防火墙相关知识

keaide

、代管服务器?

　　代管服务器技术换言之就是把不安全的服务，诸如FTP、Telnet等放到防火墙上，使它同时充当服务器，对外部的请求作出回答。与应用层代理实现相比，代管服务器技术不必为每种服务专门写程序。而且，受保护网内部用户想对外部网访问时，也需先登录到防火墙上，再向外提出请求，这样从外部网向内就只能看到防火墙，从而隐藏了内部地址，提高了安全性。?

　　4、IP通道(IPTunnels)?

　　如果某公司下属的两个子公司相隔较远，通过Internet进行通信时，可以采用IPTunnels来防止Internet上的黑客截取信息，从而在Internet上形成一个虚构的企业网。

keaide

5、网地址转换器(NetworkAddressTranslate)

　　当受保护网连到Internet上时，受保护网用户若要访问Internet，必须使用一个合法的IP地址。但由于合法InternetIP地址有限，而且受保护网络往往有自己的一套IP地址规划。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。

keaide

6、隔离域名服务器(SplitDomainNameSever)?

　　这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。?

　　7、邮件转发技术(Mailforwarding)?

　　当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上。这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到内部的邮件服务器，由其进行转发。

keaide

代理服务器像真的墙一样挡在内部用户和外界之间，特别是从外面来的访问者只能看到代理服务器而看不见到任何的内部资源，诸如用户的IP等。而内部客户根本感觉不到它的存在，可以自由访问外部站点。代理可以提供极好的访问控制、登录能力以及地址转换功能，对进出防火墙的信息进行记录，便于管理员监视和管理系统。但代理服务器同时也存在一些不足，特别是它会使网络的访问速度变慢，因为它不允许用户直接访问网络，而代理又要处理入和出的通信量，因此每增加一种新的媒体应用，则必须对代理进行设置。笔者在一套办公应用软件的设计方面，就因为代理服务器的原因折腾了很长时间，结果还是由于设置与容错方面的问题暂时搁浅了。?

　　状态监视器(StatefulInspection)：

keaide

状态监视器作为防火墙技术其安全特性最佳，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与其它安全方案不同，当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并作下记录向系统管理器报告网络状态。状态监视器的另一个优点就是可以监测RemoteProcedureCall和User DatagrqamProtocol类的端口信息。问题当然也有，即状态监视器的配置非常复杂，而且会降低网络的速度。

　　目前防火墙已经在Internet上得到了广泛的应用，而且由于防火墙不限于TCP/IP协议的特点，也使其逐步在Internet之外更具生命力。客观的讲，防火墙并不是解决网络安全问题的万能药方，而只是网络安全政策和策略中的一个组成部分，但了解防火墙技术并学会在实际操作中应用防火墙技术，相信会在新世纪的网络生活中让每一位网友都受益菲浅。

keaide

有许多网友问的最多的问题就是：我用扫描软件扫到了一个机器上的许多开放端口，可是那些端口到底有什么用啊，今天，我就用一个真实的扫描向你讲述扫到的端口的用途。
　　被扫的主机：192.xxx.xx.x

　　主机IP数：4

　　发现的安全漏洞：7个

　　安全弱点：45个

　　系统： Standard: Solaris 2.x, Linux 2.1.???, Linux 2.2, MacOS

　　Telnet (23/tcp)
　　ssh (22/tcp)
　　ftp (21/tcp) (发现安全漏洞)
　　netstat (15/tcp)
　　daytime (13/tcp)
　　systat (11/tcp)
　　echo (7/tcp)
　　time (37/tcp)
　　smtp (25/tcp)
　　www (80/tcp) (发现安全漏洞)
　　finger (79/tcp)
　　auth (113/tcp)
　　sunrpc (111/tcp)
　　pop-2 (109/tcp)
　　linuxconf (98/tcp)
　　imap2 (143/tcp)
　　printer (515/tcp)
　　shell (514/tcp)
　　login (513/tcp)
　　exec (512/tcp)
　　unknown (693/tcp)
　　unknown (698/tcp)
　　unknown (727/tcp)
　　swat (910/tcp)
　　unknown (1025/tcp)
　　unknown (1039/tcp)
　　unknown (1038/tcp)
　　unknown (1037/tcp)
　　unknown (1035/tcp)
　　unknown (1034/tcp)
　　unknown (3001/tcp)
　　unknown (6000/tcp)
　　echo (7/udp)
　　general/tcp
　　daytime (13/udp)
　　unknown (728/udp) (发现安全漏洞)
　　unknown (2049/udp)
　　unknown (681/udp)
　　unknown (2049/tcp)(发现安全漏洞)

　　可用telnet登录的端口 (23/tcp)

keaide

这个信息表明远程登录服务正在运行，在这里你可以远程登录到该主机，这种不用密码的远程登录服务是危险的，如果可以匿名登录，任何人可以在服务器和客户端之间发送数据。

　　发现的可攻击弱点 (21/tcp)

　　我在那里发现了一个目录是可写的：/incoming

keaide

ftp端口 (21/tcp)

　　ftp服务TELNET服务一样，是可以匿名登录的，而且在有的机器上它还允许你执行远程命令，比如CWD ~XXXX，如果你能CWD ROOT成功，那你就可以获得最高权限了，不过这样的好事好像不多。另外，有时还能用它获得一个可用的帐号(guest),或得知主机在运行什么系统

　　13/tcP(daytime)

　　从这里可以得知服务器在全天候运行，这样就有助于一个入侵者有足够的时间获取该主机运行的系统，再加上udp也在全天候的运行，这样可以使入侵者通过UDP欺骗达到主机拒绝服务的目的

　　ECHO(7/tcp)

　　这个端口现在没什么用处，但它可能成为一个问题的来源，顺着它有可能找到其它端口以达到拒绝服务的目的。

　　(25/tcp)smtp端口

keaide

该端口开放邮件传输协议

　　回应可执行EXPN和VRFY命令

　　EXPN可以发现发送邮件的名称或者能找到一个完整的邮件接收人的名称。

　　VRFY命令可以用来检测一个帐号的合法性

　　我们可以试着发这样一个类型的邮件给它：

　　user@hostname1@victim

　　我们会收到一个这样的邮件：user@hostname1

　　也许我们就能用它穿过防火墙

　　WWW(80/TCP)端口

　　它表明WWW服务在该端口运行

　　finger (79/tcp) 端口

　　finger服务对入侵者来说是一个非常有用的信息，从它可以获得用户信息，查看机器的运行情况等

　　auth (113/tcp)

keaide

ident服务披露给入侵者的将是较敏感的信息，从它可以得知哪个帐号运行的是什么样的服务，这将有助于入侵者集中精力去获取最有用的帐号(也就是哪些人拥有ROOT权限)

　　(98/tcp) LINUX在这个端口上运行

　　(513/tcp) RLOGIN在这个端口上运行

　　这种服务形同于TELNET，任何人可以在它的引导下在客户端和服务端之间传送数据。

　　exec (512/tcp)

　　rexecd在该端口开放,该服务使一个破译者有机会从它那里扫描到另外一个IP，或者利用它穿过防火墙。

　　也许你还能发现很多端口，不同的端口会有不同的作用