何谓防火墙?防火墙是一个或一组在两个网络之间执行访问控制策略的系统,包括硬件和软件,目的是保护网络不被可疑的人侵扰。本质上它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通讯。
当今市场上有两类主导性的防火墙:应用代理(application proxy)和包过滤网关(packet filtering gateway)。尽管“应用代理”被广泛地认为比“包过滤网关”安全它们的限制特性和对性能的影响却使得它们的应用场合局限与从因特网上其它公司的分组流动,而不是从本公司的Web服务器外出的分组流动。相反,“包过滤网关”或者更尖端的“有状态分组过滤网关”则能在许多具有高性能要求的较大机构中找到。
防火墙自诞生以来以保护无数的网络或计算机躲过了窥视的眼睛和邪恶的破坏者,然而它们还远远不是治安管理的万灵丹。市场上每个防火墙产品几乎每年都有安全脆弱点被发现。更糟糕的是,大多数防火墙往往配置不当且无维护和监视,从而把它们转化成了电子制门器(保持大门敞开着)。而黑客的责任就是攻克这些脆弱的或无人看管的防火墙,然后告诉它的主人,你的门烂了,还是再换个更好的吧!这次是个警告,如果下次进来的人没有良心,你就惨了。
防火墙的工作原理有是什么呢?防火墙常常就是一个具包高过滤功能的简单路由器,支持Internet安全。这是使Internet连接更加安全的一种简单方法,因为包过滤是路由器的固有属性。
包是网络上信息流动的单位。网络上传输的文件一般在发出端被划分成一个一个的IP包,经过网络上的中间站,最终传到目的地,然后这些IP包中的数据又重新组成原来的文件。
每个IP包有两个部分:数据部分和包头。包头中含有源地址和目的地址等信息。(这一部分的内容要有TCP/IP的基础)
IP包的过滤一直是一种简单而有效的方法,它通过文件包头信息和管理远设定的规则表比较,读出并拒绝那些不符和标准的包,过滤掉不应入站的信息。
IP包过滤规则一般基于部分的或全部的IP包信息,例如对TCP包头信息为:
1、IP协议类型
2、IP源地址 了解防火墙
3、IP目标地址
4、IP选择域的内容
5、TCP源端口号
6、TCP目标端口号
7、TCP ACK标识,指出这个包是否是连接中的第一个包,是否是对另一个包的响应。
IP包过滤的一个重要的局限是它不能分辨好的和坏的用户,只能区分好的包和坏的包。包过滤只能工作在由黑白分明安全策略的网中,即内部是好的,外部是可疑的。对于FTP协议,IP包过滤就不十分有效。FTP允许连接外部服务器并使连接返回到端口20,几乎毫不费力通过了那些过滤器。
防火墙/应用网关(Application Gateways)还有一种常见的防火墙是应用代理的防火墙(有时也称为应应用网关)。这些防火墙的工作方式和过滤数据包的防火墙,以路由器为基础的防火墙的工作方式稍有不同。它是基于软件的。当某远程用户想和一运行应用网关的网络建立联系时,此应用网关会阻塞这个远程连接,然后对连接请求的各个域进行检查。如果此连接请求符合预定的规则,网关便会在远程主机和内部主机间建立一个“桥”。“桥”是制两种协议之间的转换器。例如,一个典型的网关一般不将IP数据包转发给内部网络,这种方式被城之为“man-in-the-middle configuration”.这种应用网关代理模型的长处是不进行IP包文转发,更为重要的是可以在“桥”上设置更多的控制,而且所有的这些优点都是通过牺牲速度换取的,因为每次连接请求和所有发生往内部网的包文在网关上经历接受分析、转换、和再转发等几个过程,完成这些过程需要时间显然比完成以路由器为基础的数据包过滤的时间长的多。
IP转发(IP forwarding)是制收到一个外部请求的服务器将此请求信息以IP包文的格式转发给内部网,让IP转交功能有效是一个严重的错误:如果你允许IP转发,那么入侵者便能自从外部进入你的内部网络并访问其上的工作站。
通明性是代理服务器的主要优点。用户端代理服务给用户的假象是:用户是直接与真正的服务器连接;而在服务器端代理服务器给用户的假象是:服务器是直接面对连在代理服务器上的用户。要注意的是,代理服务器只有在需要严格控制内部与外部主机直接连接的场合才是一个比较有效的机制。而双宿主主机与包过滤也是具有这种特性的另外两种机制。如果内、外部主机能够直接相互通信,那么用户就没有必要使用代理服务,在这种情况下,代理服务也不可能起作用。而这种由旁路的拓扑与网络的信息安全是相矛盾的。
最常见的防火墙是按照基本概念工作的逻辑设备,用于在公共网上保护私人网络。配置一堵防火墙是很简单的,步骤如下:
1、选择一台具有路由能力的PC
2、加上两块接口卡,例如以态网卡或串行卡等
3、禁止IP转发
4、打开一个网卡通向Internet
5、打开另一个网卡通向内部网
现在,两个不同的网络被这个防火墙分割开来。由于内部网不能再访问Internet,所以访问网际空间就必须经过防火墙。欲进入内部网络,必须先通过防火墙。
而且,若站点正处在防火墙保护之下,对它的访问也是被禁止的,用户不得不先登陆防火墙后再进入Internet,这时便更需要代理服务器了。因此,为了使防火墙有效,必须超越其概念设计。
防火墙的设计有好几种,但都可分为两类:网络级防火墙及应用级防火墙。它们采用不同方式提供相同的功能,都能适合站点防火墙的保护需要。而且现在有些防火墙产品具有双重性能。
■网络防火墙
这一类型的防火墙,通常使用简单的路由器,采用包过滤技术,检查个人的IP包并决定允许或不允许基于资源的服务、目的地址及使用端口。
最新式的防火墙较之前更为复杂,它能监控通过防火墙的连接状态等等。这是一类快速且透明的防火墙,易于实现。
■应用级防火墙
应用级防火墙通常时运行在防火墙上的软件部分。这一类的设备也称为应用网关。它是运行代理服务器软件的计算机。由于代理服务器在同一级上运行,所以它对采集访问信息并加以控制是非常有用的。因此,此类防火墙能提供关于出入站访问的详细信息,从而较之网络级防火墙安全性更强。
若打算将服务器安在内部网内,由于代理服务器将阻塞大多数连接,因此与服务器的连接受到很大限制。但这是一个高度安全的设计,适用于内部网上高水平的保护。
若站点上已实现了类似的防火墙,也许想将Web服务器置于防火墙之外(Web A),并且可能通过一个代理服务器在内部网与Web服务器之间建立连接。但这很可能使站点出现安全漏洞。
还有许多种类的防火墙,都有自己的特色:
●隔离式过滤器 ●堡垒主机
●双宿主机网关 ●安全IP通道
●IP过滤 ●Circuit通道
防火墙可以极大的增强Web站点的安全。根据不同的需要,防火墙在网络中配置有很多方式。根据防火墙和Web服务器所处的位置,可以分为三种配置:Wev服务器置于防火墙之内、Web服务器置于防火墙之外和Web服务器置于防火墙之上。
将Web服务器装在防火墙的好处是它得到了安全保护,不容易被黑客闯入,但不易被外界所用。当Web站点主要用于宣传企业形象时,显然这不是好的配置,这时应当将Web服务器装在防火墙外。
事实上,为保证组织内部网络的安全,将Web服务器完全置于防火墙之外是比较合适的。在这种模式中,Web服务器不受保护,但内部网则处于保护之下,即使黑客进入了你的Web站点,内部网仍是安全的。代理支持在此十分重要,特别是在这种配置中,防火墙对Web站点的保护几乎不起作用。
一些管理员试图在防火墙机器上运行Web服务器,以此增强Web站点的安全性。这种配置的缺点是,一旦服务器有毛病,整个系统全处于危险中。
这种基本配置有多种变化,包括利用代理服务器、双重防火墙、利用成对的“入”、“出”服务器提供对公众信息的访问及内部网络私人文档的访问。
有一些防火墙的结构不允许将Web服务器设置其外。在这种情况下将不得不打通防火墙,可以这样做:
1、允许防火墙传递对端口80的请求,访问请求或被限制到Web站点或Web站点返回(假定你正使用“screened host”防火墙);
2、可以在防火墙机器上安装代理服务器,但需一个“双宿主网关”类型的防火墙。来自Web服务器的所有访问请求在被代理服务器截获之后才传给服务器。对访问请求的回答直接返回给请求者。
现实世界中要想饶过配置得当的防火墙可能有难以置信的困难。然而使用诸如traceroute、hping和nmap之类信息汇集工具,可以发现(或者至少能够推断)经由目标网点的路由器和防火墙的访问通路,并确定所用防火墙的类型。当前发现的许多脆弱点的根源在于防火墙的误配置和却管理性监视,然而这两种条件一旦被发觉,所导致的后果可能是毁灭性的。
代理和包过滤这两种防火墙中都存在一些特定的脆弱点,包括未加认证的Web站点和telnet访问以及本地主机登录。对于其中大多数脆弱点,可采取相应的对策防止对它们的发掘,然而有些脆弱点却只能检测是否有人在发掘它们而已。
许多人深信防火墙不可逆转的将来是应用代理和有状态分组包过滤技术的有机结合,这种结合提供了限制误配置的一些技巧。反应性特性也将成为下一代防火墙的部分内容。NAI以在他们的Active Security体系结构上实现了某种形式的反映性特性。它允许一个被检测到的入侵活动引发收影响防火墙的预想设计好的变动。
举例来说,如果IDS系统检测到了ICMP隧道攻击,它就会接着指导防火墙关闭对进入ICMP回射请求分组的响应。这样的情形总是存在拒绝服务性攻击的机会,这也是需要知识丰富的所谓安全人员的原因。
最后,了解防火墙有助于我们了解网络,为我们纵横网络提供方便。 |
