|
|
一. 防火墙是什么?
6 \% c6 `5 H$ a* [' b2 y9 w, s, @( N7 f0 d, U
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方 P* K* b/ [! H$ I( n6 u3 r
法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制# _2 Z+ B- ~9 z8 D/ g- r
尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人. a9 }3 u r4 F( v1 Y6 u
和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更
0 ^( G( M# x& r1 t2 t$ Y改、拷贝、毁坏你的重要信息。
) {# u3 O2 b O7 _
( A& O+ j/ s. Z# r' { 二.防火墙的安全技术分析 $ \ M# u$ Q; M; X
8 m& g: Z C' b, w+ [# P% i
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火, E& }8 \9 R4 J7 t1 H* }* g
墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认
9 M7 N7 a$ B8 b. ]# J0 v/ c识。
3 M, Y2 R, f* v. O" ?6 w! q1 K: l
1.正确选用、合理配置防火墙非常不容易
$ Q# `8 A: J' [
( A& k& S. [1 i5 \# S 防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系, H8 }9 C6 n4 G
统,配置有效的防火墙应遵循这样四个基本步骤:
: G' u3 f+ p3 J# j. ?
4 `) V& Q- i- z6 m0 T/ e9 h% | a. 风险分析; 8 V p8 o. z. `- k
2 k! V6 Y T o( h, A. y! q) C9 K
b. 需求分析;
6 e" }* ^3 G1 J( Z5 d
2 h$ |, B* Y% J. q7 y c. 确立安全政策; % D1 X. @! N K/ J
; x" D$ z8 C' S* e d. 选择准确的防护手段,并使之与安全政策保持一致。
* a, ?% `+ i$ A$ r7 Q9 a
/ X! V4 x/ b' }, t 然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只: |; h3 N0 u8 A& W4 g+ ~8 Z0 U
是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防
& w0 a/ A# \: x- g火墙能否“防火”还是个问题。
: G+ t) i" V* L: \: t# D, Y! `+ V& }1 B r7 l6 m% s$ X4 E- R
2.需要正确评估防火墙的失效状态 ( W K& o, _0 x( b) P9 \/ `
1 e. X V; t4 A( w+ Z8 E
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,
; z; L& P" i, W7 X能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻
, \+ Z/ q9 v0 z6 H9 n$ U8 R! e破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正
8 q/ o3 T2 U: z. a常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数
- c! y8 d) {1 n( p1 V据通行;d.关闭并允许所有的数据通行。 # P: \+ D0 @( S7 K$ T
3 K2 b5 i; i3 @9 ^2 k2 g3 \ 前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进1 `6 ~$ c3 Q* b$ h6 @
行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐
& C/ G! Y2 ~& K4 C患。3.防火墙必须进行动态维护
9 H% ]) w7 |) M( K0 a5 n' S$ n
" A ^* r# U$ P$ j6 g2 ^ 防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作
; G. }9 C2 m. ~用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动
. M# N6 @# q+ D$ q8 W4 ?态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,
+ N0 ~" R& C. G4 {+ V3 t此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。 2 g, z. X N7 t# N: L9 j, f7 j# H
# a0 B4 Y7 i" ^9 @( L 4.目前很难对防火墙进行测试验证 3 ~ A, X- O; u1 P1 e; Z
4 d4 y2 R7 {' t0 D4 p
防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚
, O0 ?: {# `7 n! |! V4 K至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较
- y' L [, h7 z/ J" c% B$ ~- Q大: 5 y: G/ o/ r. O4 ?
4 T& A ?6 ]# j$ H9 W! c5 i' H a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的3 m4 @, ?2 I8 D
工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试3 a- C) ^0 X) P
的工具软件。
9 ?# r# j1 x4 g2 e9 g; `
0 s; d0 l+ K: w3 e& _8 _ b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作* I! q& }" f4 q& }; s8 |' O2 Q
难以达到既定的效果。 7 j9 w" c: T4 d& X: n& a' a
- N- @8 h A! x
c.选择“谁”进行公正的测试也是一个问题。
X1 {9 Y; e0 ~
3 r( ~3 L; R9 N$ N% P( Z, n8 I4 F 可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,* l3 F( J! Y% @6 d3 ]
进而提出这样一个问题:不进行测试,何以证明防火墙安全? ; l. l' q& |9 Q- e) Y
, n' E' c M3 f$ o# I; W8 o* { 5.非法攻击防火墙的基本“招数” & Z4 U8 }0 J# O, [
1 e8 h+ b: _1 g5 M/ W
a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到
- { o7 T: O( t4 Y) w了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值0 F& t+ J' L9 ~$ h5 h
得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。 & {1 C0 u. r' o, i [) d
0 \) C7 k. j. H" s- ]$ I) {- s2 @
这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰# @+ i+ D8 h: E5 O6 L
恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接
, r+ E. a/ p$ f6 A) D) r1 w* I( s3 C口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的
( @( {3 N. r9 l) r5 O4 k0 D( \信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地
, H1 S. p' o. I" l7 E址缺乏识别和验证的机制。 6 t2 G2 H# j* ^3 A0 L
9 \8 a% @5 n% B8 c
通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出
0 R$ r8 F l" k请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初7 I& H6 f4 w7 U+ s8 Y C$ `, B
始序列号ISN。 3 R& ^; Y0 y) r* |: q( Q2 e/ F
. r, _) F) K w9 P3 l2 Z4 h 具体分三个步骤: 6 ? Y* K8 k& l2 x3 I! K
7 w+ R0 ]+ V$ Z8 L( k 1.主机A产生它的ISN,传送给主机B,请求建立连接; + `) z" R: K4 A/ L# S" O! r" I
/ G0 {8 N- s# D+ f
2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息
) \1 ]$ J. X4 V) IACK一同返回给A; + X7 V5 y" I+ D' p, g7 m* {% z
) g! H' K! j2 `& Z8 R 3. A再将B传送来的ISN及应答信息ACK返回给B。 7 y& s/ u8 q) C5 r, F9 F
( C5 G) e& g( B' R: ` 至此,正常情况,主机A与B的TCP连接就建立起来了。 ( U/ y2 [: z/ v' u
- A. ?5 I0 M2 z" l/ d9 G7 z7 M; J/ L
IP地址欺骗攻击的第一步是切断可信赖主机。 3 _* U( z4 H; X' ~: F% k' ~
) i( H0 K: r* F% v/ n$ M2 ]! R
这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾
! |4 V: Q+ _' M* P1 Q6 ^不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只" L: b" a2 o }. ~) [' p" K9 r6 j
能发出无法建立连接的RST包而无暇顾及其他。
: K$ j3 \$ u0 l9 j& q! w
, _$ ?$ j I. `+ c, G: p8 j- m- b 攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),5 E# I2 ?8 V% L6 B
通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连
: o1 Y* P m& s5 B接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和% c3 S( W2 D% L
确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目3 }- l2 D' I, ]& J# ~
标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从8 r# U) S* Q4 l! I( @
而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击
! @5 u. i9 ~2 P: F8 w产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。
! z( T! F7 l% _4 d# m5 R
) h5 f9 A, J. r* y 现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主
4 l: j8 G. ?' s- g& F/ F( t机。 " N( ~. G' [) ]) D8 P
- R0 L- H* A+ y, E/ R% q- A$ ]/ h
随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过
" o) Z+ ^6 C- R) e- h) f这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果
w6 o4 P1 y. b& g" X+ c3 e5 y反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网; e5 ~$ ]! G- R' X! t0 j
络。
9 q9 [, g/ E' O; v0 [" F7 D8 U" S5 Z h9 o
归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;( A8 n6 r. L3 `: v3 l
不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许: s- I$ Z. P. r7 y' G1 d. b
Rlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允6 {/ h. R# X$ C ?" r
许Win95/NT文件共享;Open端口。
0 K" ^* I& o/ a! D/ M) b* L6 I$ _) F/ j, }
b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防9 T, Q. Q8 M" w+ j7 h
火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的
+ I# Z/ _4 H6 j+ P职能,处于失效状态。
" o. Z: h% C. n5 g6 E7 m8 |3 x5 ~# m: `* z ? S
C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,
' c5 d) }8 g: x5 d+ C7 _$ g! x随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件- p) n* g. @3 {/ A3 z) D8 O. {( [
或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期
0 g' R6 T1 Q, J- Y* j0 A% y8 i/ ~望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,
4 B: |+ _: m7 M因此不仅涉及网络安全,还涉及主机安全问题。
9 A7 d) T7 K" {$ B9 @6 b
2 e; K9 y2 x1 } D 以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,7 G5 g) c) H& O0 i& \
它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则6 }4 K4 k$ P. B* [0 k+ y
无能为力。从技术来讲,绕过防火墙进入网络并非不可能。 : \% v6 |2 O0 g" u* C; T$ J
3 e) ?2 f( |) K+ @. u' u6 P
目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存2 |% Q- I' v Q) j# Z) k0 v
在各种网络外部或网络内部攻击防火墙的技术手段。 1 l/ _, w6 v) O& v: y6 A
# E1 R! X E, x 三.防火墙的基本类型 ) |3 m3 h- {7 R* H, B
6 z( o! B8 q4 k
实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应. A* p: a$ g: _9 r$ M( c7 L1 ?
用级网关、电路级网关和规则检查防火墙。 + g# ^ i6 }# T( K
( U+ Z/ V& ~% D- ^ 1.网络级防火墙 W" a' m0 {. V2 G5 N9 V! W& v
* _5 U9 s7 v; a1 R9 l3 [) Z8 v 一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过: Z& B7 W4 h* [# m6 l
与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都
7 i/ J" E+ i# [( v% Z1 W能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来
- |9 a# S/ {! k2 o2 a自何方,去向何处。
* p+ C' x. O! C5 k0 ] W. p
7 u0 }+ U" P' X3 _1 @ 先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的
& J) a& e5 g1 T! X6 s连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定
. L% u+ w& I$ z0 _; o6 G义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直: Q. U# V w, p6 _% ~2 d
至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默
% v5 |' C4 a- c8 B认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于* y8 U3 p& ]0 E7 w. X: p
TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如9 U8 ^ G! c: K5 P2 L; e
Telnet、FTP连接。
' P+ \& r8 U7 A0 @
; c( Z& j) _4 D9 f! X, \: e 下面是某一网络级防火墙的访问控制规则: - V! r" }8 l+ O; R- H# P
* ^9 n& z( b" M% n4 ]. D9 v (1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1; ! H" }& B" Y) E; p# u7 m
! c3 K% r+ f1 [- a (2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主
: \9 [/ q$ g: i% M% {9 w! u* O/ Z机150.0. , K/ _2 L! M8 g) y
M# D* f+ A2 ?$ e 0.2上;
' Z6 {) P" Y" O( l {# @3 s/ |2 [9 A! D6 M. g- d( x' q3 ^
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3;
/ s2 ]6 c% l; L0 ?+ M! t% ^. K9 K( _' ~6 a- C! C" b( r; E; }8 p
(4)允许任何WWW数据(80口)通过; $ d l" [) C3 c) Y0 i' K, a7 i3 R- t
9 b( R8 k+ z4 o. ^; ^2 V8 E
(5)不允许其他数据包进入。
' H% H g! \. D
9 E- n& W) a; ?4 ~$ r( V S 网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护0 @* n7 |7 z5 q, b) y
很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
' M2 C0 N. D% {4 y/ H# d( Q d8 o5 P& @: _2 ?' A( E3 n3 U O
2.应用级网关
9 d/ I( L: u0 R* y$ } m# g; @
0 p& q! e( R1 R$ y 应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任/ X; }8 s/ \3 O
服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层
$ m2 U J- A1 V: \& I( `: y* s% M上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议* Q. H; Z- ^: w6 Z- `
需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
; a' P/ o3 {' X& y& r5 T
5 Y4 Z0 |" a% S" c 常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、 5 L1 w# k5 I% Z/ _. n& L, j2 [! E
FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的; o- U/ Z5 @6 h% q7 K: ~$ e
代理服务,它们将通过网络级防火墙和一般的代理服务。 * H+ _' }- S0 j: \
' d7 L, b- t$ h0 n! y# J 应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,; o/ i2 G, a) V# a8 b- g. M5 K2 o
而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过
i8 w! I. x/ x* W防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录, }) A e+ ?; u: o7 l
(Login) 才能访问Internet或Intranet。 , l0 d! x% H9 q) K$ H, [* s4 P/ \ d
w+ O7 `5 z0 I; A 3.电路级网关
: G" `) g4 r. o$ j$ Z" y& N/ {& J& E$ Z2 V, R* E
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手
8 @7 g8 C( A- @# D: C9 L+ b' }信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层0 j4 e$ l8 K3 G- N0 b1 H
上来过滤数据包,这样比包过滤防火墙要高二层。 # c7 n8 O6 |6 t& m3 Z/ }# p
" ]. @. Q7 v( q0 Z% L
实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结9 M" E) {7 p! H+ \: @
合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;
' L8 y9 i9 y" n0 t2 BDEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安
3 m2 w2 v# U* \; o0 d全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一9 \ o9 }0 i' @! b& g
个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP8 T: k# J* {4 o' O- L& [& l
地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,$ m1 U2 v- k1 H$ b
因为该网关是在会话层工作的,它就无法检查应用层级的数据包。
; a2 H( I" s, T7 q6 g. q7 t# A9 Z2 B% N L
4.规则检查防火墙
+ u6 f9 R8 r* H! O' A3 A+ G, v* j4 t( @' h0 [+ F* [7 \+ B
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过
$ {9 Y% N' C3 Z3 i* f' X- O$ F滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤5 }; K! [. V' [. K' M* d! T
进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否
; r4 X! |; E. h, ?- ^; u) F! M逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内
4 t0 q5 Z/ ^7 V; l容,查看这些内容是否能符合公司网络的安全规则。 ; f7 U0 _4 j1 y8 i* f1 k/ {: E3 U* F
% F1 c# u# O$ W# M T6 q 规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,
6 k0 w2 X! J! ]4 G/ I3 a它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和' j2 x2 ?: j1 O& G% c
不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而9 D- w' j) T1 |/ h2 \, Q" }& ]' j
是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式+ [2 l* s, z6 W5 M' _$ J$ ?* Q6 U
来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
/ L: I; \2 |* Z E
5 m( Z/ V* K" s) m) D( T3 M 目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用
7 a: n/ c1 u+ `# [户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每
+ h: y+ @, x5 r- ?* y5 j个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一5 C# @7 g% x) s* Y* H
OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-19 [8 S$ A/ I0 i* ?2 l
防火墙都是一种规则 检查防火墙。
5 ^6 ], z& V7 R1 L2 ~( Q- I% j8 ^" Z. M; D( O: f
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就
* e0 U% y# @, s5 L) v' G; @是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的
* k- b R# O5 | R e( m功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽
, f F2 E/ h& |% i: V/ ~查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数
! {& ? r) s0 [3 {据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡