INTERNET或信息发布服务
这种情况非常普遍,ISP或ICP,企业的网页,在INTERNET上提供息服务或提供数据库服务等。任何一种想提供普遍服务或广而告之的网络行为,必须允许用户能够访问到你提供服务的主机,都属于这种情况。
对访问服务行业而言,访问服务提供者必须把要提供服务的服务器主机放在外部用户可以访问的地方,也就是说,主机安全几乎是唯一的保证。除非明确地知道 谁会对你的访问惊醒破坏,才可以对出口路由器或出口防火墙惊醒一些针对性的限制访问控制的设定,否则,访问控制变得毫无意义。
主机安全是一个非常有效的手段。所谓的主机安全是一个非常广义的概念,首先是要有一个安全的操作系统,建立在一个不安全、甚至稳定性都很差的操作系统上,是无法作到一个安全的主机。然后是仔细的检查你所提供的服务,如果不是你所必须提供的服务,建议除掉一切你所不需要的进程,对你的服务而言,它们都是你安全上的隐患。
可以采用一些安全检测或网络扫描工具来确定你的服务器上到底有伸麽服务,以保证是否有安全漏洞或隐患。最后是对主机确定非常严格的访问限制规则,除了允许提供商愿意提供的服务之外,宣纸并拒绝所有未允许的服务,这是一个非常严格的措施。
除了主机安全以外,如果还需要提高服务的安全性,就该考虑采用网络实时监控和交互式动态防火墙。网络实时监控系统,会自动捕捉网络上所有的通信包,并对其进行分析和解析,并判断出用户的行为和企图。如果发现用户的行为或企图与服务商所允许的服务不同,交互式防火墙立即采取措施,封堵或拒绝用户的访问,将其拒绝在防火墙之外,并报警。网络实时监控系统和交互式防火墙具有很强的审计功能,但成本相对偏高。
INTERNET和内部网
企业一方面访问INTERNET,得到INTERNET所带来的好处,另一方面,却不希望外部用户去访问企业的内部数据库和网络。企业当然没有办法去建立两套网络来满足这种需求。
防火墙的基本思想不是对每台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对受保护的内部网和不可信任的外界网络之间建立一道屏障,它可以实施比较惯犯的安全政策来控制信息流,防止不可预料的潜在的入侵破坏。
根据企业内部网安全政策的不同,采取防火墙的技术手段也有所不同。
1.包过滤防火墙
包过滤防火墙的安全性是基于对包的IP地址的校验。在Internet上,所有信息都是以包的形式传输的,信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉,以保证网络系统的安全。
包过滤防火墙是基于访问控制来实现的。它利用数据包的头信息(源IP地址、封装协议、端口号等)判定与过滤规则相匹配与否决定舍取。建立这类防火墙需按如下步骤去做;建立安全策略;写出所允许的和禁止的任务;将安全策略转化为数据包分组字段的逻辑表达式;用相应的句法重写逻辑表达式并设置之,
包过滤防火墙主要是防止外来攻击,或是限制内部用户访问某些外部的资源。如果是防止外部攻击,针对典型攻击的过滤规则,大体有:
对付源IP地址欺骗式攻击(Source IP Address Spoofing Attacks)
对入侵者假冒内部主机,从外部传输一个源IP地址为内部网络IP地址的数据包的这类攻击,防火墙只需把来自外部端口的使用内部源地址的数据包统统丢弃掉。
对付残片攻击(Tiny Fragment Attacks)
入侵者使用TCP/IP数据包 分段特性,创建极小的分段并强行将TCP/IP头信息分成多个数据包,以绕过用户防火墙的过滤规则。黑客期望防火墙只检查第一个分段而允许其余的分段通过。对付这类攻击,防火墙只需将TCP/IP协议片断位移植(Fragment Offset)为1的数据包全部丢弃即可。
包过滤防火墙简单、透明,而且非常行之有效,能解决大部分的安全问题,但必须了解包过滤防火墙不能做伸麽和有伸麽缺点。
对于采用动态分配端口的服务,如很多RPC(远程过程调用)服务相关联的服务器在系统启动时随机分配端口的,就很难进行有效地过滤。
包过滤防火墙只按照规则丢弃数据包而不对其作日志,导致对过滤的IP地址的不同用户,不具备用户身份认证功能,不具备检测通过高层协议(如应用层)实现的安全攻击的能力。
2.代理防火墙
包过滤防火墙从很大意义上像一场战争,黑客想攻击,防火墙坚决予以拒绝。而代理服务器则是另外一种方式,能回避就回避,甚至干脆隐藏起来。代理服务器接收客户请求后会检查验证其合法性,如其合法,代理服务器象一台客户机一样取回所需的信息再转发给客户。它将内部系统与外界隔离开来,从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理的服务通过,而其他所有服务都完全被封锁住。
代理服务器非常适合那些根本就不希望外部用户访问企业内部的网络,而也不希望内部的用户无限制的使用或滥用INTERNET。采用代理服务器,可以把企业的内部网络隐藏起来,内部的用户需要验证和授权之后才可以去访问INTERNET。
代理服务器包含两大类:一类是电路级代理网关,另一类是应用级代理网关。
电路级网关又称线路级网关,它工作在会话层。它在两主机收次建立TCP连接时创立一个电子屏障。它作为服务器接收外来请求,转发请求;与被保护的主机连接时则担当客户机角色、起代理服务的作用。它监视两主机建立连接时的握手信息,如Syn、Ack和序列数据等是否合乎逻辑,信号有效后网关仅复制、传递数据,而不进行过滤。电路网关中特殊的客户程序只在初次连接时进行安全协商控制,其后就透明了。只有懂得如何与该电路网关通信的客户机才能到达防火墙另一边的服务器。
电路级网关的防火墙的安全性比较高,但它仍不能检查应用层的数据包以消除应用层攻击的威胁。
应用级网关使用软件来转发和过滤特定的应用服务,如TELNET、FTP等服务的连接。这是一种代理服务。它只允许有代理的服务通过,也就是说只有那些被认为“可信赖的”服务才被允许通过防火墙。另外代理服务还可以过滤协议,如过滤FTP连接、拒绝使用FTP放置命令等。应用级网关的安全性高,其不足是要为每种应用提供专门的代理服务程序。
两种代理技术都具有登记、日记、统计和报告功能,有很好的审计功能。还可以具有严格的用户认证功能。先进的认证措施,如验证授权RADIUS、智能卡、认证令牌、生物统计学和基于软件的工具已被用来克服传统口令的弱点。
3.状态监控技术
网络状态监控技术普遍被认为是下一代的网络安全技术。传统的网络状态监控技术对网络安全正常的工作完全没有影响的前提下,采用捕捉网络数据包的方法对网络通信的各个层次实行监测,并作安全决策的依据。监视模块支持多种网络协议和应用协议,可以方便地实现应用和服务扩充。状态监视服务可以监视RPC(远程过程调用)和UDP(用户数据包)端口信息,而包过滤和代理服务则都无法做到。
网络状态监控对主机的要求非常高,128M的内存可能是一个基本的要求,硬盘的要求也非常大,至少要求9G,对SWAP区至少也要求192M以上。一个好的网络状态监控系统,处理的量可能高达每秒45M左右(一条T3的线路)。
网络状态的监控的结果,直接就是要求能够有一种交互式的防火墙来满足客户较高的要求。中网的IP防火墙就是这样一种产品。
虚拟专用网VPN
EXTRANET和VPN是现代网络的新热点。虚拟专用网的本质实际上涉及到密码的问题。在无法保证电路安全、信道安全、网络安全、应用安全的情况下,或者也不相信其他安全措施的情况下,一种行之有效的办法就是加密,而加密就是必须考虑加密算法和密码的问题。考虑到我国对密码管理的体制情况,密码是一个单独的领域。对防火墙而言,是否防火墙支持对其他密码体制的支持,支持提供API来调用第三方的加密算法和密码,非常重要。
【编辑推荐】
