關于冰盾 | 使用條款 | 網站地圖
 
計算機網絡安全之六:防火墻技術
計算機網絡安全之六:防火墻技術
作者:冰盾防火墻 網站:www.85236085.buzz 日期:2014-11-14
 
Internet是一個開放式和共享式網絡,隨著它的發展和普及,給整個社會的發展帶來了巨大的推動作用,也給我們個人生活帶來了便捷和快樂。但是我們也會看到,互聯網上也是病毒與黑客大顯身手的地方,從Internet到企業內網、從個人電腦到可上網的手機平臺,沒有它們不能進行攻擊的地方。每一次網絡的攻擊,都會讓家庭用戶、企業用戶、甚至是運營商頭痛腦賬。
Internet的美妙之處在于你和每個人都能互相連接,Internet的可怕之處在于每個人都能和你互相連接”,在經歷過了一次又一次的網絡攻擊所帶來的危機后,人們已經開始認識到網絡安全的重要性了?,F在任何一個企業組建網絡都會考慮到購買防火墻,且有越來越多的家庭用戶在自己的電腦上甚至寬帶接入端也加上了防火墻,相信不久的將來,我們可以看到在手機上也會出現防火墻。

61   防火墻的基本概念

防火墻是在一個被認為是安全和可信的內部網和一個被認為不那么安全和可信的外部網(如Internet)之間提供的一個由軟件和硬件設備共同組成的安全防御工具。它是不同網絡(安全域)之間的唯一出入口,能根據企業的安全政策控制(允許、拒絕 、 監測)出入網絡的信息流,且本身具有很高的抗攻擊能力,它是提供信息安全服務,實現網絡和信息安全的基礎設施。
了解有關防火墻的最重要的概念就是它實現了一種在網絡之間執行訪問控制策略。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它只允許授權的數據通過,且本身也必須能夠免于滲透,所以它能有效地監控內網和外網之間的任何活動,增強機構內部網絡的安全性。如圖所示。
 
² 防火墻的主要功能
1.   動態包過濾技術。根據所設置的安全規則動態維護通過防火墻的所有通信的狀態(連接),基于連接的過濾;
2.  部署NATNetwork Address Translation,網絡地址變換)。防火墻是部署NAT的理想位置,利用NAT技術,將有限的公有IP地址動態或靜態地與內部的私有IP地址進行映射,用以保護內部網絡并可以緩解互聯網地址空間短缺的問題;
3.  控制不安全的服務。通過設置信任域與不信任域之間數據出入的策略,一個防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。還可以可以定義規則計劃,使得系統在某一時可以自動啟用和關閉策略;
4.  集中的安全保護。通過以防火墻為中心的安全方案配置,一個子網的所有或大部分需要改動的軟件以及附加的安全軟件(如口令、加密、身份認證、審計等)能集中地放在防火墻系統中。這與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟。
5.  加強對網絡系統的訪問控制。一個防火墻的主要功能是對整個網絡的訪問控制。比如防火墻設置內部用戶對外部網絡特殊站點的訪問策略,也可以針對可以屏蔽部分主機的特定服務,使得外部網絡可以訪問該主機的其它服務(如WWW服務),但無法訪問該主機的特定服務(如Telnet服務)。
6.  網絡連接的日志記錄及使用統計。防火墻系統能提供符合規則報文的信息、系統管理信息、系統故障信息的日志記錄。另外, 防火墻系統也能夠對正常的網絡使用情況作出統計。通過對統計結果的分析,可以使得網絡資源到更好的使用。
7.  報警功能。如具有郵件通知功能,可以將系統的告警通過發送郵件通知網絡管理員;

  以上是防火墻所應具備的一些防護特性,當然隨著技術的發展中小企業防火墻的功能會變得越來越豐富;但有再多功能的防火墻如果沒有合理的配置和管理,那么這只是一件IT擺設。

62 防火墻的基本類型

防火墻有很多種形式,有以軟件形式運行在普通計算機之上的,也有以固件形式設計在路由器之中的。但總體來講可分為三大類:分組過濾型防火墻、應用代理型防火墻以及狀態檢測防火墻。細分則還可包括電路中繼型、復合型、及加密路由型號等。

6.2.1 分組過濾型防火墻

分組過濾或包過濾(Packet filtering):通常在路由器上實現,是一種通用、廉價、有效的安全手段,能很大程度地滿足企業的安全要求。
分組過濾作用在網絡層和傳輸層,它根據分組包頭源地址,目的地址和端口號、協議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端,其余數據包則被從數據流中丟棄。下圖是一個Cisco路由器包過濾配置實例:
 
² 分組過濾型防火墻的優點
1.    透明的防火墻系統。設置只須在包過濾路由器上進行,網絡用戶不知道它的存在。
2.     與應用程序無關。因其工作在網絡層和傳輸層,所以無須對客戶機和主機上的應用程序作任何改動,提高網絡的性能。
3.     易于配置。配置簡單。
 
² 分組過濾型防火墻的缺點
1.        有限的信息過濾。只能對網絡層和傳輸層的有限信息進行有過濾。
2.        不能過濾所有的協議。如對UDP、RPC協議不能進行有效的過濾。
3.        缺少審計和報警機制。大多數過濾器中缺少審計和報警機制。
4.        過濾規則不宜過多。隨著過濾規則數目的增加,防火墻本身的性能會受到影響。

6.2.2 應用代理型防火墻

應用代理(Application Proxy:也叫應用網關(Application Gateway,它作用在應用層,其特點是完全"阻隔"了網絡通信流,通過對每種應用服務編制專門的代理程序,實現監視和控制應用層的通信流。實際中的應用網關通常由一臺專用服務器實現。如下圖所示。
 
 
要注意的是,代理服務只有在需要嚴格控制內部與外部主機直接連接的場合才是一個比較有效的機制。而雙宿主主機與包過濾也是具有這種特性的另外兩種機制。如果內、外部主機能夠直接相互通信,那么用戶就沒有必要使用代理服務,在這種情況下,代理服務也不可能起作用。而這種由旁路的拓撲與網絡的信息安全是相悖的
代理服務器并非將用戶的全部網絡服務請求提交給互聯網絡上的真正的服務器,因為服務器能依據安全規則和用戶的請求做出判斷是否代理執行該請求,所以它能控制用戶的請求。有些請求可能會被否決,比如:FTP代理就可能拒絕用戶把文件往遠程主機上送?;蛘咚辉试S用戶將某些特定的外部站點的文件下載。
 
² 幾個需要了解的基本術語:
1.     代理服務。是運行在防火墻主機上的一些特定的應用程序或者服務器程序。其軟件組成為服務器端程序和客戶端程序??蛻舳伺c中間節點連接,中間節點再與要訪問的外部服務器直接連接。代理服務替代了用戶與互聯網絡的連接。對用戶請求的外界服務而言,代理服務相當于一個網關,代理服務有時被稱為應用層網關。
2.     代理服務器。為用戶提供替代連接并且充當服務的網關。代理服務器不允許存在任何網絡內外的直接連接。它本身就提供公共和專用的DNS、郵件服務器等多種功能。代理服務器重寫數據包而不是簡單地將其轉發了事。給人的感覺就是網絡內部的主機都站在了網絡的邊緣,但實際上他們都隱藏在代理的后面,外部網絡只知代理服務器的存在。 
3. 防火墻主機。是指由一個網絡接口聯接互聯網絡而另一個接口聯接內部網絡的雙宿主主機,具有至少兩個網絡接口的通用計算機系統;也可以是一些可以訪問因特網并可被內部主機訪問的堡壘主機,它對互聯網暴露,又是內部網絡用戶的主要連接點。
4.       堡壘主機。多數情況下為雙網卡(雙宿主堡壘主機),分連不同的網絡并將它們完全隔開(單宿主堡壘主機只有一個網卡則不能完全隔開),其經常被配為網關服務,暴露于互聯網上最易受到攻擊。
 
² 應用代理型防火的特點
1.      透明性。代理服務給用戶的假象是其是直接與真正的服務器相連的;而在服務器端代理服務給出的假象是其是直接面對連在代理服務器上的用戶。
2.      在網絡連接建立之前可以對用戶身份進行認證。在代理軟件中可以設置對用戶進行身份驗證,這樣確保只有合法用戶才能對網絡資源進行訪問。
3.      豐富的審記和報警功能。應用代理型防火墻對通過的信息流可以以多種格式進行記錄和保存,并可對特定事件向管理員進行報警。
4.  靈活的安全機制。代理服務可對于不同的主機、用戶及應用程序執行不同的安全規則,而不對所有對象執行同一標準。
 
² 應用代理型防火墻的缺點
1.     對每種類型的服務都需要一個代理。由于對各種類型的服務和應用都需要一個代理,所以有時在服務器端需進行較為復雜的配置。
2.      網絡性能有所下降。同過濾防火相比,服務器的性能和網絡性能有所下降。
3.  客戶應用可能需要修改。由于代理軟件分為服務器端軟件和客戶端軟件,故客戶機需安裝相應軟件或作相應的網絡設置。

6.2.3 狀態檢測防火墻

網關防火墻的一個挑戰就是吞吐量,開發狀態檢測功能是為了讓規則能夠運用到會話發起過程,從而在大為提高安全防范能力的同時也改進了流量處理速度。同時,狀態檢測防火墻也摒棄了包過濾防火墻僅考查數據包的 IP 地址等有限幾個參數,而不關心數據包連接狀態變化的缺點,在防火墻的核心部分建立狀態連接表,并將進出網絡的數據當成一個個的會話,并利用狀態表跟蹤每一個會話狀態,因此提供了完整的對傳輸層的控制能力。由于狀態監測技術采用了一系列優化技術,使防火墻性能大幅度提升,能應用在各類網絡環境中,尤其是在一些規則復雜的大型網絡上。
1993年,Check Point公司成功推出了世界上第一臺商用的狀態檢測防火墻產品之后,很多廠商也相繼進行了開發了,并在90年代中期得到了迅速發展?,F今的防火墻市場,狀態檢測防火墻產品由于其在性能、部署能力和擴展能力方面的優勢已成為市場上的絕對領導者。如今,任何一款高性能的防火墻,都會采用狀態檢測技術。
 2000 年開始,國內的著名防火墻公司,如北京天融信等公司,都開始采用這一最新的體系架構,并在此基礎上,天融信 NGFW4000 創新推出了核檢測技術,在操作系統內核模擬出典型的應用層協議,在內核實現對應用層協議的過濾,在實現安全目標的同時可以得到極高的性能。目前支持的協議有 HTTP/1.0/1.1 、 FTP 、 SMTP 、 POP3 、 MMS 、 H.232 等最新和最常用的應用協議。
 
² 狀態檢測防火墻的工作過程
無論何時,當防火墻接收到一個初始化TCP連接的SYN包,這個帶有SYN的數據包被防火墻的規則庫檢查。該包在規則庫里依次序比較。如果在檢查了所有的規則后,該包都沒有被接受,那么拒絕該次連接,一個RST的數據包發送到遠端的機器。如果該包被接受,那么本次會話被記錄到位于內核模式中的狀態監測表里,這時需要設置一個時間溢出值。隨后的數據包(沒有帶有一個SYN標志)就和該狀態監測表的內容進行比較。如果會話是在狀態表內,而且該數據包是會話的一部分,該數據包被接受。如果不是會話的一部分,該數據包被丟棄。這種方式提高了系統的性能,因為每一個數據包不是和規則庫比較,而是和狀態監測表比較。只有在SYN的數據包到來時才和規則庫比較。所有的數據包與狀態檢測表的比較都在內核模式下進行所以應該很快。
在連接被通訊雙方關閉后,狀態監測表中的連接應該被維護一段時間。當狀態監測模塊監測到一個FIN或一個RST包的時候,減少時間溢出值從缺省設定的值3600秒減少到50秒。如果在這個周期內沒有數據包交換,這個狀態檢測表項將會被刪除,如果有數據包交換,這個周期會被重新設置到50秒。如果繼續通訊,這個連接狀態會被繼續地以50秒的周期維持下去。這種設計方式可以避免一些DOS攻擊,例如,一些人有意地發送一些FINRST包來試圖阻斷這些連接。

63 防火墻的構造體系

由于對更高安全性的要求,如僅僅使用某種單項技術來建立正確完整防火墻是不大可能達到企業所需的安全目標的。在實際的實施方案時,經常要用若干的技術混合的復合型防火墻方可解決面對的各種問題。
在現有防火墻產品和技術中,將包過濾技術和多種應用技術融合到一起,構成復合型防火墻體系統結構是目前國內防火墻產品的一個特點,也是防火墻今后發展的主流技術。
 
復合型防火墻解決方案通常有如下兩種:
l 屏蔽主機防火墻體系結構
l 屏蔽子網防火墻體系結構

6.3.1 屏蔽主機防火墻體系統結構

屏蔽主機防火墻體系統結構由包過濾路由器和堡壘主機構成。其實現了網絡層安全(包過濾)和應用層安全(代理服務)。
對于這種防火墻系統,堡壘主機配置在內部網絡上,而包過濾路由器則放置在內部網絡和Internet之間。在路由器上進行規則配置,使得進出的所有信息必須通過堡壘主機。這種路由允許堡壘主機把外部流量代理到內部網絡前會進行流量分析。
由于內部主機與堡壘主機處于同一個網絡,內部系統是否允許直接訪問Internet,或者是要求使用堡壘主機上的代理服務來訪問Internet由機構的安全策略來決定。
對于這種體系統結構常見的拓樸如下圖所示。在實際的應用中,為了增強安全性,一般堡壘主機應至少有兩個網卡,這樣可以物理的隔離子網。

6.3.2 屏蔽子網防火墻體系統結構

屏蔽子網防火墻體系統結構堡壘機放在一個子網內,形成“非軍事化區(DMZ)”,兩個分組過濾路由器放在這一子網的兩端,使這一子網與Internet及內部網絡分離。在屏蔽子網防火墻體系結構中,堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎。如下圖所示:
這個防火墻系統建立的是最安全的防火墻系統,因為在定義了非軍事區DMZ)網絡后,它支持網絡層和應用層安全功能。網絡管理員將堡壘主機、信息服務器、Modem組、以及其它公用服務器放在DMZ網絡中。
在一般情況下對DMZ配置成使用Internet和內部網絡系統能夠訪問DMZ網絡上數目有限的系統,而通過DMZ網絡直接進行信息傳輸是嚴格禁止的。
 
² 部署屏蔽子網防火墻系統的好處
1.     入侵更加困難。入侵者必須從外向內突破3個不同的設備才能侵襲內部網絡:外部路由器,堡壘主機,還有內部路由器。 如果將內外路由器分別采用不同廠商的路由器,則入侵的難度還會加大。
2.     內外網不能直接通信。由于外部路由器只能向Internet通告DMZ網絡的存在,內部路由器也只向內部網絡通告DMZ網絡的存在,這樣網絡管理員就既可以保證內部對外網是不可見的,同樣也就保證了內部網絡上的用戶必須通過駐留在堡壘主機上的代理服務才能訪問Internet。
3.     更大的吞吐量。內部路由器在作為內部網絡和Internet之間最后的防火墻系統時,能夠支持比雙宿堡壘主機更大的數據包吞吐量。
4.      NAT的理想位置。由于DMZ網絡是一個與內部網絡不同的網絡,NAT(網絡地址變換)可以安裝在堡壘主機上,從而避免在內部網絡上重新編址或重新劃分子網,并且只有在DMZ網絡上選定的系統才對Internet開放(通過NAT的地址映射、路由表和DNS信息交換)。

64 防火墻的訪問規則

6.4.1 防火墻的默認設置

防火墻有以下兩種之一的默認配置:
l  拒絕所有的通信。在這種情況下,內外的通信完全被阻斷,是最安全但也最不適用的形式。
l  允許所有的通信。在這種情況下,內外可以進行無限制的通信,防火墻好象不存在。
對于安全性要求比較高的防火墻,一般采用拒絕所有通信作為默認設置。一旦安裝了防火墻,為了授予防火墻內的用戶訪問他們的被授權的系統,則需要打根據公司的安全策略只打開某些特定的端口以允許特定的內外通信,這就是需要進行相應的訪問規則的配置。

6.4.2防火墻的規則元素

訪問規則定義了允許或拒絕網絡之間的通信的條件。訪問規則中運用的元素是防火墻中可用于創建特定訪問規則的配置對象。
規則元素一般可分為以下五種類型:際工資                   
l  協議。此規則元素包含一些協議,可用于定義要用在訪問規則中的協議。例如,您可能想要創建只允許 HTTP 通信的訪問規則,則在配置時對于協議的選擇則只選用HTTP即可。
l  用戶集。用戶集包含許多單獨的用戶或用戶組。您可以使用 Active Directory 域用戶或用戶組、遠程身份驗證撥入用戶服務 (RADIUS) 服務器組或 SecureID 組等創建用戶集。在規則配置時則可以針對不同的用戶集對網絡資源的訪問分別采用不同的規則進行訪問控制。
l  內容類型。此規則元素提供您可能想要應用規則的公共內容類型。例如,您可以使用內容類型規則元素來阻止包含 .exe  .vbs 擴展名的所有內容下載。
l  計劃。此規則元素允許您指定一個星期內要應用規則的小時時段。如果需要定義只允許在指定的小時時段內訪問 Internet 的訪問規則,則可以創建定義小時時段的計劃規則元素,然后在創建訪問規則時使用該計劃規則元素。
l  網絡對象。此規則元素允許您創建要應用規則的計算機集,或者將不再應用規則的計算機集。您還可以配置 URL 集和域名集,用來允許或拒絕對特定 URL 或域的訪問。

6.4.3 訪問規則的定義

創建訪問規則的步驟是選擇適當的訪問規則元素,然后定義元素之間的關系。如下圖所示。
所有訪問規則具有相同的整體結構,如下表所示。

65 防火墻的限制

防火墻并非萬能,它仍然有許多在網上不能防范的攻擊?,F總結如下:
1.    防火墻無法防范通過防火墻以外的其它途徑的攻擊。例如,在一個被保護的網絡上有一個沒有限制的撥出存在(如通過MODEM撥號),內部網絡上的用戶就可以直接通過SLIPPPP連接進入Internet。這就為從后門攻擊創造了極大的可能。網絡上的用戶們必須了解這種類型的連接對于一個有全面的安全保護系統來說是絕對不允許的。
2.    防火墻也不能防止來自內部變節者和不經心的用戶們帶來的威脅。
3.    也不能防范這樣的攻擊:偽裝成超級用戶或詐稱新雇員的攻擊。
4.    防火墻不能有效地防范像病毒這類東西的入侵。對病毒十分憂慮的機構應當在整個機構范圍內采取病毒控制措施。不要試圖將病毒擋在防火墻之外,而是保證每個脆弱的桌面系統都安裝上病毒掃描軟件,只要一引導計算機就對病毒進行掃描。
5.    最后一點是,防火墻無法防范數據驅動型的攻擊。數據驅動型的攻擊從表面上看是無害的數據被郵寄或拷貝到Internet主機上。但一旦執行就開成攻擊。例如,一個數據型攻擊可能導致主機修改與安全相關的文件,使得入侵者很容易獲得對系統的訪問權。后面我們將會看到,在堡壘主機上部署代理服務器是禁止從外部直接產生網絡連接的最佳方式,并能減少數據驅動型攻擊的威脅。

 

 
最新內容:
安全防范:認識來自傳輸層的DoS攻擊[2014-11-14]
深入淺出實戰攻防惡意PDF文檔(1)[2014-11-14]
多手段分析清理DDOS[2014-11-14]
三招預防DDOS攻擊(圖)[2014-11-14]
CGI拒絕服務攻擊技術淺析[2014-11-14]
黑客術語:你懂黑客在說什么嗎?[2014-11-14]
相關內容:
崇州断勾卡麻将技巧 三国麻将馆 双码是什么生肖 河北快三玩法大小 陕西麻将 多赢娱乐棋牌游戏平台 蓝洞棋牌辅助 平特一尾公式 福建31选7附加 管家婆看图中一肖一特 捕鸟达人手机版 三国棋牌下载 国标麻将与大众麻将的区别 开心四人斗地主安卓版 安徽快三开奖现场直播 福建十一选五前三组走势图 11月24日国王vs快船

合作伙伴: 黑基網 補天科技 威盾科技 站長下載 新飛金信 北京電信 ZOL應用下載
中華人民共和國增值電信業務經營許可證京ICP備14024464 公安備案號 京1081234 
版權所有©2003-2014 冰盾防火墻  www.85236085.buzz 法律聲明
總機:(010)51661195
三国麻将馆 双码是什么生肖 河北快三玩法大小 陕西麻将 多赢娱乐棋牌游戏平台 蓝洞棋牌辅助 平特一尾公式 福建31选7附加 管家婆看图中一肖一特 捕鸟达人手机版 三国棋牌下载 国标麻将与大众麻将的区别 开心四人斗地主安卓版 安徽快三开奖现场直播 福建十一选五前三组走势图 11月24日国王vs快船