信。

　　目前国内有采用的是使用自定义协议、一次性口令认证。对加密这个领域了解不多，不做详细讨论。

　　B．对来自外部（和内部）攻击的反应能力

　　目前常见的来自外部的攻击方式主要有：

　　a．DOS（DDOS）攻击

　　（分布式）拒绝服务攻击是目前一种很普遍的攻击方式，在预防上也是非常困难的。目前防火墙对于这种攻击似乎没有太多的解决办法，主要是提高防火墙本身的健壮性（如增加缓冲区大小）。在Linux内核中有一个防止Syn flooding攻击的选项：CONFIG_SYN_COOKIES，它是通过为每一个Syn建立一个缓冲（cookie）来分辨可信请求和不可信请求。另外对于ICMP攻击，可以通过关闭ICMP 回应来实现。

　　b．IP假冒（IP spoofing）

　　IP假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。

　　第一，防火墙设计上应该知道网络内外的IP地址分配，从而丢弃所有来自网络外部但却有内部地址的数据包。实际实现起来非常简单，只要在内核中打开rp_filter功能即可。

　　第二，防火墙将内网的实际地址隐蔽起来，外网很难知道内部的IP地址，攻击难度加大。IP假冒主要来自外部，对内网无需考虑此问题（其实同时内网的IP假冒情况也可以得到遏制）。

　　c．特洛伊木马

　　防火墙本身预防木马比较简单，只要不让系统不能执行下载的程序即可。

　　一个需要说明的地方是必须指出的是，防火墙能抗特洛伊木马的攻击并不意味着内网主机也能防止木马攻击。事实上，内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决（防火墙只能在内网主机感染木马以后起一定的防范作用）。

　　d．口令字攻击

　　口令字攻击既可能来自外部，也可能来自内部，主要是来自内部。（在管理主机与防火墙通过单独接口通信的情况下，口令字攻击是不存在的）

　　来自外部的攻击即用穷举的办法猜测防火墙管理的口令字，这个很容易解决，只要不把管理部分提供给外部接口即可。

　　内部的口令字攻击主要是穷举和嗅探，其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字，如果口令字已加密，则解密得到口令字。目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。

　　e．邮件诈骗

　　邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单，不接收任何邮件就可以了。然而象木马攻击一样，内网主机仍可收发邮件，邮件诈骗的危险仍然存在，其解决办法一个是内网主机本身采取措施防止邮件诈骗，另一个是在防火墙上做过滤。

　　f．对抗防火墙（anti-firewall）

　　目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙功能和探测防火墙内部网络结构，典型的如Firewalk。另外有一些其他的网络安全性分析工具本身具有双刃性，这类工具用于攻击网络，也可能会很有效的探测到防火墙和内部网络的安全缺陷，典型的如SATAN和ISS公司的 InternetSecurity Scanner。目前对于这种探测（攻击）手段，尚无有效的预防措施，因为防火墙本身是一个被动的东西，它只能靠隐藏内部网络结构和提高自身的安全性来对抗这些攻击。

　　C．透明代理的采用

　　应用代理防火墙一般是通过设置不同用户的访问权限来实现，这样就需要有用户认证体系。以前的防火墙在访问方式上主要是要求用户登录进系统（如果采用 sock代理的方式则需要修改客户应用）。透明代理的采用，可以降低系统登录固有的安全风险和出错概率，从而提高了防火墙的安全性。

　　4．透明性

　　防火墙的透明性指防火墙对于用户是透明的，在防火墙接入网络时，网络和用户无需做任何设置和改动，也根本意识不到防火墙的存在。

　　防火墙作为一个实际存在的物理设备，要想放入已存在地网络中又不对网络有任何影响，就必须以网桥的方式置入网络。传统方式下，防火墙安装时，更象是一台路由器或者网关，原有网络拓扑结构往往需要改变，网络设备（包括主机和路由器）的设置（IP和网关、DNS、路由表等等）也需要改变。但如果防火墙采用了透明模式，即采用类似网桥的方式运行，用户将不必重新设定和修改路由，也不需要知道防火墙的位置，防火墙就可以直接安装和放置到网络中使用。

　　透明模式最大的好处在于现有网络无需做任何改动，这就方便了很多客户，再者，从透明模式转换到非透明模式又很容易，适用性显然较广。当然，此时的防火墙仅仅起到一个防火墙的作用，其他网关位置的功能如NAT、VPN功能不再适用，当然，其他功能如透明代理还可以 继续使用。

　　目前透明模式的实现上可采用ARP代理和路由技术实现。此时防火墙相当于一个ARP代理的功能。内网（可以仍含有路由器或子网，依次类推）、防火墙、路由器的位置大致如下：

　　内网―――――防火墙―――――路由器

　　（需要说明的是，这种方式是绝大多数校园网级网络的实现方式）

　　内网主机要想实现透明访问，必须能够透明的传送内网和路由器之间的ARP包，而此时由于事实上内网和路由器之间无法连通，防火墙就必须配置成一个ARP代理（ARP Proxy）在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时，防火墙用和路由器相连接口的MAC地址回送ARP包；内网内某一主机发送ARP广播包询问路由器的硬件地址时，防火墙用和内网相连接口的MAC地址回送ARP包，因此路由器和内网主机都认为将数据包发给了对方，而实际上是发给了防火墙转发。