25、端口敲门与单包授权：网络安全新策略

端口敲门与单包授权：网络安全新策略

1. 增强防火墙功能

借助 Snort 社区的签名，fwsnort 和 psad 项目能将 iptables 防火墙转变为可检测和响应应用层攻击的系统。本质上，这让 iptables 成为一个基础的入侵预防系统，能够阻止大量攻击与本地系统套接字绑定的进程，或与通过该系统转发流量的远程客户端或服务器进行交互。

2. 改变传统网络安全模型

传统的网络访问和安全模型中，数据包过滤器配置为允许访问网络服务，应用程序的安全性则留给应用程序本身，以及基于签名的入侵检测系统提供的有限帮助。而通过采用 iptables 对一组受保护的服务采取默认丢弃策略，并同时仅允许能够通过被动收集的信息向 iptables 证明其身份的客户端访问，我们可以为任意网络服务增加一层额外的安全保障。

3. 减少攻击面

任何由默认丢弃数据包过滤器保护的服务，除非重新配置数据包过滤器以允许访问，否则从任意潜在客户端的角度来看，基本上是无法访问的。这意味着与这些服务建立的唯一会话是那些已获授权的会话，进而降低了针对这些服务的攻击率和误报率。对于基于 TCP 的服务来说尤其如此，因为如今大多数入侵检测系统都维护着 TCP 会话状态的概念，以过滤掉在未建立 TCP 会话的情况下通过网络伪造的虚假攻击。

例如，一个被此类入侵检测系统监控的伪造攻击不会产生误报，而试图通过已建立的 TCP 会话进行真正攻击的尝试将失败，因为由于默认丢弃数据包过滤器，会话无法建立。因此，端口敲门和单包授权（SPA）减少了对网络服务实施攻击的手段。

4. 零日攻击问题

尽管过去几年在软件安全方面付出了很多