Internet是一個(gè)開(kāi)放式和共享式網(wǎng)絡(luò),隨著它的發(fā)展和普及,給整個(gè)社會(huì)的發(fā)展帶來(lái)了巨大的推動(dòng)作用,也給我們個(gè)人生活帶來(lái)了便捷和快樂(lè)。但是我們也會(huì)看到,互聯(lián)網(wǎng)上也是病毒與黑客大顯身手的地方,從Internet到企業(yè)內(nèi)網(wǎng)、從個(gè)人電腦到可上網(wǎng)的手機(jī)平臺(tái),沒(méi)有它們不能進(jìn)行攻擊的地方。每一次網(wǎng)絡(luò)的攻擊,都會(huì)讓家庭用戶、企業(yè)用戶、甚至是運(yùn)營(yíng)商頭痛腦賬。
“Internet的美妙之處在于你和每個(gè)人都能互相連接,Internet的可怕之處在于每個(gè)人都能和你互相連接”,在經(jīng)歷過(guò)了一次又一次的網(wǎng)絡(luò)攻擊所帶來(lái)的危機(jī)后,人們已經(jīng)開(kāi)始認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性了。現(xiàn)在任何一個(gè)企業(yè)組建網(wǎng)絡(luò)都會(huì)考慮到購(gòu)買防火墻,且有越來(lái)越多的家庭用戶在自己的電腦上甚至寬帶接入端也加上了防火墻,相信不久的將來(lái),我們可以看到在手機(jī)上也會(huì)出現(xiàn)防火墻。
6.1 防火墻的基本概念
防火墻是在一個(gè)被認(rèn)為是安全和可信的內(nèi)部網(wǎng)和一個(gè)被認(rèn)為不那么安全和可信的外部網(wǎng)(如Internet)之間提供的一個(gè)由軟件和硬件設(shè)備共同組成的安全防御工具。它是不同網(wǎng)絡(luò)(安全域)之間的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕 、 監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有很高的抗攻擊能力,它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
了解有關(guān)防火墻的最重要的概念就是它實(shí)現(xiàn)了一種在網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,它只允許授權(quán)的數(shù)據(jù)通過(guò),且本身也必須能夠免于滲透,所以它能有效地監(jiān)控內(nèi)網(wǎng)和外網(wǎng)之間的任何活動(dòng),增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。如圖所示。
2 防火墻的主要功能
1. 動(dòng)態(tài)包過(guò)濾技術(shù)。根據(jù)所設(shè)置的安全規(guī)則動(dòng)態(tài)維護(hù)通過(guò)防火墻的所有通信的狀態(tài)(連接),基于連接的過(guò)濾;
2. 部署NAT(Network Address Translation,網(wǎng)絡(luò)地址變換)。防火墻是部署NAT的理想位置,利用NAT技術(shù),將有限的公有IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的私有IP地址進(jìn)行映射,用以保護(hù)內(nèi)部網(wǎng)絡(luò)并可以緩解互聯(lián)網(wǎng)地址空間短缺的問(wèn)題;
3. 控制不安全的服務(wù)。通過(guò)設(shè)置信任域與不信任域之間數(shù)據(jù)出入的策略,一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。還可以可以定義規(guī)則計(jì)劃,使得系統(tǒng)在某一時(shí)可以自動(dòng)啟用和關(guān)閉策略;
4. 集中的安全保護(hù)。通過(guò)以防火墻為中心的安全方案配置,一個(gè)子網(wǎng)的所有或大部分需要改動(dòng)的軟件以及附加的安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)能集中地放在防火墻系統(tǒng)中。這與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比,防火墻的集中安全管理更經(jīng)濟(jì)。
5. 加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)控制。一個(gè)防火墻的主要功能是對(duì)整個(gè)網(wǎng)絡(luò)的訪問(wèn)控制。比如防火墻設(shè)置內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)特殊站點(diǎn)的訪問(wèn)策略,也可以針對(duì)可以屏蔽部分主機(jī)的特定服務(wù),使得外部網(wǎng)絡(luò)可以訪問(wèn)該主機(jī)的其它服務(wù)(如WWW服務(wù)),但無(wú)法訪問(wèn)該主機(jī)的特定服務(wù)(如Telnet服務(wù))。
6. 網(wǎng)絡(luò)連接的日志記錄及使用統(tǒng)計(jì)。防火墻系統(tǒng)能提供符合規(guī)則報(bào)文的信息、系統(tǒng)管理信息、系統(tǒng)故障信息的日志記錄。另外, 防火墻系統(tǒng)也能夠?qū)φ5木W(wǎng)絡(luò)使用情況作出統(tǒng)計(jì)。通過(guò)對(duì)統(tǒng)計(jì)結(jié)果的分析,可以使得網(wǎng)絡(luò)資源到更好的使用。
7. 報(bào)警功能。如具有郵件通知功能,可以將系統(tǒng)的告警通過(guò)發(fā)送郵件通知網(wǎng)絡(luò)管理員;
以上是防火墻所應(yīng)具備的一些防護(hù)特性,當(dāng)然隨著技術(shù)的發(fā)展中小企業(yè)防火墻的功能會(huì)變得越來(lái)越豐富;但有再多功能的防火墻如果沒(méi)有合理的配置和管理,那么這只是一件IT擺設(shè)。
6.2 防火墻的基本類型
防火墻有很多種形式,有以軟件形式運(yùn)行在普通計(jì)算機(jī)之上的,也有以固件形式設(shè)計(jì)在路由器之中的。但總體來(lái)講可分為三大類:分組過(guò)濾型防火墻、應(yīng)用代理型防火墻以及狀態(tài)檢測(cè)防火墻。細(xì)分則還可包括電路中繼型、復(fù)合型、及加密路由型號(hào)等。
6.2.1 分組過(guò)濾型防火墻
分組過(guò)濾或包過(guò)濾(Packet filtering ): 通常在路由器上實(shí)現(xiàn) , 是一種通用、廉價(jià)、有效的安全手段,能很大程度地滿足企業(yè)的安全要求。
分組過(guò)濾作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。下圖是一個(gè)Cisco路由器包過(guò)濾配置實(shí)例:
2 分組過(guò)濾型防火墻的優(yōu)點(diǎn)
1. 透明的防火墻系統(tǒng)。設(shè)置只須在包過(guò)濾路由器上進(jìn)行,網(wǎng)絡(luò)用戶不知道它的存在。
2. 與應(yīng)用程序無(wú)關(guān)。因其工作在網(wǎng)絡(luò)層和傳輸層,所以無(wú)須對(duì)客戶機(jī)和主機(jī)上的應(yīng)用程序作任何改動(dòng),提高網(wǎng)絡(luò)的性能。
3. 易于配置。配置簡(jiǎn)單。
2 分組過(guò)濾型防火墻的缺點(diǎn)
1. 有限的信息過(guò)濾。只能對(duì)網(wǎng)絡(luò)層和傳輸層的有限信息進(jìn)行有過(guò)濾。
2. 不能過(guò)濾所有的協(xié)議。如對(duì)UDP、RPC協(xié)議不能進(jìn)行有效的過(guò)濾。
3. 缺少審計(jì)和報(bào)警機(jī)制。大多數(shù)過(guò)濾器中缺少審計(jì)和報(bào)警機(jī)制。
4. 過(guò)濾規(guī)則不宜過(guò)多。隨著過(guò)濾規(guī)則數(shù)目的增加,防火墻本身的性能會(huì)受到影響。
6.2.2 應(yīng)用代理型防火墻
應(yīng)用代理(Application Proxy ) :也叫應(yīng)用網(wǎng)關(guān)(Application Gateway),它作用在應(yīng)用層,其特點(diǎn)是完全"阻隔"了網(wǎng)絡(luò)通信流,通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層的通信流。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由一臺(tái)專用服務(wù)器實(shí)現(xiàn)。如下圖所示。
要注意的是,代理服務(wù)只有在需要嚴(yán)格控制內(nèi)部與外部主機(jī)直接連接的場(chǎng)合才是一個(gè)比較有效的機(jī)制。而雙宿主主機(jī)與包過(guò)濾也是具有這種特性的另外兩種機(jī)制。如果內(nèi)、外部主機(jī)能夠直接相互通信,那么用戶就沒(méi)有必要使用代理服務(wù),在這種情況下,代理服務(wù)也不可能起作用。而這種由旁路的拓?fù)渑c網(wǎng)絡(luò)的信息安全是相悖的
代理服務(wù)器并非將用戶的全部網(wǎng)絡(luò)服務(wù)請(qǐng)求提交給互聯(lián)網(wǎng)絡(luò)上的真正的服務(wù)器,因?yàn)榉?wù)器能依據(jù)安全規(guī)則和用戶的請(qǐng)求做出判斷是否代理執(zhí)行該請(qǐng)求,所以它能控制用戶的請(qǐng)求。有些請(qǐng)求可能會(huì)被否決,比如:FTP代理就可能拒絕用戶把文件往遠(yuǎn)程主機(jī)上送。或者它只允許用戶將某些特定的外部站點(diǎn)的文件下載。
2 幾個(gè)需要了解的基本術(shù)語(yǔ):
1. 代理服務(wù)。是運(yùn)行在防火墻主機(jī)上的一些特定的應(yīng)用程序或者服務(wù)器程序。其軟件組成為服務(wù)器端程序和客戶端程序。客戶端與中間節(jié)點(diǎn)連接,中間節(jié)點(diǎn)再與要訪問(wèn)的外部服務(wù)器直接連接。代理服務(wù)替代了用戶與互聯(lián)網(wǎng)絡(luò)的連接。對(duì)用戶請(qǐng)求的外界服務(wù)而言,代理服務(wù)相當(dāng)于一個(gè)網(wǎng)關(guān),代理服務(wù)有時(shí)被稱為應(yīng)用層網(wǎng)關(guān)。
2. 代理服務(wù)器。為用戶提供替代連接并且充當(dāng)服務(wù)的網(wǎng)關(guān)。代理服務(wù)器不允許存在任何網(wǎng)絡(luò)內(nèi)外的直接連接。它本身就提供公共和專用的DNS、郵件服務(wù)器等多種功能。代理服務(wù)器重寫數(shù)據(jù)包而不是簡(jiǎn)單地將其轉(zhuǎn)發(fā)了事。給人的感覺(jué)就是網(wǎng)絡(luò)內(nèi)部的主機(jī)都站在了網(wǎng)絡(luò)的邊緣,但實(shí)際上他們都隱藏在代理的后面,外部網(wǎng)絡(luò)只知代理服務(wù)器的存在。
3. 防火墻主機(jī)。是指由一個(gè)網(wǎng)絡(luò)接口聯(lián)接互聯(lián)網(wǎng)絡(luò)而另一個(gè)接口聯(lián)接內(nèi)部網(wǎng)絡(luò)的雙宿主主機(jī),具有至少兩個(gè)網(wǎng)絡(luò)接口的通用計(jì)算機(jī)系統(tǒng);也可以是一些可以訪問(wèn)因特網(wǎng)并可被內(nèi)部主機(jī)訪問(wèn)的堡壘主機(jī),它對(duì)互聯(lián)網(wǎng)暴露,又是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點(diǎn)。
4. 堡壘主機(jī)。多數(shù)情況下為雙網(wǎng)卡(雙宿主堡壘主機(jī)),分連不同的網(wǎng)絡(luò)并將它們完全隔開(kāi)(單宿主堡壘主機(jī)只有一個(gè)網(wǎng)卡則不能完全隔開(kāi)),其經(jīng)常被配為網(wǎng)關(guān)服務(wù),暴露于互聯(lián)網(wǎng)上最易受到攻擊。
2 應(yīng)用代理型防火的特點(diǎn)
1. 透明性。代理服務(wù)給用戶的假象是其是直接與真正的服務(wù)器相連的;而在服務(wù)器端代理服務(wù)給出的假象是其是直接面對(duì)連在代理服務(wù)器上的用戶。
2. 在網(wǎng)絡(luò)連接建立之前可以對(duì)用戶身份進(jìn)行認(rèn)證。在代理軟件中可以設(shè)置對(duì)用戶進(jìn)行身份驗(yàn)證,這樣確保只有合法用戶才能對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)。
3. 豐富的審記和報(bào)警功能。應(yīng)用代理型防火墻對(duì)通過(guò)的信息流可以以多種格式進(jìn)行記錄和保存,并可對(duì)特定事件向管理員進(jìn)行報(bào)警。
4. 靈活的安全機(jī)制。代理服務(wù)可對(duì)于不同的主機(jī)、用戶及應(yīng)用程序執(zhí)行不同的安全規(guī)則,而不對(duì)所有對(duì)象執(zhí)行同一標(biāo)準(zhǔn)。
2 應(yīng)用代理型防火墻的缺點(diǎn)
1. 對(duì)每種類型的服務(wù)都需要一個(gè)代理。由于對(duì)各種類型的服務(wù)和應(yīng)用都需要一個(gè)代理,所以有時(shí)在服務(wù)器端需進(jìn)行較為復(fù)雜的配置。
2. 網(wǎng)絡(luò)性能有所下降。同過(guò)濾防火相比,服務(wù)器的性能和網(wǎng)絡(luò)性能有所下降。
3. 客戶應(yīng)用可能需要修改。由于代理軟件分為服務(wù)器端軟件和客戶端軟件,故客戶機(jī)需安裝相應(yīng)軟件或作相應(yīng)的網(wǎng)絡(luò)設(shè)置。
6.2.3 狀態(tài)檢測(cè)防火墻
網(wǎng)關(guān)防火墻的一個(gè)挑戰(zhàn)就是吞吐量,開(kāi)發(fā)狀態(tài)檢測(cè)功能是為了讓規(guī)則能夠運(yùn)用到會(huì)話發(fā)起過(guò)程,從而在大為提高安全防范能力的同時(shí)也改進(jìn)了流量處理速度。同時(shí),狀態(tài)檢測(cè)防火墻也摒棄了包過(guò)濾防火墻僅考查數(shù)據(jù)包的 IP 地址等有限幾個(gè)參數(shù),而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點(diǎn),在防火墻的核心部分建立狀態(tài)連接表,并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會(huì)話,并利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài),因此提供了完整的對(duì)傳輸層的控制能力。由于狀態(tài)監(jiān)測(cè)技術(shù)采用了一系列優(yōu)化技術(shù),使防火墻性能大幅度提升,能應(yīng)用在各類網(wǎng)絡(luò)環(huán)境中,尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。
1993年,Check Point公司成功推出了世界上第一臺(tái)商用的狀態(tài)檢測(cè)防火墻產(chǎn)品之后,很多廠商也相繼進(jìn)行了開(kāi)發(fā)了,并在90年代中期得到了迅速發(fā)展。現(xiàn)今的防火墻市場(chǎng),狀態(tài)檢測(cè)防火墻產(chǎn)品由于其在性能、部署能力和擴(kuò)展能力方面的優(yōu)勢(shì)已成為市場(chǎng)上的絕對(duì)領(lǐng)導(dǎo)者。如今,任何一款高性能的防火墻,都會(huì)采用狀態(tài)檢測(cè)技術(shù)。
從 2000 年開(kāi)始,國(guó)內(nèi)的著名防火墻公司,如北京天融信等公司,都開(kāi)始采用這一最新的體系架構(gòu),并在此基礎(chǔ)上,天融信 NGFW4000 創(chuàng)新推出了核檢測(cè)技術(shù),在操作系統(tǒng)內(nèi)核模擬出典型的應(yīng)用層協(xié)議,在內(nèi)核實(shí)現(xiàn)對(duì)應(yīng)用層協(xié)議的過(guò)濾,在實(shí)現(xiàn)安全目標(biāo)的同時(shí)可以得到極高的性能。目前支持的協(xié)議有 HTTP/1.0/1.1 、 FTP 、 SMTP 、 POP3 、 MMS 、 H.232 等最新和最常用的應(yīng)用協(xié)議。
2 狀態(tài)檢測(cè)防火墻的工作過(guò)程
無(wú)論何時(shí),當(dāng)防火墻接收到一個(gè)初始化TCP連接的SYN包,這個(gè)帶有SYN的數(shù)據(jù)包被防火墻的規(guī)則庫(kù)檢查。該包在規(guī)則庫(kù)里依次序比較。如果在檢查了所有的規(guī)則后,該包都沒(méi)有被接受,那么拒絕該次連接,一個(gè)RST的數(shù)據(jù)包發(fā)送到遠(yuǎn)端的機(jī)器。如果該包被接受,那么本次會(huì)話被記錄到位于內(nèi)核模式中的狀態(tài)監(jiān)測(cè)表里,這時(shí)需要設(shè)置一個(gè)時(shí)間溢出值。隨后的數(shù)據(jù)包(沒(méi)有帶有一個(gè)SYN標(biāo)志)就和該狀態(tài)監(jiān)測(cè)表的內(nèi)容進(jìn)行比較。如果會(huì)話是在狀態(tài)表內(nèi),而且該數(shù)據(jù)包是會(huì)話的一部分,該數(shù)據(jù)包被接受。如果不是會(huì)話的一部分,該數(shù)據(jù)包被丟棄。這種方式提高了系統(tǒng)的性能,因?yàn)槊恳粋€(gè)數(shù)據(jù)包不是和規(guī)則庫(kù)比較,而是和狀態(tài)監(jiān)測(cè)表比較。只有在SYN的數(shù)據(jù)包到來(lái)時(shí)才和規(guī)則庫(kù)比較。所有的數(shù)據(jù)包與狀態(tài)檢測(cè)表的比較都在內(nèi)核模式下進(jìn)行所以應(yīng)該很快。
在連接被通訊雙方關(guān)閉后,狀態(tài)監(jiān)測(cè)表中的連接應(yīng)該被維護(hù)一段時(shí)間。當(dāng)狀態(tài)監(jiān)測(cè)模塊監(jiān)測(cè)到一個(gè)FIN或一個(gè)RST包的時(shí)候,減少時(shí)間溢出值從缺省設(shè)定的值3600秒減少到50秒。如果在這個(gè)周期內(nèi)沒(méi)有數(shù)據(jù)包交換,這個(gè)狀態(tài)檢測(cè)表項(xiàng)將會(huì)被刪除,如果有數(shù)據(jù)包交換,這個(gè)周期會(huì)被重新設(shè)置到50秒。如果繼續(xù)通訊,這個(gè)連接狀態(tài)會(huì)被繼續(xù)地以50秒的周期維持下去。這種設(shè)計(jì)方式可以避免一些DOS攻擊,例如,一些人有意地發(fā)送一些FIN或RST包來(lái)試圖阻斷這些連接。
6.3 防火墻的構(gòu)造體系
由于對(duì)更高安全性的要求,如僅僅使用某種單項(xiàng)技術(shù)來(lái)建立正確完整防火墻是不大可能達(dá)到企業(yè)所需的安全目標(biāo)的。在實(shí)際的實(shí)施方案時(shí),經(jīng)常要用若干的技術(shù)混合的復(fù)合型防火墻方可解決面對(duì)的各種問(wèn)題。
在現(xiàn)有防火墻產(chǎn)品和技術(shù)中,將包過(guò)濾技術(shù)和多種應(yīng)用技術(shù)融合到一起,構(gòu)成復(fù)合型防火墻體系統(tǒng)結(jié)構(gòu)是目前國(guó)內(nèi)防火墻產(chǎn)品的一個(gè)特點(diǎn),也是防火墻今后發(fā)展的主流技術(shù)。
復(fù)合型防火墻解決方案通常有如下兩種:
l 屏蔽主機(jī)防火墻體系結(jié)構(gòu)
l 屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)
6.3.1 屏蔽主機(jī)防火墻體系統(tǒng)結(jié)構(gòu)
屏蔽主機(jī)防火墻體系統(tǒng)結(jié)構(gòu)由包過(guò)濾路由器和堡壘主機(jī)構(gòu)成。其實(shí)現(xiàn)了網(wǎng)絡(luò)層安全(包過(guò)濾)和應(yīng)用層安全(代理服務(wù))。
對(duì)于這種防火墻系統(tǒng),堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上,而包過(guò)濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和Internet之間。在路由器上進(jìn)行規(guī)則配置,使得進(jìn)出的所有信息必須通過(guò)堡壘主機(jī)。這種路由允許堡壘主機(jī)把外部流量代理到內(nèi)部網(wǎng)絡(luò)前會(huì)進(jìn)行流量分析。
由于內(nèi)部主機(jī)與堡壘主機(jī)處于同一個(gè)網(wǎng)絡(luò),內(nèi)部系統(tǒng)是否允許直接訪問(wèn)Internet,或者是要求使用堡壘主機(jī)上的代理服務(wù)來(lái)訪問(wèn)Internet由機(jī)構(gòu)的安全策略來(lái)決定。
對(duì)于這種體系統(tǒng)結(jié)構(gòu)常見(jiàn)的拓樸如下圖所示。在實(shí)際的應(yīng)用中,為了增強(qiáng)安全性,一般堡壘主機(jī)應(yīng)至少有兩個(gè)網(wǎng)卡,這樣可以物理的隔離子網(wǎng)。
6.3.2 屏蔽子網(wǎng)防火墻體系統(tǒng)結(jié)構(gòu)
屏蔽子網(wǎng)防火墻體系統(tǒng)結(jié)構(gòu)堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi),形成“非軍事化區(qū)(DMZ)”,兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端,使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中,堡壘主機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。如下圖所示:
這個(gè)防火墻系統(tǒng)建立的是最安全的防火墻系統(tǒng),因?yàn)樵诙x了“非軍事區(qū)”(DMZ)網(wǎng)絡(luò)后,它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機(jī)、信息服務(wù)器、Modem組、以及其它公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。
在一般情況下對(duì)DMZ配置成使用Internet和內(nèi)部網(wǎng)絡(luò)系統(tǒng)能夠訪問(wèn)DMZ網(wǎng)絡(luò)上數(shù)目有限的系統(tǒng),而通過(guò)DMZ網(wǎng)絡(luò)直接進(jìn)行信息傳輸是嚴(yán)格禁止的。
2 部署屏蔽子網(wǎng)防火墻系統(tǒng)的好處
1. 入侵更加困難。入侵者必須從外向內(nèi)突破3個(gè)不同的設(shè)備才能侵襲內(nèi)部網(wǎng)絡(luò):外部路由器,堡壘主機(jī),還有內(nèi)部路由器。 如果將內(nèi)外路由器分別采用不同廠商的路由器,則入侵的難度還會(huì)加大。
2. 內(nèi)外網(wǎng)不能直接通信。由于外部路由器只能向Internet通告DMZ網(wǎng)絡(luò)的存在,內(nèi)部路由器也只向內(nèi)部網(wǎng)絡(luò)通告DMZ網(wǎng)絡(luò)的存在,這樣網(wǎng)絡(luò)管理員就既可以保證內(nèi)部對(duì)外網(wǎng)是“不可見(jiàn)”的,同樣也就保證了內(nèi)部網(wǎng)絡(luò)上的用戶必須通過(guò)駐留在堡壘主機(jī)上的代理服務(wù)才能訪問(wèn)Internet。
3. 更大的吞吐量。內(nèi)部路由器在作為內(nèi)部網(wǎng)絡(luò)和Internet之間最后的防火墻系統(tǒng)時(shí),能夠支持比雙宿堡壘主機(jī)更大的數(shù)據(jù)包吞吐量。
4. NAT的理想位置。由于DMZ網(wǎng)絡(luò)是一個(gè)與內(nèi)部網(wǎng)絡(luò)不同的網(wǎng)絡(luò),NAT(網(wǎng)絡(luò)地址變換)可以安裝在堡壘主機(jī)上,從而避免在內(nèi)部網(wǎng)絡(luò)上重新編址或重新劃分子網(wǎng),并且只有在DMZ網(wǎng)絡(luò)上選定的系統(tǒng)才對(duì)Internet開(kāi)放(通過(guò)NAT的地址映射、路由表和DNS信息交換)。
6.4 防火墻的訪問(wèn)規(guī)則
6.4.1 防火墻的默認(rèn)設(shè)置
防火墻有以下兩種之一的默認(rèn)配置:
l 拒絕所有的通信。在這種情況下,內(nèi)外的通信完全被阻斷,是最安全但也最不適用的形式。
l 允許所有的通信。在這種情況下,內(nèi)外可以進(jìn)行無(wú)限制的通信,防火墻好象不存在。
對(duì)于安全性要求比較高的防火墻,一般采用拒絕所有通信作為默認(rèn)設(shè)置。一旦安裝了防火墻,為了授予防火墻內(nèi)的用戶訪問(wèn)他們的被授權(quán)的系統(tǒng),則需要打根據(jù)公司的安全策略只打開(kāi)某些特定的端口以允許特定的內(nèi)外通信,這就是需要進(jìn)行相應(yīng)的訪問(wèn)規(guī)則的配置。
6.4.2防火墻的規(guī)則元素
訪問(wèn)規(guī)則定義了允許或拒絕網(wǎng)絡(luò)之間的通信的條件。訪問(wèn)規(guī)則中運(yùn)用的元素是防火墻中可用于創(chuàng)建特定訪問(wèn)規(guī)則的配置對(duì)象。
規(guī)則元素一般可分為以下五種類型:際工資
l 協(xié)議。此規(guī)則元素包含一些協(xié)議,可用于定義要用在訪問(wèn)規(guī)則中的協(xié)議。例如,您可能想要?jiǎng)?chuàng)建只允許 HTTP 通信的訪問(wèn)規(guī)則,則在配置時(shí)對(duì)于協(xié)議的選擇則只選用HTTP即可。
l 用戶集。用戶集包含許多單獨(dú)的用戶或用戶組。您可以使用 Active Directory 域用戶或用戶組、遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù) (RADIUS) 服務(wù)器組或 SecureID 組等創(chuàng)建用戶集。在規(guī)則配置時(shí)則可以針對(duì)不同的用戶集對(duì)網(wǎng)絡(luò)資源的訪問(wèn)分別采用不同的規(guī)則進(jìn)行訪問(wèn)控制。
l 內(nèi)容類型。此規(guī)則元素提供您可能想要應(yīng)用規(guī)則的公共內(nèi)容類型。例如,您可以使用內(nèi)容類型規(guī)則元素來(lái)阻止包含 .exe 或 .vbs 擴(kuò)展名的所有內(nèi)容下載。
l 計(jì)劃。此規(guī)則元素允許您指定一個(gè)星期內(nèi)要應(yīng)用規(guī)則的小時(shí)時(shí)段。如果需要定義只允許在指定的小時(shí)時(shí)段內(nèi)訪問(wèn) Internet 的訪問(wèn)規(guī)則,則可以創(chuàng)建定義小時(shí)時(shí)段的計(jì)劃規(guī)則元素,然后在創(chuàng)建訪問(wèn)規(guī)則時(shí)使用該計(jì)劃規(guī)則元素。
l 網(wǎng)絡(luò)對(duì)象。此規(guī)則元素允許您創(chuàng)建要應(yīng)用規(guī)則的計(jì)算機(jī)集,或者將不再應(yīng)用規(guī)則的計(jì)算機(jī)集。您還可以配置 URL 集和域名集,用來(lái)允許或拒絕對(duì)特定 URL 或域的訪問(wèn)。
6.4.3 訪問(wèn)規(guī)則的定義
創(chuàng)建訪問(wèn)規(guī)則的步驟是選擇適當(dāng)?shù)脑L問(wèn)規(guī)則元素,然后定義元素之間的關(guān)系。如下圖所示。
所有訪問(wèn)規(guī)則具有相同的整體結(jié)構(gòu),如下表所示。
6.5 防火墻的限制
防火墻并非萬(wàn)能,它仍然有許多在網(wǎng)上不能防范的攻擊。現(xiàn)總結(jié)如下:
1. 防火墻無(wú)法防范通過(guò)防火墻以外的其它途徑的攻擊。例如,在一個(gè)被保護(hù)的網(wǎng)絡(luò)上有一個(gè)沒(méi)有限制的撥出存在(如通過(guò)MODEM撥號(hào)),內(nèi)部網(wǎng)絡(luò)上的用戶就可以直接通過(guò)SLIP或PPP連接進(jìn)入Internet。這就為從后門攻擊創(chuàng)造了極大的可能。網(wǎng)絡(luò)上的用戶們必須了解這種類型的連接對(duì)于一個(gè)有全面的安全保護(hù)系統(tǒng)來(lái)說(shuō)是絕對(duì)不允許的。
2. 防火墻也不能防止來(lái)自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來(lái)的威脅。
3. 也不能防范這樣的攻擊:偽裝成超級(jí)用戶或詐稱新雇員的攻擊。
4. 防火墻不能有效地防范像病毒這類東西的入侵。對(duì)病毒十分憂慮的機(jī)構(gòu)應(yīng)當(dāng)在整個(gè)機(jī)構(gòu)范圍內(nèi)采取病毒控制措施。不要試圖將病毒擋在防火墻之外,而是保證每個(gè)脆弱的桌面系統(tǒng)都安裝上病毒掃描軟件,只要一引導(dǎo)計(jì)算機(jī)就對(duì)病毒進(jìn)行掃描。
5. 最后一點(diǎn)是,防火墻無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。數(shù)據(jù)驅(qū)動(dòng)型的攻擊從表面上看是無(wú)害的數(shù)據(jù)被郵寄或拷貝到Internet主機(jī)上。但一旦執(zhí)行就開(kāi)成攻擊。例如,一個(gè)數(shù)據(jù)型攻擊可能導(dǎo)致主機(jī)修改與安全相關(guān)的文件,使得入侵者很容易獲得對(duì)系統(tǒng)的訪問(wèn)權(quán)。后面我們將會(huì)看到,在堡壘主機(jī)上部署代理服務(wù)器是禁止從外部直接產(chǎn)生網(wǎng)絡(luò)連接的最佳方式,并能減少數(shù)據(jù)驅(qū)動(dòng)型攻擊的威脅。
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號(hào)聯(lián)系: 360901061
您的支持是博主寫作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對(duì)您有幫助就好】元
