防火墻滲透測(cè)試內(nèi)容研究

◆魏玉峰

防火墻滲透測(cè)試內(nèi)容研究

◆魏玉峰

（陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心 陜西 710065）

隨著網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)更新到“2.0”時(shí)代，滲透測(cè)試也成了等級(jí)保護(hù)定級(jí)三級(jí)及以上的網(wǎng)絡(luò)系統(tǒng)在開(kāi)展測(cè)評(píng)工作中必不可少的一項(xiàng)工作內(nèi)容。不僅如此，對(duì)于網(wǎng)絡(luò)的滲透測(cè)試內(nèi)容不僅限于傳統(tǒng)的信息系統(tǒng)，而且將網(wǎng)絡(luò)設(shè)備、安全設(shè)備也納入到了滲透測(cè)試的范疇之內(nèi)。作為網(wǎng)絡(luò)系統(tǒng)與外部網(wǎng)絡(luò)之間的第一道防線，防火墻的安全防護(hù)情況更是備受關(guān)注。本文提出了一套針對(duì)防火墻的滲透測(cè)試內(nèi)容，為實(shí)際工作提供參考思路。

防火墻；滲透測(cè)試；安全防護(hù)

要開(kāi)展針對(duì)防火墻的滲透測(cè)試，首先要了解什么是防火墻。防火墻是一種用于檢查與控制網(wǎng)絡(luò)的傳入和傳出數(shù)據(jù)流量的軟件或硬件設(shè)備。防火墻根據(jù)預(yù)設(shè)的策略、規(guī)則或ACL（Access Control List，訪問(wèn)控制列表），過(guò)濾和限制所有網(wǎng)絡(luò)連接。部署防火墻的主要作用是將可信網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離。為此，內(nèi)部網(wǎng)絡(luò)通常在DMZ（“demilitarized zone，非軍事區(qū)）中放置防火墻，也可以在企業(yè)內(nèi)部網(wǎng)絡(luò)或Intranet的邊界部署其他防火墻，或者，在工業(yè)組織（如電廠）的SCADA（Supervisory Control And Data Acquisitio，數(shù)據(jù)采集與監(jiān)視控制）系統(tǒng)之前部署防火墻。

防火墻有很多類(lèi)型，每種類(lèi)型功能側(cè)重點(diǎn)各不相同。傳統(tǒng)防火墻無(wú)法對(duì)狀態(tài)數(shù)據(jù)包進(jìn)行檢查，只能根據(jù)數(shù)據(jù)包的IP地址和端口號(hào)進(jìn)行網(wǎng)絡(luò)流量分析。隨著技術(shù)的發(fā)展，NGFW（Next Generation FireWall，下一代防火墻）可以實(shí)現(xiàn)動(dòng)態(tài)數(shù)據(jù)包過(guò)濾，并且可以對(duì)所有活動(dòng)連接以及連接狀態(tài)進(jìn)行監(jiān)聽(tīng)，這些信息有助于訪問(wèn)權(quán)限控制。

防火墻需要依賴特定的策略和規(guī)則以確保網(wǎng)絡(luò)連接的安全性。策略和規(guī)則定義了是否允許特定類(lèi)型的網(wǎng)絡(luò)流量。這些策略也可以在整個(gè)網(wǎng)絡(luò)的不同區(qū)域間的防火墻上應(yīng)用。

開(kāi)展防火墻滲透測(cè)試包含以下13方面的內(nèi)容，包括識(shí)別防火墻，路由跟蹤，端口掃描，識(shí)別版本信息，枚舉訪問(wèn)控制列表，防火墻體系結(jié)構(gòu)識(shí)別，防火墻策略測(cè)試，路由策略檢測(cè)，端口重定向，內(nèi)部和外部測(cè)試，隱蔽通道檢測(cè)，HTTP隧道以及識(shí)別防火墻特定的漏洞。

1 識(shí)別防火墻

與傳統(tǒng)信息系統(tǒng)滲透測(cè)試一樣，防火墻滲透測(cè)試需要先識(shí)別防火墻。使用數(shù)據(jù)包處理軟件可以幫助識(shí)別網(wǎng)絡(luò)中的防火墻。

2 路由跟蹤

通過(guò)對(duì)識(shí)別出的防火墻運(yùn)行tracert命令來(lái)確認(rèn)網(wǎng)絡(luò)范圍。通過(guò)系統(tǒng)之間路由包的信息，可以確定連接建立過(guò)程中涉及的所有路由器和設(shè)備。同時(shí)還可以獲得與過(guò)濾流量和所使用協(xié)議的設(shè)備有關(guān)的信息。

3 端口掃描

使用端口掃描工具（例如Nmap）不僅可以標(biāo)識(shí)防火墻上的開(kāi)放端口，還可以標(biāo)識(shí)端口上運(yùn)行的相應(yīng)服務(wù)。

4 抓取版本信息

通過(guò)抓取防火墻的版本信息，可以通過(guò)搜索引擎查找可能危害防火墻的漏洞。定制數(shù)據(jù)包并檢測(cè)防火墻是一項(xiàng)重要的測(cè)試內(nèi)容。這樣做的目的是檢測(cè)防火墻的不同響應(yīng)。滲透測(cè)試人員通過(guò)嘗試不同形式的掃描，可以收集盡可能多的信息。

5 枚舉訪問(wèn)控制列表

防火墻通過(guò)ACL確定允許或拒絕來(lái)自內(nèi)部網(wǎng)絡(luò)的流量。通過(guò)使用工具枚舉訪問(wèn)控制列表，滲透測(cè)試人員可以觀察到防火墻上端口的開(kāi)放狀態(tài)。

6 防火墻體系結(jié)構(gòu)識(shí)別

通過(guò)從防火墻特定端口上獲取響應(yīng)，測(cè)試人員將能夠確定防火墻的反應(yīng)并幫助映射開(kāi)放端口。

7 測(cè)試防火墻策略

測(cè)試防火墻策略有時(shí)被認(rèn)為是內(nèi)部網(wǎng)絡(luò)滲透測(cè)試的一部分。

滲透測(cè)試人員將比較提取的防火墻策略配置和預(yù)期配置的硬拷貝，以識(shí)別潛在的漏洞，測(cè)試人員將在防火墻上執(zhí)行操作，以確認(rèn)所需的配置。

8 路由策略檢測(cè)

網(wǎng)絡(luò)審核工具使用跟蹤路由技術(shù)分析防火墻返回的數(shù)據(jù)包，通過(guò)檢查防火墻后面的設(shè)備來(lái)確定防火墻上的端口開(kāi)放情況，進(jìn)一步確認(rèn)能夠通過(guò)防火墻的流量情況。

9 端口重定向

端口重定向可以進(jìn)一步檢測(cè)給定的網(wǎng)絡(luò)防護(hù)狀態(tài)。如果無(wú)法直接訪問(wèn)目標(biāo)端口，則可以嘗試使用端口重定向技術(shù)來(lái)進(jìn)行繞過(guò)。

10 內(nèi)部和外部測(cè)試

根據(jù)執(zhí)行的滲透測(cè)試的類(lèi)型，此項(xiàng)內(nèi)容可能不適用。但此項(xiàng)內(nèi)容仍然具有很高的重要性，因?yàn)閺木W(wǎng)絡(luò)兩側(cè)測(cè)試防火墻可以更好檢測(cè)規(guī)則是否生效，避免產(chǎn)生遺漏的情況。

11 測(cè)試隱蔽通道

隱蔽通道通常是指隱藏的通信連接，它使外部人員能夠保持“隱身”狀態(tài)。隱蔽通道通常用于隱藏活動(dòng)及從公司內(nèi)部盜取數(shù)據(jù)，一般是通過(guò)安裝在網(wǎng)絡(luò)內(nèi)部受感染計(jì)算機(jī)上的后門(mén)來(lái)創(chuàng)建的。

12 HTTP隧道

HTTP隧道方法由使用HTTP協(xié)議封裝流量組成，當(dāng)對(duì)位于防火墻或代理后面的設(shè)備的訪問(wèn)權(quán)限受到限制時(shí)，通常會(huì)使用HTTP隧道方法。

在這種情況下，可以通過(guò)指定主機(jī)名，端口號(hào)和路徑，使用工具將訪問(wèn)請(qǐng)求發(fā)送到服務(wù)器。由于該功能具有繞過(guò)代理的能力，因此代理本身上是否啟用額外http連接方法成為本項(xiàng)檢測(cè)的重點(diǎn)。

13 識(shí)別防火墻特定的漏洞

要確保防火墻沒(méi)有漏洞，重點(diǎn)是確保沒(méi)有錯(cuò)誤配置。在某些情況下，某些打開(kāi)的端口上可能會(huì)啟用打印或文件共享服務(wù)，這將導(dǎo)致惡意人員通過(guò)該媒介繞過(guò)防火墻。為保安全，禁用不需要的服務(wù)并檢查防火墻配置是最直接有效的方法。

滲透測(cè)試最大的作用在于為客戶尋找網(wǎng)絡(luò)里的高危漏洞。與普通的滲透測(cè)試一樣，防火墻測(cè)試也需要形成報(bào)告。報(bào)告中重要的是測(cè)試中發(fā)現(xiàn)的所有問(wèn)題，尤其是對(duì)目標(biāo)防火墻起作用的攻擊所利用的漏洞。此外，滲透測(cè)試人員應(yīng)將重點(diǎn)放在尋找有效的攻擊方法和可能發(fā)現(xiàn)的錯(cuò)誤配置上。

總而言之，開(kāi)展防火墻滲透測(cè)試的主要目的是防止未經(jīng)授權(quán)從外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)。能否成功開(kāi)展防火墻滲透測(cè)試取決于多個(gè)因素。正確配置防火墻策略和規(guī)則可以大幅降低滲透測(cè)試成功率，并防止大多數(shù)未經(jīng)授權(quán)的連接嘗試。通過(guò)防火墻滲透測(cè)試，可以從網(wǎng)絡(luò)邊界處有效提升網(wǎng)絡(luò)安全防護(hù)能力。