8484
社区成员
2.9w+
社区内容
- 主页
...全文
sexboyVSiron 2005年03月20日
安全:防火墙和安全审计是基础
作者:侯小东 发文时间:2003.08.11
即使从最专业安全咨询的角度来讲,大家都在强调安全策略的重要性。单纯网络安全设备的部署,仅仅是安全的一个开端,只是添加了安全大厦的砖瓦,构筑了骨架而已。因为对于硬件设备的一味依赖和迷信,反而会造成安全审计上的松懈,甚至有人讲“一个具有部分安全的网络甚至还不如一个完全没有安全措施的网络”。安全审计如果不能说是网络策略中最重要的一部分的话,至少是必不可少的。
对于网络安全的核心设备——防火墙,目前的形式已经要求它提供更为强大和完善的审计功能,不能满足于以往那种单纯的日志记录了。现在要求防火墙系统,不仅提供对于正常业务的审计,比如数据流的审计,而且需要对于负载的审计,就是说需要对于应用层数据的审计提供更全面的解决方案;同时防火墙系统应该提供对于自身系统的审计,支持必要的审计分析软件或者自带审计分析软件,绝大多数的防火墙只是提供干巴巴的日志记录而没有任何分析的余地,这样的审计系统更像是“鸡肋”,对于用户而言,他并不关心防火墙让什么样的数据流经过,而只关心有什么样的不符合安全策略的数据在试图进/出网络。
说了半天的安全审计,那么究竟什么是审计呢?这是一个非常大的概念,很难下一个具体的定义,这样讲吧,凡是对于网络的脆弱性进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计。
对于安全审计,有许多现成的模式,更有林林总总的标准和模型, 什么比如ISO7498-2,BS7799,CC和P2DR模型等,但是结合防火墙来讲,我们并不想把事情弄得如此复杂。作为一个网络边界设备和通信的中介,我们试图从一个黑客攻击网络的角度来考虑,在这整个过程中防火墙的审计功能应当如何发挥作用。
(至于防火墙对自身系统的审计,我们在这里不做过多的赘述,因为作为一个完善的体系,对于自身业务处理进行日志,我们认为是必不可少却理所当然的功能。)
对于来自外部攻击的审计
黑客通过防火墙攻击内部服务器的一般步骤:
1.黑客选定受害者目标阶段的防火墙审计
大部分的黑客是在网络中盲目寻求目标的,因此任何系统都不能心存侥幸。防火墙系统应该能够记录所有外来的访问,并且能够安全地将时间、协议、访问源和访问目标以及流量等进行分类。
同时,防火墙的审计系统能够按照安全策略,对于特定的访问请求进行详细的记录。(如图)
2,黑客隐蔽真实地址阶段的防火墙审计
为了隐藏自己的真实IP,高级的黑客会找一个跳板,比如代理服务器。对此防火墙是无能为力的,一般的情况下,就是防火墙系统对于已知的代理服务器IP采用“黑名单”的方式进行阻断。
3, 黑客探测阶段的防火墙审计
内网对外提供公开的服务,因此不可避免地会受到黑客对于目标端口和系统漏洞的扫描。目前有许多优秀的扫描工具,比如Windows平台的ISS Internet Scanner,Retina和SSS,以及国内的Fluxay等,而Unix平台的Nmap和Satan也是功能强大的扫描工具。对于防火墙而言,可以进行严格的策略设置,从而有效避免大部分的扫描。但是对于特定模式的扫描,比如fin扫描(如nmap -sF)等隐蔽方式的扫描,许多防火墙是无法识别的。
防火墙的审计系统目前还不能做到像IDS那样的模式识别,但是应该具备起码的诊断功能,能够从频率来判断扫描事件。对于ping scan, tcp scan和udp scan等,防火墙需要内置识别模块并且采取有效措施。
优秀的防火墙审计系统,应该能够自动识别或者通过策略设置来判断扫描事件,并且采取相应的措施,比如报警、阻断或者日志记录等。
即使这样,对于开放的端口,黑客还是可以根据其特定的服务进行漏洞扫描,一般情况下,对于漏洞扫描防火墙也是无法判断的,只能在日志里面如实地记录,而无法进行进一步的分析。
不过,一般的端口扫描,会伴随着对于端口的洪水攻击,比如syn flooding,udp flooding等,对于这些DOS攻击,虽然无法从根本上防备,但是防火墙的审计系统是有足够能力进行自动识别并丢弃攻击包的。
4, 黑客渗透阶段的防火墙审计
黑客一旦锁定攻击目标,那么就会尝试使用各种攻击手段进行渗透。非法入侵的方法多不胜数,我们只就常见的方式来介绍防火墙的安全审计策略。
最常见的服务器攻击是针对web和ftp的,因此,针对这两项服务,防火墙的审计系统都应该有应用层数据的审计能力。
Web服务器的安全漏洞基本上集中于服务器自身的安全漏洞,无论是java,activeX控件,还是CGI脚本都是容易被攻击的对象。虽然目前大部分的防火墙都能通过应用层的内容过滤规则来设置一些对策,但是我们建议防火墙审计系统应该是自动识别一些知名的攻击的。举个例子,许多脚本小子喜欢利用IIS的Unicode漏洞,那么防火墙的审计系统就应该自动识别类似于/scripts/..%c1%1c../winnt/system32/cmd.exe?/这种格式的非法http请求,而自动将之丢弃。
另外一种可行的审计方式是,防火墙支持和IDS的联动,这样就可以对于更多的攻击类型进行有效的分析和判断。
对于ftp服务器的攻击,一个重要的部分就是密码的嗅探和暴力破解,而且ftp采用了双端口的服务模式,更为攻击提供了方便。防火墙的审计系统对于各个ftp命令能够进行有效审计,并且能够按照策略做到命令级的控制。
就攻击类型来讲,防火墙审计系统应该具备至少判断如下类型攻击的能力:欺骗攻击,会话劫持,DOS攻击。
DOS攻击的审计我们前面提过,对于欺骗攻击和会话劫持攻击而言,基于连接的状态包过滤防火墙容易审计,简单包过滤的防火墙在处理起来就有相当的难度。因为基于连接的话,就可以在一定程度上保证完整性和信任关系。
对于黑客渗透阶段的防火墙审计工作,情况是最为复杂的,一般防火墙可辨识的攻击类型很少,而对于那些针对系统漏洞进行的攻击,防火墙基本无法识别。此时防火墙审计所带来的安全性,更多地依赖于整体安全策略的设定。
5, 黑客控制阶段的防火墙审计
一旦黑客的攻击得逞,那么防火墙的审计工作就显得尤为重要。因为只有通过有效的审计,才能知道黑客是通过什么途径来入侵并成功的。这时候防火墙的日志分析就是最关键的工作,高级的黑客一般都会从入侵系统中将自己的入侵记录删除,所以应用系统的日志一旦破坏,那么就只有依赖防火墙的记录了。
通过日志分析,获取时间、地址、协议和流量等信息,就可以有效判断网络是否开放了不必要的服务和端口,黑客是否可能利用了系统漏洞等等。
这样就有助于增强整个网络的安全性,并且有助于制定更为严格的安全策略。
对于来自内部攻击的审计
对于来自内部的攻击防火墙能作的工作很少,特别是内部那些不经过防火墙的攻击。不过防火墙可以有效阻止从内部发出的攻击,这样起码可以保证自己的服务器不会成为DDOS攻击的傀儡机。
然而,遗憾的是,大部分的安全策略设定是对于内部的数据不进行审计,而大部分的防火墙的审计系统是与访问的方向相联系的。因此目前的情况是,对于来自内部的攻击许多防火墙都无法审计,如果我们把类似Nimda、Melissa的病毒或蠕虫也当作一种攻击的话,基本上所有单独的防火墙系统最多能做的也就是按照策略进行日志记录。
防火墙的审计系统,日志是其重要组件,随着访问量的不断增大,审计数据库的管理也成为一个突出的问题。一些硬件防火墙采用Flash memory的形式,那么就会产生空间问题,因此网络日志已经成为一个趋势。
另外,由于大部分的防火墙自身不带有日志分析系统,因此是否能和专业的日志分析软件支持也将会是未来防火墙审计系统需要解决的一个问题。
因为国内的大部分的防火墙是基于linux系统的,我们建议防火墙审计系统对于Syslog的支持,这样也更有利于防火墙审计系统对于类似于WebTrends Log Analyzer这样的日志分析软件协同工作。
网络安全是一个庞大而复杂的体系,防火墙提供了基本的安全保障,但是一个不断完善的系统却需要借助于审计系统,这样才能找到一种动态的平衡。
作者:侯小东 发文时间:2003.08.11
即使从最专业安全咨询的角度来讲,大家都在强调安全策略的重要性。单纯网络安全设备的部署,仅仅是安全的一个开端,只是添加了安全大厦的砖瓦,构筑了骨架而已。因为对于硬件设备的一味依赖和迷信,反而会造成安全审计上的松懈,甚至有人讲“一个具有部分安全的网络甚至还不如一个完全没有安全措施的网络”。安全审计如果不能说是网络策略中最重要的一部分的话,至少是必不可少的。
对于网络安全的核心设备——防火墙,目前的形式已经要求它提供更为强大和完善的审计功能,不能满足于以往那种单纯的日志记录了。现在要求防火墙系统,不仅提供对于正常业务的审计,比如数据流的审计,而且需要对于负载的审计,就是说需要对于应用层数据的审计提供更全面的解决方案;同时防火墙系统应该提供对于自身系统的审计,支持必要的审计分析软件或者自带审计分析软件,绝大多数的防火墙只是提供干巴巴的日志记录而没有任何分析的余地,这样的审计系统更像是“鸡肋”,对于用户而言,他并不关心防火墙让什么样的数据流经过,而只关心有什么样的不符合安全策略的数据在试图进/出网络。
说了半天的安全审计,那么究竟什么是审计呢?这是一个非常大的概念,很难下一个具体的定义,这样讲吧,凡是对于网络的脆弱性进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计。
对于安全审计,有许多现成的模式,更有林林总总的标准和模型, 什么比如ISO7498-2,BS7799,CC和P2DR模型等,但是结合防火墙来讲,我们并不想把事情弄得如此复杂。作为一个网络边界设备和通信的中介,我们试图从一个黑客攻击网络的角度来考虑,在这整个过程中防火墙的审计功能应当如何发挥作用。
(至于防火墙对自身系统的审计,我们在这里不做过多的赘述,因为作为一个完善的体系,对于自身业务处理进行日志,我们认为是必不可少却理所当然的功能。)
对于来自外部攻击的审计
黑客通过防火墙攻击内部服务器的一般步骤:
1.黑客选定受害者目标阶段的防火墙审计
大部分的黑客是在网络中盲目寻求目标的,因此任何系统都不能心存侥幸。防火墙系统应该能够记录所有外来的访问,并且能够安全地将时间、协议、访问源和访问目标以及流量等进行分类。
同时,防火墙的审计系统能够按照安全策略,对于特定的访问请求进行详细的记录。(如图)
2,黑客隐蔽真实地址阶段的防火墙审计
为了隐藏自己的真实IP,高级的黑客会找一个跳板,比如代理服务器。对此防火墙是无能为力的,一般的情况下,就是防火墙系统对于已知的代理服务器IP采用“黑名单”的方式进行阻断。
3, 黑客探测阶段的防火墙审计
内网对外提供公开的服务,因此不可避免地会受到黑客对于目标端口和系统漏洞的扫描。目前有许多优秀的扫描工具,比如Windows平台的ISS Internet Scanner,Retina和SSS,以及国内的Fluxay等,而Unix平台的Nmap和Satan也是功能强大的扫描工具。对于防火墙而言,可以进行严格的策略设置,从而有效避免大部分的扫描。但是对于特定模式的扫描,比如fin扫描(如nmap -sF)等隐蔽方式的扫描,许多防火墙是无法识别的。
防火墙的审计系统目前还不能做到像IDS那样的模式识别,但是应该具备起码的诊断功能,能够从频率来判断扫描事件。对于ping scan, tcp scan和udp scan等,防火墙需要内置识别模块并且采取有效措施。
优秀的防火墙审计系统,应该能够自动识别或者通过策略设置来判断扫描事件,并且采取相应的措施,比如报警、阻断或者日志记录等。
即使这样,对于开放的端口,黑客还是可以根据其特定的服务进行漏洞扫描,一般情况下,对于漏洞扫描防火墙也是无法判断的,只能在日志里面如实地记录,而无法进行进一步的分析。
不过,一般的端口扫描,会伴随着对于端口的洪水攻击,比如syn flooding,udp flooding等,对于这些DOS攻击,虽然无法从根本上防备,但是防火墙的审计系统是有足够能力进行自动识别并丢弃攻击包的。
4, 黑客渗透阶段的防火墙审计
黑客一旦锁定攻击目标,那么就会尝试使用各种攻击手段进行渗透。非法入侵的方法多不胜数,我们只就常见的方式来介绍防火墙的安全审计策略。
最常见的服务器攻击是针对web和ftp的,因此,针对这两项服务,防火墙的审计系统都应该有应用层数据的审计能力。
Web服务器的安全漏洞基本上集中于服务器自身的安全漏洞,无论是java,activeX控件,还是CGI脚本都是容易被攻击的对象。虽然目前大部分的防火墙都能通过应用层的内容过滤规则来设置一些对策,但是我们建议防火墙审计系统应该是自动识别一些知名的攻击的。举个例子,许多脚本小子喜欢利用IIS的Unicode漏洞,那么防火墙的审计系统就应该自动识别类似于/scripts/..%c1%1c../winnt/system32/cmd.exe?/这种格式的非法http请求,而自动将之丢弃。
另外一种可行的审计方式是,防火墙支持和IDS的联动,这样就可以对于更多的攻击类型进行有效的分析和判断。
对于ftp服务器的攻击,一个重要的部分就是密码的嗅探和暴力破解,而且ftp采用了双端口的服务模式,更为攻击提供了方便。防火墙的审计系统对于各个ftp命令能够进行有效审计,并且能够按照策略做到命令级的控制。
就攻击类型来讲,防火墙审计系统应该具备至少判断如下类型攻击的能力:欺骗攻击,会话劫持,DOS攻击。
DOS攻击的审计我们前面提过,对于欺骗攻击和会话劫持攻击而言,基于连接的状态包过滤防火墙容易审计,简单包过滤的防火墙在处理起来就有相当的难度。因为基于连接的话,就可以在一定程度上保证完整性和信任关系。
对于黑客渗透阶段的防火墙审计工作,情况是最为复杂的,一般防火墙可辨识的攻击类型很少,而对于那些针对系统漏洞进行的攻击,防火墙基本无法识别。此时防火墙审计所带来的安全性,更多地依赖于整体安全策略的设定。
5, 黑客控制阶段的防火墙审计
一旦黑客的攻击得逞,那么防火墙的审计工作就显得尤为重要。因为只有通过有效的审计,才能知道黑客是通过什么途径来入侵并成功的。这时候防火墙的日志分析就是最关键的工作,高级的黑客一般都会从入侵系统中将自己的入侵记录删除,所以应用系统的日志一旦破坏,那么就只有依赖防火墙的记录了。
通过日志分析,获取时间、地址、协议和流量等信息,就可以有效判断网络是否开放了不必要的服务和端口,黑客是否可能利用了系统漏洞等等。
这样就有助于增强整个网络的安全性,并且有助于制定更为严格的安全策略。
对于来自内部攻击的审计
对于来自内部的攻击防火墙能作的工作很少,特别是内部那些不经过防火墙的攻击。不过防火墙可以有效阻止从内部发出的攻击,这样起码可以保证自己的服务器不会成为DDOS攻击的傀儡机。
然而,遗憾的是,大部分的安全策略设定是对于内部的数据不进行审计,而大部分的防火墙的审计系统是与访问的方向相联系的。因此目前的情况是,对于来自内部的攻击许多防火墙都无法审计,如果我们把类似Nimda、Melissa的病毒或蠕虫也当作一种攻击的话,基本上所有单独的防火墙系统最多能做的也就是按照策略进行日志记录。
防火墙的审计系统,日志是其重要组件,随着访问量的不断增大,审计数据库的管理也成为一个突出的问题。一些硬件防火墙采用Flash memory的形式,那么就会产生空间问题,因此网络日志已经成为一个趋势。
另外,由于大部分的防火墙自身不带有日志分析系统,因此是否能和专业的日志分析软件支持也将会是未来防火墙审计系统需要解决的一个问题。
因为国内的大部分的防火墙是基于linux系统的,我们建议防火墙审计系统对于Syslog的支持,这样也更有利于防火墙审计系统对于类似于WebTrends Log Analyzer这样的日志分析软件协同工作。
网络安全是一个庞大而复杂的体系,防火墙提供了基本的安全保障,但是一个不断完善的系统却需要借助于审计系统,这样才能找到一种动态的平衡。
sexboyVSiron 2005年03月20日
三.防火墙的基本类型
实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。
1.网络级防火墙
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口
号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。 下面是某一网络级防火墙的访问控制规则:
(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1;
(2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主机150.0.0.2上;
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3;
(4)允许任何WWW数据(80口)通过;
(5)不允许其他数据包进入。
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
2.应用级网关
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、 FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的代理服务,它们将通过网络级防火墙和一般的代理服务。
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。3.电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。
实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结合在一起, 如TrustInformationSystems公司的GauntletInternetFirewall;DEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,因为该网关是在会话层工作的,它就无法检查应用层级的数据包。
4.规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。
规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有。
目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1防火墙都是一种规则检查防火墙。
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数据。
四.防火墙的配置
防火墙配置有三种:Dual-homed方式、Screened-host方式和Screened-subnet方式. Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间,这个Dual-omedGateway又称为bastionhost。 这种结构成本低,但是它有单点失败的问题。
这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。
Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了。
Screened-subnet包含两个Screeningrouter和两个Bastionhost。 在公共网络和私有网络之间构成了一个隔离网, 称之为"停火区"(DMZ,即DemilitarizedZone),Bastionhost放置在"停火区"内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。
五.防火墙的安全措施
各种防火墙的安全性能不尽相同。这里仅介绍一些一般防火墙的常用安全措施。
1.防电子欺骗术
防电子欺骗术功能是保证数据包的IP地址与网关接口相符,防止通过修改IP地址的方法进行非授权访问。还应对可疑信息进行鉴别,并向网络管理员报警。
2.网络地址转移
地址转移是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。
3.开放式结构设计
开放式结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容易,典型的应用程序连接如财务软件包、病毒扫描、登录分析等。
4.路由器安全管理程序
它为Bay和Cisco的路由器提供集中管理和访问列表控制。
六.结束语
防火墙技术的致命弱点在于数据在防火墙之间的更新是一个难题,如果延迟太大将无法支持实时服务请求。额外的管理负担是另外一个弱点。此外,防火墙采用滤波技术, 滤波通常使网络的性能降低50%以上,如果为了改善网络性能而购置高速路由器,又会大大提高经济预算。一个普通路由器不足4000美元,而一个高速路由器的价格可能在20,000美元以上,这使滤波器无法广泛应用。而且,只装有滤波器往往还不足以保证安全,尤其无法防止防火墙内侧的攻击。因此,防火墙技术往往只作为辅助安全策略。
实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。
1.网络级防火墙
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口
号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。 下面是某一网络级防火墙的访问控制规则:
(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1;
(2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主机150.0.0.2上;
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3;
(4)允许任何WWW数据(80口)通过;
(5)不允许其他数据包进入。
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
2.应用级网关
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、 FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的代理服务,它们将通过网络级防火墙和一般的代理服务。
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。3.电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。
实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结合在一起, 如TrustInformationSystems公司的GauntletInternetFirewall;DEC公司的AltaVistaFirewall等产品。 另外,电路级网关还提供一个重要的安全功能:代理服务器(ProxyServer) ,代理服务器是个防火墙,在其上运行一个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,因为该网关是在会话层工作的,它就无法检查应用层级的数据包。
4.规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。
规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有。
目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1防火墙都是一种规则检查防火墙。
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数据。
四.防火墙的配置
防火墙配置有三种:Dual-homed方式、Screened-host方式和Screened-subnet方式. Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间,这个Dual-omedGateway又称为bastionhost。 这种结构成本低,但是它有单点失败的问题。
这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。
Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了。
Screened-subnet包含两个Screeningrouter和两个Bastionhost。 在公共网络和私有网络之间构成了一个隔离网, 称之为"停火区"(DMZ,即DemilitarizedZone),Bastionhost放置在"停火区"内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。
五.防火墙的安全措施
各种防火墙的安全性能不尽相同。这里仅介绍一些一般防火墙的常用安全措施。
1.防电子欺骗术
防电子欺骗术功能是保证数据包的IP地址与网关接口相符,防止通过修改IP地址的方法进行非授权访问。还应对可疑信息进行鉴别,并向网络管理员报警。
2.网络地址转移
地址转移是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。
3.开放式结构设计
开放式结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容易,典型的应用程序连接如财务软件包、病毒扫描、登录分析等。
4.路由器安全管理程序
它为Bay和Cisco的路由器提供集中管理和访问列表控制。
六.结束语
防火墙技术的致命弱点在于数据在防火墙之间的更新是一个难题,如果延迟太大将无法支持实时服务请求。额外的管理负担是另外一个弱点。此外,防火墙采用滤波技术, 滤波通常使网络的性能降低50%以上,如果为了改善网络性能而购置高速路由器,又会大大提高经济预算。一个普通路由器不足4000美元,而一个高速路由器的价格可能在20,000美元以上,这使滤波器无法广泛应用。而且,只装有滤波器往往还不足以保证安全,尤其无法防止防火墙内侧的攻击。因此,防火墙技术往往只作为辅助安全策略。
sexboyVSiron 2005年03月20日
防火墙的安全性分析
--------------------------------------------------------------------------------
www.rising.com.cn 2002-10-23 14:50:00 信息源:不详
近年来, 网络犯罪的递增、大量黑客网站的诞生,促使人们思考网络的安全性问题。各种网络安全工具也跟着在市场上被炒得火热。其中最受人注目的当属网络安全工具中最早成熟,也是最早产品化的网络防火墙产品了。目前防火墙产品已经进入战国时代,在全球至少有千种以上的防火墙,那么防火墙到底是一种什么东西?它有那些技术指标?我们应该怎样选择一个合适的防火墙呢?本文试图就这些问题对防火墙进行探讨。
。一. 防火墙是什么?
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息
。二.防火墙的安全技术分析
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认识。
1.正确选用、合理配置防火墙非常不容易
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系统,配置有效的防火墙应遵循这样四个基本步骤:
a. 风险分析;
b. 需求分析;
c. 确立安全政策;
d. 选择准确的防护手段,并使之与安全政策保持一致。
然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防火墙能否“防火”还是个问题。
2.需要正确评估防火墙的失效状态
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻破,它的状态如何? 按级别来分,它应有这样四种状态:
a.未受伤害能够继续正常工作;
b.关闭并重新启动,同时恢复到正常工作状态;
c.关闭并禁止所有的数据通行;
d.关闭并允许所有的数据通行。
前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐患。
3.防火墙必须进行动态维护
防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
4.目前很难对防火墙进行测试验证防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大:
a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试的工具软件。
b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作难以达到既定的效果。
c.选择“谁”进行公正的测试也是一个问题。
可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,进而提出这样一个问题:不进行测试,何以证明防火墙安全?
5.非法攻击防火墙的基本“招数”
a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。
这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地址缺乏识别和验证的机制。
通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出请求建立起来的,而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。
具体分三个步骤:
1.主机A产生它的ISN,传送给主机B,请求建立连接;
2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息ACK一同返回给A;
3. A再将B传送来的ISN及应答信息ACK返回给B。
至此,正常情况,主机A与B的TCP连接就建立起来了。
IP地址欺骗攻击的第一步是切断可信赖主机。
这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾不暇"的忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障,只能发出无法建立连接的RST包而无暇顾及其他。
攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目标主机发出连接请求。
请求发出后,目标主机会认为它是TCP连接的请求者,从而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主机。
随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网络。
归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许Rlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允许Win95/NT文件共享;Open端口。
b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能,处于失效状态。
C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,因此不仅涉及网络安全,还涉及主机安全问题。
以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则无能为力。
从技术来讲,绕过防火墙进入网络并非不可能。
目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存在各种网络外部或网络内部攻击防火墙的技术手段。
--------------------------------------------------------------------------------
www.rising.com.cn 2002-10-23 14:50:00 信息源:不详
近年来, 网络犯罪的递增、大量黑客网站的诞生,促使人们思考网络的安全性问题。各种网络安全工具也跟着在市场上被炒得火热。其中最受人注目的当属网络安全工具中最早成熟,也是最早产品化的网络防火墙产品了。目前防火墙产品已经进入战国时代,在全球至少有千种以上的防火墙,那么防火墙到底是一种什么东西?它有那些技术指标?我们应该怎样选择一个合适的防火墙呢?本文试图就这些问题对防火墙进行探讨。
。一. 防火墙是什么?
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息
。二.防火墙的安全技术分析
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认识。
1.正确选用、合理配置防火墙非常不容易
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系统,配置有效的防火墙应遵循这样四个基本步骤:
a. 风险分析;
b. 需求分析;
c. 确立安全政策;
d. 选择准确的防护手段,并使之与安全政策保持一致。
然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防火墙能否“防火”还是个问题。
2.需要正确评估防火墙的失效状态
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻破,它的状态如何? 按级别来分,它应有这样四种状态:
a.未受伤害能够继续正常工作;
b.关闭并重新启动,同时恢复到正常工作状态;
c.关闭并禁止所有的数据通行;
d.关闭并允许所有的数据通行。
前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐患。
3.防火墙必须进行动态维护
防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
4.目前很难对防火墙进行测试验证防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大:
a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试的工具软件。
b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作难以达到既定的效果。
c.选择“谁”进行公正的测试也是一个问题。
可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,进而提出这样一个问题:不进行测试,何以证明防火墙安全?
5.非法攻击防火墙的基本“招数”
a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。
这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地址缺乏识别和验证的机制。
通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出请求建立起来的,而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。
具体分三个步骤:
1.主机A产生它的ISN,传送给主机B,请求建立连接;
2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息ACK一同返回给A;
3. A再将B传送来的ISN及应答信息ACK返回给B。
至此,正常情况,主机A与B的TCP连接就建立起来了。
IP地址欺骗攻击的第一步是切断可信赖主机。
这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾不暇"的忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障,只能发出无法建立连接的RST包而无暇顾及其他。
攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目标主机发出连接请求。
请求发出后,目标主机会认为它是TCP连接的请求者,从而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主机。
随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网络。
归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许Rlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允许Win95/NT文件共享;Open端口。
b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能,处于失效状态。
C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,因此不仅涉及网络安全,还涉及主机安全问题。
以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则无能为力。
从技术来讲,绕过防火墙进入网络并非不可能。
目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存在各种网络外部或网络内部攻击防火墙的技术手段。