在這篇文章里我們談一談網(wǎng)絡(luò)攻擊的機制，同時也著重講述一下局域網(wǎng)系統(tǒng)避免遭受攻擊的方法。

這里我們使用網(wǎng)絡(luò)協(xié)議分層模式來分析局域網(wǎng)的安全。從圖1可以看到，網(wǎng)絡(luò)的七層在不同程度上會遭受到不同方式的攻擊，如果攻擊者取得成功，那將是非常危險的。而我們通常聽到或見到的攻擊往往發(fā)生在應(yīng)用層，這些攻擊主要是針對Web服務(wù)器、瀏覽器和他們訪問到的信息，比較常見的還有攻擊開放的文件系統(tǒng)部分。

下面兩個方法從實踐上來說被認為是非常有用的防范手段。

1.包過濾

圖1 七層模型易遭受的安全攻擊

在網(wǎng)絡(luò)層檢查通信數(shù)據(jù)，觀察它的源地址和目的地址。過濾器可以禁止特定的地址或地址范圍傳出或進入，也可以禁止令人懷疑的地址模式。

2.防火墻

圖2 包過濾器的配置

在應(yīng)用層檢查通信數(shù)據(jù)，檢查消息地址中的端口，或檢查特定應(yīng)用的消息內(nèi)容。測試失敗的任何通信數(shù)據(jù)將被拒絕。

一、路由包過濾

TCP/IP地址由機器地址和標識程序處理消息的端口數(shù)字組成。這個地址/端口組合信息對每個TCP/IP消息都是有效的。包過濾與防火墻相比處理的簡單一些，它僅是觀察TCP/IP地址，而不是端口數(shù)字或消息內(nèi)容。不過包過濾提供給你的是很好的網(wǎng)絡(luò)安全工具。

包過濾器通常使用的是自頂向下的操作原則，下面是它使用的一個典型規(guī)則：

●允許所有傳出通信數(shù)據(jù)通過；

●拒絕建立新的傳入連接；

●其它的數(shù)據(jù)可以全部被接受。

通過這樣的使用規(guī)則，系統(tǒng)的安全性提高了許多。因為它拒絕了Internet上主動與你的計算機建立新連接的請求。它阻止使用TCP的通信數(shù)據(jù)進入，從而杜絕了對共享驅(qū)動器和文件的未授權(quán)訪問。

過濾器通常的應(yīng)用是配置在連接你的計算機和Internet的路由器上，如圖2所示。在你的局域網(wǎng)和Internet之間放置過濾器后，就可以保證局域網(wǎng)與Internet所有的通信數(shù)據(jù)都要經(jīng)過過濾器。

如果包過濾軟件有能力檢查源地址子網(wǎng)，從子網(wǎng)物理端口傳遞消息到路由器，你就可以制定規(guī)則來避免虛假的TCP/IP地址，就象圖2所示的那樣。攻擊者欺騙的方法就是把來自Internet的消息偽裝成來自你局域網(wǎng)的消息。包過濾通過拒收帶有不可能源地址的消息來防御攻擊者的攻擊。例如，假定你在一個裝有Linux的機器上安裝軟件，讓它作為一個Windows網(wǎng)絡(luò)文件服務(wù)器，你可以配置Linux讓它拒收所有來自你的子網(wǎng)以外的通信數(shù)據(jù)，阻止Internet上的機器看到這個文件服務(wù)器。如果攻擊者假裝是你內(nèi)部的機器，用過濾器就可以阻止攻擊者的攻擊。

包過濾雖然對網(wǎng)絡(luò)的安全防范能起到很好的作用，但包過濾也并不是萬能的。它們一般不能防御使用UDP協(xié)議的攻擊，因為過濾器不能拒收開放的消息。包過濾還不能防御低層攻擊，象PING方式的攻擊。

二、防火墻

使用防火墻軟件可以在一定程度上控制局域網(wǎng)和Internet之間傳遞的數(shù)據(jù)。圖3所示是一個TCP/IP數(shù)據(jù)包報頭示意圖，從它上面可以清楚地看到包過濾和防火墻工作原理的不同之處。防火墻不但檢查了包過濾檢查內(nèi)容的所有部分（TCP/IP的源地址和目的地址），還檢查了源/目的端口數(shù)字和包的內(nèi)容。

圖3 包過濾器和防火墻的信息源

端口和消息內(nèi)容這些信息使防火墻比包過濾有更強的防范能力，因為這些信息使防火墻控制特定進/出的主機地址。防火墻的功能有以下幾個方面：

●允許或禁止特定的應(yīng)用服務(wù)，例如：FTP或Web頁面服務(wù)；

●允許或禁止訪問基于被傳遞的信息內(nèi)容的服務(wù)。

防火墻最直接的實施就是使用圖2所示的結(jié)構(gòu)，僅把局域網(wǎng)和ISP之間的包過濾器換成防火墻就可以了。這是一個防火墻的最安全的應(yīng)用，因為它保護了防火墻后面的所有計算機。

圖4 防火墻中使用DMZ

如果我們把圖2改為圖4所示的結(jié)構(gòu)，就可以很好地解決這個問題。圖4的結(jié)構(gòu)中有3個端口。第三個端口連接的是另一個局域網(wǎng)，通常叫做DMZ（非軍事區(qū)）。DMZ中的計算機與安全局域網(wǎng)中的計算機相比安全性要差一些，但是這些計算機可以接受來自Internet的訪問。你可以把Web和FTP服務(wù)器放在DMZ，從而可以保護其它的計算機。防火墻上的規(guī)則設(shè)定為阻止進入安全局域網(wǎng)的通信數(shù)據(jù)，僅允許傳出連接的建立。

如果你想增強DMZ局域網(wǎng)的安全性，可以使用過濾器，限制局域網(wǎng)中服務(wù)器使用的端口，禁止那些來自攻擊站點的訪問。

為了安全還可以給你的局域網(wǎng)分段，每段設(shè)置一個防火墻，每個防火墻使用不同的安全規(guī)則。需要記住的一點是，防火墻本身并沒有保障安全的能力，你需要定期的檢查防火墻對可疑事件做出的日志記錄，還需要去發(fā)現(xiàn)和使用軟件的安全補丁。

如果你使用Windows 98第二版的Internet共享連接功能，讓你的一臺計算機通過Modem把局域網(wǎng)連接上Internet。在這種情況下，你的網(wǎng)絡(luò)是很不安全的，仍需要改善網(wǎng)絡(luò)的安全性。最大的威脅就是你的電腦直接連接在了Internet上，你應(yīng)該直接在這臺電腦上安裝包過濾器或防火墻產(chǎn)品，或讓你的ISP安裝包過濾器或防火墻來保護你的訪問。