超越防火墙

在前文中，我们提到了网络攻击者获得路由器或交换机的管理访问权限的灾难性后果。而如果攻击者获得防火墙管理权限，后果将更加严重。对于任何企业网络而言，防火墙都是主要的防御机制，如果攻击者获取了关闭防火墙的权限或者甚至能够操纵它允许某些流量，结果可能是毁灭性的。

例如，假设子网200.1.1.1/24被视为恶意，安全管理员尽职尽责地配置了访问控制列表（ ACL）来阻止所有入站和出站流量到该子网。如果攻击者成功获得防火墙管理访问权限，他们就可以对授权的网络流量“肆意妄为”，当然还可以制造各种恶意流量和系统请求。

人为因素

各种防火墙供应商会不定期地发布已知漏洞，而这些漏洞可能有或者没有修复补丁。例如，思科Security Advisories、Response和Notices网站提供了一个方便的数据库，让最终用户了解所有思科产品（包括防火墙）的最新安全问题。笔者发现思科通常会充分地披露已知漏洞，也会发布修复补丁。这在很大程度上是因为思科投资了大量资金来研究其产品的安全性。

总之，如果企业部署了思科基础设施，实在是没有理由不保持更新最新漏洞知识。很多企业没有专门的人员来监控最新发布的补丁或者漏洞，这在很大程度上是因为他们依赖于思科和其他供应商来即时让他们了解安全问题。不用说，这种做法存在严重问题，但这仍不失为系统管理员可选择的一种方法。因此，负责管理企业防火墙基础设施的人员必须尽一切努力来了解最新修复补丁、漏洞监控和其他可能产生的问题。

防止路由器、交换机和防火墙被攻击

那么，我们应该如何防止企业网络通过路由器、交换机或防火墙受到攻击呢？在前面的第一个例子中，定期的审计是个不错的方法。从Backtrack开始，利用该平台内丰富的工具。请确保在必要时进行更新，并确保出厂默认密码完全清除。大家都知道思科的默认用户名和默认密码都是cisco。

对于BGP漏洞：最有效的做法是在ISP级别解决问题。很多研究涉及利用自治系统之间的公钥基础设施（PKI），也是在ISP层面。而在网络层面，最好的做法当然是监视入站数据包的路由，并搜索其中的任何异常情况。例如，是否有数据包似乎是来自于你的ISP没有从其接收路由的自治系统？这可能需要系统管理员和ISP人员一致的对话。

另外，笔者很喜欢将企业路由器放在配置良好的防火墙后面的做法，但随后应该通过紧密执行的ACL来配置路由器，这样一来，负担就不完全在防火墙上。

在避免防火墙遭受攻击的最佳做法方面，企业应着重考虑在默认情况下阻止所有入站和出站流量，并鼓励最终用户解释为什么某些流量应通过防火墙。此外，严格控制谁拥有防火墙的带外管理访问权限，以及每个管理员允许从哪里访问管理功能。换句话说，某些人可能被授予防火墙访问管理权限，但从操作安全性来看，他们只能从LAN内访问管理资源，而不是从其居住地或者国外访问它们。最后，对你现有的防火墙基础设施进行监控、研究和保持最新更新、补丁和安全漏洞。

牢记上述建议，安全管理员必须谨慎配置路由器和交换机，不仅需要确保严格的控制，还需要保证其性能不会受到影响。如果不这样做，可能意味着你从幸存者沦为受害者。

请阅读路由器、交换机及防火墙漏洞的发现和防止（一）