2.4 防黑防盜不防火的防火墻
2.4 防黑防盜不防火的防火墻
1.什么是防火墻
初聽“防火墻”這個名字,各位可不要往房屋、建筑的安全方面去想,這個“墻”是一道邏輯墻,而非實體墻。當(dāng)然,這也的確是一道墻!一道不能擋盜賊卻可以擋黑客,不能防寒暑卻可以保護(hù)內(nèi)網(wǎng)隱私的銅墻鐵壁!
防火墻的作用,就是防止未獲得授權(quán)的數(shù)據(jù)包進(jìn)入私有領(lǐng)地。
一般來說,防火墻是一個物理盒子,用以協(xié)助人們排查非法進(jìn)入的信息,或者協(xié)助人們過濾掉不必要的信息。總之,它扮演的角色,是防竊聽、防竊取、防黑客。
防火墻可以是一臺計算機,也可以是一臺路由器。
說它是一臺計算機,是因為它擁有和一臺計算機一樣的CPU、操作系統(tǒng)、軟件等,只是它的作用非常單一。
說它是一臺路由器,是因為它具備基本的路由功能。
防火墻一般情況下至少擁有2至3個以太網(wǎng)接口,防火墻“串”在互聯(lián)網(wǎng)(外網(wǎng))和企業(yè)內(nèi)網(wǎng)之間。
防火墻與路由器是同時代出現(xiàn)的,我們稱最早的防火墻為第一代防火墻,采用了包過濾技術(shù)。
1989年,貝爾實驗室推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻——應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。
1992年,USC信息科學(xué)院的鮑勃·巴登開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代防火墻,后來演變?yōu)槟壳傲餍械摹盃顟B(tài)監(jiān)視技術(shù)”;1994年,以色列的著名防火墻公司CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。
1998年,NAI公司推出了一種自適應(yīng)代理技術(shù),并在其產(chǎn)品中得以實現(xiàn),給代理類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。
前五代防火墻技術(shù),也稱為傳統(tǒng)防火墻,它們采用逐一匹配方法,計算量太大,只能機械地執(zhí)行安全策略,不能解決目前網(wǎng)絡(luò)安全的三大主要問題,即以拒絕訪問(DDOS)為主要目的的網(wǎng)絡(luò)攻擊,以蠕蟲(Worm)為主要代表的病毒傳播,以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。
下一代防火墻,也稱為智能防火墻,是相對傳統(tǒng)的防火墻而言的,顧名思義,它更聰明、更智能。傳統(tǒng)的防火墻對包的檢查,就像對人的相貌的識別,采用圖像識別一樣。把一個人的相貌轉(zhuǎn)換為圖像,對圖像的每一個像素進(jìn)行記憶,然后進(jìn)行匹配檢查。通過檢查上千萬個像素之后,告訴你這是誰。人不是這樣來識別相貌的。人幾乎沒有計算就可以實時地識別你是誰。這就是智能識別。智能防火墻無須海量計算就可以輕松找到網(wǎng)絡(luò)行為的特征值來識別網(wǎng)絡(luò)行為,從而輕松的執(zhí)行訪問控制。
2.防火墻有哪些功能部件
防火墻是在外部網(wǎng)絡(luò)(互聯(lián)網(wǎng))和內(nèi)部網(wǎng)絡(luò)(Intranet)之間的一堵墻。當(dāng)然,這堵墻必須得有一扇門,否則它將把內(nèi)外網(wǎng)完全隔絕——這違背互連的初衷,因此并不是我們所希望看到的。
門有兩個基本狀態(tài):開和關(guān),防火墻也會說兩個詞:YES(接受)或者NO(拒絕)。最簡單的防火墻是以太網(wǎng)橋,用來隔離兩個網(wǎng)段;但這種原始的防火墻管不了多大用處。
那么,這道門怎么設(shè)置,才能讓防火墻起到作用呢?也就是說,這道門什么時候開,什么時候關(guān)呢?
我們先從這道門必須具備的4個基本功能部件說起。
第一,這道門需要訪問原則。放哪些數(shù)據(jù)包進(jìn)來?放哪些數(shù)據(jù)包出去?哪些數(shù)據(jù)包需要特殊處理?這些原則,組成了服務(wù)訪問規(guī)則。
第二,這道門必須有有效的驗證工具,以保證其驗證結(jié)果的正確性。這有點像門禁系統(tǒng)。門禁系統(tǒng)一般采用射頻卡,刷卡時,卡內(nèi)信息與后臺數(shù)據(jù)庫的賬號列表進(jìn)行對比,確認(rèn)后會發(fā)出“嘟”的一聲,就說明驗證通過。
第三,對于那些沒有驗證通過的數(shù)據(jù)包,這道門必須知道如何將他們過濾掉,因此防火墻必須具備包過濾機制。
第四,對于應(yīng)用層的各種病毒,防火墻也應(yīng)該有一定的防范能力。這種功能部件叫作“應(yīng)用網(wǎng)關(guān)”。
3.防火墻的技術(shù)原理
防火墻采用的技術(shù)五花八門,形式也多種多樣:有的取代系統(tǒng)上已經(jīng)安裝的TCP/IP協(xié)議棧,有的在已經(jīng)有的協(xié)議棧上建立自己的軟件模塊,有的干脆就是一套獨立的操作系統(tǒng),還有一些應(yīng)用型防火墻只對特定類型的網(wǎng)絡(luò)連接提供保護(hù),另外有一些基于硬件的防火墻產(chǎn)品,有些人稱之為“安全路由器”。
如下的一幅圖,就是防火墻最典型的應(yīng)用場景。
這張圖中,兩個網(wǎng)段之間隔了一個防火墻,防火墻的一端有一臺LINUX服務(wù)器,另一個網(wǎng)段則擺了一臺PC機。
當(dāng)PC機向LINUX主機發(fā)起某種請求,PC的客戶程序就產(chǎn)生一個TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來,協(xié)議棧將這個TCP包“塞”到一個IP包中,然后通過PC機的TCP/IP協(xié)議棧所定義的路徑將它發(fā)送給LINUX主機。在這個例子中,該IP包必須經(jīng)過橫在PC和LINUX主機中的防火墻才能到達(dá)LINUX主機里。
現(xiàn)在我們“命令”防火墻把所有發(fā)給LINUX主機的數(shù)據(jù)包都給拒絕掉。完成這項工作后,防火墻出于憐憫,還會告訴客戶程序一聲——“Hi,我把你的數(shù)據(jù)給拒絕了啊”。接下來,只有和LINUX主機同在一個網(wǎng)段的用戶才能訪問這臺主機。
當(dāng)然,我們也可以“命令”防火墻專門給那臺可憐的PC機“找茬”,別人的數(shù)據(jù)包都被允許順利通過,就它發(fā)出的不行。這正是防火墻的基本功能:根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但到了大場面,這種小伎倆就玩不轉(zhuǎn)了,由于黑客們可以采用IP地址欺騙技術(shù),偽裝成合法地址的計算機,就可以穿越信任這個地址的防火墻了。
僅僅靠地址進(jìn)行數(shù)據(jù)過濾在實際應(yīng)用中是不可行的,原因是目標(biāo)主機上往往運行著多種通信服務(wù)。大多數(shù)情況下,不能因為要過濾掉某臺計算機發(fā)來的某一種應(yīng)用的數(shù)據(jù)包,而拒絕掉這臺計算機發(fā)出來的所有數(shù)據(jù)包。
比如很多公司不希望員工上班登錄QQ,那么就需要在防火墻上做相應(yīng)的配置,使QQ無法正常登錄到騰訊服務(wù)器上。其實這種配置非常簡單,只需要關(guān)閉QQ的端口號即可。不可能因為不讓登錄QQ而拋棄所有的數(shù)據(jù)包,否則這就是典型的“因噎廢食”了。
4.其實,到處都是防火墻
當(dāng)然,我們也可以以一種寬松的方式定義出廣義的防火墻。目前的操作系統(tǒng)、路由器上,都帶有一定的數(shù)據(jù)過濾機制。那么可以說,當(dāng)前的計算機、路由器,甚至一些多媒體網(wǎng)關(guān),也都可以做防火墻。
在企業(yè)局域網(wǎng)組網(wǎng)中,很多出口路由器(接入路由器)就承擔(dān)了防火墻的功能。