防火墙设计中的一些重点问题

核心提示： 限制命令执行权限； 取消IP转发功能； 检查每个分组的接口； 采用随机连接序号； 驻留分组过滤模块； 取消动态路由功能； 采用多个安全内核（这个只见有人提出，但未见到实例，防火墙设计中的一些重点问题(3)，对此不是很清楚）， 以上诸多工作，无论是内网主机、外网主机还是DMZ内主机都无法窃听

限制命令执行权限；

取消IP转发功能；

检查每个分组的接口；

采用随机连接序号；

驻留分组过滤模块；

取消动态路由功能；

采用多个安全内核（这个只见有人提出，但未见到实例，对此不是很清楚）。

以上诸多工作，其实基本上都没有对内核源码做太大改动，因此从个人角度来看算不上可以太夸大的地方。

对于防火墙部分，国内大部分已经升级到2.4内核所支持的netfilter。netfilter已经是一个功能比较完善的防火墙框架，它已经支持基于状态的监测（通过connection track模块实现）。而且netfilter是一个设计很合理的框架，可以在适当的位置上登记一些需要的处理函数，正式代码中已经登记了许多处理函数，如在NF_IP_FORWARD点上登记了装发的包过滤功能（包过滤等功能便是由这些正式登记的函数实现的）。我们也可以登记自己的处理函数，在功能上作扩展（如加入简单的IDS功能等等）。这一点是国内厂家可以做文章的地方，至于netfilter源码的修改，对国内厂家来说似乎不太现实。

至于采用其它防火墙模型的，目前还没有看到（可能是netfilter已经设计的很成功，不需要我们再去做太多工作）。

3．自我保护能力（安全性）

由于防火墙的特殊功能和特殊位置，它自然是众多攻击者的目标，因此它的自我包括能力在设计过程中应该放在首要的位置。

A．管理上的安全性

防火墙需要一个管理界面，而管理过程如何设计的更安全，是一个很重要的问题。目前有两种方案。

a．设置专门的服务端口

为了减少管理上的风险和降低设计上的难度，有一些防火墙（如东方龙马）在防火墙上专门添加了一个服务端口，这个端口只是用来和管理主机连接。除了专用的服务口外，防火墙不接受来自任何其它端口的直接访问。这样做的显著特点就是降低了设计上的难度，由于管理通信是单独的通道，无论是内网主机、外网主机还是DMZ内主机都无法窃听到该通信，安全性显然很高，而且设计时也无需考虑通信过程加密的问题。