防火墙设计中的一些重点问题(3)

　　对于防火墙部分，国内大部分已经升级到2.4内核所支持的netfilter。netfilter已经是一个功能比较完善的防火墙框架，它已经支持基于状态的监测（通过connection track模块实现）。而且netfilter是一个设计很合理的框架，可以在适当的位置上登记一些需要的处理函数，正式代码中已经登记了许多处理函数，如在NF_IP_FORWARD点上登记了装发的包过滤功能（包过滤等功能便是由这些正式登记的函数实现的）。我们也可以登记自己的处理函数，在功能上作扩展（如加入简单的IDS功能等等）。这一点是国内厂家可以做文章的地方，至于netfilter源码的修改，对国内厂家来说似乎不太现实。

　　至于采用其它防火墙模型的，目前还没有看到（可能是netfilter已经设计的很成功，不需要我们再去做太多工作）。

　　3．自我保护能力（安全性）

　　由于防火墙的特殊功能和特殊位置，它自然是众多攻击者的目标，因此它的自我包括能力在设计过程中应该放在首要的位置。

　　A．管理上的安全性

　　防火墙需要一个管理界面，而管理过程如何设计的更安全，是一个很重要的问题。目前有两种方案。

　　a．设置专门的服务端口

　　为了减少管理上的风险和降低设计上的难度，有一些防火墙（如东方龙马）在防火墙上专门添加了一个服务端口，这个端口只是用来和管理主机连接。除了专用的服务口外，防火墙不接受来自任何其它端口的直接访问。这样做的显著特点就是降低了设计上的难度，由于管理通信是单独的通道，无论是内网主机、外网主机还是DMZ内主机都无法窃听到该通信，安全性显然很高，而且设计时也无需考虑通信过程加密的问题。

　　然而这样做，我们需要单独设置一台管理主机，显然太过浪费，而且这样管理起来的灵活性也不好。

　　b．通信过程加密

　　这样无需一个专门的端口，内网任意一台主机都可以在适当的情况下成为管理主机，管理主

　　机和防火墙之间采用加密的方式通信。

　　目前国内有采用的是使用自定义协议、一次性口令认证。对加密这个领域了解不多，不做详

　　细讨论。

　　B．对来自外部（和内部）攻击的反应能力

　　目前常见的来自外部的攻击方式主要有：

　　a．DOS（DDOS）攻击