網(wǎng)絡技術是從1990年代中期發(fā)展起來的新技術�����,它把互聯(lián)網(wǎng)上分散的資源融為有機整體,實現(xiàn)資源的全面共享和有機協(xié)作�,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機���、存儲資源、數(shù)據(jù)資源�����、信息資源���、知識資源���、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡�、傳感器等。 當前的互聯(lián)網(wǎng)只限于信息共享�����,網(wǎng)絡則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段�����。
3����、被屏蔽主機網(wǎng)關(ScreenedGatewy)
屏蔽主機網(wǎng)關易于實現(xiàn)也最為安全�。一個堡壘主機安裝在內(nèi)部網(wǎng)絡上�,通常在路由器上設立過濾規(guī)則�,并使這個堡壘主機成為從外部網(wǎng)絡惟一可直接到達的主機,這確保了內(nèi)部網(wǎng)絡不受未被授權的外部用戶的攻擊�。如果受保護網(wǎng)是一個虛擬擴展的本地網(wǎng),即沒有子網(wǎng)和路由器���,那么內(nèi)部網(wǎng)的變化不影響堡壘主機和屏蔽路由器的配置�。危險帶限制在堡壘主機和屏蔽路由器�����。網(wǎng)關的基本控制策略由安裝在上面的軟件決定。如果攻擊者沒法登錄到它上面,內(nèi)網(wǎng)中的其余主機就會受到很大威脅��。這與雙穴主機網(wǎng)關受攻擊時的情形差不多����。
4、被屏蔽子網(wǎng)(ScreenedSubnet)
被屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間建立一個被隔離的子網(wǎng)�,用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡和外部網(wǎng)絡分開。在很多實現(xiàn)中�,兩個分組過濾路由器放在子網(wǎng)的兩端���,在子網(wǎng)內(nèi)構成一個DNS�,內(nèi)部網(wǎng)絡和外部網(wǎng)絡均可訪問被屏蔽子網(wǎng)�,但禁止它們穿過被屏蔽子網(wǎng)通信。有的屏蔽子網(wǎng)中還設有一堡壘主機作為惟一可訪問點���,支持終端交互或作為應用網(wǎng)關代理。這種配置的危險僅包括堡壘主機�、子網(wǎng)主機及所有連接內(nèi)網(wǎng)����、外網(wǎng)和屏蔽子網(wǎng)的路由器�。如果攻擊者試圖完全破壞防火墻,他必須重新配置連接三個網(wǎng)的路由器���,既不切斷連接又不要把自己鎖在外面��,同時又不使自己被發(fā)現(xiàn)���,這樣也還是可能的。但若禁止網(wǎng)絡訪問路由器或只允許內(nèi)網(wǎng)中的某些主機訪問它��,則攻擊會變得很困難�。在這種情況下�����,攻擊者得先侵入堡壘主機�����,然后進入內(nèi)網(wǎng)主機����,再返回來破壞屏蔽路由器,并且整個過程中不能引發(fā)警報����。
防火墻的基本類型
如今市場上的防火墻林林總總,形式多樣����。有以軟件形式運行在普通計算機之上的���,也有以固件形式設計在路由器之中的��。總的來說可以分為三種:包過濾防火墻����、代理服務器和狀態(tài)監(jiān)視器。
包過濾防火墻(IPFiltingFirewall):
包過濾(PacketFilter)是在網(wǎng)絡層中對數(shù)據(jù)包實施有選擇的通過�����,依據(jù)系統(tǒng)事先設定好的過濾邏輯��,檢查數(shù)據(jù)據(jù)流中的每個數(shù)據(jù)包��,根據(jù)數(shù)據(jù)包的源地址�����、目標地址���、以及包所使用端口確定是否允許該類數(shù)據(jù)包通過���。在互聯(lián)網(wǎng)這樣的信息包交換網(wǎng)絡上���,所有往來的信息都被分割成許許多多一定長度的信息包,包中包括發(fā)送者的IP地址和接收者的IP地址�����。當這些包被送上互聯(lián)網(wǎng)時���,路由器會讀取接收者的IP并選擇一條物理上的線路發(fā)送出去��,信息包可能以不同的路線抵達目的地�,當所有的包抵達后會在目的地重新組裝還原��。包過濾式的防火墻會檢查所有通過信息包里的IP地址��,并按照系統(tǒng)管理員所給定的過濾規(guī)則過濾信息包�����。如果防火墻設定某一IP為危險的話�,從這個地址而來的所有信息都會被防火墻屏蔽掉。這種防火墻的用法很多��,比如國家有關部門可以通過包過濾防火墻來禁止國內(nèi)用戶去訪問那些違反我國有關規(guī)定或者"有問題"的國外站點��,例如www.playboy.com��、www.cnn.com等等��。包過濾路由器的最大的優(yōu)點就是它對于用戶來說是透明的�����,也就是說不需要用戶名和密碼來登錄����。這種防火墻速度快而且易于維護�����,通常做為第一道防線���。包過濾路由器的弊端也是很明顯的�����,通常它沒有用戶的使用記錄,這樣我們就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄���。而攻擊一個單純的包過濾式的防炎墻對黑客來說是比較容易的�,他們在這一方面已經(jīng)積了大量的經(jīng)驗�。"信息包沖擊"是黑客比較常用的一種攻擊手段,黑客們對包過濾式防火墻發(fā)出一系列信息包��,不過這些包中的IP地址已經(jīng)被替換掉了(FakeIP)�,取而代之的是一串順序的IP地址�。一旦有一個包通過了防火墻,黑客便可以用這個IP地十來偽裝他們發(fā)出的信息�。在另一些情況下黑客們使用一種他們自己編制的路由器攻擊程序,這種程序使用路由器協(xié)議(RoutingInformationProtcol)來發(fā)送偽造的路由信息�,這樣所有的包都會被重新路由到一個入侵者所指定的特別地址�����。對付這種路由器的另一種技術被稱之為"同步淹沒"��,這實際上是一種網(wǎng)絡炸彈�����。攻擊者向被攻擊的計算機發(fā)出許許多多個虛假的"同步請求"信號包��,當服務器響應了這種信號包后會等待請求發(fā)出者的回答�,而攻擊者不做任何的響應。如果服務器在45秒鐘里沒有收到反應信號的話就會取消掉這次請求���。但是當服務器在處理成知上萬個虛假請求時,它便沒有時間來處理正常的用戶請求�����,處于這種攻擊下的服務器和死鎖沒什么兩樣�����。此種防火墻的缺點是很明顯的�,通常它沒有用戶的使用記錄,這樣我們就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄�。此外�,配置繁瑣也是包過濾防火墻的一個缺點���。它阻擋別人進入內(nèi)部網(wǎng)絡�,但也不告訴你何人進入你的系統(tǒng),或者何人從內(nèi)部進入網(wǎng)際網(wǎng)路���。它可以阻止外部對私有網(wǎng)絡的訪問,卻不能記錄內(nèi)部的訪問����。包過濾另一個關鍵的弱點就是不能在用戶級別上進行過濾,即不能鑒別不同的用戶和防止IP地址盜用����。包過濾型防火墻是某種意義上的絕對安全的系統(tǒng)。
代理服務器(ProxyServer):
代理服務器通常也稱作應用級防火墻�。包過濾防火墻可以按照IP地址來禁止未授權者的訪問�。但是它不適合單位用來控制內(nèi)部人員訪問外界的網(wǎng)絡,對于這樣的企業(yè)來說應用級防火墻是更好的選擇�。所謂代理服務,即防火墻內(nèi)外的計算機系統(tǒng)應用層的鏈接是在兩個終止于代理服務的鏈接來實現(xiàn)的��,這樣便成功地實現(xiàn)了防火墻內(nèi)外計算機系統(tǒng)的隔離�。代理服務是設置在Internet防火墻網(wǎng)關上的應用,是在網(wǎng)管員允許下或拒絕的特定的應用程度或者特定服務���,同時��,還可應用于實施較強的數(shù)據(jù)流監(jiān)控�����、過濾���、記錄和報告等功能�����。一般情況下可應用于特定的互聯(lián)網(wǎng)服務,如超文本傳輸(HTTP)�����、遠程文件傳輸(FTP)等。代理服務器通常擁有高速緩存����,緩存中存有用戶經(jīng)常訪問站點的內(nèi)容,在下一個用戶要訪問同樣的站點時���,服務器就用不著重復地去抓同樣的內(nèi)容�����,既節(jié)約了時間也節(jié)約了網(wǎng)絡資源。
下面筆者向網(wǎng)友們簡單介紹幾種代理服務器的設計實現(xiàn)方式:
1��、應用代理服務器(ApplicationGatewayProxy)
應用代理服務器可以在網(wǎng)絡應用層提供授權檢查及代理服務��。當外部某臺主機試圖訪問(如Telnet)受保護網(wǎng)時����,它必須先在防火墻上經(jīng)過身份認證。通過身份認證后��,防火墻運行一個專門為Telnet設計的程序�����,把外部主機與內(nèi)部主機連接���。在這個過程中,防火墻可以限制用戶訪問的主機�、訪問的時間及訪問的方式。同樣�����,受保護網(wǎng)絡內(nèi)部用戶訪問外部網(wǎng)時也需先登錄到防火墻上�,通過驗證后才可使用Telnet或FTP等有效命令。應用網(wǎng)關代理的優(yōu)點是既可以隱藏內(nèi)部IP地址�,也可以給單個用戶授權,即使攻擊者盜用了一個合法的IP地址�。他也通不過嚴格的身份認證。因特網(wǎng)關比報文過濾具有更高的安全性���。但是這種認證使得應用網(wǎng)關不透明��,用戶每次連接都要受到"盤問"�����,這給用戶帶來許多不便�。而且這種代理技術需要為每個應用網(wǎng)關寫專門的程序����。
2�、回路級代理服務器
回路級代理服務器也稱一般代理服務器,它適用于多個協(xié)議�����,但無法解釋應用協(xié)議����,需要通過其他方式來獲得信息���。所以�����,回路級代理服務器通常要求修改過的用戶程序����。其中,套接字服務器(SocketsServer)就是回路級代理服務器����。套接字(Sockets)是一種網(wǎng)絡應用層的國際標準。當受保護網(wǎng)絡客戶機需要與外部網(wǎng)交互信息時��,在防火墻上的套接字服務器檢查客戶的UserID���、IP源地址和IP目的地址�,經(jīng)過確認后�����,套服務器才與外部的段服務器建立連接����。對用戶來說�,受保護網(wǎng)與外部網(wǎng)的信息交換是透明的�,感覺不到防火墻的存在�����,那是因為因特網(wǎng)絡用戶不需要登錄到防火墻上�����。但是客戶端的應用軟件必須支持"SocketsifideAPI"受保護網(wǎng)絡用戶訪問公共網(wǎng)所使用的IP地址也都是防火墻的IP地址���。
3、代管服務器
代管服務器技術換言之就是把不安全的服務�,諸如FTP、Telnet等放到防火墻上���,使它同時充當服務器�����,對外部的請求作出回答。與應用層代理實現(xiàn)相比��,代管服務器技術不必為每種服務專門寫程序�����。而且���,受保護網(wǎng)內(nèi)部用戶想對外部網(wǎng)訪問時�,也需先登錄到防火墻上�����,再向外提出請求��,這樣從外部網(wǎng)向內(nèi)就只能看到防火墻��,從而隱藏了內(nèi)部地址��,提高了安全性。
4�、IP通道(IPTunnels)
如果某公司下屬的兩個子公司相隔較遠,通過Internet進行通信時����,可以采用IPTunnels來防止Internet上的黑客截取信息,從而在Internet上形成一個虛構的企業(yè)網(wǎng)����。
5�、網(wǎng)地址轉換器(NetworkAddressTranslate)
當受保護網(wǎng)連到Internet上時���,受保護網(wǎng)用戶若要訪問Internet,必須使用一個合法的IP地址��。但由于合法InternetIP地址有限���,而且受保護網(wǎng)絡往往有自己的一套IP地址規(guī)劃��。網(wǎng)絡地址轉換器就是在防火墻上裝一個合法IP地址集。當內(nèi)部某一用戶要訪問Internet時���,防火墻態(tài)地從地址集中選一個未分配的地址分配給該用戶���,該用戶即可使用這個合法地址進行通信。同時����,對于內(nèi)部的某些服務器如Web服務器,網(wǎng)絡地址轉換器允許為其分配一個固定的合法地址���。外部網(wǎng)絡的用戶就可通過防火墻來訪問內(nèi)部的服務器��。這種技術既緩解了少量的IP地址和大量的主機之間的矛盾�,又對外隱藏了內(nèi)部主機的IP地址���,提高了安全性���。
網(wǎng)絡的神奇作用吸引著越來越多的用戶加入其中��,正因如此����,網(wǎng)絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上��、所用標準上......���,各項技術都需要適時應勢��,對應發(fā)展,這正是網(wǎng)絡迅速走向進步的催化劑��。
