1、防火墙来是怎样防止非法者的入侵 2、目前防火墙的技术 3、定制安全机制
如何定制企业防火墙安全机制
前言:
随着互联网发展日渐蓬勃,由于黑客的非法入侵时及病毒摧毁计算机所造成的威胁有越来越严重的趋势,企业对于功能更强大的防火墙的需求也越来越迫切。许多的企业也因为之前没有对网络架构作好网络防护措施,付出了惨痛而昂贵的代价。在使用防火墙产品以防止黑客的非法入侵时,除了产品的安全性与执行效能外,另外善解人意的GUI接口、完整的服务功能、厂商技术支持能力等,缺一不可。在享受丰盛的Internet/Intranet各种建置及所带来的效率与成本回收的成果之时,如果企业没有一个良好的安全防范机制,企业内部网络资源将不堪一击,这不是在危言耸听。
防火墙是Internet上公认网络存取控制最佳的安全解决方案,网络公司正式将防火墙列入信息安全机制;防火墙是软硬件的结合体,架设在网络之间以确保安全的连接。因此它可以当做Internet、Intranet或Extranet的网关器,以定义一个规则组合或安全政策,来控制网络间的通讯。并可有效率的记录各种Internet应用服务的存取信息、隐藏企业内部资源、减少企业网络曝露的危机等。所以正确安全的防火墙架构必须让所有外部到内部或内部到外部的封包都必须通过防火墙,且唯有符合安全政策定义的封包,才能通过防火墙;既然防火墙是Internet/Intranet相关技术服务进出的唯一信道,要正确的使用防火墙就必须先了解防火墙的技术为何?安全性是否符合各种应用服务的需求?认证方式有哪些及网络传输资料的加解/密功能(VPN)方式?最重要的是厂商能否提供完整且长期的服务与技术支持能力?
防火墙的安全性与研发的技术息息相关,现在市场上的防火墙主要的技术可分为封包过滤(Packet Filter)、代理应用闸信道(Application Gateway/Proxy)及多阶层状态检查(Multilayer Stateful Inspection)等,说明如下:
(1)封包过滤
就如同Router的技术,在网络层具备良好的效能和延伸能力,但只能提供Ip地址的过滤功能;封包过滤可知道每一个Ip的来源地址,但不知道使用者为何人?同样的,它会检测网络层的封包,而不会去管是什么应用程序,所以封包过滤是防火墙中功能最不安全的,因为他们不会监测到应用程序,无法知道封包传送内容,很容易被非经授权的使用者侵入。
(2)代理应用闸信道
此为最传统的防火墙技术,任何进出Internet的应用服务都必须经过防火墙的代理后,再转送到目的地;藉由代理的过程中,来检测各阶层的应用服务,但是这样做却破坏主从架构模式。此外,此种技术只支持有限制的应用程序,每一个服务或应用程序都须要专属的Proxy,因此有新的Internet服务时,使用者必须等待厂商开发新的代理应用程序才能使用;由于每一种代理(Proxy)需要不同的应用程序或daemon来执行,会因为过多的资料复制和内容交换会造成执行效能不佳。
(3)多阶层状态检查
这是一种新的防火墙专利技术,结合了封包过滤网络层的执行效能及代理应用闸信道的安全性。任何的封包会都在网络层中被拦劫,然后防火墙会从全部的应用层级中萃取出跟状态有关的数据,而且放在动态状态表来判续后续的封包;提供了应用层的资料内容安全检测,而且不会破坏主从架构模式,可以在资料保全和流量间作智能的控制,具有最大的扩展及延伸能力。
(1)存取控制 - 定义安全政策
存取控制可定义使用者或应用服务的对象进/出企业网络,以保护企业内部资源;例如:一个企业组织只可决定于上班时间限制存取Internet特定的网站,只允许于午餐时间存取,或当系统在执行备援时,禁止存取重要的服务者等。
执行存取控制参数必须是简单且直接的,以一个明确的图形使用者接口(GUI)操作,最好全部的组件都是使用对象导向的方式来定义。而每一个规则能包含任何网络对象、服务、动作和追踪机置,并可判断规则的冲突性。防火墙除必须提供安全的存取控制外,还必须抵挡恶意的攻击。例如IP Spoofing、Denial of Service、Ping of Death等等。
(2)认证机制
防火墙认证的应用为当使用者与目的主机联机时,在通讯被允许进行之前,认证的机制服务可安全的确认他们身份的有效性,且不需要修改服务器或客户端应用软件。认证服务是可完全的被整合到企业整体的安全政策内,并能经由防火墙图形使用者接口集中管理。所有的认证会期也都能经由防火墙日志浏览器来监视和追踪。
一般防火墙所提供的认证机制与方法多寡不一,以Check Point FireWall-1为例,提供使用者的认证:针对FTP、TELNET、HTTP和RLOGIN提供透通的使用者认证;客户端认证:可针对特定IP地址的使用者授予存取的权限;透通的会期认证:提供以会期为基础的任何一种应用服务的认证等.
认证的机制包括固定的密码,如OS及防火墙的密码;以及动态的One Time Password的密码,如S/key、SectrID、RADIUS等。如要使用固定的密码认证,建议使用防火墙的密码较安全,但是固定密码还是容易被监听,最好是使用One Time Password的方式,以防止被窃取。
(3)内容的安全性
防火墙所提供的内容安全能力,可达到最高层次的应用服务协议检测,以保护使用者企业资源。以Check Point FireWall-1而言,包含计算机病毒和恶意Java与ActiveX Applets的内容安全性检查,经由图形的接口可集中管理。另外提供开放平台的安全企业连接(OPSEC)架构的API,可整合第三者厂商内容过滤的应用。主要的应用如下:
A、 URL过滤
可维护公司宝贵的网络频宽和增加网络另一层次的控制,允许网络管理者存取Internet特定网页,并可确保员工只能下传和存取的网页信息。
B、 电子邮件的支持
通过SMTP的连接提供高度的控制以保护网络。可在一个标准的应用程序地址之后,隐藏一个外出的邮件地址,或可隐藏内部的网络结构与真正的内部的使用者,或丢弃超过所给与邮件信息的容量等。