- 掛牌上市企業
- 60秒人工響應
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
防火墻概念與訪問控制列表 |
| 發布時間: 2012/7/4 11:01:47 |
|
個人認識防火墻分軟件防火墻與硬件防火墻。 就軟件防火墻而言又分網絡防火墻與病毒防火墻, 這之中還有手機防火墻。我們常用到的軟件防火墻品牌包括瑞星,冰盾等。 就硬件防火墻我這里就引用點現成的東西,以便說明硬件防火墻在網絡中的使用。 首先為什么要研究安全? 什么是“計算機安全”?廣義地講,安全是指防止其他人利用、借助你的計算機或外圍設備,做你不希望他們做的任何事情。首要問題是:“我們力圖保護的是些什么資源?”答案并不是明確的.通常,對這個問題的答案是采取必要的主機專用措施。圖5描述了目前的網絡現壯。 圖5  許多人都抱怨Windows漏洞太多,有的人甚至為這一個又一個的漏洞煩惱。為此,本文簡要的向您介紹怎樣才能架起網絡安全防線。 禁用沒用的服務 Windows提供了許許多多的服務,其實有許多我們是根本也用不上的。或許你還不知道,有些服務正為居心叵測的人開啟后門。 Windows還有許多服務,在此不做過多地介紹。大家可以根據自己實際情況禁止某些服務。禁用不必要的服務,除了可以減少安全隱患,還可以增加Windows運行速度,何樂而不為呢? 打補丁 Microsoft公司時不時就會在網上免費提供一些補丁,有時間可以去打打補丁。除了可以增強兼容性外,更重要的是堵上已發現的安全漏洞。建議有能力的朋友可以根據自己的實際情況根據情況打適合自己補丁。 防火墻 選擇一款徹底隔離病毒的辦法,物理隔離Fortigate能夠預防十多種黑客攻擊,分布式服務拒絕攻擊DDOS(DistributedDenial-Of-Serviceattacks)※SYNAttack※ICMPFlood※UDPFloodIP碎片攻擊(IPFragmentationattacks)※PingofDeathattack※TearDropattack※Landattack端口掃描攻擊(PortScanAttacks)IP源路由攻擊(IPSourceAttacks)IPSpoofingAttacksAddressSweepAttacksWinNukeAttacks您可以配置Fortigate在受到攻擊時發送警告郵件給管理員,最多可以指定3個郵件接受人。 防火墻的根本手段是隔離.安裝防火墻后必須對其進行必要的設置和時刻日志跟蹤。這樣才能發揮其最大的威力。 而我們這里主要講述防火墻概念以及與訪問控制列表的聯系。這里我綜合了網上有關防火墻,訪問控制表的定義。 防火墻概念 防火墻包含著一對矛盾(或稱機制): 一方面它限制數據流通,另一方面它又允許數據流通。 由于網絡的管理機制及安全策略(securitypolicy)不同,因此這對矛盾呈現出不同的表現形式。 存在兩種極端的情形: 第一種是除了非允許不可的都被禁止,第二種是除了非禁止不可都被允許。 第一種的特點是安全但不好用,第二種是好用但不安全,而多數防火墻都在兩者之間采取折衷。 在確保防火墻安全或比較安全前提下提高訪問效率是當前防火墻技術研究和實現的熱點。 保護脆弱的服務 通過過濾不安全的服務,Firewall可以極大地提高網絡安全和減少子網中主機的風險。例如,Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。 控制對系統的訪問 Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。 集中的安全管理 Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行于整個內部網絡系統,而無須在內部網每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法,而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過一次認證即可訪問內部網。 增強的保密性 使用Firewall可以阻止攻擊者獲取攻擊網絡系統的有用信息,如Figer和DNS。 記錄和統計網絡利用數據以及非法使用數據 Firewall可以記錄和統計通過Firewall的網絡通訊,提供關于網絡使用的統計數據,并且,Firewall可以提供統計數據,來判斷可能的攻擊和探測。 策略執行 Firewall提供了制定和執行網絡安全策略的手段。未設置Firewall時,網絡安全取決于每臺主機的用戶 防火墻的功能 防火墻是網絡安全的屏障: 一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。 防火墻可以強化網絡安全策略: 通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟。 對網絡存取和訪問進行監控審計: 如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。 另外,收集一個網絡的使用和誤用情況也是非常重要的。 首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊, 并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。 防止內部信息的外泄: 隱私是內部網絡非常關心的問題.通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。 除了安全作用,防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。 防火墻技術 防火墻能增強機構內部網絡的安全性,必須只允許授權的數據通過,而且防火墻本身也必須能夠免于滲透。 ■防火墻的五大功能 一般來說,防火墻具有以下幾種功能: 1.允許網絡管理員定義一個中心點來防止非法用戶進入內部網絡。 2.可以很方便地監視網絡的安全性,并報警。 3.可以作為部署NAT(NetworkAddressTranslation,網絡地址變換)的地點,利用NAT技術,將有限的IP地址動態或靜態地與內部的IP地址對應起來,用來緩解地址空間短缺的問題。 4.是審計和記錄Internet使用費用的一個最佳地點。網絡管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸位置,并能夠依據本機構的核算模式提供部門級的計費。 5.可以連接到一個單獨的網段上,從物理上和內部網段隔開,并在此部署WWW服務器和FTP服務器,將其作為向外部發布內部信息的地點。從技術角度來講,就是所謂的停火區(DMZ)。 防火墻的兩大分類 1.包過濾防火墻 第一代:靜態包過濾 這種類型的防火墻根據定義好的過濾規則審查每個數據包,以便確定其是否與某一條包過濾規則匹配。過濾規則基于數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則是"最小特權原則",即明確允許那些管理員希望通過的數據包,禁止其他的數據包。 第二代:動態包過濾 這種類型的防火墻采用動態設置包過濾規則的方法,避免了靜態包過濾所具有的問題。這種技術后來發展成為所謂包狀態監測(StatefulInspection)技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤,并且根據需要可動態地在過濾規則中增加或更新條目。 2.代理防火墻 第一代:代理防火墻 代理防火墻也叫應用層網關(ApplicationGateway)防火墻。這種防火墻通過一種代理(Proxy)技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火墻處理后,就好像是源于防火墻外部網卡一樣,從而可以達到隱藏內部網結構的作用。這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。它的核心技術就是代理服務器技術。 代理類型防火墻的最突出的優點就是安全。 由于每一個內外網絡之間的連接都要通過Proxy的介入和轉換,通過專門為特定的服務如Http編寫的安全化的應用程序進行處理,然后由防火墻本身提交請求和應答,沒有給內外網絡的計算機以任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。包過濾類型的防火墻是很難徹底避免這一漏洞的。 代理防火墻的最大缺點就是速度相對比較慢,當用戶對內外網絡網關的吞吐量要求比較高時,(比如要求達到75-100Mbps時)代理防火墻就會成為內外網絡之間的瓶頸。所幸的是,目前用戶接入Internet的速度一般都遠低于這個數字。在現實環境中,要考慮使用包過濾類型防火墻來滿足速度要求的情況,大部分是高速網(ATM或千兆位以太網等)之間的防火墻。 第二代:自適應代理防火墻 自適應代理技術(Adaptiveproxy)是最近在商業應用防火墻中實現的一種革命性的技術。它可以結合代理類型防火墻的安全性和包過濾防火墻的高速度等優點,在毫不損失安全性的基礎之上將代理型防火墻的性能提高10倍以上。 組成這種類型防火墻的基本要素有兩個:自適應代理服務器(AdaptiveProxyServer)與動態包過濾器(DynamicPacketfilter)。 在自適應代理與動態包過濾器之間存在一個控制通道。在對防火墻進行配置時,用戶僅僅將所需要的服務類型、安全級別等信息通過相應Proxy的管理界面進行設置就可以了。然后,自適應代理就可以根據用戶的配置信息,決定是使用代理服務從應用層代理請求還是從網絡層轉發包。如果是后者,它將動態地通知包過濾器增減過濾規則,滿足用戶對速度和安全性的雙重要求。  現有防火墻技術分類 防火墻技術可根據防范的方式和側重點的不同而分為很多種類型,但總體來講可分為包過濾、應用級網關和代理服務器等幾大類型。 1.數據包過濾型防火墻 數據包過濾(PacketFiltering)技術是在網絡層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯,被稱為訪問控制表(AccessControlTable)。 通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、協議狀態等因素,或它們的組合來確定是否允許該數據包通過。 數據包過濾防火墻邏輯簡單,價格便宜,易于安裝和使用,網絡性能和透明性好,它通常安裝在路由器上。 數據包過濾防火墻的缺點有二: 一是非法訪問一旦突破防火墻,即可對主機上的軟件和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的端口號都在數據包的頭部,很有可能被竊聽或假冒。 分組過濾或包過濾,是一種通用、廉價、有效的安全手段。之所以通用,因為它不針對各個具體的網絡服務采取特殊的處理方式;之所以廉價,因為大多數路由器都提供分組過濾功能;之所以有效,因為它能很大程度地滿足企業的安全要求。 所根據的信息來源于IP、TCP或UDP包頭。 包過濾的優點是不用改動客戶機和主機上的應用程序,因為它工作在網絡層和傳輸層,與應用層無關。 但其弱點也是明顯的:據以過濾判別的只有網絡層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,性能會受到很大地影響;由于缺少上下文關聯信息,不能有效地過濾如UDP、RPC一類的協議; 另外,大多數過濾器中缺少審計和報警機制,且管理方式和用戶界面較差;對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程序中的作用有較深入的理解。 因此,過濾器通常是和應用網關配合使用,共同組成防火墻系統。 2.應用級網關型防火墻 應用級網關(ApplicationLevelGateways)是在網絡應用層上建立協議過濾和轉發功能。它針對特定的網絡應用服務協議使用指定的數據過濾邏輯,并在過濾的同時,對數據包進行必要的分析、登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。 數據包過濾和應用網關防火墻有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。一旦滿足邏輯,則防火墻內外的計算機系統建立直接聯系,防火墻外部的用戶便有可能直接了解防火墻內部的網絡結構和運行狀態,這有利于實施非法訪問和攻擊。 3.代理服務型防火墻 代理服務(ProxyService)也稱鏈路級網關或TCP通道(CircuitLevelGatewaysorTCPTunnels),也有人將它歸于應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火墻技術,其特點是將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層的"鏈接",由兩個終止代理服務器上的"鏈接"來實現,外部計算機的網絡鏈路只能到達代理服務器,從而起到了隔離防火墻內外計算機系統的作用。 此外,代理服務也對過往的數據包進行分析、注冊登記,形成報告,同時當發現被攻擊跡象時會向網絡管理員發出警報,并保留攻擊痕跡。 應用代理型防火墻是內部網與外部網的隔離點,起著監視和隔絕應用層通信流的作用。同時也常結合入過濾器的功能。它工作在OSI模型的最高層,掌握著應用系統中可用作安全決策的全部信息。 4.復合型防火墻 由于對更高安全性的要求,常把基于包過濾的方法與基于應用代理的方法結合起來,形成復合型防火墻產品。這種結合通常是以下兩種方案。 屏蔽主機防火墻體系結構:在該結構中,分組過濾路由器或防火墻與Internet相連,同時一個堡壘機安裝在內部網絡,通過在分組過濾路由器或防火墻上過濾規則的設置,使堡壘機成為Internet上其它節點所能到達的唯一節點,這確保了內部網絡不受未授權外部用戶的攻擊。 屏蔽子網防火墻體系結構:堡壘機放在一個子網內,形成非軍事化區,兩個分組過濾路由器放在這一子網的兩端,使這一子網與Internet及內部網絡分離。在屏蔽子網防火墻體系結構中,堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎。 防火墻主要技術 先進的防火墻產品將網關與安全系統合二為一,具有以下技術與功能。 雙端口或三端口的結構 新一代防火墻產品具有兩個或三個獨立的網卡,內外兩個網卡可不作IP轉化而串接于內部網與外部網之間,另一個網卡可專用于對服務器的安全保護。 透明的訪問方式 以前的防火墻在訪問方式上要么要求用戶作系統登錄,要么需要通過SOCKS等庫路徑修改客戶機的應用。新一代防火墻利用了透明的代理系統技術,從而降低了系統登錄固有的安全風險和出錯概率。 靈活的代理系統 代理系統是一種將信息從防火墻的一側傳送到另一側的軟件模塊。新一代防火墻采用了兩種代理機制,一種用于代理從內部網絡到外部網絡的連接,另一種用于代理從外部網絡到內部網絡的連接。前者采用網絡地址轉換(NAT)技術來解決,后者采用非保密的用戶定制代理或保密的代理系統技術來解決。 多級的過濾技術 為保證系統的安全性和防護水平,新一代防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒的IP源地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務;在電路網關一級,實現內部主機與外部站點的透明連接,并對服務的通行實行嚴格控制。 網絡地址轉換技術(NAT) 新一代防火墻利用NAT技術能透明地對所有內部地址作轉換,使外部網絡無法了解內部網絡的內部結構,同時允許內部網絡使用自己定制的IP地址和專用網絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。 同時使用NAT的網絡,與外部網絡的連接只能由內部網絡發起,極大地提高了內部網絡的安全性。NAT的另一個顯而易見的用途是解決IP地址匱乏問題。 Internet網關技術 由于是直接串連在網絡之中,新一代防火墻必須支持用戶在Internet互連的所有服務,同時還要防止與Internet服務有關的安全漏洞。故它要能以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現網關功能。為確保服務器的安全性,對所有的文件和命令均要利?quot;改變根系統調用(chroot)"作物理上的隔離。 在域名服務方面,新一代防火墻采用兩種獨立的域名服務器,一種是內部DNS服務器,主要處理內部網絡的DNS信息,另一種是外部DNS服務器,專門用于處理機構內部向Internet提供的部份DNS信息。 在匿名FTP方面,服務器只提供對有限的受保護的部份目錄的只讀訪問。在WWW服務器中,只支持靜態的網頁,而不允許圖形或CGI代碼等在防火墻內運行,在Finger服務器中,對外部訪問,防火墻只提供可由內部用戶配置的基本的文本信息,而不提供任何與攻擊有關的系統信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件作處理,并利用郵件映射與標頭剝除的方法隱除內部的郵件環境,Ident服務器對用戶連接的識別作專門處理,網絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。 安全服務器網絡(SSN) 為適應越來越多的用戶向Internet上提供服務時對服務器保護的需要,新一代防火墻采用分別保護的策略對用戶上網的對外服務器實施保護,它利用一張網卡將對外服務器作為一個獨立網絡處理,對外服務器既是內部網的一部分,又與內部網關完全隔離。這就是安全服務器網絡(SSN)技術,對SSN上的主機既可單獨管理,也可設置成通過FTP、Telnet等方式從內部網上管理。 SSN的方法提供的安全性要比傳統的"隔離區(DMZ)"方法好得多,因為SSN與外部網之間有防火墻保護,SSN與內部網之間也有防火墻的保護,而DMZ只是一種在內、外部網絡網關之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內部網絡仍會處于防火墻的保護之下,而一旦DMZ受到破壞,內部網絡便暴露于攻擊之下。 用戶鑒別與加密 為了降低防火墻產品在Telnet、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少,新一代防火墻采用一次性使用的口令字系統來作為用戶的鑒別手段,并實現了對郵件的加密。 用戶定制服務 為滿足特定用戶的特定需求,新一代防火墻在提供眾多服務的同時,還為用戶定制提供支持,這類選項有:通用TCP,出站UDP、FTP、SMTP等類,如果某一用戶需要建立一個數據庫的代理,便可利用這些支持,方便設置。 審計和告警 新一代防火墻產品的審計和告警功能十分健全,日志文件包括:一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站代理、FTP代理、出站代理、郵件服務器、名服務器等。告警功能會守住每一個TCP或UDP探尋,并能以發出郵件、聲響等多種方式報警。 此外新一代防火墻還在網絡診斷,數據備份與保全等方面具有特色。 設置防火墻的要素 網絡策略 影響Firewall系統設計、安裝和使用的網絡策略可分為兩級,高級的網絡策略定義允許和禁止的服務以及如何使用服務,低級的網絡策略描述Firewall如何限制和過濾在高級策略中定義的服務。 服務訪問策略 服務訪問策略集中在Internet訪問服務以及外部網絡訪問(如撥入策略、SLIP/PPP連接等)。服務訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網絡風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Internet訪 問某些內部主機和服務;允許內部用戶訪問指定的Internet主機和服務。 防火墻設計策略 防火墻設計策略基于特定的Firewall,定義完成服務訪問策略的規則。通常有兩種基本的設計策略:允許任何服務除非被明確禁止;禁止任何服務除非被明確允許。第一種的特點是安全但不好用,第二種是好用但不安全,通常采用第二種類型的設計策略。 而多數防火墻都在兩種之間采取折衷。 增強的認證 許多在Internet上發生的入侵事件源于脆弱的傳統用戶/口令機制。多年來,用戶被告知使用難于猜測和破譯口令,雖然如此,攻擊者仍然在Internet上監視傳輸的口令明文,使傳統的口令機制形同虛設。增強的認證機制包含智能卡,認證令牌,生理特征(指紋)以及基于軟件(RSA)等技術,來克服傳統口令的弱點。雖然存在多種認證技術,它們均使用增強的認證機制產生難被攻擊者重用的口令和密鑰。目前許多流行的增強機制使用一次有效的口令和密鑰(如SmartCard和認證令牌)。 防火墻主要技術 先進的防火墻產品將網關與安全系統合二為一,具有以下技術與功能。 雙端口或三端口的結構 新一代防火墻產品具有兩個或三個獨立的網卡,內外兩個網卡可不作IP轉化而串接于內部網與外部網之間,另一個網卡可專用于對服務器的安全保護。 透明的訪問方式 以前的防火墻在訪問方式上要么要求用戶作系統登錄,要么需要通過SOCKS等庫路徑修改客戶機的應用。新一代防火墻利用了透明的代理系統技術,從而降低了系統登錄固有的安全風險和出錯概率。 靈活的代理系統 代理系統是一種將信息從防火墻的一側傳送到另一側的軟件模塊。新一代防火墻采用了兩種代理機制,一種用于代理從內部網絡到外部網絡的連接,另一種用于代理從外部網絡到內部網絡的連接。前者采用網絡地址轉換(NAT)技術來解決,后者采用非保密的用戶定制代理或保密的代理系統技術來解決。 多級的過濾技術 為保證系統的安全性和防護水平,新一代防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒的IP源地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務;在電路網關一級,實現內部主機與外部站點的透明連接,并對服務的通行實行嚴格控制。 網絡地址轉換技術(NAT) 新一代防火墻利用NAT技術能透明地對所有內部地址作轉換,使外部網絡無法了解內部網絡的內部結構,同時允許內部網絡使用自己定制的IP地址和專用網絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。 同時使用NAT的網絡,與外部網絡的連接只能由內部網絡發起,極大地提高了內部網絡的安全性。NAT的另一個顯而易見的用途是解決IP地址匱乏問題。 Internet網關技術 由于是直接串連在網絡之中,新一代防火墻必須支持用戶在Internet互連的所有服務,同時還要防止與Internet服務有關的安全漏洞。故它要能以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現網關功能。為確保服務器的安全性,對所有的文件和命令均要利?quot;改變根系統調用(chroot)"作物理上的隔離。 在域名服務方面,新一代防火墻采用兩種獨立的域名服務器,一種是內部DNS服務器,主要處理內部網絡的DNS信息,另一種是外部DNS服務器,專門用于處理機構內部向Internet提供的部份DNS信息。 在匿名FTP方面,服務器只提供對有限的受保護的部份目錄的只讀訪問。在WWW服務器中,只支持靜態的網頁,而不允許圖形或CGI代碼等在防火墻內運行,在Finger服務器中,對外部訪問,防火墻只提供可由內部用戶配置的基本的文本信息,而不提供任何與攻擊有關的系統信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件作處理,并利用郵件映射與標頭剝除的方法隱除內部的郵件環境,Ident服務器對用戶連接的識別作專門處理,網絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。 安全服務器網絡(SSN) 為適應越來越多的用戶向Internet上提供服務時對服務器保護的需要,新一代防火墻采用分別保護的策略對用戶上網的對外服務器實施保護,它利用一張網卡將對外服務器作為一個獨立網絡處理,對外服務器既是內部網的一部分,又與內部網關完全隔離。這就是安全服務器網絡(SSN)技術,對SSN上的主機既可單獨管理,也可設置成通過FTP、Telnet等方式從內部網上管理。 SSN的方法提供的安全性要比傳統的"隔離區(DMZ)"方法好得多,因為SSN與外部網之間有防火墻保護,SSN與內部網之間也有防火墻的保護,而DMZ只是一種在內、外部網絡網關之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內部網絡仍會處于防火墻的保護之下,而一旦DMZ受到破壞,內部網絡便暴露于攻擊之下。 用戶鑒別與加密 為了降低防火墻產品在Telnet、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少,新一代防火墻采用一次性使用的口令字系統來作為用戶的鑒別手段,并實現了對郵件的加密。 用戶定制服務 為滿足特定用戶的特定需求,新一代防火墻在提供眾多服務的同時,還為用戶定制提供支持,這類選項有:通用TCP,出站UDP、FTP、SMTP等類,如果某一用戶需要建立一個數據庫的代理,便可利用這些支持,方便設置。 審計和告警 新一代防火墻產品的審計和告警功能十分健全,日志文件包括:一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站代理、FTP代理、出站代理、郵件服務器、名服務器等。告警功能會守住每一個TCP或UDP探尋,并能以發出郵件、聲響等多種方式報警。 此外新一代防火墻還在網絡診斷,數據備份與保全等方面具有特色。 設置防火墻的要素 網絡策略 影響Firewall系統設計、安裝和使用的網絡策略可分為兩級,高級的網絡策略定義允許和禁止的服務以及如何使用服務,低級的網絡策略描述Firewall如何限制和過濾在高級策略中定義的服務。 服務訪問策略 服務訪問策略集中在Internet訪問服務以及外部網絡訪問(如撥入策略、SLIP/PPP連接等)。服務訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網絡風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務;允許內部用戶訪問指定的Internet主機和服務。 防火墻設計策略 防火墻設計策略基于特定的Firewall,定義完成服務訪問策略的規則。通常有兩種基本的設計策略:允許任何服務除非被明確禁止;禁止任何服務除非被明確允許。第一種的特點是安全但不好用,第二種是好用但不安全,通常采用第二種類型的設計策略。 而多數防火墻都在兩種之間采取折衷。 增強的認證 許多在Internet上發生的入侵事件源于脆弱的傳統用戶/口令機制。多年來,用戶被告知使用難于猜測和破譯口令,雖然如此,攻擊者仍然在Internet上監視傳輸的口令明文,使傳統的口令機制形同虛設。增強的認證機制包含智能卡,認證令牌,生理特征(指紋)以及基于軟件(RSA)等技術,來克服傳統口令的弱點。雖然存在多種認證技術,它們均使用增強的認證機制產生難被攻擊者重用的口令和密鑰。目前許多流行的增強機制使用一次有效的口令和密鑰(如SmartCard和認證令牌)。 防火墻主要技術 先進的防火墻產品將網關與安全系統合二為一,具有以下技術與功能。 雙端口或三端口的結構 新一代防火墻產品具有兩個或三個獨立的網卡,內外兩個網卡可不作IP轉化而串接于內部網與外部網之間,另一個網卡可專用于對服務器的安全保護。 透明的訪問方式 以前的防火墻在訪問方式上要么要求用戶作系統登錄,要么需要通過SOCKS等庫路徑修改客戶機的應用。新一代防火墻利用了透明的代理系統技術,從而降低了系統登錄固有的安全風險和出錯概率。 靈活的代理系統 代理系統是一種將信息從防火墻的一側傳送到另一側的軟件模塊。新一代防火墻采用了兩種代理機制,一種用于代理從內部網絡到外部網絡的連接,另一種用于代理從外部網絡到內部網絡的連接。前者采用網絡地址轉換(NAT)技術來解決,后者采用非保密的用戶定制代理或保密的代理系統技術來解決。 多級的過濾技術 為保證系統的安全性和防護水平,新一代防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒的IP源地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務;在電路網關一級,實現內部主機與外部站點的透明連接,并對服務的通行實行嚴格控制。 網絡地址轉換技術(NAT) 新一代防火墻利用NAT技術能透明地對所有內部地址作轉換,使外部網絡無法了解內部網絡的內部結構,同時允許內部網絡使用自己定制的IP地址和專用網絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。 同時使用NAT的網絡,與外部網絡的連接只能由內部網絡發起,極大地提高了內部網絡的安全性。 NAT的另一個顯而易見的用途是解決IP地址匱乏問題。 Internet網關技術 由于是直接串連在網絡之中,新一代防火墻必須支持用戶在Internet互連的所有服務,同時還要防止與Internet服務有關的安全漏洞。故它要能以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現網關功能。為確保服務器的安全性,對所有的文件和命令均要利?quot;改變根系統調用(chroot)"作物理上的隔離。 在域名服務方面,新一代防火墻采用兩種獨立的域名服務器,一種是內部DNS服務器,主要處理內部網絡的DNS信息,另一種是外部DNS服務器,專門用于處理機構內部向Internet提供的部份DNS信息。 在匿名FTP方面,服務器只提供對有限的受保護的部份目錄的只讀訪問。在WWW服務器中,只支持靜態的網頁,而不允許圖形或CGI代碼等在防火墻內運行,在Finger服務器中,對外部訪問,防火墻只提供可由內部用戶配置的基本的文本信息,而不提供任何與攻擊有關的系統信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件作處理,并利用郵件映射與標頭剝除的方法隱除內部的郵件環境,Ident服務器對用戶連接的識別作專門處理,網絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。 安全服務器網絡(SSN) 為適應越來越多的用戶向Internet上提供服務時對服務器保護的需要,新一代防火墻采用分別保護的策略對用戶上網的對外服務器實施保護,它利用一張網卡將對外服務器作為一個獨立網絡處理,對外服務器既是內部網的一部分,又與內部網關完全隔離。這就是安全服務器網絡(SSN)技術,對SSN上的主機既可單獨管理,也可設置成通過FTP、Telnet等方式從內部網上管理。 SSN的方法提供的安全性要比傳統的"隔離區(DMZ)"方法好得多,因為SSN與外部網之間有防火墻保護,SSN與內部網之間也有防火墻的保護,而DMZ只是一種在內、外部網絡網關之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內部網絡仍會處于防火墻的保護之下,而一旦DMZ受到破壞,內部網絡便暴露于攻擊之下。 用戶鑒別與加密 為了降低防火墻產品在Telnet、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少,新一代防火墻采用一次性使用的口令字系統來作為用戶的鑒別手段,并實現了對郵件的加密。 用戶定制服務 為滿足特定用戶的特定需求,新一代防火墻在提供眾多服務的同時,還為用戶定制提供支持,這類選項有:通用TCP,出站UDP、FTP、SMTP等類,如果某一用戶需要建立一個數據庫的代理,便可利用這些支持,方便設置。 審計和告警 新一代防火墻產品的審計和告警功能十分健全,日志文件包括:一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站代理、FTP代理、出站代理、郵件服務器、名服務器等。告警功能會守住每一個TCP或UDP探尋,并能以發出郵件、聲響等多種方式報警。 此外新一代防火墻還在網絡診斷,數據備份與保全等方面具有特色。 設置防火墻的要素 網絡策略 影響Firewall系統設計、安裝和使用的網絡策略可分為兩級,高級的網絡策略定義允許和禁止的服務以及如何使用服務,低級的網絡策略描述Firewall如何限制和過濾在高級策略中定義的服務。 服務訪問策略 服務訪問策略集中在Internet訪問服務以及外部網絡訪問(如撥入策略、SLIP/PPP連接等)。服務訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網絡風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務;允許內部用戶訪問指定的Internet主機和服務。 防火墻設計策略 防火墻設計策略基于特定的Firewall,定義完成服務訪問策略的規則。通常有兩種基本的設計策略:允許任何服務除非被明確禁止;禁止任何服務除非被明確允許。第一種的特點是安全但不好用,第二種是好用但不安全,通常采用第二種類型的設計策略。 而多數防火墻都在兩種之間采取折衷。 增強的認證 許多在Internet上發生的入侵事件源于脆弱的傳統用戶/口令機制。多年來,用戶被告知使用難于猜測和破譯口令,雖然如此,攻擊者仍然在Internet上監視傳輸的口令明文,使傳統的口令機制形同虛設。增強的認證機制包含智能卡,認證令牌,生理特征(指紋)以及基于軟件(RSA)等技術,來克服傳統口令的弱點。雖然存在多種認證技術,它們均使用增強的認證機制產生難被攻擊者重用的口令和密鑰。目前許多流行的增強機制使用一次有效的口令和密鑰(如SmartCard和認證令牌)。 防火墻工作原理 一般來說,防火墻包括幾個不同的組成部分見 圖3-1.  我們將防火墻分成三種主要類別:數據包過濾,電路網關,應用網關. 訪火墻的安放位置 傳統的做法是,將防火墻安放在組織機構與外部世界之間。考慮圖3-2中的網絡。不同陰影指出了不同的安全區。二極管的箭頭指向外部網絡。在這種情況下,我們看到NET1不信任任何其他網絡甚至連NET2也不信任。 盡管實現防火墻有幾種不同的方法,我們將討論三種常用方法。 1,過濾主機網關 防火墻與網關結合提供internet和企業內部網之間的過濾保護。用此方法,代理服務器放在企業內部網中。如圖1所示  使用這種類型的實現,作為防火墻使用的設備可以由ISP或網絡的所有者提供。 2,過濾子網 通過稱為“非軍事區DMZ“的適當的子網將企業內部網和internet隔離。此方法需要兩上防火墻網關,每個在DMZ子網的每端,代理服務器放在DMZ子網中。 如圖2所示  請注意,在DMZ子網和internet之彰作為防火墻使用的設備經常稱為邊界路由器,是為過濾而設定的。這些部件有時可自ISP提供和維護。在DMZ子網和企業內部網之間作為防火墻使用的設備由企業內部網的所有者提供。在這里,代理服務器放在防火墻的外面。 3,雙功能代理主機 此方法類似于過濾子網。除了將企業內部網防火墻和代理主機的功能相結合外,與過濾子網相同,此方法包括DMZ子網,如圖3所示  這與過濾子網相同,在子網和INTERNET之間作為DMZ防火墻使用的設備通常由ISP提供,防火墻/代理服務器設備由企業內部網所有者提供。 7設置防火墻 見附件 http://bbs.cniti.com/attach/453361782-.PDF 談了這么多防火墻的基本概念。轉過來我們談談訪問控制列表。 正如對防火墻介紹時所說。從光纖到電話線,從大型公司網絡到單個家庭用戶,安全問題都是當代計算機網絡的討論熱點。由于internet是基于開放的標準,因此非專有技術,例如tcp/ip,被很多人了解得非常透徹,其弱點和限制都被公之于眾,而且容易被利用。 幸運的是,公司、學校和家庭連接internet的熱潮已經在為更謹慎、更注重安全的組網方法讓路了。幾乎所有的計算機網絡都至少有基于IP的部分,所以學習如何限制和控制tcp/ip訪問是勢在必行。訪問控制的關鍵是訪問控制列表ACL。這些列表是IP防火墻的組成模塊,而防火墻是站在internet安全的最前沿。 標準訪問控制列表 ip訪問控制列表是應用于IP地址和上層IP協議的允許和拒絕條件的一個有序集合。 標準訪問控制列表 號碼范圍從1到99和1300到1999僅根據源地址對數據包進行過濾。標準IP訪問控制列表語法: access-listaccess-list-number{permit|deny}source[source-wildcard][log] 郵名字索引的訪問控制列表句法 除了由號碼索引的控制列表,還有由名字創建IP訪問控制列表。 要配置一個由名字索引的標準訪問控制列表,應遵循以下步驟: 1用名字定義一個標準IP訪問控制列表 ipaccess-liststandardname 2指定一個或多個允許或拒絕條件 permit|deny{source[source-wildcard]|any}[log] 3退出訪問列表的配置模式 exit 基于時間的訪問控制列表 在有些情況下,系統管理員可能只想在工作時間才允許某些數據流通過,或只允許用戶在一天中的某些固定時段訪問某些資源,這時就可以考慮使用基于時間的訪問控制列表。 基于時間的訪問控制列表有很多益處,包括: 在允許或拒絕用戶對資源的訪問方面有更大的控制靈活性; 我們能夠以性能價格比較高的方式調節數據流量; 我們可以控制日志消息的記錄時段; 以及其它益處。 具體步驟: 1定義一個時間范圍及其名字 time-rangetime-range-name 2定義該特性何時有效 periodicdays-of-the-weekhh:mmto[days-of-the-week]hh:mm absoluste[starttimedate][endtimedate] 3退出配置模式 自反訪問控制列表 防止未受邀請的IP數據流入 目體含義和命令語法詳見 求解自反訪問控制列表 自反訪問列表是一種“狀態”的訪問列表,其原理是,例如,定義一條規則,使內部網絡可以訪問外部網絡,當內部網絡數據流經路由器時,路由器會根據自反訪問表自動創建一個允許數據包返回的訪問表,舉個例子:要允許172.16.75.1/24這個機器訪問202.1.1.1/24的80端口,通常要建立兩個靜態訪問,一個是允許去往202.1.1.1/24 80端口的數據包,還有一個是允許從202.1.1.1/24返回的數據包;而使用自反只需要創建一個從目的到源的訪問表,那么路由器會根據這個自動創建返回的訪問表,而且這個訪問表是動態的,當回話結束或者到達超時時間,就會自動刪除。 再來說說語法: 普通的訪問列表的一個例子: ip access-list 101 permit tcp any 10.0.0.0 255.255.255.0 eq 80(定義一個訪問表,號碼為101,協議為TCP,源地址為“任意”,目的地址為10.0.0.0/255.255.255.0,端口號等于80的數據包可以可以通過) ip access-list 102 permit tcp 10.0.0.0 255.255.255.0 any(上一個訪問表的反向訪問表) intface ethernet 0/0(把該列表應用到以太網0/0的端口上) access-list group 101 out(指定使用101列表檢查外出的數據包) access-list group 102 in(指定使用102列表檢查進入的數據包) 自反訪問表: ip access-list 101 permit tcp any 10.0.0.0 255.255.255.0 eq 80 reflect backpack timeout 100(定義一個訪問表,號碼為101,協議為TCP,源地址為“任意”,目的地址為10.0.0.0/255.255.255.0,端口號等于80的數據包可以可以通過,并據此創建一個返回訪問表,名字為bcakpack,超過100秒自動刪除該訪問表) ip access-list 102 evaluate bcakpack(定義一個訪問表,號碼為101,使用backpack所定義的規則) intface ethernet 0/0(把該列表應用到以太網0/0的端口上) access-list group 101 out(指定使用101列表檢查外出的數據包) access-list group 102 in(指定使用102列表檢查進入的數據包)</span> 自反控制列表無法對要動態改變端口的應用進行控制,例如FTP,因為其使用兩個端口來通訊,但是,對于被動模式的FTP自反控制列表還是可以應用的 本文出自:億恩科技【www.laynepeng.cn】 |
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
