报纸上的一千字
关键词:互联网网络安全防火墙过滤地址翻译
1.介绍
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的一种应用安全技术,越来越多的应用于私网和公网,尤其是互联网的互联环境中。随着互联网的快速发展,防火墙产品在短短几年内异军突起,很快形成了一个产业:1995,刚刚上市的防火墙技术产品市场量不到10000台;到1996年底,已经飙升到65438+万套;据权威国际商业调查机构预测,防火墙市场将以1.73%的复合增长率增长,到今年年底将达到1.5万台,市场成交额将从1.995?1.6?10亿美元上升到9.8亿美元。?
为了全面了解互联网防火墙及其发展过程,尤其是第四代防火墙的技术特点,我们非常有必要从产品和技术的角度对防火墙技术的发展和演进进行详细的考察。?
2.互联网防火墙技术简介?
防火墙最初是指建筑物用来阻止火势蔓延的隔墙。从理论上讲,互联网防火墙服务类似于那些用于防止外部入侵的服务。它可以防止
阻止各种危险(病毒、资源盗窃等。)传播到你的网络。事实上,防火墙并不像现实生活中的防火墙,它有点像古代用来保护城市的护城河,服务于以下目的:
1)限制人们从特定的控制点进入;?
2)限制人们从特定点离开;?
3)阻止入侵者接近你的其他防御设施;?
4)有效防止破坏者破坏你的电脑系统。?
在现实生活中,互联网防火墙通常安装在受保护的内部网络上,并连接到互联网。
所有从互联网传输或您发送的信息都必须通过防火墙。这样,防火墙就起到了保护特定系统之间的电子邮件、文件传输、远程登录、信息交换等安全的作用。从逻辑上讲,防火墙起到的是隔离、限制、分析的作用,从图1也可以实现。那么,什么是防火墙?防火墙实际上是加强互联网(内网)之间安全防御的一个系统或一组系统,由一组硬件设备(包括路由器和服务器)和相应的软件组成。3.防火墙技术及产品发展回顾?
防火墙是网络安全策略的组成部分,通过控制和监控网络间的信息交换和访问行为,可以有效地管理网络安全。一般来说,防火墙应该具备以下五个基本功能:?
●过滤进出网络的数据;?
●管理网络内外的访问行为;?
●屏蔽一些禁止的行为;?
●记录通过防火墙的信息内容和活动;?
●检测网络攻击并发出警报。?
为了实现上述功能,网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段被广泛应用于防火墙产品的开发中。纵观防火墙近几年的发展,可以分为以下四个阶段(即四代)。?
3.1基于路由器的防火墙?
由于大多数路由器都含有包过滤功能,网络访问控制可能通过路径控制来实现,从而使具有包过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:
1)利用路由器本身解析数据包,以访问列表的方式过滤数据包;?
2)过滤判断的依据可以是:地址、端口号、ip标志等网络特征;?
3)只具备包过滤的功能,防火墙和路由器是一体的。这样,安全要求低的网络可以采用路由器带防火墙功能的方法,而安全要求高的网络则需要单独使用路由器作为防火墙。?
第一代防火墙产品的缺点非常明显,具体如下:
●路由协议非常灵活,有自己的安全漏洞,外网非常容易探查内网。例如,当使用Ftp协议时,外部服务器很容易从端口20连接到内部网。即使在路由器上设置了过滤规则,内部网络的端口20仍然可以被外部探测到。?
●路由器上包过滤规则的设置和配置存在安全风险。在路由器中设置和配置过滤规则是非常复杂的,这涉及到规则的逻辑一致性。动作端口的有效性和规则集的正确性对于一般的网络系统管理员来说是比较困难的,而且一旦有新的协议出现,管理员还要添加更多的规则对其进行限制,这往往会带来很多错误。?
●路由器防火墙最大的隐患是攻击者可以“伪造”地址。由于信息在网络上是以明文形式传输的,黑客可以在网络上伪造虚假的路由信息来欺骗防火墙。?
●路由器防火墙的本质缺陷在于,路由器的主要功能是为网络访问提供动态、灵活的路由,而防火墙却要对访问行为实施静态、固态的控制,这是一对难以调和的矛盾。防火墙的规则设置会大大降低路由器的性能。
可以说,基于路由器的防火墙技术只是网络安全的应急措施,用这种权宜之计应对黑客攻击是非常危险的。
3.2定制防火墙工具包?
为了弥补路由器防火墙的不足,许多大用户要求专门开发防火墙系统来保护自己的网络,从而促进了用户防火墙工具包的出现。?
作为第二代防火墙产品,定制防火墙工具包具有以下特点:?
1)将过滤功能从路由器中分离出来,增加审计和告警功能;?
2)根据用户需求提供模块化软件包;?
3)软件可以通过网络发送,用户可以自行构建防火墙;?
4)与第一代防火墙相比,安全性提高,价格降低。?
由于是纯软件产品,第二代防火墙产品在实现和维护上都对系统管理员提出了相当复杂的要求,并带来了以下问题:
配置和维护的过程复杂且耗时;?
对用户的技术要求高;?
全软件实现,使用中有很多错误。?
3.3基于通用操作系统的防火墙?
基于软件的防火墙在销售、使用和维护方面存在的问题迫使防火墙开发商迅速推出基于通用操作系统的商用防火墙产品。这一代产品近年来在市场上得到广泛应用,它们具有以下特点:
1)是批量上市的专用防火墙产品;?
2)包含包过滤或借用路由器的包过滤功能;?
3)配备专门的代理系统,监控所有协议的数据和指令;?
4)保护用户编程空间,设置用户可配置的内核参数;
5)安全性和速度大大提高。?
第三代防火墙是由纯软件和硬件实现的,它们已经得到了广大用户的认可。但是,随着安全要求的变化和使用时间的推迟,仍然存在许多问题,如:
1)作为基础操作系统,其内核往往不为防火墙管理者所知,由于源代码的保密性,其安全性无法得到保证;?
2)由于大多数防火墙厂商不是通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;?
3)本质上,第三代防火墙不仅要防止来自外网的攻击,还要防止来自操作系统厂商的攻击;?
4)功能上包括包过滤、应用网关和电路级网关,具有加密和认证功能;?
5)透明度好,使用方便。?
4.第四代防火墙的主要技术和功能是什么?
第四代防火墙产品将网关和安全系统合二为一,具有以下技术功能。?
4.1双口还是三口结构?
新一代防火墙产品有两到三个独立的网卡。内外网卡无需ip转换即可串联在内外之间,另一块网卡可以专用于服务器的安全保护。
4.2透明访问?
以前的防火墙要么要求用户登录系统,要么通过库路径(如socks)修改客户端应用程序。第四代防火墙采用透明代理系统技术,从而降低了固有的安全风险和系统登录的错误概率。?
4.3弹性代理人制度?
代理系统是一个软件模块,它将信息从防火墙的一端传输到另一端。第四代防火墙采用两种代理机制:一种用于代理内网到外网的连接;另一个用于代理从外部网络到内部网络的连接。前者通过网络地址转发(nit)技术解决,后者通过非机密用户自定义代理或机密代理系统技术解决。?
4.4多级过滤技术?
为了保证系统的安全和防护水平,第四代防火墙采用三级过滤措施,并辅以识别手段。在包过滤层面,可以过滤掉所有的源路由包和假ip地址;在应用级网关级别,可以使用Ftp、smtp和其他网关来控制和监视互联网提供的所有一般服务。在电路网关层面,实现内部主机与外部站点的透明连接,严格控制服务的访问。?
4.5网络地址翻译技术?
第四代防火墙利用nat技术可以透明地转换所有内部地址,使得外网无法了解内网的内部结构,允许内网使用自己的ip源地址和私有网络。防火墙可以详细记录每台主机的通信,以确保每个数据包都发送到正确的地址。?
4.6互联网网关技术?
由于是直接串联在网络中,第四代防火墙必须支持用户在互联网上连接的所有服务,同时要防止互联网服务相关的安全漏洞,所以要能够实现与多种安全应用服务器(包括ftp、finger、mail、ident、news、www等)的网关功能。).为了保证服务器的安全性,所有的文件和命令都要通过“change chroot系统调用”进行物理隔离。?
在域名服务上,第四代防火墙采用两个独立的域名服务器:一个是内部dns服务器,主要处理内部网络和dns信息;另一种是外部dns服务器,专门用来处理一些从组织内部提供给互联网的dns信息。在匿名ftp中,服务器只提供对有限数量的受保护目录的只读访问。在www服务器中,只支持静态网页,不允许图形或cgi代码在防火墙中运行。在finger server中,对于外部访问,防火墙只提供内部用户可以配置的基本文本信息,而不提供任何与攻击相关的系统信息。Smtp和pop邮件服务器应该处理所有进出防火墙的邮件,并使用邮件映射和邮件头剥离来隐藏内部邮件环境。Ident服务器处理用户连接的识别,而网络新闻服务提供专门的磁盘空间用于接收来自isp的新闻。
4.7安全服务器网络(ssn)?
为了满足越来越多的用户对互联网提供服务的需求,第四代防火墙采用隔离防护的策略来保护用户上网的外部服务器。它使用网卡将外部服务器视为独立的网络,外部服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(ssn)技术。ssn上的主机可以单独管理,也可以通过Ftp、tnlnet等从内网管理。?
ssn方式提供的安全性要比传统的“dmz”方式好很多,因为ssn和外网之间有防火墙保护,ssn和布冯网之间也有防火墙保护,而dmz只是内外网网关之间的防火墙方式。换句话说,一旦ssn被破坏,内部网络仍将受到防火墙的保护,而一旦dmz被破坏,内部网络将面临攻击。?
4.8用户认证和加密?
为了降低防火墙产品在tnlnet、ftp等业务和远程管理中的安全风险,认证功能必不可少。第四代防火墙采用一次性密码系统作为用户认证的手段,实现了邮件的加密。?
4.9用户定制服务?
为了满足特定用户的特定需求,第四代防火墙提供了很多服务,也提供了对用户定制的支持。这些选项包括:通用tcp、出站udp、ftp、smtp等。如果用户需要设置数据库代理,他可以使用这些支持来方便设置。?
4.10审计和报警?
第四代防火墙产品采用的审计和报警功能非常健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、接收消息、发送消息、连接要求、认证访问、报警条件、管理日志、入站代理、ftp代理、出站代理、邮件服务器、名称服务器等。报警功能将保存每个tcp或udp查询,并可以通过多种方式报警,如发送电子邮件、发声等。?
此外,第四代防火墙在网络诊断、数据备份安全等方面也有自己的特点。?
5.第四代防火墙技术的实现方法
在第四代防火墙产品的设计和开发中,安全内核、代理系统、多级过滤、安全服务器、认证和加密是重点。?
5.1安全内核的实现?
第四代防火墙是建立在安全操作系统之上的,来自于对专用操作系统的安全加固和改造。从现在很多产品来看,安全操作系统内核的固化和改造主要在以下几个方面进行:
1)取消危险系统调用;?
2)限制命令的执行权限;?
3)取消ip的转发功能;?
4)检查每个数据包的接口;?
5)采用随机连接序列号;?
6)驻留包过滤模块;?
7)取消动态路由功能;?
8)采用多种安全内核。?
5.2代理制的建立?
防火墙不允许任何信息直接通过,所有内外连接都必须通过代理系统实现。为了保证整个防火墙的安全,所有代理都要把根目录改成存在于一个相对独立的区域进行安全隔离。?
所有连接通过防火墙之前,所有代理都要检查定义的访问规则,访问规则控制代理的服务按照以下内容进行分组:?
1)源地址;?
2)目的地址;?
3)时间;?
4)同类服务器的最大数量。?
所有到防火墙或ssn的外网连接都由入站代理处理,这样可以保证内部主机可以知道外部主机的所有信息,而外部主机只能看到防火墙或ssn之外的地址。?
所有从内网ssn通过防火墙到外网建立的连接都由外网代理处理,外网代理必须保证内网完全连接到代表其的外网地址,防止内网和外网直接连接,同时还要处理内网ssn的连接。?
5.3分组过滤器的设计?
作为防火墙的核心组件之一,过滤器的设计应该尽可能地减少对防火墙的访问。过滤器在被调用时会被下载到内核,当服务终止时过滤规则会从内核中消除。所有的包过滤功能都运行在内核的ip栈深层,极其安全。数据包筛选器包括以下参数。?
1)入口接口;?
2)出站接口;?
3)允许的连接;?
4)源端口范围;?
5)源地址;?
6)目的港的范围等。?
每个参数的处理充分体现了设计原则和安全政策。?
5.4安全服务器的设计?
安全服务器的设计有两个要点:一是所有ssn流量都要隔离,即来自内网和外网的路由信息流在机制上分离;第二,ssn类似于两个网络。它看起来像内网,因为它对外界是透明的,同时它看起来像外网,因为它从内网对外界的访问是非常有限的。?
ssn上的每一台服务器都隐藏在互联网中,ssn提供的服务对外网来说好像是防火墙功能。因为地址已经是透明的,所以对各种网络应用没有限制。实现ssn的关键在于:
1)解决包过滤和ssn的连接;?
2)通过防火支持对ssn的访问;
3)支持代理服务。
5.5认证和加密的考虑
认证和加密是防火墙识别用户、验证访问和保护信息的有效手段。认证机制不仅提供安全保护,还具有安全管理功能。目前国外防火墙产品普遍采用令牌认证,具体方法有两种:一种是cryptocard另一个是安全id,两者都是生成一次性姓氏和密码的工具。
信息内容的加密和认证涉及加密算法和数字签名技术。目前国外防火墙产品除了pem、pgp、kerberos之外,没有更好的机制。因为加密算法涉及国家安全和主权,各国要求不同。
6.第四代防火墙的抗攻击能力
防火墙作为一种安全防护设备,自然是网络中众多攻击者的目标,因此抗攻击能力也是防火墙的一个必备功能。在互联网环境中,有许多针对防火墙的攻击。这里从几种主要的攻击方式来评价第四代防火墙的抗攻击能力。
6.1反ip假冒攻击
Ip冒充是指非法主机冒充内部主机地址来骗取服务器的“信任”,从而达到攻击网络的目的。由于第四代防火墙在网络中隐藏了实际地址,外部用户很难知道内部ip地址,因此很难被攻击。
6.2反特洛伊的攻击
特洛伊木马可以将病毒或破坏性程序引入计算机网络,通常将这些恶意程序隐藏在正常程序中,尤其是流行程序或游戏中。有些用户下载程序并执行,病毒就会爆发。第四代防火墙建立在安全的操作系统上,下载的程序不能在其内核中执行,因此可以防止特洛伊木马。必须指出的是,仅仅因为防火墙可以抵御特洛伊攻击,并不意味着它保护的主机也可以防止这种攻击。实际上,内部用户可以通过防火墙下载程序,并执行下载的程序。
6.3反密码搜索攻击
在网络中查找密码的方法有很多种,最常见的有密码嗅探和密码解密。嗅探是监听网络通信,截获用户传输给服务器的密码,并记录下来以备使用;解密是指使用暴力攻击,猜测或拦截包含加密密码的文件,并试图解密。此外,攻击者还经常使用一些常用密码直接登录。
第四代防火墙采用一次性密码和禁止这种直接登录防火墙的措施,可以有效防止对密码的攻击。
6.4反网络安全分析
管理者使用网络安全分析工具来分析网络安全。一旦这类工具被用作攻击网络的手段,就可以很方便地检测出内部网络的安全缺陷和弱点。目前可以从网上免费获得sata软件,也可以从市场上购买互联网扫描仪。这些分析工具对网络安全构成了直接威胁。第四代防火墙采用地主转换技术隐藏内部网络,使得网络安全分析工具无法从外部分析内部网络。
6.5反邮件欺诈攻击
邮件欺诈也是一种日益突出的攻击方法。第四代防火墙不接收任何邮件,因此很难通过这种方式对其进行攻击。另外值得一提的是,防火墙不接收邮件,不代表不允许邮件通过。事实上,用户仍然可以收发邮件。内部用户要防止邮件诈骗,最终的解决方案是加密邮件。
7.防火墙技术展望
随着互联网的快速发展,防火墙技术产品的更新步伐必然会加强,全面展望防火墙技术的发展几乎是不可能的。但是从产品和功能上可以看出一些趋势和潮流。以下几点可能是下一步的方向和选择:
1)防火墙将从目前的子网或内网管理模式发展到远程上网的集中管理模式。
2)过滤深度会不断加强,从现在的地址和服务过滤到url(页面)过滤、关键词过滤、activex和java过滤,逐渐会有病毒扫描功能。
3)长期以来,使用防火墙构建私有网络一直是用户的主流。ip加密的需求越来越强烈,安全协议的开发是一个热点。?
4)单向防火墙(也称为网络二极管)将作为一个产品类别出现。?
5)检测网络攻击和各种告警将成为防火墙的重要功能。
6)安全管理工具不断完善,尤其是可移动的日志分析工具,将成为防火墙产品的一部分。?
此外,值得一提的是,随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明、认证和加密功能、运行环境和硬件要求、vpn功能和ca功能、接口数量、成本等方面。