|
|
|
一. 防火墙是什么? * f1 ]( K$ x9 c, O9 |* s
& @2 a& _9 ?4 N# V! |9 h
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方
% H( r4 E3 _& P% E7 F" y1 G! }% E3 N5 C法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制
. o& P3 t' U; H" [( O' A e* O尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人$ f' v. N; v1 u* k' J' E
和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更
1 N/ G! l! |/ ^改、拷贝、毁坏你的重要信息。 2 Y- r. r( e2 i: y9 T- ~# a2 Y6 j
; y' } k8 p- r$ L1 e 二.防火墙的安全技术分析 0 e. \8 E1 t, h$ l( b
( U; ~7 n% k. P* i
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火
- o* P4 n. j4 e+ v墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认8 G2 I3 s; E1 H$ c
识。 1 x0 I' X( D* ]$ {1 R$ Y7 @- }. g
* C8 l. K: j: y2 J, M) o5 e( o
1.正确选用、合理配置防火墙非常不容易 : x4 A8 Q8 l4 E1 L* E9 T
; i6 z8 K8 c* f$ |4 n5 w9 q2 ^! T
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系
. G1 W+ S5 a! p+ d统,配置有效的防火墙应遵循这样四个基本步骤: & n# d/ y4 e5 }! y
8 l. }! ~ O- W% z: ~. w4 j7 B$ S$ W3 [
a. 风险分析;
# J3 ?6 c! u5 l( [" D- K0 U, L, \7 O b8 A
b. 需求分析; 9 x( i3 \& a! Q( @) p6 d) w& u
4 e" Z& c. k$ F7 Z" o0 r' o3 I
c. 确立安全政策;
$ q; \* f8 v' @# Z% b$ {
+ Q% U& J- J2 x' f4 @8 Z d. 选择准确的防护手段,并使之与安全政策保持一致。 " v/ d: Q$ f1 U2 O
e+ c4 u/ t+ w# m6 M5 S 然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只
4 V! v% s+ `: I9 }( e5 W是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防
2 @! G7 Q1 \( @$ c3 S火墙能否“防火”还是个问题。
) ^% [# |# v4 |
. F! Y+ B. ~) s1 k2 ^5 z# z/ C1 y, S# ? 2.需要正确评估防火墙的失效状态
' F& G5 l! t- e7 S, ~
2 \; H/ O" j% Q6 A5 ?, Z 评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,
3 `5 q0 |: d& n! ]& z: r能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻# K( r M6 B( y# z. ^! E/ o6 Z
破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正! Y4 o$ \7 {, y9 v0 H! M
常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数
7 o9 O% Q: O# e5 r: _据通行;d.关闭并允许所有的数据通行。 2 r+ Z( x' M) C# W8 N5 r
; e& t' D* r0 G) Q5 A k3 b
前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进: [2 I; x9 I/ ~+ ?2 l ]" K
行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐: U5 B" l# v$ a: `
患。3.防火墙必须进行动态维护
3 \7 m5 c) v: @- N3 m; z
) N1 }$ C$ E) w 防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作6 a) H" Z' d( f8 V+ q) z
用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动
2 j1 S; O, N* B) s' _$ H态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品, q0 Y+ e$ K$ e1 m' _4 a! R* y' B
此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
' h$ E$ k; o, O: t7 [
0 P4 I: Q# j" g" l( L+ H# T) ]8 L3 |7 U 4.目前很难对防火墙进行测试验证
: A! m2 V4 B# F/ e
5 T$ K: f- T0 @. x 防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚* m% X- T: }* g" j
至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较, I; a# m0 F; {5 Q* w( k d7 N. K7 R! I
大: & q- R( [0 g; E2 \8 P- C# R
9 d) T. x7 Z. s; {* D4 q# d
a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的
1 c1 a3 y* P7 w工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试
2 p9 {/ A" v+ P+ ?的工具软件。 2 Z, f+ W E2 c' _" H
4 c, M- e0 s& `$ \ v T
b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作
" G- G- r% \; D! q0 S2 F2 N难以达到既定的效果。 , Q& _1 @ U# F/ n9 \2 }% T
6 R) c' F" `1 Q% f- {
c.选择“谁”进行公正的测试也是一个问题。
$ N( u8 \$ Z% d* O+ ^+ ]0 i+ H( O
可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,
1 ?$ b0 Z8 Y! Z2 t0 r进而提出这样一个问题:不进行测试,何以证明防火墙安全?
% b. h0 T- t* ?8 r! e
I, v9 H% ^* r3 p( `5 z 5.非法攻击防火墙的基本“招数”
9 {6 G5 m: Q: g4 r4 k+ E2 c0 o: ~# M! n' ?4 G5 C2 i6 j( E
a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到/ G5 n8 i: O* d5 m5 Q
了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值
+ T% n& P6 `4 a) i得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。 + |6 y; ^; v7 _. u0 m7 i& y- \4 d
, b; j: C* l" C9 `& w' ~1 E 这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰. o% U5 y) t" v0 y2 m
恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接( b1 R+ g: ]( F" _) r, z
口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的
3 l9 {5 }, w4 z7 K. `4 N信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地
5 o- H# P" D& M( v: }. Q0 |) N址缺乏识别和验证的机制。 9 B* }3 b. A+ J; l0 p
0 L+ B$ h3 D: \1 ^% _% p1 ~# m 通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出
4 J7 o& l0 {2 E$ b8 K请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初
) t* K% z' j+ e; E. D6 C始序列号ISN。
$ m5 l* E3 x, \9 N) A" S
% U9 C2 A0 |5 s. q, C& G 具体分三个步骤:
b- L4 ^: [8 {% B' z3 f& @/ `
' B/ T# m: |% c& e0 H% ^6 B 1.主机A产生它的ISN,传送给主机B,请求建立连接; # A+ T! ~! D; @; e( W' E
3 o* L0 d, x4 _3 r+ T 2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息
, H7 Y Q8 K" B: R- `ACK一同返回给A;
, N$ @ `; Y' \" p) D
& X) H( l2 N' K4 L4 ~! b- d 3. A再将B传送来的ISN及应答信息ACK返回给B。
2 ?* G- a. a2 L4 z" d6 [! d
) H; q$ M% g) S( @" m5 l: o 至此,正常情况,主机A与B的TCP连接就建立起来了。
& V% q+ a. R0 p ?0 z2 o
% Q: j/ g& ^9 p. u& n IP地址欺骗攻击的第一步是切断可信赖主机。
" E! z# q6 b: g+ y! |6 W b7 w$ O
9 J8 }4 ^( t! D* [! k( [( f 这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾
/ a. g1 }) i# v7 O- F4 T不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只4 _0 K0 T0 U5 v4 W
能发出无法建立连接的RST包而无暇顾及其他。
: @$ w' f+ W0 H% ]. E* Q8 h& {9 M; Z% H- T; C/ s, t0 ~ c
攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),
+ H& S5 m6 g& L9 X0 V& g8 @. a通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连% c' U& M# `- n ~5 T. [
接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和
) m# ~0 e9 n& {0 k: m Z0 O确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目) J7 O& ~" @" O. u4 `4 o4 b
标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从3 W) ?+ z9 h# s
而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击5 F1 U' [2 n7 O: m
产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。 : U1 `7 i+ ]8 h- s2 m- @2 m5 v% I* T* `
/ `/ t8 a" {: w2 d/ P# Y; }* q
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主" j6 \" U3 b5 L* {7 M: {9 X, o6 ?4 _
机。 . S- l' W7 p" v, p' c3 |! X: s
6 @/ s$ g6 a+ q2 s4 j& e8 Y
随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过
' B4 W& s* V& ]- v. |这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果' U( [+ m6 i5 Y8 k. P, S, b" U
反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网4 ~- R; |3 v. f6 c8 l& R e
络。 : B) F+ e3 r+ o2 K0 e! q; K$ h
; D$ M: [8 {1 F 归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;* s: l$ @' D0 i6 w7 ]7 Z% L; ^
不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许
' j. Y2 s3 q RRlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允
' ~; V+ ~! g& p1 {2 @9 N, U+ e许Win95/NT文件共享;Open端口。 ; F# W E$ X' S& a& b" \$ y" V' F
% t: {6 d8 f8 `# J8 H b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防
; }# t2 f0 t+ F( I# R& \" |, x/ J火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的. h: |5 ]2 ]& l6 {
职能,处于失效状态。 7 e) Y" x/ k, `2 u
* {7 ^1 j3 _# h/ {5 O L9 a
C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,
5 t1 ]/ a+ w/ D随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件
' p' e9 F. t! O或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期
8 T2 S( y7 m0 f' ]$ V' n# D望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,
7 l- e/ g# ?7 |8 K1 g/ Z% [$ {因此不仅涉及网络安全,还涉及主机安全问题。 % Y4 S: j% u; ~/ h% I
0 J: S. @1 _" O' V5 _# t; P! X
以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,
" E# M6 X" t2 p9 M: `它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则( `$ a+ \2 k. q. @2 ~3 I
无能为力。从技术来讲,绕过防火墙进入网络并非不可能。
( n% Q( X% w$ I# h
# R3 c! x% Z7 V0 e$ {* a 目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存
6 [+ q) r1 R% n, [. E' K. t在各种网络外部或网络内部攻击防火墙的技术手段。 " c# y1 [ ?, @
1 H: a. h- ~2 F- x% D: j
三.防火墙的基本类型
* D% g* F8 W& _# {) L) T3 y6 ~; q+ F) n1 T1 }% U
实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应
, Y) Y: l% o) F6 A% o4 g- ~: ?2 w用级网关、电路级网关和规则检查防火墙。 - X: P( c% B7 @7 `2 H8 t
: X$ x$ p5 R3 o* ^, h
1.网络级防火墙
# J* M) I+ N j: K' d7 j: R5 N7 X! U3 K& X" U& ]! F
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过; b) v8 f& f& {# F7 a6 @" `
与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都/ p3 @& d j( e, P' |
能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来
. X; g& O# _ |- K0 u, }: P v自何方,去向何处。 & _6 x% J( @6 Z4 o, V" b: p
: F' c' e+ r- d+ {9 H5 f1 _
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的
; y' O5 z/ U5 Y3 g" ]连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定
+ C/ x- f5 M+ v8 G$ L义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直
: p% E5 Q7 N; W4 b; q( J! y至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默
' }! m& t- L) n7 x9 @, `认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于/ Z. Y4 x7 {" g, n7 u
TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如
3 r. {! u$ F$ X# Q [% aTelnet、FTP连接。 6 h! x! G6 A- L [% |( P8 `
) f/ B( @6 Y( r
下面是某一网络级防火墙的访问控制规则: ) }3 ^& w: L' v. d# e" u
! @) i7 e O" T3 j" F( K: ~ (1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1;
$ H6 C+ W4 _( A* I6 V/ i- m+ w; [6 T5 H. Y1 @$ j. U/ r- }3 _
(2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主
4 E" z! U1 ^! V2 _( v机150.0. 1 M* M2 r/ Y! f
& j5 X5 x0 E* P/ |; r; B" {
0.2上; % J% t) T ]" B% w- ` _) t
- J; {- e+ x3 p9 Z (3)允许任何地址的E-mail(25口)进入主机150.0.0.3; {, |' M! s2 N9 R+ ~, x
, z( K% A1 K/ E+ ^( i
(4)允许任何WWW数据(80口)通过;
4 C1 M& H# H% a4 G3 c. ]/ j$ q2 r1 r" l/ I; L. ?
(5)不允许其他数据包进入。 & _$ q+ ^$ g5 e
6 K" A" A5 D- X+ ?6 r: y
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护 J( K [. s6 I
很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
8 f, U" l/ C e+ \' r* M8 S/ @# t# `) t) C7 ], ~! Q+ E/ g
2.应用级网关 * J4 t& i% l' m0 Q) k; H
4 V" Q) h- v) r0 X% ]" W 应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任- X( d" A* T9 S5 D8 l& [
服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层
4 ?0 T' J% r. _' z/ K上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议( `+ w0 X; Z" {% u9 f! k
需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。 " i& q/ O9 q' w
3 e$ j, f) e! X3 {" O; l+ y. M6 K/ r 常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、 6 Q- v# M. I. h9 [
FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的# ]9 J+ C5 r* P; @# s2 N
代理服务,它们将通过网络级防火墙和一般的代理服务。
( g. m6 O' _- T8 G$ D& m8 V( L* y4 s. z3 m9 ]' x6 Q
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,7 c7 M, j+ W Y/ g, q& j2 w r
而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过
7 P k8 @2 O# i! @6 b! q防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录# K* r5 N, X/ ]: H1 L- m
(Login) 才能访问Internet或Intranet。
# X# L+ g4 c6 Y/ ~3 M' @& D2 n% d$ d: d9 ]$ \7 F/ K0 Y& q$ L
3.电路级网关
6 f3 D! z/ d& Q6 Z% \ z$ T5 @, @1 j4 m
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手# |/ s- W" R3 h0 Z7 E/ I
信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层8 g, |( _% p7 O0 @
上来过滤数据包,这样比包过滤防火墙要高二层。
7 E% { \$ n0 \. A, y/ F- s8 F
; o% z; h5 y4 F, H 实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结
4 n/ V3 K4 S! d3 ]! q( d合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;
7 W" V% v3 c& uDEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安
1 _( t% E2 r' Z( N# A- o全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一9 M% H* M! T" k# L7 _
个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP
" l; r6 X) N5 g6 o地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,2 l, ~2 S3 X9 Z( G8 P
因为该网关是在会话层工作的,它就无法检查应用层级的数据包。 ( N x# Y; ?' X- ^2 `" m% S/ n0 H
, ^' g2 a( ~) {" M 4.规则检查防火墙 ! a6 D: i# d6 V C7 f: A; F& `. d
: G9 q- @- [* {4 T% ~8 ` 该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过3 v+ b3 X, ]2 V2 T
滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤
" Q6 ^4 W& K* B- q! H进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否
' { Q8 m3 ]7 U8 g8 Q逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内
: @1 ]+ L1 ?1 P& l7 l: E容,查看这些内容是否能符合公司网络的安全规则。 ' v l/ f; r ]
7 k& {; Y9 N1 U9 W4 G 规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,
7 U8 q, W5 X: y. Q& G它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和: e/ f$ f$ V3 M+ B7 F# {
不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而
( u1 O m0 I3 a1 [& j; U是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式
7 z1 q! P4 d5 G# x0 Y1 Z来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。 6 a7 `* w/ }! u7 ]/ s
1 _' c0 P1 N4 ~0 \5 Z 目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用
; o! W4 W/ @, q: q户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每
5 B& I! c6 Z! Y6 N5 q* y" Z个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一" N3 R# [# u* G' B% G; I( E( I
OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1( v* H: l! h- f8 h1 o
防火墙都是一种规则 检查防火墙。
/ ]5 n9 x) I, c/ h' f9 n, _5 ?4 `+ f: w) R' c7 H) ]: v
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就+ @4 P, ~, S, R: ^* M# _$ ?
是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的' A3 _) x7 z- c9 ?1 _
功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽( x, X* a7 m8 Y
查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数# ^6 f# Y' g4 ^" `* i, r2 d
据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡