|
|
楼主 |
发表于 2008-5-21 11:04:38
|
显示全部楼层
|阅读模式
来自 河北省石家庄市
计算机网络的发展,使信息共享应用日益广泛与深入,但是企业的信息在公共网络上传输,可能会被非法窃听、截取、篡改或破坏,而造成不可估量的损失。网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统能连续可靠地运行,网络服务不中断。
本章介绍了网络信息安全中的一些常用技术手段,包括防火墙技术、入侵检测技术、反病毒技术、内外网隔离技术和电子邮件的安全。
7.1 防火墙技术
网络的安全性可以定义为计算机机密性、完整性和可用性的实现。机密性要求只有授权才能访问信息;完整性要求信息保持不被意外或者恶意地改变;可用性指计算机系统在不降低使用的情况下仍能根据授权用户的需要提供资源服务。因特网防火墙是这样的(一组)系统,它能增强机构内部网络的安全性,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的哪些可以访问的服务,以及哪些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往因特网的信息都必须经过防火墙,接受防火墙的检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。防火墙系统一旦被攻击者突破或迂回,就不能提供任何保护了。
7.1.1防火墙基础知识
Internet防火墙是一种装置,它是由软件或硬件设备组合而成,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限,它的基本系统模型如图7.1.1所示。换言之,一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。防火墙是一种被动的技术,因为它假设了网络边界的存在,它对内部的非法访问难以有效地控制。因此防火墙只适合于相对独立的网络,例如企业的内部的局域网络等。 Internet
工作站 服务器 工作站 工作站
图7.1.1基本的防火墙系统模型从实现上来看,防火墙实际上是一个独立的进程或一组紧密联系的进程,运行于路由服务器上,控制经过它们的网络应用服务及数据。安全、管理、速度是防火墙的三大要素。防火墙已成为实现网络安全策略的最有效的工具之一,并被广泛地应用到Internet/Intranet 的建设上。
防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网交流的点上。Internet防火墙是路由器、堡垒主机、或任何提供网络安全的设备的组合,是安全策略的一个部分。如果仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。全面的安全策略应告诉用户应有的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。
防火墙系统可以是路由器,也可以是个人主机、主系统或一批主系统,用于把网络或
子网同那些子网外的可能是不安全的系统隔绝。防火墙系统通常位于等级较高网关或网点与Internet的连接处。
防火墙基本上是一个独立的进程或一组紧密结合的进程,安置在路由器或服务器中来控制经过防火墙的数据。它确保一个单位内的网络与Internet之间所有的 信息均符合该单位的安全方针,这个系统能为管理人员提供对一系列问题的答案:诸如:谁在使用网络?他们在网上做什么?他们什么时间使用过网络?他们上网时去了何处?谁要上网但没有成功?
引入防火墙是因为传统的子网系统会把自身暴露给不安全的服务,并受到网络上其他地方的主系统的试探和攻击。在没有防火墙的环境中,局域网内部上的每个节点都暴露给Internet上的其它主机,此时局域网的安全性要由每个节点的坚固程度来决定,并且安全性等同于其中最弱的节点,子网越大,把所有主机保持在相同安全性水平上的可管理能力就越小,随着安全性的失误和失策越来越普遍,闯入时有发生,这些中有的不是因为受到多方的攻击,而仅仅是因为配置错误、口令不适当而造成的。而防火墙是放置在局域网与外部网络之间的一个隔离设备,它可以识别并屏蔽非法请求,有效防止跨越权限的数据访问。防火墙将局域网的安全性统一到它本身,网络安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有节点上,这就简化了局域网安全管理。
防火墙能提高主机整体的安全性,因而给站点带来了众多的好处。主要表现在:
1. 防止易受攻击的服务
防火墙可以大大提高网络安全性,并通过过滤天生不安全的服务来降低子网上主系统所冒的风险。因此,子网网络环境可经受较少的风险,因为只有经过选择的协议才能通过防火墙。例如,防火墙可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网。这样得到的好处是可防护这些服务不会被外部攻击者利用。而同时允许在大大降低被外部攻击者利用的风险情况下使用这些服务。对局域网特别有用的服务如NIS或NFS因而可得到公用,并用来减轻主系统管理负担。
2. 控制访问网点系统
防火墙还有能力控制对网点系统的访问。例如,某些主系统可以由外部网络访问,而其他主系统则能有效地封闭起来,防护有害的访问。除了邮件服务器或信息服务器等特殊情况外,网点可以防止外部对其主系统的访问。
3. 集中安全性
如果一个子网的所有或大部分需要改动的软件以及附加的安全软件能集中地放在防火墙系统中,而不是分散到每个主机中,这样防火墙的保护就相对集中一些,也相对便宜一点。尤其对于密码口令系统或其他的身份认证软件等等,放在防火墙系统中更是优于放在每个Internet能访问的机器上。
4.增强保密,强化私有权
对一些站点而言,私有性是很重要的,使用防火墙系统,站点可以防止finger以及DNS域名服务。
防火墙也能封锁域名服务信息,从而使Internet外部主机无法获取站点名和IP地址。通过封锁这些信息,可以防止攻击者从中获得另一些有用信息。
5.有关网络使用、滥用的记录和统计
如果对Internet的往返访问都通过防火墙,那么,防火墙可以记录各次访问,并提供有关网络使用率的有值的统计数字。如果一个防火墙能在可疑活动发生时发出音响报警,则还提供防火墙和网络是否受到试探或攻击的细节。
采集网络使用率统计数字和试探的证据是很重要的,这有很多原因。最为重要的是可知道防火墙能否抵御试探和攻击,并确定防火墙上的控制措施是否得当。网络使用率统计数字可作为网络需求和风险分析活动的输入。
6.政策执行
防火墙是可提供实施和执行的网络访问政策的工具,可向用户和服务提供访问控制。因此,网络访问政策可以由防火墙执行,如果没有防火墙,这样一种政策完全取决于用户的协作。网点也许能依赖其自己的用户进行协作,但是,它一般不可能,也不依赖Internet用户。
总的说来,防火墙的主要组成部分有:
\" 网络政策;
\" 先进的验证工具;
\" 包过滤;
\" 应用网关。
有两级网络政策会直接影响防火墙系统的设计、安装和使用。高级政策是一种发布专用的网络访问政策,它用来定义那些有受限制的网络许可或明确拒绝的服务以及这种政策的例外条件。低级政策描述防火墙实际上如何尽力限制访问,并过滤在高层政策所定义的服务。
服务访问政策应集中与上面定义的Internet专用的使用问题,或许也应集中与所有的外部网络访问问题(即拨入政策以及SLIP或PPP连接)。这种政策应当是整个机构有关保护机构信息资源政策的延伸。要使防火墙取得成功,服务访问政策必须既切合实际,又稳妥可靠,而且应当在实施防火墙前草拟出来。切合实际的政策是一个平衡的政策,既能防护网络免受已知风险,而且仍能使用户利用网络资源。如果防火墙系统拒绝或限制服务,那么,它通常需要有力量的服务访问政策来防止防火墙的访问控制不会受到带针对的修改。只有一个管理得当的稳妥可靠政策才能做到这一点。
防火墙可以实施各种不同的服务访问政策,但是,一个典型的政策可以不允许从Internet 访问网点,但要允许从网点访问Internet。另一个典型政策是允许从Internet进行某些访问,但是只许可访问经过选择的系统,如信息服务器和电子邮件服务器。防火墙常常实施允许某些用户从Internet访问经过选择的内部主系统的服务访问政策,但是,这种访问只是在必要
时,而且只能与先进的验证措施组合时才允许进行。
防火墙设计政策是防火墙专用的。它定义用来实施服务访问政策的规则,一个人不可能在完全不了解防火墙能力和限制以及与TCP/IP相关联的威胁和易受攻击性等问题的真空条件下设计这一政策。防火墙一般实施两个基本设计方针之一:
\" 只允许访问特定的服务。
一切未被允许的就是禁止的。基于该准则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。这是一种非常实用的方法,可以造成一种十分安全的环境,因为只有经过仔细挑选的服务才被允许使用。其弊端是,安全性高于用户使用的方便性,用户所能使用的服务范围受限制。
\" 只拒绝访问特定的服务。
一切未被禁止的就是允许的。基于该准则,防火墙应转发所有信息流,然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境,可为用户提供更多的服务,其弊病是,在日益增多的网络服务面前,网管人员疲于奔命,特别是受保护的网络范围增大时, 很难提供可靠的安全防护。
如果防火墙采取第一种安全控制的方针,那么,需要确定所有可以被提供的服务以及它们的安全特性,然后,开放这些服务,并将所有其它未被列入的服务排斥在外并禁止访问。如果防火墙采取第二种安全控制的方针,则正好相反,需要确定那些认为是不安全的服务,禁止其访问。而其它服务则被认为是安全的,允许访问。
总的说来,一个好的防火墙系统应具有以下五方面的特性:
(1) 所有在内部网络和外部网络之间传输的数据都必须能够通过防火墙;
(2) 只有被授权的合法数据,即防火墙系统中安全策略允许的数据,可以
通过防火墙;
(3) 防火墙本身不受各种攻击的影响;
(4) 使用目前新的信息安全技术,比如现代密码技术、一次口令系统、智能卡;
(5) 人机界面良好,用户配置使用方便,易管理。系统管理员可以方便地对防火墙进行设置,对Internet的访问者、被访问者。访问协议以及访问方式进行控制。
但是,即使具备这些特性,防火墙还是有它不可避免的缺陷:
(1) 不能防范恶意的知情者。防火墙可以禁止系统用户通过网络连接发送专有的信息,但用户可以将数据复制到磁盘,磁带上带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。
(2) 防火墙不能防范不通过它的连接。防火墙能够有效防止通过它进行传输信息,然而不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙没有办法阻止入侵者进行拨号入侵。
(3) 防火墙几乎不能防范病毒。普通防火墙虽然扫描通过它的信息,但一般只扫描源地址,目的地址和端口号,而不扫描数据的确切内容。
(4) 防火墙不能防备全部的威胁。防火墙被用来防备已知的威胁,但它一般不能防备新的未知的威胁。
7.1.2防火墙体系结构
1.双宿主主机防火墙
双宿主主机(Dual-Homed Host)结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外部网络之间的IP数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。
双宿主机的结构如图7.1.2所示。它采用主机替代路由器执行安全控制功能,故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机,它可以用来在内部网络和外部网络之间进行寻径。如果在一台双宿主机中寻径功能被禁止了,则这个主机可以隔离与它相连的内部网络和外部网络之间的通信,而与它相连的内部和外部网络都可以执行由它所提供的网络应用,如果这个应用允许的话,它们就可以共享数据。这样就保证内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息,但内部网络与外部网络之间却不能传递信息,从而达到保护内部网络的作用。它是外部网络用户进入内部网络的唯一通道,因此双宿主机的安全至关重要,它的用户口令控制安全是一个关键。
双宿主主机(具有至少两个网络适配器) 图7.1.2 双宿主机防火墙双宿网关防火墙(Dual-homed Gateway Firewall)的结构如图7.1.3所示。它是一个具有两个网络适配器的主机系统,并且主机系统中的寻径功能被禁止,而对外部网络的服务和访问则由网关上的代理服务器提供。它是一种结构非常简单,但安全性很高的防火墙系统,是对双宿主主机防火墙的一个改进。另外可以把包过滤路由器和双宿网关集成在一起。把包过滤路由器放在外部网络和一个屏蔽子网之间。屏蔽子网用来为外部网络用户提供一些特定的服务, 比如WWW,Gopher, FTP等。这样一来可以利用包过滤路由器的过滤保护双宿网关免受外部的攻击,例如如果禁止外部访问远程登陆到双宿网关,就可以减少外部攻击的危险。这种防火墙拒绝所有的网络服务,包括DNS等,除非应用网关有代理模块的网络服务可以允许。不灵活性是这种防火墙技术的最大缺点。另外网关主机系统的安全是双宿网关安全的关键。
双宿网关
信息服务器图7.1.3 双宿网关防火墙实例
2. 被屏蔽主机
双宿主主机体系结构提供来自多个网络相连的主机的服务,被屏蔽主机体系结构使用一个单独的路由器来提供来自仅仅与内部网络相连的主机的服务,另外被屏蔽主机结构还有一台单独的过滤路由器。这一台路由器的意义就在于强迫所有到达路由器的数据包被发送到被屏蔽主机。这种体系结构中,主要的安全由数据包过滤提供。它的结构如图7.1.4所示。
堡垒主机位于内部网络上。在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。即使这样,也仅有某些确定的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台主机。因此,堡垒主机需保持更高等级的主机安全。
防火墙
路由器 工作站 工作站 服务器(堡垒主机) 工作站 图7.1.4 被屏蔽主机结构数据包过滤也允许堡垒主机开放可允许的连接到外部世界。在屏蔽的路由器中数据包过滤配置可以按下列之一执行:
\" 允许其他的内部主机为了某些服务开放到因特网上的主机的连接;
\" 不允许来自内部主机的所有连接;
\" 用户可以混合使用以上两种配置。某些服务可以被允许直接经由数据包过滤,其他服务可以被允许仅仅间接地经由代理。
被屏蔽主机防火墙的配置:被屏蔽主机向外部或内部的客户程序提供网络服务。比如,它可能是邮件服务器、Usenet新闻服务器和本站点的DNS服务器等。它还有可能是打印服务器或文件服务等。正是因为被屏蔽主机担当着如此众多的重要角色,因此,它的安全配置尤其重要,关系到整个防火墙的安全。
考虑不同的Internet服务中被屏蔽主机的配置:
(1) Telnet服务
通常对Telnet服务的过滤应该通过包过滤器来实现。通过被屏蔽主机上的代理来实现对Telnet服务的过滤虽然也可以,但是代价昂贵。尤其是在被屏蔽主机上提供Telnet登录服务简直就是给黑客的攻击敞开了大门,是非常不可取的。
(2) Ftp服务
如果内部网的用户支持Ftp的被动模式,则就可以通过包过滤器方便、安全地提供Ftp服务。如果想要支持普通的Ftp服务。就必须在被屏蔽主机上建立代理。这里应该注意的是,最好禁止到被屏蔽主机上的匿名Ftp登录。
(3) SMTP服务
进入的邮件应当通过DNS MX记录被引导到被屏蔽主机上,外出的邮件也应该通过被屏蔽主机发出。让进入的邮件直接到达内部主机是不合适的。
(4) NNTP服务
可以把另一台内部主机当成新闻服务器,并允许NNTP直接指向它,或是把被屏蔽主机作为新闻服务器。这取决于用户基于新闻服务的负载需求及重要性考虑。
(5) HTTP服务
HTTP服务可以通过包过滤来提供或通过代理服务器间接实现。性能更好的实现方式是通过带缓冲的代理服务器(CERN HTTP服务器)来间接地提供服务。
(6) DNS服务
主DNS服务器应当位于被屏蔽主机上,而且内部网所在域应有一个外部的次(secondary)DNS服务器,这里不需要任何DNS信息隐藏。如果被屏蔽主机是内部和外部的主DNS服务器的话,是不能隐藏任何信息的。
一般说来,路由器只提供非常有限的服务,所以保卫路由器比保卫主机更容易实现,从这一点可以看出,被屏蔽主机结构能提供比双宿主主机更好的安全性和可用性。
但是,如果侵袭者设法侵入堡垒主机,则在堡垒主机和其余内部主机之间没有任何保护网络安全的东西。路由器同样会出现这样的问题,如果路由器被损害,整个网络对侵袭者是开放的。因此,被屏蔽子网体系结构变得日益普及。
3. 被屏蔽子网
在被屏蔽主机结构中,堡垒主机最容易受到功击。而且内部网对堡垒主机是完全公开的,入侵者只要破坏了这一层的保护,那么入侵也就大功告成了。被屏蔽子网结构就是在被屏蔽主机结构中再增加一台路由器的安全机制,这台路由器的意义就在于它能够在内部网和外部网之间构筑出一个安全子网,从而使得内部网与外部网之间有两层隔断。要想侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器,即使侵袭者已设法侵入堡垒主机,他将仍然必须通过内部路由器。
一些站点还可以在外部与内部网络之间建立分层系列的周边网。信任度低的和易受侵袭的服务被放置在外层的周边网上,远离内部网络,在周边网络中设置堡垒主机,堡垒主机是运行代理服务的一台安全性很高的计算机,它是内部网络和外部网络的连接点。这样增加了内部网络的安全性,即使侵袭者侵入外层周边网的机器,由于在外层周边网和内部网络之间有了附加安全层,他将难于成功地侵袭内部的机器。而且由于外部网络和内部网络不能直接通信,防火墙系统管理方便,系统安全性高,但是对子网中堡垒主机安全性要求高。屏蔽子网结构图7.1.5所示。
被屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这个防火墙系统建立的是最安全的防火墙系统,因为在定义了被屏蔽子网防火墙系统网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机,信息服务器,Modem 组,以及其他公用服务器放在周边网中。周边网很小,处于Internet和内部网络之间。通过被屏蔽子网防火墙系统网络直接进行信息传输是严格禁止的。
对于进来的信息,外面的路由器用于防范通常的外部攻击(如源地址欺骗和源路由攻击),并管理Internet到周边网的访问。它只允许外部系统访问堡垒主机(还可能有信息服务器)。里面的这个路由器提供第二层防御,只接受源于堡垒主机的数据包,负责的是管理周边网到内部网络的访问。
对于去往Internet的数据包,里面的路由器管理内部网络到周边网络的访问。它允许内部系统只访问堡垒主机(还可能有信息服务器)。外面的路由器上的过滤规则要求使用代理服务(只接受来自堡垒主机的去往Internet的数据包)。
如果入侵者仅仅侵入到周边网络中的堡垒主机,他只能偷看到周边中的信息流,而看不到内部网的信息流,因此即使堡垒主机受到损害也不会危及内部网的安全。
内部路由器(又称阻塞路由器)位于内部网和周边之间,用于保护内部网不受周边因特网的侵害。它完成防火墙的大部分的过滤工作,在包过滤规则认为安全的前提下,它允许某些站点的服务在内外网之间互相传送。 防火墙
外部路由器
堡垒主机 内部路由器
周边网 内部主机 内部主机 服务器 内部主机图7.1.5 被屏蔽子网防火墙系统外部路由器的一个主要功能是保护周边上的主机,但这种保护不是很必要的,因为这主要是通过堡垒主机来进行安全保护的。外部路由器还可以防止部分IP欺骗,因为内部路由器分辨不出一个声称从非军事区来的数据包是否真的从非军事区来,而外部路由器很容易分辨出真伪。在堡垒主机上,可以运行各种各样的代理服务器。
采用了屏蔽子网体系结构的堡垒主机很坚固,不易被入侵者控制,万一堡垒主机被控制,入侵者仍然不能直接侵袭内部网络,内部网络仍受到内部过滤路由器的保护。
如果没有周边网,那么入侵者控制了堡垒主机后就可以监听整个内部网络的对话。把堡垒主机放在周边网络上,即使入侵者控制了堡垒主机,他所能侦听到的内容是有限的。即只能侦听到周边网络的数据,而不能侦听到内部网上的数据。内部网络上的数据包虽然在内部网上是广播式的,但内部过滤路由器会阻止这些数据包流入周边网络。
4.防火墙体系结构的其他形式
(1) 将屏蔽子网结构中的内部路由器和外部路由器合并
只有用户拥有功能强大并且很灵活的路由器时才能将一个网络的内部路由器和外部路由器合并。这时用户仍有周边网连接在路由器的一个接口上,而内部网络连接在路由器的另一个接口上
(2) 合并屏蔽子网结构中堡垒主机与外部路由器
这种结构是由双宿堡垒主机来执行原来的外部路由器的功能。双宿主机进行路由会缺乏专用路由器的灵活性及性能,但是在网速不高的情况下,双宿主机可以胜任路由的工作。所以这种结构同屏蔽子网结构相比没有明显的新弱点。但堡垒主机完全暴露在因特网上,因此要更加小心的保护它。
(3) 使用多台堡垒主机
出于对堡垒主机性能,冗余和分离数据或者分离服务考虑,用户可以用多台堡垒主机构筑防火墙,比如我们可以让一台堡垒主机提供一些比较重要的服务(SMTP服务,代理服务等),而让另一台堡垒主机出来由内部网向外部网提供的服务(如匿名Ftp服务)等。这样,外部网用户对内部网的操作就不会影响内部网用户的操作。即使在不向外部网提供服务的情况下,也可以使用多台堡垒主机以实现负载平衡,提高系统效能。
(4) 使用多台外部路由器
连多个外部路由器到这样的外部网路上去不会带来明显的安全问题。外部路由器受损害的机会增加了,但在一个外部路由器受损害不会带来特别的威胁。
(5) 使用多个周边网络
用户还可以使用多个周边网络来提供冗余,设置两个(或两个以上)的外部路由器,两个周边网络,和两个内路由器可以保证用户与因特网之间没有单点失效的情况,加强了网络的安全和可用性。
7.1.3 防火墙的设计
1. 数据包过滤
包过滤防火墙一般作用在网络层(IP层),故也称网络层防火墙(Network Lev Firewall)或IP过滤器(IP filters)它是对进出内部网络的所有信息进行分析,并按照一定的安全策略(信息过滤规则)对进出内部网络的去处进行限制,允许授权信息通过,拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础,比如IP数据包源地址IP数据包目的地址、封装协议类型(TCP、UDP、ICMP等)、TCP/IP源端口号、TCP/IP目的端口号、ICMP报文类型等。当一个数据包满足过滤规则,则允许此数据包通过,否则拒绝此包通过,相当于此数据包所要到达的网络物理上被断开,起到了保护内部网络的作用。包过滤的核心就是安全策略即包过滤算法的设计。采用这种技术的防火墙优点在于速度快、实现方便,但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。
包过滤型防火墙往往可以用一台过滤路由器来实现,对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。
包头信息中包括IP源地址、IP目的地址、内装协议(ICP、UDP、ICMP、或IP Tunnel)、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位。包的进入接口和输出接口如果有匹配,并且规则允许该数据包通过,那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包,那么该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。
包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据,因为多数的服务收听者都在已知的TCP/UDP端口号上。例如,Telnet服务器在TCP的23号端口上监听远地连接,而SMTP服务器在TCP的25号端口上监听连接。为了阻塞所有进入的Telnet连接,路由器只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上,路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。
(1) 过滤路由器型防火墙的优点
1) 处理包的速度比较快,过滤路由器为用户提供了一种透明的服务,用户不用改变客户端程序或改变自己的行为。
2) 实现包过滤几乎不再需要费用(或极少的费用),因为这些特点都包含在标准的路由器软件中。由于Internet访问一般都是在WAN接口上提供,因此在流量适中并定义较少过滤器时对路由器的性能几乎没有影响。
3) 包过滤路由器对用户和应用来讲是透明的,所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。
(2) 包过滤路由器型防火墙的缺点
1)防火墙的维护比较困难,定义数据包过滤器会比较复杂,因为网络管理员需要对各种Internet服务、包头格式、以及每个域的意义有非常深入的理解。
2)对于外部主机伪装其他可信任的外部主机IP的IP欺骗不能阻止。
3)任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。我们已经知道数据驱动式攻击从表面上来看是由路由器转发到内部主机上没有害处的数据。该数据包括了一些隐藏的指令,能够让主机修改访问控制和与安全有关的文件,使得入侵者能够获得对系统的访问权。
4)一些包过滤网关不支持有效的用户认证。因为IP地址是可以伪造的,因此如果没有基于用户的认证,仅通过IP地址来判断是不安全的。
5)不可能提供有用的日志,或根本就不提供。
6)随着过滤器数目的增加,路由器的吞吐量会下降。可以对路由器进行这样的优化:抽取每个数据包的目的IP地址,进行简单的路由表查询,然后将数据包转发到正确的接口上去传输。如果打开过滤功能,路由器不仅必须对每个数据包作出转发决定,还必须将所有的过滤器规则施用给每个数据包。这样就消耗CPU时间并影响系统的性能。
7)IP包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器能够允许或拒绝特定的服务,但是不能理解特定服务的上下文环境和数据。
所以包过滤防火墙一般用在下列场合:
\" 机构是非集中化管理。
\" 机构没有强大的集中安全策略。
\" 网络的主机数非常少。
\" 主要依赖于主机安全来防止入侵,但是当主机数增加到一定的程度的时候,仅靠主机安全是不够的。
\" 没有使用DHCP这样的动态IP地址分配协议。
(3) 过滤规则制定
1) 按地址过滤
最简单的数据包过滤结构是按地址过滤。这种方法的过滤要用户限制基于数据包源或目的地址的数据包流,而不考虑包括什么协议。这样过滤能用来允许特定的外部主机与特定的内部主机对话。例如,阻止侵袭者注入伪造的数据包(如伪造源IP地址)到用户的网络中去。
例如,如果用户想要阻止引入有伪造源地址的数据包,用户就可以做这样的规定:
规则 方向 源地址 目的地址 动作
A 入站 内部 任意 拒绝
因为内部地址只可能是出站方向,所以出现表中所示情况表明伪造源地址,从而加以拒绝。
规则A说明包过滤防火墙可以帮助用户过滤掉一些伪造源地址的攻击,但如果一个攻击者声称是另一个不同的外部主机,这个规则就无能为力。
按地址过滤最大的好处就是可以将一些不希望内部用户登陆的站点屏蔽掉,例如黄色网站,反动言论网站等。
按地址过滤的另一个应用就是防止内部网络中的某主机对外部网络中一目标主机进行拒绝服务攻击(DoS)。
拒绝服务(Denial of Service,简称DOS),是一种简单的破坏性攻击,通常攻击者利用TCP/IP协议中的某个弱点,或者系统存在的某些漏洞,对目标系统发起大规模的进攻,致使攻击目标无法对合法用户提供正常的服务,攻击模型如图7.1.6所示。
大量数据包 攻击方 攻击方内部网络 Internet 被攻击目标系统
防火墙(路由器) 图7.1.6 拒绝服务攻击示意图在对目标系统的攻击中,必须伪造源地址,目标主机对伪造的源地址是不能识别的,因为它并不能判断这些数据包的真正来源。也不知道其实来自同一台主机,但攻击者的出口路由器却能发现,因为一般伪造源地址都是随机的,不可能都选用攻击者所在内部网络主机的IP地址,所以,出口路由器能发现一个出站方向的数据包源地址居然是外部网络的主机地址。这台路由器上的包过滤防火墙就可以加一个规则:
规则 方向 源地址 目的地址 动作
B 出站 外部 任意 拒绝过滤掉这些数据包,从而阻止单机的DOS攻击。但对于象DDOS(即分布式拒绝服务攻击)这样的多点攻击,包过滤防火墙则无能为力。 2)按服务过滤
按地址对数据包过滤并不能消除所有的安全隐患,或者是,虽然消除了这些安全隐患,却限制了很多的服务。譬如,我们只想屏蔽某台外部主机对内部主机的Telnet服务,而该外部主机其他的服务是允许的,用地址过滤的办法是无法做到这一点的,要么禁止该主机的一切服务,要么屏蔽一切该主机的一切服务。在这样的情况下,可以使用按服务过滤。
如果不希望自己内网主机对外部主机特定服务的请求,例如远程登录(Telnet)。或者屏蔽自己内部主机对外的服务,则可以做如下规定:
规则集C(禁止内部主机对外部主机Telnet)
规则 方向 源地址 目的地址 包类型 源端口 目标端口 动作
C 出站 内部 外部 TCP 任意(>1023) 23 拒绝规则集D(禁止外部主机对内部主机telnet)
规则 方向 源地址 目的地址 包类型 源端口 目标端口 动作
D 入站 外部 内部 TCP 23 任意(>1023) 拒绝规则集E(禁止telnet)
规则 方向 源地址 目的地址 包类型 源端口 目标端口 动作
E 出站 内部 任意 TCP 任意(>1023) 23 拒绝
入站 任意 内部 TCP 23 任意(>1023) 拒绝 3)综合过滤
更多的时候,访问限制的规则比以上两种情况要复杂得多,譬如,需要对某台特定主机而不是所有主机的特定服务做限制,对与该主机的其他服务,或着其他主机的这种服务是允许的,那么就需要做综合的过滤。规则集F(禁止某外部主机host对内部网络提供的telnet服务)
规则 方向 源地址 目的地址 包类型 源端口 目标端口 动作
F 出站 内部 host TCP 任意(>1023) 23 拒绝
入站 host 内部 TCP 23 任意(>1023) 拒绝
2 应用层防火墙
在应用层实现防火墙,方式多种多样,下面是几种应用层防火墙的设计实现。
(1)代理与代管服务
¢ 应用代理服务器(Application Gateway Proxy)
在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网络时,必须先在防火墙上经过身份认证。通过身份认证后,防火墙运行一个专门为该网络设计的程序,把外部主机与内部主机连接。在这个过程中,防火墙可以限制用户访问的主机、访问时间及访问的方式。同样,受保护网络内部用户访问外部网时也需先登录到防火墙上,通过验证后,才可访问。
应用网关代理的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗用了一个合法的IP地址,也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明,用户每次连接都要受到认证,这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。
¢ 回路级代理服务器
即通常意义的代理服务器,它适用于多个协议,但不能解释应用协议,需要通过其他方式来获得信息,所以,回路级代理服务器通常要求修改过的用户程序。
套接字服务器(Sockets Server)就是回路级代理服务器。套接字(Sockets)是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时,在防火墙上的套服务器检查客户的User ID、IP源地址和IP目的地址,经过确认后,套服务器才与外部的服务器建立连接。对用户来说,受保护网与外部网的信息交换是透明的,感觉不到防火墙的存在,那是因为网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持 \"Socketsified API\",受保护网络用户访问公共网所使用的IP地址也都是防火墙的IP地址。
¢ 代管服务器
代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上,使它同时充当服务器,对外部的请求作出回答。与应用层代理实现相比,代管服务器技术不必为每种服务专门写程序。而且,受保护网内部用户想对外部网访问时,也需先登录到防火墙上,再向外提出请求,这样从外部网向内就只能看到防火墙,从而隐藏了内部地址,提高了安全性。
(2)地址扩充与地址保护
¢ 网络地址转换器(NAT Network Address Translate)
当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用一个合法的IP地址。但由于合法Internet IP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP地址)。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。
¢ 隔离域名服务器(Split Domain Name Server )
这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离,使外部网的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况,这样可以保证受保护网络的IP地址不被外部网络知悉。
(3)邮件技术(Mail Forwarding)
当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时,从外部网络发来的邮件,就只能送到防火墙上。这时防火墙对邮件进行检查,只有当发送邮件的源主机是被允许通过的,防火墙才对邮件的目的地址进行转换,送到内部的邮件服务器,由其进行转发。
3.代理服务
对于防火墙来说,如果它的用户不能访问Internet,与其连接就没有意义。但从另一个角度来说,如果在Internet和用户站点的每一台机器之间都有通道可以自由访问,则在与Internet连接时将没有安全感。因此,有时我们不得不采用一些折中的办法。最明显的就是将内部所有的用户通过单一主机访问Internet。这就是代理服务。
代理只对一个内部网络的某个主机或某几个主机提供Internet访问服务,而看上去却是对整个网络的所有主机提供服务。具有访问功能的主机就充当没有访问入口的那些主机的代理来完成那些主机想要做的事。
代理不要求任何硬件,但对于大部分服务它要求特殊的软件,安装了一个特殊协议或一组协议的代理服务器运行在一个双宿主主机或一个堡垒主机上,这个代理服务器判断来自自己用户的要求并决定哪个可以传送,哪个可以忽略。对于许可的要求,代理服务器就会代表用户与真正的服务器交互而将要求从用户传给真实服务器,也将真实服务器的应答传给用户。
对于用户,与代理服务器交谈就像与真实服务器交谈一样,对于真实服务器,它只是与一个代理服务器交谈,事实上它也不能判断与自己交谈的是一个代理服务器而不是一台普通主机,它也不能知道真正用户的存在。
使用代理的优点
(1) 代理服务允许用户直接进入到Internet服务中。
在传统双宿主主机方式中,用户要想使用因特网的服务首先要登录到双宿主主机上去,对于用户,这样会很不方便,以至于有些用户可能用其他方式寻找Internet通道,例如通过拨号上网,这对防火墙的安全是重大隐患;但是另一方面,这种双宿主主机接入方式对于双宿主主机来说,很多帐户的管理也将使系统变得更为复杂。
(2) 代理服务优化日志服务。
代理服务允许日志服务以特殊和有效的方式来进行。例如,一个FTP代理服务器只记录已发出的命令和服务器接收到的回答,并以此来代替记录所有传送的数据。
使用代理的缺点
(1) 代理服务落后于非代理服务。
尽管一些简单的服务可以找到其代理软件,但是对于比较新的服务有时很难找到可靠的代理软件。通常代理服务器与服务之间有一个明显的滞后。在没有合适代理软件可用之前,一些服务只能放置在防火墙之外,这样就有了很多潜在的危险。 |
|
已绑定手机
发表于 2008-7-8 23:21:13