|
|
|
一. 防火墙是什么? ' x4 x: Z Q: M( G
8 x8 _ g; H' n3 J. U
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方) P) o% i6 W! Y
法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制0 u+ {; z, z4 o4 E
尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人* Z& C9 w* X" D5 o3 r
和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更2 V. h7 Z) o1 O3 T0 [
改、拷贝、毁坏你的重要信息。
$ g9 c1 w; v) A% B
8 H5 I: ~7 U1 s5 T4 z9 y 二.防火墙的安全技术分析
- b% e* x) s1 m5 {. J4 A# m* X
8 T7 S7 Z* ^* M* ~9 g" D x 防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火
) |1 a0 m. s6 q墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认
9 R' V j; ]8 X, w& x x! W0 v识。
* H4 l) ?9 j% D) q
7 a6 Y2 ~: H) Y6 T5 a L2 [ L 1.正确选用、合理配置防火墙非常不容易
) |+ A% M; `- X' N, m2 u& V r5 R' R( n0 m* P7 e( N
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系
# n6 e! j1 D. b$ v统,配置有效的防火墙应遵循这样四个基本步骤:
! O: ?+ E: }# ~( o1 a: }+ U2 w" O
- Z. r) S4 O6 o. X a. 风险分析; 8 F' d/ M* w& [5 R/ q
; }6 e* Q% h7 q1 F# U! k b. 需求分析; ' R9 ~ b7 Z/ C- ]2 x
6 ^+ h( p7 h+ d+ @ c. 确立安全政策;
+ t7 ^" [) E _: Y& S
1 W9 d+ C7 C, k; E d. 选择准确的防护手段,并使之与安全政策保持一致。 - d: R) P8 |7 E: Z4 e- v4 ]
# P9 r2 G2 ] m) B6 A' h4 }8 y) U1 Z 然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只
5 n+ U, p9 Q. c. c2 V是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防: l' _. F; \% p' _! J' }% \
火墙能否“防火”还是个问题。
' H5 S/ D0 m9 r; a$ R! k4 J: s# Z" Z3 [" x/ k, m2 g0 n
2.需要正确评估防火墙的失效状态 h3 ^& |4 \: P+ k
( y, N; I3 p; \: d( @ 评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,
2 Q* T. C9 _+ f6 Q: W# g能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻
, ^0 r; f/ s2 [# b2 b) [3 ~破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正6 p; {- h% X5 R
常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数3 T* D, Y2 m( H7 f7 Q6 @" I
据通行;d.关闭并允许所有的数据通行。 3 Y2 L+ S& Z2 d9 e! f4 T6 @
% x4 l$ C! e$ W( B! A. T6 k- v
前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进
3 l5 u* {) m' c) C行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐
( I0 \* M4 J" p患。3.防火墙必须进行动态维护 3 D6 L! x6 Y% V9 F7 R9 }# ?/ [( I6 [9 ~
8 P! j' V4 P; `* }
防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作
; p& D+ t) N; u. A. M: f F用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动8 @* i% i# a# r3 o; n1 ~
态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,( B- {7 G1 L/ e7 }5 U
此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
& j! l6 L' u S+ C) g* P9 a
- H7 ?* X# O' y 4.目前很难对防火墙进行测试验证 - X" x6 q* f' I, Z0 P- A" ]; Q
S9 g# L/ e6 G5 k- W; s/ ]/ i+ p& U+ ?
防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚
$ k6 ?9 V# w2 h! _& e1 Q至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较
' ]$ K: G' N. Z* p1 E5 i3 D大:
& L7 y' G* d$ k+ V$ ~5 _
0 y. K, Z' b9 v7 r9 G a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的; a$ {) P! r1 b' }5 G+ u, z/ f
工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试+ k% `: |2 d- J
的工具软件。
* D9 K V; G W* V! H: f
+ O2 Z& M; w' T. Z) z, N+ m b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作: n/ P$ z) @( K% c2 V1 T: G1 P
难以达到既定的效果。 % f. F4 b/ w! k L. V* q
" A0 P7 b& {" I b/ {/ W
c.选择“谁”进行公正的测试也是一个问题。 - d9 P6 b" W. q1 X0 c2 b
5 h, I5 z" r$ p, z0 g2 q) D
可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,
* V% |8 x! ?4 B$ `' ?7 J8 e进而提出这样一个问题:不进行测试,何以证明防火墙安全?
0 ], R6 P, _5 O3 h: t& n( I2 `
+ b E+ ^! D" c+ g# g1 f6 D 5.非法攻击防火墙的基本“招数”
* ~) o9 Q4 W5 m1 { K3 Q2 T1 k) y2 ^
a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到% K5 n8 M+ O3 a# m8 Z+ u4 A$ q: U/ R
了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值$ C( D; D3 p; K" D) q
得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。 $ V) Y& K% n% S# p
# J* B1 n' e. t' s: K- n' E
这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰# J, O. U! W, s. H. r. G. p4 i: i8 h" u
恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接2 H- b3 Z- D2 S, V9 Z# U
口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的
% u% n ~/ I$ U" V信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地- N3 y/ M% a; f5 ~, \; u6 h+ \
址缺乏识别和验证的机制。 a) G j8 j J! W0 L) N
- D2 m# T7 A3 L! [0 A! n/ g1 B 通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出
, ?+ ^5 K! o# P" a请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初9 o- k9 O; |; \5 O! c9 L1 [
始序列号ISN。
- T. i2 l, ?; G$ g1 e3 J' w
: x7 b: W4 U* f 具体分三个步骤:
: Z. x8 R7 _! g
) {$ Q9 K' Q* D" x2 j o6 f 1.主机A产生它的ISN,传送给主机B,请求建立连接; ; g/ X' m( W8 m9 z: q7 Q
( Y( R# y+ B- O+ K* T 2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息2 `% S; I) y: y) B; L" k
ACK一同返回给A; & F* Z5 g: e$ G4 m: ^2 h
h% c. i; ~2 M2 N 3. A再将B传送来的ISN及应答信息ACK返回给B。
5 O- N- T, [8 L! i7 g/ }% R1 t& _0 U: Q* M) Y
至此,正常情况,主机A与B的TCP连接就建立起来了。
& s# C8 X& t8 f, M# T4 Q
' v/ E" j' F5 D. O8 C. Q+ [ IP地址欺骗攻击的第一步是切断可信赖主机。
. O7 R$ R' g* a
, y" c8 K% K ]" l, [9 g: u `# i 这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾
' Q* X/ t" U; v* G7 A不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只5 F* d9 [; \" `# e
能发出无法建立连接的RST包而无暇顾及其他。 ) N1 i4 |9 N1 t8 g! ?
" E. Y. F" U: c: X l1 s 攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),
; q& a F- y0 a( d, p% m$ d6 J0 q通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连3 Y# G7 K6 ]# S& r( n
接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和: g/ y( a2 z/ I; Y5 @. S/ v
确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目: M. k4 E( V' `/ P b# N
标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从
! c q- G7 e0 [5 ]# N而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击
- Z R' a+ S- M产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。
! {0 c9 i5 v( }8 U; S; f2 Q. m, A V7 b; F) l2 Y
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主
6 L4 z, C$ J2 `$ U2 _机。
8 O* T) C, l4 k" T( h1 S1 ]6 ]
1 P9 c$ `# s$ y# ^& t" b 随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过
& z% I! a% V" j; z! @3 E) o0 [这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果
2 m% m' l, C/ I% v% H& n5 d反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网% p9 p* p# @& b9 a& b
络。 2 H) [' C d0 \ ?
. A9 F: n9 O: a/ b; W* J, ?
归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;
2 h& g7 u/ Q- m/ [8 ]( @% v4 Y不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许
$ W' m( K" Q, x( ^3 _Rlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允
9 Z* M y+ f- E# u9 Q许Win95/NT文件共享;Open端口。
# x6 M; L. T, Y# ]
; Q) a/ ^0 _2 T, j b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防
+ `$ k' t2 C; c: ~5 S4 ^7 Y, M3 b火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的: ?% x' E* k( ~% V
职能,处于失效状态。 2 L+ o6 g1 s$ ]0 d; x, e: }" B" ], h
! `0 p* R9 ]) ^. Q' Z/ q) r
C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,3 G/ n4 O- c5 F1 Z; } S( H
随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件! k3 y6 D* q$ b Q
或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期
8 D; V2 ^8 ]7 h2 J3 y望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,! n5 |& p! Z" M3 O t5 ^: H
因此不仅涉及网络安全,还涉及主机安全问题。
+ C' W, U6 j7 g1 @' D. n w' [; h. [9 \0 h
以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,
: Y0 S2 u1 M( Q0 b它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则; c5 f/ C m$ X6 L
无能为力。从技术来讲,绕过防火墙进入网络并非不可能。
7 Y9 w. G: x1 ?$ |) z- i
* ]' @* c2 a! C2 Z 目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存
0 q0 d: l3 D! f5 j# t- r在各种网络外部或网络内部攻击防火墙的技术手段。
4 m9 \: C/ ^ y* i7 z) @7 I" o- X8 t
; R) V1 M, q, e* ] 三.防火墙的基本类型
' `- D4 |; d7 X
+ v' X& Q+ n" P# d1 C" | 实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应" z9 ~/ A J9 X- ]) Y" Z8 z
用级网关、电路级网关和规则检查防火墙。 4 L+ v- l( t9 P
) w7 \1 X& U) X! Q; G) b 1.网络级防火墙
2 u* ]6 s# V' p) G8 z
7 D9 R3 v3 Q2 L: M 一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过
. Q9 ]- w. R4 _1 v3 i与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都) Y5 ^/ c. u. J8 w5 T9 S* }8 U
能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来
9 F( I& o9 D v自何方,去向何处。 # g' I- E* e$ _& r
5 ^5 a6 e- F3 L. _- L: H+ [/ F B 先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的
6 V" Y4 Y4 h$ j) M连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定
+ r0 L* S) s2 @* F; L义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直
0 F- I- u0 m b8 Y. ?1 d( _; ^至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默( W' j4 t6 k: t5 o4 e
认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于 T4 Z3 P t6 }( M; w
TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如
/ L" @& w$ Y* e# H) a4 |5 |* rTelnet、FTP连接。 * n j6 R% A. a% V
& }( o! F0 B( E* K% R( t W 下面是某一网络级防火墙的访问控制规则:
$ y+ P$ C I+ `; [9 }1 _; ?) b% V
(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1;
( R" L; q2 U- i9 _0 e. p
; U3 I4 Y8 z% i- g% |; b (2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主
' ~6 ~) ~+ t# J8 h( _8 r5 V8 U机150.0.
/ z, v$ N+ G$ k. d5 g) U6 P+ |1 C+ [
0.2上;
) S# _3 a: Y; J- ?+ f# K/ a$ @9 r( S2 {: {: E' P
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3;
% z+ D; f% N/ V. ^
" l2 Y6 ]: |8 ]; Y: U% A. J (4)允许任何WWW数据(80口)通过;
1 ]; c& U6 N* b) \! @- {3 L8 }* Y: u( x
(5)不允许其他数据包进入。
/ T1 m& O$ ?) H, p* ]% q( z" U% m1 Y; @" s: r1 r1 G
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护
: v4 }' A% m1 y0 Z* w9 R- m很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。 . f: k" Y: r+ g) e3 N2 k! w
" k2 J: z9 N3 c# M' \) s* y
2.应用级网关
0 j9 O: `! i$ {9 x7 S8 p! ?& }$ ]6 z% }
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任" v. @' V) x* v! x# w' G
服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层
* z4 K& l! {) Q; r0 `$ }& @6 C$ w3 ]& `上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议/ n1 Y: U2 i9 j4 u
需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。 : s6 W9 _9 x+ H8 W) v2 ^
6 a. e4 M. j$ D5 b+ x
常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、 5 [* G. t3 x% S3 Q
FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的* f3 z- k" e5 I7 l
代理服务,它们将通过网络级防火墙和一般的代理服务。
/ M; i3 f5 ~2 C8 I5 r7 Q, }$ d& s3 S8 x4 c# @2 b4 W
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,
" ]( z8 ?( K% u, t, L而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过& X6 S+ m$ W% s. A% y
防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录& a6 ?) O5 ]4 o7 E2 Y1 J, n
(Login) 才能访问Internet或Intranet。 6 x! c% Y5 G6 U
! T+ t4 e* Y7 A m( L 3.电路级网关
% v) b+ a& ]* _+ k2 ~( @) L
3 E- a3 {' U7 |5 l/ y! R) U& ?2 K 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手
" E0 R4 ]+ W+ e0 Q. b" v6 P9 }信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层$ V$ {0 }0 }& {! r1 Q
上来过滤数据包,这样比包过滤防火墙要高二层。 . x- N$ y$ n* ]. M, E+ r0 P8 r* z
6 a% f/ K% o2 m' M 实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结; e' R# s/ K9 D- O) v
合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;
6 }" _/ y3 c+ B& Y- [( g; \DEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安; H V/ J/ C2 G' |3 ?8 s
全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一- z! ? c' @- R, C5 v% j+ @
个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP2 @" p( \. ?# z# m" ?: N
地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,
: A! Y! Z4 r- u! c- F* _, ]4 i& C因为该网关是在会话层工作的,它就无法检查应用层级的数据包。
3 k) A. Z6 J6 f. Y i4 O4 z, | f
4 w& g1 }* ~3 L 4.规则检查防火墙 2 g V( R' V: I
. C) O( G1 _& |2 o; t+ T& |
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过/ u9 d: P+ p! A6 o) i0 P
滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤) `) T4 k0 [8 ]% n, p. V6 s
进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否
* s1 R( G7 @, t; K+ T$ c' P7 ^5 u# h逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内
; ?5 H0 m, g2 F1 P8 G; ]5 x$ E容,查看这些内容是否能符合公司网络的安全规则。 ' B( ~8 P; H9 V/ `
$ u4 a" x& A Z: ~8 h. U- f9 \ 规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,
* V* b5 y$ Y! @6 T+ N0 E# u它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和
& h9 a+ H3 F. ~$ i% J; c/ _不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而: C( s; J9 T8 E; A. c$ }& I5 B
是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式
; V: a; R. S2 A( r来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。 2 {! J" T/ Z- f- n
* L; O5 E5 d" w2 Z 目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用6 s1 j0 F) h5 f U( L/ g
户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每
' ?8 Y" S' v" w9 ]4 p8 ~个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一8 R. O: B. D5 A( ~1 c
OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1
: G. t5 ~. G4 K9 a/ U' B防火墙都是一种规则 检查防火墙。 O+ B# i9 q2 [2 ^+ n* U) ?
5 z- k- Y5 y8 k3 A9 t; V; U 从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就0 B; n, X. V6 q3 x2 X: k- T$ C' t. |
是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的; o4 B: t3 K/ P9 j/ Y, e
功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽
; ]; L0 n4 }. r7 T; b. ]查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数
6 \4 q v0 n8 G0 {5 h4 h) F* b据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡