關鍵詞:互聯網網絡安全防火墻過濾地址翻譯
1.介紹
防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的壹種應用安全技術,越來越多的應用於私網和公網,尤其是互聯網的互聯環境中。隨著互聯網的快速發展,防火墻產品在短短幾年內異軍突起,很快形成了壹個產業:1995,剛剛上市的防火墻技術產品市場量不到10000臺;到1996年底,已經飆升到65438+萬套;據權威國際商業調查機構預測,防火墻市場將以1.73%的復合增長率增長,到今年年底將達到1.5萬臺,市場成交額將從1.995?1.6?10億美元上升到9.8億美元。?
為了全面了解互聯網防火墻及其發展過程,尤其是第四代防火墻的技術特點,我們非常有必要從產品和技術的角度對防火墻技術的發展和演進進行詳細的考察。?
2.互聯網防火墻技術簡介?
防火墻最初是指建築物用來阻止火勢蔓延的隔墻。從理論上講,互聯網防火墻服務類似於那些用於防止外部入侵的服務。它可以防止
阻止各種危險(病毒、資源盜竊等。)傳播到妳的網絡。事實上,防火墻並不像現實生活中的防火墻,它有點像古代用來保護城市的護城河,服務於以下目的:
1)限制人們從特定的控制點進入;?
2)限制人們從特定點離開;?
3)阻止入侵者接近妳的其他防禦設施;?
4)有效防止破壞者破壞妳的電腦系統。?
在現實生活中,互聯網防火墻通常安裝在受保護的內部網絡上,並連接到互聯網。
所有從互聯網傳輸或您發送的信息都必須通過防火墻。這樣,防火墻就起到了保護特定系統之間的電子郵件、文件傳輸、遠程登錄、信息交換等安全的作用。從邏輯上講,防火墻起到的是隔離、限制、分析的作用,從圖1也可以實現。那麽,什麽是防火墻?防火墻實際上是加強互聯網(內網)之間安全防禦的壹個系統或壹組系統,由壹組硬件設備(包括路由器和服務器)和相應的軟件組成。3.防火墻技術及產品發展回顧?
防火墻是網絡安全策略的組成部分,通過控制和監控網絡間的信息交換和訪問行為,可以有效地管理網絡安全。壹般來說,防火墻應該具備以下五個基本功能:?
●過濾進出網絡的數據;?
●管理網絡內外的訪問行為;?
●屏蔽壹些禁止的行為;?
●記錄通過防火墻的信息內容和活動;?
●檢測網絡攻擊並發出警報。?
為了實現上述功能,網絡拓撲、計算機操作系統、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段被廣泛應用於防火墻產品的開發中。縱觀防火墻近幾年的發展,可以分為以下四個階段(即四代)。?
3.1基於路由器的防火墻?
由於大多數路由器都含有包過濾功能,網絡訪問控制可能通過路徑控制來實現,從而使具有包過濾功能的路由器成為第壹代防火墻產品。第壹代防火墻產品的特點是:
1)利用路由器本身解析數據包,以訪問列表的方式過濾數據包;?
2)過濾判斷的依據可以是:地址、端口號、ip標誌等網絡特征;?
3)只具備包過濾的功能,防火墻和路由器是壹體的。這樣,安全要求低的網絡可以采用路由器帶防火墻功能的方法,而安全要求高的網絡則需要單獨使用路由器作為防火墻。?
第壹代防火墻產品的缺點非常明顯,具體如下:
●路由協議非常靈活,有自己的安全漏洞,外網非常容易探查內網。例如,當使用Ftp協議時,外部服務器很容易從端口20連接到內部網。即使在路由器上設置了過濾規則,內部網絡的端口20仍然可以被外部探測到。?
●路由器上包過濾規則的設置和配置存在安全風險。在路由器中設置和配置過濾規則是非常復雜的,這涉及到規則的邏輯壹致性。動作端口的有效性和規則集的正確性對於壹般的網絡系統管理員來說是比較困難的,而且壹旦有新的協議出現,管理員還要添加更多的規則對其進行限制,這往往會帶來很多錯誤。?
●路由器防火墻最大的隱患是攻擊者可以“偽造”地址。由於信息在網絡上是以明文形式傳輸的,黑客可以在網絡上偽造虛假的路由信息來欺騙防火墻。?
●路由器防火墻的本質缺陷在於,路由器的主要功能是為網絡訪問提供動態、靈活的路由,而防火墻卻要對訪問行為實施靜態、固態的控制,這是壹對難以調和的矛盾。防火墻的規則設置會大大降低路由器的性能。
可以說,基於路由器的防火墻技術只是網絡安全的應急措施,用這種權宜之計應對黑客攻擊是非常危險的。
3.2定制防火墻工具包?
為了彌補路由器防火墻的不足,許多大用戶要求專門開發防火墻系統來保護自己的網絡,從而促進了用戶防火墻工具包的出現。?
作為第二代防火墻產品,定制防火墻工具包具有以下特點:?
1)將過濾功能從路由器中分離出來,增加審計和告警功能;?
2)根據用戶需求提供模塊化軟件包;?
3)軟件可以通過網絡發送,用戶可以自行構建防火墻;?
4)與第壹代防火墻相比,安全性提高,價格降低。?
由於是純軟件產品,第二代防火墻產品在實現和維護上都對系統管理員提出了相當復雜的要求,並帶來了以下問題:
配置和維護的過程復雜且耗時;?
對用戶的技術要求高;?
全軟件實現,使用中有很多錯誤。?
3.3基於通用操作系統的防火墻?
基於軟件的防火墻在銷售、使用和維護方面存在的問題迫使防火墻開發商迅速推出基於通用操作系統的商用防火墻產品。這壹代產品近年來在市場上得到廣泛應用,它們具有以下特點:
1)是批量上市的專用防火墻產品;?
2)包含包過濾或借用路由器的包過濾功能;?
3)配備專門的代理系統,監控所有協議的數據和指令;?
4)保護用戶編程空間,設置用戶可配置的內核參數;
5)安全性和速度大大提高。?
第三代防火墻是由純軟件和硬件實現的,它們已經得到了廣大用戶的認可。但是,隨著安全要求的變化和使用時間的推遲,仍然存在許多問題,如:
1)作為基礎操作系統,其內核往往不為防火墻管理者所知,由於源代碼的保密性,其安全性無法得到保證;?
2)由於大多數防火墻廠商不是通用操作系統的廠商,通用操作系統廠商不會對操作系統的安全性負責;?
3)本質上,第三代防火墻不僅要防止來自外網的攻擊,還要防止來自操作系統廠商的攻擊;?
4)功能上包括包過濾、應用網關和電路級網關,具有加密和認證功能;?
5)透明度好,使用方便。?
4.第四代防火墻的主要技術和功能是什麽?
第四代防火墻產品將網關和安全系統合二為壹,具有以下技術功能。?
4.1雙口還是三口結構?
新壹代防火墻產品有兩到三個獨立的網卡。內外網卡無需ip轉換即可串聯在內外之間,另壹塊網卡可以專用於服務器的安全保護。
4.2透明訪問?
以前的防火墻要麽要求用戶登錄系統,要麽通過庫路徑(如socks)修改客戶端應用程序。第四代防火墻采用透明代理系統技術,從而降低了固有的安全風險和系統登錄的錯誤概率。?
4.3彈性代理人制度?
代理系統是壹個軟件模塊,它將信息從防火墻的壹端傳輸到另壹端。第四代防火墻采用兩種代理機制:壹種用於代理內網到外網的連接;另壹個用於代理從外部網絡到內部網絡的連接。前者通過網絡地址轉發(nit)技術解決,後者通過非機密用戶自定義代理或機密代理系統技術解決。?
4.4多級過濾技術?
為了保證系統的安全和防護水平,第四代防火墻采用三級過濾措施,並輔以識別手段。在包過濾層面,可以過濾掉所有的源路由包和假ip地址;在應用級網關級別,可以使用Ftp、smtp和其他網關來控制和監視互聯網提供的所有壹般服務。在電路網關層面,實現內部主機與外部站點的透明連接,嚴格控制服務的訪問。?
4.5網絡地址翻譯技術?
第四代防火墻利用nat技術可以透明地轉換所有內部地址,使得外網無法了解內網的內部結構,允許內網使用自己的ip源地址和私有網絡。防火墻可以詳細記錄每臺主機的通信,以確保每個數據包都發送到正確的地址。?
4.6互聯網網關技術?
由於是直接串聯在網絡中,第四代防火墻必須支持用戶在互聯網上連接的所有服務,同時要防止互聯網服務相關的安全漏洞,所以要能夠實現與多種安全應用服務器(包括ftp、finger、mail、ident、news、www等)的網關功能。).為了保證服務器的安全性,所有的文件和命令都要通過“change chroot系統調用”進行物理隔離。?
在域名服務上,第四代防火墻采用兩個獨立的域名服務器:壹個是內部dns服務器,主要處理內部網絡和dns信息;另壹種是外部dns服務器,專門用來處理壹些從組織內部提供給互聯網的dns信息。在匿名ftp中,服務器只提供對有限數量的受保護目錄的只讀訪問。在www服務器中,只支持靜態網頁,不允許圖形或cgi代碼在防火墻中運行。在finger server中,對於外部訪問,防火墻只提供內部用戶可以配置的基本文本信息,而不提供任何與攻擊相關的系統信息。Smtp和pop郵件服務器應該處理所有進出防火墻的郵件,並使用郵件映射和郵件頭剝離來隱藏內部郵件環境。Ident服務器處理用戶連接的識別,而網絡新聞服務提供專門的磁盤空間用於接收來自isp的新聞。
4.7安全服務器網絡(ssn)?
為了滿足越來越多的用戶對互聯網提供服務的需求,第四代防火墻采用隔離防護的策略來保護用戶上網的外部服務器。它使用網卡將外部服務器視為獨立的網絡,外部服務器既是內部網絡的壹部分,又與內部網關完全隔離,這就是安全服務器網絡(ssn)技術。ssn上的主機可以單獨管理,也可以通過Ftp、tnlnet等從內網管理。?
ssn方式提供的安全性要比傳統的“dmz”方式好很多,因為ssn和外網之間有防火墻保護,ssn和布馮網之間也有防火墻保護,而dmz只是內外網網關之間的防火墻方式。換句話說,壹旦ssn被破壞,內部網絡仍將受到防火墻的保護,而壹旦dmz被破壞,內部網絡將面臨攻擊。?
4.8用戶認證和加密?
為了降低防火墻產品在tnlnet、ftp等業務和遠程管理中的安全風險,認證功能必不可少。第四代防火墻采用壹次性密碼系統作為用戶認證的手段,實現了郵件的加密。?
4.9用戶定制服務?
為了滿足特定用戶的特定需求,第四代防火墻提供了很多服務,也提供了對用戶定制的支持。這些選項包括:通用tcp、出站udp、ftp、smtp等。如果用戶需要設置數據庫代理,他可以使用這些支持來方便設置。?
4.10審計和報警?
第四代防火墻產品采用的審計和報警功能非常健全,日誌文件包括:壹般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、接收消息、發送消息、連接要求、認證訪問、報警條件、管理日誌、入站代理、ftp代理、出站代理、郵件服務器、名稱服務器等。報警功能將保存每個tcp或udp查詢,並可以通過多種方式報警,如發送電子郵件、發聲等。?
此外,第四代防火墻在網絡診斷、數據備份安全等方面也有自己的特點。?
5.第四代防火墻技術的實現方法
在第四代防火墻產品的設計和開發中,安全內核、代理系統、多級過濾、安全服務器、認證和加密是重點。?
5.1安全內核的實現?
第四代防火墻是建立在安全操作系統之上的,來自於對專用操作系統的安全加固和改造。從現在很多產品來看,安全操作系統內核的固化和改造主要在以下幾個方面進行:
1)取消危險系統調用;?
2)限制命令的執行權限;?
3)取消ip的轉發功能;?
4)檢查每個數據包的接口;?
5)采用隨機連接序列號;?
6)駐留包過濾模塊;?
7)取消動態路由功能;?
8)采用多種安全內核。?
5.2代理制的建立?
防火墻不允許任何信息直接通過,所有內外連接都必須通過代理系統實現。為了保證整個防火墻的安全,所有代理都要把根目錄改成存在於壹個相對獨立的區域進行安全隔離。?
所有連接通過防火墻之前,所有代理都要檢查定義的訪問規則,訪問規則控制代理的服務按照以下內容進行分組:?
1)源地址;?
2)目的地址;?
3)時間;?
4)同類服務器的最大數量。?
所有到防火墻或ssn的外網連接都由入站代理處理,這樣可以保證內部主機可以知道外部主機的所有信息,而外部主機只能看到防火墻或ssn之外的地址。?
所有從內網ssn通過防火墻到外網建立的連接都由外網代理處理,外網代理必須保證內網完全連接到代表其的外網地址,防止內網和外網直接連接,同時還要處理內網ssn的連接。?
5.3分組過濾器的設計?
作為防火墻的核心組件之壹,過濾器的設計應該盡可能地減少對防火墻的訪問。過濾器在被調用時會被下載到內核,當服務終止時過濾規則會從內核中消除。所有的包過濾功能都運行在內核的ip棧深層,極其安全。數據包篩選器包括以下參數。?
1)入口接口;?
2)出站接口;?
3)允許的連接;?
4)源端口範圍;?
5)源地址;?
6)目的港的範圍等。?
每個參數的處理充分體現了設計原則和安全政策。?
5.4安全服務器的設計?
安全服務器的設計有兩個要點:壹是所有ssn流量都要隔離,即來自內網和外網的路由信息流在機制上分離;第二,ssn類似於兩個網絡。它看起來像內網,因為它對外界是透明的,同時它看起來像外網,因為它從內網對外界的訪問是非常有限的。?
ssn上的每壹臺服務器都隱藏在互聯網中,ssn提供的服務對外網來說好像是防火墻功能。因為地址已經是透明的,所以對各種網絡應用沒有限制。實現ssn的關鍵在於:
1)解決包過濾和ssn的連接;?
2)通過防火支持對ssn的訪問;
3)支持代理服務。
5.5認證和加密的考慮
認證和加密是防火墻識別用戶、驗證訪問和保護信息的有效手段。認證機制不僅提供安全保護,還具有安全管理功能。目前國外防火墻產品普遍采用令牌認證,具體方法有兩種:壹種是cryptocard另壹個是安全id,兩者都是生成壹次性姓氏和密碼的工具。
信息內容的加密和認證涉及加密算法和數字簽名技術。目前國外防火墻產品除了pem、pgp、kerberos之外,沒有更好的機制。因為加密算法涉及國家安全和主權,各國要求不同。
6.第四代防火墻的抗攻擊能力
防火墻作為壹種安全防護設備,自然是網絡中眾多攻擊者的目標,因此抗攻擊能力也是防火墻的壹個必備功能。在互聯網環境中,有許多針對防火墻的攻擊。這裏從幾種主要的攻擊方式來評價第四代防火墻的抗攻擊能力。
6.1反ip假冒攻擊
Ip冒充是指非法主機冒充內部主機地址來騙取服務器的“信任”,從而達到攻擊網絡的目的。由於第四代防火墻在網絡中隱藏了實際地址,外部用戶很難知道內部ip地址,因此很難被攻擊。
6.2反特洛伊的攻擊
特洛伊木馬可以將病毒或破壞性程序引入計算機網絡,通常將這些惡意程序隱藏在正常程序中,尤其是流行程序或遊戲中。有些用戶下載程序並執行,病毒就會爆發。第四代防火墻建立在安全的操作系統上,下載的程序不能在其內核中執行,因此可以防止特洛伊木馬。必須指出的是,僅僅因為防火墻可以抵禦特洛伊攻擊,並不意味著它保護的主機也可以防止這種攻擊。實際上,內部用戶可以通過防火墻下載程序,並執行下載的程序。
6.3反密碼搜索攻擊
在網絡中查找密碼的方法有很多種,最常見的有密碼嗅探和密碼解密。嗅探是監聽網絡通信,截獲用戶傳輸給服務器的密碼,並記錄下來以備使用;解密是指使用暴力攻擊,猜測或攔截包含加密密碼的文件,並試圖解密。此外,攻擊者還經常使用壹些常用密碼直接登錄。
第四代防火墻采用壹次性密碼和禁止這種直接登錄防火墻的措施,可以有效防止對密碼的攻擊。
6.4反網絡安全分析
管理者使用網絡安全分析工具來分析網絡安全。壹旦這類工具被用作攻擊網絡的手段,就可以很方便地檢測出內部網絡的安全缺陷和弱點。目前可以從網上免費獲得sata軟件,也可以從市場上購買互聯網掃描儀。這些分析工具對網絡安全構成了直接威脅。第四代防火墻采用地主轉換技術隱藏內部網絡,使得網絡安全分析工具無法從外部分析內部網絡。
6.5反郵件欺詐攻擊
郵件欺詐也是壹種日益突出的攻擊方法。第四代防火墻不接收任何郵件,因此很難通過這種方式對其進行攻擊。另外值得壹提的是,防火墻不接收郵件,不代表不允許郵件通過。事實上,用戶仍然可以收發郵件。內部用戶要防止郵件詐騙,最終的解決方案是加密郵件。
7.防火墻技術展望
隨著互聯網的快速發展,防火墻技術產品的更新步伐必然會加強,全面展望防火墻技術的發展幾乎是不可能的。但是從產品和功能上可以看出壹些趨勢和潮流。以下幾點可能是下壹步的方向和選擇:
1)防火墻將從目前的子網或內網管理模式發展到遠程上網的集中管理模式。
2)過濾深度會不斷加強,從現在的地址和服務過濾到url(頁面)過濾、關鍵詞過濾、activex和java過濾,逐漸會有病毒掃描功能。
3)長期以來,使用防火墻構建私有網絡壹直是用戶的主流。ip加密的需求越來越強烈,安全協議的開發是壹個熱點。?
4)單向防火墻(也稱為網絡二極管)將作為壹個產品類別出現。?
5)檢測網絡攻擊和各種告警將成為防火墻的重要功能。
6)安全管理工具不斷完善,尤其是可移動的日誌分析工具,將成為防火墻產品的壹部分。?
此外,值得壹提的是,隨著防火墻技術的不斷發展,人們選擇防火墻的標準將主要集中在易於管理、應用透明、認證和加密功能、運行環境和硬件要求、vpn功能和ca功能、接口數量、成本等方面。