hdj1211 发表于 2009-6-3 00:01:55

防火墙工作原理三

4. Alkatel Internet Devices 系列防火墙
----1999年6月,阿尔卡特公司与Internet Devices经过谈判达成协议,以1.8亿美元巨资收购Internet Devices公司——一个在业界具有重要地位的防火墙和VPN解决方案供应商。
----Internet Devices 公司专门从事高性能计算机网络安全系统的设计、开发、销售和服务,其产品系列Internet Devices1000/3000/5000 和Internet Devices10K分别适用于小型、中型、大型网络环境。其中Internet Devices3000、Internet Devices5000 及Internet Devices10K带有VPN功能,支持VPN 移动用户。
----Internet Devices硬件防火墙采用独有的ASIC 设计和基于Intel的FreeBSD Unix 平台,使用简单易行,用户只需要插入装置,开通Web浏览器与内部网络接口的连接并进行简单的设置,就可以完成防火墙的配置。Internet Devices系列产品率先提供了100MB的吞吐能力和无用户数限制,并支持64000个并发会话,有效地消除了软件防火墙的性能瓶颈,达到了安全和性能的完美统一。
----Internet Devices系列产品都支持自定义插件组合,所有产品都具备以下特性:企业级防火墙安全性、集中策略管理、网络地址转换(NAT)、完整的LDAP数据库、SPAM E-mail 过滤器、Web 高速缓存、全面的报告以及广泛的诊断。
5. 北京天融信公司网络卫士防火墙
----北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。其中,防火墙由多个模块组成,包括包过滤、应用代理、NAT、VPN、防攻击等功能模块,各模块可分离、裁剪和升级,以满足不同用户的需求。管理器的硬件平台为能运行Netscape 4.0浏览器的Intel兼容微机,软件平台采用Win 9x操作系统。
----网络卫士防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。它目前有 FW-2000和 NG FW-3000两种产品。该系统在增强传统防火墙安全性的同时,还通过VPN架构,为企业网提供一整套从网络层到应用层的安全解决方案,包括访问控制、身份验证、授权控制、数据加密、数据完整性等安全服务。
----在体系结构上,网络卫士采用了集中控制下的分布式客户机/服务器结构,性能好、配置灵活。公司内部网络可以设置多个防火墙,并由一个管理器负责监控。对于受安全保护的信息,客户只有在获得授权后才能访问它。此外,网络卫士还支持多种应用程序、服务和协议,包括Web、E-mail、FTP、Telnet和基于TCP协议的应用程序等。
----网络卫士防火墙采用了领先一步的SSN(安全服务器网络)技术,安全性高于其他防火墙普遍采用的DMZ(隔离区)技术。SSN与外部网之间有防火墙保护,与内部网之间也有防火墙保护,一旦SSN受到破坏,内部网络仍会处于防火墙的保护之下。值得一提的是,网络卫士防火墙系统是中国人自己设计的,因此管理界面完全是中文化的,使管理工作更加方便。目前,网络卫士防火墙已经获得公安部颁发的《计算机信息系统安全专用产品销售许可证》,并在许多单位获得了广泛的应用。
6. NAI Gauntlet防火墙
----NAI公司是全球著名的网络安全产品提供商,其产品包括网络监测、防火墙以及防病毒产品等。NAI的Gauntlet防火墙使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力,很好地解决了安全、性能及灵活性之间的协调问题。由于完全使用应用层代理服务,Gauntlet提供了一种安全性较高的解决方案,从而对访问的控制更加细致。
----虽然应用代理防火墙具有很好的安全性,但速度不尽如人意。因此,NAI公司随后又推出了具有“自适应代理”特性的防火墙,这种防火墙不仅能维护系统安全,还能够动态“适应”传送中的分组流量。自适应代理防火墙允许用户根据具体需求,定义防火墙策略,而不会牺牲速度或安全性。如果对安全要求较高,那么最初的安全检查仍在应用层进行,保证实现传统代理防火墙的最大安全性。而一旦代理明确了会话的所有细节,其后的数据包就可以直接经过速度更快的网络层。Gauntlet防火墙的新型自适应代理技术还允许单个安全产品,如安全脆弱性扫描器、病毒安全扫描器和入侵防护传感器之间实现更加灵活的集成。作为自适应安全计划的一部分,NAI将允许经过正确验证的设备在安全传感器和扫描仪发现重要的网络威胁时,根据防火墙管理员事先确定的安全策略,自动“适应”防火墙级别。

防火墙的分类
---- 防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是 “是”,则说明企业内部网还没有在网络层采取相应的防范措施。
----作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
----根据防火墙所采用的技术不同,我们可以将它分为三种基本类型:包过滤型、代理型和监测型。
----1.包过滤型
----包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、 TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包” 是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
----包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
----但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
----2.代理型
----代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
----代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
----3.监测型
----监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。

如何选择防火墙?
---- 选择防火墙的标准有很多,但最重要的是以下几条:
----1.总拥有成本
----防火墙产品作为网络系统的安全屏障,其总拥有成本 (TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
----2.防火墙本身是安全的
----作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
----通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
----3.管理与培训
----管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
----4.可扩充性
----在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
----5.防火墙的安全性
----防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。


防火墙的部署
---- 虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
----实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
----那么我们究竟应该在哪些地方部署防火墙呢?
----首先,应该安装防火墙的位置是公司内部网络与外部 Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
----请记住,安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。


用户选购防火墙的十项注意
赛迪  
  防火墙作为网络安全体系的基础和核心控制设备,它贯穿于受控网络通信主干线,对通过受控干线的任何通信行为进行安全处理,如控制、审计、报警、反应等,同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置,自身还要面对各种安全威胁,因此,选用一个安全、稳定和可靠的防火墙产品,其重要性不言而喻。
  ■注意一:防火墙自身是否安全
  防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的,同时防火墙自身的安全实现也直接影响整体系统的安全性。防火墙安全指标最终可归结为以下两个问题:
  1.防火墙是否基于安全(甚至是专用)的操作系统;
  2.防火墙是否采用专用的硬件平台。
  只有基于安全(甚至是专用)的操作系统并采用专用硬件平台的防火墙才可能保证防火墙自身的安全。
  ■注意二:系统是否稳定
  就一个成熟的产品来说, 系统的稳定性是最基本的要求。目前,由于种种原因,国内有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场,这样一来其稳定性就可想而知了。相信没有一个网管人员愿意把自己的网络作为防火墙的测试平台。防火墙的稳定性情况从厂家的宣传材料中是看不出来的,但可以从以下几个渠道获得:
  1. 国家权威的测评认证机构,如公安部计算机安全产品检测中心和中国国家信息安全测评认证中心。
  2.与其它产品相比,是否获得更多的国家权威机构的认证、推荐和入网证明(书)。
  3. 实际调查,这是最有效的办法, 考察这种防火墙是否已经有了使用单位, 其用户量也至关重要, 特别是用户们对于该防火墙的评价。如有可能, 最好咨询一下那些对稳定性要求较高的重要单位的用户,如政府机关、国家部委、证券或银行系统、军队用户等。
  4.自己试用,先在自己的网络上进行一段时间的试用(一个月左右),如果在试用期间时常有宕机现象的话,这种产品就可以完全不用考虑了。
  5.厂商开发研制的历史,这也是一个重要指标,通过以往的经验,一般来说,如果没有两年以上的开发经历恐怕难保产品的稳定性。
  6.厂商的实力,这一点也应该着重考虑,如资金、技术开发人员、市场销售人员和技术支持人员多少等等。相信一家注册资金几百万。人员不过二三十人的公司是不可能保证产品的稳定性的。
  ■注意三:是否高效
  高性能是防火墙的一个重要指标,它直接体现了防火墙的可用性,也体现了用户使用防火墙所需付出的安全代价。如果由于使用防火墙而带来了网络性能较大幅度地下降的话,就意味着安全代价过高,用户是无法接受的。一般来说,防火墙加载上百条规则,其性能下降不应超过5%(指包过滤防火墙)。支持多少个连接也可以计算出一个指标,虽然这并不能完全定义或控制。
  ■注意四:是否可靠
  可靠性对防火墙类访问控制设备来说尤为重要,其直接影响受控网络的可用性。从系统设计上,提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件,这要求有较高的生产标准和设计冗余度,如使用工业标准、电源热备份、系统热备份等。
  ■注意五:功能是否灵活
  对通信行为的有效控制,要求防火墙设备有一系列不同级别,满足不同用户的各类安全控制需求的控制注意。控制注意的有效性、多样性、级别目标的清晰性、制定的难易性和经济性等,体现着控制注意的高效和质量。例如对普通用户,只要对 IP 地址进行过滤即可;如果是内部有不同安全级别的子网,有时则必须允许高级别子网对低级别子网进行单向访问;如果还有移动用户如出差人员的话,还要求能根据用户身份进行过滤。
  ■注意六:配置是否方便
  在网络入口和出口处安装新的网络设备是每个网管员的恶梦, 因为这意味着必须修改几乎全部现有设备的配置, 还得面对由于运行不稳定而遭至的铺天盖地的责难。其实有时并不是设备有问题, 而是网络经过长期运行后,内部情况极端复杂,做任何改动都需要一段整合期。防火墙有没有比较简洁的安装方法呢?有!那就是支持透明通信的防火墙,它依旧接在网络的入口和出口处,但是在安装时不需要对原网络配置做任何改动,所做的工作只相当于接一个网桥或Hub。需要时, 两端一连线就可以工作;不需要时,将网线恢复原状即可。
  目前市场上支持透明方式的防火墙较多, 在选购时需要仔细鉴别。大多数防火墙只能工作于透明方式或网关方式,只有极少数防火墙可以工作于混合模式,即可以同时作为网关和网桥,后一种防火墙在使用时显然具有更大的方便性。
  配置方便性的另一个方面是管理的方便性。网络设备和桌面设备不同,界面的美观不代表方便性(当然这也是很重要的),90%的Cisco路由器就是通过命令行进行管理的。在选择防火墙时也应该考察它是否支持串口终端管理。
  ■注意七:管理是否简便
  网络技术发展很快,各种安全事件不断出现,这就要求安全管理员经常调整网络安全注意。对于防火墙类访问控制设备,除安全控制注意的不断调整外,业务系统访问控制的调整也很频繁,这些都要求防火墙的管理在充分考虑安全需要的前提下,必须提供方便灵活的管理方式和方法,这通常体现为管理途径、管理工具和管理权限。
  防火墙设备首先是一个网络通信设备,管理途径的提供要兼顾通常网络设备的管理方式。现实情况下,安全管理员大多由网管人员兼任,因此,管理方式还要适合网管人员管理的操作习惯,如远程telnet登录管理及管理命令的在线帮助等。管理工具主要为GUI类管理器,用它管理很直观,这对于设备的初期管理和不太熟悉的管理人员来说是一种有效的管理方式(如果有上百条规则的管理量,网管人员一条一条地往防火墙里输入规则,那真是一件痛苦的事)。权限管理是管理本身的基础,但是严格的权限认证可能会带来管理方便性的降低。
  综上所述,是否具有满足以上要求的综合管理方式是网管人员在选择防火墙时需要重点考察的内容。
  ■注意八:是否可以抵抗拒绝服务攻击
  在当前的网络攻击中,拒绝服务攻击是使用频率最高的方法, Yahoo!等网站遭受的就是拒绝服务攻击。拒绝服务攻击可以分为两类。
  一类是由于操作系统或应用软件本身设计或编程上的缺陷而造成的,由此带来的攻击种类很多,只有通过打补丁的办法来解决;另一类是由于TCP/IP协议本身的缺陷造成的,只有有数的几种,但危害性非常大,如Synflooding等。
  要求防火墙解决第一类攻击显然是强人所难。系统缺陷和病毒不同, 没有病毒码可以作为依据,因此在判断到底是不是攻击时常常出现误报现象,目前国内外的入侵检测产品对这类攻击的检测至少有 50% 的误报率。而且这类攻击检测产品不能装在防火墙上, 否则防火墙可能把合法的报文认为是攻击。防火墙能做的是对付第二类攻击,当然要彻底解决这类攻击也是很难的。抵抗拒绝服务攻击应该是防火墙的基本功能之一,目前有很多防火墙号称可以抵御拒绝服务攻击,实际上严格地说,它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击。因此在采购防火墙时,网管人员应该详细考察这一功能的真实性和有效性。
  ■注意九:是否可以针对用户身份进行过滤
  防火墙过滤报文时,最基础的是针对 IP 地址进行过滤。大家都知道,IP 地址是非常容易修改的,只要打听到内部网里谁可以穿过防火墙,那么将自己的 IP 地址改成和他的一样就可以了。这就需要一个针对用户身份而不是IP地址进行过滤的办法。目前防火墙上常用的是一次性口令验证机制, 通过特殊的算法, 保证用户在登录防火墙时, 口令不会在网络上泄露,这样防火墙就可以确认登录上来的用户确实和他所声称的一致。
  这样做的好处有两个: 一,用户可以随便找一台机器, 登录防火墙, 防火墙也可以判断他的权限, 进行适当地过滤;二,用户出差时, 可以通过登录公司的防火墙访问公司内部的服务器,不用担心在电话网上泄露口令。这种方法在没有加密手段或加密成本较高时还是比较实用的。
  ■注意十:是否具有可扩展、可升级性
  用户的网络不是一成不变的,现在可能主要是在公司内部网和外部网之间做过滤,随着业务的发展,公司内部可能具有不同安全级别的子网,这就需要在这些子网之间做过滤。目前市面上的防火墙一般标配三个网络接口,分别接外部网、内部网和SSN。因此,在购买防火墙时必须问清楚,是否可以增加网络接口,因为有些防火墙设计成只支持三个接口的,不具有扩展性。
  和防病毒产品类似,随着网络技术的发展和黑客攻击手段的变化,防火墙也必须不断地进行升级,此时支持软件升级就很重要了。如果不支持软件升级的话,为了抵御新的攻击手段,用户就必须进行硬件上的更换,而在更换期间您的网络是不设防的,同时您也要为此花费更多的钱。
  以上就是我们认为您在选购防火墙时需要注意的十个问题,如果您能全面考虑到这些问题,防火墙的选购就不会成为难题了。/qzone/newblog/v5/editor/css/loading.gif
页: [1]
查看完整版本: 防火墙工作原理三