防火墙工作原理一
(一)防火墙概念防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统。相反,防火墙是一种获取安全性的方法;它有助于实施一个比较广泛的安全性政策,用以确定允许提供的服务和访问。就网络配置、一个或多个主系统和路由器以及其他安全性措施(如代替静态口令的先进验证)来说,防火墙是该政策的具体实施。防火墙系统的主要用途就是控制对受保护的网络(即网点)的往返访问。它实施网络访问政策的方法就是逼使各连接点通过能得到检查和评估的防火墙。
路由器和应用网关防火墙范例
防火墙系统可以是路由器,也可以是个人主机、主系统和一批主系统,专门把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关如网点与Internet的连接处,但是防火墙系统可以位于等级较低的网关,以便为某些数量较少的主系统或子网提供保护。
防火墙基本上是一个独立的进程或一组紧密结合的进程,运行于Router or Server来控制经过防火墙的网络应用程序的通信流量。一般来说,防火墙置于公共网络(如Internet)人口处。它可以看作是交通警察。它的作用是确保一个单位内的网络与Internet之间所有的通信均符合该单位的安全方针。这些系统基本上是基于TCP/IP,并与实现方法有关,它能实施安全路障并为管理人员提供对下列问题的答案:
* 谁在使用网络?
* 他们在网上做什么?
* 他们什么时间使用过网络?
* 他们上网时去了何处?
* 谁要上网但没有成功?
(二)采用防火墙的必要性
引入防火墙是因为传统的子网系统会把自身暴露给NFS或NIS等先天不安全的服务,并受到网络上其他地方的主系统的试探和攻击。在没有Firewall的环境中,网络安全性完全依赖主系统安全性。在一定意义上,所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大,把所有主系统保持在相同安全性水平上的可管理能力就越小。随着安全性的失误和失策越来越普遍,闯入时有发生,这不是因为受到多方的攻击,而仅仅是因为配置错误、口令不适当而造成的。
防火墙能提高主机整体的安全性,因而给站点带来了众多的好处。以下是使用防火墙的好处:
1.防止易受攻击的服务:
防火墙可以大大提高网络安全性,并通过过滤天生不安全的服务来降低子网上主系统所冒的风险。因此,子网网络环境可经受较少的风险,因为只有经过选择的协议才能通过Firewall。For example, Firewall可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网。这样得到的好处是可防护这些服务不会被外部攻击者利用。而同时允许在大大降低被外部攻击者利用的风险情况下使用这些服务。对局域网特别有用的服务如NIS或NFS因而可得到公用,并用来减轻主系统管理负担。
防火墙还可以防护基于路由选择的攻击,如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。防火墙可以排斥所有源点发送的包和ICMP改向,然后把偶发事件通知管理人员。
2.控制访问网点系统
防火墙还有能力控制对网点系统的访问。例如,某些主系统可以由外部网络访问,而其他主系统则能有效地封闭起来,防护有害的访问。除了邮件服务器或信息服务器等特殊情况外,网点可以防止外部对其主系统的访问。这就把防火墙特别擅长执行的访问政策置于重要地位:不访问不需要访问的主系统或服务。当不用访问或不需要访问时,为什么要提供能由攻击者利用的主系统和服务访问呢?例如,如果用户几乎不需要通过网络访问他的台式工作站,那么,防火墙就可执行这一政策。
3.集中安全性
如果一个子网的所有或大部分需要改动的软件以及附加的安全软件能集中地放在防火墙系统中,而不是分散到每个主机中,这样防火墙的保护就相对集中一些,也相对便宜一点。尤其对于密码口令系统或其他的身份认证软件等等,放在防火墙系统中更是优于放在每个Internet能访问的机器上。
当然,还有一些关于网络安全的出来方法,比如Kerberos,包含了每个主机系统的改动。也许,在某些特定场合,Kerberos或其他类似的技术比防火墙系统更好一些。但有一点不容忽视,由于只需在防火墙上运行特定的软件,防火墙系统实现起来要简单的多。
4.增强的保密、强化私有权
对一些站点而言,私有性是很重要的,因为,某些看似不甚重要的信息往往回成为攻击者灵感的源泉。使用防火墙系统,站点可以防止finger以及DNS域名服务。finger会列出当前使用者名单,他们上次登录的时间,以及是否读过邮件等等。但finger同时会不经意地告诉攻击者该系统的使用频率,是否有用户正在使用,以及是否可能发动攻击而不被发现。
防火墙也能封锁域名服务信息,从而是Internet外部主机无法获取站点名和Ip地址。通过封锁这些信息,可以防止攻击者从中获得另一些有用信息。
5.有关网络使用、滥用的记录和统计
如果对Internet的往返访问都通过防火墙,那么,防火墙可以记录各次访问,并提供有关网络使用率的有价值的统计数字。如果一个防火墙能在可疑活动发生时发出音响报警,则还提供防火墙和网络是否受到试探或攻击的细节。采集网络使用率统计数字和试探的证据是很重要的,这有很多原因。最为重要的是可知道防火墙能否抵御试探和攻击,并确定防火墙上的控制措施是否得当。网络使用率统计数字也很重要的,因为它可作为网络需求研究和风险分析活动的输入。
6.政策执行最后,或许最重要的是,防火墙可提供实施和执行网络访问政策的工具。事实上,防火墙可向用户和服务提供访问控制。因此,网络访问政策可以由防火墙执行,如果没有防火墙,这样一种政策完全取决于用户的协作。网点也许能依赖其自己的用户进行协作,但是,它一般不可能,也不依赖Internet用户
(三)防火墙的构成
防火墙的主要组成部分有:
3.1 * 网络政策;
3.2 * 先进的验证工具;
3.3 * 包过滤;
3.4 * 应用网关;
3.1 网络政策
有两级网络政策会直接影响防火墙系统的设计、安装和使用。高级政策是一种发布专用的网络访问政策,它用来定义那些有受限制的网络许可或明确拒绝的服务,如何使用这些服务以及这种政策的例外条件。低级政策描述防火墙实际上如何尽力限制访问,并过滤在高层政策所定义的服务。以下是这些政策的描述。
3.1.1 服务访问政策
服务访问政策应集中与上面定义的Internet专用的使用问题,或许也应集中与所有的外部网络访问问题(即拨入政策以及SLIP和PPP连接)。这种政策应当是整个机构有关保护机构信息资源政策的延伸。要使防火墙取得成功,服务访问政策必须既切合实际,又稳妥可靠,而且应当在实施防火墙前草拟出来。切合实际的政策是一个平衡的政策,既能防护网络免受已知风险,而且仍能使用户利用网络资源。如果防火墙系统拒绝或限制服务,那么,它通常需要服务访问政策有力量来防止防火墙的访问控制措施不会受到带针对的修改。只有一个管理得当的稳妥可靠政策才能做到这一点。
防火墙可以实施各种不同的服务访问政策,但是,一个典型的政策可以不允许从Internet访问网点,但要允许从网点访问Internet。另一个典型政策是允许从Internet进行某些访问,但是或许只许可访问经过选择的系统,如信息服务器和电子邮件服务器。防火墙常常实施允许某些用户从Internet访问经过选择的内部主系统的服务访问政策,但是,这种访问只是在必要时,而且只能与先进的验证措施组合时才允许进行。
3.1.2 防火墙设计政策
防火墙设计政策是防火墙专用的。它定义用来实施服务访问政策的规则。一个人不可能在完全不了解防火墙能力和限制以及与TCP/IP相关联的威胁和易受攻击性等问题的真空条件下设计这一政策。防火墙一般实施两个基本设计方针之一
1. 拒绝访问除明确许可以外的任何一种服务;也即是拒绝一切未予特许的东西
2. 允许访问除明确拒绝以外的任何一种服务;也即是允许一切未被特别拒绝的东西
如果防火墙采取第一种安全控制的方针,那么,需要确定所有可以被提供的服务以及它们的安全特性,然后,开放这些服务,并将所有其它未被列入的服务排斥在外,禁止访问。如果防火墙采取第二中安全控制的方针,则正好相反,需要确定那些认为是不安全的服务,禁止其访问;而其它服务则被认为是安全的,允许访问。
比较这两种政策,我们可以看到,第一种比较保守,遵循"我们所不知道的都会伤害我们"的观点,因此能提供较高的安全性。但是,这样一来,能穿过防火墙为我们所用的服务,无论在数量上还是类型上,都受到很大的限制。第二种则较灵活,虽然可以提供较多的服务,但是,所存在的风险也比第一种大。对于第二种政策,还有一个因素值得考虑,即受保护网络的规模。当受保护网络的规模越来越大时,对它进行完全监控就会变得越来越难。因此,如果网络中某成员绕过防火墙向外提供以被防火墙所禁止的服务,网络管理员就很难发现。For example : 有一用户,他有权不从标准的Telnet端口(port 23)来提供Telnet服务,而是从另一个Port来提供此服务,由于标准的Telnet端口已被防火墙所禁止,而另一Port没有被禁止。这样,虽然防火墙主观上想禁止提供Telnet服务,但实际上却没有达到这种效果。因此,采用第二种政策的防火墙不仅要防止外部人员的攻击,而且要防止内部成员不管是有意还是无意的攻击。
总的来说,从安全性的角度考虑,第一种政策更可取一些;而从灵活性和使用方便性的角度考虑,则第二种政策更适合。
(三)防火墙的构成(续1)
3.2 先进的验证
多年来,管理员劝告用户要选择那些难以猜测的口令,并且不泄露其口令。但是,即使用户接受这一劝告(而很多人不接受这劝告),入侵者可以监视并确实监视Internet来获取明文传输口令这一事实也反映传统的口令已经过时。
先进的验证措施,如智能卡、验证令牌、生物统计学和基于软件的工具以被用来克服传统口令的弱点。尽管验证技术个不相同,但都是相类似的,因为由先进验证装置产生的口令不能由监视连接的攻击者重新使用。如果Internet上的口令问题是固有的话,那么,一个可访问Internet的防火墙,如果不使用先进验证装置或不包含使用先进验证装置的挂接工具,则是几乎没有意义的。
当今使用的一些比较流行的先进验证装置叫做一次性口令系统。例如,智能卡或验证牌产生一个主系统可以用来取代传统口令的响应信号。由于令牌或智能卡是与主系统上的软件或硬件协同工作,因此,所产生的响应对每次注册都是独一无二的。其结果是一种一次性口令。这种口令如果进行监控的话,就不可能被侵入者重新使用来获得某一帐号。
由于防火墙可以集中并控制网点访问,因而防火墙是安装先进的验证软件或硬件的合理场所。虽然先进验证措施可用于每个主系统,但是,把各项措施都集中到防火墙更切合实际,更便于管理。下图表明,一个不使用先进验证措施的防火墙的网点,允许TELNET或FTP等未经验证的应用信息量直接传送到网点系统。如果主系统不使用先进验证措施,则入侵者可能企图揭开口令奥秘,或者能监视网络进行的包括有口令的注册对话。图还显示出一种备有使用先进验证措施的防火墙的网点,以致从Internet发送到网点系统的TELNET 或FTP对话都必须通过先进的验证才允许到达网点系统。网点系统可能仍然需要静态口令才允许访问,但是,只要先进的验证措施和其他防火墙组成部分可防护入侵者渗透或绕过防火墙,这些口令就不会被利用,即使口令受到监视也是如此。
浅议防火墙
计算机的应用实际密和财富高度集中于计算机,计算机网络的应用是这些机密和财富随时受到联网的计算机的威胁.以各种非法手段企图深入计算机网络的人,所谓的黑客,随着网络覆盖范围的扩大而增加.从而是计算健全成为任何一个计算机系统正常运行并发挥作用的必须考虑和必然选择.计算机安全应从三个方面加以衡量,即保密性,完整性和可靠性.保密性是指计算机系统能防止非法泄露计算机数据;完整性是指计算机系统能够防止非法修改和删除计算机数据和程序;可用性是指系统能够防止非法独占计算机的资源和数据,当用户需要使用计算机资源是能有资源可用.为了从上述三个方面保障计算机系统的安全,尤其在当今网络互连的环境中,网络安全体系结构的考量和选择显得尤为重要.采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案.
一.简介
防火墙是用来对因特网种特定的连接段进行隔离的任何一台设备或一组设备,他们提供单一的控制点,以允许或禁止在网络中的传输流.通常有两种实现方案,即采用应用网关的应用层防火墙和采用过滤路由器的网络层防火墙.防火墙的结构模型可划分为策略(policy)和控制(control)两部分,前者是指是否赋予服务请求着相应的访问权限,后者对授权访问着的资源存取进行控制.
对于防火墙的使用存在相当的争议,主要应为人们的着眼点不同抑或所应用的系统具有不同的本质特性.防火墙虽然为系统提供了目前可用最好的安全防护,但由于自身所需的设施和策略,使系统的互连性和可用性受到影响.
二.应用层防火墙(application_layer firewall)
应用层防火墙可由下图简单示例:
C<------>F<------>S
其中c代表客户;f代表防火墙而居于客户和提供相应服务的服务器s之间.客户首先建立与防火墙间的运输层连接,而不是与服务器建立相应的连接.域名服务器DNS受到客户对服务器s的域名解析请求后,返回给客户一个服务重定向纪录(service redirection record),其中包含有防火墙的IP地址.
然后,客户与防火墙进行会话,从而使防火墙能够确定客户的标识,与此同时包含对服务器s的服务请求.接下来防火墙f判断客户c是否被授权访问相应的服务,若结果肯定,防火墙f建立自身同服务器s键的运输层连接,并充当二者间交互的中介.
应用层防火墙由于网络层防火墙之处在于,其可处理和检验任何通过的数据.但必须指出的是,针对不同的应用它并没有一个统一的解决方案,而必须分别编码,着严重制约了它的可用性和通用性.其外,一旦防火墙崩溃,整个应用也将随之崩溃;由于其自身的特殊机制,带来的性能损失要比网络层防火墙要大.
页:
[1]