|
|
|
一. 防火墙是什么?
& r X D0 t; A" W1 S5 b* _. @. k: D3 u; `: H
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方! I+ ]4 U9 ]( y* l+ S
法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制( J# [8 t9 O6 P; j
尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人5 z1 I0 C& M( L7 O. b" O- o; d2 _
和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更
( }1 J Z4 l0 S改、拷贝、毁坏你的重要信息。 5 z+ Y4 h, P8 P
- U; b3 w8 U7 O5 X6 f, K3 q3 f0 O
二.防火墙的安全技术分析 / c1 A2 P8 d( c+ ^3 ?
# ?7 W7 e0 ?1 q: X) v) ~( q R 防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火
! u5 T' Z! p/ x- j% }- F) g墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认) A2 x1 W. N3 t
识。
- ~# B0 Q: E/ u
2 N% R4 B* N" k: Y6 |# d 1.正确选用、合理配置防火墙非常不容易
# y- I4 @" S: `! b$ h' e7 W
" R% q4 p; h0 K8 }/ ? 防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系5 v) E4 P2 t$ i
统,配置有效的防火墙应遵循这样四个基本步骤: , O+ r9 m, X9 |" o& U
5 q6 \3 O- b+ \/ }2 ?# j a. 风险分析; - n* G- ~: t4 T/ Z: l+ q- d
: u0 y2 k& ^% [- T
b. 需求分析; # f. E1 W) k4 c" J7 I
! v+ r1 g- y* F c. 确立安全政策; 1 I# g& z& ]! M; V
9 F! @9 M. a+ x! u- ~7 @ d. 选择准确的防护手段,并使之与安全政策保持一致。
1 _4 s+ s4 a6 l& c( ? {
+ }2 i/ C2 ~' B; h! ] 然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只
0 G" `$ R v: g& f( a是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防
& D4 D/ z" c" ` o) }火墙能否“防火”还是个问题。 : i( |1 X9 h/ c$ Y. G
7 H) g! ^5 T% M) ]9 W; C 2.需要正确评估防火墙的失效状态 % m4 I+ P, f' y2 X: V
* M2 E- t ]1 [ y; M* u 评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,$ _+ \! w$ I5 H+ s
能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻4 W1 ?3 I; j1 F
破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正
( H# y2 F$ A! x) d- ^常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数( G# Y3 w" u8 b/ z
据通行;d.关闭并允许所有的数据通行。
8 m. s8 o( G* k* u- B z' p& m2 ~5 v
前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进
6 {, o- ], d3 \行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐
5 k r/ t2 W4 U- c! m- x患。3.防火墙必须进行动态维护 * @5 t7 P5 }, t% e: V) L
2 }5 [& u# h9 a. N
防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作4 G1 u& d3 Z3 A4 Z% ^2 p& U
用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动4 n9 f6 C A* S( J
态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,
9 G' ^5 |( ^& R* ?此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
/ m3 {' Q# G- t' Z2 ?3 s: J
7 Z5 \; o% e/ O, i o 4.目前很难对防火墙进行测试验证
5 p* c4 ~* l; a" X; }3 x! Y" r! H" F' S# {2 t3 L+ [5 f; Z
防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚
' e X. r {, A6 z( {4 c5 A至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较
2 P! g8 O2 F( }+ n& h0 r大: # E2 l8 G1 l- } j+ t' K# m
8 [! g v2 h3 J3 f. ~
a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的
+ W3 x% ]- I& S* E4 r工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试
, t. ~ @9 D/ J( r5 g, h2 h的工具软件。
- M. d# D& p0 b8 T+ u- y( x. R
5 o( W# I/ u! R1 ^: e b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作& Y( }$ q& t3 d( W5 b+ L% [& ?
难以达到既定的效果。
6 c0 l+ @' J, E+ b9 O: k. a8 z& D* }0 q$ {6 S7 \
c.选择“谁”进行公正的测试也是一个问题。
: s6 I; U( t) W5 A
5 p: N6 w. Y3 i. d1 w7 @ 可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,
( \& W! e6 ` ?5 ]进而提出这样一个问题:不进行测试,何以证明防火墙安全? 9 j( O1 T6 h9 u# v; d2 }
5 Q- k T% \( |+ R' f
5.非法攻击防火墙的基本“招数”
, G F+ l, n2 V; b: p
9 Z: V# M8 d, O* D" Z5 q a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到4 X6 F: E% d7 y, [+ y: F9 `
了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值# e$ x( T! L! j% `4 C- w9 Z
得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。
& x5 r s! q: R1 Y8 Q! ]: w
6 q4 \& p5 D% m: ^ 这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰5 m: V6 t" V7 `- e/ F. Q. L
恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接
. |$ N0 ]' p0 A5 B, S0 T, n口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的
' x- K4 |1 c2 }) k) ?信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地9 z* F3 e S6 g. d! n8 I
址缺乏识别和验证的机制。 * J1 }- R7 O2 ^5 m% Q6 l
/ k t; a3 Y, q1 r
通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出
3 z: n' i0 D% T! y6 B请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初
% F" r# u; D" V$ A3 p始序列号ISN。 # @4 e [3 J# S9 k4 r" ~
; H3 }/ o4 z O9 n0 y/ h
具体分三个步骤:
, _3 D; g+ a% R w7 Z B P" X) }$ Z
0 Z& k- S# ~' T5 F5 ^ 1.主机A产生它的ISN,传送给主机B,请求建立连接; 9 i5 E4 Y( |; w4 W& i6 L8 m
4 f* e4 T; O( q 2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息* v1 d1 d4 S0 A" S! r! _( f! Q. X
ACK一同返回给A;
0 E! {' {2 s/ Z" L$ ~5 \$ `- ?* t7 u! x" X7 x% n
3. A再将B传送来的ISN及应答信息ACK返回给B。 I" ^; X# J# v* \3 [
8 A* j3 ?7 p, C v/ K 至此,正常情况,主机A与B的TCP连接就建立起来了。
1 H# B3 {5 F( v& S+ R2 }7 ^1 N
& ~# D5 q8 J; U# o1 o IP地址欺骗攻击的第一步是切断可信赖主机。
8 _2 G: D$ r# i. N0 F0 p5 f! ~, f/ s# ?' S
这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾 Y+ T$ }0 P! w* ?, C
不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只
) T4 i) N5 q3 ]: A能发出无法建立连接的RST包而无暇顾及其他。 ; P! j+ m! K& O9 j2 G( ?
. G5 @! t* |6 I- s 攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),
4 M* x, J% Y: j, p, z5 H+ B( i( J通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连' y6 z4 ~) e" p* g/ Z3 F- |
接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和9 H/ P; ^/ K0 e! ^7 @& J+ O2 I
确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目. _! t( N! W' K9 \$ Z
标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从8 X0 P7 S7 s9 E+ H/ I, X( q
而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击! h* f* S, W7 ]: ]! l
产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。
5 D; @8 v) {$ [, |( k Q5 B4 r' e5 O
% v6 h C5 m: O. a% m 现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主
8 z3 t% X5 `8 l* c- L& T3 N7 j机。 + x V# Y6 N9 u* {- p
' s, [ X$ B: H$ N* y$ E" J 随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过9 u' M" G9 H! |1 H( k, R
这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果
( R$ R0 ]. M( [! l8 q5 ^反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网1 i# j( X, ~! X1 s9 b+ t' y
络。 + F$ S$ E# t' T$ K6 o
% G: E/ w$ U0 d5 n 归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;
- ? U" A( k: O5 Y" B" z不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许
; k& A0 t; c# t" j2 pRlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允
1 I6 }4 D+ q- ~+ L n/ z* l许Win95/NT文件共享;Open端口。
% Q- P$ j5 C* u1 w# [2 K2 P. t2 s+ U* G( b/ B+ K+ D7 w0 m- a
b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防
* Z6 i9 l. _: m2 z5 g' O) M+ W火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的
% e" v3 u. g& h K" ?职能,处于失效状态。 ( r) U G; t- _. o8 |5 K# I8 ?9 ?* m
3 q0 O' I/ v1 p" n C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,! Z R+ b) O1 E8 \% g) c
随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件, ]; R# x" l6 g O% Y
或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期
# l: D2 C2 m3 @9 x1 M望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,8 G( N- z+ M: o$ F9 Q+ E
因此不仅涉及网络安全,还涉及主机安全问题。 ! f' ~( z: J+ ?+ r5 `# t b+ F1 r
/ s/ ~7 Q# F0 C' n
以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,
& q6 h) [+ o- q9 t3 B它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则
: S# s$ ]4 B1 G0 x1 V0 T% ]无能为力。从技术来讲,绕过防火墙进入网络并非不可能。 4 p, [3 B% @$ A9 C
( y5 V7 t$ z# P 目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存" ^* _3 d( l' w! Y" H" {5 i
在各种网络外部或网络内部攻击防火墙的技术手段。
: e, w% j' p$ ?$ M: G) f7 z& t' h) t7 J) k# f0 M. z% a
三.防火墙的基本类型 0 e7 H/ G5 e( U" S) j
& [7 j. l5 _! B6 M2 x 实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应
2 {7 ?. m1 L3 k" b! x+ X3 K用级网关、电路级网关和规则检查防火墙。
+ ^$ A6 L* R0 H( H: \, H$ M; U
" u4 e) a$ b0 u; }1 W# A* n* t3 w 1.网络级防火墙 0 {3 T8 r+ e3 k/ d9 G
! n z& U" u1 M( y2 M3 r
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过6 [6 I( Q; g+ ^& _5 [: o
与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都
& {4 S; ^2 V1 S! Y2 _! W; F x4 e能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来
- m! ~' `- c2 m' M7 ]) `7 W自何方,去向何处。 6 T4 C9 `: v+ d D6 }% D7 V* B' s
- X1 @! ^2 {& I$ ?( ~
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的. C1 E# Z6 J' i _' P( f+ |
连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定
T( \! Z2 ]; [# e; E* f义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直
- y, L0 j- D1 e至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默$ t! G. ]+ U/ ~- ?1 G6 ~
认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于
" P* l$ _# f- \1 ]0 ETCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如
" p7 O/ K! I- h9 L) MTelnet、FTP连接。
3 _2 q( l+ A" z' S
; G. w/ P6 N" I 下面是某一网络级防火墙的访问控制规则: + z/ @4 v7 n& g3 E& G1 A2 _
: I; z; D' A1 V6 Q3 d& y (1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1;
2 {1 ]4 }# g7 w% V+ |* m) ~- M
2 w7 t: Y+ ]" [. l+ m% A" O( B/ N (2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主; b/ t, L4 x! J% h/ \
机150.0.
! x" V% w& B) ~. h+ C Q% k
# |7 q5 E# g- y: g+ i 0.2上; 7 b- y; z4 T ]7 \
. L2 f) V, k& m+ H (3)允许任何地址的E-mail(25口)进入主机150.0.0.3; 9 R/ y U8 m X. b+ i8 j+ m
: y4 Z4 L, M% {: ]( ~1 V4 e6 p (4)允许任何WWW数据(80口)通过;
. \# P3 x4 s! m0 R# W7 n, G# S+ W5 @# r' i# r! S: ~( v+ X/ [
(5)不允许其他数据包进入。
; }" }" H# x5 ~* R; U/ q/ v: n% i& B0 j( F1 H* c# l
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护7 V) g7 A& v, ]1 C
很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
) c2 S+ I; a3 m- i# N. C% B; C& d( t/ [- j
2.应用级网关 + z* O) j; a* a/ r' K
: _8 V) A) O& t6 s 应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任
% o* q" @9 T* |/ o0 v5 N服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层
9 S9 \4 @( T6 u5 V% s上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议
# B. ?) w$ `1 D) t需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
1 ^8 J" \) Y0 j6 b
4 u7 i9 c z, K. p9 l 常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、 1 Z- y: C( K5 \6 m8 A5 f! M6 y% g
FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的
1 i; E M) t/ M' q z代理服务,它们将通过网络级防火墙和一般的代理服务。
9 @7 ?7 F- V- R2 U% Z0 Q% O8 B; z. u' v6 {7 v4 R3 ]( G9 K% N0 `
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,8 t: O' Y! d& ^# \3 U1 G) q) G
而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过
, J5 m+ C5 B) g# l防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录6 _# ]- z6 T( p% u8 ]
(Login) 才能访问Internet或Intranet。 % j! D5 D; \$ x" C8 l2 B
5 e+ ?1 t8 `- k& l/ N: s
3.电路级网关
: p$ o6 G7 X$ ~* }. b9 t! Q! \! a2 S# d# y' U+ V+ N' T' T
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手2 i! `2 }$ n4 f5 }. |* H9 X1 ^
信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层% k3 J+ `) Z2 C/ a2 @ U. ^. V
上来过滤数据包,这样比包过滤防火墙要高二层。 * e5 `' g& ?8 }. W: J
- ]8 U& Z6 y6 J9 Y 实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结
4 q6 K3 a6 z( H4 o% I# M9 f6 s合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;
# x `( j# X$ O2 m0 KDEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安 m$ d: N& r' K0 h! X
全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一
2 x C0 Q' v& ^$ c5 \( K个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP, @5 G; j6 |4 h# R$ C
地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,
8 I" [0 K" h) L' t1 ]因为该网关是在会话层工作的,它就无法检查应用层级的数据包。 6 i8 P: M( m+ ^/ P' C
* q" ^- ~% ]' o" W5 ] 4.规则检查防火墙 7 B! g9 A# M8 f9 c
! M& j1 B9 k) r7 P! o7 O+ |3 V
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过
% v9 [8 K# c5 P0 s, x滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤, V; z/ d/ ~) X
进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否
- z6 s! E% D" G" S' e逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内
& q$ K( v+ g" M6 B$ c; C6 F容,查看这些内容是否能符合公司网络的安全规则。 " u: y1 M0 V# K3 \5 I7 A, s
+ A6 ~& O% O m: }* { 规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,) [( B7 O( \$ u0 W `! |* |4 i/ f/ S
它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和
4 H. Y0 C s+ F: ]# g Q不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而
9 E! m' G3 M0 l6 R& V0 v是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式
2 a8 s" k2 _" S! P3 L# Q/ S: [来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。 + E: z# }5 r# o' o3 x' R) E/ U4 d: O
4 m/ Z4 B- E1 T8 m
目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用% `( m6 ~* h: _ l1 M3 R4 ^% t
户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每1 i% Q4 i7 L2 | l! v3 F
个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一* R: d2 ?5 q3 e5 }' o( C* V
OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-10 p+ Z; n' [ a$ I
防火墙都是一种规则 检查防火墙。 % k6 z( k: t; u% ~
, \; Y/ T- j! N
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就9 ^/ q$ `' `/ C5 z8 ?* o
是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的! ~: s* h: D4 j/ L0 i, j) w
功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽
; \, B$ |$ `4 ^( p) X% r查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数
: M; k4 \, z& z- o- z据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡