TAG:
|
防火墙是目前主要的网络安全设备。防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。下面,我们将介绍这些手段的工作机理及特点,并介绍一些防火墙的主流产品。 防火墙技术 包过滤 包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。 使用包过滤技术时,要特别注意一般应用的数据通信大多都是双向的,在设置过滤规则时必须予以考虑。 状态检测 与包过滤相类似的、更为有效的安全控制方法是状态检测。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。 此外,部分状态检测型防火墙还支持多种用户认证方式,提供了应用级的安全认证手段,增加了某些应用的代理功能,使得安全控制力度更为细致。 代理服务 代理服务是运行于内部网络与外部网络之间的主机(堡垒主机)之上的一种应用。当用户需要访问代理服务器另一侧主机时,对符合安全规则的连接,代理服务器会代替主机响应,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。对于用户而言,似乎是直接与外部网络相连的,代理服务器对用户透明。由于代理机制完全阻断了内部网络与外部网络的直接联系,保证了内部网络拓扑结构等重要信息被限制在代理网关内侧,不会外泄,从而减少了黑客攻击时所需的必要信息。 代理服务器的应用也受到诸多限制。首先是当一项新的应用加入时,如果代理服务程序不予支持,则此应用不能使用。解决的方法之一是自行编制特定服务的代理服务程序,但工作量大,而且技术水平要求很高,一般的应用单位无法完成。其次是处理性能远不及状态检测高。 防火墙主流产品介绍 目前,防火墙产品也主要分为两大类:基于代理服务方式的和基于状态检测方式的。下面列举一些主流产品,从其各自的特点、功能、处理性能及操作复杂程度等方面进行比较,并将实际使用中遇到的一些问题提出来,供大家借鉴。 Check Point Firewall-1 4.0 Check Point Firewall-1 4.0是基于Unix、WinNT平台上的软件防火墙,属状态检测型,综合性能较为优秀。首先,其安全控制力度很高,尽管是状态检测型防火墙,但是它可以进行基于内容的安全检查,如对URL进行控制;对某些应用,它甚至可以限制可使用的命令,如FTP。其次,它不仅可以基于地址、应用设置过滤规则,而且还提供了多种用户认证机制,如User Authentication、Client Authentication和Session Authentication,使安全控制方式更趋灵活。再次,CheckPoint Firewall-1是一个开放的安全系统,提供了API,用户可以根据需要配置安全检查模块,如病毒检查模块。此外,Check Point Firewall-1还提供了可安装在Bay路由器、Lannet交换机的防火墙模块。 由于Check Point Firewall-1采用的是状态检测方式,因而处理性能也较高,对于10BaseT接口,完全可以达到线速,号称可达80Mbps。需要指出的是Check Point Firewall-1的处理性能相当程度上取决于硬件平台的配置,主要是硬件平台的内存和CPU的处理速度。 除此以外,Check Point Firewall-1的用户管理方式也是非常优秀的。它是集中管理模式,即用户可以通过GUI同防火墙管理模块(Check Point Firewall Management Module)通信,维护安全规则;而防火墙管理模块则负责编译安全规则,并下载到各个防火墙模块中。对于用户而言,管理线条十分清晰,不易疏漏,修改方便。同时,CheckPoint Firewall-1管理界面的功能丰富,不仅可以对AXENT Raptor、CiscoPIX等防火墙进行管理,还可以在管理界面中对Bay、Cisco、3Com等公司的路由器进行ACL设置(要单独购买License,价格很贵)。 Check Point Firewall-1存在的问题主要体现在其底层操作系统对路由的支持(这在后面还会谈到)以及不具备ARP Proxy等方面,特别是后者,在做地址转换(NAT)时,不仅要配置防火墙,还要对操作系统的路由表进行修改,大大增加了NAT配置的复杂程度。 Cisco PIX Cisco PIX是硬件防火墙,也属状态检测型。由于它采用了专用的操作系统,因此减少了黑客利用操作系统BUG攻击的可能性。就性能而言,Cisco PIX是同类产品中最好的,对100BaseT可达线速。因此,对于数据流量要求高的场合,如大型的ISP,应该是首选。 与Check Point防火墙管理模块类似,Cisco公司同样提供了集中式的防火墙管理工具Cisco Security Policy Manager,但在对第三方厂商产品的支持、日志管理、事件管理等方面没有Check Point防火墙管理模块那么强劲。除此之外,还可以通过命令行方式或是基于Web的命令行方式对PIX进行配置,但这种方式不支持集中管理模式,必须对每台设备单独进行配置。而且,配置复杂的过滤规则是相当麻烦的,特别是当需要前插一条安全规则时,后面的所有过滤规则都得先擦除,再重写。 AXENT Raptor 与Check Point Firewall-1和PIX不同,Raptor完全是基于代理技术的软件防火墙,它是代理服务型防火墙中的佼佼者。这主要体现在,相对于其他代理型防火墙而言,可支持的应用类型多;相对于状态检测型防火墙而言,由于所采用的技术手段不同,使得Raptor在安全控制的力度上较上述产品更加细致。 Raptor防火墙甚至可以对NT服务器的读、写操作进行控制,并对SMB(Server Message Block)进行限制。对Oracle数据库,Raptor还可以作为SQL Net的代理,从而对数据库操作提供更好的保护。Raptor防火墙的管理界面也相当简单。 显然,由于Raptor防火墙所采用的技术,决定了其处理性能较前面两种防火墙低。而且,对于用户新增的应用,如果没有相应的代理程序,那么就不可能透过防火墙。在这一点上,不如前两者灵活。 (iwgh) |