consulting

90-ww.jpg
淺概述說明防火牆體系結構和設計
會員評比: / 22
最差最好 
知識庫文章 - 網際網路知識文章

網路安全已成為人日益關心的問題。網路防火牆技術作為內部網路與外部網路之間的第一道安全屏障,其中要作用是在網路入口外檢查網路通信,更具使用者設定的安全規則,在保護內部網路安全的前提下,保障內外網路通信,提供內部網路的安全。

 

一、防火牆功能概述

防火牆是一個保護裝置,它是一個或一組網路設備裝置。通常是指運行特別編寫或更改過作業系統的電腦,它的目的就是保護內部網的訪問安全。防火牆可以安裝在兩個組織結構的內部網與外部的網際網路之間,同時在多個組織結構的內部網和網際網路之間也會起到同樣的保護作用。它主要的保護就是加強外部網際網路對內部網的存取控制,它主要任務是允許特別的連接通過,也可以阻止其他不允許的連接。防火牆只是網路安全性原則的一部分,它通過少數幾個良好的監控位置來進行內部網與網際網路的連接。

防火牆的核心功能主要是包過濾。其中入侵偵測,控管規則過濾,即時監控及電子郵件過濾這些功能都是基於封包過濾技術的。防火牆的主體功能歸納為以下幾點:根據應用程式訪問規則可對應用程式連網動作進行過濾;對應用程式訪問規則具有自學習功能;可即時監控,監視網路活動;具有日誌,以記錄網路訪問動作的詳細資訊;被攔阻時能通過聲音或閃爍圖示給使用者報警提示。

防火牆僅靠這些核心技術功能是遠遠不夠的。核心技術是基礎,必須在這個基礎之上加入協助工具才能流暢的工作。而實現防火牆的核心功能是封包過濾。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和網際網路之間的任何活動,保證了內部網路的安全。

 

二、防火牆主要技術特點

應用層採用winsock 2 spi進行網路資料控制、過濾;核心層採用ndis hook進行控制,尤其是在windows 2000 下,此技術屬微軟未公開技術。

此防火牆還採用兩種封包過濾技術:一是應用層封包過濾,採用winsock 2 spi;二是核心層封包過濾,採用ndis_hook。winsock 2 spi 工作在api之下、driver之上,屬於應用層的範疇。利用這項技術可以截獲所有的基於socket的網路通信。採用winsock 2 spi的優點是非常明顯的:其工作在應用層以dll的形式存在,程式設計、測試方便;跨windows平台,可以直接在windows98/me/nt/2000/xp 上通用,windows95只需安裝上winsock 2 for 95,也可以正常運行;效率高,由於工作在應用層,cpu佔用率低;封包還沒有按照低層協議進行切片,所以比較完整。而防火牆正是在tcp/ip協議在windows的基礎上才得以實現。在構築防火牆保護網路之前,需要制定一套完整有效的安全性原則,這種安全性原則一般分為兩層:網路服務訪問策略和防火牆設計策略。

 

三、網路服務訪問策略

網路服務訪問策略是一種高層次的、具體到事件的策略,主要用於定義在網路中允許的或禁止的網路服務,還包括對撥號訪問以及slip/ppp連接的限制。這是因為對一種網路服務的限制可能會促使用戶使用其他的方法,所以其他的途徑也應受到保護。網路服務訪問策略不但應該是一個網站安全性原則的延伸,而且對於機構內部資源的保護也起全域的作用。這種策略可能包括許多事情,從檔切碎條例到病毒掃描程式,從遠端存取到移動介質的管理。

(此篇文章為網路轉載,如有冒犯,請來信告知,當即刻移除!)

四、防火牆的設計策略

防火牆的設計策略是具體地針對防火牆,負責制定相應的規章制度來實施網路服務訪問策略。在制定這種策略之前,必須瞭解這種防火牆的性能以及缺陷、tcp/ip自身所具有的易攻擊性和危險。防火牆一般執行以下兩種基本策略中的一種:除非明確不允許,否則允許某種服務;除非明確允許,否則將禁止某項服務。

執行第一種策略的防火牆在預設情況下允許所有的服務,除非管理員對某種服務明確表示禁止。執行第二種策略的防火牆在預設情況下禁止所有的服務,除非管理員對某種服務明確表示允許。防火牆可以實施一種寬鬆的策略(第一種),也可以實施一種限制性策略(第二種),這就是制定防火牆策略的入手點。一個網站可以把一些必須的而又不能通過防火牆的服務放在遮罩子網上,和其他的系統隔離。

 

五、設計時需要考慮的問題

為了確定防火牆設計策略,進而構建實現策略的防火牆,應從最安全的防火牆設計策略開始,即除非明確允許,否則禁止某種服務。策略應該解決以下的問題:需要什麼服務;在哪裡使用這些服務;是否應當支援撥號入網和加密等服務;提供這些服務的風險是什麼;若提供這種保護,可能會導致網路使用上的不方便等負面影響,這些影響會有多大,是否值付出這種代價;和可用性相比,網站的安全性放在什麼位置。

 

六、防火牆的不足

防火牆不能防止內部的攻擊,因為它只提供了對網路邊緣的防衛。內部人員可能濫用被給予的訪問權,從而導致事故。防火牆也不能防止像社會工程攻擊——一種很常用的入侵手段,就是靠欺騙獲得一些可以破壞安全的資訊。另外,一些用來傳送資料的電話線很有可能被用來入侵內部網路。雖然現在有些防火牆可以檢查病毒和特洛伊木馬,但這些防火牆只能阻擋已知的惡意程式,這就可能讓新的病毒和木馬溜進來。而且,這些惡意程式不僅僅來自網路,也可能來自軟碟。