Internet的發(fā)展給政府結(jié)構(gòu)、企事業(yè)單位帶來(lái)了革命性的改革和開(kāi)放。他們正努力通過(guò)利用Internet來(lái)提高辦事效率和市場(chǎng)反應(yīng)速度,以便更具競(jìng)爭(zhēng)力。通過(guò)Internet,企業(yè)可以從異地取回重要數(shù)據(jù),同時(shí)又要面對(duì)Internet開(kāi)放帶來(lái)的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn):即客戶、銷售商、移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問(wèn);以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此企業(yè)必須加筑安全的"戰(zhàn)壕",而這個(gè)"戰(zhàn)壕"就是防火墻。 防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來(lái)越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中,尤其以接入Internet網(wǎng)絡(luò)為最甚。
1.什么是防火墻?
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。
2.防火墻能做什么?
(1)防火墻是網(wǎng)絡(luò)安全的屏障:
一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò),這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。
(2)防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略:
通過(guò)以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比,防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí),一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上,而集中在防火墻一身上。
(3)對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì):
如果所有的訪問(wèn)都經(jīng)過(guò)防火墻,那么,防火墻就能記錄下這些訪問(wèn)并作出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外,收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊,并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。
(4)防止內(nèi)部信息的外泄:
通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者,隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題,一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger,DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名,最后登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度,這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng),這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息,這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。
除了安全作用,防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過(guò)VPN,將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)S米泳W(wǎng),有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路,而且為信息共享提供了技術(shù)保障。
3.防火墻的種類
防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型,但總體來(lái)講可分為二大類:分組過(guò)濾、應(yīng)用代理。
分組過(guò)濾(Packet filtering):作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。
應(yīng)用代理(Application Proxy):也叫應(yīng)用網(wǎng)關(guān)(Application Gateway),它作用在應(yīng)用層,其特點(diǎn)是完全"阻隔"了網(wǎng)絡(luò)通信流,通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。
4.分組過(guò)濾型防火墻
分組過(guò)濾或包過(guò)濾,是一種通用、廉價(jià)、有效的安全手段。之所以通用,因?yàn)樗会槍?duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式;之所以廉價(jià),因?yàn)榇蠖鄶?shù)路由器都提供分組過(guò)濾功能;之所以有效,因?yàn)樗芎艽蟪潭鹊貪M足企業(yè)的安全要求。
包過(guò)濾在網(wǎng)絡(luò)層和傳輸層起作用。它根據(jù)分組包的源、宿地址,端口號(hào)及協(xié)議類型、標(biāo)志確定是否允許分組包通過(guò)。所根據(jù)的信息來(lái)源于IP、TCP或UDP包頭。包過(guò)濾的優(yōu)點(diǎn)是不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序,因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層,與應(yīng)用層無(wú)關(guān)。但其弱點(diǎn)也是明顯的:據(jù)以過(guò)濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過(guò)濾器中,過(guò)濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加,性能會(huì)受到很大地影響;由于缺少上下文關(guān)聯(lián)信息,不能有效地過(guò)濾如UDP、RPC一類的協(xié)議;另外,大多數(shù)過(guò)濾器中缺少審計(jì)和報(bào)警機(jī)制,且管理方式和用戶界面較差;對(duì)安全管理人員素質(zhì)要求高,建立安全規(guī)則時(shí),必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此,過(guò)濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用,共同組成防火墻系統(tǒng)。
5.應(yīng)用代理型防火墻
應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn),起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí)也常結(jié)合入過(guò)濾器的功能。它工作在OSI模型的最高層,掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。
6.復(fù)合型防火墻
由于對(duì)更高安全性的要求,常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái),形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。 屏蔽主機(jī)防火墻體系結(jié)構(gòu):在該結(jié)構(gòu)中,分組過(guò)濾路由器或防火墻與Internet相連,同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò),通過(guò)在分組過(guò)濾路由器或防火墻上過(guò)濾規(guī)則的設(shè)置,使堡壘機(jī)成為Internet上其它節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn),這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。 屏蔽子網(wǎng)防火墻體系結(jié)構(gòu):堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi),形成非軍事化區(qū),兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端,使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中,堡壘主機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。
7.防火墻操作系統(tǒng)
防火墻應(yīng)該建立在安全的操作系統(tǒng)之上,而安全的操作系統(tǒng)來(lái)自于對(duì)專用操作系統(tǒng)的安全加固和改造,從現(xiàn)有的諸多產(chǎn)品看,對(duì)安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾方面進(jìn)行:取消危險(xiǎn)的系統(tǒng)調(diào)用;限制命令的執(zhí)行權(quán)限;取消IP的轉(zhuǎn)發(fā)功能;檢查每個(gè)分組的接口;采用隨機(jī)連接序號(hào);駐留分組過(guò)濾模塊;取消動(dòng)態(tài)路由功能;采用多個(gè)安全內(nèi)
核,等等。
8.NAT技術(shù)
NAT技術(shù)能透明地對(duì)所有內(nèi)部地址作轉(zhuǎn)換,使外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時(shí)使用NAT的網(wǎng)絡(luò),與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起,極大地提高了內(nèi)部網(wǎng)絡(luò)的安全性。 NAT的另一個(gè)顯而易見(jiàn)的用途是解決IP地址匱乏問(wèn)題。
9.防火墻的抗攻擊能力
作為一種安全防護(hù)設(shè)備,防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo),故抗攻擊能力也是防火墻的必備功能。
10.防火墻的局限性
存在著一些防火墻不能防范的安全威脅,如防火墻不能防范不經(jīng)過(guò)防火墻的攻擊。例如,如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號(hào),一些用戶就可能形成與Internet的直接連接。另外,防火墻很難防范來(lái)自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。
