網(wǎng)絡(luò)防火墻技術(shù)
什么是防火墻
防火墻定義:防火墻就是一個位于計算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件 。該計算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。
防火墻的功能:防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描。這使之能夠過濾掉一些攻擊,以免其在目標(biāo)計算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信,檢測病毒入侵。最后,它可以禁止來自特殊站點(diǎn)的訪問,從而防止來自不明入侵者的所有通信。
為什么使用防火墻:防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)計算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別。高級別的保護(hù)可能會禁止一些服務(wù),如視頻流等,但至少這是你自己的保護(hù)選擇。
防火墻的類型:防火墻有不同類型。一個防火墻可以是硬件自身的一部分,你可以將因特網(wǎng)連接和計算機(jī)都插入其中。防火墻也可以在一個獨(dú)立的機(jī)器上運(yùn)行。該機(jī)器作為它背后網(wǎng)絡(luò)中所有計算機(jī)的代理和防火墻。最后,直接連在因特網(wǎng)的機(jī)器可以使用個人防火墻。
防火墻定義:防火墻就是一個位于計算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件 。該計算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。
防火墻的功能:防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描。這使之能夠過濾掉一些攻擊,以免其在目標(biāo)計算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信,檢測病毒入侵。最后,它可以禁止來自特殊站點(diǎn)的訪問,從而防止來自不明入侵者的所有通信。
為什么使用防火墻:防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)計算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別。高級別的保護(hù)可能會禁止一些服務(wù),如視頻流等,但至少這是你自己的保護(hù)選擇。
防火墻的類型:防火墻有不同類型。一個防火墻可以是硬件自身的一部分,你可以將因特網(wǎng)連接和計算機(jī)都插入其中。防火墻也可以在一個獨(dú)立的機(jī)器上運(yùn)行。該機(jī)器作為它背后網(wǎng)絡(luò)中所有計算機(jī)的代理和防火墻。最后,直接連在因特網(wǎng)的機(jī)器可以使用個人防火墻。
防火墻的種類
1. 數(shù)據(jù)包過濾
數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯,被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻邏輯簡單,價格便宜,易于安裝和使用,網(wǎng)絡(luò)性能和透明性好,它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備,因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。
數(shù)據(jù)包過濾防火墻的缺點(diǎn)有二:一是非法訪問一旦突破防火墻,即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊;二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部,很有可能被竊聽或假冒。
2. 應(yīng)用級網(wǎng)關(guān)
應(yīng)用級網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯,并在過濾的同時,對數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計,形成報告。實際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。
數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個共同的特點(diǎn),就是它們僅僅依靠 特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯,則防火墻內(nèi)外的計算機(jī)系統(tǒng)建立直接聯(lián)系,防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài),這有利于實施非法訪問和攻擊。
3. 代理服務(wù)
代理服務(wù)(Proxy Service)也稱鏈路級網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù),其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機(jī)系統(tǒng)間應(yīng)用層的" 鏈接",由兩個終止代理服務(wù)器上的" 鏈接"來實現(xiàn),外部計算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器,從而起到了隔離防火墻內(nèi)外計算機(jī)系統(tǒng)的作用。此外,代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記,形成報告,同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報,并保留攻擊痕跡。
典型的防火墻應(yīng)包含如下模塊中的一個或多個:包過濾路由器、應(yīng)用層網(wǎng)關(guān)(或代理服務(wù)器)以及鏈路層網(wǎng)關(guān)。
1. 包過濾路由器
包過濾路由器將對每一個接收到的包進(jìn)行允許/拒絕的決定。具體地,它對每一個數(shù)據(jù)報的包頭,按照包過濾規(guī)則進(jìn)行判定,與規(guī)則相匹配的包依據(jù)路由表信息繼續(xù)轉(zhuǎn)發(fā),否則,則丟棄之。
與服務(wù)相關(guān)的過濾,是指基于特定的服務(wù)進(jìn)行包過濾,由于絕大多數(shù)服務(wù)的監(jiān)聽都駐留在特定TCP UDP端口,因此,阻塞所有進(jìn)入特定服務(wù)的連接,路由器只需將所有包含特定TCP/UDP目標(biāo)端口的包丟棄即可。
獨(dú)立于服務(wù)的過濾,有些類型的攻擊是與服務(wù)無關(guān)的,比如:帶有欺騙性的源IP地址攻擊(包中包含一個錯誤的內(nèi)部系統(tǒng)源IP地址,經(jīng)掩飾后變成一個似乎來自于一個可以信任的內(nèi)部主機(jī),此時的過濾規(guī)則為:當(dāng)一個具有內(nèi)部源IP地址的包到達(dá)路由器的任意一個外部接口時,將此包丟棄。)、源路由攻擊、細(xì)小碎片攻擊(入侵者使用IP分裂技術(shù)將包劃分成很小的一些碎片,然后將TCP頭的信息插入包的一個小碎片中,寄希望過濾規(guī)則為丟棄協(xié)議類型為TCP而IP幀偏移量為1的所有包)等。由此可見此類網(wǎng)上攻擊僅僅借助包頭信息是難以識別的,此時,需要路由器在原過濾規(guī)則的基礎(chǔ)附上另外的條件,這些條件的判別信息可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。
包過濾路由器的優(yōu)點(diǎn),大多數(shù)防火墻配置成無狀態(tài)的包過濾路由器,因而實現(xiàn)包過濾幾乎沒有任何耗費(fèi)。另外,它對用戶和應(yīng)用來說是透明的,每臺主機(jī)無需安裝特定的軟件,使用起來比較方便。
包過濾路由器的局限性在于定義包過濾是個復(fù)雜的工作,網(wǎng)絡(luò)管理員需要對各種因特網(wǎng)服務(wù)、包頭格式以及希望在每一個城找到的特定的值有足夠的了解:面對復(fù)雜的過濾需求,過濾規(guī)則將是一個冗長而復(fù)雜、不易理解和管理的集合,同樣也很難測試規(guī)則的正確性;任何直接通過路由器的包都可能被利用做為發(fā)起一個數(shù)據(jù)驅(qū)動的攻擊;隨著過濾數(shù)目的增加,將降低路由器包的吞吐量,同時耗費(fèi)更多CPU的時間而影響系統(tǒng)的性能;再者IP包過濾難以進(jìn)行行之有效的流量控制,因為它可以許可或拒絕一個特定的服務(wù),但無法理解一個特定服務(wù)的內(nèi)容或數(shù)據(jù)。
2. 應(yīng)用層網(wǎng)關(guān)
應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實施一個較包過濾路由器更為嚴(yán)格的安全策略,為每一個期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼(一個代理服務(wù)),同時,代理代碼也可以配置成支持一個應(yīng)用服務(wù)的某些特定的特性。對應(yīng)用服務(wù)的訪問都是通過訪問相應(yīng)的代理服務(wù)實現(xiàn)的,而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān)(bastion host)。
應(yīng)用層網(wǎng)關(guān)安全性的提高是以購買同關(guān)硬件平臺的費(fèi)用為代價,網(wǎng)關(guān)的配置將降低對用戶的服務(wù)水平,但增加了安全配置上的靈活性。
應(yīng)用層網(wǎng)關(guān)的好處,在于它授予網(wǎng)絡(luò)管理員對每一個服務(wù)的完全控制權(quán),由代理服務(wù)限制了命令集合和哪一臺內(nèi)部主機(jī)支持相應(yīng)的服務(wù)。同時,網(wǎng)絡(luò)管理員對支持哪些服務(wù)可以完全控制。另外,應(yīng)用層網(wǎng)關(guān)支持強(qiáng)的用戶認(rèn)證、提供詳細(xì)的日志信息、以及較包過濾路由器更易于配置和測試的過濾規(guī)則。
當(dāng)然,應(yīng)用層網(wǎng)關(guān)的最大的局限性在于它需要用戶或者改變其性能,或者在需要訪問代理服務(wù)的系統(tǒng)上安裝特殊的軟件。
3. 鏈路層網(wǎng)關(guān)
鏈路層網(wǎng)關(guān)是可由應(yīng)用層網(wǎng)關(guān)實現(xiàn)的特殊功能。它僅僅替代TCP連接而無需執(zhí)行任何附加的包處理和過濾。基于防火墻構(gòu)建安全網(wǎng)絡(luò)的基本原則。
在進(jìn)行防火墻設(shè)計過程中,網(wǎng)絡(luò)管理員應(yīng)考慮的問題為:防火墻的基本準(zhǔn)則:整個企業(yè)網(wǎng)的安全策略;防火墻的財務(wù)費(fèi)用的預(yù)算;以及防火墻的部件或構(gòu)建塊。
1. 防火墻的基本準(zhǔn)則
防火墻可以采取如下兩種之一理念來定義防火墻應(yīng)遵循的準(zhǔn)則:
其一、未經(jīng)說明允可的就是拒絕。防火墻阻塞所有流經(jīng)的信息,每一個服務(wù)請求或應(yīng)用的實現(xiàn)都基于逐項審查的基礎(chǔ)上。這是一個值得推薦的方法,它將創(chuàng)建一個非常安全的環(huán)境。當(dāng)然,該理念的不足在于過于強(qiáng)調(diào)安全而減弱了可用性,限制了用戶可以申請的服務(wù)的數(shù)量。
其二、未說明拒絕的均為許可的。約定防火墻總是傳遞所有的信息,此方式認(rèn)定每一個潛在的危害總是可以基于逐項審查而被杜絕。當(dāng)然,該理念的不足在于它將可用性置于比安全更為重要的地位,增加了保證私有網(wǎng)安全性的難度。
2. 企業(yè)網(wǎng)的安全策略
在一個企業(yè)網(wǎng)中,防火墻應(yīng)該是全局安全策略的一部分,構(gòu)建防火墻時首先要考慮其保護(hù)的范圍。企業(yè)網(wǎng)的安全策略應(yīng)該在細(xì)致的安全分析、全面的風(fēng)險假設(shè)以及商務(wù)需求分析基礎(chǔ)上來制定。
3. 防火墻的費(fèi)用
簡單的包過濾防火墻所需費(fèi)用最少,實際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一個路由器,而包過濾是標(biāo)準(zhǔn)路由器的一個基本特性。對于一臺商用防火墻隨著其復(fù)雜性和被保護(hù)系統(tǒng)數(shù)目的增加,其費(fèi)用也隨之增加。
至于采用自行構(gòu)造防火墻方式,雖然費(fèi)用低一些,但仍需要時間和經(jīng)費(fèi)開發(fā)、配置防火墻系統(tǒng),需要不斷地為管理、總體維護(hù)、軟件更新、安全修補(bǔ)以及一些附帶的操作提供支持。
因而,防火墻的配備是需要相當(dāng)?shù)馁M(fèi)用,如何以最小的費(fèi)用來最大限度地滿足企業(yè)網(wǎng)的安全需求,這將是企業(yè)網(wǎng)決策者應(yīng)該周密考慮的問題。結(jié)束語
當(dāng)然,防火墻本身也有其局限性,即不經(jīng)過防火墻的入侵,防火墻則是無能為力的,如被保護(hù)網(wǎng)絡(luò)中通過SLIP和PPP方式直接與因特網(wǎng)相連的內(nèi)部用戶,則會造成安全隱患。此時,為了保證安全性,防火墻代理服務(wù)器在使用到ISP的 SLIP和PPP連接時,需要附加一些新的權(quán)限條件。同時,硬件方式構(gòu)建的防火墻,如:PIX 520,其不夠靈活的問題也是固化防火墻的共同問題,所以在一個實際的網(wǎng)絡(luò)運(yùn)行環(huán)境中,僅僅依靠防火墻來保證網(wǎng)絡(luò)的安全顯然是不夠,此時,應(yīng)根據(jù)實際需求采取相應(yīng)的安全策略。
