防火墙设计中的一些重点问题

核心提示： d．口令字攻击 口令字攻击既可能来自外部，也可能来自内部，防火墙设计中的一些重点问题(5)，主要是来自内部，（在管理主机与防火墙通过单独接口通信的情况下，透明代理的采用，可以降低系统登录固有的安全风险和出错概率，口令字攻击是不存在的） 来自外部的攻击即用穷举的办法猜测防火墙管理的口令字，这

d．口令字攻击

口令字攻击既可能来自外部，也可能来自内部，主要是来自内部。（在管理主机与防火墙通过单独接口通信的情况下，口令字攻击是不存在的）

来自外部的攻击即用穷举的办法猜测防火墙管理的口令字，这个很容易解决，只要不把管理部分提供给外部接口即可。

内部的口令字攻击主要是穷举和嗅探，其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字，如果口令字已加密，则解密得到口令字。目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。

e．邮件诈骗

邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单，不接收任何邮件就可以了。然而象木马攻击一样，内网主机仍可收发邮件，邮件诈骗的危险仍然存在，其解决办法一个是内网主机本身采取措施防止邮件诈骗，另一个是在防火墙上做过滤。

f．对抗防火墙（anti-firewall）

目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙功能和探测防火墙内部网络结构，典型的如Firewalk。另外有一些其他的网络安全性分析工具本身具有双刃性，这类工具用于攻击网络，也可能会很有效的探测到防火墙和内部网络的安全缺陷，典型的如SATAN和ISS公司的 Internet Security Scanner。目前对于这种探测（攻击）手段，尚无有效的预防措施，因为防火墙本身是一个被动的东西，它只能靠隐藏内部网络结构和提高自身的安全性来对抗这些攻击。

C．透明代理的采用

应用代理防火墙一般是通过设置不同用户的访问权限来实现，这样就需要有用户认证体系。以前的防火墙在访问方式上主要是要求用户登录进系统（如果采用 sock代理的方式则需要修改客户应用）。透明代理的采用，可以降低系统登录固有的安全风险和出错概率，从而提高了防火墙的安全性。