防火墻技術(shù)現(xiàn)狀
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)后,提出了防火墻的概念,防火墻技術(shù)得到了飛速的發(fā)展。第二代防火墻,也稱代理服務(wù)器,它用來提供網(wǎng)絡(luò)服務(wù)級的控制,起到外部網(wǎng)絡(luò)向被保護(hù)的內(nèi)部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用,這種方法可以有效地防止對內(nèi)部網(wǎng)絡(luò)的直接攻擊,安全性較高。第三代防火墻有效地提高了防火墻的安全性,稱為狀態(tài)監(jiān)控功能防火墻,它可以對每一層的數(shù)據(jù)包進(jìn)行檢測和監(jiān)控。隨著網(wǎng)絡(luò)攻擊手段和信息安全技術(shù)的發(fā)展,新一代的功能更強(qiáng)大、安全性更強(qiáng)的防火墻已經(jīng)問世,這個階段的防火墻已超出了原來傳統(tǒng)意義上防火墻的范疇,已經(jīng)演變成一個全方位的安全技術(shù)集成系統(tǒng),我們稱之為第四代防火墻,它可以抵御目前常見的網(wǎng)絡(luò)攻擊手段,如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等。
防火墻的定義和描述
“防火墻”這個術(shù)語參考來自應(yīng)用在建筑結(jié)構(gòu)里的安全技術(shù)。在樓宇里用來起分隔作用的墻,用來隔離不同的公司或房間,盡可能的起防火作用。一旦某個單元起火這種方法保護(hù)了其它的居住者。然而,多數(shù)防火墻里都有一個重要的門,允許人們進(jìn)入或離開大樓。因此,雖然防火墻保護(hù)了人們的安全,但這個門在提供增強(qiáng)安全性的同時允許必要的訪問。
在計(jì)算機(jī)網(wǎng)絡(luò)中,一個網(wǎng)絡(luò)防火墻扮演著防備潛在的惡意的活動的屏障,并可通過一個”門”來允許人們在你的安全網(wǎng)絡(luò)和開放的不安全的網(wǎng)絡(luò)之間通信。原來,一個防火墻是由一個單獨(dú)的機(jī)器組成的,放置在你的私有網(wǎng)絡(luò)和公網(wǎng)之間。近些年來,防火墻機(jī)制已發(fā)展到不僅僅是”firlwall box”,更多提及到的是堡壘主機(jī)。它現(xiàn)在涉及到整個從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的區(qū)域,由一系列復(fù)雜的機(jī)器和程序組成。簡單來說,今天防火墻的主要概念就是多個組件的應(yīng)用。到現(xiàn)在你要準(zhǔn)備實(shí)施你的防火墻,需要知道你的公司需要什么樣的服務(wù)并且什么樣的服務(wù)對于內(nèi)部用戶和外部用戶都是有效的。
防火墻的任務(wù)
防火墻在實(shí)施安全的過程中是至關(guān)重要的。一個防火墻策略要符合四個目標(biāo),而每個目標(biāo)通常都不是通過一個單獨(dú)的設(shè)備或軟件來實(shí)現(xiàn)的。大多數(shù)情況下防火墻的組件放在一起使用以滿足公司安全目的的需求。防火墻要能確保滿足以下四個目標(biāo)
實(shí)現(xiàn)一個公司的安全策略
防火墻的主要意圖是強(qiáng)制執(zhí)行你的安全策略。在前面的課程提到過在適當(dāng)?shù)木W(wǎng)絡(luò)安全中安全策略的重要性。舉個例子,也許你的安全策略只需對MAIL服務(wù)器的SMTP流量作些限制,那么你要直接在防火墻強(qiáng)制這些策略。
創(chuàng)建一個阻塞點(diǎn)
防火墻在一個公司私有網(wǎng)絡(luò)和分網(wǎng)問建立一個檢查點(diǎn)。這種實(shí)現(xiàn)要求所有的流量都要通過這個檢查點(diǎn)。一旦這些檢查點(diǎn)清楚地建立,防火墻設(shè)備就可以監(jiān)視,過濾和檢查所有進(jìn)來和出去的流量。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點(diǎn)為阻塞點(diǎn)。通過強(qiáng)制所有進(jìn)出流量都通過這些檢查點(diǎn),網(wǎng)絡(luò)管理員可以集中在較少的方來實(shí)現(xiàn)安全目的。如果沒有這樣一個供監(jiān)視和控制信息的點(diǎn),系統(tǒng)或安全管理員則要在大量的地方來進(jìn)行監(jiān)測。檢查點(diǎn)的另一個名字叫做網(wǎng)絡(luò)邊界。
記錄Internet活動
防火墻還能夠強(qiáng)制日志記錄,并且提供警報(bào)功能。通過在防火墻上實(shí)現(xiàn)日志服務(wù),安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志策略是實(shí)現(xiàn)適當(dāng)網(wǎng)絡(luò)安全的有效工具之一。防火墻對于管理員進(jìn)行日志存檔提供了更多的信息。
限制網(wǎng)絡(luò)暴露
防火墻在你的網(wǎng)絡(luò)周圍創(chuàng)建了一個保護(hù)的邊界。并且對于公網(wǎng)隱藏了你內(nèi)部系統(tǒng)的一些信息以增加保密性。當(dāng)遠(yuǎn)程節(jié)點(diǎn)偵測你的網(wǎng)絡(luò)時,他們僅僅能看到防火墻。遠(yuǎn)程設(shè)備將不會知道你內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么。防火墻提高認(rèn)證功能和對網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信息的暴露。通過對所能進(jìn)來的流量時行源檢查,以限制從外部發(fā)動的攻擊。
防火墻術(shù)語
在我們繼續(xù)討論防火墻技術(shù)前,我們需要對一些重要的術(shù)語有一些認(rèn)識
網(wǎng)關(guān)
網(wǎng)關(guān)是在兩上設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。網(wǎng)關(guān)的范圍可以從互聯(lián)網(wǎng)應(yīng)用程序如公共網(wǎng)關(guān)接口(CGI)到在兩臺主機(jī)間處理流量的防火墻網(wǎng)關(guān)。這個術(shù)語是非常常見的,而且在本課會用于一個防火墻組件里,在兩個不同的網(wǎng)絡(luò)路由和處理數(shù)據(jù)。
電路級網(wǎng)關(guān)
電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來決定該會話是否合法,電路級網(wǎng)關(guān)是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高兩層。另外,電路級網(wǎng)關(guān)還提供一個重要的安全功能:網(wǎng)絡(luò)地址轉(zhuǎn)移(NAT)將所有公司內(nèi)部的IP地址映射到一個“安全”的IP地址,這個地址是由防火墻使用的。有兩種方法來實(shí)現(xiàn)這種類型的網(wǎng)關(guān),一種是由一臺主機(jī)充當(dāng)篩選路由器而另一臺充當(dāng)應(yīng)用級防火墻。另一種是在第一個防火墻主機(jī)和第二個之間建立安全的連接。這種結(jié)構(gòu)的好處是當(dāng)一次攻擊發(fā)生時能提供容錯功能。
應(yīng)用級網(wǎng)關(guān)
應(yīng)用級網(wǎng)關(guān)可以工作在OSI七層模型的任一層上,能夠檢查進(jìn)出的數(shù)據(jù)包,通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,能夠做復(fù)雜一些的訪問控制,并做精細(xì)的注冊。通常是在特殊的服務(wù)器上安裝軟件來實(shí)現(xiàn)的。
包過濾
包過濾是處理網(wǎng)絡(luò)上基于packet-by-packet流量的設(shè)備。包過濾設(shè)備允許或阻止包,典型的實(shí)施方法是通過標(biāo)準(zhǔn)的路由器。包過濾是幾種不同防火墻的類型之一,在本課后面我們將做詳細(xì)地討論。
代理服務(wù)器
代理服務(wù)器代表內(nèi)部客戶端與外部的服務(wù)器通信。代理服務(wù)器這個術(shù)語通常是指一個應(yīng)用級的網(wǎng)關(guān),雖然電路級網(wǎng)關(guān)也可作為代理服務(wù)器的一種。
網(wǎng)絡(luò)地址翻譯(NAT)
網(wǎng)絡(luò)地址解釋是對Internet隱藏內(nèi)部地址,防止內(nèi)部地址公開。這一功能可以克服IP尋址方式的諸多限制,完善內(nèi)部尋址模式。把未注冊IP地址映射成合法地址,就可以對Internet進(jìn)行訪問。對于NAT的另一個名字是IP地址隱藏。RFC1918概述了地址并且IANA建議使用內(nèi)部地址機(jī)制,以下地址作為保留地址:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
如果你選擇上述例表中的網(wǎng)絡(luò)地址,不需要向任何互聯(lián)網(wǎng)授權(quán)機(jī)構(gòu)注冊即可使用。使用這些網(wǎng)絡(luò)地址的一個好處就是在互聯(lián)網(wǎng)上永遠(yuǎn)不會被路由。互聯(lián)網(wǎng)上所有的路由器發(fā)現(xiàn)源或目標(biāo)地址含有這些私有網(wǎng)絡(luò)ID時都會自動地丟棄。
堡壘主機(jī)
堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī),被暴露于因特網(wǎng)之上,作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個檢查點(diǎn),以達(dá)到把整個網(wǎng)絡(luò)的安全問題集中在某個主機(jī)上解決,從而省時省力,不用考慮其它主機(jī)的安全的目的。從堡壘主機(jī)的定義我們可以看到,堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)。所以堡壘主機(jī)也必須是自身保護(hù)最完善的主機(jī)。你可以使用單宿主堡壘主機(jī)。多數(shù)情況下,一個堡壘主機(jī)使用兩塊網(wǎng)卡,每個網(wǎng)卡連接不同的網(wǎng)絡(luò)。一塊網(wǎng)卡連接你公司的內(nèi)部網(wǎng)絡(luò)用來管理、控制和保護(hù),而另一塊連接另一個網(wǎng)絡(luò),通常是公網(wǎng)也就是Internet。堡壘主機(jī)經(jīng)常配置網(wǎng)關(guān)服務(wù)。網(wǎng)關(guān)服務(wù)是一個進(jìn)程來提供對從公網(wǎng)到私有網(wǎng)絡(luò)的特殊協(xié)議路由,反之亦然。在一個應(yīng)用級的網(wǎng)關(guān)里,你想使用的每一個應(yīng)用程協(xié)議都需要一個進(jìn)程。因此,你想通過一臺堡壘主機(jī)來路由Email,Web和FTP服務(wù)時,你必須為每一個服務(wù)都提供一個守護(hù)進(jìn)程。
強(qiáng)化操作系統(tǒng)
防火墻要求盡可能只配置必需的少量的服務(wù)。為了加強(qiáng)操作系統(tǒng)的穩(wěn)固性,防火墻安裝程序要禁止或刪除所有不需要的服務(wù)。多數(shù)的防火墻產(chǎn)品,包括Axent Raptor(www.axent.com),CheckPoint(www.checkpoint.com)和Network Associates Gauntlet (www.networkassociates.com)都可以在目前較流行的操作系統(tǒng)上運(yùn)行。如Axent Raptor防火墻就可以安裝在Windows NT Server4.0,Solaris及HP-UX操作系統(tǒng)上。理論上來講,讓操作系統(tǒng)只提供最基本的功能,可以使利用系統(tǒng)BUG來攻擊的方法非常困難。最后,當(dāng)你加強(qiáng)你的系統(tǒng)時,還要考慮到除了TCP/IP協(xié)議外不要把任何協(xié)議綁定到你的外部網(wǎng)卡上。
非軍事化區(qū)域(DMZ)
DMZ是一個小型網(wǎng)絡(luò)存在于公司的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。這個網(wǎng)絡(luò)由篩選路由器建立,有時是一個阻塞路由器。DMZ用來作為一個額外的緩沖區(qū)以進(jìn)一步隔離公網(wǎng)和你的內(nèi)部私有網(wǎng)絡(luò)。DMZ另一個名字叫做Service Network,因?yàn)樗浅7奖恪_@種實(shí)施的缺點(diǎn)在于存在于DMZ區(qū)域的任何服務(wù)器都不會得到防火墻的完全保護(hù)。
篩選路由器
篩選路由器的另一個術(shù)語就是包過濾路由器并且至少有一個接口是連向公網(wǎng)的,如Internet。它是對進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析,并按照一定的安全策略――信息過濾規(guī)則對進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制,允許授權(quán)信息通過,拒絕非授權(quán)信息通過。信息過濾規(guī)則是以其所收到的數(shù)據(jù)包頭信息為基礎(chǔ)的?
新聞熱點(diǎn)
疑難解答
