安全知識(shí)之基于C/S架構(gòu)分布式防火墻
隨著政府、企業(yè)、個(gè)人主機(jī)的網(wǎng)絡(luò)安全需求的與日俱增,防火墻技術(shù)應(yīng)運(yùn)而生。傳統(tǒng)的邊界式防火墻是企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的一道屏障,但是其無法對內(nèi)部網(wǎng)絡(luò)訪問進(jìn)行控制,也沒有對黑客行為進(jìn)行入侵檢測和阻斷的功能。企業(yè)迫切需要一套真正能夠解決網(wǎng)絡(luò)內(nèi)部和外部,防火墻和防黑客的安全解決方案,而基于C/S架構(gòu)的分布式防火墻很好地滿足了這一需求:它是由安全策略管理服務(wù)器[Server]以及客戶端防火墻[Client]組成,綜合運(yùn)用多種先進(jìn)的網(wǎng)絡(luò)安全技術(shù),為客戶提供可靠的網(wǎng)絡(luò)安全服務(wù)。
一. 分布式防火墻系統(tǒng)架構(gòu)
分布式防火墻由安全策略管理服務(wù)器[Server]以及客戶端防火墻[Client]組成。客戶端防火墻工作在各個(gè)從服務(wù)器、工作站、個(gè)人計(jì)算機(jī)上,根據(jù)安全策略文件的內(nèi)容,依靠包過濾、特洛伊木馬過濾和腳本過濾的三層過濾檢查,保護(hù)計(jì)算機(jī)在正常使用網(wǎng)絡(luò)時(shí)不會(huì)受到惡意的攻擊,提高了網(wǎng)絡(luò)安全性。而安全策略管理服務(wù)器則負(fù)責(zé)安全策略、用戶、日志、審計(jì)等的管理。該服務(wù)器是集中管理控制中心,統(tǒng)一制定和分發(fā)安全策略,負(fù)責(zé)管理系統(tǒng)日志、多主機(jī)的統(tǒng)一管理,使終端用戶“零”負(fù)擔(dān)。
圖1展示了分布式防火墻在政府/企業(yè)中的應(yīng)用解決方案。該方案是純軟件防火墻,無須改變?nèi)魏斡布O(shè)備和網(wǎng)絡(luò)架構(gòu),就可以幫助政府/企業(yè)阻擋來自內(nèi)部和外部網(wǎng)絡(luò)的攻擊。
圖1 分布式防火墻在政府/企業(yè)中的應(yīng)用解決方案
二. 分布式防火墻功能解析
在上述圖1所示的分布式防火墻解決方案中,左邊為政府/企業(yè)內(nèi)部網(wǎng)絡(luò)(內(nèi)網(wǎng))的應(yīng)用拓?fù)浣Y(jié)構(gòu)圖,中間為Internet公眾網(wǎng)絡(luò),我們稱之為外部網(wǎng)絡(luò)(外網(wǎng)),右邊為政府/企業(yè)辦公和業(yè)務(wù)的延伸部分,處于外部網(wǎng)絡(luò)環(huán)境中。在內(nèi)部的財(cái)務(wù)、總裁辦、人事、檔案、網(wǎng)絡(luò)管理等主機(jī),以及數(shù)據(jù)庫服務(wù)器,文件服務(wù)器上存放著政府/企業(yè)的重要信息,這些信息一旦泄漏或者存放信息的主機(jī)遭到破壞,會(huì)給政府/企業(yè)帶來不良的后果。
如果不采取相應(yīng)措施,此網(wǎng)絡(luò)很容易遭受來自外網(wǎng)和內(nèi)網(wǎng)上的黑客攻擊。若使用邊界式防火墻,則外網(wǎng)的攻擊將被阻攔,但從數(shù)據(jù)統(tǒng)計(jì)看,還有大部分網(wǎng)絡(luò)攻擊/破壞來源于內(nèi)部網(wǎng)絡(luò)的黑客或員工的不小心應(yīng)用,這時(shí)普通防火墻就無能為力了。而政府/企業(yè)的移動(dòng)辦公人員、代理商、合作伙伴、遠(yuǎn)程分支機(jī)構(gòu)在外部網(wǎng)絡(luò)上很容易受到外部黑客的攻擊。所以說,能夠很好的阻擋內(nèi)部和外部網(wǎng)絡(luò)攻擊是政府/企業(yè)內(nèi)部網(wǎng)絡(luò)安全的重要任務(wù)。
分布式防火墻能很好地解決上述問題。在內(nèi)部網(wǎng)絡(luò)的主服務(wù)器安裝上分布式防火墻產(chǎn)品的安全策略管理服務(wù)器后,設(shè)置組和用戶分別分配給相應(yīng)的從服務(wù)器和PC機(jī)工作站,并配置相應(yīng)安全策略;將客戶端防火墻安裝在內(nèi)網(wǎng)和外網(wǎng)中的所有PC機(jī)工作站上,客戶端與安全策略管理服務(wù)器的連接采用SSL協(xié)議建立通信的安全通道,避免下載安全策略和日志通信的不安全性。同時(shí)客戶端防火墻的機(jī)器采用多層過濾,入侵檢測,日志紀(jì)錄等手段,給主機(jī)的安全運(yùn)行提供強(qiáng)有力的保證。
具體功能描述如下:
1、阻止網(wǎng)絡(luò)攻擊
目前,黑客們常用的攻擊手段有以下幾種:
(1)DoS拒絕服務(wù)式攻擊
拒絕服務(wù)攻擊是目前網(wǎng)絡(luò)中新興起的攻擊手段,針對TCP/IP協(xié)議的漏洞,使對方服務(wù)器承受過多的信息請求而無法處理,產(chǎn)生阻塞導(dǎo)致正常用戶的請求被拒絕。一般地有如下方式:
(a)Ping-Flood:使用簡單的Ping命令對服務(wù)器發(fā)送數(shù)據(jù)包,如果在很短的時(shí)間內(nèi)服務(wù)器收到大量Ping數(shù)據(jù)包,那么服務(wù)器就需要耗費(fèi)很多資源去處理這些數(shù)據(jù)包從而導(dǎo)致無法正常工作。
(b)TCP-SYN-Flood: SYN數(shù)據(jù)包是兩臺(tái)計(jì)算機(jī)在進(jìn)行TCP通信之前建立握手信號時(shí)所用,正常情況下,SYN數(shù)據(jù)包中包含有想要進(jìn)行通信的源機(jī)器的IP地址,而服務(wù)器收到SYN數(shù)據(jù)包后將回復(fù)確認(rèn)信息,源機(jī)器收到后再發(fā)送確認(rèn)信息給服務(wù)器,服務(wù)器收到,二者就可以建立連接進(jìn)行通信了。采用這種攻擊方式就是在某一個(gè)極短的時(shí)間內(nèi)向?qū)Ψ椒?wù)器發(fā)送大量的帶有虛假IP地址的SYN數(shù)據(jù)包,服務(wù)器發(fā)出確認(rèn)信息,但是卻無法收到對方的回復(fù),就要耗費(fèi)大量的資源去處理這些等待信息,最后將使系統(tǒng)資源耗盡以至癱瘓。
(c)UDP-Flood: UDP是基于非連接的用戶數(shù)據(jù)報(bào)通訊協(xié)議,不包含流控制機(jī)制。UDP數(shù)據(jù)包很容易使得計(jì)算機(jī)系統(tǒng)忙于響應(yīng)而喪失正常的網(wǎng)絡(luò)業(yè)務(wù)能力。
另外還有諸如ICMP-Flood, IGMP-Flood等攻擊手段,在此不一一詳述。
(2)源路由包攻擊
源路由包采用了極少使用的一個(gè)IP選項(xiàng),它允許發(fā)起者來定義兩臺(tái)機(jī)器間所采取的路由,而不是讓中間的路由器決定所走的路徑。與ICMP的重定向相比,這種特性能使一個(gè)黑客來欺騙你的系統(tǒng),使之相信它正在與一臺(tái)本地機(jī)器、一臺(tái)ISP機(jī)器或某臺(tái)其他可信的主機(jī)對話。
(3)利用型攻擊
利用型攻擊是一類試圖直接對你的機(jī)器進(jìn)行控制的攻擊,最常見的就是特洛伊木馬(Trojan Horse)。例如BO2000就是典型的特洛伊木馬程序。
(4)信息收集型攻擊
信息收集型攻擊在初期并不對目標(biāo)本身造成危害,而是被用來為進(jìn)一步入侵提供有用的信息,例如:端口掃描技術(shù),黑客使用特殊的應(yīng)用程序?qū)Ψ?wù)器的每個(gè)端口進(jìn)行測試,以尋找可以進(jìn)入的端口或者找出某些端口可以利用的安全漏洞。
以上的各種攻擊手段,分布式防火墻可以及時(shí)地發(fā)現(xiàn),并且采取相應(yīng)的措施以控制事件的進(jìn)一步發(fā)展,同時(shí)記錄該攻擊事件。
2、包過濾
包過濾是防火墻防止計(jì)算機(jī)受到攻擊的最基本方法,防火墻實(shí)時(shí)地監(jiān)控進(jìn)入以及出去的數(shù)據(jù)包,根據(jù)特定的過濾規(guī)則決定是否讓這些數(shù)據(jù)包通過。分布式防火墻可以直接處理IP(或與IP級別相當(dāng)?shù)腁RP、RARP以及其它的非IP網(wǎng)絡(luò)協(xié)議)數(shù)據(jù)包的發(fā)送與接收,根據(jù)數(shù)據(jù)包的包頭信息,分析出網(wǎng)絡(luò)協(xié)議、源地址、目的地址、源端口以及目的端口,然后對照過濾規(guī)則進(jìn)行過濾。對于不符合過濾規(guī)則的數(shù)據(jù)包,防火墻將拒絕通過,同時(shí)進(jìn)行記錄或報(bào)警。
3、基于狀態(tài)的過濾
對于面向非連接的UDP網(wǎng)絡(luò)訪問,為了提供較強(qiáng)過濾控制,就必須根據(jù)上下文來進(jìn)行判斷。例如:對于一個(gè)請求進(jìn)入的UDP訪問,只有在它有對應(yīng)的出去的UDP訪問(地址和端口號相匹配)時(shí)才可以接受,否則將拒絕或報(bào)警。這就需要IP包過濾模塊記錄有過去已經(jīng)發(fā)出的UDP訪問的列表,這樣的列表就叫做上下文。而對于面向連接的TCP訪問,同樣也可以根據(jù)不同的應(yīng)用協(xié)議設(shè)定相應(yīng)的上下文,進(jìn)行更為細(xì)粒度的訪問控制。這些技術(shù)統(tǒng)稱為基于狀態(tài)的包過濾。對于不符合規(guī)則的訪問拒絕事件,要進(jìn)行記錄。
4、特洛伊木馬過濾
如果有黑客侵入到用戶的計(jì)算機(jī)上,他會(huì)運(yùn)行某一些特殊的應(yīng)用程序與之進(jìn)行通信,從而獲取一些信息。分布式防火墻維護(hù)一個(gè)已知的應(yīng)用程序列表,只有列表中的應(yīng)用程序才可以使用網(wǎng)絡(luò),一旦檢測到有未知的應(yīng)用程序企圖使用網(wǎng)絡(luò),系統(tǒng)將會(huì)提醒用戶注意,是否要禁止使用或者是加入到允許訪問網(wǎng)絡(luò)的程序列表中。如果用戶不小心運(yùn)行了帶有特洛伊木馬的程序,當(dāng)木馬程序企圖向網(wǎng)絡(luò)發(fā)送信息時(shí),分布式防火墻將會(huì)進(jìn)行攔截。
5、腳本過濾
腳本過濾功能對常見的各種腳本,如Java Script腳本、VB Script腳本在運(yùn)行前被一一進(jìn)行分析檢查,判斷它們是否會(huì)進(jìn)行比較危險(xiǎn)的操作;如果是,則提醒用戶注意,并要求用戶決定是否允許該腳本執(zhí)行,從而有選擇地讓無害的腳本通過,對惡意的腳本進(jìn)行攔截,實(shí)現(xiàn)實(shí)時(shí)腳本過濾。
6、用戶定制的安全策略
用戶可以將任意的IP地址加入到自己的信任/不信任地址列表中,對于在信任地址列表中的地址傳送過來的數(shù)據(jù)包,分布式防火墻將不進(jìn)行任何阻攔,而對于在不信任列表中的地址傳送過來的任何數(shù)據(jù)包,將拒絕接受。如果經(jīng)常受到某些地址的攻擊,用戶可以將這些地址加入到不信任地址列表中,拒絕接受這些地址所發(fā)出的任何數(shù)據(jù)包。用戶定制的安全策略必須是統(tǒng)一安全策略的超集,也就是說安全級別只能加強(qiáng)不能放松。
7、日志和審計(jì)
日志用來記錄防火墻在運(yùn)行過程中所出現(xiàn)的各種情況,通過查看日志,用戶可以及時(shí)、全面地掌握分布式防火墻本身的運(yùn)轉(zhuǎn)以及用戶的訪問情況,并可以根據(jù)這些日志來制定或修改安全管理策略。強(qiáng)大的日志記錄功能,主要包括:
(1)軟件的安裝、升級記錄;
(2)安全策略改變記錄;
(3)被拒絕的網(wǎng)絡(luò)訪問記錄:包括被拒絕網(wǎng)絡(luò)訪問的應(yīng)用程序名,使用的協(xié)議,源地址和目的地址,使用的端口等;
(4)遭受到的攻擊記錄: 包括攻擊者使用的協(xié)議、端口、來源地址。
8、統(tǒng)一的安全策略管理服務(wù)器
安全策略文件以密文形式存放于硬盤中,用戶不能直接對其閱讀,也不可以對其進(jìn)行隨意更改。分布式防火墻啟動(dòng)時(shí),安全策略文件經(jīng)解密后加載到防火墻中。復(fù)雜的安全策略以Hash表的方法進(jìn)行檢索。使用Hash列表對安全策略文件進(jìn)行檢索能大大加快讀取速度,安全策略可以動(dòng)態(tài)更新,更新總在用戶態(tài)進(jìn)行,同時(shí)磁盤文件也被更新。用戶可以在防火墻運(yùn)行的過程中更改安全級別,而不影響防火墻的正常運(yùn)行。更新完成后,系統(tǒng)將會(huì)在新的安全級別下工作。安全策略服務(wù)器和客戶端防火墻之間采用SSL通信,保證了安全策略傳輸時(shí)的安全性。另外管理模塊功能還包括:用戶組管理,基于用戶組的安全策略分配,實(shí)時(shí)監(jiān)控當(dāng)前網(wǎng)絡(luò)狀態(tài),查看日志,更改安全級別,更改用戶定制的安全屬性等。
基于C/S架構(gòu)的分布式防火墻產(chǎn)品,采用統(tǒng)一的安全策略管理服務(wù)器[Server],各臺(tái)主機(jī)客戶端[Client]從服務(wù)器下載安全策略,設(shè)置多層安全過濾,擁有出色的入侵檢測和強(qiáng)大的日志管理功能,安裝方便,使用簡潔,升級快捷,降低了維護(hù)成本,形成了可靠的網(wǎng)絡(luò)安全體系,很好地滿足了政府、企業(yè)、個(gè)人保護(hù)網(wǎng)絡(luò)信息安全的迫切需求。
