計(jì)算機(jī)使用防火墻技術(shù)防止網(wǎng)絡(luò)攻擊

1、計(jì)算機(jī)使用防火墻技術(shù)防止網(wǎng)絡(luò)攻擊一、目前防網(wǎng)絡(luò)攻擊技術(shù)分析 目前的國內(nèi)外流行的防火墻產(chǎn)品主要分兩大類：基于代理服務(wù)方式和基于狀態(tài)檢測方式的。 以世界著名的Check point 公司為代表的基于Unix、WinNT平臺的軟件防火墻屬于狀態(tài)檢測型，綜合性能較為優(yōu)秀，速度都很快，對用戶很透明。然而包過濾只看這些基本信息只能知道包從哪兒來到哪兒去而不檢查包的內(nèi)容,不知道數(shù)據(jù)包之間的關(guān)系。例如TCP連接是通過TCP頭中ACK位實(shí)現(xiàn)的,在沒有連接的情況下具有ACK位的包也能通過這種過濾。改進(jìn)的狀態(tài)包過濾方式雖然克服了簡單包過濾的缺點(diǎn),通過狀態(tài)表來判斷連接是新創(chuàng)建的還是已經(jīng)存在的連接可以簡化規(guī)則；識別偽裝

2、成已經(jīng)存在連接的虛假連接。然而由于狀態(tài)包過濾只能基于包頭信息的檢查它,不能識別畸形的HTTP連接或者有意的IP重疊,而且它對包內(nèi)容的檢查級別比較低,這是包過濾體制不可克服的問題。 以AXENT Raptor公司為代表的基于應(yīng)用層的代理防火墻可以克服狀態(tài)包過濾的缺陷，對于畸形的包例如IP頭標(biāo)志畸形透明代理防火墻可以不讓其通過，又由于代理防火墻從新建立與客戶端的連接，可以檢查連接狀態(tài)而不是簡單的拷貝這些數(shù)據(jù)，例如假設(shè)對于超長的URL會產(chǎn)生緩沖區(qū)溢出，可以檢查到這個(gè)超長的URL報(bào)錯(cuò)并丟棄它。然而代理防火墻大大降低了防火墻的性能，包括吞吐量、時(shí)延、并發(fā)連接數(shù)等，都大受影響。 網(wǎng)絡(luò)已經(jīng)成為了人類所構(gòu)建的

3、最豐富多彩的虛擬世界，網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和學(xué)習(xí)生活帶來了巨大的改變。我們通過網(wǎng)絡(luò)獲得信息，共享資源。如今， Internet遍布世界任何一個(gè)角落，并且歡迎任何一個(gè)人加入其中，相互溝通，相互交流。隨著網(wǎng)絡(luò)的延伸，安全問題受到人們越來越多的關(guān)注。在網(wǎng)絡(luò)日益復(fù)雜化，多樣化的今天，如何保護(hù)各類網(wǎng)絡(luò)和應(yīng)用的安全，如何保護(hù)信息安全，成為了本文探討的重點(diǎn)。 幾乎所有接觸網(wǎng)絡(luò)的人都知道網(wǎng)絡(luò)中有一些費(fèi)盡心機(jī)闖入他人計(jì)算機(jī)系統(tǒng)的人，他們利用各種網(wǎng)絡(luò)和系統(tǒng)的漏洞，非法獲得未授權(quán)的訪問信息。不幸的是如今攻擊網(wǎng)絡(luò)系統(tǒng)和竊取信息已經(jīng)不需要什么高深的技巧。網(wǎng)絡(luò)中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享

4、。不需要去了解那些攻擊程序是如何運(yùn)行的，只需要簡單的執(zhí)行就可以給網(wǎng)絡(luò)造成巨大的威脅。甚至部分程序不需要人為的參與，非常智能化的掃描和破壞整個(gè)網(wǎng)絡(luò)。這種情況使得近幾年的攻擊頻率和密度顯著增長，給網(wǎng)絡(luò)安全帶來越來越多的安全隱患。 我們可以通過很多網(wǎng)絡(luò)工具，設(shè)備和策略來保護(hù)不可信任的網(wǎng)絡(luò)。其中防火墻是運(yùn)用非常廣泛和效果最好的選擇。它可以防御網(wǎng)絡(luò)中的各種威脅，并且做出及時(shí)的響應(yīng)，將那些危險(xiǎn)的連接和攻擊行為隔絕在外。從而降低網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)。 防火墻的基本功能是對網(wǎng)絡(luò)通信進(jìn)行篩選屏蔽以防止未授權(quán)的訪問進(jìn)出計(jì)算機(jī)網(wǎng)絡(luò)，簡單的概括就是，對網(wǎng)絡(luò)進(jìn)行訪問控制。絕大部分的防火墻都是放置在可信任網(wǎng)絡(luò)（Internal

5、）和不可信任網(wǎng)絡(luò)（Internet）之間。 防火墻一般有三個(gè)特性： A所有的通信都經(jīng)過防火墻 B防火墻只放行經(jīng)過授權(quán)的網(wǎng)絡(luò)流量 C防火墻能經(jīng)受的住對其本身的攻擊 我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖，防火墻可以是一臺有訪問控制策略的路由器（Route+ACL），一臺多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)，服務(wù)器等，被配置成保護(hù)指定網(wǎng)絡(luò)，使其免受來自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。所以一般情況下防火墻都位于網(wǎng)絡(luò)的邊界，例如保護(hù)企業(yè)網(wǎng)絡(luò)的防火墻，將部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上。 為什么要使用防火墻？很多人都會有這個(gè)問題，也有人提出，如果把每個(gè)單獨(dú)的系統(tǒng)配置好，其實(shí)也能經(jīng)受住攻

6、擊。遺憾的是很多系統(tǒng)在缺省情況下都是脆弱的。最顯著的例子就是Windows系統(tǒng)，我們不得不承認(rèn)在Windows 2003以前的時(shí)代， Windows默認(rèn)開放了太多不必要的服務(wù)和端口，共享信息沒有合理配置與審核。如果管理員通過安全部署，包括刪除多余的服務(wù)和組件，嚴(yán)格執(zhí)行NTFS權(quán)限分配，控制系統(tǒng)映射和共享資源的訪問，以及帳戶的加固和審核，補(bǔ)丁的修補(bǔ)等。做好了這些，我們也可以非常自信的說，Windows足夠安全。也可以抵擋住網(wǎng)絡(luò)上肆無忌憚的攻擊。但是致命的一點(diǎn)是，該服務(wù)器系統(tǒng)無法在安全性，可用性和功能上進(jìn)行權(quán)衡和妥協(xié)。 對于此問題我們的回答是：“防火墻只專注做一件事，在已授權(quán)和未授權(quán)通信之間做出決

7、斷。” 如果沒有防火墻，粗略的下個(gè)結(jié)論，就是：整個(gè)網(wǎng)絡(luò)的安全將倚仗該網(wǎng)絡(luò)中所有系統(tǒng)的安全性的平均值。遺憾的是這并不是一個(gè)正確的結(jié)論，真實(shí)的情況比這更糟：整個(gè)網(wǎng)絡(luò)的安全性將被網(wǎng)絡(luò)中最脆弱的部分所嚴(yán)格制約。即非常有名的木桶理論也可以應(yīng)用到網(wǎng)絡(luò)安全中來。沒有人可以保證網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)每個(gè)服務(wù)都永遠(yuǎn)運(yùn)行在最佳狀態(tài)。網(wǎng)絡(luò)越龐大，把網(wǎng)絡(luò)中所有主機(jī)維護(hù)至同樣高的安全水平就越復(fù)雜，將會耗費(fèi)大量的人力和時(shí)間。整體的安全響應(yīng)速度將不可忍受，最終導(dǎo)致網(wǎng)絡(luò)安全框架的崩潰。 防火墻成為了與不可信任網(wǎng)絡(luò)進(jìn)行聯(lián)絡(luò)的唯一紐帶，我們通過部署防火墻，就可以通過關(guān)注防火墻的安全來保護(hù)其內(nèi)部的網(wǎng)絡(luò)安全。并且所有的通信流量都通過防火墻進(jìn)

8、行審記和保存，對于網(wǎng)絡(luò)安全犯罪的調(diào)查取證提供了依據(jù)?？傊?，防火墻減輕了網(wǎng)絡(luò)和系統(tǒng)被用于非法和惡意目的的風(fēng)險(xiǎn)。 對于企業(yè)來說，防火墻將保護(hù)以下三個(gè)主要方面的風(fēng)險(xiǎn)： A機(jī)密性的風(fēng)險(xiǎn) B數(shù)據(jù)完整性的風(fēng)險(xiǎn) C用性的風(fēng)險(xiǎn) 我們討論的防火墻主要是部署在網(wǎng)絡(luò)的邊界（Network Perimeter），這個(gè)概念主要是指一個(gè)本地網(wǎng)絡(luò)的整個(gè)邊界，表面看起來，似乎邊界的定義很簡單，但是隨著虛擬專用網(wǎng)絡(luò)（VPN）的出現(xiàn)，邊界這個(gè)概念在通過VPN拓展的網(wǎng)絡(luò)中變的非常模糊了。在這種情況下，我們需要考慮的不僅僅是來自外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的威脅，也包含了遠(yuǎn)程VPN客戶端的安全。因?yàn)檫h(yuǎn)程VPN客戶端的安全將直接影響到整個(gè)防御體

9、系的安全。 防火墻的主要優(yōu)點(diǎn)如下： A防火墻可以通過執(zhí)行訪問控制策略而保護(hù)整個(gè)網(wǎng)絡(luò)的安全，并且可以將通信約束在一個(gè)可管理和可靠性高的范圍之內(nèi)。 B防火墻可以用于限制對某些特殊服務(wù)的訪問。 C防火墻功能單一，不需要在安全性，可用性和功能上做取舍。 D防火墻有審記和報(bào)警功能，有足夠的日志空間和記錄功能，可以延長安全響應(yīng)的周期。 同樣的，防火墻也有許多弱點(diǎn)： A不能防御已經(jīng)授權(quán)的訪問,以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊. B不能防御合法用戶惡意的攻擊.以及社交攻擊等非預(yù)期的威脅. C不能修復(fù)脆弱的管理措施和存在問題的安全策略 D不能防御不經(jīng)過防火墻的攻擊和威脅 現(xiàn)代企業(yè)對網(wǎng)絡(luò)依賴主要來自于運(yùn)行在網(wǎng)絡(luò)上的

10、各種應(yīng)用，同樣的，網(wǎng)絡(luò)的范圍也覆蓋到整個(gè)企業(yè)的運(yùn)營區(qū)域。我們將分析一個(gè)典型的企業(yè)網(wǎng)絡(luò)，從結(jié)構(gòu)，應(yīng)用，管理，以及安全這幾個(gè)層次來探討一下對企業(yè)來說，如何去實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全。 在開始之前，我們首先必須面對一個(gè)事實(shí)，絕對的安全是沒有的。我們所能做的，是減少企業(yè)所面臨的安全風(fēng)險(xiǎn)，延長安全的穩(wěn)定周期，縮短消除威脅的反映時(shí)間。網(wǎng)管與安全人員需要解決的是來自內(nèi)部和外部的混合威脅，是蓄意或無意的攻擊和破壞，是需要提高整體安全防范意識與科學(xué)的協(xié)調(diào)和管理。客觀的去分析現(xiàn)今的企業(yè)網(wǎng)絡(luò)，我們不難發(fā)現(xiàn)，在經(jīng)歷了普及終端和網(wǎng)絡(luò)互聯(lián)的時(shí)代后，我們面對的問題還有很多，如客戶端的非法操作，對網(wǎng)絡(luò)的不合法的訪問與利用；網(wǎng)絡(luò)結(jié)構(gòu)

11、的設(shè)計(jì)缺陷與混雜的部署環(huán)境；網(wǎng)絡(luò)邊界與關(guān)鍵應(yīng)用的區(qū)域缺乏必要的防御措施和審記系統(tǒng)等等。下面我們來逐一分析，并提供相應(yīng)的產(chǎn)品解決方案與安全建議。 首先是網(wǎng)絡(luò)內(nèi)部，即面向企業(yè)內(nèi)部員工的工作站，我們不能保證用戶每一次操作都是正確與安全的，絕大情況下，他們僅知道如何去使用面前的計(jì)算機(jī)來完成屬于自己的本職工作。而對于其他，比如病毒，木馬，間諜程序，惡意腳本，往往通過內(nèi)部網(wǎng)絡(luò)中某一臺工作站的誤操作而進(jìn)入到網(wǎng)絡(luò)并且迅速的蔓延。如訪問非法網(wǎng)站，下載或運(yùn)行不可信程序，使用移動設(shè)備復(fù)制帶有病毒的文件等看似平常的操作。由于如今流行的操作系統(tǒng)存在大量的漏洞與缺陷，并且新的漏洞與利用各種漏洞的蠕蟲變種層出不窮，網(wǎng)絡(luò)的迅速發(fā)展，也給這類威脅提供高速繁殖的媒介。特別是企業(yè)內(nèi)部擁有高速的網(wǎng)絡(luò)環(huán)境，給各種威脅的擴(kuò)散與轉(zhuǎn)移提供了可能?，F(xiàn)在人們都通過安裝防病毒軟件來防御病毒的威脅，但是面對蠕蟲和木馬程序，后門程序等，防病毒并不能起到很顯著的效果，例如蠕蟲病毒，一般都是利用操作系