书城建筑智能建筑中办公与通信自动化系统设计与应用
48577000000053

第53章 办公自动化系统的安全与保密(4)

通常架设防火墙需要数千甚至上万美元的投入,而且防火墙需要运行于一台独立的计算机上,因此只用一台计算机连入互联网的用户是不必要架设防火墙的,况且这样做即使从成本方面讲也太不划算。所以,防火墙的重点还是用来保护由许多台计算机组成的大型网络,这也是黑客高手们真正感兴趣的地方。防火墙可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理是一样,都是监测并过滤所有通向外部网和从外部网传来的信息,防火墙保护着内部敏感的数据不被偷窃和破坏,并记下来通讯发生的时间和操作等等,新一代的防火墙可以阻止内部人员故意将敏感数据传输到外界。防火墙运行在一台单独的计算机之上的一个特别的软件,它可以识别并屏蔽非法的请求。例如一台代理服务器,所有的请求都间接地由代理服务器处理,这台服务器不同于普通的代理服务器,它不会直接地处理请求,它会验证请求发出者的身份、请求的目的地和请求内容。如果一切符合要求的话,这个请求会被批准送到真正的服务器上。当真正的服务器处理完这个请求后并不会直接把结果发送给请求者,它会把结果送到代理服务器,代理服务器会按照事先的规定检查这个结果是否违反了安全规定,当这一切都通过后,返回结果才会真正地送到请求者的手里。

防火墙的结构分为3种类型:

1)双宿主机结构。该结构围绕着至少具有两个接口的双宿主机而构成。双宿主机一个接口接内部网络,另一个接口接外部网络。双宿主机内外的网络可与该主机实施通信,而内外部网络之间不能直接通信。

2)主机过滤结构。该结构提供能安全保护的主机仅与内部网络相连,过滤路由器位于外部网与内部网之间。

3)子网过滤结构。子网过滤结构是在主机过滤结构中再增加一层参数网络的安全机制,使得内部网与外部网之间有两层隔断。由参数网络的内、外部路由器分别连接内部网络与外部网络。

5.防火墙的主要技术

1)包过滤(Packet Filter)技术

它是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的TCP端口与TCP链路状态等因素来确定是否允许数据包通过。包过滤技术作为防火墙的应用有三类:一是路由设备在完成路由选择的数据转发之外,同时进行包过滤,这是目前较常用的方式;二是在工作站上使用软件进行包过滤,但是价格较贵;三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。近来有些厂商如3Com开始通过软件实现对非法数据包的登录和报告,但是启动这种功能对路由器的性能影响较大。

2)应用网关(Application Gateway)技术

它是建立在网络应用层上的协议过滤.它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取.在实际工作中,应用网关一般由专用工作站系统来完成。

代理服务(Proxy Server)技术

它是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过,一旦判断条件满足,防火墙内部网络的结构和运行状态便“暴露”在外来用户面前,这就引入了代理服务的概念,即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现,这就成功地实现了防火墙内外计算机系统的隔离。同时,代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件(如工作站)来承担。

6.网络级防火墙

网络级防火墙是在OSI模型的第三层实现的,访问控制列表决定IP包或者穿过路由器或者不穿过,这依赖于访问控制列表中的条件设置。例如,可将包过滤型路由器配置成禁止外部网络用户使用。包过滤路由器用来处理每个数据包,并根据包过滤原则决定是否允许其进入内部网。包过滤规则是分析数据包的包头,包头信息包括IP源地址、IP目的地址、内装协议(ICP、UDP、ICMP或IPTUNNEL)、TCP/UDP目标端口、ICMP消息类。如果一个数据包预制规则匹配解允许该数据包,则就会按照路由表中的信息转发;如果匹配解拒绝该数据包,则该数据包将被丢弃;如果没有匹配,则按用户缺省设置。

1)网络级防火墙的优点

(1)它价格便宜,构件只有包过滤路由器。

(2)访问Internet一般由WAN接口提供,因此在流量始终并定义较少过滤器规则时对路由器性能几乎没有影响。

(3)包过滤路由器对用户和应用是透明的,无需对用户进行培训,也不必在每台主机上安装特定的软件。

(4)信息过滤决定数据包(分离的信息单元)能否通过,通常从一个网络或一个网段发送到另一个网络或网段进行过滤,最常用的地方是在专用网络与INTERNET之间。包过滤可在路由器中进行(这种路由器常被称为过滤路由器)或在具有特殊软件的单个主机系统中进行。这两种形式被认为是某种形式的防火墙。防火墙是一种让其后面的局域网能安全运行的计算机系统。

(5)包过滤可根据以下几方面信息进行:数据包的源地址;数据包的目标地址;源端口号;目标端口号。还可根据数据包是否要建立一个数据加以过滤。

(6)在路由器实现过滤包功能之前,必须事先建立一套用来防止或允许数据包通过的规则。这些规则按一定顺序存储在路由器中,一旦收到数据以后,再用这组规则按原登入顺序过滤,一次一定确保此顺序是合理的。规则装入后一定要进行测试。在大多数数据包过滤路由器中,不满足预制规则的数据包就会受到阻拦,这是路由器应该采取的最安全的行动步骤。

与主机上运行的软件防火墙系统相比,大多数路由器的报告功能十分有限,但是可以在内部保存各种数据流的内容。

2)网络级防火墙的缺点

(1)定义数据包过滤器比较复杂,网络管理员必须对各种服务、包头格式及每个域的意义非常熟悉。

(2)在路由器上进行规则配制后,几乎没有什么工具可用来保证其正确性。

(3)随着过滤器数目的增加,路由器吞吐量会下降,过滤规则集合过大,会使其难以管理和理解。

(4)IP包过滤可能无法对网络上的信息服务提供全面控制。

结合上述几种防火墙技术的特点,可以产生通用、高效和安全的防火墙。如将应用网关技术和包过滤技术结合起来,将保证应用层安全性,统一支持处理所有协议、审计和预警等,其运转对于用户和建立系统都是透明的,并且包括了面向所有的图形用户接口,便于配置和管理。Sunsoft的Firewall-I便是这方面典型的例子。

7.应用级防火墙

应用级防火墙还有一个常见的名字——代理服务器。包过滤防火墙可以按照IP地址来禁止未授权者的访问,但是它不适合公司用来控制内部人员访问外界的网络,对于这样的企业来说应用级防火墙是更好的选择。应用级防火墙应用于特定的互联网服务,如超文本传输(HTTP),远程文件传输(FTP)等等。代理服务器通常运行在两个网络之间,它对于客户来说是像是一台真的服务器一样,而对于外界的服务器来说,它又是一台客户机。当代理服务器接受到用户的请求后会检查用户请求的站点是否符合公司的要求,如果公司允许用户访问该站点的话,代理服务器会像一个客户一样去那个站点取回所需信息再转发给客户。代理服务器都通常拥有一个高速缓存,这个缓存存储有用户经常访问站点的内容,在下一个用户要访问同样的站点时,服务器就用不着重复地去抓同样的内容,既节约了时间,也节约了网络资源。代理服务器会像一堵真的墙那样挡在内部用户和外界之间,从外面只能看到代理服务器而看不到任何的内部资源,诸如用户的IP等。应用级网关比单一的包过滤更为可靠,而且会详细地记录下所有的访问记录。但是应用级网关也存在一些不足之处,首先它会使访问速度变慢,因为它不允许用户直接访问网络。而且应用级网关需要对每一个特定的互联网服务安装相应的代理服务软件,用户不能使用未被服务器支持的服务,用户可能会花费几个月的时间等待新服务软件的安装,而且不是所有的互联网应用软件都可以使用代理服务器。

应用级防火墙能实现比网络级防火墙更严格的安全策略。它通过在网关中为某种所需要的服务安装特殊代码(代理服务)的方式来管理服务。它在应用层把访问控制的思想用到一系列受支持的应用程序,使其可以在注册ID、源或目的IP地址的基础上实现访问控制。应用级网关的强大功能在于其对未定义的应用程序的否决权。如果网络管理员没有为某种应用安装代理编码,那么就不支持该项服务,故不能通过防火墙系统转发。同时,代理编码可配置成支持网络管理员认为必须的部分功能。它允许信息在系统之间流动,但不允许直接交换数据包。

应用级防火墙是建立在应用层网关基础上的。应用网关有3种基本的原型,分别适用于不同规模的网络。他们是双穴主机网关、屏蔽主机网关和屏蔽子网网关。

这3种原型有一个共同特点,就是都需要一台主机,通常被称为堡垒主机。该主机充当应用程序转发者、通信等记者以及服务提供者的角色,因此,它的安全性是至关重要的。建立防火墙时,应将更多的注意力放在该主机上。

1)双穴主机网关

双穴主机网关中的堡垒主机充当网关,此主机需装两块网卡,并在其上运行防火墙软件。受保护网络与互联网络之间不能直接进行通信,而必须经过堡垒主机。该网关的特点是易于安装,所需的硬件设备较少,且容易验证其正确性。它的致命弱点是:一旦网关上的防火墙软件被破坏,堡垒主机实际上就变成了一台没有寻径功能的路由器,一个有经验的攻击者就能使它寻径,从而使受保护网络完全开放并受到攻击。

2)屏蔽主机网关

屏蔽主机网关中的堡垒主机在受保护网络和互联网之间。它不允许互联网对受保护网络直接访问,只允许对受保护网络中的堡垒主机进行访问。屏蔽主机网关是一种很灵活的防火墙,可以有选择地允许哪些值得信任的应用程序通过路由器。

3)屏蔽子网网关

屏蔽子网网关其中一个小型的独立网络放在受保护网络与互联网之间,对这个网络的访问受到路由器屏蔽规则的保护。因此,屏蔽子网中主机是受保护网络和互联网都能访问到的唯一系统。从理论上说,这也是一种双穴网关。不同的是,在屏蔽网关中需配置3个网络(受保护网络、屏蔽子网和互联网络)之间的寻径功能,即先闯入堡垒主机,再进入受保护网路中的某台主机,然后返回报文屏蔽路由器,分别进行配置。另外,由于互联网络很难直接与受保护网络进行通信,因此,防火墙管理员不需指出受保护网络到互联网络之间的路由。这对于保护大型网络来说是一种较好的方法。

应用级防火墙的优点是:它能让网络管理员对服务进行全面的控制。应用级防火墙的缺点是:由于缺乏透明性而导致友好性差,使提供给用户的服务水平下降。当新的应用程序要求加入时,这样的系统要求花费更多的精力去适应。目前代理技术无一例外地要求系统管理人员要么改变终端用户的使用习惯,要么改变终端用户的应用软件。

另外,还有一种电路层网关也能起到防火墙的作用。它的功能也可以由应用层网关来完成。电路层网关只依赖于TCP连接,并不进行任何附加的包处理或过滤。它常用于向外连接,这时网络管理员对其内部用户是信任的。其优点是堡垒主机可以被设置成混合网关,对内连接支持应用层或代理服务,而对外连接支持电路层功能。这使得防火墙系统对要访问INTERNET服务的内部用户来说,使用起来很方便,同时又能提供保护内部网络免受外部供给的防火墙的影响。

8.创建防火墙的步骤

创建防火墙时,有以下四个步骤:

1)确定拓扑结构、应用和协议需求。这些工作主要依赖于网络的大小和构成。

当然,如果运行的是一个完全同构的网络(很少有这样的情况),那工作便容易得多,用户只要处理一个操作系统以及一致的应用集。但大多数网络都是异构网络,这样用户就必须确认网络中的每一个操作系统以及所有的应用集。

2)分析本组织中的可信任关系。这可能要与各个部门进行讨论。某些网段可能要访问其他网段的资源,如果这些网段在物理上分布于各个位置,它们的流量可能要通过一个或多个网关。因为在建立起防火墙以后,可能会发布防火墙规则,用户遵守规则的程度将极大地影响网络的安全,因此,要处理好本地用户的情绪。

3)制定规则并建立合适的防火墙。要确定谁可以访问网络以及他们如何访问网络,也要合并所发现的所有平台或协议的特别信息。基于这些信息,就可以确定需要什么样的防火墙了。