荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: fbird (jack), 信区: Hacker
标 题: 防火墙基础知识(4)
发信站: BBS 荔园晨风站 (Tue Oct 27 13:15:03 1998), 站内信件
(三)防火墙的构成
防火墙的主要组成部分有:
3.1 * 网络政策;
3.2 * 先进的验证工具;
3.3 * 包过滤;
3.1 网络政策
有两级网络政策会直接影响防火墙系统的设计、安装和使用。高级政策是一种发
布专用的网络访问政策,它用来定义那些有受限制的网络许可或明确拒绝的服务,如何
使用这些服务以及这种政策的例外条件。低级政策描述防火墙实际上如何尽力限制访问
,并过滤在高层政策所定义的服务。以下是这些政策的描述。
3.1.1 服务访问政策
服务访问政策应集中与上面定义的Internet专用的使用问题,或许也应集中与所
有的外部网络访问问题(即拨入政策以及SLIP和PPP连接)。这种政策应当是整个机构有关
保护机构信息资源政策的延伸。要使防火墙取得成功,服务访问政策必须既切合实际,
又稳妥可靠,而且应当在实施防火墙前草拟出来。切合实际的政策是一个平衡的政策,
既能防护网络免受已知风险,而且仍能使用户利用网络资源。如果防火墙系统拒绝或限
制服务,那么,它通常需要服务访问政策有力量来防止防火墙的访问控制措施不会受到
带针对的修改。只有一个管理得当的稳妥可靠政策才能做到这一点。
防火墙可以实施各种不同的服务访问政策,但是,一个典型的政策可以不允许从
Internet访问网点,但要允许从网点访问Internet。另一个典型政策是允许从Internet
进行某些访问,但是或许只许可访问经过选择的系统,如信息服务器和电子邮件服务器
。防火墙常常实施允许某些用户从Internet访问经过选择的内部主系统的服务访问政策,
但是,这种访问只是在必要时,而且只能与先进的验证措施组合时才允许进行。
3.1.2 防火墙设计政策
防火墙设计政策是防火墙专用的。它定义用来实施服务访问政策的规则。一个人
不可能在完全不了解防火墙能力和限制以及与TCP/IP相关联的威胁和易受攻击性等问题
的真空条件下设计这一政策。防火墙一般实施两个基本设计方针之一:
1. 拒绝访问除明确许可以外的任何一种服务;也即是拒绝一切未予特许的东西
2. 允许访问除明确拒绝以外的任何一种服务;也即是允许一切未被特别拒绝的东西
如果防火墙采取第一种安全控制的方针,那么,需要确定所有可以被提供的服务以及
它们的安全特性,然后,开放这些服务,并将所有其它未被列入的服务排斥在外,禁止
访问。如果防火墙采取第二中安全控制的方针,则正好相反,需要确定那些认为是不安全
的服务,禁止其访问;而其它服务则被认为是安全的,允许访问。
比较这两种政策,我们可以看到,第一种比较保守,遵循"我们所不知道的都会伤害
我们"的观点,因此能提供较高的安全性。但是,这样一来,能穿过防火墙为我们所用的
服务,无论在数量上还是类型上,都受到很大的限制。第二种则较灵活,虽然可以提供
较多的服务,但是,所存在的风险也比第一种大。对于第二种政策,还有一个因素值得
考虑,即受保护网络的规模。当受保护网络的规模越来越大时,对它进行完全监控就会
变得越来越难。因此,如果网络中某成员绕过防火墙向外提供以被防火墙所禁止的服务
,网络管理员就很难发现。For example : 有一用户,他有权不从标准的Telnet端口(po-
-rt 23)来提供Telnet服务,而是从另一个Port来提供此服务,由于标准的Telnet端口已
被防火墙所禁止,而另一Port没有被禁止。这样,虽然防火墙主观上想禁止提供Telnet
服务,但实际上却没有达到这种效果。因此,采用第二种政策的防火墙不仅要防止外部
人员的攻击,而且要防止内部成员不管是有意还是无意的攻击。
总的来说,从安全性的角度考虑,第一种政策更可取一些;而从灵活性和使用方
便性的角度考虑,则第二种政策更适合。
3.2 先进的验证
多年来,管理员劝告用户要选择那些难以猜测的口令,并且不泄露其口令。但是,
即使用户接受这一劝告(而很多人不接受这劝告),入侵者可以监视并确实监视Internet
来获取明文传输口令这一事实也反映传统的口令已经过时。
先进的验证措施,如智能卡、验证令牌、生物统计学和基于软件的工具以被用来克
服传统口令的弱点。尽管验证技术个不相同,但都是相类似的,因为由先进验证装置产
生的口令不能由监视连接的攻击者重新使用。如果Internet上的口令问题是固有的话,
那么,一个可访问Internet的防火墙,如果不使用先进验证装置或不包含使用先进验证
装置的挂接工具,则是几乎没有意义的。
当今使用的一些比较流行的先进验证装置叫做一次性口令系统。例如,智能卡或验证
牌产生一个主系统可以用来取代传统口令的响应信号。由于令牌或智能卡是与主系统上的
软件或硬件协同工作,因此,所产生的响应对每次注册都是独一无二的。其结果是一种
一次性口令。这种口令如果进行监控的话,就不可能被侵入者重新使用来获得某一帐号。
由于防火墙可以集中并控制网点访问,因而防火墙是安装先进的验证软件或硬件的合
理场所。虽然先进验证措施可用于每个主系统,但是,把各项措施都集中到防火墙更切
合实际,更便于管理。下图表明,一个不使用先进验证措施的防火墙的网点,允许TELNET
或FTP等未经验证的应用信息量直接传送到网点系统。如果主系统不使用先进验证措施,
则入侵者可能企图揭开口令奥秘,或者能监视网络进行的包括有口令的注册对话。图还
显示出一种备有使用先进验证措施的防火墙的网点,以致从Internet发送到网点系统的
TELNET 或FTP对话都必须通过先进的验证才允许到达网点系统。网点系统可能仍然需要
静态口令才允许访问,但是,只要先进的验证措施和其他防火墙组成部分可防护入侵者
渗透或绕过防火墙,这些口令就不会被利用,即使口令受到监视也是如此。
__________
| |
|Computer|
|________|
未经验证的TELNET |
FTP信息量 ∧ |
<----------------- __________ ---> ____________ ‖ |
__________________‖__| |_______| |_________‖___|_________
| ‖ |Internet| | Firewall |--------------------->
| ∨ |________| |__________| 防火墙系统
_____|____ 带先进验证软件
| | 经过验证的TELNET
|Computer| FTP信息量
|________|
--
※ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: 192.168.1.89]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店