荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Lg (创造人生的传奇), 信区: Linux
标 题: 防火墙技术综论[Fwd]
发信站: BBS 荔园晨风站 (Fri Jan 15 23:37:50 1999), 站内信件
【 以下文字转载自 Lg 的信箱 】
【 原文由 liugang.bbs@bbs.net.tsinghua.edu.cn 所发表 】
发信人: km (中科院的肉丸子纯属骗局), 信区: Security
标 题: 防火墙技术综论[Fwd]
发信站: BBS 水木清华站 (Wed Nov 25 18:14:13 1998)
一、网络安全 迫在眉睫
随着世界各国信息基础设施的逐渐形成,国与国之间变得
“近在咫尺”。如今,因特网已经成为信息化社会发展的
重要保证。它已深入到国家的政治、军事、经济、文教等
诸多领域。许多重要的政府宏观调控决策、商业经济信息、
银行资金转帐、股票证券、能源资源数据、科研数据等重
要信息都通过网络存贮、传输和处理。因此,难免会吸引
各种主动或被动的人为攻击。例如信息泄漏、信息窃取、
数据篡改、数据删除、计算机病毒等。由此可见,保护网
络安全已经成为迫在眉睫的重要问题。没有网络安全就没
有社会信息化!
网络安全之目的是保护网络系统的硬件、软件及其系统中
的数据,使其不因偶然或恶意的原因而遭到破坏、更改、
泄露。保证系统连续正常运行,网络服务不的信息安全。
网络安全关系到国家主权、社会稳定、民族文化的继承和
发扬。到目前为止,已经研制出多种网络安全关键技术,
比如,主机安全技术、身份认证技术、访问控制技术、密
码技术、防火墙技术、安全审计技术、安全管理技术等。
本文将重点介绍防火墙技术。
二、防火墙应运而生
因特网防火墙是一种主要的网络安全保障技术,它用于增
强内部网络安全性,决定哪些内部服务可以被上界访问、
外界的些人可以顺内部的哪些服务、以及哪些外部服务可
以被内部人员访问。安全可靠的防火墙只允许授 权的数据
通过,并且它本身也必须能够免于渗透,因为一旦防火墙
系统被攻击者突破或迂回,便无安全性可言了。防火墙是
安全策略的一个重要组成部分。仅设立防火墙系统,而没
有全面的安全策略,那么防火墙就形同虚设。安全策略建
立了全方位的防御体系,甚至包括告诉用户应有的责任、
公司规定的网络访问、服务访问、本地和远地的用户认证、
拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培
训等。总之,所有可能受到攻击的地方都必须同等安全级别
加以保护。
1.防火墙能解哪些燃眉之急
防火墙的主要作用体现在以下几个方面:
防火墙正负责管理外部网络和内部网络之间的访问。在没有
防火墙时,内部网络上的每个节点都暴露给外部网上的其它
主机,极易受到攻击。防火墙允许网络管理员定义一个中心
“扼制点”来防止非法用户,如黑客、网络破坏者等进入内
部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自
各种路线的攻击。防火墙还能够简化网络的安全管理。
通过防火墙可以很方便地监视网络的安全性,并产生报警信
号。应该注意的是: 对一个与外部网络相连的内部网络来说,
重要的问题并不是网络是否会受到攻击,而是何时会受到攻
击。网络管理员必须审计并记录所有通过防火墙的重要信息。
防火墙可以作为部署NAAT(网络地址变换)的逻辑地址。因此
它可以用来缓解地址空间短缺的问题,并消除机构在变换IPS
时带来的重新编址的麻烦。防火墙是审计和记录外部网络使
用量的一个最佳地方。网络管理员可以在此向管理部门提供
外部网络的连接费用情况,查出潜在的带宽瓶颈位置,并能
够根据机构的核算模式提供部门级的计费。防火墙也可以成
为向客户发布信息的地点。它是非常理想的部署WWW服务器和
FTP服务器的地点。还可以对防火墙进行配置,允许外部网访
问上述服务,而禁止外部对受保护的内部网络上其它系统的
访问。
2.防火墙不能防什么“火”
没有万能的网络安全技术,防火墙也不例外。比如,它至少
有以下局限:
防火墙无防范通过防火墙以外的其它途径的攻击。例如,在
一个槐;さ耐缟嫌幸桓雒挥邢拗频牟Τ龃嬖冢诓客缟
系挠没Ь涂?以直接通过SLIP或PPP连接进入外部网络。
防火墙不能防止来自内部变节者和粗心用户带来的威胁。比
如: 防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软
盘上。防火墙也不能防范那些伪装成超级用户或诈称新雇员
的黑客们劝说没有防范心理的用户公开其口令工授予其临时
的网络访问权限。
防火墙不能防止传送已感染病毒的软件或文件。所以不能期
望病毒的软件或文件。所以不能期望防火墙去对每一个文件
进行扫描,查出潜在的病毒。防火墙无法防范数据驱动型的
攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或
拷贝到因特网主机上。但一旦执行就形成攻 可能导致主机
修改与安全相关的文件,使得入侵者容易获得对系统的访问
权。
3.“解剖”防火墙
在设计防火墙时,网络管理员必须事实求是地做出以下选择:
整体安全策略、经济费用、系统组件或构件等。典型的防火
墙由一个或多个构件组成: 包过渡路由器、应用层网关(或
代理服务器)、电路层网关。
(1)包过滤路由器。它允许或拒绝所接收的每个数据包。路
由器审查每个数据包以便确定其是否与某一条包过滤规则匹
配。过滤规则基于可以提供给IP转发过程的包头信息。包头
信息中包括IP源地址、IP目标端F地址、内装协议(ICP、UDP、
ICMP或IPTunnel)、TCP/UDP目标端口、ICMP消息类型等。
如果包的出入接口相匹配,并且规则允许该数据包,那么该
数据包变会按照路由表中的信息被转发。但是,即使是包的
出入接口相匹配,但是规则拒绝该数据包,那么该数据包就
会被丢弃。如果出入接口不设有匹配规则,用户配置的缺省
参数会决定是转发还是丢弃数据包。
包过滤路由器使得路由器能够根据特定的服务允许或拒绝棣
以动的数据,因为多数的服务收听者都在已知的TCP/UDP端口
号上。例如,Tclnet服务器在TCP的23号端口上监听远地连接,
SMTP服务器在TCP的25号端口上监听人连接。路由器只需简单
地丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet
连接限制到内部的数台机器上,路由器必须拒绝所有TCP端口
号等于23并且目标IP地址不等于允许主机的IP地址的数据包。
包过滤路由器遇到的常见攻击主要有:
源IP地址欺骗式攻击。这种类型的攻击的特点是入侵者从外
部传输一个假装是来自内部主机的数据包,即数据包中所包
含的IP地址为内部网络上的IP的址。入侵者希望借助于一个
假的源IP地址就能渗透到一个只使用了源地址安全功能的系
统中。中这样的系统中,来自内部的信任主机的数据包被接
受,而来自其它主机的数据包全部被丢弃。挫败此类攻击的
方法是: 丢弃所有来自路由器外部端口的使用内部源地址的
数据包。源路由攻击。此类攻击的特点是源站指定了数据包
在因特网中所走的路线。防止方法是: 丢弃所有包含源路由
选项的数据包。极小数据段式攻击。此类攻击的特点是入侵
者使用了IP分段的特性,创建极小的分段并强行将TCP头信息
分成多个数据包段。这种攻击意在绕过用户定义的过滤规则。
防止方法是: 丢弃协议类型为TCP,IP Fragment Offset等于
1的数据包。
(2)应用层网关。应用层网关使得网络管理员能够实现比
包过滤路由器更严格的安全策略。应用层网关不用依赖
包过滤器工具来管理因特网服务在防火墙系统中的进出,
而是采用为每种所需服务安装在网关上特殊代码(代理服
务)的方式来管理因特网服务。如果网络管理员没有为某
种应用安装代理编码,那么该项服务就不支持并不能通
过防火墙系统来转发。同时,代理编码可以配置成只支
持网络管理员认为必须的部分功能。允许用户访问代理
服务是很重要的; 但是用户是娋圆辉市碜⒉岬接τ貌
阃刂械摹7裨蛳低车陌踩突崾艿酵玻?因为入侵者
可能会在暗地里进行某些损害防火墙有效性的动作。例
如,入侵者获得Root权限,安装特洛伊马来截取口令,
并修改防火墙的安全配置文件等。
(3)电路层网关。电路层网关具有一个特殊的功能,它可
以由应用网关来完成。电路层网关只依赖于TCP连接,并
不进行任何附加的包处理或过滤。电路层网关简单地中
继Telnet连接,并不做任何审查、过滤或TTelnet协议管
理。电路层网关就象电线一样,只是在内部连接和外部
连接之间来回拷贝字节。但是由于连接似乎是起源于防
火墙,其隐藏了受保护网络的有关信息。
4.防火墙“家谱”
根据网络环境、性能与价格等方面的具体情况,防火墙
的种类出千差万别。有的可用于守“国门”,有的则只
能用于守“家门”。下面简要介绍几种常见的防火墙系
统。
(1)屏蔽主机防火墙。屏蔽主机防火墙由包过滤路由器堡
垒主机组成。这个防火墙系统提供的安全等级比包过滤防
火墙系统要高,因为它实现了网络层安全(包过滤)和应用
层安全(代理服务)。所以入侵者在破坏内部网络的安全性
之前,必须首先渗透两种不同的安全系统。堡垒主机配置
在内部网络上,而包过滤路由器则放置在内部网络和外部
网络之间。在路由器上进行规则配置,使得外部系统只能
访问堡垒主机,去往内部系统上其它主机的信息全部被阻
塞。由于内部主机与堡垒主机处于同一个网络,内部系统
是否允许直接访问外部网,或者是要求使用堡垒主机上的
代理服务来访问外部网由机构的安全策略来决定。对路由
器的过滤规则进行配置,使得其只接受来自堡垒主机的
内部数据包,就可以强制内部用户使用代理服务。
(2)屏蔽防火墙系统(双宿堡垒主机)。用双宿堡垒主机甚
至可以构造更加安全的防火墙系统。双宿堡垒主机有两种
网络接口,但是主机在两个端口之间直接转发信息的功能
被并掉了。这种物理结构强行将所有去往内部网络的信息
经过堡垒主机,并且在外部用户被授予直接访问信息服务
器的权力时,提供附加的安全性。
由于堡垒主机是唯一能从外部网上直接访问的内部系统,
所以有可能受到攻击的主机就只有堡垒主机本身。但是,
如果允许用户注册到堡垒主机,那么整个内部网络上的主
机都会受到攻击的威胁。这是因为,对于入侵者来说,如
果允许注册,破坏堡垒主机相对比较容易。牢固可靠,避
免被渗透和不允许用户注册对堡垒主机来说是至关重要的。
(3)DMZ或屏蔽子网防火墙。DMZ用子两个包过滤路由器和一
个堡驿主机。它是最安全的防火墙系统之一,因为在定义了
“非军事区”(DMZ)网络后,它支持网络层和应用层安全功
能。网络管理员将堡垒主机、信息服务器、Modem组,以及
其它公用服务器放在DMZ网络中。DMZ网络奶小,处于外部网
和内部网络之间。在一般情况下对DMZ配置成使用外部网和
内部网络系统能够访问DMZ网络上数目有限的系统,严格禁
止通过DMZ网络直接进行信息传输。对于进来的信息,外面
的路由器用于防范通常的外部攻击(如源地址欺骗和源路由
攻击),并管理外部网到DMZ网络的访问。它只允许外部系统
访问堡垒主机(带可能有信息服务器)。里面路由器提供第二
层防御,只接受源于堡垒主机的数据包,不负责的是管理DMZ
到内部网络的访问。对于去往外部网的数据包,里面的路由
器管理内部网络到DMZ网络的访问。它允许内部系统只访问
堡垒主机(还可能有信息服务器)。外部的路由器上的过滤
规则要求使用代理服务(只接受来自堡垒主机的去往Internet
的数据包)。
三、结束语
防火墙仅仅是机构总体安全策略的一部分。机构总体安全
策略定义了安全防御的方方面面。为确保万无一失,机构
必须知道其保护的是什么。机构的安全策略必须建立在精
心进行的安全分析、风险评估,以及商业需求分析基础之
上
作者 : 北京邮电大学 杨义先等
--
※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.130.229.122]
--
※ 转载:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: 210.39.0.80]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店