|
当构筑和使用木制结构房屋的时侯,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物被称之为防火墙。在今日的电子信息世界里,人们借助了这个概念,使用防火墙来保护敏感的数据不被窃取和篡改,不过这些防火墙是由先进的计算机系统构成的。
今天的防火墙被用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。这些防火墙尤如一道护栏隔在被保护的内部网与不安全的非信任网络之间,我们目前广泛使用的互联网络便是世界上最大的不安全网,近年来媒体报导的很多黑客入侵事件都是通过互联网络进行攻击的。
通常架设防火墙需要相当大的硬软件资金投入,而且防火墙需要运行于一台独立的计算机上,这样只用一台计算机连入互联网络的用户是不宜架设防火墙的,况且这样做也太不合算。一般来说,防火墙是用来保护由许多台计算机组成的大型网络,这也是黑客真正感兴趣的地方。防火墙可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理是一样的,都是监测并过滤所有内部网和外部网之间的信息交换,防火墙保护着内部网络敏感的数据不被偷窃和破坏,并记录内外通讯的有关状态信息日志,如通讯发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。当你将公司的局域网联入互联网络时,你肯定不希望让全世界的人随意翻阅你公司内部的工资单、个人资料或是客户数据库。即使在公司内部,同样也存在这种数据非法存取的可能性,例如一些对公司不满的员工可能会修改工资表和财务报告。而通过设置防火墙你可以允许公司内部员工使用电子邮件,进行web浏览以及文件传输,但不允许外界随意访问公司内部的计算机,你也可以限制公司中不同部门之间互相访问。将局域网络放置于防火墙之后可有效阻止来自外界的攻击。而防火墙通常是运行在一台单独计算机之上的一个特别的服务软件,它可以识别并屏蔽非法的请求。例如一台www代理(proxy)服务器,使用者的web访问需求都间接地由它进行处理,这台服务器会验证请求发出者的身份、请求的目的地和请求内容。如果一切符合要求的话,这个请求会被送到目标www服务器上;当目标www服务器处理完这个请求后并不会直接把结果发送给请求者,它会把结果送到代理服务器,代理服务器会按照规定检查这个结果是否违反了安全规则,当这一切检查都通过后,结果才会真正地送到请求者的手里。
1、为什么需要架设防火墙
防火墙可以使你的网络规划清晰明了,有效防止跨越权限的数据访问。如果你的网络联入了互联网络而没有设置防火墙的话,你可能会接到许多系统入侵的报告。在这个世界上,黑客袭击的例子有许许多多,你可以在一些讨论计算机安全的站点上找到许多案例。你最好提前考虑这些问题,黑客可以攻击美国国防部的网络,也可能会对你的公司发生兴趣。
2、防火墙的几种形式
防火墙有许许多多种形式,有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。总的来说业界的分类有三种:包过滤防火墙,应用级网关和状态监视器。
(1)包过滤防火墙
在互联网络这样的tcp/ip网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包含发送者的ip地址和接收者的ip地址信息。当这些信息包被送上互联网络时,路由器会读取接收者的ip并选择一条合适的物理线路发送出去,信息包可能经由不同的路线抵达目的地,当所有的包抵达目的地后会重新组装还原。包过滤式的防火墙会检查所有通过的信息包中的ip地址,并按照系统管理员所给定的过滤规则进行过滤。如果对防火墙设定某一ip地址的站点为不适宜访问的话,从这个地址来的所有信息都会被防火墙屏蔽掉。
包过滤防火墙的优点是它对于用户来说是透明的,处理速度快而且易于维护,通常做为第一道防线。包过滤路由器通常没有用户的使用记录,这样我们就不能得到入侵者的攻击记录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。
"ip地址欺骗"是黑客比较常用的一种攻击手段。黑客们向包过滤式防火墙发出一系列信息包,这些包中的ip地址已经被替换为一串顺序的ip地址,一旦有一个包通过了防火墙,黑客便可以用这个ip地址来伪装他们发出的信息;在另一种情况下黑客们使用一种他们自己编制的路由攻击程序,这种程序使用动态路由协议来发送伪造的路由信息,这样所有的信息包都会被重新路由到一个入侵者所指定的特别地址;破坏这种防火墙的另一种方法被称之为"同步风暴",这实际上是一种网络炸弹。攻击者向被攻击的计算机发出许许多多个虚假的"同步请求"信息包,目标计算机响应了这种信息包后会等待请求发出者的应答,而攻击者却不做任何的响应。如果服务器在一定时间里没有收到响应信号的话就会结束这次请求连接,但是当服务器在遇到成千上万个虚假请求时,它便没有能力来处理正常的用户服务请求,处于这种攻下的服务器表现为性能下降,服务响应时间变长,严重时服务完全停止甚至死机。
(2)应用级网关
应用级网关也就是通常我们提到的代理服务器。它适用于特定的互联网服务,如超文本传输(http),远程文件传输(ftp)等等。代理服务器通常运行在两个网络之间,它对于客户来说象是一台真的服务器,而对于外界的服务器来说,它又是一台客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规定,如果规则允许用户访问该站点的话,代理服务器会象一个客户一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存,这个缓存存储有用户经常访问的站点内容,在下一个用户要访问同一站点时,服务器就不用重复地获取相同的内容,直接将缓存内容发出即可,既节约了时间也节约了网络资源。代理服务器会象一堵墙一样挡在内部用户和外界之间,从外部只能看到该代理服务器而无法获知任何的内部资源,诸如用户的ip地址等。应用级网关比单一的包过滤更为可靠,而且会详细地记录所有的访问状态信息。但是应用级网关也存在一些不足之处,首先它会使访问速度变慢,因为它不允许用户直接访问网络,而且应用级网关需要对每一个特定的互联网服务安装相应的代理服务软件,用户不能使用未被务器支持的服务,对每一类服务要使用特殊的客户端软件,更不幸的是,并不是所有的互联网应用软件都可以使用代理服务器。
(3)状态监测防火墙
这种防火墙具有非常好的安全特性,它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎。监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与前两种防火墙不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规定,就会拒绝该访问,并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用(rpc)和用户数据报(udp)之类的端口信息,而包过滤和应用网关防火墙都不支持此类应用。这种防火墙无疑是非常坚固的,但它会降低网络的速度,而且配置也比较复杂。好在有关防火墙厂商已注意到这一问题,如checkpoint公司的防火墙产品firewall-1,它所有的安全策略规则都是通过面向对象的图形用户界面(gui)来定义以简化配置过程。
防火墙的生产厂商们已在他们的产品中加入了更多的新技术来增加产品的竞争力。网络应用的内容安全如计算机病毒保护便是最新加入防火墙的功能,据国际计算机安全协会(icsa)的一份报告,在1996年有23%的病毒感染是由email引起的。某些防火墙产品已能够监测通过
http,ftp,smtp等协议传输的已知病毒。
防火墙和家里的防盗门很相似,它们对普通人来说是一层安全防护,但是没有任何一种防火墙能提供绝对的保护。这就是为什么许多公司建立多层防火墙的原因,当黑客闯过一层防火墙后他只能获取一部分数据,其他的数据仍然被安全地保护在内部防火墙之后。总之,防火墙是增加计算机网络安全的手段之一,只要网络应用存在,防火墙就有其存在的价值。
| 
