|
|
|
一. 防火墙是什么? / P5 @8 x' F" ?' H3 Z4 e* o
; L+ X/ E% Y" ~% i) k$ X7 K 所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方
/ E$ s7 O. E' A法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制
- G( C5 ?4 E0 s7 u; t4 V* A2 p尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人
' n/ }# O0 X: X. Y2 X和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更/ d/ {% e7 |* n. b0 r; i0 t
改、拷贝、毁坏你的重要信息。 ; ]2 e& u" V" N6 U2 e& Y
/ b, J2 E/ q' r T. P1 F
二.防火墙的安全技术分析
; k# `0 ^2 S7 C4 o L/ H* Z- n" T3 K7 T$ J# H; A
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火
& g4 K! E. Y# J9 N0 |! d t `墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认
( o+ T/ T3 i3 {! }* @识。 . t7 x' G0 K: E+ {, s7 @
- U3 c. G7 T, P7 ^! g
1.正确选用、合理配置防火墙非常不容易
. d `: w- I/ V- u7 K! _2 |! q4 L* `0 D' l
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系3 k/ Y+ A% v K/ T9 r2 @ _2 [: I% [
统,配置有效的防火墙应遵循这样四个基本步骤: 4 _4 n- @& b7 W$ i; v$ U* B
8 z+ b/ z" P7 o- p
a. 风险分析;
1 P0 x0 p5 _) [6 G2 e' A3 E; h) d+ H
b. 需求分析;
0 B- n8 e3 O# A2 [9 H0 B
, W# @) Z8 P. q8 F( Y- r c. 确立安全政策; q% X S1 S `; b' c
5 {" K C4 b. d
d. 选择准确的防护手段,并使之与安全政策保持一致。
" J% a4 T4 t. ?0 L: ^9 K
9 Q! Z; B! R) x! Y( ]: w 然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只, i5 ]5 i( A/ Q$ Z4 d$ n
是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防) a* K3 g2 v0 G$ s+ O4 ?
火墙能否“防火”还是个问题。 0 u4 W! b' ?, f& R
: q5 ^& |* w! B 2.需要正确评估防火墙的失效状态 * W; y; e2 O6 b4 d2 ]! d
6 ?" m4 d9 N8 P k. n e
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,1 s8 v" e: P, T4 d2 r k
能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻
7 n3 a2 t& }3 R* ^' ?+ j B破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正
, u2 [1 _$ Z& h T常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数
7 ^/ g3 A! A1 U6 m* S |7 x据通行;d.关闭并允许所有的数据通行。
* x) o( [2 e1 k' x& Y" L3 n: I) ~- @5 G
前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进
: l! o8 R x0 _3 B行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐
2 p- h# ]1 _& C6 ?, S9 C" o患。3.防火墙必须进行动态维护 - U7 }0 P; T3 P( q0 v
$ C7 N9 |2 ]7 q
防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作
+ f# \8 m- `4 v用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动& |8 ^; f- w, F
态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,6 G$ R ~! u# F' B' _% U3 A( ?$ l
此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。 % C& \9 w0 W) w2 f
5 b7 H$ L/ q" [" y' }" w3 }$ {7 \: f* o 4.目前很难对防火墙进行测试验证 3 l9 p4 }& I4 F7 b
! Y, G' T1 I! }/ l9 p' i 防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚$ O7 m* ~7 A6 W* P4 q
至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较
0 W, F4 }- T y i5 q/ y( n大: 8 x; f# c0 I0 h( H) _$ E2 e
- e6 j0 V: E4 n1 r! ^* r a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的
: G5 s- u1 I( Y' r8 D' G% w工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试* F6 L+ b2 ?! b$ K0 s0 r+ T' D* U
的工具软件。 ) ^! b% A0 _% Y$ v
$ g. z: Q' |+ @. G b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作' z5 U# ~8 Y6 D0 D# N
难以达到既定的效果。
2 J! p5 X8 H4 K% ^, V; T/ Z+ `3 x: M, S- t; @# O; Q" |! e; L r- p
c.选择“谁”进行公正的测试也是一个问题。 % H" R1 C) W, z9 n1 ]3 B* g
( M' u$ M: H- e4 `( o% e 可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,
+ @$ w4 t; M( l1 ^: A! ]/ ? G进而提出这样一个问题:不进行测试,何以证明防火墙安全?
4 H9 k/ `7 ~- a: W% b0 Z6 P, Q2 G, w) I2 L8 F$ O4 a5 t
5.非法攻击防火墙的基本“招数”
7 A% M! A* y. |) P* n7 }, o: z$ M5 z: r0 I+ e+ N y/ Z. R
a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到+ B3 _! j" z8 U
了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值- W7 o; k- b- X4 k# I# u
得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。 & e7 a! x* s: K) a/ G
# |; C6 I: {: p# u5 r
这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰% F5 x# q* G, s! \3 D) g- J
恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接
' m$ F6 _& {% t5 ?口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的# f" d0 N8 ~8 b' E; }( Y
信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地
2 |( b. Y+ j/ L* D* h/ H址缺乏识别和验证的机制。
) S$ v* ~! C: S/ U
( Y) ^$ u/ w+ f+ F- x ^ 通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出7 d0 }/ v, c: G* J
请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初+ ]% M4 K" A" F9 j. i
始序列号ISN。 / U/ Z8 M/ b- u8 L7 V
2 @0 w* Q4 @0 P
具体分三个步骤:
- s5 s I4 b! U# h) y% R. x+ C# N4 G' @6 B; g8 B
1.主机A产生它的ISN,传送给主机B,请求建立连接;
) N1 y7 V1 U0 d, x1 a0 b- U* s H
! |) f6 V1 _% @' h0 a F% m7 ]' y 2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息
0 i' r% D: H; JACK一同返回给A;
& [$ r C% S: Q& ~. Y2 V& I Y/ R$ E6 k4 h& o* G; Z! P
3. A再将B传送来的ISN及应答信息ACK返回给B。 ; c$ y3 }# j( J" t* Z/ @
: U1 ]; y* ^6 M+ X5 o# I2 g
至此,正常情况,主机A与B的TCP连接就建立起来了。
- {# _; O4 ?. {3 X, r- j3 L; _3 ^" [9 X p
IP地址欺骗攻击的第一步是切断可信赖主机。
: D- d3 v" u+ W+ l% n$ Q& P; B( d2 R
3 f' F L3 ^! h! P/ [( X 这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾
6 t, x0 ^$ v: [7 q# y不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只
% J1 q* a% [( l8 a" X4 n! c0 P* [能发出无法建立连接的RST包而无暇顾及其他。 9 h2 }1 W3 G' [4 L" b' p
; {1 p! m7 Z9 A6 Q6 u$ e5 |6 Z 攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),
" k5 m; ^. O0 t& Y) N通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连
0 H% g8 d# L0 U0 A" R' G接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和
& g( t; f( I# |7 Z( V" p5 v& \确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目; d, }: R% Y" _+ x
标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从
+ O' ?5 n D& ~2 A4 E4 M/ ]# V# X1 o而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击$ B2 R3 q$ k9 m* N
产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。 / G5 Q& ^ E* a: p! d, _- z
) L$ S) o9 {1 D- i
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主0 Q- Z; J1 e8 \# r0 J; F
机。
0 d d8 J1 k" n: U5 o5 r* g7 Y+ G# ~& r+ q1 W* `
随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过& X" E9 {" i! k4 r9 x/ T2 _4 \" G
这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果3 }" |2 I/ ^& c3 \' X. }4 j
反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网
" C5 n* c1 e) `& |' C! s; M d络。
d7 d7 K( j5 ]6 R: |# w# z3 M6 @; d+ K0 B) K( M9 e, s
归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;/ C; m. t6 N% t+ e4 {/ K
不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许
( c( m6 |) m) m, A: t' LRlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允" r* m+ E. C. ?+ T- M$ n; v( T
许Win95/NT文件共享;Open端口。
+ A! A: K6 r( w4 o. m F! {
' S1 j# R) N' R, p# ]" }6 X b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防- ]- Z% R$ C4 m8 N8 j) N$ q
火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的
9 O3 z: G& N* f$ t2 T3 S: n职能,处于失效状态。
5 d" K+ J$ } }; J0 t3 U
9 t& Q4 r8 S% h C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,
]$ \: M1 W; t/ A随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件
! \$ G5 m, P/ o或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期7 ]9 [8 d* x$ s3 u ]+ n9 T' B
望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,
% A+ f$ O* h- Y$ [6 M5 [因此不仅涉及网络安全,还涉及主机安全问题。
2 l9 ~/ G$ E0 U J) y
! q% X5 D' O/ o m8 p4 O% h8 R 以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,
/ e0 Z0 G7 ]2 V4 R( h! D它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则
! P, b) C3 D% E! ]; g无能为力。从技术来讲,绕过防火墙进入网络并非不可能。 . g3 i+ H, N0 v t; S) |2 h
( Y# |+ h9 a7 c5 F, E 目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存6 ~6 ]9 i; r3 m; k% ~8 M2 o9 u
在各种网络外部或网络内部攻击防火墙的技术手段。 3 Y; U$ t/ n5 k8 B7 ~* R `
3 I/ L# e) X4 j
三.防火墙的基本类型 7 l: C+ N* Y" C! s$ l
! }- f3 m. [# a: _$ p7 h* l& G 实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应
! q% v) j' }* Z" b3 F8 I ]用级网关、电路级网关和规则检查防火墙。
1 j$ v5 t I( |( _! j4 B5 ^ D! B- M' x0 o; P
1.网络级防火墙
0 e i# o! T2 C2 x( {
% c+ P m3 r$ @6 N+ l+ r 一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过
; w/ V5 O' }! t2 b4 G与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都% n! `' G, m* e6 S+ a+ F1 ?/ b* N
能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来
7 `. x/ E9 Y$ a) \$ F自何方,去向何处。 7 z* L p4 F% u
" C9 J }3 J: g7 t
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的
/ o0 {$ t' Z8 h4 g' d8 a连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定
+ K, z: W% `" h0 L- h4 Z义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直, f* _/ N3 v" ~, y- t
至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默: k& O, H4 |$ a7 C2 g
认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于
2 ^" ?& |' C! Q% c0 }TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如8 |, L7 a; o% z Z
Telnet、FTP连接。 ( \7 d9 J* e% q+ D+ N
, b( C6 A- G$ o7 E 下面是某一网络级防火墙的访问控制规则: 5 u/ W+ k/ V2 h1 A# x0 d
1 Q7 }' [! ~2 N2 u, j1 G G (1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1;
/ P( M7 a9 q5 Q4 T, z+ }6 R
' w1 b; u5 f p9 V5 @: k (2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主
, f# `/ T; O { ^% U机150.0.
^: V+ u2 k6 Y4 A/ ~7 _/ ?) V+ l" t8 Y8 w0 K
0.2上; ; N: @! m2 ?8 v. R' S( _7 l Q
" @. r% ~2 i: W3 P* A
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3; ( _* F8 b* @/ `1 j& n& }" g! m
/ D; _ h6 s4 U+ |
(4)允许任何WWW数据(80口)通过; 9 Z' X" m& K" A$ o0 Q& ~2 T
N1 n' m i* i. ~/ N A0 k
(5)不允许其他数据包进入。 - I. T7 d( h4 X3 p9 M
, j1 t- Z( ~6 N0 B1 E
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护/ ~* q4 e0 R5 M7 q% f, i
很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
- `. N8 t* Y( a% ^$ _
' o5 D5 g" Q' B5 X 2.应用级网关 2 K w4 I$ M) e4 c& l: y3 N% }
* h0 c: i5 O7 Z' p
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任" _- e, t. p9 G* X2 S
服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层0 x1 q/ E1 g0 [% x' G7 p" J' D1 n
上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议( k! | N' z/ q
需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
$ t2 b4 H3 |& s. j. A
' m9 w$ v# T( \ w 常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、 2 @+ |* T( m+ f' P2 G5 W* m, g
FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的' B( i: M1 C7 r& k5 e2 c
代理服务,它们将通过网络级防火墙和一般的代理服务。 2 p: L# f5 J" Z5 w1 b: l
6 x% s- A5 C' z k4 r+ k" r 应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,) ]! E% J: x, P( M+ s& D' Y4 b& V
而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过: u1 z, Q; ^6 R0 U: D4 b
防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录2 b% Q$ E: L3 Z: D
(Login) 才能访问Internet或Intranet。
2 b6 J/ E. }5 f6 ~/ `4 ^
! _$ W g- e5 }9 d' h 3.电路级网关 . @! B1 U& t6 @+ J
& w8 f" l7 s/ `" @9 S" p 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手9 P( q' z3 g ~# }$ L# I2 M
信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层
X+ U+ P1 W6 |& y上来过滤数据包,这样比包过滤防火墙要高二层。 4 L. L S ? v% P+ L0 D! x
0 R" p( t# z+ b 实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结. T2 D0 F) E+ u! ?" p1 n
合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;3 j- S) S- `5 P
DEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安# b2 _+ {8 U/ i w; o8 u
全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一1 r$ }- A4 ?, _" E+ Q
个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP
( e% S2 U% |! B6 T, j地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,6 N1 b6 M$ c7 y# {: o" H1 [
因为该网关是在会话层工作的,它就无法检查应用层级的数据包。
( k( R, e* h6 R) e: q7 b: A, z" L( J6 D
4.规则检查防火墙 ' R+ D3 \: g7 T' x6 f8 c4 j, x
! H {/ y1 X/ j/ r) q 该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过8 U. |% g5 T& {! d! P: g
滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤
8 A9 P( W5 \# V; c- A) l# ~进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否& e! H: T7 d) M7 D. N3 k$ O. \* i3 A
逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内
% e, V8 C0 @+ s. f* O容,查看这些内容是否能符合公司网络的安全规则。
. c1 x1 g0 R3 U2 q# D E& x2 S0 s7 J6 o2 e5 X( l2 s" ?+ @! O
规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,
- ]; r3 P4 g6 g( Q1 x它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和+ b6 M6 ?6 E. Y# ]
不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而4 \6 q J+ I3 C0 y+ O, W1 {' w2 V) w
是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式
! m3 a* W, R! a$ C3 U ?来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。 4 L$ W: {2 l6 g$ R
% b6 o s3 h# m6 U+ N 目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用
+ I: M6 D0 e! H+ D' f户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每3 m' W9 [4 A+ ] P( r5 u
个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一
% h# S# A' q. E' wOnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1 P( G0 P8 B% h* }
防火墙都是一种规则 检查防火墙。
) m$ a$ S! H0 X# x# L! n) m$ T9 l. ^
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就$ D# K, n, j6 q) _1 O
是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的
. D u$ P8 b Z# v6 R l功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽$ H/ F; }" }* [
查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数
7 M& s1 y" c8 ^) e9 Y g+ V据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡