一、防火墻概念
Internet的迅速發展提供了發布信息和檢索信息的場所,但也帶來了信息污染和信息破壞的危險, 人們為了保護其數據和資源的安全,部署了防火墻。 防火墻 本質上是一種保護裝置,它保護數據、資源和用戶的聲譽。
防火墻原是設計用來防止火災從建筑物的一部分傳播到另一部分的設施。從理論上講,Internet防火墻服務也有類似目的,它防止Internet(或外部網絡)上的危險(病毒、資源盜用等)傳播到網絡內部。Internet(或外部網絡)防火墻服務于多個目的:
1、限制人們從一個特別的控制點進入;
2、防止入侵者接近你的其它防御設施;
3、限定人們從一個特別的點離開;
4、有效地阻止破壞者對你的計算機系統進行破壞。
防火墻常常被安裝在內部網絡連接到因特網(或外部網絡)的節點上
(一)防火墻的優點
1、防火墻能夠強化安全策略
因為網絡上每天都有上百萬人在收集信息、交換信息,不可避免地會出現個別品德不良,或違反規則的人,防火墻就是為了防止不良現象發生的“交通警察”,它執行站點的安全策略,僅僅容許“認可的”和符合規則的請求通過。
2、防火墻能有效地記錄網絡上的活動
因為所有進出信息都必須通過防火墻,所以防火墻非常適用于收集關于系統和網絡使用和誤用的信息。作為訪問的唯一點,防火墻能在被保護的網絡和外部網絡之間進行記錄。
3、防火墻限制暴露用戶點
防火墻能夠用來隔開網絡中的兩個網段,這樣就能夠防止影響一個網段的信息通過整個網絡進行傳播。
4、防火墻是一個安全策略的檢查站
所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕于門外。
(二)防火墻的不足
防火墻的缺點主要表現在以下幾個方面。
1、不能防范惡意的知情者
防火墻可以禁止系統用戶經過網絡連接發送專有的信息,但用戶可以將數據復制到磁盤、磁帶上,放在公文包中帶出去。如果入侵者已經在防火墻內部,防火墻是無能為力的。內部用戶可以偷竊數據,破壞硬件和軟件,并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅,只能要求加強內部管理,如主機安全和用戶教育等。
2、不能防范不通過它的連接
防火墻能夠有效地防止通過它的傳輸信息,然而它卻不能防止不通過它而傳輸的信息。例如,如果站點允許對防火墻后面的內部系統進行撥號訪問,那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。
3、不能防備全部的威脅
防火墻被用來防備已知的威脅,如果是一個很好的防火墻設計方案,就可以防備新的威脅,但沒有一扇防火墻能自動防御所有新的威脅。
4、防火墻不能防范病毒
防火墻一般不能消除網絡上的病毒。
二、防火墻技術
一提到網絡安全人們首先想到的是防火墻。防火墻系統針對的是來自系統外部的攻擊,一旦外部入侵者進入了系統,他們便不受任何阻擋。認證手段也與此類似,一旦入侵者騙過了認證系統,便成為了內部人員。
防火墻的基本類型有:包過濾型、代理服務型和狀態包過濾型復合型。
(一)包過濾型防火墻
包過濾(Packet Filter)通常安裝在路由器上,并且大多數商用路由器都提供了包過濾的功能。包過濾是一種保安機制,它控制哪些數據包可以進出網絡而哪些數據包應被網絡所拒絕。
網絡中的應用雖然很多,但其最終的傳輸單位都是以數據包的形式出現,這種做法主要是因為網絡要為多個系統提供共享服務。例如,文件傳輸時,必須將文件分割為小的數據包,每個數據包單獨傳輸。每個數據包中除了包含所要傳輸的數據(內容),還包括源地址、目標地址等。
數據包是通過互聯網絡中的路由器,從源網絡到達目的網絡的。路由器接收到的數據包就知道了該包要去往何處,然后路由器查詢自身的路由表,若有去往目的的路由,則將該包發送到下一個路由器或直接發往下一個網段;否則,將該包丟掉。與路由器不同的是,包過濾防火墻,除了判斷是否有到達目的網段的路由之外,還要根據一組包過濾規則決定是否將包轉發出去。
1、工作機制
包過濾技術可以允許或禁止某些包在網絡上傳遞,它依據的是以下的判斷:
對包的目的地址作出判斷
對包的源地址作出判斷
對包的傳送協議(端口號)作出判斷
一般地,在進行包過濾判斷時不關心包的具體內容。包過濾只能讓我們進行類似以下情況的操作,比如:不讓任何工作站從外部網用Telnet登錄、允許任何工作站使用SMTP往內部網發電子郵件。
但包過濾不能允許我們進行如下的操作,如:允許用戶使用FTP,同時還限制用戶只可讀取文件不可寫入文件、允許某個用戶使用Telnet登錄而不允許其他用戶進行這種操作。
包過濾系統處于網絡的IP層和TCP層,而不是應用層,所以它無法在應用層的具體操作進行任何過濾。以FTP為例,FTP文件傳輸協議應用中包含許多具體的操作,如讀取操作、寫入操作、刪除操作等。再有,包過濾系統不能識別數據包中的用戶信息。
2、性能特點
因為包過濾防火墻工作在IP和TCP層,所以處理包的速度要比代理服務型防火墻快
提供透明的服務,用戶不用改變客戶端程序
因為只涉及到TCP層,所以與代理服務型防火墻相比,它提供的安全級別很低
不支持用戶認證,包中只有來自哪臺機器的信息卻不包含來自哪個用戶的信息
不提供日志功能
包過濾防火墻的典型代表是早期的CISCO PIX防火墻。
(二)代理服務型防火墻
代理服務(Proxy Service)系統一般安裝并運行在雙宿主機上。雙宿主機是一個被取消路由功能的主機,與雙宿主機相連的外部網絡與內部網絡之間在網絡層是被斷開的。這樣做的目的是使外部網絡無法了解內部網絡的拓撲。這與包過濾防火墻明顯不同,就邏輯拓撲而言,代理服務型防火墻要比包過濾型更安全。
由于內部網絡和外部網絡在網絡層是斷開的,所以要實現內外網絡之間的應用通訊就必須在網絡層之上。代理系統是工作在應用層,代理系統是客戶機和真實服務器之間的中介,代理系統完全控制客戶機和真實服務器之間的流量,并對流量情況加以記錄。目前,代理服務型防火墻產品一般還都包括有包過濾功能。
1、工作機制
代理服務型防火墻按如下標準步驟對接收的數據包進行處理:
接收數據包
檢查源地址和目標地址
檢查請求類型
調用相應的程序
對請求進行處理
下面,我們以一個外部網絡的用戶通過Telnet訪問內部網絡中的主機為例,詳細介紹這些標準步驟。
接收數據包
外部網絡的路由器將外部網絡主機對內部網絡資源的請求路由至防火墻的外部網卡。同樣,內部網絡中的主機通過內部網絡中的路由選擇信息將對外部網絡資源的請求路由至防火墻的內部網卡。
在本例中,當外部網絡用戶通過Telnet請求對內部網絡中的主機進行訪問時,路由信息將該請求傳送至防火墻的外部網卡上。
檢查源地址和目標地址
一旦防火墻接收到數據包,它必須確定如何處理該數據包。首先,防火墻檢查數據包中的源地址并確定該包是由哪塊網卡接收的。這樣做是為了確定數據包是否有IP地址欺騙的行為,例如,如果發現從外部網卡接收的一個數據包中的源地址屬于內部網絡的地址范圍,則表明這是地址欺騙行為,防火墻將拒絕繼續對該包進行處理并將此事件記錄到日志中。
接下來,防火墻對包中的目標地址進行檢查并確定是否需要對該包做進一步處理。這一點與包過濾類似,即檢查是否允許對目標地址進行訪問。
本例中,Telnet的目標地址是內部網絡的某臺主機,防火墻是通過外部網卡收到該Telnet請求的,且發現請求包中沒有地址欺騙行為,防火墻接收了該數據包。
檢查請求類型
防火墻檢查數據包的內容(請求的服務端口號)并對照防火墻中已配置好的各種規則,以便確定是否向數據包提供相應的服務。如果防火墻對所請求的端口號不提供服務,則將這一企圖作為潛在的威脅記錄下來并拒絕該請求。
本例中,數據包的內容表明請求服務是Telnet,即請求端口號為23且防火墻的配置規則是支持這類請求的服務。
調用相應的程序
由于防火墻對所請求的服務提供支持,所以防火墻利用其他配置信息將該服務請求傳送至相應的代理服務。
本例中,防火墻將Telnet請求傳送給Telnet代理進行處理。
對請求進行處理
現在代理服務以目的主機的身份并采用與應用請求相同的協議對請求進行響應。應用請求方認為它是與目標主機進行對話。
然后,代理服務通過另一塊網卡以自己真實的身份代替客戶方,向目標主機發送應用請求。如果應用請求成功,則表明客戶端至目標主機之間的應用連接成功地建立了。注意,與包過濾防火墻不同,代理服務型防火墻是通過兩次連接實現客戶機至目標主機之間的連接的,即客戶機至防火墻、防火墻至目標主機。
另外,通過對防火墻進行適當的配置,可以在防火墻替客戶機向目標主機發送應用請求之前對客戶方進行身份驗證。驗證方法包括SecureID、S/Key、RADIUS等。
本例中,客戶方現與防火墻建立Telnet連接,然后防火墻立即向客戶方發出身份驗證要求。若驗證通過,則防火墻替客戶方向目標主機發送應用請求;否則,防火墻斷開它與客戶方已建立的連接。
2、性能特點
提供的安全級別高于包過濾型防火墻
代理服務型防火墻可以配置成唯一的可被外部看見的主機以保護內部主機免受外部攻擊
可以強制執行用戶認證
代理工作在客戶機和真實服務器之間,完全控制會話,所以能提供較詳細的審計日志
代理的速度比包過濾慢
代理服務型防火墻中的佼佼者AXENT Raptor完全是基于代理技術的軟件防火墻。
隨著因特網絡技術的發展,不論在速度上還是在安全上都要求防火墻技術也要更新發展,基于上下文的動態包過濾防火墻就是對傳統的包過濾型和代理服務型防火墻進行了技術更新.
(三)狀態包過濾型防火墻
為了克服包過濾模式明顯的安全性不足的問題, 一些包過濾型防火墻廠商推出了狀態包過濾的概念。在包過濾技術的基礎上,通過基于上下文的動態包過濾模塊檢查,增強了安全性檢查。<iframe align="right" marginwidth="0" marginheight="0" src="http://images.chinabyte.com/adjs/iframe-pip/y-software-pip.html" frameborder="0" width="360" scrolling="no" height="300"></iframe>它不再只是分別對每個進來的包簡單地就地址進行檢查,動態包過濾型防火墻在網絡層截獲進來的包,直到足夠的數量,以便能夠確定此試圖連接的有關“狀態”。然后用防火墻系統內核中“專用的檢查模塊”對這些包進行檢查。安全決策所需的相關狀態信息經過這個“專用的檢查模塊”檢查之后,記錄在動態狀態表中,以便對其后的數據包通訊進行安全評估。經過檢查的包穿過防火墻,在內部與外部系統之間建立直接的聯系。
盡管基于上下文的狀態包過濾檢查的方法明顯地提高了安全性,但它仍然無法與應用層代理防火墻相比。動態包過濾防火墻的典型代表是CHECKPOINT FIREWAL-1防火墻。下圖顯示的是基于上下文的動態包過濾防火墻的邏輯結構。
三、安全需求分析
TCP/IP的靈活設計和Internet的普遍應用為網絡 黑客技術 的發展提供了基礎, 黑客 技術很容易被別有用心或喜歡炫耀的人們掌握,由此黑客數量劇增。加之網絡連接點多面廣,客觀上為黑客的入侵提供了較多的切入點。企業計算機網絡中內部網上的信息有許多是屬于機密數據,一旦被不懷好意的黑客竊取或被競爭對手得到,都將帶來難以估量的損失。為了使信息系統在保障安全的基礎上被正常訪問,需要一定的設備來對系統實施保護,保證只有合法的用戶才可以訪問系統。就目前看,能夠實現這種需求的性能價格比最優的設備就是防火墻。
本著經濟、高效的原則,有必要將內部網和外部不信任網絡、內部網絡中主要的應用服務器和內部其它網段用防火墻隔離保護,以實現對內部網以及主機系統的訪問控制和邊界安全的集中管理。
四、防火墻方案具體實現
(一)產品選型原則
在進行防火墻產品選型時,除了必須遵循網絡安全體系設計原則外,還要求防火墻至少應包含以下功能:
1、訪問控制:通過對特定網段和特定服務建立的訪問控制體系,將絕大多數攻擊阻止在到達攻擊目標之前;
2、攻擊監控:通過對特定網段、服務建立的攻擊監控體系,可實時地檢測出絕大多數攻擊,并采取相應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等);
3、 加密 通訊:主動的加密通訊,可使攻擊者不能了解、修改敏感信息;
4、身份認證:良好的認證體系可防止攻擊者假冒合法用戶;
5、多層防御:攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標;
6、隱藏內部信息:使攻擊者不能了解系統內的基本情況;
7、安全監控中心:為信息系統提供安全體系管理、監控,保護及緊急情況服務。
在實際的網絡中,保障網絡安全與提供高效靈活的網絡服務是矛盾的。從網絡服務的可用性、靈活性和網絡性能考慮,網絡結構和技術實現應該盡可能簡捷,不引入額外的控制因素和資源開銷。但從網絡安全保障考慮,則要求對網絡系統提供服務的種類、時間、對象、地點甚至內容有盡可能多的了解和控制能力,實現這樣附加的安全功能不可避免地要耗費有限的網絡資源或限制網絡資源的使用,從而對網絡系統的性能、服務的使用方式和范圍產生顯著影響。此外,保障網絡安全常常還涉及到額外的硬件、軟件投入及網絡運行管理中的額外投入,由此可見,保障網絡的安全是有代價的。對安全性的追求可以是無限的,但費用也會隨之增長。以防火墻建立一套安全系統,可充分兼顧以下因素:
1、安全性與方便
一般來說,網絡使用的方便性會因采用了網絡安全措施而降低。防火墻無論從安裝、配置到策略調整都在同一個GUI界面下完成,管理十分方便快捷,網絡管理員的額外工作強度很小。此外,防火墻內外網卡透明設置也極大地方便了內部用戶,內部工作站(包括服務器)不必增加任何額外的配置。
2、安全性與性能
對網絡來說,安全措施是靠網絡資源來完成的,它或者是占用主機CPU和內存,或者是占用網絡帶寬,或者是增加信息處理的過程,所有這些都可以導致整體性能降低防火墻擁有獨特的狀態包過濾技術,在安全性和速度之間可以自動找到理想的平衡點。
3、安全性與成本
采用網絡安全措施或建立網絡安全系統都會增加額外的成本,這里包括購買硬件、軟件的花費,系統設計和實施費用,管理和維護安全系統的費用。
(二)防火墻具體實現
1、部署邊界防火墻
設置邊界防火墻的正確位置應該在內部網絡與外部網絡之間。防火墻設置在此位置上,防火墻的內外網卡分屬于內部和外部網段。內部網絡和外部網絡被完全隔離開,所有來自外部網絡的服務請求只能到達防火墻,防火墻對收到的數據包進行分析后將合法的請求傳送給相應的服務主機,對于非法訪問加以拒絕。內部網絡的情況對于外部網絡的用戶來說是完全不可見的。由于防火墻是內部網絡和外部網絡的唯一通訊信道,因此防火墻可以對所有針對內部網絡的訪問進行詳細的記錄,形成完整的日志文件。防火墻要保護的網絡與外部網絡應該只有唯一的連接通路,如果防火墻后還有其它通路,防火墻將被短路,無法完成保護內部網絡的工作。如果內部網絡有多個外部連接,就應該在每個入口處都放置防火墻。
設置邊界防火墻,我們可以有效的防范來自外部網絡的攻擊。設置防火墻后內部網與外部網進行了有效的隔離,所有來自外部網絡的訪問請求都要通過防火墻的檢查,安全有了很大的提高。
邊界防火墻可以完成以下具體任務:
通過源地址過濾,拒絕外部非法IP地址,有效的避免了外部網絡上與業務無關的主機的越權訪問防火墻可以只保留有用的服務,將其他不需要的服務關閉,可將系統受攻擊的可能性降低到最小限度,使黑客無機可乘邊界防火墻可以制定訪問策略,只有被授權的外部主機可以訪問內部網絡的有限的IP地址,保證外部網絡只能訪問內部網絡中必要的資源,與業務無關的操作將被拒絕由于外部網絡對DMZ區主機的所有訪問都要經過防火墻,防火墻可以全面監視外部網絡對內部網絡的訪問活動,并進行詳細的記錄,通過分析可以得出可疑的攻擊行為對于遠程登錄的用戶,如telnet等,防火墻利用加強的認證功能,可以有效的防止非法入侵安裝了邊界防火墻后,網絡的安全策略由防火墻集中管理,因此黑客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權限的目的邊界防火墻可以進行地址轉換工作,外部網絡不能看到內部網絡的結構,使黑客攻擊失去目標以上的內容充分說明,企業的計算機網絡安裝了邊界防火墻后,可以實現內部網絡與外部網絡的有效隔離,防止來自外部網絡的非法攻擊。同時,保證了DMZ區服務器的相對安全性和使用便利性。
2、部署內部防火墻
企業的計算機網絡是一個多層次、多節點、多業務的網絡,各節點間的信任程度較低,但由于業務的需要,各節點和服務器群之間又要頻繁的交換數據。通過在服務器群的入口處設置內部防火墻,可以制定完善的安全策略,有效的控制內部網絡的訪問,具體可以實現以下功能:
內部防火墻可以精確制定每個用戶的訪問權限,保證內部網絡用戶只能訪問必要的資源對于撥號備份線路的連接,通過強大的認證功能,實現對遠程用戶的管理內部防火墻可以記錄網段間的訪問信息,及時發現誤操作和來自內部網絡其他網段的攻擊行為防火墻通過安全策略的集中管理,每個網段上的主機不必再單獨設立安全策略,降低人為因素導致的網絡安全問題。
綜上所述,企業計算機網絡中設置防火墻后,一方面可以有效地防范來自外部網絡的攻擊行為,另一方面可以為內部網絡制定完善的安全訪問策略,從而使得整個企業網絡具有較高的安全級別。
五、防火墻方案特點
一個優秀的網絡安全保障系統必須建立在對網絡安全需求與環境的客觀分析評估基礎上,在網絡的應用性能及價格和安全保障需求之間確定一個“最佳平衡點”,使得網絡安全保障引入的額外開銷與它所帶來的效益相當。根據企業計算機網絡的具體特點,我們建議采用的防火墻安全系統具有以下幾個特點:
1、設備費用比較低廉
這主要包括,無須購入成套的安全設備,主要利用軟件而非硬件來實現安全,比如說軟件型的防火墻,使用費用比較低廉的共享版本或者免費版本的軟件。
2、人員費用相對較低
無須聘請國外專業的安全公司來參與企業內部網的建設,但是可以聘請一到兩個對于安全規劃和實施較有經驗的國內專業安全公司定企業內部網的規劃,同時系統的安全性維護主要由內部技術人員兼職完成。
3、統一部署安全策略
即在安全專家的指導下,建立統一安全制度,消滅一般由于系統配置不當造成的明顯安全漏洞。
4、良好的升級擴展性
一套相對安全的安全系統并不意味著永遠保持“相對的安全性”,當企業的關鍵性業務發展到某個程度時,或許需要提高企業內部網的安全性能,這就要求原先的系統具有良好的可擴展性。這主要體現在,可以通過適當地追加投資大幅度增加企業內部網絡的安全性能。但安全系統的基本模式不發生巨大變化,以免導致管理上的困難。
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
