|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體����,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息��。資源包括高性能計(jì)算機(jī)��、存儲資源����、數(shù)據(jù)資源����、信息資源�、知識資源�����、專家資源�、大型數(shù)據(jù)庫���、網(wǎng)絡(luò)�����、傳感器等�����。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享�����,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段�。 基本的防火墻設(shè)計(jì)
在設(shè)計(jì)Internet防火墻時(shí),網(wǎng)絡(luò)管理員必須做出幾個(gè)決定:
· 防火墻的姿態(tài)(Stance)
· 機(jī)構(gòu)的整體安全政策
· 防火墻的經(jīng)濟(jì)費(fèi)用
· 防火墻系統(tǒng)的組件或構(gòu)件
防火墻的姿態(tài)
防火墻的姿態(tài)從根本上闡述了一個(gè)機(jī)構(gòu)對安全的看法����。Internet防火墻可能會扮演兩種截然相反的姿態(tài):
· 拒絕沒有特別允許的任何事情��。這種姿態(tài)假定防火墻應(yīng)該阻塞所有的信息�,而每一種所期望的服務(wù)或應(yīng)用都是實(shí)現(xiàn)在case-by-case的基礎(chǔ)上。這是一個(gè)受推薦的方案�����。其建立的是一個(gè)非常安全的環(huán)境��,因?yàn)橹挥袑徤鬟x擇的服務(wù)才被支持����。當(dāng)然這種方案也有缺點(diǎn),就是不易使用����,因?yàn)橄拗屏颂峁┙o用戶們的選擇范圍。
· 允許沒有特別拒絕的任何事情���。這種姿態(tài)假定防火墻應(yīng)該轉(zhuǎn)發(fā)所有的信息,任何可能存在危害的服務(wù)都應(yīng)在case-by-case的基礎(chǔ)上關(guān)掉��。這種方案建立的是一個(gè)非常靈活的環(huán)境,能提供給用戶更多的服務(wù)�。缺點(diǎn)是,由于將易使用這個(gè)特點(diǎn)放在了安全性的前面��,網(wǎng)絡(luò)管理員處于不斷的響應(yīng)當(dāng)中�,因此,隨著網(wǎng)絡(luò)規(guī)模的增大��,很難保證網(wǎng)絡(luò)的安全�����。
機(jī)構(gòu)的安全策略
如前所述��,Internet防火墻并不是獨(dú)立的����,它是機(jī)構(gòu)總體安全策略的一部分。機(jī)構(gòu)總體安全策略定義了安全防御的方方面面����。為確保成功,機(jī)構(gòu)必須知道其所有保護(hù)的是什么��。安全策略必須建立在精心進(jìn)行的安全分析、風(fēng)險(xiǎn)評估以及商業(yè)需求分析基礎(chǔ)之上�����。如果機(jī)構(gòu)沒有詳盡的安全策略��,無論如何精心構(gòu)建的防火墻都會被繞過去�����,從而整個(gè)內(nèi)部網(wǎng)絡(luò)都暴露在攻擊面下����。
機(jī)構(gòu)能夠負(fù)擔(dān)起什么樣的防火墻?簡單的包過濾防火墻的費(fèi)用最低���,因?yàn)闄C(jī)構(gòu)至少需要一個(gè)路由器才能連入Internet���,并且包過濾功能包括在標(biāo)準(zhǔn)的路由器配置中。商業(yè)的防火墻系統(tǒng)提供了附加的安全功能����,而費(fèi)用在$4,000到$30,000之間,具體價(jià)格要看系統(tǒng)的復(fù)雜性和要保護(hù)的系統(tǒng)的數(shù)量�����。如果一個(gè)機(jī)構(gòu)有自己的專業(yè)人員,也可以構(gòu)建自己的防火墻系統(tǒng)���,但是仍舊有開發(fā)時(shí)間和部署防火墻系統(tǒng)等的費(fèi)用問題。還有����,防火墻系統(tǒng)需要管理,一般性的維護(hù)��、軟件升級�����、安全上的補(bǔ)漏���、事故處理等��,這些都要產(chǎn)生費(fèi)用�����。
圖4 包過濾路由器
防火墻系統(tǒng)的組成
在確定了防火墻的姿態(tài)�、安全策略、以及預(yù)算問題之后����,就能夠確定防火墻系統(tǒng)的特定組件。典型的防火墻有一個(gè)或多個(gè)構(gòu)件組成:
· 包過濾路由器
· 應(yīng)用層網(wǎng)關(guān)(或代理服務(wù)器)
· 電路層網(wǎng)關(guān)
在后面我們將討論每一種構(gòu)件��,并描述其如何一起構(gòu)成一個(gè)有效的防火墻系統(tǒng)����。
構(gòu)件:包過濾路由器
包過濾路由器(圖4)對所接收的每個(gè)數(shù)據(jù)包做允許拒絕的決定。路由器審查每個(gè)數(shù)據(jù)報(bào)以便確定其是否與某一條包過濾規(guī)則匹配����。過濾規(guī)則基于可以提供給IP轉(zhuǎn)發(fā)過程的包頭信息。包頭信息中包括IP源地址�、IP目標(biāo)端F地址、內(nèi)裝協(xié)(ICP��、UDP����、ICMP、或IP Tunnel)����、TCP/UDP目標(biāo)端口�����、ICMP消息類型�����、包的進(jìn)入接口和出接口如果有匹配并且規(guī)則允許該數(shù)據(jù)包,那么該數(shù)據(jù)包就會按照路由表中的信息被轉(zhuǎn)發(fā)����。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包,那么該數(shù)據(jù)包就會被丟棄�����。如果沒有匹配規(guī)則�����,用戶配置的缺省參數(shù)會決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包�����。
與服務(wù)相關(guān)的過濾
包過濾路由器使得路由器能夠根據(jù)特定的服務(wù)允許或拒絕流動(dòng)的數(shù)據(jù)���,因?yàn)槎鄶?shù)的服務(wù)收聽者都在已知的TCP/UDP端口號上���。例如,Telnet服務(wù)器在TCP的23號端口上監(jiān)聽遠(yuǎn)地連接���,而SMTP服務(wù)器在TCP的25號端口上監(jiān)聽人連接����。為了阻塞所有進(jìn)入的Telnet連接�����,路由器只需簡單的丟棄所有TCP端口號等于23的數(shù)據(jù)包�。為了將進(jìn)來的Telnet連接限制到內(nèi)部的數(shù)臺機(jī)器上,路由器必須拒絕所有TCP端口號等于23并且目標(biāo)IP地址不等于允許主機(jī)的IP地址的數(shù)據(jù)包�。
一些典型的過濾規(guī)則包括:
· 允許進(jìn)入的Telne會話與指定的內(nèi)部主機(jī)連接
· 允許進(jìn)入的FTP會話與指定的內(nèi)部主機(jī)連接
· 允許所有外出的Telne會話
· 允許所有外出的FTP會話
· 拒絕所有來自特定的外部主機(jī)的數(shù)據(jù)包 與服務(wù)無關(guān)的過濾
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此�����,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗(yàn)―從硬件上����、軟件上�、所用標(biāo)準(zhǔn)上......�����,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢����,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑�。
| 
