神马文学网防火墙深层技术分析
来源:百度文库 编辑:神马文学网 时间:2024/04/20 01:58:56
防火墙的透明模式和透明代理
--------------------------------------------------------------------------------
(一)防火墙的透明模式和透明代理
随着防火墙技术的发展,安全性高、操作简便、界面友好的防火墙逐渐成为市场热点。在这种情况下,可以大大简化防火墙设置、提高安全性能的透明模式和透明代理就成为衡量产品性能的重要指标。于是在推荐产品的过程中,很多厂商往往会介绍自己的产品实现了透明模
式和透明代理。那么究竟什么是透明模式和透明代理呢?他们之间又有何关系呢?下面我们将做具体分析。
透明模式,顾名思义,首要的特点就是对用户是透明的(Transparent),即用户意识不到防火墙的存在。要想实现透明模式,防火墙必须在没有IP地址的情况下工作,不需要对其设置IP地址,用户也不知道防火墙的IP地址。
防火墙作为实际存在的物理设备,其本身也起到路由的作用,所以在为用户安装防火墙时,就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表,以适应用户的实际需要,这样就增加了工作的复杂程度和难度。但如果防火墙采用了透明模式,即采用无IP方
式运行,用户将不必重新设定和修改路由,防火墙就可以直接安装和放置到网络中使用,如交换机一样不需要设置IP地址。
透明模式的防火墙就好象是一台网桥(非透明的防火墙好象一台路由器),网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变,同时解析所有通过它的数据包,既增加了网络的安全性,又降低了用户管理的复杂程度。
而与透明模式在称呼上相似的透明代理,和传统代理一样,可以比包过滤更深层次地检查数据信息,比如FTP包的port命令等。同时它也是一个非常快的代理,从物理上分离了连接,这可以提供更复杂的协议需要,例如带动态端口分配的H.323,或者一个带有不同命令端口和数据端口的连接。这样的通信是包过滤所无法完成的。
防火墙使用透明代理技术,这些代理服务对用户也是透明的,用户意识不到防火墙的存在,便可完成内外网络的通讯。当内部用户需要使用透明代理访问外部资源时,用户不需要进行设置,代理服务器会建立透明的通道,让用户直接与外界通信,这样极大地方便了用户的使
用。
一般使用代理服务器时,每个用户需要在客户端程序中指明要使用代理,自行设置Proxy参数(如在浏览器中有专门的设置来指明HTTP或FTP等的代理)。而透明代理服务,用户不需要任何设置就可以使用代理服务器,简化了网络的设置过程。
透明代理的原理如下:假设A为内部网络客户机,B为外部网络服务器,C为防火墙。当A对B有连接请求时,TCP连接请求被防火墙截取并加以监控。截取后当发现连接需要使用代理服务器时,A和C之间首先建立连接,然后防火墙建立相应的代理服务通道与目标B建立连接,由此通过代理服务器建立A 和目标地址B的数据传输途径。从用户的角度看,A和B的连接是直接的,而实际上A 是通过代理服务器C和B建立连接的。反之,当B对A有连接请求时原理相同。由于这些连接过程是自动的,不需要客户端手工配置代理服务器,甚至用户根本不知道代理服务器的存在,因而对用户来说是透明的。
代理服务器可以做到内外地址的转换,屏蔽内部网的细节,使非法分子无法探知内部结构。代理服务器提供特殊的筛选命令,可以禁止用户使用容易造成攻击的不安全的命令,从根本上抵御攻击。
防火墙使用透明代理技术,还可以使防火墙的服务端口无法探测到,也就无法对防火墙进行攻击,大大提高了防火墙的安全性与抗攻击性。透明代理避免了设置或使用中可能出现的错误,降低了防火墙使用时固有的安全风险和出错概率,方便用户使用。
因此,透明代理与透明模式都可以简化防火墙的设置,提高系统安全性。但两者之间也有本质的区别:工作于透明模式的防火墙使用了透明代理的技术,但透明代理并不是透明模式的全部,防火墙在非透明模式中也可以使用透明代理。值得注意的是,虽然国内市场上很多防
火墙产品都可提供透明代理访问机制,但真正实现透明模式的却不多——有很多厂商都宣称自己的防火墙产品实现了透明模式,但在实际应用中,他们往往做不到这一点,而只是实现透明代理。
二)防火墙类型和比较常见防火墙的类型主要有三种:包过滤、电路层网关、应用层网关,每种都有各自的优缺点。
包过滤是第一代防火墙技术,它按照安全规则,检查所有进来的数据包,而这些安全规则大都是基于低层协议的,如IP、TCP。如果一个数据包满足以上所有规则,过滤路由器把数据向上层提交,或转发此数据包,否则就丢弃此包。
包过滤的优缺点
优点:一个过滤路由器能协助保护整个网络;数据包过滤对用户透明;过滤路由器速度快、效率高。
缺点:不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略。
代理是一种较新型的防火墙技术,这种防火墙有时也被称为应用层网关,这种防火墙的工作方式和过滤数据包的防火墙、以路由器为基础的防火墙的工作方式稍有不同。它是基于软件的。
电路层网关是建立应用层网关的一个更加灵活和一般的方法。虽然它们可能包含支持某些特定TCP/IP应用程序的代码,但通常要受到限制。如果支持应用程序,那也很可能是TCP/IP应用程序。在电路层网关中,可能要安装特殊的客户机软件,用户可能需要一个可变用户接口来相互作用或改变他们的工作习惯。
代理技术的优缺点
优点:代理易于配置;代理能生成各项记录;代理能灵活、完全地控制进出的流量、内容;代理能过滤数据内容;代理能为用户提供透明的加密机制;代理可以方便地与其他安全手段集成。
缺点:代理速度较路由器慢;代理对用户不透明;对于每项服务代理可能要求不同的服务器;代理服务不能保证你免受所有协议弱点的限制;代理不能改进底层协议的安全性。
深度包检测是防火墙的新武器
企业要确保防火墙线速执行深度包检测,并根据应用内容、来源、目标及端口实施安全策略,从而有效地阻挡网络攻击。拥有丰富特性集和高吞吐量的深度包检测防火墙将带来更高的网络安全和投资回报。如今部署Web服务的企业要确保防火墙能够满足这种服务提出的安全需求。
防火墙是防御网络入侵者的最有效机制,阻挡基于网络的攻击的功能也曰益完善。防火墙的发展阶段包括访问控制列表、应用代理服务、状态检测三个阶段。访问控制列表——路由器和网关基于来源和目标IP地址以及连接所用协议作出决策。每种协议与不同的端口号相关联,譬如端口80用于HTTP,端口110用于邮局协议(POP)。除了用于Web访问的HTTP和用于电子邮件的简单邮件传输协议(SMTP)等标准协议外,许多网关阻挡其它各种访问。
应用代理服务——应用代理防火墙是一种应用软件,在网络和代理服务器之间的服务器上运行,譬如代理Web服务器的HTTP防火墙。从外面来看,代理防火墙所运行的HTTP服务器如同目标服务器;从里面来看,它又如同提出请求的客户浏览器。这种“中间服务器”为安全管理员提供了对接受或阻挡哪种流量确定规则的机会。健壮的应用代理防火墙需要运行它所防御的每种应用的实例,包括Web服务器、数据库服务、IRC、FTP、Telnet、电子邮件、Morpheus及企业的定制应用。应用代理服务在防火墙市场未能获得成功是因为需要处理众多的应用。此外,调用应用会大大增加时延,因而无法实现线速网络处理。将来,企业多半不再使用基于软件的应用代理防火墙。
状态检测——网关防火墙面临的其中一个挑战就是吞吐量。开发状态检测功能是为了让规则能够运用到会话发起过程,从而提高吞吐量。状态检测防火墙查看包头后,根据规则集作出决定。阻挡或允许访问的决定适用于该会话后来的所有包(会话则由来源、目标地址、协议和时间因素确定)。状态检测防火墙是一种包处理器,这种网络设备能够扩展,以适应因特网数据中心及某些企业所需的千兆速率。然而,应用防御需要识别有效载荷内容的更强功能及线速检测功能。Web服务将需要高速分析XML及简单对象访问协议(SOAP)对象。对这种应用实施安全策略就需要全面检测包有效载荷的功能。状态防火墙技术唯有不断发展才能满足这种新需求。
深度包检测将成为防火墙发展的下一个阶段。近期最具破坏性的网络攻击如红色代码和尼姆达都利用了应用存在的漏洞,这加大了对应用防火墙的需求。说到保护系统免受类似尼姆达的攻击,众多的应用代理收效甚微。将来,只依靠代理或状态包检测防火墙的企业遭到应用层攻击破坏的机率两倍于采用先进的深度包检测防火墙方案的企业。
Gartner认为,代理系统对阻挡将来的攻击并非至关重要。将来防火墙需要更加深入监控信息包流,查出恶意行为,并加以阻挡。市场上的包检测解决方案必须增添功能(如特征检测)寻找已知攻击,并知道什么是“正常”流量(基于行为的系统),以及阻挡协议的异常行为。
最近防火墙厂商的动态表明,防火墙的这个发展阶段已经到来。譬如说,Check Point的SmartDefense使Firewall-1能够查找常见攻击,并丢弃与之有关的会话。NetScreen收购OneSecure后,把深度包检测功能集成到了其应用特定的集成电路防火墙设备。TippingPoint、NetContinuum、Fortinet和iPolicy等新兴厂商也在利用分析包有效载荷以实施安全规则的功能。
Web服务将迫使边界防御机制提高识别允许哪类流量以代码如SOAP元素或控制消息如XML语句等形式通过端口80访问网络的能力。防火墙厂商就要提供能控制这种流量的解决方案。
解释"DMZ"的含义
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。网络结构如下图所示。
网络设备开发商,利用这一技术,开发出了相应的防火墙解决方案。称“非军事区结构模式”。DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。网络结构如下图所示。
DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。同时它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池,以及所有的公共服务器,但要注意的是电子商务服务器只能用作用户连接,真正的电子商务后台数据需要放在内部网络中。
在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,它还可以起到保护内部网络的功能。而局域网内部,对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大大加强,但投资成本也是最高的。
--------------------------------------------------------------------------------
(一)防火墙的透明模式和透明代理
随着防火墙技术的发展,安全性高、操作简便、界面友好的防火墙逐渐成为市场热点。在这种情况下,可以大大简化防火墙设置、提高安全性能的透明模式和透明代理就成为衡量产品性能的重要指标。于是在推荐产品的过程中,很多厂商往往会介绍自己的产品实现了透明模
式和透明代理。那么究竟什么是透明模式和透明代理呢?他们之间又有何关系呢?下面我们将做具体分析。
透明模式,顾名思义,首要的特点就是对用户是透明的(Transparent),即用户意识不到防火墙的存在。要想实现透明模式,防火墙必须在没有IP地址的情况下工作,不需要对其设置IP地址,用户也不知道防火墙的IP地址。
防火墙作为实际存在的物理设备,其本身也起到路由的作用,所以在为用户安装防火墙时,就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表,以适应用户的实际需要,这样就增加了工作的复杂程度和难度。但如果防火墙采用了透明模式,即采用无IP方
式运行,用户将不必重新设定和修改路由,防火墙就可以直接安装和放置到网络中使用,如交换机一样不需要设置IP地址。
透明模式的防火墙就好象是一台网桥(非透明的防火墙好象一台路由器),网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变,同时解析所有通过它的数据包,既增加了网络的安全性,又降低了用户管理的复杂程度。
而与透明模式在称呼上相似的透明代理,和传统代理一样,可以比包过滤更深层次地检查数据信息,比如FTP包的port命令等。同时它也是一个非常快的代理,从物理上分离了连接,这可以提供更复杂的协议需要,例如带动态端口分配的H.323,或者一个带有不同命令端口和数据端口的连接。这样的通信是包过滤所无法完成的。
防火墙使用透明代理技术,这些代理服务对用户也是透明的,用户意识不到防火墙的存在,便可完成内外网络的通讯。当内部用户需要使用透明代理访问外部资源时,用户不需要进行设置,代理服务器会建立透明的通道,让用户直接与外界通信,这样极大地方便了用户的使
用。
一般使用代理服务器时,每个用户需要在客户端程序中指明要使用代理,自行设置Proxy参数(如在浏览器中有专门的设置来指明HTTP或FTP等的代理)。而透明代理服务,用户不需要任何设置就可以使用代理服务器,简化了网络的设置过程。
透明代理的原理如下:假设A为内部网络客户机,B为外部网络服务器,C为防火墙。当A对B有连接请求时,TCP连接请求被防火墙截取并加以监控。截取后当发现连接需要使用代理服务器时,A和C之间首先建立连接,然后防火墙建立相应的代理服务通道与目标B建立连接,由此通过代理服务器建立A 和目标地址B的数据传输途径。从用户的角度看,A和B的连接是直接的,而实际上A 是通过代理服务器C和B建立连接的。反之,当B对A有连接请求时原理相同。由于这些连接过程是自动的,不需要客户端手工配置代理服务器,甚至用户根本不知道代理服务器的存在,因而对用户来说是透明的。
代理服务器可以做到内外地址的转换,屏蔽内部网的细节,使非法分子无法探知内部结构。代理服务器提供特殊的筛选命令,可以禁止用户使用容易造成攻击的不安全的命令,从根本上抵御攻击。
防火墙使用透明代理技术,还可以使防火墙的服务端口无法探测到,也就无法对防火墙进行攻击,大大提高了防火墙的安全性与抗攻击性。透明代理避免了设置或使用中可能出现的错误,降低了防火墙使用时固有的安全风险和出错概率,方便用户使用。
因此,透明代理与透明模式都可以简化防火墙的设置,提高系统安全性。但两者之间也有本质的区别:工作于透明模式的防火墙使用了透明代理的技术,但透明代理并不是透明模式的全部,防火墙在非透明模式中也可以使用透明代理。值得注意的是,虽然国内市场上很多防
火墙产品都可提供透明代理访问机制,但真正实现透明模式的却不多——有很多厂商都宣称自己的防火墙产品实现了透明模式,但在实际应用中,他们往往做不到这一点,而只是实现透明代理。
二)防火墙类型和比较常见防火墙的类型主要有三种:包过滤、电路层网关、应用层网关,每种都有各自的优缺点。
包过滤是第一代防火墙技术,它按照安全规则,检查所有进来的数据包,而这些安全规则大都是基于低层协议的,如IP、TCP。如果一个数据包满足以上所有规则,过滤路由器把数据向上层提交,或转发此数据包,否则就丢弃此包。
包过滤的优缺点
优点:一个过滤路由器能协助保护整个网络;数据包过滤对用户透明;过滤路由器速度快、效率高。
缺点:不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略。
代理是一种较新型的防火墙技术,这种防火墙有时也被称为应用层网关,这种防火墙的工作方式和过滤数据包的防火墙、以路由器为基础的防火墙的工作方式稍有不同。它是基于软件的。
电路层网关是建立应用层网关的一个更加灵活和一般的方法。虽然它们可能包含支持某些特定TCP/IP应用程序的代码,但通常要受到限制。如果支持应用程序,那也很可能是TCP/IP应用程序。在电路层网关中,可能要安装特殊的客户机软件,用户可能需要一个可变用户接口来相互作用或改变他们的工作习惯。
代理技术的优缺点
优点:代理易于配置;代理能生成各项记录;代理能灵活、完全地控制进出的流量、内容;代理能过滤数据内容;代理能为用户提供透明的加密机制;代理可以方便地与其他安全手段集成。
缺点:代理速度较路由器慢;代理对用户不透明;对于每项服务代理可能要求不同的服务器;代理服务不能保证你免受所有协议弱点的限制;代理不能改进底层协议的安全性。
深度包检测是防火墙的新武器
企业要确保防火墙线速执行深度包检测,并根据应用内容、来源、目标及端口实施安全策略,从而有效地阻挡网络攻击。拥有丰富特性集和高吞吐量的深度包检测防火墙将带来更高的网络安全和投资回报。如今部署Web服务的企业要确保防火墙能够满足这种服务提出的安全需求。
防火墙是防御网络入侵者的最有效机制,阻挡基于网络的攻击的功能也曰益完善。防火墙的发展阶段包括访问控制列表、应用代理服务、状态检测三个阶段。访问控制列表——路由器和网关基于来源和目标IP地址以及连接所用协议作出决策。每种协议与不同的端口号相关联,譬如端口80用于HTTP,端口110用于邮局协议(POP)。除了用于Web访问的HTTP和用于电子邮件的简单邮件传输协议(SMTP)等标准协议外,许多网关阻挡其它各种访问。
应用代理服务——应用代理防火墙是一种应用软件,在网络和代理服务器之间的服务器上运行,譬如代理Web服务器的HTTP防火墙。从外面来看,代理防火墙所运行的HTTP服务器如同目标服务器;从里面来看,它又如同提出请求的客户浏览器。这种“中间服务器”为安全管理员提供了对接受或阻挡哪种流量确定规则的机会。健壮的应用代理防火墙需要运行它所防御的每种应用的实例,包括Web服务器、数据库服务、IRC、FTP、Telnet、电子邮件、Morpheus及企业的定制应用。应用代理服务在防火墙市场未能获得成功是因为需要处理众多的应用。此外,调用应用会大大增加时延,因而无法实现线速网络处理。将来,企业多半不再使用基于软件的应用代理防火墙。
状态检测——网关防火墙面临的其中一个挑战就是吞吐量。开发状态检测功能是为了让规则能够运用到会话发起过程,从而提高吞吐量。状态检测防火墙查看包头后,根据规则集作出决定。阻挡或允许访问的决定适用于该会话后来的所有包(会话则由来源、目标地址、协议和时间因素确定)。状态检测防火墙是一种包处理器,这种网络设备能够扩展,以适应因特网数据中心及某些企业所需的千兆速率。然而,应用防御需要识别有效载荷内容的更强功能及线速检测功能。Web服务将需要高速分析XML及简单对象访问协议(SOAP)对象。对这种应用实施安全策略就需要全面检测包有效载荷的功能。状态防火墙技术唯有不断发展才能满足这种新需求。
深度包检测将成为防火墙发展的下一个阶段。近期最具破坏性的网络攻击如红色代码和尼姆达都利用了应用存在的漏洞,这加大了对应用防火墙的需求。说到保护系统免受类似尼姆达的攻击,众多的应用代理收效甚微。将来,只依靠代理或状态包检测防火墙的企业遭到应用层攻击破坏的机率两倍于采用先进的深度包检测防火墙方案的企业。
Gartner认为,代理系统对阻挡将来的攻击并非至关重要。将来防火墙需要更加深入监控信息包流,查出恶意行为,并加以阻挡。市场上的包检测解决方案必须增添功能(如特征检测)寻找已知攻击,并知道什么是“正常”流量(基于行为的系统),以及阻挡协议的异常行为。
最近防火墙厂商的动态表明,防火墙的这个发展阶段已经到来。譬如说,Check Point的SmartDefense使Firewall-1能够查找常见攻击,并丢弃与之有关的会话。NetScreen收购OneSecure后,把深度包检测功能集成到了其应用特定的集成电路防火墙设备。TippingPoint、NetContinuum、Fortinet和iPolicy等新兴厂商也在利用分析包有效载荷以实施安全规则的功能。
Web服务将迫使边界防御机制提高识别允许哪类流量以代码如SOAP元素或控制消息如XML语句等形式通过端口80访问网络的能力。防火墙厂商就要提供能控制这种流量的解决方案。
解释"DMZ"的含义
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。网络结构如下图所示。
网络设备开发商,利用这一技术,开发出了相应的防火墙解决方案。称“非军事区结构模式”。DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。网络结构如下图所示。
DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。同时它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池,以及所有的公共服务器,但要注意的是电子商务服务器只能用作用户连接,真正的电子商务后台数据需要放在内部网络中。
在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,它还可以起到保护内部网络的功能。而局域网内部,对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大大加强,但投资成本也是最高的。