防火墻的定義是什么發(fā)展現(xiàn)狀分析
防火墻技術(shù)現(xiàn)狀
自從1986年美國(guó)Digital公司在Internet上安裝了全球第一個(gè)商用防火墻系統(tǒng)后,提出了防火墻的概念,防火墻技術(shù)得到了飛速的發(fā)展。第二代防火墻,也稱代理服務(wù)器,它用來(lái)提供網(wǎng)絡(luò)服務(wù)級(jí)的控制,起到外部網(wǎng)絡(luò)向被保護(hù)的內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用,這種方法可以有效地防止對(duì)內(nèi)部網(wǎng)絡(luò)的直接攻擊,安全性較高。第三代防火墻有效地提高了防火墻的安全性,稱為狀態(tài)監(jiān)控功能防火墻,它可以對(duì)每一層的數(shù)據(jù)包進(jìn)行檢測(cè)和監(jiān)控。隨著網(wǎng)絡(luò)攻擊手段和信息安全技術(shù)的發(fā)展,新一代的功能更強(qiáng)大、安全性更強(qiáng)的防火墻已經(jīng)問(wèn)世,這個(gè)階段的防火墻已超出了原來(lái)傳統(tǒng)意義上防火墻的范疇,已經(jīng)演變成一個(gè)全方位的安全技術(shù)集成系統(tǒng),我們稱之為第四代防火墻,它可以抵御目前常見(jiàn)的網(wǎng)絡(luò)攻擊手段,如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲(chóng)、口令探尋攻擊、郵件攻擊等等。
防火墻的定義和描述
“防火墻”這個(gè)術(shù)語(yǔ)參考來(lái)自應(yīng)用在建筑結(jié)構(gòu)里的安全技術(shù)。在樓宇里用來(lái)起分隔作用的墻,用來(lái)隔離不同的公司或房間,盡可能的起防火作用。一旦某個(gè)單元起火這種方法保護(hù)了其它的居住者。然而,多數(shù)防火墻里都有一個(gè)重要的門,允許人們進(jìn)入或離開(kāi)大樓。因此,雖然防火墻保護(hù)了人們的安全,但這個(gè)門在提供增強(qiáng)安全性的同時(shí)允許必要的訪問(wèn)。
在計(jì)算機(jī)網(wǎng)絡(luò)中,一個(gè)網(wǎng)絡(luò)防火墻扮演著防備潛在的惡意的活動(dòng)的屏障,并可通過(guò)一個(gè)”門”來(lái)允許人們?cè)谀愕陌踩W(wǎng)絡(luò)和開(kāi)放的不安全的網(wǎng)絡(luò)之間通信。原來(lái),一個(gè)防火墻是由一個(gè)單獨(dú)的機(jī)器組成的,放置在你的私有網(wǎng)絡(luò)和公網(wǎng)之間。近些年來(lái),防火墻機(jī)制已發(fā)展到不僅僅是”firlwall box”,更多提及到的是堡壘主機(jī)。它現(xiàn)在涉及到整個(gè)從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的區(qū)域,由一系列復(fù)雜的機(jī)器和程序組成。簡(jiǎn)單來(lái)說(shuō),今天防火墻的主要概念就是多個(gè)組件的應(yīng)用。到現(xiàn)在你要準(zhǔn)備實(shí)施你的防火墻,需要知道你的公司需要什么樣的服務(wù)并且什么樣的服務(wù)對(duì)于內(nèi)部用戶和外部用戶都是有效的。
防火墻的任務(wù)
防火墻在實(shí)施安全的過(guò)程中是至關(guān)重要的。一個(gè)防火墻策略要符合四個(gè)目標(biāo),而每個(gè)目標(biāo)通常都不是通過(guò)一個(gè)單獨(dú)的設(shè)備或軟件來(lái)實(shí)現(xiàn)的。大多數(shù)情況下防火墻的組件放在一起使用以滿足公司安全目的的需求。防火墻要能確保滿足以下四個(gè)目標(biāo)
實(shí)現(xiàn)一個(gè)公司的安全策略
防火墻的主要意圖是強(qiáng)制執(zhí)行你的安全策略。在前面的課程提到過(guò)在適當(dāng)?shù)木W(wǎng)絡(luò)安全中安全策略的重要性。舉個(gè)例子,也許你的安全策略只需對(duì)MAIL服務(wù)器的SMTP流量作些限制,那么你要直接在防火墻強(qiáng)制這些策略。
創(chuàng)建一個(gè)阻塞點(diǎn)
防火墻在一個(gè)公司私有網(wǎng)絡(luò)和分網(wǎng)問(wèn)建立一個(gè)檢查點(diǎn)。這種實(shí)現(xiàn)要求所有的流量都要通過(guò)這個(gè)檢查點(diǎn)。一旦這些檢查點(diǎn)清楚地建立,防火墻設(shè)備就可以監(jiān)視,過(guò)濾和檢查所有進(jìn)來(lái)和出去的流量。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點(diǎn)為阻塞點(diǎn)。通過(guò)強(qiáng)制所有進(jìn)出流量都通過(guò)這些檢查點(diǎn),網(wǎng)絡(luò)管理員可以集中在較少的方來(lái)實(shí)現(xiàn)安全目的。如果沒(méi)有這樣一個(gè)供監(jiān)視和控制信息的點(diǎn),系統(tǒng)或安全管理員則要在大量的地方來(lái)進(jìn)行監(jiān)測(cè)。檢查點(diǎn)的另一個(gè)名字叫做網(wǎng)絡(luò)邊界。
記錄Internet活動(dòng)
防火墻還能夠強(qiáng)制日志記錄,并且提供警報(bào)功能。通過(guò)在防火墻上實(shí)現(xiàn)日志服務(wù),安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問(wèn)。好的日志策略是實(shí)現(xiàn)適當(dāng)網(wǎng)絡(luò)安全的有效工具之一。防火墻對(duì)于管理員進(jìn)行日志存檔提供了更多的信息。
限制網(wǎng)絡(luò)暴露
防火墻在你的網(wǎng)絡(luò)周圍創(chuàng)建了一個(gè)保護(hù)的邊界。并且對(duì)于公網(wǎng)隱藏了你內(nèi)部系統(tǒng)的一些信息以增加保密性。當(dāng)遠(yuǎn)程節(jié)點(diǎn)偵測(cè)你的網(wǎng)絡(luò)時(shí),他們僅僅能看到防火墻。遠(yuǎn)程設(shè)備將不會(huì)知道你內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么。防火墻提高認(rèn)證功能和對(duì)網(wǎng)絡(luò)加密來(lái)限制網(wǎng)絡(luò)信息的暴露。通過(guò)對(duì)所能進(jìn)來(lái)的流量時(shí)行源檢查,以限制從外部發(fā)動(dòng)的攻擊。
防火墻術(shù)語(yǔ)
在我們繼續(xù)討論防火墻技術(shù)前,我們需要對(duì)一些重要的術(shù)語(yǔ)有一些認(rèn)識(shí)
網(wǎng)關(guān)
網(wǎng)關(guān)是在兩上設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。網(wǎng)關(guān)的范圍可以從互聯(lián)網(wǎng)應(yīng)用程序如公共網(wǎng)關(guān)接口(CGI)到在兩臺(tái)主機(jī)間處理流量的防火墻網(wǎng)關(guān)。這個(gè)術(shù)語(yǔ)是非常常見(jiàn)的,而且在本課會(huì)用于一個(gè)防火墻組件里,在兩個(gè)不同的網(wǎng)絡(luò)路由和處理數(shù)據(jù)。
電路級(jí)網(wǎng)關(guān)
電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來(lái)決定該會(huì)話是否合法,電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來(lái)過(guò)濾數(shù)據(jù)包,這樣比包過(guò)濾防火墻要高兩層。另外,電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能:網(wǎng)絡(luò)地址轉(zhuǎn)移(NAT)將所有公司內(nèi)部的IP地址映射到一個(gè)“安全”的 IP地址,這個(gè)地址是由防火墻使用的。有兩種方法來(lái)實(shí)現(xiàn)這種類型的網(wǎng)關(guān),一種是由一臺(tái)主機(jī)充當(dāng)篩選路由器而另一臺(tái)充當(dāng)應(yīng)用級(jí)防火墻。另一種是在第一個(gè)防火墻主機(jī)和第二個(gè)之間建立安全的連接。這種結(jié)構(gòu)的好處是當(dāng)一次攻擊發(fā)生時(shí)能提供容錯(cuò)功能。
應(yīng)用級(jí)網(wǎng)關(guān)
應(yīng)用級(jí)網(wǎng)關(guān)可以工作在OSI七層模型的任一層上,能夠檢查進(jìn)出的數(shù)據(jù)包,通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,能夠做復(fù)雜一些的訪問(wèn)控制,并做精細(xì)的注冊(cè)。通常是在特殊的服務(wù)器上安裝軟件來(lái)實(shí)現(xiàn)的。
包過(guò)濾
包過(guò)濾是處理網(wǎng)絡(luò)上基于packet-by-packet流量的設(shè)備。包過(guò)濾設(shè)備允許或阻止包,典型的實(shí)施方法是通過(guò)標(biāo)準(zhǔn)的路由器。包過(guò)濾是幾種不同防火墻的類型之一,在本課后面我們將做詳細(xì)地討論。
代理服務(wù)器
代理服務(wù)器代表內(nèi)部客戶端與外部的服務(wù)器通信。代理服務(wù)器這個(gè)術(shù)語(yǔ)通常是指一個(gè)應(yīng)用級(jí)的網(wǎng)關(guān),雖然電路級(jí)網(wǎng)關(guān)也可作為代理服務(wù)器的一種。
網(wǎng)絡(luò)地址翻譯(NAT)
網(wǎng)絡(luò)地址解釋是對(duì)Internet隱藏內(nèi)部地址,防止內(nèi)部地址公開(kāi)。這一功能可以克服IP尋址方式的諸多限制,完善內(nèi)部尋址模式。把未注冊(cè)IP地址映射成合法地址,就可以對(duì)Internet進(jìn)行訪問(wèn)。對(duì)于NAT的另一個(gè)名字是IP地址隱藏。RFC1918概述了地址并且IANA建議使用內(nèi)部地址機(jī)制,以下地址作為保留地址:
10.0.0.0 - 10.55.55.55
17.16.0.0 - 17.1.55.55
19.168.0.0 - 19.168.55.55
如果你選擇上述例表中的網(wǎng)絡(luò)地址,不需要向任何互聯(lián)網(wǎng)授權(quán)機(jī)構(gòu)注冊(cè)即可使用。使用這些網(wǎng)絡(luò)地址的一個(gè)好處就是在互聯(lián)網(wǎng)上永遠(yuǎn)不會(huì)被路由?;ヂ?lián)網(wǎng)上所有的路由器發(fā)現(xiàn)源或目標(biāo)地址含有這些私有網(wǎng)絡(luò)ID時(shí)都會(huì)自動(dòng)地丟棄。
堡壘主機(jī)
堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī),被暴露于因特網(wǎng)之上,作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn),以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在某個(gè)主機(jī)上解決,從而省時(shí)省力,不用考慮其它主機(jī)的安全的目的。從堡壘主機(jī)的定義我們可以看到,堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)。所以堡壘主機(jī)也必須是自身保護(hù)最完善的主機(jī)。你可以使用單宿主堡壘主機(jī)。多數(shù)情況下,一個(gè)堡壘主機(jī)使用兩塊網(wǎng)卡,每個(gè)網(wǎng)卡連接不同的網(wǎng)絡(luò)。一塊網(wǎng)卡連接你公司的內(nèi)部網(wǎng)絡(luò)用來(lái)管理、控制和保護(hù),而另一塊連接另一個(gè)網(wǎng)絡(luò),通常是公網(wǎng)也就是Internet。堡壘主機(jī)經(jīng)常配置網(wǎng)關(guān)服務(wù)。網(wǎng)關(guān)服務(wù)是一個(gè)進(jìn)程來(lái)提供對(duì)從公網(wǎng)到私有網(wǎng)絡(luò)的特殊協(xié)議路由,反之亦然。在一個(gè)應(yīng)用級(jí)的網(wǎng)關(guān)里,你想使用的每一個(gè)應(yīng)用程協(xié)議都需要一個(gè)進(jìn)程。因此,你想通過(guò)一臺(tái)堡壘主機(jī)來(lái)路由Email,Web和FTP服務(wù)時(shí),你必須為每一個(gè)服務(wù)都提供一個(gè)守護(hù)進(jìn)程。
強(qiáng)化操作系統(tǒng)
防火墻要求盡可能只配置必需的少量的服務(wù)。為了加強(qiáng)操作系統(tǒng)的穩(wěn)固性,防火墻安裝程序要禁止或刪除所有不需要的服務(wù)。多數(shù)的防火墻產(chǎn)品,包括Axent Raptor(www.axent.com),CheckPoint(www.checkpoint.com)和Network Associates Gauntlet (www.networkassociates.com)都可以在目前較流行的操作系統(tǒng)上運(yùn)行。如Axent Raptor防火墻就可以安裝在Windows NT Server.0,Solaris及HP-UX操作系統(tǒng)上。理論上來(lái)講,讓操作系統(tǒng)只提供最基本的功能,可以使利用系統(tǒng)BUG來(lái)攻擊的方法非常困難。最后,當(dāng)你加強(qiáng)你的系統(tǒng)時(shí),還要考慮到除了TCP/IP協(xié)議外不要把任何協(xié)議綁定到你的外部網(wǎng)卡上。
非軍事化區(qū)域(DMZ)
DMZ是一個(gè)小型網(wǎng)絡(luò)存在于公司的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。這個(gè)網(wǎng)絡(luò)由篩選路由器建立,有時(shí)是一個(gè)阻塞路由器。DMZ用來(lái)作為一個(gè)額外的緩沖區(qū)以進(jìn)一步隔離公網(wǎng)和你的內(nèi)部私有網(wǎng)絡(luò)。DMZ另一個(gè)名字叫做Service Network,因?yàn)樗浅7奖?。這種實(shí)施的缺點(diǎn)在于存在于DMZ區(qū)域的任何服務(wù)器都不會(huì)得到防火墻的完全保護(hù)。
篩選路由器
篩選路由器的另一個(gè)術(shù)語(yǔ)就是包過(guò)濾路由器并且至少有一個(gè)接口是連向公網(wǎng)的,如Internet。它是對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析,并按照一定的安全策略——信息過(guò)濾規(guī)則對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制,允許授權(quán)信息通過(guò),拒絕非授權(quán)信息通過(guò)。信息過(guò)濾規(guī)則是以其所收到的數(shù)據(jù)包頭信息為基礎(chǔ)的。采用這種技術(shù)的防火墻優(yōu)點(diǎn)在于速度快、實(shí)現(xiàn)方便,但安全性能差,且由于不同操作系統(tǒng)環(huán)境下TCP和UDP端口號(hào)所代表的應(yīng)用服務(wù)協(xié)議類型有所不同,故兼容性差。
阻塞路由器
阻塞路由器(也叫內(nèi)部路由器)保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受Internet和周邊網(wǎng)的侵犯。內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過(guò)濾工作。它允許從內(nèi)部網(wǎng)絡(luò)到Internet的有選擇的出站服務(wù)。這些服務(wù)是用戶的站點(diǎn)能使用數(shù)據(jù)包過(guò)濾而不是代理服務(wù)安全支持和安全提供的服務(wù)。內(nèi)部路由器所允許的在堡壘主機(jī)(在周邊網(wǎng)上)和用戶的內(nèi)部網(wǎng)之間服務(wù)可以不同于內(nèi)部路由器所允許的在Internet和用戶的內(nèi)部網(wǎng)之間的服務(wù)。限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致的受到來(lái)自堡壘主機(jī)侵襲的機(jī)器的數(shù)量。
防火墻默認(rèn)的配置
默認(rèn)情況下,防火墻可以配置成以下兩種情況:
·拒絕所有的流量,這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型。
·允許所有的流量,這種情況需要你特殊指定要拒絕的流量的類型。
可論證地,大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項(xiàng)。一旦你安裝防火墻后,你需要打開(kāi)一些必要的端口來(lái)使防火墻內(nèi)的用戶在通過(guò)驗(yàn)證之后可以訪問(wèn)系統(tǒng)。換句話說(shuō),如果你想讓你的員工們能夠發(fā)送和接收Email,你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開(kāi)啟允許POP和SMTP的進(jìn)程。
防火墻的一些高級(jí)特性
今天多數(shù)的防火墻系統(tǒng)組合包過(guò)濾,電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的功能。它們檢查單獨(dú)的數(shù)據(jù)包或整個(gè)信息包,然后利用事先訂制的規(guī)則來(lái)強(qiáng)制安全策略。只有那些可接受的數(shù)據(jù)包才能進(jìn)出整個(gè)網(wǎng)絡(luò)。當(dāng)你實(shí)施一個(gè)防火墻策略時(shí),這三種防火墻類型可能都需要。更高級(jí)的防火墻提供額外的功能可以增強(qiáng)你的網(wǎng)絡(luò)的安全性。盡管不是必需,每個(gè)防火墻都應(yīng)該實(shí)施日志記錄,哪怕是一些最基本的。
認(rèn) 證
防火墻是一個(gè)合理的放置提供認(rèn)證方法來(lái)避開(kāi)特定的IP包。你可以要求一個(gè)防火墻令牌(firewall token),或反向查詢一個(gè)IP地址。反向查詢可以檢查用戶是否真正地來(lái)自它所報(bào)告的源位置。這種技術(shù)有效地反擊IP欺騙的攻擊。防火墻還允許終端用戶認(rèn)證。應(yīng)用級(jí)網(wǎng)關(guān)或代理服務(wù)器可以工作在TCP/IP四層的每一層上。多數(shù)的代理服務(wù)器提供完整的用戶帳號(hào)數(shù)據(jù)庫(kù)。結(jié)合使用這些用戶帳號(hào)數(shù)據(jù)庫(kù)和代理服務(wù)器自定義的選項(xiàng)來(lái)進(jìn)行認(rèn)證。代理服務(wù)器還可以利用這些帳號(hào)數(shù)據(jù)庫(kù)來(lái)提供更詳細(xì)的日志。
日志和警報(bào)
包過(guò)濾或篩選路由器一般在默認(rèn)情況下為了不降低性能是不進(jìn)行日志記錄的。永遠(yuǎn)不要認(rèn)為你的防火墻會(huì)自動(dòng)地對(duì)所有活動(dòng)創(chuàng)建日志。篩選路由器只能記錄一些最基本的信息,而電路級(jí)網(wǎng)關(guān)也只能記錄相同的信息但除此之外還包括任何NAT解釋信息。因?yàn)槟阋诜阑饓ι蟿?chuàng)建一個(gè)阻塞點(diǎn),潛在的黑客必須要先穿過(guò)它。如果你放置全面記錄日志的設(shè)備并在防火墻本身實(shí)現(xiàn)這種技術(shù),那么你有可能捕獲到所有用戶的活動(dòng)包括那些黑客。你可以確切地知道黑客在做些什么并得到這些活動(dòng)信息代審計(jì)。一些防火墻允許你預(yù)先配置對(duì)不期望的活動(dòng)做何響應(yīng)。防火墻兩種最普通的活動(dòng)是中斷TCP/IP連接或自動(dòng)發(fā)出警告。相關(guān)的警報(bào)機(jī)制包括可見(jiàn)的和可聽(tīng)到的警告。
建立一個(gè)防火墻
在準(zhǔn)備和建立一個(gè)防火墻設(shè)備時(shí)要高度重視。以前,堡壘主機(jī)這個(gè)術(shù)語(yǔ)是指所有直接連入公網(wǎng)的設(shè)備?,F(xiàn)在,它經(jīng)常汲及到的是防火墻設(shè)備。堡壘主機(jī)可以是三種防火墻中的任一種類型:包過(guò)濾,電路級(jí)網(wǎng)關(guān),應(yīng)用級(jí)網(wǎng)關(guān)。
當(dāng)建設(shè)你的堡壘主機(jī)時(shí)要特別小心。堡壘主機(jī)的定義就是可公共訪問(wèn)的設(shè)備。當(dāng)Internet用戶企圖訪問(wèn)你網(wǎng)絡(luò)上的資源時(shí),首先進(jìn)入的機(jī)器就是堡壘主機(jī)。因?yàn)楸局鳈C(jī)是直接連接到Internet上的,其上面的所有信息都暴露在公網(wǎng)之上。這種高度地暴露規(guī)定了硬件和軟件的配置。堡壘主機(jī)就好像是在軍事基地上的警衛(wèi)一樣。警衛(wèi)必須檢查每個(gè)人的身份來(lái)確定他們是否可以進(jìn)入基地及可以訪問(wèn)基地中的什么地方。警衛(wèi)還經(jīng)常準(zhǔn)備好強(qiáng)制阻止進(jìn)入。同樣地,堡壘主機(jī)必須檢查所有進(jìn)入的流量并強(qiáng)制執(zhí)行在安全策略里所指定的規(guī)則。它們還必須準(zhǔn)備好對(duì)付從外部來(lái)的攻擊和可能來(lái)自內(nèi)部的資源。堡壘主機(jī)還有日志記錄及警報(bào)的特性來(lái)阻止攻擊。有時(shí)檢測(cè)到一個(gè)威脅時(shí)也會(huì)采取行動(dòng)。
設(shè)計(jì)規(guī)則
當(dāng)構(gòu)造防火墻設(shè)備時(shí),經(jīng)常要遵循下面兩個(gè)主要的概念。第一,保持設(shè)計(jì)的簡(jiǎn)單性。第二,要計(jì)劃好一旦防火墻被滲透應(yīng)該怎么辦。
保持設(shè)計(jì)的簡(jiǎn)單性
一個(gè)黑客滲透系統(tǒng)最常見(jiàn)的方法就是利用安裝在堡壘主機(jī)上不注意的組件。建立你的堡壘主機(jī)時(shí)要盡可能使用較小的組件,無(wú)論硬件還是軟件。堡壘主機(jī)的建立只需提供防火墻功能。在防火墻主機(jī)上不要安裝像WEB服務(wù)的應(yīng)用程序服務(wù)。要?jiǎng)h除堡壘主機(jī)上所有不必需的服務(wù)或守護(hù)進(jìn)程。在堡壘主機(jī)上運(yùn)行少量的服務(wù)給潛在的黑客很少的機(jī)會(huì)穿過(guò)防火墻。
安排事故計(jì)劃
如果你已設(shè)計(jì)好你的防火墻性能,只有通過(guò)你的防火墻才能允許公共訪問(wèn)你的網(wǎng)絡(luò)。當(dāng)設(shè)計(jì)防火墻時(shí)安全管理員要對(duì)防火墻主機(jī)崩潰或危及的情況作出計(jì)劃。如果你僅僅是用一個(gè)防火墻設(shè)備把內(nèi)部網(wǎng)絡(luò)和公網(wǎng)隔離開(kāi),那么黑客滲透進(jìn)你的防火墻后就會(huì)對(duì)你內(nèi)部的網(wǎng)絡(luò)有著完全訪問(wèn)的權(quán)限。為了防止這種滲透,要設(shè)計(jì)幾種不同級(jí)別的防火墻設(shè)備。不要依賴一個(gè)單獨(dú)的防火墻保護(hù)惟獨(dú)的網(wǎng)絡(luò)。如果你的安全受到損害,那你的安全策略要確定該做些什么。采取一些特殊的步驟,包括
· 創(chuàng)建同樣的軟件備份
· 配置同樣的系統(tǒng)并存儲(chǔ)到安全的地方
· 確保所有需要安裝到防火墻上的軟件都容易,這包括你要有恢復(fù)磁盤。
堡壘主機(jī)的類型
當(dāng)創(chuàng)建堡壘主機(jī)時(shí),要記住它是在防火墻策略中起作用的。識(shí)別堡壘主機(jī)的任務(wù)可以幫助你決定需要什么和如何配置這些設(shè)備。下面將討論三種常見(jiàn)的堡壘主機(jī)類型。這些類型不是單獨(dú)存在的,且多數(shù)防火墻都屬于這三類中的一種。
單宿主堡壘主機(jī)
單宿主堡壘主機(jī)是有一塊網(wǎng)卡的防火墻設(shè)備。單宿主堡壘主機(jī)通常是用于應(yīng)用級(jí)網(wǎng)關(guān)防火墻。外部路由器配置把所有進(jìn)來(lái)的數(shù)據(jù)發(fā)送到堡壘主機(jī)上,并且所有內(nèi)部客戶端配置成所有出去的數(shù)據(jù)都發(fā)送到這臺(tái)堡壘主機(jī)上。然后堡壘主機(jī)以安全方針作為依據(jù)檢驗(yàn)這些數(shù)據(jù)。這種類型的防火墻主要的缺點(diǎn)就是可以重配置路由器使信息直接進(jìn)入內(nèi)部網(wǎng)絡(luò),而完全繞過(guò)堡壘主機(jī)。還有,用戶可以重新配置他們的機(jī)器繞過(guò)堡壘主機(jī)把信息直接發(fā)送到路由器上。
雙宿主堡壘主機(jī)
雙宿主堡壘主機(jī)結(jié)構(gòu)是圍繞著至少具有兩塊網(wǎng)卡的雙宿主主機(jī)而構(gòu)成的。雙宿主主機(jī)內(nèi)外的網(wǎng)絡(luò)均可與雙宿主主機(jī)實(shí)施通信,但內(nèi)外網(wǎng)絡(luò)之間不可直接通信,內(nèi)外部網(wǎng)絡(luò)之間的數(shù)據(jù)流被雙宿主主機(jī)完全切斷。雙宿主主機(jī)可以通過(guò)代理或讓用戶直接注冊(cè)到其上來(lái)提供很高程度的網(wǎng)絡(luò)控制。它采用主機(jī)取代路由器執(zhí)行安全控制功能,故類似于包過(guò)濾防火墻。雙宿主機(jī)即一臺(tái)配有多個(gè)網(wǎng)絡(luò)接口的主機(jī),它可以用來(lái)在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行尋址。當(dāng)一個(gè)黑客想要訪問(wèn)你內(nèi)部設(shè)備時(shí),他 (她)必須先要攻破雙宿主堡壘主機(jī),這有希望讓你有足夠的時(shí)間阻止這種安全侵入和作出反應(yīng)。
單目的堡壘主機(jī)
單目的堡壘主機(jī)既可是單堡壘也可是多堡壘主機(jī)。經(jīng)常,根據(jù)公司的改變,需要新的應(yīng)用程序和技術(shù)。很多時(shí)候這些新的技術(shù)不能被測(cè)試并成為主要的安全突破口。你要為這些需要?jiǎng)?chuàng)建特定的堡壘主機(jī)。在上面安裝未測(cè)試過(guò)的應(yīng)用程序和服務(wù)不要危及到你的防火墻設(shè)備。使用單目的堡壘主機(jī)允許你強(qiáng)制執(zhí)行更嚴(yán)格的安全機(jī)制。舉個(gè)例子,你的公司可能決定實(shí)施一個(gè)新類型的流程序,假設(shè)公司的安全策略需要所有進(jìn)出的流量都要通過(guò)一個(gè)代理服務(wù)器送出,你要為這個(gè)表的流程序單獨(dú)地創(chuàng)建一個(gè)新代理服務(wù)器。在這個(gè)新的代理服務(wù)器上,你要實(shí)施用戶認(rèn)證和拒絕IP地址。使用這個(gè)單獨(dú)的代理服務(wù)器,不要危害到當(dāng)前的安全配置并且你可以實(shí)施更嚴(yán)格的安全機(jī)制如認(rèn)證。
內(nèi)部堡壘主機(jī)
內(nèi)部堡壘主機(jī)是標(biāo)準(zhǔn)的單堡壘或多堡壘主機(jī)存在于公司的內(nèi)部網(wǎng)絡(luò)中。它們一般用作應(yīng)用級(jí)網(wǎng)關(guān)接收所有從外部堡壘主機(jī)進(jìn)來(lái)的流量。當(dāng)外部防火墻設(shè)備受到損害時(shí)提供額外的安全級(jí)別。所有內(nèi)部網(wǎng)絡(luò)設(shè)備都要配置成通過(guò)內(nèi)部堡壘主機(jī)通信,這樣當(dāng)外部堡壘主機(jī)受到損害時(shí)不會(huì)造成影響。
四種常見(jiàn)的防火墻設(shè)計(jì)都提供一個(gè)確定的安全級(jí)別,一個(gè)簡(jiǎn)單的規(guī)則是越敏感的數(shù)據(jù)就要采取越廣泛的防火墻策略,這四種防火墻的實(shí)施都是建立一個(gè)過(guò)濾的距陣和能夠執(zhí)行和保護(hù)信息的點(diǎn)。這四種選擇是:
·篩選路由器
·單宿主堡壘主機(jī)
·雙宿主堡壘主機(jī)
·屏蔽子網(wǎng)
篩選路由器的選擇是最簡(jiǎn)單的,因此也是最常見(jiàn)的,大多數(shù)公司至少使用一個(gè)篩選路由器作為解決方案,因?yàn)樗行枰挠布呀?jīng)投入使用。用于創(chuàng)建篩選主機(jī)防火墻的兩個(gè)選擇是單宿主堡壘主機(jī)和雙宿主堡壘主機(jī)。不管是電路級(jí)還是應(yīng)用級(jí)網(wǎng)關(guān)的配置都要求所有的流量通過(guò)堡壘主機(jī)。最后一個(gè)常用的方法是篩選子網(wǎng)防火墻,利用額外的包過(guò)濾路由器來(lái)達(dá)到另一個(gè)安全的級(jí)別。