2.5.4 拓展实训
1.防火墙概述
古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所,这种墙称为“防火墙”。在网络时代,当一个网络接入Internet以后,它的用户就可以与外部世界相互通信。为安全起见,人们在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障作为扼守本网络的安全和审计的唯一关卡,可以阻断来自外部世界的威胁和入侵,这种中介系统也叫作“防火墙”或“防火墙系统”。
当园区网连接到Internet上时,防止非法入侵、确保园区内部网络的安全至关重要。最有效的防范措施是在园区内部网络和外部网络之间设置一个防火墙,实施网络之间的安全访问控制,以确保园区内部网络的安全。防火墙是一种综合性的技术,它涉及计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织(ISO)的安全规范以及安全操作系统等多方面。防火墙是用一个或一组网络设备(计算机系统或路由器等),在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。它是一种非常有效的网络安全技术。在Internet上,通过它来隔离风险区域(Internet或有一定风险的网络)与安全区域(内部网,如Intranet)的连接,但不妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据,从而完成仅让安全和核准的信息进入,同时又抵制对园区网构成威胁的数据进入的任务,包过滤便是有效的实现方法。
防火墙作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器、限制器和分析器,可以有效监控内部网和Internet之间的任何活动,保证内部网络的安全。防火墙通常是放在外部网络和内部网络之间,以保证内部网络的安全。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,如Intranet等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上,在Internet上的Web网站中,超过三分之一的Web网站都是由某种形式的防火墙加以保护的,这是对黑客防范较严、安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。
2.防火墙的架构与工作方式
防火墙可以使用户的网络规划更加清晰,全面防止跨越权限的数据访问(因为有些人登录后的第一件事就是试图超越权限限制)。如果没有防火墙的话,你可能会接到许许多多类似的报告,如单位内部的财政报告刚刚被数万个E-mail邮件炸烂,或者用户的个人主页被人恶意连接上了Playboy,而报告链接上却指定了另一家色情网站……一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,如协议号、收发报文的IP地址和端口号、连接标志以及另外一些IP选项,对IP包进行过滤。代理服务器本质上是一个应用层的网关,一个为特殊网络应用而连接两个网络的网关。用户就一项TCP/IP应用,如TELNET或者FTP,同代理服务器打交道,代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后,代理服务器连通远程主机,为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的情况是:它只由用户标识和密码构成。但是,如果防火墙是通过Internet可访问的,应推荐用户使用更强的认证机制,如一次性密码或回应式系统等。
屏蔽路由器的最大优点就是架构简单且硬件成本较低,而缺点则是建立包过滤规则比较困难,加之屏蔽路由器的管理成本及用户级身份认证的缺乏等。好在路由器生产商们已经认识到并开始着手解决这些问题,他们正在开发编辑包过滤规则的图形用户界面,制订标准的用户级身份认证协议,以提供远程身份认证拨入用户服务。
代理服务器的优点在于用户级的身份认证、日志记录和账号管理。其缺点关系到这样一个事实:要想提供全面的安全保证,就要对每一项服务都建立对应的应用层网关。这个事实严重地限制了新应用的采纳。
屏蔽路由器和代理服务器通常组合在一起构成混合系统,其中屏蔽路由器主要用来防止IP欺骗攻击。目前采用最广泛的配置是双穴防火墙、被屏蔽主机型防火墙以及被屏蔽子网型防火墙。
通常架设防火墙需要数千甚至上万美元的投入,而且防火墙需要运行于一台独立的计算机上,因此只用一台计算机连入互联网的用户是不必要架设防火墙的,况且这样做即使从成本方面也不太划算。目前来看,防火墙的重点还是用来保护由许多台计算机组成的大型网络,这也是黑客高手们真正感兴趣的地方,防火墙可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理一样,都是监测并过滤所有通向外部网和从外部网传来的信息,防火墙保护着内部敏感的数据不被偷窃和破坏,并记下来通信发生的时间和操作等,新一代的防火墙可阻止内部人员故意将敏感数据传输到外界。当用户将单位内部的局域网连入互联网时,大家肯定不愿意让全世界的人随意翻阅你单位内部人员的工资单、各种文件资料或者是数据库,但即使在单位内部也存在数据攻击的可能性。例如,一些心怀叵测的计算机高手可能会攻击工资表和财务报告。而通过设置防火墙后,管理员就可以限定单位内部员工使用E-mail、浏览WWW以及文件传输,但不允许外界任意访问单位内部的计算机,同时管理员也可以禁止单位中不同部门之间互相访问。在局域网中放置防火墙之后可以阻止来自外界的攻击。而防火墙通常是运行在一台单独的计算机之上的一个特别的软件,它可以识别并屏蔽非法的请示。例如,一台WWW代理服务器,所有的请示都间接地由代理服务器处理,这台服务器不同于普通的代理服务器,它不会直接地处理请示,它会验证请求发出者的身份、请求的目的地和请求内容。如果一切符合要求的话,这个请求会被批准送到真正的WWW服务器上。当真正的WWW服务器处理完这个请求后并不会直接把结果发送给请求者,它会把结果送到代理服务器,代理服务器会按照事先的规定检查这个结果是否违反了安全规定,当这一切都通过后,返回结果才会真正地送到请求者的手里。
3.防火墙的体系结构
(1)屏蔽路由器(screening router):屏蔽路由器可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。屏蔽路由器的缺点是一旦被攻击后很难发现,而且不能识别不同的用户。
(2)双穴主机网关(dual homed gateway):双穴主机网关是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。与屏蔽路由器相比,双穴主机网关堡垒主机的系统软件可用于维护系统日志、硬件复制日志或远程日志。但弱点也比较突出,一旦黑客侵入堡垒主机并使其只具有路由功能,任何网上用户均可以随便访问内部网。
(3)被屏蔽主机网关(screened host gateway):被屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内部网的变化不影响堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者没法登录到它上面,内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。
(4)被屏蔽子网(screened subnet):被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区”DMZ,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。在这种情况下,攻击者必须先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,并且整个过程中不能引发警报。
4.防火墙的发展历程
纵观防火墙产品近年来的发展,可将其分为四个阶段。
(1)第一代防火墙:基于路由器的防火墙。由于多数路由器本身就包含分组过滤功能,故网络访问控制可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。其特点如下。
•利用路由器本身对分组的解析,以访问控制列表方式实现对分组的过滤。
•过滤判决的领导可以是:地址、端口号、IP标识及其他网络特征。
•只有分组过滤功能,而且防火墙与路由器是一体的,对安全要求低的网络采用路由器附带防火墙功能的方法,对安全性要求高的网络则可单独利用一台路由器作为防火墙。
第一代防火墙的不足之处如下。
•本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网络相连,即使在路由器上设置了过滤规则,内部网络的20端口仍可由外部探寻。
•分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及规则的逻辑一致性、作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
•攻击者可“假冒”地址,黑客可以在网络上伪造假的路由信息欺骗防火墙。
•由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
•基于路由器的防火墙只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
(2)第二代防火墙:用户化的防火墙。其特点如下。
•将过滤功能从路由器中独立出来,并加上审计和报警功能。
•针对用户需求,提供模块化的软件包。
•软件可通过网络发送,用户可自己动手构造防火墙。
•与第一代防火墙相比,安全性提高而价格降低了。
•由于是纯软件产品,第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求。
第二代防火墙存在的问题如下。
•配置和维护过程复杂、费时。
•对用户的技术要求高。
•全软件实现、安全性和处理速度均有局限。
•实践表明,使用中出现差错的情况很多。
(3)第三代防火墙:建立在通用操作系统上的防火墙。基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品,近年来在市场上广泛使用的就是这一代产品。其特点如下。
•是批量上市的专用防火墙产品。
•包括分组过滤或借用了路由器的分组过滤功能。
•装有专用的代理系统,监控所有协议的数据和指令。
•保护用户编程空间和用户可配置内核参数的设置。
•安全性和速度大为提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的。但随着安全需求的变化和使用时间的推延,仍表现出不少问题。
•作为基础的操作系统,其内核往往不为防火墙管理者所知,由于原码的保密,其安全性无从保证。
•大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责。
上述问题在基于Windows NT开发的防火墙产品中表现得十分明显。
(4)第四代防火墙:具有安全操作系统的防火墙。由于本身就是一个操作系统,因而在安全性上较第三代防火墙有质的提高。获得安全操作系统的办法有两种:一种是通过许可证方式获得操作系统的源码,另一种是通过国有化操作系统内核来提高可靠性。其特点如下。
•防火墙厂商具有操作系统的源代码,并可实现安全内核。
•加固了安全内核:去掉不必要的系统特性,加上内核特性,强化安全保护。
•对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其他部分构成威胁。
•在功能上包括了分组过滤、应用网关、电路级网关,并具有加密与鉴别功能。透明性好,易于使用。
上述阶段的划分主要以产品为对象,目的在于对防火墙的发展有一个总体的认识。
5.防火墙的结构
目前的防火墙从结构上讲,可分为两种。
(1)应用网关结构:内部网络↔代理网关(proxy gateway)↔Internet。
(2)路由器加过滤器结构:内部网络↔过滤器(filter)↔路由器(router)↔Internet。
总的来讲,应用网关结构的防火墙系统在安全控制的粒度上更加细致,多数基于软件系统,用户界面更加友好,管理控制较为方便;路由器加过滤器结构的防火墙系统多数基于硬件或软硬件结合,速度比较快,但是一般仅控制到第三层和第四层协议,不能细致区分各种不同业务;有一部分防火墙结合了包过滤和应用网关两种功能,形成复合型防火墙。防火墙的具体使用则应该根据企业实际情况加以选择。
6.防火墙的基本类型
如今市场上的防火墙多种多样,有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。总的来说可以分为三种:包过滤防火墙、应用代理(网关)防火墙和基于状态检查的包过滤防火墙。
7.软件防火墙的配置
如图2-15所示,使用WinRoute进行NAT和端口等的控制。
图2-15 WinRoute软件防火墙