网络安全管理技术-防火墙技术

防火墙是保护内部网络资源不被外部非授权用户使用,防止内部收到外部非法用户攻击。

1.防火墙概述

防火墙的概念和特征

表 防火墙

概念

在网络之间执行安全控制策略的系统,它包括硬件和软件,采用由系统管理员定义的规则,对一个安全网络和一个不安全网络之间的数据流加以控制。

图 防火墙示意图

特征

(1)所有进出网络的数据流,都必须经过防火墙。(2)只有授权的数据流才允许通过。(3)防火墙自身对入侵是免疫的。

目的

保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。

原理

通过检查所有进出内部网络的数据包,检查数据包的合法性,判断是否会对网络安全构成威胁,为内部网络建立安全边界(Security Perimeter)。

作用

(1)网络的安全屏障。防火墙能极大地提高内部网络的安全性,并通过过滤不安全的服务而降低风险。服务只有经过授权通信才能通过防火墙,所以网络环境变得更安全。同时防火墙可以保护网络免受基于路由的攻击。(2)强化网络安全策略。通过以防火墙为中心的安全策略方案配置,能将很多安全控制(如:口令、加密、身份认证等)配置在防火墙上。同很多网络安全策略相比,基于这种安全策略的安全管理更为经济有效。(3)对网络存取和访问进行监控审计。当所有的访问都经过防火墙时,防火墙就能够记录下这些访问。同时,提供网络应用的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监听和攻击的详细信息。(4)防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网中重点网段的隔离,从而缩小了局部网络安全问题对全局网络造成的影响。另外,一个内部网络中不引人注意的细节可能包含了有关安全的线索,从而引起外部攻击者的兴趣,甚至暴露了内部网络的某些安全漏洞,使用防火墙就可以隐蔽这些内部细节。

缺点

(1)不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送某些信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育等。(2)不能防范不通过它的连接。防火墙能够有效地防止通过它进行传输的信息,然而却不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。(3)不能防备全部的威胁。防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的新的威胁。(4)防火墙不能防范病毒。防火墙不能消除网络上PC机的病毒。

2.包过滤路由器

防火墙技术根据其防范的方式和侧重点的不同可分为多种类型,但总体可分为两大类:

表 包过滤防火墙(筛选路由器)

包过滤防火墙(筛选路由器)

基于路由器

工作位置

网络层

工作原理

有选择地让数据包在内部网和外部网之间进行交换。只有满足过滤逻辑的数据包才被转发到相应的目的端口,其余数据包则从数据流中丢弃。

图 包过滤的工作流程

规则

以数据包头部信息为基础,包括通信的方向(流入还是流出)、协议的类型(IP、ICMP、TCP等)、IP源地址和目标地址、TCP(UDP)的源端口和目的端口的端口号和IP状态信息等。路由器是在访问控制表(ACL)中读取该规则的。

优点

速度快而且易于维护,通常作为第一道防线。

缺点

(1)通常没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的。(2)配置繁琐。(3)不能在用户级别上进行过滤,即不能鉴别不同的用户和防止IP地址盗用。

3.应用级网关

表 应用级网关

应用级网关

基于代理服务的防火墙,是运行在代理服务器上的一些特定的应用程序或服务器程序。

工作位置

应用层,掌握着应用系统中可用做安全决策的全部信息。

工作原理

通过对每种应用服务编制专门的代理程序来监视和控制应用层通信流。

代理服务,即防火墙内外的计算机系统应用层的链接是在两个终止于代理服务的链接来实现的,这样便成功地实现了防火墙内外计算机系统的隔离。当代理服务器代表用户与外部建立连接时,可以用自己的IP地址代替内部网络的IP地址,所有内部网络中的站点对外部是不可见的。

表 代理服务

工作位置

Internet防火墙网关上

功能

在网关控制下允许或拒绝的特定应用程序和特定服务,同时,还可应用于实施较强的数据流监控、过滤、记录和报告等。

工作原理

通过对每种应用服务编制专门的代理程序来监视和控制应用层通信流。

应用

特定的互联网服务,如超文本传输(HTTP)、远程文件传输(FTP)等。

配置

代理服务器通常拥有高速缓存,缓存中存有用户经常访问站点的内容,在下一个用户要访问同样的站点时,服务器就用不着重复地去找同样的内容,既节约了时间也节约了网络资源。

应用级网关是防火墙技术中使用得较多的一种技术,也是一种安全性能较高的技术。在使用中,外部用户只能看到代理服务器,内部网络只接收代理服务器发出的服务请求。与包过滤防火墙相比,它更安全,还可加速访问。但实现较为复杂,需要对每一种服务设计一个代理软件模块来进行安全控制。