防火墙漏洞发现与防范

任务4　防火墙漏洞发现与防范

任务介绍

随着网络安全威胁的手段越来越多，传统防火墙功能呈鞭长莫及之状。于是，称作次世代防火墙（Next Generation Firewall，NGFW）的产品已经出现，通过学习新产品的新概念，使学生了解防火墙的漏洞知识并学会防范技能。

任务分析

2010年2月，安全专家在IBM召开的“黑帽大会”上表示Cisco路由器上发现容易受到监视的潜在后门。IBM安全系统研究人员Tom Cross说，此漏洞如何通过路由器“合法拦截”Cisco系统的数据流，且在黑客访问失败后，访问信息和通知警报不能发送给管理员，ISP也无法探测和跟踪罪魁祸首。

其实这一“合法拦截”后门并不完全是Cisco的错误，因为Cisco按照FCC（美国联邦通讯委员会）的规定，允许执法机构对所有网络硬件进行窃听。FCC要求所有电信供应商必须建立检测他们硬件的解决方案。

这一规定意味着黑客能够“合法拦截”所有设备，造成他们开放后门检测攻击的漏洞。

Cisco公司已于2009年12月对此问题发布了一个补丁，但系统仍存在许多漏洞，因为并非所有网络管理员都应用了修补程序。思科官网也声称，其Catalyst 6500交换机和7600系列路由器的防火墙服务模块发现多个安全漏洞，并发布安全公告。这些安全漏洞在处理特殊制作的SunRPC数据包或某些TCP数据包后会引起防火墙模块重新加载。反复利用这个安全漏洞可导致设备处于持续的拒绝服务攻击状态。其ASA 5500系列自适应安全设备也受到了SunRPC安全漏洞的影响。思科对这个问题和其他一些ASA 5500安全漏洞发布了另一个安全公告，称SunRPC和TCP数据包安全漏洞相互之间没有关联。一个产品可能会受到一个安全漏洞的影响而不会受到另一安全漏洞的影响。

任务实施

对此案例的分析可以体会到，防火墙作为实现网络安全措施的一种手段，也有其脆弱性，系统漏洞及防护功能的脆弱使防火墙形同虚设。鉴于防火墙的设计面临严峻的考验，使用者要通过设置避免掉自身的漏洞缺陷以达到较完善的防护系统——学习了解新一代防火墙的需求，有助于防火墙的选型。

2009年10月，国际调查机构Gartner名为“Defining the Next Generation Firewall”的报告对NGFW提出了应该具备的功能：能作为封包检测或安全政策执行的据点；拥有传统防火墙的功能，如NAT、封包过滤、VPN、传输协定检测等；具备IDP的功能；有能力和防火墙功能互相沟通，必要时可透过防火墙阻断危险的流量。

此外，Gartner报告特别提到应用程序流量辨识的能力，且把这项能力视为NGFW的重点之一。即NGFW须提供可视度（Visibility），不仅像过去的防火墙只透过特征和连接池号码管控流量，还必须有能力读懂第七层应用层，辨识流经的不同流量分属哪些应用、哪些人使用、透过什么装置使用等信息。

NGFW必须有能力取得其他设备提供的信息，透过这些信息达到阻断恶意流量的效果。例如，NGFW要能够与身份辨识的AD架构、RADIUS等设备沟通，取得使用者身份信息，再辅以应用辨识的能力，将不符合企业内安全政策与可能的恶意威胁流量阻断，且能快速辨识使用者位置。

NGFW还须具备客制化扩充的能力，才能在面对新威胁时快速反应。Gartner的报告排除了传统UTM和中小企业，也不列入DLP（Data Leakage Prevention）、Web安全闸道器、信息安全闸道器等功能，认为这些不属于NGFW需要必备的功能。

Gartner的报告明确列出NGFW应具备的6项重要功能，这些功能均通过归纳市场产品现状，辅以各家调查机构的重点信息整理而成。

一、具备应用程序流量识别能力，有利于强化管理

传统的防火墙，依照封包的来源、连接池等网络层第三、第四层的信息进行封包过滤，像水闸门一样减少网络被恶意程序攻击的可能性。NGFW的作用较之更大。

NGFW有能力看懂第七层应用层的流量，识别不同的应用程序流量，还能够识别使用者的身份、装置等信息，即NGFW必须提供比传统防火墙更好的可视性，具有在面对诸如僵尸网络等新形态攻击时的更好的反应能力。

目前市场上不少提供防火墙功能的安全厂商已具备这个能力，如Palo Alto的防火墙即以这点为号召。现在的Palo Alto有能力识别900多种不同的应用，且能通过图像化分析每种应用流量使用者的使用时间、占用频宽等信息，也能进一步看到每个使用者连线状况与报表，并通过政策控管流量通过。同时，以人为基础的报表则能协助企业在发生问题时快速找到问题的症结点。

除Palo Alto外，Juniper等厂商也能透过IDP模组的功能看到类似信息，再辅以与身份识别的AD架构、RADIUS等服务器的沟通，能辨识使用者与应用流量的功能。

这项功能之所以对次世代防火墙非常重要，主要原因除可以协助快速找出问题外，还有一个重点，即只有透过提供这种可视性，才能实现协助企业在NGFW上控管（Network Access Control，NAC）基础的网络存取功能，从而协助企业在安全政策和阻挡大规模感染上更有效率，将感染限制在一定区域。

NGFW还能进一步针对特定应用的特定功能管控。例如Gartner报告认为，可以针对Skype的这种应用，只关闭档案传输功能，类似这样的能力才算做到对应用程序识别管理的能力。目前，已有部分产品可以达成这样的功能。

提供可视性，透过深层封包检测能力管理流量，是次世代防火墙和传统防火墙最大的不同。未来会有越来越多提供防火墙功能的设备商，朝此方向前进。

二、能够提供更具弹性和灵活性的架构

次世代防火墙的一个重要特性在于能提供更具弹性和灵活性的架构，切断软、硬件功能的脐带则是其灵活特性的一个重点。

过去的防火墙产品，买了硬件，软件的功能就固定无法变动，NGFW将能松动这个羁绊。为更灵活地调配硬件资源，NGFW将走向软件功能与硬件分开运作的道路，如此，扩充硬件时不再有过去因为购买的单纯是硬件资源的受限问题，软件功能则直接做在原有设备上。

例如，使用者若要增加防火墙的硬件效能，仅购买硬件的模组即可，每个模组并非单独的防火墙，而是能分配给不同功能的硬件资源。在购买了假如有4个处理器的硬件模组后，可以把这4个处理器的运算资源分配给NGFW的其他功能。同样，软件功能也能依照使用的需求增加或减少，而不会因购买了特定硬件就必须使用特定软件的功能（例如购买防火墙模组的插板，就只能当防火墙用）。

灵活的架构设计能减少传统防火墙面临的模组负载不平衡等问题，且打破硬件模组仅相当于独立设备的局限，减少很多使用上的麻烦。现在包括Juniper、思科的产品，都已在这方面努力，Juniper的SRX与思科的ISG R2均推出单纯的硬件模组支援扩充。Fortinet台湾区技术顾问表示，随着Fortinet设备虚拟化的技术发展，防火墙也会朝此方向前进。Check Point现在已提供软件功能增减能力，让使用者依据需求和硬件效能状况，自由增减要执行的软件。

软、硬件功能的松绑有助于设备的虚拟化发展，无论是将多台设备虚拟为单台，或将单台设备透过虚拟化切割成不同的小台防火墙，都能让NGFW具备更灵活与更弹性资源分配能力。这样的能力对未来支援云端架构的需求十分重要。

三、有能力提供定制化的功能，对新的威胁快速反应

NGFW之所以要在架构上更趋灵活性，很大的因素是让使用者能更快地面对新的威胁。

购买传统安全设备，能提供的功能仅为厂商宣称的内容，一旦未来有新功能推出，如果不是能够模组化抽换的设备，可能就须重新购买才能使用到新功能。此外，当企业遇有独特需求时，由厂商协助提供客制化过滤器或功能的难度极高。

未来的NGFW将改变这一点。首先，由于已经打破软、硬件绑死的局限，NGFW在提供客制化功能或过滤器等能力时，将会比较容易。然而，要企业自己写出过滤器或新增一些专属功能，会因IT人才的缺乏而力所不及。因此，未来NGFW应保留提供升级新功能的弹性，让设备厂商有能力协助使用者建立这样的客制化功能。

目前Palo Alto、Juniper、思科、Check Point等厂商均已有不同方案协助企业较为容易地做到过滤器的客制化，但实现功能的增加难度依然较高。

四、能够支援云端架构动态变化的需求

随着虚拟化和云端的快速发展，下一代防火墙必须有能力支援未来的新架构，代表NGFW在硬件功能上应有新的变化。比如说每秒用户连线能力、横向扩充能力、虚拟化架构的防护、硬件资源的分配等，都是云端运算架构中需要解决的问题。

NGFW必须有能力承受更高的每秒用户连线能力，不仅是支援更高的同时在线人数。业界专家认为：“光有很高的同时在线人数，就像虽然有一个大水池，可是却只能让水慢慢地流进去，否则水池就会垮掉。”但在云端架构的基础下，企业根本没有办法限制用户的连线数。

此外，虚拟化的防护也是NGFW需要面对的重点问题，如何让防火墙与虚拟层沟通，进而针对每一台虚拟机器的流量做扫描与阻挡，是NGFW必须具备的能力。目前，虚拟化平台厂商如VMware已经有了VMsafe的合作计划，使资讯安全设备尽早地透过与虚拟层的沟通实现前述的能力。

NGFW在诸如横向扩充与硬件资源灵活分配能力方面的技术发展，将以自身设备的虚拟化达成。设备的虚拟化会使NGFW的硬件资源能依照不同功能负载量的状况动态分配，满足云端的需求。例如防火墙需要更多的硬件资源，就更多地分给它这项功能；QoS需要更多的硬件资源，也让它分享更多的资源。作为NGFW的一个重要特色，设备的虚拟化与传统模组各自独立、硬件资源无法共用的状况完全不同。

目前类似于Juniper SRX的做法，是以单台虚拟为多台，让设备的硬件资源灵活分配，以减少管理难度与扩充的问题。未来Fortinet则会以多台设备虚拟为一台以达到类似效果，降低横向扩充的难度。

支援云端架构是NGFW的一个重要功能特色。只有更灵活与更弹性的设计，搭配设备本身虚拟化的技术才有可能达成这一点。思科ISR G2目前虽仍以路由器为主要功能，但其未来将会提供原本Iron Port的许多功能，强化其安全能力，他们新设计的硬件模组概念，就是要符合NGFW更灵活与更弹性架构的理念。

五、能与不同装置共同联防

很多人认为安全设备间的联防类似NAC的架构，这是以偏概全的想法。

事实上，NAC只是安全设备联防的一种形式，而NGFW概念中的区域联防，则必须具备与其他安全设备沟通的能力，这是未来发展合理的走向。目前的网络架构上，即使拥有一台宛如超级英雄般的无敌安全设备，也不能确保企业的网络架构安全无虞——因为不可能所有的流量都流经单台设备。

在此情况下，NGFW势必拥有与其他设备联防的能力。如其能与其他设备或自己设备中的网站过滤功能沟通，一旦使用者连接到含有恶意链结的网站或是违反企业安全政策的网站时，NGFW就能扮演阻断流量的角色，把威胁的可能性在发生前就予以截断，防患于未然。

其他诸如IDP等功能，若能与NGFW互通，同样会发挥类似的效果。目前市场很少有具备这种联防能力的设备，多数仍以拥有众多产品线的大型公司为主，如Juniper。NGFW也能透过与其他设备的互通实现部分NAC的功能：如与和身份辨识的AD架构、RADIUS等设备沟通，取得使用者身份的资讯，然后辅以应用辨识的能力，将不合企业内安全政策与可能的恶意威胁流量阻断，且能快速辨识出使用者的位置。

总之，随着威胁日益增多，过去的单一设备已不再是铜墙铁壁，与其他设备联防构成NGFW重要能力的原因。

六、具有整合更多强化的功能

NGFW还具有整合更多强化的功能。以往UTM之类的安全设备，因硬件技术不足，一旦功能全部打开，便会产生效能大幅降低的状况。随着硬件技术的发展，处理器运算能力与不可程序化的ASIC相差无几，使单一安全设备整合多功能的可行性越来越高。NGFW因此预见，未来一定具有更多传统防火墙所没有的功能。

安全训练与研究机构（SysAdmin、Audit、Network、Security，SANS）协会所定义的NGFW会发现除应该具备传统防火墙功能外，还须提供包括基础DLP、NAC（Network Access Control）、IDP、防蠕虫、防中介软件、网站过滤、VPN、SSL Proxy、QoS等功能。

NGFW的功能还要不断深入，例如NGFW的IDP功能，应能透过不同技术辨识流量，如Header-based、Pattern matching、Protocol-based、Heuristic-based、Anomaly-based等，且有能力提供客制化的过滤器。在防蠕虫的功能上，不仅必须做到减轻试图直接瘫痪攻击的影响程度，不让蠕虫的扩散，还要有能力针对电子邮件设定阻挡政策。此外，NGFW还须拥有部分路由和交换及QoS等功能，并且能和辨识不同应用程序流量的功能结合，针对不同的流量做出不同管理。

知识拓展

一、防火墙的定义

所谓防火墙是一个由软件和硬件设备组合而成，在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，如图2.10所示。

防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件（其中硬件防火墙用得较少，例如国防部等的大型机房等地才用，因为它价格昂贵）。该计算机流入流出的所有网络通信均要经过此防火墙。

图2.10　防火墙的位置

二、防火墙的类型

一个个人防火墙，通常软件应用过滤信息进入或留下。一台电脑和一个传统防火墙通常跑在一台专用的网络设备或电脑被安置在两个或更多网络或DMZs（解除军事管制区域）界限。这样防火墙过滤所有信息进入或留下被连接的网络。后者定义对应于“防火墙”的常规意思，下面会谈谈这种类型的防火墙。以下是两个主要防火墙：网络层防火墙和应用层防火墙。

（1） 网络层防火墙。可将其视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源IP地址、来源端口号、目的 IP 地址或端口号、服务类型（如WWW或是FTP）。也能经由通信协议、TTL 值、来源的网域名称或网段等属性来进行过滤。

（2） 应用层防火墙。这在TCP/IP堆栈的“应用层”上运作，用户使用浏览器时所产生的数据流或是使用FTP时的数据流均属这一层。应用层防火墙可拦截进出某应用程序的所有封包，并且封锁其他的封包（通常是直接将封包丢弃）。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

防火墙借由监测所有的封包并找出不符规则的内容，可防范电脑蠕虫或木马程序的快速蔓延。然而，这个方法既烦且杂（软件有千百种），故大部分防火墙都不会考虑按这种方法设计。

XML防火墙是一种新形态的应用层防火墙。

代理服务设备（可能是一台专属的硬件，或只是普通机器上的一套软件）也能像应用程序一样回应输入封包（例如连接要求），同时封锁其他的封包，达到类似于防火墙的效果。

代理由外在网络使窜改一个内部系统更加困难，并且一个内部系统误用不一定会导致一个安全漏洞可开采从防火墙外面（只要应用代理剩下的原封和适当地被配置）。相反，入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的；代理人然后伪装作为那个系统对其他内部机器。当对内部地址空间的用途加强安全，破坏狂也许仍然使用方法譬如IP欺骗试图通过小包对目标网络。

防火墙经常有网络地址转换（NAT）的功能，且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”。管理员经常设置这样情节在努力（无定论的有效率）假装内部地址或网络。

防火墙的适当配置要求管理员对网络协议和电脑安全有深入的了解，避免因小的差错导致防火墙不能失去安全工具的功能。

三、防火墙工作原理

防火墙就是一种过滤塞，可以让喜欢的东西通过这个塞子，同时把无益的内容统统过滤掉。网络世界里，要由防火墙过滤的就是承载通信数据的通信包。

所有的防火墙至少会说两个词：“Yes”或者“No”，即“接受”或“拒绝”。最简单的防火墙是以太网桥，但几乎没有人会认为这种原始防火墙的实际作用。大多数防火墙采用的技术和标准可谓五花八门：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）；还有一些基于硬件的防火墙产品应归入安全路由器一类。

以上产品都可叫做防火墙，因为他们的工作方式相同：分析出入防火墙的数据包，决定放行还是把他们扔到一边。

（1） 防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包须经横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。

当使用者“命令”（用专业术语来说就是配制）防火墙拒绝所有发给UNIX计算机的数据包时，这项工作完成后，有的防火墙还会通知客户程序一声。既然发向目标的IP数据没法转发，则只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机。

还有一种情况，可以命令防火墙专给那台可怜的PC机找茬，别人的数据包都让过只有它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易得多。

（2） 服务器TCP/UDP端口过滤。仅仅依靠地址进行数据过滤在实际运用中不可行，其原因是目标主机上往往运行着多种通信服务，比如不想让用户采用 telnet的方式连到系统，但这绝不等于非得同时禁止他们使用SMTP/POP邮件服务器。因而，在地址之外还要对服务器的TCP/ UDP端口进行过滤。

比如，默认的telnet服务连接端口号是23。不许PC客户机建立对UNIX计算机（在这时当它是服务器）的telnet连接，则只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具有23目标端口号的包过滤即可。

（3） 客户机也有TCP/UDP端口。TCP/IP是一种端对端协议，每个网络节点都具有惟一的地址。网络节点的应用层亦如此，处于应用层的每个应用程序和服务都具有自己的对应“地址”——端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如，telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号，否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢？

由于历史原因，几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。

这便给防火墙造成麻烦：如阻塞入站的全部端口，则所有的客户机都无法使用网络资源。因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包都没法经过防火墙的入站过滤；反之，如打开所有高于1023的端口也不尽然。因为很多服务使用的端口都大于1023，比如Xclient、基于RPC的NFS服务以及为数众多的非UNIX IP产品等（NetWare/IP）就是这样的。那么，如果让达到1023端口标准的数据包都进入网络，则客户程序的足够安全即无法得到保证。

（4） 双向过滤。这等于是给防火墙这样下命令，已知服务的数据包可以进来，其他的全部挡在防火墙之外。比如，如果知道用户要访问Web服务器，那就只让具有源端口号80的数据包进入网络。

怎样才能知道要访问的服务器具有哪些正在运行的端口号呢？像HTTP这样的服务器本来可以任意配置，所采用的端口也可随意配置。如这样设置防火墙，就没法访问那些没采用标准端口号的网络站点，也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具，并让其运行在本机的80端口。

（5） 检查ACK位。TCP是一种可靠的通信协议，“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为实现其可靠性，每个TCP连接都要先经过一个“握手”过程交换连接参数；每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但这并非对每个TCP包都要采用专门的ACK包响应，实际上仅在TCP包头上设置一个专门的位即能完成此功能。所以，只要产生了响应包就要设置ACK位。连接会话的第一个包不用于确认，所以它就没有设置ACK位，后续会话交换的TCP包就要设置ACK位了。

比如，PC向远端的Web服务器发起一个连接，它生成一个没有设置ACK位的连接请求包。当服务器响应该请求时，服务器就发回一个设置了ACK位的数据包，同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包，这个数据包也设置了ACK位并标记了从服务器收到的字节数。通过监视ACK位，就可以将进入网络的数据限制在响应包的范围之内。于是，远程系统根本无法发起TCP连接但却能响应收到的数据包了。

这套机制仍有缺陷。假设有台内部Web服务器，则端口80不得不被打开以便外部请求进入网络；对UDP包而言没法监视ACK位，因为UDP包压根就没有ACK；还有一些诸如FTP的TCP应用程序，连接就必须由这些服务器程序自己发起。

（6） FTP带来的困难。一般的Internet服务对所有的通信都只使用一对端口号，FTP程序在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路，而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。

在通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据，FTP服务器就用其20端口（数据通道）向客户的数据端口发起连接。问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。

（7） UDP端口过滤。UDP包没有ACK位所以不能进行ACK位过滤。UDP是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

最简单的可行办法是不允许建立入站UDP连接。防火墙设置为只许转发来自内部接口的UDP包，来自外部接口的UDP包则不转发。现在的问题是，若DNS名称解析请求就使用UDP，如果提供DNS服务，至少得允许一些内部请求穿越防火墙；还有IRC这样的客户程序也使用UDP，如果要使用它，就同样要让它们的UDP包进入网络。

有些新型路由器可以通过“记忆”出站UDP包来解决这个问题：如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。如果在内存中找不到匹配的UDP包就只好拒绝它了。但是，如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢？如果黑客诈称DNS服务器的地址，那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要允许DNS查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。

所谓代理服务器，顾名思义就是代表网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。它本身就提供公共和专用的DNS、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘，但实际上它们都躲在代理的后面，露面的不过是代理这个假面具。

任务总结

防火墙在网络安全方面的作用很大，可以说是网络的一道屏障，服务器的安全、网页的防入侵等都可以依靠防火墙来起到防护作用。

通过该任务的学习，使学生认识到防火墙在网络防护中起到很大的作用，防火墙的合理设置也是一门学问。但仅仅有防火墙，不加以合理设置，不仅起不到防护作用，反而影响网络性能。

防火墙若存在漏洞，等同于给入侵者放开了一道大门。要充分认识到，任何一台网络防护设备不可能是完全的安全，只有做到完全了解自己所用的防火墙存在哪些缺陷，及时弥补缺陷才是保障安全的根本。

任务评价

一、评价方法

本任务采用学生自我评价、小组评价和教师评价的方法，对学习目标进行检验。学生本人首先对自己的调研情况进行自查，找出成绩分析不足；小组根据每位同学所做的工作和对调查报告结论的贡献给出综合评价；最后教师针对每个小组的调研报告结合每一位同学给出评价结论，指出改进和努力的方向。

二、评价指标

项目总结

网络拓扑结构设计直接影响到网络系统的安全性。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上Internet/Intrant的其他的网络；影响所及，可能涉及法律、金融等安全敏感领域。因此，在设计时有必要将公开服务器（WEB、DNS、EMAIL等）和外网及内部其他业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。

面对规模越来越庞大和复杂的网络，仅依靠传统的网络安全设备来保证网络层的安全和畅通已不能满足网络的可管、可控要求，因此以终端准入解决方案为代表的网络管理软件开始融合进整体的安全解决方案。终端准入解决方案通过控制用户终端安全接入网络入手，对接入用户终端强制实施用户安全策略，严格控制终端网络使用行为，为网络安全提供了有效保障，帮助用户实现更加主动的安全防护，实现高效、便捷地网络管理目标，全面推动网络整体安全体系建设的进程。

同时，在应用各种网络设备、防护软件的同时，也要考虑其自身的安全漏洞问题，避免因自身设备、软件的问题造成不必要的经济损失。

思考与训练

一、多项选择

1. 电子商务网站架构“一个中心，四个基本点”，具体包含（　）。

A. 安全管理为中心　　B. 交易管理中心　　C. 静态保护

D. 监控/审计　　E. 响应及反应　　F. 数据及文件恢复

G. 入侵/检测

2. 电子商务框架结构的三个层次包括（　）。

A. 网络层　　B. 交易层　　C. 信息发布与传输层

D. 电子商务服务和应用层　　E. 电子商务支付认证层

3. 按照传输模式分，交换机的分类不正确的是（　）。

A. 全双工　　B. 半双工

C. 全双工/半双工自适应　　D. 千兆/百兆自适应

4. 交换机的交换方式不正确的是（　）。

A. 直通式　　B. 存储转发式　　C. 碎片隔离式　　D. 信元交换式

5. 关于交换机漏洞攻击手段不正确的是（　）。

A.VLAN跳跃攻击　　B. 生成树攻击　　C.MAC表洪水攻击

　D.ARP攻击　　E.NTP攻击

6. 路由器具有四个要素，包括（　）。

A. 输入端口　　B. 路由开关　　C. 输出端口

D. 交换开关　　E. 路由处理器

7. 路由算法包括（　）。

A. 最优化　　B. 简洁性　　C. 坚固性

D. 快速转发　　E. 快速收敛

8. 不属于防火墙类型的是（　）。

A. 网络层防火墙　　B. 应用层防火墙　　C. 代理服务防火墙　　D. 过滤防火墙

二、简答题

1. 简述电子商务的安全性要求？

2. 简述电子商务的基本框架结构？

3. 简述交换机的功能？

4. 交换机被攻击的手段有哪些？

5. 简述路由器的作用，与交换机有什么区别？

6. 简述防火墙的工作原理？