網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。
3、被屏蔽主機網關(ScreenedGatewy)
屏蔽主機網關易于實現也最為安全。一個堡壘主機安裝在內部網絡上,通常在路由器上設立過濾規則,并使這個堡壘主機成為從外部網絡惟一可直接到達的主機,這確保了內部網絡不受未被授權的外部用戶的攻擊。如果受保護網是一個虛擬擴展的本地網,即沒有子網和路由器,那么內部網的變化不影響堡壘主機和屏蔽路由器的配置。危險帶限制在堡壘主機和屏蔽路由器。網關的基本控制策略由安裝在上面的軟件決定。如果攻擊者沒法登錄到它上面,內網中的其余主機就會受到很大威脅。這與雙穴主機網關受攻擊時的情形差不多。
4、被屏蔽子網(ScreenedSubnet)
被屏蔽子網就是在內部網絡和外部網絡之間建立一個被隔離的子網,用兩臺分組過濾路由器將這一子網分別與內部網絡和外部網絡分開。在很多實現中,兩個分組過濾路由器放在子網的兩端,在子網內構成一個DNS,內部網絡和外部網絡均可訪問被屏蔽子網,但禁止它們穿過被屏蔽子網通信。有的屏蔽子網中還設有一堡壘主機作為惟一可訪問點,支持終端交互或作為應用網關代理。這種配置的危險僅包括堡壘主機、子網主機及所有連接內網、外網和屏蔽子網的路由器。如果攻擊者試圖完全破壞防火墻,他必須重新配置連接三個網的路由器,既不切斷連接又不要把自己鎖在外面,同時又不使自己被發現,這樣也還是可能的。但若禁止網絡訪問路由器或只允許內網中的某些主機訪問它,則攻擊會變得很困難。在這種情況下,攻擊者得先侵入堡壘主機,然后進入內網主機,再返回來破壞屏蔽路由器,并且整個過程中不能引發警報。
防火墻的基本類型
如今市場上的防火墻林林總總,形式多樣。有以軟件形式運行在普通計算機之上的,也有以固件形式設計在路由器之中的。總的來說可以分為三種:包過濾防火墻、代理服務器和狀態監視器。
包過濾防火墻(IPFiltingFirewall):
包過濾(PacketFilter)是在網絡層中對數據包實施有選擇的通過,依據系統事先設定好的過濾邏輯,檢查數據據流中的每個數據包,根據數據包的源地址、目標地址、以及包所使用端口確定是否允許該類數據包通過。在互聯網這樣的信息包交換網絡上,所有往來的信息都被分割成許許多多一定長度的信息包,包中包括發送者的IP地址和接收者的IP地址。當這些包被送上互聯網時,路由器會讀取接收者的IP并選擇一條物理上的線路發送出去,信息包可能以不同的路線抵達目的地,當所有的包抵達后會在目的地重新組裝還原。包過濾式的防火墻會檢查所有通過信息包里的IP地址,并按照系統管理員所給定的過濾規則過濾信息包。如果防火墻設定某一IP為危險的話,從這個地址而來的所有信息都會被防火墻屏蔽掉。這種防火墻的用法很多,比如國家有關部門可以通過包過濾防火墻來禁止國內用戶去訪問那些違反我國有關規定或者"有問題"的國外站點,例如www.playboy.com、www.cnn.com等等。包過濾路由器的最大的優點就是它對于用戶來說是透明的,也就是說不需要用戶名和密碼來登錄。這種防火墻速度快而且易于維護,通常做為第一道防線。包過濾路由器的弊端也是很明顯的,通常它沒有用戶的使用記錄,這樣我們就不能從訪問記錄中發現黑客的攻擊記錄。而攻擊一個單純的包過濾式的防炎墻對黑客來說是比較容易的,他們在這一方面已經積了大量的經驗。"信息包沖擊"是黑客比較常用的一種攻擊手段,黑客們對包過濾式防火墻發出一系列信息包,不過這些包中的IP地址已經被替換掉了(FakeIP),取而代之的是一串順序的IP地址。一旦有一個包通過了防火墻,黑客便可以用這個IP地十來偽裝他們發出的信息。在另一些情況下黑客們使用一種他們自己編制的路由器攻擊程序,這種程序使用路由器協議(RoutingInformationProtcol)來發送偽造的路由信息,這樣所有的包都會被重新路由到一個入侵者所指定的特別地址。對付這種路由器的另一種技術被稱之為"同步淹沒",這實際上是一種網絡炸彈。攻擊者向被攻擊的計算機發出許許多多個虛假的"同步請求"信號包,當服務器響應了這種信號包后會等待請求發出者的回答,而攻擊者不做任何的響應。如果服務器在45秒鐘里沒有收到反應信號的話就會取消掉這次請求。但是當服務器在處理成知上萬個虛假請求時,它便沒有時間來處理正常的用戶請求,處于這種攻擊下的服務器和死鎖沒什么兩樣。此種防火墻的缺點是很明顯的,通常它沒有用戶的使用記錄,這樣我們就不能從訪問記錄中發現黑客的攻擊記錄。此外,配置繁瑣也是包過濾防火墻的一個缺點。它阻擋別人進入內部網絡,但也不告訴你何人進入你的系統,或者何人從內部進入網際網路。它可以阻止外部對私有網絡的訪問,卻不能記錄內部的訪問。包過濾另一個關鍵的弱點就是不能在用戶級別上進行過濾,即不能鑒別不同的用戶和防止IP地址盜用。包過濾型防火墻是某種意義上的絕對安全的系統。
代理服務器(ProxyServer):
代理服務器通常也稱作應用級防火墻。包過濾防火墻可以按照IP地址來禁止未授權者的訪問。但是它不適合單位用來控制內部人員訪問外界的網絡,對于這樣的企業來說應用級防火墻是更好的選擇。所謂代理服務,即防火墻內外的計算機系統應用層的鏈接是在兩個終止于代理服務的鏈接來實現的,這樣便成功地實現了防火墻內外計算機系統的隔離。代理服務是設置在Internet防火墻網關上的應用,是在網管員允許下或拒絕的特定的應用程度或者特定服務,同時,還可應用于實施較強的數據流監控、過濾、記錄和報告等功能。一般情況下可應用于特定的互聯網服務,如超文本傳輸(HTTP)、遠程文件傳輸(FTP)等。代理服務器通常擁有高速緩存,緩存中存有用戶經常訪問站點的內容,在下一個用戶要訪問同樣的站點時,服務器就用不著重復地去抓同樣的內容,既節約了時間也節約了網絡資源。
下面筆者向網友們簡單介紹幾種代理服務器的設計實現方式:
1、應用代理服務器(ApplicationGatewayProxy)
應用代理服務器可以在網絡應用層提供授權檢查及代理服務。當外部某臺主機試圖訪問(如Telnet)受保護網時,它必須先在防火墻上經過身份認證。通過身份認證后,防火墻運行一個專門為Telnet設計的程序,把外部主機與內部主機連接。在這個過程中,防火墻可以限制用戶訪問的主機、訪問的時間及訪問的方式。同樣,受保護網絡內部用戶訪問外部網時也需先登錄到防火墻上,通過驗證后才可使用Telnet或FTP等有效命令。應用網關代理的優點是既可以隱藏內部IP地址,也可以給單個用戶授權,即使攻擊者盜用了一個合法的IP地址。他也通不過嚴格的身份認證。因特網關比報文過濾具有更高的安全性。但是這種認證使得應用網關不透明,用戶每次連接都要受到"盤問",這給用戶帶來許多不便。而且這種代理技術需要為每個應用網關寫專門的程序。
2、回路級代理服務器
回路級代理服務器也稱一般代理服務器,它適用于多個協議,但無法解釋應用協議,需要通過其他方式來獲得信息。所以,回路級代理服務器通常要求修改過的用戶程序。其中,套接字服務器(SocketsServer)就是回路級代理服務器。套接字(Sockets)是一種網絡應用層的國際標準。當受保護網絡客戶機需要與外部網交互信息時,在防火墻上的套接字服務器檢查客戶的UserID、IP源地址和IP目的地址,經過確認后,套服務器才與外部的段服務器建立連接。對用戶來說,受保護網與外部網的信息交換是透明的,感覺不到防火墻的存在,那是因為因特網絡用戶不需要登錄到防火墻上。但是客戶端的應用軟件必須支持"SocketsifideAPI"受保護網絡用戶訪問公共網所使用的IP地址也都是防火墻的IP地址。
3、代管服務器
代管服務器技術換言之就是把不安全的服務,諸如FTP、Telnet等放到防火墻上,使它同時充當服務器,對外部的請求作出回答。與應用層代理實現相比,代管服務器技術不必為每種服務專門寫程序。而且,受保護網內部用戶想對外部網訪問時,也需先登錄到防火墻上,再向外提出請求,這樣從外部網向內就只能看到防火墻,從而隱藏了內部地址,提高了安全性。
4、IP通道(IPTunnels)
如果某公司下屬的兩個子公司相隔較遠,通過Internet進行通信時,可以采用IPTunnels來防止Internet上的黑客截取信息,從而在Internet上形成一個虛構的企業網。
5、網地址轉換器(NetworkAddressTranslate)
當受保護網連到Internet上時,受保護網用戶若要訪問Internet,必須使用一個合法的IP地址。但由于合法InternetIP地址有限,而且受保護網絡往往有自己的一套IP地址規劃。網絡地址轉換器就是在防火墻上裝一個合法IP地址集。當內部某一用戶要訪問Internet時,防火墻態地從地址集中選一個未分配的地址分配給該用戶,該用戶即可使用這個合法地址進行通信。同時,對于內部的某些服務器如Web服務器,網絡地址轉換器允許為其分配一個固定的合法地址。外部網絡的用戶就可通過防火墻來訪問內部的服務器。這種技術既緩解了少量的IP地址和大量的主機之間的矛盾,又對外隱藏了內部主機的IP地址,提高了安全性。
網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。
