張 寧

古時(shí)候,人們常在寓所之間砌起一道磚墻,一旦火災(zāi)發(fā)生它能夠防止火勢(shì)蔓延到別的寓所。自然,此種磚墻因此而得名“防火墻”。現(xiàn)在,如果一個(gè)網(wǎng)絡(luò)接入到Internet上,在與外界進(jìn)行通信時(shí),勢(shì)必也會(huì)存在著“火災(zāi)發(fā)生”的可能。如何確保網(wǎng)絡(luò)安全?作為網(wǎng)絡(luò)安全產(chǎn)品中的防火墻技術(shù),是目前最為成熟的技術(shù)。

一、防火墻設(shè)計(jì)首要、重點(diǎn)問題

防火墻的自我保護(hù)能力(安全性)是設(shè)計(jì)時(shí)的首要、重點(diǎn)問題。

1.專用服務(wù)器端口

為降低設(shè)計(jì)上的難度,通過在防火墻上增設(shè)專用服務(wù)器端口,來與主機(jī)進(jìn)行連接。除專用服務(wù)器外,防火墻不接受任何其他端口的直接訪問。由于管道通信是單獨(dú)的通道,所以不管是內(nèi)網(wǎng)主機(jī)還是外網(wǎng)主機(jī)都無法竊聽到該通信,顯然是很安全的。

2.透明應(yīng)用代理

提供對(duì)高層應(yīng)用服務(wù)。管理員在防火墻產(chǎn)品上配置相關(guān)規(guī)則,這些配置對(duì)用戶來說完全是透明的。用戶訪問Web、FTP等服務(wù)時(shí),自由進(jìn)行代理轉(zhuǎn)發(fā),外部網(wǎng)絡(luò)不能通過代理主動(dòng)訪問內(nèi)部網(wǎng)絡(luò),從而有效保證了內(nèi)部網(wǎng)絡(luò)的安全。

二、防火墻體系結(jié)構(gòu)構(gòu)建

常見的幾種構(gòu)建方式分析如下:

1.雙宿主機(jī)

雙宿主機(jī)將內(nèi)外網(wǎng)絡(luò)隔離,防火墻內(nèi)部的網(wǎng)絡(luò)系統(tǒng)與外部的網(wǎng)絡(luò)系統(tǒng)都與雙宿主機(jī)通信。這樣,內(nèi)外網(wǎng)絡(luò)之間的IP數(shù)據(jù)流是完全切斷的,只有入侵者得到雙宿主機(jī)的訪問權(quán),才會(huì)侵入內(nèi)部網(wǎng)絡(luò)。所以為了保證內(nèi)部網(wǎng)安全,雙宿主機(jī)應(yīng)禁止網(wǎng)絡(luò)層的路由功能,避免防火墻上過多的用戶賬號(hào)。

2.屏蔽主機(jī)

主機(jī)與內(nèi)部網(wǎng)相連,使用一臺(tái)單獨(dú)的過濾路由器強(qiáng)迫所有到達(dá)路由器的數(shù)據(jù)包被發(fā)送到被屏蔽主機(jī),任何試圖訪問內(nèi)部系統(tǒng)或服務(wù)器的外部系統(tǒng)都須與此主機(jī)相連。過濾路由器能否正確配置是這種防火墻結(jié)構(gòu)安全的關(guān)鍵,因此過濾路由器中的路由表應(yīng)嚴(yán)加保護(hù)。

3.屏蔽子網(wǎng)

在以上基礎(chǔ)上,增加一個(gè)DMZ(隔離區(qū)),進(jìn)一步將內(nèi)網(wǎng)與外網(wǎng)隔開。采取兩個(gè)過濾路由器,攻擊者就算攻入了主機(jī),還得通過內(nèi)部路由器。所以原則上說,此種方式的網(wǎng)絡(luò)是安全的。

三、應(yīng)對(duì)常見攻擊方式的策略

1.病毒

盡管某些防火墻產(chǎn)品提供了在數(shù)據(jù)包通過時(shí)進(jìn)行病毒掃描的功能,但仍然很難將所有的病毒(或特洛伊木馬程序)阻止在網(wǎng)絡(luò)外面,黑客很容易欺騙用戶下載一個(gè)程序從而讓惡意代碼進(jìn)入內(nèi)部網(wǎng)。

策略:設(shè)定安全等級(jí),嚴(yán)格阻止系統(tǒng)在未經(jīng)安全檢測(cè)的情況下執(zhí)行下載程序;或者通過常用的基于主機(jī)的安全方法來保護(hù)網(wǎng)絡(luò)。

2.口令字

對(duì)口令字的攻擊方式有兩種:窮舉和嗅探。窮舉針對(duì)來自外部網(wǎng)絡(luò)的攻擊,來猜測(cè)防火墻管理的口令字。嗅探針對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊,通過監(jiān)測(cè)網(wǎng)絡(luò)獲取主機(jī)給防火墻的口令字。

策略:設(shè)計(jì)主機(jī)與防火墻通過單獨(dú)接口通信(即專用服務(wù)器端口)、采用一次性口令或禁止直接登錄防火墻。

3.郵件

在這種攻擊中,垃圾郵件制造者將一條消息復(fù)制成成千上萬份,并按一個(gè)巨大的電子郵件地址清單發(fā)送這條信息,當(dāng)用戶不經(jīng)意打開郵件時(shí),惡意代碼即可進(jìn)入。

策略:打開防火墻上的過濾功能,在內(nèi)網(wǎng)主機(jī)上采取相應(yīng)阻止措施。

4.IP地址

黑客利用一個(gè)類似于內(nèi)部網(wǎng)絡(luò)的IP地址,以“逃過”服務(wù)器檢測(cè),從而進(jìn)入內(nèi)部網(wǎng)達(dá)到攻擊的目的。

策略:通過打開內(nèi)核rp_filter功能,丟棄所有來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包;同時(shí)將特定IP地址與MAC綁定,只有擁有相應(yīng)MAC地址的用戶才能使用被綁定的IP地址進(jìn)行網(wǎng)絡(luò)訪問。

四、基本決策

1.方案選擇

市場(chǎng)上的防火墻大致有軟件防火墻和硬件防火墻兩大類。軟件防火墻需運(yùn)行在一臺(tái)標(biāo)準(zhǔn)的主機(jī)設(shè)備上,依托網(wǎng)絡(luò)在操作系統(tǒng)上實(shí)現(xiàn)防火墻的各種功能,因此也稱“個(gè)人”防火墻,其功能有限,基本上能滿足單個(gè)用戶。硬件防火墻則是把硬件和軟件都單獨(dú)設(shè)計(jì),并集成在一起,運(yùn)行于自己專用的系統(tǒng)平臺(tái)上。由于硬件防火墻集合了軟件方面的功能,因此更為強(qiáng)大,目前已普遍使用。

2.結(jié)構(gòu)透明

防火墻的透明性是指防火墻對(duì)于用戶是透明的。以網(wǎng)橋的方式將防火墻接入網(wǎng)絡(luò),網(wǎng)絡(luò)和用戶無需做任何設(shè)置和改動(dòng),也根本意識(shí)不到防火墻的存在。用戶根據(jù)自己企業(yè)的網(wǎng)絡(luò)規(guī)模,以及安全策略來選擇合適的防火墻的構(gòu)造結(jié)構(gòu),如果經(jīng)濟(jì)實(shí)力雄厚,可采用屏蔽子網(wǎng)的拓?fù)浣Y(jié)構(gòu)。

3.堅(jiān)持策略

①管理主機(jī)與防火墻專用服務(wù)器端口連接,形成單獨(dú)管理通道,防止來自內(nèi)外部的攻擊。

②使用FTP、News等服務(wù)代理,以提供高水平的審計(jì)和潛在的安全性。

③支持“除非明確允許,否則就禁止”的安全防范原則。

④確定可接受的風(fēng)險(xiǎn)水平。

4.實(shí)施措施

好的防火墻產(chǎn)品應(yīng)向使用者提供完整的安全檢查功能,應(yīng)有完善及時(shí)的售后服務(wù)。但一個(gè)安全的網(wǎng)絡(luò)仍必須靠使用者的觀察與改進(jìn),企業(yè)要達(dá)到真正的安全仍需內(nèi)部的網(wǎng)絡(luò)管理者不斷記錄、追蹤、改進(jìn),定期對(duì)防火墻和相應(yīng)操作系統(tǒng)用補(bǔ)丁程序進(jìn)行升級(jí)。

以上從防火墻所具有的功能出發(fā),分別介紹了防火墻技術(shù)在設(shè)計(jì)時(shí)的重點(diǎn)問題、防火墻體系結(jié)構(gòu)的構(gòu)建、常見攻擊方式的防范及基本設(shè)計(jì)決策。全文在分析的基礎(chǔ)上給出了具體的解決方法,企業(yè)在設(shè)計(jì)過程中應(yīng)根據(jù)自身?xiàng)l件出發(fā),選擇最優(yōu)的策略。

作者單位:廣東省佛山市高級(jí)技工學(xué)校(西校區(qū))