下载
第18章防火墙
作者:Tim Parker
本章内容包括:
• 使网络安全
• 使用防火墙
• 安全服务
• 建造自己的防火墙
• 使用商业防火墙软件
如果没有听说过诸如防火墙、网关或代理服务器等这些术语,讨论网络、互联网络和
I n t e r n e t在一定程度上将是不可能的。读者已经了解了网关及其功能,但是本书还未涉及到有
关防火墙和代理服务器的内容。虽然防火墙和T C P / I P实际上并没太大关系,但是它们可以用
于基于T C P / I P的网络和I n t e r n e t。
因此,花一点时间来解释防火墙和代理服务器的功能,以及它们在T C P / I P网络内工作的
过程是值得的。本章和第1 9章将讨论如下问题:保护网络、隐藏信息以及防止数据破坏。
18.1 使网络安全
防火墙和代理服务器,以及加密和认证(下一章内容),都是为了保护数据安全而设计的。
如果用户的电子邮件或网关中没有有价值的数据,为什么还要为安全问题而困扰呢?原因很
简单:如果用户联接到I n t e r n e t,那么I n t e r n e t就有一条到用户的联接。在用户做d o u b l e - t a k e之
前,要考虑其结果意味着,如果条件合适的话, I n t e r n e t上的某个人可以访问用户网络。如果
用户网关没有设置安全,世界上任何一个和I n t e r n e t相联的人都会使用T C P / I P经过网关到达用
户网络上的任何一台计算机。用户可能在网络的某个地方存储了不想让其他人看到的数据,
因此要考虑安全问题来防止I n t e r n e t上的其他用户访问网络内部。
设置网络安全实际上是想努力达到两个保护目的(间接地达到第三个目的)。两个保护是指
数据保护(存储在网络中)和设备保护(和网络相联的任何东西)。如果黑客访问设备,可能会造
成损害。对数据而言也是一样。用户不想让自己的重要文件作为电子邮件附件散布到整个
I n t e r n e t上。间接的保护是指声誉保护,既指个人声誉,也指公司声誉。像I B M和H P这样的大
公司,如果它们的所有内部文档可以自由获得,看起来有点不妙。
一个最常见的安全问题前面已经提及—某个人通过I n t e r n e t访问用户网络。这样非授权
的入侵正是要求良好安全机制的主要原因。入侵者或黑客能侵入用户网络内部、搜索用户数
据、对数据进行任意修改,并且可以导致用户系统上的物理损坏。
黑客可以通过多种方式侵入网络内部,从利用已知的操作系统和应用程序漏洞到用甜言
蜜语套得用户的登录名和口令。网络安全的基本作用(也就是防火墙的基本作用)就是防止非授
权入侵。
另一个安全问题称为服务拒绝。当黑客妨碍用户正确使用自身计算机时就发生这种攻击。
服务拒绝有多种形式。I n t e r n e t上能找到的典型例子是湮灭一种服务(如e m a i l、F T P站点或We b
服务器)。湮灭意味着向这种服务发大量的数据使得服务器崩溃或使服务时间加长。黑客通常
使用电子邮件湮灭,在这种攻击中,每隔一小时就有成千上万的电子邮件消息发送到目标电
子邮件服务器上。服务器处于忙乱状态最终使邮件系统不可用。相同的技术适合于绝大多数
的T C P / I P程序,如F T P、Te l n e t以及We b服务器。服务拒绝的另一方面和重路由有关—不是访
问一台机器上的某个特定服务,而是被重路由到另一地方。
有几种方法用来保护用户网络、数据以及服务。许多人依靠匿名或隐藏技术。原因是如
果不知道用户网络及其内容,网络就是安全的。当然,这是错误的安全措施,因为有许多方
法可以让用户并不能隐藏太长时间。很自然的一个假设是:如果用户认为黑客不会找到他们
感兴趣的数据,就不会打扰他。绝大多数黑客想要做的就是要找到用户数据。
最广泛使用的安全形式称为主机安全,主机安全对网络上的每台机器单独进行安全保护。
当用户设置Wi n d o w s访问允许权限时,就要依赖于主机安全,对于设置U N I X文件和目录访问
允许权也是这样。虽然主机安全能用于保护单机安全,但是认为单机安全整个网络就安全的
想法是不正确的。整个网络可能对黑客开放。同时,因为主机安全并不适合于所有机器,黑
客可以利用一个弱安全机器上的服务达到访问强安全机器的目的,而不会出现任何问题。
防火墙的作用
我们应该注意的安全级别应该是网络安全。这意味着首先要使所有到网络的访问点安全,
之后再依赖内部主机安全。网络安全的重要组成部分是防火墙—一台作为网络和I n t e r n e t之
间接口的机器,主要和安全相关。防火墙有几项功能:
• 限制只能访问网络的一些地点。
• 防止非授权用户得到网络访问权。
• 强制流量只能从特定的安全点去向I n t e r n e t。
• 防止服务拒绝攻击。
• 限制I n t e r n e t用户在网络上的行为。
防火墙并不限于网络和I n t e r n e t的联接。防火墙也用于远程访问服务器(拨入访问)和网络
与网络的联接。防火墙的全部思想在于在一个或多个特定点提供进出网络的通道,而在这些
地方设置了访问和服务控制。
18.2 使用防火墙
许多人认为防火墙是一台机器,有一些网络是这种情况。专用的单机防火墙仅仅作为网
络的安全网关。另一种情况是,一台机器可以只运行专用的防火墙软件,而不运行其他软件。
然而,防火墙这一术语和所执行的功能关系更紧密一些,而不是指物理设备。防火墙可以由
一起工作的几台机器组成,共同控制网络和I n t e r n e t之间的联接。许多不同的程序可以用于提
供这些防火墙服务,防火墙也可能执行许多任务,而不仅仅限于监控网络访问。
防火墙并不是十分安全的。防火墙一般是脆弱的,因为黑客可以利用防火墙设计中的漏
洞。而且,防火墙实现通常比较昂贵并需要一些时间来安装和配置。然而,网络从防火墙获
得的好处大大超过其问题。
防火墙可以做许多事情。它能为网络提供安全的单访问点。所以用户可以在一个地方改
变设置而无需改动每台机器(比如,可以禁用匿名F T P )。防火墙能在网络范围内加强安全,比
196使用第五部分网络服务
下载
如防止网络中的每个人都有权访问某些I n t e r n e t资源。防火墙并不能为用户做每一件事情,用
户确实也需要了解这些限制。防火墙只擅长于网络和I n t e r n e t之间的联接。防火墙并不能阻止
网络内的一些用户对其他机器进行攻击。防火墙不能保护用户网络免受侵入,如果网络具有
其他联接方式,比如一台Windows PC使用一台调制解调器通过I S P联到I n t e r n e t上(联接不经过
防火墙,因此绕过了防火墙提供的安全控制)。并且防火墙不能防止许多常见的I n t e r n e t问题,
如病毒和特洛伊木马。
在一个网络上实现防火墙有两种基本方法:
• 利用基本的网络服务建造自己的防火墙。
• 购买商业产品。
后者容易得多,但花费更多。为U N I X机开发的典型防火墙软件,至多可以卖到10 000美
元,且服务于小型网络。随着网络尺寸的增长,防火墙软件的费用会成1 0倍的增加。购买商
业防火墙软件包的好处很简单:绝大部分工作已经为客户做好了。用户只需使用菜单来选择
允许和拒绝的服务,防火墙软件会为用户完成具体工作。建造自己的防火墙意味着使用位于
网络和I n t e r n e t之间机器上的设置来执行相同的任务。每一项服务必须手工地设置为允许访问
或不允许访问。比如,对一台U N I X机器而言,这意味着和网络配置文件以及像/ e t c / s e r v i c e s这
样的文件打交道,来拒绝一些网络服务访问请求。建造自己的防火墙会花更长的时间、需要
更多专业知识,以及需要多次实验。而另一方面,用户无需花费大量金钱购买防火墙软件。
当通过手工或商业产品安装了防火墙之后,用户就可以获得多方面的安全保护。是否选
择所有实现依赖于用户本身。然而,用户应该知道其中的一些方面,如代理服务器和报文过
滤器。下面几节会更详细地讨论这些技术。
18.2.1 代理服务器
代理服务器位于网络和I n t e r n e t之间,接收、分析服务请求,并在允许的情况下对其进行
转发。代理服务提供服务的替代连接,就像一个代理一样。比如,网络内部的一个用户想要
远程登录到I n t e r n e t上的一台主机,代理服务器会接收用户请求,决定是否准许其到远程的连
接,之后建立自身与远程目标主机之间及自身与用户之间的Te l n e t会话。作为中介,代理服务
器隐藏了关于用户的一些信息,但仍然允许服务通过它来进行。代理服务器处理服务和应用,
因此通常称为应用级网关。
为什么使用代理服务器?假设用户正在从事一项高度保密的项目,那么用户就想对外
( I n t e r n e t )隐藏关于其所在网络的信息—I P地址、用户登录名等等。如果用户通过I n t e r n e t建
立了与远程主机的t e l n e t会话,用户的I P地址就会包含在报文中被传输。得到I P地址,黑客就
能确定用户网络的大小,特别是当他们看到大量不同的I P地址经过时。代理服务器会把用户
地址改成自己的地址,使用一个内部表来解析到正确目的地的进出报文。对于外面的人而言,
只有一个I P地址(代理服务器的I P地址)可见。
代理服务器总是用软件来实现,并且不必是防火墙软件包的组成部分,但一般的防火墙
软件包却包含代理服务器。绝大多数商业防火墙包含代理服务功能。绝大多数代理服务器软
件不仅仅作为用户的代理;它们也能控制使用哪个应用并且能阻止一些进出的数据。
如果用户正在建造自己的防火墙,有许多软件包设计允许用户来完成这一工作。最有名
的是S O C K S,S O C K S允许应用程序和代理变换软件包一起工作。另一个有名的软件包是T I S
第1 8章防火墙使用197
下载
F W T K (可信任信息系统I n t e r n e t防火墙开发工具包),TIS FWTK为许多T C P应用(如F T P和
Te l n e t )提供代理服务器。
18.2.2 报文过滤器
报文过滤器系统允许报文有选择地从用户网络进入I n t e r n e t,或从I n t e r n e t进到用户网络。
换句话说,报文过滤器允许一些报文被过滤掉,不被发送,而另一些报文却可以无阻碍地进
出网络。报文由创建它们的应用程序类型标识(正如读者在前面章中所见,一些信息包含在头
中)。T C P / I P报文头包含源和目的I P地址、源和目的端口(用于识别应用程序)、协议( T C P、
U D P或I C M P ),以及其他信息。如果用户决定阻止所有的F T P报文进出网络,报文过滤器会检
查所有端口号为2 0和2 1的报文,并阻止其通过。报文过滤可以由防火墙软件或路由器进行。
在后一种情况下,路由器被称为筛分路由器(screening router)。
标准路由器和筛分路由器的不同之处在于二者检查报文的方式。普通路由器只是查看I P
地址并把报文发送到至目的地的正确路径上。筛分路由器检查报文头,不仅要决定怎样对其
进行路由,还要基于一些规则决定是否应对其进行路由。
读者可能认为通过改变端口号,可绕过报文过滤系统;这在一定程度上是可能做到。然
而,由于报文过滤器软件位于用户网络中,它也能决定报文进出的接口,因此,即使T C P端
口不一样,报文过滤软件有时照样可以正确地过滤报文。
用户可以采用多种方式使用报文过滤软件。最常见的用法是简单地阻止一种服务,如F T P
或Te l n e t。用户也可以指定允许或不允许通过的机器。比如,使用者发现某个特定网络是许多
问题的来源,就可以告诉报文过滤软件抛弃所有从那个网络发来的报文,这要依赖于I P地址。
在极端情况下,用户可以阻止所有服务,或只允许一个服务如电子邮件通过过滤器。
18.3 使服务安全
安装防火墙的一个关键是决定哪些服务允许通过网络到I n t e r n e t的联接,哪些要受到限制。
用户是否打算允许外部网络来的F T P请求联到内部机器上?如果是We b请求又如何处理?这一
节会仔细地讨论防火墙上使用的基本服务及其主要安全问题。读者可以基于自身网络要求决
定是否应该允许或拒绝服务。
大多数网络防火墙缺省设置,允许6种服务通过:
• 电子邮件( S M T P )
• HTTP(万维网访问)
• FTP
• Te l n e t (远程访问)
• Usenet(NNTP)
• DNS(主机名查找)
这6项服务不是没有安全问题,这将在以下几节中看到。
18.3.1 电子邮件(SMTP)
电子邮件是I n t e r n e t上使用最广泛的服务,并且用户不大会限制通过防火墙的电子邮件访
问。面对黑客攻击,电子邮件并不脆弱,其问题主要出在电子邮件附件可能包含病毒或其他
198使用第五部分网络服务
下载
恶意程序。这并不意味着电子邮件是安全服务。
大多数邮件系统使用简单邮件传输协议( S M T P )实现。S M T P自身没有安全问题,但处理
S M T P的服务器存在安全问题。S M T P服务器处理邮件时,会作为超级用户或邮件寻址的目的
用户身份出现。一名聪明的黑客会利用允许权的这一变化。更进一步,大多数常见的S M T P服
务器只发送邮件,通常运行于U N I X环境下。发送邮件程序有许多已知的安全漏洞。这些漏洞
必须由管理员通过安装补丁程序来防止被黑客利用。
18.3.2 HTTP:万维网
实际上,世界上的每个网络都具有I n t e r n e t访问权,而且用户很可能对内部网络访问
I n t e r n e t时通过防火墙不作任何限制。允许从内部网络访问We b并不会造成很大的安全危险,
而对下载的文件或带有恶意设计的J a v a小程序却要小心,接收机上最好有病毒检测程序。
重要的是允许I n t e r n e t用户进入用户网络访问We b服务器,这会引起真正的安全问题,避
免安全问题的最好方法是使用一台单独的主机,不经过防火墙提供We b服务。现在绝大多数
可用的We b服务器都很安全(虽然有一些已知的能被黑客所利用的漏洞)。另一个重要的安全考
虑是加载在服务器上的任何扩展功能,如通用网关接口( C G I ),必须注意文件访问权安全。
18.3.3 FTP
文件传输协议( F T P )在I n t e r n e t上广泛使用,在安全方面与电子邮件差不多。然而,具有从
I n t e r n e t下载文件的功能意味着所下载的文件可能含有各种程序,如病毒和欺骗程序,这样的
程序会把网络信息发送给黑客。F T P服务自身相当安全,然而有许多已知的漏洞,系统管理员
必须要通过安装补丁程序来弥补,安装的补丁程序要依赖于F T P版本。
F T P更重要的问题是匿名F T P,匿名F T P允许任何人以匿名用户名访问F T P服务器。对F T P
服务器的匿名访问必须要严格控制,否则一名知识丰富的黑客能很容易地利用服务器。
最后,用户不应允许在网络和I n t e r n e t接口处使用普通F T P ( T F T P )。只有很少的一些应用
程序使用T F T P并且这些程序不大可能在网络范围内使用。
18.3.4 Telnet
Te l n e t广泛使用,允许用户和位于远处的另一台机器相联,操作起来就像直接相联一样。
Te l n e t程序和协议本身是相当安全的,不易受黑客攻击,但是Te l n e t有一个主要的不足:所有
的信息以非加密的方式传送。Te l n e t是以明文的方式发送登录名和口令,这样使得黑客可以解
释和利用这些信息。认证协议可以用于解决这一问题,但是Te l n e t经常被各种方式所利用,因
为所有信息都要往返于客户机和服务器之间。
B e r k e l e y程序( r l o g i n、r s h、e x e c等等)经常用于代替Te l n e t。这个程序依赖于可信任的主机,
但这种方法并不是在整个I n t e r n e t上都有效。Berkeley r-系列程序非常容易被黑客攻击,很不
安全,并且不应允许这些程序通过防火墙。
18.3.5 Usenet:NNTP
网络新闻传输协议( N N T P )是最广泛使用的用于发送和接收新闻组邮件的方式。如果用户
想在网络中接受这一协议,就必须仔细地规划,考虑N N T P的安全性。N N T P非常容易被黑客
第1 8章防火墙使用199
下载
所利用,从而对内部网络进行访问。幸运的是,使N N T P安全很容易,因为N N T P主机之间的
通信在每次会话中几乎都是相同的。
对新闻用户,特别是大型组织内的用户而言,一个更重要的问题是要让内部的私有新闻
不要传输到I n t e r n e t上。用户也可以限制传进来的新闻为某种特定类型。可以配置N N T P,使
某一新闻组被接收或被拒绝。
18.3.6 DNS
D N S是大型网络的完整组成部分,运行在I n t e r n e t主机上用于查找。D N S自身通常没有安
全问题,但是D N S所依赖的协议可能成为问题。可以设置认证方法来验证请求的真实性且没
有误导。绝大多数情况下, D N S是相当安全的。
18.4 建造用户自己的防火墙
用户能够建造自己的I n t e r n e t防火墙,但是这需要关于操作系统和T C P / I P的丰富知识。
Windows 95和Windows 98由于操作系统自身的设计提供很少的防火墙功能。U N I X和Wi n d o w s
N T好一些,但是Windows NT比U N I X更难配置。
在大多数情况下,用户不想在网络中使用的服务,就应停止,并且要配置防火墙防止黑
客得到防火墙自身的访问权。即使知道什么是必须的,建造自己的防火墙也需要一段时间才
能完成。
18.5 使用商业防火墙软件
在市场上有许多防火墙软件包,并且这些软件包通常非常贵。一个比较好的防火墙(作者
使用的一个软件包)是C y b e rg u a r d公司的C y b e rg u a r d软件。这个防火墙可以运行在Windows NT
或U N I X平台上(开始在U N I X下,最近移植到N T上)。C y b e rg u a r d受欢迎因为它不仅是曾被测
试过的一个最安全的防火墙,同时也因为它很容易安装、配置、管理。
注意为了得到关于C y b e rg u a r d更多的信息,可以访问公司的We b站点http:// www.
c y b e rg u a r d . c o m。读者可以发现关于软件包的描述以及几本白皮书。要想得到关于防火
墙和安全问题的信息,访问CERT(计算机紧急问题应答组)站点: http://www.cert.org。
在Windows NT服务器上安装和配置C y b e rg u a r d特别容易,简单的网络配置可以不到1 5分
钟就能完成。C y b e rg u a r d工作在双穴主机上,一条连接到内部网,一条连接到I n t e r n e t (既可以
是直接相连也可以通过I S P )。在安装软件包的时候, C y b e rg u a r d让用户在三种缺省的安全配置
中选择一种,如图1 8 - 1所示。
在选择了一种缺省设置之后,用户可以通过不同的屏幕检查所有的设置并验证这些选项。
图1 8 - 2显示了一个设置屏幕,通过选择可以影响N T帐号和口令。
选择缺省设置之后, C y b e rg u a r d会重启Windows NT服务器,之后保护就起作用了。作为
管理员,可以修改防火墙的任何一方面设置,图1 8 - 3显示了报文过滤规则设置屏幕可以让管
理员指出什么样的报文可以通过,什么样的报文不允许通过。正如读者所见, C y b e rg u a r d很
好地利用了Wi n d o w s对话框简化了通常复杂的过程。
200使用第五部分网络服务
下载
图18-1 3种Cyberguard缺省设置包含了大多数Windows NT设置,
这个界面称为SecureGuard
图18-2 选择一个Cyberguard缺省设置会出现一系列这样的界面用于修改特定项
图18-3 Cyberguard报文过滤对话框允许用户设置对进出报文的处理
代理服务器的行为也可以容易地设置。图1 8 - 4显示了C y b e rg u a r d的代理服务器对话框。选
择使用的代理就是简单地选择列表中的一项。在这个图中,正在设置F T P代理服务。
第1 8章防火墙使用201
下载
C y b e rg u a r d所擅长的另一方面是D N S服务。如图1 8 - 5所示,用户可以容易地设置D N S,甚
至可以指定网络中的区。
有许多其他的防火墙商业软件包。许多的网络相关杂志中有关于防火墙常规的测试结果。
如果用户正寻找商业防火墙,要仔细进行研究,因为防火墙的质量有很大不同,价格也相差
很大。
图18-4 Cyberguard代理服务窗容易理解,使用简单
图18-5 通过Cyberguard GUI设置DNS
18.6 小结
这一章解释了什么是防火墙,防火墙的功能及其基本作用。用户已经看到代理服务器和
报文过滤器是如何工作的。下一章会继续I P安全这一内容,在下一章读者会了解包括密码和
认证在内的一些主题。
202使用第五部分网络服务
下载
第18章防火墙
作者:Tim Parker
本章内容包括:
• 使网络安全
• 使用防火墙
• 安全服务
• 建造自己的防火墙
• 使用商业防火墙软件
如果没有听说过诸如防火墙、网关或代理服务器等这些术语,讨论网络、互联网络和
I n t e r n e t在一定程度上将是不可能的。读者已经了解了网关及其功能,但是本书还未涉及到有
关防火墙和代理服务器的内容。虽然防火墙和T C P / I P实际上并没太大关系,但是它们可以用
于基于T C P / I P的网络和I n t e r n e t。
因此,花一点时间来解释防火墙和代理服务器的功能,以及它们在T C P / I P网络内工作的
过程是值得的。本章和第1 9章将讨论如下问题:保护网络、隐藏信息以及防止数据破坏。
18.1 使网络安全
防火墙和代理服务器,以及加密和认证(下一章内容),都是为了保护数据安全而设计的。
如果用户的电子邮件或网关中没有有价值的数据,为什么还要为安全问题而困扰呢?原因很
简单:如果用户联接到I n t e r n e t,那么I n t e r n e t就有一条到用户的联接。在用户做d o u b l e - t a k e之
前,要考虑其结果意味着,如果条件合适的话, I n t e r n e t上的某个人可以访问用户网络。如果
用户网关没有设置安全,世界上任何一个和I n t e r n e t相联的人都会使用T C P / I P经过网关到达用
户网络上的任何一台计算机。用户可能在网络的某个地方存储了不想让其他人看到的数据,
因此要考虑安全问题来防止I n t e r n e t上的其他用户访问网络内部。
设置网络安全实际上是想努力达到两个保护目的(间接地达到第三个目的)。两个保护是指
数据保护(存储在网络中)和设备保护(和网络相联的任何东西)。如果黑客访问设备,可能会造
成损害。对数据而言也是一样。用户不想让自己的重要文件作为电子邮件附件散布到整个
I n t e r n e t上。间接的保护是指声誉保护,既指个人声誉,也指公司声誉。像I B M和H P这样的大
公司,如果它们的所有内部文档可以自由获得,看起来有点不妙。
一个最常见的安全问题前面已经提及—某个人通过I n t e r n e t访问用户网络。这样非授权
的入侵正是要求良好安全机制的主要原因。入侵者或黑客能侵入用户网络内部、搜索用户数
据、对数据进行任意修改,并且可以导致用户系统上的物理损坏。
黑客可以通过多种方式侵入网络内部,从利用已知的操作系统和应用程序漏洞到用甜言
蜜语套得用户的登录名和口令。网络安全的基本作用(也就是防火墙的基本作用)就是防止非授
权入侵。
另一个安全问题称为服务拒绝。当黑客妨碍用户正确使用自身计算机时就发生这种攻击。
服务拒绝有多种形式。I n t e r n e t上能找到的典型例子是湮灭一种服务(如e m a i l、F T P站点或We b
服务器)。湮灭意味着向这种服务发大量的数据使得服务器崩溃或使服务时间加长。黑客通常
使用电子邮件湮灭,在这种攻击中,每隔一小时就有成千上万的电子邮件消息发送到目标电
子邮件服务器上。服务器处于忙乱状态最终使邮件系统不可用。相同的技术适合于绝大多数
的T C P / I P程序,如F T P、Te l n e t以及We b服务器。服务拒绝的另一方面和重路由有关—不是访
问一台机器上的某个特定服务,而是被重路由到另一地方。
有几种方法用来保护用户网络、数据以及服务。许多人依靠匿名或隐藏技术。原因是如
果不知道用户网络及其内容,网络就是安全的。当然,这是错误的安全措施,因为有许多方
法可以让用户并不能隐藏太长时间。很自然的一个假设是:如果用户认为黑客不会找到他们
感兴趣的数据,就不会打扰他。绝大多数黑客想要做的就是要找到用户数据。
最广泛使用的安全形式称为主机安全,主机安全对网络上的每台机器单独进行安全保护。
当用户设置Wi n d o w s访问允许权限时,就要依赖于主机安全,对于设置U N I X文件和目录访问
允许权也是这样。虽然主机安全能用于保护单机安全,但是认为单机安全整个网络就安全的
想法是不正确的。整个网络可能对黑客开放。同时,因为主机安全并不适合于所有机器,黑
客可以利用一个弱安全机器上的服务达到访问强安全机器的目的,而不会出现任何问题。
防火墙的作用
我们应该注意的安全级别应该是网络安全。这意味着首先要使所有到网络的访问点安全,
之后再依赖内部主机安全。网络安全的重要组成部分是防火墙—一台作为网络和I n t e r n e t之
间接口的机器,主要和安全相关。防火墙有几项功能:
• 限制只能访问网络的一些地点。
• 防止非授权用户得到网络访问权。
• 强制流量只能从特定的安全点去向I n t e r n e t。
• 防止服务拒绝攻击。
• 限制I n t e r n e t用户在网络上的行为。
防火墙并不限于网络和I n t e r n e t的联接。防火墙也用于远程访问服务器(拨入访问)和网络
与网络的联接。防火墙的全部思想在于在一个或多个特定点提供进出网络的通道,而在这些
地方设置了访问和服务控制。
18.2 使用防火墙
许多人认为防火墙是一台机器,有一些网络是这种情况。专用的单机防火墙仅仅作为网
络的安全网关。另一种情况是,一台机器可以只运行专用的防火墙软件,而不运行其他软件。
然而,防火墙这一术语和所执行的功能关系更紧密一些,而不是指物理设备。防火墙可以由
一起工作的几台机器组成,共同控制网络和I n t e r n e t之间的联接。许多不同的程序可以用于提
供这些防火墙服务,防火墙也可能执行许多任务,而不仅仅限于监控网络访问。
防火墙并不是十分安全的。防火墙一般是脆弱的,因为黑客可以利用防火墙设计中的漏
洞。而且,防火墙实现通常比较昂贵并需要一些时间来安装和配置。然而,网络从防火墙获
得的好处大大超过其问题。
防火墙可以做许多事情。它能为网络提供安全的单访问点。所以用户可以在一个地方改
变设置而无需改动每台机器(比如,可以禁用匿名F T P )。防火墙能在网络范围内加强安全,比
196使用第五部分网络服务
下载
如防止网络中的每个人都有权访问某些I n t e r n e t资源。防火墙并不能为用户做每一件事情,用
户确实也需要了解这些限制。防火墙只擅长于网络和I n t e r n e t之间的联接。防火墙并不能阻止
网络内的一些用户对其他机器进行攻击。防火墙不能保护用户网络免受侵入,如果网络具有
其他联接方式,比如一台Windows PC使用一台调制解调器通过I S P联到I n t e r n e t上(联接不经过
防火墙,因此绕过了防火墙提供的安全控制)。并且防火墙不能防止许多常见的I n t e r n e t问题,
如病毒和特洛伊木马。
在一个网络上实现防火墙有两种基本方法:
• 利用基本的网络服务建造自己的防火墙。
• 购买商业产品。
后者容易得多,但花费更多。为U N I X机开发的典型防火墙软件,至多可以卖到10 000美
元,且服务于小型网络。随着网络尺寸的增长,防火墙软件的费用会成1 0倍的增加。购买商
业防火墙软件包的好处很简单:绝大部分工作已经为客户做好了。用户只需使用菜单来选择
允许和拒绝的服务,防火墙软件会为用户完成具体工作。建造自己的防火墙意味着使用位于
网络和I n t e r n e t之间机器上的设置来执行相同的任务。每一项服务必须手工地设置为允许访问
或不允许访问。比如,对一台U N I X机器而言,这意味着和网络配置文件以及像/ e t c / s e r v i c e s这
样的文件打交道,来拒绝一些网络服务访问请求。建造自己的防火墙会花更长的时间、需要
更多专业知识,以及需要多次实验。而另一方面,用户无需花费大量金钱购买防火墙软件。
当通过手工或商业产品安装了防火墙之后,用户就可以获得多方面的安全保护。是否选
择所有实现依赖于用户本身。然而,用户应该知道其中的一些方面,如代理服务器和报文过
滤器。下面几节会更详细地讨论这些技术。
18.2.1 代理服务器
代理服务器位于网络和I n t e r n e t之间,接收、分析服务请求,并在允许的情况下对其进行
转发。代理服务提供服务的替代连接,就像一个代理一样。比如,网络内部的一个用户想要
远程登录到I n t e r n e t上的一台主机,代理服务器会接收用户请求,决定是否准许其到远程的连
接,之后建立自身与远程目标主机之间及自身与用户之间的Te l n e t会话。作为中介,代理服务
器隐藏了关于用户的一些信息,但仍然允许服务通过它来进行。代理服务器处理服务和应用,
因此通常称为应用级网关。
为什么使用代理服务器?假设用户正在从事一项高度保密的项目,那么用户就想对外
( I n t e r n e t )隐藏关于其所在网络的信息—I P地址、用户登录名等等。如果用户通过I n t e r n e t建
立了与远程主机的t e l n e t会话,用户的I P地址就会包含在报文中被传输。得到I P地址,黑客就
能确定用户网络的大小,特别是当他们看到大量不同的I P地址经过时。代理服务器会把用户
地址改成自己的地址,使用一个内部表来解析到正确目的地的进出报文。对于外面的人而言,
只有一个I P地址(代理服务器的I P地址)可见。
代理服务器总是用软件来实现,并且不必是防火墙软件包的组成部分,但一般的防火墙
软件包却包含代理服务器。绝大多数商业防火墙包含代理服务功能。绝大多数代理服务器软
件不仅仅作为用户的代理;它们也能控制使用哪个应用并且能阻止一些进出的数据。
如果用户正在建造自己的防火墙,有许多软件包设计允许用户来完成这一工作。最有名
的是S O C K S,S O C K S允许应用程序和代理变换软件包一起工作。另一个有名的软件包是T I S
第1 8章防火墙使用197
下载
F W T K (可信任信息系统I n t e r n e t防火墙开发工具包),TIS FWTK为许多T C P应用(如F T P和
Te l n e t )提供代理服务器。
18.2.2 报文过滤器
报文过滤器系统允许报文有选择地从用户网络进入I n t e r n e t,或从I n t e r n e t进到用户网络。
换句话说,报文过滤器允许一些报文被过滤掉,不被发送,而另一些报文却可以无阻碍地进
出网络。报文由创建它们的应用程序类型标识(正如读者在前面章中所见,一些信息包含在头
中)。T C P / I P报文头包含源和目的I P地址、源和目的端口(用于识别应用程序)、协议( T C P、
U D P或I C M P ),以及其他信息。如果用户决定阻止所有的F T P报文进出网络,报文过滤器会检
查所有端口号为2 0和2 1的报文,并阻止其通过。报文过滤可以由防火墙软件或路由器进行。
在后一种情况下,路由器被称为筛分路由器(screening router)。
标准路由器和筛分路由器的不同之处在于二者检查报文的方式。普通路由器只是查看I P
地址并把报文发送到至目的地的正确路径上。筛分路由器检查报文头,不仅要决定怎样对其
进行路由,还要基于一些规则决定是否应对其进行路由。
读者可能认为通过改变端口号,可绕过报文过滤系统;这在一定程度上是可能做到。然
而,由于报文过滤器软件位于用户网络中,它也能决定报文进出的接口,因此,即使T C P端
口不一样,报文过滤软件有时照样可以正确地过滤报文。
用户可以采用多种方式使用报文过滤软件。最常见的用法是简单地阻止一种服务,如F T P
或Te l n e t。用户也可以指定允许或不允许通过的机器。比如,使用者发现某个特定网络是许多
问题的来源,就可以告诉报文过滤软件抛弃所有从那个网络发来的报文,这要依赖于I P地址。
在极端情况下,用户可以阻止所有服务,或只允许一个服务如电子邮件通过过滤器。
18.3 使服务安全
安装防火墙的一个关键是决定哪些服务允许通过网络到I n t e r n e t的联接,哪些要受到限制。
用户是否打算允许外部网络来的F T P请求联到内部机器上?如果是We b请求又如何处理?这一
节会仔细地讨论防火墙上使用的基本服务及其主要安全问题。读者可以基于自身网络要求决
定是否应该允许或拒绝服务。
大多数网络防火墙缺省设置,允许6种服务通过:
• 电子邮件( S M T P )
• HTTP(万维网访问)
• FTP
• Te l n e t (远程访问)
• Usenet(NNTP)
• DNS(主机名查找)
这6项服务不是没有安全问题,这将在以下几节中看到。
18.3.1 电子邮件(SMTP)
电子邮件是I n t e r n e t上使用最广泛的服务,并且用户不大会限制通过防火墙的电子邮件访
问。面对黑客攻击,电子邮件并不脆弱,其问题主要出在电子邮件附件可能包含病毒或其他
198使用第五部分网络服务
下载
恶意程序。这并不意味着电子邮件是安全服务。
大多数邮件系统使用简单邮件传输协议( S M T P )实现。S M T P自身没有安全问题,但处理
S M T P的服务器存在安全问题。S M T P服务器处理邮件时,会作为超级用户或邮件寻址的目的
用户身份出现。一名聪明的黑客会利用允许权的这一变化。更进一步,大多数常见的S M T P服
务器只发送邮件,通常运行于U N I X环境下。发送邮件程序有许多已知的安全漏洞。这些漏洞
必须由管理员通过安装补丁程序来防止被黑客利用。
18.3.2 HTTP:万维网
实际上,世界上的每个网络都具有I n t e r n e t访问权,而且用户很可能对内部网络访问
I n t e r n e t时通过防火墙不作任何限制。允许从内部网络访问We b并不会造成很大的安全危险,
而对下载的文件或带有恶意设计的J a v a小程序却要小心,接收机上最好有病毒检测程序。
重要的是允许I n t e r n e t用户进入用户网络访问We b服务器,这会引起真正的安全问题,避
免安全问题的最好方法是使用一台单独的主机,不经过防火墙提供We b服务。现在绝大多数
可用的We b服务器都很安全(虽然有一些已知的能被黑客所利用的漏洞)。另一个重要的安全考
虑是加载在服务器上的任何扩展功能,如通用网关接口( C G I ),必须注意文件访问权安全。
18.3.3 FTP
文件传输协议( F T P )在I n t e r n e t上广泛使用,在安全方面与电子邮件差不多。然而,具有从
I n t e r n e t下载文件的功能意味着所下载的文件可能含有各种程序,如病毒和欺骗程序,这样的
程序会把网络信息发送给黑客。F T P服务自身相当安全,然而有许多已知的漏洞,系统管理员
必须要通过安装补丁程序来弥补,安装的补丁程序要依赖于F T P版本。
F T P更重要的问题是匿名F T P,匿名F T P允许任何人以匿名用户名访问F T P服务器。对F T P
服务器的匿名访问必须要严格控制,否则一名知识丰富的黑客能很容易地利用服务器。
最后,用户不应允许在网络和I n t e r n e t接口处使用普通F T P ( T F T P )。只有很少的一些应用
程序使用T F T P并且这些程序不大可能在网络范围内使用。
18.3.4 Telnet
Te l n e t广泛使用,允许用户和位于远处的另一台机器相联,操作起来就像直接相联一样。
Te l n e t程序和协议本身是相当安全的,不易受黑客攻击,但是Te l n e t有一个主要的不足:所有
的信息以非加密的方式传送。Te l n e t是以明文的方式发送登录名和口令,这样使得黑客可以解
释和利用这些信息。认证协议可以用于解决这一问题,但是Te l n e t经常被各种方式所利用,因
为所有信息都要往返于客户机和服务器之间。
B e r k e l e y程序( r l o g i n、r s h、e x e c等等)经常用于代替Te l n e t。这个程序依赖于可信任的主机,
但这种方法并不是在整个I n t e r n e t上都有效。Berkeley r-系列程序非常容易被黑客攻击,很不
安全,并且不应允许这些程序通过防火墙。
18.3.5 Usenet:NNTP
网络新闻传输协议( N N T P )是最广泛使用的用于发送和接收新闻组邮件的方式。如果用户
想在网络中接受这一协议,就必须仔细地规划,考虑N N T P的安全性。N N T P非常容易被黑客
第1 8章防火墙使用199
下载
所利用,从而对内部网络进行访问。幸运的是,使N N T P安全很容易,因为N N T P主机之间的
通信在每次会话中几乎都是相同的。
对新闻用户,特别是大型组织内的用户而言,一个更重要的问题是要让内部的私有新闻
不要传输到I n t e r n e t上。用户也可以限制传进来的新闻为某种特定类型。可以配置N N T P,使
某一新闻组被接收或被拒绝。
18.3.6 DNS
D N S是大型网络的完整组成部分,运行在I n t e r n e t主机上用于查找。D N S自身通常没有安
全问题,但是D N S所依赖的协议可能成为问题。可以设置认证方法来验证请求的真实性且没
有误导。绝大多数情况下, D N S是相当安全的。
18.4 建造用户自己的防火墙
用户能够建造自己的I n t e r n e t防火墙,但是这需要关于操作系统和T C P / I P的丰富知识。
Windows 95和Windows 98由于操作系统自身的设计提供很少的防火墙功能。U N I X和Wi n d o w s
N T好一些,但是Windows NT比U N I X更难配置。
在大多数情况下,用户不想在网络中使用的服务,就应停止,并且要配置防火墙防止黑
客得到防火墙自身的访问权。即使知道什么是必须的,建造自己的防火墙也需要一段时间才
能完成。
18.5 使用商业防火墙软件
在市场上有许多防火墙软件包,并且这些软件包通常非常贵。一个比较好的防火墙(作者
使用的一个软件包)是C y b e rg u a r d公司的C y b e rg u a r d软件。这个防火墙可以运行在Windows NT
或U N I X平台上(开始在U N I X下,最近移植到N T上)。C y b e rg u a r d受欢迎因为它不仅是曾被测
试过的一个最安全的防火墙,同时也因为它很容易安装、配置、管理。
注意为了得到关于C y b e rg u a r d更多的信息,可以访问公司的We b站点http:// www.
c y b e rg u a r d . c o m。读者可以发现关于软件包的描述以及几本白皮书。要想得到关于防火
墙和安全问题的信息,访问CERT(计算机紧急问题应答组)站点: http://www.cert.org。
在Windows NT服务器上安装和配置C y b e rg u a r d特别容易,简单的网络配置可以不到1 5分
钟就能完成。C y b e rg u a r d工作在双穴主机上,一条连接到内部网,一条连接到I n t e r n e t (既可以
是直接相连也可以通过I S P )。在安装软件包的时候, C y b e rg u a r d让用户在三种缺省的安全配置
中选择一种,如图1 8 - 1所示。
在选择了一种缺省设置之后,用户可以通过不同的屏幕检查所有的设置并验证这些选项。
图1 8 - 2显示了一个设置屏幕,通过选择可以影响N T帐号和口令。
选择缺省设置之后, C y b e rg u a r d会重启Windows NT服务器,之后保护就起作用了。作为
管理员,可以修改防火墙的任何一方面设置,图1 8 - 3显示了报文过滤规则设置屏幕可以让管
理员指出什么样的报文可以通过,什么样的报文不允许通过。正如读者所见, C y b e rg u a r d很
好地利用了Wi n d o w s对话框简化了通常复杂的过程。
200使用第五部分网络服务
下载
图18-1 3种Cyberguard缺省设置包含了大多数Windows NT设置,
这个界面称为SecureGuard
图18-2 选择一个Cyberguard缺省设置会出现一系列这样的界面用于修改特定项
图18-3 Cyberguard报文过滤对话框允许用户设置对进出报文的处理
代理服务器的行为也可以容易地设置。图1 8 - 4显示了C y b e rg u a r d的代理服务器对话框。选
择使用的代理就是简单地选择列表中的一项。在这个图中,正在设置F T P代理服务。
第1 8章防火墙使用201
下载
C y b e rg u a r d所擅长的另一方面是D N S服务。如图1 8 - 5所示,用户可以容易地设置D N S,甚
至可以指定网络中的区。
有许多其他的防火墙商业软件包。许多的网络相关杂志中有关于防火墙常规的测试结果。
如果用户正寻找商业防火墙,要仔细进行研究,因为防火墙的质量有很大不同,价格也相差
很大。
图18-4 Cyberguard代理服务窗容易理解,使用简单
图18-5 通过Cyberguard GUI设置DNS
18.6 小结
这一章解释了什么是防火墙,防火墙的功能及其基本作用。用户已经看到代理服务器和
报文过滤器是如何工作的。下一章会继续I P安全这一内容,在下一章读者会了解包括密码和
认证在内的一些主题。
202使用第五部分网络服务
下载
13万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
