|
|
|
一. 防火墙是什么?
% H! X/ `/ N2 R6 a4 i# C! K
+ }. q0 j6 W" @9 V& } 所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方
" |5 @1 _& d1 a9 a) n, E法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制
5 J, F0 F- E$ G& j3 _尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人. O& n4 x5 L7 Y
和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更. e$ i* b$ y V3 D) p, W
改、拷贝、毁坏你的重要信息。 2 A* g$ |! \5 l* u
& `2 J) P+ Z, l- J* I3 R0 w
二.防火墙的安全技术分析 / K; L7 m/ V% Y0 C$ P6 V b
! N# q( ]$ M+ @8 x7 c+ [
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火+ Z% `; H. ?; _* T. k
墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认
$ e' @( p+ R3 ?9 u识。 7 F) W8 i5 ~% O
' y* O9 n; x C/ n+ F! M
1.正确选用、合理配置防火墙非常不容易
' \% R# b; q3 s+ u- F' r- `$ s4 i; f" W# k# W. |6 j3 ^
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系# v& L/ d8 o* B" m/ `4 y
统,配置有效的防火墙应遵循这样四个基本步骤: " E4 r1 t t! c0 k& N
. ?2 l' s# {' |( j t; h2 ^: W a. 风险分析;
6 N- m6 F( e/ W% H9 j9 j) d% u& b4 f: r5 k! G7 S7 P
b. 需求分析;
; m f6 ~! X2 ]! e# n' v& T" x3 e+ ^+ j% v6 J0 E
c. 确立安全政策;
' h1 ~$ ~9 H5 v& p; o$ K. L _& ]1 ~3 {
d. 选择准确的防护手段,并使之与安全政策保持一致。 - D" p5 q; X4 M% c% G" \' M
8 k4 d/ R4 `: a7 R) M
然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只
0 @7 A6 L% O$ }' x# n$ v是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防) @% i( A+ v; Z) S- Z( U
火墙能否“防火”还是个问题。 0 {, h5 ~9 H6 O* |
: b8 O6 Z5 g% X* R" S4 |4 X, i( w; h
2.需要正确评估防火墙的失效状态 2 m& b( V% f1 G2 V( B
- }; M+ _ u0 W9 b9 ^
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,
P1 K6 M' R* h0 a能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻9 r" a; ]- J1 g: K
破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正
. i/ O7 C2 f( s; M: X常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数
$ b; s5 c$ e: a- Z* A据通行;d.关闭并允许所有的数据通行。
. I, |. [0 X% C. N
% t* {7 v G. G8 Y$ ]4 ] 前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进
2 F% p4 F! F3 x& |) y( U行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐/ `9 E4 [2 \- I% Q+ B# U- W( n
患。3.防火墙必须进行动态维护
% u4 L1 \4 ?' G# {# c% _! g) k) P) U) e; t/ s
防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作( b+ b0 {/ K( n6 G6 F$ U
用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动" J! G7 k# I5 C4 N4 s: a
态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,
+ n* t4 P% j/ f1 K- }' M; g7 v" j此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。 / x) [. X, _+ |0 X1 R
! W2 E. d) R) R% y
4.目前很难对防火墙进行测试验证 7 t$ L' Z$ K: K1 Q6 N7 q. x( E
" J$ K3 C$ T; C# L+ p% u/ z 防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚; s& _7 S6 ~2 O9 n8 O8 b! a c [
至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较
3 Y+ u7 U" V' N) [5 y. ?4 }大:
, q$ d3 Z% |1 y! C2 l! V
* y3 d4 h" V* q; Q4 P; _% R2 X a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的6 L# ^. S7 S. K# {: Z; v& H& n
工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试/ q0 Y3 `/ }/ P4 y
的工具软件。
. X5 c! H: m5 G( O1 E
' I8 j9 p; m! Y: a' c2 O b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作7 c6 w3 \3 r1 V% h$ x- z
难以达到既定的效果。 5 f* x. d( b4 c8 f0 J! o
9 N _5 b4 _8 j& v2 z" { c.选择“谁”进行公正的测试也是一个问题。
) @8 f# ]9 e* @3 n
- @. [' i4 a7 s6 r9 f 可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,
+ C- y. X& Z( R- T( E进而提出这样一个问题:不进行测试,何以证明防火墙安全?
6 V9 T7 Q5 @. Z
" r, q7 X" M9 s1 _' R 5.非法攻击防火墙的基本“招数”
- y0 y+ g/ Y {; D' v! T% Y' e9 a* p x& l! W Y0 A( O3 T
a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到# Q6 Y$ Y8 e6 ]7 u. O
了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值
7 i& J+ I# w4 M+ z; `/ x. ~得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。 % x0 | R! }/ B q" ^ s8 w6 e
, q8 e; p& m* n9 e 这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰5 m7 o g( r3 r4 ^ w
恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接+ S# R/ s) |: |3 \. S5 m: C) O
口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的/ S% m; q- z* s6 |
信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地. U$ X" M/ \- y7 i: w6 i3 a( k
址缺乏识别和验证的机制。
) |! {- T! k* o: \3 t$ I
7 S( e9 h9 x* ?, X0 J. I6 j 通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出
7 r6 N u+ X0 J$ ?5 y! N; c& h请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初3 G! {5 K; [: ~8 x
始序列号ISN。
6 y q! J; ?9 B$ r/ o" E, `% h% w2 Y7 [2 u( e1 D C
具体分三个步骤:
) T1 m% D' y* i3 E: o0 Z( _7 H0 n- x5 `& C# i, K( t# X6 s9 O
1.主机A产生它的ISN,传送给主机B,请求建立连接; 7 S" {* L5 m1 ]! H- R, v
3 x4 b% Z9 u* P+ E 2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息, @ s' q {# G8 K4 } }0 S2 n
ACK一同返回给A;
1 [ l. J( J( o7 s3 ?+ R4 J- ?* z5 f- r3 W! y
3. A再将B传送来的ISN及应答信息ACK返回给B。 , ~5 F& d* f1 ^* a. D
: o4 h B( E7 R0 I3 x1 L' e 至此,正常情况,主机A与B的TCP连接就建立起来了。 ( H% ^) S; x1 X6 E
; f/ o8 J' Z4 ~' x# ]% ? IP地址欺骗攻击的第一步是切断可信赖主机。
8 {' d1 ~9 E7 q
/ Z& @. T& \' _# p 这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾
8 c' A' Y" H% r0 u不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只: ?( N- c7 e6 F- w6 w
能发出无法建立连接的RST包而无暇顾及其他。 6 Y E$ I2 @2 W- [5 j
s6 h5 @; b* r4 |+ v
攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),
3 P/ z" ]* T, t4 X) ~* f& x6 i通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连
0 h0 w- }% q. j: H接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和
) X) w1 [- D/ ]9 y! ^- E' V确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目
7 c5 v g: P \) W9 I: t标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从
j1 z7 F" ?0 d( |+ W$ E+ H* f8 V而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击* y2 y! L$ ?+ P
产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。
C! i/ @% f+ N* e6 i% S# f/ Z- K9 E1 X' h. C) |% ?2 y7 `# t$ \& g% W
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主
5 z0 P3 X% [5 b机。
! _* |7 z! l/ v: k/ f" D5 f# h9 Z* U5 [ x# m+ x
随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过- R$ O# E3 ~4 k9 K+ }3 K7 z- u
这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果' I9 B" W. X2 `2 P
反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网1 z+ `5 S' R( e8 B& h
络。
9 [! n0 A6 m& I
+ p8 X2 f/ Z8 k5 p+ w 归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;* S6 j7 V, a2 ?% O' a. S1 \
不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许, ?' j7 d3 n; ^
Rlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允4 F# T( X% m! t, _! E' }6 j' U
许Win95/NT文件共享;Open端口。
, N3 z) {7 s! O2 D3 F8 ^& N& f, ?5 ?5 p% {$ \/ V
b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防( N# V v+ T- D! t+ ^0 }* d* p
火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的
, E5 a7 C1 R' D9 C9 F1 s7 c职能,处于失效状态。
9 M& S' r: J3 I4 N. k4 T+ b2 H: C! x5 y8 l& b
C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,0 h! Q1 {* S8 I" Z
随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件
; J$ B6 Q9 `( P2 e4 i \" G或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期
3 K. l0 ^8 [$ ?/ X4 h1 ^/ n- P望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,
: [6 ?# I( r. p E1 g因此不仅涉及网络安全,还涉及主机安全问题。 ) D, d2 @! O5 o8 C) s V
8 D6 T. c3 y: H0 g8 T+ }- _ 以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,
7 s# w2 r; O! w `它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则" t8 e3 @8 [5 U2 f. j
无能为力。从技术来讲,绕过防火墙进入网络并非不可能。
$ a; O. f5 ?0 w% Y4 }- h% l
( [) x* ^! j3 ^+ j% ?/ t 目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存
& N9 }4 d1 |0 ~' l: E1 n! u# z在各种网络外部或网络内部攻击防火墙的技术手段。 % L7 y5 F; }, x" O' D: Z
! ]+ b& I$ _7 o: Y" q+ _' {
三.防火墙的基本类型
7 Z, L7 _0 M3 O: T1 F3 {. q, f) v8 {4 ~5 K, I' Y( r# a7 G) t. g u9 A
实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应
; b, J/ Z+ ~7 G! A8 s用级网关、电路级网关和规则检查防火墙。
; B8 b+ \: p, ^" U3 O9 H, c7 ^' o5 j# t& F+ w R2 e
1.网络级防火墙
) l" D( N% c7 a+ F+ o: T
3 f& r6 p" [4 h4 Y1 f# ? 一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过) M3 }! B+ H6 A* C" B7 X
与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都
o! W+ U2 ~6 r( \能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来
, o6 C" S3 @5 [; I+ m( i自何方,去向何处。
- }: z$ \) a6 w; a) r5 w9 [3 D# o+ a$ p& r
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的) { X) ~: _3 L* s4 W
连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定
, f9 J$ T- q1 L! t* B义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直
+ v& r3 V% J' a, B# Z至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默
0 A, m( |; d& I% W& ?5 m' ]$ W认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于
* F6 p! R2 J' [, vTCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如8 P+ Z* Q$ U' ]: F/ u% }/ p/ u
Telnet、FTP连接。 - r. e4 }) {" a
1 R) N0 K& l A8 S" T) j8 X) S
下面是某一网络级防火墙的访问控制规则: 2 i' [( d- Z+ g- {/ Z3 r3 r& [
/ D F4 a# j" ~( }. p (1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1; 4 D1 ?0 G* t& }6 G G: d! O
, x; a" z9 n1 G) ~5 G (2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主
+ s" w, ^6 g) H机150.0.
+ y+ d$ L. ^1 c* E( R: n: e+ G6 @
0.2上; 5 O0 H: n; o$ n% A4 U8 }
7 _* b& s9 J4 d, Z) v8 ~& _# Y7 J. v
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3;
3 [# \) y( P& N" t/ j+ s
6 K# x) m$ q- j+ Y (4)允许任何WWW数据(80口)通过; + r: ^, \' {& g9 [: n3 n
1 Q% c2 U/ V% V2 z$ ` R$ ` (5)不允许其他数据包进入。 4 V( c# H! u9 n7 O. l9 R1 v
5 T7 t; F6 _9 j( ?' }& D: r# m 网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护
% [6 M; j, K8 L) s- k$ Y很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。 " S! i/ g/ U# {$ q! d, W
# P5 G$ w* s* C( D8 z* I# C- U2 O 2.应用级网关
+ x* Y% g! F. L6 }' Y
7 }$ ?1 W8 ?/ o; Y/ I 应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任8 d( l, d" s ~" a# R2 m
服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层
2 b- j. }( Y; h0 J V U2 `上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议
6 n: |2 Y* E" y: E需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。 & W6 L6 s( e, F0 i( i' K- E
. [5 |* ?9 k# P# i( { 常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、
5 u3 ?8 v$ l* i) {6 TFTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的
/ B# o6 J! O: q. K. ^' y, R代理服务,它们将通过网络级防火墙和一般的代理服务。 ; L _. p* {" }$ |3 l1 L# v
7 a. u( t) \- r1 L4 Z& O" o4 j
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,
! ?' P9 i, M# x8 v5 @ m; C$ J3 G而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过" P( J9 v* s- y j2 L- F
防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录
. k' h$ h: V7 {, O( `3 \1 `7 B' U7 C(Login) 才能访问Internet或Intranet。
3 L [. c+ O9 M" p
" Q w0 A, V5 G 3.电路级网关 ! m9 I* q' U) G( c$ k! U% ~: }
' c' i: e9 C; C, l
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手8 ^* Q5 T& n: p7 i, }/ E
信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层* G1 T8 Q- N9 y# \: U) m
上来过滤数据包,这样比包过滤防火墙要高二层。 2 ?$ ]5 `- H8 ?6 N( q _8 a
* o+ P4 k2 \( X! r2 k+ K( k 实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结
0 M4 k x7 C2 L+ ?合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;5 G/ `1 q7 J) O& X) F& m. c- h
DEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安1 U5 r" Q( f) h7 e3 L+ R5 x
全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一
7 N6 T9 {; q& W4 N个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP
# i# C+ P& E8 W% _3 s' L* ?) q地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,) ~- }' ^. T* `3 l6 j. w0 F) q
因为该网关是在会话层工作的,它就无法检查应用层级的数据包。 $ f; I. Z8 {! l. @9 g6 `
. L. P" V+ A# `' Q4 |3 Y! _
4.规则检查防火墙 ; H; {% o( e0 o, s3 @2 |
5 e$ X2 ]; Y) O# a' b
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过
% e0 H/ u$ f; v' C; w4 f滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤
# v3 t' a' V- _& w进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否
n6 u% E6 c1 y! [7 E逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内
, r4 c1 k! ^, L! \容,查看这些内容是否能符合公司网络的安全规则。
9 a$ n! B5 \" W1 u' ^" Y% x6 C; x' n" `; x
规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,
! V# k/ {& `) v$ _$ a: G它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和
% o s/ R5 U* `) g- O1 y- t3 ~不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而* z$ d& a# A1 u& Z. W3 Z$ A1 l
是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式$ ]1 C5 W' f; R, Y
来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
" m- R$ O% w3 R1 H8 R/ z. A
. z7 @9 p5 D/ c0 Y0 a$ p J 目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用
- Y/ I. F6 J& |5 n户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每/ e$ g1 a3 G8 f& ?9 p
个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一) k& G5 s" j1 A$ {
OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1
5 j2 S. m# f# i# z) v! y. Z% G防火墙都是一种规则 检查防火墙。
, V# z! l3 ^% G- K2 A1 e# z! G, w; `9 H4 b. u4 c
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就
7 J' P( W# p/ v. l/ F I是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的7 B% r/ S+ t i5 |; Y4 `% x! _, _' O
功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽# U3 @7 L* o9 Q/ V& @( l3 U k
查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数
4 o/ g% C5 F# S6 @4 x据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡