打印本文 关闭窗口 | |||||||
安全之防火墙概念与访问控制列表 | |||||||
作者:陈鹏 文章来源:eNet 点击数 更新时间:2009/9/11 23:25:39 文章录入:陈鹏 责任编辑:陈鹏 | |||||||
|
|||||||
首先为什么要研究安全? 什么是“计算机安全”?广义地讲,安全是指防止其他人利用、借助你的计算机或外围设备,做你不希望他们做的任何事情。首要问题是:“我们力图保护的是些什么资源?”答案并不是明确的.通常,对这个问题的答案是采取必要的主机专用措施。 许多人都抱怨Windows漏洞太多,有的人甚至为这一个又一个的漏洞烦恼。为此,本文简要的向您介绍怎样才能架起网络安全防线。 禁用没用的服务 Windows提供了许许多多的服务,其实有许多我们是根本也用不上的。或许你还不知道,有些服务正为居心叵测的人开启后门。 Windows还有许多服务,在此不做过多地介绍。大家可以根据自己实际情况禁止某些服务。禁用不必要的服务,除了可以减少安全隐患,还可以增加Windows运行速度,何乐而不为呢? 打补丁 Microsoft公司时不时就会在网上免费提供一些补丁,有时间可以去打打补丁。除了可以增强兼容性外,更重要的是堵上已发现的安全漏洞。建议有能力的朋友可以根据自己的实际情况根据情况打适合自己补丁。 防火墙 选择一款彻底隔离病毒的办法,物理隔离 Fortigate能够预防十多种黑客攻击, 分布式服务拒绝攻击DDOS(Distributed Denial-Of-Service attacks) ※SYN Attack ※ICMP Flood ※UDP Flood IP碎片攻击(IP Fragmentation attacks) ※Ping of Death attack ※Tear Drop attack ※Land attack 端口扫描攻击(Port Scan Attacks) IP源路由攻击(IP Source Attacks) IP Spoofing Attacks Address Sweep Attacks WinNuke Attacks 您可以配置Fortigate在受到攻击时发送警告邮件给管理员,最多可以指定3个邮件接受人。 防火墙的根本手段是隔离,安装防火墙后必须对其进行必要的设置和时刻日志跟踪。这样才能发挥其最大的威力。而我们这里主要讲述防火墙概念以及与访问控制列表的联系。这里我综合了网上有关防火墙,访问控制表的定义。 防火墙概念 防火墙包含着一对矛盾(或称机制):一方面它限制数据流通,另一方面它又允许数据流通。由于网络的管理机制及安全策略(security policy)不同,因此这对矛盾呈现出不同的表现形式。 存在两种极端的情形:第一种是除了非允许不可的都被禁止,第二种是除了非禁止不可都被允许。第一种的特点是安全但不好用,第二种是好用但不安全,而多数防火墙都在两者之间采取折衷。 在确保防火墙安全或比较安全前提下提高访问效率是当前防火墙技术研究和实现的热点。 保护脆弱的服务 通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问 Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。 集中的安全管理 Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。 增强的保密性 使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Figer和DNS。 记录和统计网络利用数据以及非法使用数据 Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。 策略执行 Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户 防火墙的功能 防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。 对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。 另外,收集一个网络的使用和误用情况也是非常重要的。 首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防止内部信息的外泄: 隐私是内部网络非常关心的问题.通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。 防火墙技术 防火墙能增强机构内部网络的安全性,必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。 防火墙的五大功能 一般来说,防火墙具有以下几种功能: 1.允许网络管理员定义一个中心点来防止非法用户进入内部网络。 2.可以很方便地监视网络的安全性,并报警。 3.可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。 4.是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。 5.可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。 防火墙的两大分类 1. 包过滤防火墙 第一代:静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是"最小特权原则",即明确允许那些管理员希望通过的数据包,禁止其他的数据包。 第二代:动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。 2. 代理防火墙 第一代:代理防火墙 代理防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。 代理类型防火墙的最突出的优点就是安全。 由于每一个内外网络之间的连接都要通过Proxy的介入和转换,通过专门为特定的服务如Http编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答,没有给内外网络的计算机以任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。 代理防火墙的最大缺点就是速度相对比较慢,当用户对内外网络网关的吞吐量要求比较高时,(比如要求达到75-100Mbps时)代理防火墙就会成为内外网络之间的瓶颈。所幸的是,目前用户接入Internet的速度一般都远低于这个数字。在现实环境中,要考虑使用包过滤类型防火墙来满足速度要求的情况,大部分是高速网(ATM或千兆位以太网等)之间的防火墙。
【责任编辑 彭凡】 |
|||||||
打印本文 关闭窗口 |