前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的防火墻解決方案主題范文,僅供參考,歡迎閱讀并收藏。
zyi
防火墻是保護我們網(wǎng)絡(luò)的第一道屏障,如果這一道防線失守了,那么我們的網(wǎng)絡(luò)就危險了。所以我們有,必要注意一下安裝防火墻的注意事項。
1 防火墻實現(xiàn)了你的安全政策
防火墻加強了一些安全策略。如果你沒有在放置防火墻之前制定安全策略,那么現(xiàn)在就是制定的時候了。它可以不被寫成書面形式,但是同樣可以作為安全策略。如果你還沒有明確關(guān)于安全策略應(yīng)當做什么,安裝防火墻就是你能做的最好的保護你的站點的事情,并且要隨時維護它也是很不容易的事情。要想有一個好的防火墻,你需要好的安全策略――寫成書面的并且被大家所接受。
2 一個防火墻在許多時候并不是一個單一的設(shè)備
除非在特別簡單的案例中,防火墻很少是單一的設(shè)備,而是一組設(shè)備。就算你購買的是一個商用的“all-in-one”防火墻應(yīng)用程序,你同樣得配置其他機器(例如你的網(wǎng)絡(luò)服務(wù)器)來與之一同運行。這些其他的機器被認為是防火墻的一部分,這包含了對這些機器的配置和管理方式,他們所信任的是什么,什么又將他們作為可信的等等。你不能簡單的選擇一個叫做“防火墻”的設(shè)備卻期望其擔負所有安全責任。
3 防火墻并不是現(xiàn)成的隨時獲得的產(chǎn)品
選擇防火墻更像買房子而不是選擇去哪里度假。防火墻和房子很相似,你必須每天和它待在一起,你使用它的期限也不止一兩個星期那么多。都需要維護否則都會崩潰掉。建設(shè)防火墻需要仔細的選擇和配置一個解決方案來滿足你的需求,然后不斷的去維護它。需要做很多的決定,對一個站點是正確的解決方案往往對另外站點來說是錯誤的。
4 防火墻并不會解決你所有的問題
并不要指望防火墻靠自身就能夠給予你安全。防火墻保護你免受一類攻擊的威脅,人們嘗試從外部直接攻擊內(nèi)部。但是卻不能防止從LAN內(nèi)部的攻擊,它甚至不能保護你免受所有那些它能檢測到的攻擊。
5 使用默認的策略
正常情況下你的手段是拒絕除了你知道必要和安全的服務(wù)以外的任何服務(wù)。但是新的漏洞每天都出現(xiàn),關(guān)閉不安全的服務(wù)意味著一場持續(xù)的戰(zhàn)爭。
6 有條件的而不是輕易的的妥協(xié)
人們都喜歡做不安全的事情。如果你允許所有的請求,你的網(wǎng)絡(luò)就會很不安全。如果你拒絕所有請求,你的網(wǎng)絡(luò)同樣是不安全的,你不會知道不安全的東西隱藏在哪里。那些不能和你一同工作的人將會對你不利。你需要找到滿足用戶需求的方式,雖然這些方式會帶來一定量的風險。
7 使用分層手段
使用多個安全層來避免某個失誤造成對你關(guān)心的問題的侵害。
8 只安裝你所需要的
防火墻機器不能像普通計算機那樣安裝廠商提供的全部軟件分發(fā)。作為防火墻一部分的機器必須保持最小的安裝。即使你認為有些東西是安全的也不要在你不需要的時候安裝它。
9 使用可以獲得的所有資源
不要建立基于單一來源信息的防火墻。特別是該資源不是來自廠商。有許多可以利用的資源:例如廠商信息、我們所編寫的書、郵件組和網(wǎng)站。
10 只相信你能確定的
不要相信圖形界面的手工和對話框或是廠商關(guān)于某些東西如何運行的聲明,檢測來確定應(yīng)當拒絕的連接都拒絕了,檢測來確定應(yīng)當允許的連接都允許了。
11 不斷的重新評價決定
你五年前買的房子今天可能已經(jīng)不適合你了。同樣的,你一年以前所安裝的防火墻對于你現(xiàn)在的情況已經(jīng)不是最好的解決方案了。對于防火墻你應(yīng)當經(jīng)常性的評估你的決定并確認你仍然有合理的解決方案。更改你的防火墻。就像搬新家一樣。需要明顯的努力和仔細的計劃。
12 要對失敗有心理準備
做好最壞的心理準備。機器可能會停止運行,動機良好的用戶可能會做錯事情,有惡意動機的用戶可能做壞的事情并成功的打敗你。但是一定要明白當這些事情發(fā)生的時候這并不是一個完全的災(zāi)難。
2010年全球安全軟件銷售收入將增長11.3%
據(jù)GaRner分析師稱,2010年全球安全軟件行業(yè)銷售收入將達到165億美元,增長11.3%。
這個預(yù)測比2009年的148億美元的銷售收入有顯著的增長。2009年安全軟件銷售收八的增長率下降到7%。導(dǎo)致一些人認為2010年的安全軟件市場銷售會更糟糕。
然而,Gartner分析師說。且前的安全軟件市場狀況要比2001年和2002年的狀況好得多。分析師把持續(xù)的增長歸功于市場的成熟、普及率、IT的信心以及地理的和垂直的市場混合情況。
在愈加廣泛的網(wǎng)絡(luò)應(yīng)用中,來自社會各行業(yè)領(lǐng)域的安全需求日益加大
不同的行業(yè)及需求特點決定了不同的安全適用機制
愈加細分和個性化的服務(wù)正在引導(dǎo)著信息安全產(chǎn)業(yè)走向未來
公孫龍《白馬論》中提到:“白馬者,馬與白也,馬與白非馬也。故曰:白馬非馬也?!?/p>
關(guān)于安全的應(yīng)用,許多人都耳熟能詳――知道對付病毒要用殺毒軟件,對付網(wǎng)絡(luò)攻擊要用防火墻等。這幾乎已經(jīng)成為一種安全意識習慣。但如果真是所有人對安全都可以這樣說得清、用得明,那么中國安全產(chǎn)業(yè)的規(guī)模也許還能在目前基礎(chǔ)上翻幾番。然而,事實并非如此。
安全產(chǎn)業(yè)正面臨著這樣的尷尬:一方面,產(chǎn)品越來越豐富,新的理念不斷涌現(xiàn),任何細分的產(chǎn)品都有一整套完備的技術(shù)體系;另一方面,終端用戶則越來越“笨”,他們面對安全的信息海洋無所適從,越來越?jīng)]有安全感。我們不妨理一理安全產(chǎn)業(yè)的脈絡(luò),尋找安全真跡。
足跡:面向產(chǎn)品的單點防御系統(tǒng)
安全產(chǎn)品的產(chǎn)生源于頭痛醫(yī)頭、腳痛醫(yī)腳的傳統(tǒng)唯物觀,根據(jù)不同的安全需求,便產(chǎn)生了不同的安全產(chǎn)品。據(jù)CCID數(shù)據(jù)報告,2005年的整個網(wǎng)絡(luò)安全市場,殺毒軟件占25.6%,防火墻占43.4%,入侵檢測(IDS)占10.4%,其它產(chǎn)品占20.6%,很明顯,病毒攻擊、內(nèi)網(wǎng)攻擊、外網(wǎng)攻擊已經(jīng)成了目前最大的安全問題,于是便產(chǎn)生了殺毒軟件、IDS和防火墻三大明星產(chǎn)品。
防火墻自產(chǎn)生之初便有許多非議,但作為網(wǎng)關(guān)級的安全設(shè)備經(jīng)過多年的發(fā)展,已經(jīng)成為最出色的網(wǎng)絡(luò)安全細分產(chǎn)品。其市場增長率在安全產(chǎn)品中居首位,占市場份額43.4%,統(tǒng)治地位十分突出,2005年依然出現(xiàn)了整體優(yōu)勢的局面。
IDS也是一個頗有爭議的產(chǎn)品,基于事件統(tǒng)計的旁路監(jiān)聽設(shè)備一開始是被認為無用的,但是它的出現(xiàn)使得漆黑的網(wǎng)絡(luò)中出現(xiàn)了一個可以四處照照的探照燈,至少可以幫助網(wǎng)管分析內(nèi)部網(wǎng)絡(luò)中的流量,發(fā)現(xiàn)一些安全隱患,當它能與防火墻進行聯(lián)動時,就開啟了它的真正應(yīng)用。
殺毒軟件首先出現(xiàn)在桌面領(lǐng)域,網(wǎng)絡(luò)化的移植是網(wǎng)絡(luò)發(fā)展的必然產(chǎn)物,因此雖然只有幾年的歷史,已經(jīng)輕松成為第二大安全產(chǎn)品,占據(jù)著25.6%的市場份額。
無論是防火墻還是IDS,我們都可以發(fā)現(xiàn)這樣一個事實,就是并不是產(chǎn)品有了很強的功能才引來用戶的使用,而是經(jīng)過多年的教育,使用戶終于明白這些東西的作用。因此,安全產(chǎn)品的瓶頸不在于產(chǎn)品功能的改進,而在于如何能夠有效地教育用戶。不要怪用戶笨,這都是我們做技術(shù)時的一廂情愿,總以為好的技術(shù)就一定會有市場。
因此防火墻之后出現(xiàn)了防毒墻,IDS之后出現(xiàn)了IPS,現(xiàn)在又出現(xiàn)了垃圾郵件網(wǎng)關(guān)、UTM、防水墻等等連內(nèi)行人都說不全的產(chǎn)品。人們一點也不會懷疑這些在新型理念支撐下新型設(shè)備的威力,但是如何教育用戶將原有的設(shè)備丟掉而使用這些新產(chǎn)品,是個問題。
熱點:面向方案的整合體系
教育用戶是無止境的,它需要強大的財力做后盾,用時間和感情將陣地慢慢推進,于是廠商開始思考,如何才能快速取悅用戶,首先他們想到了功能整合。就拿防火墻來說,早些時候還有胖瘦之爭,即胖防火墻注重功能,瘦防火墻注重效率,而幾年過去了,這種之爭自然消失了,目前主流的當然是胖防火墻,大家拼命在產(chǎn)品中裝入大量的功能,隨便拿一個防火墻的說明書來看,功能都在十幾項,因為沒人能容忍幾十萬塊錢的東西只有一個流量控制功能,哪怕其它十幾項功能從來都不會用到。最近有些防火墻開始集成防毒墻的功能,不但能進行流量管理還能進行病毒過濾,相信這種深層的功能整合將會越來越普遍。
當然還有行為整合,由此產(chǎn)生了主動防御的理念。安全軟件廠商提出的主動防御是將一些原來分層的安全統(tǒng)一起來,比如將底層的漏洞掃描、已知病毒掃描、未知病毒掃描、升級等原來相對耦合的行為統(tǒng)一起來,形成一個僅需要用戶很少參與的閉合安全系統(tǒng),將全面安全問題一鍵解決。安全硬件廠商提出的主動防御(如思科自防御網(wǎng)絡(luò))是利用認證體系對連入網(wǎng)絡(luò)的客戶端進行強制性管理。從這兩方面可以看出,軟件廠商主要是從技術(shù)角度,而硬件廠商主要是從網(wǎng)管角度來對目前的體系進行整合,企圖達到主動防御的目的。
目前最流行的還是產(chǎn)品整合,就是我們常說的解決方案。功能整合需要廠商很強的研發(fā)實力,行為整合需要廠商很強的架構(gòu)能力,只有產(chǎn)品整合最容易實現(xiàn)也最能滿足終端用戶的實際需求。隨著用戶應(yīng)用系統(tǒng)和網(wǎng)絡(luò)環(huán)境的日益復(fù)雜,安全威脅日益增多,眾多攻擊手段讓傳統(tǒng)上各自為戰(zhàn)的安全產(chǎn)品破綻百出,單一產(chǎn)品已無法滿足用戶全面的網(wǎng)絡(luò)安全需求,只有將不同安全側(cè)重點的安全技術(shù)有效融合,形成真正有效的安全整體解決方案才能抵御威脅入侵,但是,這樣也有問題。
未來:面向行業(yè)的個性化安全
產(chǎn)品聯(lián)動是設(shè)備廠商解決方案的賣點,按需定制則是方案廠商解決方案的賣點。但這些都沒有真正以用戶的需求作為方案設(shè)計的驅(qū)動力。
自成立以來,Check Point 一直專注于IT安全的防護。為了滿足客戶不斷變化的需求,公司已研發(fā)出多種技術(shù)來保護企業(yè)和個人的互聯(lián)網(wǎng)應(yīng)用,確保他們業(yè)務(wù)和溝通的安全。
2006年,Check Point 發(fā)明了統(tǒng)一安全構(gòu)架,此架構(gòu)采用單一管理控制臺、統(tǒng)一安全網(wǎng)關(guān)以及為端點安全而設(shè)計的單一。2009年初,Check Point推出了具有突破意義的安全創(chuàng)新技術(shù)——軟件刀片架構(gòu)。這是一個動態(tài)的、革新性架構(gòu),可提供安全、靈活和簡單的解決方案,也可以滿足各種組織和環(huán)境的具體安全需求。
2013年2月,Check Point宣布推出新的21700設(shè)備,其外形為小巧的2U機箱,可提供業(yè)界領(lǐng)先的安全性以及最快性能。21700設(shè)備可直接輸出高達78 Gbps的防火墻吞吐量和25 Gbps的IPS吞吐量,其SPU(安全電源組件,Security Power Units)得分可達2,922。21700設(shè)備充分利用屢獲殊榮的Check Point的軟件刀片架構(gòu),可為大型企業(yè)和數(shù)據(jù)中心提供業(yè)界領(lǐng)先的多層安全保護。
現(xiàn)如今,多種技術(shù)的采用使網(wǎng)絡(luò)資源的壓力和需求日益增強,需要更大帶寬和更快的處理速度,因此,安全網(wǎng)關(guān)必須具備整合多種技術(shù)的能力。全新21700設(shè)備提升了性能和流量,在2U機箱可實現(xiàn)極高功率,滿足各種規(guī)模環(huán)境的多種安全級別需求。
全新21700安全網(wǎng)關(guān)優(yōu)化的性能增強技術(shù)可在低延遲、多元傳輸環(huán)境中提供多層安全保護,同時提升了防火墻性能,實現(xiàn)最高可達110 Gbps的防火墻吞吐量。全新21700設(shè)備使客戶能夠在一個高效小巧的裝置中保持網(wǎng)絡(luò)性能,并擴展安全功能性。
21700設(shè)備作為21000設(shè)備陣容的一員,支持安全加速模塊(Security Acceleration Module)。安全加速模塊采用新型安全核心( Security Core)技術(shù),通過專用硬件加速提高性能,提供108個專用安全核心。通過安全加速模塊,21700設(shè)備可使防火墻延遲低于5微秒,把防火墻吞吐量提升至110 Gbps,同時提供超快速VPN吞吐量并擁有高達3,551 的SPU,是多元傳輸環(huán)境的理想選擇。
關(guān)鍵詞:安全連接;防火墻;VPN;SSL
Abstract:With the continuous development of the Internet,the company's internal network size is also increasing,mutual exchange of information are becoming more frequent and important issue of network security is increasingly important. This article describes a VPN combined with a firewall to build internal security network,thereby protecting the internal security of the information.
Keywords:Secure connection;Firewall;VPN;SSL
1 引言
互聯(lián)網(wǎng)絡(luò)發(fā)展至今,改變了人們的生活方式和企業(yè)的經(jīng)營方式,通過Internet可以進行交易、查詢、傳遞信息及視頻互動等,更成為企業(yè)快速獲得信息的重要渠道。隨著網(wǎng)絡(luò)范圍、用戶數(shù)量的不斷擴展,企業(yè)的網(wǎng)絡(luò)安全問題日趨嚴重,由于計算機系統(tǒng)的安全威脅,給組織機構(gòu)帶來了重大的經(jīng)濟損失。在所有安全威脅中,外部入侵和非法訪問是最為嚴重的安全事件[1]。
隨著互聯(lián)網(wǎng)的發(fā)展和攻擊者工具與手段的升級,網(wǎng)絡(luò)管理需要考慮整個安全體系的綜合協(xié)調(diào)性。隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,Internet已成為主流的低成本通訊構(gòu)架,它給人們的生活和工作帶來了極大方便。但是,在開放式因特網(wǎng)通信中,信息傳輸?shù)陌踩院退矫苄詤s得不到很好的保障。VPN(Virtual Private Network,簡稱VPN)技術(shù)[2]是當前廣泛應(yīng)用的安全傳輸技術(shù)之一。將防火墻與VPN結(jié)合應(yīng)用的技術(shù)可以解決這樣問題,從而提升企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。
2 VPN網(wǎng)絡(luò)的安全設(shè)計
2.1 VPN系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)
VPN即虛擬專用網(wǎng)絡(luò),是通過公用網(wǎng)絡(luò)建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常,VPN是對企業(yè)內(nèi)部網(wǎng)的擴展,通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
特點:
(1) 安全保障:VPN通過建立一個隧道,利用加密技術(shù)對傳輸數(shù)據(jù)進行加密,以保證數(shù)據(jù)的私有和安全性。
(2) 服務(wù)質(zhì)量保證(QoS):VPN可以不同要求提供不同等級的服務(wù)質(zhì)量保證。
(3) 可擴充性和靈活性:VPN可支持通過Internet和Extranet的任何類型的數(shù)據(jù)流。
(4) 可管理性:VPN可以從用戶和運營商角度方便地進行管理。
2.2 VPN系統(tǒng)的關(guān)鍵技術(shù)
(1) 安全隧道技術(shù)
(2) 用戶認證技術(shù)
(3) 訪問控制技術(shù)
2.3 VPN系統(tǒng)的工作流程
VPN系統(tǒng)建立安全連接的主要流程如下:
安全連接的建立流程
當安全連接建立之后,客戶端就可以和內(nèi)網(wǎng)中的主機在傳輸加密子模塊的控制下進行安全通信,從而形成了一個專用網(wǎng)絡(luò)。
3 VPN與防火墻結(jié)合的安全解決方案
3.1 網(wǎng)絡(luò)邊界安全解決方案
防火墻是一個網(wǎng)絡(luò)的安全核心,其演變經(jīng)歷了五代。第五代,即新一代防火墻超出了原來傳統(tǒng)意義上防火墻的范疇,已經(jīng)演變成一個全方位的安全技術(shù)集成系統(tǒng)。
(1) 防火墻在企業(yè)各機構(gòu)間的部署
防火墻被部署在企業(yè)各機構(gòu)的內(nèi)部與外部網(wǎng)絡(luò)之間。內(nèi)部和外部網(wǎng)絡(luò)被完全隔離開,所有來自外部網(wǎng)絡(luò)的服務(wù)請求只能到達防火墻,防火墻對收到的數(shù)據(jù)包進行分析后將合法的請求傳送給相應(yīng)的內(nèi)部服務(wù)主機,對于非法訪問加以拒絕。內(nèi)部網(wǎng)絡(luò)的情況對于外部網(wǎng)絡(luò)的用戶來說是完全不可見的。由于防火墻是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的唯一通訊信道,因此,防火墻可以對所有針對內(nèi)部網(wǎng)絡(luò)的訪問進行詳細的記錄,形成完整的日志文件。
邊界防火墻通過源地址過濾,拒絕外部非法IP地址,有效地避免了外部網(wǎng)絡(luò)上與業(yè)務(wù)無關(guān)的主機的越權(quán)訪問。防火墻可以只保留有用的服務(wù),將其他不需要的服務(wù)關(guān)閉,可將系統(tǒng)受攻擊的可能性降低到最小限度。邊界防火墻可以進行地址轉(zhuǎn)換工作,外部網(wǎng)絡(luò)不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu),使黑客攻擊失去目標。
(2) 防火墻在企業(yè)各機構(gòu)內(nèi)部的部署
企業(yè)的計算機網(wǎng)絡(luò)是一個多層次、多節(jié)
點、多業(yè)務(wù)的網(wǎng)絡(luò),各節(jié)點間的信任程度較低,但由于業(yè)務(wù)的需要,各節(jié)點和服務(wù)器群之間又要頻繁地交換數(shù)據(jù)。在這樣一個擁有很多分支機構(gòu)的大型企業(yè)網(wǎng)絡(luò)環(huán)境中,保證網(wǎng)間安全是非常重要的。大型企業(yè)在其每個分支機構(gòu)和總部之間的網(wǎng)絡(luò)連接都必須設(shè)置防火墻,確保內(nèi)部子網(wǎng)間的安全性。在同一機構(gòu)的各個部門也要根據(jù)具體情況設(shè)置部門級的防火墻。企業(yè)內(nèi)的主要部門都有自己獨立的防火墻,實現(xiàn)部門內(nèi)網(wǎng)和外部的隔離。各部門內(nèi)部的對外訪問由各自的防火墻控制,同時部門的防火墻也防止了部門外部試圖對部門內(nèi)部的訪問。
企業(yè)計算機網(wǎng)絡(luò)中設(shè)置多層次的防火墻后,一方面可以有效地防范來自外部網(wǎng)絡(luò)的攻擊行為,另一方面可以為內(nèi)部網(wǎng)絡(luò)制定完善的安全訪問策略,從而使整個企業(yè)網(wǎng)絡(luò)具有較高的安全級別。
3.2 企業(yè)各個所屬機構(gòu)之間的數(shù)據(jù)安全傳輸解決方案
通過采用SSLVPN技術(shù),利用Internet可以構(gòu)建一個基于廣域網(wǎng)的、安全的企業(yè)私有網(wǎng)絡(luò)。VPN使公司所有網(wǎng)絡(luò)在Internet上組成一個安全的、虛擬的大局域網(wǎng),企業(yè)建立VPN之后可以在廣域網(wǎng)環(huán)境下建立和局域網(wǎng)環(huán)境下一樣的多種應(yīng)用,包括分布式OA、分布式ERP、分布式CRM、分布式財務(wù)管理等。
采用SSL技術(shù)通過在公網(wǎng)建立加密的數(shù)據(jù)隧道,所有數(shù)據(jù)經(jīng)過高強度、不可逆的加密及動態(tài)密鑰技術(shù)進行傳輸,有效地保證了數(shù)據(jù)的安全性,嚴格地講通過SSLVPN傳輸數(shù)據(jù)比直接在專網(wǎng)上傳輸明碼數(shù)據(jù)的安全性更高。
4 小結(jié)
本文給出的安全方案為企業(yè)的網(wǎng)絡(luò)安全應(yīng)用提供了一個借鑒和參考。在這些系統(tǒng)的實現(xiàn)中,可以根據(jù)應(yīng)用的不同采用適合的網(wǎng)絡(luò)安全輔助設(shè)備,構(gòu)建以防火墻為核心的SSLVPN網(wǎng)絡(luò)安全體系架構(gòu),提高內(nèi)部網(wǎng)絡(luò)的安全系數(shù)。
參考文獻
[1]Rebecca Gurley Bace.入侵檢測[M].陳明奇,吳秋新,等,譯.北京:人民郵電出版社,2001.
[2]高海曲,薛元星,等.VPN技術(shù)[M].機械工業(yè)出版社,2004.
[3]馬春光,郭方方.防火墻、入侵檢測與VPN[M].北京:北京郵電大學出版社,2008.
關(guān)鍵詞:防火墻;功能;不足;新一代防火墻
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)09-11593-02
The Network Firewall Function and Role
SUN Wei
(Fushun Vocational and Technical College, Fushun 113006, China)
Abstract: In this paper the issue of network security, firewall concept, the lack of traditional firewall, a new generation of firewall technology application and development of several trends, which is the firewall in network security play an important role in firewall technology and the future outlook.
Key words: firewall; Functional; Insufficient;a new generation of firewall
近年來,隨著計算機網(wǎng)絡(luò)技術(shù)的突飛猛進,網(wǎng)絡(luò)安全的問題已經(jīng)日益突出地擺在各類用戶的面前。目前在互聯(lián)網(wǎng)上大約有將近20%以上的用戶曾經(jīng)遭受過黑客的困擾。網(wǎng)絡(luò)安全已經(jīng)成為人們?nèi)找骊P(guān)心的問題。目前,網(wǎng)絡(luò)面臨的安全威脅大體上分為兩種:一種是對網(wǎng)絡(luò)數(shù)據(jù)的威脅;另一種是對網(wǎng)絡(luò)設(shè)備的威脅。其中,來自外部和內(nèi)部人員的惡意攻擊是當前因特網(wǎng)所面臨的最大威脅,是網(wǎng)絡(luò)安全策略最需要解決的問題。目前解決網(wǎng)絡(luò)安全問題的最有效辦法是采用防火墻。
1 防火墻概述
從字面上看,防火墻就是一種防止外界侵犯,保護自己的設(shè)施,從本質(zhì)上說,是一種保護裝置,是用來保護網(wǎng)絡(luò)資源和數(shù)據(jù)以及用戶的信譽,
具體來說,防火墻是一類硬件配合相應(yīng)的軟件,用來保護數(shù)據(jù)安全的設(shè)施。
2 什么是防火墻
防火墻原是指建筑物大廈用來防止火災(zāi)蔓延的隔斷墻。我們通常所說的網(wǎng)絡(luò)防火墻是借鑒了古代真正用于防火的防火墻的喻義,它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng),是一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法,它實際上是一種隔離技術(shù),使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)。從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。原則上,防火墻可以被認為是這樣一對機制:一種機制是攔阻傳輸流通行,另一種機制是允許傳輸流通過。那么,防火墻究竟是什么呢?實際上,防火墻是加強Internet與內(nèi)部網(wǎng)之間安全防御的一個或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。
3 傳統(tǒng)的網(wǎng)絡(luò)防火墻存在的不足
傳統(tǒng)的防火墻如包過濾防火墻、防火墻、狀態(tài)監(jiān)視防火墻都是采用逐一匹配方法,
計算量太大。因此,它們都有一個共同的缺陷――安全性越高,檢查的越多,效率越低。用一個定律來描述,就是防火墻的安全性與效率成反比。
沒有人懷疑防火墻在所有的安全設(shè)備采購中占據(jù)第一的位置。但傳統(tǒng)的防火墻并沒有解決網(wǎng)絡(luò)主要的安全問題。目前網(wǎng)絡(luò)安全的三大主要問題是:以拒絕訪問(DDOS)為主要目的的網(wǎng)絡(luò)攻擊,以蠕蟲(Worm)為主要代表的病毒傳播,以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。這三大安全問題覆蓋了網(wǎng)絡(luò)安全方面的絕大部分問題。而這三大問題,傳統(tǒng)的防火墻是無能為力的。
4新一代防火墻技術(shù)及應(yīng)用
新一代防火墻技術(shù)不僅覆蓋了傳統(tǒng)包過濾防火墻的全部功能,而且在全面對抗IP欺騙、SYN Flood、ICMP、ARP等
攻擊手段方面有顯著優(yōu)勢,增強服務(wù),并使其與包過濾相融合,再加上智能過濾技術(shù),使防火墻的安全性提升到又一高度。
4.1 新一代分布式防火墻技術(shù)
(1)概念:分布式防火墻負責對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點之間的安全防護,所以“分布式防火墻”是一個完整的系統(tǒng),而不是單一的產(chǎn)品。根據(jù)其所需完成的功能,新的防火墻體系結(jié)構(gòu)包含如下部分:
①網(wǎng)絡(luò)防火墻;②主機防火墻;③中心管理。
(2)優(yōu)勢:在新的安全體系結(jié)構(gòu)下,分布式防火墻代表新一代防火墻技術(shù)的潮流,它可以在網(wǎng)絡(luò)的任何交界和節(jié)點處設(shè)置屏障,從而形成了一個多層次、多協(xié)議,內(nèi)外皆防的全方位安全體系。
①增強系統(tǒng)安全性:增加了針對主機的入侵檢測和防護功能,加強了對來自內(nèi)部攻擊防范,可以實施全方位的安全策略;②提高了系統(tǒng)性能:消除了結(jié)構(gòu)性瓶頸問題,提高了系統(tǒng)性能;③系統(tǒng)的擴展性:分布式防火墻隨系統(tǒng)擴充提供了安全防護無限擴充的能力;④實施主機策略:對網(wǎng)絡(luò)中的各節(jié)點可以起到更安全的防護;⑤應(yīng)用更為廣泛,支持VPN通信
4.2 新一代嵌入式防火墻技術(shù)
(1)概念:嵌入式防火墻就是內(nèi)嵌于路由器或交換機的防火墻。嵌入式防火墻是某些路由器的標準配置。用戶也可以購買防火墻模塊,安裝到已有的路由器或交換機中。嵌入式防火墻也被稱為阻塞點防火墻。
(2)優(yōu)勢:嵌入式防火墻能夠?qū)⒎婪度肭值墓δ芊植嫉骄W(wǎng)絡(luò)中的每一臺PC、筆記本以及服務(wù)器。分布于整個網(wǎng)絡(luò)的嵌入式防火墻使用戶可以方便地訪問信息,并且不會將網(wǎng)絡(luò)資源暴露在非法入侵者面前。嵌入式防火墻的分布結(jié)構(gòu)還可以避免由于發(fā)生某一臺端點系統(tǒng)的入侵而導(dǎo)致整個網(wǎng)絡(luò)受影響的情況,同時也使通過公共賬號登錄網(wǎng)絡(luò)的用戶無法進入限制訪問權(quán)限的計算機系統(tǒng)。
嵌入式防火墻解決方案能將安全防范的功能延伸到邊緣防火墻的范圍之外,并分布到網(wǎng)絡(luò)的終端。這一策略使網(wǎng)絡(luò)幾乎不受任何惡意代碼或黑客攻擊的威脅。即使攻擊者完全通過了防火墻的防護并取得了運行防火墻主機的控制權(quán),也將寸步難行。
4.3 新一代智能防火墻技術(shù)
智能防火墻從技術(shù)特征上,是利用統(tǒng)計、記憶、概率和決策的智能方法來對數(shù)據(jù)進行識別,并達到訪問控制的目的。新的數(shù)學方法,消除了匹配檢查所需要的海量計算,高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值,直接進行訪問控制。由于這些方法多是人工智能學科采用的方法,因此被稱為智能防火墻。
智能防火墻的關(guān)鍵技術(shù)有:
(1)防范惡意數(shù)據(jù)攻擊;(2)防范黑客攻擊;(3)防范MAC欺騙和IP欺騙;(4)入侵防御;(5)防范潛在風險與傳統(tǒng)防火墻相比,智能防火墻在保護網(wǎng)絡(luò)和站點免受黑客的攻擊、阻斷病毒的惡意傳播、有效監(jiān)控和管理內(nèi)部局域網(wǎng)、
保護必需的應(yīng)用安全、提供強大的身份認證授權(quán)和審計管理等方面,都有廣泛的應(yīng)用價值。
5 防火墻技術(shù)展望
隨著網(wǎng)絡(luò)處理器和ASIC芯片技術(shù)的不斷革新,高性能、多端口、高粒度控制、減緩病毒和垃圾郵件傳播速度、對入侵行為智能切斷、以及增強抗DoS攻擊能力的防火墻,將是未來防火墻發(fā)展的趨勢。
5.1 高性能的防火墻需求
高性能防火墻是未來發(fā)展的趨勢,突破高性能的極限就是對防火墻硬件結(jié)構(gòu)的調(diào)整。ASIC技術(shù)雖然開發(fā)難度大,但卻能夠保障系統(tǒng)的效率并很好地集成防火墻的功能,在今后網(wǎng)絡(luò)安全防護的路途上,防火墻采用ASIC芯片技術(shù)將要成為主導(dǎo)地位。
5.2 管理接口和SOC的整合
如果把信息安全技術(shù)看做是一個整體行為的話,那么面對防火墻未來的發(fā)展趨勢,管理接口和SOC整合也必須考慮在內(nèi),畢竟安全是一個整體,而不是靠單一產(chǎn)品所能解決的。隨著安全管理和安全運營工作的推行,SOC做為一種安全管理的解決方案已經(jīng)得到大力推廣。
5.3 抗DoS能力
從近年來網(wǎng)絡(luò)惡性攻擊事件情況分析來看,解決DoS攻擊也是防火墻必須要考慮的問題了。利用ASIC芯片架構(gòu)的防火墻,可以利用自身處理網(wǎng)絡(luò)流量速度快的能力,來解決存在于這個問題上的攻擊事件。但是,解決這個問題并不是單單靠ASIC芯片架構(gòu)就可以的,更多的還是面向?qū)?yīng)用層攻擊的問題,有待于新技術(shù)的出現(xiàn)。
5.4 減慢蠕蟲和垃圾郵件的傳播速度的功能
作為網(wǎng)絡(luò)邊界的安全設(shè)備,未來防火墻發(fā)展趨勢中,減緩和降低蠕蟲病毒與垃圾郵件的傳播速度,是必不可少的一部分了。加強防火墻對數(shù)據(jù)處理中的粒度和力度,已經(jīng)成為未來防火墻對數(shù)據(jù)檢測高粒度的發(fā)展趨勢。
5.5 對入侵行為的智能切斷
安全是一個動態(tài)的過程,而對于入侵行為的預(yù)見和智能切斷,做為邊界安全設(shè)備的防火墻來說,也是未來發(fā)展的一大課題。從IPS的出發(fā)角度考慮,未來防火墻必須具備這項功能。具備對入侵行為智能切斷的一個整合型、多功能的防火墻,將是市場的需求。
5.6 多端口并適合靈活配置
多端口的防火墻能為用戶更好的提供安全解決方案,而做為多端口、靈活配置的防火墻,也是未來防火墻發(fā)展的趨勢。
5.7 專業(yè)化的發(fā)展
單向防火墻、電子郵件防火墻、FTP防火墻等針對特定服務(wù)的專業(yè)化防火墻將作為一種產(chǎn)品門類出現(xiàn)。 總的來說,未來的防火墻將是智能化、高速度、低成本、功能更加完善、管理更加人性化的網(wǎng)絡(luò)安全產(chǎn)品的主力軍。
參考文獻:
[1] 袁家政.計算機網(wǎng)絡(luò)安全與應(yīng)用技術(shù)[M].北京:清華大學出版社,2002.
[2] 常紅.網(wǎng)絡(luò)完全技術(shù)與反黑客[M].長春:冶金工業(yè)出版社,2001.
[3] 張兆信.計算機網(wǎng)絡(luò)安全與應(yīng)用[M].北京:機械工業(yè)出版社,2005.
[4] 李大友.計算機網(wǎng)絡(luò)安全.北京:清華大學出版社,2005.
該方案可以自動解決安全管理軟件同防病毒軟件的沖突問題,大大減少了安全管理軟件在部署、實施、運維過程中,網(wǎng)管人員的工作量,同時也提高了用戶體驗,減少了用戶的抵觸情緒,為企業(yè)內(nèi)網(wǎng)安全方案的落地打下良好的基礎(chǔ)。
關(guān)鍵詞 安全管理;殺毒軟件;代碼簽名;驅(qū)動
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2014)116-0212-03
0 引言
從電腦誕生之日起,病毒和各種安全問題就一直困擾著人們。特別是在網(wǎng)絡(luò)購物越來越普遍,互聯(lián)網(wǎng)理財越來越普及的情況下,防病毒軟件已經(jīng)成為當前PC的標配。
在企業(yè)中,工作PC和服務(wù)器的安全問題,就更加重要。企業(yè)不僅僅要在每臺工作PC和服務(wù)器上安裝好殺毒軟件、防火墻,并且還需要在終端上安裝對主機安全更有保障的安全管理軟件,如銳捷網(wǎng)絡(luò)的GSN,華為的TSM,華三的IMC等。這些安全管理軟件,一般都具有1X認證、微軟補丁更新、外設(shè)管理、進程管理、注冊表管理、系統(tǒng)服務(wù)管理、網(wǎng)絡(luò)攻擊防御、防機密數(shù)據(jù)泄漏等功能,可以極大的增強企業(yè)內(nèi)網(wǎng)安全,保護企業(yè)敏感數(shù)據(jù)。但是,這些安全管理軟件,都不可避免的存在一個共同的問題:那就是安全管理軟件同防病毒軟件的沖突問題。
有過安全管理軟件部署和使用的網(wǎng)絡(luò)管理員,都應(yīng)該有這樣的體會:除了初次部署時的各種兼容性問題排查,日常運行管理過程中也還會遇到各種各樣的沖突問題。也許在安全管理軟件升級了,或者防病毒軟件升級病毒庫之后,沖突問題又忽然爆發(fā)。這樣的問題,讓安全管理方案的落地存在很大的問題,原本為了提高企業(yè)內(nèi)部安全,降低網(wǎng)絡(luò)管理人員工作而引入安全管理軟件,反而成為了一個新的痛苦點。那么,這樣的問題有沒有辦法徹底解決呢。本文主要針對該問題進行一些分析和探討。
1 什么會有這么多的沖突問題
要解決問題,首先就要先了解問題發(fā)生的原因。安全管理軟件和防病毒軟件為什么會發(fā)生這樣的沖突呢?這首先要從防病毒軟件的病毒檢測機制說起,一般來說防病毒軟件的檢測機制有被動檢測和主動檢測兩種。目前基本上所有防病毒軟件都兼具兩種檢測方式,只是不同的品牌側(cè)重點不同。對于被動檢測,也就是根據(jù)各種病毒特征(如應(yīng)用程序PE文件的特征,MD5值、進程名稱等)進行判斷,殺毒軟件通過不斷的升級病毒庫來增加各種病毒庫特征。對于主動檢測,其實就是殺毒軟件根據(jù)應(yīng)用程序的行為(如調(diào)用了哪些敏感API,監(jiān)聽了哪些端口,訪問了哪些敏感資源,或者某幾種動作的組合)等來進行判斷是否存在風險。
從以上分析可以發(fā)現(xiàn),防病毒軟件和安全管理軟件存在天然的沖突問題,因為安全管理軟件事實上從技術(shù)的角度來看,和黑客軟件的行為有著很大的相似之處。如也會調(diào)用一些敏感資源,檢查某些文件、注冊表,防殺(如惡意用戶通過惡意殺掉安全管理軟件的進程來逃脫監(jiān)管)等。不過安全管理軟件不會如黑客軟件那樣,惡意竊取敏感信息,惡意復(fù)制、刪除、創(chuàng)建惡意文件等,如當年臭名昭著的“熊貓燒香”病毒,就是通過篡改感染用戶的各種可執(zhí)行文件,導(dǎo)致用戶主機癱瘓,資料丟失。
也正因為如此,防病毒軟件產(chǎn)品也經(jīng)常將安全管理軟件進行誤殺。那么,有什么辦法來解決這些問題呢?
2 如何防止誤殺
要解決誤殺問題,首先要解決的就是信任問題。要讓殺毒軟件信任安全管理軟件,目前一般會采用如下一些解決辦法:
方法一:用戶手動將安全管理軟件加入防病毒軟件的白名單中(如360的文件白名單)。
方法二:安全管理軟件廠商每次版本之前,將安全管理軟件申請放到防病毒軟件廠商的免殺列表中。
方法三:安全管理軟件盡量不調(diào)用一些敏感的API,不訪問一些敏感的資源,做一些類似病毒的行為。
如上幾個方法,似乎可行,但是實際上并不好使。
如方法一,似乎可行,但是首先一點是,對于企業(yè)用戶,很多人對于IT技術(shù)并不熟悉。讓其手動添加白名單,特別是一些企業(yè)的老員工,更是一竅不通。即使是比較精通IT技術(shù)的年輕人,也不一定能夠判斷出某進程是否安全。
如方法二,首先,該方法是一種企業(yè)間的白名單行為。不是所有防病毒廠商都提供這樣的服務(wù),特別是一些海外的防病毒軟件廠商,在國內(nèi)只有商,通常是無法聯(lián)系到廠商的售后的。即使是對于有提供這些服務(wù)的防病毒軟件廠商,也有問題。如有的廠商需要一定的費用(長期以來,對于安全管理軟件廠商來說,也是一個負擔),有的廠商審核周期太長,可能需要好幾天,甚至一個月。這對于一些面臨驗收的項目,或者出現(xiàn)嚴重故障,急需修復(fù)BUG的安全管理產(chǎn)品來說,也是不可接受的。更重要的是,加入白名單,很多時候,只能避免安裝過程沒問題。當進行一些敏感操作時,還是會被誤殺。
如方法三,首先,這不太可能,因為安全管理軟件需要做一些安全相關(guān)的防護,甚至會做到驅(qū)動級別,因此不調(diào)用敏感API,就無法實現(xiàn)這些功能。一些敏感資源也是必須訪問的,如禁用U盤,U盤加密等。這是安全管理軟件很常見的一些功能。對于ARP欺騙等網(wǎng)絡(luò)攻擊行為,安全管理軟件甚至還需要分析網(wǎng)絡(luò)報文來對攻擊行為進行防御和定位(如銳捷GSN產(chǎn)品中的ARP立體防御解決方案)。
綜上所述,如上的這些方案,都無法完全解決這些問題。那么還有其他什么解決方案嗎?
解決方案的著眼點,應(yīng)該還是信任問題。如果通過各種技術(shù)來反檢測,那么最終可能會演變?yōu)橐环N新的“3Q大戰(zhàn)”。那么是否存在第三方的信任機構(gòu),來對應(yīng)用程序提供信任擔保呢。事實上,的確有。業(yè)界早就存在第三方的安全認證機構(gòu),如VeriSign、GlobalSign、StartCom。說起這些機構(gòu),大家可能都不熟悉。但是如果談到https或者ssl,可能大家就比較熟悉了。目前任何銀行和電子商務(wù)平臺,都是必須用到這些技術(shù)的。而這些第三方安全認證機構(gòu)目前提供最多的就是SSL證書。SSL證書是數(shù)字證書的一種,通過非對稱算法,在客戶端和服務(wù)端之間建立一條安全的通訊通道。而這個通訊通道建立的前提,就是這些第三方機構(gòu)提供的電子證書是被業(yè)界所有廠商都認可的。如微軟的OS就內(nèi)嵌了VerSign,StartCom的根證書。
SSL主要用于客戶機和服務(wù)器之間的安全信任問題。類似的,對于應(yīng)用程序之間的信任,也有一種對應(yīng)的電子證書:代碼簽名證書。
代碼簽名證書能夠?qū)浖a進行數(shù)字簽名。通過對代碼的數(shù)字簽名來標識軟件來源以及軟件開發(fā)者的真實身份,保證代碼在簽名之后不被惡意篡改。使用戶在下載已經(jīng)簽名的代碼時,能夠有效的驗證該代碼的可信度。也就是說,代碼簽名證書其實主要解決兩個問題,一個是軟件來源問題,一個是保證代碼不被篡改。而代碼簽名證書,本身有一套非常完善的機制,如使用非對稱算法(RSA)來進行代碼簽名證書的生成和防篡改等,從技術(shù)上就能做到證書的防偽造。
因為這個代碼簽名證書是業(yè)界認可的第三方證書,也就是可信的,所以利用代碼簽名證書的這兩個特性,應(yīng)該可以很好的解決安全管理軟件和防病毒軟件的沖突問題。經(jīng)過測試可以發(fā)現(xiàn),國內(nèi)外的殺毒軟件,全部都承認代碼簽名證書。對于有使用代碼簽名證書簽名的安全管理軟件程序,防病毒軟件都會認為其是安全的,不會再進行各種誤殺和攔截。
既然代碼簽名證書可以解決這個沖突問題,并且可以防止被防病毒軟件誤殺,那么木馬病毒程序是否可以采用這種方式來避免被防病毒軟件殺掉呢?理論上是可以的,但是事實上存在一定難度。因為代碼簽名證書的申請不是隨便誰都可以申請的,是需要提供各種企業(yè)執(zhí)照和證明文件,如果出現(xiàn)這樣的病毒。那么對應(yīng)的企業(yè)是需要承擔法律責任的。所以,擁有這種代碼簽名證書的企業(yè)需要很小心的保管自己公司的代碼簽名證書。同時,代碼簽名證書也是有時效的,超過時效,那么這個代碼簽名將不會認可,防病毒軟件就照殺不誤了。如果出現(xiàn)證書丟失等異常情況,也有相應(yīng)的證書吊銷機制可以解決這個問題。
4 如何解決惡意破壞
綜上所述,安全管理軟件的安裝和執(zhí)行得到了信任,那么是不是安全管理軟件和防病毒軟件的沖突就可以徹底解決了呢。大部分是已經(jīng)可以了,但是還不完全,前面我們提到有些惡意用戶為了繞開安全監(jiān)管,會采用防病毒軟件的相關(guān)機制來破壞安全管理軟件的正常運行。一種很典型的做法就是,使用防火墻軟件,禁止安全管理軟件客戶端和服務(wù)器端的通訊。這樣一樣,網(wǎng)絡(luò)管理人員就無法通過下發(fā)安全管理策略,來管理企業(yè)網(wǎng)內(nèi)部的工作PC了。部署安全方案的目的也就無法很好的達成。
除了惡意破壞,還存在如下兩種情況,導(dǎo)致客戶端無法同服務(wù)器端進行通訊,正常的安全管理業(yè)務(wù)流程失敗。
問題一:上網(wǎng)用戶由于網(wǎng)絡(luò)知識有限,不懂如何配置防火墻使安全管理軟件客戶端能夠同服務(wù)器端進行通訊。
問題二:上網(wǎng)用戶在防火墻判斷是否放行時,由于無法作出判斷,出于安全起見,禁止安全管理軟件客戶端訪問網(wǎng)絡(luò)。
對于這些問題,業(yè)界還沒有好的解決方案,一般只能由管理員幫助上網(wǎng)用戶進行配置和解決問題,但是如果企業(yè)內(nèi)部工作PC數(shù)量眾多,各種工作PC的應(yīng)用環(huán)境復(fù)雜,所使用的殺毒軟件和防火墻產(chǎn)品、版本和實現(xiàn)機制各不相同,耗費的工作量是巨大的。而且在防火墻升級、工作PC重裝操作系統(tǒng),客戶改用其他殺毒軟件的情況下,又需要耗費大量的時間進行折騰。而且,網(wǎng)管的技術(shù)能力目前在業(yè)界也是良莠不齊,很多網(wǎng)管也無法解決這些問題。
通過分析,可以發(fā)現(xiàn)當前業(yè)界主流的防火墻主要采用2種技術(shù):SPI和NIDS中間層驅(qū)動。
SPI:簡單一點說就是防火墻中同進程關(guān)聯(lián)的一種報文過濾技術(shù),它能夠截獲進程發(fā)起的網(wǎng)絡(luò)連接,然后判斷該進程是否允許發(fā)起這個網(wǎng)絡(luò)鏈接。
NIDS中間層驅(qū)動:NIDS驅(qū)動位于更底層,它能夠?qū)W(wǎng)絡(luò)訪問的所有報文進行過濾。但是無法根據(jù)進程信息進行過濾。也就是如果其允許目的端口為80的報文通過。那么所有使用目的端口為80進行網(wǎng)絡(luò)訪問的進程發(fā)出的網(wǎng)絡(luò)報文都能夠通過。
一般業(yè)界的防火墻均采用2兩種技術(shù)進行組合來實現(xiàn)。這樣就可以解決其他進程冒用NIDS中間層驅(qū)動允許端口進行訪問的問題。也可以解決,NIDS無法定位進程的問題了。
由于基于SPI的防火墻是工作于應(yīng)用層的,因此能夠攔截應(yīng)用程序發(fā)起的網(wǎng)絡(luò)鏈接,在某些情況下,就可能將客戶端發(fā)起的網(wǎng)絡(luò)鏈接阻斷。
由于基于NIDS驅(qū)動的防火墻是工作在核心層的,因此能夠攔截所有固定特征的報文。在某些情況下,就可能將客戶端發(fā)起的網(wǎng)絡(luò)鏈接阻斷。
因此,要解決客戶端同服務(wù)器端的通訊不被防火墻阻斷,本文可通過實現(xiàn)一個“客戶端驅(qū)動程序”(如上圖所示)來解決該問題。該客戶端驅(qū)動程序為TDI驅(qū)動,與TCP/IP這個TDI驅(qū)動同一位置,因此所有網(wǎng)卡收到的報文都將同時拷貝一份給“客戶端驅(qū)動程序”,不會經(jīng)過系統(tǒng)自帶的TCP/IP驅(qū)動和TCP/IP協(xié)議棧,因此不會被基于SPI(甚至基于TDI驅(qū)動)的防火墻所過濾,而目前能夠?qū)崿F(xiàn)根據(jù)程序進行報文過濾的防火墻基本都是使用這兩種技術(shù)。該“客戶端驅(qū)動”由于同TCP/IP位于同一位置,因此無法使用Socket等WindowsAPI來實現(xiàn)TCP/IP傳輸。因此要實現(xiàn)客戶端同服務(wù)端的通訊,還需要“客戶端驅(qū)動程序”實現(xiàn)TCP/IP協(xié)議的相關(guān)功能。由于TCP過于復(fù)雜,因此“客戶端驅(qū)動程序”采用實現(xiàn)UDP相關(guān)功能來實現(xiàn)IP報文的傳輸。“客戶端驅(qū)動程序”能夠防止通訊報文被基于SPI和基于TDI方式進行過濾的防火墻所過濾。
通過以上方式,客戶端和服務(wù)端通訊的報文還可能被基于NIDS中間層驅(qū)動的防火墻給過濾。如瑞星防火墻就默認過濾所有報文,只開放少數(shù)必備端口,如80(http)和53(dns).對于使用NIDS驅(qū)動進行報文過濾的防火墻,由于上網(wǎng)用戶訪問網(wǎng)絡(luò)是一定要訪問DNS服務(wù)的(DNS的訪問端口53),并且NIDS無法得到進程信息。因此可以使“客戶端驅(qū)動程序”的目的端口采用這些必備端口即可,本文中采用53端口(通過將端口修改為其他一定能夠訪問的端口也是可以的,53只是一個比較通用的做法,因為大部分人訪問網(wǎng)絡(luò)都是為了訪問internet)。
通過以上兩種方式,即可解決客戶端同服務(wù)器端網(wǎng)絡(luò)通訊被防火墻阻斷的問題。下圖為實現(xiàn)本方案,客戶端程序至少需要實現(xiàn)的模塊:
業(yè)務(wù)解析模塊:同業(yè)務(wù)相關(guān)的模塊(不同的產(chǎn)品是不一樣的),從自定義傳輸協(xié)議棧獲取服務(wù)器端發(fā)送過來的業(yè)務(wù)信息。將業(yè)務(wù)信息發(fā)送給自定義傳輸協(xié)議棧。
自定義傳輸協(xié)議棧:將業(yè)務(wù)相關(guān)的信息,根據(jù)自定義協(xié)議,封裝到IP報文中。該傳輸協(xié)議棧,本方案只規(guī)定了采用UDP協(xié)議實現(xiàn)。UDP報文中的內(nèi)容,不同的產(chǎn)品根據(jù)不同要求能夠有不同的實現(xiàn)(如報文大小,安全要求程度不一樣,應(yīng)用層的實現(xiàn)都是不一樣的)。
客戶端驅(qū)動程序:TDI驅(qū)動,接收服務(wù)端發(fā)送過來的報文,并轉(zhuǎn)發(fā)給自定義傳輸協(xié)議棧處理。接收自定義傳輸協(xié)議棧封裝好的報文,并通過網(wǎng)卡轉(zhuǎn)發(fā)給服務(wù)端。
對于服務(wù)器端,需要實現(xiàn)對應(yīng)的自定義傳輸協(xié)議和業(yè)務(wù)解析模塊,但是不需要實現(xiàn)客戶端驅(qū)動。因為服務(wù)端都是管理員負責管理的,不存在這個防火墻的問題。
本方案既能夠應(yīng)用于Windows操作系統(tǒng)環(huán)境下的TCP/IP網(wǎng)絡(luò)環(huán)境,也可以擴展到其他操作系統(tǒng)上的,如Linux和Unix等,因為其網(wǎng)絡(luò)體系架構(gòu)基本上是一樣的。不過,目前國內(nèi)的企業(yè)網(wǎng),基本上都是Windows操作系統(tǒng)的終端,采用其他OS的PC很少。
4 結(jié)論
雖然目前殺毒軟件和防火墻軟件功能已經(jīng)越來越強大。但是,這些軟件的功能,主要還是針對用戶的操作系統(tǒng)環(huán)境,進行病毒的檢測和防御。對于安全要求較高的企業(yè)網(wǎng),部署相應(yīng)的安全解決方案,還是很有必要的。對于一些裸奔(不安裝任何殺毒軟件和防火墻軟件)的PC,其安全性是完全無法保障的,企業(yè)信息的泄密幾率也大大的增加。但是,安全管理軟件同防病毒軟件的沖突問題,卻使安全解決方案的部署無法達到預(yù)期的效果。本文針對這個問題,通過使用“代碼簽名證書”,基于底層驅(qū)動的“客戶端驅(qū)動程序”,解決了業(yè)界普遍存在的安全管理軟件和防病毒軟件的沖突問題,使安全管理方案的落地有了一個良好的基礎(chǔ)。大大提高了企業(yè)內(nèi)網(wǎng)的安全,極大的減輕了企業(yè)網(wǎng)網(wǎng)絡(luò)管理員的工作負擔。
參考文獻
[1]代碼簽名證書.http:///link?url=B4VdrnuSOBmgeRYdAsssYwGZ32a4MRZbzMKhLrlu9n-6IhCgYqbOKSqQKGArOFvNdDB8etVjoy0eG-M9yvoGb.
Sidewinder防火墻是由SecureComputing公司推出的高安全級別防火墻產(chǎn)品。它具備一體化(all-in-one)防火墻或統(tǒng)一威脅管理(Unified Threat Management)安全設(shè)備的優(yōu)點,能夠保護用戶的應(yīng)用程序和網(wǎng)絡(luò)安全運行,在用戶應(yīng)用層檢查全部開啟的情況下,應(yīng)用層的吞吐率可達到千兆比特。同時,Sidewinder將廣泛的網(wǎng)關(guān)安全功能整合在一個系統(tǒng)中,從而降低了管理整個安全解決方案的復(fù)雜性。這些功能內(nèi)嵌在Sidewinder的Application Defenses 防火墻/VPN 網(wǎng)關(guān)中,內(nèi)嵌的功能包括防病毒、防間諜軟件、反垃圾郵件、URL過濾、加速的HTTPS/SSL端點、DoS攻擊防護、流量異常檢測、IDS/IPS以及其他一整套企業(yè)邊界安全重要保護功能。此外,Sidewinder與SecureComputing自有的前瞻性主動防御系統(tǒng)Trust edSource相結(jié)合,能夠極大提高Sidewinder對未知威脅和攻擊的防御能力,為企業(yè)提供了更有力的邊界安全防護。
針對不同安全級別用戶的需求,Sidewinder提供了完整的產(chǎn)品線以供用戶選擇,從中低端的Sidewinder 110/210/410/510到中高端的Sidewinder 1100/2100/2150/4150,為中小型企業(yè)、大中型企業(yè)、電信級運營服務(wù)提供商提供了不同的產(chǎn)品選擇以滿足不同用戶在最大化安全前提下的性能需求。
Sidewinder防火墻采用專屬防火墻操作系統(tǒng)―SecureOS,這是SecureComputing自行開發(fā)設(shè)計,專為SecureComputing公司全線網(wǎng)絡(luò)安全產(chǎn)品提供的專屬網(wǎng)關(guān)操作系統(tǒng)平臺。SecureOS最初是SecureComputing公司受美國國家安全局委托開發(fā)的安全防火墻操作系統(tǒng)平臺,以用來保護達到美國政府計算機信任評估標準(Trusted Computing Systems Evaluation Criteria)的最高級別(A1)的關(guān)鍵政府及軍隊機構(gòu)計算機網(wǎng)絡(luò)不受侵害。擁有Type Enforcement技術(shù)專利的SecureOS網(wǎng)關(guān)操作系統(tǒng)平臺,結(jié)合其蜂窩式的體系架構(gòu),每個功能或應(yīng)用均是嚴格封裝在獨立的區(qū)域中,建立了可容納攻擊策略和授權(quán)登錄策略,充分保障了防火墻基礎(chǔ)平臺的安全穩(wěn)定運行,并能夠有效防范已知和未知漏洞攻擊。SecureOS10多年來,從未出現(xiàn)過嚴重安全漏洞,一直保持從未被攻破的優(yōu)秀記錄。
Sidewinder防火墻在10多年前進行結(jié)構(gòu)設(shè)計時,就是完全面向應(yīng)用層的網(wǎng)關(guān)型安全產(chǎn)品。經(jīng)過10多年技術(shù)的沉淀,已經(jīng)發(fā)展成為獨有的應(yīng)用層體系架構(gòu).它完全采用通用的高效程序,所有程序均是直接基于SecureOS核心,采用模塊化堆砌,可以實現(xiàn)從1~65535全部應(yīng)用端口的全。除了系統(tǒng)標準預(yù)置的服務(wù)以外,用戶如果需要其他應(yīng)用,只需簡單地在控制臺新添相應(yīng)的應(yīng)用,就可實現(xiàn)對此應(yīng)用的防護。而且高效的進程通過與核心的直接交互,避免了不必要的資源開銷,能夠充分保證在進行完全的應(yīng)用層檢測時,同比網(wǎng)絡(luò)層性能做到性能衰減最小化。
支持帶寬:56Kbps-3Mbps;
支持復(fù)雜網(wǎng)絡(luò)環(huán)境、Internet、LAN、WLAN等無線網(wǎng)絡(luò),只要支持IP協(xié)議的網(wǎng)絡(luò)均可;
智能路由,智能選擇通信路徑。能夠穿透NAT,防火墻,服務(wù)器;
可自由調(diào)節(jié)圖像分辨率、幀速率。
導(dǎo)購信息
秦皇島東大軟件公司推出的東大信天通視頻會議系統(tǒng)具有多方視頻會議、資源共享、即時文字交流等諸多特點,讓企業(yè)資源得到了充分合理的配置。
網(wǎng)址:
電話:0335-8077416/054960
東大信天通視頻會議解決方案
方案介紹
東大信天通視頻會議系統(tǒng)通過已建成的IP網(wǎng)絡(luò)將多臺的計算機設(shè)備連接起來,穿越網(wǎng)絡(luò)防火墻,實現(xiàn)網(wǎng)絡(luò)上多點間的視頻、語音、數(shù)據(jù)的即時通信。憑借其靈活性和柔韌性,無縫嵌入Web、OA、MIS、ERP等各種系統(tǒng),在原有功能的基礎(chǔ)上增加了實時通信的功能,大大加速了信息的傳遞和整個企業(yè)的運作效率。
方案亮點:網(wǎng)絡(luò)穿透技術(shù)
東大信天通視頻會議系統(tǒng)是針對NAT、服務(wù)器及各種防火墻提供多種機制的解決方案,并可提供基于HTTP的多媒體傳輸模式,能夠最大程度地解決防火墻所帶來的通信障礙。此系統(tǒng)使得大多數(shù)企業(yè)在應(yīng)用時無需更改任何網(wǎng)絡(luò)配置,便可方便地將系統(tǒng)部署到現(xiàn)有網(wǎng)絡(luò)環(huán)境中。
傳輸控制技術(shù)
支持實時傳輸協(xié)議(RTP)進行多媒體數(shù)據(jù)傳輸,最大限度地減少了因網(wǎng)絡(luò)不穩(wěn)定而產(chǎn)生的延時。此外,該系統(tǒng)通過消抖動算法、抗丟包機制、網(wǎng)絡(luò)自適應(yīng)算法和流控制機制使網(wǎng)絡(luò)環(huán)境因素對通信應(yīng)用的影響減至最小,保證了系統(tǒng)在復(fù)雜的網(wǎng)絡(luò)情況下具有理想的效果。帶寬管理技術(shù)可讓用戶根據(jù)接入網(wǎng)絡(luò)情況來設(shè)置最大上行帶寬占用,并可隨時靈活地調(diào)整采集幀率和發(fā)送帶寬,以避免因使用視頻會議占用帶寬對網(wǎng)絡(luò)中其他應(yīng)用產(chǎn)生的影響。此系統(tǒng)還采用帶寬資源集中管理策略,保證在視頻會議應(yīng)用中有效、可控地利用網(wǎng)絡(luò)資源,避免因大量或無序的帶寬占用給用戶網(wǎng)絡(luò)帶來的資源危機。
多種方式接入
用戶可以多種接入方式參加到視頻會議中,包括電話撥號、ISDN、ADSL、LAN、HFC、DDN等不同形式的寬窄帶接入。
關(guān)鍵詞:網(wǎng)絡(luò)攻擊 防火墻 嵌入式
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2013)03-0216-01
信息社會的發(fā)展使得網(wǎng)絡(luò)應(yīng)用成為人們?nèi)粘I畹囊徊糠?。計算機網(wǎng)絡(luò)突破了傳統(tǒng)空間中的地域限制和時間限制,可以快速準確的幫助人們獲得所需信息和資源,極大的擴展了人們了解現(xiàn)實的渠道。但是隨著計算機網(wǎng)絡(luò)的普及和經(jīng)濟社會的發(fā)展,網(wǎng)絡(luò)應(yīng)用給我們帶來了巨大的便利,也為我們帶來了巨大的安全隱患。網(wǎng)絡(luò)中的惡意程序以及人為的惡意破壞使得我們必須采取有效的防護措施對自身數(shù)據(jù)進行保護,防止被非法獲取或泄露。防火墻則是基于網(wǎng)絡(luò)的一種信息安全保障技術(shù),是當前時期網(wǎng)絡(luò)安全的主要解決方案之一,利用防火墻技術(shù)可以有效控制用戶和網(wǎng)絡(luò)之間的數(shù)據(jù)通信,保障數(shù)據(jù)的安全。
1 防火墻技術(shù)發(fā)展概述
防火墻技術(shù)主要是對內(nèi)網(wǎng)和外網(wǎng)之間的訪問機制進行控制,但是傳統(tǒng)的依靠拓撲結(jié)構(gòu)進行網(wǎng)絡(luò)劃分的防火墻在防止來自網(wǎng)絡(luò)內(nèi)部的攻擊方面的性能不夠完善,無法實現(xiàn)數(shù)據(jù)的安全防護。為解決該問題,分布式防火墻技術(shù)被提出來解決上述問題,該技術(shù)將安全策略的執(zhí)行下放到各主機端,但是在服務(wù)端對各主機進行集中管理,統(tǒng)一控制,該技術(shù)解決了傳統(tǒng)防火墻技術(shù)在網(wǎng)絡(luò)結(jié)構(gòu)、內(nèi)部安全隱患、“單點失效”、過濾規(guī)則、端到端加密、旁點登陸等諸多方面的問題,具有較好的網(wǎng)絡(luò)防護性能。隨著分布式防火墻技術(shù)的提出,人們不斷對其進行改進,這些改進主要集中于兩個方面:硬件和軟件。其中基于硬件的防火墻技術(shù)被稱為嵌入式防火墻技術(shù)。
2 經(jīng)典嵌入式防火墻技術(shù)研究
較為經(jīng)典的嵌入式防火墻技術(shù)由以下幾種。
2.1 基于OpenBSDUNIX的嵌入式防火墻技術(shù)
該技術(shù)的實現(xiàn)基礎(chǔ)為在OpenBSDUNIX操作系統(tǒng),該平臺具有一體化的安全特性和庫,如IPSec棧、KeyNote和SSL等,應(yīng)用平臺中的組件內(nèi)核擴展程序可以指定安全通信機制;應(yīng)用平臺中的用戶層后臺處理程序組件可以對防火墻策略進行執(zhí)行;設(shè)備驅(qū)動程序組件用于提供通信接口。
2.2 基于Windows平臺的嵌入式防火墻技術(shù)
該技術(shù)的主要實現(xiàn)過程為對主機的具體應(yīng)用和對外服務(wù)制定安全策略。其中數(shù)據(jù)包過濾引擎被嵌入到內(nèi)核中的鏈路層和網(wǎng)絡(luò)層之間,向用戶提供訪問控制、狀態(tài)及入侵檢測等防御機制;用戶配置接口用于配置本地安全策略。
本文主要對該平臺的嵌入式防火墻技術(shù)進行研究。
3 基于嵌入式協(xié)議棧的內(nèi)容過濾防火墻技術(shù)方案
該技術(shù)方案將嵌入式協(xié)議棧和動態(tài)包過濾進行整合,進而替代主機的應(yīng)用層防火墻接口和系統(tǒng)功能調(diào)用,內(nèi)容過濾和數(shù)據(jù)處理。其中,嵌入式協(xié)議棧主要用于對數(shù)據(jù)和通信策略進行檢測,動態(tài)包過濾主要用于對IP層和TCp層的通信規(guī)則進行檢測。
該技術(shù)方案的優(yōu)勢在于數(shù)據(jù)包過濾和協(xié)議內(nèi)容分析處于系統(tǒng)的同一層次,這就會提高防火墻的防御效果。
3.1 防火墻結(jié)構(gòu)分析
防火墻系統(tǒng)結(jié)構(gòu)分為主要分為兩部分:底層安全策略表和應(yīng)用層安全策略表。與傳統(tǒng)防火墻技術(shù)相比,本文所述基于嵌入式協(xié)議棧的防火墻技術(shù)在防御策略中添加了應(yīng)用層的安全策略,其中,網(wǎng)絡(luò)協(xié)議還原將原有的網(wǎng)絡(luò)通信協(xié)議進行了還原處理,而應(yīng)用層協(xié)議還原則是對應(yīng)用層協(xié)議進行還原解碼處理,經(jīng)過兩次還原,數(shù)據(jù)信息被送入安全檢測模塊進行數(shù)據(jù)分析。
3.2 工作流程實現(xiàn)
當網(wǎng)絡(luò)中的主機進行數(shù)據(jù)包通信時時,會按照訪問規(guī)則對數(shù)據(jù)包進行安全檢測,查看是否符合訪問規(guī)則,若不符合訪問規(guī)則,則對該數(shù)據(jù)包進行丟棄處理,若符合訪問規(guī)則,則按照防火墻狀態(tài)表對數(shù)據(jù)包進行二次檢測,該檢測在協(xié)議棧部分進行。
對于需要檢測的數(shù)據(jù)包如HTTP、SMTP、POP3等數(shù)據(jù)流,其檢測過程為,數(shù)據(jù)進行IP分片還原、TCP連接還原以及應(yīng)用層協(xié)議還原,還原過程結(jié)束后應(yīng)用層的安全策略會產(chǎn)生一個新的狀態(tài)表,該狀態(tài)表用于判斷數(shù)據(jù)包是否安全,若判定數(shù)據(jù)不安全則對其進行丟棄處理,若判定數(shù)據(jù)安全則對數(shù)據(jù)包進行轉(zhuǎn)發(fā)。
對于不需要檢測的數(shù)據(jù)如多媒體影音數(shù)據(jù)等,可以直接認定為其在安全層是安全的,可直接進行內(nèi)容轉(zhuǎn)發(fā)。
進入內(nèi)容轉(zhuǎn)發(fā)步驟的數(shù)據(jù)包即可實現(xiàn)數(shù)據(jù)的通信,整個嵌入式防火墻過程結(jié)束。
3.3 性能分析
該嵌入式防火墻技術(shù)將數(shù)據(jù)包過濾所需的狀態(tài)表以及通信地址所需的地址表進行了集成,實現(xiàn)了嵌入式協(xié)議棧的整合。這種方式具有兩方面好處:一是提高了兩者之間的通信效率,減少了不必要的通信流程,協(xié)議棧可以便捷的更新數(shù)據(jù)包狀態(tài)表,數(shù)據(jù)包狀態(tài)表的狀態(tài)可以確定數(shù)據(jù)包是否進行數(shù)據(jù)檢測;二是集成化處理實現(xiàn)了狀態(tài)表和協(xié)議棧之間的相對統(tǒng)一,降低了內(nèi)存空間的使用。
4 結(jié)語
本文討論了防火墻技術(shù)的應(yīng)用目標和應(yīng)用作用,進而就防火墻技術(shù)的發(fā)展及理論創(chuàng)新進行總結(jié)和分析,確定了嵌入式防火墻技術(shù)的應(yīng)用優(yōu)勢,最后就基于Windows系統(tǒng)平臺的嵌入式協(xié)議棧防火墻技術(shù)進行分析和闡述。隨著網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜,在進行網(wǎng)絡(luò)應(yīng)用時必須要注意做好安全防護措施,應(yīng)用嵌入式防火墻技術(shù)即可獲得較為理想的安全防護效果。
參考文獻
[1]孟英博,嵌入式防火墻的研究與實現(xiàn)[D].南京航空航天大學,2007(1).
[2]江文,淺議新一代防火墻技術(shù)的應(yīng)用與發(fā)展[J].科學之友,2011(12).