虛擬網絡技術主要基於近年來發展起來的局域網交換技術(ATM和以太網交換)。交換技術將傳統的基於廣播的局域網技術發展成為面向連接的技術。因此,網絡管理系統具有限制局域網通信範圍的能力,而無需通過昂貴的路由器。
上述運行機制給網絡安全帶來的好處是顯而易見的:信息只到達它應該到達的地方。因此,大多數基於網絡監控的入侵方法都被阻止。通過虛擬網絡設置的訪問控制,虛擬網絡外部的網絡節點不能直接訪問虛擬網絡內部的節點。然而,虛擬網絡技術也帶來了新的安全問題:
執行虛擬網絡交換的設備變得越來越復雜,從而成為攻擊的目標。
基於網絡廣播原理的入侵監測技術在高速交換網絡中需要特殊的設置。
基於MAC的VLAN無法防止MAC欺騙攻擊。
以太網本質上是基於廣播機制,但在交換機和VLAN技術應用後,實際上轉化為點對點的通信。除非設置監聽端口,否則在信息交換中不會出現監聽和插(換)的問題。
然而,基於MAC的VLAN分部將面臨假冒MAC地址的攻擊。因此,VLAN劃分最好基於交換機端口。但是,這要求整個網絡桌面使用交換機端口,或者每個交換機端口所在的網段機器屬於同壹個VLAN。
網絡層通信可以跨越路由器,因此可以從很遠的地方發起攻擊。IP協議族的實現並不完善,因此在網絡層發現的安全漏洞相對較多,如IP sweep、teardrop、sync-flood、IP欺騙攻擊等。
2.防火墻技術
網絡防火墻技術是壹種專用的網絡互聯設備,用於加強網絡間的訪問控制,防止外網用戶通過外網非法進入內網,訪問內網資源,保護內網運行環境。它根據壹定的安全策略檢查在兩個或多個網絡之間傳輸的數據包,以確定是否允許網絡之間的通信,並監控網絡運行狀態。
防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)和電路層網關、屏蔽主機防火墻、雙宿主機等。
雖然防火墻是保護網絡免受黑客攻擊的有效手段,但它也有明顯的缺點:不能防止來自防火墻以外的其他途徑的攻擊,不能防止來自內部叛逃者和臨時用戶的威脅,不能完全防止被感染軟件或文件的傳播,不能防止數據驅動的攻擊。
自從1986,美國數字公司在互聯網上安裝了世界上第壹個商用防火墻系統並提出防火墻的概念以來,防火墻技術發展迅速。國內外數十家公司推出了不同功能的防火墻產品。
防火墻處於五層網絡安全體系的最底層,屬於網絡層安全技術的範疇。在這壹級,企業向安全系統詢問是否所有的IP都可以訪問企業的內部網絡系統。如果答案是“是”,說明企業內網沒有在網絡層采取相應的防範措施。
防火墻作為內部網絡與外部公網之間的第壹道屏障,是人們最先關註的網絡安全產品之壹。雖然理論上防火墻處於網絡安全的最底層,負責網絡間的安全認證和傳輸,但是隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐漸走向網絡層以外的其他安全層面,不僅可以完成傳統防火墻的過濾任務,同時還可以為各種網絡應用提供相應的安全服務。此外,多種防火墻產品正在向數據安全和用戶認證方向發展,防止病毒和黑客的入侵。
1.使用防火墻的好處
保護脆弱的服務
通過過濾不安全的服務,防火墻可以大大提高網絡安全性,降低子網中主機的風險。
例如,防火墻可以禁止NIS和NFS服務通過,防火墻可以同時拒絕源路由和ICMP重定向數據包。
控制系統的訪問
防火墻可以提供對系統的訪問控制。例如,允許從外部訪問某些主機,而禁止訪問其他主機。例如,防火墻允許外部訪問特定的郵件服務器和Web服務器。
集中安全管理
防火墻實現了內網的集中安全管理,防火墻中定義的安全規則可以應用於整個內網系統,而不需要在內網的每臺機器上設置安全策略。例如,可以在防火墻中定義不同的身份驗證方法,而無需在每臺機器上安裝特定的身份驗證軟件。外部用戶只需要認證壹次就可以訪問內部網。
增強的保密性
防火墻可以阻止攻擊者獲取有用的信息來攻擊網絡系統,如Finger和DNS。
記錄和統計網絡使用數據和非法使用數據。
防火墻可以記錄和統計通過防火墻的網絡通信,提供有關網絡使用的統計數據,防火墻可以提供統計數據來判斷可能的攻擊和檢測。
政策執行
防火墻提供了壹種制定和實施網絡安全策略的方法。未設置防火墻時,網絡安全取決於每臺主機的用戶。
2.設置防火墻的元素
網絡戰略
影響防火墻系統的設計、安裝和使用的網絡策略可以分為兩個層次。高級網絡策略定義了允許和禁止的服務以及如何使用它們。低級網絡策略描述防火墻如何限制和過濾高級策略中定義的服務。
服務訪問策略
服務訪問策略側重於互聯網訪問服務和外部網絡訪問(如撥入策略、SLIP/PPP連接等。).
服務訪問策略必須可行且合理。可行的策略必須在防範已知網絡風險和為用戶提供服務之間取得平衡。典型的服務訪問策略是:必要時允許增強認證的用戶從互聯網訪問壹些內部主機和服務;允許內部用戶訪問指定的互聯網主機和服務。
防火墻設計策略
防火墻設計策略基於特定的防火墻,並定義了完成服務訪問策略的規則。通常有兩種基本的設計策略:
除非明確禁止,否則允許任何服務;
除非明確允許,否則不允許任何服務。
通常采用第二種設計策略。
3、防火墻的基本分類
包過濾類型
包過濾產品是防火墻的初級產品,其技術基礎是網絡中的數據包傳輸技術。網絡上的數據是以包的形式傳輸的,數據被分成壹定大小的包,每個包都會包含壹些特定的信息,比如數據的源地址和目的地址。TCP/UDP源端口和目的端口等。防火墻可以通過讀取數據包中的地址信息來判斷這些“數據包”是否來自可信的安全站點。壹旦發現來自危險站點的數據包,防火墻就會將其拒之門外。系統管理員也可以根據實際情況靈活制定判斷規則。
包過濾技術的優點是簡單實用,實施成本低。在應用環境簡單的情況下,能夠以較小的成本在壹定程度上保證系統的安全性。
然而,包過濾技術的缺陷也是顯而易見的。包過濾技術是壹種完全基於網絡層的安全技術,只能根據數據包的來源、目的、端口等網絡信息進行判斷,無法識別基於應用層的惡意入侵,如惡意Java小程序、郵件附帶的病毒等。有經驗的黑客可以輕易地偽造IP地址,騙過包過濾防火墻。
網絡地址轉換(NAT)
是將IP地址轉換為臨時、外部和註冊IP地址的標準。它允許具有私有IP地址的內部網絡訪問互聯網。這也意味著不允許用戶獲得其網絡中每臺機器的註冊IP地址。
當內網通過安全網卡訪問外網時,會產生壹條映射記錄。系統將外發源地址和源端口映射成壹個偽裝的地址和端口,通過非安全網卡與外網相連,從而隱藏真實的內網地址。外網通過非安全網卡訪問內網時,並不知道內網的連接情況。但只能通過開放的IP地址和端口。OLM防火墻根據預定義的映射規則判斷該訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機。當不符合規則時,防火墻認為訪問不安全,不可接受,防火墻會屏蔽外部連接請求。網絡地址轉換的過程對用戶是透明的,並且是不必要的。
代理類型
代理防火墻也可以稱為代理服務器,其安全性高於包過濾產品,並且已經開始向應用層發展。代理服務器位於客戶端和服務器之間,完全阻斷了兩者之間的數據交換。從客戶端的角度來看,代理服務器相當於壹個真實的服務器。從服務器的角度來看,代理服務器是壹個真正的客戶機。當客戶端需要使用服務器上的數據時,首先向代理服務器發送數據請求,然後代理服務器根據這個請求向服務器請求數據,然後代理服務器將數據傳輸給客戶端。由於外部系統與內部服務器之間沒有直接的數據通道,外部惡意侵權很難對企業內部網絡系統造成危害。
代理防火墻的優點是安全性高,可以檢測和掃描應用層,對基於應用層的入侵和病毒非常有效。其缺點是對系統的整體性能影響很大,對於客戶端可能產生的所有應用類型都必須壹壹設置代理服務器,大大增加了系統管理的復雜度。
監控類型
防火墻是新壹代產品,這項技術實際上已經超越了防火墻最初的定義。監控防火墻可以主動實時監控各個層面的數據。基於對這些數據的分析,監控防火墻可以有效地判斷各個層次的非法入侵。同時,這種檢測防火墻產品壹般都有分布式檢測器,放置在各種應用服務器和其他網絡節點中。不僅能檢測到來自網絡外部的攻擊,而且對來自內部的惡意破壞也有很強的防範作用。據權威機構統計,針對網絡系統的攻擊有相當比例來自網絡內部。因此,監控防火墻不僅超越了傳統防火墻的定義,在安全性方面也超越了前兩代產品。
雖然監控防火墻的安全性已經超過包過濾防火墻和代理服務器防火墻,但由於實施成本高、管理難度大,第二代代理防火墻產品在實踐中仍然是主要產品,但監控防火墻已經在某些方面得到應用。基於系統成本和安全技術成本的綜合考慮,用戶可以選擇性地使用壹些監控技術,既能保證網絡系統的安全需求,又能有效控制安全系統的總擁有成本。
事實上,作為當前防火墻產品的主流趨勢,大多數代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。因為該產品是基於應用程序的,所以應用程序網關可以為協議提供過濾。比如可以過濾掉FTP連接中的PUT命令,通過代理應用,應用網關可以有效避免內網的信息泄露。正是由於應用網關的這些特點,應用過程中的矛盾主要集中在對各種網絡應用協議的有效支持和對網絡整體性能的影響上。
4、構建防火墻的原則
分析安全和服務需求
以下問題有助於分析安全和服務需求:
√您計劃使用哪些互聯網服務(如服務(本地網絡、撥號、遠程辦公室))。
√需求增加,如加密或撥號訪問支持。
√提供上述服務和訪問的風險。
√在提供網絡安全控制的同時,犧牲系統應用服務的成本。
戰略的靈活性
壹般來說,與互聯網相關的網絡安全政策應該是靈活的,原因如下:
√隨著互聯網本身的快速發展,組織可能需要不斷使用互聯網提供的新服務來開展業務。新協議和服務的出現帶來了新的安全問題,安全策略必須能夠響應和處理這些問題。
√機構面臨的風險不是壹成不變的,機構職能和網絡設置的變化都可能改變風險。
遠程用戶認證策略
√遠程用戶無法通過防火墻後未經驗證的調制解調器訪問系統。
√ PPP/SLIP連接必須經過防火墻認證。
√對遠程用戶進行身份認證方法培訓。
撥入/撥出策略
√設計防火墻時必須考慮和集成撥入/撥出能力。
√外部撥入用戶必須通過防火墻的認證。
信息服務器策略
√公共* * *信息服務器的安全必須融入防火墻。
√公共信息服務器必須嚴格控制,否則會成為系統安全的缺口。
√為信息服務器定義折衷的安全策略允許提供公共服務。
√通過安全策略區分公共信息服務和商業信息(如電子郵件)。
防火墻系統的基本特征
√防火墻必須支持“除非明確允許,否則禁止任何服務”的設計策略。
√防火墻必須支持實際的安全策略,而不是改變安全策略來適應防火墻。
√防火墻必須具有靈活性,以適應新服務和機構智能變化帶來的安全策略變化。
√防火墻必須支持增強的認證機制。
√防火墻應使用過濾技術來允許或拒絕特定主機的訪問。
√ IP過濾描述語言應靈活、用戶友好,支持源IP和目的IP、協議類型、源和目的TCP/UDP端口、到達和離開接口。
√防火墻應為FTP和TELNET提供代理服務,以提供增強的集中認證管理機制。如果其他服務(如NNTP、rlogin等。)提供,但認證過程不加密,即密碼容易被監聽和解密。
使用摘要算法的身份驗證
Radius(撥入認證協議)、OSPF和SNMP安全協議都使用* * *和摘要算法(MD5)共享的安全密鑰進行認證。因為摘要算法是壹個不可逆的過程,在認證過程中,無法從摘要信息中計算出* * *共享的安全密鑰,敏感信息也不會在網絡上傳輸。市面上使用的主要總結算法有MD5和SHA-1。
基於PKI的認證
使用公鑰系統進行認證和加密。該方法安全性高,綜合采用了摘要算法、非對稱加密、對稱加密、數字簽名等技術,很好地將安全性和高效性結合起來。稍後將描述基於PKI的認證的基本原理。這種認證方法目前用於電子郵件、應用服務器訪問、客戶認證、防火墻驗證等領域。
這種認證方法具有高度的安全性,但是它涉及繁重的證書管理任務。