萬盛學電腦網 >> 應用技巧 >> Webmaster網絡安全講座:3.防火牆技術
Webmaster網絡安全講座:3.防火牆技術
作者:(webmaster網絡技術學院)
防火牆現在已成為各企業網絡中實施安全保護的核心,安全管理員的目的是選擇性地拒絕進出網絡的數據流量,這些工作都是由防火牆來做的。
防火牆技術現狀
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火牆系統後,提出了防火牆的概念,防火牆技術得到了飛速的發展。目前有幾十家公司推出了功能不同的防鹎較低巢貳5谝淮闌鹎劍殖瓢朔闌鹎劍饕ü允莅吹刂貳⒛康牡刂貳⒍絲诤諾炔問淳龆ㄊ欠裨市砀檬莅ü雲浣凶ⅲ庵址闌鹎膠苣訓鐘鵌P地址欺騙等攻擊,而且審計功能很差。第二代防火牆,也稱代理服務器,它用來提供網絡服務級的控制,起到外部網絡向被保護的內部網絡申請服務時中間轉接作用,這種方法可以有效地防止對內部網絡的直接攻擊,安全性較高。第三代防火牆有效地提高了防火牆的安全性,稱為狀態監控功能防火牆,它可以對每一層的數據包進行檢測和監控。隨著網絡攻擊手段和信息安全技術的發展,新一代的功能更強大、安全性更強的防火牆已經問世,這個階段的防火牆已超出了原來傳統意義上防火牆的范疇,已經演變成一個全方位的安全技術集成系統,我們稱之為第四代防火牆,它可以抵御目前常見的網絡攻擊手段,如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等。
防火牆的定義和描述
“防火牆”這個術語參考來自應用在建築結構裡的安全技術。在樓宇裡用來起分隔作用的牆,用來隔離不同的公司或房間,盡可能的起防火作用。一旦某個單元起火這種方法保護了其它的居住者。然而,多數防火牆裡都有一個重要的門,允許人們進入或離開大樓。因此,雖然防火牆保護了人們的安全,但這個門在提供增強安全性的同時允許必要的訪問。
在計算機網絡中,一個網絡防火牆扮演著防備潛在的惡意的活動的屏障,並可通過一個”門”來允許人們在你的安全網絡和開放的不安全的網絡之間通信。原來,一個防火牆是由一個單獨的機器組成的,放置在你的私有網絡和公網之間。近些年來,防火牆機制已發展到不僅僅是”firlwall box”,更多提及到的是堡壘主機。它現在涉及到整個從內部網絡到外部網絡的區域,由一系列復雜的機器和程序組成。簡單來說,今天防火牆的主要概念就是多個組件的應用。到現在你要准備實施你的防火牆,需要知道你的公司需要什麼樣的服務並且什麼樣的服務對於內部用戶和外部用戶都是有效的。
防火牆的任務
防火牆在實施安全的過程中是至關重要的。一個防火牆策略要符合四個目標,而每個目標通常都不是通過一個單獨的設備或軟件來實現的。大多數情況下防火牆的組件放在一起使用以滿足公司安全目的的需求。防火牆要能確保滿足以下四個目標
實現一個公司的安全策略
防火牆的主要意圖是強制執行你的安全策略。在前面的課程提到過在適當的網絡安全中安全策略的重要性。舉個例子,也許你的安全策略只需對MAIL服務器的SMTP流量作些限制,那麼你要直接在防火牆強制這些策略。
創建一個阻塞點
防火牆在一個公司私有網絡和分網問建立一個檢查點。這種實現要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立,防火牆設備就可以監視,過濾和檢查所有進來和出去的流量。網絡安全產業稱這些檢查點為阻塞點。通過強制所有進出流量都通過這些檢查點,網絡管理員可以集中在較少的方來實現安全目的。如果沒有這樣一個供監視和控制信息的點,系統或安全管理員則要在大量的地方來進行監測。檢查點的另一個名字叫做網絡邊界。
記錄Internet活動
防火牆還能夠強制日志記錄,並且提供警報功能。通過在防火牆上實現日志服務,安全管理員可以監視所有從外部網或互聯網的訪問。好的日志策略是實現適當網絡安全的有效工具之一。防火牆對於管理員進行日志存檔提供了更多的信息。
限制網絡暴露
防火牆在你的網絡周圍創建了一個保護的邊界。並且對於公網隱藏了你內部系統的一些信息以增加保密性。當遠程節點偵測你的網絡時,他們僅僅能看到防火牆。遠程設備將不會知道你內部網絡的布局以及都有些什麼。防火牆提高認證功能和對網絡加密來限制網絡信息的暴露。通過對所能進來的流量時行源檢查,以限制從外部發動的攻擊。
防火牆術語
在我們繼續討論防火牆技術前,我們需要對一些重要的術語有一些認識
網關
網關是在兩上設備之間提供轉發服務的系統。網關的范圍可以從互聯網應用程序如公共網關接口(CGI)到在兩台主機間處理流量的防火牆網關。這個術語是非常常見的,而且在本課會用於一個防火牆組件裡,在兩個不同的網絡路由和處理數據。
電路級網關
電路級網關用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火牆要高兩層。另外,電路級網關還提供一個重要的安全功能:網絡地址轉移(NAT)將所有公司內部的IP地址映射到一個“安全”的IP地址,這個地址是由防火牆使用的。有兩種方法來實現這種類型的網關,一種是由一台主機充當篩選路由器而另一台充當應用級防火牆。另一種是在第一個防火牆主機和第二個之間建立安全的連接。這種結構的好處是當一次攻擊發生時能提供容錯功能。
應用級網關
應用級網關可以工作在OSI七層模型的任一層上,能夠檢查進出的數據包,通過網關復制傳遞數據,防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議,能夠做復雜一些的訪問控制,並做精細的注冊。通常是在特殊的服務器上安裝軟件來實現的。
包過濾
包過濾是處理網絡上基於packet-by-packet流量的設備。包過濾設備允許或阻止包,典型的實施方法是通過標准的路由器。包過濾是幾種不同防火牆的類型之一,在本課後面我們將做詳細地討論。
代理服務器
代理服務器代表內部客戶端與外部的服務器通信。代理服務器這個術語通常是指一個應用級的網關,雖然電路級網關也可作為代理服務器的一種。
網絡地址翻譯(NAT)
網絡地址解釋是對Internet隱藏內部地址,防止內部地址公開。這一功能可以克服IP尋址方式的諸多限制,完善內部尋址模式。把未注冊IP地址映射成合法地址,就可以對Internet進行訪問。對於NAT的另一個名字是IP地址隱藏。RFC1918概述了地址並且IANA建議使用內部地址機制,以下地址作為保留地址:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
如果你選擇上述例表中的網絡地址,不需要向任何互聯網授權機構注冊即可使用。使用這些網絡地址的一個好處就是在互聯網上永遠不會被路由。互聯網上所有的路由器發現源或目標地址含有這些私有網絡ID時都會自動地丟棄。
堡壘主機
堡壘主機是一種被強化的可以防御進攻的計算機,被暴露於因特網之上,作為進入內部網絡的一個檢查點,以達到把整個網絡的安全問題集中在某個主機上解決,從而省時省力,不用考慮其它主機的安全的目的。從堡壘主機的定義我們可以看到,堡壘主機是網絡中最容易受到侵害的主機。所以堡壘主機也必須是自身保護最完善的主機。你可以使用單宿主堡壘主機。多數情況下,一個堡壘主機使用兩塊網卡,每個網卡連接不同的網絡。一塊網卡連接你公司的內部網絡用來管理、控制和保護,而另一塊連接另一個網絡,通常是公網也就是Internet。堡壘主機經常配置網關服務。網關服務是一個進程來提供對從公網到私有網絡的特殊協議路由,反之亦然。在一個應用級的網關裡,你想使用的每一個應用程協議都需要一個進程。因此,你想通過一台堡壘主機來路由Email,Web和FTP服務時,你必須為每一個服務都提供一個守護進程。
強化操作系統
防火牆要求盡可能只配置必需的少量的服務。為了加強操作系統的穩固性,防火牆安裝程序要禁止或刪除所有不需要的服務。多數的防火牆產品,包括Axent Raptor(www.axent.com),CheckPoint(www.checkpoint.com)和Network Associates Gauntlet (www.networkassociates.com)都可以在目前較流行的操作系統上運行。如Axent Raptor防火牆就可以安裝在Windows NT Server4.0,Solaris及HP-UX操作系統上。理論上來講,讓操作系統只提供最基本的功能,可以使利用系統BUG來攻擊的方法非常困難。最後,當你加強你的系統時,還要考慮到除了TCP/IP協議外不要把任何協議綁定到你的外部網卡上。
非軍事化區域(DMZ)
DMZ是一個小型網絡存在於公司的內部網絡和外部網絡之間。這個網絡由篩選路由器建立,有時是一個阻塞路由器。DMZ用來作為一個額外的緩沖區以進一步隔離公網和你的內部私有網絡。DMZ另一個名字叫做Service Network,因為它非常方便。這種實施的缺點在於存在於DMZ區域的任何服務器都不會得到防火牆的完全保護。
篩選路由器
篩選路由器的另一個術語就是包過濾路由器並且至少有一個接口是連向公網的,如Internet。它是對進出內部網絡的所有信息進行分析,並按照一定的安全策略——信息過濾規則對進出內部網絡的信息進行限制,允許授權信息通過,拒絕非授權信息通過。信息過濾規則是以其所收到的數據包頭信息為基礎的。采用這種技術的防火牆優點在於速度快、實現方便,但安全性能差,且由於不同操作系統環境下TCP和UDP端口號所代表的應用服務協議類型有所不同,故兼容性差。
阻塞路由器
阻塞路由器(也叫內部路由器)保護內部的網絡使之免受Internet和周邊網的侵犯。內部路由器為用戶的防火牆執行大部分的數據包過濾工作。它允許從內部網絡到Internet的有選擇的出站服務。這些服務是用戶的站點能使用數據包過濾而不
應用技巧排行
電腦基礎推薦
相關文章
copyright © 萬盛學電腦網 all rights reserved