|
|
一. 防火墙是什么?
* F6 d/ T ^" B7 a6 v# G5 A/ S; n( x! V
- a' N5 P% X: }. G# a3 b& f- [ 所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方( Z( U6 l' A. g4 }
法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制9 M i' ~/ K, i
尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人7 ?6 u$ q0 w; a& _$ @ R
和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更
' F+ A' L% T4 f6 v- _% o' w$ g改、拷贝、毁坏你的重要信息。 ; H. Y, T2 C7 P' M6 S( M
- m4 L+ t# _( W) B& y
二.防火墙的安全技术分析
6 l- r/ P# a; O9 U& d" ?
& E' s) g2 E. Y3 h: p. P5 y/ r 防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火0 \( M/ ~$ s, Q9 x0 E
墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认
; y n- H2 x* V! K识。 ( n V4 _/ v: q" _# x) o& X
' {! V( X( R5 x. F- W7 t
1.正确选用、合理配置防火墙非常不容易
5 R9 \* _8 n+ y* P7 t1 x Q: u, U
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系
" h. q" B+ D1 C; m4 `统,配置有效的防火墙应遵循这样四个基本步骤:
* I3 O; \+ ]" N, _5 H) J! }3 D' C( A; R2 S( p
a. 风险分析;
) t% {( E. k) k7 e* x" d5 a: M7 ?+ O: Z9 t2 ~, O1 g9 x. Y
b. 需求分析;
. P- ?( K, y. B/ E/ b7 i! k# P, ]6 [( d2 o
c. 确立安全政策;
! o$ e/ Q8 P W3 O/ H( M1 u. I4 a/ A( w2 W. B3 f& r& O* ~% u$ H
d. 选择准确的防护手段,并使之与安全政策保持一致。
# y( b9 S A% y3 s9 j. _
, W7 `( W' n% L6 y" k0 J% k0 E. v 然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只; f# [4 C y! q) h7 G. ]8 ~9 ~. F
是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防
& p. S5 t/ x2 u火墙能否“防火”还是个问题。 3 K: e( b7 M4 `2 w
. N- E; ?+ e/ F$ g2 F2 L4 j. p
2.需要正确评估防火墙的失效状态
* q" I* {8 V6 y4 F J: ?+ k$ }. y2 z1 g8 v' p( N
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,
# g" @- d; R# j' U s7 ]/ h能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻
% D8 K0 m4 e+ @+ n/ O. s破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正
% O7 l/ Y5 y3 W% e! E6 ~常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数
& M/ l. j7 H! m5 f% b据通行;d.关闭并允许所有的数据通行。
9 ~1 G+ u9 f* D' j: j, }' ~( R1 |6 Y1 A" v0 Y8 z: W, d
前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进6 t( u Q ~( D1 \$ ^
行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐7 E! v7 q& N" O
患。3.防火墙必须进行动态维护 4 i& P6 T/ e- S( p. s- p
$ w1 j2 S9 ?8 _% q) z5 L! `( P$ p. ` 防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作 r9 {, n0 Z8 n% \
用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动
% U! o3 [/ D6 r( `态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,' t, S* P4 a9 @( J/ s8 I. }* Y
此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。 * A5 S: y: n+ Z! n2 l3 l
' h* G' D: ~$ P" ~
4.目前很难对防火墙进行测试验证
' g2 K: N, x- j
! v. p9 a4 d4 x T2 [ 防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚* ?( T$ x& P( B! I, a
至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较
! ]: B& u/ c* L' R! j0 W+ B大: " u3 A- ^8 [+ B1 j1 Z$ K0 s0 ^. ~# s
' b( B6 K" C; }1 Q7 s! ^
a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的8 U( Q$ `5 ~5 O$ p! w; X
工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试
; A! E! Y2 U9 z5 }8 S0 w的工具软件。 7 U. W# ~$ z }9 A+ y2 a4 G
( d2 ]$ D! ?- i5 @) F/ N. c
b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作2 C9 A3 D- E# a1 ~
难以达到既定的效果。 ; r$ w+ Z. Z$ |: P! t5 ~
6 R7 J7 \7 [& s W' G- H$ D- \
c.选择“谁”进行公正的测试也是一个问题。
( d8 _7 b7 w. o, Y f ], @0 ^* d: N+ \* I" k) w2 n9 R$ E
可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,2 Z3 W* B, K3 K* E+ j+ H
进而提出这样一个问题:不进行测试,何以证明防火墙安全?
( h6 z; ?4 h4 k( a1 E
- ^: G @$ }5 \1 `0 X3 A! w6 O0 w) J 5.非法攻击防火墙的基本“招数”
: ?7 S3 o5 u$ {& b/ X+ j
" c% F% }3 W# {' U a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到
1 m, a, P; K& W7 H' B/ D/ J了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值2 M# q3 k4 e/ ]# Q+ f
得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。
4 ]' l2 i* j: \ x$ d9 j
+ v: F: H% z8 F ` 这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰
/ h( F) s V" F; _' N恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接% }( S& S) M+ z1 E# g% w
口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的( Q8 \0 k) _( ]7 n, l7 k* A$ @
信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地3 J/ A7 c$ p' @: G( S0 H$ T6 @6 F
址缺乏识别和验证的机制。 0 y, A! x- Z/ p' m
. Z1 K! b" r; [( \+ \ v7 F0 V 通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出
! D* o# q0 b9 {9 M& Z9 P请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初
6 p* r$ [7 A# r% N0 `始序列号ISN。
! Z8 p3 O1 P3 ?2 P% T4 _. u' ?$ ^* U+ L/ a5 Y( v6 L; q) q
具体分三个步骤:
! Z0 g4 u- x; p! }2 V4 e9 c/ r" k; o D& L" u/ _- g- i
1.主机A产生它的ISN,传送给主机B,请求建立连接;
$ e& S# B& a `9 [* m3 c. c+ m: w2 m2 F+ {% A) F$ _
2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息
# o1 F1 }' Q8 v' {! R6 d, MACK一同返回给A;
0 O8 `/ u; t; ^" d- D+ A$ B. j
: V3 j' |% `& ?- i 3. A再将B传送来的ISN及应答信息ACK返回给B。 3 @ j* l! L, o- h0 B
@9 K! o& d) }5 x# t 至此,正常情况,主机A与B的TCP连接就建立起来了。
, a. _+ |5 N) ?+ ^" G5 N- H7 U; C2 [- ?3 R+ K; {& E. E( Z0 {
IP地址欺骗攻击的第一步是切断可信赖主机。 ! t: ~; P7 G$ R
& _3 @5 h8 Q6 Q; F 这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾
8 A" w2 `7 x# T( Q2 ~7 V' ]不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只
! E1 i: c9 O6 o% K& n! U0 g能发出无法建立连接的RST包而无暇顾及其他。
# i6 u) u: `3 p6 i. n) q3 t6 C' S4 x
攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),/ W8 c4 v& Y; `3 k/ V
通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连
" ~2 x/ a3 _( i, k接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和
" j9 ]) |0 G- c0 V确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目8 c, D7 d) E6 t
标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从2 N) n+ r+ ^( u8 |. C! a( U0 \
而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击
- U" \8 Y C: P( S0 O3 R产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。
) a1 M; v" V4 g: c" l0 S
1 F/ }, J; p& T 现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主# W/ x7 N, C, r2 X* D* u
机。 4 U o e: t1 O' A6 g. \8 j
! D' _3 Q( n: ^1 G, X
随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过7 s" w' a0 l6 U+ L; L' Z' k, w
这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果+ D) `. N/ G7 e3 p! D
反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网
- {) K' @! z- r+ @& l络。 * ~. a+ `7 w* v; I X. z
" h! P1 H6 p* J4 U7 y0 i! ? 归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;
, v$ F! ^( }: `5 g( T. G不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许* u: N t" h5 i
Rlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允" L- G! z0 w, \
许Win95/NT文件共享;Open端口。
4 u s+ L' Q* Z9 o) Y/ E: ~' c
$ F4 u. p. y K- V b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防
8 k" M5 c* j/ N$ \& G0 B3 h Z火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的. a* Q( `) v" f) z+ E" }9 E4 v
职能,处于失效状态。 # D# Q$ Y, t) X9 W* |" S$ w
A7 h5 M$ u/ U) v5 V
C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,
. G: M7 a7 L. G& U6 G随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件% \* f& M- w! k) L
或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期
. a }6 d' E7 z* m5 S望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,3 Q( W ~7 B# B5 y
因此不仅涉及网络安全,还涉及主机安全问题。
E8 @/ q* E6 I: }) ]5 d
& a1 `2 v* s% r( \3 e- ~/ i3 f 以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,
( ]2 R! f& S* V, A它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则
6 @& R% o2 s& ?) R( E* z4 N无能为力。从技术来讲,绕过防火墙进入网络并非不可能。 ' T4 Z# S- ]- f# U" P ~$ W
9 v& ?0 P8 z- Q5 E. {) m: u. A; B 目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存
) t. ?6 w8 u, a1 X8 L在各种网络外部或网络内部攻击防火墙的技术手段。
- B' h8 n" ~9 R, h+ V4 Z' I& m3 G+ s$ |
三.防火墙的基本类型 5 S# r+ b* |! k
) L$ k! q" B$ p( X0 h$ t- Z4 J- k* `9 } 实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应
$ {& H3 I9 f& ?用级网关、电路级网关和规则检查防火墙。 ; s6 R# n! d j8 B
9 `. w" F! d- P T/ h( Q
1.网络级防火墙
3 l/ N; L" F3 p% K" R v N
: x1 A+ @$ U5 v* c/ |# i" H 一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过
8 W! `$ S: x( Q; u; I与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都0 C2 M/ A4 f9 P; \/ `, W
能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来$ m, ]+ K' z/ u8 ]! X
自何方,去向何处。
7 o$ a1 w5 T+ c4 n; b# Q- T6 t) e h- B3 N. ]6 W4 O" J
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的. t }+ j- S- ~, _% h1 i
连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定
* U; T# Q5 a: {" R. c2 i7 P义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直
7 b3 z: f: r; q至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默
9 Z( U8 t* {3 f9 g2 z+ R认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于) }' O2 ^) w% V6 k* J
TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如- f: [6 f: a; x1 h0 ?
Telnet、FTP连接。 6 R8 j2 h, ~" W$ L* G0 _
/ P+ |3 a9 r( }8 g
下面是某一网络级防火墙的访问控制规则: , _6 C' O- e# h, {/ Z8 b
O, @# C7 o, d. r
(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1; 2 o+ j8 h# ]( E
$ Q5 @' l; q: z: @ (2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主: n D9 U+ ], O2 O1 `
机150.0. ' |+ A @- [* a7 [( Z
1 X% Q! i+ u e7 T! E2 y4 i+ {0 |
0.2上; 4 R/ L* b3 C& L( k( K( ~3 j1 ?7 j. B
4 O) r' t6 H: z* k$ x
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3; / r: g! @' F9 @2 C
5 i* T* Y! w8 R# k- T; ~ (4)允许任何WWW数据(80口)通过; , |* Q7 E; P4 B
7 k" ?: [ k0 c5 |. W2 t: p8 x
(5)不允许其他数据包进入。
+ p3 a8 b8 ~3 @3 k2 L! e) w. m. r' c- Z
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护1 D; ]% r* V4 y0 e) R3 @
很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。 ! E9 ]% e0 x; V2 F# Q% r/ q! G' d
( `/ o) i) R# R' u4 P4 T; D8 d
2.应用级网关 3 K, M. Q* L! I5 P- Y" f& M' o
7 o* Q9 i8 J, C 应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任% x3 c7 f. d% e( n" X
服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层4 t9 L# d( V c+ G$ b
上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议7 m1 ~+ a6 |. b+ N
需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。 # ^9 O& p' N' B5 \- Z
9 `( q4 k, F* ~( \, G9 B% i0 O( Q* } 常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、
! E1 ?; v$ L& Q3 }- q( q3 ?6 `FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的7 n/ N3 p. h c+ E$ ]
代理服务,它们将通过网络级防火墙和一般的代理服务。
/ M- d4 s% c$ }' ?9 B, @. t% C. V/ }" | b
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,
8 f$ ^4 l) Z3 N9 o而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过
* R# }. @7 U5 h _3 O7 K防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录3 k2 k! R7 d: w9 m, J, L
(Login) 才能访问Internet或Intranet。 7 d- Z/ a3 `# ]3 n
1 L7 J8 J" N: K( a9 t) D 3.电路级网关 * u! m7 i* M1 g9 Z& [
/ t/ v: e" X( b! ], [! h
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手
) ^* j9 ^# V) H r) x9 T. T9 B- y信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层
; N' E7 w# B9 `: v上来过滤数据包,这样比包过滤防火墙要高二层。 ( s+ Q' G9 v* Y
" P. \5 w8 X# ^# H) e& [: S 实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结0 J! T T3 U. k& f+ `4 R7 M) ?- m
合在一 起, 如TrustInformationSystems公司的GauntletInternetFirewall;- O, M* c, Y( `! f% }) M* Y0 J5 W
DEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安
9 N4 c, ^ \* s8 A全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一
8 p4 M( {) ?! s; v b7 z6 [个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP9 z6 I( b8 x# Z' Z6 \, i8 b
地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,5 r/ ?9 B b4 D2 R, n2 O
因为该网关是在会话层工作的,它就无法检查应用层级的数据包。 ! O+ p( r, p2 Y+ i: `$ z
, h8 E2 \1 w1 R 4.规则检查防火墙 : ]4 Y+ W8 M, T
" g f6 D$ y/ [ 该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过
0 ]# Y9 V0 B# ]" e( x9 i滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤2 N2 N* t* P9 M4 ?, o1 H* Q2 @4 _
进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否- E" |' ~7 Z, D# e2 L- \0 s5 @. D
逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内9 @4 }" S1 \; d' w+ Y
容,查看这些内容是否能符合公司网络的安全规则。
. x5 m: v# U/ C @, H- f& z& [5 G& W
规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,
9 ?) L' V8 c! P. C7 K5 q它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和
* q5 u8 K2 `8 I6 Z# r, t! P! ~1 ^不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而2 f6 Q3 w9 W5 p$ f% b
是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式# p0 F) ~. F& L. j) h( e& n
来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
: \, u7 `1 }& B3 x6 f
1 i- G! l. K O1 K1 s4 D 目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用& p1 w \' {4 \3 m _+ U
户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每6 H. W" L% F. S$ L5 [* H
个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一0 i4 Q9 L3 V+ G) i/ M
OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-19 {7 _9 I) v1 Y) `* G
防火墙都是一种规则 检查防火墙。 # l m- Y. y2 f7 A8 {* I' D' L4 I; y
i% p/ S' Z0 j
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就7 N$ H( I/ I% t# |& K
是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的
$ k; i2 D0 R& l功能上则向“ 透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽
% E! d H8 r8 ?7 T3 D; ]! o( \( \查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数( [0 v5 U0 _/ p
据。 |
|
狗仔卡
发表于 2008-12-10 15:47:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡