|
|
|
一. 防火墙是什么?
O, s/ O* v% z) j- n: [; \4 R+ |" X4 t' _/ K- E R2 O+ a/ u; J
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方
% p+ w- G Z, Z2 |+ r% B2 a法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制
! ?: E; ~# x R' t尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人
# X' X- \ l- l6 D2 }& m% j$ n8 y和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更
( |6 m( t. `+ W, ~改、拷贝、毁坏你的重要信息。 1 j% G: [9 q M4 w6 a4 U7 G
6 F0 v4 E* E: v+ L6 o
二.防火墙的安全技术分析
" Q6 Z5 @& M3 W" S7 d0 ^, c9 E% j6 ?) y+ q; g
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火
7 Z. c: x1 G2 V" Z* U- T墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认
/ Z4 j6 y" ?# u! ?/ Q) m: x8 w O识。 : I) p7 `' G( |, e# n; D2 }# I
) K1 G1 ?( W+ d6 {5 i- u9 X; `$ W
1.正确选用、合理配置防火墙非常不容易
5 A" ~ ` s+ a/ E" I3 \* }& h( E: V1 {" {, p& _; X/ A
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系2 D; G: l1 H7 q; S# @0 v/ l0 E* N
统,配置有效的防火墙应遵循这样四个基本步骤: 2 I5 X& {- D) G' E
. n* S, c- G% W& u" z7 O4 g
a. 风险分析; 4 c( w) |3 ?: Z4 b& ^( V
: A+ n& Z! H4 L
b. 需求分析; / `# N3 Y! r2 g* }6 }! c* ?: S
; u% u% k; j. `' @! y
c. 确立安全政策; " U* y7 I6 H& [0 v1 T
2 [ n$ X+ {* |& l' W% ~2 k
d. 选择准确的防护手段,并使之与安全政策保持一致。 , l- z- j# {: O% _2 J2 N
d0 }4 O6 g8 X6 h+ Q7 a1 j8 i
然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只: n! f0 n8 b! A
是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防5 W4 Y( }0 R& O
火墙能否“防火”还是个问题。 % [. D9 _, T9 E6 O
9 e% J0 e- G+ C 2.需要正确评估防火墙的失效状态
/ D$ X% l% ~' ? T; R+ f' @7 F! y
4 L- N8 s) {0 f1 Z. v) R4 w, K* w 评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,6 w2 W1 {0 L7 h; N0 i( w
能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻
& S5 W4 W% U3 L o8 e- `破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正; y I/ i. A( X- i+ B- O/ T$ Y- z/ f
常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数
& w& \7 J0 u% i1 K# i( q& s3 }据通行;d.关闭并允许所有的数据通行。
& W' R6 z" U: B- ]) B
+ J( \7 O/ C9 i6 Q 前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进
4 F9 w# g/ L% }& i6 C行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐. K* l9 M1 b5 X6 X5 ]
患。3.防火墙必须进行动态维护 ( |) O# [, Y1 Y+ |% R- A1 G1 a
; V9 x4 `' d% e* F: r+ a
防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作
" j! U! E+ g# {* i. O+ Z7 L用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动# s* u3 x' g+ L4 Y0 U
态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,! u: B2 A6 \3 ^( y. D9 z
此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
, b% M( M' l5 t6 N' k; z3 J
k$ _; M- a0 r" v0 G, t 4.目前很难对防火墙进行测试验证 ( [8 R3 j+ M Q- u/ d
$ x- L8 m) P, g
防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚1 m: _9 R7 l. L' l1 W" Q+ m
至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较
$ ^* ~- v4 r* ?大:
, t& L7 U4 U! y, x+ ~) y( t, v- ~/ e: }: R2 r( E
a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的
. @; g& d- b3 D2 u# \- |7 {工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试
' w6 w& N( M2 G; G9 j的工具软件。
6 l7 U, F( J% e/ ]
; x/ ?& y& S4 s b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作) L$ v; ?$ Y8 c' y
难以达到既定的效果。 + t& h& \0 X" X. ]
) w) _3 P4 ^# T: D/ h
c.选择“谁”进行公正的测试也是一个问题。
( I& U5 l9 X& h$ e" E$ c+ \
; ~; c* o& S! g7 h) d* D$ r' R 可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,% i8 q h/ }3 A$ S& i
进而提出这样一个问题:不进行测试,何以证明防火墙安全? & |6 @& f8 d1 t3 L4 y$ c
3 E1 C% O. S% o9 ]6 q2 M( |
5.非法攻击防火墙的基本“招数”
2 q8 b* v7 y$ L% G1 e3 @. Y6 [: S: D+ D7 E: E; `
a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到# Y" g! f o. ^: h- Z
了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值
. Z/ v- L: p) M得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。 # Z/ {: V# t2 t* c( e8 |, C3 x* u
1 s& R+ \ f* @8 S) R 这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰
2 M6 l: {6 ]7 B3 L9 S$ ` N: N恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接( M/ A+ U$ w! k6 z
口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的
: I' B$ r4 i6 M信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地1 x: _- \* C( F
址缺乏识别和验证的机制。
" L7 K$ R1 X+ m6 T6 o: r Q, I! {; i: y2 f
通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出
5 r" S/ d* I: i. j/ r% t请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初/ Z" r, r4 D7 s O4 i/ _
始序列号ISN。 $ Q3 M* X9 }7 O# t- Q8 d
3 O% h" G. g/ ]! X 具体分三个步骤:
) {; p: V5 L! ]# N$ S8 s- M
' |: S* d: H @8 K 1.主机A产生它的ISN,传送给主机B,请求建立连接;
# c! _2 G% B+ h2 ]+ I9 \, c* g1 O! P
2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息) x' X$ N8 \3 s; O7 k* P
ACK一同返回给A;
" y8 H6 n1 c) I g* L7 _2 L( u4 Y" J( _ T' f8 o' \# O0 g( l) a0 U
3. A再将B传送来的ISN及应答信息ACK返回给B。
; `& R- ?% B% v8 E# d* e+ ^) j$ r2 }. o: X' G
至此,正常情况,主机A与B的TCP连接就建立起来了。 c( o9 A0 T( p, z& X) S8 R
1 L2 b' F- b# {5 k, A* I7 e+ S IP地址欺骗攻击的第一步是切断可信赖主机。 7 M) _, w6 n* p* i7 B% d; Z0 |
; v0 {% V' J; ]
这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾
/ `) H# _4 x' l n+ s不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只
6 P- Q% l! X) d0 e6 @: S能发出无法建立连接的RST包而无暇顾及其他。
& _/ p' A" J: s) S) _
% G& _' U* F u7 ? 攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),! }9 B$ m* o) m0 q
通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连% u5 u1 x- I% ~ J X7 G
接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和4 b" p4 C. D( }7 @4 A4 J0 m
确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目2 R) ~7 o* A% f. o+ d# [7 L, `1 A* P
标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从% K' q# ^" r: S1 Q: S' g
而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击7 C3 y4 D1 P' i V( u+ E
产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。
6 f" m0 v6 f5 H. i- L5 W& b" M6 j* U3 p3 m
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主
5 A {: n6 k* v- Z机。
2 w$ e: q1 S/ J( Z
# V+ Y/ E, [7 K& f0 E3 E9 R 随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过) V8 ~3 R* R$ d7 ^ c! ?6 g8 w
这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果
) ]; @# f1 }$ O, q. u* ?反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网
% S& D3 H; i4 ?6 f% B8 p络。 $ m+ K7 l$ B% I( y5 U
( x |! o7 h a8 _) s
归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;
0 R6 X$ b; N( o9 K- ]- w# a不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许
' d8 \. R. i$ a5 y5 lRlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允, v) r9 X. m2 F; j2 A4 h
许Win95/NT文件共享;Open端口。 4 [( ?. E3 R) ]7 Q2 c
x! A5 ?' I2 I8 ^. ?- A7 n Z2 {/ x b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防
& Y' ]! y2 A+ B. K, a# |火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的
m! B5 E+ n" P职能,处于失效状态。 # T2 z! x$ G9 i: j; K _8 g
% Y- ^/ {, }/ d( k C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,
+ |. x0 I$ e2 n. C随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件1 y$ v& ^; i9 J/ |
或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期
! j4 l( O, h& R7 \( ?5 Q# G望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,0 O8 S) X# {0 a: V
因此不仅涉及网络安全,还涉及主机安全问题。 # G/ H" n7 V! q
; _4 ?6 Q% i' c! E 以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,/ z6 ]- P( u$ O- s, q7 P6 N: R
它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则1 k' n: ?" i' ]' d
无能为力。从技术来讲,绕过防火墙进入网络并非不可能。 * w& {2 C \0 q$ J' P, _4 i* n
* g- z- G' }: i# T8 _
目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存
& H$ R6 s0 y- |% s! N g在各种网络外部或网络内部攻击防火墙的技术手段。 ; F' J8 K2 A8 m) ~ G0 w4 t E
; ^% p; q4 o/ U 三.防火墙的基本类型
9 A! q& ?& Y4 Q
: k$ W; O$ _% r3 |. o; o! {; m 实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应
# w, ]6 b4 h! R5 R用级网关、电路级网关和规则检查防火墙。
# e% V" |% M z% @3 c$ |$ g5 a% X! U1 ]3 }$ `
1.网络级防火墙 % ]; F$ e. H* A& T: }
+ T$ ~" c$ m# ^8 c2 {
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过! r: {1 U/ K) Z. k4 F
与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都5 Y2 d' P3 y" [6 h
能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来* `# w( d4 t! R$ f8 U- i3 ?
自何方,去向何处。
$ x0 \+ b9 Z+ q) d" ]1 Z7 ?7 J9 W# d
8 p6 V, P$ A/ G4 j3 ]: \) m 先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的
+ ^" [; S( s3 |连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定
8 u2 S9 z$ Y& Q. P义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直
' a# B$ ]# E; w$ c至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默+ h( `& C; p" }" x! S6 @3 n% m
认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于1 g0 [; `! M2 S. c; w7 Q6 @
TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如2 h. x& o3 j/ A2 W2 v$ z
Telnet、FTP连接。
2 X# P, f l2 \7 W' o. ?& B; \, w( _% ~( i7 U0 `7 I
下面是某一网络级防火墙的访问控制规则: " i0 f' _# h0 Y- l. I
& z! _- z$ P, M" r4 G
(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1;
1 B0 A4 n# }) H7 K; b4 K# l
- R# s5 o. A* j3 } (2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主
* v+ M" g) Y1 o/ b; V" R0 a机150.0.
& E' q Z* g' [- a) C" u
- D, O3 [( Z& c1 w2 @" m 0.2上; % D! z5 u. k9 O) ~
5 Q7 y0 T2 G* |2 ]( @- Q/ P (3)允许任何地址的E-mail(25口)进入主机150.0.0.3;
( x7 J! S/ n, F1 }. ?# O$ Q$ `, a% t8 N
(4)允许任何WWW数据(80口)通过;
3 q* U3 g' F, O. Q$ E5 {8 b
$ {- A! I6 ?0 S* @ (5)不允许其他数据包进入。
9 w. `) J, r. V/ U/ F/ ?0 H _/ ^, ]5 w6 x, u4 j c
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护2 G* Z0 I7 U* U+ Q
很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。 * e" ^0 f( \4 u2 E
C/ F; @" S: r. g; k$ `, q: d& r 2.应用级网关
# y+ F4 j; |3 A+ d4 M7 m7 w+ r* }8 R7 x! D" h9 H. ^" g
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任5 ^9 ]* ]% R$ U
服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层
/ K% N4 k7 p1 t; q# b上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议: p; e7 ]/ p& `9 \
需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。 $ O3 C' r8 ?4 H- M0 H6 x
* s; [* T. ?( W. N" c 常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、 3 L8 g+ ]# i0 o- g
FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的
9 ~) u4 @$ r- q代理服务,它们将通过网络级防火墙和一般的代理服务。
" p, j1 w+ n1 I6 U+ R# [) E! M+ Y/ L9 k5 k5 U
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,
/ k( T& W; [6 A$ {, v" V1 u而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过
: `$ _- l3 z( g& T3 _# s( w防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录
/ L2 C& O# W, G: E(Login) 才能访问Internet或Intranet。 3 Z4 c2 D4 z5 O3 P z1 T5 w2 X# Z
# ~7 q( b p: T" A
3.电路级网关
; l0 G! z. P" S' w: W
+ d( ]+ v9 ~/ S/ A( r; k 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手9 i; ?5 L, S+ P6 {4 X
信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层$ j8 G8 J9 b k" j. T! q
上来过滤数据包,这样比包过滤防火墙要高二层。 # F0 N1 q7 Q4 H S
8 J3 k0 A1 T7 Q" j. @/ j 实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结
# ~8 M B( v* ?& [8 Q+ [- W# ?合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;
5 A- K' O/ K5 Q8 C# s+ F3 m; qDEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安4 V& x% y! s/ S+ q2 a
全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一
, G" y% j$ r5 J0 ?& P8 U个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP! U; R% r' N# B
地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,
- { k& y) S; Q因为该网关是在会话层工作的,它就无法检查应用层级的数据包。 X1 c& ~% _8 s& R/ V) m
8 n2 \8 V. o9 m" t- ^ 4.规则检查防火墙 e ]1 U* c; K* S5 j, M2 c9 p
; N; o: p0 q7 ` 该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过
/ R3 C7 ~! T+ ` F' @9 j4 o" H0 n滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤0 [; ` X9 f0 i+ P, g g
进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否9 ~' P+ J# g1 l$ t
逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内
& u# v, v% v. \7 a6 t: P容,查看这些内容是否能符合公司网络的安全规则。
( h7 C" G% J1 O
' b' B" U& J+ N 规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,
% T2 B# @3 @# b( C& @5 S+ b它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和& W9 x; `, K% t7 B
不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而% v/ N( E' X- A H0 b. O5 O( f
是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式
1 y' g! ?* f+ W9 @2 w! i来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
' D2 v' s$ _; H& h8 _" @0 ]
' ~) U; U' k: @ 目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用# l2 V# T4 M5 |# e0 S
户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每; `: O, f& f* r7 `
个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一7 q8 F( X- ?4 A, s$ m. N4 J
OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1
+ h3 M% h3 G8 J1 X防火墙都是一种规则 检查防火墙。
! [* N. z# I, [4 J" K4 M3 e0 L9 f0 O$ J6 B. S" H
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就& F. `# ?" q# K1 E) N9 b
是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的
1 T) }' w# X! i7 q! v4 C! d功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽4 `& F* {' O! J
查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数
4 R; \9 m) K5 I# O' U* m" `8 i据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡