論防火墻技術設計策略

張 寧

古時候,人們常在寓所之間砌起一道磚墻,一旦火災發生它能夠防止火勢蔓延到別的寓所。自然,此種磚墻因此而得名“防火墻”。現在,如果一個網絡接入到Internet上,在與外界進行通信時,勢必也會存在著“火災發生”的可能。如何確保網絡安全?作為網絡安全產品中的防火墻技術,是目前最為成熟的技術。

一、防火墻設計首要、重點問題

防火墻的自我保護能力(安全性)是設計時的首要、重點問題。

1.專用服務器端口

為降低設計上的難度,通過在防火墻上增設專用服務器端口,來與主機進行連接。除專用服務器外,防火墻不接受任何其他端口的直接訪問。由于管道通信是單獨的通道,所以不管是內網主機還是外網主機都無法竊聽到該通信,顯然是很安全的。

2.透明應用代理

提供對高層應用服務。管理員在防火墻產品上配置相關規則,這些配置對用戶來說完全是透明的。用戶訪問Web、FTP等服務時,自由進行代理轉發,外部網絡不能通過代理主動訪問內部網絡,從而有效保證了內部網絡的安全。

二、防火墻體系結構構建

常見的幾種構建方式分析如下:

1.雙宿主機

雙宿主機將內外網絡隔離,防火墻內部的網絡系統與外部的網絡系統都與雙宿主機通信。這樣,內外網絡之間的IP數據流是完全切斷的,只有入侵者得到雙宿主機的訪問權,才會侵入內部網絡。所以為了保證內部網安全,雙宿主機應禁止網絡層的路由功能,避免防火墻上過多的用戶賬號。

2.屏蔽主機

主機與內部網相連,使用一臺單獨的過濾路由器強迫所有到達路由器的數據包被發送到被屏蔽主機,任何試圖訪問內部系統或服務器的外部系統都須與此主機相連。過濾路由器能否正確配置是這種防火墻結構安全的關鍵,因此過濾路由器中的路由表應嚴加保護。

3.屏蔽子網

在以上基礎上,增加一個DMZ(隔離區),進一步將內網與外網隔開。采取兩個過濾路由器,攻擊者就算攻入了主機,還得通過內部路由器。所以原則上說,此種方式的網絡是安全的。

三、應對常見攻擊方式的策略

1.病毒

盡管某些防火墻產品提供了在數據包通過時進行病毒掃描的功能,但仍然很難將所有的病毒(或特洛伊木馬程序)阻止在網絡外面,黑客很容易欺騙用戶下載一個程序從而讓惡意代碼進入內部網。

策略:設定安全等級,嚴格阻止系統在未經安全檢測的情況下執行下載程序;或者通過常用的基于主機的安全方法來保護網絡。

2.口令字

對口令字的攻擊方式有兩種:窮舉和嗅探。窮舉針對來自外部網絡的攻擊,來猜測防火墻管理的口令字。嗅探針對內部網絡的攻擊,通過監測網絡獲取主機給防火墻的口令字。

策略:設計主機與防火墻通過單獨接口通信(即專用服務器端口)、采用一次性口令或禁止直接登錄防火墻。

3.郵件

在這種攻擊中,垃圾郵件制造者將一條消息復制成成千上萬份,并按一個巨大的電子郵件地址清單發送這條信息,當用戶不經意打開郵件時,惡意代碼即可進入。

策略:打開防火墻上的過濾功能,在內網主機上采取相應阻止措施。

4.IP地址

黑客利用一個類似于內部網絡的IP地址,以“逃過”服務器檢測,從而進入內部網達到攻擊的目的。

策略:通過打開內核rp_filter功能,丟棄所有來自網絡外部但卻有內部地址的數據包;同時將特定IP地址與MAC綁定,只有擁有相應MAC地址的用戶才能使用被綁定的IP地址進行網絡訪問。

四、基本決策

1.方案選擇

市場上的防火墻大致有軟件防火墻和硬件防火墻兩大類。軟件防火墻需運行在一臺標準的主機設備上,依托網絡在操作系統上實現防火墻的各種功能,因此也稱“個人”防火墻,其功能有限,基本上能滿足單個用戶。硬件防火墻則是把硬件和軟件都單獨設計,并集成在一起,運行于自己專用的系統平臺上。由于硬件防火墻集合了軟件方面的功能,因此更為強大,目前已普遍使用。

2.結構透明

防火墻的透明性是指防火墻對于用戶是透明的。以網橋的方式將防火墻接入網絡,網絡和用戶無需做任何設置和改動,也根本意識不到防火墻的存在。用戶根據自己企業的網絡規模,以及安全策略來選擇合適的防火墻的構造結構,如果經濟實力雄厚,可采用屏蔽子網的拓撲結構。

3.堅持策略

①管理主機與防火墻專用服務器端口連接,形成單獨管理通道,防止來自內外部的攻擊。

②使用FTP、News等服務代理,以提供高水平的審計和潛在的安全性。

③支持“除非明確允許,否則就禁止”的安全防范原則。

④確定可接受的風險水平。

4.實施措施

好的防火墻產品應向使用者提供完整的安全檢查功能,應有完善及時的售后服務。但一個安全的網絡仍必須靠使用者的觀察與改進,企業要達到真正的安全仍需內部的網絡管理者不斷記錄、追蹤、改進,定期對防火墻和相應操作系統用補丁程序進行升級。

以上從防火墻所具有的功能出發,分別介紹了防火墻技術在設計時的重點問題、防火墻體系結構的構建、常見攻擊方式的防范及基本設計決策。全文在分析的基礎上給出了具體的解決方法,企業在設計過程中應根據自身條件出發,選擇最優的策略。

作者單位:廣東省佛山市高級技工學校(西校區)