irewall防火墙一种确保网络安全的方法。防火墙可以被安全放置在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中,发挥更大的网络安全保护作用。防火墙被广泛用来让用户在一个安全屏障后接入互联网,还被用来把一家企业的公共网络服务器和企业内部网络隔开。另外,防火墙还可以被用来保护企业内部网络某一个部分的安全。例如,一个研究或者会计子网可能很容易受到来自企业内部网络里面的窥探。
简单说防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
“黑客会打上我的主意吗?”这么想就对了,黑客就像钻鸡蛋缝的苍蝇一样,看到一丝从系统漏洞发出的光亮就会蠢蠢欲动!好,如何保护你的网络呢?计算机的高手们也许一张嘴就提议你安装网络的防火墙,那么第一个问题就来了:到底什么是防火墙呢?
什么是防火墙?
防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。
天下的防火墙至少都会说两个词:es或者o。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的/协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如**或者协议等)。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。
所有的防火墙都具有地址过滤功能。这项任务要检查包头,根据其源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个防火墙,防火墙的一端有台计算机,另一边的网段则摆了台客户机。
当客户机向计算机发起telnet请求时,的telnet客户程序就产生一个包并把它传给本地的协议栈准备发送。接下来,协议栈将这个包“塞”到一个包里,然后通过机的/栈所定义的路径将它发送给计算机。在这个例子里,这个包必须经过横在和计算机中的防火墙才能到达计算机。
现在我们“命令”(用专业术语来说就是配制)防火墙把所有发给计算机的数据包都给拒了,完成这项工作以后,“心肠”比较好的防火墙还会通知客户程序一声呢!既然发向目标的数据没法转发,那么只有和计算机同在一个网段的用户才能访问计算机了。
还有一种情况,你可以命令防火墙专给那台可怜的机找茬,别人的数据包都让过就它不行。这正是防火墙最基本的功能:根据地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用主机名建立过滤表,对的伪造比地址欺骗要容易多了。
服务器/端口过滤
仅仅依靠地址进行数据过滤在实际运用中是不可行的,还有个原因就是目标主机上往往运行着多种通信服务,比方说,我们不想让用户采用telnet的方式连到系统,但这绝不等于我们非得同时禁止他们使用**/邮件服务器吧?所以说,在地址之外我们还要对服务器的/端口进行过滤。
比如,默认的telnet服务连接端口号是23。假如我们不许客户机建立对计算机(在这时我们当它是服务器)的telnet连接,那么我们只需命令防火墙检查发送目标是服务器的数据包,把其中具有23目标端口号的包过滤就行了。这样,我们把地址和目标服务器/端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗?不,没这么简单。
客户机也有/端口
/是一种端对端协议,每个网络节点都具有唯一的地址。网络节点的应用层也是这样,处于应用层的每个应用程序和服务都具有自己的对应“地址”,也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如,telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号,否则客户机的栈怎么知道某个数据包是属于哪个应用程序的呢?
由于历史的原因,几乎所有的/客户程序都使用大于1023的随机分配端口号。只有计算机上的root用户才可以访问1024以下的端口,而这些端口还保留为服务器上的服务所用。所以,除非我们让所有具有大于1023端口号的数据包进入网络,否则各种网络连接都没法正常工作。
这对防火墙而言可就麻烦了,如果阻塞入站的全部端口,那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站(就是进入防火墙的意思)数据包都没法经过防火墙的入站过滤。反过来,打开所有高于1023的端口就可行了吗?也不尽然。由于很多服务使用的端口都大于1023,比如client、基于的服务以及为数众多的非产品等(etare/)就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗?连这些客户程序都不敢说自己是足够安全的。
双向过滤
,咱们换个思路。我们给防火墙这样下命令:已知服务的数据包可以进来,其他的全部挡在防火墙之外。比如,如果你知道用户要访问eb服务器,那就只让具有源端口号80的数据包进入网络:
不过新问题又出现了。首先,你怎么知道你要访问的服务器具有哪些正在运行的端口号呢?象这样的服务器本来就是可以任意配置的,所采用的端口也可以随意配置。如果你这样设置防火墙,你就没法访问哪些没采用标准端口号的的网络站点了!反过来,你也没法保证进入网络的数据包中具有端口号80的就一定来自eb服务器。有些黑客就是利用这一点制作自己的入侵工具,并让其运行在本机的80端口!
检查位
源地址我们不相信,源端口也信不得了,这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢?还好,事情还没到走投无路的地步。对策还是有的,不过这个办法只能用于协议。
是一种可靠的通信协议,“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性,每个连接都要先经过一个“握手”过程来交换连接参数。还有,每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个包都非要采用专门的包来响应,实际上仅仅在包头上设置一个专门的位就可以完成这个功能了。所以,只要产生了响应包就要设置位。连接会话的第一个包不用于确认,所以它就没有设置位,后续会话交换的包就要设置位了。
举个例子,向远端的eb服务器发起一个连接,它生成一个没有设置位的连接请求包。当服务器响应该请求时,服务器就发回一个设置了位的数据包,同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包,这个数据包也设置了位并标记了从服务器收到的字节数。通过监视位,我们就可以将进入网络的数据限制在响应包的范围之内。于是,远程系统根本无法发起连接但却能响应收到的数据包了。
这套机制还不能算是无懈可击,简单地举个例子,假设我们有台内部eb服务器,那么端口80就不得不被打开以便外部请求可以进入网络。还有,对包而言就没法监视位了,因为包压根就没有位。还有一些应用程序,比如,连接就必须由这些服务器程序自己发起。
带来的困难
一般的nternet服务对所有的通信都只使用一对端口号,程序在连接期间则使用两对端口号。第一对端口号用于的“命令通道”提供登录和执行命令的通信链路,而另一对端口号则用于的“数据通道”提供客户机和服务器之间的文件传送。
在通常的会话过程中,客户机首先向服务器的端口21(命令通道)发送一个连接请求,然后执行、等各种命令。一旦用户请求服务器发送数据,服务器就用其20端口(数据通道)向客户的数据端口发起连接。问题来了,如果服务器向客户机发起传送数据的连接,那么它就会发送没有设置位的数据包,防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口,然后才许可对该端口的入站连接。
端口过滤
好了,现在我们回过头来看看怎么解决问题。刚才说了,包没有位所以不能进行位过滤。是发出去不管的“不可靠”通信,这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。、、、et-over-/和etare/都使用。
看来最简单的可行办法就是不允许建立入站连接。防火墙设置为只许转发来自内部接口的包,来自外部接口的包则不转发。现在的问题是,比方说,名称解析请求就使用,如果你提供服务,至少得允许一些内部请求穿越防火墙。还有这样的客户程序也使用,如果要让你的用户使用它,就同样要让他们的包进入网络。我们能做的就是对那些从本地到可信任站点之间的连接进行限制。但是,什么叫可信任!如果黑客采取地址欺骗的方法不又回到老路上去了吗?
有些新型路由器可以通过“记忆”出站包来解决这个问题:如果入站包匹配最近出站包的目标地址和端口号就让它进来。如果在内存中找不到匹配的包就只好拒绝它了!但是,我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢?如果黑客诈称服务器的地址,那么他在理论上当然可以从附着的端口发起攻击。只要你允许查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。
所谓代理服务器,顾名思义就是代表你的网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。它本身就提供公共和专用的、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘,但实际上他们都躲在代理的后面,露面的不过是代理这个假面具。
小结
地址可能是假的,这是由于协议的源路有机制所带来的,这种机制告诉路由器不要为数据包采用正常的路径,而是按照包头内的路径传送数据包。于是黑客就可以使用系统的地址获得返回的数据包。有些高级防火墙可以让用户禁止源路由。通常我们的网络都通过一条路径连接,然后再进入nternet。这时禁用源路由就会迫使数据包必须沿着正常的路径返回。
还有,我们需要了解防火墙在拒绝数据包的时候还做了哪些其他工作。比如,防火墙是否向连接发起系统发回了“主机不可到达”的消息?或者防火墙真没再做其他事?这些问题都可能存在安全隐患。“主机不可达”消息会告诉黑客“防火墙专门阻塞了某些端口”,黑客立即就可以从这个消息中闻到一点什么气味。如果“主机不可达”是通信中发生的错误,那么老实的系统可能就真的什么也不发送了。反过来,什么响应都没有却会使发起通信的系统不断地尝试建立连接直到应用程序或者协议栈超时,结果最终用户只能得到一个错误信息。当然这种方式会让黑客无法判断某端口到底是关闭了还是没有使用
防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。
防火墙的五大功能
一般来说,防火墙具有以下几种功能:
1.允许网络管理员定义一个中心点来防止非法用户进入内部网络。
2.可以很方便地监视网络的安全性,并报警。
3.可以作为部署(etworkddressranslation,网络地址变换)的地点,利用技术,将有限的地址动态或静态地与内部的地址对应起来,用来缓解地址空间短缺的问题。
4.是审计和记录nternet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供nternet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。
两种防火墙技术的对比
包过滤防火墙
优点
价格较低
性能开销小,处理速度较快。
缺点
定义复杂,容易出现因配置不当带来问题
允许数据包直接通过,容易造成数据驱动式攻击的潜在危险
代理防火墙
内置了专门为了提高安全性而编制的roxy应用程序,能够透彻地理解相关服务的命令,对来往的数据包进行安全化处理
速度较慢,不太适用于高速网(或千兆位以太网等)之间的应用
5.可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署服务器和服务器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火区()。
防火墙的两大分类
尽管防火墙的发展经过了上述的几代,但是按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙(应用层网关防火墙)。前者以以色列的heckpoint防火墙和isco公司的防火墙为代表,后者以美国公司的auntlet防火墙为代表。
1.包过滤防?
第一代:静态包过滤
这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括源地址、目标地址、传输协议(、、等等)、/目标端口、消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。
第二代:动态包过滤
这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测(tatefulnspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更绿跄俊?
图2动态包过滤防火墙
2.代理防火墙
第一代:代理防火墙
代理防火墙也叫应用层网关(pplicationateway)防火墙。这种防火墙通过一种代理(roxy)技术参与到一个连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
所谓代理服务器,是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时,它们将核实客户请求,并经过特定的安全化的roxy应用程序处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并做进一步处理后,将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用
代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过roxy的介入和转换,通过专门为特定的服务如ttp编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答,没有给内外网络的计算机以任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。就像你要向一个陌生的重要人物递交一份声明一样,如果你先将这份声明交给你的律师,然后律师就会审查你的声明,确认没有什么负面的影响后才由他交给那个陌生人。在此期间,陌生人对你的存在一无所知,如果要对你进行侵犯,他面对的将是你的律师,而你的律师当然比你更加清楚该如何对付这种人。
图3传统代理型防火墙
代理防火墙的最大缺点就是速度相对比较慢,当用户对内外网络网关的吞吐量要求比较高时,(比如要求达到75-100bps时)代理防火墙就会成为内外网络之间的瓶颈。所幸的是,目前用户接入nternet的速度一般都远低于这个数字。在现实环境中,要考虑使用包过滤类型防火墙来满足速度要求的情况,大部分是高速网(或千兆位以太网等)之间的防火墙。
第二代:自适应代理防火墙
自适应代理技术(daptiveproxy)是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(daptiveroxyerver)与动态包过滤器(icacketfilter)。
在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应roxy的管理界面进行设置就可以了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。
小资料
防火墙的发展史
第一代防火墙
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(acketfilter)技术。下图表示了防火墙技术的简单发展历史。
第二、三代防火墙
1989年,贝尔实验室的averesotto和owardrickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙――应用层防火墙(代理防火墙)的初步结构。
第四代防火墙
1992年,信息科学院的obraden开发出了基于动态包过滤(icpacketfilter)技术的第四代防火墙,后来演变为目前所说的状态监视(tatefulinspection)技术。1994年,以色列的heckoint公司开发出了第一个采用这种技术的商业化的产品。
第五代防火墙
1998年,公司推出了一种自适应代理(daptiveproxy)技术,并在其产品auntletirewallfor中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
随着计算机网络技术的突飞猛进,网络安全的问题已经日益突出地摆在各类用户的面前。仅从笔者掌握的资料表明,目前在互联网上大约有将近20%以上的用户曾经遭受过黑客的困扰。尽管黑客如此猖獗,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙(irewall)便可以窥见一斑,而所有的问题都在向大家证明一个事实,大多数的黑客入侵事件都是由于未能正确安装防火墙而引发的。
防火墙的概念及作用
防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即nternet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视nternet安全提供方便。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如ntranet等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上,在nternet上的eb网站中,超过三分之一的eb网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。
防火墙的架构与工作方式
防火墙可以使用户的网络划规划更加清晰明了,全面防止跨越权限的数据访问(因为有些人登录后的第一件事就是试图超越权限限制)。如果没有防火墙的话,你可能会接到许许多多类似的报告,比如单位内部的财政报告刚刚被数万个mail邮件炸烂,或者用户的个人主页被人恶意连接向了layboy,而报告链接上却指定了另一家色情网站......一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的路由器,它通过对每一个到来的包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的地址和端口号、连接标志以至另外一些选项,对包进行过滤。代理服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的/功能。一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接两个网络的网关。用户就一项/应用,比如elnet或者,同代理服务器打交道,代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后,代理服务器连通远程主机,为两个通信点充当中继。整个过程可以对胜户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的情况是:它只由用户标识和口令构成。但是,如果防火墙是通过nternet可访问的,应推荐用户使用更强的认证机制,例如一次性口令或回应式系统等。
屏蔽路由器的最大优点就是架构简单且硬件成本较低,而缺点则是建立包过滤规则比较困难,加之屏蔽路由器的管理成本及用户级身份认证的缺乏等。好在路由器生产商们已经认识到并开始着手解决这些问题,他们正在开发编辑包过滤规则的图形用户界面,制订标准的用户级身份认证协议,以提供远程身份认证拨入用户服务()。?
代理服务器的优点在于用户级的身份认证、日志记录和帐号管理。其缺点关系到这样一个事实;要想提供全面的安全保证,就要对每一项服务都建立对应的应用层网关。这个事实严重地限制了新应用的采纲。?
屏蔽路由器和代理服务器通常组合在一起构成混合系统,其中屏蔽路由器主要用来防止欺骗攻击。目前采用最广泛的配置是ualhomed防火墙、被屏蔽主机型防火墙以及被屏蔽子网型防火墙。?
通常架设防火墙需要数千甚至上万美元的投入,而且防火墙需要运行于一**立的计算机上,因此只用一台计算机连入互联网的用户是不必要架设防火墙的,况且这样做即使从成本方面讲也太不划算。目前观之,防火墙的重点还是用来保护由许多台计算机组成的大型网络,这也是黑客高手们真正感兴趣的地方。防火墙可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理是一样,都是监测并过滤所有通向外部网和从外部网传来的信息,防火墙保护着内部敏感的数据不被偷窃和破坏,并记下来通讯发生的时间和操作等等,新一代的防火墙甚至可以阻止内部人员故意将敏感数据传输到外界。当用户将单位内部的局部网连入互联网时,大家肯定不愿意让全世界的人随意翻阅你单位内部人员的工资单、各种文件资料或者是数据库,但即使在单位内部也存在数据攻击的可能性。例如一些心怀叵测的电脑高手可能会修改工资表和财务报告。而通过设置防火墙后,管理员就可以限定单位内部员工使用mail、浏览以及文件传输,但不允许外界任意访问单位内部的计算机,同时管理员也可以禁止单位中不同部门之间互相访问。将局部网络放置防火墙之后可以阻止来自外界的攻击。而防火墙通常是运行在一台单独的计算机之上的一个特别的软件,它可以识别并屏蔽非法的请求。例如一台代理服务器,所有的请求都间接地由代理服务器处理,这台服务器不同于普通的代理服务器,它不会直接地处理请求,它会验证请求发出者的身份、请求的目的地和请求内容。如果一切符合要求的话,这个请求会被批准送到真正的服务器上。当真正的服务器处理完这个请求后并不会直接把结果发送给请求者,它会把结果送到代理服务器,代理服务器会按照事先的规定检查这个结果是否违反了安全规定,当这一切都通过后,返回结果才会真正地送到请求者的手里。
防火墙的体系结构
1、屏蔽路由器(creeningouter)?
屏蔽路由器可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道,要求所有的报文都必须在此通过检查。路由器上可以安装基于层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。屏蔽路由器的缺点是一旦被攻隐后很难发现,而且不能识别不同的用户。?
2、双穴主机网关(ualomedateway)?
双穴主机网关是用一台装有两块网卡的堡垒主机的做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。与屏蔽路由器相比,双穴主机网关堡垒主机的系统软件可用于维护护系统日志、硬件拷贝日志或远程日志。但弱点也比较突出,一旦黑客侵入堡垒主机并使其只具有路由功能,任何网上用户均可以随便访问内部网。
3、被屏蔽主机网关(creenedatewy)
屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络惟一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内部网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者没法登录到它上面,内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。
4、被屏蔽子网(creenedubnet)
被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有一堡垒主机作为惟一可访问点,支持终端交互或作为应用网关代理。这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,并且整个过程中不能引发警报。
防火墙的基本类型
如今市场上的防火墙林林总总,形式多样。有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。总的来说可以分为三种:包过滤防火墙、代理服务器和状态监视器。
包过滤防火墙(iltingirewall):
包过滤(acketilter)是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过。在互联网这样的信息包交换网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包括发送者的地址和接收者的地址。当这些包被送上互联网时,路由器会读取接收者的并选择一条物理上的线路发送出去,信息包可能以不同的路线抵达目的地,当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一为危险的话,从这个地址而来的所有信息都会被防火墙屏蔽掉。这种防火墙的用法很多,比如国家有关部门可以通过包过滤防火墙来禁止国内用户去访问那些违反我国有关规定或者"有问题"的国外站点,例如、等等。包过滤路由器的最大的优点就是它对于用户来说是透明的,也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护,通常做为第一道防线。包过滤路由器的弊端也是很明显的,通常它没有用户的使用记录,这样我们就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防炎墙对黑客来说是比较容易的,他们在这一方面已经积了大量的经验。"信息包冲击"是黑客比较常用的一种攻击手段,黑客们对包过滤式防火墙发出一系列信息包,不过这些包中的地址已经被替换掉了(ake),取而代之的是一串顺序的地址。一旦有一个包通过了防火墙,黑客便可以用这个地十来伪装他们发出的信息。在另一些情况下黑客们使用一种他们自己编制的路由器攻击程序,这种程序使用路由器协议(outingnformationrotcol)来发送伪造的路由信息,这样所有的包都会被重新路由到一个入侵者所指定的特别地址。对付这种路由器的另一种技术被称之为"同步淹没",这实际上是一种网络炸弹。攻击者向被攻击的计算机发出许许多多个虚假的"同步请求"信号包,当服务器响应了这种信号包后会等待请求发出者的回答,而攻击者不做任何的响应。如果服务器在45秒钟里没有收到反应信号的话就会取消掉这次请求。但是当服务器在处理成知上万个虚假请求时,它便没有时间来处理正常的用户请求,处于这种攻击下的服务器和死锁没什么两样。此种防火墙的缺点是很明显的,通常它没有用户的使用记录,这样我们就不能从访问记录中发现黑客的攻击记录。此外,配置繁琐也是包过滤防火墙的一个缺点。它阻挡别人进入内部网络,但也不告诉你何人进入你的系统,或者何人从内部进入网际网路。它可以阻止外部对私有网络的访问,却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤,即不能鉴别不同的用户和防止地址盗用。包过滤型防火墙是某种意义上的绝对安全的系统。
代理服务器(roxyerver):
代理服务器通常也称作应用级防火墙。包过滤防火墙可以按照地址来禁止未授权者的访问。但是它不适合单位用来控制内部人员访问外界的网络,对于这样的企业来说应用级防火墙是更好的选择。所谓代理服务,即防火墙内外的计算机系统应用层的链接是在两个终止于代理服务的链接来实现的,这样便成功地实现了防火墙内外计算机系统的隔离。代理服务是设置在nternet防火墙网关上的应用,是在网管员允许下或拒绝的特定的应用程度或者特定服务,同时,还可应用于实施较强的数据流监控、过滤、记录和报告等功能。一般情况下可应用于特定的互联网服务,如超文本传输()、远程文件传输()等。代理服务器通常拥有高速缓存,缓存中存有用户经常访问站点的内容,在下一个用户要访问同样的站点时,服务器就用不着重复地去抓同样的内容,既节约了时间也节约了网络资源。?
下面笔者向网友们简单介绍几种代理服务器的设计实现方式:
1、应用代理服务器(pplicationatewayroxy)?
应用代理服务器可以在网络应用层提供授权检查及代理服务。当外部某台主机试图访问(如elnet)受保护网时,它必须先在防火墙上经过身份认证。通过身份认证后,防火墙运行一个专门为elnet设计的程序,把外部主机与内部主机连接。在这个过程中,防火墙可以限制用户访问的主机、访问的时间及访问的方式。同样,受保护网络内部用户访问外部网时也需先登录到防火墙上,通过验证后才可使用elnet或等有效命令。应用网关代理的优点是既可以隐藏内部地址,也可以给单个用户授权,即使攻击者盗用了一个合法的地址。他也通不过严格的身份认证。因特网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明,用户每次连接都要受到"盘问",这给用户带来许多不便。而且这种代理技术需要为每个应用网关写专门的程序。?
2、回路级代理服务器?
回路级代理服务器也称一般代理服务器,它适用于多个协议,但无法解释应用协议,需要通过其他方式来获得信息。所以,回路级代理服务器通常要求修改过的用户程序。其中,套接字服务器(ocketserver)就是回路级代理服务器。套接字(ockets)是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时,在防火墙上的套接字服务器检查客户的ser、源地址和目的地址,经过确认后,套服务器才与外部的段服务器建立连接。对用户来说,受保护网与外部网的信息交换是透明的,感觉不到防火墙的存在,那是因为因特网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持"ocketsifide"受保护网络用户访问公共网所使用的地址也都是防火墙的地址。?
3、代管服务器?
代管服务器技术换言之就是把不安全的服务,诸如、elnet等放到防火墙上,使它同时充当服务器,对外部的请求作出回答。与应用层代理实现相比,代管服务器技术不必为每种服务专门写程序。而且,受保护网内部用户想对外部网访问时,也需先登录到防火墙上,再向外提出请求,这样从外部网向内就只能看到防火墙,从而隐藏了内部地址,提高了安全性。?
4、通道(unnels)?
如果某公司下属的两个子公司相隔较远,通过nternet进行通信时,可以采用unnels来防止nternet上的黑客截取信息,从而在nternet上形成一个虚构的企业网。
5、网地址转换器(etworkddressranslate)
当受保护网连到nternet上时,受保护网用户若要访问nternet,必须使用一个合法的地址。但由于合法nternet地址有限,而且受保护网络往往有自己的一套地址规划。网络地址转换器就是在防火墙上装一个合法地址集。当内部某一用户要访问nternet时,防火墙态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如eb服务器,网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的地址和大量的主机之间的矛盾,又对外隐藏了内部主机的地址,提高了安全性。
6、隔离域名服务器(plitomainameever)?
这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离,使外部网的域名服务器只能看到防火墙的地址,无法了解受保护网络的具体情况,这样可以保证受保护网络的地址不被外部网络知悉。?
7、邮件转发技术(ailforwarding)?
当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的地址和域名时,从外部网络发来的邮件,就只能送到防火墙上。这时防火墙对邮件进行检查,只有当发送邮件的源主机是被允许通过的,防火墙才对邮件的目的地址进行转换,送到内部的邮件服务器,由其进行转发。?
代理服务器像真的墙一样挡在内部用户和外界之间,特别是从外面来的访问者只能看到代理服务器而看不见到任何的内部资源,诸如用户的等。而内部客户根本感觉不到它的存在,可以自由访问外部站点。代理可以提供极好的访问控制、登录能力以及地址转换功能,对进出防火墙的信息进行记录,便于管理员监视和管理系统。但代理服务器同时也存在一些不足,特别是它会使网络的访问速度变慢,因为它不允许用户直接访问网络,而代理又要处理入和出的通信量,因此每增加一种新的媒体应用,则必须对代理进行设置。笔者在一套办公应用软件的设计方面,就因为代理服务器的原因折腾了很长时间,结果还是由于设置与容错方面的问题暂时搁浅了。?
状态监视器(tatefulnspection):
状态监视器作为防火墙技术其安全特性最佳,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与其它安全方案不同,当用户访问到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定,安全报警器就会拒绝该访问,并作下记录向系统管理器报告网络状态。状态监视器的另一个优点就是可以监测emoterocedureall和seratagrqamrotocol类的端口信息。问题当然也有,即状态监视器的配置非常复杂,而且会降低网络的速度。
目前防火墙已经在nternet上得到了广泛的应用,而且由于防火墙不限于/协议的特点,也使其逐步在nternet之外更具生命力。客观的讲,防火墙并不是解决网络安全问题的万能药方,而只是网络安全政策和策略中的一个组成部分,但了解防火墙技术并学会在实际操作中应用防火墙技术,相信会在新世纪的网络生活中让每一位网友都受益菲浅。
网络防火墙早已是一般企业用来保护企业网络安全的主要机制。然而,企业网络的整体安全涉及的层面相当广,防火墙不仅无法解决所有的安全问题,防火墙所使用的控制技术、自身的安全保护能力、网络结构、安全策略等因素都会影响企业网络的安全性。wwω.ЪiqíΚù.ИěT
在众多影响防火墙安全性能的因素中,有些是管理人员可以控制的,但是有些却是在选择了防火墙之后便无法改变的特性,其中一个很关键的就是防火墙所使用的存取控制技术。目前防火墙的控制技术大概可分为:封包过滤型(acketilter)、封包检验型(tatefulnspectionacketilter)以及应用层闸通道型(pplicationateway)。这三种技术分别在安全性或效能上有其特点,不过一般人往往只注意防火墙的效能而忽略了安全性与效率之间的冲突。本文针对防火墙这三种技术进行说明,并比较各种方式的特色以及可能带来的安全风险或效能损失。
封包过滤型:封包过滤型的控制方式会检查所有进出防火墙的封包标头内容,如对来源及目地、使用协定、或的ort等信息进行控制管理。现在的路由器、witchouter以及某些操作系统已经具有用acketilter控制的能力。封包过滤型控制方式最大的好处是效率高,但却有几个严重缺点:管理复杂,无法对连线作完全的控制,规则设置的先后顺序会严重影响结果,不易维护以及记录功能少。
封包检验型:封包检验型的控制机制是通过一个检验模组对封包中的各个层次做检验。封包检验型可谓是封包过滤型的加强版,目的是增加封包过滤型的安全性,增加控制“连线”的能力。但由于封包检验的主要检查对象仍是个别的封包,不同的封包检验方式可能会产生极大的差异。其检查的层面越广将会越安全,但其相对效能也越低。
封包检验型防火墙在检查不完全的情况下,可能会造成问题。去年被公布的有关irewall-1的astoderagment的安全弱点就是其中一例。这个为了增加效能的设计反而成了安全弱点。
应用层闸通道型:应用层闸通道型的防火墙采用将连线动作拦截,由一个特殊的代理程序来处理两端间的连线的方式,并分析其连线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作,而不会被client端或server端欺骗,在管理上也不会像封包过滤型那么复杂。但必须针对每一种应用写一个专属的代理程序,或用一个一般用途的代理程序来处理大部分连线。这种运作方式是最安全的方式,但也是效能最低的一种方式。
防火墙是为保护安全性而设计的,安全应是其主要考虑。因此,与其一味地要求效能,不如去思考如何在不影响效能的情况下提供最大的安全保护。
上述三种运作方式虽然在效能上有所区别,但我们在评估效能的同时,必须考虑这种效能的差异是否会对实际运作造成影响。事实上,对大部份仍在使用1以下或未来的x等数bps的“宽带”网而言,即便是使用pplicationateway也不会真正影响网络的使用效能。在这种应用环境下,防火墙的效能不应该是考虑的重点。但是,当防火墙是架在企业网络的不同部门之间时,企业就必须考虑这种效能上的牺牲是否可以接受。
防火墙英文名称为ireall,是指位于计算机和它所连接的网络之间的硬件或软件,也可以位于两个或多个网络之间,比如局域网和互联网之间,网络之间的所有数据流都经过防火墙。通过防火墙可以对网络之间的通讯进行扫描,关闭不安全的端口,阻止外来的o攻击,封锁特洛伊木马等,以保证网络和计算机的安全。
防火墙又大致分为硬件防火墙和软件防火墙:硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少的负担,使路由更稳定。硬件防火墙一般都有、和三个端口,还具有各种安全功能,价格比较高,企业以及大型网络使用得比较多。软件防火墙其实就是安全防护软件,比如天网防火墙、金山网镖、蓝盾防火墙等等。
:全称emilitarizedone(隔离区或非军事化区)。该功能主要是为了解决安装防火墙之后外部网络不能访问局域网服务器的问题,比如服务器、视频会议、网络游戏等,其实就相当于一个网络缓冲区,通过该区域可以有效保护内部网络。目前,市场上的防火墙一般都提供端口。
:全称irtualrivateetwork(虚拟专用网络)。它是指在专用和公共网络(比如nternet)上创建的临时的、安全的专用网络连接,又称为“隧道”,并不是真的专用网络。在防火墙中使用功能可以创建临时连接,在网络中进行数据的安全传输。目前,大部分防火墙产品都支持该功能。
:全称tatefulacketnspection(状态封包检测)。防火墙通过该功能可以过滤掉一些不正常的包,防止恶意攻击,比如o攻击。
o:全称enialofervice(拒绝服务)。通过o攻击可以让服务器超载,导致系统死机,使计算机或网络无法提供正常的服务。如今市场上的防火墙大多都具备阻止o攻击功能,这样可以保证计算机和网络的安全。
:全称ntrusionetections(入侵检测系统)。防火墙通过该功能可以对网络的运行状况进行监视,并检测出可能的攻击,以保证网络的安全。
访问控制:通过防火墙的访问控制功能可以对内网的计算机进行访问限制,比如限制访问的nternet网站,限制使用的端口号,这样可以保证局域网的安全性。
什么是应用安全呢?应用安全就是对网络应用的安全保障,这些应用包括:信用卡号码、机密资料、用户档案等信息。那么什么是保护这些应用不受恶意攻击的困难所在呢?,在我们看来这些应用最薄弱的环节是通过网络防火墙上的端口80(主要用于)和端口443(用于)时受到的攻击。那么防火墙怎么对这些攻击进行发现及封阻呢?下文总结了八项应用安全技术,全文如下:
深度数据包处理
深度数据包处理有时被称为深度数据包检测或者语义检测,它就是把多个数据包关联到一个数据流当中,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。
/终止
应用层攻击涉及多种数据包,并且常常涉及多种请求,即不同的数据流。流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。至少,这需要能够终止传输层协议,并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。
终止
如今,几乎所有的安全应用都使用确保通信的保密性。然而,数据流采用了端到端加密,因而对被动探测器如入侵检测系统()产品来说是不透明的。为了阻止恶意流量,应用防火墙必须终止,对数据流进行解码,以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输,你就需要在流量发送到eb服务器之前重新进行加密的解决方案。 无尽的昏迷过后,时宇猛地从床上起身。想要看最新章节内容,请下载星星阅读app,无广告免费阅读最新章节内容。网站已经不更新最新章节内容,已经星星阅读小说APP更新最新章节内容。
他大口的呼吸起新鲜的空气,胸口一颤一颤。
迷茫、不解,各种情绪涌上心头。
这是哪?
随后,时宇下意识观察四周,然后更茫然了。
一个单人宿舍?
就算他成功得到救援,现在也应该在病房才对。
还有自己的身体……怎么会一点伤也没有。
带着疑惑,时宇的视线快速从房间扫过,最终目光停留在了床头的一面镜子上。
镜子照出他现在的模样,大约十七八岁的年龄,外貌很帅。
可问题是,这不是他!下载星星阅读app,阅读最新章节内容无广告免费
之前的自己,是一位二十多岁气宇不凡的帅气青年,工作有段时间了。
而现在,这相貌怎么看都只是高中生的年纪……
这个变化,让时宇发愣很久。
千万别告诉他,手术很成功……
身体、面貌都变了,这根本不是手术不手术的问题了,而是仙术。
他竟完全变成了另外一个人!
难道……是自己穿越了?
除了床头那摆放位置明显风水不好的镜子,时宇还在旁边发现了三本书。
时宇拿起一看,书名瞬间让他沉默。
《新手饲养员必备育兽手册》
《宠兽产后的护理》
《异种族兽耳娘评鉴指南》
时宇:???
前两本书的名字还算正常,最后一本你是怎么回事?
“咳。”
时宇目光一肃,伸出手来,不过很快手臂一僵。
就在他想翻开第三本书,看看这究竟是个什么东西时,他的大脑猛地一阵刺痛,大量的记忆如潮水般涌现。
冰原市。
宠兽饲养基地。
实习宠兽饲养员。网站即将关闭,下载星星阅读app为您提供大神粗糙手斧的越界黑客
御兽师?
章节错误,点此报送(免注册),
报送后维护人员会在两分钟内校正章节内容,请耐心等待