---- 以往,人们常在ISDN路由器和宽带路由器中设定包过滤规则,以保护内网安全。其实,在OS中也可以设定包过滤规则。通常,在路由器中,我们可以规定从外部经路由器送入企业内网和从企业内网经路由器发向外部的数据包过滤规则,而在OS中,我们可以针对出入OS的数据包设定过滤规则。
---- 对于将所有机器都配置在路由器内侧的同一个网段上的网络结构,需要用到OS包过滤机构,其规则设定与在路由器上的设定基本一致。事实上,只要路由器可正常发挥功能,凡OS需拒绝的数据包都可通过路由器来阻断,无须在OS中重复设定。
---- 对于图1所示的开放服务器和企业内部LAN分属不同网段的结构,我们只有充分利用OS的包过滤机构,用属于开放服务器的IP隐匿功能守护企业内部的服务器和客户机,才可使不安全系数降到最低。
图1
---- 除此之外,如果路由器由系统部门管理,部门服务器由下属各部门分别管理,也需要充分利用OS的包过滤机构。在路由器中设定由系统部门所制订的整个企业的规则,各下属部门的规则设定在OS中。
---- 图1中所示的IP隐匿机构的设备,可以采用本地路由器或另外一台服务器。在采用服务器机器时,要安装2块网卡,一块分配全球地址,另一块分配专用地址。在2块网卡之间运行IP隐匿即可。Windows 2000 Server和几乎所有的Linux发行版都有这个功能的标准配置。
简述Windows 2000 Server包过滤规则
---- 我们仍然以图1所示的网络结构为例。假定在一台对外开放的服务器上运行Web、Mail和DNS服务器,我们可以通过表1展示在Windows 2000 Server中要设定的包过滤规则。
---- Windows 2000中备有3个包过滤机构:一个是在“TCP/IP筛选”选项下进行设定,它也是Windows NT 4.0标准配置的过滤机构;另一个是用路由和远程服务(RRAS)来设定,RRAS原本是Microsoft为了扩充Windows NT 4.0的路由器功能而提供的英语版模块,现在已经被标准配置到了Windows 2000 Server中; 还有一个是用IPsec的策略进行定义,IPsec是从Windows 2000 Server开始新增加的功能。
3种包过滤设定办法
---- 1.简单的“TCP/IP筛选”
---- Windows 2000配备的TCP/IP滤波机构只能进行简单控制,不能将IP地址和IP包的流向作为控制参数。 “TCP/IP筛选”操作方法:在“本地连接属性”画面,双击“Internet协议(TCP/IP)”后,选定对话框右下侧的“高级”按钮; 然后,选择“高级TCP/IP设定”*“选项”*“TCP/IP筛选”,弹出“TCP/IP筛选”画面(如图2所示)即可。
图2
---- 用“TCP/IP筛选”设定的过滤机构非常简单。不管在此做了什么设定,对于外部Windows 2000什么包都能发送,且能接收附有ACK标志的返回包。在这个原则下,在“TCP/IP筛选”中,对于来自外部的连接请求,只指定Windows 2000接收的端口号。
---- 首先,选定“启用TCP/IP筛选”复选框,将TCP、UDP端口和IP协议都设定成“只允许”,然后,分别指定接收访问的端口号。例如:若开放Web服务器,只允许来自外部对TCP 80号端口的连接请求,即在“TCP端口”栏设定成80。
---- 对于开放DNS服务器,情况要稍复杂些。DNS服务器是用UDP的53号端口来受理来自外部的查询。照理,“UDP 端口”栏应设成53,但是,在本身要查询外部DNS服务器时,需将数据包送往外部DNS服务器的UDP 53号端口,用1025号以上的UDP端口接收返回数据包。但UDP与TCP不同,没有ACK标志。Windows 2000对于送来的UDP包无法判定是连接请求还是返回来的数据包。如果能指定允许端口范围,只要指定1025以上的端口即可。可惜,在“TCP/IP筛选”中,只能一个一个端口地指定。为了在Windows 2000上能正常运行DNS服务器,只好将“UDP端口”栏改设成“全部允许”。
---- 在DNS服务器中,还必须要打开辅助DNS和用于“区域传输”的端口。在“TCP端口”栏添加上53即可。由辅助DNS送来的“区域传输”请求包,送达TCP的53号端口。
---- Mail服务器(SMTP)的设定很简单。只要在“TCP端口”栏添加上25、113号端口即可。在Mail服务器中,25端口接收从外部SMTP服务器送来的包,113端口用来认证服务(用户确认)。
---- 在“TCP/IP筛选”中,还有一个用于限制IP协议的设定栏“IP协议”。在此处,设定在IP的高层协议中接收哪个协议。但此处能限制的只是除TCP、UDP和ICMP以外的高层协议(路由中利用的IGMP和OSPF等),TCP、UDP和ICMP与此设定无关。
---- 2.用RRAS实现精细控制
---- 在“TCP/IP筛选”中不能利用源IP地址和标志进行精细控制。另外,只用“TCP/IP筛选”机构,使UDP的1025以上端口全部开放,这是很危险的。再者,为了安全起见,服务器最好只作为服务器使用。但是,在“TCP/IP筛选”中,不能限制送出数据包,还要接收附有ACK标志的所有返回包。因此,在开放服务器上就会出现启动多个Web浏览器和各自分别阅览Web的情况。
---- 在Windows 2000 Server中,为了精细设定路由规则,必须使用RRAS。和一般的包过滤机构一样,可以按条件来设定源IP地址、目标IP地址、协议种类(TCP、UDP、ICMP和附有ACK标志的包)、源端口和目标端口等,缺点是不能按范围指定IP地址和端口,难以表述“允许1025以上端口的所有应用”这样的规则。
---- 为了使用RRAS,从“管理工具”中,选定“路由和远程访问”*“本地连接属性”(如图3所示)。画面中有“输入筛选器”和“输出筛选器”按钮,点击2个按钮,可分别对流入、流出网络的包设定各自的包过滤规则(如图4所示)。图5显示出表1所列的内向包过滤规则的设定。图5画面上有2个复选框:“接收所有符合下述条件以外的包”和“丢弃所有符合下述条件以外的包”,一个是“允许”条件,一个是“禁止”条件。一般来说,选择“禁止”条件会更安全些,所以,选定“丢弃所有符合下述条件以外的包”。需要特别指出的是,在Windows 2000 Server中,表2所列的端口“默认”状态是打开的。一般,NetBIOS over TCP/IP使用的137/138/139/445等,是非常危险的端口。经由这些端口可以访问共享文件夹,也很可能会成为黑客的跳板。在对外开放的服务器中,没有必要打开这些端口,选择“丢弃所有符合下述条件以外的包”,就可以关闭这些“默认”状态下打开着的端口。
图3
图4
图5
-- 3.用“Netsh”命令输入设定
---上述的这些图形管理画面对于不太熟悉的用户用起来也很方便,但是操作起来有点繁琐,必须一个一个地输入“筛选”规则。
为了简化输入步骤,可以使用Windows 2000 Server标准附带的Netsh命令。例如,要用Netsh命令来输入源IP地址/端口号为任意、目标IP地址为210.225.37.227及目标端口为80的过滤规则,在“netsh routing ip add filter”之后,按
图6
所示的格式记述。用文本编辑器来编辑所有的过滤规则,作为批文件执行,就可以进行一揽子设定。
---- 在命令提示符下,执行“netsh dump”,可以用文本数据输出RRAS设定的内容(如图7所示)。要想修改用“netsh dump”得到的列表内容,执行“netsh-f 文件名”,可以将设定输入到RRAS。
图7
---- 4.用IPsec实现安全开放危险服务
---- 由IPsec实现的包过滤用于只允许某些特定用户访问对外开放的具有危险性的服务。所谓IPsec是IEIF标准化的IP认证/加密方式。在IP层上加密,不管上层是什么协议,都可以利用。不仅可以依据过滤规则实现通信,还可在服务器和客户机间实施用户的认证和通信加密,能够实现比RRAS更高级的访问控制。
---- 加密方式可以选择DES和3DES(Triple DES)。3DES的加密强度高。但是,缺省状态下的Windows 2000 Server 不能使用。使用3DES要安装与Windows 2000 Server同出一家的高级加密软件包High Encryption Pack。
---- 使用IPsec中能用的包过滤机构,可以按源IP地址/端口号、目标IP地址/端口号以及TCP/UDP/ICMP等协议种类为条件筛选包。过滤机构本身可以说大体上与RRAS相当。
---- 在IPsec中,哪个通信要用IPsec,事先要作为策略定义好。默认状态备有3种策略。
---- 在IPsec中,还有一点要注意的是认证方式的选择。Windows 2000 Server 中有3种方式可供选择。
由Kerberos进行认证。如果不是支持Windows 2000 Kerberos的客户机,则不能访问。
由证书(x.509 v3.0)进行认证。要有发行证书的认证中心,即使没有第3方认证机关,利用Windows 2000 Server的“证书服务”,也可以给客户端发行证书。
由临时共享密钥进行认证。相互通信的机器间事先登录同样的密钥(公用保密字),在连接时相互对照进行认证。
---- 但是,IPsec机构是以用户认证和加密为前提的。用IPsec制作面向多个不确定用户的包过滤规则有悖于IPsec的初衷,这也是不现实的。多个不确定用户的包过滤规则用RRAS设定,IPsec应该用来设定需要通信加密的企业间的规则。
---- 以上说明了Windows 2000 Server所配备的3种包过滤机构。当然,还有好多包过滤也无法处理的攻击。最近,对于IIS安全漏洞的攻击日益猖獗,除了包过滤之外,要及时收集信息和适用的补丁程序。