網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機整體,實現(xiàn)資源的全面共享和有機協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段。
前言:
隨著互聯(lián)網(wǎng)發(fā)展日漸蓬勃,由于黑客的非法入侵時及病毒摧毀計算機所造成的威脅有越來越嚴(yán)重的趨勢,企業(yè)對于功能更強大的防火墻的需求也越來越迫切。許多的企業(yè)也因為之前沒有對網(wǎng)絡(luò)架構(gòu)作好網(wǎng)絡(luò)防護措施,付出了慘痛而昂貴的代價。在使用防火墻產(chǎn)品以防止黑客的非法入侵時,除了產(chǎn)品的安全性與執(zhí)行效能外,另外善解人意的GUI接口、完整的服務(wù)功能、廠商技術(shù)支持能力等,缺一不可。在享受豐盛的Internet/Intranet各種建置及所帶來的效率與成本回收的成果之時,如果企業(yè)沒有一個良好的安全防范機制,企業(yè)內(nèi)部網(wǎng)絡(luò)資源將不堪一擊,這不是在危言聳聽。
1、防火墻來是怎樣防止非法者的入侵
防火墻是Internet上公認網(wǎng)絡(luò)存取控制最佳的安全解決方案,網(wǎng)絡(luò)公司正式將防火墻列入信息安全機制;防火墻是軟硬件的結(jié)合體,架設(shè)在網(wǎng)絡(luò)之間以確保安全的連接。因此它可以當(dāng)做Internet、Intranet或Extranet的網(wǎng)關(guān)器,以定義一個規(guī)則組合或安全政策,來控制網(wǎng)絡(luò)間的通訊。并可有效率的記錄各種Internet應(yīng)用服務(wù)的存取信息、隱藏企業(yè)內(nèi)部資源、減少企業(yè)網(wǎng)絡(luò)曝露的危機等。所以正確安全的防火墻架構(gòu)必須讓所有外部到內(nèi)部或內(nèi)部到外部的封包都必須通過防火墻,且唯有符合安全政策定義的封包,才能通過防火墻;既然防火墻是Internet/Intranet相關(guān)技術(shù)服務(wù)進出的唯一信道,要正確的使用防火墻就必須先了解防火墻的技術(shù)為何?安全性是否符合各種應(yīng)用服務(wù)的需求?認證方式有哪些及網(wǎng)絡(luò)傳輸資料的加解/密功能(VPN)方式?最重要的是廠商能否提供完整且長期的服務(wù)與技術(shù)支持能力?
2、目前防火墻的技術(shù)
防火墻的安全性與研發(fā)的技術(shù)息息相關(guān),現(xiàn)在市場上的防火墻主要的技術(shù)可分為封包過濾(Packet Filter)、代理應(yīng)用閘信道(Application Gateway/Proxy)及多階層狀態(tài)檢查(Multilayer Stateful Inspection)等,說明如下:
(1)封包過濾
就如同Router的技術(shù),在網(wǎng)絡(luò)層具備良好的效能和延伸能力,但只能提供Ip地址的過濾功能;封包過濾可知道每一個Ip的來源地址,但不知道使用者為何人?同樣的,它會檢測網(wǎng)絡(luò)層的封包,而不會去管是什么應(yīng)用程序,所以封包過濾是防火墻中功能最不安全的,因為他們不會監(jiān)測到應(yīng)用程序,無法知道封包傳送內(nèi)容,很容易被非經(jīng)授權(quán)的使用者侵入。
(2)代理應(yīng)用閘信道
此為最傳統(tǒng)的防火墻技術(shù),任何進出Internet的應(yīng)用服務(wù)都必須經(jīng)過防火墻的代理后,再轉(zhuǎn)送到目的地;藉由代理的過程中,來檢測各階層的應(yīng)用服務(wù),但是這樣做卻破壞主從架構(gòu)模式。此外,此種技術(shù)只支持有限制的應(yīng)用程序,每一個服務(wù)或應(yīng)用程序都須要專屬的Proxy,因此有新的Internet服務(wù)時,使用者必須等待廠商開發(fā)新的代理應(yīng)用程序才能使用;由于每一種代理(Proxy)需要不同的應(yīng)用程序或daemon來執(zhí)行,會因為過多的資料復(fù)制和內(nèi)容交換會造成執(zhí)行效能不佳。
(3)多階層狀態(tài)檢查
這是一種新的防火墻專利技術(shù),結(jié)合了封包過濾網(wǎng)絡(luò)層的執(zhí)行效能及代理應(yīng)用閘信道的安全性。任何的封包會都在網(wǎng)絡(luò)層中被攔劫,然后防火墻會從全部的應(yīng)用層級中萃取出跟狀態(tài)有關(guān)的數(shù)據(jù),而且放在動態(tài)狀態(tài)表來判續(xù)后續(xù)的封包;提供了應(yīng)用層的資料內(nèi)容安全檢測,而且不會破壞主從架構(gòu)模式,可以在資料保全和流量間作智能的控制,具有最大的擴展及延伸能力。
3、定制安全機制
(1)存取控制 - 定義安全政策
存取控制可定義使用者或應(yīng)用服務(wù)的對象進/出企業(yè)網(wǎng)絡(luò),以保護企業(yè)內(nèi)部資源;例如:一個企業(yè)組織只可決定于上班時間限制存取Internet特定的網(wǎng)站,只允許于午餐時間存取,或當(dāng)系統(tǒng)在執(zhí)行備援時,禁止存取重要的服務(wù)者等。
執(zhí)行存取控制參數(shù)必須是簡單且直接的,以一個明確的圖形使用者接口(GUI)操作,最好全部的組件都是使用對象導(dǎo)向的方式來定義。而每一個規(guī)則能包含任何網(wǎng)絡(luò)對象、服務(wù)、動作和追蹤機置,并可判斷規(guī)則的沖突性。防火墻除必須提供安全的存取控制外,還必須抵擋惡意的攻擊。例如IP Spoofing、Denial of Service、Ping of Death等等。
(2)認證機制
防火墻認證的應(yīng)用為當(dāng)使用者與目的主機聯(lián)機時,在通訊被允許進行之前,認證的機制服務(wù)可安全的確認他們身份的有效性,且不需要修改服務(wù)器或客戶端應(yīng)用軟件。認證服務(wù)是可完全的被整合到企業(yè)整體的安全政策內(nèi),并能經(jīng)由防火墻圖形使用者接口集中管理。所有的認證會期也都能經(jīng)由防火墻日志瀏覽器來監(jiān)視和追蹤。
一般防火墻所提供的認證機制與方法多寡不一,以Check Point FireWall-1為例,提供使用者的認證:針對FTP、TELNET、HTTP和RLOGIN提供透通的使用者認證;客戶端認證:可針對特定IP地址的使用者授予存取的權(quán)限;透通的會期認證:提供以會期為基礎(chǔ)的任何一種應(yīng)用服務(wù)的認證等.
認證的機制包括固定的密碼,如OS及防火墻的密碼;以及動態(tài)的One Time Password的密碼,如S/key、SectrID、RADIUS等。如要使用固定的密碼認證,建議使用防火墻的密碼較安全,但是固定密碼還是容易被監(jiān)聽,最好是使用One Time Password的方式,以防止被竊取。
(3)內(nèi)容的安全性
防火墻所提供的內(nèi)容安全能力,可達到最高層次的應(yīng)用服務(wù)協(xié)議檢測,以保護使用者企業(yè)資源。以Check Point FireWall-1而言,包含計算機病毒和惡意Java與ActiveX Applets的內(nèi)容安全性檢查,經(jīng)由圖形的接口可集中管理。另外提供開放平臺的安全企業(yè)連接(OPSEC)架構(gòu)的API,可整合第三者廠商內(nèi)容過濾的應(yīng)用。主要的應(yīng)用如下:
A、 URL過濾
可維護公司寶貴的網(wǎng)絡(luò)頻寬和增加網(wǎng)絡(luò)另一層次的控制,允許網(wǎng)絡(luò)管理者存取Internet特定網(wǎng)頁,并可確保員工只能下傳和存取的網(wǎng)頁信息。
B、 電子郵件的支持
通過SMTP的連接提供高度的控制以保護網(wǎng)絡(luò)。可在一個標(biāo)準(zhǔn)的應(yīng)用程序地址之后,隱藏一個外出的郵件地址,或可隱藏內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)與真正的內(nèi)部的使用者,或丟棄超過所給與郵件信息的容量等。
C、 FTP的支持
FTP指令(如PUT/GET)的內(nèi)容安全性,可限制文件名稱和檔案反病毒檢查等。
(4)網(wǎng)絡(luò)地址轉(zhuǎn)譯
網(wǎng)絡(luò)地址轉(zhuǎn)譯對Internet而言,可隱藏內(nèi)部的網(wǎng)絡(luò)地址,克服了IP地址數(shù)量的限制,可維護一個企業(yè)的內(nèi)部地址的完整性,對映內(nèi)部非注過冊IP地址以一個合法有效的IP對外,可完整存取Internet。防火墻提供兩種操作模式:
A、 動態(tài)的模式
當(dāng)維持已注冊IP地址給予使用者存取Internet的時候和隱藏內(nèi)部實際IP地址的網(wǎng)絡(luò)資源,可使用動態(tài)的模式達到地址轉(zhuǎn)譯。動態(tài)的模式可將內(nèi)部所有IP地址的連接,經(jīng)過防火墻與單一個合法的IP地址對外。
B、靜態(tài)的模式
可應(yīng)用在一個網(wǎng)絡(luò)IP地址很早就被分派使用和你需要提供「真正的」地址,以
便人們在Internet能存取他們,靜態(tài)模式的地址轉(zhuǎn)譯可解決上述問題。靜態(tài)的模式提供一個對一個的對映在對外公開IP地址和內(nèi)部真正的IP地址之間。
(5)加密(虛擬私人網(wǎng)絡(luò))
私人的網(wǎng)絡(luò)利用一些公用網(wǎng)絡(luò)的設(shè)施稱為虛擬私人網(wǎng)絡(luò)或者VPN。一個VPN與一個專屬的私人的網(wǎng)絡(luò)相比較,優(yōu)點顯然是是減少昂貴的費用與更多的彈性。在公開的網(wǎng)絡(luò)環(huán)境中,公司的信息可能在網(wǎng)際網(wǎng)絡(luò)傳輸過程中遭受竊聽與篡改,可利用加密功能在Internet上建立安全的通訊頻道,可確保在公司內(nèi)部的資源具備完整的隱私性、真實性與資料完整性。
由于每一家的防火墻加密機制大都不同,在標(biāo)準(zhǔn)IPSec的加密未完全產(chǎn)品化之前, 彼此之間的整合性還是有問題。而加密軟件的出口至今還是受美國的限制,一般商業(yè)的使用維持40Bits,金融項目申請可達56Bits。VPN可應(yīng)用在遠程使用者與防火墻之間及防火墻與防火墻之間的加解密。
(6)產(chǎn)品的后續(xù)支持及廠商的技術(shù)能力
Internet有新的安全產(chǎn)品出現(xiàn),就有人會研究新的破解方法,所以一個好的防火墻提供者就必須要有一個龐大的組織作為使用者安全的后盾,也應(yīng)該要有眾多的使用者所建立的口碑為防火墻作見證。現(xiàn)今國內(nèi)防火墻產(chǎn)品大部分是代理國外的軟件,搭配硬件出售,很多防火墻的代理商都是銷售單一防火墻產(chǎn)品,無法提供完整的安全解決方案,因企業(yè)內(nèi)部有Intranet、Database等軟件,如廠商無法提供整體的技術(shù)與安全政策,將會帶給使用者更多的夢魘。所以在選購防火墻產(chǎn)品,你最好參考一下業(yè)界的評語、實際的安裝經(jīng)驗或?qū)嵉販y試。
(7)內(nèi)部人員考核與訓(xùn)練
這部分的安全政策屬于人員安全的管理,主要目的在降低人員使用信息或操作信息設(shè)備時所可能發(fā)生的錯誤,如濫用、竊取、欺騙、遺失等問題。要避免前述的情況發(fā)生,首先應(yīng)該從人員背景的調(diào)查與考核作起,尤其針對一些較敏感的信息之使用,應(yīng)慎選適當(dāng)人員來負責(zé)。其次,企業(yè)制定的安全政策為的就是希望讓企業(yè)內(nèi)部所有人員熟悉與了解。因此,最佳的方法,便是賦予人員應(yīng)有的信息安全責(zé)任,并通過日常的信息安全教育訓(xùn)練來達到此一目的。除了以各種方式公布安全政策外,企業(yè)可以部門為單位,實施信息安全養(yǎng)成教育,由負責(zé)信息安全事宜的同仁來擔(dān)任,解釋企業(yè)信息安全政策的內(nèi)容,告訴使用平時應(yīng)該注意哪些細節(jié),了解怎么做、什么事可以做、什么事不可以做。舉例來說,有關(guān)計算機帳號的管理政策中明定,員工計算機中毒時,應(yīng)該實時通知信息部門人員協(xié)助處理,并作詳細的回報與記錄,以避免計算機病毒擴散,造成企業(yè)內(nèi)部更嚴(yán)重的損失。像這樣的政策,如果只是公布,而沒有對員工作適當(dāng)?shù)慕逃?xùn)練,一旦真的發(fā)生中毒的事件,必定是手忙腳亂,無法順利排解問題,相反的,只會造成更多的問題。
小結(jié):
需要特別說明的是,一個良好的防火墻安全機制如果不能有效地實施,那么一切還是形同虛設(shè)。一個專業(yè)知識有限的黑客,有時甚至是通過一次電話撥號連接,就能輕易地侵入和攻擊一個企業(yè)的電腦網(wǎng)絡(luò),使企業(yè)直接損失上百萬。如果嚴(yán)格執(zhí)行了,那么,黑客滲透進來的成本就更高,他們就需要更多的資源,而這些都是大多數(shù)潛在的黑客做不到的。所以人還是最關(guān)鍵的因素。
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項技術(shù)都需要適時應(yīng)勢,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進步的催化劑。
