详述防火墙维护与管理、技术发展趋势
来源:计算机信息与技术 更新时间:2008-02-02

本文从介绍防火墙的基本概念、分类以及特点入手,探讨防火墙维护与管理的方法、技术的发展趋势。

  1、引言

  网络安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当园区网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵,以此来实现内部网络的安全运行。

  2、防火墙的概述及其分类

  网络安全的重要性越来越引起网民们的注意,大大小小的单位纷纷为自己的内部网络“筑墙”、防病毒与防黑客成为确保单位信息系统安全的基本手段。防火墙是目前最重要的一种网络防护设备,是处于不同网络(如可信任的局域内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。

  2.1 概述

  在逻辑上,防火墙其实是一个分析器,是一个分离器,同时也是一个限制器,它有效地监控了内部网间或Internet之间的任何活动,保证了局域网内部的安全。

  1)什么是防火墙

  古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。现在,如果一个网络接到了Internet上面,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的关卡,它的作用与古时候的防火砖墙有类似之处,因此就把这个屏障叫做“防火墙”。

  防火墙可以是硬件型的,所有数据都首先通过硬件芯片监测;也可以是软件型的,软件在计算机上运行并监控。其实硬件型也就是芯片里固化了UNIX系统软件,只是它不占用计算机CPU的处理时间,但价格非常高,对于个人用户来说软件型更加方便实在。

  2)防火墙的功能

  防火墙只是一个保护装置,它是一个或一组网络设备装置。它的目的就是保护内部网络的访问安全。它的主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。其主体功能可以归纳为如下几点:

  ◆根据应用程序访问规则可对应用程序联网动作进行过滤;

  ◆对应用程序访问规则具有学习功能;

  ◆可实时监控,监视网络活动;

  ◆具有日志,以记录网络访问动作的详细信息;

  ◆被拦阻时能通过声音或闪烁图标给用户报警提示。

  3)防火墙的使用

  由于防火墙的目的是保护一个网络不受来自另一个网络的攻击。因此,防火墙通常使用在一个被认为是安全和可信的园区网与一个被认为是不安全与不可信的网络之间,阻止别人通过不安全与不可信的网络对本网络的攻击,破坏网络安全,限制非法用户访问本网络,最大限度地减少损失。

  2.2 防火墙的分类

  市场上的硬件防火墙产品非常之多,分类的标准比较杂,从技术上通常将其分为“包过滤型”、“代理型”和“监测型”等类型。

  1)包过滤型

  包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP(传输控制协议/用户数据报协议)源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。

  2)代理型

  代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

  3)监测型

  监测型防火墙是新一代的产品,这一技术实际上已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。

3、防火墙的作用、特点及优缺点

  防火墙通常使用在一个可信任的内部网络和不可信任的外部网络之间,阻断来自外部通过网络对局域网的威胁和入侵,确保局域网的安全。与其它网络产品相比,有着其自身的专用特色,但其本身也有着某些不可避免的局限。下面对其在网络系统中的作用、应用特点和其优缺点进行简单的阐述。

  3.1 防火墙的作用

  防火墙可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。

  3.2 防火墙的特点

  我们在使用防火墙的同时,对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒;代理型防火墙的特点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。当然代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性;虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。

  防火墙一般具有如下显著特点:

  ◆广泛的服务支持 通过动态的、应用层的过滤能力和认证相结合,可以实现WWW浏览器、HTTP服务器、FTP等;

  ◆对私有数据的加密支持 保证通过Internet进行虚拟私人网络和商业活动不受损坏;

  ◆客户端只允许用户访问指定的网络或选择服务 企业本地网、园区网与分支机构、商业伙伴和移动用户等安全通信的信息;

  ◆反欺骗 欺骗是从外部获取网络访问权的常用手段,它使数据包类似于来自网络内部。防火墙能监视这样的数据包并能丢弃;

  ◆C/S模式和跨平台支持 能使运行在一个平台的管理模块控制运行在另一个平台的监视模块。

  3.3 防火墙的优势和存在的不足

  防火墙在确保网络的安全运行上发挥着重要的作用。但任何事物都不是完美无缺的,对待任何事物必须一分为二,防火墙也不例外。在充分利用防火墙优点为我们服务的同时,也不得不面对其自身弱点给我们带来的不便。

  1) 防火墙的优势

  (1)防火墙能够强化安全策略。因为网络上每天都有上百万人在收集信息、交换信息,不可避免地会出现个别品德不良或违反规则的人。防火墙就是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅允许“认可的”和符合规则的请求通过。

  (2)防火墙能有效地记录网络上的活动。因为所有进出信息都必须通过防火墙,所以防火墙非常适合用于收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。

  (3)防火墙限制暴露用户点。防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播。

  (4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。

  2) 防火墙存在的不足

  (1)不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户可以偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁,只能要求加强内部管理。

  (2)不能防范不通过它的连接。防火墙能够有效地防止通过它传输的信息,然而它却不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。

  (3)不能防备全部的威胁。防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,就可以防备新的威胁,但没有一台防火墙能自动防御所有新的威胁。

  4、防火墙的管理与维护

  如果已经设计好了一个防火墙,使它满足了你的机构的需要,接下来的工作就是防火墙的管理与维护了。在防火墙设计建造完成以后,使它正常运转还要做大量的工作。值得注意的是,这里许多维护工作是自动进行的。管理与维护工作主要有4个方面,它们分别是:建立防火墙的安全策略、日常管理、监控系统、保持最新状态。

  4.1 建立防火墙的安全策略

  要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的,因为它可以说是一个组织的安全策略轮廓,尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。

  安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问,如读取、删除、下载等行为的规范,以及哪些人拥有这些权力等信息。

  1) 网络服务访问策略

  网络服务访问策略是一种高层次的、具体到事件的策略,主要用于定义在网络中允许的或禁止的网络服务,还包括对拨号访问以及PPP(点对点协议)连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法,所以其他的途径也应受到保护。比如,如果一个防火墙阻止用户使用Telnet服务访问因特网,一些人可能会使用拨号连接来获得这些服务,这样就可能会使网络受到攻击。网络服务访问策略不但应该是一个站点安全策略的延伸,而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情,从文件切碎条例到病毒扫描程序,从远程访问到移动介质的管理。

  2) 防火墙的设计策略

  防火墙的设计策略是具体地针对防火墙,负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前,必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基本策略中的一种:

  ① 除非明确不允许,否则允许某种服务;

  ② 除非明确允许,否则将禁止某项服务。

  执行第一种策略的防火墙在默认情况下允许所有的服务,除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务,除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种),也可以实施一种限制性策略(第二种),这就是制定防火墙策略的入手点。

  3) 安全策略设计时需要考虑的问题

  为了确定防火墙安全设计策略,进而构建实现预期安全策略的防火墙,应从最安全的防火墙设计策略开始,即除非明确允许,否则禁止某种服务。策略应该解决以下问题:

  ◆需要什么服务,如Telnet、WWW或NFS等;

  ◆在那里使用这些服务,如本地、穿越因特网、从家里或远方的办公机构等;

  ◆是否应当支持拨号入网和加密等服务;

  ◆提供这些服务的风险是什么;

  ◆若提供这种保护,可能会导致网络使用上的不方便等负面影响,这些影响会有多大;

  ◆与可用性相比,站点的安全性放在什么位置。

4.2 日常管理

  日常管理是经常性的琐碎工作,以使防火墙保持清洁和安全。为此,需要经常去完成的主要工作:数据备份、账号管理、磁盘空间管理等。

  1) 数据备份

  一定要备份防火墙的数据。使用一种定期的、自动的备份系统为一般用途的机器做备份。当这个系统正常做完备份之后,最好还能发送出一封确定信,而当它发现错误的时候,也最好能产生一个明显不同的信息。

  为什么只是在错误发生的时候送出一封信就好了呢?如果这个系统只在有错误的时候产生一封信,或许就有可能不会注意到这个系统根本就没有运作。那为什么需要明显不同的信息呢?如果备份系统正常和执行失败时产生的信息很类似。那么习惯于忽略成功信息的人,也有可能会忽略失败信息。理想的情况是有一个程序检查备份有没有执行,并在备份没有执行的时候产生一个信息。

  2) 账号管理

  账号的管理。包括增加新账号、删除旧账号及检查密码期限等,是最常被忽略的日常管理工作。在防火墙上,正确的增加新账号、迅速地删除旧账号以及适时地变更密码,绝对是一项非常重要的工作。

  建立一个增加账号的程序,尽量使用一个程序增加账号。即使防火墙系统上没有多少用户,但每一个用户都可能是一个危险。一般人都有一个毛病,就是漏掉一些步骤,或在过程中暂停几天。如果这个空档正好碰到某个账号没有密码,入侵者就很容易进来了。

  账号建立程序中一定要标明账号日期,以及每隔一阶段就自动检查账号。虽然不需要自动关闭账号,但是需要自动通知那些账号超过期限的人。可能的话,设置一个自动系统监控这些账号。这可以在UNIX系统上产生账号文件,然后传送到其他的机器上,或者是在各台机器上产生账号,自动把这些账号文件拷贝到UNIX上,再检查它们。

  如果系统支持密码期限的功能,应该把该功能打开。选择稍微长一点的期限,譬如说三到六个月。如果密码有效期太短,例如一个月,用户可能会想尽办法躲避期限,也就无法在安全防护上得到真正的收益。同理如果密码期限功能不能保证用户在账号被停用前看到密码到期通知,就不要开启这个功能。否则,用户会很不方便,而且也会冒着锁住急需使用机器的系统管理者的风险。

  3) 磁盘空间管理

  数据总是会塞满所有可用的空间,即使在几乎没有什么用户的机器上也一样。人们总是向文件系统的各个角落丢东西,把各种数据转存到文件系统的临时地址中。这样引起的问题可能常常会超出人们的想象。暂且不说可能需要使用那些磁盘空间,只是这种碎片就容易造成混乱,使事件的处理更复杂。于是有人可能会问:那是上次安装新版程序留下来的程序吗?是入侵者放进来的程序吗?那真的是一个普通的数据文件吗?是一些对入侵者有特殊意义的东西?等等,不幸的是能自动找出这种“垃圾”的方法没有,尤其是可以在磁盘上到处写东西的系统管理者。因此,最好有一个人定期检查磁盘,如果让每一个新任的系统管理者都去遍历磁盘会特别有效。他们将会发现管理员忽视的东西。

  在大多数防火墙中,主要的磁盘空间问题会被日志记录下来。这些记录应该自动进行,自动重新开始,这些数据最好把它压缩起来。Trimlon程序能够使这个处理程序自动化。当系统管理者要截断或搬移记录时,一定要停止程序或让它们暂停记录,如果在截断或搬移记录时,还有程序在尝试写入记录文件,显然就会有问题。事实上,即使只是有程序开启了文件准备稍后写入,也可能会惹上麻烦。

  4.3 监视系统

  对防火墙的维护、监视系统是维护防火墙的重点,它可以告诉系统管理者以下的问题:

  ◆防火墙已岌岌可危了吗?

  ◆防火墙能提供用户需求的服务吗?

  ◆防火墙还在正常运作吗?

  ◆尝试攻击防火墙的是哪些类型的攻击?

  要回答这几个问题,首先应该知道什么是防火墙的正常工作状态。

  1) 专用设备的监视

  虽然大部分的监视工作都是利用防火墙上现成的工具或记录数据,但是也可能会觉得如果有一些专用的监视设备会很方便。例如,可能需要在周围网络上放一个监视站,以便确定通过的都是预料中的数据包。可以使用有网络窥视软件包的一般计算机,也可以使用特殊用途的网络检测器。

  如何确定这一台监视机器不会被入侵者利用呢?事实上,最好根本不要让入侵者知道它的存在。在某些网络硬件设备上,只要利用一些技术和一对断线器(wire cutter)取消网络接口的传输功能,就可以使这台机器无法被检测到,也很难被入侵者利用。如果有操作系统的原始程序,也可以从那里取消传输功能,随时停止传输。但是,在这种情况下很难确认操作是否已经做成功了。

  2) 应该监视的内容

  理想的情况是,应该知道通过防火墙的一切事情,包括每一条连接,以及每一个丢弃或接受的数据包。然而实际的情况是很难做到的,而折衷的办法是,在不至于影响主机速度也不会太快填满磁盘的情况下,尽量多做记录,然后再为所产生的记录整理出摘要。

  在特殊情况下,要记录好以下内容:一是所有抛弃的包和被拒绝的连接;二是每一个成功的连接通过堡垒主机的时间、协议和用户名;三是所有从路由器中发现的错误、堡垒主机和一些代理程序。

  3) 监视工作中的一些经验

  应该把可疑的事件划分为几类:一是知道事件发生的原因,而且这不是一个安全方面的问题;二是不知道是什么原因,也许永远不知道是什么原因引起的,但是无论它是什么,它从未再出现过;三是有人试图侵入,但问题并不严重,只是试探一下;四是有人事实上已经侵入。

  这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的,但是下面这些归纳出的经验可能会对网络系统管理员有所帮助。如果发现以下情况,网络系统管理员就有理由怀疑有人在探试站点:一是试图访问在不安全的端口上提供的服务(如企图与端口映射或者调试服务器连接);二是试图利用普通账户登录(如guest);三是请求FTP文件传输或传输NFS(Network File System,网络文件系统)映射;四是给站点的SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器发送debug命令。

  如果网络系统管理员见到以下任何情况,应该更加关注。因为侵袭可能正在进行之中:一是多次企图登录但多次失败的合法账户,特别是因特网上的通用账户;二是目的不明的数据包命令;三是向某个范围内每个端口广播的数据包;四是不明站点的成功登录。

  如果网络系统管理员了发现以下情况,应该怀疑已有人成功地侵入站点:一是日志文件被删除或者修改;二是程序突然忽略所期望的正常信息;三是新的日志文件包含有不能解释的密码信息或数据包痕迹;四是特权用户的意外登录(例如root用户),或者突然成为特权用户的意外用户;五是来自本机的明显的试探或者侵袭,名字与系统程序相近的应用程序;六是登录提示信息发生了改变。

  4) 对试探作出的处理

  通常情况下,不可避免地发觉外界对防火墙进行明显试探——有人向没有向Internet提供的服务发送数据包,企图用不存在的账户进行登录等。试探通常进行一两次,如果他们没有得到令人感兴趣的反应,他们通常就会走开。而如果想弄明白试探来自何方,这可能就要花大量时间追寻类似的事件。然而,在大多数情况下,这样做不会有很大成效,这种追寻试探的新奇感很快就会消失。

  一些人满足于建立防火墙机器去诱惑人们进行一般的试探。例如,在匿名的FTP区域设置装有用户账号数据的文件,即使试探者破译了密码,看到的也只是一个虚假信息。这对于消磨空闲时间是没有害处的,这还能得到报复的快感,但是事实上它不会改善防火墙的安全性。它只能使入侵者恼怒,从而坚定了入侵者闯入站点的决心。

  4.4 保持最新状态

  保持防火墙的最新状态也是维护和管理防火墙的一个重点。在这个侵袭与反侵袭的领域中,每天都产生新的事物、发现新的毛病,以新的方式进行侵袭,同时现有的工具也会不断地被更新。因此,要使防火墙能同该领域的发展保持同步。

  当防火墙需要修补、升级一些东西,或增加新功能时,就必须投入较多的时间。当然所花的时间长短视修补、升级、或增加新功能的复杂程度而定。如果开始时对站点需求估计的越准确,防火墙的设计和建造做的越好,防火墙适应这些改变所花的时间就越少。

  5、结束语

  随着Internet在我国的迅速发展,网络安全的问题越来越得到重视,防火墙技术也引起了各方面的广泛关注。我们国家除了自行展开了对防火墙的一些研究,还对国外的信息安全和防火墙的发展进行了密切的关注,以便能更快掌握这方面的信息,更早的应用到我们的网络上面。当然,金无足赤,人无完人,我们从防火墙维护和管理的研究上得知,防火墙能保护网络的安全,但并不是绝对安全的,而是相对的。