分类: 网络与安全
2008-03-22 16:19:46
为了克服包过滤模式明显的安全性不足的问题, 一些包过滤型防火墙厂商推出了状态包过滤的概念。在包过滤技术的基础上,通过基于上下文的动态包过滤模块检查,增强了安全性检查。它不再只是分别对每个进来的包简单地就地址进行检查,动态包过滤型防火墙在网络层截获进来的包,直到足够的数量,以便能够确定此试图连接的有关“状 态”。然后用防火墙系统内核中“专用的检查模块”对这些包进行检查。安全决策所需的相关状态信息经过这个“专用的检查模块”检查之后,记录在动态状态表中,以便对其后的数据包通讯进行安全评估。经过检查的包穿过防火墙,在内部与外部系统之间建立直接的联系。
尽管基于上下文的状态包过滤检查的方法明显地提高了安全性,但它仍然无法与应用层代理防火墙相比。动态包过滤防火墙的典型代表是CHECKPOINT FIREWAL-1防火墙。下图显示的是基于上下文的动态包过滤防火墙的逻辑结构。
三、安全需求分析
TCP/IP的灵活设计和Internet的普遍应用为网络的发展提供了基础,技术很容易被别有用心或喜欢炫耀的人们掌握,由此黑客数量剧增。加之网络连接点多面广,客观上为黑客的入侵提供了较多的切入点。企业计算机网络中内部网上的信息有许多是属于机密数据,一旦被不怀好意的黑客窃取或被竞争对手得到,都将带来难以估量的损失。为了使信息系统在保障安全的基础上被正常访问,需要一定的设备来对系统实施保护,保证只有合法的用户才可以访问系统。就目前看,能够实现这种需求的性能价格比最优的设备就是防火墙。
本着经济、高效的原则,有必要将内部网和外部不信任网络、内部网络中主要的应用服务器和内部其它网段用防火墙隔离保护,以实现对内部网以及主机系统的访问控制和边界安全的集中管理。
四、防火墙方案具体实现
(一)产品选型原则
在进行防火墙产品选型时,除了必须遵循网络安全体系设计原则外,还要求防火墙至少应包含以下功能:
1、访问控制:通过对特定网段和特定服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前;
2、攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时地检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等);
3、通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息;
4、身份认证:良好的认证体系可防止攻击者假冒合法用户;
5、多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标;
6、隐藏内部信息:使攻击者不能了解系统内的基本情况;
7、安全监控中心:为信息系统提供安全体系管理、监控,保护及紧急情况服务。
在实际的网络中,保障网络安全与提供高效灵活的网络服务是矛盾的。从网络服务的可用性、灵活性和网络性能考虑,网络结构和技术实现应该尽可能简捷,不引入额外的控制因素和资源开销。但从网络安全保障考虑,则要求对网络系统提供服务的种类、时间、对象、地点甚至内容有尽可能多的了解和控制能力,实现这样附加的安全功能不可避免地要耗费有限的网络资源或限制网络资源的使用,从而对网络系统的性能、服务的使用方式和范围产生显著影响。此外,保障网络安全常常还涉及到额外的硬件、软件投入及网络运行管理中的额外投入,由此可见,保障网络的安全是有代价的。对安全性的追求可以是无限的,但费用也会随之增长。以防火墙建立一套安全系统,可充分兼顾以下因素:
1、安全性与方便
一般来说,网络使用的方便性会因采用了网络安全措施而降低。防火墙无论从安装、配置到策略调整都在同一个GUI界面下完成,管理十分方便快捷,网络管理员的额外工作强度很小。此外,防火墙内外网卡透明设置也极大地方便了内部用户,内部工作站(包括服务器)不必增加任何额外的配置。
2、安全性与性能
对网络来说,安全措施是靠网络资源来完成的,它或者是占用主机CPU和内存,或者是占用网络带宽,或者是增加信息处理的过程,所有这些都可以导致整体性能降低防火墙拥有独特的状态包过滤技术,在安全性和速度之间可以自动找到理想的平衡点。
3、安全性与成本
采用网络安全措施或建立网络安全系统都会增加额外的成本,这里包括购买硬件、软件的花费,系统设计和实施费用,管理和维护安全系统的费用。
(二)防火墙具体实现
1、部署边界防火墙
设置边界防火墙的正确位置应该在内部网络与外部网络之间。防火墙设置在此位置上,防火墙的内外网卡分属于内部和外部网段。内部网络和外部网络被完全隔离开,所有来自外部网络的服务请求只能到达防火墙,防火墙对收到的数据包进行分析后将合法的请求传送给相应的服务主机,对于非法访问加以拒绝。内部网络的情况对于外部网络的用户来说是完全不可见的。由于防火墙是内部网络和外部网络的唯一通讯信道,因此防火墙可以对所有针对内部网络的访问进行详细的记录,形成完整的日志文件。防火墙要保护的网络与外部网络应该只有唯一的连接通路,如果防火墙后还有其它通路,防火墙将被短路,无法完成保护内部网络的工作。如果内部网络有多个外部连接,就应该在每个入口处都放置防火墙。
设置边界防火墙,我们可以有效的防范来自外部网络的攻击。设置防火墙后内部网与外部网进行了有效的隔离,所有来自外部网络的访问请求都要通过防火墙的检查,安全有了很大的提高。
边界防火墙可以完成以下具体任务:
通过源地址过滤,拒绝外部非法IP地址,有效的避免了外部网络上与业务无关的主机的越权访问防火墙可以只保留有用的服务,将其他不需要的服务关闭,可将系统受攻击的可能性降低到最小限度,使黑客无机可乘边界防火墙可以制定访问策略,只有被授权的外部主机可以访问内部网络的有限的IP地址,保证外部网络只能访问内部网络中必要的资源,与业务无关的操作将被拒绝由于外部网络对DMZ区主机的所有访问都要经过防火墙,防火墙可以全面监视外部网络对内部网络的访问活动,并进行详细的记录,通过分析可以得出可疑的攻击行为对于远程登录的用户,如telnet等,防火墙利用加强的认证功能,可以有效的防止非法入侵安装了边界防火墙后,网络的安全策略由防火墙集中管理,因此黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的边界防火墙可以进行地址转换工作,外部网络不能看到内部网络的结构,使黑客攻击失去目标以上的内容充分说明,企业的计算机网络安装了边界防火墙后,可以实现内部网络与外部网络的有效隔离,防止来自外部网络的非法攻击。同时,保证了DMZ区服务器的相对安全性和使用便利性。
2、部署内部防火墙
企业的计算机网络是一个多层次、多节点、多业务的网络,各节点间的信任程度较低,但由于业务的需要,各节点和服务器群之间又要频繁的交换数据。通过在服务器群的入口处设置内部防火墙,可以制定完善的安全策略,有效的控制内部网络的访问,具体可以实现以下功能:
内部防火墙可以精确制定每个用户的访问权限,保证内部网络用户只能访问必要的资源对于拨号备份线路的连接,通过强大的认证功能,实现对远程用户的管理内部防火墙可以记录网段间的访问信息,及时发现误操作和来自内部网络其他网段的攻击行为防火墙通过安全策略的集中管理,每个网段上的主机不必再单独设立安全策略,降低人为因素导致的网络安全问题。
综上所述,企业计算机网络中设置防火墙后,一方面可以有效地防范来自外部网络的攻击行为,另一方面可以为内部网络制定完善的安全访问策略,从而使得整个企业网络具有较高的安全级别。
五、防火墙方案特点
一个优秀的网络安全保障系统必须建立在对网络安全需求与环境的客观分析评估基础上,在网络的应用性能及价格和安全保障需求之间确定一个“最佳平衡点”,使得网络安全保障引入的额外开销与它所带来的效益相当。根据企业计算机网络的具体特点,我们建议采用的防火墙安全系统具有以下几个特点:
1、设备费用比较低廉
这主要包括,无须购入成套的安全设备,主要利用软件而非硬件来实现安全,比如说软件型的防火墙,使用费用比较低廉的共享版本或者免费版本的软件。
2、人员费用相对较低
无须聘请国外专业的安全公司来参与企业内部网的建设,但是可以聘请一到两个对于安全规划和实施较有经验的国内专业安全公司定企业内部网的规划,同时系统的安全性维护主要由内部技术人员兼职完成。
3、统一部署安全策略
即在安全专家的指导下,建立统一安全制度,消灭一般由于系统配置不当造成的明显安全漏洞。
4、良好的升级扩展性
一套相对安全的安全系统并不意味着永远保持“相对的安全性”,当企业的关键性业务发展到某个程度时,或许需要提高企业内部网的安全性能,这就要求原先的系统具有良好的可扩展性。这主要体现在,可以通过适当地追加投资大幅度增加企业内部网络的安全性能。但安全系统的基本模式不发生巨大变化,以免导致管理上的困难。