Internet的發展給政府結構、企事業單位帶來了革命性的改革和開放。他們正努力通過利用Internet來提高辦事效率和市場反應速度,以便更具競爭力。通過Internet,企業可以從異地取回重要數據,同時又要面對Internet開放帶來的數據安全的新挑戰和新危險:即客戶、銷售商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業的機密信息不受黑客和工業間諜的入侵。因此企業必須加筑安全的"戰壕",而這個"戰壕"就是防火墻。 防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為最甚。
1.什么是防火墻?
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。 在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。
2.防火墻能做什么?
(1)防火墻是網絡安全的屏障:
一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。
(2)防火墻可以強化網絡安全策略:
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟。例如在網絡訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火墻一身上。
(3)對網絡存取和訪問進行監控審計:
如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。另外,收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。
(4)防止內部信息的外泄:
通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隱私是內部網絡非常關心的問題,一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息,這樣一臺主機的域名和IP地址就不會被外界所了解。
除了安全作用,防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
3.防火墻的種類
防火墻技術可根據防范的方式和側重點的不同而分為很多種類型,但總體來講可分為二大類:分組過濾、應用代理。
分組過濾(Packet filtering):作用在網絡層和傳輸層,它根據分組包頭源地址,目的地址和端口號、協議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端,其余數據包則被從數據流中丟棄。
應用代理(Application Proxy):也叫應用網關(Application Gateway),它作用在應用層,其特點是完全"阻隔"了網絡通信流,通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用。實際中的應用網關通常由專用工作站實現。
4.分組過濾型防火墻
分組過濾或包過濾,是一種通用、廉價、有效的安全手段。之所以通用,因為它不針對各個具體的網絡服務采取特殊的處理方式;之所以廉價,因為大多數路由器都提供分組過濾功能;之所以有效,因為它能很大程度地滿足企業的安全要求。
包過濾在網絡層和傳輸層起作用。它根據分組包的源、宿地址,端口號及協議類型、標志確定是否允許分組包通過。所根據的信息來源于IP、TCP或UDP包頭。包過濾的優點是不用改動客戶機和主機上的應用程序,因為它工作在網絡層和傳輸層,與應用層無關。但其弱點也是明顯的:據以過濾判別的只有網絡層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,性能會受到很大地影響;由于缺少上下文關聯信息,不能有效地過濾如UDP、RPC一類的協議;另外,大多數過濾器中缺少審計和報警機制,且管理方式和用戶界面較差;對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此,過濾器通常是和應用網關配合使用,共同組成防火墻系統。
5.應用代理型防火墻
應用代理型防火墻是內部網與外部網的隔離點,起著監視和隔絕應用層通信流的作用。同時也常結合入過濾器的功能。它工作在OSI模型的最高層,掌握著應用系統中可用作安全決策的全部信息。
6.復合型防火墻
由于對更高安全性的要求,常把基于包過濾的方法與基于應用代理的方法結合起來,形成復合型防火墻產品。這種結合通常是以下兩種方案。 屏蔽主機防火墻體系結構:在該結構中,分組過濾路由器或防火墻與Internet相連,同時一個堡壘機安裝在內部網絡,通過在分組過濾路由器或防火墻上過濾規則的設置,使堡壘機成為Internet上其它節點所能到達的唯一節點,這確保了內部網絡不受未授權外部用戶的攻擊。 屏蔽子網防火墻體系結構:堡壘機放在一個子網內,形成非軍事化區,兩個分組過濾路由器放在這一子網的兩端,使這一子網與Internet及內部網絡分離。在屏蔽子網防火墻體系結構中,堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎。
7.防火墻操作系統
防火墻應該建立在安全的操作系統之上,而安全的操作系統來自于對專用操作系統的安全加固和改造,從現有的諸多產品看,對安全操作系統內核的固化與改造主要從以下幾方面進行:取消危險的系統調用;限制命令的執行權限;取消IP的轉發功能;檢查每個分組的接口;采用隨機連接序號;駐留分組過濾模塊;取消動態路由功能;采用多個安全內
核,等等。
8.NAT技術
NAT技術能透明地對所有內部地址作轉換,使外部網絡無法了解內部網絡的內部結構,同時使用NAT的網絡,與外部網絡的連接只能由內部網絡發起,極大地提高了內部網絡的安全性。 NAT的另一個顯而易見的用途是解決IP地址匱乏問題。
9.防火墻的抗攻擊能力
作為一種安全防護設備,防火墻在網絡中自然是眾多攻擊者的目標,故抗攻擊能力也是防火墻的必備功能。
10.防火墻的局限性
存在著一些防火墻不能防范的安全威脅,如防火墻不能防范不經過防火墻的攻擊。例如,如果允許從受保護的網絡內部向外撥號,一些用戶就可能形成與Internet的直接連接。另外,防火墻很難防范來自于網絡內部的攻擊以及病毒的威脅。
