|
|
|
一. 防火墙是什么? 1 Y* T8 }- T, U! W. F5 [
- s& ]; |# z) X" L8 A/ G 所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方
0 O3 N1 h( a. |2 ?! v' Z' m法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制
( z% \; ~2 b- ~5 i4 _+ l7 n尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人* s# i4 {2 i% G. H# p S, `) U
和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更
* V3 I1 x# U( k4 p2 v: H2 q改、拷贝、毁坏你的重要信息。 - j X- L, o5 r' Q
8 i, ~5 w7 D6 u9 E% j9 o
二.防火墙的安全技术分析 ; Z' F$ ~( X& N& e
9 k7 c. P, V4 J" P1 P" z7 C
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火- `0 T& z% R- \3 h6 @8 `7 k) j2 N
墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认2 O$ h( |5 H7 L; ^' x ]
识。 . t0 D8 [8 m8 {7 r2 r
* ~% q% \3 z/ K( ~0 p
1.正确选用、合理配置防火墙非常不容易 2 y3 [) T, f* n( i* ~
' a3 v6 Z* g5 w
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系( f% u* l$ E% z3 ]/ [2 p
统,配置有效的防火墙应遵循这样四个基本步骤: , @ ]+ j# H0 `( f6 H4 n" O+ f
4 v& T# a% ^; Y t# P6 f
a. 风险分析; - E, I1 ~1 @! h+ |6 o6 J0 C$ y
0 @/ \4 X5 o# H: T$ Z, K
b. 需求分析;
2 h7 w5 ]+ F( {+ @+ Y( f8 ~# m
5 d0 f6 |) o9 i- ?! }" P X( m c. 确立安全政策;
- H8 J9 ~' ^! I
/ N* o, m. X) P4 b0 C3 b d. 选择准确的防护手段,并使之与安全政策保持一致。
" |- `# E; o# o. \9 j# b
8 A. g- ?2 I w8 d! Y 然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只
/ w" u: T4 |( ^/ @% R是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防7 i$ r q) I! |) X4 |1 H
火墙能否“防火”还是个问题。
& z- t& k) N. M
: O$ S0 G v! B1 p 2.需要正确评估防火墙的失效状态 ) M6 j9 ^1 a' q9 u
, S+ V$ Y( C4 E) t' [, \& }- \
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,
" Z. }& n0 y: h& Z# L; I# C能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻4 e4 h2 ^+ A9 Y: [, \* ?
破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正, e: v5 J0 |( b, k! F. W7 L1 k
常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数
/ B0 m6 E* [( a# b5 M2 N据通行;d.关闭并允许所有的数据通行。 # i4 l/ ^9 h. ]) A& W/ Z( r2 F$ P
' K2 R% p3 n& y. t9 K 前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进
8 e9 f3 L8 |4 Q7 V8 D+ m行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐
- F; H! N9 I+ `2 T3 W患。3.防火墙必须进行动态维护 " p- _* d* L- H7 {7 b6 k8 m
8 T- Q: B4 O" P+ g) G 防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作
& g, W" d8 U s用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动. w9 `3 x# @5 e' w0 Y. v
态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,
3 [/ A9 C: _ h$ L% ]此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
& G/ S+ c% c, S. L, o$ v' S7 v9 I8 R) S
4.目前很难对防火墙进行测试验证 - Z" t0 ~, W! i
8 I! ~+ X4 F0 C& y1 x/ `
防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚
: N7 y: L" v& Z3 K- i至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较 F& F& r/ P$ N8 X) m# t- u
大:
0 @1 L G( i+ O N8 t, t8 n1 i4 A4 W9 `1 H( c3 y
a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的
! r5 |" U/ I' q/ F6 O" L工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试
# _ [/ a8 F; o$ s$ N0 Q' ^- V的工具软件。 9 i( A+ @6 o, C9 c5 O! Q7 V
& q7 c1 W& a# @$ R2 n
b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作
/ H! c* G9 Q6 E$ A# }, c难以达到既定的效果。
4 j5 H; Y: K* p# {- L# T+ |' ]' m: U6 Q8 F- Y( e& ]: h
c.选择“谁”进行公正的测试也是一个问题。
5 G+ I+ l3 t( t! ~; u( n0 s) g& {: Z" ~8 H% x; h/ r( C
可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,
5 D- o6 l3 i. i% ^% O) H) }进而提出这样一个问题:不进行测试,何以证明防火墙安全? , t$ ]8 d, k$ S' v8 f! _: t* J
, s, P' b, }9 C' H 5.非法攻击防火墙的基本“招数”
+ |( j. j) w, D' e) {* S
# |6 G8 {9 z# H. S a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到
% N$ q& D2 V7 F q) Z1 U ^, S4 e了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值- P! ^ E8 ]% |2 N% W+ V- o# s
得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。
7 E n: {3 Y& _ R, a3 W4 z) Y- B. q* C3 `8 v; ]
这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰
5 G0 g6 x; s3 m+ q1 j恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接
1 T0 a/ f) B8 p3 L% X口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的
# ~3 k; t6 t0 @# l信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地
/ c; `7 k; k) q! y址缺乏识别和验证的机制。
5 A0 F1 L" Y& U( U* n: O
" |4 o* f* _1 S! D1 Y' W 通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出2 ~" W0 V- @9 i+ w: a+ u& A
请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初
4 t) ^5 P7 `/ s; O始序列号ISN。 # f4 a% k6 S: Z5 g
6 Z2 V9 f5 x J- S3 j2 [ 具体分三个步骤: 7 S; P6 l' K2 ~0 Q: l
# x( v" C0 M6 t5 D# M 1.主机A产生它的ISN,传送给主机B,请求建立连接;
" [* ~: h. I' I, d
6 r7 n* @+ {4 S+ ~ 2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息* k$ E2 p4 ]) ?# V
ACK一同返回给A; 3 P- z+ W1 o2 T% [# W& }3 H) t
9 _5 o. X* F/ G 3. A再将B传送来的ISN及应答信息ACK返回给B。
& ~5 I0 y) b3 N0 t, h7 |. c5 u7 {$ E4 }; Q/ Z
至此,正常情况,主机A与B的TCP连接就建立起来了。
, u+ x+ M, ~. d p* B+ W7 F2 n* o' d6 j% M% v% |! c
IP地址欺骗攻击的第一步是切断可信赖主机。 4 J2 X- ~2 A% k( D) X
( X* P; p8 }$ o" }
这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾
. Q& i; I- ~8 J3 \7 _, X# @7 A不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只1 ~( j' a8 K+ s# F7 y
能发出无法建立连接的RST包而无暇顾及其他。
! A V4 X# v+ n! Y. E6 V7 G4 n1 N; W
攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),0 y% \7 f7 J" q/ U3 o
通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连
, T, O5 T2 \9 N7 x. S接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和
0 q1 w& R$ R7 d确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目3 w" F' [% p! p4 {6 v) V
标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从7 T4 ` l6 K0 ~+ l$ F
而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击
, Q7 {3 E( T5 q7 x- |产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。 9 [+ n) _8 f% F+ t
! L L/ C- T2 f ?8 e
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主6 v" v, n9 H0 ^' {; W
机。 ! k4 `3 X* _" s6 h. g' V0 I. F% W
3 f# ]3 v- F$ B/ V9 j+ L1 \% b 随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过
' f& v- n, S9 y3 T9 `这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果1 U R7 t$ ^* _
反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网# D* M. b% N+ m! G1 ~9 K
络。
* o @* }% k4 D7 S4 q+ J% ]: c3 d) T5 I- x
归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;
4 g( a4 n- Z1 w* j1 C, H. l不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许
7 ~3 o' e% ^) x7 dRlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允# G& w! G. W# U( \
许Win95/NT文件共享;Open端口。 ( U2 p, L% U/ B7 w
: p5 e- A8 _& w8 V2 {
b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防6 m) u% I3 f2 P3 i
火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的: o+ }+ S+ q+ @
职能,处于失效状态。
* U$ w$ w+ j2 x: H: l! t0 D8 d, j; `! z4 U% Z' R) \/ p
C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,
4 t/ a- ]8 g4 x w- a0 ]随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件 q( }' o8 [8 j3 I6 ]
或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期
3 J8 x& T0 j4 v" Z6 q望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,( i6 Q/ s. E8 S3 c8 U% `
因此不仅涉及网络安全,还涉及主机安全问题。
) c! {% f1 K) |5 ]% c; g: r& ]6 _! ~4 m
以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,
+ E7 y. B0 W( W. ?/ `; F它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则
/ A' J7 m& w: K8 S* i无能为力。从技术来讲,绕过防火墙进入网络并非不可能。 & P8 x! d+ s( e6 ~; I$ N
+ F6 @6 L. G: V
目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存
' A2 j$ n+ ~$ s+ W) g6 Y在各种网络外部或网络内部攻击防火墙的技术手段。 ' y" J3 h; v! n; x; {4 N
/ {0 ~1 q9 F) `. F& h v+ u1 q- L3 B+ Y 三.防火墙的基本类型 ; d; i* m1 G+ w1 ?
4 Y: I C# ~( ` A 实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应
# h4 \/ w- E3 A% E9 q用级网关、电路级网关和规则检查防火墙。
9 }8 n: }1 t9 H) Y7 }
. B* Y- S3 P. X, r3 y9 T, P' B- x 1.网络级防火墙
' N! a# Z+ A- b, f$ e5 N2 G1 f# j2 C3 ~+ B. D! M$ f0 N# S
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过
) ~% l; @. ^4 l4 {7 n与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都! K* R* \' V. n0 M& Z2 L3 \' _& f
能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来
: x. O' ]5 ^3 P2 p7 V自何方,去向何处。
1 r. _4 S3 O, o, ^; D1 D7 M7 w- Z! ]
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的3 r/ p1 ]) R" U4 J
连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定
; M- m4 ?7 _8 p7 u( ], b, e义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直
; j6 p+ t" f8 `3 ^至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默+ {6 X0 e$ b7 V0 r0 {1 ^, ?
认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于9 v0 G5 F4 _5 t3 O8 x9 b5 S9 Q
TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如. P9 R- |- Y/ w& v0 N, _, J
Telnet、FTP连接。 & c& T$ j9 O, ?. s; l
; W$ i- V5 D* ]5 \ 下面是某一网络级防火墙的访问控制规则: + t3 x. I* }5 P' x, I6 J- k
! |& `4 V _6 e; A
(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1;
) f0 t+ |1 R& h! D6 L) f' n5 V. X2 B& y
(2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主
$ Z4 q* ?% f6 |机150.0. % y0 } N+ v' F1 e0 f" k, K" Y" G
8 H2 Q0 B+ J4 U+ J' _, R 0.2上;
, ]3 \5 g' K; }; }' v7 N5 q9 z6 V5 z- j9 p4 N7 J% D4 |8 j
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3;
! f* I3 ]/ v/ |( H5 L$ g" ]
7 a% [; j5 L6 k, @2 d! y! t (4)允许任何WWW数据(80口)通过;
# ^ k3 s2 p) O. i( v$ i" b# m+ Q2 W2 Q6 D, A4 m s
(5)不允许其他数据包进入。
1 v; B3 Z5 |1 o: [2 G9 v; f: g
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护
0 a0 W; ]% o6 c: t, ?/ _) \3 d# u很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。 " w) J! m" S' J. O' J' e
# ]9 _# \! y( z# K 2.应用级网关
1 e- ] y/ W8 x* e, U* J6 l3 B- M4 ]. w& D& ?& U& b
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任
% J5 @; ]# v' O& x- m3 ^. L服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层3 s# Y; \1 C0 @% Z" p& G$ w
上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议
% q2 N& a+ p$ y p( `需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。 - s; h5 j& w6 ^# {/ \% ^1 `
9 V. L b% | T; U 常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、
; ]; V& o& @$ `9 k2 `FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的7 J. @' |8 D: r; h) B' T# a" w
代理服务,它们将通过网络级防火墙和一般的代理服务。
) j) h0 a1 q9 q# c) x' }# y
' i1 [& _8 {8 Z) f# Y" g" T! z6 ] 应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,, _. c$ T0 a# k& j
而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过
& S. ]5 M8 L! o: S. q% Q防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录
" `- _, c+ l* {( k3 Q(Login) 才能访问Internet或Intranet。
7 j& M4 K$ v0 h: ~/ F2 Z1 ^2 m, A& z2 e4 w; }
3.电路级网关
! \% P8 m" z8 O& l) I; r) K. \9 W" N
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手
" o" t6 ~9 _$ l* X信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层
% U$ Z; n5 }* W上来过滤数据包,这样比包过滤防火墙要高二层。 ! E' |6 P1 I9 h. h7 i" l# l
& t8 }- a& P7 X 实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结
' p |' ? U5 K: [! A' p N/ |2 K合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;/ d, h) j! e5 V/ e, A; v5 Q
DEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安6 P2 [2 ]+ O( y
全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一
& X$ L8 r. U. y个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP* V' L" [' z4 F O
地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,0 N9 Y2 \8 K% Z6 b% q/ |7 m: H
因为该网关是在会话层工作的,它就无法检查应用层级的数据包。
) {2 C9 ~1 I4 r' |! {
4 V/ z7 r) x& K |9 n( P' ? 4.规则检查防火墙
) a) a0 l, T! ^5 m$ O. x
$ F. E2 I( X, q 该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过
% f2 |0 @; I, |' I# T! \7 @: n滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤
6 n9 S' n0 |, e* o$ D进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否 ~' _, ^5 ?9 M& A" B- R* R
逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内
4 M5 L" p% H) |, D6 M0 e容,查看这些内容是否能符合公司网络的安全规则。
, F9 w2 S# r1 D/ \* G6 y9 c1 P) N# o0 p* x1 s7 T7 v
规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,7 E7 W( M% F2 V9 R/ ]* L
它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和! \9 ~' p) [" u9 H$ C& Q7 o
不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而
6 C, \9 n+ _7 V2 `1 |: R是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式
! r6 Y9 B! p7 k' _# H来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。 ) a1 `4 N2 k% u) m: \: j9 F( b$ W
$ V+ A. U$ o3 P 目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用) V+ I6 Z J+ j% T" \7 k3 N% q
户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每6 N& j! W# A, O5 c" h1 r1 s, x
个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一
3 E+ B! d5 l( ^4 ~2 AOnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-10 T8 g% l8 X8 u6 b
防火墙都是一种规则 检查防火墙。 % Y' M6 y- s& `2 {' R
. Q" K/ T+ p) k7 H4 m. h5 C 从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就3 X- [" z5 C. D: r) t0 r4 j
是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的7 N$ X/ r, g$ ^/ c3 m" K9 q
功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽
9 b! p* F& s" N) z' U. P查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数
) S) |0 G, p; N6 H3 c据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡