防火墙与入侵防护系统
防火墙能够有效地保护本地系统或网络免受基于网络的威胁,同时支持通过广域网或Internet访问外部世界。
防火墙的必要性
企业,政府部分和其他一些机机构的信息系统都经历了一个稳定的发展过程:
集中式数据处理系统,包括一个可支持多终端与其直接连接的中央大型机系统。
-
局域网(LAN)将个人计算机和终端连接,并与大型机系统互联
-
驻地网(premises network)由许多局域网组成,将个人计算机,服务器以及一台或者两台大型机相互连接起来。
-
企业级网络(enterprise-wide network),由通过专用广域网(wide area network)连接起来的的多个不同地理分布的驻地网组成。
-
Internet连通性(Internet connectivity),其中多个驻地网都连接到Internet,各个驻地网可以通过专用广域网连接,也可以不通过专用广域网连接。
当发现一个安全缺陷时,所有受到潜在影响的系统都必须升级以修补这个缺陷。这要求适当的配置管理和积极的修补以保证运行的效率。如果仅使用基于主机的安全措施。尽管很困难,但也是可行而且必要的。一种被人们广泛接受的代替方法,或者至少说是对基于主机的安全服务的一种补充,就是防火墙。防火墙设置在驻地网和Internet之间,以建立二者之间的可控链路,构筑一道外部安全壁垒或者说安全周界。这个安全周界的目的是保护驻地网不受基于Internet的攻击,提供一个能加强安全的和审计的遏制点(choke point)。防火墙可以是单机系统,也可以是协作完成防火墙功能的两个或者更多系统。
防火墙还创建一个附加的防御层,将内部系统和外部系统隔离开来。这遵循"纵深防御"(defense in depth)的经典军事理论,该思想恰恰也适用于IT安全。
防火墙特征
【BELL94b】列出了以下防火墙涉及目标:
-
所有入站和出站的网络流量都必须通过防火墙。这可以通过物理阻断所有避开防火墙访问内部网络的企图来实现。多种配置方式都是可行的,将在本章的后续部分进行解释。
-
只有经过授权道德网络流量,例如,服务本地安全策略定义的流量,防火墙才允许通过。可以使用不同类型的防火墙实现不同的安全策略。
-
防火墙本身不能渗透。这意味着防火墙应该运行在有安全操作系统的可信系统上。
【SMIT97】列出了防火墙用来控制访问和执行站点安全策略的四种通用技术。最初的防火墙都侧重于服务控制(service control),随着防火墙的发展,现在的防火墙提供以下四种机制:
服务控制(service control):确定可以访问的Internet服务类型,这种控制是双向的。防火墙可以基于IP地址,协议和TCP端口号对流量进行过滤;也可以提供代理软件,对收到的每个服务请求进行解释,然后才允许通过;防火墙自身也可以作为服务软件,比如Web或邮件服务器。
方向控制(directio control):确定特定服务请求发起和允许通过防火墙的方向
用户控制(user control):根据试图访问服务器的用户来控制服务器的访问权限。通常,这个功能应用与在防火墙周边以内的用户(即本地用户)。也可以应用于来自外部用户的流量。后者需要某种形式的安全认证技术。
行为控制(behavior control):控制特定服务的使用方法。例如,防火墙可以通过过滤电子邮件来清除垃圾邮件,或者控制外部用户只能对本地Web服务器上的部分信息进行访问。