随着计算机技术应用的普及,各个组织机构的运行越来越依赖和离不开计算机,各种业务的运行架构于现代化的网络环境中。企业计算机系统作为信息化程度较高、计算机网络应用情况比较先进的一个特殊系统,其业务也同样地越来越依赖于计算机。保证业务系统和工作的正常、可靠和安全地进行是信息系统工作的一个重要话题。但是由于计算机系统的安全威胁,给组织机构带来了重大的经济损失,这种损失可分为直接损失和间接损失:直接损失是由此而带来的经济损失,间接损失是由于安全而导致工作效率降低、机密情报数据泄露、系统不正常、修复系统而导致工作无法进行等。间接损失往往是很难以数字来衡量的。在所有计算机安全威胁中,外部入侵和非法访问是最为严重的事。
一、防火墙概念
Internet的迅速发展提供了发布信息和检索信息的场所,但也带来了信息污染和信息破坏的危险, 人们为了保护其数据和资源的安全,部署了防火墙。防火墙本质上是一种保护装置,它保护数据、资源和用户的声誉。
防火墙原是设计用来防止火灾从建筑物的一部分传播到另一部分的设施。从理论上讲,Internet防火墙服务也有类似目的,它防止Internet(或外部网络)上的危险(病毒、资源盗用等)传播到网络内部。Internet(或外部网络)防火墙服务于多个目的:
1、限制人们从一个特别的控制点进入;
2、防止入侵者接近你的其它防御设施;
3、限定人们从一个特别的点离开;
4、有效地阻止破坏者对你的计算机系统进行破坏。
防火墙常常被安装在内部网络连接到因特网(或外部网络)的节点上。
(一)防火墙的优点
1、防火墙能够强化安全策略
因为网络上每天都有上百万人在收集信息、交换信息,不可避免地会出现个别品德不良,或违反规则的人,防火墙就是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。
2、防火墙能有效地记录网络上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用于收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
3、防火墙限制暴露用户点
防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播。
4、防火墙是一个安全策略的检查站
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
(二)防火墙的不足
防火墙的缺点主要表现在以下几个方面。
1、不能防范恶意的知情者
防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户可以偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁,只能要求加强内部管理,如主机安全和用户教育等。
2、不能防范不通过它的连接
防火墙能够有效地防止通过它的传输信息,然而它却不能防止不通过它而传输的信息。例如,如果站点允许对
防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。
3、不能防备全部的威胁
防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,就可以防备新的威胁,但没有一扇防火墙能自动防御所有新的威胁。
4、防火墙不能防范病毒
防火墙一般不能消除网络上的病毒。
二、防火墙技术
一提到网络安全人们首先想到的是防火墙。防火墙系统针对的是来自系统外部的攻击,一旦外部入侵者进入了系统,他们便不受任何阻挡。认证手段也与此类似,一旦入侵者骗过了认证系统,便成为了内部人员。
防火墙的基本类型有:包过滤型、代理服务型和状态包过滤型复合型。
(一)包过滤型防火墙
包过滤(Packet Filter)通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。包过滤是一种保安机制,它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。
网络中的应用虽然很多,但其最终的传输单位都是以数据包的形式出现,这种做法主要是因为网络要为多个系统提供共享服务。例如,文件传输时,必须将文件分割为小的数据包,每个数据包单独传输。每个数据包中除了包含所要传输的数据(内容),还包括源地址、目标地址等。
数据包是通过互联网络中的路由器,从源网络到达目的网络的。路由器接收到的数据包就知道了该包要去往何处,然后路由器查询自身的路由表,若有去往目的的路由,则将该包发送到下一个路由器或直接发往下一个网段;否则,将该包丢掉。与路由器不同的是,包过滤防火墙,除了判断是否有到达目的网段的路由之外,还要根据一组包过滤规则决定是否将包转发出去。
1、工作机制
包过滤技术可以允许或禁止某些包在网络上传递,它依据的是以下的判断:
对包的目的地址作出判断
对包的源地址作出判断
对包的传送协议(端口号)作出判断
一般地,在进行包过滤判断时不关心包的具体内容。包过滤只能让我们进行类似以下情况的操作,比如:不让任何工作站从外部网用Telnet登录、允许任何工作站使用SMTP往内部网发电子邮件。
但包过滤不能允许我们进行如下的操作,如:允许用户使用FTP,同时还限制用户只可读取文件不可写入文件、允许某个用户使用Telnet登录而不允许其他用户进行这种操作。
包过滤系统处于网络的IP层和TCP层,而不是应用层,所以它无法在应用层的具体操作进行任何过滤。以FTP为例,FTP文件传输协议应用中包含许多具体的操作,如读取操作、写入操作、删除操作等。再有,包过滤系统不能识别数据包中的用户信息。
2、性能特点
因为包过滤防火墙工作在IP和TCP层,所以处理包的速度要比代理服务型防火墙快
提供透明的服务,用户不用改变客户端程序
因为只涉及到TCP层,所以与代理服务型防火墙相比,它提供的安全级别很低
不支持用户认证,包中只有来自哪台机器的信息却不包含来自哪个用户的信息
不提供日志功能
包过滤防火墙的典型代表是早期的CISCO PIX防火墙。
(二)代理服务型防火墙
代理服务(Proxy Service)系统一般安装并运行在双宿主机上。双宿主机是一个被取消
路由功能的主机,与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。这与包过滤防火墙明显不同,就逻辑拓扑而言,代理服务型防火墙要比包过滤型更安全。
由于内部网络和外部网络在网络层是断开的,所以要实现内外网络之间的应用通讯就必须在网络层之上。代理系统是工作在应用层,代理系统是客户机和真实服务器之间的中介,代理系统完全控制客户机和真实服务器之间的流量,并对流量情况加以记录。目前,代理服务型防火墙产品一般还都包括有包过滤功能。
1、工作机制
代理服务型防火墙按如下标准步骤对接收的数据包进行处理:
接收数据包
检查源地址和目标地址
检查请求类型
调用相应的程序
对请求进行处理
下面,我们以一个外部网络的用户通过Telnet访问内部网络中的主机为例,详细介绍这些标准步骤。
接收数据包
外部网络的路由器将外部网络主机对内部网络资源的请求路由至防火墙的外部网卡。同样,内部网络中的主机通过内部网络中的路由选择信息将对外部网络资源的请求路由至防火墙的内部网卡。
在本例中,当外部网络用户通过Telnet请求对内部网络中的主机进行访问时,路由信息将该请求传送至防火墙的外部网卡上。
检查源地址和目标地址
一旦防火墙接收到数据包,它必须确定如何处理该数据包。首先,防火墙检查数据包中的源地址并确定该包是由哪块网卡接收的。这样做是为了确定数据包是否有IP地址欺骗的行为,例如,如果发现从外部网卡接收的一个数据包中的源地址属于内部网络的地址范围,则表明这是地址欺骗行为,防火墙将拒绝继续对该包进行处理并将此事件记录到日志中。
接下来,防火墙对包中的目标地址进行检查并确定是否需要对该包做进一步处理。这一点与包过滤类似,即检查是否允许对目标地址进行访问。
本例中,Telnet的目标地址是内部网络的某台主机,防火墙是通过外部网卡收到该Telnet请求的,且发现请求包中没有地址欺骗行为,防火墙接收了该数据包。
检查请求类型
防火墙检查数据包的内容(请求的服务端口号)并对照防火墙中已配置好的各种规则,以便确定是否向数据包提供相应的服务。如果防火墙对所请求的端口号不提供服务,则将这一企图作为潜在的威胁记录下来并拒绝该请求。
本例中,数据包的内容表明请求服务是Telnet,即请求端口号为23且防火墙的配置规则是支持这类请求的服务。
调用相应的程序
由于防火墙对所请求的服务提供支持,所以防火墙利用其他配置信息将该服务请求传送至相应的代理服务。
本例中,防火墙将Telnet请求传送给Telnet代理进行处理。
对请求进行处理
现在代理服务以目的主机的身份并采用与应用请求相同的协议对请求进行响应。应用请求方认为它是与目标主机进行对话。
然后,代理服务通过另一块网卡以自己真实的身份代替客户方,向目标主机发送应用请求。如果应用请求成功,则表明客户端至目标主机之间的应用连接成功地建立了。注意,与包过滤防火墙不同,代理服务型
防火墙是通过两次连接实现客户机至目标主机之间的连接的,即客户机至防火墙、防火墙至目标主机。
另外,通过对防火墙进行适当的配置,可以在防火墙替客户机向目标主机发送应用请求之前对客户方进行身份验证。验证方法包括SecureID、S/Key、RADIUS等。
本例中,客户方现与防火墙建立Telnet连接,然后防火墙立即向客户方发出身份验证要求。若验证通过,则防火墙替客户方向目标主机发送应用请求;否则,防火墙断开它与客户方已建立的连接。
2、性能特点
提供的安全级别高于包过滤型防火墙
代理服务型防火墙可以配置成唯一的可被外部看见的主机以保护内部主机免受外部攻击
可以强制执行用户认证
代理工作在客户机和真实服务器之间,完全控制会话,所以能提供较详细的审计日志
代理的速度比包过滤慢
代理服务型防火墙中的佼佼者AXENT Raptor完全是基于代理技术的软件防火墙。
随着因特网络技术的发展,不论在速度上还是在安全上都要求防火墙技术也要更新发展,基于上下文的动态包过滤防火墙就是对传统的包过滤型和代理服务型防火墙进行了技术更新。
(三)状态包过滤型防火墙
为了克服包过滤模式明显的安全性不足的问题, 一些包过滤型防火墙厂商推出了状态包过滤的概念。在包过滤技术的基础上,通过基于上下文的动态包过滤模块检查,增强了安全性检查。它不再只是分别对每个进来的包简单地就地址进行检查,动态包过滤型防火墙在网络层截获进来的包,直到足够的数量,以便能够确定此试图连接的有关“状态”。然后用防火墙系统内核中“专用的检查模块”对这些包进行检查。安全决策所需的相关状态信息经过这个“专用的检查模块”检查之后,记录在动态状态表中,以便对其后的数据包通讯进行安全评估。经过检查的包穿过防火墙,在内部与外部系统之间建立直接的联系。
尽管基于上下文的状态包过滤检查的方法明显地提高了安全性,但它仍然无法与应用层代理防火墙相比。动态包过滤防火墙的典型代表是CHECKPOINT FIREWAL-1防火墙。下图显示的是基于上下文的动态包过滤防火墙的逻辑结构。
TCP/IP的灵活设计和Internet的普遍应用为网络黑客技术的发展提供了基础,黑客技术很容易被别有用心或喜欢炫耀的人们掌握,由此黑客数量剧增。加之网络连接点多面广,客观上为黑客的入侵提供了较多的切入点。企业计算机网络中内部网上的信息有许多是属于机密数据,一旦被不怀好意的黑客窃取或被竞争对手得到,都将带来难以估量的损失。为了使信息系统在保障安全的基础上被正常访问,需要一定的设备来对系统实施保护,保证只有合法的用户才可以访问系统。就目前看,能够实现这种需求的性能价格比最优的设备就是防火墙。
本着经济、高效的原则,有必要将内部网和外部不信任网络、内部网络中主要的应用服务器和内部其它网段用防火墙隔离保护,以实现对内部网以及主机系统的访问控制和边界安全的集中管理。
四、防火墙方案具体实现
(一)产品选型原则
在进行防火墙产品选型时,除了必须遵循网络安全体系设计原则外,还要求防火墙至少应包含以下功能:
1、访问控制:通过对特定网段和特定服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前;
2、攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时地检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等);
3、加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息;
4、身份认证:良好的认证体系可防止攻击者假冒合法用户;
5、多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标;
6、隐藏内部信息:使攻击者不能了解系统内的基本情况;
7、安全监控中心:为信息系统提供安全体系管理、监控,保护及紧急情况服务。
在实际的网络中,保障网络安全与提供高效灵活的网络服务是矛盾的。从网络服务的可用性、灵活性和网络性能考虑,网络结构和技术实现应该尽可能简捷,不引入额外的控制因素和资源开销。但从网络安全保障考虑,则要求对网络系统提供服务的种类、时间、对象、地点甚至内容有尽可能多的了解和控制能力,实现这样附加的安全功能不可避免地要耗费有限的网络资源或限制网络资源的使用,从而对网络系统的性能、服务的使用方式和范围产生显著影响。此外,保障网络安全常常还涉及到额外的硬件、软件投入及网络运行管理中的额外投入,由此可见,保障网络的安全是有代价的。对安全性的追求可以是无限的,但费用也会随之增长。以防火墙建立一套安全系统,可充分兼顾以下因素:
1、安全性与方便
一般来说,网络使用的方便性会因采用了网络安全措施而降低。防火墙无论从安装、配置到策略调整都在同一个GUI界面下完成,管理十分方便快捷,网络管理员的额外工作强度很小。此外,防火墙内外网卡透明设置也极大地方便了内部用户,内部工作站(包括服务器)不必增加任何额外的配置。
2、安全性与性能
对网络来说,安全措施是靠网络资源来完成的,它或者是占用主机CPU和内存,或者是占用网络带宽,或者是增加信息处理的过程,所有这些都可以导致整体性能降低防火墙拥有独特的状态包过滤技术,在安全性和速度之间可以自动找到理想的平衡点。
3、安全性与成本
采用网络安全措施或建立网络安全系统都会增加额外的成本,这里包括购买硬件、软件的花费,系统设计和实施费用,管理和维护安全系统的费用。
(二)防火墙具体实现
1、部署边界防火墙
设置边界防火墙的正确位置应该在内部网络与外部网络之间。防火墙设置在此位置上,防火墙的内外网卡分属于内部和外部网段。内部网络和外部网络被完全隔离开,所有来自外部网络的服务请求只能到达防火墙,防火墙对收到的数据包进行分析后将合法的请求传送给相应的服务主机,对于非法访问加以拒绝。内部网络的情况对于外部网络的用户来说是完全不可见的。由于防火墙是内部网络和外部网络的唯一通讯信道,因此防火墙可以对所有针对内部网络的访问进行详细的记录,形成完整的日志文件。防火墙要保护的网络与外部网络应该只有唯一的连接通路,如果防火墙后还有其它通路,防火墙将被短路,无法完成保护内部网络的工作。如果内部网络有多个外部连接,就应该在每个入口处都放置防火墙。
设置边界防火墙,我们可以有效的防范来自外部网络的攻击。设置防火墙后内部网与外部网进行了有效的隔离,所有来自外部网络的访问请求都要通过防火墙的检查,安全有了很大的提高。
边界防火墙可以完成以下具体任务:
通过源地址过滤,拒绝外部非法IP地址,有效的避免了外部网络上与业务无关的主机的越权访问防火墙可以只保留有用的服务,将其他不需要的服务关闭,可将系统受攻击的可能性降低到最小限度,使黑客无机可乘边界防火墙可以制定访问策略,只有被授权的外部主机可以访问内部网络的有限的IP地址,保证外部网络只能访问内部网络中必要的资源,与业务无关的操作将被拒绝由于外部网络对DMZ区主机的所有访问都要经过防火墙,防火墙可以全面监视外部网络对内部网络的访问活动,并进行详细的记录,通过分析可以得出可疑的攻击行为对于远程登录的用户,如telnet等,防火墙利用加强的认证功能,可以有效的防止非法入侵安装了边界防火墙后,网络的安全策略由防火墙集中管理,因此黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的边界防火墙可以进行地址转换工作,外部网络不能看到内部网络的结构,使黑客攻击失去目标以上的内容充分说明,企业的计算机网络安装了边界防火墙后,可以实现内部网络与外部网络的有效隔离,防止来自外部网络的非法攻击。同时,保证了DMZ区服务器的相对安全性和使用便利性。
2、部署内部防火墙
企业的计算机网络是一个多层次、多节点、多业务的网络,各节点间的信任程度较低,但由于业务的需要,各节点和服务器群之间又要频繁的交换数据。通过在服务器群的入口处设置内部防火墙,可以制定完善的安全策略,有效的控制内部网络的访问,具体可以实现以下功能:
内部防火墙可以精确制定每个用户的访问权限,保证内部网络用户只能访问必要的资源对于拨号备份线路的连接,通过强大的认证功能,实现对远程用户的管理内部防火墙可以记录网段间的访问信息,及时发现误操作和来自内部网络其他网段的攻击行为防火墙通过安全策略的集中管理,每个网段上的主机不必再单独设立安全策略,降低人为因素导致的网络安全问题。
综上所述,企业计算机网络中设置防火墙后,一方面可以有效地防范来自外部网络的攻击行为,另一方面可以为内部网络制定完善的安全访问策略,从而使得整个企业网络具有较高的安全级别。
五、防火墙方案特点
一个优秀的网络安全保障系统必须建立在对网络安全需求与环境的客观分析评估基础上,在网络的应用性能及价格和安全保障需求之间确定一个“最佳平衡点”,使得网络安全保障引入的额外开销与它所带来的效益相当。根据企业计算机网络的具体特点,我们建议采用的防火墙安全系统具有以下几个特点:
1、设备费用比较低廉
这主要包括,无须购入成套的安全设备,主要利用软件而非硬件来实现安全,比如说软件型的防火墙,使用费用比较低廉的共享版本或者免费版本的软件。
2、人员费用相对较低
无须聘请国外专业的安全公司来参与企业内部网的建设,但是可以聘请一到两个对于安全规划和实施较有经验的国内专业安全公司定企业内部网的规划,同时系统的安全性维护主要由内部技术人员兼职完成。
3、统一部署安全策略
即在安全专家的指导下,建立统一安全制度,消灭一般由于系统配置不当造成的明显安全漏洞。
4、良好的升级扩展性
一套相对安全的安全系统并不意味着永远保持“相对的安全性”,当企业的关键性业务发展到某个程度时,或许需要提高企业内部网的安全性能,这就要求原先的系统具有良好的可扩展性。这主要体现在,可以通过适当地追加投资大幅度增加企业内部网络的安全性能。但安全系统的基本模式不发生巨大变化,以免导致管理上的困难。