防火牆與入侵防護系統
防火牆與入侵防護系統
防火牆能夠有效地保護本地系統或網路免受基於網路的威脅,同時支援通過廣域網或Internet訪問外部世界。
防火牆的必要性
企業,政府部分和其他一些機機構的資訊系統都經歷了一個穩定的發展過程:
集中式資料處理系統,包括一個可支援多終端與其直接連線的中央大型機系統。
- 區域網(LAN)將個人計算機和終端連線,並與大型機系統互聯
- 駐地網(premises network)由許多區域網組成,將個人計算機,伺服器以及一臺或者兩臺大型機相互連線起來。
-
企業級網路(enterprise-wide network),由通過專用廣域網(wide area network)連線起來的的多個不同地理分佈的駐地網組成。
- Internet連通性(Internet connectivity),其中多個駐地網都連線到Internet,各個駐地網可以通過專用廣域網連線,也可以不通過專用廣域網連線。
當發現一個安全缺陷時,所有受到潛在影響的系統都必須升級以修補這個缺陷。這要求適當的配置管理和積極的修補以保證執行的效率。如果僅使用基於主機的安全措施。儘管很困難,但也是可行而且必要的。一種被人們廣泛接受的代替方法,或者至少說是對基於主機的安全服務的一種補充,就是防火牆。防火牆設定在駐地網和Internet之間,以建立二者之間的可控鏈路,構築一道外部安全壁壘或者說安全周界。這個安全周界的目的是保護駐地網不受基於Internet的攻擊,提供一個能加強安全的和審計的遏制點(choke point)。防火牆可以是單機系統,也可以是協作完成防火牆功能的兩個或者更多系統。
防火牆還建立一個附加的防禦層,將內部系統和外部系統隔離開來。這遵循"縱深防禦"(defense in depth)的經典軍事理論,該思想恰恰也適用於IT安全。
防火牆特徵
【BELL94b】列出了以下防火牆涉及目標:
- 所有入站和出站的網路流量都必須通過防火牆。這可以通過物理阻斷所有避開防火牆訪問內部網路的企圖來實現。多種配置方式都是可行的,將在本章的後續部分進行解釋。
- 只有經過授權道德網路流量,例如,服務本地安全策略定義的流量,防火牆才允許通過。可以使用不同型別的防火牆實現不同的安全策略。
- 防火牆本身不能滲透。這意味著防火牆應該執行在有安全作業系統的可信系統上。
【SMIT97】列出了防火牆用來控制訪問和執行站點安全策略的四種通用技術。最初的防火牆都側重於服務控制(service control),隨著防火牆的發展,現在的防火牆提供以下四種機制:
服務控制(service control):確定可以訪問的Internet服務型別,這種控制是雙向的。防火牆可以基於IP地址,協議和TCP埠號對流量進行過濾;也可以提供代理軟體,對收到的每個服務請求進行解釋,然後才允許通過;防火牆自身也可以作為服務軟體,比如Web或郵件伺服器。
方向控制(directio control):確定特定服務請求發起和允許通過防火牆的方向
使用者控制(user control):根據試圖訪問伺服器的使用者來控制伺服器的訪問許可權。通常,這個功能應用與在防火牆周邊以內的使用者(即本地使用者)。也可以應用於來自外部使用者的流量。後者需要某種形式的安全認證技術。
行為控制(behavior control):控制特定服務的使用方法。例如,防火牆可以通過過濾電子郵件來清除垃圾郵件,或者控制外部使用者只能對本地Web伺服器上的部分資訊進行訪問。