—-随 着 计 算 机 网 络 的 广 泛 使 用 和 网 络 之 间 信 息 传 输 量 的 急 剧 增 长, 一 些 机 构 和 部 门 在 得 益 于 网 络 加 快 业 务 运 作 的 同 时, 其 上 网 的 数 据 也 遭 到 了 不 同 程 度 的 破 坏, 或 被 删 除 或 被 复 制, 数 据 的 安 全 性 和 自 身 的 利 益 受 到 了 严 重 的 威 胁。 —-Internet 的 日 益 普 及,Web Server 的 浏 览 访 问, 不 仅 使 数 据 传 输 量 增 加, 网 络 被 攻 击 的 可 能 性 增 大,, 而 且 由 于Internet 的 开 放 性, 网 络 安 全 防 护 的 方 式 发 生 了 根 本 变 化, 使 得 安 全 问 题 更 为 复 杂。 传 统 的 网 络 强 调 统 一 而 集 中 的 安 全 管 理 和 控 制, 可 采 取 加 密、 认 证、 访 问 控 制、 审 计 以 及 日 志 等 多 种 技 术 手 段, 且 它 们 的 实 施 可 由 通 信 双 方 共 同 完 成; 而 由 于Internet 是 一 个 开 放 的 全 球 网 络, 其 网 络 结 构 错 综 复 杂, 因 此 安 全 防 护 方 式 截 然 不 同。Internet 的 安 全 技 术 涉 及 传 统 的 网 络 安 全 技 术 和 分 布 式 网 络 安 全 技 术, 且 主 要 是 用 来 解 决 如 何 利 用Internet 进 行 安 全 通 信, 同 时 保 护 内 部 网 络 免 受 外 部 攻 击。 在 此 情 形 下, 防 火 墙 技 术 应 运 而 生。 一、 防 火 墙 的 基 本 概 念 –1. 何 谓 防 火 墙 ? —-防 火 墙 是 设 置 在 被 保 护 网 络 和 外 部 网 络 之 间 的 一 道 屏 障, 以 防 止 发 生 不 可 预 测 的、 潜 在 破 坏 性 的 侵 入。 它 可 通 过 监 测、 限 制、 更 改 跨 越 防 火 墙 的 数 据 流, 尽 可 能 地 对 外 部 屏 蔽 网 络 内 部 的 信 息、 结 构 和 运 行 状 况, 以 此 来 实 现 网 络 的 安 全 保 护。 —-2. 防 火 墙 的 实 质 —-防 火 墙 包 含 着 一 对 矛 盾( 或 称 机 制): 一 方 面 它 限 制 数 据 流 通, 另 一 方 面 它 又 允 许 数 据 流 通。 由 于 网 络 的 管 理 机 制 及 安 全 政 策(security policy) 不 同, 因 此 这 对 矛 盾 呈 现 出 不 同 的 表 现 形 式。 —-存 在 两 种 极 端 的 情 形: 第 一 种 是 除 了 非 允 许 不 可 的 都 被 禁 止, 第 二 种 是 除 了 非 禁 止 不 可 的 都 被 允 许。 第 一 种 的 特 点 是 安 全 但 不 好 用, 第 二 种 是 好 用 但 不 安 全, 而 多 数 防 火 墙 都 在 两 种 之 间 采 取 折 衷。 —-这 里 所 谓 的 好 用 或 不 好 用 主 要 指 跨 越 防 火 墙 的 访 问 效 率。 在 确 保 防 火 墙 安 全 或 比 较 安 全 的 前 提 下 提 高 访 问 效 率 是 当 前 防 火 墙 技 术 研 究 和 实 现 的 热 点。 二、 防 火 墙 的 基 本 原 理 —-根 据 防 范 的 方 式 和 侧 重 点 的 不 同, 防 火 墙 可 分 为 三 大 类: —-1. 数 据 包 过 滤 —-数 据 包 过 滤(Packet Filtering) 技 术 是 在 网 络 层 对 数 据 包 进 行 选 择, 选 择 的 依 据 是 系 统 内 设 置 的 过 滤 逻 辑, 被 称 为 访 问 控 制 表(Access Control Table)。 通 过 检 查 数 据 流 中 每 个 数 据 包 的 源 地 址、 目 的 地 址、 所 用 的 端 口 号、 协 议 状 态 等 因 素, 或 它 们 的 组 合 来 确 定 是 否 允 许 该 数 据 包 通 过。 实 现 原 理 —-数 据 包 过 滤 防 火 墙 逻 辑 简 单, 价 格 便 宜, 易 于 安 装 和 使 用, 网 络 性 能 和 透 明 性 好, 它 通 常 安 装 在 路 由 器 上。 路 由 器 是 内 部 网 络 与Internet 连 接 必 不 可 少 的 设 备, 因 此 在 原 有 网 络 上 增 加 这 样 的 防 火 墙 几 乎 不 需 要 任 何 额 外 的 费 用。 —-数 据 包 过 滤 防 火 墙 的 缺 点 有 二: 一 是 非 法 访 问 一 旦 突 破 防 火 墙, 即 可 对 主 机 上 的 软 件 和 配 置 漏 洞 进 行 攻 击; 二 是 数 据 包 的 源 地 址、 目 的 地 址 以 及IP 的 端 口 号 都 在 数 据 包 的 头 部, 很 有 可 能 被 窃 听 或 假 冒。 —-2. 应 用 级 网 关 —-应 用 级 网 关(Application Level Gateways) 是 在 网 络 应 用 层 上 建 立 协 议 过 滤 和 转 发 功 能。 它 针 对 特 定 的 网 络 应 用 服 务 协 议 使 用 指 定 的 数 据 过 滤 逻 辑, 并 在 过 滤 的 同 时, 对 数 据 包 进 行 必 要 的 分 析、 登 记 和 统 计, 形 成 报 告。 实 际 中 的 应 用 网 关 通 常 安 装 在 专 用 工 作 站 系 统 上。 应 用 网 关 防 火 墙 实 现 原 理 —-数 据 包 过 滤 和 应 用 网 关 防 火 墙 有 一 个 共 同 的 特 点, 就 是 它 们 仅 仅 依 靠 特 定 的 逻 辑 判 定 是 否 允 许 数 据 包 通 过。 一 旦 满 足 逻 辑, 则 防 火 墙 内 外 的 计 算 机 系 统 建 立 直 接 联 系, 防 火 墙 外 部 的 用 户 便 有 可 能 直 接 了 解 防 火 墙 内 部 的 网 络 结 构 和 运 行 状 态, 这 有 利 于 实 施 非 法 访 问 和 攻 击。 —-3. 代 理 服 务 —-代 理 服 务(Proxy Service) 也 称 链 路 级 网 关 或TCP 通 道(Circuit Level Gateways or TCP Tunnels), 也 有 人 将 它 归 于 应 用 级 网 关 一 类。 它 是 针 对 数 据 包 过 滤 和 应 用 网 关 技 术 存 在 的 缺 点 而 引 入 的 防 火 墙 技 术, 其 特 点 是 将 所 有 跨 越 防 火 墙 的 网 络 通 信 链 路 分 为 两 段。 防 火 墙 内 外 计 算 机 系 统 间 应 用 层 的” 链 接”, 由 两 个 终 止 代 理 服 务 器 上 的” 链 接” 来 实 现, 外 部 计 算 机 的 网 络 链 路 只 能 到 达 代 理 服 务 器, 从 而 起 到 了 隔 离 防 火 墙 内 外 计 算 机 系 统 的 作 用。 此 外, 代 理 服 务 也 对 过 往 的 数 据 包 进 行 分 析、 注 册 登 记, 形 成 报 告, 同 时 当 发 现 被 攻 击 迹 象 时 会 向 网 络 管 理 员 发 出 警 报, 并 保 留 攻 击 痕 迹。 代 理 服 务 防 火 墙 应 用 层 数 据 控 制 及 传 输 过 程 —-应 用 级 网 关 和 代 理 服 务 方 式 的 防 火 墙 大 多 是 基 于 主 机 的, 价 格 比 较 贵, 但 性 能 好, 安 装 和 使 用 也 比 数 据 包 过 滤 的 防 火 墙 复 杂。 三、 防 火 墙 的 实 现 方 式 —-由 于 整 个 网 络 的 安 全 防 护 政 策、 防 护 措 施 及 防 目 的 不 同, 防 火 墙 的 配 置 和 实 现 方 式 也 千 差 万 别。 这 里 分 析 几 种 常 见 的 防 火 墙 实 现 方 式。 —-1. 分 组 过 滤 路 由 器 —-分 组 过 滤 路 由 器(Screening Router) 是 众 多 防 火 墙 中 最 基 本、 最 简 单 的 一 种, 它 可 以 是 带 有 数 据 包 过 滤 功 能 的 商 用 路 由 器, 也 可 以 是 基 于 主 机 的 路 由 器。 —-许 多 网 络 的 防 火 墙 就 是 在 被 保 护 网 络 和Internet 网 络 之 间 安 置 分 组 过 滤 路 由 器。 它 与 下 面 谈 到 的 过 滤 主 机 网 关 防 火 墙 的 不 同 点 在 于 它 允 许 被 保 护 网 络 的 多 台 主 机 与Internet 网 络 的 多 台 主 机 进 行 直 接 通 信, 其 危 险 性 分 布 在 被 保 护 网 络 的 全 部 主 机 以 及 允 许 访 问 的 各 种 服 务 类 型 上。 随 着 服 务 的 增 多, 网 络 的 危 险 性 将 急 剧 增 加。 当 网 络 被 击 破 时, 这 种 防 火 墙 几 乎 无 法 保 留 攻 击 者 的 踪 迹, 甚 至 难 以 发 现 已 发 生 的 网 络 攻 击。 —-显 然, 这 种 常 用 的 过 滤 路 由 防 火 墙 是 不 安 全 的。 它 采 取 的 安 全 政 策 属 于” 除 了 非 禁 止 不 可 的 都 被 允 许” 这 种 极 端 类 型。 —-2. 双 穴 防 范 网 关 —-一 种 经 常 使 用 且 易 于 安 装 的 防 火 墙 叫 做 双 穴 防 范 网 关(Dual Homed Gateway)。 这 种 防 火 墙 不 使 用 分 组 过 滤 规 则, 而 是 在 被 保 护 网 络 和Internet 网 络 之 间 设 置 一 个 系 统 网 关, 用 来 隔 断TCP/IP 的 直 接 传 输。 被 保 护 网 络 中 的 主 机 与 该 网 关 可 以 通 信,Internet 中 的 主 机 也 能 与 该 网 关 通 信, 但 是 两 个 网 络 中 的 主 机 不 能 直 接 通 信。 这 种 方 式 防 火 墙 的 安 全 性 取 决 于 管 理 者 允 许 提 供 的 网 络 服 务 类 型。 —-3. 过 滤 主 机 网 关 —-过 滤 主 机 网 关(Screened Host Gateway) 防 火 墙 配 置 时 需 要 一 个 带 分 组 过 滤 功 能 的 路 由 器 和 一 台 设 防 主 机。 一 般 情 况 下, 设 防 主 机 设 置 在 被 保 护 网 络, 路 由 器 设 置 在 设 防 主 机 和Internet 网 络 之 间, 这 样 设 防 主 机 是 被 保 护 网 络 唯 一 可 到 达Internet 网 络 的 系 统, 通 常 情 况 下 路 由 器 封 锁 了 设 防 主 机 特 定 的 端 口, 而 只 允 许 一 定 数 量 的 通 信 服 务。 —-一 般 而 言, 过 滤 主 机 网 关 防 火 墙 是 比 较 安 全 的, 因 为 从Internet 网 络 只 能 访 问 到 设 防 主 机, 而 不 允 许 访 问 被 保 护 网 络 的 其 他 资 源, 设 防 主 机 居 于 被 保 护 网 络, 局 域 网 中 的 用 户 与 设 防 主 机 的 可 达 性 相 当 好, 不 涉 及 外 部 路 由 配 置 问 题。 然 而, 一 旦 攻 击 者 登 录 到 设 防 主 机, 危 害 性 就 变 得 相 当 大, 整 个 被 保 护 网 络 都 可 能 是 攻 击 的 目 标。 —-4. 过 滤 子 网 防 火 墙 —-考 虑 过 滤 主 机 网 关 防 火 墙 的 安 全 性, 在 配 置 防 火 墙 时 有 必 要 在 被 保 护 网 络 和Internet 网 络 之 间 设 置 一 个 孤 立 的 子 网, 这 就 是 过 滤 子 网(Screened Subnet) 防 火 墙。 一 般 情 况 下, 采 用 分 组 过 滤 路 由 器 防 火 墙 来 孤 立 这 个 子 网。 这 样 被 保 护 网 络 和Internet 网 络 虽 都 可 以 访 问 子 网 主 机, 但 跨 过 子 网 的 直 接 访 问 是 被 严 格 禁 止 的。 通 常, 孤 立 子 网 需 要 设 置 一 台 设 防 主 机, 即 用 来 提 供 交 互 式 的 终 端 会 晤, 同 时 也 兼 当 应 用 级 网 关。 —-过 滤 子 网 防 火 墙 这 种 配 置 的 危 害 区 域 是 很 小 的, 只 集 中 在 设 防 主 机 和 分 组 过 滤 路 由 器 上。 这 种 方 法 使 经 过 防 火 墙 的 所 有 服 务 都 必 须 经 过 应 用 网 关, 同 时 牵 扯 到 网 络 间 路 由 的 重 新 选 择, 能 够 隐 藏 被 保 护 网 络 可 能 被 遗 留 的 痕 迹, 许 多 节 点 似 乎 能 与Internet 网 络 连 接, 都 被 现 有 网 络 的 重 新 编 址 和 子 网 的 重 新 划 分 变 得 不 可 能。 对 于 网 间 路 由 的 过 滤 子 网 防 火 墙, 当 一 个 新 的 子 网 连 入 时, 必 须 改 变 配 置, 以 适 应 新 的 子 网 划 分 和 新 的 网 址 分 配, 否 则 不 能 正 确 地 使 用 防 火 墙, 因 此 增 加 了 网 络 的 安 全 性 能。 —-攻 击 者 必 须 连 续 重 新 设 置 三 个 网 络 的 路 由 而 不 间 断, 才 能 侵 入 设 防 主 机, 进 而 进 入 被 保 护 网 络, 最 后 再 返 回 到 分 组 过 滤 路 由 器, 而 且 所 有 这 些 都 不 能 被 锁 住, 也 不 被 发 现, 这 在 理 论 上 虽 有 可 能, 但 无 疑 是 相 当 困 难 的。 —-此 外, 还 有 应 用 级 网 关、 代 理 网 关 以 及 混 合 型 网 关 等 多 种 实 现 方 式。 这些那些,我们是多么的了然于心,却依然,没有任何办法。
透视防火墙
