◆魏玉峰

防火墻滲透測試內(nèi)容研究

◆魏玉峰

（陜西省網(wǎng)絡(luò)與信息安全測評中心 陜西 710065）

隨著網(wǎng)絡(luò)安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)更新到“2.0”時代，滲透測試也成了等級保護(hù)定級三級及以上的網(wǎng)絡(luò)系統(tǒng)在開展測評工作中必不可少的一項(xiàng)工作內(nèi)容。不僅如此，對于網(wǎng)絡(luò)的滲透測試內(nèi)容不僅限于傳統(tǒng)的信息系統(tǒng)，而且將網(wǎng)絡(luò)設(shè)備、安全設(shè)備也納入到了滲透測試的范疇之內(nèi)。作為網(wǎng)絡(luò)系統(tǒng)與外部網(wǎng)絡(luò)之間的第一道防線，防火墻的安全防護(hù)情況更是備受關(guān)注。本文提出了一套針對防火墻的滲透測試內(nèi)容，為實(shí)際工作提供參考思路。

防火墻；滲透測試；安全防護(hù)

要開展針對防火墻的滲透測試，首先要了解什么是防火墻。防火墻是一種用于檢查與控制網(wǎng)絡(luò)的傳入和傳出數(shù)據(jù)流量的軟件或硬件設(shè)備。防火墻根據(jù)預(yù)設(shè)的策略、規(guī)則或ACL（Access Control List，訪問控制列表），過濾和限制所有網(wǎng)絡(luò)連接。部署防火墻的主要作用是將可信網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離。為此，內(nèi)部網(wǎng)絡(luò)通常在DMZ（“demilitarized zone，非軍事區(qū)）中放置防火墻，也可以在企業(yè)內(nèi)部網(wǎng)絡(luò)或Intranet的邊界部署其他防火墻，或者，在工業(yè)組織（如電廠）的SCADA（Supervisory Control And Data Acquisitio，數(shù)據(jù)采集與監(jiān)視控制）系統(tǒng)之前部署防火墻。

防火墻有很多類型，每種類型功能側(cè)重點(diǎn)各不相同。傳統(tǒng)防火墻無法對狀態(tài)數(shù)據(jù)包進(jìn)行檢查，只能根據(jù)數(shù)據(jù)包的IP地址和端口號進(jìn)行網(wǎng)絡(luò)流量分析。隨著技術(shù)的發(fā)展，NGFW（Next Generation FireWall，下一代防火墻）可以實(shí)現(xiàn)動態(tài)數(shù)據(jù)包過濾，并且可以對所有活動連接以及連接狀態(tài)進(jìn)行監(jiān)聽，這些信息有助于訪問權(quán)限控制。

防火墻需要依賴特定的策略和規(guī)則以確保網(wǎng)絡(luò)連接的安全性。策略和規(guī)則定義了是否允許特定類型的網(wǎng)絡(luò)流量。這些策略也可以在整個網(wǎng)絡(luò)的不同區(qū)域間的防火墻上應(yīng)用。

開展防火墻滲透測試包含以下13方面的內(nèi)容，包括識別防火墻，路由跟蹤，端口掃描，識別版本信息，枚舉訪問控制列表，防火墻體系結(jié)構(gòu)識別，防火墻策略測試，路由策略檢測，端口重定向，內(nèi)部和外部測試，隱蔽通道檢測，HTTP隧道以及識別防火墻特定的漏洞。

1 識別防火墻

與傳統(tǒng)信息系統(tǒng)滲透測試一樣，防火墻滲透測試需要先識別防火墻。使用數(shù)據(jù)包處理軟件可以幫助識別網(wǎng)絡(luò)中的防火墻。

2 路由跟蹤

通過對識別出的防火墻運(yùn)行tracert命令來確認(rèn)網(wǎng)絡(luò)范圍。通過系統(tǒng)之間路由包的信息，可以確定連接建立過程中涉及的所有路由器和設(shè)備。同時還可以獲得與過濾流量和所使用協(xié)議的設(shè)備有關(guān)的信息。

3 端口掃描

使用端口掃描工具（例如Nmap）不僅可以標(biāo)識防火墻上的開放端口，還可以標(biāo)識端口上運(yùn)行的相應(yīng)服務(wù)。

4 抓取版本信息

通過抓取防火墻的版本信息，可以通過搜索引擎查找可能危害防火墻的漏洞。定制數(shù)據(jù)包并檢測防火墻是一項(xiàng)重要的測試內(nèi)容。這樣做的目的是檢測防火墻的不同響應(yīng)。滲透測試人員通過嘗試不同形式的掃描，可以收集盡可能多的信息。

5 枚舉訪問控制列表

防火墻通過ACL確定允許或拒絕來自內(nèi)部網(wǎng)絡(luò)的流量。通過使用工具枚舉訪問控制列表，滲透測試人員可以觀察到防火墻上端口的開放狀態(tài)。

6 防火墻體系結(jié)構(gòu)識別

通過從防火墻特定端口上獲取響應(yīng)，測試人員將能夠確定防火墻的反應(yīng)并幫助映射開放端口。

7 測試防火墻策略

測試防火墻策略有時被認(rèn)為是內(nèi)部網(wǎng)絡(luò)滲透測試的一部分。

滲透測試人員將比較提取的防火墻策略配置和預(yù)期配置的硬拷貝，以識別潛在的漏洞，測試人員將在防火墻上執(zhí)行操作，以確認(rèn)所需的配置。

8 路由策略檢測

網(wǎng)絡(luò)審核工具使用跟蹤路由技術(shù)分析防火墻返回的數(shù)據(jù)包，通過檢查防火墻后面的設(shè)備來確定防火墻上的端口開放情況，進(jìn)一步確認(rèn)能夠通過防火墻的流量情況。

9 端口重定向

端口重定向可以進(jìn)一步檢測給定的網(wǎng)絡(luò)防護(hù)狀態(tài)。如果無法直接訪問目標(biāo)端口，則可以嘗試使用端口重定向技術(shù)來進(jìn)行繞過。

10 內(nèi)部和外部測試

根據(jù)執(zhí)行的滲透測試的類型，此項(xiàng)內(nèi)容可能不適用。但此項(xiàng)內(nèi)容仍然具有很高的重要性，因?yàn)閺木W(wǎng)絡(luò)兩側(cè)測試防火墻可以更好檢測規(guī)則是否生效，避免產(chǎn)生遺漏的情況。

11 測試隱蔽通道

隱蔽通道通常是指隱藏的通信連接，它使外部人員能夠保持“隱身”狀態(tài)。隱蔽通道通常用于隱藏活動及從公司內(nèi)部盜取數(shù)據(jù)，一般是通過安裝在網(wǎng)絡(luò)內(nèi)部受感染計(jì)算機(jī)上的后門來創(chuàng)建的。

12 HTTP隧道

HTTP隧道方法由使用HTTP協(xié)議封裝流量組成，當(dāng)對位于防火墻或代理后面的設(shè)備的訪問權(quán)限受到限制時，通常會使用HTTP隧道方法。

在這種情況下，可以通過指定主機(jī)名，端口號和路徑，使用工具將訪問請求發(fā)送到服務(wù)器。由于該功能具有繞過代理的能力，因此代理本身上是否啟用額外http連接方法成為本項(xiàng)檢測的重點(diǎn)。

13 識別防火墻特定的漏洞

要確保防火墻沒有漏洞，重點(diǎn)是確保沒有錯誤配置。在某些情況下，某些打開的端口上可能會啟用打印或文件共享服務(wù)，這將導(dǎo)致惡意人員通過該媒介繞過防火墻。為保安全，禁用不需要的服務(wù)并檢查防火墻配置是最直接有效的方法。

滲透測試最大的作用在于為客戶尋找網(wǎng)絡(luò)里的高危漏洞。與普通的滲透測試一樣，防火墻測試也需要形成報告。報告中重要的是測試中發(fā)現(xiàn)的所有問題，尤其是對目標(biāo)防火墻起作用的攻擊所利用的漏洞。此外，滲透測試人員應(yīng)將重點(diǎn)放在尋找有效的攻擊方法和可能發(fā)現(xiàn)的錯誤配置上。

總而言之，開展防火墻滲透測試的主要目的是防止未經(jīng)授權(quán)從外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)。能否成功開展防火墻滲透測試取決于多個因素。正確配置防火墻策略和規(guī)則可以大幅降低滲透測試成功率，并防止大多數(shù)未經(jīng)授權(quán)的連接嘗試。通過防火墻滲透測試，可以從網(wǎng)絡(luò)邊界處有效提升網(wǎng)絡(luò)安全防護(hù)能力。