防火牆知識普及

[psac]

防火牆知識普及

1．什麼是防火牆？

　　防火牆是一個或一組系統，它在網路之間執行訪問控制策略。實防火牆的實際方式各不相同，但是在原則上，防火牆可以被認為是這樣一對機制：一種機制是攔阻傳輸流通行，另一種機制是允許傳輸流通過。一些防火牆偏重攔阻傳輸流的通行，而另一些防火牆則偏重允許傳輸流通過。瞭解有關防火牆的最重要的概念可能就是它實現了一種訪問控制策略。如果你不太清楚你需要允許或否決那類訪問，你可以讓其他人或某些產品根據他（它）們認為應當做的事來配置防火牆，然後他（它）們會為你的機構全面地制定訪問策略。

2．為何需要防火牆？

　　同其它任何社會一樣，Internet也受到某些無聊之人的困擾，這些人喜愛在網上做這類的事,像在現實中向其他人的牆上噴染塗鴉、將他人的郵箱推倒或者坐在大街上按汽車喇叭一樣。一些人試圖通過Internet完成一些真正的工作，而另一些人則擁有敏感或專有資料需要保護。一般來說，防火牆的目是將那些無聊之人擋在你的網路之外，同時使你仍可以完成工作。

　　許多傳統風格的企業和資料中心都制定了計算安全策略和必須遵守的慣例。在一家公司的安全策略規定資料必須被保護的情況下，防火牆更顯得十分重要，因為它是這家企業安全策略的具體體現。如果你的公司是一家大企業，連線到Int-ernet上的最難做的工作經常不是費用或所需做的工作，而是讓管理層信服上網是安全的。防火牆不僅提供了真正的安全性，而且還起到了為管理層蓋上一條安全的毯子的重要作用。

　　最後，防火牆可以發揮你的企業駐Internet「大使」的作用。許多企業利用其防火牆系統作為儲存有關企業產品和服務的公開信息、下載文件、錯誤修補以及其它一些文件的場所。這些系統當中的幾種系統已經成為Internet服務結構（如UUnet.uu.net、whitehouse.gov、gatekeeper.dec.com）的重要組成部分，並且給這些機構的贊助者帶來了良好的影響。

3．防火牆可以防範什麼？
　　
　　一些防火牆只允許電子郵件通過，因而保護了網路免受除對電子郵件服務攻擊之外的任何攻擊。另一些防火牆提供不太嚴格的保護措施，並且攔阻一些眾所周知存在問題的服務。

　　一般來說，防火牆在配置上是防止來自「外部」世界未經授權的交互式登錄的。這大大有助於防止破壞者登錄到你網路中的電腦上。一些設計更為精巧的防火牆可以防止來自外部的傳輸流進入內部，但又允許內部的用戶可以自由地與外部通信。如果你切斷防火牆的話，它可以保護你免受網路上任何類型的攻擊。

　　防火牆的另一個非常重要的特性是可以提供一個單獨的「攔阻點」，在「攔阻點」上設置安全和審計檢查。與電腦系統正受到某些人利用調製解調器撥入攻擊的情況不同，防火牆可以發揮一種有效的「電話監聽」（Phone tap）和跟蹤工具的作用。防火牆提供了一種重要的記錄和審計功能；它們經常可以向管理員提供一些情況概要，提供有關通過防火牆的傳流輸的類型和數量以及有多少次試圖闖入防火牆的企圖等等信息。

4．防火牆不能防範什麼？

　　防火牆不能防範不經過防火牆的攻擊。許多接入到Internet的企業對通過接入路線造成公司專用資料資料洩露非常擔心。不幸得是，對於這些擔心來說，一盤磁帶可以被很有效地用來洩露資料。許多機構的管理層對Internet接入非常恐懼，它們對應當如何保護通過調製解調器撥號訪問沒有連慣的政策。當你住在一所木屋中，卻安裝了一扇六英尺厚的鋼門，會被認為很愚蠢。然而，有許多機構購買了價格昂貴的防火牆，但卻忽視了通往其網路中的其它幾扇後門。要使防火牆發揮作用，防火牆就必須成為整個機構安全架構中不可分割的一部分。防火牆的策略必須現實，能夠反映出整個網路安全的水準。
例如，一個儲存著超級機密或保密資料的站點根本不需要防火牆：首先，它根本不應當被接入到Internet上，或者儲存著真正秘密資料的系統應當與這家企業的其餘網路隔離開。

　　防火牆不能真正保護你防止的另一種危險是你網路內部的叛變者或白癡。儘管一個工業間諜可以通過防火牆傳送信息，但他更有可能利用電話、傳真機或軟碟來傳送信息。軟碟遠比防火牆更有可能成為洩露你機構秘密的媒介！防火牆同樣不能保護你避免愚蠢行為的發生。通過電話洩露敏感信息的用戶是社會工程（social engineering）的好目標；如果攻擊者能找到內部的一個「對他有幫助」的僱員，通過欺騙他進入調製解調器池，攻擊者可能會完全繞過防火牆打入你的網路。

5．防火牆能否防止病毒的攻擊？

　　防火牆不能有效地防範像病毒這類東西的入侵。在網路上傳輸二進制文件的編碼方式太多了，並且有太多的不同的結構和病毒，因此不可能搜尋所有的病毒。換句話說，防火牆不可能將安全意識（security-consciosness）交給用戶一方。
總之，防火牆不能防止資料驅動的攻擊：即通過將某種東西郵寄或拷貝到內部主機中，然後它再在內部主機中執行的攻擊。
過去曾發生過對不同版本的郵件寄送程序和幻像指令碼（ghostscript）和免費PostScript閱讀器的這類攻擊。

　　對病毒十分憂慮的機構應當在整個機構範圍內採取病毒控制措施。不要試圖將病毒擋在防火牆之外，而是保證每個脆弱的桌面系統都安裝上病毒掃瞄軟體，只要一引導電腦就對病毒進行掃瞄。利用病毒掃瞄軟體防護你的網路將可以防止通過軟碟、調製解調器和Internet傳播的病毒的攻擊。試圖御病毒於防火牆之外只能防止來自Internet的病毒，而絕大多數病毒是通過軟碟傳染上的。

　　儘管如此，還是有越來越多的防火牆廠商正提供「病毒探測」防火牆。這類防火牆只對那種交換Windows-on-Intel執行程序和惡意巨集套用我的文件的毫無經驗的用戶有用。不要指望這種特性能夠對攻擊起到任何防範作用。

6．在防火牆設計中需要做哪些基本設計決策？

　　在負責防火牆的設計、制定工程計劃以及實施或監督安裝的幸運兒面前，有許多基本設計問題等著他去解決。

　　首先，最重要的問題是，它應體現你的公司或機構打算如何執行這個系統的策略：安裝後的防火牆是為了明確地拒絕除對於連線到網路至關重的服務之外的所有服務，或者，安裝就緒的防火牆是為以非威脅方式對「魚貫而入」的訪問（"queuing" access）提供一種計量和審計的方法。在這些選項中存在著某種程度的偏執狂；防火牆的最終功能可能將是行政上的結果，而非工程上的決策。

　　第二個問題是：你需要何種程度的監視、冗余度以及控制水準？通過解決第一個問題，確定了可接受的風險水準（例如你的偏執到何種程度）後，你可以列出一個必須監測什麼傳輸、必須允許什麼傳輸流通行以及應當拒絕什麼傳輸的清單。
換句話說，你開始時先列出你的總體目標，然後把需求分析與風險評估結合在一起，挑出與風險始終對立的需求，加入到計劃完成的工作的清單中。

　　第三個問題是財務上的問題。在此，我們只能以模糊的表達方式論述這個問題，但是，試圖以購買或實施解決方案的費用多少來量化提出的解決方案十分重要。例如，一個完整的防火牆的高端產品可能價值10萬美元，而低端產品可能是免費的。像在Cisco或類似的路由器上做一些奇妙的配置這類免費選項不會花你一分錢，只需要工作人員的時間和幾杯咖啡。
從頭建立一個高端防火牆可能需要幾個人工月，它可能等於價值3萬美元的工作人員工資和利潤。系統管理開銷也是需要考慮的問題。建立自行開發的防火牆固然很好，但重要的是使建立的防火牆不需要費用高昂的不斷干預。換句話說，在評估防火牆時，重要的是不僅要以防火牆目前的費用來評估它，而且要考慮到像支持服務這類後續費用。

　　出於實用目的，我們目前談論的是網路服務提供商提供的路由器與你內部網路之間存在的靜態傳輸流路由服務，因此基於為一事實，在技術上，還需要做出幾項決策。傳輸流路由服務可以通過諸如路由器中的過濾規則在IP層實現，或通過代理網關和服務在套用層實現。

　　需要做出的決定是，是否將暴露的簡易機放置在外部網路上為telnet、ftp、news等執行代理服務，或是否設置像過濾器這樣的遮閉路由器，允許與一台或多台內部電腦的通信。這兩種方式都存在著優缺點，代理機可以提供更高水準的審計和潛在的安全性，但代價是配置費用的增加，以及可能提供的服務水準的降低（由於代理機需要針對每種需要的服務進行開發）。由來以久的易使性與安全性之間的平衡問題再次死死地困擾著我們。

7．防火牆的基本類型是什麼？

在概念上，有兩種類型的防火牆：

1、網路級防火牆
2、套用級防火牆

　　這兩種類型的差異並不像你想像得那樣大，最新的技術模糊了兩者之間的區別，使哪個「更好」或「更壞」不再那麼明顯。同以往一樣，你需要謹慎選項滿足你需要的防火牆類型。

　　網路級防火牆一般根據源、目的位址做出決策，輸入單個的IP包。一台簡單的路由器是「傳統的」網路級防火牆，因為它不能做出複雜的決策，不能判斷出一個包的實際含意或包的實際出處。現代網路級防火牆已變得越來越複雜，可以保持流經它的接入狀態、一些資料流的內容等等有關信息。許多網路級防火牆之間的一個重要差別是防火牆可以使傳輸流直接通過，因此要使用這樣的防火牆通常需要分配有效的IP位址塊。網路級防火牆一般速度都很快，對用戶很透明。

　　網路級防火牆的例子：在這個例子中，給出了一種稱為「遮閉主機防火牆」（screened host
firewall）的網路級防火牆。在遮閉主機防火牆中，對單個主機的訪問或從單個主機進行訪問是通過執行在網路級上的路由器來控制的。這台單個主機是一台橋頭堡主機（bastion host），是一個可以（希望如此）抵禦攻擊的高度設防和保險的要塞。

　　網路級防火牆的例子：在這個例子中，給出了一種所謂「遮閉子網防火牆」的網路級防火牆。在遮閉子網防火牆中，對網路的訪問或從這個網路中進行訪問是通過執行在網路級上的路由器來控制的。除了它實際上是由遮閉主機組成的網路外，它與被遮閉主機的作用相似。

　　套用級防火牆一般是執行代理伺服器的主機，它不允許傳輸流在網路之間直接傳輸，並對通過它的傳輸流進行記錄和審計。由於代理應用程式是執行在防火牆上的軟體設備，因此它處於實施記錄和訪問控制的理想位置。套用級防火牆可以被用作網路位址翻譯器，因為傳輸流通過有效地遮閉掉起始接入原址的應用程式後，從一「面」進來，從另一面出去。在某些情況下，設置了套用級防火牆後，可能會對性能造成影響，會使防火牆不太透明。早期的套用級防火牆，如那些利用TIS防火牆工具包構造的防火牆，對於最終用戶不很透明，並需要對用戶進行培訓。套用級防火牆一般會提供更詳盡的審計報告，比網路級防火牆實施更保守的安全模型。

　　套用級防火牆舉例：這此例中，給出了一個所謂「雙向本機網關」（dual homed gateway）的套用級防火牆。雙向本機網關是一種執行代理軟體的高度安全主機。它有兩個網路接頭，每個網路上有一個接頭，攔阻通過它的所有傳輸流。

　　防火牆未來的位置應當處於網路級防火牆與套用級防火牆之間的某一位置。網路級防火牆可能對流經它們的信息越來越「瞭解」（aware），而套用級防火牆可能將變得更加「低級」和透明。最終的結果將是能夠對通過的資料流記錄和審計的快速包遮閉系統。越來越多的防火牆（網路和套用層）中都包含了加密機制，使它們可以在Internet上保護流經它們之間的傳輸流。具有端到端加密功能的防火牆可以被使用多點Internet接入的機構所用，這些機構可以將Internet作為「專用骨幹網」，無需擔心自己的資料或密碼被偷看。

8．什麼是「單故障點」？應當如何避免出現這種故障？

　　安全性取決於一種機制的結構具有單故障點。執行橋頭堡主機的軟體存在錯誤。應用程式存在錯誤。控制路由器的軟體存在錯誤。使用所有這些組件建造設計安全的網路，並以冗余的方式使用它們才有意義。

　　如果你的防火牆結構是遮閉子網，那麼，你有兩台包過濾路由器和一台橋頭堡主機。（參見本節的問題2）Internet訪問路由器不允許傳輸流從Internet進入你的專用網路。然而，如果你不在橋頭堡主機以及（或）阻塞（choke）路由器上與其它任何機制一道執行這個規則（rule）的話，那麼只要這種結構中的一個組件出現故障或遭到破壞就會使攻擊者進入防火牆內部。另一方面，如果你在橋頭堡主機上具有冗余規則，並在阻塞路由器上也有冗余規則，那麼攻擊者必須對付三種機制。

　　此外，如果這台橋頭堡主機或阻塞路由器使用規則來攔阻外部訪問進入內部網路的話，你可能需要讓它觸發某種報警，因為你知道有人進入了你的訪問路由器。

9．如何才能將所有的惡意的傳輸攔在外面？

　　對於重點在於安全而非連接性的防火牆來說，你應當考慮預設攔阻所有的傳輸，並且只特別地根據具體情況允許你所需要的服務通過。

　　如果你將除特定的服務集之外的所有東西都擋在外面，那麼你已經使你的任務變得很容易了。你無需再為周圍的每樣產品和每件服務的各種安全問題擔心了，你只需關注特定產品和服務存在的各種安全問題。
　在啟動一項服務之前，你應當考慮下列問題：

＊這個產品的協議是人們熟知的公開協議嗎？
＊為這個協議提供服務的應用程式的套用情況是否可供公開檢查？
＊這項服務和產品是否為人們熟知？
＊使用這項服務會怎樣改變防火牆的結構？攻擊者會從不同的角度看待這些嗎？攻擊者能利用這點進入我的內部網路，或
者會改變我的DMZ中主機上的東西嗎？

　　在考慮上述問題時，請記住下列忠告：

＊「不為人所知的安全性根本不安全。許多未公開的協議都被那些壞傢伙研究並破解過。
＊無論營銷人員說些什麼，不是所有的協議或服務在設計時考慮了安全性。事實上，真正在設計時考慮了安全性的協議或服務數量很少。
＊甚至在考慮過安全性的情況下，並不是所有的機構都擁有合格的負責安全的人員。在那些沒有稱職負責安全的人員的機構中，不是所有的機構都願意請稱職的顧問參與工程項目。這樣做的結果是那些其它方面還稱職的、好心腸的開發者會設計出不安全的系統。
＊廠商越不願意告訴你他們系統的真正工作原理，它就越有可能可存安全性（或其它）問題。只有有什麼東西需要隱瞞的廠商才有理由隱瞞他們的設計和實施情況。

10．有哪些常見的攻擊？應當如何保護系統不受它們的攻擊呢？

　　每個站點與其它站點遭受攻擊的類型都略有不同。但仍有一些共同之處。

SMTP會話攻擊（SMTP Session Hijacking）

　　在這種攻擊中，垃圾郵件製造者將一條消息複製成千上萬份，並按一個巨大的電子郵件位址清單發送這條消息。由於這些位址清單常常很糟糕，並且為了加快垃圾製造者的操作速度，許多垃圾製造者採取了將他們所有的郵件都發送到一台SMTP伺服器上作法，由這台伺服器負責實際發送這些郵件。

　　當然，彈回（bounces）消息、對垃圾製造者的抱怨、咒罵的郵件和壞的PR都湧入了曾被用作中繼站的站點。這將著實要讓這個站點破費一下了，其中大部分花費被用到支付以後清除這些信息的人員費用上。

　　《防止郵件濫用系統傳輸安全性建議》（The Mail Abuse Prevention System Transport Security Initiative）中對這個問題作了詳盡的敘述，以及如何對每個寄信人進行配置防止這種攻擊。

利用應用程式中的錯誤（bugs）
　　
　　不同版本的web伺服器、郵件伺服器和其它Internet服務軟體都存在各種錯誤，因此，遠端（Internet）用戶可以利用錯誤做從造成對電腦的控制到引起應用程式癱瘓等各種後果。

　　只執行必要的服務、用最新的修正檔程序修補程式以及使用套用過一段時間的產品可以減少遭遇這種風險的可能。

利用操作系統中的錯誤

　　這類攻擊一般也是由遠端用戶發起的。相對於IP網路較新的操作系統更易出現問題，而很成熟的操作系統有充分的時間來發現和清除存在的錯誤。攻擊者經常可以使被攻擊的設備不斷重新引導、癱瘓、失去與網路通信的能力，或替換電腦上的文件。

　　因此，盡可能少地執行操作系統服務可以有助於防範對系統的攻擊。此外，在操作系統前端安裝一個包過濾器也可以大大減少受這類攻擊的次數。

　　當然，選項一個穩定的操作系統也同樣會有幫助。在選項操作系統時，不要輕信「好貨不便宜」這類說法。自由軟體操作系統常常比商用操作系統更強健。

11．我必須滿足用戶要求的各種要求嗎？

　　對這個問題的答案完全有可能是「不」。對於需要什麼，不需要什麼，每個站點都有自己的策略，但是，重要的是記住作為一家機構的看門人的主要工作之一是教育。用戶需要流視瀕、實時聊天，並要求能夠向請求在內部網路上的活資料庫進行交互查詢的外部客戶提供服務。

　　這意味著完成任何這類事情都會給機構造成風險，而造成的風險往往比想像中沿著這條路走下去的「價值」的回報更高。多數用戶不願使自己的機構遭受風險。他們只看一看商標，閱讀一下廣告，他們也願意做上述那些事。重要的是瞭解用戶真正想幹些什麼，幫助他們懂得他們可以以更安全的方式實現他們的真正目的。

　　你不會總受到歡迎，你可以甚至會發現自己收到了難以置信愚蠢的指令，讓你做一些諸如「開啟所有的口子」這樣的事，但不要為此擔心。在這種時刻，明智的做法是將你的交換資料全都儲存起來，這樣當一個十二歲的小孩闖入網路時，你至少能夠使你自己遠離混亂局面。

12．如何才能通過自己的防火牆執行WebHTTP？

　　有三種辦法做到這點：

1、如果你使用遮閉路由器的話，允許「建立起的」連接經過路由器接入到防火牆外。

2、使用支持SOCKS的Web客戶端機，並在你的橋頭堡主機上執行SOCKS。

3、執行橋頭堡主機上的某種具有代理功能的Web伺服器。一些可供選項的代理伺服器包括Squid、Apache、Netscape Proxy和TIS防火牆工具包中的http-gw。這些選件中的多數還可以代理其它協議（如gopher和ftp），並可快取捕獲的對象。後者一般會提高用戶的性能，使你能更有效地使用到Internet的連接。基本上所有的Web戶機（Mozilla、Inter-net Explorer、Lynx等等）都具有內裝的對代理伺服器的支持。

13．在使用防火牆時，怎樣使用DNS呢？

　　一些機構想隱藏DNS名，不讓外界知道。許多專家認為隱藏DNS名沒有什麼價值，但是，如果站點或企業的政策強制要求隱藏域名，它也不失為一種已知可行的辦法。你可能必須隱藏域名的另一條理由是你的內部網路上是否有非標準的尋址方案。不要自欺欺人的認為，如果隱藏了你的DNS名，在攻擊者打入你的防火牆時，會給攻擊者增加困難。有關你的網路的
信息可以很容易地從網路層獲得。假如你有興趣證實這點的話，不妨在LAN上「ping」一下子網廣播位址，然後再執行「arp -a」。還需要說明的是，隱藏DNS中的域名不能解決從郵件頭、新聞文章等中「洩露」主機名的問題。

　　這種方法是許多方法中的一個，它對於希望向Internet隱瞞自己的主機名的機構很有用。這種辦法的成功取決於這樣一個事實：即一台電腦上的DNS客戶端機不必與在同一台電腦上的DNS伺服器對話。換句話說，正是由於在一台電腦上有一個DNS伺服器，因此，將這部機器的DNS客戶端機活動重定向到另一台電腦上的DNS伺服器沒有任何不妥（並且經常有好處）。

　　首先，你在可以與外部世界通信的橋頭堡主機上建立DNS伺服器。你建立這台伺服器使它宣佈對你的域名具有訪問的權力。事實上，這台伺服器所瞭解的就是你想讓外部世界所瞭解的：你網關的名稱和位址、你的萬用字元MX記錄等等。這台伺服器就是「公共」伺服器。

　　然後，在內部電腦上建立一台DNS伺服器。這台伺服器也宣佈對你的域名具有權力；與公共伺服器不同，這台伺服器「講的是真話」。它是你的「正常」的命名伺服器，你可以在這台伺服器中放入你所有的「正常」DNS名。你再設置這台伺服器，使它可以將它不能解決的查詢轉發到公共伺服器（例如，使用Unix機上的/etc/named.boot中的「轉發器」行（forwarder line））。

　　最後，設置你所有的DNS客戶端機（例如，Unix機上的/etc/resolv.conf文件）使用內部伺服器，這些DNS客戶端機包括公共伺服器所在電腦上的DNS客戶端機。這是關鍵。

　　詢問有關一台內部主機信息的內部客戶端機向內部伺服器提出問題，並得到回答；詢問有關一部外部主機信息的內部客戶端機向內部伺服器查詢，內部客戶端機再向公共伺服器進行查詢，公共伺服器再向Internet查詢，然後將得到的答案再一步一步傳回來。公共伺服器上的客戶端機也以相同的方式工作。但是，一台詢問關於一台內部主機信息的外部客戶端機，只能從公共伺服器上得到「限制性」的答案。

　　這種方式假定在這兩台伺服器之間有一個包過濾防火牆，這個防火牆允許伺服器相互傳遞DNS，但除此之外，限制其它主機之間的DNS。

　　這種方式中的另一項有用的技巧是利用你的IN-ADDR.AROA域名中萬用字元PTR記錄。這將引起對任何非公共主機的「位址到名稱」（address-to-name）的搜尋返回像「unknown.YOUR.DOMAIN」這樣的信息，而非返回一個錯誤。這就滿足了像ftp.uu.net匿名FTP站點的要求。這類站點要求得到與它們通信的電腦的名字。當與進行DNS交叉檢查的站點通信時，這種方法就不靈了。在交叉檢查中，主機名要與它的位址匹配，位址也要與主機名匹配。

14．怎樣才能穿過防火牆使用FTP？

　　一般來說，可以通過使用像防火牆工具包中的ftp-gw這類代理伺服器，或在有限的連接阜範圍允許接入連線到網路上（利用如「建立的」遮閉規則這樣的規則來限制除上述連接阜外的接入），使FTP可以穿過防火牆工作。然後，修改FTP客戶端機，使其將資料連接阜連接在允許連接阜範圍內的一個連接阜上。這樣做需要能夠修改在內部主機上的FTP客戶端機套用。
在某些情況下，如果FTP的下載是你所希望支持的，你不妨考慮宣佈FTP為「死協議」（dead protocol），並且讓戶通過Web下載文件。如果你選項FTP-via-Web方式，用戶將不能使用FTP向外傳輸文件，這可能會造成問題，不過這取決你試圖完成什麼。

　　另一個不同的辦法是使用FTP "PASV"選項來指示遠端FTP伺服器允許客戶端機開始連接。PASV方式假設遠端系統上的FTP伺服器支持這種操作。（詳細說明請參看RFC1579）

　　另一些站點偏愛建立根據SOCKS庫連接的FTP程序的客戶端機版本。

15．怎樣才能穿過防火牆使用telnet？
　　
　　利用像防火牆工具包中的tn-gw這類套用代理，或簡單地配置一台路由器使它利用像「建立的」遮閉規則等策略允許接出，一般都可以支持使用telnet。套用代理可以以執行在橋頭堡主機上的獨立代理的形式，或以SOCKS伺服器和修改的客戶端機的形式存在。

16．怎樣才能穿過防火牆使用RealAudio？

　　RealNetworks中含有關於如何使穿過防火牆RealAudio的一些說明。在沒有清楚地瞭解做哪些改動，瞭解新的改動將帶來什麼樣的風險的情況下，就改動你的防火牆，是很不明智的。

17．如何才能使web伺服器作為專用網路上的一個資料庫的前端呢？

　　實現這點的最佳途徑是通過特定的協議在web伺服器與資料庫伺服器之間允許很有限的連接。特定的協議只支持你將使用的功能的級別。允許原始SQL或其它任何可為攻擊者利用來進行定制提取（extractions）的東西，一般來說不是一個好主意。

　　假設攻擊者能夠進入你的web伺服器，並以web伺服器同樣的方式進行查詢。難道沒有一種機制能提取web伺服器不需要的像信用卡信息這樣的敏感信息嗎？攻擊者難道不能發出一次SQL選項，然後提取你整個的專用資料庫嗎？

　　同其它所有套用一樣，「電子商務」套用從一開始設計時就充分考慮到了安全問題，而不是以後再想起來「增加」安全性。應當從一個攻擊者的角度，嚴格審查你的結構。假設攻擊者瞭解你的結構的每一個細節。現在，再問問自己，想要竊取你的資料、進行非授權的改動或做其它任何你不想讓做的事的話，應當做些什麼。你可能會發現，不需要增加任何功
能，只需做出一些設計和實施上的決策就可大大地增加安全性。

　　下面是一些如何做到這點的想法：

　　以一般的原則，從資料庫中提取你所需要的資料，使你不用對包含攻擊者感興趣的信息的整個資料庫進行查詢。對你允許在web伺服器與資料庫之間傳輸流實行嚴格的限制和審計。

淺析透明防火牆 (透通模式)

隨著防火牆技術的發展，安全性高、操作簡便、界面友好的防火牆逐漸成為市場熱點。在這種情況下，可以大大簡化防火牆設定、提高安全效能的透明模式和透明代理就成為衡量產品效能的重要指標。於是在推薦產品的程序中，很多廠商往往會介紹自己的產品實現了透明模式和透明代理。那麼究竟什麼是透明模式和透明代理呢？他們之間又有何關係呢？

透明模式，顧名思義，首要的特點就是對用戶是透明的（Transparent），即用戶意識不到防火牆的存在。要想實現透明模式，防火牆必須在沒有IP位址的情況下工作，不需要對其設定IP位址，用戶也不知道防火牆的IP位址。

防火牆作為一實際存在的物理設備，其本身也起到路由的作用，所以在為用戶安裝防火牆時，就需要考慮如何改動其原有的網路拓撲結構或修改連接防火牆的路由表，以適套用戶的實際需要，這樣就增加了工作的複雜程度和難度。但如果防火牆採用了透明模式，即採用無IP方式執行，用戶將不必重新設定和修改路由，防火牆就可以直接安裝和放置到網路中使用，如交換機一樣不需要設定IP位址。

透明模式的防火牆就好像是一台網路橋接(非透明的防火牆好像一台路由器)，網路設備(包括主機、路由器、工作站等)和所有電腦的設定（包括IP位址和網關）無須改變，同時解析所有通過它的資料包，既增加了網路的安全性，又降低了用戶管理的複雜程度。

而與透明模式在稱呼上相似的透明代理，和傳統代理一樣，可以比包過濾更深層次地檢查資料信息，比如FTP包的port指令等。同時它也是一個非常快的代理，從物理上分離了連接，這可以提供更複雜的傳輸協定需要，例如帶動態連接阜分配的H.323，或者一個帶有不同指令連接阜和資料連接阜的連接。這樣的通信是包過濾所無法完成的。

防火牆使用透明代理技術，這些代理服務對用戶也是透明的，用戶意識不到防火牆的存在，便可完成內外網路的通訊。當內部用戶需要使用透明代理訪問外部資源時，用戶不需要進行設定，代理伺服器會建立透明的通道，讓用戶直接與外界通信，這樣極大地方便用戶的使用。

一般使用代理伺服器時，每個用戶需要在客戶端程序中指明要使用代理，自行設定Proxy參數（如在瀏覽器中有專門的設定來指明HTTP或FTP等的代理）。而透明代理服務，用戶不需要任何設定就可以使用代理伺服器，簡化了網路的設定程序。下圖說明了透明代理的原理：

假設A為內部網路客戶端機，B為外部網路伺服器，C為防火牆。當A對B有連接請求時，TCP連接請求被防火牆截取並加以監控。截取後當發現連接需要使用代理伺服器時，A和C之間首先建立連接，然後防火牆建立相應的代理服務通道與目標B建立連接，由此通過代理伺服器建立A 和目標位址B的資料傳輸途徑。從用戶的角度看，A和B的連接是直接的，而實際上A 是通過代理伺服器C和B建立連接的。反之，當B對A有連接請求時原理相同。由於這些連接程序是自動的，不需要客戶端手工配置代理伺服器，甚至用戶根本不知道代理伺服器的存在，因而對用戶來說是透明的。

代理伺服器可以做到內外位址的轉換，遮閉內部網的細節，使非法分子無法探知內部結構。代理伺服器提供特殊的篩選指令，可以禁止用戶使用容易造成攻擊的不安全的指令，從根本上抵禦攻擊。

防火牆使用透明代理技術，還可以使防火牆的服務連接阜無法探測到，也就無法對防火牆進行攻擊，大大提高了防火牆的安全性與抗攻擊性。透明代理避免了設定或使用中可能出現的錯誤，降低了防火牆使用時固有的安全風險和出錯概率，方便用戶使用。

因此，透明代理與透明模式都可以簡化防火牆的設定，提高系統安全性。但兩者之間也有本質的區別：工作於透明模式的防火牆使用了透明代理的技術，但透明代理並不是透明模式的全部，防火牆在非透明模式中也可以使用透明代理。值得注意的是，雖然國內市場上很多防火牆產品都可提供透明代理訪問機制，但真正實現透明模式的卻不多——有很多廠商都宣稱自己的防火牆產品實現了透明模式，但在實際套用中，他們往往做不到這一點，而只是實現了透明代理。當然，市場上也有很多產品能真正提供透明模式，如Netscreen、東方龍馬、清華紫光等少數企業的防火牆產品。

DMZ：大型企業的安全網路

購買了!數台電腦連線共享器的朋友..........有因game遊戲伺服機,需要真實ｉｐ連接..再uPnP未全面推廣之餘,DMZ 就是你暫能解決之道................


當你打算在網路上安裝一個防火牆時，首先想到的可能就是把所有的客戶和伺服器都放到它的後面。這對於小企業來講是一個良好的解決辦法，但對於大企業，就應該考慮去構建一個叫做「Demilitarized Zone」 (DMZ) 的周邊安全網路，用來區分外網與局內網。

DMZ是放置公共信息的最佳位置，這樣用戶、潛在用戶和外部訪問者都可以直接獲得他們所需的關於公司的一些信息，而不用通過局內網。你公司中的機密的和私人的信息可以安全地存放在局內網中，即DMZ的後面。DMZ中的伺服器不應包含任何商業機秘、資來源碼或是私人信息。DMZ伺服器上的破壞最多只可能造成在你恢復伺服器時的一段中斷服務。

可以在下列系統中裝入非軍事區(DMZ)安全網路：


載有公共信息的網路伺服器。

與電子商務交易伺服器相連接的前端機，該前端機用來接收客戶訂單。存放客戶資料的後端應置於防火牆之後。

把外來電子郵件中轉至內部的郵件伺服器。

可據以進入內部網路的證書服務及伺服器。

虛擬專用網路上的各端點。

套用(層)網關。

測試及登台(譯註：根據系統要求或用戶請求,使資料從一個離線或優先權低的設備返回到一個連線電腦的或優先權高的設備的程序)伺服器。
在DMZ上一些典型的服務已配置好，比如公眾通常使用的HTTP傳輸協定(超文本傳輸傳輸協定)，安全SMTP傳輸協定(簡單郵件傳輸傳輸協定)，安全FTP傳輸協定(文件傳輸傳輸協定)，安全Telnet(遠端登入)等。若使用防火牆以阻擋外來的HTTP連接進入內部網路，則外部人員就不能在內部網路瀏覽。此時，組織內部的各部門就可以安全地把網路伺服器配置為僅供內部使用了。

若要配置帶有內建證書機制(比如S/Key或時基令牌標識符)的安全FTP或安全Telnet堡壘主機，則亦可置之於DMZ之內。電子郵件是穿過公共網路而來的，這就帶有天生的隱患。通過在DMZ上配置把電子郵件傳輸至內部郵件集線器的SMTP網關，可以把可能染有病毒的公共電子郵件在該網關上通過「嫁接」的防病毒軟體殺毒，這樣就可以保證最後存放至內部郵件集線器中的郵件會是「乾淨」的了。

要想建立DMZ，防火牆上必須有三個網路接頭，而這是目前最一般的。三個接頭中，一個接到內部網路中，一個接到不能信任的英特網中，第三個則接到DMZ中。DMZ中包括需連接至防火牆外的伺服器。存有至關重要的資料的伺服器則置於防火牆的保護之內。

當配置防火牆規則時，或許需要對進入內部網路進行嚴格的限制，而對DMZ則適用不同的(也許是不那麼嚴格的) 限制規則。比如，可以准許HTTP接入DMZ上的網路伺服器，但不准許其接入內部網路。DMZ之內的系統應能按要求安全地鎖住。可利用套用下鎖工具以防止在DMZ上進行未經授權的行為，亦可在DMZ上安置入侵偵測系統。在DMZ上，可以十分容易地監視機器，因為要用到哪些連接阜是已知的，普通公眾及內部僱員會如何使用DMZ伺服器也是已知的。

但是對於進入內部網路的信息流而言，必須要有限制十分嚴格的防火牆。這有幾個原因。一，安全問題通常是事後才能發現的，因此，內部網路的安全經常處於一種不可知狀態，這就需要設定突破屏障。二，內部網路用戶需要最大程度的靈活性，因此會盡可能的拒絕內部安全機制。對這些用戶及其系統，也需要進行保護。

我喜歡一個比喻，這個比喻是META集團全球安全戰略部的副總裁Christian Byrnes在最近的一次安全會議上說的：「人不可能煮沸大海，但能煮沸一碗水。」換句話說，不可能確保網路中全部系統的安全，但可以保證一小部分系統的安全——就是那些在DMZ之中的系統。只要保證為數不多的系統的安全，就能在內部網路中建立起一道安全的邊界。對於一個已發展成為跨洋規模的內部網路而言，配置DMZ是一個規模範圍已定的安全項目；而且，這也許會帶來傳奇般的安全成功。

謝啦
很重要的知識喔

[羅迪]

看完啦！雖不暸解，也很感謝..

3q3q

TKS...　

受用無窮..
感謝了...

原來是這樣喔,謝謝教導

謝謝大大的提供,又多學了一些東西了~~^^

3q3q

受益良多 謝謝

感謝您...我還是認為...自己使用ㄉ電腦...買個大姆哥...保存重要資料...
阿偶ㄉ電腦...都沒有人要來入侵....好討厭說......^_^.....因為我重要ㄉ都先用可複寫CD-RW.CD-W..燒出來ㄋ..安全重要..開板大大...感謝您
感恩........阿

[young5]

受教了…
謝謝大大的提供分享

感謝大大的教學<感恩>

學了不少
多謝賜教

不了,但謝謝啦!