网络安全技术分析(纯理论)
一、 网络的安全隐患及其对策
1. 引言
现代计算机系统功能日渐复杂,网络体系日渐强大,正在对社会产生巨大深远的影响,但同时由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以使得安全问题越来越突出。对于军用的自动化指挥网络、C3I系统而言,其网上信息的安全和保密尤为重要。因此,要提高计算机网络的防御能力,加强网络的安全措施,否则该网络将是个无用、甚至会危及的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的防御措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
2. 计算机网络安全面临的威胁
影响计算机网络安全的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的。归结起来,针对网络安全的威胁主要有4个方面: (1)实体摧毁
实体摧毁是计算机网络安全面对的“硬杀伤”威胁。主要有电磁攻击、兵力破坏和火力打击3种。 (2)无意失误
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
(3)黑客攻击
这是计算机网络所面临的最大威胁。此类攻击又可以分为2种:一种是网络攻击,以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察,他是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得对方重要的机密信息。这2种攻击均可对计算机网络造成极大的危害。 (4)网络软件的漏洞和“后门”
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。1999,2000年初发生了许多黑客攻击事件,其中allaire(http://www.allaire.com/)的关于Cold fus的漏洞被广泛宣传和利用,许多的服务器都因未及时的打上补丁而遭到攻击。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所
知,但一旦“后门”被洞开,其造成的后果将不堪设想。
3. 计算机防御对策
根据网络作战的目标范围,网络作战模型包含4个层次:第1层次,实体层次的计算机网络对抗;第2层次,能量层次的计算机网络对抗;第3层次,信息层次(逻辑层次)的计算机网络对抗;第4层次,感知层次(超技术层次)的计算机网络对抗。针对不同层次对抗,计算机网络防御应采取相应的对策。
3.1 实体层次防御对策
实体层次的计算机网络对抗以常规物理方式直接破坏、摧毁计算机网络系统的实体,完成目标打击和摧毁任务。在平时,主要指敌对势力利用行政管理方面的漏洞对计算机系统进行的破坏活动;在战时,通过运用高技术明显提高传统武器的威力,直接摧毁敌方的指挥控制中心、网络节点以及通信信道。这一层次计算机防御的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
在组建网络的时候,要充分考虑网络的结构、布线、路由器、网桥的设置、位置的选择,加固重要的网络设施,增强其抗摧毁能力。与外部网络相连时,采用防火墙屏蔽内部网络结构,对外界访问进行身份验证、数据过滤,在内部网中进行安全域划分、分级权限分配。对外部网络的访问,将一些不安全的站点过滤掉,对一些经常访问的站点做成镜像,可大大提高效率,减轻线路负担。网络中的各个节点要相对固定,严禁随意连接,一些重要的部件安排专门的场地人员维护、看管,防止自然或人为的破坏,加强场地安全管理,做好供电、接地、灭火的管理,与传统意义上的安全保卫工作的目标相吻合。 3.2 能量层次防御对策
能量层次的计算机网络对抗是敌对双方围绕着制电磁权而展开的物理能量的对抗。敌对方通过运用强大的物理能量干扰、压制或嵌入对方的信息网络、乃至像热武器(如高功率微波武器、强脉冲武器等)一样直接摧毁敌方的信息系统;另一方面又通过运用探测物理能量的技术手段对计算机辐射信号进行采集与分析,获取秘密信息。这一层次计算机防御的对策主要是做好计算机设施的防电磁泄露、抗电磁脉冲干扰,在重要部位安装干扰器、建设屏蔽机房等。
目前主要防护措施有2类:
一类是对外围辐射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;给网络加装电磁屏蔽网,防止敌方电磁武器的攻击。
另一类是对自身辐射的防护,这类防护措施又可分为2种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声
向空间辐射来掩盖计算机系统的工作频率和信息特征。 3.3 信息层次防御对策
信息层次的计算机网络对抗是运用逻辑手段破坏敌方的网络系统,保护己方的网络系统的对抗。这个概念接近于美国人讲的Cyberspace Warfare,主要包括计算机病毒对抗、黑客对抗、密码对抗、软件对抗,芯片陷阱等多种形式。他与计算机网络在物理能量领域对抗的主要区别表现在:信息层次的对抗中获得制信息权的决定因素是逻辑的,而不是物理能量的,取决于对信息系统本身的技术掌握水平,是知识和智力的较量,而不是电磁能量强弱的较量。信息层次的计算机网络对抗是网络对抗的关键层次,是网络防御的主要环节。信息层次的防御对策主要是防御黑客攻击和计算机病毒。
3.3.1 防御黑客攻击
黑客攻击是黑客自己开发或利用已有的工具寻找计算机系统和网络的缺陷和漏洞,并对这些缺陷实施攻击。
在计算机网络飞速发展的同时,黑客技术也日益高超,目前黑客能运用的攻击软件已有1 000多种。从网络防御的角度讲,计算机黑客是一个挥之不去的梦魇。借助黑客工具软件,黑客可以有针对性地频频对敌方网络发动袭击令其瘫痪,多名黑客甚至可以借助同样的软件在不同的地点“集中火力”对一个或者多个网络发起攻击。而且,黑客们还可以把这些软件神不知鬼不觉地通过互联网按到别人的电脑上,然后在电脑主人根本不知道的情况下“借刀杀人”,以别人的电脑为平台对敌方网站发起攻击!美军认为,在未来计算机网络进攻战中,“黑客战”将是其基本战法之一。
理论上开放系统都会有漏洞的,正是这些漏洞被一些拥有很高技术水平和超强耐性的黑客所利用。黑客们最常用的手段是获得超级用户口令,他们总是先分析目标系统正在运行哪些应用程序,目前可以获得哪些权限,有哪些漏洞可加以利用,并最终利用这些漏洞获取超级用户权限,再达到他们的目的。因此,对黑客攻击的防御,主要从访问控制技术、防火墙技术和信息加密技术入手。 (1)访问控制
访问控制是网络安全防范和保护的主要策略,他的主要任务是保证网络资源不被非法使用和非常访问。他也是维护网络系统安全、保护网络资源的重要手段。可以说是保证网络安全最重要的核心策略之一。访问控制技术主要包括7种:
①入网访问控制; ②网络的权限控制; ③目录级安全控制; ④属性安全控制;
⑤网络服务器安全控制; ⑥网络监测和锁定控制;
⑦网络端口和节点的安全控制。
根据网络安全的等级,网络空间的环境不同,可灵活地设置访问控制的种类和数量。
(2)防火墙技术
古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,他能够防止火势蔓延到别的寓所,这种墙因此而得名“防火墙”。现在,如果一个网络接到了Internet上,他的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的惟一关卡。这种中介系统也叫做“防火墙”,或“防火墙系统”。
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,他是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出2个方向通信的门槛。一个防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,他通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。代理服务器是防火墙系统中的一个服务器进程,他能够代替网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接2个网络的网关。 目前的防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙3种类型,并在计算机网络得到了广泛的应用。防火墙的确是一种重要的新型安全措施。但是,防火墙也不能解决进入防火墙的数据带来的所有安全问题。如果用户抓来一个程序在本地运行,那个程序很可能就包含一段恶意的代码,或泄露敏感信息,或对之进行破坏。防火墙的另一个缺点是很少有 防火墙制造商推出简便易用的“监狱看守”型的防火墙,大多数的产品还停留在需要网络管理员手工建立的水平上。 (3)信息加密技术
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密3种。 (1)链路加密的目的是保护网络节点之间的链路信息安全;
(2)端-端加密的目的是对源端用户到目的端用户的数据提供保护; (3)节点加密的目的是对源节点到目的节点之间的传输链路提供保护。 用户可根据网络情况酌情选择上述加密方式。信息加密过程是由形形色色的加密算法来具体实施,他以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的惟一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。
密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。 3.3.2 防御计算机病毒
如果说,黑客们入侵计算机网络事件是从计算机网络中向外窃取信息情报的话。那么计算机病毒则是人们向内攻击计算机网络的方法了。目前计算机病毒已经搅得世界不得安宁,并且他将继续逞凶在未来的信息战场之上,成为各国不得不认真对付的一种高技术武器。
由于计算机病毒的传染性、潜伏性和巨大的破坏性。计算机病毒作为信息战的武器,其攻防对抗的焦点和关键技术是病毒的制作技术、注入技术、激活技术和隔离技术,其中实施病毒战难度最大的是注入、激活和隔离技术。防御计算机病毒,首先要进行计算机病毒的种类、性能、干扰机理的研究,加强计算机病毒注入、激活、耦合技术的研究和计算机病毒的防御82技术的研究。但是要从根本上解决问题,就必须要用我国自己的安全设备加强信息与网络的安全性,大力发展基于自主技术的信息安全产业。这样才能从根本上摆脱引进国外的关键信息系统难以安全利用、有效监控的被动局面。
3.4 感知层次(超技术层次)防御对策
感知层次(超技术层次)的计算机网络对抗是网络空间中面向信息的超逻辑形式的对抗。网络对抗并不总是表现为技术的、逻辑的对抗形式,如国内外敌对势力利用计算机网络进行反动宣传,传播谣言,蛊惑人心,进行情报窃取和情报欺骗,针对对方军民进行心理战等,就已经超出了网络的技术设计的范畴,属于对网络的管理、监察和控制的问题。利用黑客技术篡改股市数据以及对股市数据的完整性保护属于逻辑的对抗,而直接发表虚假信息欺骗大众则属于超逻辑的对抗。后一种意义上的网络对抗瞄准了人性的弱点,运用政治的、经济的、人文的、法制的、的、攻心的等各种手段,打击对方的意志、意念和认知系统,往往以伪装、欺诈、谣言、诽谤、恐吓等形式出现。 因此,感知层次的计算机网络防御,一是依靠实体层次和信息层次的防御,二是依靠网络进攻和其他渠道。如通过网络进攻,攻击敌方的网站、服务器,阻塞敌方的网络通道,可以防止敌恶意信息和欺骗信息在己方网络中的存在;通过加强政治思想教育,心理素质培养,正面的引导,科技知识的宣传,可以消除或减弱敌方在感知层次的计算机网络进攻对我民众和官兵不良影响。
二、 网络安全解决方案
筛选路由器 — 第一道防线
应当使用筛选路由器来保护任何面向 Internet 的防火墙。这种路由器只有两个接口:一个与 Internet 相连而另一个与外部防火墙(或必要时与负载平衡的防火墙群集)相连。所有攻击中,将近 90% 涉及到 IP 地址失窃,或改变源地址以使
数据包看起来如同来自内部网络。传入数据包没有什么理由可以来自内部网络。另外,由于一个网络的安全性通常取决于所连接网络的安全性,因此最好能避免您的网络被用作假数据包的来源。筛选路由器是实现这些目的的理想方法。
应当将筛选路由器配置为“allow all except that which is specifically denied”(允许通过特别拒绝以外的所有通信)状态。这样,ACL 就执行下列操作:
定义一个进入筛选器,它拒绝任何源地址为内部网络地址的传入通信。 定义一个外出筛选器,它拒绝源地址非内部网络的传出通信。
拒绝 RFC 1918 中所确定的任何专用地址范围内源地址或目标地址的所有传入或传出通信。
允许所有其它的传入和传出通信。
这可阻止大多数攻击,因为窃取内部地址几乎是所有攻击的基本条件。将筛选路由器后面的防火墙配置为“deny all except that which is specifically allowed”(拒绝除特别允许之外的所有通信)状态。
(这部分信息的依据为 RFC 2267,“Network ingress filtering: Defeating denial of service attacks which employ IP source address spoofing”,1998 年 1 月。)
对可用性要求较高的环境,可使用两个筛选路由器,并将二者连接到一对防火墙负载平衡设备上。
防火墙 — 分层保护
典型的非军事区 (DMZ) 有两个防火墙。外部防火墙配置为只允许 Internet 和 DMZ 之间连接所需的通信。内部防火墙的配置要能够保护内部网络不受 DMZ 的影响 — DMZ 是非信任网络,因此有必要对内部网络实施保护。
什么是 DMZ?看看世界上仅有的政治方面的 DMZ:南北朝鲜之间的区域。DMZ 由其保护边界确定 — 在这种情况下,两个地理边界,分别由单独的保护实体进行监视和保护。网络中的 DMZ 与此非常类似:某单独的网络部分经过单独的物理防火墙与(通常)两个其它网络相连。
DMZ 与屏蔽子网。常见的方法是使用具有多个接口的单一物理防火墙。一个接口连接 Internet,第二个接口连接到内部网络,第三个接口连接到通常称为 DMZ 的区域。这种体系结构不是真正的 DMZ,因为单个设备负责多个保护区域。这种方案的确切名称是屏蔽子网。屏蔽子网具有严重缺陷 — 单个攻击就可破坏整个网络,因为所有网络段都与该防火墙相连。
DMZ 的优点。为什么部署 DMZ?网络攻击日趋增加 — 有些只是出于好玩、炫耀自己的恶作剧能力,还一些是严重的、有目的的公司间谍和破坏。有效的安
全体系结构是攻击的一道屏障,同时该结构具有可调整能力。真正的 DMZ 结构具有下列优点:
具有针对性的安全策略。每个防火墙实施与保护对象对应的策略。
深入防御。在安全遭到破坏时,设备的多个物理构件为安全管理员提供更多时间来做出反应。这是为什么要部署真正的 DMZ 而不是屏蔽子网的唯一、也是最重要的原因。
改进性能。两设备间通信检查的职责分开,每个特定保护区配置一台设备。 可扩展性。可根据需要扩展防火墙 — 外部防火墙处理的负载通常必须比内部防火墙高很多。像 RadWare's FireProof 这样的技术可以跨防火墙农场而平衡负载。 消除故障点。为了获得高可用性,应当至少部署与一对防火墙完全适用的一对防火墙负载平衡器。这样防火墙即可与 DMZ 核心交换机完全匹配。
DMZ 体系结构 — 安全和性能
另一类常见的攻击是从线路上窥探数据包。尽管有最近出现的防窥探工具(可能经常不可靠),但用简单集线器构建的网络还是很容易受到这种攻击。(并且反防窥探工具也可能使它成为一项重要议题。) 使用交换机替代集线器可消除此弱点。在共享介质网络(即用集线器构建的网络)中,所有的设备可看见所有的通信。通常网络接口对非发给它的数据帧不进行处理。混杂模式的接口将把每一帧的内容向上传到计算机的协议栈。该信息对于有协议分析器的攻击者可能非常有价值。
交换网络可以实际杜绝这种情况的发生。交换网络中任何机器的网络接口将只能看到特别发给该接口的那些帧。在这里混杂模式没有什么不同,因为 NIC 不识别其它任何网络通信。攻击者窥探交换网络的唯一已知方法是:攻击者破坏交换机本身并更改其操作,这样交换机至少在一个端口充斥了所有通信。破坏交换机很难,并且很快会被网络管理员发现。
交换网络还免去了使用双主机 DMZ 服务器的必要。双主机提供不了更多的附加保护;附加的 NIC 不能防止来自已破坏计算机的攻击。但是在需要高可用性或高性能情况下,使用两个 NIC 可能更加适合。
消除故障点。在需要高可用性的环境中有必要使用两个 NIC。一种切实可行的设计方案是在核心部分包括两台交换机,并在每台服务器中包括两个 NIC。一个 NIC 连接到一台交换机,另一个 NIC 连接到另一台交换机。
内部网络的情况如何?出于同样的原因,内部网络也应当用交换机来构建。如果需要高可用性,请遵照 DMZ 中同样的原则。
群集互连。无论在 DMZ 还是在内部网络中,都使用集线器连接所有群集。Microsoft 不建议使用跨接电缆,因为它们不能提供确保介质敏感型操作正常工作所需的电子信号。
IPSec — 信任 DMZ 的一种更安全的选择
如果所有的服务器都在运行 Windows 2000,则应当使用 Internet 协议安全 (IPSec) 来保护 DMZ 和内部网络之间所有通讯的安全。IPSec 提供下列功能:
身份验证。 可以确定这样的策略,使得只有那些需要彼此通讯的计算机才可以互相通讯。
加密。 已经侵入到 DMZ 的入侵者无法将通信解释进或解释出内部网络。 保护。 IPSec 保护网络避免重放攻击、人为干预攻击以及通过标准协议(如 ICMP 或 HTTP)进行的攻击(这些攻击可通过基本防火墙和状态检查数据包筛选器防火墙)。
启用 IPSec 后,内部防火墙必须只允许 IPSec、IKE、Kerberos 以及 DNS 通信,这样进一步加强了内部网络的安全性。内部防火墙中不会有其它漏洞。对于各种应用程序有漏洞的标准防火墙规则,入侵者可以通过 Firewalk 这样的工具确定防火墙的策略;而将所有通信封装在 IPSec 中并只许使用该协议,可隐藏对攻击者可能有用的实施细节(但是还应参见下面的“可能的安全含意”)。
三、 防火墙技术分析与设计
防火墙技术现状
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后,提
出了防火墙的概念,防火墙技术得到了飞速的发展。
第二代防火墙,也称代理服务器,它用来提供网络服务级的控制,起到外部网络向被保护的内部网络申请服务时中间转接作用,这种方法可以有效地防止对内部网络的直接攻击,安全性较高。第三代防火墙有效地提高了防火墙的安全性,称为状态监控功能防火墙,它可以对每一层的数据包进行检测和监控。随着网络攻击手段和信息安全技术的发展,新一代的功能更强大、安全性更强的防火墙已
经问世,这个阶段的防火墙已超出了原来传统意义上防火墙的范畴,已经演变成一个全方位的安全技术集成系统,我们称之为防火墙,它可以抵御目前常见的网络攻击手段,如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。
防火墙的定义和描述
“防火墙”这个术语参考来自应用在建筑结构里的安全技术。在楼宇里用来起分隔作用的墙,用来隔离不同的公司或房间,尽可能的起防火作用。一旦某个单元起火这种方法保护了其它的居住者。然而,多数防火墙里都有一个重要的门,允许人们进入或离开大楼。因此,虽然防火墙保护了人们的安全,但这个门在提供增强安全性的同时允许必要的访问。
在计算机网络中,一个网络防火墙扮演着防备潜在的恶意的活动的屏障,并可通过一个”门”来允许人们在你的安全网络和开放的不安全的网络之间通信。原来,一个防火墙是由一个单独的机器组成的,放置在你的私有网络和公网之间。近些年来,防火墙机制已发展到不仅仅是”firlwall box”,更多提及到的是堡垒主机。它现在涉及到整个从内部网络到外部网络的区域,由一系列复杂的机器和程序组成。简单来说,今天防火墙的主要概念就是多个组件的应用。到现在你要准备实施你的防火墙,需要知道你的公司需要什么样的服务并且什么样的服务对于内部用户和外部用户都是有效的。
防火墙的任务
防火墙在实施安全的过程中是至关重要的。一个防火墙策略要符合四个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的的需求。防火墙要能确保满足以下四个目标
实现一个公司的安全策略
防火墙的主要意图是强制执行你的安全策略。在前面的课程提到过在适当的网络安全中安全策略的重要性。举个例子,也许你的安全策略只需对MAIL服务器的SMTP流量作些,那么你要直接在防火墙强制这些策略。
创建一个阻塞点
防火墙在一个公司私有网络和分网问建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立,防火墙设备就可以监视,
过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。通过强制所有进出流量都通过这些检查点,网络管理员可以集中在较少的方来实现安全目的。如果没有这样一个供监视和控制信息的点,系统或安全管理员则要在大量的地方来进行监测。检查点的另一个名字叫做网络边界。
记录Internet活动
防火墙还能够强制日志记录,并且提供警报功能。通过在防火墙上实现日志服务,安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现适当网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。
网络暴露
防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来网络信息的暴露。通过对所能进来的流量时行源检查,以从外部发动的攻击。
防火墙类型
目前有三种防火墙:
基本数据包筛选器。 状态检测数据包筛选器。 应用程序代理。
基本数据包筛选器:
把简单的数据包筛选作为一种防火墙已不常见,因为几乎所有的路由器都可执行此功能。数据包筛选只是简单地按照一组规则比较传出和传入数据包的端口、协议和地址。不符合规则的数据包被防火墙终止。基本的数据包筛选提供很少的安全性,因为很多种攻击可轻易地绕过它。
状态检测数据包筛选器:
这些防火墙除检查单独的数据包外还对流程进行检查。状态检查引擎跟踪每个连接的启动并确保启动与某个先前登录的连接相应的所有通信。符合防火墙规则但无法映射到任何连接的未经请求数据包将被终止。状态检查比基本数据包筛选更为安全,但还是可能受到能够通过防火墙可用协议(如 HTTP)的入侵的袭击。
两类数据包筛选器都无法分析任何数据包的内容。另外,两类数据包筛选防火墙几乎都无法在按照规则集进行计算之前将碎片数据包重新组装起来。于是,某些类型的攻击得以用高超技巧制作的数据包碎片进行成功传递。
应用程序代理:
应用程序代理提供最高的安全级别。连接不通过代理,而传入连接在代理处被中截,并由代理实现与目标服务器的连接。应用程序代理检查有效载荷并可确定它是否符合协议。例如,正常的 HTTP 请求有确定的特征。通过 HTTP 传递的攻击将与这些特征有所出入(最显著的是通过 HTTP 请求传递的通信具有过多传入信息量),并将被终止。应用程序代理还不易受到碎片的攻击。由于为应用程序代理施加了负载,因此它在三类防火墙技术中速度最慢。
如此说来,哪种技术最好呢?答案取决于您所需的安全级别。一些状态检查防火墙开始加入应用程序代理功能;Checkpoint 的 Firewall-1 就是这样的实例。
基于主机的防火墙保护。彻底防御应当是任何安全方案的设计目标。筛选路由器和传统的 DMZ 提供三层保护,它们通常足以保护大多数网络服务。对于高度安全的环境,基于主机的防火墙还可提供另一层的保护。基于主机的防火墙允许安全管理员确定详细周全的安全策略,以使服务器的 IP 栈只对该服务器上应用程序所要求的端口和协议开放。一些基于主机的防火墙还实施传出保护,以帮助确保某台遭到破坏的机器不会影响同一网络上的其它机器。当然,基于主机的防火墙确实增加了普通系统管理的负担。应考虑仅对那些包含至关重要数据的服务器增加基于主机的保护。
防火墙设计规则
当构造防火墙设备时,经常要遵循下面两个主要的概念。 1 保持设计的简单性。
2 要计划好一旦防火墙被渗透应该怎么办。
保持设计的简单性
一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注意的组件。建立你的堡垒主机时要尽可能使用较小的组件,无论硬件还是软件。堡垒主机的建立只需提供防火墙功能。在防火墙主机上不要安装像WEB服务的应用程序服务。要删除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客很少的机会穿过防火墙。
安排事故计划
如果你已设计好你的防火墙性能,只有通过你的防火墙才能允许公共访问你的网络。当设计防火墙时安全管理员要对防火墙主机崩溃或危及的情况作出计划。如果你仅仅是用一个防火墙设备把内部网络和公网隔离开,那么黑客渗透进你的防火墙后就会对你内部的网络有着完全访问的权限。为了防止这种渗透,要设计几种不同级别的防火墙设备。不要依赖一个单独的防火墙保护惟独的网络。如果你的安全受到损害,那你的安全策略要确定该做些什么。采取一些特殊的步骤,包括
· 创建同样的软件备份
· 配置同样的系统并存储到安全的地方
· 确保所有需要安装到防火墙上的软件都容易,这包括你要有恢复磁盘。 堡垒主机的类型
当创建堡垒主机时,要记住它是在防火墙策略中起作用的。识别堡垒主机的任务可以帮助你决定需要什么和如何配置这些设备。下面将讨论三种常见的堡垒主机类型。这些类型不是单独存在的,且多数防火墙都属于这三类中的一种。
单宿主堡垒主机
单宿主堡垒主机是有一块网卡的防火墙设备。单宿主堡垒主机通常是用于应用级网关防火墙。外部路由器配置把所有进来的数据发送到堡垒主机上,并且所有内部客户端配置成所有出去的数据都发送到这台堡垒主机上。然后堡垒主机以安全方针作为依据检验这些数据。这种类型的防火墙主要的缺点就是可以重配置路由器使信息直接进入内部网络,而完全绕过堡垒主机。还有,用户可以重新配置他们的机器绕过堡垒主机把信息直接发送到路由器上。 双宿主堡垒主机
双宿主堡垒主机结构是围绕着至少具有两块网卡的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内络之间不可直接通信,内外部网络之间的数据流被双宿主主机完全切断。
双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。它采用主机取代路由器执行安全控制功能,故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机,它可以用来在内部网络和外部网络之间进行寻址。当一个黑客想要访问你内部设备时,他(她)必须先要攻破双宿主堡垒主机,
这有希望让你有足够的时间阻止这种安全侵入和作出反应。
单目的堡垒主机
单目的堡垒主机既可是单堡垒也可是多堡垒主机。经常,根据公司的改变,需要新的应用程序和技术。很多时候这些新的技术不能被测试并成为主要的安全突破口。你要为这些需要创建特定的堡垒主机。在上面安装未测试过的应用程序和服务不要危及到你的防火墙设备。使用单目的堡垒主机允许你强制执行更严格的安全机制。举个例子,你的公司可能决定实施一个新类型的流程序,假设公司的安全策略需要所有进出的流量都要通过一个代理服务器送出,你要为这个表的流程序单独地创建一个新代理服务器。在这个新的代理服务器上,你要实施用户认证和拒绝IP地址。使用这个单独的代理服务器,不要危害到当前的安全配置并且你可以实施更严格的安全机制如认证。
内部堡垒主机
内部堡垒主机是标准的单堡垒或多堡垒主机存在于公司的内部网络中。它们一般用作应用级网关接收所有从外部堡垒主机进来的流量。当外部防火墙设备受到损害时提供额外的安全级别。所有内部网络设备都要配置成通过内部堡垒主机通信,这样当外部堡垒主机受到损害时不会造成影响。
四种常见的防火墙设计都提供一个确定的安全级别,一个简单的规则是越敏感的数据就要采取越广泛的防火墙策略,这四种防火墙的实施都是建立一个过滤的距阵和能够执行和保护信息的点。这四种选择是:
·筛选路由器
·单宿主堡垒主机
·双宿主堡垒主机
·屏蔽子网
筛选路由器的选择是最简单的,因此也是最常见的,大多数公司至少使用一个筛选路由器作为解决方案,因为所有需要的硬件已经投入使用。用于创建筛选主机防火墙的两个选择是单宿主堡垒主机和双宿主堡垒主机。不管是电路级还是应用级网关的配置都要求所有的流量通过堡垒主机。最后一个常用的方法是筛选子网防火墙,利用额外的包过滤路由器来达到另一个安全的级别。
四、
结束语
随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。同时,计算机网络技术目前正处于蓬勃发展的阶段,新技术层出不穷,其中也不可避免的存在一些漏洞,因此,进行网络防范要不断追踪新技术的应用情况,及时升级、完善自身的防御措施
因篇幅问题不能全部显示,请点此查看更多更全内容