了解防火牆
月亮寶寶
何謂防火牆?防火牆是一個或一組在兩個網絡之間執行訪問控制策略的系統,包括硬件和軟件,目的是保護網絡不被可疑的人侵擾。本質上,它遵從的是一種允許或阻止業務來往的網絡通信安全機制,也就是提供可控的過濾網絡通信,只允許授權的通訊。
當今市場上有兩類主導性的防火牆:應有代理(application proxy)和包過濾網關(packet filtering gateway)。盡管應有代理被廣泛地認定比包過濾網關安全,他們的限制特性和對性能的影響卻使得它們的應有場合局限於從因特網上其它公司外的分組流動,而不是從本公司的Web服務器外出的分組流動。相反,包過濾網關或者更尖端的有狀態分組過濾網關則能在許多具有高性能要求的較大機構中找到。
防火牆自誕生以來以保護無數的網絡或計算機多過了窺視的眼睛和邪惡的破壞者,然而他們還遠遠不是治理安全的萬靈丹。市場上每個防火牆產品幾乎每年都有安全脆弱點被發現。更糟糕的是,大多數防火牆往往配置不當且無人維護和監視,從而把它們轉化成了電子制門器(保持大門敞開著)。而黑客的責任就是攻克這些脆弱的或無人看管的防火牆,然後告訴它的主人,你的門爛了,還是再換個更好的吧!這次是個警告,如果下次進來的人沒有良心,你就慘了。
那防火牆的工作原理又是什麼呢?
防火牆常常就是一個具備包過濾功能的簡單路由器,支持Internet安全。這是使Internet連接更加安全的一種簡單方法,因為包過濾是路由器的固有屬性。
包是網絡上信息流動的單位。網絡上傳輸的文件一般在發出端被劃分成一個一個的IP包,經過網上的中間站,最終傳到目的地,然後這些IP包中的數據又重新組成原來的文件。
每個IP包有兩個部分:數據部分和包頭。包頭中含有源地址和目標地址等信息。(這一部分的內容要有TCP/IP的基礎)
IP包的過濾一直是一種簡單而有效的方法,它通過件包頭信息和管理員設定的規則表比較,讀出並拒絕那些不符合標准的包,過濾掉不應入站的信息。
IP包過濾規則一般基於部分的或全部的IP包信息,例如對於TCP包頭信息為:
1. IP協議類型
2. IP源地址
3. IP目標地址
4. IP選擇域的內容
5. TCP源端口號
6. TCP目標端口號
7. TCP ACK標識,指出這個包是否是聯接中的第一個包,是否是對另一個包的響應
IP包過濾的一個重要的局限是它不能分辨好的和壞的用戶,只能區分好的飽和壞的包。包過濾只能工作在由黑白分明安全策略的網中,即內部是好的,外部是可疑的。對於FTP協議,IP包過濾就不十分有效。FTP允許聯接外部服務器並使聯接返回到端口20,這幾乎毫不費力的通過那些過濾器。
防火牆/應用網關(Application Gateways)還有一種常見的防火牆是應用代理防火牆(有時也稱為應用網關)。這些防火牆的工作方式和過濾數據報的防火牆、以路由器為基礎的防火牆的工作方式稍有不同。它是基於軟件的;當某遠程用戶想和一個運行應用網關的網絡建立聯系時,此應用網關會阻塞這個遠程聯接,然後對聯接請求的各個域進行檢查。如果此聯接請求符合預定的規則,網關便會在遠程主機和內部主機之間建立一個"橋","橋"是指兩種協議之間的轉換器。例如,一個典型的網關一般不將IP數據報轉發給內部網絡,而是自己作為轉換器和解釋器進行轉換過程。這種方式的時被稱之為man-in-the-middle configuration。這種應用網關代理模型的長處是不進行IP報文轉發,更為重要的是可以在"橋"上設置更多的控制,而且這種工具還能提供非常成熟的日志功能。然而所有的這些優點都是通過犧牲速度換取的,因為每次聯接請求和所有發往內部網的報文在網關上經歷接受、分析、轉換和再轉發等幾個過程,完成這些過程所需時間顯然比完成以路由器為基礎的數據報過濾的時間長得多。
IP轉發(IP forwarding)是指收到一個外部請求的服務器將此請求信息以IP報文的格式轉發給內部網。讓IP轉交功能有效是一個嚴重的錯誤:如果你允許IP轉發,那麼入侵者便能從外部進入你的內部網絡並訪問其上的工作站。
透明性是代理服務器的主要優點。用戶端,代理服務給用戶的假象是:用戶是直接與真正的服務器連接;而在服務器端代理服務給用戶的假象是:服務器是直接面對連在代理服務器上的用戶。要注意的是,代理服務器只有在需要嚴格控制內部與外部主機直接聯接的場合才是一個比較有效的機制。而雙宿主主機與包過濾也是具有這種特性的另外兩種機制。如果內、外部主機能夠直接相互通信,那麼用戶就沒有必要使用代理服務,在這種情況下,代理服務也不可能起作用。而這種由旁路的拓撲與網絡的信息安全是相矛盾的。
最常見的防火牆是按照基本概念工作的邏輯設備,用於在公共網上保護私人網絡。配置一堵防火牆是很簡單的,步驟如下:
1. 選擇一台具有路由能力的PC
2. 加上兩塊接口卡,例如以太網卡或串行卡等
3. 禁止IP轉發
4. 打開一個網卡通向Internet
5. 打開另一個網卡通向內部網
現在,兩個不同的網絡被這個防火牆分割開來。由於內部網不能再訪問Internet,所以訪問網際空間就必須經過防火牆。欲進入內部網絡,必須先通過防火牆。
而且,若站點正處於防火牆保護之下,對它的訪問也是被禁止的,用戶不得不先登陸防火牆後在進入Internet,這時便需要代理服務器了。因此,為了使防火牆有效,必須超越其概念設計。
防火牆的設計列有好幾種,但都可分為兩類:網絡級防火牆及應用級防火牆。它們采用不同的方式提供相同的功能,任何一種都能適合站點防火牆的保護需要。而且現在有些防火牆產品具有雙重性能。
1. 網絡級防火牆
這一類型的防火牆,通常使用簡單的路由器,采用包過濾技術,檢查個人的IP包並決定允許或不允許基於資源的服務、目的地址及時用端口。
最新式的防火牆較之以前更為復雜,它能監控通過防火牆的聯接狀態等等。這是一類快速且透明的防火牆,易於實現。
2. 應用級防火牆
應用級防火牆通常是運行在防火牆上的軟件部分。這一類的設備也稱為應用網關。它是運行代理服務器軟件的計算機。由於代理服務器在同一級上運行,所以它對采集訪問信息並加以控制是非常有用的。因此,此類防火牆能提供關於出入站訪問的詳細信息,從而較之網絡級防火牆,安全性更強。
若打算將服務器安在內部網內,由於代理服務器將阻塞大多數連結,因此與服務器的連結受到很大限制。但這是一個高度安全的設計,適用於內部網上高水平的保護。
若站點上已實現了類似的防火牆,也許想將Web服務器至於防火牆之外(Web A),並且可能通過一個代理服務器在內部網與Web服務器之間建立聯接。但這很可能使站點出現安全漏洞。
還有許多種類的防火牆,它們都有自己的特色:
1. 隔離式過濾器
2. 堡壘主機
3. 雙宿主機網關
4. 安全IP通道
5. IP過濾
6. Circuit網關
防火牆可以極大的增強Web站點的安全。根據不同的需要,防火牆在網絡中配置有很多方式。根據防火牆和Web服務器所處的位置,總可以分為3種配置:Web服務器置於防火牆之內、Web服務器置於防火牆之外和Web服務器置於防火牆之上。
將Web服務器裝在防火牆內的好處是它得到了安全保護,不容易被黑客闖入,但不易被外界所用。當Web站點主要用於宣傳企業形象時,顯然這不是好的配置,這時應當將Web服務器放在防火牆之外。
事實上,為了保證組織內部網絡的安全,將Web服務器完全置於防火牆之外使比較合適的。在這種模式中,Web服務器不受保護,但內部網則處於保護之下,即使黑客進入了你的Web站點,內部網仍是安全的。代理支持在此十分重要,特別是在這種配置中,防火牆對Web站點的保護幾乎不起作用。
一些管理員試圖在防火牆機器上運行Web服務器,以此增強Web站點的安全性。這種配置的缺點是,一旦服務器有一點毛病,整個系統全處於危險之中。
這種基本配置有多種變化,包括利用代理服務器、雙重防火牆、利用成對的"入"、"出"服務器提供對公眾信息的訪問及內部網絡的私人文檔的訪問。
有一些防火牆的結構不允許將Web服務器設置其外。在這種情況下將不得不打通防火牆。可以這樣作:
1. 允許防火牆傳遞對端口80的請求,訪問請求或被限制到Web站點或從Web站點返回(假定你正使用"screened host"型防火牆;
2. 可以在防火牆機器上安裝代理服務器,但需一個"雙宿主網關"類型的防火牆。來自Web服務器的所有訪問請求在被代理服務器截獲之後才傳給服務器。對訪問請求的回答直接返回給請求者。
現實世界要想繞過配置得當的防火牆可能難以置信的困難。然而使用諸如traceroute、hping 和nmap之類信息匯集工具,共記者可以發現(或者至少能夠推斷)經由目標網點的路由器和防火牆的訪問通路,並確定所用防火牆的類型。當前發現的許多脆弱點的根源在於防火牆的誤配置和缺乏管理性監視,然而這兩種條件一旦被發掘,所導致的後果可能是毀滅性的。
代理和包過濾這兩種防火牆中都存在一些特定的脆弱點,包括未加認證的Web和telnet訪問以及本地主機登錄。對於其中大多數脆弱點,可采取相應的對策防止對它們的發掘,然而有些脆弱點卻只能監測是否有人在發掘它們而已。
許多人深信防火牆不可逆轉的將來是應用代理和有狀態分組包過濾技術的有機結合,這種結合提供了限制誤配置的一些技巧。反應性特性也將成為下一代防火牆的部分內容。NAI已在他們的Active Security體系結構上實現了某種形式的反應性特性。它允許一個被檢測到的入侵活動引發受影響防火牆的預想設計好的變動。舉例來說,如果某個IDS系統檢測到了ICMP隧道攻擊,它就會接著指導
