據公安部的資料�,1998年中國共破獲電腦黑客案件近百起����,利用計算機網絡進行的各類違法行為在中國以每年30%的速度遞增�。有媒介報道�,中國95%的與Internet相連的網絡管理中心都遭到過黑客的攻擊或侵入��,其中銀行���、金融和證券機構是黑客攻擊的重點��。
隨著網絡犯罪的遞增���,網絡防火墻開始受人關注�����。在此�,筆著向大家介紹一下“防火墻”的基本知識���。
防火墻是什么��?
所謂“防火墻”�,是指一種將內部網和公眾訪問網(Internet)分開的方法�����,實際上是一種隔離技術����。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度���,它能允許你“同意”的人和數據進入你的網絡�����,同時將你“不同意”的人和數據拒之門外�,最大限度地阻止網絡中的黑客來訪問你的網絡��,防止他們更改��、拷貝����、毀壞你的重要信息�。
防火墻的安全技術分析
防火墻對網絡的安全起到了一定的保護作用�,但并非萬無一失�。通過對防火墻的基本原理和實現方式進行分析和研究�,筆者對防火墻的安全性有如下幾點認識���。
1�、正確選用���、合理配置防火墻非常不容易
防火墻作為網絡安全的一種防護手段��,有多種實現方式����。建立合理的防護系統����,配置有效的防火墻應遵循這樣四個基本步驟:(1)風險分析�����;(2)需求分析�;(3)確立安全政策�����;(4)選擇準確的防護手段�,并使之與安全政策保持一致����。然而��,多數防火墻的設立沒有或很少進行充分的風險分析和需求分析���,而只是根據不很完備的安全政策選擇了一種似乎能“滿足”需要的防火墻��,這樣的防火墻能否“防火”還是個問題���。
2�、需要正確評估防火墻的失效狀態
評價防火墻性能如何及能否起到安全防護作用����,不僅要看它工作是否正常�,能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡�����,而且要看到一旦防火墻被攻破����,它的狀態如何? 按級別來分�,有四種狀態:(1)未受傷害能夠繼續正常工作����;(2)關閉并重新啟動��,同時恢復到正常工作狀態��;(3)關閉并禁止所有的數據通行����;(4)關閉并允許所有的數據通行����。前兩種狀態比較理想����,而第四種最不安全�����。但是許多防火墻由于沒有條件進行失效狀態測試和驗證���,無法確定其失效狀態等級�����,因此網絡必然存在安全隱患����。
3����、防火墻必須進行動態維護
防火墻安裝和投入使用后��,并非萬事大吉�。要想充分發揮它的安全防護作用����,必須對它進行跟蹤和維護����,要與商家保持密切的聯系�,時刻注視商家的動態����。因為商家一旦發現其產品存在安全漏洞��,就會盡快發布補救(Patch) 產品����,此時應盡快確認真偽(防止特洛伊木馬等病毒)�����,并對防火墻進行更新�����。
4��、目前很難對防火墻進行測試驗證
防火墻能否起到防護作用���,最根本�、最有效的證明方法是對其進行測試����,甚至站在“黑客”的角度采用各種手段對防火墻進行攻擊���。然而具體執行時難度較大:
(1)防火墻性能測試目前還是一種很新的技術�,尚無正式出版刊物����,可用的工具和軟件更是寥寥無幾�����。目前只有美國ISS公司提供防火墻性能測試的工具軟件�。
(2)防火墻測試技術尚不先進�����,與防火墻設計并非完全吻合��,使得測試工作難以達到既定的效果���。
(3)選擇“誰”進行公正的測試也是一個問題�。
可見��,防火墻的性能測試決不是一件簡單的事情���,但這種測試又相當必要�����。
5����、非法攻擊防火墻的基本“招數”
(1)通常情況下�����,有效的攻擊都是從相關的子網進行的��。因為這些網址得到了防火墻的信賴����,雖說成功與否尚取決于機遇等因素����,但對攻擊者而言很值得一試�����。
(2)破壞防火墻的另一種方式是攻擊與干擾相結合��。也就是在攻擊期間使防火墻始終處于繁忙的狀態�。防火墻過分的繁忙有時會導致它忘記履行安全防護的職能�����,處于失效狀態�����。
(3)需要特別注意的是���,防火墻也可能被內部攻擊��。因為安裝了防火墻后��,隨意訪問被嚴格禁止了����, 這樣內部人員無法在閑暇的時間通過Telnet瀏覽郵件或使用FTP向外發送信息���,個別人會對防火墻不滿進而可能攻擊它�、破壞它����,期望回到從前的狀態�����。這里��,攻擊的目標常常是防火墻或防火墻運行的操作系統����,因此不僅涉及網絡安全����,還涉及主機安全問題�����。
以上分析表明�,防火墻的安全防護性能依賴的因素很多���,防火墻并非萬能��。
目前大多數防火墻都是基于路由器的數據包分組過濾類型����,防護能力差��,存在各種網絡外部或網絡內部攻擊防火墻的技術手段��。
防火墻的基本類型
實現防火墻的技術包括四大類:
1���、網絡級防火墻
一般是基于源地址和目的地址���、應用或協議以及每個IP包的端口來作出通過與否的判斷���。一個路由器便是一個“傳統”的網絡級防火墻�,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發��,但它不能判斷出一個IP包來自何方�����,去向何處�。
先進的網絡級防火墻可以判斷這一點����,它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容��,把判斷的信息同規則表進行比較��,在規則表中定義了各種規則來表明是否同意或拒絕包的通過��。包過濾防火墻檢查每一條規則直至發現包中的信息與某規則相符�����。如果沒有一條規則能符合��,防火墻就會使用默認規則�����,一般情況下���,默認規則就是要求防火墻丟棄該包����。其次��,通過定義基于TCP或UDP數據包的端口號����,防火墻能夠判斷是否允許建立特定的連接����,如Telnet��、FTP連接����。
下面是某一網絡級防火墻的訪問控制規則:
(1)允許網絡123.1.0使用FTP(21口)訪問主機150.0.0.1���;
(2) 允許IP地址為202.103.1.18和202.103.1.14的用戶Telnet (23口) 到主機150.0.0.2上�;
(3)允許任何地址的E-mail(25口)進入主機150.0.0.3�;
(4)允許任何WWW數據(80口)通過��;
(5)不允許其他數據包進入�����。
網絡級防火墻簡潔���、速度快�、費用低�����,并且對用戶透明��,但是對網絡的保護很有限�����,因為它只檢查地址和端口�����,對網絡更高協議層的信息無理解能力��。
2���、應用級網關
應用級網關能夠檢查進出的數據包���,通過網關復制傳遞數據�,防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系�。應用級網關能夠理解應用層上的協議��,能夠做復雜一些的訪問控制���,并做精細的注冊�����。但每一種協議需要相應的代理軟件��,使用時工作量大�����,效率不如網絡級防火墻�。
常用的應用級防火墻已有了相應的代理服務器����, 例如: HTTP���、 NNTP�、 FTP����、Telnet�����、rlogin����、X-Window等�����,但是���,對于新開發的應用���,尚沒有相應的代理服務�,它們將通過網絡級防火墻和一般的代理服務���。 應用級網關有較好的訪問控制�����,是目前最安全的防火墻技術����,但實現困難���,而且有的應用級網關缺乏“透明度”��。在實際使用中�,用戶在受信任的網絡上通過防火墻訪問Internet時���, 經常會發現存在延遲并且必須進行多次登錄(Login)才能訪問Internet或Intranet�����。
3����、電路級網關
電路級網關用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session) 是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火墻要高兩層��。
實際上電路級網關并非作為一個獨立的產品存在���,它與其他的應用級網關結合在一起����, 如Trust Information Systems公司的Gauntlet Internet Firewall��; DEC公司的Alta Vista Firewall等產品��。 另外�����,電路級網關還提供一個重要的安全功能:代理服務器(Proxy Server) �����,代理服務器是個防火墻��,在其上運行一個叫做“地址轉移”的進程�,來將所有你公司內部的IP地址映射到一個“安全”的IP地址�����,這個地址是由防火墻使用的����。但是�,作為電路級網關也存在著一些缺陷��,因為該網關是在會話層工作的��,它就無法檢查應用層級的數據包�����。
4�����、規則檢查防火墻
該防火墻結合了包過濾防火墻���、電路級網關和應用級網關的特點����。它同包過濾防火墻一樣��, 規則檢查防火墻能夠在OSI網絡層上通過IP地址和端口號�,過濾進出的數據包�����。它也像電路級網關一樣�,能夠檢查SYN和ACK標記和序列數字是否邏輯有序���。當然它也像應用級網關一樣��, 可以在OSI應用層上檢查數據包的內容��,查看這些內容是否能符合公司網絡的安全規則�。
規則檢查防火墻雖然集成前三者的特點����,但是不同于一個應用級網關�,它并不打破客戶機/服務機模式來分析應用層的數據����,它允許受信任的客戶機和不受信任的主機建立直接連接��。規則檢查防火墻不依靠與應用層有關的代理���,而是依靠某種算法來識別進出的應用層數據�,這些算法通過已知合法數據包的模式來比較進出數據包���,這樣從理論上就能比應用級代理在過濾數據包上更有效���。
目前在市場上流行的防火墻大多屬于規則檢查防火墻���,因為該防火墻對于用戶透明����, 在OSI最高層上加密數據�����,不需要你去修改客戶端的程序�,也不需對每個需要在防火墻上運行的服務額外增加一個代理���。如現在最流行的防火墻之一On Technology軟件公司生產的On Guard和Check Point軟件公司生產的Fire Wall-1防火墻都是一種規則檢查防火墻����。
從趨勢上看���,未來的防火墻將位于網絡級防火墻和應用級防火墻之間�。也就是說���,網絡級防火墻將變得更加能夠識別通過的信息����,而應用級防火墻在目前的功能上則向“透明”��、“低級”方面發展����。最終防火墻將成為一個快速注冊核查系統��,可保護數據以加密方式通過�,使所有組織可以放心地在節點間傳送數據�。
防火墻的配置
防火墻配置有三種:Dual-homed方式�����、Screened-host方式和Screened-subnet方式�。 Dual-homed方式最簡單�。 Dual-homed Gateway放置在兩個網絡之間�,這個Dual-homed Gateway又稱為Bastionhost�。這種結構成本低�����,但是這種結構沒有增加網絡安全的自我防衛能力�,而它往往是受“黑客”攻擊的首選目標�����,它自己一旦被攻破�����,整個網絡也就暴露了��。
Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障�����。它將所有進入的信息先送往Bastionhost�����,并且只接受來自Bastionhost的數據作為出去的數據���。這種結構依賴Screeningrouter和Bastionhost�,只要有一個失敗��,整個網絡就暴露了���。
Screened-subnet包含兩個Screeningrouter和兩個Bastionhost�。 在公共網絡和私有網絡之間構成了一個隔離網�, 稱之為“��;饏^”(DMZ����,即DemilitarizedZone),Bastionhost放置在“����;饏^”內��。這種結構安全性好����,只有當兩個安全單元被破壞后�,網絡才被暴露�,但是成本也很昂貴�����。
防火墻的安全措施
各種防火墻的安全性能不盡相同�����。這里僅介紹一些一般防火墻的常用安全措施�����。
1���、防電子欺騙術
防電子欺騙術功能是保證數據包的IP地址與網關接口相符�,防止通過修改IP地址的方法進行非授權訪問�,對可疑信息進行鑒別�����,并向網絡管理員報警����。
2����、網絡地址轉移
地址轉移是對Internet隱藏內部地址�,防止內部地址公開���。這一功能可以克服IP尋址方式的諸多限制�,完善內部尋址模式��。把未注冊IP地址映射成合法地址�����,就可以對Internet進行訪問����。
3��、開放式結構設計
開放式結構設計使得防火墻與相關應用程序和外部用戶數據庫的連接相當容易���,典型的應用程序連接如財務軟件包�����、病毒掃描����、登錄分析等�。
4��、路由器安全管理程序
它為路由器提供集中管理和訪問列表控制����。
結束語
防火墻技術的致命弱點在于數據在防火墻之間的更新是一個難題�����,如果延遲太大將無法支持實時服務請求���。額外的管理負擔是另外一個弱點�����。此外���,防火墻采用濾波技術�����, 濾波通常使網絡的性能降低50%以上���,如果為了改善網絡性能而購置高速路由器�,又會大大提高經濟預算����。
在理想情況下�����,一個好的防火墻應該能把各種安全問題在發生之前解決����。就現實情況看����,這還是個遙遠的夢想����。目前我們還只能在各種利弊之間“走鋼絲”���。
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商��!15年品質保障�!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
