精华区 [关闭][返回]
当前位置:网易精华区>>讨论区精华>>网络专区>>● Internet>>
浏览技巧
>>防火墙实现技术的素描

主题:防火墙实现技术的素描
发信人: 2001asp(ujj)
整理人: snowypeng(2002-05-23 09:29:24), 站内信件
   我们在欢欣鼓舞网络资源优势得到充分发挥、网络技术得以迅速发展的同时,网络安全问题也愈来愈严重,来自网上的安全威胁也是防不胜防。可以这么说,从因特网诞生之日起, 它就成为众矢之的。对网络安全问题的解决,我们不外乎有两种方式,一种是对非法访问采取安全防护措施,另一种就是禁止非法访问。下面笔者要介绍的一种安全技术就是利用防火墙,该技术可以同时实现上面的两种方式。


   防火墙的概念

   防火墙完整的定义是指通过一种隔离技术将防护对象和Internet分开的方法,它是在网络通讯时执行的一种访问控制尺度,它允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。 

   在电脑中,防火墙是一种装置,它是由软件或硬件设备组合而成,通常处于企业的内部局域网与INTERNET之间,限制INTERNET用户对内部网络的访问以及管理内部用户访问外界的权限。换言之, 一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。防火墙是一种被动的技术,因为它假设了网络边界的存在,它对内部的非法访问难以有效地控制。因此防火墙只适合于相对独立的网络,例如企业的内部的局域网络等。

   
   防火墙的准则

   1、过滤不安全服务的原则 

   基于这个准则,防火墙应封锁所有信息流,然后对希望提供的安全服务逐项开放,对不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。这是一种非常有效实用的方法,可以造成一种十分安全的环境,因为只有经过仔细挑选的服务才能允许用户使用。

   2、屏蔽非法用户的原则

   基于这个准则,防火墙应先允许所有的用户和站点对内部网络的访问,然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。这种方法构成了一种更为灵活的应用环境,网络管理员可以针对不同的服务面向不同的用户开放,也就是能自由地设置各个用户的不同访问权限。

   防火墙的实现技术

   1、代管服务器

   顾名思义,代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上,使它同时充当服务器,对外部的请求作出回答。这种方式是内部网络与INTERNET不直接通讯,内部网络计算机用户与代理服务器采用一种通讯方式,即提供内部网络协议(NETBIOS、TCP/IP),代理服务器与INTERNET之间的通信采取的是标准TCP/IP网络通信协议,防火墙内外的计算机的通信是通过代理服务器来中转实现的,结构图如下所示:

    内部网络----代理服务器----INTERNET

   这样便成功地实现了防火墙内外计算机系统的隔离,由于代理服务器两端采用的是不同的协议标准,所以能够有效地阻止外界直接非法入侵。

   代理服务器通常由性能好、处理速度快、容量大的计算机来充当,在功能上是作为内部网络与INTERNET的连接者,它对于内部网络来说是象一台真正的服务器一样,而对于因特网上的服务器来说,它又是一台客户机。当代理服务器接受到用户的请求以后,会检查用户请求的站点是否符合设定要求,如果允许用户访问该站点的话,代理服务器就会和那个站点连接,以取回所需信息再转发给用户。

   另外,代理服务器还能提供更为安全的选项,例如它可以实施较强的数据流的监控、过滤、记录和报告功能,还可以提供极好的访问控制、登录能力以及地址转换能力。但是这种防火墙措施,在内部网络终端机很多的情况下,效率必然会受到影响,代理服务器负担很重,并且许多访问INTERNET的客户软件在内部网络计算机中无法正常访问INTERNET。

   2、路由器和过滤器

   这种结构由路由器和过滤器共同完成对外界计算机访问内部网络的限制,也可以指定或限制内部网络访问INTERNET。路由器只对过滤器上的特定端口上的数据通讯加以路由,过滤器的主要功能就是在网络层中对数据包实施有选择的通过,依照IP(INTERNET PROTOCOL)包信息为基础,根据IP源地址、IP目标地址、封装协议端口号,确定它是否允许该数据包通过。这种防火墙措施最大的优点就是它对于用户来说是透明的,也就是说不需要用户输入帐号和密码来登录,因此速度上要比代理服务器快,且不容易出现屏颈现象。然而其缺点也是很明显的,就是没有用户的使用记录,这样我们就不能从访问记录中发现非法入侵的攻击记录。

   3、IP通道技术

   经常会出现这种情况,一个大公司的两个子公司相隔较远,通过Internet通信。这种情况下,可以采用IP通道技术来防止Internet上的黑客截取信息。从而在Internet上形成一个虚拟的企业网。例如,我们假设子网A中一主机(IP地址为X.X.X.X)欲向子网B中某主机(IP地址为Y.Y.Y.Y)发送报文,该报文经过本网防火墙FW1(IP地址N.N.N.1)时,防火墙判断该报文是否发往子网B,若是,则再增加一报头,变成从此防火墙到子网B防火墙FW2(N.N.N.2)的IP报文,而将原IP地址封装在数据区内,同原数据一起加密后经 Internet发往FW2。FW2接收到报文后,若发现源IP地址是FW1的,则去掉附加报头,解密,在本网上传送。从Internet上看,就只是两个防火墙的通信。即使黑客伪装了从FW1发往FW2的报文,由于FW2在去掉报头后不能解密,会抛弃报文。

   4、网络地址转换器

   当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用一个合法的IP地址。但由于合法Internet IP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP地址)。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。

   5、隔离域名服务器

   这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离,使外部网的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况,这样可以保证受保护网络的IP地址不被外部网络知悉。

   6、邮件技术

   当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时,从外部网络发来的邮件,就只能送到防火墙上。这时防火墙对邮件进行检查,只有当发送邮件的源主机是被允许通过的,防火墙才对邮件的目的地址进行转换,送到内部的邮件服务器,由其进行转发。

   防火墙的结构

   1、被屏蔽主机网关

   屏蔽主机网关比较容易实现,而且也很安全,因此相对来说应用比较广泛一点。例如,一个分组过滤路由器连接外部网络,同时一台主机安装在内部网络上,通常在路由器上设立过滤规则,并使这台主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。进出内部网络的数据只能从过滤路由器中流动。如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响这台主机和屏蔽路由器的配置。

   2、被屏蔽子网

   这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。

   3、屏蔽路由器

   这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户。

   4、双穴主机网关

   这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。双穴主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。双穴主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。

   防火墙的常见产品

   防火墙产品是当前网络安全产品线中最为琳琅满目的一种,它主要分为基于代理服务方式的和基于状态检测方式两种类型的防火墙,有的防火墙还集成了一些工具,比如追踪主机名或者IP地址、检测特洛伊木马、伪装等,下面笔者简单介绍几种常见的产品。

   1、Firewall-1 (CheckPoint)

   这是最为流行、市场占有率最高的一种。支持网络地址翻译(NAT)、流量分担、VPN、加密认证等功能。

   2、PIX (Cisco)

   典型的网络层包过滤专用防火墙,支持网络地址翻译(NAT),在国内的163/169网络上面应用很多。但是没有能力防御应用层的攻击、无法进行内容过滤,例如Java、ActiveX以及病毒过滤等。

   3、NetScreen

   流量控制及实时监控流量控制功能为网络管理员提供了全部监测和管理网络的信息,诸如DMZ,服务器负载平衡和带宽优先级设置等先进功能,更是使NetScreen独树一帜。它能同时响应高达5,000条防火墙策略规则以及VPN加密(IPSec)VPN IPSEC,DES,Triple DES ,且支持透明的无IP地址设置。

(转载自ChinaByte)


----
E网情深国立华侨大学商检95本主页(http://sj95.126.com)

        
[关闭][返回]