|
|
|
一. 防火墙是什么? : n3 Z. k* o) b
4 S! [) m9 L) @2 P* M' x" ]3 ~
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方
8 e2 i q6 y0 s" L" h* Z [6 a! U法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制
! X1 P) w, V- c7 ?, L尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人
& P0 p/ i, }- b- t& b2 J* G和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更+ Z' e+ _ _% m- H
改、拷贝、毁坏你的重要信息。 ) d; H- d7 }# }- O; I: t
% u9 z1 ?7 b3 z 二.防火墙的安全技术分析 1 ?9 _& ]5 E- P. t1 j$ T9 T( Z' t# V
$ I* o" W" g8 k9 t
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火& `/ w% R R' E8 O% E
墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认6 K: W0 }; L/ `" Y2 Z
识。 ( e) b: t& w( Z6 ]
5 n; P0 U3 {. L 1.正确选用、合理配置防火墙非常不容易
$ W6 x" n- w" h( M- E$ h$ @, s! K9 ?3 G+ i+ M
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系
/ X7 [) X: i% i2 D* S, S统,配置有效的防火墙应遵循这样四个基本步骤:
5 w4 Q W" o, u0 L3 v
* v3 H. y) V5 Q+ t& l7 S) U$ Q a. 风险分析;
; T y! m& i) {3 O0 E' }- ?/ u; F1 G k9 ?
b. 需求分析; ' y1 f% `) t- i) P: e
6 w% d _! p3 ]- O; M
c. 确立安全政策;
6 k9 ~$ i0 G4 Q/ p, k8 O x+ V; s" ? V2 Z
d. 选择准确的防护手段,并使之与安全政策保持一致。 . Y+ k; o9 ?3 m4 {3 ?$ F
) L$ ~" ^# ?" [) x4 ` 然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只" R: Q6 J3 g3 @, `
是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防1 {; f+ o" @8 ~: [- g
火墙能否“防火”还是个问题。
. V1 ~4 U& ^, N" m" W6 I& Z; H3 [/ M
2.需要正确评估防火墙的失效状态
+ ]3 a1 C2 n* k1 I2 ~) G: M$ v3 A; q$ s7 i; Z/ D0 C
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,/ j7 P q# A" X7 i
能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻1 o/ t5 {% o' x( z- m
破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正
# q2 W! a$ X3 t& c f a5 Y9 ^常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数
. i6 c4 a' A; w* ^# r% N据通行;d.关闭并允许所有的数据通行。 8 e3 V1 e E" n) V
' o2 T1 N5 w; A* `
前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进
: h5 e f" ~" k, l/ \/ B行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐) y9 f! y2 A1 e+ f9 z4 i
患。3.防火墙必须进行动态维护 ' @% Q5 W: a& t+ \0 d* r3 _1 J' w
8 |( `5 [- Y" G$ t 防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作, H4 w: O' `6 V2 l
用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动 j8 {7 K7 b7 w) M
态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,$ d4 r; X% J9 k3 y8 P& ]: D
此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
8 u H$ j* H9 L. q( v/ F& w6 f& ] y2 A: _
4.目前很难对防火墙进行测试验证 # V' d3 D1 Q2 ?2 B- m
! r( g5 S y' i0 ] 防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚0 a5 C: c: L9 [8 ^) K6 ?2 S8 ~
至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较
) ]1 T9 y+ w% u8 h9 X大:
# ~$ H1 Z0 U( r" T5 c9 @$ t& ^( i6 B5 R+ m, j8 g, l
a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的
/ E- f$ x, {( ? O4 r1 w" ^( z工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试4 k' P) ?: A0 w( U Z
的工具软件。
' }6 \# C$ r& B- {" U8 {- K) j4 d4 A2 H+ k! B8 d& t: \: j9 F) @9 E
b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作
0 K4 S' K- Z! W6 O9 \难以达到既定的效果。 # k! [8 N. `4 {# @: \
" ]: P8 z! b) L3 l' G( F. d$ P. R
c.选择“谁”进行公正的测试也是一个问题。
* g) M' Z/ Y+ f5 ~" v: R2 A" I: A9 T r1 y$ Y) x) z
可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,& s) N; V7 z& ]4 R( ^
进而提出这样一个问题:不进行测试,何以证明防火墙安全? " c$ K/ A0 i$ {2 h+ H' i# ?8 n
! {# ~7 D) Q% t, q# _5 D! n 5.非法攻击防火墙的基本“招数”
& k4 d, o& X% E- M% s: o% K3 p' \" b$ y) d! V/ q t ~) E, q( P3 ~0 n
a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到% ]2 ]8 P( M4 z) @& f
了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值
' v1 C" k9 G, q( y得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。
( Q1 J. z( J/ i7 o7 d* O. |6 n9 T" `
这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰
& r- s9 h8 T- b) G G) y' z2 [恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接
$ j) U% s1 F0 W- F! b, K& F口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的# x$ P7 D- M/ v
信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地8 [4 }5 M7 ~ l: R
址缺乏识别和验证的机制。 - m5 U- B) Q) q3 d. u
' F _0 Y" N6 V+ |
通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出! I9 ^6 ~; H/ x
请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初& G- V3 B' \+ [2 l! J. g- z
始序列号ISN。
* f6 f/ B5 @; }) O: y% c |
2 j% o( g) J" R 具体分三个步骤: + z6 s9 l3 ]+ l/ o5 g8 ^
* W. I# b& w( g1 c
1.主机A产生它的ISN,传送给主机B,请求建立连接;
# i3 t0 \2 K- N+ \, p' m1 \2 W& f) o7 ^+ v9 N
2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息: G; m+ ^5 Z& q
ACK一同返回给A; 4 b9 I( ]- E& L5 Y0 M5 ^
* z5 x) G5 I' ?2 a, r4 ]$ S. q 3. A再将B传送来的ISN及应答信息ACK返回给B。 6 Y9 l: q' d+ v9 w" x
6 V" t# T) a) C% Y' r( R! D9 R
至此,正常情况,主机A与B的TCP连接就建立起来了。 4 M+ h- g- P9 C5 i1 t, H; q
R7 \4 `* n3 R9 b. i
IP地址欺骗攻击的第一步是切断可信赖主机。
% \8 j2 c( Z, u# B% ]2 {9 v8 }; H2 _, a5 Z
这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾
9 @. U8 f; K9 l0 ]( ^$ Z) t* D不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只
! J; @" A0 J* m7 i& q+ O/ T0 E4 f能发出无法建立连接的RST包而无暇顾及其他。 8 y6 ~( V: w& E% {
) ^1 ]& n/ ?# G+ c
攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),
1 E+ U+ ~& d2 Y2 S通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连
7 f0 S; ^. V2 M接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和
' v- M( g5 [( M5 f0 }+ O: p0 A确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目
$ t( B" y, ~. c& `( [标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从1 t% t( i+ Q& ` {
而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击
+ Z4 C. E: W+ m) X3 k产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。 4 \1 d3 X4 [, j7 |; _0 S
; a. m+ s5 d$ f8 m, V5 N
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主9 o2 s* {4 Q3 Y, X8 x/ E
机。
4 [! }7 V% A5 \1 C
* ~) O0 @' G7 j' x 随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过
1 r+ Y+ t* B$ E. a! N这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果7 ?' Z. I0 q- Z) _9 w$ n
反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网1 b* m2 S+ S7 s) `2 T! O
络。 2 n4 j6 ]5 Y6 t2 ^# y
' C1 f/ B/ E2 M3 [ 归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;
4 o* P" w3 H( A8 d不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许) L9 ^ t' c: V
Rlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允
% r4 G5 n8 F; i0 A许Win95/NT文件共享;Open端口。 ; c c/ A4 ~7 l; l
; B* n/ B' ~& G# E j( S
b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防. x3 C3 O1 c5 D0 T$ o
火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的, L7 ]. m0 c* D- Z8 a& u& Y" y
职能,处于失效状态。
2 e1 ?. ]& I( ]4 _5 \ e- u- c. t+ \* p3 u) E, x
C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,
4 n+ |) ~0 K3 s% W' @$ S$ m0 D随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件5 {. o8 ~0 {5 }, h( T5 A# j
或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期; R6 w* O! t3 i. M( u% K
望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,) r2 ~7 z5 R; ^ \& ^
因此不仅涉及网络安全,还涉及主机安全问题。 ( o' u! H t, f& H2 e. x; Z
" N' v7 x) s! C7 |: [
以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,
' t/ l0 g* Y( s" L它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则% H- _6 N. d, E3 l5 ~
无能为力。从技术来讲,绕过防火墙进入网络并非不可能。
1 A3 l! ?& J; u8 R1 L) p8 r% x/ b, W {: K4 }
目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存
: s' S. }0 D9 E/ f5 ?$ B在各种网络外部或网络内部攻击防火墙的技术手段。
8 e. h% N9 V% v+ h& y
2 n! Z7 |% T- @ 三.防火墙的基本类型 + W$ t/ w% o' {9 H _
1 _8 C8 ~# V, i2 } 实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应
6 o- b& j8 v7 V- _( ]: n. f用级网关、电路级网关和规则检查防火墙。
6 v5 } w M1 \( [) S1 w% |$ x u1 b. r4 D! E
1.网络级防火墙 ( c$ ]" ?9 D/ F. t/ b
7 P& q. N& W5 P" Q: q% Q
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过. l( E X5 X$ a( d& d3 j: J6 D
与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都
/ c. z2 {' C) I$ p. j9 W+ \能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来
9 s6 D1 q3 E8 f$ E3 ]自何方,去向何处。 - Y8 |9 o s" X
" ]0 I t* W8 y. \- o5 e
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的
! @/ i* t' s1 v7 u连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定 R Y; _$ m, P; ~: q( [, \" Q
义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直2 M8 h( F* P+ t; X2 {: ]; b. b f3 ?
至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默
2 \" ]; Q F' y4 z" f* q认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于
* e0 E* W8 F+ Y* |0 R( lTCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如- g2 j4 n* Z3 {* s8 }
Telnet、FTP连接。 V9 h) x6 E; W. P
! J. T- ~, d/ |; f
下面是某一网络级防火墙的访问控制规则: ; E) G* P2 a& Z! F7 {
; h* b% B, o5 z& i- M$ t; ~ (1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1; ; q+ i) w3 u! [8 Q! J
" o i; [3 c6 w. N8 a. ` ~$ N
(2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主
& k, d* ]& f) E7 }, h机150.0.
5 A/ v. U0 z0 p
0 x: T F7 \* _: h6 Q 0.2上; 5 ^3 X* w' u9 f! k
7 p T3 c8 c' F. K! J4 ]$ |% S
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3;
. P9 n5 `: M. \1 E% T$ x, G! H. A3 l M* X7 O" E' v
(4)允许任何WWW数据(80口)通过; 7 o& o9 X; B1 k+ M/ H5 q H3 Z
0 I! R; [$ ?$ _9 Y5 h! H
(5)不允许其他数据包进入。 / D1 Q0 \0 }8 i7 A( `+ m) t/ S6 l
4 W( T6 R8 c+ E
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护
! I: K( S! I$ ^7 @) C: a8 |: l很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
p! v# T" R7 u& {$ _% p- s
2 N( _- B/ ^% ^ 2.应用级网关
* h0 ]8 z z( V/ P7 v# {! q4 V" I& P; J$ g
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任% G9 B- K f, T8 i. e
服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层
8 w) }9 u0 ?$ ~$ N7 ]. u3 J4 I* }$ q上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议
! C2 D3 i2 J- y C8 ^$ c需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
/ I& d+ l1 o0 t- t# [" [; T4 R1 d$ i& Z6 R3 g# z1 g
常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、
u8 ^# |% A# Q6 b0 y( CFTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的
) M _/ U. h4 w) N1 L代理服务,它们将通过网络级防火墙和一般的代理服务。
( b" W' f& V* g/ o, T6 N! e% m2 l7 |$ A, y
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,1 e. ^) @5 B" B; D5 {+ Q3 Q
而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过# i0 I/ ?" B2 \/ T/ t
防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录7 ?+ W% ~5 C# _( o; A
(Login) 才能访问Internet或Intranet。
; E0 y' e: [2 M K2 q/ {8 ~5 W1 P/ n5 h4 K
3.电路级网关
" r2 z# q/ K" R/ w }' [3 G; r+ X2 e) r$ @
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手5 F' D. C* G; u, E
信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层: K% @: w* v6 J( l6 N$ S
上来过滤数据包,这样比包过滤防火墙要高二层。 4 A% ]9 ?" V0 P7 T
]/ Q4 k' R0 Z8 O 实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结; ?: Y* M0 x1 ~# {
合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;! E p9 h3 q$ f. P$ s. ?0 h9 z( d
DEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安
! E( `6 y' N; L; H全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一 u+ X6 v: c8 t9 Q+ A
个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP6 n+ J6 i+ n& {. B9 D _$ B; ~
地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,/ m o( r5 J/ p2 {- C8 e. S5 y
因为该网关是在会话层工作的,它就无法检查应用层级的数据包。
8 U7 d& i! Q# a( E8 I d* S+ _1 x7 k3 H9 a2 _3 `
4.规则检查防火墙
; p% n) y3 s7 z* s. ~2 E+ J' ]$ F
/ ]4 t# S) i! j7 N 该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过
! d0 i1 P! N( Z, X/ E滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤
5 p. ?1 Z3 d+ ?3 r0 Y' W) s6 g进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否' w* K( V$ ~ u# y2 c
逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内
$ |) u7 H- s! A* t* ]& v7 l容,查看这些内容是否能符合公司网络的安全规则。 - W: `* q5 A4 y/ m: A
$ ? \8 ]0 c4 R# i 规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,( h4 e# K' Q D ]( N
它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和7 N) U' N- M* d: V# t" E- D( P
不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而
) _- N/ v& R4 Z3 [! R是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式2 n3 S3 L% h3 g; s# l8 x7 V' k
来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。 * U3 ]3 a+ s) I* j0 l
2 \4 W$ p/ O+ a 目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用! j' X+ f" F/ J" X/ i
户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每
3 F7 P$ v' T6 v$ N, C1 ]个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一& r/ k# G0 B2 y @3 b- t: d5 b
OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1
" x, I8 d" |, ~* B/ R5 _防火墙都是一种规则 检查防火墙。
5 U9 o# }& b4 K6 ?0 u3 r2 s- P0 v+ ]8 V) F6 G
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就+ r2 `, }8 z! x* C+ \
是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的/ l! {' _7 Z! A, Y$ l) u* k( G
功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽 J; A% @- v* F O6 _
查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数, a5 i8 l/ B- r* {; l& v
据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡