|
|
一. 防火墙是什么?
7 L6 o6 V' d/ e- X4 k1 e A2 A1 @" B7 l9 y6 ]& W& X
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方& d, {# B9 v) i. r/ f. m$ H6 k
法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制
3 |9 z$ D ?* y尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人( D& ~# _- G4 a
和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更4 U6 z* P5 m" f! D
改、拷贝、毁坏你的重要信息。 ; L- z4 P& m' [/ R: M- B
, u0 S8 O3 B% J" n& ~
二.防火墙的安全技术分析 % R/ A/ O% V: G N# o1 _3 v
0 g, n, O9 R! o5 w5 `- J4 B& U 防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火* ~! X9 N7 V1 j
墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认0 u/ r) R) N. Y' o& D$ u# Z( C
识。 % i1 Y% G+ R1 u u7 [ j
) J& q# n h! V! ~ 1.正确选用、合理配置防火墙非常不容易
0 n% n0 j" Z+ r' l$ }, @4 e2 a H
6 q# ?6 s3 Z9 \; \4 M 防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系
7 [' |4 l8 A+ ^ ?: e2 n; }统,配置有效的防火墙应遵循这样四个基本步骤: # b8 |3 }5 H+ \% d, k: \0 g
, m* e- T; k4 n5 ] a. 风险分析; . `8 C |! V' \( L z
+ v4 e3 k% V# G$ g, ]5 z- R b. 需求分析;
, J5 ?% P. e7 c: a, x; ~4 E1 h5 @, O D# P8 t9 Y0 B: y; S( C
c. 确立安全政策; 5 H+ c- V [5 M# X
+ L" \1 V2 u f7 n; |) D
d. 选择准确的防护手段,并使之与安全政策保持一致。 , t% c% H3 \1 w& ^# u( w# K# b( y
" E/ {4 A0 ^, C9 n' g 然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只( h' P& ^! V, b+ S
是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防( _3 z, U' t+ s0 R( ?% `* n! i6 q
火墙能否“防火”还是个问题。 ! ?; q# n) n) F# E
! A. }9 i0 H' A* S' C M, m
2.需要正确评估防火墙的失效状态 D) ?% W6 ]3 t! X9 {- \1 B
" O* a5 d* P9 l% e* W; i; b7 y% ]
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,6 D, _ F* h1 s# w0 m
能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻
. C/ _& l1 O5 O1 k) p破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正
. r; H+ ^! ^" [' }. |常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数1 s: H1 E! w& o8 V
据通行;d.关闭并允许所有的数据通行。
3 k2 p! K; @# } K- O' V3 o, R3 _- S' F1 `/ b3 j
前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进/ Z2 {, k. s. w" c! I
行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐
4 l& @7 M+ H0 v8 |患。3.防火墙必须进行动态维护
# m4 E: i3 ~, u) Z0 c" R, K
' T5 D$ P2 s/ C% X2 Q 防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作6 A; `, E' m3 P! e+ i( F2 @& C
用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动5 k+ i- V8 Q5 w/ L; T: r+ o
态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品," o1 {/ X \, I, J
此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
% t+ c4 y& ?! I: Q# S( S! {% M/ u- b) Z, ^! v3 m
4.目前很难对防火墙进行测试验证 5 A$ N* J! \8 C# V) y( j, h x6 m
; M- i& b" A; h& \8 u
防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚/ `$ @" A3 F, O
至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较3 [& ^" |% t C# A. V& m5 J9 [4 I
大:
[* V9 W1 X" o1 x
4 P1 b. h/ P% O$ K# `2 c( o a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的
1 L0 K1 K+ a( z% h9 }+ }, |工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试
I; @! Y" _3 a3 I+ G! @4 r6 M6 Z2 I的工具软件。
7 u( S; u$ s3 ~2 z* F9 V: f7 x0 J. d0 Y1 `9 A' a
b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作
7 }+ i8 n0 j, s+ y. @3 D难以达到既定的效果。
2 T% X6 w3 m' W. u$ @7 {! i2 _* F; \$ X$ a; _7 r
c.选择“谁”进行公正的测试也是一个问题。
4 g" `* n" v3 z) @
; c5 I: n4 z! k0 `* A- n" ? 可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,' d& z: h c, q# C3 I
进而提出这样一个问题:不进行测试,何以证明防火墙安全?
P# X' Q: S; u7 ]4 \
' P4 x" @0 q' j 5.非法攻击防火墙的基本“招数” ( I: g& O$ _- b' |6 s8 {( e
" Y/ ^: C: n; Y% b
a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到
K( _+ {% x! F# |了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值
* L% a) K1 s" u5 u7 w, x得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。
3 \! ~- l1 h: ?* B$ x+ Q9 A0 |9 B# R$ i3 G$ u
这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰
6 b* [+ I0 O" U# b6 u' V恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接3 [1 O: D! A- r, }( v3 U. f8 E
口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的' J8 A& Q9 `. @
信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地
7 w5 V# z6 j3 z3 G6 w) X址缺乏识别和验证的机制。
( J6 q$ V1 {9 v5 i; I0 V! f
' U9 |; @. ]. Y: M3 C/ ^ 通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出* c5 L7 E5 ]( @7 A2 p
请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初4 J/ W6 ~$ C" F. B" R
始序列号ISN。 2 {1 ?: n/ v0 `; q7 \9 z% x
, {4 O4 G: G' ] D, i 具体分三个步骤: ! Z) S" j z" M* ?# A- w
4 P3 J7 M5 c8 @6 ]7 J" J 1.主机A产生它的ISN,传送给主机B,请求建立连接; 4 @. c6 D+ z+ r+ i1 y
[& y# p% V, ~ n% _) q 2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息" U4 F$ m3 V8 R* o: g
ACK一同返回给A; : S$ N) c; w0 }# f
7 N* K' G9 }1 K+ P* b7 r7 y1 F
3. A再将B传送来的ISN及应答信息ACK返回给B。
" O$ W2 G1 Y4 z' ?1 G2 ^5 C& p5 q$ z5 P' @
至此,正常情况,主机A与B的TCP连接就建立起来了。 - E4 n1 r; _' y1 b* `
; y5 v( |: l' n+ f: [) y+ [/ n
IP地址欺骗攻击的第一步是切断可信赖主机。 ! S1 t( |8 Z3 r5 Q2 f
+ _) m# d: p# q! v5 }! L1 N 这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾" R# Q/ W! o$ H! H/ L
不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只; Z4 K, m+ S6 D: A
能发出无法建立连接的RST包而无暇顾及其他。 " Y! I+ v3 E7 d ~9 c9 r" M9 d. r
8 P; J& B9 m; N' {: L# ]" Q9 Z4 ` 攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),
" S/ d0 L$ y7 _. } G7 T通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连
$ B/ Y( e D' b- X$ S6 F接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和
- F- i5 R, q0 }2 ~* f) K5 q0 b/ c确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目3 F* J8 D; b# V3 W4 N
标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从! {6 N: d+ j+ \2 D( K
而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击7 q% ? d( w; X# X; l5 t' Q
产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。
4 B) x5 I5 [ N" ^6 `/ D# Q
) a' V8 ]0 K3 h S' }7 Y 现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主8 H& `" {3 {+ `( f. J
机。
) z8 f5 ?0 X# ?
' R7 d4 A% c, ]9 b 随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过6 l& L8 V' B: @& h% i
这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果
% Q0 h S, n3 O" f& B5 v反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网
- L0 j- Z @% T络。
7 W- g) [ S# E) y( t$ D
' ]* X' i9 x) A' P, C 归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;3 F$ K1 @: n& h z! b& z
不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许
* ]9 E, h9 A; N: Y9 ]2 [6 R3 `Rlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允2 G! A u j! j3 @
许Win95/NT文件共享;Open端口。 3 ~# g- }6 S# a! {9 r: L
6 ?9 l: e' N3 ^5 p$ ?1 G
b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防* W) R2 Z8 ]8 a" Z& m
火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的5 r) I4 g: _; Q3 A; W' }2 \
职能,处于失效状态。
* J" v+ U% |. O2 D
0 D" J4 s- T' a$ ^6 C& P6 q- w: h C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后," @) n' z$ L( D* f1 p. S
随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件
# r5 ? g& u2 a: F或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期+ Y- M- I7 j8 X4 q9 R1 F, E$ p
望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,: H6 D+ K, ?% ~* y% m& M& K
因此不仅涉及网络安全,还涉及主机安全问题。 8 P) F# Y7 a& c! d5 F
1 H& c* {0 Z$ C! J. r
以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,
' Z# U6 ]6 N9 {# R它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则
) |7 A" @1 A: N/ J/ v H/ c无能为力。从技术来讲,绕过防火墙进入网络并非不可能。 & J9 S& J, N+ H
0 j- s0 C# F) ?9 e9 I5 O9 ` v
目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存, Q$ c/ w }% b
在各种网络外部或网络内部攻击防火墙的技术手段。 : L7 B n0 {4 y
( U8 A; d' B8 P/ H, [) c 三.防火墙的基本类型 0 y6 _+ s& S; E; G9 j7 J, l
, H* f8 ?. L/ T% s0 t' ^6 h* x 实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应8 V" w$ r. L; Z1 G9 v
用级网关、电路级网关和规则检查防火墙。
$ e% w. s8 I/ ]/ S
( B, R& X1 ^- i+ ^+ o$ p+ m& C 1.网络级防火墙
+ D$ M. j* O7 [7 e) |, y; [
( a& P5 a& O3 S+ G! }/ T: h 一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过
# C1 ]1 [2 }! x* y' \) S0 Y( g与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都
5 ^; N! b, Y2 C4 `' ]% J0 X能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来( p- Y1 v/ @; m3 H `5 x* [0 l
自何方,去向何处。 - N( R* e! Q% T4 a3 p
' m+ |# A5 W! }/ W: \
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的
$ a& g$ @) {0 ~2 @% L/ u连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定
' j4 C: ]6 e) n/ f- P1 S( l0 X义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直# ]6 h; ~, Q+ e. j0 j4 `; |
至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默( {# j2 q- c# | w
认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于& o2 \' ?1 z% X# J! R
TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如/ d% E/ N9 j+ {" |; w9 u# S
Telnet、FTP连接。
1 N+ n4 H$ F# o) C5 u$ [2 I7 c+ ~& V$ a- m, k4 |1 s/ W( S2 Z0 A
下面是某一网络级防火墙的访问控制规则:
! J8 ^: {) y6 y# I% z0 M' r: W. `8 W- }, T
(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1; - O0 N" X+ v4 {- w5 c5 V
/ v, m$ x% U1 U; i1 `
(2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主! K! Z9 G5 p7 I; y
机150.0.
$ x4 i) I3 r' P* W$ V1 i2 T, }) d6 v0 t( e4 {* l) L# `. g. L
0.2上;
% T4 q+ J1 A2 m! `7 p& J
: O- m* \& n, A0 }- J) { (3)允许任何地址的E-mail(25口)进入主机150.0.0.3; " E l8 ~; i7 u# l$ o8 o
, ~: e# m: f: G9 l s
(4)允许任何WWW数据(80口)通过; ) |, T' g. }4 {9 P! W8 A' \/ `
4 Q2 o4 l* y7 h; L4 m) B
(5)不允许其他数据包进入。
" ?0 O7 h: F }/ e" s7 Y. J
! I+ x( m! K& ?7 }0 l3 N( l 网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护2 l9 `2 |& z V; U1 v
很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。 . W+ X* F4 p: d
$ ?8 \, ^8 W8 k/ \0 X! B! g/ H8 C 2.应用级网关 4 R8 H2 p+ i! L/ `" ~
7 g: [6 K, o! Y0 ~8 e6 M
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任
. l) T; D; k, }5 C6 n0 J服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层6 o% W! E& k# p, v' x
上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议- s- p: o5 [3 }) T2 t8 _
需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
/ ?" V) C" O: k( ~! L1 r# a& s
# T5 P2 w, |0 m0 Z% t 常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、 ' H" A% s6 T1 N$ T2 R' ~& H
FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的
, ?" U @# T$ C8 p1 h( O4 _代理服务,它们将通过网络级防火墙和一般的代理服务。
+ _1 D5 J {6 f3 }/ l
% C x. V' w' Z- W" e 应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,. C9 _7 j1 C& `; m4 s) Q
而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过 L( E' n, _4 P1 ]+ S6 ^- z
防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录
$ p1 z0 u' e+ q% A C2 @$ l(Login) 才能访问Internet或Intranet。
( K" p) A/ P/ P$ \1 V6 X1 Y8 O; |2 ]9 `5 K+ V7 m! O# R
3.电路级网关
& T$ g O! `/ Q4 w+ X" O G; F, j- i+ V" S! _- U
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手
- w1 ^8 h3 g# g1 |% J2 W信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层. U4 n# k; D& K' }+ T+ k4 j/ B( A
上来过滤数据包,这样比包过滤防火墙要高二层。
) M8 v6 z( O, G* \3 X) [9 }* _0 ~- n& s: c. R' y
实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结
( k( O1 T! Y' p( |合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;9 C$ B# M: j4 L3 K9 i
DEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安# _6 E( C: y/ h @* f
全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一
3 M- B; z1 I; l) W. E1 D+ K个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP9 ~$ D, E* \& B$ X* l5 ]9 |: f
地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,
& ?- L$ v* D' v. _. E5 X/ u5 D3 g因为该网关是在会话层工作的,它就无法检查应用层级的数据包。 * N) i W. d% u3 t4 s
$ c1 M# s& y# t* E& v' n! ^
4.规则检查防火墙
# \' b0 R; }5 l6 G: P0 P q& i/ h- y, C: a
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过
2 |& g' ^' G/ o/ e滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤5 v2 F5 s3 e* M. N, U: X. r
进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否$ r/ R$ j) G6 V6 |# c2 | m0 D4 z
逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内
) x- i4 P) |0 x @容,查看这些内容是否能符合公司网络的安全规则。
6 s2 I* p1 ^' D& A7 f/ k( t: j3 P& b0 f, x s3 c
规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,% s9 h6 b. ^3 h9 o/ ~8 M
它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和
4 ]' v: r$ F* F7 |) v, H7 D不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而( i! F6 q3 g v' J
是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式5 K- v, q: N& l
来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
* o" S. X) X; a
1 I$ H. x5 [2 V+ ~ 目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用
* @) d! b5 T X, o6 j h户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每- W# Q# V+ K3 `6 z- M$ G
个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一$ X: q( I9 z3 q0 g* u3 X
OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-19 t2 K) F8 U5 Q- \8 V
防火墙都是一种规则 检查防火墙。 1 x4 k. O, x9 R5 S- Q% q0 I" q7 f
! Y# L; p/ _1 a! _
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就
) J1 e. P E5 \0 G是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的
) ?& Z# T' W3 Q% d6 j! B, m" ]功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽
& R+ x: s# @" h7 M( `+ K7 J' D查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数
7 v" g8 v* \5 c& o0 C( N& z- @据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡