发信人: javabase()
整理人: ipaq(2001-05-28 13:59:40), 站内信件
|
防火墙的实现从层次上大体上可以分两种:报文过滤和应用层网关。
报文过滤是在IP层实现的,因此,它可以只用路由器完成。报文过滤根据报
文的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报头信息来判
断是否允许报文通过。现在也出现了一种可以分析报文数据区内容的智能型报文
过滤器。
报文过滤器的应用非常广泛,因为CPU用来处理报文过滤的时间可以忽略不计
。而且这种防护措施对用户透明,合法用户在进出网络时,根本感觉不到它的存
在,使用起来很方便。报文过滤另一个也是很关键的弱点是不能在用户级别上进
行过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的
IP地址设成一个合法主机的IP地址,就可以很轻易地通过报文过滤器。
报文过滤的弱点可以用应用层网关解决。在应用层实现防火墙,方式多种多
样,下面是几种应用层防火墙的设计实现。
1、应用代理服务器(Application Gateway Proxy)
在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网
络时,必须先在防火墙上经过身份认证。通过身份认证后,防火墙运行一个专门
为该网络设计的程序,把外部主机与内部主机连接。在这个过程中,防火墙可以
限制用户访问的主机、访问时间及访问的方式。同样,受保护网络内部用户访问
外部网时也需先登录到防火墙上,通过验证后,才可访问。
应用网关代理的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即
使攻击者盗用了一个合法的IP地址,也通不过严格的身份认证。因此应用网关比
报文过滤具有更高的安全性。但是这种认证使得应用网关不透明,用户每次连接
都要受到认证,这给用户带来许多不便。这种代理技术需要为每个应用写专门的
程序。
2、回路级代理服务器
即通常意义的代理服务器,它适用于多个协议,但不能解释应用协议,需要
通过其他方式来获得信息,所以,回路级代理服务器通常要求修改过的用户程序
。
套接字服务器(Sockets Server)就是回路级代理服务器。套接字(Sockets
)是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时,
在防火墙上的套服务器检查客户的User ID、IP源地址和IP目的地址,经过确认后
,套服务器才与外部的服务器建立连接。对用户来说,受保护网与外部网的信息
交换是透明的,感觉不到防火墙的存在,那是因为网络用户不需要登录到防火墙
上。但是客户端的应用软件必须支持 “Socketsified API”,受保护网络用户访
问公共网所使用的IP地址也都是防火墙的IP地址。
3、代管服务器
代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上,使它同时
充当服务器,对外部的请求作出回答。与应用层代理实现相比,代管服务器技术
不必为每种服务专门写程序。而且,受保护网内部用户想对外部网访问时,也需
先登录到防火墙上,再向外提出请求,这样从外部网向内就只能看到防火墙,从
而隐藏了内部地址,提高了安全性。
4、IP通道(IP Tunnels)
如果一个大公司的两个子公司相隔较远,通过Internet通信。这种情况下,
可以采用IP Tunnels来防止Internet上的黑客截取信息,从而在Internet上形成
一个虚拟的企业网。
5、网络地址转换器(NAT Network Address Translate)
当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用
一个合法的IP地址。但由于合法Internet IP地址有限,而且受保护网络往往有自
己的一套IP地址规划(非正式IP地址)。网络地址转换器就是在防火墙上装一个
合法IP地址集。当内部某一用户要访问Internet时,防火墙动态地从地址集中选
一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时
,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的
合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓
解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,
提高了安全性。
6、隔离域名服务器(Split Domain Name Server )
这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔
离,使外部网的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具
体情况,这样可以保证受保护网络的IP地址不被外部网络知悉。
7、邮件技术(Mail Forwarding)
当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和
域名时,从外部网络发来的邮件,就只能送到防火墙上。这时防火墙对邮件进行
检查,只有当发送邮件的源主机是被允许通过的,防火墙才对邮件的目的地址进
行转换,送到内部的邮件服务器,由其进行转发。
防火墙的体系结构及组合形式
1、屏蔽路由器(Screening Router)
这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现,也可以用
主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此
通过检查。路由器上可以装基于IP层的报文过滤软件,实现报文过滤功能。许多
路由器本身带有报文过滤配置选项,但一般比较简单。
单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问
的主机。它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户。
2、双穴主机网关(Dual Homed Gateway)
这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保
护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服
务等。
双穴主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系
统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网
络管理者确认内网中哪些主机可能已被黑客入侵。
双穴主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路
由功能,则任何网上用户均可以随便访问内网。
3、被屏蔽主机网关(Screened Host Gateway)
屏蔽主机网关易于实现也很安全,因此应用广泛。例如,一个分组过滤路由
器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过
滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内
部网络不受未被授权的外部用户的攻击。
如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的
变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器
。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面
,内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不
多。
4、被屏蔽子网 (Screened Subnet)
这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组
过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分
组过滤路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。有的屏蔽子
网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。
这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网
的路由器。
如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既
不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的
。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很
困难。在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来
破坏屏蔽路由器,整个过程中不能引发警报。
建造防火墙时,一般很少采用单一的技术,通常是多种解决不同问题的技术
的组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心
能接受什么等级风险。采用哪种技术主要取决于经费,投资的大小或技术人员的
技术、时间等因素。一般有以下几种形式:
1、使用多堡垒主机;
2、合并内部路由器与外部路由器;
3、合并堡垒主机与外部路由器;
4、合并堡垒主机与内部路由器;
5、使用多台内部路由器;
6、使用多台外部路由器;
7、使用多个周边网络;
8、使用双重宿主主机与屏蔽子网。
内部防火墙
建立防火墙的目的在于保护内部网免受外部网的侵扰。有时为了某些原因,
我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此
,有时我们需要在同一结构的两个部分之间,或者在同一内部网的两个不同组织
结构之间再建立防火墙(也被称为内部防火墙)。
防火墙的未来发展趋势
目前,防火墙技术已经引起了人们的注意,随着新技术的发展,混合使用包
过滤技术、代理服务技术和其它一些新技术的防火墙正向我们走来。
越来越多的客户端和服务器端的应用程序本身就支持代理服务方式。比如,
许多WWW 客户服务软件包就具有代理能力,而许多象SOCKS 这样的软件在运行编
译时也支持类代理服务。
包过滤系统向着更具柔性和多功能的方向发展。比如动态包过滤系统,在Ch
eckPoint Firewall-1、Karl Brige/Karl Brouter 以 及 Morning Star Secure
Connect router 中的包过滤规则可由路由器灵活、快速的来设置。一个输出的
UDP 数据包可以引起对应的允许应答UDP 创立一个临时的包过滤规则,允许其对
应的UDP 包进入内部网。
被称为“ 第三代”产品的第一批系统已开始进入市场。如Border 网络技术
公司的Border 产品和Truest 信息系统公司的Gauntlet 3.0 产品从外部向内看起
来像是代理服务(任何外部服务请求都来自于同一主机),而由内部向外看像一
个包过滤系统(内部用户认为他们直接与外部网交互)。这些产品通过对大量内
部网的外向连接请求的计帐系统和包的批次修改对防火墙的内外提供相关的伪像
。Karl Bridge/Karl Brouter 产品拓展了包过滤的范围,它对应用层上的包过滤
和授权进行了扩展。这比传统的包过滤要精细得多。
目前,人们正在设计新的IP 协议(也被称为IP version 6)。IP 协议的变
化将对防火墙的建立与运行产生深刻的影响。同时,目前大多数网络上的机器的
信息流都有可能被偷看到,但更新式的网络技术如帧中继,异步传输模式(ATM)
可将数据包源地址直接发送给目的地址,从而防止信息流在传输中途被泄露。
--
欢迎到 WinNT 版来做客!
※ 来源:.月光程序代码网 http://www.moon-soft.com.[FROM: 202.103.60.71]
|
|