什么是防火墻�����?
防火墻是指設(shè)置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合�。它可以通過監(jiān)測、限制���、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息���、結(jié)構(gòu)和運行狀況,以此來實現(xiàn)網(wǎng)絡的安全保護����。在邏輯上�,防火墻是一個分離器����,一個限制器,也是一個分析器���,有效地監(jiān)控了內(nèi)部網(wǎng)和之間的任何活動�,保證了內(nèi)部網(wǎng)絡的安全���。
防火墻()�����,是一種硬件設(shè)備或軟件系統(tǒng)�����,主要架設(shè)在內(nèi)部網(wǎng)絡和外部網(wǎng)絡間,為了防止外界惡意程式對內(nèi)部系統(tǒng)的破壞,或者阻止內(nèi)部重要信息向外流出����,有雙向監(jiān)督功能。藉由防火墻管理員的設(shè)定����,可以彈性的調(diào)整安全性的等級����。
防火墻分類及原理
防火墻總體上分為包過濾���、應用級網(wǎng)關(guān)和代理服務器等幾大類型�����。包含如下幾種核心技術(shù):
1�、包過濾技術(shù)
包過濾技術(shù)是一種簡單���、有效的安全控制技術(shù)���,它工作在網(wǎng)絡層��,通過在網(wǎng)絡間相互連接的設(shè)備上加載允許�、禁止來自某些特定的源地址����、目的地址、TCP端口號等規(guī)則����,對通過設(shè)備的數(shù)據(jù)包進行檢查��,限制數(shù)據(jù)包進出內(nèi)部網(wǎng)絡����。
包過濾的最大優(yōu)點是對用戶透明,傳輸性能高。但由于安全控制層次在網(wǎng)絡層����、傳輸層��,安全控制的力度也只限于源地址、目的地址和端口號,因而只能進行較為初步的安全控制����,對于惡意的擁塞攻擊�����、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段,則無能為力�����。
2���、應用代理技術(shù)
應用代理防火墻工作在OSI的第七層���,它通過檢查所有應用層的信息包,并將檢查的內(nèi)容信息放入決策過程��,從而提高網(wǎng)絡的安全性�����。
應用網(wǎng)關(guān)防火墻是通過打破客戶機/服務器模式實現(xiàn)的����。每個客戶機/服務器通信需要兩個連接:一個是從客戶端到防火墻�,另一個是從防火墻到服務器���。另外�����,每個代理需要一個不同的應用進程�����,或一個后臺運行的服務程序,對每個新的應用必須添加針對此應用的服務程序,否則不能使用該服務����。所以�����,應用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點。
3、狀態(tài)檢測技術(shù)
狀態(tài)檢測防火墻工作在OSI的第二至四層�,采用狀態(tài)檢測包過濾的技術(shù)����,是傳統(tǒng)包過濾功能擴展而來�����。狀態(tài)檢測防火墻在網(wǎng)絡層有一個檢查引擎截獲數(shù)據(jù)包并抽取出與應用層狀態(tài)有關(guān)的信息�����,并以此為依據(jù)決定對該連接是接受還是拒絕�����。這種技術(shù)提供了高度安全的解決方案���,同時具有較好的適應性和擴展性�����。狀態(tài)檢測防火墻一般也包括一些代理級的服務,它們提供附加的對特定應用程序數(shù)據(jù)內(nèi)容的支持�。
狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點�,性能比較好���,同時對應用是透明的����,在此基礎(chǔ)上,對于安全性有了大幅提升�����。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網(wǎng)絡的數(shù)據(jù)包��,不關(guān)心數(shù)據(jù)包狀態(tài)的缺點�,在防火墻的核心部分建立狀態(tài)連接表����,維護了連接,將進出網(wǎng)絡的數(shù)據(jù)當成一個個的事件來處理���。主要特點是由于缺乏對應用層協(xié)議的深度檢測功能�����,無法徹底的識別數(shù)據(jù)包中大量的垃圾郵件��、廣告以及木馬程序等等�����。
4、完全內(nèi)容檢測技術(shù)
完全內(nèi)容檢測技術(shù)防火墻綜合狀態(tài)檢測與應用代理技術(shù)�,并在此基礎(chǔ)上進一步基于多層檢測架構(gòu)�,把防病毒���、內(nèi)容過濾��、應用識別等功能整合到防火墻里�����,其中還包括IPS功能,多單元融為一體��,在網(wǎng)絡界面對應用層掃描網(wǎng)絡操作系統(tǒng)有哪些���,把防病毒���、內(nèi)容過濾與防火墻結(jié)合起來�,這體現(xiàn)了網(wǎng)絡與信息安全的新思路,(因此也被稱為“下一代防火墻技術(shù)”)�����。它在網(wǎng)絡邊界實施OSI第七層的內(nèi)容掃描����,實現(xiàn)了實時在網(wǎng)絡邊緣布署病毒防護��、內(nèi)容過濾等應用層服務措施���。完全內(nèi)容檢測技術(shù)防火墻可以檢查整個數(shù)據(jù)包內(nèi)容��,根據(jù)需要建立連接狀態(tài)表,網(wǎng)絡層保護強���,應用層控制細等優(yōu)點網(wǎng)絡操作系統(tǒng)有哪些,但由于功能集成度高��,對產(chǎn)品硬件的要求比較高���。
防火墻作用
保護脆弱的服務通過過濾不安全的服務����,可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險。例如,可以禁止NIS���、NFS服務通過,同時可以拒絕源路由和ICMP重定向封包。
控制對系統(tǒng)的訪問可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機���,同時禁止訪問另外的主機。例如,允許外部訪問特定的Mail 和Web ����。
集中的安全管理對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理��,在定義的安全規(guī)則可以運行于整個內(nèi)部網(wǎng)絡系統(tǒng),而無須在內(nèi)部網(wǎng)每臺機器上分別設(shè)立安全策略�����?�?梢远x不同的認證方法,而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經(jīng)過一次認證即可訪問內(nèi)部網(wǎng)���。
增強的保密性使用可以阻止攻擊者獲取攻擊網(wǎng)絡系統(tǒng)的有用信息,如Figer和DNS����。
記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)可以記錄和統(tǒng)計通過的網(wǎng)絡通訊��,提供關(guān)于網(wǎng)絡使用的統(tǒng)計數(shù)據(jù)��,并且,可以提供統(tǒng)計數(shù)據(jù),來判斷可能的攻擊和探測。
策略執(zhí)行提供了制定和執(zhí)行網(wǎng)絡安全策略的手段�。未設(shè)置時����,網(wǎng)絡安全取決于每臺主機的用戶�����。
1. 什么是IDS����?
IDS是英文" "的縮寫����,中文意思是"入侵檢測系統(tǒng)"。
大家還記得「網(wǎng)絡安全」安全設(shè)備篇(1)——防火墻嗎�?做一個形象的比喻:假如防火墻是一幢大樓的門鎖�����,那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進入大樓,或內(nèi)部人員有越界行為����,只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。
在本質(zhì)上����,入侵檢測系統(tǒng)是一個典型的"窺探設(shè)備"����。它不跨接多個物理網(wǎng)段(通常只有一個監(jiān)聽端口)�����,無須轉(zhuǎn)發(fā)任何流量�,而只需要在網(wǎng)絡上被動的���、無聲息的收集它所關(guān)心的報文即可��。對收集來的報文�����,入侵檢測系統(tǒng)提取相應的流量統(tǒng)計特征值,并利用內(nèi)置的入侵知識庫�����,與這些流量特征進行智能分析比較匹配����。根據(jù)預設(shè)的閥值,匹配耦合度較高的報文流量將被認為是進攻�,入侵檢測系統(tǒng)將根據(jù)相應的配置進行報警或進行有限度的反擊�。
2. IDS模型
按侵檢測的手段�,IDS的入侵檢測模型可分為基于網(wǎng)絡和基于主機兩種。
基于主機模型也稱基于系統(tǒng)的模型��,它是通過分析系統(tǒng)的審計數(shù)據(jù)來發(fā)現(xiàn)可疑的活動��,如內(nèi)存和文件的變化等。其輸入數(shù)據(jù)主要來源于系統(tǒng)的審計日志��,一般只能檢測該主機上發(fā)生的入侵���。這種模型有以下優(yōu)點:
性能價格比高:在主機數(shù)量較少的情況下�,這種方法的性能價格比更高;更加細致:可以很容易地監(jiān)測一些活動��,如敏感文件�����、目錄�����、程序或端口的存取����,而這些活動很難基于協(xié)議的線索發(fā)現(xiàn)�;視野集中:一旦入侵者得到了一個主機用戶名和口令,基于主機的代理是最有可能區(qū)分正?���;顒雍头欠ɑ顒拥?�;易于用戶剪裁:每一個主機有自己的代理,當然用戶剪裁更加方便�;較少的主機:基于主機的方法有時不需要增加專門的硬件平臺����;對網(wǎng)絡流量不敏感:用代理的方式一般不會因為網(wǎng)絡流量的增加而丟掉對網(wǎng)絡行為的監(jiān)視�����。基于網(wǎng)絡模型即通過連接在網(wǎng)絡上的站點捕獲網(wǎng)上的包,并分析其是否具有已知的攻擊模式��,以此來判別是否為入侵者��。當該模型發(fā)現(xiàn)某些可疑的現(xiàn)象時�����,也一樣會產(chǎn)生告警,并會向一個中心管理站點發(fā)出告警信號。這種模型有以下優(yōu)點:
偵測速度快:基于網(wǎng)絡的監(jiān)測器,通常能在微秒或秒級發(fā)現(xiàn)問題�。而大多數(shù)基于主機的產(chǎn)品則要依靠最近幾分鐘內(nèi)審計記錄的分析�;隱蔽性好:一個網(wǎng)絡上的監(jiān)測器不像主機那樣顯眼和易被存取��,因而也不那么容易遭受攻擊����;視野更寬:基于網(wǎng)絡的方法甚至可以作用在網(wǎng)絡邊緣上�����,即攻擊者還沒能接入網(wǎng)絡時就被制止���;較少的監(jiān)測器:由于使用一個監(jiān)測器可以保護一個共享的網(wǎng)段���,所以不需要很多的監(jiān)測器�����;占資源少:在被保護的設(shè)備上不占用任何資源,這點較主機模型最為突出。3. IDS分類
根據(jù)模型和部署方式的不同,IDS分為基于主機的IDS����、基于網(wǎng)絡的IDS����,以及由兩者取長補短發(fā)展而來的新一代分布式IDS����。
基于主機的IDS輸入數(shù)據(jù)來源于系統(tǒng)的審計日志�����,即在每個要保護的主機上運行一個代理程序���,一般只能檢測該主機上發(fā)生的入侵����。它在重要的系統(tǒng)服務器、工作站或用戶機器上運行,監(jiān)視操作系統(tǒng)或系統(tǒng)事件級別的可疑活動(如嘗試登錄失?�。?���。此類系統(tǒng)需要定義清楚哪些是不合法的活動,然后把這種安全策略轉(zhuǎn)換成入侵檢測規(guī)則。
基于網(wǎng)絡的IDS基于網(wǎng)絡的IDS的輸入數(shù)據(jù)來源于網(wǎng)絡的信息流���,該類系統(tǒng)一般被動地在網(wǎng)絡上監(jiān)聽整個網(wǎng)段上的信息流,通過捕獲網(wǎng)絡數(shù)據(jù)包,進行分析�,能夠檢測該網(wǎng)絡段上發(fā)生的網(wǎng)絡入侵���。
分布式IDS一般由多個部件組成�,分布在網(wǎng)絡的各個部分����,完成相應功能,分別進行數(shù)據(jù)采集、數(shù)據(jù)分析等����。通過中心的控制部件進行數(shù)據(jù)匯總、分析�、產(chǎn)生入侵警報等�����。在這種結(jié)構(gòu)下,不僅可以檢測到針對單獨主機的入侵�����,同時也可以檢測到針對整網(wǎng)絡上的主機的入侵��。
4. IDS作用
監(jiān)控����、分析用戶及系統(tǒng)活動����。對系統(tǒng)構(gòu)造和弱點的審計。識別反映已知進攻的活動模式并報警���。異常行為模式的統(tǒng)計分析。評估重要系統(tǒng)和數(shù)據(jù)文件的完整性�����。對操作系統(tǒng)的審計追蹤管理��,并識別用戶違反安全策略的行為����。
1. 什么是IPS���?
IPS是英文" "的縮寫��,中文意思是"入侵防御系統(tǒng)",IPS實現(xiàn)實時檢查和阻止入侵。
上文「網(wǎng)絡安全」安全設(shè)備篇(2)——IDS提到的IDS入侵檢測系統(tǒng)大多是被動防御�����,而不是主動的�����,在攻擊實際發(fā)生之前��,它們往往無法預先發(fā)出警報。而IPS入侵防御系統(tǒng)����,則傾向于提供主動防護�,其設(shè)計宗旨是預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截�����,避免其造成損失���,而不是簡單地在惡意流量傳送時或傳送后發(fā)出警報���。
2. IPS原理
IPS引擎原理圖
IPS是通過直接嵌入到網(wǎng)絡流量中實現(xiàn)主動防御的�,即通過一個網(wǎng)絡端口接收來自外部系統(tǒng)的流量,經(jīng)過檢查確認其中不包含異?����;顒踊蚩梢蓛?nèi)容后�����,再通過另一個端口將它傳送到內(nèi)部系統(tǒng)中。通過這個過程,有問題的數(shù)據(jù)包以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包,都將在IPS設(shè)備中被清除掉����。
IPS擁有眾多過濾器��,能夠防止各種攻擊。當新的攻擊手段被發(fā)現(xiàn)后���,IPS就會創(chuàng)建一個新的過濾器。所有流經(jīng)IPS的數(shù)據(jù)包都被分類�,分類的依據(jù)是數(shù)據(jù)包中的報頭信息���,如源IP地址和目的IP地址��、端口號和應用域。每種過濾器負責分析相對應的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進�,包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄���,被懷疑的數(shù)據(jù)包需要接受進一步的檢查��。
3. IPS分類
基于主機的入侵防護(HIPS)HIPS通過在主機/服務器上安裝軟件代理程序,防止網(wǎng)絡攻擊入侵操作系統(tǒng)以及應用程序?;谥鳈C的入侵防護能夠保護服務器的安全弱點不被不法分子所利用���?;谥鳈C的入侵防護技術(shù)可以根據(jù)自定義的安全策略以及分析學習機制來阻斷對服務器�、主機發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令���、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為,整體提升主機的安全水平。
基于網(wǎng)絡的入侵防護(NIPS)NIPS通過檢測流經(jīng)的網(wǎng)絡流量�����,提供對網(wǎng)絡系統(tǒng)的安全保護����。由于它采用在線連接方式��,所以一旦辨識出入侵行為�,NIPS就可以去除整個網(wǎng)絡會話��,而不僅僅是復位會話��。同樣由于實時在線,NIPS需要具備很高的性能���,以免成為網(wǎng)絡的瓶頸,因此NIPS通常被設(shè)計成類似于交換機的網(wǎng)絡設(shè)備��,提供線速吞吐速率以及多個網(wǎng)絡端口���。
NIPS必須基于特定的硬件平臺��,才能實現(xiàn)千兆級網(wǎng)絡流量的深度數(shù)據(jù)包檢測和阻斷功能�。這種特定的硬件平臺通?���?梢苑譃槿悾阂活愂蔷W(wǎng)絡處理器(網(wǎng)絡芯片),一類是專用的FPGA編程芯片����,第三類是專用的ASIC芯片����。
應用入侵防護(AIP)NIPS產(chǎn)品有一個特例,即應用入侵防護( ���,AIP),它把基于主機的入侵防護擴展成為位于應用服務器之前的網(wǎng)絡設(shè)備���。AIP被設(shè)計成一種高性能的設(shè)備,配置在應用數(shù)據(jù)的網(wǎng)絡鏈路上,以確保用戶遵守設(shè)定好的安全策略,保護服務器的安全。NIPS工作在網(wǎng)絡上����,直接對數(shù)據(jù)包進行檢測和阻斷,與具體的主機/服務器操作系統(tǒng)平臺無關(guān)�����。
NIPS的實時檢測與阻斷功能很有可能出現(xiàn)在未來的交換機上����。隨著處理器性能的提高,每一層次的交換機都有可能集成入侵防護功能�����。
4. IPS作用
IPS是對防病毒軟件和防火墻的補充����,能有效阻止蠕蟲、病毒�����、木馬�����、拒絕服務攻擊���、間諜軟件�����、VOIP攻擊以及點到點應用濫用。
