隨著網絡技術的發展,因特網已經走進千家萬戶。因而,網絡的安全將成為人們最為關注的問題。目前,保護內部網免遭外部入侵的比較有效的方法為防火墻技術。
防火墻的基本概念
防火墻是一個系統或一組系統,它在企業內網與因特網間執行一定的安全策略。
一個有效的防火墻應該能夠確保:所有從因特網流入或流向因特網的信息都將經過防火墻;所有流經防火墻的信息都應接受檢查。
因特網防火墻的功能為:通過防火墻可以定義一個關鍵點以防止外來入侵;監控網絡的安全并在異常情況下給出報警提示,尤其對于重大的信息量通過時除進行檢查外,應做日志登記;提供網絡地址轉換(NAT)功能,有助于緩解IP地址資源緊張的問題,同時,可以避免當一個內部網更換ISP時需重新編號的麻煩;防火墻可查詢或登記因特網的使用情況,可以確認因特網連入的代價、潛在的帶寬瓶須,以使費用的耗費滿足企業內部財政模式;防火墻是為客戶提供服務的理想位置,即在其上可以配置相應的WWW和FTP服務,使因特網用戶僅可以訪問此類服務,而禁止對保護網絡的其他系統的訪問。
防火墻的分類、作用
現有的防火墻主要有:包過濾型、代理服務器型、復合型以及其他類型(雙宿主主機、主機過濾以及加密路由器)防火墻。
包過濾(Packet Fliter)通常安裝在路由器上,而且大多數商用路由器都提供了包過濾的功能。包過濾規則以IP包信息為基礎,對IP源地址、目標地址、封裝協議、端口號等進行篩選。包過濾在網絡層進行。
代理服務器型(Proxy Service)防火墻通常由兩部分構成,服務器端程序和客戶端程序。客戶端程序與中間節點(Proxy Server)連接,中間節點再與提供服務的服務器實際連接。與包過濾防火墻不同的是,內外網間不存在直接的連接,而且代理服務器提供日志(Log)和審計(Audit)服務。
復合型(Hybfid)防火墻將包過濾和代理服務兩種方法結合起來,形成新的防火墻,由堡壘主機(Bastion Host)提供代理服務。
各類防火墻路由器和各種主機按其配置和功能可組成各種類型的防火墻,主要有:雙宿主主機防火墻(Dua1-Homed Host Firewall),它是由堡壘主機充當網關,并在其上運行防火墻軟件,內外網之間的通信必須經過堡壘主機;主機過濾防火墻( Screened Host Firewall)是指一個包過濾路由器與外部網相連,同時,一個堡壘主機安裝在內部網上,使堡壘主機成為外部網所能到達的惟一節點,從而確保內部網不受外部非授權用戶的攻擊;加密路由器(Encryptinn Router),加密路由器對通過路由器的信息流進行加密和壓縮,然后通過外部網絡傳輸到目的端進行解壓縮和解密。
各類防火墻的基本功能、作用與不足
典型的防火墻應包含如下模塊中的一個或多個:包過濾路由器、應用層網關(或代理服務器)以及鏈路層網關。
1、包過濾路由器
包過濾路由器將對每一個接收到的包進行允許/拒絕的決定。具體地,它對每一個數據報的包頭,按照包過濾規則進行判定,與規則相匹配的包依據路由表信息繼續轉發,否則,則丟棄之。
與服務相關的過濾,是指基于特定的服務進行包過濾,由于絕大多數服務的監聽都駐留在特定TCPUDP端口,因此,阻塞所有進入特定服務的連接,路由器只需將所有包含特定 TCP/UDP目標端口的包丟棄即可。
獨立于服務的過濾,有些類型的攻擊是與服務無關的,比如:帶有欺騙性的源IP地址攻擊(包中包含一個錯誤的內部系統源IP地址,經掩飾后變成一個似乎來自于一個可以信任的內部主機,此時的過濾規則為:當一個具有內部源IP地址的包到達路由器的任意一個外部接口時,將此包丟棄。)、源路由攻擊、細小碎片攻擊(入侵者使用IP分裂技術將包劃分成很小的一些碎片,然后將TCP頭的信息插入包的一個小碎片中,寄希望過濾規則為丟棄協議類型為TCP而IP幀偏移量為1的所有包)等。由此可見此類網上攻擊僅僅借助包頭信息是難以識別的,此時,需要路由器在原過濾規則的基礎附上另外的條件,這些條件的判別信息可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。
包過濾路由器的優點,大多數防火墻配置成無狀態的包過濾路由器,因而實現包過濾幾乎沒有任何耗費。另外,它對用戶和應用來說是透明的,每臺主機無需安裝特定的軟件,使用起來比較方便。
包過濾路由器的局限性在于定義包過濾是個復雜的工作,網絡管理員需要對各種因特網服務、包頭格式以及希望在每一個城找到的特定的值有足夠的了解:面對復雜的過濾需求,過濾規則將是一個冗長而復雜、不易理解和管理的集合,同樣也很難測試規則的正確性;任何直接通過路由器的包都可能被利用做為發起一個數據驅動的攻擊;隨著過濾數目的增加,將降低路由器包的吞吐量,同時耗費更多CPU的時間而影響系統的性能;再者IP包過濾難以進行行之有效的流量控制,因為它可以許可或拒絕一個特定的服務,但無法理解一個特定服務的內容或數據。
3、應用層網關
應用層網關允許網絡管理員實施一個較包過濾路由器更為嚴格的安全策略,為每一個期望的應用服務在其網關上安裝專用的代碼(一個代理服務),同時,代理代碼也可以配置成支持一個應用服務的某些特定的特性。對應用服務的訪問都是通過訪問相應的代理服務實現的,而不允許用戶直接登錄到應用層網關(bastion host)。
應用層網關安全性的提高是以購買同關硬件平臺的費用為代價,網關的配置將降低對用戶的服務水平,但增加了安全配置上的靈活性。
應用層網關的好處,在于它授予網絡管理員對每一個服務的完全控制權,由代理服務限制了命令集合和哪一臺內部主機支持相應的服務。同時,網絡管理員對支持哪些服務可以完全控制。另外,應用層網關支持強的用戶認證、提供詳細的日志信息、以及較包過濾路由器更易于配置和測試的過濾規則。
當然,應用層網關的最大的局限性在于它需要用戶或者改變其性能,或者在需要訪問代理服務的系統上安裝特殊的軟件。
3、鏈路層網關
鏈路層網關是可由應用層網關實現的特殊功能。它僅僅替代TCP連接而無需執行任何附加的包處理和過濾。
基于防火墻構建安全網絡的基本原則
在進行防火墻設計過程中,網絡管理員應考慮的問題為:防火墻的基本準則:整個企業網的安全策略;防火墻的財務費用的預算;以及防火墻的部件或構建塊。
1、防火墻的基本準則
防火墻可以采取如下兩種之一理念來定義防火墻應遵循的準則:
其一、未經說明允可的就是拒絕。防火墻阻塞所有流經的信息,每一個服務請求或應用的實現都基于逐項審查的基礎上。這是一個值得推薦的方法,它將創建一個非常安全的環境。當然,該理念的不足在于過于強調安全而減弱了可用性,限制了用戶可以申請的服務的數量。
其二、未說明拒絕的均為許可的。約定防火墻總是傳遞所有的信息,此方式認定每一個潛在的危害總是可以基于逐項審查而被杜絕。當然,該理念的不足在于它將可用性置于比安全更為重要的地位,增加了保證私有網安全性的難度。
2、企業網的安全策略
在一個企業網中,防火墻應該是全局安全策略的一部分,構建防火墻時首先要考慮其保護的范圍。企業網的安全策略應該在細致的安全分析、全面的風險假設以及商務需求分析基礎上來制定。
3、防火墻的費用
簡單的包過濾防火墻所需費用最少,實際上任何企業網與因特網的連接都需要一個路由器,而包過濾是標準路由器的一個基本特性。對于一臺商用防火墻隨著其復雜性和被保護系統數目的增加,其費用也隨之增加。
至于采用自行構造防火墻方式,雖然費用低一些,但仍需要時間和經費開發、配置防火墻系統,需要不斷地為管理、總體維護、軟件更新、安全修補以及一些附帶的操作提供支持。
因而,防火墻的配備是需要相當的費用,如何以最小的費用來最大限度地滿足企業網的安全需求,這將是企業網決策者應該周密考慮的問題。
結束語
當然,防火墻本身也有其局限性,即不經過防火墻的入侵,防火墻則是無能為力的,如被保護網絡中通過SLIP和PPP方式直接與因特網相連的內部用戶,則會造成安全隱患。此時,為了保證安全性,防火墻代理服務器在使用到ISP的SLIP和PPP連接時,需要附加一些新的權限條件。同時,硬件方式構建的防火墻,如: PIX 520,其不夠靈活的問題也是固化防火墻的共同問題,所以在一個實際的網絡運行環境中,僅僅依靠防火墻來保證網絡的安全顯然是不夠,此時,應根據實際需求采取相應的安全策略。
