【IT168 专稿】在网络基础设施中，必须尽力保证网络上所有信息流都是有效信息流。有效信息流可以归于期望的网络信息流一类，例如：支持的服务、无欺骗的信息流等等。

　　防火墙用于控制网络间的信息流，且经常用来控制所支持的网络服务流。网络基础设施中的验证数据能够提供更为合理的安全性，以防报文分组被更改。利用防火墙来阻止网络攻击有助于阻止欺骗的信息流。

　　网络防火墙

　　确保基础设施完整性的一种常用方法是采用防火墙。用最简单的话说，防火墙的作用就是用来控制信息流的流动。它制定一系列规则允许或拒绝不同类型的通信，并执行所制定的路由决策。经许可或被拒绝的通信可以包括特定的网络服务。在通常情况下，防火墙都部署在网络基础设施的关键入口或出口。

　　目前有3类包含不同过滤功能的防火墙：第一类是包过滤。这类防火墙只根据单个包的TCP、UDP、ICMP和IP报头决定允许或拒绝信息流。包过滤器将综合考虑信息流方向(入站或出站)、IP源地址和目标地址、以及TCP或UDP的源端口号和目的端口号。第二类是电路层过滤。这类防火墙通过保护状态信息和重构与信息流相关的数据流来控制访问。电路层过滤防火墙不会把包从一端移到另一端，除非此站点属于已建立连接的一部分。另一类是应用层过滤。这类防火墙用于处理与特定IP应用相关的报文。可以调整这些网关以在用于特定的协议，当采用更加新的协议时，不能有效地保护信息流。在确定何种过滤防火墙更适合实际的环境前，应当先检查该环境中可以实施的信息流控制。大多数控制都基于信息流方向、信息流来源、IP地址、端口号、认证和应用内容这几种特性的组合

　　信息流方向，入站和出站的信息流都能够被过滤。通常情况下，入站信息流均从外部不可信的信息员进入内部的可信网络。而出站信息流则从内部可信网络发送到外部不可信网络。在管理信息流时，需要考虑的因素之一是该信息流来源来自内部(可信的)网络还是外部(不可信)网络。在IP地址当中，可以使用源地址或目的地址对特定的信息流进行过滤。这种方法用于实现先导控制，有助避免欺骗性攻击。TCP和UDP的源和目的端口号均可用来区分并过滤不同类型的服务。在一些可信网络的入口，用户在访问特定的服务(如Telnet、FTP或HTTP)前需要通过认证。可用的认证机制很多，但它们的目标是一致的，都用来对应用进行控制以及审核服务的访问对象。再就是检查应用内容和选定某种控制是有用的。为此可能需要详细了解对某个URL或特殊内容类型(像Java小程序)的过滤。

　　网络服务和经认证的数据

　　选择服务和协议的类型可能是一项十分艰巨的任务。一种简单的方法是先允许所有类型的服务和协议，然后再根据需要加以禁止。这种策略实施起来方便，因为所需要做的只是启动所有的服务并允许所有的协议在网络间通行。当出现安全漏洞时，就在主机或网络层上限制出现漏洞的服务或为服务添加补丁。

　　这种方法相当简单，但它同时也容易遭受大多数网络攻击。一种更安全的方法是先拒绝所有类型的服务和协议。然后根据需要允许一些服务。按照这种方法，先关闭所有服务，然后有选择地启动需要的服务。全部拒绝模式通常要比全部允许模式安全，可是要成功地实施却需要更多的工作。同时要求对各种服务作更深入的了解。最理想的情况是：只允许已知的服务类型，就可以更好地分析特定的服务或协议，并且可以设计适合站点安全等级的安全机制。安全措施的复杂性会随着所提供服务个数的增加而呈指数增长。因此应该以怀疑的态度评估所有新增的服务，以保证添加的服务是必需的。

　　为确保合理数据完整性，应该验证大多数跨越网络的信息流。另外，为了保证网络基础设施的完善性，对安全基础设施进行操作(如路由更新)的信息流也应该通过验证。

　　假如不对路由更新验证，则未授权或恶意的路由更新报文就会危及信息流安全。因为如果敌对团队故意改变信息流的方向或对信息流进行分析，就会对网络安全构成威胁。例如，未经授权的路由器可以向网络中某个路由器发送伪造的路由更新信息，使该路由器把信息流发往错误的目的地址，通过分析这个被转向的信息流就可以掌握发送该报文组织的机密信息。

　　即使入侵者能够直接访问物理网络，校验和(checksum，一种依据封包内容计算出来的值)仍然可以阻止向网络注入伪造的报文分组。如果再与序号或其他惟一标识符相结合使用，校验和甚至还能组织重放攻击。重放攻击指入侵者或发生故障的路由器重新发送旧的(但曾经是正确的)路由更新信息。对有序号或有其他唯一标识的路由器更新进行完全加密就能保证大部分的安全性。这种方法能够阻止入侵者发现网络的拓扑。加密方法的不足是在于增加看更新过程的系统开销。

　　常见攻击的防范

　　运用防火墙类型的产品可以使大多数常见的网络攻击变得更加困难。在大多数情况下，根据防火墙的具体配置，可以完全预防对位于防火墙后任意主机的攻击。最保守的配置根本不允许任何信息流进入内部主机，除非那些主机主动向外发出某种连接。如果采用这种方式，就能阻止大量的攻击。

　　位于防火墙后的WEB服务器、EAIL服务器、FTP服务器等是最危险的，因为网络上的任何主机随时都能向它们发送至少几种类别的报文分组。一般来说，最好将这些暴露的服务器放置在DMZ(demilitarized zone)网络上，而不是放在内部网络中。此外还必须保证服务器本身也受到应有的保护。尽管防火墙也采取一些措施来保护暴露的服务，但那里的风险依然最大。

　　如果内部客户主机向外发出了连接请求，它们就将自己暴露给了返回的信息流。通常情况下，只有内部客户主机所连接的服务器(包括使用IP欺骗假冒此服务器的主机)才能对其攻击。为了假冒服务器，攻击者显然必须首先知道该客户端所连接的服务器。对于给定的攻击，一般来说那些不主动与网络对话的主机可以得到安全的保护，主动与网络对话的主机可以得到部分保护，而暴露在外的服务得到的保护最少。不过实际的安全程度最终还是依赖于具体的系统配置。

　　即使配置正确，也没有任何产品能够保证完全避免外部主机盗用内部主机的地址。防火墙或其他设备没有任何办法来判断未经验证的IP报文分组的源地址是否正确——除非查看了报文分组到达接口。因此，没有任何一个防火墙能够阻止外部主机实施IP欺骗。如果有些情况下不得不依赖外部主机地址，那么就必须控制通向该主机的整个网络路径，而不只是单个接入点。通过使攻击者难以猜测在给定时刻哪个节点值得欺骗，任何内部网络产品都可以提高欺骗攻击的难度。但这种保护不完全，某些攻击者能够在网络关键环节上窃取信息或根据对通信方式的了解可轻易进行猜测，从而避开这些网络产品。

　　基础设施和数据完整性策略实例

　　某大学安全策略中基础设施和数据完整性部分的实例。基础设施安全性：1、当交换机LAN端口和路由器接口未使用时，禁止对它们访问。2、在出口使用防火墙功能，出口点提供所有对大学校园外部网络访问的连接。3、只支持必要的网络服务，这些服务由网络操作指导小组确定。4、基础设施使用精心设计的IP地址进行寻址。这样位于出口点的边缘过滤器可以阻止到基础设施的内向信息流。

　　数据的完整性包括以下三部分：1、在某些计算机上(这些计算机作为网络基础设施和关键服务的一部分)，不得使用与工作无关的软件。2、所有软件镜像和操作系统在安装前都必须采用校验和确认机制来确认其完整性。3、所有路由更新和VLAN更新信息都必须在发送和接受设备之间进行验证。

　　总结 安全策略验证与监控

　　为确保安全策略得以遵守，需推行适当的机制来验证和监控认证、访问控制以及穿越网络的数据。这主要需要使用漏洞扫描、记住程序、安全管理和入侵检测控制。脆弱性扫描器提供了检查和验证系统级安全性的机制。应慎重地连续对网络基础设施进行审计，以确保安全策略充分执行以及随着网络发展不出现违规情况。安全策略验证是在安全设备安装和鉴定期间，定义并实施使用时有效的安全策略。

　　对安全策略验证和监控应该做到所有因特网和远程访问行为必须记录日志。这些日志包括用户身份、所访问的资源以及连接持续时间。所有活动日志必须以加密方式至少存储5年;所有的网络基础设施设备访问和配置更改必须记录日志。必须在网络入口点部署网络入侵检测系统。网络某些基础设施必须每6个月审计一次，以确保遵守现有的安全策略。