|
論壇說明 | 標記討論區已讀 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2004-06-01, 12:07 PM | #1 |
榮譽會員
|
網路安全與防火牆技術
作者:未知 當前,每天都有數不清的公司和個人加入到Internet中,而Internet本身也成為世界上空前龐大以至於無法確切統計的網路系統。
它是一部真正的百科全書,資訊的海洋令人們沉浸其中而流連忘返,它給人們帶來了無盡的便捷,拉近了每個人的距離,把地球縮成一個村落,大大提高了工作效率。 但是每個網路用戶又都面臨著嚴峻的安全性問題,如存在網上的資訊可能被非法使用、複製和篡改等。怎麼樣才能既充分利用Internet,同時又不受外來的各種侵犯呢?這就要採用防火牆技術。 所謂"防火牆",是指一種將內部網和公眾訪問網如Internet分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你"同意"的人和資料進入你的網路,同時將你"不同意"的人和資料拒之門外,阻止網路中的黑客來訪問你的網路,防止他們更改、拷貝、毀壞你的重要資訊。 一、防火牆的基本類型 實現防火牆的技術包括四大類:網路級防火牆(也叫包過濾型防火牆)、套用級網關、電路級網關和規則檢查防火牆。它們之間各有所長,具體使用哪一種或是否混合使用,要看具體需要。 1.網路級防火牆 一般是關於源位址和目的位址、套用或傳輸協定以及每個IP包的連接阜來作出通過與否的判斷。一個路由器便是一個"傳統"的網路級防火牆,大多數的路由器都能通過檢查這些資訊來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。 先進的網路級防火牆可以判斷這一點,它可以提供內部資訊以說明所通過的連接狀態和一些資料流的內容,把判斷的資訊同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。 包過濾防火牆檢查每一條規則直至發現包中的資訊與某規則相符。如果沒有一條規則能符合,防火牆就會使用預設規則,一般情況下,預設規則就是要求防火牆丟棄該包。其次,通過定義關於TCP或UDP資料包的連接阜號,防火牆能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。 下面是某一網路級防火牆的訪問控制規則: (1)允許網路123.1.0使用FTP(21口)訪問主機150.0.0.1; (2)允許IP位址為202.103.1.18和202.103.1.14的用戶Telnet(23口)到主機150.0.0.2上; (3)允許任何位址的E-mail(25口)進入主機150.0.0.3; (4)允許任何WWW資料(80口)通過; (5)不允許其他資料包進入。 網路級防火牆簡潔、速度快、費用低,並且對用戶透明,但是對網路的保護很有限,因為它只檢查位址和連接阜,對網路更高傳輸協定層的資訊無理解能力。 2.套用級網關 套用級網關能夠檢查進出的資料包,通過網關複製傳遞資料,防止在受信任伺服器和客戶端機與不受信任的主機間直接建立聯繫。 套用級網關能夠理解套用層上的傳輸協定,能夠做複雜一些的訪問控制,並做精細的註冊和稽核。 但每一種傳輸協定需要相應的代理軟體,使用時工作量大,效率不如網路級防火牆。 常用的套用級防火牆已有了相應的代理伺服器,例如:HTTP、NNTP、FTP、Telnet、rlogin、X-windows等,但是,對於新開發的套用,尚沒有相應的代理服務,它們將通過網路級防火牆和一般的代理服務。 套用級網關有較好的訪問控制,是目前最安全的防火牆技術,但實現困難,而且有的套用級網關缺乏"透明度"。 在實際使用中,用戶在受信任的網路上通過防火牆訪問Internet時,經常會發現存在延遲並且必須進行多次登入(Login)才能訪問Internet或Intranet。 3.電路級網關 電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手資訊,這樣來決定該會話(Session)是否合法,電路級網關是在OSI模型中會話層上來過濾資料包,這樣比包過濾防火牆要高二層。 實際上電路級網關並非作為一個獨立的產品存在,它與其他的套用級網關結合在一起,如TrustInformation Systems公司的Gauntlet Internet Firewall;DEC公司的Alta Vista Firewall等產品。 另外,電路級網關還提供一個重要的安全功能:代理伺服器(Proxy Server),代理伺服器是個防火牆,在其上執行一個叫做"位址轉移"的工作,來將所有你公司內部的IP位址映射到一個"安全"的IP位址,這個位址是由防火牆使用的。 但是,作為電路級網關也存在著一些缺陷,因為該網關是在會話層工作的,它就無法檢查套用層級的資料包。 4.規則檢查防火牆 該防火牆結合了包過濾防火牆、電路級網關和套用級網關的特點。它同包過濾防火牆一樣 ,規則檢查防火牆能夠在OSI網路層上通過IP位址和連接阜號,過濾進出的資料包。 它也像電路級網關一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也像套用級網關一樣,可以在OSI套用層上檢查資料包的內容,檢視這些內容是否能符合公司網路的安全規則 。 規則檢查防火牆雖然集成前三者的特點,但是不同於一個套用級網關的是,它並不打破客戶端機/服務機模式來分析套用層的資料,它允許受信任的客戶端機和不受信任的主機建立直接連接。 規則檢查防火牆不依靠與套用層有關的代理,而是依靠某種算法來識別進出的套用層資料,這些算法通過已知合法資料包的模式來比較進出資料包,這樣從理論上就能比套用級代理在過濾資料包上更有效。 目前在市場上流行的防火牆大多屬於規則檢查防火牆,因為該防火牆對於用戶透明,在OSI最高層上加密資料,不需要你去修改客戶端的程序,也不需對每個需要在防火牆上執行的服務額外增加一個代理。如現在最流行的防火牆之一On Technology軟體公司生產的On Guard和Check Point軟體公司生產的FireWall-1防火牆都是一種規則檢查防火牆。 未來的防火牆將位於網路級防火牆和套用級防火牆之間,也就是說,網路級防火牆將變得更加能夠識別通過的資訊,而套用級防火牆在目前的功能上則向"透明"、"低級"方面發展。最終防火牆將成為一個快速註冊稽查系統,可保護資料以加密方式通過,使所有組織可以放心地在節點間傳送資料。 二、防火牆的配置 防火牆配置有三種:Dual-homed方式、Screened-host方式和Screened-subnet方式。 Dual-homed方式最簡單。Dual-homed Gateway放置在兩個網路之間,這個Dual-homed Gateway又稱為bastionhost。這種結構成本低,但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力,而它往往是受"黑客"攻擊的首選目標,它自己一旦被攻破,整個網路也就暴露了。 Screened-host方式中的Screeningrouter為保護Bastionhost 的安全建立了一道屏障。它將所有進入的資訊先送往Bastionhost,並且只接受來自Bastionhost的資料作為出去的資料。這種結構依賴Screeningrouter和Bastionhost,只要有一個失敗,整個網路就暴露了。 [ Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。在公共網路和私有網路之間構成了一個隔離網,稱之為"停火區"(DMZ,即DemilitarizedZone ), Bastionhost放置在"停火區"內。 這種結構安全性好,只有當兩個安全單元被破壞後,網路才被暴露,但是成本也很昂貴。 三、防火牆的安全措施 各種防火牆的安全效能不盡相同。 下面以目前市場的主導產品-CheckPoint公司的FireWall-1為例,來說明防火牆的一些安全措施。 1.防電子欺騙術 FireWall-1的防電子欺騙術功能是保證資料包的IP位址與網關接頭相符,防止通過修改IP位址的方法進行非授權訪問。FireWall-1還會對可疑資訊進行鑒別,並向網路管理員報警。 2.網路位址轉移 FireWall-1的位址轉移是對Internet隱藏內部位址,防止內部位址公開。這一功能克服了IP尋址方式的諸多限制,完善內部尋址模式。把未註冊IP位址映射成合法位址,就可以對Internet進行訪問。 3.開放式結構設計 FireWall-1的開放式結構設計使得它與相關應用程式和外部用戶資料庫的連接相當容易,典型的應用程式連接如財務軟體包、病毒掃瞄、登入分析等。 4.路由器安全管理程序(選項) FireWall-1的網路安全管理器是一個供選項的模組,它為Bay和Cisco的路由器提供集中管理和訪問列表控制。FireWall-1的圖形界面和功能強大的工具軟體使得制定安全政策、管理、 審查和報表等工作都很簡單直觀。 四、關於防火牆設計 首先明確目的,想要如何操作這個系統,亦即只允許想要的工作通過,比如某企業只需要電子郵件服務,則該企業將防火牆設定為只允許電子郵件服務通過,而禁止FTP、WWW等服務,還是允許多種業務通過防火牆,但要設定相應的監測、計量、註冊和稽核等。 其次,是想要達到什麼級別的監測和控制。根據網路用戶的實際需要,建立相應的風險級別,隨之便可形成一個需要監測、允許、禁止的清單。再根據清單的要求來設定防火牆的各項功能。 第三是費用問題。 安全性越高,實現越複雜,費用也相應的越高,反之費用較低。這就需要對網路中需保護的資訊和資料進行詳細的經濟性評估。 防火牆是網間重要的安全性措施,有的完整的防火牆要高達10萬美元。一般網路安全防護系統的造價占需保護的資源價值的1% 左右。 所以在裝配防火牆時,費用與安全性的折衷是不可避免的,這也就決定了"絕對安全 "的防火牆是不存在的。但是可以在現有經濟條件下盡可能科學的配置各種防禦措施,使防火牆充分地發揮作用。 五、結束語 防火牆是企業網安全問題的流行方案,即把公共資料和服務置於防火牆外,使其對防火牆內部資源的訪問受到限制。防火牆技術的致命弱點在於資料在防火牆之間的更新是一個難題,如果延遲太大將無法支持既時服務請求。額外的管理負擔是另外一個弱點。此外 ,防火牆採用濾波技術,濾波通常使網路的效能降低50%以上,如果為了改善網路效能而購置高速路由器,又會大大提高經濟預算。一個普通路由器不足4000美元,而一個高速路由器的價格可能在20,000美元以上,這使濾波器無法廣泛套用。 而且,只裝有濾波器往往還不足以保證安全,尤其無法防止防火牆內側的攻擊。因此,防火牆技術往往只作為輔助安全原則。 |
送花文章: 3,
|