180940594 发表于 2009-6-2 22:23:13

防火墙技术(上)

防火墙技术
现在市场上的形成了两大阵营:以Cisco,CheckPoint,阿尔卡特,NetScreen,NAI,等为代表的洋品牌,与之抗衡的是以天融信、东方龙马、东软、中网、天网、中科网威、联想网御、青鸟、清华得实等为主的国内精英。大多品牌都包括包过滤型、应用网关型和服务代理型产品。目前,在众多的信息安全产品中,防火墙仍然是最主要的安全产品,占整个市场的38.7%,略微高于防病毒产品。之前,虽然很多人认为,信息安全市场在整个网络大市场中是热点。国外品牌如cisco与Checkpoint等的优势主要是在技术和知名度上比国内产品高,产品类别也比较全,目前在市场占有率方面占一定优势,特别是cisco PIX防火墙名列前茅,有几年名列第一;国产品牌也不甘示弱,以企业级硬件防火墙居多,天融信、东方龙马、东软股份等已取得可喜的成果。最近两年进入该市场的国内防火墙产品主要还是中低端产品。网络安全市场的发展证明防火墙技术发展趋势趋向于:标准化、互操作能力、易用性、宽带化、智能化、桌面化是当前网络安全产品的发展方向。
要正确认识防火墙不管是普通的还是cisco PIX防火墙都必须从最基本的讲起,不仅要理解防火墙的一般特性还要对它的高级特性有一定的理解,特别是它的应用原理及实际应用场合,设置规则等等。
1.我们应该知道防火墙名称的由来
当房屋还处于木制结构的时侯,人们将石块堆砌在房屋周围用来防止火灾的发生,这种墙被称为防火墙. 其实与防火墙一起起作用的就是“门”。在今日的电子世界中,人们仍然依靠防火墙来保护敏感的数据,不过这些防火墙是由采用先进技术的计算机软件构成的。
2. 其次应该知道什么是防火墙
防火墙其实是一种由计算机硬件和软件的组合,它能够增强计算机连入网络(局域网或者因特网)时安全性能的一种工具。防火墙一般分为硬件和软件防火墙,它把计算机和因特网或者把内网和外网分隔开了,它检查所有进出网络连接的数据包,根据你预先设定的规则来阻止或者允许它们通过或丢弃。当计算机与其它网络上的设备交换数据时,防火墙扮演了一个计算机入口(通常叫端口)守卫的角色。防火墙通过与计算机内用户设定的一些规则做对比来允许符合条件的数据包通过。防火墙有两个运行机制,允许或拒绝一个基于指定的可接受或不可接受的源端口列表的所有信息,或者允许或拒绝一个基于指定的可接受或不可接受的目的端口列表的信息。尽管这听起来很复杂,防火墙却是比较容易来安装、设置和运行的且功能强大特别是思科的PIX防火墙。
3. 防火墙的功能
所有进出网络的通讯流都应该通过防火墙; 所有穿过防火墙的通讯流都必须有安全策略和计划的确认和授权;只有符合条件的,才可以通过,不符的一律禁止。而cisco PIX防火墙具有DNS防护、MAIL防护、JAVA阻断、ActiveX过滤、URL过滤、支持H.323以及病毒扫描等高级特性。防火墙充分应用八项实用安全技术:深度数据包处理,TCP/IP终止,SSL终止,URL过滤,响应模式匹配,行为建模实现网络安全。
4.为什么要使用防火墙
当机构的内部数据和网络设施暴露给Internet上的黑客时,网络管理员越来越关心网络的安全.为了提供所需级别的保护,机构需要有安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部信息.即使没有连接到Internet上,也需要建立内部的安全策略来管理用户对部分网络的访问并对敏感或秘密数据提供保护.如果没有防火墙的话,你可能会遇到许许多多类似的安全问题,比如公司的内部财政报告刚刚被发向两万个E-mail地址,或者你的主页被人连接向了其他站点.现在随着电子商务和网上交易的快速增长,保障信息的机密性,完整性,可用性和可控性就是至关重要的,在这时防火墙就是一个好的解决方案. 防火墙可以强化网络安全策略,对网络存取和访问进行监控审计,防止内部信息的外泄
5.使用防火墙的好处
凡是网络存在之处,都不可避免地会受到诸多不安全因素的威胁,在系统中安装防火墙无疑是最明智、有效的选择。我们既然寄希望于防火墙成为个人计算机与网络之间的一道安全屏障,就一定要对防火墙的方方面面有通透的了解,才能事半功倍,达到预期效果。在没有防火墙时, 传统的子网系统会把自身暴露给NFS或NIS等先天不安全的服务,并受到网络上其他地方的主系统的试探和攻击.这就意味着内部网络的安全性要由每一个主机的坚固程度来决定,并且安全性等同于其中最弱等级的系统. 这样将使企业处于不安全状态,防火墙能提高主机整体的安全性,因而给站点带来了众多的好处:
首先,可以防止易受攻击的服务。防火墙可以大大提高网络安全性,并通过过滤天生不安全的服务来降低子网上主系统所冒的风险。因此,子网网络环境可经受较少的风险,因为只有经过选择的协议才能通过Firewall。第二,控制访问网点系统。有能力控制对网点系统的访问。允许网络管理员定义一个中心"扼制点"来防止非法用户,如黑客,网络破坏者等进入内部网络.禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击. 第三,可以集中安全性。在防火墙上可以很方便的监视网络的安全性,并产生报警. 一个子网的所有或大部分需要改动的软件以及附加的安全软件能集中地放在防火墙系统中,而不是分散到每个主机中,这样防火墙的保护就相对集中,其费用也会相应降低点。第四,增强的保密、强化私有权。使用防火墙系统,站点可以防止finger以及DNS域名服务。finger会列出当前使用者名单,他们上次登录的时间,以及是否读过邮件等等。第五,有关网络使用、滥用的记录和统计。防火墙可以记录各次访问,并提供有关网络使用率的有价值的统计数字。第六,政策执行最后,或许最重要的是,防火墙可提供实施和执行网络访问政策的工具。
6.防火墙的种类
主要有硬件防火墙与软件防火墙之分。它默认采取的策略是:拒绝访问除明确许可以外的任何一种服务,也即是拒绝一切未予特许的东西; 允许访问除明确拒绝以外的任何一种服务,也即是允许一切未被特别拒绝的东西. 防火墙也有一系列的规则来确定数据包是否能够进入。高级策略是一种发布专用的网络访问策略,它用来定义那些有受限制的网络许可或明确拒绝的服务,如何使用这些服务以及这种政策的例外条件。低级策略描述防火墙实际上如何尽力限制访问,并过滤在高层策略所定义的服务。防火墙是处在接近因特网中的数据想要进入计算机入口的地方。防火墙的主要组成部分有网络政策;先进的验证工具;包过滤;应用网关,不同的防火墙也有不同的方法来检查数据包是否能通过。
l         包过滤
防火墙中最常见也是最简单的方法就是包过滤技术。当然,它可以通过在路由器上运行带有防火墙特性集的IOS软件来实现的。它只是根据设置规则检查数据包,符合规则则通过,不符者则禁止,这就如保安或许仅仅是检查个人的ID信息并与宾客名单做比较来允许人们通过。相似的,当一个包过滤防火墙收到一个来自因特网的数据包时,它将会检查包头中包含的IP地址信息,并与访问控制规则做比较来确定是否接收这个数据包。当然,防火墙规则的制定就由防火墙系统管理员来完成。这些规则也许就指定了通过识别特殊源IP地址、目的IP地址或者端口号来过滤信息。例如,要禁止某用户计算机上不能访问配置中的不允许访问某站点的IP地址的连接(进或出)所阻止。当包过滤防火墙收到来自于此站点的数据包时,它将会分析这个数据包。此站点的IP地址也是包含在这个数据包的包头中的,它满足被阻止这个连接的条件,所以来自这个网站的流量就不会被允许通过。尽管包过滤是很快速的,但它们也能相对简单的就被绕过。一种绕过包过滤防火墙的方法成为IP欺骗,黑客们会采用一个可信任的源地址来欺骗防火墙,防火墙就会把这个实际上来自于黑客的数据包当作一个来自于可信任的源地址。第二种主要的问题就是,包过滤防火墙总是允许一个直接连接的源地址与目的地址计算机之间的数据传输。造成的结果就是,一旦一个最初的连接被防火墙所认可,那么这个源计算机就会与目的计算机处于直接相连的状态,从而这个连接上的所有目的计算机都有可能会受到攻击。
简单的包过滤防火墙功能可以用CISCO IOS进行实现,但它只可以限制或与许一些特定的流量通过,过滤掉禁止的及不符合设定规则策略的流量它是基于上下文的访问控制(CBAC)为先进应用程序提供基于应用程序的安全筛选并支持最新协议。当然,也可以用CISCO PIX 进行实现,它使用基于适应性安全算法(ASA),能提供任何其它防火墙都不能提供的最高安全保护将获专利的"切入代理"特性能提供传统代理服务器无法匹敌的高性能,使用它实现更加简单,容易,轻便地可以实现以上功能,并且还可以实现其他CISCO IOS 不可以实现的一些功能。
l         状态包检测
第二种防火墙利用的技术叫做状态包检测。状态包检测是一种超级包过滤机制。它不仅检查数据包的包头,同时也要检查内容,来确定源地址与目的地址之外的更多数据包信息。它之所以被成为状态包检测是因为它通过检查数据包的内容来确定当前连接的状态是什么,它确保指定的目的主机当前的连接状态是原先已经请求过的。这是一种保证所有的通信都是由接收主机发起,而且只和一个已经存在并且在册的源主机连接的机制。除了更多严格的数据包检测之外,状态包检测防火墙的端口在具体端口被请求连接之前都是关闭的。这就对端口扫描威胁作出了多层的保护。
    状态监测防火墙是一种比包过滤防火墙功能更加强大的防火墙,它不仅可以检测和过滤数据包还可以对数据包的状态进行检测,CISCO PIX防火墙内置了IDS和IPS功能,其功能强大,特别是IDS和IPS对进入系统或内部网络的流量进行检测,一发现有异常情况就采取必要的措施进行处理。状态检测防火墙出现,并成为市场上的绝对领导者,主要的原因,包括性能,部署能力和扩展能力,他们在90年代中期得到了迅速发展。Check Point公司成功推出了世界上第一台商用的状态检测防火墙产品。
l         应用级代理服务器
防火墙不仅要知道访客是谁,而且要知道他们一旦进入内部网络后有什么权限。这类型的防火墙就称作应用级代理服务器,因为它来确定一个连接所请求的应用程序是否是被许可的。只有连接是出于指定的目的,像因特网访问或者电子邮件之类的,才会被允许。这就允许了系统管理员可以控制他们系统中的计算机将会被拿来做什么。例如,黑客们可以用Telnet服务或SSL来越权连接到一个网络。然而,防火墙可以设置为只允许网页和电子邮件应用被访问。防火墙可以实现阻止所有在标准Telnet服务所用的23号目的端口上的连接。任何企图通过telnet进入用户计算机的行为都会失败,因为应用级防火墙将认定telnet连接不是一个网页或者电子邮件的应用,然后拒绝试图进入用户计算机的所有信息。这种类型的防火墙被成为应用级代理是因为它们除了要检查数据包想要在用户计算机上运行服务的类型,同时它们也作为一个代理服务器。代理服务器在一台计算机和一个网络服务器之间扮演一个中间人的角色。一个应用级防火墙收到所有处于它后面(或在防火墙之内)的计算机的通信申请。接着它就代理这个申请;就是说它代表委托它的计算机发出申请。这就隐藏了防火墙之后的个体计算机。这些目标计算机都受到了查看保护,因为在它外面的访问源从来都没有直接连接到这些计算机,所有通信都是通过代理服务器传导的。
CISCO PIX防火墙是一种集成的软件和硬件平台,是一种专用的防火墙产品。它可以部署到各种各样的设计方案中。它可能只有两个接口,一个接口连接至受保护的内部网络(内部接口),而另一个接口则连接到公共网络(外部接口),一般来说就是指因特网。状态数据报防火墙是在市场中主导类型的防火墙产品。大多数的市场都显示,PIX防火墙或Chechpoint软件公司的Firewall经常占据市场中的第一位。可以用它建立一个一体化、多层次的安全体系结构可以提供更为彻底和实际的保护,而提高企业内部安全防范意识才是解决企业网络安全的重中之中。
7.防火墙的局限性
尽管防火墙有那么多的优点,而且是一个无法估量的信息安全资源,但是仍然有一些攻击是防火墙无法防护的,例如窃听或者是电子邮件截取。而且,防火墙是网络通信的瓶颈,因为它将数据流量和安全性集中于一点,导致了潜在的单点故障。防火墙是最后一道防线,这就意味着如果一个攻击者能突破防火墙,那他就将会得到访问系统的权限,就会有机会偷取到储存在系统的信息或者在系统内部制造其它的破坏。防火墙能让外面的坏分子进不来,那里面的坏分子呢?如果有不怀好意的或者不满的员工,防火墙也许就起不到多大的保护了。最后,就像我们前面提到的包过滤技术,防火墙也不是十分坚固的,例如IP欺骗就是一个绕过防火墙的有效手段。对众多的安全威胁的最佳防护方法是存在的,防火墙应该同其它的安全措施协同工作,比如反病毒软件和加密程序。最好还是有一个良好的思考方法加上始终如一的贯彻安全策略,这能达到的有效性比任何一种安全软件都要大。
8. 防火墙原理
作为近年来新兴的保护计算机网络安全技术性措施,防火墙(FireWall)是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出.防火墙是一种被动防卫技术,由于它假设了网络的边界和服务,因此对内部的非法访问难以有效地控制,因此,防火墙最适合于相对独立的与外部网络互连途径有限,网络服务种类相对集中的单一网络.作为Internet网的安全性保护软件,FireWall已经得到广泛的应用.通常企业为了维护内部的信息系统安全,在企网和Internet间设立FireWall软件.企业信息系统对于来自Internet的访问,采取有选择的接收方式.它可以允许或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用.如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用FireWall过滤掉从该主机发出的包.如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过.这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍.FireWall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯.
从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙),应用级网关,电路级网关和规则检查防火墙.它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要.
l         网络级防火墙
一般是基于源地址和目的地址,应用或协议以及每个IP包的端口来作出通过与否的判断.一个路由器便是一个"传统"的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处.防火墙检查每一条规则直至发现包中的信息与某规则相符.如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包.其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet,FTP连接.
l         应用级网关
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系.应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核.它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告.应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取. 在实际工作中,应用网关一般由专用工作站系统来完成.但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙.应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏"透明度".在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet.
l         电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层.电路级网关还提供一个重要的安全功能:代理服务器(Proxy Server).代理服务器是设置在Internet防火墙网关的专用应用级代码.这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能.包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过,一旦判断条件满足,防火墙内部网络的结构和运行状态便"暴露"在外来用户面前,这就引入了代理服务的概念,即防火墙内外计算机系统应用层的"链接"由两个终止于代理服务的"链接"来实现,这就成功地实现了防火墙内外计算机系统的隔离.同时,代理服务还可用于实施较强的数据流监控,过滤,记录和报告等功能.代理服务技术主要通过专用计算机硬件(如工作站)来承担.
l         网络地址转换
网络地址转换(NAT),防火墙提供的对外隐藏内部IP地址的一种服务。与代理服务器很相似,网络地址转换在一组计算机和因特网之间扮演了中间人。NAT允许一个组织机构只以一个网络地址的形式出现在互联网上。NAT把局域网中的每台计算机和设备的网络地址转换成一个网络IP地址,反之亦然。结果就是,人们在对网络地址进行扫描时,就不能确定在网络上的计算机或者捕获到任何的位置、ip地址等信息。当坏家伙不能找到你时,他们也就不能伤害你。
l         规则检查防火墙
该防火墙结合了包过滤防火墙,电路级网关和应用级网关的特点.它同包过滤防火墙一样,规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包.它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序.当然它也象应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合企业网络的安全规则.规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务器模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接.规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效.
9.防火墙应具备的特性
当前的防火墙需要具备如下的技术、功能、特性,才可以成为企业用户欢迎的防火墙产品:  
l         安全、成熟、国际领先的特性。
l         具有专有的硬件平台和操作系统平台。
l         采用高性能的全状态检测(Stateful Inspection)技术。
l         具有优异的管理功能,提供优异的GUI管理界面。
l         支持多种用户认证类型和多种认证机制。
l         需要支持用户分组,并支持分组认证和授权
l         支持内容过滤
l         支持动态和静态地址翻译(NAT)。
l         支持高可用性,单台防火墙的故障不能影响系统的正常运行。
l         支持本地管理和远程管理。
l         支持日志管理和对日志的统计分析。
l         实时告警功能,在不影响性能的情况下,支持较大数量的连接数。
l         在保持足够的性能指标的前提下,能够提供尽量丰富的功能。
l         可以划分很多不同安全级别的区域,相同安全级别可控制是否相互通讯。
l         支持在线升级。
l         支持虚拟防火墙及对虚拟防火墙的资源限制等功能。
l         防火墙能够与入侵检测系统互动。
10.防火墙的选择
不同的防火墙应用软件的完善度和花费都是不尽相同的。对小型办公室和家庭用户来说,最简单的、花费最少的防火墙解决方案就是个人防火墙,就是安装在你计算机上的一个软件程序。当你要挑选一种防火墙的时候,应该符合以下要求:
防火墙容易被安装配置么?
防火墙能在用户不干预的情况下运行么?
需要设置什么参数?容易设置么?
有在线的帮助和可用的技术支持么?
防火墙的日志能确定攻击发生的时间、位置和类型么?
在防火墙上的花费对你的商业事务或者办公室合适么?
维护和监视需求与你的企业类型相符合么?
防火墙有什么培训要求么?
防火墙将会对整个系统的运行产生有意义的影响么?
许多的防火墙产品安装不同的功能部件就会产生不同的金钱花费。大多数的厂商出于评估的目的都会发布一个免费试用的版本,小型办公或家庭用户应当基于他们自己的需要进行选择。
选择高档完备的网络安全设备是每一个成功企业必不可少的组网设施,但是实际上更多网络中存在的威胁来自于企业内部,因此仅仅保护网络组建的边界是远远不够的,而CISCO PIX能建立一个一体化、多层次的安全体系结构可以提供更为彻底和实际的保护,提高企业内部安全防范意识才是解决企业网络安全的重中之中。企业部署Web应用程序时,应该要确保防火墙能够满足实际的应用要求的安全需求,并且防火墙能够满足深度检测的基本技术。
Cisco Secure PIX防火墙能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;另外,与应用层代理防火墙相比,其性能更高,扩展性更强。 ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时,访问才被允许通过Cisco Secure PIX防火墙。这样做,内部和外部的授权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非授权访问的侵袭。另外,实时嵌入式系统还能进一步提高Cisco Secure PIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台,但通用的操作系统并不能提供最佳的性能和安全性。而专用的 Cisco Secure PIX防火墙是为了实现安全、高性能的保护而专门设计。深度检测防火墙,将状态检测和应用防火墙技术结合在一起,以处理应用程序的流量,防范目标系统免受各种复杂的攻击。结合了状态检测的所有功能,深度检测防火墙能够对数据流量迅速完成网络层级别的分析,并做出访问控制决;对于允许的数据流,根据应用层级别的信息,对负载做出进一步的决策。CISCO PIX防火墙也结合一点深度检测防火墙的功能能够帮助网络系统快速发现网络攻击的发生,所以其功能更加强大。
当然Cisco PIX的不足之处是管理完全基于命令行方式,对于一般水平不高且不习惯于命令行界面的人来说,是一件很难的事情。如果用户需要图形化的管理界面,就必须到Cisco网站上下载一个管理软件;另外,Cisco PIX的监视和日志功能有限,为了记录日志,还必须下载一个基于Windows NT的PIX Firewall Syslog Server才行。Cisco PIX无法根据用户名或工作组来进行安全策略管理,而只能通过IP地址进行管理,而且实施安全策略管理还需要购买另一个软件包CSPM,最主要的一点是其价格较其他产品较为昂贵。
页: [1]
查看完整版本: 防火墙技术(上)