| nternet的日益普及,互联网上的浏览访问,不仅使数据传输量增加,网 络被攻击的可能性增大,而且由于Internet的开放性,网络安全防护的方 式发生了根本变化,使得安全问题更为复杂。传统的网络强调统一而集中 的安全管理和控制,可采取加密、认证、访问控制、审计以及日志等多种 技术手段,且它们的实施可由通信双方共同完成;而由于Internet是一个 开放的全球网络,其网络结构错综复杂,因此安全防护方式截然不同。 Internet的安全技术涉及传统的网络安全技术和分布式网络安全技术,且 主要是用来解决如何利用Internet进行安全通信,同时保护内部网络免受 外部攻击。在此情形下,防火墙技术应运而生。 防火墙技术可根据防范 的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应 用级网关和代理服务器等几大类型。 1. 数据包过滤型防火墙 数据包过 滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据 是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口 号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。 数 据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明 性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可 少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费 用。 数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即 可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址 以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。 分组过滤 或包过滤,是一种通用、廉价、有效的安全手段。之所以通用,因为它不 针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数 路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业 的安全要求。 所根据的信息来源于IP、TCP或UDP包头。 包过滤的优点 是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层, 与应用层无关。但其弱点也是明显的:据以过滤判别的只有网络层和传输 层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过 滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影 响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议; 另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较 差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其 在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网 关配合使用,共同组成防火墙系统。 2. 应用级网关型防火墙 应用级网 关(Application Level Gateways)是在网络应用层上建立协议过滤和转 发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在 过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中 的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火 墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包 通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙 外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利 于实施非法访问和攻击。 3. 代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤 和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防 火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 \" 链 接 \",由两个终止代理服务器上的 \" 链接 \"来实现,外部计算机的 网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的 作用。 此外,代理服务也对过往的数据包进行分析、注册登记,形成报 告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕 迹。 应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应 用层通信流的作 用。同时也常结合入过滤器的功能。它工作在OSI模型的 最高层,掌握着应用系统中可用作安全决策的全部信息。 4. 复合型防火 墙 由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的 方法结合起来,形成复合型防火墙产品。这种结合通常是以下两种方 案。 屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙 与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由 器或防火墙上过滤规则的设置,使堡垒机成为Internet上其它节点所能到 达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。 屏蔽子 网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组 过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分 离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成 了整个防火墙的安全基础 防火墙介绍(2) 一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不 那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。 在使用防火墙的决定背后, 潜藏着这样的推理: 假如没有防火墙, 一个网 络就暴露在不那么安全的Internet诸协议和设施面前, 面临来自 Internet其他主机的探测和攻击的危险。在一个没有防火墙的环境里, 网络的安全性只能体现为每一个主机的功能, 在某种意义上, 所有主机必 须通力合作, 才能达到较高程度的安全性。网络越大, 这种较高程度的安 全性越难管理。随着安全性问题上的失误和缺陷越来越普遍, 对网络的入 侵不仅来自高超的攻击手段, 也有可能来自配置上的低级错误或不合适的 口令选择。因此, 防火墙的作用是防止不希望的、未授权的通信进出被保 护的网络, 迫使单位强化自己的网络安全政策。 一个防火墙系统通常由 屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器, 它 通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转 发。屏蔽路由器从包头取得信息, 例如协议号、收发报文的IP地址和端口 号, 连接标志以至另外一些IP选项, 对IP包进行过滤。 代理服务器是 防火墙系统中的一个服务器进程, 它能够代替网络用户完成特定的TCP/IP 功能。一个代理服务器本质上是一个应用层的网关, 一个为特定网络应用 而连接两个网络的网关。用户就一项TCP/IP应用, 比如Telnet或者ftp, 同代理服务器打交道, 代理服务器要求用户提供其要访问的远程主机名。 当用户答复并提供了正确的用户身份及认证信息后, 代理服务器连通远程 主机, 为两个通信点充当中继。整个过程可以对用户完全透明。用户提供 的用户身份及认证信息可用于用户级的认证。最简单的情况是: 它只由用 户标识和口令构成。但是, 如果防火墙是通过Internet可访问的, 我们 推荐使用更强的认证机制,比如一次性口令或挑战-回应式系统。 屏蔽路 由器的优点是简单和低(硬件)成本。其缺点关系到正确建立包过滤规则比 较困难、屏蔽路由器的管理成本、还有用户级身份认证的缺乏。路由器生 产商们正在着手解决这些问题。特别值得注意的是, 它们正在开发编辑包 过滤规则的图形用户界面。他们也在制订标准的用户级身份认证协议, 来 提供远程身份认证拨入用户服务(REDIUS)。 代理服务器的优点是用户级 的身份认证、日志记录和帐号管理。其缺点关系到这样一个事实: 要想提 供全面的安全保证, 就要对每一项服务都建立对应的应用层网关。这个事 实严重地限制了新应用的采纳。最近, 一个名叫SOCKS的包罗万象的代理 服务器问世了。SOCKS主要由一个运行在防火墙系统上的代理服务器软件 包和一个链接到各种网络应用程序的库函数包组成。这样的结构有利于新 应用的挂接。 屏蔽路由器和代理服务器通常组合在一起构成混合系统, 其中屏蔽路由器主要用来防止IP欺骗攻击。目前最广泛采用的配置是 Dual-homed防火墙, 被屏蔽主机型防火墙, 以及被屏蔽子网型防火墙。 尽管防火墙已经在Internet业界得到了广泛的应用, 关于防火墙的话 题仍然十分敏感。防火墙的拥护者们把防火墙看成是一种重要的新型安全 措施, 因为它把诸多安全功能集中到一点上, 大大简化了安装、配置和管 理的手续。许多公司把防火墙当做自己单位驻Internet的大使馆, 当做 关于其项目、产品、服务等公共信息的仓库。从美国生产厂家的观点来 看, 防火墙技术是很有意义的, 因为它不用加密, 因而在出口上不受限 制。但是, 目前提供的大多数防火墙产品确实支持这种或那种的IP层加密 功能, 从而在这方面受到美国出口政策的控制。防火墙的另一个特色是它 不限于TCP/IP协议, 从而不只适用于Internet。 确实, 类似的技术完全 可以用在任何分组交换网络当中, 例如X.25或ATM都可以。防火墙的批评 者们一般关注的是防火墙的使用不便之处, 例如: 需要多次登录及其他不 受约束的机制, 影响Internet的使用甚至影响Internet的生存。他们声 称: 防火墙给人制造一种虚假的安全感, 导致在防火墙内部放松安全警 惕。 他们也注意到, 许多攻击是内部犯罪, 这是任何基于隔离的防范 措施都无能为力的。同样, 防火墙也不能解决进入防火墙的数据带来的所 有安全问题。如果用户抓来一个程序在本地运行, 那个程序很可能就包含 一段恶意的代码, 或泄露敏感信息, 或对之进行破坏。随着Java、 JavaScript和Active X控件及其相应浏览器的大量持续推广, 这一问题 变得更加突出和尖锐。防火墙的另一个缺点是很少有防火墙制造商推出简 便易用的 \"监狱看守 \"型的防火墙, 大多数的产品还停留在需要网络管 理员手工建立的水平上。当然, 这一方面马上会出现重大的变化。 尽管 存在这些争议, 防火墙的拥护者和批评者都承认, 防火墙不能替代墙内的 谨慎的安全措施。防火墙在当今Internet世界中的存在是有生命力的。它 是一些对高级别的安全性有迫切要求的机构出于实用的原因建造起来的, 因此, 它不是解决所有网络安全问题的万能药方, 而只是网络安全政策和 策略中的一个组成部分。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-30 21:21 , Processed in 0.225941 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
