防火墻已經(jīng)成為了企業(yè)網(wǎng)絡(luò)安全的必備產(chǎn)品，然而通過防火墻溢出，許多黑客足以應(yīng)對防火墻這道安全屏障。那么如何通過部署防火墻策略來阻止黑客防火墻溢出攻擊呢？

目前大多的防火墻系統(tǒng)都是針對包過濾規(guī)則進(jìn)行安全防御的，這類型的防火墻再高也只能工作在傳輸層，而溢出程序的shellcode是放在應(yīng)用層的，因此對這類攻擊就無能為力了。打個(gè)比方:前段時(shí)間比較火熱的IIS WEBDAV溢出漏洞，若黑客攻擊成功能直接得到ROOTSHELL(命令行管理員控制臺(tái))，它是在正常提供HTTP服務(wù)的情況下產(chǎn)生的溢出漏洞，若在不打補(bǔ)丁與手工處理的情況下一臺(tái)防火墻又能做到什么呢？相信你除了把訪問該服務(wù)器TCP80端口(提供正常地HTTP服務(wù)的情況下)的包過濾掉以外就什么都不會(huì)去做了，當(dāng)然，這樣也會(huì)使你的HTTP服務(wù)無法正常地開放(等于沒有提供服務(wù))。下面就以這個(gè)漏洞為“論點(diǎn)&題材”，說說自己的解決方案。

防火墻溢出之對希望保護(hù)的主機(jī)實(shí)行“單獨(dú)開放端口”訪問控制策略

所謂“單獨(dú)開放端口”就是指只開放需要提供的端口，對于不需要提供服務(wù)的端口實(shí)行過濾策略。打個(gè)比方，現(xiàn)在我們需要保護(hù)一臺(tái)存在WebDAV缺陷的WEB服務(wù)器，如何能令它不被駭客入侵呢？答案是：在這臺(tái)WEB服務(wù)器的前端防火墻中加入一個(gè)“只允許其他機(jī)器訪問此機(jī)的TCP80端口”的包過濾規(guī)則(至于閣下的防火墻能否實(shí)現(xiàn)這樣的規(guī)則就另當(dāng)別論了)。加上這個(gè)規(guī)則又會(huì)有怎樣的效果呢？經(jīng)常做入侵滲透測試的朋友應(yīng)該比我還清楚遠(yuǎn)程溢出的攻擊實(shí)施流程了吧？

①使用缺陷掃描器找到存在遠(yuǎn)程溢出漏洞的主機(jī)-》②確認(rèn)其版本號(hào)(如果有需要的話)-》③使用exploit(攻擊程序)發(fā)送shellcode-》④確認(rèn)遠(yuǎn)程溢出成功后使用NC或TELNET等程序連接被溢出主機(jī)的端口-》⑤得到SHELL。

使用“單獨(dú)開放端口”策略的解決方案對整個(gè)遠(yuǎn)程溢出過程所發(fā)生的前三步都是無能為力的，但來到第四步這個(gè)策略能有效地阻止駭客連上有缺陷主機(jī)的被溢出端口，從而切斷了駭客的惡意攻擊手段。

優(yōu)點(diǎn)：操作簡單，一般的網(wǎng)絡(luò)/系統(tǒng)管理員就能完成相關(guān)的操作。

缺點(diǎn)：對溢出后使用端口復(fù)用進(jìn)行控制的EXPLOITS就無能為力了；對現(xiàn)實(shí)中的溢出后得到反向連接控制的EPLOITS也是無能為力；不能阻止D.o.S方面的溢出攻擊。

2)使用應(yīng)用層防火墻系統(tǒng)

這里所謂的應(yīng)用層并不是想特別指明該防火墻工作在應(yīng)用層，而是想指明它能在應(yīng)用層對數(shù)據(jù)進(jìn)行處理。由于應(yīng)用層的協(xié)議/服務(wù)種類比較多，因此針對應(yīng)用層形式的防火墻就有一定的市場局限性了。就樓上所提到的案例而言我們可以使用處理HTTP協(xié)議的應(yīng)用層防火墻對存在WebDAV缺陷的服務(wù)器訂制保護(hù)規(guī)則，保證服務(wù)器不收此類攻擊的影響。應(yīng)用層中的HTTP協(xié)議防火墻系統(tǒng)不多，它的基本防御原理與特點(diǎn)是當(dāng)服務(wù)端接受到一個(gè)發(fā)送至TCP80端口的數(shù)據(jù)包時(shí)，首先就會(huì)將該包轉(zhuǎn)移至SecureIIS，SecureIIS就會(huì)對該包進(jìn)行分析并解碼該包的應(yīng)用層數(shù)據(jù)，將得到的數(shù)據(jù)與你本身定制的規(guī)則進(jìn)行數(shù)據(jù)配對，一旦發(fā)現(xiàn)條件相符餓數(shù)值就會(huì)執(zhí)行規(guī)則所指定的相應(yīng)操作。

優(yōu)點(diǎn)：能有效地切斷一些來自應(yīng)用層的攻擊(如溢出、SQL注入等)。

缺點(diǎn)：因?yàn)樾枰惭b在服務(wù)器上，所以會(huì)占用一定的系統(tǒng)資源；(一旦它受到POST行為發(fā)出的中文數(shù)據(jù)時(shí)就會(huì)自動(dòng)認(rèn)為是高位攻擊代碼，自動(dòng)將其隔離，并進(jìn)行相關(guān)的處理操作)。

3)使用IDS功能的防火墻系統(tǒng)

現(xiàn)在國內(nèi)自主開發(fā)的防火墻系統(tǒng)可謂是進(jìn)入“白熱化”了，什么百兆、千兆、2U、4U...性能參數(shù)的比較本已經(jīng)日趨激烈了，再開始有不少廠商將技術(shù)重點(diǎn)轉(zhuǎn)移在了“多功能”的方面上，在防火墻中繼承IDS模塊已經(jīng)不是什么新鮮事了，使用這類產(chǎn)品可以達(dá)到監(jiān)控應(yīng)用層數(shù)據(jù)的效果。

優(yōu)點(diǎn)：便于管理。

缺點(diǎn)：費(fèi)用支出增大；長期需要人力資源對其進(jìn)行管理與設(shè)施維護(hù)；防火墻上的IDS模塊功能有限。
 

【編輯推薦】

1. Web專用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進(jìn)行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險(xiǎn)