网络安全与防火墙
摘要: 随着计算机信息系统应用的深入,计算机信息系统安全不再是系统内某个元素或某几个元素的安全,而是系统整体的安全,不再是一个单纯而简单的问题,而是一个系统工程。从技术角度看,计算机系统安全包括计算机安全、网络安全和信息安全。其中信息安全是主线,它贯穿在计算机安全和网络安全之中。
同时也诞生了“防火墙”技术。所谓防火墙技术,就是象征性地比喻将危害信息系统安全的"火"阻挡在网络之外,为网络建一道安全的屏障。它是阻止国际互联网络"黑客"攻击的一种有效手段。
关键词:计算机; 网络安全 ; 防火墙 ; 包过滤
引言
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
目录
一.概述…………………………………………………………4
二.防火墙………………………………………………………4
2-1 防火墙的结构………………………………………………5
2-1-1 代理主机结构……………………………………… 5
2-2-2 路由器加过滤器结构……………………………… 5
2-2 防火墙的功能…………………………………………… 5
2-3 防火墙的类型…………………………………………… 6
2-3-1 包过滤型…………………………………………… 6
2-3-2 网络地址转化-NAT………………………………… 6
2-3-3 代理型……………………………………………… 7
2-3-4 监测型…………………………………………………7
三.防火墙的选择……………………………………………… 7
3-1总拥有成本防火墙产品…………………………………… 7
3-2防火墙本身是安全的……………………………………… 8
3-3管理与培训 ……………………………………………… 8
3-4可扩充性…………………………………………………… 8
3-5防火墙的安全性…………………………………………… 8
四.防火墙技术……………………………………………… 9
4-1包过滤…………………………………………………… 9
4-2双宿主机和堡垒主机…………………………………… 9
4-3应用网关………………………………………………… 10
4-4代理服务………………………………………………… 10
五.防火墙的基本特征…………………………………………11
5-1包过滤…………………………………………………… 11
5-2包的透明转发…………………………………………… 12
5-3阻挡外部攻击…………………………………………… 12
5-4记录攻击………………………………………………… 12
六.防火墙的优点和缺点………………………………………12
6-1防火墙的优点……………………………………………12
6-2防火墙的缺点……………………………………………12
七.防火墙的分类………………………………………………13
7-1软件防火墙………………………………………………13
7-2硬件防火墙………………………………………………14
7-3芯片级防火墙……………………………………………14
八.防火墙的附加功能…………………………………………14
九.选购和使用防火墙的误区……………………………………15
1.概述
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,
特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。
为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。
安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,
甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
2.防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
2.1 防火墙的结构
目前,防火墙主要有以下两种结构。
2.1.1 代理(Proxy)主机结构
这种结构主要是不使内部网络的计算机用户与Internet间直接通信,而是首先与代理网关进行通信,即提供内部网络协议(Net BIOS、TCP/IP等),然后通过网关及标准的TCP/IP网络通信协议与Internet进行通信。
2.1.2 路由器加过滤器(Screened Host)结构
这种结构主要由路由器(Router)和过滤器(Filter)共同完成对外界计算机的通信,即在Inter-net访问内部网络时可对IP地址或域名等进行限制,还可指定或限制内部网络对Internet的访问。Filter使计算机执行筛选、过滤、验证及安全监控等功能,因而可在很大程度上隔断内外网络间不正常的访问和登录。
2.2 防火墙的功能
一般来说,防火墙具有以下几种功能,即:
(1)允许网络管理员定义一个中心点来防止非法用户进行内部网络;
(2)方便地对网络的安全性进行监视和报警;
(3)作为网络地址变换(NAT:Aetwork Address Translation)对地点进行部署,将有限的IP地址与内部的IP地址对应起来,缓解地址空间的短缺;
(4)审计和记录Internet使用费用的最佳地点;
(5)连接一个单独的网段,从物理结构上与内部网段隔开,并在此网段部署WWW服务器和FTP服务器,作为向外部发布内部信息的地点。
2.3 防火墙的类型
2.3.1 .包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点
,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2.3.2 .网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
2.3.3 .代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
2.3.4 .监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
3.防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
3.1.总拥有成本防火墙产品
作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。
当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。
如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
3.2.防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。
一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
3.3.管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
3.4.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。
如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。
好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
3.5.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。
但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
4.防火墙技术
防火墙最常采用的技术有数据包过滤,应用网关和Proxy等。本文主要介绍防火墙
的基本构件和技术:分组过滤(Packet Filtering)技术、双宿主机(Dual-homed
Host)和堡垒主机(Bastion Host)、应用层网关(Application Level Gateway)、
代理服务(Proxy Service)。
(1)包过滤(Packet Filter)
包过滤即对网络中的数据包实施有选择通过。其依据是系统设置的接入控制表AC
L(Access Control List)。根据IP包头信息中的源地址,目标地址,封装协议(TCP
,UDP,ICMP或IP Tunnel),TCP/UDP端口号,ICMP,TCP链路状态等因素来确定是否允
许数据包通过。包过滤技术的实现方式简洁。目前主要通过路由设备实现包过滤
功能(Screening Router),或在工作站上使用软件进行包过滤。包过滤主要工作在
网络层,
包过滤原理
因而对位于网络更高协议层的信息无理解能力。由于数据包过滤逻辑是静态指定
的,因而系统的操作,维护工作很大。数据包的检查过滤也会对路由设备的性能产
生影响,可审核性也是要考虑的因素之一。
由于分组过滤规则的设计原则是有利于内部网络连向外部网络,所以在筛选路由
器两侧所执行的过滤规则是不同的。换句话说,分组过滤器是不对称的。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能以
较小的代价在一定程度上保证系统的安全。但其缺陷也是明显的。包过滤技术是
一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息
进行判断,无法识别基于应用层的恶意侵入,如恶意的java小程序以及电子邮件中
附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
(2)双宿主机(Dual-homed Host)和堡垒主机(Bastion Host)
双宿主机网关是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网
和外部网相连。主机上运行着防火墙软件,可以转发应用程序,提供服务等。
双宿主机是堡垒主机的一个实例。堡垒主机通常指的是对网络安全至关重要的防
火墙主机,是组织机构中网络安全的中心主机。堡垒主机是由网络管理员严密监
视的。堡垒主机软件和系统的安全情况应该定期地进行审查,对访问记录应进行
查看,以发现潜在的安全漏洞和对堡垒主机的试探性攻击。
因为堡垒主机是与外部不可信赖网络的接口点,它们常常容易受到攻击。堡垒主
机最简单的设置,是作为外部网络通信业务的第一个也是唯一的一个入口点。
进一步的发展就是多宿主机,多宿主机指的是一台配有多个网络接口的主机。通
常,每一个网络接口与一个网络相连。多宿主机可以用来在几个不同的网段间进
行寻径。如果在一台多宿主机中寻径功能被禁止,则这个主机可以隔离与它相连
的网络之间的通信流量;与之相反的是,与它相连的每一个网络都可以执行由它
所提供的网络应用,如果这个应用允许的话,它们还可以共享数据。
更进一步的话,可以用两种方案提高安全性:有屏蔽主机(Screened Host)或有屏
蔽子网(Screened Subnet)。在第一种方案中,一个分组过滤路由器与Internet相
连,同时一个堡垒主机安装在内部网络上。通常,在路由器上设立过滤规则,使
这个堡垒主机成为Internet上其他节点所能达到的唯一节点。这确保了内部网络
不受未被授权的外部用户的攻击。第二种方案,有屏蔽子网的方法是建立一个被
隔离的子网,位于Internet和内部网络之间,用两台分组过滤路由器将这一子网
分别与Internet和内部网络分开。两个分组过滤路由器放在子网的两端,在子网
内构成一个禁止穿行区。即Internet和内部网络均可访问有屏蔽子网,但禁止它
们穿过有屏蔽子网进行通信。像WWW和FTP这样的Internet服务器一般就放在这种
禁止穿行区中。
(3)应用网关(Application Gateway)
应用层网关可以处理存储转发通信业务,也可以处理交互式通信业务。通过适当
的程序设计,应用层网关可以理解在用户应用层(OSI模型第七层)的通信业务。这
样便可以在用户层或应用层提供访问控制,并且可以用来对各种应用程序的使用
情况维持一个智能性的日志文件。能够记录和控制所有进出通信业务,是采用应
用层网关的主要优点。在需要时,在网关本身中还可以增加额外的安全措施。
应用级网关原理
对于所中转的每种应用,应用层网关需要使用专用的程序代码。由于有这种专用
的程序代码,应用层网关可以提供高可靠性的安全机制。每当一个新的需保护的
应用加入网络中时,必须为其编制专门的程序代码。正是如此,许多应用层网关
只能提供有限的应用和服务功能。
应用网关通常由专用工作站系统来实现。
(4)代理服务(Proxy Service)
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经
开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数
据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代
理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数
据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由
代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数
据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应
用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代
理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统
管理的复杂性。
代理服务使用的方法与分组过滤器不同,代理(Proxy)使用一个客户程序(或许
经过修改),与特定的中间结点连接,然后中间结点与期望的服务器进行实际连接
。与分组过滤器所不同的是,使用这类防火墙时外部网络与内部网络之间不存在
直接连接。因此,即使防火墙发生了问题,外部网络也无法与被保护的网络连接
。中间结点通常为双宿主机。
代理服务可提供详细的日志记录(Log)及审计(Audit)功能,这大大提高了网络的
安全性,也为改进现有软件的安全性能提供了可能性。代理服务器可运行在双宿
主机上,它是基于特定应用程序的。为了通过代理支持一个新的协议,必须修改
代理以适应新协议。
代理服务通常由两个部分构成:代理服务器程序和客户程序。代理使网络管理员
有了更大的能力改善网络的安全特性。然而,它也给软件开发者、网络系统员和
最终用户带来了很大的不便,这就是使用代理的代价。
透明性对基于代理服务企的防火墙显然是一个大问题。透明性需期望应用程序使
用特定的TCP或UDP端口。假如一个节点在非标准端口上运行一个标准应用程序,
代理将不支持这个应用程序。另外,基于代理服务器的防火墙常常会使网络性能明显下降。相当多的防火墙不能处理高负载的网络通信。数据包过滤与应用网关的一个共有特点是它们仅依赖特定的逻辑检查是否允许特定的数据包通过。一旦特定的网络数据流满足逻辑,则防火墙内外的计算机系统建立直接联系,因而内部网络系统是暴露的。代理服务则是针对这一问题引入的防火墙技术。其特点是将所有跨越防火墙的网络通信链路分为二段。防火墙内外计算机系统之间的应用层的链接由两个终止于Proxy Server上的链接来实现。外部计算机的网络链路只能到达Proxy Server。由此实现了防火墙内外计算机系统的隔离,将被保护内部网络屏蔽起来。如图一。代理服务的缺点在于需要为每个网络服务专门设计,开发代理服务软件及相应的监控过滤功能,并由专用的工作站来承担。
5.防火墙的基本特征
5.1包过滤
具备包过滤的就是防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,
监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。虽
然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要
的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基
本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些
站点,限制每个IP的流量和连接数。
5.2包的透明转发
事实上,由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—Firewall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。
5.3阻挡外部攻击
如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
5.4记录攻击
如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS来完成了,
6.防火墙的优点和缺点
6.1防火墙的优点
1.防火墙可以通过执行访问控制策略而保护整个网络的安全,并且可以将通信约束在一个可管理和可靠性高的范围之内。
2.防火墙可以用于限制对某些特殊服务的访问。
3.防火墙功能单一,不需要在安全性,可用性和功能上做取舍。
4.防火墙有审记和报警功能,有足够的日志空间和记录功能,可以延长安全响应的周期。
6.2防火墙的缺点
1.防火墙可以阻断攻击,但不能消灭攻击源。
“各扫自家门前雪,不管他人瓦上霜”,就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们,但是无法清除攻击源。即使防火墙进行了良好的设置,使得攻击无法穿透防火墙,但各种攻击仍然会源源不断地向防火墙发出尝试。例如接主干网 10M 网络带宽的某站点,其日常流量中平均有512K左右是攻击行为。那么,即使成功设置了防火墙后,这512K的攻击流量依然不会有丝毫减少。
2.防火墙不能抵抗最新的未设置策略的攻击漏洞
就如杀毒软件与病毒一样,总是先出现病毒,杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了您的网络,那么防火墙也没有办法帮到您的。
3.防火墙的并发连接数限制容易导致拥塞或者溢出
由于要判断、处理流经防火墙的每一个包,因此防火墙在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈影响性能。而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了。
4.防火墙对服务器合法开放的端口的攻击大多无法阻止
某些情况下,攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。由于其行为在防火墙一级看来是“合理”和“合法”的,因此就被简单地放行了。
5.防火墙对待内部主动发起连接的攻击一般无法阻止
“外紧内松”是一般局域网络的特点。或许一道严密防守的防火墙内部的网络是一片混乱也有可能。通过社会工程学发送带木马的邮件、带木马的URL等方式,然后由中木马的机器主动对攻击者连接,将铁壁一样的防火墙瞬间破坏掉。另外,防火墙内部各主机间的攻击行为,防火墙也只有如旁观者一样冷视而爱莫能助。
6.防火墙本身也会出现问题和受到攻击
防火墙也是一个so,也有着其硬件系统和软件,因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。
7.防火墙不处理病毒
不管是fun love病毒也好,还是CIH也好。在内部网络用户下载外网的带毒文件的时候,防火墙是不为所动的(这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能,虽然它们不少都叫“病毒防火墙”)。
7.防火墙的分类
首先大概说一下防火墙的分类。就防火墙(本文的防火墙都指商业用途的网络版防火墙,非个人使用的那种)的组成结构而言,可分为以下三种:
第一种:软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
第二种:硬件防火墙
这里说的硬件防火墙是指所谓的硬件防火墙。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到so本身的安全性影响。国内的许多防火墙产品就属于此类,因为采用的是经过裁减内核和定制组件的平台,因此国内防火墙的某些销售人员常常吹嘘其产品是“专用的so”等等,其实是一个概念误导,下面我们提到的第三种防火墙才是真正的so专用。
第三种:芯片级防火墙
它们基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商莫过于Net Screen.其他的品牌还有Fortieth,算是后起之秀了。这类防火墙由于是专用OS,因此防火墙本身的漏洞比较少,不过价格相对比较高昂,所以一般只有在“确实需要”的情况下才考虑。
8.防火墙的附加功能
目前的防火墙还往往能够提供一些特殊的功能,如:
1. IP转换 IP转换主要功能有二,一是隐藏在其后的网络设备的真实IP,从而使入侵者无法直接攻击内部网络,二是使用rfc1918的保留IP,这对解决IP地址匮乏的网络是很实用的。
2. 虚拟企业网络 VPN在国外使用的较多,国内也开始逐渐得到应用。它是指在公共网络中建立的专用加密虚拟通道,以确保通讯安全。
3. 杀毒 一般都通过插件或联动实现。
4. 与IDS联动 目前实现这一功能的产品也有逐渐增多的趋势。
5. GUI界面管理 传统以及一些*nix下free的防火墙一般都是通过命令行方式来键入命令来控制访问策略的,商用的防火墙一般都提供了web和gui的界面,以便于管理员进行配置工作。
6. 自我保护,流控和计费等其它功能。
9.选购和使用防火墙的误区
就自己的经验看来,防火墙在选购和使用时经常会有一些误区,如下:
1. 最全的就是最好的,最贵的就是最好的 这个问题常常出现在决策层,相信"全能"防火墙,认为防火墙要包括所有的模块,求大而全,不求专而精,不清楚自己的企业需要保护什么,常常是白花了大量的经费却无法取得应有的效果。
2. 一次配置,永远运行 这个问题往往都在经验不足的系统管理员手上出现,在初次配置成功的情况下,就将防火墙永远的丢在了一边,不再根据业务情况动态的更改访问控制策略-请注意本文一开始讲到的,缺乏好的允许或者拒绝的控制策略,防火墙将起不到任何作用。
3. 审计是可有可无的 这个问题也出现在系统管理员手上出现,表现为对防火墙的工作状态,日志等无暇审计,或即使审计也不明白防火墙的纪录代表着什么,这同样是危险的。
4. 厂家的配置无需改动 目前国内比较现实的情况是很多公司没有专业的技术人员来进行网络安全方面的管理,当公司购置防火墙等产品时,只能依靠厂家的技术人员来进行配置,但应当警惕的是,厂家的技术人员即使技术精湛,往往不会仔细的了解公司方面的业务,无法精心定制及审核安全策略,那么在配置过程中很可能会留下一些安全隐患。作为防火墙的试用方不能迷信厂家的技术,即使对技术不是非常清楚,也非常有必要对安全策略和厂家进行讨论。
1073
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
