淺談防火墻技術(shù)
淺談防火墻技術(shù)
最新的防火墻技術(shù)是基于狀態(tài)檢查的,提供“動態(tài)包過濾”的功能?;跔顟B(tài)檢查的動態(tài)包過濾是一種新型的防火墻技術(shù),就象代理防火墻和包過濾路由器的交叉產(chǎn)物。下面就由學(xué)習啦小編跟大家談?wù)劮阑饓夹g(shù)的知識吧。
淺談防火墻技術(shù)一:
一、防火墻概述
防火墻是指一種將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開的方法,實際上是一種隔離控制技術(shù)。在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對信息資源的非法訪問,也可以阻止保密信息從受保護網(wǎng)絡(luò)上被非法輸出。通過限制與網(wǎng)絡(luò)或某一特定區(qū)域的通信,以達到防止非法用戶侵犯受保護網(wǎng)絡(luò)的目的。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度,它對兩個網(wǎng)絡(luò)之問傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進行檢查,來決定網(wǎng)絡(luò)之問的通信是否被允許:其中被保護的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò),未保護的網(wǎng)絡(luò)稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。應(yīng)用防火墻時,首先要明確防火墻的缺省策略,是接受還是拒絕。如果缺省策略是接受,那么沒有顯式拒絕的數(shù)據(jù)包可以通過防火墻;如果缺省策略是拒絕,那么沒有顯式接受的數(shù)據(jù)包不能通過防火墻。顯然后者的安全性更高。
防火墻不是一個單獨的計算機程序或設(shè)備。在理論上,防火墻是由軟件和硬件兩部分組成,用來阻止所有網(wǎng)絡(luò)問不受歡迎的信息交換,而允許那些可接受的通信。從邏輯上講,防火墻是分離器、限制器、分析器;從物理上講,防火墻由一組硬件設(shè)備(路由器、主計算機或者路由器、主計算機和配有適當軟件的網(wǎng)絡(luò)的多種組合)和適當?shù)能浖M成。
二、防火墻的基本類型
防火墻的基本類型包括包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT、應(yīng)用代理和狀態(tài)檢測。
1.包過濾
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?,?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判規(guī)則。
包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。
但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡(luò)信息進行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
2.網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址。
在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時,將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的,不需要用戶進行設(shè)置,用戶只要進行常規(guī)操作即可。
3.應(yīng)用代理
應(yīng)用代理完全接管了用戶與服務(wù)器的訪問,把用戶主機與服務(wù)器之間的數(shù)據(jù)包的交換通道給隔離起來。應(yīng)用代理不允許外部主機連接到內(nèi)部的網(wǎng)絡(luò),只允許內(nèi)部主機使用代理服務(wù)器訪問Internet主機,同時只有被認為””可信任的””代理服務(wù)器才可以允許通過應(yīng)用代理。在實際的應(yīng)用中,應(yīng)用代理的功能是由代理服務(wù)器來完成的。代理型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。
4.狀態(tài)檢測
防火墻技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用較普遍的一種技術(shù),傳統(tǒng)上防火墻基本分為兩大類,即包過濾防火墻和應(yīng)用網(wǎng)關(guān)防火墻,這兩種防火墻由于其受限的地方,逐漸不能適應(yīng)當前的需求,因此新一代的防火墻Stateful-inspection防火墻應(yīng)運而生,這種防火墻既繼承了傳統(tǒng)防火墻的優(yōu)點,又克服了傳統(tǒng)防火墻的缺點,是一種革新式的防火墻。
Stateful-inspection防火墻是新一代的防火墻技術(shù),由Check Point公司引入。它監(jiān)視每一個有效連接的狀態(tài),并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過防火墻。它在協(xié)議棧低層截取數(shù)據(jù)包,然后分析這些數(shù)據(jù)包,并且將當前數(shù)據(jù)包及其狀態(tài)信息和其前一時刻的數(shù)據(jù)包及其狀態(tài)信息進行比較,從而得到該數(shù)據(jù)包的控制信息,來達到保護網(wǎng)絡(luò)安全的目的。和應(yīng)用網(wǎng)關(guān)不同,Stateful-inspection防火墻使用用戶定義的過濾規(guī)則,不依賴預(yù)先的應(yīng)用信息,執(zhí)行效率比應(yīng)用網(wǎng)關(guān)高,而且它不識別特定的應(yīng)用信息,因此不用對不同的應(yīng)用信息制定不同的應(yīng)用規(guī)則,伸縮性好
三、防火墻的發(fā)展趨勢
1.新需求引發(fā)的技術(shù)走向
防火墻技術(shù)的發(fā)展離不開社會需求的變化,著眼未來,防火墻技術(shù)有的新需求如下:遠程辦公的增長:企事業(yè)在家辦公,這就要求防火墻既能抵抗外部攻擊,又能允許合法的遠程訪問,做到更細粒度的訪問控制?,F(xiàn)在一些廠商推出的(虛擬專用網(wǎng))技術(shù)就是很好的解決方式。只有以指定方式加密的數(shù)據(jù)包才能通過防火墻,這樣可以確保信息的保密性,又能成為識別入侵行為的手段。
2.黑客攻擊引發(fā)的技術(shù)走向
防火墻作為內(nèi)網(wǎng)的貼身保鏢。黑客攻擊的特點也決定了防火墻的技術(shù)走向。數(shù)據(jù)包的深度檢測:IT業(yè)界權(quán)威機構(gòu)Gagner認為代理不是阻止未來黑客攻擊的關(guān)鍵,但是防火墻應(yīng)能分辨并阻止數(shù)據(jù)包的惡意行為。包檢測的技術(shù)方案需要增加簽名檢測等新的功能,以查找已經(jīng)的攻擊,并分辨出哪些是正常的數(shù)據(jù)流,哪些是異常數(shù)據(jù)流。協(xié)同性:從黑客攻擊事件分析,對外提供Web等應(yīng)用的服務(wù)器是防護的重點。單單依靠防火墻難以防范所有的攻擊行為,這就需要將防火墻技術(shù)、入侵檢測技術(shù)、病毒檢測技術(shù)有效協(xié)同,共同完成保護網(wǎng)絡(luò)安全的任務(wù)。目前主要支持和IDS的聯(lián)動和認證服務(wù)器進行聯(lián)動。
現(xiàn)有防火墻技術(shù)仍無法給我們一個相當安全的網(wǎng)絡(luò)。攻擊時的變數(shù)太大,所以對網(wǎng)絡(luò)安全的需求對防火墻提出了更高的要求,在防火墻目前還不算長的生命周期中,雖然問題不斷,但是防火墻也從具有普通的過濾功能,逐步豐富了自身的功能,擔當了更重的任務(wù)。未來,防火墻將成為網(wǎng)絡(luò)安全技術(shù)中不可缺少的一部分。
淺談防火墻技術(shù)二:
一、防火墻的概念
防火墻是網(wǎng)絡(luò)安全工具中最早成熟、最早產(chǎn)品化的。網(wǎng)絡(luò)防火墻一般定義為兩個網(wǎng)絡(luò)間執(zhí)行訪問控制策略的一個或一組系統(tǒng)。防火墻現(xiàn)在已成為許多組織將其內(nèi)部網(wǎng)介入外部網(wǎng)所必需的安全措施了。特別意義上說,防火墻是部件和系統(tǒng)的匯集器,它置于兩個網(wǎng)絡(luò)之間,并具有如下特性:所有從內(nèi)部通向外部的通信業(yè)務(wù)都必須經(jīng)過它;只有被預(yù)定本地安全策略授權(quán)的信息流才被允許通過;該系統(tǒng)自身具有很高的抗攻擊能力。簡言之,防火墻是由于保護可信網(wǎng)絡(luò)免受非可信網(wǎng)絡(luò)的威脅,同時仍允許雙方通信。
二、防火墻的功能
本質(zhì)上來講,防火墻認為是兩個網(wǎng)絡(luò)間的隔斷,只允許所選定的一些形式的通信通過。防火墻另外一個重要特征是它自身抵抗攻擊的能力:防火墻自身應(yīng)當不易被攻入,因為攻入防火墻就給攻擊者進入內(nèi)部網(wǎng)一個立足點。從安全需求看,理想的防火墻應(yīng)具備以下功能:能夠分析進出網(wǎng)絡(luò)的數(shù)據(jù);能夠通過識別、認證和授權(quán)對進出網(wǎng)絡(luò)的行為進行訪問控制;能夠封堵安全策略禁止的業(yè)務(wù);能夠?qū)徲嫺櫷ㄟ^的信息內(nèi)容和活動;能夠?qū)W(wǎng)絡(luò)入侵行為進行檢測和報警。
三、防火墻的類型
1.應(yīng)用網(wǎng)關(guān)(也稱為基于代理的)防火墻
它通常被配置為“雙宿主網(wǎng)關(guān)”,具有兩個網(wǎng)絡(luò)接口卡,同時介入內(nèi)部和外部網(wǎng)。由于網(wǎng)關(guān)可以與兩個網(wǎng)絡(luò)通信,它是安裝傳遞數(shù)據(jù)軟件的理想位置。這種軟件就成為“代理”,通常是為其所提供的服務(wù)定制的。代理服務(wù)不允許字節(jié)連接,而是與代理服務(wù)器通信。各個應(yīng)用代理在用戶和服務(wù)之間處理所有的通信,能夠?qū)νㄟ^它的數(shù)據(jù)進行詳細的審計追蹤。代理級防火墻具有以下主要優(yōu)點:代理服務(wù)可以識別并實施高層協(xié)議,如http和ftp等;代理服務(wù)包含通過防火墻服務(wù)器的通信信息;通過提供透明服務(wù),可以讓使用代理的用戶感覺在直接與外部通信。
2.基于狀態(tài)檢查的動態(tài)包過濾防火墻
目前,最新的防火墻技術(shù)是基于狀態(tài)檢查的,提供“動態(tài)包過濾”的功能。基于狀態(tài)檢查的動態(tài)包過濾是一種新型的防火墻技術(shù),就象代理防火墻和包過濾路由器的交叉產(chǎn)物。對終端用戶來講,它看起來只工作在網(wǎng)絡(luò)層,但事實上該防火墻同代理防火墻一樣可在應(yīng)用層檢查流經(jīng)的通信。它能夠監(jiān)視活動連接的狀態(tài)并根據(jù)這些信息決定哪些包允許通過防火墻,對通過安全邊界的數(shù)據(jù)使用虛連接。如果一個相應(yīng)包產(chǎn)生并返回給原請求者,則虛連接建立并允許該包通過防火墻,該連接終止即斷開此虛連接,相當于動態(tài)地更改安全規(guī)則庫。
四、防火墻的體系結(jié)構(gòu)
1.屏蔽路由器(ScreeningRouter)
屏蔽路由器可以由廠家專門生產(chǎn)的路由器實現(xiàn),也可以用主機來實現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道,要求所有的報文都必須在此通過檢查。路由器上可以安裝基于IP層的報文過濾軟件,實現(xiàn)報文過濾功能。許多路由器本身帶有報文過濾配置選項,但一般比較簡單。單純由屏蔽路由器構(gòu)成的防火墻的危險包括路由器本身及路由器允許訪問的主機。屏蔽路由器的缺點是一旦被攻擊后很難發(fā)現(xiàn),而且不能識別不同的用戶。
2.雙穴主機網(wǎng)關(guān)(DualHomedGateway)
雙穴主機網(wǎng)關(guān)是用一臺裝有兩塊網(wǎng)卡的堡壘主機做防火墻。兩塊網(wǎng)卡各自與受保護網(wǎng)和外部網(wǎng)相連。堡壘主機上運行著防火墻軟件,可以轉(zhuǎn)發(fā)應(yīng)用程序,提供服務(wù)等。與屏蔽路由器相比,雙穴主機網(wǎng)關(guān)堡壘主機的系統(tǒng)軟件可用于維護系統(tǒng)日志、硬件拷貝日志或遠程日志。但弱點也比較突出,一旦黑客侵入堡壘主機并使其只具有路由功能,任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)。
3.被屏蔽主機網(wǎng)關(guān)(ScreenedGatewy)
屏蔽主機網(wǎng)關(guān)易于實現(xiàn)也最為安全。一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上,通常在路由器上設(shè)立過濾規(guī)則,并使這個堡壘主機成為從外部網(wǎng)絡(luò)唯一可直接到達的主機,這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。如果受保護網(wǎng)是一個虛擬擴展的本地網(wǎng),即沒有子網(wǎng)和路由器,那么內(nèi)部網(wǎng)的變化不影響堡壘主機和屏蔽路由器的配置。危險帶限制在堡壘主機和屏蔽路由器,網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者沒法登錄到它上面,內(nèi)網(wǎng)中的其余主機就會受到很大威脅。這與雙穴主機網(wǎng)關(guān)受攻擊時的情形差不多。
4.被屏蔽子網(wǎng)(ScreenedSubnet)
被屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng),用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實現(xiàn)中,兩個分組過濾路由器放在子網(wǎng)的兩端,在子網(wǎng)內(nèi)構(gòu)成一個DNS,內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng),但禁止它們穿過被屏蔽子網(wǎng)通信。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機作為唯一可訪問點,支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險僅包括堡壘主機、子網(wǎng)主機及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。如果攻擊者試圖完全破壞防火墻,他必須重新配置連接三個網(wǎng)的路由器,既不切斷連接又不要把自己鎖在外面,同時又不使自己被發(fā)現(xiàn),這樣也還是可能的。但若禁止網(wǎng)絡(luò)訪問路由器或只允許內(nèi)網(wǎng)中的某些主機訪問它,則攻擊會變得很困難。