发信人: a791015()
整理人: hnyjchuhong(2001-12-15 20:00:13), 站内信件
|
欢迎大家讨论,提问
ji防火墙
今天的防火墙被用来保护计算机网络免受黑客的骚饶与入侵。这些防火墙尤如一道护栏隔在被保护的内部网与不安全的网络之间,互联网便是世界上最大的不安全网,近年来发生的大多数著名的黑客入侵事件都发生在互联网之上。通常架设防火墙需要数千美元的投入,而且防火墙需要运行于一台独立的计算机上,这样只用一台计算机连入互联网的用户是不宜架设防火墙的,况且这样做也太不合算,如同你在上班的路上驾驶着一辆坦克一样。一般来说,防火墙是用来保护由许多台计算机组成的大型网络,这也是黑客真正感兴趣的地方。防火墙可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理是一样的,都是监测并过滤所有通向外部网和从外部网传来的信息,防火墙保护着内部敏感的数据不被偷窃和破坏,并记下来往通讯发生的时间和操作等等。新一代的防火墙甚至可以阻止内部人员故意将敏感数据传输到外界。当你将公司内部的局部网连入互联网时,你肯定不原意让全世界的人随意翻阅你公司内部的工资单、个人文件或是数据库。即使在公司内部也存在数据攻击的可能性,例如一些不满的员工可能会修改工资表和财务报告。而通过设置防火墙你可以允许公司内部员工使用EMAIL,流览WWW以及文件传输,但不允许外界任意访问公司内部的计算机,你也可以禁止公司中不同部门之间互相访问。将局部网络放置于防火墙之后可以阻止来自外界的攻击。而防火墙通常是运行在一台单独的计算机之上的一个特别的软件,它可以识别并屏蔽非法的请求。例如一台WWW代理服务器,所有的请求都间接地由代理服务器处理,这台服务器不同于普通的代理服务器,它不会直接地处理请求,它会验证请求发出者的身分、请求的目的地和请求内容。如果一切符合要求的话,这个请求会被批准送到真正的WWW服务器上。当真正的WWW服务器处理完这个请求后并不会直接把结果发送给请求者,它会把结果送到代理服务器,代理服务器会按照事先的规定检查这个结果是否违反了安全规定,当这一切都通过后,返回结果才会真正地送到请求者的手里。
·为什么你需要架设防火墙
防火墙可以使你的网络规划清晰明了,可以防止跨越权限的数据访问,因为有些人登录后的第一件事就是试图超越权限限制,然后做一些你不希望发生的事情。如果没有防火墙的话,你可能会接到许许多多类似的报告,比如公司的内部财政报告刚刚被发向两万个E-mail地址,或者你的主页被人连接向了Playboy,而销售报告链接却指向了Penthouse——另一著名色情站点。
或许有一天国防部会要求查封你的公司而原因是一份机密文件从他们那里送到了你公司的一个IP上。如果你的网络联入了互联网的话,在这个世界上最大的不安全网里被黑客袭击的例子有许许多多,你可以在Houston-basedLivermoreSoftwarelabs找到许多案例。1992年美国和欧洲的黑客们便以副总统DanQuayle的身分从五角大楼偷走了一些秘密文件。而两年后,一个年仅16岁的英国小黑客又成功地从美国在罗马的军事计算机网络中偷到了有关韩国核武器的文件。商战如血战,Virgin Atlantic航空公司就成功地通过渗透到英国航空公司的计算机网络而偷走了价值四百万美元的生意。如果你连入了互联网的话,你最好提前考虑这些问题,黑客可以攻击国防部的网络,也可能对你的系统感兴趣。
·基本的防火墙
防火墙有许许多多种形式,有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。总的来说业界的分类有三种,包过滤防火墙,应用级网关和状态监视器。更详细的信息可以在美国计算机安全协会(National Computer Security Association)找到。
包过滤防火墙
在互联网这样的信息包交换网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包括发送者的IP地址和接收者的IP地址。当这些包被送上互联网时,路由器会读取接收者的IP并选择一条物理上的线路发送出去,信息包可能以不同的路线抵达目的地,当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定来某一IP为危险的话,从这个地址而来的所有信息都会被防火墙屏蔽掉。这种防火墙的用法很多,比如国家有关部门可以通过包过滤防火墙来禁止国内用户去访问那些违反我国有关规定或者
“有问题”的国外站点,例如www.playboy.com,www.cnn.com 等等。包过滤路由器的最大的优点就是它对于用户来说是透明的,也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护,通常做为第一道防线。包过滤路由器的弊端也是很明显的,通常它没有用户的使用记录,这样我们就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的,他们在这一方面已经积累了大量的经验。“信息包冲击”是黑客比较常用的一种攻击手段,黑客们对包过滤式防火墙发出一系列信息包,不过这些包中的IP地址已经被替换掉了(FakeIP),取而代之的是一串顺序的IP地址。一但有一个包通过了防火墙,黑客便可以用这个IP地址来伪装他们发出的信息。在另一些情况下黑客们使用一种他们自己编制的路由攻击程序,这种程序使用路由器协议(RoutingInformationProtocol)来发送伪造的路由信息,这样所有的包都会被重新路由到一个入侵者所指定的特别地址。对付这种路由器的另一种技术被称之为“同步淹没”,这实际上是一种网络炸弹。攻击者向被攻击的计算机发出许许多多个虚假的“同步请求”信号包,当服务器响应了这种信号包后会等待请求发出者的回答,而攻击者不做任何的响应。如
果服务器在45秒种里没有收到反应信号的话就会取消掉这次请求。但是当服务器在处理成千上万个虚假请求时,它便没有时间来处理正常的用户请求,处于这种攻击下的服务器和死锁没什么两样。
应用级网关
应用级防火墙的另一个常见的名字你也许更熟悉——代理服务器。包过滤防火墙可以按照IP地址来禁止未授权者的访问。但是它不适合公司用来控制内部人员访问外界的网络,对于这样的企业来说应用级防火墙是更好的选择。应用级防火墙应用于特定的互联网服务,如超文本传输(HTTP),远程文件传输(FTP)等等。代理服务器通常运行在两个网络之间,它对于客户来说是象是一台真的服务器一样,而对于外界的服务器来说,它又是一台客户机。当代理服务器接受到用户的请求后会检查用户请求的站点是否符合公司的要求,如果公司允许用户访问该站点的话,代理服务器会象一个客户一样去那个站点取回所需信息再转发给客户。代理服务器都通常拥有一个高速缓存,这个缓存存储有用户经常访问站点的内容,在下一个用户要访问同样的站点时,服务器就用不着重复地去抓同样的内容,既节约了时间也节约了网络资源。代理服务器会象一堵真的墙那样挡在内部用户和外界之间,从外面只能看到代理服务器而看不到任何的内部资源,诸如用户的IP等。应用级网关比单一的包过滤更为可靠,而且会详细地记录下所有的访问记录。但是应用级网关也存在一些不足之处,首先它会使访问速度变慢,因为它不允许用户直接访问网络。而且应用级网关需要对每一个特定的互联网服务安装相应的代理服务软件,用户不能使用未被服务器支持的服务,这意味着用户可能会花费几个月的时间等待新服务软件的安装,更不幸的是,并不是所有的互联网应用软件都可以使用代理服务器。
状态监视器(StatefulInspection)
这种防火墙的安全特性是非常好的,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与其它安全方案不同,当用户访问到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定,安全报警器就会拒绝该访问,并作记录,向系统管理器报告网络状态。状态监视器的另一个优点是它会监测RPC(Remote Procedure Call)和(UDP)User Datagram Protocol之类的端口信息。包过滤和代理网关都不支持此类端口。这种防火墙无疑是非常坚固的,但它的配置非常复杂,而且会降低网络的速度。
防火墙的制造商们会在他们的产品中加入更多的新技术来增加产品的竞争力。病毒保护便是今年来加入防火墙的新组件,据NCSA的一份报告,在1996年有23%的病毒感染是由Email引起的。在1997年五月Symantec公司的“病毒研究中心”发布了发布了Norton AntiVirus for Firewalls,这个产品会监测通过HTTP,FTP,SMTP等网络协议传送的已知病毒,而Symantec也许诺在97年末推出可用于Windows NTProxyServer上的病毒防火墙。许多其他公司也有类似的计划。从另一个角度来看,防火墙和你家里的门窗很相似,它们对普通的人来说是一层安全的防护,但是没有任何一种防火墙可以给你绝对的保护。这就是为什么许多公司建立多层防火墙的原因当黑客闯过一层防火墙后他只能得到一部分内容,其他的数据仍然被安全地保护在内部防火墙之后。任何防火墙是由人来管理的,对于一个总是忘记锁门的人来说,给他再厚的墙也没用,笨蛋可能会使任何优秀的安全系统失效。无论如何,防火墙只是增加安全的手段之一,只要网络存在,这场矛与盾的较量就会一直继续下去。
(全文完)
|
|