|
|
|
一. 防火墙是什么? $ p0 z. Z; i A W8 w
2 F9 r- H% d) J$ l2 n/ u
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方
" I! i* G O _" |0 {- g法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制8 C! e+ F% [# P6 [- G
尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人$ b9 u; W. E m& i& l! z1 h
和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更; K9 m! K5 g- B0 \' \# g. }
改、拷贝、毁坏你的重要信息。
3 o, s5 u; i4 B' Z. ^) ^! h
, S$ Y8 Y A$ j: @) A0 W# o 二.防火墙的安全技术分析 6 F1 ]' A2 ~* c( ]% v3 n9 a( t" i/ |
+ U! ]# H1 x( l/ ]4 N
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火
9 p% J3 `1 K( X$ d4 m8 z墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认
% P- D) r$ Z K; r3 X# Y" m* D" l9 ]+ z, \识。
0 t4 R8 e* O( C, B" e0 S) q+ C* V' C# L
1.正确选用、合理配置防火墙非常不容易 1 k0 }3 g0 x% R6 y
- f8 L* t G" p) D 防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系1 T7 M, I j! x3 j- x
统,配置有效的防火墙应遵循这样四个基本步骤: , n/ N6 f7 b" C) p: {
R6 G7 x% g" N/ ?$ X8 g9 a: ^ s9 a
a. 风险分析; 8 C6 x1 A' s; t5 T% F* l
# O4 m5 i+ q. z f. [& G% X' L& Q
b. 需求分析;
7 H4 c, ~) ~/ l8 V& h$ _. ? k. a7 R% ?# V
c. 确立安全政策; " O/ g" O5 ^6 B; s3 `& X% b: Q
- ^4 o: T& G/ O8 k& E) w% Q' T/ v) c d. 选择准确的防护手段,并使之与安全政策保持一致。 ! y B. t% D6 s1 Y, O
4 i p% _& T: N' y' m, R 然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只( v$ X: f. a- x, l7 D
是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防
. }* l" H4 R$ X, i火墙能否“防火”还是个问题。
+ A2 e, M" {& M: G' b2 T1 K' I9 p1 b) X/ P6 k$ ?6 V+ x# z
2.需要正确评估防火墙的失效状态
5 M2 S& r+ _+ J+ R8 d) Y; w
. x, p# j+ `( ]3 `. ~2 K 评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,
, w+ H- g3 A3 |5 k能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻) j! `" ^0 e# B8 H. I6 Z
破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正- O/ O; _- b. Q* \
常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数. W- {) `, h+ b
据通行;d.关闭并允许所有的数据通行。
% B7 u2 `' h5 h
& K( D1 O6 N# R/ g7 I 前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进
- p) l: G/ u6 \% s# g/ e& i0 G行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐 r/ d9 U( b0 c& G
患。3.防火墙必须进行动态维护
+ }1 t" e2 M& ^- H% o
3 X( W& b+ d7 b# m0 [ 防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作
( s0 l3 g3 D0 F, [用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动
- F/ F' W+ G V) k* D7 N5 u态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,3 s% ^) F7 {& N3 F( Q' t$ b
此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
8 ~" F+ a! g/ p5 Y k I: O2 h" Y+ R U4 E! w0 E
4.目前很难对防火墙进行测试验证 0 V A9 [0 a2 B+ Q. u1 R
2 u( h. u1 N v9 l0 N1 v
防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚
- g U0 g& |& X7 \9 L% K$ e至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较9 P* c: w3 s- Q' c3 O" g* k# `
大:
6 r( V' X5 O, b- m6 i8 O# U7 a3 w) b2 K. t3 Y
a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的6 X, j b, S* D+ Q
工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试( P1 j% Q/ m$ y* s6 \
的工具软件。
% U$ t) J% h2 {
0 k8 ^- X. x! C | j% G* @ b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作$ B& |/ ?! Q2 Q
难以达到既定的效果。 9 a5 B7 ~7 p9 s
. a% f) t( z9 \% i/ ^( n c.选择“谁”进行公正的测试也是一个问题。
* e9 \1 [* i# e s' D* |! q6 M5 e& v$ k, o1 o, ?
可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,
5 x9 t# s5 D- B4 F6 ]; ]+ ^3 z进而提出这样一个问题:不进行测试,何以证明防火墙安全? 4 h9 z W2 ^. W& m9 O* b; ^( c
6 v! x0 C; c: o; r
5.非法攻击防火墙的基本“招数” ' }# \' Y4 s# e! R
/ ?2 x% n5 f5 ^8 ` a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到7 z3 G! G# e( ^
了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值4 l3 |+ Z1 A& n. Q% z0 H/ H8 \5 c' }! K
得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。 5 P# V7 L H. U$ G9 z
4 s% m( k0 q& t3 i: a0 S9 U P
这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰 U" f% B6 I4 E" ~
恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接
6 H d( `, O9 j* \( b( C口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的8 d/ `/ _" ^' ]4 @, y9 H
信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地
7 A% K3 y& w* P% A$ P7 r址缺乏识别和验证的机制。
# P2 u& x6 s6 U9 K7 I+ K/ P
$ b+ X- q% s) \* Y 通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出/ x4 q, f9 J Z( z: f
请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初1 u; |2 `1 [5 Y) h% g: X3 D
始序列号ISN。
% O* T# {/ U7 ~+ W: Z* ^$ ]: ~$ ~7 X1 e* k/ ?
具体分三个步骤:
Y% B, D- F5 o9 F2 _$ ~9 L7 H& c: n5 D" j
1.主机A产生它的ISN,传送给主机B,请求建立连接; ) Z: H+ t( ]% w
+ m/ K0 W8 y5 w/ S9 X5 K/ M 2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息5 G4 W* ?# ~$ \7 R) r4 W
ACK一同返回给A;
, F" i1 M( q1 M$ V7 A; x2 ]+ h5 l& U S7 b9 B
3. A再将B传送来的ISN及应答信息ACK返回给B。 ; A% k# `/ }) ]* c o. `9 a9 W
4 `; f* k6 z: |7 e. B7 D8 `# M 至此,正常情况,主机A与B的TCP连接就建立起来了。
! z- G. P9 `+ ~/ r: E1 M3 k1 t: ?: M$ R, w
IP地址欺骗攻击的第一步是切断可信赖主机。 + X/ r. P+ [& y: I3 R/ U7 Y0 `6 e+ \
0 `( M, s* h2 w" N$ e
这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾8 V" G) t" K7 @7 g* [. E9 ]* a
不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只( R* Z: B, L8 b. l/ Y& I6 B
能发出无法建立连接的RST包而无暇顾及其他。
* j2 e$ `: K* \/ q+ S
) Y6 T' v! ^- z" A- | 攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),3 D4 R$ C8 h5 k
通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连8 a6 Y# C0 Q+ x
接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和
3 f' l! @$ L: k; s2 `确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目7 x3 {# n3 ]. ]9 }2 E5 T
标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从- y% a, q1 q! o$ h/ u! G+ p7 b
而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击# i, `/ k, z; C z
产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。
4 Y$ t8 _/ ?( G4 ~# N5 M* Q) @! Y, u& U9 f A2 k
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主6 d1 H, @# {5 q/ d5 v7 d8 W
机。
: V+ l: R% U! n2 P+ O- }
6 U# o+ @! J. y# } T 随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过
# V8 u1 b+ l: Y8 m$ O这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果
, X# @ y: c& R- B9 q# B% t, `反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网' x9 D/ H# F5 t' ^
络。 ; v7 f) j5 M% i
- b) n @+ L+ R% l9 E9 I2 c 归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;+ W K/ Y9 U$ q* i$ P! W9 ?
不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许
3 j2 w, i X" T% B0 HRlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允
; g! z2 a9 G0 G3 B. l& q许Win95/NT文件共享;Open端口。
% g" U! Z2 N' M% C% }2 ^1 h
4 |% a# B% c, l! g9 q' A b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防/ ~% ^+ D; P( N( C7 D; e) K) i. o; X
火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的
# P) q9 ^, [5 z: B& q" v: x职能,处于失效状态。
- u0 p b; J+ ?) ]8 L( k6 X
8 K* C: Z$ y2 _+ d C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,
- l2 h" C: `% F* j随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件" z `5 n6 K4 [$ J' ^+ n
或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期. U% a9 G7 j, p k' C
望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,. h$ |7 \3 t# F0 X* v4 W! {! s5 @
因此不仅涉及网络安全,还涉及主机安全问题。
! ^; N6 B+ {, A8 ?
, {5 N+ r; Q$ x- v; E 以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,1 ]3 U5 |8 y9 F9 x$ c
它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则
! W- p, c- K) _( I3 o' ]; s+ O5 u( S无能为力。从技术来讲,绕过防火墙进入网络并非不可能。 M2 z6 q5 _0 l* p' g
* V( B* e& `. Z0 S+ ]& ], E 目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存& M$ Z8 }; H2 b7 I% ^4 b
在各种网络外部或网络内部攻击防火墙的技术手段。 7 h4 e# E* B$ w# T: ~
n8 @, Z- |3 n+ X, k) [. Y$ e: f6 M 三.防火墙的基本类型 ; z" W0 v% W9 }* ]' p
! J* h9 A- I: ?! s 实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应
( c Q9 Z% q- J4 P8 A' F用级网关、电路级网关和规则检查防火墙。 / k( D* Q! `" k; Q" d7 }! O+ ]
; y2 x! Q' \3 f9 B+ S* c9 i
1.网络级防火墙
: z# ~* D6 \' O$ K% ]9 n. w& ]* R
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过, M( x$ I- [/ k) l3 q7 e" M
与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都
# z- F/ }/ P) v% g# L7 |! B' w) X能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来
) N" W! H: a4 E g自何方,去向何处。 ; Y5 E# I# c6 w7 P b! _3 Q5 |
% d5 w+ {% T. r& V; a0 D5 U4 c$ m6 q 先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的7 R0 r C- U' U4 V/ z0 Q% `' Q }
连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定+ B( q% z0 x( H" C6 q4 L a
义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直& |4 |4 B' c8 ?7 f" N% t. M
至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默
% ^7 r0 O+ X* S3 i9 I4 c认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于
* c6 `8 F2 w4 }/ A! }' YTCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如
% K& f5 w2 v* m1 D9 Z* r. @Telnet、FTP连接。 5 w: q. `& t) s+ C R2 V
/ z/ G7 l. |5 a4 X* `) H7 o) g. l
下面是某一网络级防火墙的访问控制规则:
5 C9 D2 e# U! n6 Z+ W4 f1 J
* K" ?0 @0 m* w& s$ u (1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1;
' I4 g; u, H2 C* {9 n. }* O, K- _) b+ X* O3 S
(2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主
0 l/ q' d; ]- @" y R机150.0.
" Z) \" k: L5 j x% q
6 m6 z1 `. v% Y8 |6 D/ {2 W7 f 0.2上; + J' D. `3 {- Y3 Z- U" I
2 z, w3 H* B( T; {/ C" M9 f (3)允许任何地址的E-mail(25口)进入主机150.0.0.3;
. {+ ?( b. n) p# }- \; t. t
+ R7 M. a @ E' s, j1 M (4)允许任何WWW数据(80口)通过; & H8 ]1 ?9 Y0 z/ W
4 J3 A8 O o7 h; H- A! g
(5)不允许其他数据包进入。 2 x1 W H* @5 P! y9 s" x
+ g1 V! [* R4 x, s5 s
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护
! i' u7 K. m" D( `1 M很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
1 R3 a( H# m @, r* z6 Z
! K/ x7 N* h+ j G) H Q 2.应用级网关
3 i( f: `4 H# t4 E p4 d; K# q1 R- Y5 w1 E, I! S
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任
2 ?0 `( }% U1 K7 h" @' C& j# @- C服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层$ Y. m3 U8 a$ L7 I7 L0 _
上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议
$ V% v7 C3 p# {2 n需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
8 |, \2 z" E+ a' [! G6 q2 Q9 u$ \% n9 N/ h1 F( P/ l# E
常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、
- S1 k u% V- O# u4 Q1 t8 {& hFTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的
4 Z* A8 z, A" s( x2 C代理服务,它们将通过网络级防火墙和一般的代理服务。
+ ^: l0 Y* W: e- M) r" [8 M
3 L2 F o" `5 B1 ~! p0 T/ f 应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,
8 ^4 z/ ?' x0 N9 h8 I而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过
& T. H# j! C) w! {防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录( U' J3 S+ ]: @. t
(Login) 才能访问Internet或Intranet。
* D8 s0 Z/ W2 Y/ t/ f
; [4 H& P- x6 f) c$ c- T' A1 J 3.电路级网关
# S; b$ k! P v* K' x2 c$ D. V. {( S/ \$ U! W& k
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手
; S5 d) |4 I8 g+ G( v* |- W信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层) k7 o8 K7 K. T5 ~7 E! D1 @" @
上来过滤数据包,这样比包过滤防火墙要高二层。 ) H, s$ r3 O- X$ v- J0 v" O$ G2 K
3 k4 \6 |: b8 ^! j* J) p* L
实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结6 V/ {7 v: @( E6 B+ \. i
合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;
0 P; W# D0 e) ]* f) f3 KDEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安 f! E- R8 C" h" l9 z& A! T
全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一
" n$ @" c" {3 L3 A, ^5 W个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP( g) [8 z S" [( n8 @/ M) w9 O
地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,5 T. {! m h4 Z. ]' e; M- B$ ^* o
因为该网关是在会话层工作的,它就无法检查应用层级的数据包。 0 z I6 H& R" C0 h3 ?8 n
( w' A. V9 N/ T# b- A4 k
4.规则检查防火墙 / ^7 j1 u) z$ f) V- {) a1 C
6 H D' O2 n4 N! b2 K9 m2 R 该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过1 w, q1 e' D7 ~" E* ]
滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤
/ Q+ ?' Y+ Z% g9 Q; n$ `6 K进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否
7 q1 h7 H; s9 f( r3 t( p& `# C逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内
% @3 Y* ?) n+ G% c5 U容,查看这些内容是否能符合公司网络的安全规则。
) ]/ ^- I$ G' _$ Z: b
3 y4 [! l5 q: U, I( q# |/ H" r! M% h 规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,2 [& B/ ]6 O0 A
它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和2 G1 V* D/ R7 T
不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而
! D3 z2 ?, f0 ?3 m是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式; u" y% P! D: A* m4 M8 m( Z
来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。 - p( e1 |5 W0 M: l% M5 Z7 `/ \
) r3 w* ^) ?: c8 I 目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用1 K" Y# k; M% r( B4 C% p
户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每1 P: q# W; C4 Z3 Q S+ H
个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一
+ w& R, F' O. z' R: |1 k1 x. Y: nOnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1# v$ ]) t- G9 o* ]! d( a
防火墙都是一种规则 检查防火墙。
2 @" n2 ~1 ?6 q/ W6 j2 |8 z8 U: t' ~1 w; u' y8 N- ~3 B* n0 w
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就, X( Z/ N e1 n: @. b% q$ g2 H( h
是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的- |& ]0 `# _/ A) S/ g9 k
功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽
" H2 B% p& S+ R4 G7 e查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数
2 k6 [6 p/ L! |& t% d) U+ A4 o据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡