防火墙设计中的一些重点问题(1)

　　然而这样做，我们需要单独设置一台管理主机，显然太过浪费，而且这样管理起来的灵活性也不好。

　　b．通信过程加密

　　这样无需一个专门的端口，内网任意一台主机都可以在适当的情况下成为管理主机，管理主

　　机和防火墙之间采用加密的方式通信。

　　目前国内有采用的是使用自定义协议、一次性口令认证。对加密这个领域了解不多，不做详

　　细讨论。

　　B．对来自外部（和内部）攻击的反应能力

　　目前常见的来自外部的攻击方式主要有：

　　a．DOS（DDOS）攻击

　　（分布式）拒绝服务攻击是目前一种很普遍的攻击方式，在预防上也是非常困难的。目前防火墙对于这种攻击似乎没有太多的解决办法，主要是提高防火墙本身的健壮性（如增加缓冲区大小）。在Linux内核中有一个防止Syn flooding攻击的选项：CONFIG_SYN_COOKIES，它是通过为每一个Syn建立一个缓冲（cookie）来分辨可信请求和不可信请求。另外对于ICMP攻击，可以通过关闭ICMP 回应来实现。

　　b．IP假冒（IP spoofing）

　　IP假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。

　　第一，防火墙设计上应该知道网络内外的IP地址分配，从而丢弃所有来自网络外部但却有内部地址的数据包。实际实现起来非常简单，只要在内核中打开rp_filter功能即可。

　　第二，防火墙将内网的实际地址隐蔽起来，外网很难知道内部的IP地址，攻击难度加大。IP假冒主要来自外部，对内网无需考虑此问题（其实同时内网的IP假冒情况也可以得到遏制）。

　　c．特洛伊木马

　　防火墙本身预防木马比较简单，只要不让系统不能执行下载的程序即可。

　　一个需要说明的地方是必须指出的是，防火墙能抗特洛伊木马的攻击并不意味着内网主机也能防止木马攻击。事实上，内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决（防火墙只能在内网主机感染木马以后起一定的防范作用）。