退出
网络安全技术
?学习目的,
? 了解 访问控制技术 的基本概念
? 熟悉 防火墙技术基础
? 初步掌握 防火墙安全设计策略
? 了解防火墙攻击策略
? 了解 第四代防火墙的主要技术
? 了解 防火墙发展的新方向
? 了解防火墙选择原则与常见产品
?学习重点,
? Windows NT/2K安全访问控制手段
? 防火墙安全设计策略
? 防火墙攻击策略
? 防火墙选择原则
3,1
访问控制技术
3,1,1 访问控制技术概述
1,访问控制的定义
访问控制是针对越权使用资源的防御措施,
是网络安全防范和保护的主要策略,主要任务是
保证网络资源不被非法使用和非常访问。
也是保证网络安全的核心策略之一。
2,基本目标
防止对任何资源进行未授权的访问,从而使
计算机系统在合法范围内使用;决定用户能做什
么。
3,访问控制的作用
( 1)访问控制对机密性、完整性起直接
的作用。
( 2)对于可用性的有效控制
3,1,2 访问控制策略
访问控制策略 (Access Control Policy)是
在系统安全策略级上表示授权,是对访问如何控
制、如何作出访问决定的高层指南。
1,自主访问控制
自主访问控制 (DAC)也称基于身份的访问控
制 (IBAC),是针对访问资源的用户或者应用设
置访问控制权限;根据主体的身份及允许访问的
权限进行决策;自主是指具有某种访问能力的主
体能够自主地将访问权的某个子集授予其它主体
,访问信息的决定权在于信息的创建者。
?自主访问控制可以分为以下两类,
(1) 基于个人的策略
(2) 基于组的策略
? 自主访问控制存在的问题:配置的粒度小,
配置的工作量大, 效率低 。
? 特点:灵活性高, 被大量采用 。
? 缺点:安全性最低 。
2,强制访问控制
强制访问控制( MAC)也称基于规则的访问控
制( RBAC),在自主访问控制的基础上,增加了
对资源的属性 (安全属性 )划分,规定不同属性下
的访问权限。
3,基于角色的访问控制
基于角色的访问控制( RBAC)是与现代的商
业环境相结合后的产物,同时具有基于身份策略
的特征,也具有基于规则的策略的特征,可以看
作是基于组的策略的变种,根据用户所属的角色
作出授权决定。
4.多级策略法
多级策略给每个目标分配一个密级,一般安
全属性可分为四个级别:最高秘密级( Top
Secret)、秘密级( Secret)、机密级(
Confidene)以及无级别级( Unclassified )。
3,1,3 访问控制的常用实现方法
访问控制的常用实现方法是指访问控制策略
的软硬件低层实现。访问控制机制与策略独立,
可允许安全机制的重用。安全策略之间没有更好
的说法,应根据应用环境灵活使用。
1,访问控制表 (ACL)
?优点,
控制粒度比较小,适用于被区分的用户数比
较小的情况,并且这些用户的授权情况相对比较
稳定的情形。
2,访问能力表
授权机构针对每个限制区域,都为用户维护
它的访问控制能力。
3,安全标签
发起请求的时候,附属一个安全标签,在目
标的属性中,也有一个相应的安全标签。在做出
授权决定时,目标环境根据这两个标签决定是允
许还是拒绝访问,常常用于多级访问策略。
4,基于口令的机制
( 1)与目标的内容相关的访问控制
( 2)多用户访问控制
( 3)基于上下文的控制
对于用户而言,Windows NT/2K有以下几种管
理手段,
1,用户帐号和用户密码
3,1,4 Windows NT/2K
安全访问控制手段
2,域名管理
3,用户组权限
4,共享资源权限
3,2
防火墙技
术
基础
1,防火墙( FireWall)
?一个防火墙的基本目标为,
1)对于一个网络来说,所有通过, 内部, 和
,外部, 的网络流量都要经过防火墙;
2)通过一些安全策略,来保证只有经过授权
的流量才可以通过防火墙;
3)防火墙本身必须建立在安全操作系统的基
础上。
3,2,1 防火墙概述
2,防火墙的优点
( 1)防火墙对企业内部网实现了集中的安全管理,可
以强化网络安全策略,比分散的主机管理更经济易行
。
( 2)防火墙能防止非授权用户进入内部网络。
( 3)防火墙可以方便地监视网络的安全性并报警。
( 4)可以作为部署网络地址转换( Network Address
Translation )的地点,利用 NAT 技术,可以缓解地址
空间的短缺,隐藏内部网的结构。
( 5)利用防火墙对内部网络的划分,可以实现重点网
段的分离,从而限制问题的扩散。
( 6)由于所有的访问都经过防火墙,防火墙是审计和
记录网络的访问和使用的最佳地方。
3,防火墙的局限性
( 1)限制有用的网络服务。
( 2)无法防护内部网络用户的攻击。
( 3) Internet防火墙无法防范通过防火墙以外
的其他途径的攻击。
( 4) Internet防火墙也不能完全防止传送已感
染病毒的软件或文件。
( 5)防火墙无法防范数据驱动型的攻击。
( 6)不能防备新的网络安全问题。
4,防火墙的作用
防火墙用于加强网络间的访问控制,防止外
部用户非法使用内部网的资源,保护内部网络
的设备不被破坏,防止内部网络的敏感数据被
窃取。
防火墙系统决定了哪些内部服务可以被外界
访问;外界的哪些人可以访问内部的哪些可以
访问的服务,以及哪些外部服务可以被内部人
访问。
1,数据包过滤路由器
?防火墙常见的有三种类型:数据包过滤路由器
、应用层网关、电路层网关。
3,2,2 防火墙的类型
( 1)数据包过滤原理
?数据包过滤技术是防火墙最常用的技术。
?数据包过滤技术,顾名思义是在网络中适当的
位置对数据包实施有选择的通过,选择依据,即
为系统内设置的过滤规则(即访问控制表),只
有满足过滤规则的数据包才被转发至相应的网络
接口,其余数据包则被从数据流中删除。
?数据包过滤可以控制站点与站点, 站点与网络
和网络与网络之间的相互访问, 但不能控制传输
的数据内容 。
?包过滤检查模块深入到系统的网络层和数据链
路层之间。 下图是一个包过滤模型原理图,
IP
1 物理层
3 网络层
2 数据链路层
TCP Session App li ca ti on
Data
与过滤规
则匹配吗?
还有另外
的规则吗?
转发包吗? 审计 / 报警
发送 NACK
丢弃包 结束
防火墙检查模块
4 传输层
5 会话层
6 表示层
7 应用层
① 设置步骤
?必须制定一个安全策略;
?必须正式规定允许的包类型、包字段的逻辑表达;
?必须用防火墙支持的语法重写表达式。
② 按地址过滤
?比如说,认为网络 202.110.8.0是一个危险的网络
,那么就可以用源地址过滤禁止内部主机和该网络
进行通信。下表是根据上面的政策所制定的规则。
拒绝 内部网络 2 0 2, 1 1 0, 8, 0 入 B
拒绝 2 0 2, 1 1 0, 8, 0 内部网络 出 A
动作 目标地址 源 地址 方
向
规则
③ 按服务过滤
假设安全策略是禁止外部主机访问内部的
E-mail服务器( SMTP,端口 25),允许内部主
机访问外部主机,实现这种的过滤的访问控制
规则类似下表。
缺省 状态 * * * * 拒绝 双向 C
允许联接 * * * * 允许 出 B
不信任 25 E - m a i l * M 拒绝 进 A
注释 目的端口 目的地址 源端口 源 地址 动作 方向 规则
,*”代表任意值,没有被过滤器规则明确允许
的包将被拒绝。
( 2)数据包过滤特性分析
?主要优点:是仅一个关健位置设置一个数据包
过滤路由器就可以保护整个网络,而且数据包过
滤对用户是透明的,不必在用户机上再安装特定
的软件
?缺点和局限性:包过滤规则配置比较复杂,而且
几乎没有什么工具能对过滤规则的正确性进行测
试;包过滤也没法查出具有数据驱动攻击这一类
潜在危险的数据包;除此之外,随着过滤数目的
增加,路由器的吞吐量会下降,从而影响网络性
能。
2,应用层网关( Application Gateway)
( 1)应用层网关原理
?也称为代理服务器,代理( Proxy)技术与包过
滤技术完全不同,包过滤技术是在网络层拦截所
有的信息流,代理技术是针对每一个特定应用都
有一个程序。代理是企图在应用层实现防火墙的
功能,代理的主要特点是有状态性。代理能提供
部分与传输有关的状态,能完全提供与应用相关
的状态和部分传输方面的信息,代理也能处理和
管理信息。
?下图是应用层网关的结构示意图,其中内部网
的一个 Telnet客户通过代理访问外部网的一个
Telnet服务器的情况。
提供代理的应用层网关主要有以下优点,
① 应用层网关有能力支持可靠的用户认证并提供
详细的注册信息。
② 用于应用层的过滤规则相对于包过滤路由器来说
更容易配置和测试。
③ 代理工作在客户机和真实服务器之间,完全控制
会话,所以可以提供很详细的日志和安全审计功能
。
④ 提供代理服务的防火墙可以被配置成惟一的可被
外部看见的主机,这样可以隐藏内部网的 IP地址,
可以保护内部主机免受外部主机的进攻。
⑤ 通过代理访问 Internet可以解决合法的 IP地址不
够用的问题,因为 Internet所见到只是代理服务器的
地址,内部不合法的 IP通过代理可以访问 Internet。
?应用层代理的缺点,
① 有限的联接性。
② 有限的技术。
③ 应用层实现的防火墙会造成明显的性能下降。
④ 每个应用程序都必须有一个代理服务程序来进
行安全控制,每一种应用升级时,一般代理服务程
序也要升级。
⑤ 应用层网关要求用户改变自己的行为,或者在
访问代理服务的每个系统上安装特殊的软件。
( 2)数据包过滤与代理服务的比较
代理服务在安全方面比包过滤强,但它们在性能
和透明度上比较差。主要的安全优点在基于代理服
务的防火墙设计上,即使一个基于代理的防火墙遭
到破坏,还是没有直接路到防火墙后面的网络上;
而包过滤防火墙上,如一个过滤规则被修改或破坏
了,防火墙还继续为包路由。
( 3)应用层网关实现
?编写代理软件
?客户软件
?协议对于应用层网关的处理
( 4)应用层网关的特点和发展方向
?智能代理
3,电路级网关技术
?电路级网关( Circuit Level Gateway)也是一种
代理,但是只能是建立起一个回路,对数据包只
起转发的作用。电路级网关只依赖于 TCP联接,
并不进行任何附加的包处理或过滤。
?电路级网关防火墙特点:电路级网关是一个通用
代理服务器,它工作于 OSI互联模型的会话层或是
TCP/IP协议的 TCP层。它适用于多个协议,但它
不能识别在同一个协议栈上运行的不同的应用,
?优点:它可以对各种不同的协议提供服务,但这
种代理需要改进客户程序。这种网关对外像一个代
理,而对内则是一个过滤路由器。
3,3
防火墙安
全
设计策略
3,3,1 防火墙体系结构
1,屏蔽路由器 (ScreeningRouter)
屏蔽路由器可以由厂家专门生产的路由器实
现,也可以用主机来实现。屏蔽路由器作为内外
连接的惟一通道,要求所有的报文都必须在此通
过检查。路由器上可以安装基于 IP层的报文过滤
软件,实现报文过滤功能。
2,双穴主机网关 (DualHomedGateway)
穴主机网关是用一台装有两块网卡的堡垒主
机的做防火墙。两块网卡各自与受保护网和外部
网相连。堡垒主机上运行着防火墙软件,可以转
发应用程序,提供服务等。
3,被屏蔽主机网关 (ScreenedGatewy)
?屏蔽主机网关易于实现也最为安全。
?网关的基本控制策略由安装在上面的软件决定。
4,屏蔽子网 (ScreenedSubnet)
?屏蔽子网就是在内部网络和外部网络之间建立一
个被隔离的子网,用两台分组过滤路由器将这一
子网分别与内部网络和外部网络分开。
?这种配置的危险仅包括堡垒主机、子网主机及所
有连接内网、外网和屏蔽子网的路由器。
3,3,2 网络服务访问权限策略
安全策略分为两个层次:网络服务访问策略和防
火墙设计策略。
网络服务访问策略是一种高层次的、具体到事件
的策略,主要用于定义在网络中允许的或禁止的网
络服务,而且还包括对拨号访问以及 SLIP/ PPP联
接的限制。
网络服务访问策略不但应该是一个站点安全策
略的延伸,而且对于机构内部资源的保护也应起到
全局的作用。
通常,一个防火墙执行两个通用网络服务访问
策略中的一个:允许从内部站点访问 Internet而不
允许从 Internet访问内部站点;只允许从 Internet
访问特定的系统,如信息服务器和电子邮件服务器。
比如,在最高层,某个组织机构的总体策略,
(1) 内部信息对于一个组织的经济繁荣是至关重要的;
(2) 应使用各种经济实惠的办法来保证我们的信息的机密
性、完整性、真实性、和可用性;
(3) 保护数据信息的机密性、完整性和可用性是高于一切
的,是不同层次的员工的责任;
(4) 所有信息处理的设备将被用于经过授权的任务。
因此,在这个普遍原则之下是与具体事情相关的政策
,如公司财物的使用规定、信息系统的使用规定,防火墙
的网络服务访问政策就是在这一个层次上。
防火墙的设计策略是具体地针对防火墙,制定
相应的规章制度来实施网络服务访问策略。在制定
这种策略之前,必须了解这种防火墙的性能以及缺
点,TCP/ IP本身所具有的易受攻击性和危险性。
?两种基本设计策略,
第一种,除非明确不允许,否则允许某种服务。执
行第一种策略的防火墙在默认情况下允许所有的服
务,除非管理员对某种服务明确表示禁止。
3,3,3 防火墙设计策略及要求
第二种,除非明确允许,否则将禁止某种服务。执
行第二种策略的防火墙在默认情况下禁止所有的服
务,除非管理员对某种服务明确表示允许。
总之,防火墙好坏取决于安全性和灵活性的要
求,所以在实施防火墙之前,考虑一下策略是至
关重要的。如果不这样做,会导致防火墙不能达
到要求。
3,3,4 防火墙与加密机制
现在的防火墙则逐渐集成了信息安全技术中的最
新研究成果,一般都具有加密、解密和压缩、解压等
功能,这些技术加强了信息在互联网上的安全性。
加密技术实际上是一种对要经由公共网络传送的
信息进行编码的方法,它是确保数据安全的最有效方
法。防火墙能够将授权用户的数据进行加密并使这个
信息穿过防火墙而进入公共网络。保护接收网络的防
火墙然后能够检查信息,对其进行解码,并将其发送
到正确的授权用户手中。通过使用加密技术,大多数
防火墙现在能够用作 VPN的网关,在有些时候通过对
在互联网上的端对端通讯信息进行保护还可作为 VPN
服务器。
3,4
防火墙攻
击策略
从黑客攻击防火墙的过程上看,防火墙攻击策略
大概可以分为三类,
3,4,1 扫描防火墙策略
扫描防火墙策略的方法是探测在目标网络上安装
的是何种防火墙系统并且找出此防火墙系统允许哪些
服务,通常称之为对防火墙的探测攻击。
3,4,2 通过防火墙认证机制策略
通过防火墙认证机制策略,是指采取地址欺骗、
TCP序号攻击等方法绕过防火墙的认证机制,从而对
防火墙和内部网络破坏。
1,IP地址欺骗, 突破防火墙系统最常用的方法是
因特网地址欺骗,它同时也是其他一系列攻击方法的
基础。
2,TCP序号攻击, TCP序号攻击是绕过基于分组
过滤方法的防火墙系统的最有效和最危险的方法之一
。
寻找、利用防火墙系统实现和设计上的安全漏洞
,从而有针对性地发动攻击。这种攻击难度比较大,
可是破坏性很大。
防火墙不能防止对自己的攻击,只能强制对抗。
防火墙本身是一种被动防卫机制,不是主动安全机制
。防火墙不能干涉还没有到达防火墙的包,如果这个
包是攻击防火墙的,只有已经发生了攻击,防火墙才
可以对抗,根本不能防止。
3,4,3 利用防火墙漏洞策略
3,5
第四代防火
墙的主要技
术
3,5,1 第四代防火墙的主要技术与功能
第四代防火墙本身就是一个操作系统,因而在安
全性上较之第三代防火墙有质的提高。获得安全操作
系统的办法有两种:一种是通过许可证方式获得操作
系统的源码;另一种是通过固化操作系统内核来提高
可靠性。第四代防火墙产品将网关与安全系统合二为
一,具有以下技术与功能。
防火墙技术的发展经历了基于路由器的防火墙、
用户化的防火墙工具套、建立在通用操作系统上的防
火墙、具有安全操作系统的防火墙四个阶段。
1,双端口或三端口的结构, 新一代防火墙产
品具有两个或三个独立的网卡,内外两个网卡可不作
IP转化而串接于内部网与外部网之间,另一个网卡可
专用于对服务器的安全保护。
2,透明的访问方式, 第四代防火墙利用了透明的
代理系统技术,从而降低了系统登录固有的安全风险
和出错概率。
3,灵活的代理系统, 第四代防火墙采用了两种代
理机制:一种用于代理从内部网络到外部网络的连接
,采用网络地址转换( NAT)技术来解决;另一种用
于代理从外部网络到内部网络的连接,采用非保密的
用户定制代理或保密的代理系统技术来解决。
4,多级的过滤技术, 第四代防火墙采用了三级过
滤措施,并辅以鉴别手段。
在分组过滤一级,能过滤掉所有的源路由分组和
假冒的 IP源地址;
在应用网关一级,能利用 FTP,SMTP等各种网
关,控制和监测 Internet提供的所有通用服务;
在电路网关一级,实现内部主机与外部站点的透
明连接,并对服务的通行实行严格控制。
5,网络地址转换技术, 第四代防火墙利用 NAT技
术能透明地对所有内部地址作转换,使外部网络无法
了解网络的内部结构,同时允许内部网络使用自编的
IP地址和专用网络,防火墙能详尽记录每一个主机的
通信,确保每个分组送往正确的地址。
6,Internet网关技术, 由于是直接串联在网络之中
,第四代防火墙必须支持用户在 Internet互连的所有
服务,同时还要防止与 Internet服务有关的安全漏洞
。
在域名服务方面,第四代防火墙采用两种独立的
域名服务器:一种是内部 DNS服务器,主要处理内部
网络的 DNS信息;另一种是外部 DNS服务器,专门用
于处理机构内部向 Internet提供的部分 DNS信息。
7,安全服务器网络( SSN), 第四代防火墙采用
分别保护的策略保护对外服务器。它利用一张网卡将
对外服务器作为一个独立网络处理,对外服务器既是
内部网的一部分,又与内部网关完全隔离。这就是安
全服务网络( SSN)技术,对 SSN上的主机既可单独
管理,也可设置成通过 FTP,Telnet等方式从内部网
上管理。
8,用户鉴别与加密, 为了降低在 Telnet,FTP等
服务和远程管理上的风险,第四代防火墙采用一次性
使用的口令字系统作为用户的鉴别手段,并实现了对
邮件的加密。
9,用户定制服务, 第四代防火墙在提供众多服务
的同时,还为用户定制提供支持,这类选项有:通用
TCP,出站 UDP,FTP,SMTP等类。如果某一用户
需要建立一个数据库的代理,便可利用这些支持,方
便设置。
10,第四代防火墙产品的审计和告警功能, 第四
代防火墙产品的审计和告警功能十分健全。
此外,第四代防火墙还在网络诊断、数据备份与
保全等方面具有特色。
3,5,2 第四代防火墙技术的实现方法
在第四代防火墙产品的设计与开发中,其安全内
核、代理系统、多级过滤、安全服务器和鉴别与加密
是关键所在。
1,安全内核的实现, 第四代防火墙是建立在安全
操作系统之上的,安全的操作系统来自对专用操作系
统的安全加固和改造,从现有的诸多产品看,对安全
操作系统内核的固化与改造主要从以下几方面进行,
取消危险的系统调用;限制命令的执行权限; 取消 IP
的转发功能;检查每个分组的接口;采用随机连接序
号;驻留分组过滤模块;取消动态路由功能;采用多
个安全内核。
2,代理系统的建立, 防火墙不允许任何信息直接
穿过它,对所有的内外连接均要通过代理系统来实现
,为保证整个防火墙的安全,所有的代理都应采用改
变根目录的方式存在一个相对独立的区域以作安全隔
离。
3,分组过滤器的设计, 作为防火墙的核心部件之一
,过滤器的设计要尽量做到减少对防火墙的访问。
4,安全服务器的设计,安全服务器的设计有两个要
点:第一,所有 SSN的流量都要隔离处理,即从内部
网和外部网而来的路由信息流在机制上是分离的;第
二,SSN的作用类似于两个网络,它看上去像是内部
网,因为它对外透明,同时又像是外部网络,因为它
从内部网络对外访问的方式十分有限。
5,鉴别与加密的考虑, 鉴别与加密是防火墙识别
用户、验证访问和保护信息的有效手段,鉴别机制除
了提供安全保护而外,还有安全管理功能。
3,5,3 第四代防火墙抗攻击能力分析
在 Internet环境中针对防火墙的攻击方法很多,下
面从几种主要的攻击方法来评估第四代防火墙的抗攻
击能力。
1,抗 IP假冒攻击, IP假冒是指一个非法的主机假
冒内部的主机地址,骗取服务器的, 信任,,从而达
到对网络的攻击目的。
2,抗特洛伊木马攻击, 第四代防火墙是建立在安
全的操作系统之上的,其安全内核中不能执行下载的
程序,故而可防止特洛伊木马的发生。
3,抗口令字探寻攻击, 第四代防火墙采用了一次
性口令字和禁止直接登录防火墙的措施,能有效防止
对口令字的攻击。
在网络中探寻口令字的方法很多,最常见的是口
令字嗅探和口令字解密。
嗅探监测网络通信、截获用户传给服务器的口令
字,记录下来后使用;解密指采用强力攻击,猜测或
截获含有加密口令字的文件,并设法解密。此外,攻
击者还常常利用一些常用口令字直接登录。
4,抗网络安全性分析, 抗网络安全性分析工具本
是供管理人员分析网络安全性之用的,一旦这类工具
用作攻击网络的手段,则能较方便地探测到内部网络
的安全缺陷和弱点所在。
第四代防火墙采用了地址转换技术,将内部网络
隐蔽起来,使网络安全分析工具无法从外部对内部网
分析。
5,抗邮件诈骗攻击,邮件诈骗也是越来越突出
的攻击方式,第四代防火墙不接收任何邮件,故
难以采用这种方式对它攻击。
3,6
防火墙发展
的新方向
3,6,1 透明接入技术
透明模式,顾名思义,首要的特点就是对用户是
透明的( Transparent),即用户意识不到防火墙的
存在。要想实现透明模式,防火墙必须在没有 IP地址
的情况下工作,不需要对其设置 IP地址,用户也不知
道防火墙的 IP地址。
透明模式的防火墙就好象是一台网桥 (非透明的防
火墙好象一台路由器 ),网络设备 (包括主机、路由器
、工作站等 )和所有计算机的设置(包括 IP地址和网关
)无须改变,同时解析所有通过它的数据包,既增加
了网络的安全性,又降低了用户管理的复杂程度。
防火墙使用透明代理技术,这些代理服务对用户
也是透明的,用户意识不到防火墙的存在,便可完成
内外网络的通讯。当内部用户需要使用透明代理访问
外部资源时,用户不需要进行设置,代理服务器会建
立透明的通道,让用户直接与外界通信,这样极大地
方便了用户的使用。
透明代理的原理:假设 A为内部网络客户机,B为外
部网络服务器,C为防火墙。当 A对 B有连接请求时,
TCP连接请求被防火墙截取并加以监控。截取后当发现
连接需要使用代理服务器时,A和 C之间首先建立连接
,然后防火墙建立相应的代理服务通道与目标 B建立连
接,由此通过代理服务器建立 A和目标地址 B的数据传
输途径。从用户的角度看,A和 B的连接是直接的,而
实际上 A是通过代理服务器 C和 B建立连接的。
反之,当 B对 A有连接请求时原理相同。由于这些连接
过程是自动的,不需要客户端手工配置代理服务器,
甚至用户根本不知道代理服务器的存在,因而对用户
来说是透明的。
防火墙使用透明代理技术, 还可以使防火墙的服务
端口无法探测到, 也就无法对防火墙进行攻击, 大大
提高了防火墙的安全性与抗攻击性 。 透明代理避免了
设置或使用中可能出现的错误, 降低了防火墙使用时
固有的安全风险和出错概率, 方便用户使用 。
因此,透明代理与透明模式都可以简化防火墙的
设置,提高系统安全性。但两者之间也有本质的区别
:工作于透明模式的防火墙使用了透明代理的技术,
但透明代理并不是透明模式的全部,防火墙在非透明
模式中也可以使用透明代理。
3,6,2 分布式防火墙技术
1.分布式防火墙的产生背景
因为传统的防火墙设置在网络边界,在内部企业
网和外部互联网之间构成一个屏障,进行网络存取控
制,所以也称为边界防火墙( PerimeterFirewall),
它存在以下不足之处,
( 1)网络应用受到结构性限制
( 2)内部安全隐患依然存在
( 3)效率较低和故障率高
分布式防火墙能克服这些缺点,它不仅能够
保留传统边界式防火墙的所以优点,而且又能克
服前面所说的那些缺点,在目前来说它是最为完
善的一种防火墙技术。
2.分布式防火墙的主要特点
分布式防火墙负责对网络边界、各子网和网络内
部各节点之间的安全防护,所以, 分布式防火墙, 是
一个完整的系统,而不是单一的产品。包含如下部分
,① 网络防火墙( NetworkFirewall)
② 主机防火墙( HostFirewall)
③ 中心管理
分布式防火墙的主要特点,
( 1)主机驻留,这种分布式防火墙的最主要特点就
是采用主机驻留方式,所以称之为, 主机防火墙, 。
主机防火墙对分布式防火墙体系结构的突出贡献是,
使安全策略不仅仅停留在网络与网络之间,而是把安
全策略推广延伸到每个网络末端。
( 2)嵌入操作系统内核,为自身的安全和彻底堵
住操作系统的漏洞,主机防火墙的安全监测核心引
擎要以嵌入操作系统内核的形态运行,直接接管网
卡,在把所有数据包进行检查后再提交操作系统。
( 3)类似于个人防火墙
( 4)适用于服务器托管
3.分布式防火墙的主要优势
在新的安全体系结构下,分布式防火墙代表新一
代防火墙技术的潮流,它可以在网络的任何交界和节
点处设置屏障,从而形成了一个多层次、多协议,内
外皆防的全方位安全体系。主要优势如下,
( 1)增强的系统安全性,增加了针对主机的入侵
检测和防护功能,加强了对来自内部攻击防范,可以
实施全方位的安全策略。
( 2)提高了系统性能,消除了结构性瓶颈问题,
提高了系统性能。
( 3)系统的扩展性,分布式防火墙随系统扩充提
供了安全防护无限扩充的能力。
( 4)实施主机策略,对网络中的各节点可以起
到更安全的防护。
( 5)应用更为广泛,支持 VPN通信,其实分布式
防火墙最重要的优势在于,它能够保护物理拓朴上不
属于内部网络,但位于逻辑上的, 内部, 网络的那些
主机,这种需求随着 VPN的发展越来越多。
4.分布式防火墙的基本原理
分布式防火墙仍然由中心定义策略,但由各个分
布在网络中的端点实施这些制定的策略。它依赖于三
个主要的概念:说明哪一类连接可以被允许禁止的策
略语言、一种系统管理工具和 IP安全协议。
( 1)策略语言,以 IP地址来标志内部主机是一种
可供选择的方法,但它的安全性不高,所以更倾向
于使用 IP安全协议中的密码凭证来标志各台主机,
它为主机提供了可靠的、唯一的标志,并且与网络
的物理拓扑无关。
( 2)系统管理工具,分布式防火墙服务器的系统
管理工具用于将形成的策略文件分发给被防火墙保护
的所有主机,应该注意的是这里所指的防火墙并不是
传统意义上的物理防火墙,而是逻辑上的分布式防火
墙。 ( 3) IP安全协议,是一种对 TCP/IP协议族的网络
层进行加密保护的机制,包括 AH和 ESP,分别对 IP包
头和整个 IP包进行认证,可以防止各类主机攻击。
?首先由制定防火墙接入控制策略的中心通过编译
器将策略语言诉描述转换成内部格式,形成策略文
件;
?然后中心采用系统管理工具把策略文件分发给各
台, 内部, 主机;, 内部, 主机将从两方面来判定
是否接受收到的包,一方面是根据 IP安全协议,另
一方面是根据服务器端的策略文件。
分布式防火墙工作 过程,
因为采用了软件形式(有的采用了软件+硬件形
式),所以功能配置更加灵活,具备充分的智能管理
能力,总的来说可以体现在以下几个方面,
5.分布式防火墙的主要功能
( 1) Internet访问控制
( 2)应用访问控制
( 3)网络状态监控
( 4)黑客攻击的防御
( 5)日志管理
( 6)系统工具
3,6,3 以防火墙为核心的网络信
息安全体系
网络安全是一个综合的概念,它不仅包括网络安
全产品,而且还涉及整个企业的管理机制、流程方面
的问题,因此是一复杂的系统工程。
? 就网络安全产品而言,就是一个很大的家族,除
防火墙之外,还包括 VPN密码机,IDS、防病毒产品
等等。
? 误区:什么样的防火墙是安全的防火墙、单靠防火
墙是否能否保证网络的安全、如何构建以防火墙为核
心的网络安全体系等,下面就针对这些问题做简要的
分析和介绍。
1.高速安全的防火墙基础平台是网络安全的
保障
2.构建以防火墙为核心的集成安全方案
3.网络安全产品不但是产品而是服务
3,7
防火墙选择
原则与常见
产品
3,7,1 防火墙选择原则
防火墙的选择应根据网站的特点来选择合适的防
火墙。如果站点是一个机密性机构,但对某些人提供
入站的 FTP服务,则需要有强大认证功能的防火墙;
如果站点联接到 Internet上只是为了接收电子邮件,
那么可以不需要防火墙。
?在考虑购买防火墙的时候,主要考虑以下几条,
1,总拥有成本
2.防火墙自身的安全性
3.防火墙的稳定性
4.防火墙的性能
5,功能的灵活性
6.简化的安装与管理
7.配置方便性
8.是否可针对用户身份进行过滤
10,可扩展和可升级性
11.有用的日志
3,7,2 常见产品
? 常见的企业级防火墙,
( 1) CheckPointFirewall,它提供了最佳权
限控制, 最佳综合性能及简单明了的管理 。 除
了 NAT外, 它具有用户认证功能 。
( 2) AXENTRaptor,总体来说是代理型
防火墙中是最好的 。
( 4) CiscoPIXFirewall,PIX的处理性能
是最好的, 而且使用 NAT时不影响其性能 。
( 3) SecureComputingSecureZone,其
代理功能很强, FTP代理可定制文件的创建,
删改及 put/get操作 。
( 5) Netscreen:它使用专用的 ASIC提供
高性能的防火墙, 既便宜又易于安装 。
( 6) NetGuardGuardian,尽管它的界面
简单, 其权限控制功能优于 Netscreen。
? 常见的企业级防火墙,
( 1) 天网防火墙
( 2) 蓝盾防火墙个人版
( 3) 瑞星个人防火墙
( 4), 反黑王,
( 5) 美国赛门铁克 ( Symantec) 公司的诺顿
( Norton) 防火墙
( 6) 金山网镖
3,8
本章小结
本章首先介绍了访问控制的基本常识, 然后
着重介绍了防火墙的相关知识 。
在计算机网络安全技术性保护措施中,访问控制是
针对越权使用资源的防御措施,是网络安全防范和保
护的主要策略,它的主要任务是保证网络资源不被非
法使用和非常访问。
作为近年来新兴的保护计算机网络安全技术性措施
,防火墙是一种隔离控制技术,在某个机构的网络和
不安全的网络之间设置障碍,阻止对信息资源的非法
访问,也可以使用防火墙阻止专利信息从公司的网络
上被非法输出。换言之:防火墙是一道门槛,控制进
出两个方向的通信。通过限制与网络或某一特定区域
的通信,以达到防止非法用户侵犯 Internet和公用网络
的目的。
防火墙是一种被动防卫技术,由于它假设了网络
的边界和服务,因此对内部的非法访问难以有效地
控制,所以,防火墙最适合于相对独立且与外部网
络互联途径有限、网络服务种类相对集中的单一网
络。
实现防火墙的主要技术有:数据包过滤路由器、
应用双宿主网关的代理服务、主机屏蔽防火墙和子
网屏蔽防火墙等。
防火墙的具体实现产品有很多, 本章介绍多种
企业级和个人版防火墙 。
网络安全技术
?学习目的,
? 了解 访问控制技术 的基本概念
? 熟悉 防火墙技术基础
? 初步掌握 防火墙安全设计策略
? 了解防火墙攻击策略
? 了解 第四代防火墙的主要技术
? 了解 防火墙发展的新方向
? 了解防火墙选择原则与常见产品
?学习重点,
? Windows NT/2K安全访问控制手段
? 防火墙安全设计策略
? 防火墙攻击策略
? 防火墙选择原则
3,1
访问控制技术
3,1,1 访问控制技术概述
1,访问控制的定义
访问控制是针对越权使用资源的防御措施,
是网络安全防范和保护的主要策略,主要任务是
保证网络资源不被非法使用和非常访问。
也是保证网络安全的核心策略之一。
2,基本目标
防止对任何资源进行未授权的访问,从而使
计算机系统在合法范围内使用;决定用户能做什
么。
3,访问控制的作用
( 1)访问控制对机密性、完整性起直接
的作用。
( 2)对于可用性的有效控制
3,1,2 访问控制策略
访问控制策略 (Access Control Policy)是
在系统安全策略级上表示授权,是对访问如何控
制、如何作出访问决定的高层指南。
1,自主访问控制
自主访问控制 (DAC)也称基于身份的访问控
制 (IBAC),是针对访问资源的用户或者应用设
置访问控制权限;根据主体的身份及允许访问的
权限进行决策;自主是指具有某种访问能力的主
体能够自主地将访问权的某个子集授予其它主体
,访问信息的决定权在于信息的创建者。
?自主访问控制可以分为以下两类,
(1) 基于个人的策略
(2) 基于组的策略
? 自主访问控制存在的问题:配置的粒度小,
配置的工作量大, 效率低 。
? 特点:灵活性高, 被大量采用 。
? 缺点:安全性最低 。
2,强制访问控制
强制访问控制( MAC)也称基于规则的访问控
制( RBAC),在自主访问控制的基础上,增加了
对资源的属性 (安全属性 )划分,规定不同属性下
的访问权限。
3,基于角色的访问控制
基于角色的访问控制( RBAC)是与现代的商
业环境相结合后的产物,同时具有基于身份策略
的特征,也具有基于规则的策略的特征,可以看
作是基于组的策略的变种,根据用户所属的角色
作出授权决定。
4.多级策略法
多级策略给每个目标分配一个密级,一般安
全属性可分为四个级别:最高秘密级( Top
Secret)、秘密级( Secret)、机密级(
Confidene)以及无级别级( Unclassified )。
3,1,3 访问控制的常用实现方法
访问控制的常用实现方法是指访问控制策略
的软硬件低层实现。访问控制机制与策略独立,
可允许安全机制的重用。安全策略之间没有更好
的说法,应根据应用环境灵活使用。
1,访问控制表 (ACL)
?优点,
控制粒度比较小,适用于被区分的用户数比
较小的情况,并且这些用户的授权情况相对比较
稳定的情形。
2,访问能力表
授权机构针对每个限制区域,都为用户维护
它的访问控制能力。
3,安全标签
发起请求的时候,附属一个安全标签,在目
标的属性中,也有一个相应的安全标签。在做出
授权决定时,目标环境根据这两个标签决定是允
许还是拒绝访问,常常用于多级访问策略。
4,基于口令的机制
( 1)与目标的内容相关的访问控制
( 2)多用户访问控制
( 3)基于上下文的控制
对于用户而言,Windows NT/2K有以下几种管
理手段,
1,用户帐号和用户密码
3,1,4 Windows NT/2K
安全访问控制手段
2,域名管理
3,用户组权限
4,共享资源权限
3,2
防火墙技
术
基础
1,防火墙( FireWall)
?一个防火墙的基本目标为,
1)对于一个网络来说,所有通过, 内部, 和
,外部, 的网络流量都要经过防火墙;
2)通过一些安全策略,来保证只有经过授权
的流量才可以通过防火墙;
3)防火墙本身必须建立在安全操作系统的基
础上。
3,2,1 防火墙概述
2,防火墙的优点
( 1)防火墙对企业内部网实现了集中的安全管理,可
以强化网络安全策略,比分散的主机管理更经济易行
。
( 2)防火墙能防止非授权用户进入内部网络。
( 3)防火墙可以方便地监视网络的安全性并报警。
( 4)可以作为部署网络地址转换( Network Address
Translation )的地点,利用 NAT 技术,可以缓解地址
空间的短缺,隐藏内部网的结构。
( 5)利用防火墙对内部网络的划分,可以实现重点网
段的分离,从而限制问题的扩散。
( 6)由于所有的访问都经过防火墙,防火墙是审计和
记录网络的访问和使用的最佳地方。
3,防火墙的局限性
( 1)限制有用的网络服务。
( 2)无法防护内部网络用户的攻击。
( 3) Internet防火墙无法防范通过防火墙以外
的其他途径的攻击。
( 4) Internet防火墙也不能完全防止传送已感
染病毒的软件或文件。
( 5)防火墙无法防范数据驱动型的攻击。
( 6)不能防备新的网络安全问题。
4,防火墙的作用
防火墙用于加强网络间的访问控制,防止外
部用户非法使用内部网的资源,保护内部网络
的设备不被破坏,防止内部网络的敏感数据被
窃取。
防火墙系统决定了哪些内部服务可以被外界
访问;外界的哪些人可以访问内部的哪些可以
访问的服务,以及哪些外部服务可以被内部人
访问。
1,数据包过滤路由器
?防火墙常见的有三种类型:数据包过滤路由器
、应用层网关、电路层网关。
3,2,2 防火墙的类型
( 1)数据包过滤原理
?数据包过滤技术是防火墙最常用的技术。
?数据包过滤技术,顾名思义是在网络中适当的
位置对数据包实施有选择的通过,选择依据,即
为系统内设置的过滤规则(即访问控制表),只
有满足过滤规则的数据包才被转发至相应的网络
接口,其余数据包则被从数据流中删除。
?数据包过滤可以控制站点与站点, 站点与网络
和网络与网络之间的相互访问, 但不能控制传输
的数据内容 。
?包过滤检查模块深入到系统的网络层和数据链
路层之间。 下图是一个包过滤模型原理图,
IP
1 物理层
3 网络层
2 数据链路层
TCP Session App li ca ti on
Data
与过滤规
则匹配吗?
还有另外
的规则吗?
转发包吗? 审计 / 报警
发送 NACK
丢弃包 结束
防火墙检查模块
4 传输层
5 会话层
6 表示层
7 应用层
① 设置步骤
?必须制定一个安全策略;
?必须正式规定允许的包类型、包字段的逻辑表达;
?必须用防火墙支持的语法重写表达式。
② 按地址过滤
?比如说,认为网络 202.110.8.0是一个危险的网络
,那么就可以用源地址过滤禁止内部主机和该网络
进行通信。下表是根据上面的政策所制定的规则。
拒绝 内部网络 2 0 2, 1 1 0, 8, 0 入 B
拒绝 2 0 2, 1 1 0, 8, 0 内部网络 出 A
动作 目标地址 源 地址 方
向
规则
③ 按服务过滤
假设安全策略是禁止外部主机访问内部的
E-mail服务器( SMTP,端口 25),允许内部主
机访问外部主机,实现这种的过滤的访问控制
规则类似下表。
缺省 状态 * * * * 拒绝 双向 C
允许联接 * * * * 允许 出 B
不信任 25 E - m a i l * M 拒绝 进 A
注释 目的端口 目的地址 源端口 源 地址 动作 方向 规则
,*”代表任意值,没有被过滤器规则明确允许
的包将被拒绝。
( 2)数据包过滤特性分析
?主要优点:是仅一个关健位置设置一个数据包
过滤路由器就可以保护整个网络,而且数据包过
滤对用户是透明的,不必在用户机上再安装特定
的软件
?缺点和局限性:包过滤规则配置比较复杂,而且
几乎没有什么工具能对过滤规则的正确性进行测
试;包过滤也没法查出具有数据驱动攻击这一类
潜在危险的数据包;除此之外,随着过滤数目的
增加,路由器的吞吐量会下降,从而影响网络性
能。
2,应用层网关( Application Gateway)
( 1)应用层网关原理
?也称为代理服务器,代理( Proxy)技术与包过
滤技术完全不同,包过滤技术是在网络层拦截所
有的信息流,代理技术是针对每一个特定应用都
有一个程序。代理是企图在应用层实现防火墙的
功能,代理的主要特点是有状态性。代理能提供
部分与传输有关的状态,能完全提供与应用相关
的状态和部分传输方面的信息,代理也能处理和
管理信息。
?下图是应用层网关的结构示意图,其中内部网
的一个 Telnet客户通过代理访问外部网的一个
Telnet服务器的情况。
提供代理的应用层网关主要有以下优点,
① 应用层网关有能力支持可靠的用户认证并提供
详细的注册信息。
② 用于应用层的过滤规则相对于包过滤路由器来说
更容易配置和测试。
③ 代理工作在客户机和真实服务器之间,完全控制
会话,所以可以提供很详细的日志和安全审计功能
。
④ 提供代理服务的防火墙可以被配置成惟一的可被
外部看见的主机,这样可以隐藏内部网的 IP地址,
可以保护内部主机免受外部主机的进攻。
⑤ 通过代理访问 Internet可以解决合法的 IP地址不
够用的问题,因为 Internet所见到只是代理服务器的
地址,内部不合法的 IP通过代理可以访问 Internet。
?应用层代理的缺点,
① 有限的联接性。
② 有限的技术。
③ 应用层实现的防火墙会造成明显的性能下降。
④ 每个应用程序都必须有一个代理服务程序来进
行安全控制,每一种应用升级时,一般代理服务程
序也要升级。
⑤ 应用层网关要求用户改变自己的行为,或者在
访问代理服务的每个系统上安装特殊的软件。
( 2)数据包过滤与代理服务的比较
代理服务在安全方面比包过滤强,但它们在性能
和透明度上比较差。主要的安全优点在基于代理服
务的防火墙设计上,即使一个基于代理的防火墙遭
到破坏,还是没有直接路到防火墙后面的网络上;
而包过滤防火墙上,如一个过滤规则被修改或破坏
了,防火墙还继续为包路由。
( 3)应用层网关实现
?编写代理软件
?客户软件
?协议对于应用层网关的处理
( 4)应用层网关的特点和发展方向
?智能代理
3,电路级网关技术
?电路级网关( Circuit Level Gateway)也是一种
代理,但是只能是建立起一个回路,对数据包只
起转发的作用。电路级网关只依赖于 TCP联接,
并不进行任何附加的包处理或过滤。
?电路级网关防火墙特点:电路级网关是一个通用
代理服务器,它工作于 OSI互联模型的会话层或是
TCP/IP协议的 TCP层。它适用于多个协议,但它
不能识别在同一个协议栈上运行的不同的应用,
?优点:它可以对各种不同的协议提供服务,但这
种代理需要改进客户程序。这种网关对外像一个代
理,而对内则是一个过滤路由器。
3,3
防火墙安
全
设计策略
3,3,1 防火墙体系结构
1,屏蔽路由器 (ScreeningRouter)
屏蔽路由器可以由厂家专门生产的路由器实
现,也可以用主机来实现。屏蔽路由器作为内外
连接的惟一通道,要求所有的报文都必须在此通
过检查。路由器上可以安装基于 IP层的报文过滤
软件,实现报文过滤功能。
2,双穴主机网关 (DualHomedGateway)
穴主机网关是用一台装有两块网卡的堡垒主
机的做防火墙。两块网卡各自与受保护网和外部
网相连。堡垒主机上运行着防火墙软件,可以转
发应用程序,提供服务等。
3,被屏蔽主机网关 (ScreenedGatewy)
?屏蔽主机网关易于实现也最为安全。
?网关的基本控制策略由安装在上面的软件决定。
4,屏蔽子网 (ScreenedSubnet)
?屏蔽子网就是在内部网络和外部网络之间建立一
个被隔离的子网,用两台分组过滤路由器将这一
子网分别与内部网络和外部网络分开。
?这种配置的危险仅包括堡垒主机、子网主机及所
有连接内网、外网和屏蔽子网的路由器。
3,3,2 网络服务访问权限策略
安全策略分为两个层次:网络服务访问策略和防
火墙设计策略。
网络服务访问策略是一种高层次的、具体到事件
的策略,主要用于定义在网络中允许的或禁止的网
络服务,而且还包括对拨号访问以及 SLIP/ PPP联
接的限制。
网络服务访问策略不但应该是一个站点安全策
略的延伸,而且对于机构内部资源的保护也应起到
全局的作用。
通常,一个防火墙执行两个通用网络服务访问
策略中的一个:允许从内部站点访问 Internet而不
允许从 Internet访问内部站点;只允许从 Internet
访问特定的系统,如信息服务器和电子邮件服务器。
比如,在最高层,某个组织机构的总体策略,
(1) 内部信息对于一个组织的经济繁荣是至关重要的;
(2) 应使用各种经济实惠的办法来保证我们的信息的机密
性、完整性、真实性、和可用性;
(3) 保护数据信息的机密性、完整性和可用性是高于一切
的,是不同层次的员工的责任;
(4) 所有信息处理的设备将被用于经过授权的任务。
因此,在这个普遍原则之下是与具体事情相关的政策
,如公司财物的使用规定、信息系统的使用规定,防火墙
的网络服务访问政策就是在这一个层次上。
防火墙的设计策略是具体地针对防火墙,制定
相应的规章制度来实施网络服务访问策略。在制定
这种策略之前,必须了解这种防火墙的性能以及缺
点,TCP/ IP本身所具有的易受攻击性和危险性。
?两种基本设计策略,
第一种,除非明确不允许,否则允许某种服务。执
行第一种策略的防火墙在默认情况下允许所有的服
务,除非管理员对某种服务明确表示禁止。
3,3,3 防火墙设计策略及要求
第二种,除非明确允许,否则将禁止某种服务。执
行第二种策略的防火墙在默认情况下禁止所有的服
务,除非管理员对某种服务明确表示允许。
总之,防火墙好坏取决于安全性和灵活性的要
求,所以在实施防火墙之前,考虑一下策略是至
关重要的。如果不这样做,会导致防火墙不能达
到要求。
3,3,4 防火墙与加密机制
现在的防火墙则逐渐集成了信息安全技术中的最
新研究成果,一般都具有加密、解密和压缩、解压等
功能,这些技术加强了信息在互联网上的安全性。
加密技术实际上是一种对要经由公共网络传送的
信息进行编码的方法,它是确保数据安全的最有效方
法。防火墙能够将授权用户的数据进行加密并使这个
信息穿过防火墙而进入公共网络。保护接收网络的防
火墙然后能够检查信息,对其进行解码,并将其发送
到正确的授权用户手中。通过使用加密技术,大多数
防火墙现在能够用作 VPN的网关,在有些时候通过对
在互联网上的端对端通讯信息进行保护还可作为 VPN
服务器。
3,4
防火墙攻
击策略
从黑客攻击防火墙的过程上看,防火墙攻击策略
大概可以分为三类,
3,4,1 扫描防火墙策略
扫描防火墙策略的方法是探测在目标网络上安装
的是何种防火墙系统并且找出此防火墙系统允许哪些
服务,通常称之为对防火墙的探测攻击。
3,4,2 通过防火墙认证机制策略
通过防火墙认证机制策略,是指采取地址欺骗、
TCP序号攻击等方法绕过防火墙的认证机制,从而对
防火墙和内部网络破坏。
1,IP地址欺骗, 突破防火墙系统最常用的方法是
因特网地址欺骗,它同时也是其他一系列攻击方法的
基础。
2,TCP序号攻击, TCP序号攻击是绕过基于分组
过滤方法的防火墙系统的最有效和最危险的方法之一
。
寻找、利用防火墙系统实现和设计上的安全漏洞
,从而有针对性地发动攻击。这种攻击难度比较大,
可是破坏性很大。
防火墙不能防止对自己的攻击,只能强制对抗。
防火墙本身是一种被动防卫机制,不是主动安全机制
。防火墙不能干涉还没有到达防火墙的包,如果这个
包是攻击防火墙的,只有已经发生了攻击,防火墙才
可以对抗,根本不能防止。
3,4,3 利用防火墙漏洞策略
3,5
第四代防火
墙的主要技
术
3,5,1 第四代防火墙的主要技术与功能
第四代防火墙本身就是一个操作系统,因而在安
全性上较之第三代防火墙有质的提高。获得安全操作
系统的办法有两种:一种是通过许可证方式获得操作
系统的源码;另一种是通过固化操作系统内核来提高
可靠性。第四代防火墙产品将网关与安全系统合二为
一,具有以下技术与功能。
防火墙技术的发展经历了基于路由器的防火墙、
用户化的防火墙工具套、建立在通用操作系统上的防
火墙、具有安全操作系统的防火墙四个阶段。
1,双端口或三端口的结构, 新一代防火墙产
品具有两个或三个独立的网卡,内外两个网卡可不作
IP转化而串接于内部网与外部网之间,另一个网卡可
专用于对服务器的安全保护。
2,透明的访问方式, 第四代防火墙利用了透明的
代理系统技术,从而降低了系统登录固有的安全风险
和出错概率。
3,灵活的代理系统, 第四代防火墙采用了两种代
理机制:一种用于代理从内部网络到外部网络的连接
,采用网络地址转换( NAT)技术来解决;另一种用
于代理从外部网络到内部网络的连接,采用非保密的
用户定制代理或保密的代理系统技术来解决。
4,多级的过滤技术, 第四代防火墙采用了三级过
滤措施,并辅以鉴别手段。
在分组过滤一级,能过滤掉所有的源路由分组和
假冒的 IP源地址;
在应用网关一级,能利用 FTP,SMTP等各种网
关,控制和监测 Internet提供的所有通用服务;
在电路网关一级,实现内部主机与外部站点的透
明连接,并对服务的通行实行严格控制。
5,网络地址转换技术, 第四代防火墙利用 NAT技
术能透明地对所有内部地址作转换,使外部网络无法
了解网络的内部结构,同时允许内部网络使用自编的
IP地址和专用网络,防火墙能详尽记录每一个主机的
通信,确保每个分组送往正确的地址。
6,Internet网关技术, 由于是直接串联在网络之中
,第四代防火墙必须支持用户在 Internet互连的所有
服务,同时还要防止与 Internet服务有关的安全漏洞
。
在域名服务方面,第四代防火墙采用两种独立的
域名服务器:一种是内部 DNS服务器,主要处理内部
网络的 DNS信息;另一种是外部 DNS服务器,专门用
于处理机构内部向 Internet提供的部分 DNS信息。
7,安全服务器网络( SSN), 第四代防火墙采用
分别保护的策略保护对外服务器。它利用一张网卡将
对外服务器作为一个独立网络处理,对外服务器既是
内部网的一部分,又与内部网关完全隔离。这就是安
全服务网络( SSN)技术,对 SSN上的主机既可单独
管理,也可设置成通过 FTP,Telnet等方式从内部网
上管理。
8,用户鉴别与加密, 为了降低在 Telnet,FTP等
服务和远程管理上的风险,第四代防火墙采用一次性
使用的口令字系统作为用户的鉴别手段,并实现了对
邮件的加密。
9,用户定制服务, 第四代防火墙在提供众多服务
的同时,还为用户定制提供支持,这类选项有:通用
TCP,出站 UDP,FTP,SMTP等类。如果某一用户
需要建立一个数据库的代理,便可利用这些支持,方
便设置。
10,第四代防火墙产品的审计和告警功能, 第四
代防火墙产品的审计和告警功能十分健全。
此外,第四代防火墙还在网络诊断、数据备份与
保全等方面具有特色。
3,5,2 第四代防火墙技术的实现方法
在第四代防火墙产品的设计与开发中,其安全内
核、代理系统、多级过滤、安全服务器和鉴别与加密
是关键所在。
1,安全内核的实现, 第四代防火墙是建立在安全
操作系统之上的,安全的操作系统来自对专用操作系
统的安全加固和改造,从现有的诸多产品看,对安全
操作系统内核的固化与改造主要从以下几方面进行,
取消危险的系统调用;限制命令的执行权限; 取消 IP
的转发功能;检查每个分组的接口;采用随机连接序
号;驻留分组过滤模块;取消动态路由功能;采用多
个安全内核。
2,代理系统的建立, 防火墙不允许任何信息直接
穿过它,对所有的内外连接均要通过代理系统来实现
,为保证整个防火墙的安全,所有的代理都应采用改
变根目录的方式存在一个相对独立的区域以作安全隔
离。
3,分组过滤器的设计, 作为防火墙的核心部件之一
,过滤器的设计要尽量做到减少对防火墙的访问。
4,安全服务器的设计,安全服务器的设计有两个要
点:第一,所有 SSN的流量都要隔离处理,即从内部
网和外部网而来的路由信息流在机制上是分离的;第
二,SSN的作用类似于两个网络,它看上去像是内部
网,因为它对外透明,同时又像是外部网络,因为它
从内部网络对外访问的方式十分有限。
5,鉴别与加密的考虑, 鉴别与加密是防火墙识别
用户、验证访问和保护信息的有效手段,鉴别机制除
了提供安全保护而外,还有安全管理功能。
3,5,3 第四代防火墙抗攻击能力分析
在 Internet环境中针对防火墙的攻击方法很多,下
面从几种主要的攻击方法来评估第四代防火墙的抗攻
击能力。
1,抗 IP假冒攻击, IP假冒是指一个非法的主机假
冒内部的主机地址,骗取服务器的, 信任,,从而达
到对网络的攻击目的。
2,抗特洛伊木马攻击, 第四代防火墙是建立在安
全的操作系统之上的,其安全内核中不能执行下载的
程序,故而可防止特洛伊木马的发生。
3,抗口令字探寻攻击, 第四代防火墙采用了一次
性口令字和禁止直接登录防火墙的措施,能有效防止
对口令字的攻击。
在网络中探寻口令字的方法很多,最常见的是口
令字嗅探和口令字解密。
嗅探监测网络通信、截获用户传给服务器的口令
字,记录下来后使用;解密指采用强力攻击,猜测或
截获含有加密口令字的文件,并设法解密。此外,攻
击者还常常利用一些常用口令字直接登录。
4,抗网络安全性分析, 抗网络安全性分析工具本
是供管理人员分析网络安全性之用的,一旦这类工具
用作攻击网络的手段,则能较方便地探测到内部网络
的安全缺陷和弱点所在。
第四代防火墙采用了地址转换技术,将内部网络
隐蔽起来,使网络安全分析工具无法从外部对内部网
分析。
5,抗邮件诈骗攻击,邮件诈骗也是越来越突出
的攻击方式,第四代防火墙不接收任何邮件,故
难以采用这种方式对它攻击。
3,6
防火墙发展
的新方向
3,6,1 透明接入技术
透明模式,顾名思义,首要的特点就是对用户是
透明的( Transparent),即用户意识不到防火墙的
存在。要想实现透明模式,防火墙必须在没有 IP地址
的情况下工作,不需要对其设置 IP地址,用户也不知
道防火墙的 IP地址。
透明模式的防火墙就好象是一台网桥 (非透明的防
火墙好象一台路由器 ),网络设备 (包括主机、路由器
、工作站等 )和所有计算机的设置(包括 IP地址和网关
)无须改变,同时解析所有通过它的数据包,既增加
了网络的安全性,又降低了用户管理的复杂程度。
防火墙使用透明代理技术,这些代理服务对用户
也是透明的,用户意识不到防火墙的存在,便可完成
内外网络的通讯。当内部用户需要使用透明代理访问
外部资源时,用户不需要进行设置,代理服务器会建
立透明的通道,让用户直接与外界通信,这样极大地
方便了用户的使用。
透明代理的原理:假设 A为内部网络客户机,B为外
部网络服务器,C为防火墙。当 A对 B有连接请求时,
TCP连接请求被防火墙截取并加以监控。截取后当发现
连接需要使用代理服务器时,A和 C之间首先建立连接
,然后防火墙建立相应的代理服务通道与目标 B建立连
接,由此通过代理服务器建立 A和目标地址 B的数据传
输途径。从用户的角度看,A和 B的连接是直接的,而
实际上 A是通过代理服务器 C和 B建立连接的。
反之,当 B对 A有连接请求时原理相同。由于这些连接
过程是自动的,不需要客户端手工配置代理服务器,
甚至用户根本不知道代理服务器的存在,因而对用户
来说是透明的。
防火墙使用透明代理技术, 还可以使防火墙的服务
端口无法探测到, 也就无法对防火墙进行攻击, 大大
提高了防火墙的安全性与抗攻击性 。 透明代理避免了
设置或使用中可能出现的错误, 降低了防火墙使用时
固有的安全风险和出错概率, 方便用户使用 。
因此,透明代理与透明模式都可以简化防火墙的
设置,提高系统安全性。但两者之间也有本质的区别
:工作于透明模式的防火墙使用了透明代理的技术,
但透明代理并不是透明模式的全部,防火墙在非透明
模式中也可以使用透明代理。
3,6,2 分布式防火墙技术
1.分布式防火墙的产生背景
因为传统的防火墙设置在网络边界,在内部企业
网和外部互联网之间构成一个屏障,进行网络存取控
制,所以也称为边界防火墙( PerimeterFirewall),
它存在以下不足之处,
( 1)网络应用受到结构性限制
( 2)内部安全隐患依然存在
( 3)效率较低和故障率高
分布式防火墙能克服这些缺点,它不仅能够
保留传统边界式防火墙的所以优点,而且又能克
服前面所说的那些缺点,在目前来说它是最为完
善的一种防火墙技术。
2.分布式防火墙的主要特点
分布式防火墙负责对网络边界、各子网和网络内
部各节点之间的安全防护,所以, 分布式防火墙, 是
一个完整的系统,而不是单一的产品。包含如下部分
,① 网络防火墙( NetworkFirewall)
② 主机防火墙( HostFirewall)
③ 中心管理
分布式防火墙的主要特点,
( 1)主机驻留,这种分布式防火墙的最主要特点就
是采用主机驻留方式,所以称之为, 主机防火墙, 。
主机防火墙对分布式防火墙体系结构的突出贡献是,
使安全策略不仅仅停留在网络与网络之间,而是把安
全策略推广延伸到每个网络末端。
( 2)嵌入操作系统内核,为自身的安全和彻底堵
住操作系统的漏洞,主机防火墙的安全监测核心引
擎要以嵌入操作系统内核的形态运行,直接接管网
卡,在把所有数据包进行检查后再提交操作系统。
( 3)类似于个人防火墙
( 4)适用于服务器托管
3.分布式防火墙的主要优势
在新的安全体系结构下,分布式防火墙代表新一
代防火墙技术的潮流,它可以在网络的任何交界和节
点处设置屏障,从而形成了一个多层次、多协议,内
外皆防的全方位安全体系。主要优势如下,
( 1)增强的系统安全性,增加了针对主机的入侵
检测和防护功能,加强了对来自内部攻击防范,可以
实施全方位的安全策略。
( 2)提高了系统性能,消除了结构性瓶颈问题,
提高了系统性能。
( 3)系统的扩展性,分布式防火墙随系统扩充提
供了安全防护无限扩充的能力。
( 4)实施主机策略,对网络中的各节点可以起
到更安全的防护。
( 5)应用更为广泛,支持 VPN通信,其实分布式
防火墙最重要的优势在于,它能够保护物理拓朴上不
属于内部网络,但位于逻辑上的, 内部, 网络的那些
主机,这种需求随着 VPN的发展越来越多。
4.分布式防火墙的基本原理
分布式防火墙仍然由中心定义策略,但由各个分
布在网络中的端点实施这些制定的策略。它依赖于三
个主要的概念:说明哪一类连接可以被允许禁止的策
略语言、一种系统管理工具和 IP安全协议。
( 1)策略语言,以 IP地址来标志内部主机是一种
可供选择的方法,但它的安全性不高,所以更倾向
于使用 IP安全协议中的密码凭证来标志各台主机,
它为主机提供了可靠的、唯一的标志,并且与网络
的物理拓扑无关。
( 2)系统管理工具,分布式防火墙服务器的系统
管理工具用于将形成的策略文件分发给被防火墙保护
的所有主机,应该注意的是这里所指的防火墙并不是
传统意义上的物理防火墙,而是逻辑上的分布式防火
墙。 ( 3) IP安全协议,是一种对 TCP/IP协议族的网络
层进行加密保护的机制,包括 AH和 ESP,分别对 IP包
头和整个 IP包进行认证,可以防止各类主机攻击。
?首先由制定防火墙接入控制策略的中心通过编译
器将策略语言诉描述转换成内部格式,形成策略文
件;
?然后中心采用系统管理工具把策略文件分发给各
台, 内部, 主机;, 内部, 主机将从两方面来判定
是否接受收到的包,一方面是根据 IP安全协议,另
一方面是根据服务器端的策略文件。
分布式防火墙工作 过程,
因为采用了软件形式(有的采用了软件+硬件形
式),所以功能配置更加灵活,具备充分的智能管理
能力,总的来说可以体现在以下几个方面,
5.分布式防火墙的主要功能
( 1) Internet访问控制
( 2)应用访问控制
( 3)网络状态监控
( 4)黑客攻击的防御
( 5)日志管理
( 6)系统工具
3,6,3 以防火墙为核心的网络信
息安全体系
网络安全是一个综合的概念,它不仅包括网络安
全产品,而且还涉及整个企业的管理机制、流程方面
的问题,因此是一复杂的系统工程。
? 就网络安全产品而言,就是一个很大的家族,除
防火墙之外,还包括 VPN密码机,IDS、防病毒产品
等等。
? 误区:什么样的防火墙是安全的防火墙、单靠防火
墙是否能否保证网络的安全、如何构建以防火墙为核
心的网络安全体系等,下面就针对这些问题做简要的
分析和介绍。
1.高速安全的防火墙基础平台是网络安全的
保障
2.构建以防火墙为核心的集成安全方案
3.网络安全产品不但是产品而是服务
3,7
防火墙选择
原则与常见
产品
3,7,1 防火墙选择原则
防火墙的选择应根据网站的特点来选择合适的防
火墙。如果站点是一个机密性机构,但对某些人提供
入站的 FTP服务,则需要有强大认证功能的防火墙;
如果站点联接到 Internet上只是为了接收电子邮件,
那么可以不需要防火墙。
?在考虑购买防火墙的时候,主要考虑以下几条,
1,总拥有成本
2.防火墙自身的安全性
3.防火墙的稳定性
4.防火墙的性能
5,功能的灵活性
6.简化的安装与管理
7.配置方便性
8.是否可针对用户身份进行过滤
10,可扩展和可升级性
11.有用的日志
3,7,2 常见产品
? 常见的企业级防火墙,
( 1) CheckPointFirewall,它提供了最佳权
限控制, 最佳综合性能及简单明了的管理 。 除
了 NAT外, 它具有用户认证功能 。
( 2) AXENTRaptor,总体来说是代理型
防火墙中是最好的 。
( 4) CiscoPIXFirewall,PIX的处理性能
是最好的, 而且使用 NAT时不影响其性能 。
( 3) SecureComputingSecureZone,其
代理功能很强, FTP代理可定制文件的创建,
删改及 put/get操作 。
( 5) Netscreen:它使用专用的 ASIC提供
高性能的防火墙, 既便宜又易于安装 。
( 6) NetGuardGuardian,尽管它的界面
简单, 其权限控制功能优于 Netscreen。
? 常见的企业级防火墙,
( 1) 天网防火墙
( 2) 蓝盾防火墙个人版
( 3) 瑞星个人防火墙
( 4), 反黑王,
( 5) 美国赛门铁克 ( Symantec) 公司的诺顿
( Norton) 防火墙
( 6) 金山网镖
3,8
本章小结
本章首先介绍了访问控制的基本常识, 然后
着重介绍了防火墙的相关知识 。
在计算机网络安全技术性保护措施中,访问控制是
针对越权使用资源的防御措施,是网络安全防范和保
护的主要策略,它的主要任务是保证网络资源不被非
法使用和非常访问。
作为近年来新兴的保护计算机网络安全技术性措施
,防火墙是一种隔离控制技术,在某个机构的网络和
不安全的网络之间设置障碍,阻止对信息资源的非法
访问,也可以使用防火墙阻止专利信息从公司的网络
上被非法输出。换言之:防火墙是一道门槛,控制进
出两个方向的通信。通过限制与网络或某一特定区域
的通信,以达到防止非法用户侵犯 Internet和公用网络
的目的。
防火墙是一种被动防卫技术,由于它假设了网络
的边界和服务,因此对内部的非法访问难以有效地
控制,所以,防火墙最适合于相对独立且与外部网
络互联途径有限、网络服务种类相对集中的单一网
络。
实现防火墙的主要技术有:数据包过滤路由器、
应用双宿主网关的代理服务、主机屏蔽防火墙和子
网屏蔽防火墙等。
防火墙的具体实现产品有很多, 本章介绍多种
企业级和个人版防火墙 。
