发信人: williamlong()
整理人: (1999-12-21 19:53:22), 站内信件
|
发信人: pingpangfan (pingpangfan), 信区: Hacker
标 题: 对付黑客的常规武器介绍[摘录]----防火墙(下)
发信站: 网易虚拟社区北京站 (Tue Nov 23 14:17:49 1999), 站内信件
对付黑客的常规武器介绍[摘录]----防火墙(下)
============================
三.防火墙的基本类型
四.防火墙的配置
五.防火墙的安全措施
六.结束语
============================
三.防火墙的基本类型
实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应
用级网关、电路级网关和规则检查防火墙。
1.网络级防火墙
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过
与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都
能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来
自何方,去向何处。
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的
连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定
义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直
至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默
认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于
TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet
、FTP连接。
下面是某一网络级防火墙的访问控制规则:
(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1;
(2)允许IP地址为202.103.1.18和202.103.1.14的用户Telnet (23口)到主机
150.0.0.2上;
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3;
(4)允许任何WWW数据(80口)通过;
(5)不允许其他数据包进入。
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护
很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
2.应用级网关
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任
服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层
上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议
需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、 FTP、
Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的代理服
务,它们将通过网络级防火墙和一般的代理服务。
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且
有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过防火
墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录(Login) 才
能访问Internet或Intranet。
3.电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信
息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层上来
过滤数据包,这样比包过滤防火墙要高二层。
实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结
合在一起, 如TrustInformationSystems公司的GauntletInternetFirewall;DE
C公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安全功
能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一个叫
做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP地址
,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,因为
该网关是在会话层工作的,它就无法检查应用层级的数据包。
4.规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过
滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤
进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否
逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内容
,查看这些内容是否能符合公司网络的安全规则。
规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并
不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和不受
信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而是依
靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比
较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用户透
明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每个需要
在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一OnTechno
logy软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1防火墙都是
一种规则 检查防火墙。
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就是说
,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的功能
上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统
,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数据。
四.防火墙的配置
防火墙配置有三种:Dual-homed方式、Screened-host方式和Screened-subnet方
式。 Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间,这个D
ual-omedGateway又称为bastionhost。 这种结构成本低,但是它有单点失败的问
题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的
首选目标,它自己一旦被攻破,整个网络也就暴露了。
Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道
屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的
数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost,只要有一
个失败,整个网络就暴露了。Screened-subnet包含两个Screeningrouter和两个
Bastionhost。 在公共网络和私有网络之间构成了一个隔离网, 称之为"停火区
"(DMZ,即DemilitarizedZone),Bastionhost放置在"停火区"内。这种结构安全
性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。
五.防火墙的安全措施
各种防火墙的安全性能不尽相同。这里仅介绍一些一般防火墙的常用安全措
施。
1.防电子欺骗术
防电子欺骗术功能是保证数据包的IP地址与网关接口相符,防止通过修改IP
地址的方法进行非授权访问。还应对可疑信息进行鉴别,并向网络管理员报警。
2.网络地址转移
地址转移是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克
服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址
,就可以对Internet进行访问。
3.开放式结构设计
开放式结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容
易,典型的应用程序连接如财务软件包、病毒扫描、登录分析等。
4.路由器安全管理程序
它为Bay和Cisco的路由器提供集中管理和访问列表控制。
六.结束语
防火墙技术的致命弱点在于数据在防火墙之间的更新是一个难题,如果延迟
太大将无法支持实时服务请求。额外的管理负担是另外一个弱点。此外,防火墙
采用滤波技术, 滤波通常使网络的性能降低50%以上,如果为了改善网络性能而
购置高速路由器,又会大大提高经济预算。一个普通路由器不足4000美元,而一
个高速路由器的价格可能在20,000美元以上,这使滤波器无法广泛应用。而且,
只装有滤波器往往还不足以保证安全,尤其无法防止防火墙内侧的攻击。因此,
防火墙技术往往只作为辅助安全策略。在理想情况下,一个好的防火墙应该能把
各种安全问题在发生之前解决。就现实情况看,这还是个遥远的梦想。目前我们
还只能在各种利弊之间“走钢丝”。
--
☆ 蓝色月光 ☆ http://williamlong.163.net
※ 来源:.网易 BBS bbs.netease.com.[FROM: bbs.szptt.net.cn]
|
|