|
|
|
一. 防火墙是什么?
8 }7 p- V; g$ r( }! V: |4 l
: [, p b8 Y4 K. ? 所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方
I. t( a4 ^2 M法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制
$ r- b, m9 ? P+ M7 T6 j) X: A/ Y尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人
T/ P1 t0 q3 o. m2 D) G. [5 x; N和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更
8 D* h( n% z6 j+ Q/ x* T5 f( q! S改、拷贝、毁坏你的重要信息。
# G: m- G. X# J8 n; a3 y+ B' H. `% y, g- a2 i
二.防火墙的安全技术分析 + f9 d$ V" J/ _9 |
/ Z0 R6 e3 [$ t8 |
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火1 z8 M$ H: i8 I+ i
墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认$ K% b) o! J9 F1 f, L$ u
识。 % M, s- h ~6 Z7 F0 O7 n* {/ X
9 Y' G0 \/ o( N- y" _2 h
1.正确选用、合理配置防火墙非常不容易 & m% q( Z, L1 k" n" j- x
+ b, [3 e! f2 j" ^( ~; d; ?4 w
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系
9 N3 l. t6 E* ~% {统,配置有效的防火墙应遵循这样四个基本步骤: 2 r# i0 G3 f; f) q8 L
8 f# Y& o6 O: D+ |5 P a. 风险分析;
9 ^ G% r5 F# q3 A+ ]
( X& M7 L% v C; Y* } b. 需求分析; ' r+ I3 {, k/ @3 F
. b0 I/ l- J5 f$ G7 R c. 确立安全政策; & G) y, X( B+ h
5 ]7 \4 i' `/ x& U5 m
d. 选择准确的防护手段,并使之与安全政策保持一致。 " o1 P! U1 Z5 E* e2 R# R
7 M% h# m7 i5 K5 Q4 M$ |& v
然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只
% F) \6 F! }- j I是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防+ g5 U& S- h+ A2 Q% {2 R* \% Y0 z
火墙能否“防火”还是个问题。
; G- t0 t, s: A$ R: k$ ^2 D, C5 x
2.需要正确评估防火墙的失效状态 # L% F' m. B, U
: o3 v( g# E6 O3 |2 s3 L. \* ~ 评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,/ W+ G" L9 u' r3 g
能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻
7 p0 q/ ^# _& i- _% O破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正, V" @/ `" O7 w3 m" Z
常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数
2 J; I/ C6 l" G- V7 Z据通行;d.关闭并允许所有的数据通行。 ! l3 V' K) [; u6 }" e
# `' b+ }/ s3 @# ] 前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进
0 p+ g2 X7 Y& r行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐
' \2 R/ M2 T, P4 j; \患。3.防火墙必须进行动态维护
, W9 A0 q3 l; j
9 N2 e+ ~# H1 _ 防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作4 \5 U0 ^8 e/ P0 ~; [! S
用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动
: H- T" f6 u& i/ R$ d8 I态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,% H" d' ~; R# G) J5 @- P5 ]
此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。 + j( I+ ?2 {2 v* j7 y
( ?4 R. b' T; \& U 4.目前很难对防火墙进行测试验证 3 W& o: q8 O# `; k, s
" |" W9 b2 e5 l5 U& U4 r; C7 t 防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚. l9 \9 @- i( L6 Z+ A: M
至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较
+ e: s8 k+ s! h! ~大: 9 X- r0 j+ q! `
, I8 ]6 \* S- w7 R+ R y% }# h a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的2 P- _# i! a! G+ i6 F G
工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试
+ @ ~/ _- D, G5 g, f的工具软件。
B& N, }/ a- ~+ b; X# v5 d: s) n" ^/ I, [5 T# `) `
b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作% A8 L! Z) k! F
难以达到既定的效果。
9 N o8 O# H/ \6 V+ G A# f1 W4 h2 D; |$ W* P7 T
c.选择“谁”进行公正的测试也是一个问题。
6 t: l% q% t* U5 z7 `9 T
$ @5 T% Y) d) C1 w 可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,
! w( e+ l- U5 H" i. d进而提出这样一个问题:不进行测试,何以证明防火墙安全? ) ~. V [( c$ l- r- |
, R& W% |" m. ]1 {
5.非法攻击防火墙的基本“招数”
9 p# t# A) ?- N" {
/ t$ @/ V1 f, b3 H z a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到
9 F9 n* U1 n0 @; ]2 h+ _7 M了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值
' i; M* |# \: s& r, R a9 M) j6 m8 B得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。
" ?( H* M) E9 X2 Y% O/ b/ b
# B& V5 r( @) @# D" X# {4 i; f7 | 这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰% G' g( r* b+ U% I- H: I
恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接8 z1 X- t# X6 a' K$ y- }6 C. u, |
口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的
: l/ _* i- _) G7 R信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地
v, b; P" V* ^0 s& |址缺乏识别和验证的机制。 ; f* ^/ x( e9 i& D5 ?* ]5 T8 ?
: p; I* w! S0 [* @1 K7 c2 [' l' S
通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出
1 @& L! h; {+ S& R请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初9 c$ i: j5 B+ ]9 |- Z
始序列号ISN。 6 K' M: B: N4 _. k
9 L5 P/ c/ y' R7 W$ N
具体分三个步骤: 2 E8 ?8 S2 j8 G, w, g: K: _
8 N! ]6 n! y" p9 A8 p3 N$ R 1.主机A产生它的ISN,传送给主机B,请求建立连接; 2 U, ?' Q, x# y5 W2 M# B
) k! I3 Q; t- E4 f
2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息
6 x R5 M; w6 N/ a. d* ^% eACK一同返回给A; + S+ E: w6 Y" Y1 r
" i6 p- b& H N0 G- t2 C 3. A再将B传送来的ISN及应答信息ACK返回给B。 # L# e1 U$ Q; }& L# H
" w3 @& ~. B0 a9 F 至此,正常情况,主机A与B的TCP连接就建立起来了。
# C" S3 g) S6 C0 a& s. A6 w' l( [& w6 X5 O
IP地址欺骗攻击的第一步是切断可信赖主机。 ) A8 Z! o( _; \" n$ k1 X
! H6 |8 q- f8 ?2 x9 W' M# Z 这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾
2 v- V4 v. Y I. D不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只
3 N: o' S' o& N) L能发出无法建立连接的RST包而无暇顾及其他。
: O' r! [3 \9 T5 I6 h1 i- V" h7 I6 M/ r
攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),
5 t' y' L+ J& V9 _% |通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连
0 y+ }6 X$ B+ I7 }接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和! R% c8 F& x- P8 n
确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目
5 L, d" r% N' ]- R( i标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从
0 k9 j7 \; m, j+ O U" u而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击
, j; D* K) f+ @! w( d产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。
! c6 m! x3 m9 ^# y2 L: `* m+ \" n7 j) ^) c$ f( l) j8 D
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主2 u, B3 i- a) V$ c) T8 `4 O, A
机。 ! w, r0 ]7 d8 R& ^ e+ \6 e
0 M' v5 v: p$ u Y7 |7 z 随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过3 C3 Y7 n' B! \
这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果
1 T+ D' Z; [# u) \/ L反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网& R+ i" l% |/ M
络。
" _' x$ c, l9 e' v- X& ~8 z( @
归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;; X x( j' d( z
不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许
7 M3 P8 s9 _# x, k/ HRlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允1 l/ Z# t9 c, {9 v4 R, L
许Win95/NT文件共享;Open端口。 * ^9 F9 w+ R) ~" |" P; I8 W$ Z6 b
# ?0 q; h2 p, d& t. [: M) R- b# M6 H; |
b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防 q3 ~/ p0 s* G# \
火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的4 y$ y Y+ Z6 i z- j4 X
职能,处于失效状态。
0 c4 p$ F( \' k& u) T7 Q2 E! f' F# }# }; ? u# a4 g
C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,* o8 U4 v, G* [4 L
随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件" i5 T' j+ F1 l) a4 {) x
或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期
8 `% r2 G5 f* e! r3 s: h望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,9 m) j; A8 C/ H/ R7 `0 i
因此不仅涉及网络安全,还涉及主机安全问题。
- c( o: X( C/ z, F
0 X i7 n% ~9 U# c) t4 M& {, d 以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,
2 }3 U( z$ c3 L* d+ |它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则. k# l! J1 {; y6 k" G; C
无能为力。从技术来讲,绕过防火墙进入网络并非不可能。 ( [, t7 f7 E" I2 y, @& _; y
0 W' C$ v u$ ?) k* b8 C
目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存 s' s0 Q3 c: ^
在各种网络外部或网络内部攻击防火墙的技术手段。 ( M) W; b" [1 i% C
$ X4 s( E( P' z: l7 f8 e 三.防火墙的基本类型 4 I S) @+ @2 U
5 V# L% o/ R: E! ~$ u 实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应" d' k! e& ]8 ]+ e. _
用级网关、电路级网关和规则检查防火墙。 7 a# \) \5 h! m8 Q
! J2 Y7 p+ o9 J0 L
1.网络级防火墙
7 V0 q; r4 Y4 ?. Q( [! n
. `; o" t0 q% A& @. G 一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过: G/ c! q% [8 |4 o" O+ _8 B4 n4 @) s
与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都7 ? x' O; }7 j- ]4 a3 p
能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来, u0 M) ~8 i/ j! c5 U
自何方,去向何处。 7 [) v. p% H& S$ G
6 Y" _* Z8 u* ~* ]3 r4 W! h$ w; a
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的7 n/ }4 L. s) \0 T7 m
连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定
. [0 F5 @$ ?0 ~9 f义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直
7 J0 p! [% ^# O; Q- P- [! b至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默
) E% K. b! b7 n2 P* H! s( X认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于
3 d: g6 k6 W" z3 ^6 {: b% r$ _TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如
( e# }& {# y% w0 v |6 FTelnet、FTP连接。
+ l& R! v: d; w2 J7 }
2 u6 G: T1 T9 y, `; J 下面是某一网络级防火墙的访问控制规则: - S& g0 r2 u _6 R" R
( @3 G7 L/ y* L7 k4 C4 P# t7 _" r9 b
(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1; w+ H4 a2 S! c% S% h& C
; K9 ^: {. ~8 ] (2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主: v8 x, C1 u6 p) N, F
机150.0.
2 |" }# |# l1 f; Y
J. C5 d+ x3 X 0.2上;
; A) T! k) ]4 K& J4 ~% z! g/ p3 E1 k1 b, T9 P6 B
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3;
3 B1 _. a, e* q. z7 g! t- j# L% [; j& P0 F& f$ F4 @. K$ m$ o% G$ k
(4)允许任何WWW数据(80口)通过;
% o' d1 U9 F, x5 v/ n4 e% W9 y# B# G- Z5 @+ K3 e
(5)不允许其他数据包进入。
/ K T) p6 _/ o; p7 Q8 u7 c7 }5 w; ~4 H
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护5 B' d7 Q+ s X9 Q$ |2 x
很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。 3 N M; @* n* X/ i% g* V {
; X. X# N5 J: B. g! O8 s! ?4 {; t 2.应用级网关 : B! y- U% @! E
( v9 j9 t4 u( F, ~/ `. E7 R% T, Q8 Y
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任# `/ K6 }. b i. f
服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层' v( b! {' W* c3 q+ i& y7 V$ F/ k
上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议5 R5 w, i) p- }' Q& h# e
需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。 7 }2 H2 K8 H* k
" q" g+ z2 R" t# q; y' A+ G 常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、
% L# Z* H. u" x1 Q% L; l1 M# ~FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的. F7 E! H$ k, A+ ~- f, {
代理服务,它们将通过网络级防火墙和一般的代理服务。
Q7 U: K! { b; ]4 Y7 Y1 Y2 G8 T
. V/ H3 K$ v! D" a! K# F 应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,
1 M, w# z3 X" k. r" l; \1 W) w而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过
' s9 \. \4 o% V- b) g3 I `防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录% d1 |. S: E K2 X+ t# f. A, V4 C
(Login) 才能访问Internet或Intranet。 & _3 S; `0 ^# c1 {6 T4 ?) a# F
7 d0 F% \4 ^+ y6 E; h9 o2 P) m7 g 3.电路级网关
$ ^& g6 Y7 d5 I! A- ^2 G: T( O+ {1 C
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手. R9 Y' R, {" P9 ^
信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层! A7 q1 l; q- G3 F1 S
上来过滤数据包,这样比包过滤防火墙要高二层。 8 @: e/ o+ z; B: ]7 h" d) h
9 t2 X4 t W0 a: s5 w 实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结
3 P! x1 @% N6 c# w. |, @合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;& D. A: }+ J* l- e+ R+ ]
DEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安* u- ~! \) z9 }: E [8 s! V
全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一
7 Z4 h) i% i X& [8 L个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP; z$ K% f6 \( x2 d
地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,; ~6 s3 D Z0 N7 z6 w1 i- i, ^! h
因为该网关是在会话层工作的,它就无法检查应用层级的数据包。
! S2 L4 U! \2 j* n- M9 K s6 \4 A$ q* ?' {% ^- ^6 Q% K7 G9 ?! q
4.规则检查防火墙
" I5 [8 A, [1 T: h- C% @7 U* ?8 b' l6 X4 b7 W: X
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过
' Z$ Z8 F0 j8 [7 d滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤6 \* R' g3 k/ y, g5 } v0 u" i. l, k
进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否
6 Z6 |, R: {9 \, Z; z1 k逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内) g+ E. i; \0 c8 z! `7 A& H
容,查看这些内容是否能符合公司网络的安全规则。
$ u. V1 ]# N1 ~& K
; C1 W" |/ H0 w0 K6 c 规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,$ W8 g) |; C; ~" S O- }
它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和8 B/ }7 p. M- P, n! U8 |
不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而
) i `# g2 @" N$ T是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式+ h+ V/ V' V5 y
来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。 3 ^' g7 P+ a& R/ f7 r
% p9 N$ Z5 D; B 目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用
+ g \# k. x' t户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每; o( J0 I* h3 ?9 Q
个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一
* `) E! @6 V* U' h" ]0 _9 DOnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1, ^& Z8 O* l8 E4 ~. q k4 b) M: e' \
防火墙都是一种规则 检查防火墙。 4 F. l) e0 m* a/ ~+ C0 }3 c4 l
0 K0 @4 r6 A4 a* Q; t& Z& I+ m. }* _
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就
# S/ A* _* L" S, V( q- g: F5 A是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的3 O+ m' b0 F5 e9 r' T7 I* f
功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽
8 q# r8 a3 ]8 n _查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数
+ N) r9 u6 p/ g7 t! s据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡