防火墙的安全性分析

1/10近年来,网络犯罪的递增、大量黑客的诞生，促使人们思考网络的安全性问题。各种网络安全工具也跟着在市场上被炒得火热。其中最受人注目的当属网络安全工具中最早成熟，也是最早产品化的网络防火墙产品了。目前防火墙产品已经进入战国时代，在全球至少有千种以上的防火墙，那么防火墙到底是一种什么东西？它有那些技术指标？我们应该怎样选择一个合适的防火墙呢？本文试图就这些问题对所谓“防火墙”，是指一种将内部网和公众访问网(如两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。二．防火墙的安全技术分析无一失。通过对防火墙的基本原理和实现方式进行分析和研究，我对防火墙的安全性有如下几点认识。1．正确选用、合理配置防火墙非常不容易建立合理的防护系统，配置有效的防火墙应遵循这样四个基2/10d.选择准确的防护手段，并使之与安全政策保持一致。析和需求分析，而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙，这样的防火墙能否“防火”2．需要正确评估防火墙的失效状态看它工作是否正常，能否阻挡或捕捉到恶意攻击和非法访问按级别来分，它应有这样四种状态：a.未受伤害能够继续正火墙由于没有条件进行失效状态测试和验证，无法确定其失效状态等级，因此网络必然存在安全隐患。3.防火墙必须进行动态维护挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系，时刻注视商家的动态。因为商家一旦发现应尽快确认真伪(防止特洛伊木马等病毒)，并对防火墙软件4.目前很难对防火墙进行测试验证是对其进行测试，甚至站在“黑客”的角度采用各种手段对3/10防火墙进行攻击。然而具体执行时难度较大：a．防火墙性能测试目前还是一种很新的技术，尚无正式出版刊物，可用的工具和软件更是寥寥无几。据了解目前b．防火墙测试技术尚不先进，与防火墙设计并非完全吻合，使得测试工作难以达到既定的效果。c.选择“谁”进行公正的测试也是一个问题。种测试又相当必要，进而提出这样一个问题：不进行测试，5．非法攻击防火墙的基本“招数”因为这些网址得到了防火墙的信赖，虽说成功与否尚取决于机遇等其他因素，但对攻击者而言很值得一试。下面我们以数据包过滤防火墙为例，简要描述可能的攻击过程。这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件，而这恰恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接口，因此攻击者无4/10己本身的ISN连同应答信息ACK一同返回给A；于"自顾不暇"的忙碌状态，相当于被切断，这时目标主机会而无暇顾及其他。攻击者最关心的是猜测目标主机的ISN。为此，可以利用SMTP的端口(25)，通常它是开放的，能够通过这个端口，与目标主机打开(Open)一个TCP连接，因而得到它的ISN。在此有效期间，重复这一过程若干次，以Flood法"请求，因此目标主机不能得到来自于信赖主机的响应。现在攻击者发出回答响应，并连同预测的ISN，攻击者最终会与目标主机建立一个会晤。通过这种方式，攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果反复试验使得目标主机能够接收对网络的ROOT登录，那么就可以完全控制整个网络。SOCK的错误配置；不适当的安全政策；强力攻击；允许匿名的FTP协议；允许TFTP协议；允许Rlogin命令；允许X5/10b．破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能，处于失效状C．需要特别注意的是，防火墙也可能被内部攻击。因为安装了防火墙后，随意访问被严格禁止了，这样内部人员个别人会对防火墙不满进而可能攻击它、破坏它，期望回到从前的状态。这里，攻击的目标常常是防火墙或防火墙运行防火墙并非万能，它最多只能防护经过其本身的非法访问和攻击，而对不经防火墙的访问和攻击则无能为力。从技术来讲，绕过防火墙进入网络并非不可能。目前大多数防火墙都是基于路由器的数据包分组过滤类型，防护能力差，存在各种网络外部或网络内部攻击防火三.防火墙的基本类型过滤型防火墙)、应用级网关、电路级网关和规则检查防火包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP6/10包来自何方，去向何处。信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是据包的端口号，防火墙能够判断是否允许建立特定的连接，下面是某一网络级防火墙的访问控制规则：(4)允许任何数据(80口)通过；但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。用级网关数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级7/10常用的应用级防火墙已有了相应的代理服务器，例如：是，对于新开发的应用，尚没有相应的代理服务，它们将通过网络级防火墙和一般的代理服务。技术，但实现困难，而且有的应用级网关缺乏"透明度"。在电路级网关用来监控受信任的客户或服务器与不受信否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。等产品。另外，电路级网关还提供一个重要的安全功能：代理服务器(ProxyServer)，代理服务器是个防火墙，在其上运行一个叫做"地址转移"的进程，来将所有你公司内部的IP地址映射到一个"安全"的IP地址，这个地址是由防火墙使用的。但是，作为电路级网关也存在着一些缺陷，因为该网关是在会话层工作的，它就无法检查应用层级的数据包。4.规则检查防火墙关的特点。它同包过滤防火墙一样，规则检查防火墙能够在8/10字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合公司用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。行的防火墙大多属于规则检查防火墙，因为该防火墙对于用户透明，在OSI最高层上加密数据，不需要你去修改客户端的程序，也不需对每个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一级防火墙之间，也就是说，网络级防火墙将变得更加能够识“低级”方面发展。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在四.防火墙的配置9/10是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。Bastionhost息先要有一个失败，整个网络就暴露了。放置在"停火区"内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。五.防火墙的安全措施防电子欺骗术功能是保证数据包的IP地址与网关接口可疑信息进行鉴别，并向网络管理员报警。2.网络地址转移Internet止内部地址公3.开放式结构设计0/10开放式结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容易，典型的应用程序连接如财务软件包、病毒扫描、登录分析等。4.路由器安全管理程序六.结