隨著網(wǎng)絡(luò)技術(shù)的發(fā)展���,因特網(wǎng)已經(jīng)走進(jìn)千家萬戶��。因而��,網(wǎng)絡(luò)的安全將成為人們最為關(guān)注的問題����。目前���,保護(hù)內(nèi)部網(wǎng)免遭外部入侵的比較有效的方法為防火墻技術(shù)�����。
防火墻的基本概念
防火墻是一個(gè)系統(tǒng)或一組系統(tǒng)��,它在企業(yè)內(nèi)網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略���。
一個(gè)有效的防火墻應(yīng)該能夠確保:所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都將經(jīng)過防火墻;所有流經(jīng)防火墻的信息都應(yīng)接受檢查��。
因特網(wǎng)防火墻的功能為:通過防火墻可以定義一個(gè)關(guān)鍵點(diǎn)以防止外來入侵����;監(jiān)控網(wǎng)絡(luò)的安全并在異常情況下給出報(bào)警提示,尤其對于重大的信息量通過時(shí)除進(jìn)行檢查外�,應(yīng)做日志登記;提供網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能���,有助于緩解IP地址資源緊張的問題�����,同時(shí)����,可以避免當(dāng)一個(gè)內(nèi)部網(wǎng)更換ISP時(shí)需重新編號的麻煩;防火墻可查詢或登記因特網(wǎng)的使用情況���,可以確認(rèn)因特網(wǎng)連入的代價(jià)���、潛在的帶寬瓶須���,以使費(fèi)用的耗費(fèi)滿足企業(yè)內(nèi)部財(cái)政模式���;防火墻是為客戶提供服務(wù)的理想位置,即在其上可以配置相應(yīng)的WWW和FTP服務(wù)��,使因特網(wǎng)用戶僅可以訪問此類服務(wù)�,而禁止對保護(hù)網(wǎng)絡(luò)的其他系統(tǒng)的訪問。
防火墻的分類�、作用
現(xiàn)有的防火墻主要有:包過濾型、代理服務(wù)器型、復(fù)合型以及其他類型(雙宿主主機(jī)����、主機(jī)過濾以及加密路由器)防火墻。
包過濾(Packet Fliter)通常安裝在路由器上��,而且大多數(shù)商用路由器都提供了包過濾的功能���。包過濾規(guī)則以IP包信息為基礎(chǔ)���,對IP源地址、目標(biāo)地址�����、封裝協(xié)議�、端口號等進(jìn)行篩選。包過濾在網(wǎng)絡(luò)層進(jìn)行�����。
代理服務(wù)器型(Proxy Service)防火墻通常由兩部分構(gòu)成�����,服務(wù)器端程序和客戶端程序?��?蛻舳顺绦蚺c中間節(jié)點(diǎn)(Proxy Server)連接�����,中間節(jié)點(diǎn)再與提供服務(wù)的服務(wù)器實(shí)際連接����。與包過濾防火墻不同的是���,內(nèi)外網(wǎng)間不存在直接的連接���,而且代理服務(wù)器提供日志(Log)和審計(jì)(Audit)服務(wù)。
復(fù)合型(Hybfid)防火墻將包過濾和代理服務(wù)兩種方法結(jié)合起來�,形成新的防火墻��,由堡壘主機(jī)(Bastion Host)提供代理服務(wù)�。
各類防火墻路由器和各種主機(jī)按其配置和功能可組成各種類型的防火墻,主要有:雙宿主主機(jī)防火墻(Dua1-Homed Host Firewall)���,它是由堡壘主機(jī)充當(dāng)網(wǎng)關(guān)��,并在其上運(yùn)行防火墻軟件�����,內(nèi)外網(wǎng)之間的通信必須經(jīng)過堡壘主機(jī)����;主機(jī)過濾防火墻( Screened Host Firewall)是指一個(gè)包過濾路由器與外部網(wǎng)相連,同時(shí)����,一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)上,使堡壘主機(jī)成為外部網(wǎng)所能到達(dá)的惟一節(jié)點(diǎn)���,從而確保內(nèi)部網(wǎng)不受外部非授權(quán)用戶的攻擊��;加密路由器(Encryptinn Router)���,加密路由器對通過路由器的信息流進(jìn)行加密和壓縮,然后通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M(jìn)行解壓縮和解密���。
各類防火墻的基本功能���、作用與不足
典型的防火墻應(yīng)包含如下模塊中的一個(gè)或多個(gè):包過濾路由器����、應(yīng)用層網(wǎng)關(guān)(或代理服務(wù)器)以及鏈路層網(wǎng)關(guān)����。
1�、包過濾路由器
包過濾路由器將對每一個(gè)接收到的包進(jìn)行允許/拒絕的決定。具體地�,它對每一個(gè)數(shù)據(jù)報(bào)的包頭,按照包過濾規(guī)則進(jìn)行判定����,與規(guī)則相匹配的包依據(jù)路由表信息繼續(xù)轉(zhuǎn)發(fā),否則�,則丟棄之。
與服務(wù)相關(guān)的過濾�,是指基于特定的服務(wù)進(jìn)行包過濾,由于絕大多數(shù)服務(wù)的監(jiān)聽都駐留在特定TCPUDP端口���,因此��,阻塞所有進(jìn)入特定服務(wù)的連接,路由器只需將所有包含特定 TCP/UDP目標(biāo)端口的包丟棄即可�����。
獨(dú)立于服務(wù)的過濾,有些類型的攻擊是與服務(wù)無關(guān)的���,比如:帶有欺騙性的源IP地址攻擊(包中包含一個(gè)錯(cuò)誤的內(nèi)部系統(tǒng)源IP地址����,經(jīng)掩飾后變成一個(gè)似乎來自于一個(gè)可以信任的內(nèi)部主機(jī)����,此時(shí)的過濾規(guī)則為:當(dāng)一個(gè)具有內(nèi)部源IP地址的包到達(dá)路由器的任意一個(gè)外部接口時(shí),將此包丟棄�。)、源路由攻擊�、細(xì)小碎片攻擊(入侵者使用IP分裂技術(shù)將包劃分成很小的一些碎片,然后將TCP頭的信息插入包的一個(gè)小碎片中�����,寄希望過濾規(guī)則為丟棄協(xié)議類型為TCP而IP幀偏移量為1的所有包)等�����。由此可見此類網(wǎng)上攻擊僅僅借助包頭信息是難以識別的���,此時(shí)����,需要路由器在原過濾規(guī)則的基礎(chǔ)附上另外的條件,這些條件的判別信息可以通過檢查路由表�、指定IP選擇、檢查指定幀偏移量等獲得�。
包過濾路由器的優(yōu)點(diǎn),大多數(shù)防火墻配置成無狀態(tài)的包過濾路由器���,因而實(shí)現(xiàn)包過濾幾乎沒有任何耗費(fèi)��。另外���,它對用戶和應(yīng)用來說是透明的,每臺(tái)主機(jī)無需安裝特定的軟件��,使用起來比較方便�。
包過濾路由器的局限性在于定義包過濾是個(gè)復(fù)雜的工作,網(wǎng)絡(luò)管理員需要對各種因特網(wǎng)服務(wù)��、包頭格式以及希望在每一個(gè)城找到的特定的值有足夠的了解:面對復(fù)雜的過濾需求�����,過濾規(guī)則將是一個(gè)冗長而復(fù)雜��、不易理解和管理的集合�����,同樣也很難測試規(guī)則的正確性�����;任何直接通過路由器的包都可能被利用做為發(fā)起一個(gè)數(shù)據(jù)驅(qū)動(dòng)的攻擊��;隨著過濾數(shù)目的增加����,將降低路由器包的吞吐量,同時(shí)耗費(fèi)更多CPU的時(shí)間而影響系統(tǒng)的性能���;再者IP包過濾難以進(jìn)行行之有效的流量控制��,因?yàn)樗梢栽S可或拒絕一個(gè)特定的服務(wù)���,但無法理解一個(gè)特定服務(wù)的內(nèi)容或數(shù)據(jù)。
?���。?、應(yīng)用層網(wǎng)關(guān)
應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實(shí)施一個(gè)較包過濾路由器更為嚴(yán)格的安全策略����,為每一個(gè)期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼(一個(gè)代理服務(wù)),同時(shí)���,代理代碼也可以配置成支持一個(gè)應(yīng)用服務(wù)的某些特定的特性����。對應(yīng)用服務(wù)的訪問都是通過訪問相應(yīng)的代理服務(wù)實(shí)現(xiàn)的���,而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān)(bastion host)�����。
應(yīng)用層網(wǎng)關(guān)安全性的提高是以購買同關(guān)硬件平臺(tái)的費(fèi)用為代價(jià)����,網(wǎng)關(guān)的配置將降低對用戶的服務(wù)水平���,但增加了安全配置上的靈活性��。
應(yīng)用層網(wǎng)關(guān)的好處���,在于它授予網(wǎng)絡(luò)管理員對每一個(gè)服務(wù)的完全控制權(quán)���,由代理服務(wù)限制了命令集合和哪一臺(tái)內(nèi)部主機(jī)支持相應(yīng)的服務(wù)���。同時(shí)����,網(wǎng)絡(luò)管理員對支持哪些服務(wù)可以完全控制��。另外��,應(yīng)用層網(wǎng)關(guān)支持強(qiáng)的用戶認(rèn)證�、提供詳細(xì)的日志信息、以及較包過濾路由器更易于配置和測試的過濾規(guī)則���。
當(dāng)然�,應(yīng)用層網(wǎng)關(guān)的最大的局限性在于它需要用戶或者改變其性能���,或者在需要訪問代理服務(wù)的系統(tǒng)上安裝特殊的軟件����。
3���、鏈路層網(wǎng)關(guān)
鏈路層網(wǎng)關(guān)是可由應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn)的特殊功能�。它僅僅替代TCP連接而無需執(zhí)行任何附加的包處理和過濾�����。
基于防火墻構(gòu)建安全網(wǎng)絡(luò)的基本原則
在進(jìn)行防火墻設(shè)計(jì)過程中���,網(wǎng)絡(luò)管理員應(yīng)考慮的問題為:防火墻的基本準(zhǔn)則:整個(gè)企業(yè)網(wǎng)的安全策略�����;防火墻的財(cái)務(wù)費(fèi)用的預(yù)算�����;以及防火墻的部件或構(gòu)建塊�。
?����。薄⒎阑饓Φ幕緶?zhǔn)則
防火墻可以采取如下兩種之一理念來定義防火墻應(yīng)遵循的準(zhǔn)則:
其一�、未經(jīng)說明允可的就是拒絕。防火墻阻塞所有流經(jīng)的信息�����,每一個(gè)服務(wù)請求或應(yīng)用的實(shí)現(xiàn)都基于逐項(xiàng)審查的基礎(chǔ)上���。這是一個(gè)值得推薦的方法,它將創(chuàng)建一個(gè)非常安全的環(huán)境����。當(dāng)然,該理念的不足在于過于強(qiáng)調(diào)安全而減弱了可用性���,限制了用戶可以申請的服務(wù)的數(shù)量��。
其二����、未說明拒絕的均為許可的�����。約定防火墻總是傳遞所有的信息,此方式認(rèn)定每一個(gè)潛在的危害總是可以基于逐項(xiàng)審查而被杜絕�。當(dāng)然,該理念的不足在于它將可用性置于比安全更為重要的地位�����,增加了保證私有網(wǎng)安全性的難度�。
2��、企業(yè)網(wǎng)的安全策略
在一個(gè)企業(yè)網(wǎng)中����,防火墻應(yīng)該是全局安全策略的一部分,構(gòu)建防火墻時(shí)首先要考慮其保護(hù)的范圍����。企業(yè)網(wǎng)的安全策略應(yīng)該在細(xì)致的安全分析、全面的風(fēng)險(xiǎn)假設(shè)以及商務(wù)需求分析基礎(chǔ)上來制定����。
3����、防火墻的費(fèi)用
簡單的包過濾防火墻所需費(fèi)用最少�����,實(shí)際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一個(gè)路由器���,而包過濾是標(biāo)準(zhǔn)路由器的一個(gè)基本特性。對于一臺(tái)商用防火墻隨著其復(fù)雜性和被保護(hù)系統(tǒng)數(shù)目的增加��,其費(fèi)用也隨之增加�����。
至于采用自行構(gòu)造防火墻方式���,雖然費(fèi)用低一些,但仍需要時(shí)間和經(jīng)費(fèi)開發(fā)��、配置防火墻系統(tǒng)��,需要不斷地為管理��、總體維護(hù)���、軟件更新����、安全修補(bǔ)以及一些附帶的操作提供支持。
因而���,防火墻的配備是需要相當(dāng)?shù)馁M(fèi)用�,如何以最小的費(fèi)用來最大限度地滿足企業(yè)網(wǎng)的安全需求���,這將是企業(yè)網(wǎng)決策者應(yīng)該周密考慮的問題�����。
結(jié)束語
當(dāng)然����,防火墻本身也有其局限性�,即不經(jīng)過防火墻的入侵,防火墻則是無能為力的���,如被保護(hù)網(wǎng)絡(luò)中通過SLIP和PPP方式直接與因特網(wǎng)相連的內(nèi)部用戶�,則會(huì)造成安全隱患����。此時(shí)��,為了保證安全性�,防火墻代理服務(wù)器在使用到ISP的SLIP和PPP連接時(shí)�,需要附加一些新的權(quán)限條件。同時(shí)�,硬件方式構(gòu)建的防火墻,如: PIX 520���,其不夠靈活的問題也是固化防火墻的共同問題����,所以在一個(gè)實(shí)際的網(wǎng)絡(luò)運(yùn)行環(huán)境中�,僅僅依靠防火墻來保證網(wǎng)絡(luò)的安全顯然是不夠,此時(shí)����,應(yīng)根據(jù)實(shí)際需求采取相應(yīng)的安全策略�。
