Internet防火牆技術簡介

防火牆原是指建築物大廈用來防止火災蔓延的隔斷牆。從理論上講,Internet防火牆服務也屬於類似的用來防止外界侵入的。它可以防止Internet上的各種危險(病毒、資源盜用等)傳播到你的網絡內部。而事實上,防火牆並不像現實生活中的防火牆,它有點像古代守護城池用的護城河,服務於以下多個目的:

  • 限定人們從一個特定的控制點進入;
  • 限定人們從一個特定的點離開;
  • 防止侵入者接近你的其他防禦設施;

防火牆是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行爲來實現對網絡安全的有效管理。從總體上看,防火牆應該具有以下五大基本功能:

  • 過濾進、出網絡的數據;
  • 管理進、出網絡的訪問行爲;
  • 封堵某些禁止行爲;
  • 記錄通過防火牆的信息內容和活動;
  • 有效地阻止破壞者對你的計算機系統進行破壞;

爲實現以上功能,在防火牆產品的開發中,人們廣泛地應用了網絡拓撲、計算機操作系統、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段。縱觀防火牆近年來的發展,可以將其劃分爲如下四個階段(即四代)。

基於路由器的防火牆

由於多數路由器本身就包含有分組過濾功能,故網絡訪問控制可通過路由控制來實現,從而使具有分組過濾功能的路由器成爲第一代防火牆產品。第一代防火牆產品的特點是:

  • 利用路由器本身對分組的解析,以訪問控制表(AccessList)方式實現對分組的過濾;
  • 過濾判斷的依據可以是:地址、端口號、IP旗標及其他網絡特徵;
  • 只有分組過濾的功能,且防火牆與路由器是一體的;

這樣,對安全要求低的網絡可以採用路由器附帶防火牆功能的方法,而對安全性要求高的網絡則需要單獨利用一臺路由器作爲防火牆。

第一代防火牆產品的不足之處十分明顯,具體表現爲:

  • 路由協議十分靈活,本身具有安全漏洞,外部網絡要探尋內部網絡十分容易。
  • 路由器上分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設置和配置十分複雜,它涉及到規則的邏輯一致性。作用端口的有效性和規則集的正確性,一般的網絡系統管理員難於勝任,所以一旦出現新的協議,管理員就得加上更多的規則去限制,這往往會帶來更多的錯誤。
  • 路由器防火牆的最大隱患是:***者可以“假冒”地址。由於信息在網絡上是以明文方式傳送的,***可以在網絡上僞造假的路由信息欺騙防火牆。
  • 路由器防火牆的本質缺陷是:由於路由器的主要功能是爲網絡訪問提供動態的、靈活的路由,而防火牆則要對訪問行爲實施靜態的、固定的控制,這是一對難以調和的矛盾,防火牆的規則設置會大大降低路由器的性能。

可以說基於路由器的防火牆技術只是網絡安全的一種應急措施,用這種方法去對付***的***是存在很大的風險的。

用戶化的防火牆工具套

爲了彌補路由器防火牆的不足,很多大型用戶紛紛要求以專門開發的防火牆系統來保護自己的網絡,從而推動了用戶防火牆工具套的出現。作爲第二代防火牆產品,用戶化的防火牆工具套具有以下特徵:

  • 將過濾功能從路由器中獨立出來,並加上審計和告警功能;
  • 針對用戶需求,提供模塊化的軟件包;
  • 軟件可以通過網絡發送,用戶可以自己動手構造防火牆;
  • 與第一代防火牆相比,安全性提高了,價格也降低了;

由於是純軟件產品,第二代防火牆產品無論在實現上還是在維護上都對系統管理員提出了相當複雜的要求,並帶來以下問題:配置和維護過程複雜、費時;對用戶的技術要求比較高;全軟件實現的同時,使用中出現差錯的情況也很多。?

建立在通用操作系統上的防火牆

由於軟件的防火牆在銷售、使用和維護上的問題迫使防火牆開發商很快推出了建立在通用操作系統上的商用防火牆產品。近年來市場上廣泛使用的就是這一代產品,它們具有如下一些特點:

  • 它們是批量上市的專用防火牆產品;
  • 包括分組過濾或者借用路由器的分組過濾功能;
  • 裝有專用的代理系統,監控所有協議的數據和指令;
  • 可以更安全的保護用戶編程空間和用戶可配置內核參數的設置;
  • 提高了安全性和速度;

第三代防火牆有以純軟件實現的,也有以硬件方式實現的,它們已經得到了廣大用戶的認同。但隨着安全需求的變化和使用時間的推延,仍表現出不少問題,比如:

  • 作爲基礎的操作系統及其內核往往不爲防火牆管理者所知,由於源碼的保密,其安全性無從保證;
  • 由於大多數防火牆廠商並非通用操作系統的廠商,通用操作系統廠商不會對操作系統安全性負責;
  • 從本質上看,第三代防火牆既要防止來自外部網絡的***,還要防止來自操作系統廠商的***;
  • 在功能上包括了分組過濾、應用網關、電路級網關且具有加密鑑別功能;
  • 透明性好,易於使用;

網關與安全系統合二爲一

雙端口或三端口的結構:新一代防火牆產品具有兩個或三個獨立的網卡,內外兩個網卡可不做IP轉化而串接於內部與外部之間,另一個網卡可專用於對服務器的安全保護。

透明的訪問方式:以前的防火牆在訪問方式上要麼要求用戶做系統登錄,要麼需要通過SOCKS等庫路徑修改客戶機的應用。第四代防火牆利用了透明的代理系統技術,從而降低了系統登錄固有的安全風險和出錯概率。

靈活的代理系統:代理系統是一種將信息從防火牆的一側傳送到另一側的軟件模塊。第四代防火牆採用了兩種代理機制:一種用於代理從內部網絡到外部網絡的連接;另一種用於代理從外部網絡到內部網絡的連接。前者採用網絡地址轉接(NIT)技術來解決,後者採用非保密的用戶定製代理或保密的代理系統技術來解決。

多級過濾技術:爲保證系統的安全性和防護水平,第四代防火牆採用了三級過濾措施,並輔以鑑別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所有通用服務;在電路網關一級,實現內部主機與外部站點的透明連接,並對服務的通行實行嚴格控制。

網絡地址轉換技術:第四代防火牆利用NAT技術能透明地對所有內部地址做轉換,使得外部網絡無法瞭解內部網絡的內部結構,同時允許內部網絡使用自己編的IP源地址和專用網絡,防火牆能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。

Internet網關技術:由於是直接串聯在網絡之中,第四代防火牆必須支持用戶在Internet互聯的所有服務,同時還要防止與Internet服務有關的安全漏洞,故它要能夠以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現網關功能。爲確保服務器的安全性,對所有的文件和命令均要利用“改變根系統調用(chroot)”做物理上的隔離。

獨立的域名服務器:一種是內部DNS服務器,主要處理內部網絡和DNS信息;另一種是外部DNS服務器,專門用於處理機構內部向Internet提供的部分DNS信息。

匿名FTP只讀訪問:在匿名FTP方面,服務器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務器中,只支持靜態的網頁,而不允許圖形或CGI代碼等在防火牆內運行。在Finger服務器中,對外部訪問,防火牆只提供可由內部用戶配置的基本的文本信息,而不提供任何與***有關的系統信息。SMTP與POP郵件服務器要對所有進、出防火牆的郵件做處理,並利用郵件映射與標頭剝除的方法隱除內部的郵件環境。Ident服務器對用戶連接的識別做專門處理,網絡新聞服務則爲接收來自ISP的新聞開設了專門的磁盤空間。?

安全服務器網絡:爲了適應越來越多的用戶向Internet上提供服務時對服務器的需要,第四代防火牆採用分別保護的策略對用戶上網的對外服務器實施保護,它利用一張網卡將對外服務器作爲一個獨立網絡處理,對外服務器既是內部網絡的一部分,又與內部網關完全隔離,這就是安全服務器網絡(SSN)技術。而對SSN上的主機既可單獨管理,也可設置成通過FTP、Tnlnet等方式從內部網上管理。SSN方法提供的安全性要比傳統的“隔離區(DMZ)”方法好得多,因爲SSN與外部網之間有防火牆保護,SSN與風部網之間也有防火牆的保護,而DMZ只是一種在內、外部網絡網關之間存在的一種防火牆方式。換言之,一旦SSN受破壞,內部網絡仍會處於防火牆的保護之下,而一旦DMZ受到破壞,內部網絡便暴露於***之下。?

用戶鑑別與加密:爲了減低防火牆產品在Tnlnet、FTP等服務和遠程管理上的安全風險,鑑別功能必不可少。第四代防火牆採用一次性使用的口令系統來作爲用戶的鑑別手段,並實現了對郵件的加密。

用戶定製服務:爲了滿足特定用戶的特定需求,第四代防火牆在提供衆多服務的同時,還爲用戶定製提供支持,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個數據庫的代理,便可以利用這些支持,方便設置。

審計和告警:第四代防火牆產品採用的審計和告警功能十分健全,日誌文件包括:一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑑別的訪問、告警條件、管理日誌、進站代理、FTP代理、出站代理、郵件服務器、名服務器等。告警功能會守住每一個TCP或UDP探尋,並能以發出郵件、聲響等多種方式報警。

此外,第四代防火牆還在網絡診斷、數據備份保全等方面具有特色。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章