2012年1月3日 星期二
2011年11月21日 星期一
HW:防火牆
功能
防火牆最基本的功能就是隔離網路,透過將網路劃分成不同的區域(通常情況下稱為ZONE),制定出不同區域之間的存取控制策略來控制不同任程度區域間傳送的資料流。例如網際網路是不可信任的區域,而企業網路絡是高度信任的區域。以避免安全策略中禁止的一些通訊。它有控制資訊基本的任務在不同信任的區域。 典型信任的區域包括網際網路(一個沒有信任的區域) 和一個企業網路絡(一個高信任的區域) 。 最終標的是提供受控連通性在不同水平的信任區域透過安全政策的執行和連通性模型之間根據最少特權原則 例如:TCP/IP Port 135~139是 Microsoft Windows 的【網路上的芳鄰】所使用的。如果電腦有使用【網路上的芳鄰】的【分享資料夾】,又沒使用任何防火牆相關的防護措施的話,就等於把自己的【分享資料夾】公開到Internet,供不特定的任何人有機會瀏覽目錄內的檔案。且早期版本的Windows有【網路上的芳鄰】系統溢位的無密碼保護的漏洞(這裡是指【分享資料夾】有設密碼,但可經由此系統漏洞,達到無須密碼便能瀏覽資料夾的需求)。
防火牆類型
個人防火牆,通常是在一部電腦上具有封包過濾功能的軟體,如ZoneAlarm及Windows XP SP2後內建的防火牆程式。而專用的防火牆通常做成網路設備,或是擁有2個以上網路介面的電腦。以作用的TCP/IP堆疊區分,主要分為網路層防火牆和應用層防火牆兩種,但也有些防火牆是同時運作於網路層及應用層。
網路層防火牆
網路層防火牆可視為一種 IP 封包過濾器,運作在底層的TCP/IP協定堆疊上。我們可以以列舉的方式,只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定義或修改,不過某些防火牆設備可能只能套用內建的規則。
我們也能以另一種較寬鬆的角度來制定防火牆規則,只要封包不符合任何一項「否定規則」就予以放行。現在的作業系統及網路設備大多已內建防火牆功能。
較新的防火牆能利用封包的多樣屬性來進行過濾,例如:來源 IP 位址、來源埠號、目的 IP 位址或埠號、服務類型(如 WWW 或是 FTP)。也能經由通訊協定、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。
應用層防火牆
防火牆藉由監測所有的封包並找出不符規則的內容,可以防範電腦蠕蟲或是木馬程式的快速蔓延。不過就實作而言,這個方法既煩且雜(因軟體種類極其繁多),所以大部份的防火牆都不會考慮以這種方法設計。應用層防火牆是在TCP/IP堆疊的「應用層」上運作,使用瀏覽器時所產生的資料流或是使用 FTP 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包,並且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。
XML防火牆是一種新型態的應用層防火牆。
代理服務
代理服務(Proxy)設備(可能是一台專屬的硬體,或只是普通電腦上的一套軟體)也能像應用程式一樣回應輸入封包(例如連線要求),同時封鎖其他的封包,達到類似於防火牆的效果。
代理會使從外部網路竄改一個內部系統更加困難,且只要對於代理有良好的設定,即使內部系統出現問題也不一定會造成安全上的漏洞。相反地,入侵者也許劫持一個公開可及的系統和使用它作為代理人為他們自己的目的;代理人偽裝作為那個系統對其它內部機器。當對內部網址空間的用途加強安全,破壞狂也許仍然使用方法譬如IP欺騙(IP spoofing)試圖通過小包對目標網路。
防火牆經常有網路網址轉換(NAT) 的功能,並且主機被保護在防火牆之後共同地使用所謂的「私人網址空間」,定義在RFC 1918。
防火牆的適當的配置要求技巧和智慧,它要求管理員對網路協議和電腦安全有深入的了解,因小差錯可使防火牆不能作為安全工具。
防火牆架設結構
堡壘主機式防火牆
此防火牆需有兩片網路卡,一片與網際網路連接,另一片與內部網路連接,如此網際網路與內部網路的通路,無法直接接通,所有封包都需要透過堡壘主機轉送。
雙閘式防火牆
此防火牆除了堡壘主機式防火牆的兩片網路卡設計外,另有安裝一稱為應用服務轉送器的軟體,所有網路封包都須經過此軟體檢查,此軟體將過濾掉不被系統所允許的封包。
屏障單機式防火牆
此防火牆的硬體設備除需要主機外,還需要另一路由器,路由器需具有封包過濾的功能,主機則負責過濾及處理網路服務要求的封包,當網際網路的封包進入屏障單機式防火牆時,路由器會先檢查此封包是否滿足過濾規則,再將過濾成功的封包,轉送到主機做網路服務層的檢查與轉送。
屏障雙閘式防火牆
將屏障單機式防火牆的主機換成,雙閘式防火牆。
屏障子網域式防火牆
此防火牆藉由多台主機與兩個路由器組成,電腦分成兩個區塊,屏障子網域與內部網路,封包經由以下路徑,第一個路由器->屏障子網域->第二路由器->內部網路,此設計因有階段式的過濾功能,因此兩個路由器可以有不同的過濾規則,讓網路封包使用更有效率。若一封包通過第一過濾器封包,會先在屏障子網域做服務處理,若要做更深入內部網路的服務,則要通過第二路由器的過濾。
缺點
正常狀況下,所有網際網路的封包軟體都應經過防火牆的過濾,這將造成網路交通的瓶頸,例如在攻擊性封包出現時,攻擊者會不時寄出封包,讓防火牆疲於過濾封包,而使一些合法封包軟體,亦無法正常進出防火牆。
防火牆雖然可以過濾網際網路的封包,但卻無法過濾內部網路的封包,因此若有人從內部網路攻擊時,防火牆是毫無用武之地的。
而電腦本身作業系統,亦可能一些系統漏洞,使入侵者可以利用這些系統漏洞來繞過防火牆的過濾,進而入侵電腦。
防火牆無法有效阻擋病毒的攻擊,尤其是隱藏在資料中的病毒。
訂閱:
意見 (Atom)