防火牆十招
Internet的迅猛發展,使得防火牆產品在短短的幾年內異軍突起,很快形成了一個產業:1995年,剛剛面市的防火牆產品市場量還不到1萬套,到1996年底,就猛增到10萬套;據國際權威商業調查機構的預測,防火牆市場將以173%的複合增長率增長,到2000年將達150萬套,市場營業額將從1995年的1.6億美元上升到2000年的9.8億美元。
防火牆技術的發展經歷了基於路由器的防火牆、用戶化的防火牆工具套、建立在通用作業系統上的防火牆、具有安全作業系統的防火牆四個階段,現在處於第四階段,即第四代防火牆的階段。
第四代防火牆本身就是一個作業系統,因而在安全性上較之第三代防火牆有質的提高。獲得安全作業系統的辦法有兩種:一種是通過許可證方式獲得作業系統的源碼;另一種是通過固化作業系統內核來提高可靠性。由此建立的防火牆系統具有以下特點:(1)防火牆廠商具有作業系統的源代碼,並可實現安全內核;(2)對安全內核實現加固處理,即去掉不必要的系統特性,加上內核特性,強化安全保護;(3)對每個伺服器、子系統都作了安全處理,一旦駭客攻破了一個伺服器,它將會被隔離在此伺服器內,不會對網路的其他部分構成威脅;(4)在功能上包括了分組過濾、應用閘道、電路級閘道,且具有加密與鑒別功能;(5)透明性好,易於使用。第四代防火牆產品將閘道與安全系統合二為一,具有以下技術與功能。
1.雙埠或三埠的結構。新一代防火牆產品具有兩個或三個獨立的網卡,內外兩個網卡可不作IP轉化而串接於內部網與外部網之間,另一個網卡可專用於對伺服器的安全保護。
2.透明的訪問方式。以前的防火牆在訪問方式上要麼要求用戶作系統登錄,要麼需要通過SOCKS等庫路徑修改客戶機的應用。第四代防火牆利用了透明的代理系統技術,從而降低了系統登錄固有的安全風險和出錯概率。
3.靈活的代理系統。代理系統是一種將資訊從防火牆的一側傳送到另一側的軟體模組。第四代防火牆採用了兩種代理機制:一種用於代理從內部網路到外部網路的連接;另一種用於代理從外部網路到內部網路的連接。前者採用網路位址轉換(NAT)技術來解決,後者採用非保密的用戶定制代理或保密的代理系統技術來解決。
4.多級的過濾技術。為保證系統的安全性和防護水準,第四代防火牆採用了三級過濾措施,並輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒的IP源地址;在應用閘道一級,能利用FTP、SMTP等各種閘道,控制和監測Internet提供的所有通用服務;在電路閘道一級,實現內部主機與外部站點的透明連接,並對服務的通行實行嚴格控制。
5.網路位址轉換技術。第四代防火牆利用NAT技術能透明地對所有內部位址作轉換,使外部網路無法瞭解網路的內部結構,同時允許內部網路使用自編的IP位址和專用網路,防火牆能詳盡記錄每一個主機的通信,確保每個分組送往正確的位址。
6.Internet閘道技術。由於是直接串連在網路之中,第四代防火牆必須支援用戶在Internet互連的所有服務,同時還要防止與Internet服務有關的安全漏洞。故它要能以多種安全的應用伺服器(包括FTP、Finger、mail、Ident、News、WWW等)來實現閘道功能。為確保伺服器的安全性,對所有的檔和命令均要利用“改變根系統調用”作物理上的隔離。在功能變數名稱服務方面,第四代防火牆採用兩種獨立的功能變數名稱伺服器:一種是內部DNS伺服器,主要處理內部網路的DNS資訊;另一種是外部DNS伺服器,專門用於處理機構內部向Internet提供的部分DNS資訊。
在匿名FTP方面,伺服器只提供對有限的受保護部分目錄的唯讀訪問;在WWW伺服器中,只支援靜態的網頁,而不允許圖形或CGI代碼等在防火牆內執行;在Finger伺服器中,對外部訪問,防火牆只提供可由內部用戶配置的基本文本資訊,而不提供任何與攻擊有關的系統資訊。SMTP與POP郵件伺服器要對所有進、出防火牆的郵件作處理,並利用郵件映射與標頭剝除的方法隱除內部的郵件環境,Ident伺服器對用戶連接的識別作專門處理,網路新聞服務則為接收來自ISP的新聞開設了專門的磁碟空間。
7.安全伺服器網路(SSN)。為適應越來越多的用戶向Internet上提供服務時對伺服器保護的需要,第四代防火牆採用分別保護的策略保護對外伺服器。它利用一張網卡將對外伺服器作為一個獨立網路處理,對外伺服器既是內部網的一部分,又與內部閘道完全隔離。這就是安全服務網路(SSN)技術,對SSN上的主機既可單獨管理,也可設定成通過FTP、Telnet等方式從內部網上管理。
SSN的方法提供的安全性要比傳統的“隔離區(DMZ)”方法好得多,因為SSN與外部網之間有防火牆保護,SSN與內部網之間也有防火牆保護,一旦SSN受破壞,內部網路仍會處於防火牆的保護之下。
8.用戶鑒別與加密。為了降低在Telnet、FTP等服務和遠端管理上的風險,第四代防火牆採用一次性使用的口令字系統作為用戶的鑒別手段,並實現了對郵件的加密。
9.用戶定制服務。第四代防火牆在提供眾多服務的同時,還為用戶定制提供支援,這類選項有:通用TCP,出站UDP、FTP、SMTP等類。如果某一用戶需要建立一個資料庫的代理,便可利用這些支持,方便設定。
10.審計和告警。第四代防火牆產品的審計和告警功能十分健全,日誌檔包括:一般資訊、內核資訊、核心資訊、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日誌、進站代理、FTP代理、出站代理、郵件伺服器、名伺服器等。告警功能會守住每一個TCP或UDP探尋,並能以發出郵件、聲響等多種方式報警。此外,第四代防火牆還在網路診斷、資料備份與保全等方面具有特色。
[本帖最後由fannieliuchofai 於2008-2-2914:12編輯]
如果您喜歡這篇文章,請按「讚」或分享給您的朋友,以示鼓勵。
