安全網關是各種技術有趣的融合��,具有重要且獨特的保護作用�,其范圍從協(xié)議級過濾到十分復雜的應用級過濾。防火墻主要有三類:
分組過濾
電路網關
應用網關
注意:三種中只有一種是過濾器�,其余都是網關。
這三種機制通常結合使用��。過濾器是映射機制��,可區(qū)分合法的和欺騙包。每種方法都有各自的能力和限制����,要根據(jù)安全的需要仔細評價。
1�、包過濾器
包過濾是安全映射最基本的形式,路由軟件可根據(jù)包的源地址��、目的地址或端口號建立許可權�,
對眾所周知的端口號的過濾可以阻止或允許網際協(xié)議如FTP、rlogin等����。過濾器可對進入和/或流出的數(shù)據(jù)操作,
在網絡層實現(xiàn)過濾意味著路由器可以為所有應用提供安全映射功能�。作為(邏輯意義上的)路由器的常駐部分,
這種過濾可在任何可路由的網絡中自由使用�,但不要把它誤解為萬能的,包過濾有很多弱點����,但總比沒有好。
包過濾很難做好�,尤其當安全需求定義得不好且不細致的時候更是如此。這種過濾也很容易被攻破。包過濾比較每個數(shù)據(jù)包����,
基于包頭信息與路由器的訪問列表的比較來做出通過/不通過的決定,這種技術存在許多潛在的弱點�。首先,
它直接依賴路由器管理員正確地編制權限集����,這種情況下,拼寫的錯誤是致命的��,
可以在防線中造成不需要任何特殊技術就可以攻破的漏洞����。即使管理員準確地設計了權限�,其邏輯也必須毫無破綻才行。
雖然設計路由似乎很簡單�,但開發(fā)和維護一長套復雜的權限也是很麻煩的,
必須根據(jù)防火墻的權限集理解和評估每天的變化�,新添加的服務器如果沒有明確地被保護,可能就會成為攻破點�。
隨著時間的推移,訪問權限的查找會降低路由器的轉發(fā)速度�。每當路由器收到一個分組,
它必須識別該分組要到達目的地需經由的下一跳地址,這必將伴隨著另一個很耗費CPU的工作:
檢查訪問列表以確定其是否被允許到達該目的地��。訪問列表越長�,此過程要花的時間就越多。
包過濾的第二個缺陷是它認為包頭信息是有效的����,無法驗證該包的源頭。
頭信息很容易被精通網絡的人篡改�,
這種篡改通常稱為“欺騙”。
包過濾的種種弱點使它不足以保護你的網絡資源����,最好與其它更復雜的過濾機制聯(lián)合使用,而不要單獨使用����。
2、鏈路網關
鏈路級網關對于保護源自私有����、安全的網絡環(huán)境的請求是很理想的。這種網關攔截TCP請求����,甚至某些UDP請求�,
然后代表數(shù)據(jù)源來獲取所請求的信息�。該代理服務器接收對萬維網上的信息的請求,并代表數(shù)據(jù)源完成請求��。實際上�,
此網關就象一條將源與目的連在一起的線,但使源避免了穿過不安全的網絡區(qū)域所帶來的風險��。
3 什么是網關
這種方式的請求代理簡化了邊緣網關的安全管理�,如果做好了訪問控制,除了代理服務器外所有出去的數(shù)據(jù)流都被阻塞�。
理想情況下,此服務器有唯一的地址����,不屬于任何內部使用的網段。這絕對使無意中微妙地暴露給不安全區(qū)域的信息量最小化�,
只有代理服務器的網絡地址可被外部得到����,而不是安全區(qū)域中每個聯(lián)網的計算機的網絡地址。
3�、應用網關
應用網關是包過濾最極端的反面。包過濾實現(xiàn)的是對所有穿過網絡層包過濾設備的數(shù)據(jù)的通用保護����,
而應用網關在每個需要保護的主機上放置高度專用的應用軟件�,它防止了包過濾的陷阱��,實現(xiàn)了每個主機的堅固的安全��。
應用網關的一個例子是病毒掃描器�,這種專用軟件已經成了桌面計算的主要產品之一。它在啟動時調入內存并駐留在后臺��,
持續(xù)地監(jiān)視文件不受已知病毒的感染��,甚至是系統(tǒng)文件的改變��。
病毒掃描器被設計用于在危害可能產生前保護用戶不受到病毒的潛在損害����。
這種保護級別不可能在網絡層實現(xiàn),那將需要檢查每個分組的內容����,驗證其來源,確定其正確的網絡路徑�,
并確定其內容是有意義的還是欺騙性的。這一過程將產生無法負擔的過載��,嚴重影響網絡性能。
4�、組合過濾網關
使用組合過濾方案的網關通過冗余、重疊的過濾器提供相當堅固的訪問控制�,可以包括包、鏈路和應用級的過濾機制�。
這樣的安全網關最普通的實現(xiàn)是象崗哨一樣保護私有網段邊緣的出入點,通常稱為邊緣網關或防火墻��。
這一重要的責任通常需要多種過濾技術以提供足夠的防衛(wèi)�。下圖所示為由兩個組件構成的安全網關:一個路由器和一個處理機。
結合在一起后����,它們可以提供協(xié)議、鏈路和應用級保護�。
這種專用的網關不象其它種類的網關一樣,需要提供轉換功能�。作為網絡邊緣的網關,它們的責任是控制出入的數(shù)據(jù)流�。
顯然的,由這種網關聯(lián)接的內網與外網都使用IP協(xié)議����,因此不需要做協(xié)議轉換����,過濾是最重要的����。
保護內網不被非授權的外部網絡訪問的原因是顯然的����。控制向外訪問的原因就不那么明顯了�。在某些情況下,
是需要過濾發(fā)向外部的數(shù)據(jù)的�。例如,用戶基于瀏覽的增值業(yè)務可能產生大量的WAN流量�,如果不加控制,
很容易影響網絡運載其它應用的能力����,因此有必要全部或部分地阻塞此類數(shù)據(jù)。
聯(lián)網的主要協(xié)議IP是個開放的協(xié)議�,它被設計用于實現(xiàn)網段間的通信。這既是其主要的力量所在��,同時也是其最大的弱點��。
為兩個IP網提供互連在本質上創(chuàng)建了一個大的IP網��,
保衛(wèi)網絡邊緣的衛(wèi)士--防火墻--的任務就是在合法的數(shù)據(jù)和欺騙性數(shù)據(jù)之間進行分辨。
5��、實現(xiàn)中的考慮
實現(xiàn)一個安全網關并不是個容易的任務,其成功靠需求定義����、仔細設計及無漏洞的實現(xiàn)。首要任務是建立全面的規(guī)則�,
在深入理解安全和開銷的基礎上定義可接受的折衷方案,這些規(guī)則建立了安全策略����。
安全策略可以是寬松的、嚴格的或介于二者之間�。在一個極端情況下,安全策略的基始承諾是允許所有數(shù)據(jù)通過��,例外很少��,
很易管理�,這些例外明確地加到安全體制中。這種策略很容易實現(xiàn)�,不需要預見性考慮,保證即使業(yè)余人員也能做到最小的保護����。
另一個極端則極其嚴格��,這種策略要求所有要通過的數(shù)據(jù)明確指出被允許,這需要仔細����、著意的設計,其維護的代價很大��,
但是對網絡安全有無形的價值��。從安全策略的角度看�,這是唯一可接受的方案。在這兩種極端之間存在許多方案�,它們在易于實現(xiàn)、
使用和維護代價之間做出了折衷�,正確的權衡需要對危險和代價做出仔細的評估。
共有-條評論【我要評論】