|
|
楼主 |
发表于 2007-10-31 16:03:44
|
显示全部楼层
防火墙的体系结构及组合形式
; m# F. t( E# F 1、屏蔽路由器(Screening Router)
6 f j" ?# t# W2 V! ]$ |$ U 这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。
% y1 L/ L; G& H* M 单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户。3 L- d8 a0 H7 B& T) ~
2、双宿主机网关(Dual Homed Gateway)
* i5 g0 u" c R6 q, @( i 任何拥有多个接口卡的系统都被称为多宿的,双宿主机网关是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网和外部网相连。主机上运行着防火墙软件,可以转发应用程序,提供服务等。
5 q( @; J9 c3 K% D2 G5 S5 i( H 双宿主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。
5 D+ Y6 t, ^/ q: q 双宿主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。
D' S( Y f) |- J- J 3、被屏蔽主机网关(Screened Host Gateway)
6 a& G6 |, g- |8 [ 屏蔽主机网关易于实现也很安全,因此应用广泛。例如,一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。
( q, ?* p/ l& M% ?) `, c$ J 如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面,内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。
- \' A/ l/ v- M2 J: J) F. | 4、被屏蔽子网 (Screened Subnet)
, k% U3 r+ S4 \( b& ` 这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。
3 `1 E9 Q1 A" u" ~# L 如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,整个过程中不能引发警报。4 v$ P4 J% S& D: H, D
建造防火墙时,一般很少采用单一的技术,通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费,投资的大小或技术人员的技术、时间等因素。一般有以下几种形式:
& S3 E w7 n3 [- w; ? 1、使用多堡垒主机;
5 p1 q$ A" i/ u- t/ e 2、合并内部路由器与外部路由器;
& J L6 V, y9 I+ C% |) W# f 3、合并堡垒主机与外部路由器;
+ s, I% I; Z1 L! f 4、合并堡垒主机与内部路由器;
& ?- ~1 f8 ^4 K- x/ _0 e* f 5、使用多台内部路由器;
# R& f& \; v, U2 R" H 6、使用多台外部路由器;' Z: a6 L3 ]6 c5 u) v2 G) P
7、使用多个周边网络;
% O! G( s0 R$ z. v q 8、使用双重宿主主机与屏蔽子网。. }: n! }. R; n
随着人们对网络安全意识的提高,防火墙的应用越来越广泛。有钱的用高级硬件防火墙,没钱的用免费的软件防火墙。那么,硬件防火墙和软件防火墙相比,有哪些优点呢?/ K1 X( L7 @3 y4 y6 H: f
硬件防火墙采用专用的硬件设备,然后集成生产厂商的专用防火墙软件。从功能上看,硬件防火墙内建安全软件,使用专属或强化的操作系统,管理方便,更换容易,软硬件搭配较固定。硬件防火墙效率高,解决了防火墙效率、性能之间的矛盾,可以达到线性。2 F6 p7 `* p; A+ r
软件防火墙一般基于某个操作系统平台开发,直接在计算机上进行软件的安装和配置。由于客户平台的多样性,软件防火墙需支持多操作系统,如Unix、Linux、SCO-Unix、Windows等,代码庞大、安装成本高、售后支持成本高、效率低。! L- ?8 z& y* k `5 x W
1、性能优势。防火墙的性能对防火墙来说是至关重要的。它决定了每秒钟通过防火墙的数据流量。单位是Bps,从几十M到几百M不等,还有千兆防火墙甚至达到几G的防火墙。而软件防火墙则不可能达到如此高的速率。
0 D0 O) d) M- ^* l) U 2、CPU占用率的优势。硬件防火墙的CPU占用率当然是0了,而软件防火墙就不同了,如果处于节约成本的考虑将防火墙软件安装在提供服务的主机上,当数据流量较大时,CPU占用率将是主机的杀手,将拖跨主机。, [; @) K7 V& c, N: F
3、售后支持。硬件防火墙厂家会对防火墙产品有跟踪的服务支持,而软件防火墙的用户能得到这种机会的相对较少,而且厂家也不会在软件防火墙上下太大的功夫和研发经费。
0 a- C) G1 K9 M& V d (二)防火墙渗透( v, \& P3 C; A& d, f5 h
以上我们简单的介绍了防火墙的原理,分类,优缺点等。下面,我们将对防火墙的渗透技术做一下简单的介绍。: Q4 n; f E, M/ \2 j0 H) r) K
精心配置过的防火墙固然将让绝大多数crackers挡在外围,掌握网络控制的主动权,但是,防火墙并不是万能的,我们也在上一节的内容中简单的讲了防火墙的缺点。没有任何一样网络产品可以说是绝对安全的。绿盟的san的一篇的文章介绍了渗透防火墙的shellcode,有兴趣的朋友可以参考一下: http://www.winnerinfo.net/infoview.asp?Kind=145&;ID=529 ,我在这里想再提起“通道技术”。- G% B0 E% P9 n8 X& j
说到通道技术,我想再提一下“端口复用”,很多朋友以为通道技术就是端口复用技术。那么,错了,端口复用是指一个端口上建立了多个连接,而不是在一个端口上面开放了多个服务而互不干扰。假如你想在已经开放了WWW服务的主机上,在80端口再添加一项服务,只有2种可能:1.添加服务失败 2.WWW服务出错。那么什么是通道呢?这里所谓的通道,是指一种绕过防火墙端口屏蔽的通讯方式。防火墙两端的数据包封装在防火墙所允许通过的数据包类型或是端口上,然后穿过防火墙与处在防火墙后面的主机通讯,当封装的数据包到达目的地时,再将数据包还原,并将还原后的数据包交送到相应的服务上,是在一个端口上面开放了多个服务而互不干扰的。
$ V& O( v% G2 P* C k 为了通信,不论是什么防火墙,都不可能把所有的服务,所有的端口都封闭。(如果有那样的防火墙,还不如拔网线来的直接,呵呵)大多数的防火墙或多或少都要开放一个端口或服务(比如HTTP),只要开放了端口和服务,就给了我们渗透的可能。 HTTP是一种比较简单而常用的互交式协议,你给服务器发送一个请求,服务器就返回给你一个回应。几乎所有的主机都被允许发送HTTP请求。网络上 HTTP协议使用的是如此广泛,这也决定了我们可以通过使用通道技术而轻松的通过防火墙或其他类似设备而将我们需要的数据发送至目标。一个很典型的例子就是http-tunnel.
6 E9 T: j( A4 @ 在http-tunnel的官方网站http://www.http-tunnel.com上有这么一句话:“http-tunnel在HTTP请求中建立了一个双向的虚拟数据连接。HTTP请求可以经过代理而被发送,这就可以被那些处在限制了端口的防火墙背后的用户使用。如果通过HTTP代理的WWW浏览是被允许的,那么http-tunnel也就可以成立,也就是说,可以在防火墙外telnet或者 PPP到防火墙的内部。”这样看来,攻击者可以使用这种技术来实现远程控制。我们来看看http-tunnel的设计思路:/ E9 ~ f- W. T& L+ H2 X. {
A主机在防火墙的外面,没有做任何限制。B主机在防火墙内部,受到防火墙保护,防火墙配置的访问控制原则是只允许80端口的数据进出,但主机开放了 telnet服务。现在假设需要从A系统Telnet到B系统上去,怎么办?使用正常的telnet肯定是不可能了,因为telnet使用的23端口被防火墙屏蔽,防火墙收到这个telnet的包后,发现不符合只允许80端口的数据通过的过滤原则,就丢弃了。但我们知道可用的有80端口,那么这个时候使用 Httptunnel通道,就是一个好的办法,思路如下:
6 C) A9 A5 W x5 J1 H 在A机器上运行tunnel的客户端,让它侦听本机的一个不被使用的任意指定端口(最好是1024以上65535以下),如,8888。同时将来自8888端口上的数据指引到B机的80端口上,因为是80端口,防火墙是允许通过的。然后在B机上起一个服务端,(在只有80端口对外开放的情况下,只能先得到一个WEBSHELL,想办法提升自己的权限,并运行服务端)同样挂接在80端口上,同时指引80端口的来自客户端的转发到本机的telnet服务端口23,这样就OK了。现在在A机上telnet本机端口8888,根据刚才的设置数据包会被转发到目标端口为80的B机,因为防火墙允许通过80端口的数据,因此数据包畅通的穿过防火墙,到达B机。此时B机在80端口侦听的进程收到来自A的数据包,会将数据包还原,再交还给telnet进程。当数据包需要由B到A返回时,将由80端口再回送,同样可以顺利的通过防火墙。
, c( E- _, h B* r! G 上述功能似乎用端口映射也能做的到,把A主机上的23端口重定向到80端口,再把B主机上的80端口重定向到23端口就行了。但如果B主机已经开启了 WWW服务了呢?要使用上述功能,使用端口映射必须牺牲B主机的80端口,这是得不偿失的。试想在一次渗透防火墙的对某台主机的攻击中,把别人本来已经开启的WWW服务DOWN了,你还能在这台主机上呆多久?但是,使用http-tunnel就可以完美实现,即使B主机已经开放80,提供WWW,我们也照样可以发送telnet到其80端口上,享受到“正版”的telnet服务。% [! s# l+ x: y5 P/ k
对于通道技术,我们的解决方案是采用应用层的数据包检测技术,因为在正常的HTTP请求中,GET、POST等行为是必不可少的,如果来自一个连接的HTTP请求中,总是没有GET、POST,那么这个连接肯定有问题。从而终止此连接。现在已经有公司的IDS产品能够查出隐藏在80中的tunnel,但是这些IDS产品的费用恐怕也不是中小型企业能承受的了的。
5 Q6 h1 @6 @# r- U3 N 对于防火墙的渗透,还有一些方法,比如找防火墙本身的设计缺陷等等,但那些难度太大。恐怕不是我们应该考虑的了。
6 t: ]( f/ [' k+ T6 h' u7 B 总结:$ t# C/ ~8 V, f4 j W. Q
我们又把防火墙和防火墙的渗透深入浅出的复习了一遍。现在我们应该更清楚的知道,防火墙不是万能的,即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。那么,对于一个网络来说,我们应该怎么做才能够保证它的最大安全呢?
@1 N, ?/ T0 w H( H 1.根据需要合适的配置防火墙,尽量少开端口。
, o) m6 d% m0 C: U 2.采用过滤严格的WEB程序。
# }+ H @( R! \# ^) I0 k 3.采用加密的HTTP协议(HTTPS)。: Q7 h* ?9 g# i5 ^. A
4.如果条件允许,购买一台功能较强大的NIDS。1 F0 {" f* ?4 u, F
5.管理好你的内网用户,防止攻击者和内网用户直接连接绕过防火墙。* ?, t; o) Q% {) j0 q8 {$ G
6.经常升级你的firewall产品。# w/ L! |4 l# n- j
5 Q$ l" M2 q# O6 E' v% A4 S! Z2 O# D. B6 L
$ d* d/ |; E% S1 _# w ^+ E g Y" X8 V
3 W1 b' p9 n! M1 o c) d9 ~5 v
转自爱好者论坛 http://bbs.cfan.com.cn. k4 K/ g5 g7 N2 E2 L* l" K) B
' O9 |+ t1 e7 ?. u/ d4 S
[ 本帖最后由 风伊翼 于 2007-10-31 22:48 编辑 ] |
|
IP卡
狗仔卡
发表于 2007-10-31 16:02:53
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡