企業如何選擇合適的防火牆

企業如何選擇合適的防火牆
   供服務的伺服器主機放在外部用戶可以訪問的地方，也就是說，主機安全幾乎是唯一的保證。除非明確地知道 誰會對你的訪問驚醒破壞，才可以對出口路由器或出口防火牆驚醒一些針對性的限制訪問控制的設定，否則，訪問控制變得毫無意義。

主機安全是一個非常有效的手段。所謂的主機安全是一個非常廣義的概念，首先是要有一個安全的作業系統，建立在一個不安全、甚至穩定性都很差的作業系統上，是無法作到一個安全的主機。然後是仔細的檢查你所提供的服務，如果不是你所必須提供的服務，建議除掉一切你所不需要的進程，對你的服務而言，它們都是你安全上的隱患。可以採用一些安全檢測或網路掃描工具來確定你的伺服器上到底有伸麽服務，以保證是否有安全漏洞或隱患。最後是對主機確定非常嚴格的訪問限制規則，除了允許提供商願意提供的服務之外，宣紙並拒絕所有未允許的服務，這是一個非常嚴格的措施。

除了主機安全以外，如果還需要提高服務的安全性，就該考慮採用網路即時監控和互動式動態防火牆。網路即時監控系統，會自動捕捉網路上所有的通信包，並對其進行分析和解析，並判斷出用戶的行為和企圖。如果發現用戶的行為或企圖與服務商所允許的服務不同，互動式防火牆立即採取措施，封堵或拒絕用戶的訪問，將其拒絕在防火牆之外，並報警。網路即時監控系統和互動式防火牆具有很強的審計功能，但成本相對偏高。

（二）   INTERNET和內部網

企業一方面訪問INTERNET，得到INTERNET所帶來的好處，另一方面，卻不希望外部用戶去訪問企業的內部資料庫和網路。企業當然沒有辦法去建立兩套網路來滿足這種需求。

防火牆的基本思想不是對每台主機系統進行保護，而是讓所有對系統的訪問通過某一點，並且保護這一點，並盡可能地對受保護的內部網和不可信任的外界網路之間建立一道屏障，它可以實施比較慣犯的安全政策來控制資訊流，防止不可預料的潛在的入侵破壞。

根據企業內部網安全政策的不同，採取防火牆的技術手段也有所不同。

1、        包過濾防火牆

包過濾防火牆的安全性是基於對包的IP位址的校驗。在Internet上，所有資訊都是以包的形式傳輸的，資訊包中包含發送方的IP位址和接收方的IP位址。包過濾防火牆將所有通過的資訊包中發送方IP位址、接收方IP位址、TCP埠、TCP鏈路狀態等資訊讀出，並按照預先設定過濾原則過濾資訊包。那些不符合規定的IP位址的資訊包會被防火牆過濾掉，以保證網路系統的安全。

包過濾防火牆是基於訪問控制來實現的。它利用資料包的頭資訊（源IP位址、封裝協定、埠號等）判定與過濾規則相匹配與否決定舍取。建立這類防火牆需按如下步驟去做；建立安全策略；寫出所允許的和禁止的任務；將安全策略轉化為資料包分組欄位的邏輯運算式；用相應的句法重寫邏輯運算式並設定之，

包過濾防火牆主要是防止外來攻擊，或是限制內部用戶訪問某些外部的資源。如果是防止外部攻擊，針對典型攻擊的過濾規則，大體有：

l       對付源IP地址欺騙式攻擊（Source IP Address Spoofing Attacks）

對入侵者假冒內部主機，從外部傳輸一個源IP位址為內部網路IP位址的資料包的這類攻擊，防火牆只需把來自外部埠的使用內部源位址的資料包統統丟棄掉。

l       對付殘片攻擊（Tiny Fragment Attacks）

入侵者使用TCP/IP資料包 分段特性，創建極小的分段並強行將TCP/IP頭資訊分成多個資料包，以繞過用戶防火牆的過濾規則。駭客期望防火牆只檢查第一個分段而允許其餘的分段通過。對付這類攻擊，防火牆只需將TCP/IP協議片斷位元移植（Fragment Offset）為1的資料包全部丟棄即可。

包過濾防火牆簡單、透明，而且非常行之有效，能解決大部分的安全問題，但必須瞭解包過濾防火牆不能做伸麽和有伸麽缺點。

對於採用動態分配埠的服務，如很多RPC（遠端程序呼叫）服務相關聯的伺服器在系統啟動時隨機分配埠的，就很難進行有效地過濾。

包過濾防火牆只按照規則丟棄資料包而不對其作日誌，導致對過濾的IP地址的不同用戶，不具備用戶身份認證功能，不具備檢測通過高層協議（如應用層）實現的安全攻擊的能力。

2、        代理防火牆

包過濾防火牆從很大意義上像一場戰爭，駭客想攻擊，防火牆堅決予以拒絕。而代理伺服器則是另外一種方式，能回避就回避，甚至乾脆隱藏起來。代理伺服器接收客戶請求後會檢查驗證其合法性，如其合法，代理伺服器象一台客戶機一樣取回所需的資訊再轉發給客戶。它將內部系統與外界隔離開來，從外面只能看到代理伺服器而看不到任何內部資源。代理伺服器只允許有代理的服務通過，而其他所有服務都完全被封鎖住。

代理伺服器非常適合那些根本就不希望外部用戶訪問企業內部的網路，而也不希望內部的用戶無限制的使用或濫用INTERNET。採用代理伺服器，可以把企業的內部網路隱藏起來，內部的用戶需要驗證和授權之後才可以去訪問INTERNET。

代理伺服器包含兩大類：一類是電路級代理閘道，另一類是應用級代理閘道。

電路級閘道又稱線路級閘道，它工作在會話層。它在兩主機收次建立TCP連接時創立一個電子屏障。它作為伺服器接收外來請求，轉發請求；與被保護的主機連接時則擔當客戶機角色、起代理服務的作用。它監視兩主機建立連接時的握手資訊，如Syn、Ack和序列資料等是否合乎邏輯，信號有效後閘道僅複製、傳遞資料，而不進行過濾。電路閘道中特殊的客戶程式只在初次連接時進行安全協商控制，其後就透明了。只有懂得如何與該電路閘道通信的客戶機才能到達防火牆另一邊的伺服器。

電路級閘道的防火牆的安全性比較高，但它仍不能檢查應用層的資料包以消除應用層攻擊的威脅。

應用級閘道使用軟體來轉發和過濾特定的應用服務，如TELNET、FTP等服務的連接。這是一種代理服務。它只允許有代理的服務通過，也就是說只有那些被認為“可信賴的”服務才被允許通過防火牆。另外代理服務還可以過濾協定，如過濾FTP連接、拒絕使用FTP放置命令等。應用級閘道的安全性高，其不足是要為每種應用提供專門的代理服務程式。

兩種代理技術都具有登記、日記、統計和報告功能，有很好的審計功能。還可以具有嚴格的用戶認證功能。先進的認證措施，如驗證授權RADIUS、智慧卡、認證權杖、生物統計學和基於軟體的工具已被用來克服傳統口令的弱點。

3、        狀態監控技術

網路狀態監控技術普遍被認為是下一代的網路安全技術。傳統的網路狀態監控技術對網路安全正常的工作完全沒有影響的前提下，採用捕捉網路資料包的方法對膃肭蜾蠃通信的各個層次實行監測，並作安全決策的依據。監視模組支援多種網路協定和應用協定，可以方便地實現應用和服務擴充。狀態監視服務可以監視RPC（遠端程序呼叫）和UDP（用戶資料包）埠資訊，而包過濾和代理服務則都無法做到。

網路狀態監控對主機的要求非常高，128M的記憶體可能是一個基本的要求，硬碟的要求也非常大，至少要求9G，對SWAP區至少也要求192M以上。一個好的網路狀態監控系統，處理的量可能高達每秒45M左右（一條T3的線路）。

網路狀態的監控的結果，直接就是要求能夠有一種互動式的防火牆來滿足客戶較高的要求。中網的IP防火牆就是這樣一種產品。

（三）   虛擬專用網

EXTRANET和VPN是現代網路的新熱點。虛擬專用網的本質實際上涉及到密碼的問題。在無法保證電路安全、通道安全、網路安全、應用安全的情況下，或者也不相信其他安全措施的情況下，一種行之有效的辦法就是加密，而加密就是必須考慮加密演算法和密碼的問題。考慮到我國對密碼管理的體制情況，密碼是一個單獨的領域。對防火牆而言，是否防火牆支援對其他密碼體制的支援，支援提供API來調用第三方的加密演算法和密碼，非常重要。

（四）   複合型防火牆體系

防火牆體系的採納是一個非常專業化的過程，不是一個簡單的是和非。當然可以根據具體的情況，作出一定的安全政策，並採用某種上述特定的防火牆。但絕大多數情況是，根據具體的安全需求，通過某種體系構架，來實現更高強度的安全體系。或者是採用包含上述功能的複合型防火牆。我們就具體的情況作一個簡單的說明：

遮罩主機閘道由一個執行代理服務 雙穴閘道和一個具有包過濾功能的路由器組成，功能的分開提高了防護系統的效率。

一個獨立的遮罩子網位於Intrannet與Internet之間，起保護作用。它由兩台過濾路由器和一台代理服務主機構成。路由器過濾掉禁止或不能識別的資訊，將合法的資訊送到代理服務主機上，並讓其檢查，並向內或向外轉發符合安全要求。

確保網路安全的措施

由於網路安全的目的是保障用戶的重要資訊的安全，因此限制直接接觸十分重要。如果用戶的網路連入Internet，那麽最好盡可能地把與Internet連接的機器與網路的其餘部分隔離開來。實現這個目標的最安全的方法是將Internet伺服器與網路實際隔開。當然，這種解決方案增加了機器管理的難度。但是如果有人闖入隔離開的機器，那麽網路的其餘部分不會受到牽連。

最重要的是限制訪問。不要讓不需要進入閘道的人都進入閘道。在機器上用戶僅需要一個用戶帳號，嚴格限制它的口令。只有在使用su時才允許進入根帳號。這個方法保留一份使用根帳號者的記錄。

在Internet伺服器上提供的一些服務有FTP、HTTP、遠端登陸和WAIS（廣域資訊服務）。但是，FTP和HTTP是使用最普遍的服務。它們還有潛力洩露出乎用戶意料之外的秘密。

與任何其他Internet服務一樣，FTP一直是（而且仍是）易於被濫用的。值得一提的弱點涉及幾個方面。第一個危險是配置不當。它使站點的訪問者（或潛在攻擊者）能夠獲得更多超出其預期的資料。

他們一旦進入，下一個危險是可能破壞資訊。一個未經審查的攻擊者可以抹去用戶的整個FTP站點。

最後一個危險不必長篇累牘，這是因為它不會造成破壞，而且是低水準的。它由用戶的FTP站點構成，對於交換檔案的人來說，用戶的FTP站點成為“麻木不仁的窩髒點”。這些檔案無所不包，可以是盜版軟體，也可以是色情畫。這種交換如何進行的呢？簡單的很。發送者發現了一個他們有權寫入和拷入可疑檔案的FTP站點。通過某些其他方法，發送者通知它們的同夥檔案可以使用。

所有這些問題都是由未正確規定許可條件而引起的。最大的一個問題可能是允許FTP用戶有機會寫入。當用戶通過FTP訪問一個系統時，這一般是FTP用戶所做的事。因此，FTP用戶可以訪問，用戶的訪問者也可以使用。所有這些問題都是由未正確規定許可條件而引起的。最大的一個問題可能是允許FTP用戶有機會寫入。當用戶通過FTP訪問一個系統時，這一般是FTP用戶所做的事。因此，FTP用戶可以訪問，用戶的訪問者也可以訪問。

一般說來，FTP用戶不是用戶的系統中已經有的。因此，用戶要建立FTP用戶。無論如何要保證將外殼設定為真正外殼以外的東西。這一步驟防止FTP用戶通過遠端登錄進行註冊（用戶或許已經禁止遠端登錄，但是萬一用戶沒有這樣做，確認一下也不會有錯）。

將所有檔案和目錄的主人放在根目錄下，不要放在ftp下。這個預防措施防止FTP用戶修改用戶仔細構思出的口令。然後，將口令規定為755（讀和執行，但不能寫，除了主人之外）。在用戶希望匿名用戶訪問的所有目錄上做這項工作。儘管這個規定允許他們讀目錄，但它也防止他們把什麽東西放到目錄中來。

用戶還需要編制某些可用的庫。然而，由於用戶已經在以前建立了必要的目錄，因此這一步僅執行一部分。因此，用戶需要做的一切是將/usr/lib/libe.so.1和/usr/lib/libsock-et.so/1拷貝到~ftp/usr/lib中。接著將~ftp/usr/lib上的口令改為555，並建立主接收器。