由于种种原因,用 Microsoft Proxy Server 作为访问 Internet 的代理服务器,常常受到外部 各种黑客搜索软件的探测和攻击。由于拥有专线的用户,也常常使用 Microsoft Proxy Server 为内部访问 Internet 提供方便,因此对疏于安全防范的用户来说,遭受的损失将不仅仅是金钱 上的,而且可能给黑客留下攻击的后门,那情况就更糟了。但是不一定非要放弃使用 Proxy Server,而改用昂贵的硬件或软件防火墙。在下面的案例中提供了一种通过结合 Windows 2000 Server 的网络地址转换功能和 Microsoft Proxy Server 的动态包过滤功能,达到内部端口信息的 隐藏和保护。
1.实现方法
通过网络地址转换把内部地址转换成统一的外部地址,避免了使用代理服务所引起的账 号安全问题和代理服务端口被利用的危险。同时为了避免各种代理服务端口探测和其他各种常 用服务端口的探测,如 Web 代理端口 80、8080;21(FTP);80(WWW);25(SMTP);110
(POP3);53(DNS),可以启用 Microsoft Proxy Server 的动态包过滤功能和 IP 分段过滤,达 到端口隐形的效果。为了访问 Internet 和向外提供服务,还需要在 Proxy Server 的过滤列表中 加入许可。
2.案例环境
已知内部网络 10.1.0.0,子网掩码:255.255.255.0。假定 ISP 供应商提供的 IP 地址段为:
192.168.0.9~192.168.0.14,子网掩码:255.255.255.248。假定有一台 Web 服务器(WWW), 地址为 10.1.0.20,其完整域名为:www.target.com,对应解析的 IP 地址为 192.168.0.10,由 ISP 负责其域名解析。另有一台运行 Windows 2000 Server 及 MS Proxy Server 的服务器(Firewall),
在其上装有两块网卡,命名为本地连接 1 和本地连接 2,它们的 IP 地址分别为:10.1.0.1 和 192.168.0.9。
注意:在这两块网卡的 IP 地址分配上,内部接口的 IP 地址应配置为内部网段的第一个 IP 地址,即 10.1.0.1;同理,外部接口的 IP 地址也应为有效地址段的第一个,即 192.168.0.9。路 由器(192.168.0.14)专线接入 Internet。
3.MS Windows 2000 NAT 网络地址转换的实现
(1)路由和远程访问服务。集成在 Windows 2000 Server 的路由和远程访问服务(RRAS)
提供了各种访问和连接 Internet 的能力,如连接远程访问用户、连接远程网络和接入 Internet。
为了使局域网更安全的访问 Internet,RRAS 还提供了网络地址转换的功能,即把内部地址转
换成 ISP 分配的有效 IP 地址,很好地隐藏了内部网络信息和利于访问 Internet。对于需要向外 提供服务的内部主机,也能通过地址的转换,接入 Internet。既能保证服务的正常运行,又能 结合代理服务器的防火墙特性过滤非正常的访问。
在运行 Windows 2000 Server 及 MS Proxy Server 的服务器上,为了保证完全的通过地 址转换访问 Internet,应通过 Internet 服务管理器,停止 Web Proxy、Winsock Proxy、Socks Proxy 的运行。请注意,此时 Proxy Server 的 IP 过滤功能仍然运行,因为相关的后台服务 并未停止。
启动 RRAS 服务的过程为:依次单击“开始”→“程序”→“管理工具”→“路由和远 程访问”命令,在弹出的对话框中右击“服务器”,在此例中为“Firewall(local)”,然后从菜 单中选择“配置并启用路由和访问服务”。出现“RRAS 配置向导”对话框。单击“下一步”
按钮,选择“Internet 连接服务器”,然后单击“下一步”按钮,选择“设置有网络地址转换
(NAT)路由协议的路由器”。单击“下一步”按钮,选择“使用选择的 Internet 连接”,单击
“连接入 Internet 的本地连接 2”,单击“下一步”按钮。然后再单击“下一步”按钮,完成服 务的启动。
(2)网络地址转换的实现。
1)静态路由。启动 RRAS 之后,进入路由和远程访问管理界面,在“IP 路由选择”→“静 态路由”中建立如下路由信息:
0.0.0.0 0.0.0.0 192.168.0.14(路由器地址)interface 本地连接 2 1
2)网络地址转换。为了让内部网络访问 Internet,接下来要完成的任务是使用 RRAS 提供 DHCP 服务,自动为内部主机分配 IP 地址。如果已经安装了 DHCP 服务可以不用此项设置。
内部主机的默认网关均设为服务器防火墙的内部接口地址,此例中为本地连接 10.1.0.1,DNS 服务器地址设为 ISP 的 DNS 服务器地址即可。同时还需要设置 DHCP 分配的排除地址,这些 地址是为向外提供服务的主机保留,因为这些主机需要静态的 IP 地址。
设置过程为:启动 RRAS 之后,进入路由和远程访问管理界面,在“IP 路由选择”→“网 络地址转换”中右击,从弹出的快捷菜单中选择“属性”选项,单击地址分配一栏,设置地址 范围为:10.1.0.0,子网掩码为:255.255.255.0,排除地址为:10.1.0.20,10.1.0.1。
3)地址和特殊端口。最后要使外部网络能够访问内部提供服务的主机和使内部访问 Internet,还须配置下列信息:配置 IP 地址的范围,建立保留 IP 地址条目,配置服务端口的重 定向,如表 3.2 所示。
表 3.2 地址和特殊端口配置
配置 IP 地址池的范围 192.168.0.9 255.255.255.252 192.168.0.10 建立保留 IP 地址条目 192.168.0.10 10.1.0.20 允许传入会话 配置服务端口的重定向 192.168.0.10 公用端口号 80 10.1.0.20
在这里,地址转换只使用了有效 IP 地址段中的 192.168.0.9,192.168.0.10 两个地址。设置 过程为:启动 RRAS 后,进入路由和远程访问管理界面,在“IP 路由选择”→“网络地址转 换”的右边栏目中,选中本地连接 2 右击,从弹出的快捷菜单中选择“属性”选项,分别在地 址和特殊端口进行配置。
4)IP 地址欺骗过滤。为防止外部和内部网络的 IP 地址欺骗,需要对此接口进行过滤,
同样是在 RRAS 中完成配置。
内部地址欺骗过滤:建立外部接口,对谎称为内部地址的 IP 包进行过滤。
进入“IP 路由选择”→“常规”一栏,在右边栏目中选取本地连接 2 右击,从弹出的快 捷菜单中选择“属性”选项,进入输入过滤器,配置接口过滤掉来自外部的内部地址访问,如 表 3.3 所示。
表 3.3 内部地址欺骗过滤配置
源地址 源掩码 目标地址 目标掩码 协议 源端口 目标端口
10.1.0.0 255.255.0.0 任何 任何 任何 任何 任何 外部地址欺骗过滤:建立内部接口,对谎称为外部有效地址的 IP 包过滤。
同上,只不过选择的是内部接口——本地连接,如表 3.4 所示。
表 3.4 外部地址欺骗过滤配置
源地址 源掩码 目标地址 目标掩码 协议 源端口 目标端口
192.168.0.0 255.255.255.248 任何 任何 任何 任何 任何 4.MS Proxy Server 动态包过滤和反向代理
Proxy Server 功能的配置界面如图 3.15 所示。
图 3.15 Proxy Server 功能的配置界面
下面对由包过滤产生的记录文件和此例所使用的过滤规则作列表说明。
(1)MS Proxy Server 动态过滤记录文件的详细说明。分析 MS Proxy Server 动态过滤产 生的记录文件有助于发现新的问题和及时补漏,此类文件默认在 Winnt\system32\msplogs 目录 下,文件名一般为 Pfyymmdd 形式。
2001-2-7,14:55:45,202.112.139.116 ,202.96.215.61, Tcp,1819 ,8080, SYN,0 , 202.96.215.51,-,-,
下面是对文件中一条记录条目的说明,如表 3.5 所示。
表 3.5 一条记录条目的说明
日期 时间 源地址 目标地址 协议 远端口 目标端口 Tcp 标志
2001-2-7 14:55:45 202.112.139.116 202.96.215.61 Tcp 1819 8080 SYN 过滤 接口 保留字段(Tcp Flags)
(2)MS Proxy Server 动态包过滤的实现。在 MS Proxy Server 的过滤列表中建立此例中 的过滤规则(许可通行的访问和连接),如表 3.6 所示。
表 3.6 动态包过滤规则
Number
(序号)
Direction
(进出方向)
Protocol
(协议)
Local port
(本地端口)
Remote port
(远程端口)
Local address
(本地地址)
Remote address
(远端地址)
在此例中,因为地址转换只是用了有效 IP 地址段中的 192.168.0.9 和 192.168.0.10,其中 192.168.0.10 用于 Web 的访问,所以所有访问 Internet 的内部地址都转换成了 192.168.0.9(本 地接口 2),从而在过滤表中就建立了允许通过 Default 外部接口访问 Internet Web 服务的规则
(表中 7,9 行);对外的访问还允许了 DNS 域名查询(第 10 行);第 5 行允许外部访问内部 Web 主机,这里,首先访问到的是地址 192.168.0.10,然后通过地址转换把访问指向 10.1.0.20;
第 6 行和第 8 行需配置,否则可能地址转换无法成功;第 1、2、3、4 行允许了内部对外部地
址的探测,同时又禁止向内的 ICMP 响应探测;未在列表中的所有访问均被拦截,这样由 SMB 共享产生的 139 端口连接探测、代理端口 8080 或 80 的探测均被阻截。