发信人: williamlong()
整理人: williamlong(1999-12-13 21:16:12), 站内信件
|
防火墙十招
吴世忠 贺卫东
Internet的迅猛发展,使得防火墙产品在短短的几年
内异军突起,很快形成了一个产业:1995年,刚刚面市的
防火墙产品市场量还不到1万套,到1996年底,就猛增到1
0万套;据国际权威商业调查机构的预测,防火墙市场将
以173%的复合增长率增长,到2000年将达150万套,市场
营业额将从1995年的1.6亿美元上升到2000年的9.8亿美
元。
防火墙技术的发展经历了基于路由器的防火墙、用户
化的防火墙工具套、建立在通用操作系统上的防火墙、具
有安全操作系统的防火墙四个阶段,现在处于第四阶段,
即第四代防火墙的阶段。
第四代防火墙本身就是一个操作系统,因而在安全性
上较之第三代防火墙有质的提高。获得安全操作系统的办
法有两种:一种是通过许可证方式获得操作系统的源码;
另一种是通过固化操作系统内核来提高可靠性。由此建立
的防火墙系统具有以下特点:(1)防火墙厂商具有操作
系统的源代码,并可实现安全内核;(2)对安全内核实现
加固处理,即去掉不必要的系统特性,加上内核特性,强
化安全保护;(3)对每个服务器、子系统都作了安全处
理,一旦黑客攻破了一个服务器,它将会被隔离在此服务
器内,不会对网络的其它部分构成威胁;(4)在功能上包
括了分组过滤、应用网关、电路级网关,且具有加密与鉴
别功能;(5)透明性好,易于使用。第四代防火墙产品
将网关与安全系统合二为一,具有以下技术与功能。
1.双端口或三端口的结构。新一代防火墙产品具有
两个或三个独立的网卡,内外两个网卡可不作IP转化而串
接于内部网与外部网之间,另一个网卡可专用于对服务器
的安全保护。
2.透明的访问方式。以前的防火墙在访问方式上要
么要求用户作系统登录,要么需要通过SOCKS等库路径修改
客户机的应用。第四代防火墙利用了透明的代理系统技术
,从而降低了系统登录固有的安全风险和出错概率。
3.灵活的代理系统。代理系统是一种将信息从防火
墙的一侧传送到另一侧的软件模块。第四代防火墙采用了
两种代理机制:一种用于代理从内部网络到外部网络的连
接;另一种用于代理从外部网络到内部网络的连接。前者
采用网络地址转换(NAT)技术来解决,后者采用非保密的
用户定制代理或保密的代理系统技术来解决。
4.多级的过滤技术。为保证系统的安全性和防护水
平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段
。在分组过滤一级,能过滤掉所有的源路由分组和假冒的I
P源地址;在应用网关一级,能利用FTP、SMTP等各种网关
,控制和监测Internet提供的所有通用服务;在电路网关
一级,实现内部主机与外部站点的透明连接,并对服务的
通行实行严格控制。
5.网络地址转换技术。第四代防火墙利用NAT技术能
透明地对所有内部地址作转换,使外部网络无法了解网络
的内部结构,同时允许内部网络使用自编的IP地址和专用
网络,防火墙能详尽记录每一个主机的通信,确保每个分
组送往正确的地址。
6.Internet网关技术。由于是直接串连在网络之中
,第四代防火墙必须支持用户在Internet互连的所有服务
,同时还要防止与Internet服务有关的安全漏洞。故它要
能以多种安全的应用服务器(包括FTP、Finger、mail、Id
ent、News、WWW等)来实现网关功能。为确保服务器的安
全性,对所有的文件和命令均要利用“改变根系统调用”
作物理上的隔离。在域名服务方面,第四代防火墙采用两
种独立的域名服务器:一种是内部DNS服务器,主要处理
内部网络的DNS信息;另一种是外部DNS服务器,专门用于
处理机构内部向Internet提供的部分DNS信息。
在匿名FTP方面,服务器只提供对有限的受保护部分
目录的只读访问;在WWW服务器中,只支持静态的网页,而
不允许图形或CGI代码等在防火墙内运行;在Finger服
务器中,对外部访问,防火墙只提供可由内部用户配置的
基本文本信息,而不提供任何与攻击有关的系统信息。SMT
P与POP邮件服务器要对所有进、出防火墙的邮件作处理,
并利用邮件映射与标头剥除的方法隐除内部的邮件环境,
Ident服务器对用户连接的识别作专门处理,网络新闻服
务则为接收来自ISP的新闻开设了专门的磁盘空间。
7.安全服务器网络(SSN)。为适应越来越多的用户
向Internet上提供服务时对服务器保护的需要,第四代防
火墙采用分别保护的策略保护对外服务器。它利用一张网
卡将对外服务器作为一个独立网络处理,对外服务器既是
内部网的一部分,又与内部网关完全隔离。这就是安全服
务网络(SSN)技术,对SSN上的主机既可单独管理,也可
设置成通过FTP、Telnet等方式从内部网上管理。
SSN的方法提供的安全性要比传统的“隔离区(DMZ)
”方法好得多,因为SSN与外部网之间有防火墙保护,SSN
与内部网之间也有防火墙保护,一旦SSN受破坏,内部网
络仍会处于防火墙的保护之下。
8.用户鉴别与加密。为了降低在Telnet、FTP等服务
和远程管理上的风险,第四代防火墙采用一次性使用的口
令字系统作为用户的鉴别手段,并实现了对邮件的加密。
9.用户定制服务。第四代防火墙在提供众多服务的
同时,还为用户定制提供支持,这类选项有:通用TCP,出
站UDP、FTP、SMTP等类。如果某一用户需要建立一个数据
库的代理,便可利用这些支持,方便设置。
10.审计和告警。第四代防火墙产品的审计和告警功
能十分健全,日志文件包括:一般信息、内核信息、核心
信息、接收邮件、邮件路径、发送邮件、已收消息、已发
消息、连接需求、已鉴别的访问、告警条件、管理日志、
进站代理、FTP代理、出站代理、邮件服务器、名服务器
等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮
件、声响等多种方式报警。此外,第四代防火墙还在网络
诊断、数据备份与保全等方面具有特色。?
--
☆ 蓝色月光 ☆ [email protected]
※ 来源:.网易 BBS bbs.netease.com.[FROM: bbs.huizhou.gd.cn]
|
|