|
|
|
一. 防火墙是什么? & h, U9 X8 j+ I: J: D$ Z
6 N+ b8 {" q/ [8 S4 F" w% \ 所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方
& b% Q4 I9 T% L; Z w, `5 p' q1 q法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制
8 V5 l, O6 T D! K尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人
; b) a R$ l5 l# D) X和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更) p1 U D' u/ C4 u& Q: Q
改、拷贝、毁坏你的重要信息。 7 w" M/ _9 A& k; w
$ f4 K- ], {/ V6 D8 e4 N 二.防火墙的安全技术分析
9 |' A/ o" c$ D. T- U' X7 g0 Z
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火
" \) d9 i M) e8 j/ J墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认
7 z& u: w5 k( N% [7 Q( ^识。 * _# c4 o3 X; n" f/ @4 R
1 Y y/ T) N/ ]# G 1.正确选用、合理配置防火墙非常不容易
$ s3 y' m) W5 J
% l0 R& S9 Z9 M& q 防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系
4 ~/ g( m9 z: Z+ X统,配置有效的防火墙应遵循这样四个基本步骤:
% I+ O' R) t! s; e2 C7 a) v k% D" A
$ D2 k1 `( ` e$ h* p8 E2 ?$ b a. 风险分析;
8 Y$ b. R8 b! E1 H l$ v+ N* c' ~6 D% W7 A# n8 X7 `
b. 需求分析; * L9 p6 [$ G: @, B
- i0 W4 _4 w9 E2 |
c. 确立安全政策; - P. D/ W& z4 }2 x* u* |
# k- |; ^# u3 I* D7 W; d; R, D% H
d. 选择准确的防护手段,并使之与安全政策保持一致。 1 [/ W* ~9 }/ K9 M' d
o( m0 S) c/ Z
然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只
1 a% e7 X& i0 a1 h+ U是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防, r$ \% N8 ?8 }, r% T, L# I) @1 B
火墙能否“防火”还是个问题。
2 r/ N" I+ ?5 k0 k2 [% s9 {# t U5 c- O% s% m) V: ^' v- w) \
2.需要正确评估防火墙的失效状态 9 ~* O* h0 ?. |* s
. e# `; K9 i: @ y6 P2 J6 l& P1 x
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,
7 J( Y* `. `2 F能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻. b2 G4 Z2 ^6 a; w- o# ?6 ]# h1 L4 q
破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正: b; I4 b# z! m+ l; I1 I
常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数0 \% g/ c, s7 i0 m8 [9 I1 p% p# o
据通行;d.关闭并允许所有的数据通行。
2 K: u+ L$ \1 h+ j$ T3 Q9 H1 @8 Y, W! _: O
前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进( u! f8 K g3 I; }8 @9 Q
行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐" j w5 W6 @/ \! V4 q6 P
患。3.防火墙必须进行动态维护
! W# n! K% B$ H( T2 o+ A& Y! m; u/ {
防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作
6 P% X+ M( _) P2 Z用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动9 [8 O7 Q; o! Y' ~# C
态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,
. l8 d1 V& X# A. M6 l此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
+ u# }+ J& r% n/ N1 ~- L' X% N8 [, \3 E
4.目前很难对防火墙进行测试验证 1 t( R# Y/ m4 _% h
- E( ~- ], p% p3 }6 z# F% ]
防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚
! _& K1 s3 a/ o* _7 {/ G6 b至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较
( I4 w' o, y1 N0 s: P0 x大: * T! ^, O- }8 x8 P A# { o
/ N4 g# K- [) Y6 W4 Y% Z7 _
a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的
+ o# n/ ^# u/ b3 t& s5 N0 \工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试& d% S$ b- a2 s
的工具软件。 + k" H2 o) L8 u& v3 R3 ^$ X/ C
8 d9 V+ e& \% @- c4 B/ l
b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作
( i# D& \$ C7 P- ^6 D! I难以达到既定的效果。
" r0 n3 q- c5 O2 l7 a0 {9 ^
! C& S: O! _& ]4 H c.选择“谁”进行公正的测试也是一个问题。 , T9 L- n& f6 R% ~- k$ S" h: m8 N
X3 d( G2 D2 E, N# b+ m$ s
可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,
6 t4 P4 ^' W7 c( Q8 h进而提出这样一个问题:不进行测试,何以证明防火墙安全?
; i9 [% }2 T5 G. H8 E- a' j9 f% h( R' p- R" X3 K- ], x7 ~
5.非法攻击防火墙的基本“招数” 4 V w8 e# K1 [' ]$ K6 `
) ~, u! n+ O; a( b9 x0 s a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到% m- [8 L7 |; N% p; M9 x6 H
了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值
7 q5 l) F1 l1 s% C) E4 G# u3 O7 { l5 D得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。 # U+ @, m- g- x7 r0 Y% @
% T: J) R( x) `/ y" L/ Y 这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰
1 R, }2 ]* \" o0 @+ `6 S$ b) I恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接7 h2 a; d' u3 J v$ d* s4 E7 F
口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的# P8 q' ?" b- [
信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地5 J! H" Z1 ~/ h, z* [0 b
址缺乏识别和验证的机制。
# q! m) N& w$ o7 d3 U2 x% t7 p8 O& S/ d% C
通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出
9 `) l1 }' E l, p2 r7 E0 s请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初9 l/ z- `( F7 G+ d# v
始序列号ISN。
1 M- ]/ c1 A, h# O+ d5 g% |+ h: n0 o9 V# w& A$ i* u8 X
具体分三个步骤:
/ I/ T8 O' d3 l* w. M" I9 F v. c( Z( {9 h0 j8 G
1.主机A产生它的ISN,传送给主机B,请求建立连接; 7 ^# B. ], d$ u3 U: V
7 ^/ t. a: n C# s) i: O
2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息% |+ A4 O* x8 O
ACK一同返回给A;
9 [6 x4 R- z! M; K$ H
! |: D( H0 V8 y. {. {9 J7 P 3. A再将B传送来的ISN及应答信息ACK返回给B。 & j' _8 S/ {8 L( i1 k O- s
. j$ v- g* y& v9 D 至此,正常情况,主机A与B的TCP连接就建立起来了。
$ ^/ f' U1 ]3 V; a- w3 t8 B/ K" V8 W# [1 f; P3 e; `8 ~8 }$ I9 B2 X% ]
IP地址欺骗攻击的第一步是切断可信赖主机。 5 `& [, ~+ ^* W* Y% D
( e7 a0 i+ m0 m
这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾
% O. l: \- g4 N) F不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只6 e% [; ?; a& t5 H; {
能发出无法建立连接的RST包而无暇顾及其他。
( b7 I, |; ]# I/ I( q, E- _& n/ Y0 y9 S
攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),& F" z' h; O5 R# p) T; z4 W
通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连
- y# H- ]" M! ^ q' t接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和# |" a7 O) a0 r7 v! ]
确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目
) g/ \# C% w F7 ^( W标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从
5 J; g) q6 _9 ?: }, _5 U6 h1 t而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击
+ l7 ^4 X; M- I+ y; J产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。 9 C |9 O- H0 V
) x1 b3 M$ w6 |
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主
2 m2 c& j+ i1 I3 t机。
4 {2 s+ u- B8 c2 F/ J
& `. `2 ^. A$ k- Y 随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过
( _! Z1 \, j- A0 ]: @这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果 z/ S& D6 D8 \
反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网
1 ^; Z" a8 X, T( z络。
4 _: i' ~; W5 ]1 z& C$ G6 D2 \9 s. W& X5 o y5 T% r9 j7 W
归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;
" M1 c: [. n, g# s不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许
- S, L" E( O( FRlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允8 K' q3 m$ b) `% V" B: H. T; F
许Win95/NT文件共享;Open端口。 ; X1 x+ P) ^' r1 k) u0 D
/ C8 e- r' G3 t4 {3 `+ y
b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防4 G$ S8 g- u/ Z9 H% z
火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的: `1 E$ L: `& Z1 m
职能,处于失效状态。 i; j. [; t1 a# Y( n6 Q% o
R" o r/ A$ K8 Q C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,
2 ?( ~3 z" E1 C! d; _/ d& q随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件) Y# n% Y" q4 Y( ?0 Q
或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期2 A& t O9 V3 D
望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,
$ `6 s% A/ t. b0 x; d1 w5 ?因此不仅涉及网络安全,还涉及主机安全问题。
5 O# V w* E' O* R4 P! A# \
3 N, d4 S1 T) C2 H/ d" }3 \ 以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,
7 o9 c" t( i% g" c- ` o2 [它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则# u9 _! w6 K" M( J& G+ V3 z! t
无能为力。从技术来讲,绕过防火墙进入网络并非不可能。 ! Z4 M8 k0 ?+ c9 ~1 U) M1 i7 |
1 p6 ?' y% Q+ E$ H* n& K4 ]8 S 目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存
T* e! L9 B. C- R- a. X在各种网络外部或网络内部攻击防火墙的技术手段。
; Z* G" E7 l6 }) l1 J% b+ N. g/ E
1 y3 e- s3 x! a/ q* d5 L6 E 三.防火墙的基本类型
+ L2 |$ J+ d6 w0 W- |' p& E% T, ^5 d4 [# o
实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应
) [+ B( T) Q- l- ]/ J用级网关、电路级网关和规则检查防火墙。 6 E# J5 U+ ?* X' t9 M% J
7 h4 c$ ^1 v1 L7 e6 A8 A7 E* ? 1.网络级防火墙
6 w4 |# B& H5 O# g( u8 }! L5 l% o% m9 C- r
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过; K/ Z! v6 C7 }/ Y" l
与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都
: E( a( N/ ~- F9 P9 j8 t能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来
6 E! F* _2 b4 T- I4 ~自何方,去向何处。
1 w# ?3 T* w# f) T5 V" W1 Z6 W+ z. ~) ?- w6 z- }/ D$ q
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的+ E2 j8 W! F, u9 E9 ~6 _! m- c
连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定
' K z0 p% M' Q- x3 ^义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直
' t" k9 Y" d3 o* h+ U至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默 F& [7 ]) |; r, e0 e! W" L0 l, w
认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于
! m" u4 U( w* xTCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如
* z+ E9 T4 B8 @; @7 d, k9 MTelnet、FTP连接。 / l7 Q( q) v, B1 Z6 p
+ ? G* a- w% L( H' ?+ G# N 下面是某一网络级防火墙的访问控制规则:
/ [( ^' `4 `# Z. t
* t+ P, z4 ]- i3 ]$ L (1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1;
t/ T: ^2 e' @% h# O9 F: X* T% h
(2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主2 j; `9 F, ~, S" \
机150.0. . f: T0 o/ |& d( Z( c6 l
6 ~% y+ }0 Y2 x: q# i" `/ l 0.2上; , d+ N* V4 f, r6 i5 ]& G d
4 u2 c/ d% _+ u& N5 p3 ^ (3)允许任何地址的E-mail(25口)进入主机150.0.0.3; # h5 [% F6 [5 z4 ^
. G3 B, b% |; ]) Q
(4)允许任何WWW数据(80口)通过; + T5 ^) [. A; {- |
( G" B0 X# R2 z; f% e5 { (5)不允许其他数据包进入。
5 q$ x5 A* j+ O
3 a6 c* c4 F) Z4 P7 w, }% F 网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护! }7 D4 N1 M+ i4 y$ Z
很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
+ T2 ]# W1 i0 ?, I* ^6 M& U7 k$ C; [% ^3 k9 P+ [ M8 B
2.应用级网关 : u, m! z# `5 {& Y
( i H) M, \ `/ c3 S n8 a* g' U
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任
/ L3 e' ~- B$ P# `3 y服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层
) P! s" V$ I5 |4 w8 {# R上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议) Y! K- E: f# I; _( V0 W% q ^
需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
. z) F( d$ X0 ~! Z: d5 m5 P. Z
$ Y" ]- k# t b# d- @ 常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、 ( [' O: M7 {0 |0 K: i1 y2 b
FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的
; H- t4 p6 u$ j代理服务,它们将通过网络级防火墙和一般的代理服务。 7 W5 r4 d% C1 U' Y
) c& m% \. R. F0 y" J7 x
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,
5 q# }& M% `/ F6 h! L而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过
; H4 Z9 u: K Z- L% p' f防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录
8 V: m: `! v7 E7 Q(Login) 才能访问Internet或Intranet。
+ K7 B" h$ f1 w& B8 P7 H( f- } w6 x& {* z
3.电路级网关 * ^7 U0 y) t- y3 _; R- y$ {
F( W, [; |' z! I. L5 f 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手
8 G3 t% K- w. X( Y2 I信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层8 G# @$ `6 {% |4 Z$ @
上来过滤数据包,这样比包过滤防火墙要高二层。 , b4 i; m' }! c4 T" r7 `; A# w
* S. Y8 v U- Z4 m7 t 实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结
* x; N' ^" f3 M) G5 ]2 w y2 e合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;
# P: K9 }6 S+ g3 {DEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安
# F( P' s6 j6 r- X全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一
3 o0 n8 z! N0 j" U N个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP3 q8 L$ x% V: B
地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,
+ _/ ` K* \3 L+ y- l8 J因为该网关是在会话层工作的,它就无法检查应用层级的数据包。 3 p- j2 t) W7 L7 ?4 u% Z3 j
% c8 m0 H; l( Y4 S$ f& n 4.规则检查防火墙
) T5 I# z$ K9 j9 O' _3 |) ~5 J( ~4 B! C, B
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过! W7 ]. n6 {& I# A& @/ v0 x2 G
滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤) W( V7 b1 G( }
进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否
0 ^1 x j1 x% b: n1 R) i逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内) t7 q. k) v$ C" F6 x: v% N
容,查看这些内容是否能符合公司网络的安全规则。 ! Q% E/ o$ S, J, q
% T. U! z8 p( t- X( | 规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,
a; v7 r" P6 _' ~; p4 Z它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和' W( x: U- l0 N1 R
不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而2 z2 ?/ |7 `4 z7 K
是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式
( v# `6 Y9 L9 x+ ^1 V$ n来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
0 j9 i3 u% @( U8 j0 _
/ E5 b& |. J) Y+ D 目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用# C2 o9 S/ O2 f# ?& \& R4 c
户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每, w5 \6 F/ u. @, r9 _
个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一$ ?4 D5 D- {/ ~, }
OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1
$ a0 E( R; N* Y+ c4 ~防火墙都是一种规则 检查防火墙。 ' t% d2 e J! f- r$ p
) ^( E$ ^; [0 {- h 从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就* ~7 u5 h0 a% Q: {# L, O
是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的/ N* k- r# A: G! f+ {7 F x: @
功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽+ G5 t5 Y. O5 @0 h2 E% p
查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数( ]- E, O6 G( y
据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡