电子商务安全:防火墙

1、我国计算机信息系统安全保护等级划分为哪5级别?2、如何理解防火墙集中化的安全管理?3、防火墙的5大基本功能?4、TCP/IP协议的四层网络协议模型?5、什么叫应用网关防火墙?6、常用的两种基本防火墙设计策略是什么?

为使防火墙有效,所有来自和发往因特网的信息流都必须通过防火墙以接受防火墙的检查。

一、中国计算机信息系统安全保护等级划分准则(1999发布)

⭕️我国计算机信息系统安全保护等级划分为

第一级 用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,避免其他用户对数据的非法读写与破坏。第二级 系统审计保护级。除继承前一个级别的安全功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己行为的合法性负责。第三级 安全标记保护级。除继承前一个级别的安全功能外, 还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。第四级 结构化保护级。在继承前一个级别的安全功能的基础上,将计算机信息安全系统划分为关键保护元素和非关键保护元素,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。第五级 访问验证保护级。这一级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。系统具有很高的抗渗透能力。说明:第二级有第一二级的能力,以此类推。美国有网络安全橙皮书

二、防火墙基础知识

概念:

防火墙是指设置在不同网络或网络安全域(公共网和企业内部网)之间的一系列部件的组合。它是不同网络(安全域)之间的唯一出入口,能根据企业的安全政策控制(允许 、拒绝 、 监测)出入网络的信息流,且本身具有很高的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。

特征:

保护脆弱和有缺陷的网络服务。一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。⭕️集中化的安全管理。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。加强对网络系统的访问控制。一个防火墙的主要功能是对整个网络的访问控制。比如防火墙可以屏蔽部分主机,使外部网络无法访问,同样可以屏蔽部分主机的特定服务,使得外部网络可以访问该主机的其它服务,但无法访问该主机的特定服务。防火墙不应向外界提供网络中任何不需要服务的访问权,这实际上是安全政策的要求了。控制对特殊站点的访问:如有些主机或服务能被外部网络访问,而有些则需被保护起来,防止不必要的访问。加强隐私。一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

⭕️五大基本功能:

过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。

⭕️三、TCP/IP协议

应用层:向用户提供一组常用的应用程序,比如文件传输访问、电子邮件、远程登录等。用户完全可以在“网间网”之上(即传输层之上),建立自己的专用应用程序,这些专用应用程序要用到TCP/IP,但不属于TCP/IP。传输层(TCP/UDP):提供应用程序间(即端到端)的可靠(TCP)或高效(UDP)的通信。其功能包括:格式化信息流及提供可靠传输。传输层还要解决不同应用程序的识别问题。网间网层(IP):负责相邻计算机之间的通信。其功能包括:处理来自传输层的分组发送请求; 处理输入数据包;处理ICMP报文。网络接口层: TCP/IP协议的最低层,负责接收IP数据报并通过网络发送,或者从网络上接收物理帧,抽出IP数据包,交给IP层。

TCP/IP服务

SMTP - Simple Mail Transfer Protocol, 用于发送、接收电子邮件。TELNET - 可以远程登陆到网络的每个主机上,直接使用他的资源。FTP - File Transfer Protocol,用于文件传输。 DNS - Domain Name Service, 被 TELNET、FTP、WWW及其它服务所用,可以把主机名字转换为 IP 地址。WWW - World Wide Web, 是 FTP、 gopher、WAIS及其它信息服务的结合体,使用超文本传输协议 (http)。

IP

IP协议的主要内容包括无连接数据报传送数据报寻径差错处理三部分。IP层作为通信子网的最高层,屏蔽底层各种物理网络的技术环节,向上(TCP层)提供一致的、通用性的接口,使得各种物理网络的差异性对上层协议不复存在。IP数据报分为报头和数据区两部分,IP报头由IP协议处理,是IP协议的体现;数据体则用于封装传输层数据或差错和控制报文(ICMP)数据,由TCP协议或ICMP协议处理。

TCP

TCP是传输层的重要协议之一,提供面向连接的可靠字节流传输。面向连接的TCP要求在进行实际数据传输前,必须在信源端与信宿端建立一条连接。且面向连接的每一个报文都需接收端确认,未确认报文被认为是出错报文,出错的报文协议要求出错重传。TCP采用可变窗口进行流量控制和拥塞控制以保证可靠性。分组是TCP传输数据的基本单元,分TCP头和TCP数据体两大部分。

UDP

UDP是传输层的重要协议之一;基于UDP的服务包括NIS(网络信息服务)、NFS(网络文件系统)、NTP(网络时间协议 )及DNS等。UDP不是面向连接的服务,几乎不提供可靠性措施;因此,基于UDP的服务具有较高的风险。

TCP与UDP端口

一个TCP或UDP连接由下述要素唯一确定:源IP地址目的地IP地址源端口目的地端口。TCP或UDP用协议端口标识通信进程,端口是一种抽象的软件结构(包括一些数据结构和I/O缓冲区)。应用程序(即进程)通过系统调用与某些端口建立连接后,传输层传给该端口的数据被相应进程所接收。端口又是进程访问传输服务的人口点。每个端口拥有一个叫端口号的16位整数标识符,用于区分不同端口。TCP和UDP软件分别可以提供65536个不同的端口。端口有两部分,一部分是保留端口(端口号小于1024,对应于服务器进程),一部分是自由端口(以本地方式分配)。某些服务进程通常对应于特定的端口。如SMTP为25,X WINDOWS为6000。客户使用端口号及目的地IP地址初始化与一个特定主机或服务的连接。

四、防火墙技术内容

防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为两大类:包过滤和应用代理

包过滤作用在网络层和传输层,它根据包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。

一个包过滤型防火墙通常能根据IP报头的以下各项过滤:源IP地址、目标IP地址、TCP/UDP源端口、TCP/UDP目标端口、协议类型

优点:

透明的防火墙系统高速的网络性能易于配置支持网络内部隐藏

缺点:

只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装其他可信任的外部主机的IP却不可阻止。记录日志信息不充分设计和配置一个真正安全的分组过滤规则比较困难包过滤防火墙并不能过滤所有的协议极小分片数据包攻击⭕️应用代理也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。

一个Telnet代理的例子

用户首先Telnet到应用网关主机,并输入内部目标主机的名字(域名、IP地址)应用网关检查用户的源IP地址等,并根据事先设定的访问规则来决定是否转发或拒绝然后用户必须进行是否验证(如一次一密等高级认证设备)应用网关中的代理服务器为用户建立在网关与内部主机之间的Telnet连接代理服务器在两个连接(用户/应用网关,代理服务器/内部主机)之间传送数据应用网关对本次连接进行日志记录

优点:

在网络连接建立之前可以对用户身份进行认证所有通过防火墙的信息流可以被记录下来易于配置支持内部网络的信息隐藏与分组过滤规则相比简单易于控制和管理

缺点:

对每种类型的服务都需要一个代理网络性能不高防火墙对用户不透明客户应用可能需要修改需要多个防火墙主机

五、防火墙体系结构

包过滤防火墙:适合于较小的、简单的系统;如规则复杂,则难于管理。包过滤+应用网关(Ⅰ):简化路由配置,加强隐私,双重保护,花费高一些。只有网关上的代理服务支持的应用才能通过。包过滤+应用网关(Ⅱ):路由器过滤应用网关不支持的危险协议;应用网关仅需一个网络接口,不要求在应用网关与路由器之间有一个分离的子网;路由器允许转发可信服务到网关周围和直接到内部网络。也叫屏蔽主机防火墙结构,屏蔽路由器使用包过滤技术,堡垒主机运行应用网关程序,为内部主机提供代理服务。路由过滤器根据以下规则来路由内外部通信:路由从Internet外部访问应用网关的通信拒绝来自任何Internet外部的其它访问拒绝路由任何内部网络访问Internet外部的请求,除非来自内部的应用代理。适于需要灵活性的网络,但安全性降低。

⭕️五、防火墙实现策略

网络服务访问策略

是高层策略,定义了受保护网络明确允许和明确拒绝的网络服务,分析网络服务的可用性(包括可用条件)、风险性等。不允许外部网络或Internet访问内部网络,但允许内部网络访问外部网络或Internet。允许外部网络或Internet访问部分内部网络,这些特定的网络服务是经过严格选择和控制的,如一些信息服务器、电子邮件服务器或域名服务器等等。

防火墙设计策略

是低层策略,描述了防火墙如何根据高层的网络服务访问策略中定义的策略来具体地限制访问和过滤服务。防火墙设计策略必须针对具体的防火墙,它定义过滤规则等,以实现高层的网络服务策略。这个策略在设计时必须考虑到防火墙本身的性能、限制及具体协议如TCP/IP。允许所有除明确拒绝之外的通信或服务(很少考虑,因为这样的防火墙可能带来许多风险和安全问题。攻击者完全可以使用一种拒绝策略中没有定义的服务而被允许并攻击网络)拒绝所有除明确允许之外的通信或服务(常用,但操作困难,并有可能拒绝网络用户的正常需求与合法服务)

作为一个安全策略的设计者,应懂得以下问题的要点

哪些Internet服务是本网络系统打算使用或提供的?(如TELNET、FTP、HTTP)这些Internet服务在哪或哪个范围内使用?(如在本地网内、整个Internet或拨号服务等)可能有哪些额外或临时的服务或需求?(如加密、拨入服务等)提供这些服务和访问有哪些风险和总的花费?

六、防火墙发展历程

第一阶段:基于路由器的防火墙

特点:

利用路由器本身对分组的解析,以访问控制表(access list)方式实现对分组的过滤;过滤判决的依据可以是:地址、端口号、协议类型及其它网络特征;只有分组过滤的功能,且防火墙与路由器是一体的;对安全要求低的网络可采用路由器附带防火墙功能的方法,对安全性要求高的网络则可单独利用一台路由器作防火墙。

不足之处:

路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。路由器上的分组过滤规则的设置和配置存在安全隐患。攻击者可以“假冒”地址,由于信息在网络上是以明文传送的,黑客可以在网络上伪造假的路由信息欺骗防火墙。防火墙的规则设置会大大降低路由器的性能。

第二阶段:用户化的防火墙工具套

特点:

将过滤功能从路由器中独立出来,并加上审计和告警功能;针对用户需求,提供模块化的软件包;软件可通过网络发送,用户可根据需要构造防火墙;与第一代防火墙相比,安全性提高了,价格降低了。

不足之处:

配置和维护过程复杂、费时;对用户的技术要求高;全软件实现,安全性和处理速度均有局限;实践表明,使用中出现差错的情况很多。

第三阶段:建立在通用操作系统上的防火墙

特点:

是批量上市的专用防火墙产品;包括分组过滤或者借用路由器的分组过滤功能;装有专用的代理系统,监控所有协议的数据和指令;保护用户编程空间和用户可配置内核参数的设置;安全性和速度大为提高。

不足之处:

作为基础的操作系统及其内核往往不为防火墙管理者所知,由于原码的保密,其安全性无从保证;由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;用户必须依赖两方面的安全支持:一是防火墙厂商、一是操作系统厂商。

第四阶段:具有安全操作系统的防火墙

特点:

防火墙厂商具有操作系统的源代码,并可实现安全内核;对安全内核实现加固处理:即去掉不必要的系统特性,加固内核,强化安全保护;对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其它部份构成威胁;在功能上包括了分组过滤、应用网关、且具有加密与鉴别功能;透明性好,易于使用。

第四代防火墙的主要技术与功能:

第四代防火墙产品将网关与安全系统合二为一,具有以下技术与功能特点:双端口或三端口的结构(Internet网关技术)透明的访问方式(安全服务器网络SSN)灵活的代理系统(用户鉴别与加密)多级的过滤技术(用户定制服务)网络地址转换技术(审计和告警)

七、防火墙发展趋势

利用防火墙建立专用网(VPN)是较长一段时间的用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点;对网络攻击的检测和告警将成为防火墙的重要功能;安全管理工具不断完善,特别是可疑活动的日志分析工具等将成为防火墙产品中的一部分。