论文部分内容阅读
基于状态检查的动态包过滤防火墙
目前,最新的防火墙技术是基于状态检查的,提供“动态包过滤”的功能。在Linux 2.4内核中,被称为netfilter的内核防火墙提供了可扩充的基于状态的动态包过滤(不再是简单的查看TCP的标志位等)功能。基于状态检查的动态包过滤是一种新型的防火墙技术,就像代理防火墙和包过滤路由器的交叉产物。对终端用户来讲,它看起来只工作在网络层,但事实上该防火墙同代理防火墙一样可在应用层检查流经的通信。它能够监视活动连接的状态并根据这些信息决定那些包允许通过防火墙,对通过安全边界的数据流使用虚连接。如果一个响应包产生并返回给源请求者,则虚连接建立并允许该包通过防火墙,该连接终止即断开此虚连接,相当于动态地更改安全规则库。并通过记录会话信息如IP地址和端口号等,能够实现比静态包过滤更高的安全性。
例如,假设你想配置你的防火墙以允许公司内部员工可以向外访问Internet,而只有对这些用户请求的响应才允许进入。若使用静态包过滤,你必须固定地允许所有地址的外部响应,因为内部员工访问的外部站点是随机的。这就给那些把包伪装成响应的攻击者以可乘之机,潜入防火墙。而动态包过滤通过跟踪和匹配请求与响应,能够屏蔽那些与请求不匹配的伪造响应。当一个请求被记录后,动态包过滤就打开一个“小孔”,只允许所需的响应数据进来。当该响应接收到后,这个“孔”就关闭了。
混合型的防火墙是以上提到的各种类型防火墙技术的结合,目前许多商业防火墙都是融合了上述各种技术的。一个好的混合型防火墙具有很大的伸缩性,能够适应不同的需求,但是其配置管理通常也较复杂,价格也较昂贵。
防火墙的体系结构
防火墙的系统结构一般分为三种:双宿主(Dual-homed)方式、屏蔽主机(Screened-host)方式和屏蔽子网(Screened-subnet)方式。
双宿主方式最简单。双宿主网关直接放置在两个网络之间。这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了(图1)。
屏蔽主机方式中的屏蔽路由器为保护堡垒机的安全建立了一道屏障。它将所有进入的信息先送往堡垒机,并且只接受来自堡垒机的数据作为出去的数据。这种结构依赖屏蔽路由器和堡垒机,只要有一个失败,整个网络就暴露在外部。(图2)
屏蔽子网包含两个屏蔽路由器和堡垒机。在公共网络和私有网络之间构成了一个隔离网,称之为“停火区”(DMZ),堡垒机放置在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也最昂贵。(图3)
防火墙的选择
用户购买或配置防火墙,首先要对自身的安全需求做出分析,结合其他相关条件(如成本预算),对防火墙产品进行评估,以审核其是否满足。例如一般的中小企业,其接入Internet的目的一般是为了便于内部用户浏览web,收发e-mail等,同时发布主页。这样的用户选购防火墙主要目的应在于保护内部的(敏感)数据的安全,更为注重安全性,而对服务(协议)的多样性,以及速度等没有特殊要求。建议选用一般的代理型防火墙,具有http、mail等代理即可。
许多大型电子商务企业/网站需要商务信息流通防火墙,此时面向服务的需求分析是十分必要的。假如该组织想在外部网络发布web(将web服务器置于外部),而要保护如数据库或应用服务器(置于防火墙内)。所需的只是传送SQL数据,而且对相应速度有较高要求。建议采用屏蔽路由器,将其配置为只允许外部的web服务器和内部传送SQL数据。当然也可选用某种通用代理或专门支持SQL服务的代理型防火墙,但要注意其成本和性能。
如何评估防火墙是十分复杂的问题,因为用户在这方面有不同的需求,很难给出严格统一的标准。一般说来,防火墙的安全和性能(速度等)是其最主要的指标,而用户接口(管理和配置界面)和审计追踪也不可忽视,然后是功能上的扩展性等。但是用户会发现他们时常面对安全性和性能指标之间的矛盾,通常代理型防火墙具有更高的安全性,但性能要差于屏蔽路由器。这时用户的需求就显得尤为重要,通常作为Internet防火墙,即使以T1(1.544Mbps)或E1(2.048Mbps)接入,防火墙不会成为瓶颈。但是在企业网之间,如100M甚至Gb网络连接时,显然要求很高的性能。用户需要对其需求有全面准确的认识,并据此出发进行选择。
目前,最新的防火墙技术是基于状态检查的,提供“动态包过滤”的功能。在Linux 2.4内核中,被称为netfilter的内核防火墙提供了可扩充的基于状态的动态包过滤(不再是简单的查看TCP的标志位等)功能。基于状态检查的动态包过滤是一种新型的防火墙技术,就像代理防火墙和包过滤路由器的交叉产物。对终端用户来讲,它看起来只工作在网络层,但事实上该防火墙同代理防火墙一样可在应用层检查流经的通信。它能够监视活动连接的状态并根据这些信息决定那些包允许通过防火墙,对通过安全边界的数据流使用虚连接。如果一个响应包产生并返回给源请求者,则虚连接建立并允许该包通过防火墙,该连接终止即断开此虚连接,相当于动态地更改安全规则库。并通过记录会话信息如IP地址和端口号等,能够实现比静态包过滤更高的安全性。
例如,假设你想配置你的防火墙以允许公司内部员工可以向外访问Internet,而只有对这些用户请求的响应才允许进入。若使用静态包过滤,你必须固定地允许所有地址的外部响应,因为内部员工访问的外部站点是随机的。这就给那些把包伪装成响应的攻击者以可乘之机,潜入防火墙。而动态包过滤通过跟踪和匹配请求与响应,能够屏蔽那些与请求不匹配的伪造响应。当一个请求被记录后,动态包过滤就打开一个“小孔”,只允许所需的响应数据进来。当该响应接收到后,这个“孔”就关闭了。
混合型的防火墙是以上提到的各种类型防火墙技术的结合,目前许多商业防火墙都是融合了上述各种技术的。一个好的混合型防火墙具有很大的伸缩性,能够适应不同的需求,但是其配置管理通常也较复杂,价格也较昂贵。
防火墙的体系结构
防火墙的系统结构一般分为三种:双宿主(Dual-homed)方式、屏蔽主机(Screened-host)方式和屏蔽子网(Screened-subnet)方式。
双宿主方式最简单。双宿主网关直接放置在两个网络之间。这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了(图1)。
屏蔽主机方式中的屏蔽路由器为保护堡垒机的安全建立了一道屏障。它将所有进入的信息先送往堡垒机,并且只接受来自堡垒机的数据作为出去的数据。这种结构依赖屏蔽路由器和堡垒机,只要有一个失败,整个网络就暴露在外部。(图2)
屏蔽子网包含两个屏蔽路由器和堡垒机。在公共网络和私有网络之间构成了一个隔离网,称之为“停火区”(DMZ),堡垒机放置在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也最昂贵。(图3)
防火墙的选择
用户购买或配置防火墙,首先要对自身的安全需求做出分析,结合其他相关条件(如成本预算),对防火墙产品进行评估,以审核其是否满足。例如一般的中小企业,其接入Internet的目的一般是为了便于内部用户浏览web,收发e-mail等,同时发布主页。这样的用户选购防火墙主要目的应在于保护内部的(敏感)数据的安全,更为注重安全性,而对服务(协议)的多样性,以及速度等没有特殊要求。建议选用一般的代理型防火墙,具有http、mail等代理即可。
许多大型电子商务企业/网站需要商务信息流通防火墙,此时面向服务的需求分析是十分必要的。假如该组织想在外部网络发布web(将web服务器置于外部),而要保护如数据库或应用服务器(置于防火墙内)。所需的只是传送SQL数据,而且对相应速度有较高要求。建议采用屏蔽路由器,将其配置为只允许外部的web服务器和内部传送SQL数据。当然也可选用某种通用代理或专门支持SQL服务的代理型防火墙,但要注意其成本和性能。
如何评估防火墙是十分复杂的问题,因为用户在这方面有不同的需求,很难给出严格统一的标准。一般说来,防火墙的安全和性能(速度等)是其最主要的指标,而用户接口(管理和配置界面)和审计追踪也不可忽视,然后是功能上的扩展性等。但是用户会发现他们时常面对安全性和性能指标之间的矛盾,通常代理型防火墙具有更高的安全性,但性能要差于屏蔽路由器。这时用户的需求就显得尤为重要,通常作为Internet防火墙,即使以T1(1.544Mbps)或E1(2.048Mbps)接入,防火墙不会成为瓶颈。但是在企业网之间,如100M甚至Gb网络连接时,显然要求很高的性能。用户需要对其需求有全面准确的认识,并据此出发进行选择。