常见攻击的防范

　　运用防火墙类型的产品可以使大多数常见的网络攻击变得更加困难。在大多数情况下，根据防火墙的具体配置，可以完全预防对位于防火墙后任意主机的攻击。最保守的配置根本不允许任何信息流进入内部主机，除非那些主机主动向外发出某种连接。如果采用这种方式，就能阻止大量的攻击。

　　位于防火墙后的WEB服务器、EAIL服务器、FTP服务器等是最危险的，因为网络上的任何主机随时都能向它们发送至少几种类别的报文分组。一般来说，最好将这些暴露的服务器放置在DMZ(demilitarized zone)网络上，而不是放在内部网络中。此外还必须保证服务器本身也受到应有的保护。尽管防火墙也采取一些措施来保护暴露的服务，但那里的风险依然最大。

　　如果内部客户主机向外发出了连接请求，它们就将自己暴露给了返回的信息流。通常情况下，只有内部客户主机所连接的服务器(包括使用IP欺骗假冒此服务器的主机)才能对其攻击。为了假冒服务器，攻击者显然必须首先知道该客户端所连接的服务器。对于给定的攻击，一般来说那些不主动与网络对话的主机可以得到安全的保护，主动与网络对话的主机可以得到部分保护，而暴露在外的服务得到的保护最少。不过实际的安全程度最终还是依赖于具体的系统配置。

　　即使配置正确，也没有任何产品能够保证完全避免外部主机盗用内部主机的地址。防火墙或其他设备没有任何办法来判断未经验证的IP报文分组的源地址是否正确——除非查看了报文分组到达接口。因此，没有任何一个防火墙能够阻止外部主机实施IP欺骗。如果有些情况下不得不依赖外部主机地址，那么就必须控制通向该主机的整个网络路径，而不只是单个接入点。通过使攻击者难以猜测在给定时刻哪个节点值得欺骗，任何内部网络产品都可以提高欺骗攻击的难度。但这种保护不完全，某些攻击者能够在网络关键环节上窃取信息或根据对通信方式的了解可轻易进行猜测，从而避开这些网络产品。