淺談防火墻技術(shù)
淺談防火墻技術(shù)
最新的防火墻技術(shù)是基于狀態(tài)檢查的,提供“動(dòng)態(tài)包過濾”的功能?;跔顟B(tài)檢查的動(dòng)態(tài)包過濾是一種新型的防火墻技術(shù),就象代理防火墻和包過濾路由器的交叉產(chǎn)物。下面就由學(xué)習(xí)啦小編跟大家談?wù)劮阑饓夹g(shù)的知識(shí)吧。
淺談防火墻技術(shù)一:
一、防火墻概述
防火墻是指一種將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開的方法,實(shí)際上是一種隔離控制技術(shù)。在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對(duì)信息資源的非法訪問,也可以阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。通過限制與網(wǎng)絡(luò)或某一特定區(qū)域的通信,以達(dá)到防止非法用戶侵犯受保護(hù)網(wǎng)絡(luò)的目的。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度,它對(duì)兩個(gè)網(wǎng)絡(luò)之問傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對(duì)其進(jìn)行檢查,來決定網(wǎng)絡(luò)之問的通信是否被允許:其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò),未保護(hù)的網(wǎng)絡(luò)稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。應(yīng)用防火墻時(shí),首先要明確防火墻的缺省策略,是接受還是拒絕。如果缺省策略是接受,那么沒有顯式拒絕的數(shù)據(jù)包可以通過防火墻;如果缺省策略是拒絕,那么沒有顯式接受的數(shù)據(jù)包不能通過防火墻。顯然后者的安全性更高。
防火墻不是一個(gè)單獨(dú)的計(jì)算機(jī)程序或設(shè)備。在理論上,防火墻是由軟件和硬件兩部分組成,用來阻止所有網(wǎng)絡(luò)問不受歡迎的信息交換,而允許那些可接受的通信。從邏輯上講,防火墻是分離器、限制器、分析器;從物理上講,防火墻由一組硬件設(shè)備(路由器、主計(jì)算機(jī)或者路由器、主計(jì)算機(jī)和配有適當(dāng)軟件的網(wǎng)絡(luò)的多種組合)和適當(dāng)?shù)能浖M成。
二、防火墻的基本類型
防火墻的基本類型包括包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT、應(yīng)用代理和狀態(tài)檢測(cè)。
1.包過濾
包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?,?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判規(guī)則。
包過濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。
但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻。
2.網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。
在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí),將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口,讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí),防火墻認(rèn)為訪問是安全的,可以接受訪問請(qǐng)求,也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí),防火墻認(rèn)為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。
3.應(yīng)用代理
應(yīng)用代理完全接管了用戶與服務(wù)器的訪問,把用戶主機(jī)與服務(wù)器之間的數(shù)據(jù)包的交換通道給隔離起來。應(yīng)用代理不允許外部主機(jī)連接到內(nèi)部的網(wǎng)絡(luò),只允許內(nèi)部主機(jī)使用代理服務(wù)器訪問Internet主機(jī),同時(shí)只有被認(rèn)為””可信任的””代理服務(wù)器才可以允許通過應(yīng)用代理。在實(shí)際的應(yīng)用中,應(yīng)用代理的功能是由代理服務(wù)器來完成的。代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。
4.狀態(tài)檢測(cè)
防火墻技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用較普遍的一種技術(shù),傳統(tǒng)上防火墻基本分為兩大類,即包過濾防火墻和應(yīng)用網(wǎng)關(guān)防火墻,這兩種防火墻由于其受限的地方,逐漸不能適應(yīng)當(dāng)前的需求,因此新一代的防火墻Stateful-inspection防火墻應(yīng)運(yùn)而生,這種防火墻既繼承了傳統(tǒng)防火墻的優(yōu)點(diǎn),又克服了傳統(tǒng)防火墻的缺點(diǎn),是一種革新式的防火墻。
Stateful-inspection防火墻是新一代的防火墻技術(shù),由Check Point公司引入。它監(jiān)視每一個(gè)有效連接的狀態(tài),并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過防火墻。它在協(xié)議棧低層截取數(shù)據(jù)包,然后分析這些數(shù)據(jù)包,并且將當(dāng)前數(shù)據(jù)包及其狀態(tài)信息和其前一時(shí)刻的數(shù)據(jù)包及其狀態(tài)信息進(jìn)行比較,從而得到該數(shù)據(jù)包的控制信息,來達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。和應(yīng)用網(wǎng)關(guān)不同,Stateful-inspection防火墻使用用戶定義的過濾規(guī)則,不依賴預(yù)先的應(yīng)用信息,執(zhí)行效率比應(yīng)用網(wǎng)關(guān)高,而且它不識(shí)別特定的應(yīng)用信息,因此不用對(duì)不同的應(yīng)用信息制定不同的應(yīng)用規(guī)則,伸縮性好
三、防火墻的發(fā)展趨勢(shì)
1.新需求引發(fā)的技術(shù)走向
防火墻技術(shù)的發(fā)展離不開社會(huì)需求的變化,著眼未來,防火墻技術(shù)有的新需求如下:遠(yuǎn)程辦公的增長:企事業(yè)在家辦公,這就要求防火墻既能抵抗外部攻擊,又能允許合法的遠(yuǎn)程訪問,做到更細(xì)粒度的訪問控制?,F(xiàn)在一些廠商推出的(虛擬專用網(wǎng))技術(shù)就是很好的解決方式。只有以指定方式加密的數(shù)據(jù)包才能通過防火墻,這樣可以確保信息的保密性,又能成為識(shí)別入侵行為的手段。
2.黑客攻擊引發(fā)的技術(shù)走向
防火墻作為內(nèi)網(wǎng)的貼身保鏢。黑客攻擊的特點(diǎn)也決定了防火墻的技術(shù)走向。數(shù)據(jù)包的深度檢測(cè):IT業(yè)界權(quán)威機(jī)構(gòu)Gagner認(rèn)為代理不是阻止未來黑客攻擊的關(guān)鍵,但是防火墻應(yīng)能分辨并阻止數(shù)據(jù)包的惡意行為。包檢測(cè)的技術(shù)方案需要增加簽名檢測(cè)等新的功能,以查找已經(jīng)的攻擊,并分辨出哪些是正常的數(shù)據(jù)流,哪些是異常數(shù)據(jù)流。協(xié)同性:從黑客攻擊事件分析,對(duì)外提供Web等應(yīng)用的服務(wù)器是防護(hù)的重點(diǎn)。單單依靠防火墻難以防范所有的攻擊行為,這就需要將防火墻技術(shù)、入侵檢測(cè)技術(shù)、病毒檢測(cè)技術(shù)有效協(xié)同,共同完成保護(hù)網(wǎng)絡(luò)安全的任務(wù)。目前主要支持和IDS的聯(lián)動(dòng)和認(rèn)證服務(wù)器進(jìn)行聯(lián)動(dòng)。
現(xiàn)有防火墻技術(shù)仍無法給我們一個(gè)相當(dāng)安全的網(wǎng)絡(luò)。攻擊時(shí)的變數(shù)太大,所以對(duì)網(wǎng)絡(luò)安全的需求對(duì)防火墻提出了更高的要求,在防火墻目前還不算長的生命周期中,雖然問題不斷,但是防火墻也從具有普通的過濾功能,逐步豐富了自身的功能,擔(dān)當(dāng)了更重的任務(wù)。未來,防火墻將成為網(wǎng)絡(luò)安全技術(shù)中不可缺少的一部分。
淺談防火墻技術(shù)二:
一、防火墻的概念
防火墻是網(wǎng)絡(luò)安全工具中最早成熟、最早產(chǎn)品化的。網(wǎng)絡(luò)防火墻一般定義為兩個(gè)網(wǎng)絡(luò)間執(zhí)行訪問控制策略的一個(gè)或一組系統(tǒng)。防火墻現(xiàn)在已成為許多組織將其內(nèi)部網(wǎng)介入外部網(wǎng)所必需的安全措施了。特別意義上說,防火墻是部件和系統(tǒng)的匯集器,它置于兩個(gè)網(wǎng)絡(luò)之間,并具有如下特性:所有從內(nèi)部通向外部的通信業(yè)務(wù)都必須經(jīng)過它;只有被預(yù)定本地安全策略授權(quán)的信息流才被允許通過;該系統(tǒng)自身具有很高的抗攻擊能力。簡(jiǎn)言之,防火墻是由于保護(hù)可信網(wǎng)絡(luò)免受非可信網(wǎng)絡(luò)的威脅,同時(shí)仍允許雙方通信。
二、防火墻的功能
本質(zhì)上來講,防火墻認(rèn)為是兩個(gè)網(wǎng)絡(luò)間的隔斷,只允許所選定的一些形式的通信通過。防火墻另外一個(gè)重要特征是它自身抵抗攻擊的能力:防火墻自身應(yīng)當(dāng)不易被攻入,因?yàn)楣ト敕阑饓徒o攻擊者進(jìn)入內(nèi)部網(wǎng)一個(gè)立足點(diǎn)。從安全需求看,理想的防火墻應(yīng)具備以下功能:能夠分析進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù);能夠通過識(shí)別、認(rèn)證和授權(quán)對(duì)進(jìn)出網(wǎng)絡(luò)的行為進(jìn)行訪問控制;能夠封堵安全策略禁止的業(yè)務(wù);能夠?qū)徲?jì)跟蹤通過的信息內(nèi)容和活動(dòng);能夠?qū)W(wǎng)絡(luò)入侵行為進(jìn)行檢測(cè)和報(bào)警。
三、防火墻的類型
1.應(yīng)用網(wǎng)關(guān)(也稱為基于代理的)防火墻
它通常被配置為“雙宿主網(wǎng)關(guān)”,具有兩個(gè)網(wǎng)絡(luò)接口卡,同時(shí)介入內(nèi)部和外部網(wǎng)。由于網(wǎng)關(guān)可以與兩個(gè)網(wǎng)絡(luò)通信,它是安裝傳遞數(shù)據(jù)軟件的理想位置。這種軟件就成為“代理”,通常是為其所提供的服務(wù)定制的。代理服務(wù)不允許字節(jié)連接,而是與代理服務(wù)器通信。各個(gè)應(yīng)用代理在用戶和服務(wù)之間處理所有的通信,能夠?qū)νㄟ^它的數(shù)據(jù)進(jìn)行詳細(xì)的審計(jì)追蹤。代理級(jí)防火墻具有以下主要優(yōu)點(diǎn):代理服務(wù)可以識(shí)別并實(shí)施高層協(xié)議,如http和ftp等;代理服務(wù)包含通過防火墻服務(wù)器的通信信息;通過提供透明服務(wù),可以讓使用代理的用戶感覺在直接與外部通信。
2.基于狀態(tài)檢查的動(dòng)態(tài)包過濾防火墻
目前,最新的防火墻技術(shù)是基于狀態(tài)檢查的,提供“動(dòng)態(tài)包過濾”的功能?;跔顟B(tài)檢查的動(dòng)態(tài)包過濾是一種新型的防火墻技術(shù),就象代理防火墻和包過濾路由器的交叉產(chǎn)物。對(duì)終端用戶來講,它看起來只工作在網(wǎng)絡(luò)層,但事實(shí)上該防火墻同代理防火墻一樣可在應(yīng)用層檢查流經(jīng)的通信。它能夠監(jiān)視活動(dòng)連接的狀態(tài)并根據(jù)這些信息決定哪些包允許通過防火墻,對(duì)通過安全邊界的數(shù)據(jù)使用虛連接。如果一個(gè)相應(yīng)包產(chǎn)生并返回給原請(qǐng)求者,則虛連接建立并允許該包通過防火墻,該連接終止即斷開此虛連接,相當(dāng)于動(dòng)態(tài)地更改安全規(guī)則庫。
四、防火墻的體系結(jié)構(gòu)
1.屏蔽路由器(ScreeningRouter)
屏蔽路由器可以由廠家專門生產(chǎn)的路由器實(shí)現(xiàn),也可以用主機(jī)來實(shí)現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道,要求所有的報(bào)文都必須在此通過檢查。路由器上可以安裝基于IP層的報(bào)文過濾軟件,實(shí)現(xiàn)報(bào)文過濾功能。許多路由器本身帶有報(bào)文過濾配置選項(xiàng),但一般比較簡(jiǎn)單。單純由屏蔽路由器構(gòu)成的防火墻的危險(xiǎn)包括路由器本身及路由器允許訪問的主機(jī)。屏蔽路由器的缺點(diǎn)是一旦被攻擊后很難發(fā)現(xiàn),而且不能識(shí)別不同的用戶。
2.雙穴主機(jī)網(wǎng)關(guān)(DualHomedGateway)
雙穴主機(jī)網(wǎng)關(guān)是用一臺(tái)裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。堡壘主機(jī)上運(yùn)行著防火墻軟件,可以轉(zhuǎn)發(fā)應(yīng)用程序,提供服務(wù)等。與屏蔽路由器相比,雙穴主機(jī)網(wǎng)關(guān)堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。但弱點(diǎn)也比較突出,一旦黑客侵入堡壘主機(jī)并使其只具有路由功能,任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)。
3.被屏蔽主機(jī)網(wǎng)關(guān)(ScreenedGatewy)
屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也最為安全。一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上,通常在路由器上設(shè)立過濾規(guī)則,并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī),這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。如果受保護(hù)網(wǎng)是一個(gè)虛擬擴(kuò)展的本地網(wǎng),即沒有子網(wǎng)和路由器,那么內(nèi)部網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置。危險(xiǎn)帶限制在堡壘主機(jī)和屏蔽路由器,網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者沒法登錄到它上面,內(nèi)網(wǎng)中的其余主機(jī)就會(huì)受到很大威脅。這與雙穴主機(jī)網(wǎng)關(guān)受攻擊時(shí)的情形差不多。
4.被屏蔽子網(wǎng)(ScreenedSubnet)
被屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng),用兩臺(tái)分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)中,兩個(gè)分組過濾路由器放在子網(wǎng)的兩端,在子網(wǎng)內(nèi)構(gòu)成一個(gè)DNS,內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng),但禁止它們穿過被屏蔽子網(wǎng)通信。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為唯一可訪問點(diǎn),支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險(xiǎn)僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。如果攻擊者試圖完全破壞防火墻,他必須重新配置連接三個(gè)網(wǎng)的路由器,既不切斷連接又不要把自己鎖在外面,同時(shí)又不使自己被發(fā)現(xiàn),這樣也還是可能的。但若禁止網(wǎng)絡(luò)訪問路由器或只允許內(nèi)網(wǎng)中的某些主機(jī)訪問它,則攻擊會(huì)變得很困難。