5) 对网络攻击进行检测和告警为实现上述功能, 在防火墙产品的开发中, 人们广泛应用了网络拓扑计算机操作系统路由加密访问控制安全审计等技术手段其发展过程大致可分为如下三个阶段 : 2.1 基于路由器的防火墙由于路由器本身就包含分组过滤功能, 所以网络访问控制可以通过路由器来实现基于路

Size: px

Start display at page:

Download "5) 对网络攻击进行检测和告警为实现上述功能, 在防火墙产品的开发中, 人们广泛应用了网络拓扑计算机操作系统路由加密访问控制安全审计等技术手段其发展过程大致可分为如下三个阶段 : 2.1 基于路由器的防火墙由于路由器本身就包含分组过滤功能, 所以网络访问控制可以通过路由器来实现基于路"

翁茱桑
5 years ago
Views:

1 防火墙产品与技术研究江苏省电子信息产品质量监督检验研究院张腾标摘要 : 随着 Internet 的迅速发展, 安全性已成为网络互联技术中最关键的问题本文主要从 Internet 防火墙技术与产品的发展历程对防火墙进行介绍, 并详细剖析了新型防火墙的功能特点关键技术实现方法以及抗攻击能力关键词 :Internet 网络安全防火墙过滤地址转换 1. Internet 防火墙技术简介防火墙是用来防止外界侵入的, 它可以防止 Internet 上的各种危险传播到本地专用网络但是它并不像现实生活中的防火隔离设备, 而是有点类似于古代用来守护城池的护城河, 起到以下作用 : 1) 限定信息从一个特定的控制点进入或离开 ; 2) 防止侵入者接近你的其他防御设施 ; 3) 有效阻止侵入者对你的计算机系统进行破坏通常情况下,Internet 防火墙多安装在受保护的内部网络与 Internet 的分界处, 使所有来自 Internet 的传输信息或由内部网发出的信息都必须经过防火墙这样, 防火墙就起到了保护诸如电子邮件文件传输远程登录在特定的系统间进行信息交换等安全的作用从逻辑上讲, 防火墙是起分隔限制分析的作用, 它是加强 Internet 与内部网之间安全防御的一组系统, 由一组硬件设备 ( 包括路由器服务器 ) 和相应的软件组成 2. 防火墙技术与产品发展历程防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理总体上看, 防火墙具有以下五个基本功能 : 1) 过滤进出网络的数据 ; 2) 管理进出网络的访问行为 ; 3) 封堵某些禁止行为 ; 4) 记录通过防火墙的信息内容和活动 ; 第 1 页

2 5) 对网络攻击进行检测和告警为实现上述功能, 在防火墙产品的开发中, 人们广泛应用了网络拓扑计算机操作系统路由加密访问控制安全审计等技术手段其发展过程大致可分为如下三个阶段 : 2.1 基于路由器的防火墙由于路由器本身就包含分组过滤功能, 所以网络访问控制可以通过路由器来实现基于路由器的防火墙产品的特点是 : 1) 利用路由器本身对分组的解析, 以访问控制表 (Access List) 方式实现对分组的过滤 ; 2) 过滤判断的依据是 : 地址端口号 IP 及其他网络特征 ; 3) 只有分组过滤的功能, 且防火墙与路由器是一体的这样, 对安全要求低的网络可以采用路由器附带防火墙功能的方法, 而对安全性要求高的网络则需要单独利用一台路由器作为防火墙该类型防火墙产品有很多不足之处, 具体表现为 : 路由协议灵活, 本身具有安全漏洞, 外部网络要嗅探内部网络十分容易路由器上分组过滤规则的配置存在安全隐患对路由器中过滤规则的配置十分复杂, 它涉及到规则的逻辑一致性作用端口的有效性和规则集的正确性, 一般的网络系统管理员难于胜任, 一旦出现新的协议, 管理员就得加上更多的规则去限制, 这往往会带来很多错误路由器防火墙最大的隐患是 : 由于信息在网络上是以明文方式传送, 攻击者可以伪造假的路由信息欺骗防火墙路由器防火墙本质的缺陷是 : 由于路由器的主要功能是为网络访问提供动态的灵活的路由, 而防火墙则要对访问行为实施静态的固定的控制, 这样就会导致防火墙的规则设置使路由器的性能大大降低可以说基于路由器的防火墙技术只是网络安全的一种应急措施, 用这种方式去对付黑客的攻击是十分危险的 2.2 用户化的防火墙工具套为了弥补路由器防火墙的不足, 很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络, 从而推动了用户防火墙工具套的出现第 2 页

3 用户化的防火墙工具套具有以下特征 : 1) 将过滤功能从路由器中独立出来, 并加上审计和告警功能 ; 2) 针对用户需求, 提供模块化的软件包 ; 3) 软件可以通过网络下载, 用户可以自己动手构造防火墙 ; 4) 与路由器防火墙相比, 安全性提高了, 价格也降低了由于是纯软件产品, 用户化的防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求, 并带来以下问题 : 配置和维护过程复杂费时 ; 对用户的技术要求高 ; 全软件实现, 使用中出现差错的情况很多 2.3 建立在通用操作系统上的防火墙基于软件的防火墙在销售使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品, 它们具有以下特点 : 1) 包括分组过滤或者借用路由器的分组过滤功能 ; 2) 装有专用的代理系统, 监控所有协议的数据和指令 ; 3) 保护用户编程空间和用户可配置内核参数的设置 ; 4) 安全性和速度大大提高该类型防火墙有以纯软件实现的, 也有以硬件方式实现的, 它们已经得到了广大用户的认同但在使用过程中仍表现出以下问题 : 作为基础的操作系统及其内核往往不为防火墙管理者所知, 由于源码的保密, 其安全性无从保证 ; 由于大多数防火墙厂商并非通用操作系统的厂商, 通用操作系统厂商不会对操作系统的安全性负责 ; 从本质上看, 该类型防火墙既要防止来自外部网络的攻击, 还要防止来自操作系统厂商的攻击 ; 3. 新型防火墙的主要技术及功能新型防火墙产品将网关与安全系统合二为一, 具有以下技术功能 : 3.1 双端口或多端口的结构第 3 页

4 新一代防火墙产品具有两个或更多独立的网卡, 内外两个网卡可不做 IP 转化而串接于内部与外部之间, 其他网卡可专用于对服务器的安全保护 3.2 透明的访问方式新型防火墙利用了透明的代理系统技术, 和上述类型防火墙相比, 降低了系统登录固有的安全风险和出错概率 3.3 灵活的代理系统代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块, 新型防火墙采用了两种代理机制 : 一种用于代理从内部网络到外部网络的连接 ; 另一种用于代理从外部网络到内部网络的连接前者采用网络地址转接 (NAT) 技术来解决, 后者采用非保密的用户定制代理或保密的代理系统技术来解决 3.4 多级过滤技术为保证系统的安全性和防护水平, 新型防火墙采用了三级过滤措施, 并辅以鉴别手段在分组过滤一级, 能过滤掉所有的源路由分组和假冒 IP 地址 ; 在应用级网关一级, 能利用 FTP SMTP 等各种网关, 控制和监测 Internet 提供的所有通用服务 ; 在电路网关一级, 实现内部主机与外部站点的透明连接, 并对服务的通行实行严格控制 3.5 网络地址转换技术新型防火墙利用 NAT 技术能透明地对所有内部地址做转换, 使得外部网络无法了解内部网络结构, 同时允许内部网络使用私有 IP 地址互访, 防火墙能记录每一个主机的通信, 确保每个分组送往正确的地址 3.6 用户鉴别与加密新型防火墙采用一次性使用的口令系统对用户进行鉴别, 降低了防火墙产品在 Telnet FTP 等服务和远程管理上的安全风险, 并实现了对邮件的加密 3.7 审计和告警新型防火墙产品采用的审计和告警功能十分健全, 日志文件包括 : 一般信息内核信息核心信息接收邮件邮件路径发送邮件已收消息已发消息连接需求已鉴别的访问告警条件管理日志进站代理 FTP 代理出站代理邮件服务器名服务器等告警功能会守住每一个 TCP 或 UDP 探寻, 并能以发出邮件声响等多种方式报警第 4 页

5 此外, 新型防火墙还在网络诊断数据备份等方面具有特色 4. 新型防火墙技术的实现方法在新型防火墙产品的设计与开发中, 安全内核代理系统多级过滤鉴别与加密是关键所在 4.1 安全内核的实现新型防火墙是建立在安全操作系统之上的, 安全操作系统是通过对专用操作系统的安全加固和改造来实现的, 从现在的诸多产品看, 对安全操作系统内核的固化与改造主要从以下几个方面进行 : 1) 取消危险的系统调用 ; 2) 限制命令的执行权限 ; 3) 取消 IP 的转发功能 ; 4) 检查每个分组的接口 ; 5) 采用随机连接序号 ; 6) 驻留分组过滤模块 ; 7) 取消动态路由功能 ; 8) 采用多个安全内核 4.2 代理系统的建立防火墙不允许任何信息直接穿过它, 对所有的内外连接都要通过代理系统来实现, 为保证整个防火墙的安全, 所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离在所有的连接通过防火墙前, 所有的代理要检查已定义的访问规则, 这些规则控制代理的服务根据以下内容处理分组 : 1) 源地址 ; 2) 目的地址 ; 3) 时间 ; 4) 同类服务器的最大数量所有外部网络到防火墙内部的连接由进站代理处理, 进站代理要保证内部主机能够了解外部主机的所有信息, 而外部主机只能看到防火墙之外的地址所有从内部网络通过防火墙与外部网络建立的连接由出站代理处理, 出站代理必须确第 5 页

6 保完全由它代表内部网络与外部地址相连, 防止内部网址与外部网址的直接连接, 同时还要处理内部网络的连接 4.3 分组过滤器的设计作为防火墙的核心部件之一, 过滤器的设计要尽量做到减少对防火墙的访问, 过滤器在调用时将被下载到内核中执行, 服务终止时, 过滤规则会从内核中消除, 所有的分组过滤功能都在内核中 IP 堆栈的深层运行, 极为安全分组过滤器包括以下参数 1) 进站接口 ; 2) 出站接口 ; 3) 允许的连接 ; 4) 源端口范围 ; 5) 源地址 ; 6) 目的端口的范围等对每一种参数的处理都充分体现设计原则和安全策略 4.4 鉴别与加密的考虑鉴别与加密是防火墙识别用户验证访问和保护信息的有效手段, 鉴别机制除了提供安全保护之外, 还有安全管理功能, 目前国外防火墙产品中广泛使用令牌鉴别方式, 具体方法有两种 : 一种是加密卡 (Crypto Card); 另一种是 Secure ID, 这两种都是一次性口令的生成工具对信息内容的加密与鉴别则涉及加密算法和数字签名技术, 除 PEM PGP 和 Kerberos 外, 目前国外防火墙产品中尚没有更好的机制出现, 由于加密算法涉及国家信息安全, 各国有不同的要求 5. 新型防火墙的抗攻击能力作为一种安全防护设备, 防火墙在网络中自然是众多攻击者的目标, 所以抗攻击能力也是防火墙的必备功能在 Internet 环境中针对防火墙的攻击很多, 下面从几种主要的攻击方法来评估新型防火墙的抗攻击能力 5.1 抗 IP 假冒攻击 IP 假冒是指一个非法的主机假冒内部的主机地址, 骗取服务器的信任, 从而达到对网络的攻击目的由于新型防火墙已经将网内的实际地址隐蔽起来, 外部用户很难知道内部的 IP 地址, 所以难以攻击第 6 页

7 5.2 抗特洛伊木马攻击特洛伊木马能将病毒或破坏性程序传入计算机网络, 且通常是将这些恶意程序隐蔽在正常的程序之中, 尤其是热门程序或游戏, 一些用户下载并执行这一程序, 其中的病毒便会发作新型防火墙是建立在安全的操作系统之上的, 其内核中不能执行下载的程序, 所以可以防止特洛伊木马的发生必须指出的是, 防火墙能抗特洛伊木马的攻击并不表明其保护的某个主机也能防止这类攻击事实上, 内部用户可以通过防火墙下载程序, 并执行下载的程序 5.3 抗口令字探寻攻击在网络中探寻口令的方法很多, 最常见的是口令嗅探和口令解密嗅探是通过监测网络通信, 截获用户传给服务器的口令, 记录下来, 以便使用 ; 解密是指采用暴力攻击猜测或截获含有加密口令的文件, 并设法解密此外, 攻击者还常常利用一些常用口令直接登录新型防火墙采用了一次性口令字和禁止直接登录防火墙措施, 能够有效防止对口令字的攻击 5.4 抗网络安全性分析网络安全性分析工具是提供管理人员分析网络安全性用的, 一旦这类工具用作攻击网络的手段, 则能够比较方便地探测到内部网络的安全缺陷和弱点目前, 很多网络分析工具可以从网上直接下载到, 这些工具给网络安全构成了很大的威胁新型防火墙采用了地址转换技术, 将内部网络隐蔽起来, 使网络安全分析工具无法从外部对内部网络做分析 5.5 抗邮件诈骗攻击邮件诈骗也是越来越突出的攻击方式, 新型防火墙不接收任何邮件, 难以采用这种方式对它攻击, 同样值得一提的是, 防火墙不接收邮件, 并不表示它不让邮件通过, 实际上用户仍可收发邮件, 内部用户要防邮件诈骗, 最终的解决办法是对邮件加密结束语 : 通过对网络防火墙的分析可知, 防火墙技术在计算机网络系统中的重要性越来越突出, 防火墙产品的应用也势必越来越广泛可以预见, 未来防火墙产品将朝着更加的智能化高度集成化的方向发展将防火墙路由器和交换机功能相集成的一体机的出现也是极有可能的第 7 页

MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP #

MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP # iptables 默认安全规则脚本一 #nat 路由器 ( 一 ) 允许路由 # iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT ( 二 ) DNAT 与端口转发 1 启用 DNAT 转发 # iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 dprot 422 -j DNAT to-destination