防火墻滲透測試內容研究

◆魏玉峰

防火墻滲透測試內容研究

◆魏玉峰

（陜西省網(wǎng)絡與信息安全測評中心 陜西 710065）

隨著網(wǎng)絡安全等級保護相關標準更新到“2.0”時代，滲透測試也成了等級保護定級三級及以上的網(wǎng)絡系統(tǒng)在開展測評工作中必不可少的一項工作內容。不僅如此，對于網(wǎng)絡的滲透測試內容不僅限于傳統(tǒng)的信息系統(tǒng)，而且將網(wǎng)絡設備、安全設備也納入到了滲透測試的范疇之內。作為網(wǎng)絡系統(tǒng)與外部網(wǎng)絡之間的第一道防線，防火墻的安全防護情況更是備受關注。本文提出了一套針對防火墻的滲透測試內容，為實際工作提供參考思路。

防火墻；滲透測試；安全防護

要開展針對防火墻的滲透測試，首先要了解什么是防火墻。防火墻是一種用于檢查與控制網(wǎng)絡的傳入和傳出數(shù)據(jù)流量的軟件或硬件設備。防火墻根據(jù)預設的策略、規(guī)則或ACL（Access Control List，訪問控制列表），過濾和限制所有網(wǎng)絡連接。部署防火墻的主要作用是將可信網(wǎng)絡與外部網(wǎng)絡進行隔離。為此，內部網(wǎng)絡通常在DMZ（“demilitarized zone，非軍事區(qū)）中放置防火墻，也可以在企業(yè)內部網(wǎng)絡或Intranet的邊界部署其他防火墻，或者，在工業(yè)組織（如電廠）的SCADA（Supervisory Control And Data Acquisitio，數(shù)據(jù)采集與監(jiān)視控制）系統(tǒng)之前部署防火墻。

防火墻有很多類型，每種類型功能側重點各不相同。傳統(tǒng)防火墻無法對狀態(tài)數(shù)據(jù)包進行檢查，只能根據(jù)數(shù)據(jù)包的IP地址和端口號進行網(wǎng)絡流量分析。隨著技術的發(fā)展，NGFW（Next Generation FireWall，下一代防火墻）可以實現(xiàn)動態(tài)數(shù)據(jù)包過濾，并且可以對所有活動連接以及連接狀態(tài)進行監(jiān)聽，這些信息有助于訪問權限控制。

防火墻需要依賴特定的策略和規(guī)則以確保網(wǎng)絡連接的安全性。策略和規(guī)則定義了是否允許特定類型的網(wǎng)絡流量。這些策略也可以在整個網(wǎng)絡的不同區(qū)域間的防火墻上應用。

開展防火墻滲透測試包含以下13方面的內容，包括識別防火墻，路由跟蹤，端口掃描，識別版本信息，枚舉訪問控制列表，防火墻體系結構識別，防火墻策略測試，路由策略檢測，端口重定向，內部和外部測試，隱蔽通道檢測，HTTP隧道以及識別防火墻特定的漏洞。

1 識別防火墻

與傳統(tǒng)信息系統(tǒng)滲透測試一樣，防火墻滲透測試需要先識別防火墻。使用數(shù)據(jù)包處理軟件可以幫助識別網(wǎng)絡中的防火墻。

2 路由跟蹤

通過對識別出的防火墻運行tracert命令來確認網(wǎng)絡范圍。通過系統(tǒng)之間路由包的信息，可以確定連接建立過程中涉及的所有路由器和設備。同時還可以獲得與過濾流量和所使用協(xié)議的設備有關的信息。

3 端口掃描

使用端口掃描工具（例如Nmap）不僅可以標識防火墻上的開放端口，還可以標識端口上運行的相應服務。

4 抓取版本信息

通過抓取防火墻的版本信息，可以通過搜索引擎查找可能危害防火墻的漏洞。定制數(shù)據(jù)包并檢測防火墻是一項重要的測試內容。這樣做的目的是檢測防火墻的不同響應。滲透測試人員通過嘗試不同形式的掃描，可以收集盡可能多的信息。

5 枚舉訪問控制列表

防火墻通過ACL確定允許或拒絕來自內部網(wǎng)絡的流量。通過使用工具枚舉訪問控制列表，滲透測試人員可以觀察到防火墻上端口的開放狀態(tài)。

6 防火墻體系結構識別

通過從防火墻特定端口上獲取響應，測試人員將能夠確定防火墻的反應并幫助映射開放端口。

7 測試防火墻策略

測試防火墻策略有時被認為是內部網(wǎng)絡滲透測試的一部分。

滲透測試人員將比較提取的防火墻策略配置和預期配置的硬拷貝，以識別潛在的漏洞，測試人員將在防火墻上執(zhí)行操作，以確認所需的配置。

8 路由策略檢測

網(wǎng)絡審核工具使用跟蹤路由技術分析防火墻返回的數(shù)據(jù)包，通過檢查防火墻后面的設備來確定防火墻上的端口開放情況，進一步確認能夠通過防火墻的流量情況。

9 端口重定向

端口重定向可以進一步檢測給定的網(wǎng)絡防護狀態(tài)。如果無法直接訪問目標端口，則可以嘗試使用端口重定向技術來進行繞過。

10 內部和外部測試

根據(jù)執(zhí)行的滲透測試的類型，此項內容可能不適用。但此項內容仍然具有很高的重要性，因為從網(wǎng)絡兩側測試防火墻可以更好檢測規(guī)則是否生效，避免產(chǎn)生遺漏的情況。

11 測試隱蔽通道

隱蔽通道通常是指隱藏的通信連接，它使外部人員能夠保持“隱身”狀態(tài)。隱蔽通道通常用于隱藏活動及從公司內部盜取數(shù)據(jù)，一般是通過安裝在網(wǎng)絡內部受感染計算機上的后門來創(chuàng)建的。

12 HTTP隧道

HTTP隧道方法由使用HTTP協(xié)議封裝流量組成，當對位于防火墻或代理后面的設備的訪問權限受到限制時，通常會使用HTTP隧道方法。

在這種情況下，可以通過指定主機名，端口號和路徑，使用工具將訪問請求發(fā)送到服務器。由于該功能具有繞過代理的能力，因此代理本身上是否啟用額外http連接方法成為本項檢測的重點。

13 識別防火墻特定的漏洞

要確保防火墻沒有漏洞，重點是確保沒有錯誤配置。在某些情況下，某些打開的端口上可能會啟用打印或文件共享服務，這將導致惡意人員通過該媒介繞過防火墻。為保安全，禁用不需要的服務并檢查防火墻配置是最直接有效的方法。

滲透測試最大的作用在于為客戶尋找網(wǎng)絡里的高危漏洞。與普通的滲透測試一樣，防火墻測試也需要形成報告。報告中重要的是測試中發(fā)現(xiàn)的所有問題，尤其是對目標防火墻起作用的攻擊所利用的漏洞。此外，滲透測試人員應將重點放在尋找有效的攻擊方法和可能發(fā)現(xiàn)的錯誤配置上。

總而言之，開展防火墻滲透測試的主要目的是防止未經(jīng)授權從外部網(wǎng)絡訪問內部網(wǎng)絡。能否成功開展防火墻滲透測試取決于多個因素。正確配置防火墻策略和規(guī)則可以大幅降低滲透測試成功率，并防止大多數(shù)未經(jīng)授權的連接嘗試。通過防火墻滲透測試，可以從網(wǎng)絡邊界處有效提升網(wǎng)絡安全防護能力。