隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,因特網(wǎng)已經(jīng)走進(jìn)千家萬(wàn)戶。因而,網(wǎng)絡(luò)的安全將成為人們最為關(guān)注的問(wèn)題。目前,保護(hù)內(nèi)部網(wǎng)免遭外部入侵的比較有效的方法為防火墻技術(shù)。
防火墻的基本概念
防火墻是一個(gè)系統(tǒng)或一組系統(tǒng),它在企業(yè)內(nèi)網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略。
一個(gè)有效的防火墻應(yīng)該能夠確保:所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都將經(jīng)過(guò)防火墻;所有流經(jīng)防火墻的信息都應(yīng)接受檢查。
因特網(wǎng)防火墻的功能為:通過(guò)防火墻可以定義一個(gè)關(guān)鍵點(diǎn)以防止外來(lái)入侵;監(jiān)控網(wǎng)絡(luò)的安全并在異常情況下給出報(bào)警提示,尤其對(duì)于重大的信息量通過(guò)時(shí)除進(jìn)行檢查外,應(yīng)做日志登記;提供網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能,有助于緩解IP地址資源緊張的問(wèn)題,同時(shí),可以避免當(dāng)一個(gè)內(nèi)部網(wǎng)更換ISP時(shí)需重新編號(hào)的麻煩;防火墻可查詢或登記因特網(wǎng)的使用情況,可以確認(rèn)因特網(wǎng)連入的代價(jià)、潛在的帶寬瓶須,以使費(fèi)用的耗費(fèi)滿足企業(yè)內(nèi)部財(cái)政模式;防火墻是為客戶提供服務(wù)的理想位置,即在其上可以配置相應(yīng)的WWW和FTP服務(wù),使因特網(wǎng)用戶僅可以訪問(wèn)此類服務(wù),而禁止對(duì)保護(hù)網(wǎng)絡(luò)的其他系統(tǒng)的訪問(wèn)。
防火墻的分類、作用
現(xiàn)有的防火墻主要有:包過(guò)濾型、代理服務(wù)器型、復(fù)合型以及其他類型(雙宿主主機(jī)、主機(jī)過(guò)濾以及加密路由器)防火墻。
包過(guò)濾(Packet Fliter)通常安裝在路由器上,而且大多數(shù)商用路由器都提供了包過(guò)濾的功能。包過(guò)濾規(guī)則以IP包信息為基礎(chǔ),對(duì)IP源地址、目標(biāo)地址、封裝協(xié)議、端口號(hào)等進(jìn)行篩選。包過(guò)濾在網(wǎng)絡(luò)層進(jìn)行。
代理服務(wù)器型(Proxy Service)防火墻通常由兩部分構(gòu)成,服務(wù)器端程序和客戶端程序。客戶端程序與中間節(jié)點(diǎn)(Proxy Server)連接,中間節(jié)點(diǎn)再與提供服務(wù)的服務(wù)器實(shí)際連接。與包過(guò)濾防火墻不同的是,內(nèi)外網(wǎng)間不存在直接的連接,而且代理服務(wù)器提供日志(Log)和審計(jì)(Audit)服務(wù)。
復(fù)合型(Hybfid)防火墻將包過(guò)濾和代理服務(wù)兩種方法結(jié)合起來(lái),形成新的防火墻,由堡壘主機(jī)(Bastion Host)提供代理服務(wù)。
各類防火墻路由器和各種主機(jī)按其配置和功能可組成各種類型的防火墻,主要有:雙宿主主機(jī)防火墻(Dua1-Homed Host Firewall),它是由堡壘主機(jī)充當(dāng)網(wǎng)關(guān),并在其上運(yùn)行防火墻軟件,內(nèi)外網(wǎng)之間的通信必須經(jīng)過(guò)堡壘主機(jī);主機(jī)過(guò)濾防火墻( Screened Host Firewall)是指一個(gè)包過(guò)濾路由器與外部網(wǎng)相連,同時(shí),一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)上,使堡壘主機(jī)成為外部網(wǎng)所能到達(dá)的惟一節(jié)點(diǎn),從而確保內(nèi)部網(wǎng)不受外部非授權(quán)用戶的攻擊;加密路由器(Encryptinn Router),加密路由器對(duì)通過(guò)路由器的信息流進(jìn)行加密和壓縮,然后通過(guò)外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M(jìn)行解壓縮和解密。
各類防火墻的基本功能、作用與不足
典型的防火墻應(yīng)包含如下模塊中的一個(gè)或多個(gè):包過(guò)濾路由器、應(yīng)用層網(wǎng)關(guān)(或代理服務(wù)器)以及鏈路層網(wǎng)關(guān)。
1、包過(guò)濾路由器
包過(guò)濾路由器將對(duì)每一個(gè)接收到的包進(jìn)行允許/拒絕的決定。具體地,它對(duì)每一個(gè)數(shù)據(jù)報(bào)的包頭,按照包過(guò)濾規(guī)則進(jìn)行判定,與規(guī)則相匹配的包依據(jù)路由表信息繼續(xù)轉(zhuǎn)發(fā),否則,則丟棄之。
與服務(wù)相關(guān)的過(guò)濾,是指基于特定的服務(wù)進(jìn)行包過(guò)濾,由于絕大多數(shù)服務(wù)的監(jiān)聽都駐留在特定TCPUDP端口,因此,阻塞所有進(jìn)入特定服務(wù)的連接,路由器只需將所有包含特定 TCP/UDP目標(biāo)端口的包丟棄即可。
獨(dú)立于服務(wù)的過(guò)濾,有些類型的攻擊是與服務(wù)無(wú)關(guān)的,比如:帶有欺騙性的源IP地址攻擊(包中包含一個(gè)錯(cuò)誤的內(nèi)部系統(tǒng)源IP地址,經(jīng)掩飾后變成一個(gè)似乎來(lái)自于一個(gè)可以信任的內(nèi)部主機(jī),此時(shí)的過(guò)濾規(guī)則為:當(dāng)一個(gè)具有內(nèi)部源IP地址的包到達(dá)路由器的任意一個(gè)外部接口時(shí),將此包丟棄。)、源路由攻擊、細(xì)小碎片攻擊(入侵者使用IP分裂技術(shù)將包劃分成很小的一些碎片,然后將TCP頭的信息插入包的一個(gè)小碎片中,寄希望過(guò)濾規(guī)則為丟棄協(xié)議類型為TCP而IP幀偏移量為1的所有包)等。由此可見(jiàn)此類網(wǎng)上攻擊僅僅借助包頭信息是難以識(shí)別的,此時(shí),需要路由器在原過(guò)濾規(guī)則的基礎(chǔ)附上另外的條件,這些條件的判別信息可以通過(guò)檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。
包過(guò)濾路由器的優(yōu)點(diǎn),大多數(shù)防火墻配置成無(wú)狀態(tài)的包過(guò)濾路由器,因而實(shí)現(xiàn)包過(guò)濾幾乎沒(méi)有任何耗費(fèi)。另外,它對(duì)用戶和應(yīng)用來(lái)說(shuō)是透明的,每臺(tái)主機(jī)無(wú)需安裝特定的軟件,使用起來(lái)比較方便。
包過(guò)濾路由器的局限性在于定義包過(guò)濾是個(gè)復(fù)雜的工作,網(wǎng)絡(luò)管理員需要對(duì)各種因特網(wǎng)服務(wù)、包頭格式以及希望在每一個(gè)城找到的特定的值有足夠的了解:面對(duì)復(fù)雜的過(guò)濾需求,過(guò)濾規(guī)則將是一個(gè)冗長(zhǎng)而復(fù)雜、不易理解和管理的集合,同樣也很難測(cè)試規(guī)則的正確性;任何直接通過(guò)路由器的包都可能被利用做為發(fā)起一個(gè)數(shù)據(jù)驅(qū)動(dòng)的攻擊;隨著過(guò)濾數(shù)目的增加,將降低路由器包的吞吐量,同時(shí)耗費(fèi)更多CPU的時(shí)間而影響系統(tǒng)的性能;再者IP包過(guò)濾難以進(jìn)行行之有效的流量控制,因?yàn)樗梢栽S可或拒絕一個(gè)特定的服務(wù),但無(wú)法理解一個(gè)特定服務(wù)的內(nèi)容或數(shù)據(jù)。
3、應(yīng)用層網(wǎng)關(guān)
應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實(shí)施一個(gè)較包過(guò)濾路由器更為嚴(yán)格的安全策略,為每一個(gè)期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼(一個(gè)代理服務(wù)),同時(shí),代理代碼也可以配置成支持一個(gè)應(yīng)用服務(wù)的某些特定的特性。對(duì)應(yīng)用服務(wù)的訪問(wèn)都是通過(guò)訪問(wèn)相應(yīng)的代理服務(wù)實(shí)現(xiàn)的,而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān)(bastion host)。
應(yīng)用層網(wǎng)關(guān)安全性的提高是以購(gòu)買同關(guān)硬件平臺(tái)的費(fèi)用為代價(jià),網(wǎng)關(guān)的配置將降低對(duì)用戶的服務(wù)水平,但增加了安全配置上的靈活性。
應(yīng)用層網(wǎng)關(guān)的好處,在于它授予網(wǎng)絡(luò)管理員對(duì)每一個(gè)服務(wù)的完全控制權(quán),由代理服務(wù)限制了命令集合和哪一臺(tái)內(nèi)部主機(jī)支持相應(yīng)的服務(wù)。同時(shí),網(wǎng)絡(luò)管理員對(duì)支持哪些服務(wù)可以完全控制。另外,應(yīng)用層網(wǎng)關(guān)支持強(qiáng)的用戶認(rèn)證、提供詳細(xì)的日志信息、以及較包過(guò)濾路由器更易于配置和測(cè)試的過(guò)濾規(guī)則。
當(dāng)然,應(yīng)用層網(wǎng)關(guān)的最大的局限性在于它需要用戶或者改變其性能,或者在需要訪問(wèn)代理服務(wù)的系統(tǒng)上安裝特殊的軟件。
3、鏈路層網(wǎng)關(guān)
鏈路層網(wǎng)關(guān)是可由應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn)的特殊功能。它僅僅替代TCP連接而無(wú)需執(zhí)行任何附加的包處理和過(guò)濾。
基于防火墻構(gòu)建安全網(wǎng)絡(luò)的基本原則
在進(jìn)行防火墻設(shè)計(jì)過(guò)程中,網(wǎng)絡(luò)管理員應(yīng)考慮的問(wèn)題為:防火墻的基本準(zhǔn)則:整個(gè)企業(yè)網(wǎng)的安全策略;防火墻的財(cái)務(wù)費(fèi)用的預(yù)算;以及防火墻的部件或構(gòu)建塊。
1、防火墻的基本準(zhǔn)則
防火墻可以采取如下兩種之一理念來(lái)定義防火墻應(yīng)遵循的準(zhǔn)則:
其一、未經(jīng)說(shuō)明允可的就是拒絕。防火墻阻塞所有流經(jīng)的信息,每一個(gè)服務(wù)請(qǐng)求或應(yīng)用的實(shí)現(xiàn)都基于逐項(xiàng)審查的基礎(chǔ)上。這是一個(gè)值得推薦的方法,它將創(chuàng)建一個(gè)非常安全的環(huán)境。當(dāng)然,該理念的不足在于過(guò)于強(qiáng)調(diào)安全而減弱了可用性,限制了用戶可以申請(qǐng)的服務(wù)的數(shù)量。
其二、未說(shuō)明拒絕的均為許可的。約定防火墻總是傳遞所有的信息,此方式認(rèn)定每一個(gè)潛在的危害總是可以基于逐項(xiàng)審查而被杜絕。當(dāng)然,該理念的不足在于它將可用性置于比安全更為重要的地位,增加了保證私有網(wǎng)安全性的難度。
2、企業(yè)網(wǎng)的安全策略
在一個(gè)企業(yè)網(wǎng)中,防火墻應(yīng)該是全局安全策略的一部分,構(gòu)建防火墻時(shí)首先要考慮其保護(hù)的范圍。企業(yè)網(wǎng)的安全策略應(yīng)該在細(xì)致的安全分析、全面的風(fēng)險(xiǎn)假設(shè)以及商務(wù)需求分析基礎(chǔ)上來(lái)制定。
3、防火墻的費(fèi)用
簡(jiǎn)單的包過(guò)濾防火墻所需費(fèi)用最少,實(shí)際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一個(gè)路由器,而包過(guò)濾是標(biāo)準(zhǔn)路由器的一個(gè)基本特性。對(duì)于一臺(tái)商用防火墻隨著其復(fù)雜性和被保護(hù)系統(tǒng)數(shù)目的增加,其費(fèi)用也隨之增加。
至于采用自行構(gòu)造防火墻方式,雖然費(fèi)用低一些,但仍需要時(shí)間和經(jīng)費(fèi)開發(fā)、配置防火墻系統(tǒng),需要不斷地為管理、總體維護(hù)、軟件更新、安全修補(bǔ)以及一些附帶的操作提供支持。
因而,防火墻的配備是需要相當(dāng)?shù)馁M(fèi)用,如何以最小的費(fèi)用來(lái)最大限度地滿足企業(yè)網(wǎng)的安全需求,這將是企業(yè)網(wǎng)決策者應(yīng)該周密考慮的問(wèn)題。
結(jié)束語(yǔ)
當(dāng)然,防火墻本身也有其局限性,即不經(jīng)過(guò)防火墻的入侵,防火墻則是無(wú)能為力的,如被保護(hù)網(wǎng)絡(luò)中通過(guò)SLIP和PPP方式直接與因特網(wǎng)相連的內(nèi)部用戶,則會(huì)造成安全隱患。此時(shí),為了保證安全性,防火墻代理服務(wù)器在使用到ISP的SLIP和PPP連接時(shí),需要附加一些新的權(quán)限條件。同時(shí),硬件方式構(gòu)建的防火墻,如: PIX 520,其不夠靈活的問(wèn)題也是固化防火墻的共同問(wèn)題,所以在一個(gè)實(shí)際的網(wǎng)絡(luò)運(yùn)行環(huán)境中,僅僅依靠防火墻來(lái)保證網(wǎng)絡(luò)的安全顯然是不夠,此時(shí),應(yīng)根據(jù)實(shí)際需求采取相應(yīng)的安全策略。
