入侵攻擊的防火墻無關性研究

摘要：分析研究了入侵攻擊的防火墻無關性因素，對安全防護策略的制訂提供了方向性的指導，并將不可預知的風險因素轉換為一定的可預見性因素，從而提供安全部署策略性的參考方案。

關鍵詞：入侵風險；防火墻無關性；安全策略；攻擊模型；統一威脅管理

中圖分類號：TP393．08文獻標志碼：A

文章編號：1001-3695(2008)05-1521-03

每年大量的網絡入侵事例中，被入侵的對象如果說沒有防火墻的保護那是極其罕見的。防火墻到底在充當一個什么角色？為什么部署了防火墻后入侵攻擊仍然能夠得逞？這除了防火墻本身的性能和配置合理性外，一些與防火墻無關的威脅因素是導致入侵攻擊得逞的重要原因。因此，分析研究入侵攻擊的防火墻無關性因素，能夠對安全防護策略制訂提供解決問題的方向性指導，并將不可預知的風險因素轉換為一定的可預見性因素，從而提供安全部署的策略性指導，同時對防火墻的性能改進和規則制定提供了參考意見。首次提出了章魚式防火墻體系的觀點，提出章魚式防火墻體系將成為新一代防火墻防護體系的發展方向。

本文涉及的防火墻為廣義的防火墻概念，具體可包括狹義上的邊界防火墻、入侵檢測以及各種系統的本地防火墻等。

1防火墻無關性入侵攻擊模型

防火墻無關性的入侵攻擊，其考察對象是指無差別的廣義上的防火墻因其部署、功能、性能等而導致的潛在安全威脅。它既包括邊界防火墻防御能力之外的各種入侵攻擊，同時也包含部分本地防火墻（如服務器系統中部署的軟件防火墻）防御能力之外的入侵攻擊。這些攻擊以貌似正常的訪問方式進入系統，防火墻無法按訪問規則將入侵攻擊與正常訪問明確地區別開來，從而導致典型網絡環境下入侵攻擊的成功機率極大地提高。

1．1防火墻無關性攻擊模型

防火墻無關性是指在通用的防火墻功能和防護范圍的基礎上，防火墻因部署方式、工作模式（網關或路由）等方面而造成的客觀上的安全防護死角，這些超出防火墻功能和性能之外的因素的總和即防火墻無關性因素。

上述模型中，防火墻能夠阻擋一部分基于網絡層的攻擊，但有部分利用溢出、注入及操作錯誤等導致的攻擊仍然可以成功進入server/OS和application/data。

1．2防火墻無關性攻擊模型分類

防火墻無關性安全威脅因素可以按照多種標準進行分類。傳統漏洞檢測系統的體系結構從邏輯上可分為集中式、層次式和分布式三種[1]。但無論哪種方式，都是從漏洞威脅的檢測本身入手來考察的。而事實上考察一個系統的安全性并不能單純地只從漏洞威脅本身進行考察，因此筆者提出“用戶、數據/應用、系統OS”的邏輯化防火墻無關性攻擊模型結構。

從圖1中可以看出，防火墻無關性攻擊來源可分為來自外部和來自內部兩大類別。

外部攻擊主要是利用防火墻的盲區和弱點；內部攻擊主要包括用戶或管理員的濫用、誤用、人為漏洞等，這是與來自外部的攻擊相比更具危險性的威脅。

這內外兩大攻擊類別中，還應當引入一個時間因素，即在某個特定時間段內，其中一個類別的威脅占據更多的比例。因此，來自外部和來自內部的兩類攻擊并不能簡單地給出哪一部分對系統安全影響更為嚴重的結論，而是在特定時期、特定環境下兩者的威脅嚴重性會存在一定幅度的動態改變。

2防火墻無關性威脅因素

2．1入侵檢測回避

入侵攻擊的防火墻無關性在所有攻擊類型上有一個共同表現，即入侵檢測回避。攻擊者根據防火墻的工作原理，采取一切可能的手段，來繞過或欺騙防火墻的檢測，從而實現成功的入侵攻擊。

入侵檢測回避具體可表現在入侵攻擊的所有方面和攻擊的所有過程中。其中網絡層和應用層是最容易被攻擊者采取回避措施的部位。攻擊者可以采取部分包含但不限于如下的手段以回避防火墻系統的檢查：

a）偽造數據包。提供虛假的源地址或目標地址信息等繞過防火墻規則檢查。

b）盜用MAC或IP地址。對于采取了MAC或IP訪問限制的系統，攻擊者可通過偽造MAC或IP地址的途徑騙取認證系統的信任。

c）與IP欺騙相似的，還有DNS欺騙等[2]。

d）對提交的數據進行Unicode或UTF－8編碼。對于具備應用層合法性檢測的系統，攻擊者可對提交信息進行二次編碼，利用系統對不同編碼的自動兼容特性，繞過防火墻規則中的特征匹配，如將空格編碼為%20等。e）添加垃圾干擾信息。對付特征字串檢測的最簡單有效的做法就是添加垃圾干擾信息。例如系統禁止上傳.asp格式的文件，則攻擊者上傳.asp格式的木馬后門時，可以利用NT系統對擴展名的空格自動截斷的特性，將上傳的文件擴展名改成xx.asp xyz（其中空格后面為隨機字符），這樣上傳時可繞過擴展名類型檢測，而上傳成功后將自動地被系統恢復為正確的.asp擴展名。

2．2針對服務器和操作系統的入侵攻擊

一臺服務器上并不一定只運行著一套操作系統。例如在運行了多套虛擬機的服務器環境中，如果虛擬機與主機之間的信任關系和管理模式配置不當，則部署的弱點仍然可能被充當跳板來對其他系統進行攻擊。因此，這里將服務器和操作系統分別提及。針對操作系統的入侵攻擊，最典型的是因操作系統漏洞而導致的溢出攻擊。由于操作系統最新漏洞的不確定性，以及管理員安全部署實施的遲滯，這類入侵攻擊是傳統防火墻難以阻擋的。雖然部分硬件防火墻具備了一定的IPS（入侵防護）能力，但實際上作為邊界防火墻，由于其高帶寬、高流量的巨大壓力，要實現較深層次的應用層檢測在目前硬件和軟件的技術條件下，客觀上幾乎是無法實現的。這種客觀因素的制約，直接導致了防火墻在針對新型漏洞方面的繼發性缺陷。

另外，針對服務器和操作系統的入侵攻擊實例，也有相當數量采取的是利用社會工程學原理從其他途徑非法獲取管理員的身份認證信息，攻擊者通過這些身份認證信息進入系統，其行為通常也無法為防火墻所察覺。2．3針對應用和數據的入侵攻擊

應用和數據也是最容易被入侵攻擊的對象之一，最典型的就是針對數據庫的注入式攻擊、對應用系統數據庫的窺探和下載獲取。令人無奈的是，應用的復雜性也導致了其安全的不確定性，而客觀上要杜絕應用上的代碼漏洞以及由代碼和配置的漏洞導致的數據庫被偷窺，這幾乎是無法完成的任務。因此，針對應用和數據的攻擊在某種程度上是可能的但卻是難以具體預見的。

2．4用戶和管理的錯誤與缺陷

用戶可信度主要由人侵強度及人侵頻率兩個因素決定，并且人侵強度的不同及人侵頻率的變化都將對用戶可信度造成不同的影響[3]。用戶操作錯誤帶來的不確定性的安全負面因素也是顯而易見的，如弱口令或口令周期過短、權限管理的缺陷（權限濫用）、其他不可預見的操作失誤等，都可能導致入侵攻擊的成功。

與用戶相關的管理缺陷也是防火墻無關性重要因素之一。很多網絡系統在開始規劃時可能很難預見到應當加固防御體系的所有方面：或由于投入或人員的客觀限制而無法讓安全措施接近理想化；或內部缺乏嚴格而科學的管理制度，設備和人員均無法發揮到最佳效能。

2．5來自內部的攻擊

來自內部的攻擊也屬于與用戶和管理相關、但可能與邊界防火墻無關的攻擊。安全部署規劃中，作為專業的防火墻通常被部署在邊界或主要的網絡節點，而不可能實行廣泛的分布式部署，或者說部署的細化程度有限，因此總有一定數量的主機可不通過防火墻來進行內部訪問。這種內部的入侵攻擊也是防火墻無關性因素之一，它們可表現為：個別用戶對其他用戶權限的非法獲取、超出管理規定的權限委托、管理員身份的泄密和不當委托、應用程序本身的缺陷導致的賬戶跨權限操作、應用平臺的其他驗證措施不嚴密、操作系統的安全性配置失當、操作系統的最新漏洞的出現、利用內部的較高信任關系而進行的訪問、利用無線接入的便利而滲透入內網[4]等。

2．6跳板攻擊

來自內部的攻擊還有一種特殊情形，那就是跳板攻擊。網絡內部的主機之間可能存在級別相對比較高的信任關系，因此外部入侵者企圖入侵某臺主機時，可以避免直接對該目標主機發起攻擊，而是先取得對其內部網絡中其他某些特定主機（即跳板）的控制權。最典型的比如入侵網絡管理員的辦公室工作機器，由于管理員訪問服務器的信任級別相當高，無論是服務器端采取訪問IP限制還是其他措施，通過跳板均可能順利進入到目標系統。

3建立章魚式防火墻體系

研究防火墻無關性因素并不是本文的最終目的，明確了當前技術條件和規范下的防火墻脆弱點之所在，下一步就是針對傳統防火墻面臨的問題找出解決問題的根本出路。

由于現實中存在的大量的與傳統防火墻功能/性能無關的因素，單一的防火墻產品已經完全不能滿足日益嚴峻的安全防護的需要，取而代之的必須是一個綜合化、關聯化、立體化的防火墻體系。從分立式的防火墻系統過渡到綜合化的防火墻體系，是解決當前大量防火墻無關性安全威脅因素的必由之路。為此，這里提出了章魚式防火墻體系的防護模型（圖2）。

在這個章魚式防火墻體系架構中，已經不再存在類似傳統的那樣一臺獨立的防火墻硬件，取而代之的是無論是功能模塊、還是硬件系統都能夠分立、分布式部署，而管理上又能夠接受統一控管中心的統一管理的一套綜合體系。每個組成模塊就像章魚的一只觸手，雖然其功能和部署方式相對獨立，但都統一受控于章魚的大腦——統一管控中心。

章魚式防火墻體系架構與當前已經開始投入應用的多功能防火墻產品或UTM系統有所不同：多功能防火墻或UTM的共同點是高度集成在一臺硬件平臺上的多功能安全產品；章魚式防火墻體系架構不但功能多樣化，能夠針對傳統防火墻所無法全部顧及的防火墻無關性威脅因素分別一一提供防護模塊，而且還可以將每個模塊相對獨立地部署，即它們可以被部署在網絡的不同部位來分別解決不同的安全問題，通過多個硬件模塊的有機協同，從而實現理論上滴水不漏的防護效果。

章魚式防火墻體系架構的功能劃分可粗略分為以下兩層。

1)網絡層防護

(1)深度入侵檢測，用于解決傳統防火墻在入侵回避等行為下的盲區問題。

(2)壓力分攤與分流，用于解決DoS/DDoS攻擊問題。采用專門硬件設計來分擔DoS/DDoS攻擊時對服務器帶來的巨大壓力。

(3)分布式響應模塊，可部署在不同物理位置的控制響應模塊，能夠接受控管中心的統一指令而對各自負責的區域采取適當的響應動作。

2)應用層防護

(1)OS/應用的漏洞自動防護，針對應用層攻擊的特征采取自動補丁、自動阻止可疑行為的響應。

(2)數據庫防護，專門針對數據庫攻擊的特征而進行的應用層攻擊特征分析，針對數據庫服務器進行部署。 (3)協議分類檢測與處理，對應用層數據包重組后，根據協議類型進行分組，然后反饋給統一控管中心進行分類處理。

章魚式防火墻體系架構要求防火墻研發者必須從傳統的單一功能的防火墻硬件產品的框架中跳出來，以一種系統化的眼光來開發出一個產品系列，并支持一個統一管控中心來進行統一管理。實際上，不少安全設備研發者都已經具備了章魚式防火墻體系架構中的上述功能模塊，只是沒有將它們按照統一、統籌的方法形成一個嚴謹的防火墻體系。

4結束語

上述防火墻無關性攻擊威脅因素的相互之間是具有聯系的，分析防火墻無關性因素的意義在于讓決策者在進行安全規劃時，從全局而不是單純的片面的技術措施上來把握網絡的安全。在安全具體實施上，可以采取多代理分布式入侵檢測技術[5]，以求最大限度地解決防火墻無關性入侵攻擊因素。

對于網絡管理者而言，章魚式防火墻體系架構組織現有的安全產品的部署同樣具有指導性意義。作為網絡的規劃者和管理者，只有充分明確了防火墻無關性威脅因素，才能根據自己的網絡進行量體裁衣式的整體安全部署，并從網絡結構、軟硬件投入比例、人員培訓、管理制度等方面綜合考慮，實現比只注重防火墻類防護措施要高得多的安全環境。

參考文獻：

［1］龍銀香.一種新的漏洞檢測系統方案[J].微計算機信息：測控自動化，2005，21(5):228-229.

[2]胡順仁，蔣西明，包明，等.基于IP電子欺騙的防御策略研究[J].重慶工學院學報， 2004，18(1):27-29.

[3]郭慶北，張華忠，丁秀明.基于用戶可信度的誤用入侵檢測系統的研究[J].計算機應用， 2006，26(5):1081－1083.

[4]馮茜，王玉東，張效義.802.11b無線局域網嗅探的實現與防范[J].微計算機信息：測控自動化，2005，21(4):224-225.

[5]郭迪新，章兢，程宇紅.多代理分布式入侵檢測系統在校園網中的應用[J].計算機測量與控制， 2004，12(11): 1021－1024.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”