ta通道而打开的端口。这些过滤器能(或多或少的)使UDP包(DNS,RPC)安全的通过防火墙。(这是因为 UDP不是面向连接的协议。并且对RPC服务更是如此)这可以是一个大型的带IP包过滤的OpenBSD主机,一个CISCO PIX,堡垒主机,或者是著名的Checkpoint FW-1(一个防火墙程序)。 代理/电路级网关: 一个代理防火墙主机可以是任何没有路由功能的但有代理功能的服务器。代理服务器可用来代理WWW服务请求,一个发送邮件中继或就是一个SOCKD。 应用网关: 这是代理服务器的增强版本。就象一个代理服务器,一个起代理作用的程序被安装后,每个应用都将以被代理的方式通过防火墙。不管怎样,应用网关很实用并且检查每一个请求和应答,比如一个FTP会话可以单向传输数据但不能双向传输数据,并且下载后数据没有病毒,应答时没有缓冲区溢出发生等等。有人会说SQUID是一个应用网关,因为它做许多安全的检查且它让你过滤一切,但它并不是为在安全环境中的设备所编写的,它还有许多bug. 对此,一个好的免费软件包是TIS防火墙工具包。 提供商在市场上卖的防火墙,许多都是复合型的,这意味这它们有比单一型多的功能;比如IBM防火墙是一个简单的带SOCKS的包过滤和一些代理功能的防?
鹎健?我不想说那一个防火墙是最好的,因为本文不是一篇如何购买防!
火墙的文
章,但我要说,到目前为止应用网关是最安全的,尽管(因为)价钱,速度,附加协议,开放网络策略等原因,愚蠢的经销商,笨拙的管理部门可能不考虑它们。 进一步 在我们讨论后门是什么之前,我们将弄明白怎样在第一时间穿过防火墙。注意,穿过防火墙对于哪些 “script- kiddies”(注:真正的HACKER对那些只会模仿的--水平低下的年青人的谑称)来说并不是很容易的事,这必须经过仔细而周密的计划。 有4种可能性: 内部的人:有一些人在公司的内部(你,男/女朋友,同居者)由他们安装后门,这是最简单的方法。 易受攻击的服务: 几乎所有的网络都提供各种各样的服务,象邮件发送服务,WWW,DNS,这些服务可能由防火墙主机本身提供,或在DZM的主机(这区域在防火墙前端,常常不受防火墙保护),内部主机提供。如果一个攻击者能在这些服务中找到漏洞,他已得到了进入系统的大好机会。你可能在笑,如果你看到有许多防火墙在运行邮件中继... 易受攻击的外部服务: 在防火墙后面的人有时工作在外部主机。如果一个攻击者能黑了这些外部主机,他能导致对系统的严重的损害,比如,如果目标主机通过X中继或sshd使用它(外部主机)将导致X攻击。攻击者也能发送伪装的 FTP 应答!
使FTP客户端程序的缓冲区产生溢出,在WEB服务器端替换一个GIF图象使netscape死机并且执行一个命令(我从没有检查过它是否真的工作,netscape是否死机,YEAH,但我不知道它是不是一个可利用的溢出 ). 有许多可能性,但需要一些公司的信息。不管怎样,通常一个公司内部的WEB服务器是一个好的开端。
一些防火墙被设置成可以允许从一些机器上用TELNET连接,因此任何人能嗅探并得到它。对于美国这是特别的事实,在那里大学院校和工业部门/军队共同工作。 截获连接: 许多公司认为他们如果在一些安全认证的基础上比如SecureID(安全?)允许TELNET进入,他们是安全的。任何人能在认证结束后截获这些(安全认证)并进入...其它截获连接的方法是修改协议启用时的应答用来产生一个溢出(X). 后门: 许多事情可以用一个特洛依木马。它可以是一个GZIP文件,它产生一个缓冲区溢出(需要一个老版本的 GZIP才能安装),一个TAR文件窜改 ~/.LOGOUT 执行一些命令,或修改一个可执行的或源代码使攻击者以某种方式进入。