|
|
|
一. 防火墙是什么? ; V! m. Y# ]! G8 f" r" K
: W, k8 T" ^1 C- b. a* z6 L& x+ p
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方! ~1 V& v4 m) K
法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制7 L# v$ O/ Z" k) s, M' q
尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人' F& x# a" ]: e
和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更
( A; O9 v/ L' X3 B. |改、拷贝、毁坏你的重要信息。
) L6 X6 B' g" k( `
, b% l p) p0 b 二.防火墙的安全技术分析 , P$ `- x0 R# x( u1 `6 X# F
7 W5 N3 S# U2 e/ \. J( |
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火+ ^5 Y/ v8 A e* q$ y' E
墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认# P. x7 ?; t# z) P' }5 w
识。
8 n' P* }: W9 w" z( T* B2 ^7 s+ E; x p2 s
1.正确选用、合理配置防火墙非常不容易 9 q! p9 ?. i& z' |0 d% [7 q8 M+ b/ M7 m4 Z6 n
% [+ F' R `5 B" s) U' D5 r 防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系6 B" a, H$ W% Q, l7 \: q% T; L
统,配置有效的防火墙应遵循这样四个基本步骤:
$ V$ a) r' H, j$ A, z# H$ R# K6 @' O' |
a. 风险分析; # M) N3 V' t2 j5 Z
. A/ \5 V9 M( L9 c% _. _ b. 需求分析;
0 l) f* F$ m4 C Z3 w8 ~- v9 b- u1 I" p: O" y& _. w: t8 _/ b
c. 确立安全政策;
& R" p* M S! k
* a# f e$ U% U d. 选择准确的防护手段,并使之与安全政策保持一致。 8 D Q! G) |: X+ x) ?2 }
" P% g8 S1 Y; g+ d 然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只* \' H* J# B) q& f+ K8 Y2 d
是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防
! e' G+ W. W- P4 T( D0 ~4 y火墙能否“防火”还是个问题。 W0 x- w0 h5 T' f
/ d) k% p n$ R, X6 X3 I) ]; E( Z
2.需要正确评估防火墙的失效状态 , ~3 R2 Z: L1 K& [( B1 h+ ]
, C9 v4 L. ^* y; n* m/ A" H 评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,
: C" c" w; i( d3 b; H能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻
7 Q5 _# a9 [ F1 Z' u破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正. K1 W! L) z( v$ D! Y0 I& h* t
常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数& r3 M; m$ o2 e; _9 \' C, W" q
据通行;d.关闭并允许所有的数据通行。
# V$ O9 {5 Z" ^" e
$ o- c$ F( M% d: ` j 前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进
$ z8 r9 |8 k* B' v5 s0 m' E行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐( X" s; l$ f+ m
患。3.防火墙必须进行动态维护
$ D: R- H+ H5 e! E% ?1 W& j; a p; y
防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作: |: s8 j8 ]4 t! A6 V5 ~
用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动
' d% a( G& X. n+ y* S8 O态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,6 [! f: e! E6 ~
此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
# S2 ?4 i) i( U1 r& w, R* ?% @, C+ w6 L
4.目前很难对防火墙进行测试验证 - _. ^, i( f# {6 p; b4 ?$ D
2 c- M: ?- b. X
防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚
: M$ s7 Z% F6 H至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较( P! ?9 u% B$ N. Y
大:
- h9 A; B" _+ x) d6 x" W& M9 ?3 A4 ]8 Z4 u6 j) w- p
a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的+ I) e) B, I6 j. Q1 V" M! z
工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试
+ B: s- j0 O4 w- z" f: x* ^的工具软件。
1 ^2 l: f0 x7 F! r" @
8 n8 G7 x2 q& s b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作0 h4 |: E) ` c! c3 v
难以达到既定的效果。 5 H0 e- \8 O w% J" W7 P
4 b* W3 Z8 N/ D3 F8 ~3 r( V' j9 z8 H
c.选择“谁”进行公正的测试也是一个问题。
/ z) f0 }) Q1 W1 t2 Z3 m8 \
' `4 K3 O8 E2 o3 a6 r m 可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,3 M$ _$ q% q+ |. H! S% v
进而提出这样一个问题:不进行测试,何以证明防火墙安全?
- z1 X: D8 X/ {9 }8 k( R- b9 D* [1 G$ t6 w+ N# b* s7 b" K
5.非法攻击防火墙的基本“招数” 6 q4 N- e) S% R) \
$ k8 y2 l. v% a1 t3 }
a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到 P, W5 x! M8 N" L- M9 K; ?
了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值9 |) k0 V4 p4 j4 q! z- j) o/ s# G0 q
得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。
) Q: q' S% v% ~+ h% {' k& v, P
这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰
4 E+ d$ v* ~* i: c5 `* n2 Y恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接( b' M! x: o* y9 z6 {& ~4 }9 Z# L/ Z
口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的# t' J) S0 F& L2 M- p# D# }
信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地
: X/ y6 C! W$ ^0 W5 }: y; ?址缺乏识别和验证的机制。
: P; P5 f# g- c7 P* X
8 E* b9 s- ~; ]. ?1 N. n 通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出
# b. I- ^! C6 R. u; L3 V请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初
' G! M; q" Y2 N始序列号ISN。
: ]" t# G# Z* j) c, u
& q. p" U7 A! C) J8 B 具体分三个步骤:
. [, X" G: U' u2 F+ z) h8 [, |8 ~8 G+ A1 Q- _" e
1.主机A产生它的ISN,传送给主机B,请求建立连接;
3 w f% N" ?& D
8 \7 @( T4 H9 G7 K1 o 2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息
4 l; v5 M" L: o! F1 C$ `ACK一同返回给A;
0 x2 j# R7 y4 V! d) G+ M% w* b0 \7 t: C K3 o
3. A再将B传送来的ISN及应答信息ACK返回给B。 3 V9 b& d8 l$ l+ t4 \% j; D8 `/ Z
. @, R9 e7 x; h2 Y4 Z* X2 p
至此,正常情况,主机A与B的TCP连接就建立起来了。
5 J4 c2 B' b! g$ [7 `( I# c7 X! |" z8 x
6 P6 b4 G$ @& a U IP地址欺骗攻击的第一步是切断可信赖主机。
M4 j5 d2 k7 O- N1 y
+ |3 Y, h& y, r. h$ r: v 这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾
' N9 ]! E! r. G/ h% y不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只# ?! f' I* S7 c+ l
能发出无法建立连接的RST包而无暇顾及其他。 1 I! k- x% b5 ]" V
* u6 f' d5 _' s/ t 攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),& M3 l% F9 |* ?' }( a- p
通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连, O8 J4 F$ G& s2 Y5 `+ J: r
接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和' ^% H7 b2 |, [. N# N1 c& ?
确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目* a2 x0 g) h- ~" r3 e" ~
标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从
8 L% E1 C% T+ e5 u0 z) d- m而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击
( e, p' r" T: ^# M' L% U4 L产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。 4 X# I, m+ F- }# u2 e% l7 P; c t
9 Y4 | P1 p p 现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主
2 L" o7 ~+ z& A w# V2 d机。
2 m: d) b+ c: x8 \
: F, H+ w" l! E# B+ X 随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过, Y' ]5 J( N" b, G9 f; p
这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果
* R2 u+ u1 z& C- Q1 H) h9 i反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网: ?9 G& a0 j6 I5 |
络。 ! ?: f$ k( j+ R7 y. u6 U/ F
) `0 R0 _6 U; C7 e
归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;5 T, C# ?' g7 o. V r
不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许$ R' c @4 R: O9 o0 m% _
Rlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允8 u) ?1 v: }7 q7 P
许Win95/NT文件共享;Open端口。 $ |% M: C9 \" ^9 U9 k
8 _) j7 j. v% {' H) M! Q
b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防9 W! Z! \/ a2 a* x# v4 Q
火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的
$ o1 ?: ^, E9 I职能,处于失效状态。 , C% ~+ B) H' G5 g
* F' c' @4 }- y7 M, l8 f; |# H
C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,
' D5 p( P, \9 v" c8 `. R# H0 O# U5 E随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件- E" l5 K, g; m8 \3 g7 d% z6 K
或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期4 I" q& Y0 g ~( v$ j" \# n
望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,; ]. M) F. G+ p z2 y
因此不仅涉及网络安全,还涉及主机安全问题。
9 M4 T' P9 ~$ v' m1 Q, h C) W
) H; K, v# p' f8 ]6 B A, q 以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,! A9 s) |) w+ ~: r& e- |! J
它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则) p( o. ~& s" S/ W; M8 \- K
无能为力。从技术来讲,绕过防火墙进入网络并非不可能。
0 h! e; P0 @3 g+ `& q) F
m5 |1 q, o( u+ s! T 目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存0 C- A' \% z8 q
在各种网络外部或网络内部攻击防火墙的技术手段。
' c! y& X4 J4 c/ d1 E
) q* z/ p j: Y& ?1 j 三.防火墙的基本类型
' h% k+ \: f, d1 K- ~# O/ B7 f. b6 o7 q0 G. ?
实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应
' `9 q9 J4 B% W' e用级网关、电路级网关和规则检查防火墙。 : f/ g$ ?/ G4 I
7 {% Z- s$ s- ?
1.网络级防火墙 $ \2 _* ~- z/ P0 P4 ^+ e0 H
2 `2 x( E. j( _" d: X2 O8 C ] 一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过: L, e9 p, l1 o% F" b; d; p/ Y. s
与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都" X, _6 y% x5 b7 Z$ A Q
能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来: m' g; D& @8 N$ }6 H
自何方,去向何处。
$ a; q0 O9 O1 K' N) F) H. L9 m. D4 p& } t# M% X# |# X
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的
& n+ j3 l" Z0 ]7 m/ Y连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定1 F& \1 K; y: ?' ^' c
义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直" u; Y0 F2 @$ B' P
至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默
7 w( T! @+ i" F! Q4 g4 L认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于
7 r9 J) \7 p) mTCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如
% {5 ~4 `; a; [, C0 `- M, G; x& ~Telnet、FTP连接。
' h0 i$ w; P) o) P- K& D, c
% T0 F) ?. R; w% A* K2 p o9 z 下面是某一网络级防火墙的访问控制规则: 2 V' n; f* s# K8 t- I. D0 Z3 R) s8 e
; B' u* T" {2 ]$ b! g9 |3 z. q/ x
(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1; * F p. ]; Q3 r' C
$ U$ I: _" @2 o
(2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主 S/ j/ i) Q- e2 T# S) U
机150.0. % U7 Q1 u& I6 N( }) w( R. j1 W
9 ?$ C4 M8 _ e0 U
0.2上;
" f" v: H/ |' D4 ^2 [+ X6 X1 l6 m& h% Q
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3; $ g8 U( ~' }, @) C' d% u
0 j3 P0 I! E) Q& y3 m
(4)允许任何WWW数据(80口)通过; . y* u) e. M: ?* _. `
9 z! ?. b8 z3 L) Q9 o2 F (5)不允许其他数据包进入。 2 q& _9 j3 B j
' b) b& c/ Q7 X2 p' N. e3 m 网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护
$ E! ]5 K$ ~4 W! r4 O) s8 f3 Z很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。 / f! ^- L1 r) ]2 [, C2 d8 t Q
m* m5 q( Q( _% Q; Q8 Y2 Q
2.应用级网关
* n# v1 z. l! j' n5 ?" u1 R. S; A; Q g7 C& |" k; [
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任
0 l X6 {; [1 F5 @+ {% _服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层9 l$ ]! V: C* X @+ ]7 X
上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议
2 j3 h! \9 t* h k5 ?7 ]需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
+ ^; X3 q: k! f) M+ D- k
( R/ E7 d5 B1 m& a u; j8 S 常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、
" f3 x/ D b _; ^5 _4 C+ g' ]FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的
7 [ z' r. M' |( v6 ^- i* x代理服务,它们将通过网络级防火墙和一般的代理服务。 " X, d2 V( O: a* m
# w/ n/ l; m! Y7 \, N" T W, D 应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,
# N( ]9 P9 w) X而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过
4 }2 C8 }7 \: M防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录
% S1 n0 _, a: P$ y(Login) 才能访问Internet或Intranet。 & _- S" ~. C$ H1 m$ o8 e; o$ w
' X- Y* U$ ?8 R* H9 W. r 3.电路级网关 " v2 s) @+ D' C" ]" V O! [
) U0 Z n' |0 ?7 s- T, u
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手9 g7 q4 E: }4 {7 C+ @+ U: L( m! D
信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层
% T6 c9 Y/ k/ j4 X. H- ?上来过滤数据包,这样比包过滤防火墙要高二层。
3 |% K* S: g$ M* O
6 S4 Y. n( X% Z9 s/ A$ g 实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结% { A" g' }, }* g, l6 O
合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;; D1 H4 c/ v/ {5 e' e
DEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安" S8 U. R9 Z: U. x* C6 B: d
全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一
8 `2 P4 R1 T$ e: K! ~个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP
& X e; K' H, J, Z$ C$ D5 g地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,8 ]8 V) j/ [0 z9 p3 u
因为该网关是在会话层工作的,它就无法检查应用层级的数据包。
' v1 q# _& I& m& ?$ Q0 S+ ?* v! N( t1 ^- f/ m2 K, K) z! T
4.规则检查防火墙 . a$ l+ O3 `# n6 C
; w) q2 w& C, V: B
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过, L* t. s* `. L
滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤8 S* d! s" Q; v% I4 A0 y
进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否3 Y5 }/ A4 V h# A6 U
逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内
3 _" y9 Q7 D, p; E容,查看这些内容是否能符合公司网络的安全规则。
5 j) d" Q" O" k# C4 p& X0 N/ Y6 f* ]/ a8 T4 o0 k, f6 Y
规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,
8 l2 x( g9 U, u. P/ _ `( ~# y它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和; }+ \1 \( ^. U2 n
不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而, ~# W- G& n7 Z* h6 N' a2 U
是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式. z" o. I+ u+ M6 X) E
来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。 ( w0 p3 b5 |8 ?8 K
% U4 j+ S+ b8 F. H+ h
目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用
9 G7 b. ^$ w; p' e: \, b- c户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每
7 V* d. J# I$ [% D: s8 P$ g: P个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一
5 M3 @ R5 T6 y2 p6 C `; _: gOnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1- _5 k, u& [, H% p$ _3 n e0 g
防火墙都是一种规则 检查防火墙。
: X; r3 \0 v6 G/ Y: A, K
% |; J! g3 W( q1 l/ }9 W9 J 从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就
( R5 J7 X- ?9 u) T8 y& f7 i+ F是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的6 z% f2 V) o8 k0 M
功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽
) N9 r: t8 n* |9 Q! s1 p, m, Z查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数
P7 s' A8 h5 V5 {" M据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡