|
|
一. 防火墙是什么?
0 [* ]! b4 T: \. N+ M' c5 n! n i; i v: k' }0 D4 f8 [+ g- Y$ L
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方
6 E. D3 L; _ F t法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制
% E6 i% r2 c! A6 y F尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人
5 Q9 \; b/ B# U n! |( T- U和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更. T- W8 I$ S& R$ @" W
改、拷贝、毁坏你的重要信息。 ; E5 e N5 H4 ` M: j) h
5 w5 Y# a7 a: d' \) T: V
二.防火墙的安全技术分析
4 t' e8 P' W6 n- U3 t" \! Q' H4 S- p, x* b. z
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火5 D/ R+ z, Q P9 u# L* q; k$ H
墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认
C$ d$ q! a# \3 f识。
3 e- @' B; J6 c d3 o7 H6 ` e6 c7 B2 `) q3 s, S
1.正确选用、合理配置防火墙非常不容易
/ Y- s" h, s' O" k" a; O3 Z! p% X% Y8 i' T: R% W
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系5 ]: X. ?6 Z. Y0 t/ O/ z) v" ^5 J
统,配置有效的防火墙应遵循这样四个基本步骤: ; n2 r* P: }. g( D
& I$ @- Z) I6 j: D9 |; p1 i( A
a. 风险分析; 8 a' ~4 Y$ B- V6 Y: C" Z; O* F, \1 Y
. K. R: u/ o8 m b. 需求分析; $ O: h0 X* U2 j5 G! }2 ^5 ^
' y3 W5 O$ C7 C9 x/ H c. 确立安全政策; # }; v' z8 W0 H, H- b
' n0 @' B8 e, O {: R+ L) X d. 选择准确的防护手段,并使之与安全政策保持一致。 5 g8 I5 {+ ]; Y% Q
N7 e2 z' }& t" W# f) [+ G4 A* |1 ]7 G 然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只, q+ @) @! j! b9 x
是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防
: w& j9 q( \, Y6 z) d火墙能否“防火”还是个问题。 ; w) O; X! s4 K3 [
. ^/ _& n0 }3 z ~# b
2.需要正确评估防火墙的失效状态 S! n6 \ L9 t" C' m- V
. A0 [! a+ E) L0 j4 q
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,, E0 S. i B" d: a v
能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻
0 J) z" z9 ]" c( _7 O* Y4 D破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正
4 F, K$ K# E/ ? T# X$ b常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数9 o! E( X7 b' t: Y9 [: Q
据通行;d.关闭并允许所有的数据通行。
& A5 U( X4 G& L. ~" e5 |; g o$ m5 R$ |3 h
前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进
# D7 @$ G; ~4 E" Z& t# w行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐
" b# t' R1 Q1 h8 ~. E% K! k" ]患。3.防火墙必须进行动态维护
1 ^9 p6 R' w# F8 N2 H. d- n# i/ p( u3 l6 l- q! j
防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作5 N9 |( y* x+ w5 k
用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动9 _ i; v% m1 u
态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,& K. n; H) \4 R* ]
此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
' i# p- s ^: \- e! o! [/ a; C; j. f D# {
4.目前很难对防火墙进行测试验证
& d: v' T3 O; d ~/ U& u D E' Y. H" L7 ^* Z" i
防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚
* g: c, j0 L! q6 L至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较. P$ p& Y( ~! y3 z2 b" ]3 u% F
大: 3 f) }! X [/ a5 a8 a
0 G& r' W0 I! K- K
a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的
- E) ^6 E+ t4 w0 c$ i# `8 S工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试! o5 b$ h2 ~# {+ v& o1 t
的工具软件。
/ @/ q3 D# I- Z3 l, c; |9 |0 E& u( w
' K" T2 ~' R1 _: P5 d b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作$ u) j$ ]2 s, \# e5 N
难以达到既定的效果。
9 C$ K! o! m) [# F9 N1 e) z- ^8 s9 k' \9 b. {. ~. V `
c.选择“谁”进行公正的测试也是一个问题。 0 g4 ]# D" O+ i0 r& a8 e0 p
; P8 n: o3 `+ e# W! I, f 可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,
- u, |% Z/ H* K$ {& g进而提出这样一个问题:不进行测试,何以证明防火墙安全? # [: s5 b- `% d
& p$ U: o! y, D- ]- G2 y" m9 G' R 5.非法攻击防火墙的基本“招数” : J# C" U: c5 c/ D q
8 ^; i; b" `! M, f. L9 e a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到/ e! c( d, M. C3 t$ B4 z& [* k& H3 h( ~
了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值% F( Q2 O; K+ {% H0 ~6 s
得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。 ) k9 z& c. z" B
5 m8 A! t2 k$ H \, R 这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰
7 t1 c/ [0 f- g6 [: v恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接
2 b4 E' d `, ?) ^口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的7 l( z+ ~2 d# }+ X
信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地4 s% Y0 ~) w5 B$ ^( Z* Z; N
址缺乏识别和验证的机制。
$ y& h9 C; P) O- }7 W0 [6 V% r- d; Z; ^5 i6 \8 B6 g# i6 P
通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出
n8 `* j1 v. x# u$ }请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初
/ |( \# F8 H4 k% G始序列号ISN。
' N" e+ c5 U( M) a3 I4 m/ N( w8 n6 J2 P" ^( w. |4 {6 a0 O
具体分三个步骤: / P$ A1 U @" `9 E
( E/ D. U7 h# c3 v$ t0 T6 i 1.主机A产生它的ISN,传送给主机B,请求建立连接; ) S* o; q$ D4 h, h& _ `6 b
7 @ u- b b% S, X3 T
2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息8 ^9 B8 Q$ i& @. k
ACK一同返回给A;
: ?. _( l, E# Y' u. v. }* j. c( }
) j& G6 K' d' J. H; c 3. A再将B传送来的ISN及应答信息ACK返回给B。 + s+ o e: `& e2 ^
/ k3 ~& @9 ?$ L- _" [1 i: {: V1 o 至此,正常情况,主机A与B的TCP连接就建立起来了。 ' l* c4 _( F# V
! H. h: k- T/ ~3 m8 |
IP地址欺骗攻击的第一步是切断可信赖主机。
! [8 \% p5 x7 n
: J' u% C, Y, A J, P0 l1 c$ w- P7 z 这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾
. G* I& q% i, G' e+ g V |2 R不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只
7 k5 n0 [5 S3 E+ T. Z x4 T# c能发出无法建立连接的RST包而无暇顾及其他。
+ x: f/ U. o- s$ w. x3 |
# B# {' @) a* t# L+ L. H4 ]# W 攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),
, [9 ^) h: n; F3 k: k" x通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连& y6 G/ C; Q) W% w
接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和
1 |+ z% N0 [% K2 E确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目
. U( o9 J; v( k5 V [8 ~标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从% h% g3 M/ {3 k% `3 ?) q
而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击
7 ?% g. K o+ H/ u产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。
1 S9 ?8 b" k; t' o+ F9 F; ~$ v" @; P/ M0 D3 n
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主
?6 _7 b4 {7 z, W q机。 1 `, _7 Y$ M7 l% l
: t% ?' h, o' M$ `& j5 h4 o" a 随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过# G: ?% X* M% a! u7 T6 W
这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果
' l0 j4 o; @8 ?6 _( A E反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网
% r. \8 d5 _1 [; ^8 u络。
% h7 c. }+ Q! u% {$ {) O$ J# [
9 H, o# R% M+ F; D# j- n 归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;
- O X. b) k" H+ P' @8 ]. ^不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许
9 |* O% O- j7 a1 d& iRlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允2 Z' ?8 }5 d! v' ]) v$ R
许Win95/NT文件共享;Open端口。 + q4 J& s" e1 p
/ m; p2 L. ]& ` T
b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防
! g6 q" N/ l9 \3 K& r# h+ Z% {/ \# V+ F火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的( Z1 Y: ?2 V4 f Q
职能,处于失效状态。 4 j: [$ n' j2 @( a; B6 b
" G% Z4 j& h7 f Y! N. E: \
C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,( r5 [& F8 B( n* ] J. ?' s+ d
随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件0 T, e( P: x7 ~, v6 G
或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期# V0 o& Y& f L+ S8 y1 J
望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,
. v$ l0 L. L4 {6 Q& @+ ~因此不仅涉及网络安全,还涉及主机安全问题。
, X$ J* y! s w/ b. B H( p/ O) E9 o8 D& m& {- j& W
以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,4 L! y( d7 J! r5 d& m6 f: e
它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则% i4 H9 @6 `6 n
无能为力。从技术来讲,绕过防火墙进入网络并非不可能。
- K$ q# t! Y# G8 e2 Y" @7 \7 F1 h: l8 V5 ]* F
目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存
* O0 ]4 G E/ O J; V* h: S h在各种网络外部或网络内部攻击防火墙的技术手段。
2 p. ^) y: ~- y* F$ L
8 e9 a; [5 e5 E 三.防火墙的基本类型 ) r- v; e3 B5 R
& C9 u# w0 Z. W 实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应. g9 Q1 O M/ j
用级网关、电路级网关和规则检查防火墙。
$ o7 m$ _( R: Q% P. \
4 G6 Y$ {8 s$ a& z6 O 1.网络级防火墙
$ y3 W. ]9 t2 k/ b7 [
1 g% t& K, P! ^% K. U- l1 | 一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过9 d! d r; J$ H- @7 p3 B
与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都8 s7 n5 T$ ?9 f( `& U
能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来
: b1 q% M% B! t# W8 S5 ~自何方,去向何处。
' U% Y+ ~" m9 n# C: [* S8 R; J5 L+ H- R' j( p' i* \1 x {+ S! `
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的0 y$ M* z; _- l, p
连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定; s5 ~$ a) M' W' E& X
义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直
( J8 X. c$ d# g3 C& q- ?7 x至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默
* r2 N5 p- L: y认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于
. |9 I2 F; C0 x' k8 F& u- a5 s- C, FTCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如/ r" \) `, u' E+ {: }
Telnet、FTP连接。 ( M0 C. a9 z6 b. H
" p: V7 W1 @2 O4 c
下面是某一网络级防火墙的访问控制规则: ! h% j3 K4 f( x$ T
, |" D7 Z! t7 s5 ^* d$ _6 a% j
(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1;
+ T, _7 Q& i0 L/ g/ j5 g) E$ a* [0 G k: L
(2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主
( Q5 n- F% S8 m0 Z% c9 Q f# ~3 |: |! F机150.0. , w6 U+ Y; [: F0 W% m4 P) J
% y7 `) w3 x: v: B+ G1 B
0.2上; 1 d9 M/ k! k1 @9 q
- z3 H) X" n% |! h. d( D8 |: M( U (3)允许任何地址的E-mail(25口)进入主机150.0.0.3;
& @$ z/ m K* r7 C
/ d* Y' N& |, s. O) b: }" } (4)允许任何WWW数据(80口)通过; % S, J l/ X" Y/ g9 Z- b
' w! \# C) [- t, w& @! s
(5)不允许其他数据包进入。
. }$ a. _0 U3 K# G8 T! e1 V6 C$ y1 F. @3 s0 }
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护
u: C% q: q0 u很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。 7 R5 |/ b6 E1 m- E' b
" U/ y4 l6 ^* g/ e3 x 2.应用级网关 8 F) @* Y/ ~+ p
% K1 T) }( X, b: {7 ^ 应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任
) z: }% a: f0 M: \服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层% R+ G# [# o0 y9 t M& r
上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议' r$ X" o; q/ n% s) }6 p7 }
需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
S) |4 y3 a' [5 {& V8 X9 I6 Z) y/ o1 I, C+ L3 W
常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、 ( |5 A4 |) v' k* H R
FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的
`2 e* h+ @8 j' ?代理服务,它们将通过网络级防火墙和一般的代理服务。 T* H4 R9 N1 _. K/ j
3 {: v5 J- U: P3 ^ 应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,0 U, q. y" p1 g$ |) V7 j$ v
而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过: T! | x) |8 x1 k! |0 @* V3 g
防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录2 b W' w, `5 [# g0 W2 i: p
(Login) 才能访问Internet或Intranet。
, z' Y" M' R8 N1 W
8 }4 m6 r1 n# x' I, w% h Q+ p 3.电路级网关
: F+ C& {) K' M' d, z: H- x' J' o' b8 C2 t! {, m5 G
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手9 B! C$ c" \; b, |) l9 x* d
信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层8 H a" O2 M! L8 H" I0 H, P+ T' R+ w
上来过滤数据包,这样比包过滤防火墙要高二层。 ' M/ Y& h' k0 D5 {( ]+ w
# c+ E# E) S$ p7 G3 W! d) J 实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结' {+ |9 m( u6 L/ S# ~1 M, W
合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;
; H$ }5 g3 \0 O2 K/ p1 DDEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安9 x) o# a: m1 S/ F. v
全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一
4 |3 k/ _3 ^ z4 T! t. Z9 ^4 s个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP
* D u) T% `3 d: O9 s5 c地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,
/ G: |$ V% T0 ?9 G4 T' }因为该网关是在会话层工作的,它就无法检查应用层级的数据包。 4 `* L$ s4 k, k" s9 n
" `8 u( g! M) H1 ]6 J; X
4.规则检查防火墙
. n- R* r# h6 `1 q+ @- i0 p* ]9 w J
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过* U& O1 a y S. k g
滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤
+ K( F& i2 U: ]) F- b# \进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否
. K k3 C6 v- ?逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内
$ L; m" L0 t j/ z9 X/ |+ T8 E1 q容,查看这些内容是否能符合公司网络的安全规则。
" j# ?' K s- e4 e6 D( L& j
8 Q% h9 q- W! h 规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,
1 s3 F6 ^! g4 [' ]它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和
% [+ T8 Z$ W$ f% Z4 L; a不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而
; h% H% o* K1 Y( `8 e是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式9 a5 }. w+ t1 m, {8 \2 e
来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
5 A. t' }6 t3 q
+ {& M& t6 \0 a 目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用
; [% F6 P6 {4 `户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每8 U/ S) \* Z2 e9 L. B
个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一 O$ O0 T$ ^% }) o5 j1 ^0 s
OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1
8 T- g7 ~- |1 |防火墙都是一种规则 检查防火墙。 3 e+ s- H3 y, `7 D" R1 d
0 w4 F! h# t' Q 从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就( ?% y' [ Q4 k4 [ I! L- z0 r1 W
是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的! K, E1 [- G o' I2 u3 \# y; e
功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽
. Q" m; ?# \: A4 x查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数
+ M/ R% T4 ^& D# J: ^* f据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡