系統安全概念

防火牆可能遭受的攻擊

防火牆一般有兩個以上的網路卡，一個連到外部（router)，另一個是連到內部網路。當打開主機網路轉接功能時，兩個網卡間的網路通訊能直接通過。當有防火牆時，它好比插在網路之間，對所有的網路通訊進行控制。
防火牆主要通過一個訪問控制表來判斷，形式一般是一連串的如下規則:

1. accept from + 來源地址，通訊埠 to + 目的地址，通訊埠 + 採取的動作
2. deny ........... (拒絕)
3. nat ............ (地址轉換)

防火牆在網路層 (包括以下的鏈路層) 接收到網路數據封包後，就從上面的規則連表一條一條地匹配，如果符合就執行預先安排的動作了！但是，不同的防火牆，在判斷攻擊行為時，有動作上的差別。

防火牆的攻擊

1. IP 欺騙攻擊
這種攻擊，主要是修改封包的來源，目的地址和通訊埠，模仿一些合法的封包來騙過防火牆的檢測。例如：外部攻擊者，將他的封包來源地址改為內部網路地址，防火牆看到是合法地址就放行了。可是，如果防火牆能結合網路介面，地址來匹配，這種攻擊就不能成功了。

2 .DOS 拒絕服務攻擊
簡單的封包過濾防火牆不能跟蹤 TCP 的狀態，很容易受到拒絕服務攻擊，一旦防火牆受到 DOS 攻擊，可能會忙於處理，而忽略了過濾功能。

3 .木馬攻擊
對於封包過濾防火牆最有效的攻擊就是木馬了，一但在內部網路安裝了木馬，防火牆基本上是無能為力的。
封包過濾防火牆一般只過濾低通訊埠 (1-1024) ，而高通訊埠不可能過濾，因為一些服務要用到高通訊埠，因此防火牆不能關閉高通訊埠) ，所以很多的木馬都在高通訊埠打開等待。
但是木馬攻擊的前提是必須先上傳，運行木馬，對於簡單的封包過濾防火牆來說，是容易做的。近來木馬攻擊則結合網站系統的服務漏洞 (Web) 或電子郵件 (email) 傳播，例如 Code Red、Nimda 類型的病毒來滲透、入侵、上傳木馬、運行木馬。

早期的防火牆都是這種簡單的封包過濾型，現在已很少了。現在的封包過濾採用的是狀態檢測技術。

攻擊狀態檢測的封包過濾

狀態檢測技術最早是 CheckPoint 提出的，就是從 TCP 連接的建立到終止都跟蹤檢測的技術。

攻擊代理式防火牆

代理式防火牆是在應用層的防火牆，實質是啟動兩個連接，一個是客戶到代理，另一個是代理到目的伺服器。 和前面的一樣也是根據規則過濾，由於運行在應用層速度比較慢，攻擊代理的方法就很多。 以 WinGate 為例:

WinGate 是目前應用非常廣泛的一種 Windows95/NT 代理防火牆軟體，內部用戶可以通過一台安裝有 WinGate 的主機連接外部網路，但是它也存在著幾個安全脆弱點。

駭客經常利用這些安全漏洞獲得 WinGate 的非授權 Web、Socks 和 Telnet 的訪問，從而偽裝成 WinGate 主機的身份對下一個攻擊目標發動攻擊。因此，這種攻擊非常難於被跟蹤和記錄。

導致 WinGate 安全漏洞的原因大多數是管理員沒有根據網路的實際情況對 WinGate 代理防火牆軟體進行合理的設置，只是簡單地從預設的設定值安裝完畢後就讓軟體運行，這就給攻擊者可乘之機。

防止這種安全脆弱點的方法和防止非授權 Socks 訪問的方法類似。在 WinGate 中簡單地限制特定服務的捆綁就可以解決這個問題。一般來說，在 multihomed 系統管理員可以通過執行以下步驟來完成：

1、選擇 TelnetSever 屬性。
2、選擇 Bindings標簽。
3、按下 ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly 按鈕，並指定 WinGate 伺服器的內部介面。

針對防火牆系統的運作和設計上的安全漏洞發動攻擊。這種攻擊難度比較大，可是破壞性很大，希望大家有效的防範。