隨著計算機技術、網絡技術的飛速發展和普及應用，網絡安全已日漸成為人們關注的焦點問題之一。近幾年來，安全技術和安全產品已經有了長足的進步，部分技術與產品已日趨成熟。但是，單個安全技術或者安全產品的功能和性能都有其局限性，只能滿足系統與網絡特定的安全需求。因此，如何有效利用現有的安全技術和安全產品來保障系統與網絡的安全已成為當前信息安全領域的研究熱點之一。

　　 首先，讓我們來看看現階段網絡上使用最多的安全設備防火墻和入侵檢測。為了確保網絡的安全使用，研究它們的局限性和脆弱性已經十分必要。

　　一、防火墻的局限性和脆弱性

　　 防火墻是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務、實現網絡和信息安全的基礎設施，但是它也存在局限性。

　　1、防火墻不能防范不經過防火墻的攻擊。沒有經過防火墻的數據，防火墻無法檢查，比如撥號上網。

　　2、防火墻不能解決來自內部網絡的攻擊和安全問題。"外緊內松"是一般局域網絡的特點，一道嚴密防守的防火墻其內部的網絡也有可能是一片混亂。如通過社會工程學發送帶木馬的郵件、帶木馬的URL等方式，然后由中木馬的機器主動對攻擊者連接，將瞬間破壞象鐵壁一樣的防火墻。另外，防火墻內部各主機間的攻擊行為，防火墻也只能如旁觀者一樣冷視而愛莫能助。

　　3、防火墻不能防止最新的未設置策略或錯誤配置引起的安全威脅。防火墻的各種策略，也是在該攻擊方式經過專家分析后給出其特征進而設置的。如果世界上新發現某個主機漏洞的cracker把第一個攻擊對象選中了您的網絡，那么防火墻也沒有辦法幫到您。

　　4、防火墻不能防止可接觸的人為或自然的破壞。防火墻是一個安全設備，但防火墻本身必須存在于一個安全的地方。

　　5、防火墻無法解決TCP/IP等協議的漏洞。防火墻本身就是基于TCP/IP等協議來實現的，就無法解決TCP/IP操作的漏洞。比如利用DOS或DDOS攻擊。

　　6、防火墻對服務器合法開放的端口的攻擊大多無法阻止。例如利用開放了3389端口取得沒打過sp補丁的win2k的超級權限、利用asp程序進行腳本攻擊等。由于其行為在防火墻一級看來是"合理"和"合法"的，因此就被簡單地放行了。

　　7、防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防病毒軟件，也沒有一種軟件可以查殺所有的病毒。

　　8、防火墻不能防止數據驅動式的攻擊。當有些表面看來無害的數據郵寄或拷貝到內部網的主機上并被執行時，可能會發生數據驅動式的攻擊。
　　9、防火墻不能防止內部的泄密行為。防火墻內部的一個合法用戶主動泄密，防火墻對此是無能為力的。

　　10、防火墻不能防止本身安全漏洞的威脅。防火墻保護別人有時卻無法保護自己，因為目前還沒有廠商絕對保證防火墻不會存在安全漏洞。防火墻也是一個OS，也有著其硬件系統和軟件，因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現軟/硬件方面的故障。

　　二、針對IDS的逃避技術

　　 防火墻有以上的諸多局限性，同時它又處于網關的位置，不可能對進出攻擊作太多判斷，否則會嚴重影響網絡性能。如果把防火墻比作大門警衛的話，入侵檢測就是網絡中不間斷的攝像機，入侵檢測通過旁路監聽的方式不間斷的收取網絡數據，對網絡的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警。不但可以發現從外部的攻擊，也可以發現內部的惡意行為。所以說入侵檢測是網絡安全的第二道閘門，是防火墻的必要補充，構成完整的網絡安全解決方案。然而，由于NIDS本身的局限性，黑帽社團正不斷推出躲避或者越過網絡入侵檢測系統(Network Intrusion Detection System,NIDS)的新技術，勝利的天平正在向黑帽子傾斜。

　　1、字符串匹配的弱點

　　通過把字符串處理技術和字符替換技術結合到一起，我們可以實現復雜點的字符串偽裝。對于WEB請求，我們不必使用命令解釋器， 在我們的請求中使用16進制的URL即可，以下的請求可以被目標WEB服務器解釋為/etc/passwd：
　　GET %65%74%63/%70%61%73%73%77%64
　　或者 GET %65%74%63/%70a%73%73%77d
　　為了捕獲這一個字符串的所有變體，IDS可能需要1000個以上的特征碼進行字符串匹配，這還沒有考慮UNICODE啊!

　　2、會話拼接(session splicing，叫會話分割更合適一些)

　　就是把會話數據放到多個數據包中發出：

　　+-------------------------+
　　| packet number | content |
　　|---------------+---------|
　　| 1 | G |
　　|---------------+---------|
　　| 2 | E |
　　|---------------+---------|
　　| 3 | T |
　　|---------------+---------|
　　| 4 | 20 |
　　|---------------+---------|
　　| 5 | / |
　　|---------------+---------|
　　| 6 | H |
　　+---------------+---------+

　　通過這種方式，每次只投遞幾個字節的數據，就可能避開字符串匹配入侵檢測系統的監視。

　　3、碎片攻擊

　　所謂碎片覆蓋就是發送碎片覆蓋先前碎片中的數據。例如：
　　碎片1 GET x.idd
　　碎片2 a.?(緩沖區溢出數據)
　　第二個碎片的第一個字符覆蓋第一個碎片最后一個字符，這兩個碎片被重組之后就變成了GET x.ida?(緩沖區溢出數據)。

　　4、拒絕服務

　　還有一種比較野蠻的方法就是拒絕服務，消耗檢測設備的處理能力，使真正的攻擊逃過檢測。塞滿硬盤空間，使檢測設備無法記錄日志。使檢測設備產生超出其處理能力的報警。使系統管理人員無法研究所有的報警。掛掉檢測設備。對IDS來說，這類IDS無跡可尋，因此非常難以對付。

　　三、網絡隱患掃描系統浮出水面

　　 對付破壞系統企圖的理想方法當然是建立一個完全安全的沒有漏洞的系統，但從實際而言，這根本不可能。美國威斯康星大學的Miller給出一份有關現今流行操作系統和應用程序的研究報告，指出軟件中不可能沒有漏洞和缺陷。

　　 因此，一個實用的方法是，建立比較容易實現的安全系統，同時按照一定的安全策略建立相應的安全輔助系統，漏洞掃描器就是這樣一類系統。就目前系統的安全狀況而言，系統中存在著一定的漏洞，因此也就存在著潛在的安全威脅，但是，如果我們能夠根據具體的應用環境，盡可能早地通過網絡掃描來發現這些漏洞，并及時采取適當的處理措施進行修補，就可以有效地阻止入侵事件的發生。雖然亡羊補牢十分可貴，但是對于"不怕一萬，只怕萬一"的關鍵業務來說，未雨綢繆才是理想境界。

　　 那我們如何選購專業的網絡隱患掃描系統呢？一般來講它必須具備以下幾個標準：

　　1、是否通過國家的各種認證

　　目前國家對安全產品進行認證工作的權威部門包括公安部信息安全產品測評中心、國家信息安全產品測評中心、解放軍安全產品測評中心、國家保密局測評認證中心。

　　2、漏洞數量和升級速度

　　漏洞數量是考查漏洞掃描器的重要指標，最新漏洞的數量、漏洞更新和升級的方法以及升級方法是否能夠被非專業人員掌握，使得漏洞庫升級的頻率顯得更為重要。比如RJ-iTop網絡隱患掃描系統每周一次，漏洞數量達1502之多（截止到2004年7月9日）。

　　3、產品本身的安全性

　　掃描產品運行的操作系統平臺是否安全以及產品本身的抗攻擊性能如何都是用戶應該需要考慮的因素。比如RJ-iTop網絡隱患掃描系統采用軟硬結合、專門優化的linux系統，關閉了不必要的端口和服務，并且傳輸的數據加密。

　　4、是否支持CVE國際標準

　　其目的是給所有已知的漏洞和安全泄露提供一個標準化的命名。給企業提供更好的覆蓋、更容易的協同和加強的安全。

　　5、是否支持分布式掃描

　　產品具有靈活、攜帶方便、穿透防火墻的特性。因為現在不再有沒有劃分VLAN的單一 網絡存在；掃描器發出的數據包有些會被路由器、防火墻過濾，降低掃描的準確性。

　　 在網絡內進行防火墻與IDS的設置，并不意味著我們的網絡就絕對安全，但是設置得當的防火墻和IDS，至少會使我們的網絡更為堅固一些，并且能提供更多的攻擊信息供我們分析。防火墻、防病毒、入侵檢測、漏洞掃描分別屬于PDR和P2DR模型中的防護和檢測環節。這幾種安全技術圍繞安全策略有序地組織在一起，相互協同，相互作用，構成一個動態自適應的防范體系。

　　 最后，要說的依然是那句"世界上沒有一種技術能真正保證絕對的安全。

　　 因為安全問題，是從設備到人、從服務器上的每個服務程序到防火墻、IDS等安全產品的綜合問題。任何一個環節的工作，都只是邁向安全的步驟之一。