摘 要:對防火牆防範來自外部攻擊和病毒,以及來自局域網內部攻擊2個方面的應用進行了論述。並以華爲公司的防火牆產品爲例介紹了防火牆的配置以及防火牆在安全防護中存在的問題。
關鍵詞:防火牆;網絡安全;局域網
安全防火牆是目前網絡中用來保證內部網路安全的主要技術。防火牆類似於建築大廈中用於防止火災蔓延的隔斷牆, Internet防火牆是一個或一組實施訪問控制策略的系統,它監控可信任網絡(相當於內部網絡)和不可信任網絡(相當於外部網絡)之間的訪問通道,以防止外部網絡的危險蔓延到內部網絡上。防火牆作用於被保護區域的入口處,基於訪問控制策略提供安全防護。
1、防火牆保護局域網絡防範外部攻擊的配置與應用
1. 1 網絡中常見的攻擊種類隨着網絡技術的普及,網絡攻擊行爲出現得越來越頻繁。通過各種攻擊軟件,只要具有一般計算機常識的初學者也能完成對網絡的攻擊。各種網絡病毒的泛濫,也加劇了網絡被攻擊的危險。
網絡攻擊,一般是侵入或破壞網上的服務器(主機) ,盜取服務器的敏感數據或干擾破壞服務器對外提供的服務;也有直接破壞網絡設備的網絡攻擊,這種破壞影響較大,會導致網絡服務異常,甚至中斷。防火牆的攻擊防範功能能夠檢測出多種類型的網絡攻擊,並能採取相應的措施保護局域網絡免受惡意攻擊,保證內部局域網絡及系統的正常運行。
在網絡中常見網絡攻擊行爲有:
IP地址欺騙攻擊;Land攻擊;Smurf攻擊;Fraggle攻擊;Teardrop攻擊;W inNuke攻擊;SYN Flood攻擊;ICMP和UDP F lood攻擊;地址掃描與端口掃描攻擊;Ping ofDea th攻擊。
1. 2 防火牆的典型組網配置和攻擊防範目前網絡中主要使用防火牆來保證局域網絡的安全。例如:當防火牆位於內部網絡和外部網絡的連接處時,可以保護組織內的局域網絡和數據免遭來自外部網絡的非法訪問(未授權或未驗證的訪問)或惡意攻擊;當防火牆位於組織內部相對開放的網段或比較敏感的網段(如保存敏感或專有數據的網絡部分)的連接處時, 可以根據需要過濾對敏感數據的訪問(即使該訪問來自組織內部) 。
如圖1所示,是一個典型的防範外部攻擊的防火牆應用網絡模型,分別接入互聯網和遠端分支機構,並使用不同級別的安全策略保護內部網絡。其中防火牆位於內部網絡、外部網絡和DMZ區域中間,主要防止來自外部網絡的攻擊和病毒,同時允許內部網絡訪問外部網絡和DMZ區域。
下面以華爲公司的防火牆爲例,防範以上各種攻擊,配置如下:#firewa ll defend ip - spoofing enablefirewa ll defend land enablefirewa ll defend smurf enablefirewa ll defend fraggle enablefirewa ll defend winnuke enablefirewa ll defend syn - flood enablefirewa ll defend udp - flood enablefirewa ll defend icmp - flood enablefirewa ll defend icmp - redirect enablefirewa ll defend icmp - unreachable enablefirewa ll defend ip - sweep enablefirewa ll defend port - scan enablefirewa ll defend source - route enablefirewa ll defend route - record enablefirewa ll defend tracert enablefirewa ll defend time - stamp enablefirewa ll defend ping - of - death enablefirewa ll defend teardrop enablefirewa ll defend tcp - flag enablefirewa ll defend ip - fragment enablefirewa ll defend large - icmp enable#1. 3 防火牆在防病毒攻擊上的應用對於互聯網上的各種蠕蟲病毒、震盪波病毒等,必須能夠判斷出網絡蠕蟲病毒、震盪波病毒的特徵,把網絡蠕蟲病毒造成的攻擊阻擋在安全網絡之外。
從而對內部安全網絡形成立體、全面的防護。因此我們啓用防火牆的實時網絡流量分析功能,及時發現各種攻擊和網絡蠕蟲病毒產生的異常流量。可以使用防火牆預先定義的流量分析模型,也可以自己定義各種協議流量的比例,連接速率閾值等參數,形成適合當前網絡的分析模型。比如, 用戶可以指定系統的TCP連接和UDP連接總數的上限閾值和下限閾值。當防火牆系統的TCP或UDP連接個數超過設定的閾值上限後,防火牆將輸出日誌進行告警,而當TCP、UDP 連接個數降到設定的閾值下限時,防火牆輸出日誌,表示連接數恢復到正常。另外,也可以指定配置不同類型的報文在正常情況下一定時間內所佔的百分比以及允許的變動範圍,系統定時檢測收到的各類報文百分比,並和配置進行比較,如果某類型( T 、UD 、I M 或其它) 報文百分比超過配置的上限閾值(加波動範圍) ,則系統輸出日誌告警;如果某類型報文百分比低於配置的下限閾值(加波動範圍) ,則系統輸出日誌告警。
配置如下:
3、使能系統統計功能firewall statistics system enable3 使能系統連接數量監控firewall sta tistics system connect - numbe r { tcp |udp } { high 500 000 low 1 }3 使能系統報文比率異常告警檢測firewall sta tistics system flow - percent { tcp tcp- percent udp udp - percent icmp icmp - percent al2teration a ltera tion - pe rcent [ time time - value ] }
在網絡中,通過測試其中TCP、UDP、ICMP 報文分別所佔的百分比爲75%、15%、5%;變動的範圍爲25%;檢測週期爲60min。
此命令TCP、UDP、ICMP3種報文所佔百分比需要同時被配置,並且3種報文所佔百分比之和不能超過100%;如果TCP、UDP、ICMP3種報文百分比之和超過100%,則命令不會生效此外,病毒攻擊產生大量的未知單播報文衝擊,造成網絡振盪和設備故障,所以必須在所有交換機配置防病毒ACL規則對病毒報文進行過濾。
例如對震盪波病毒的防範如下:
rule 47 deny tcp de stination - port eq 445 (防震盪波病毒)rule 50 deny udp destination - port eq 445 (防震盪波病毒)rule 55 deny tcp destina tion - port eq 5554 (防震盪波病毒)rule 57 deny tcp destina tion - port eq 9996 (防震盪波病毒)2 內部隔離造成當前網絡“安全危機”的另外一個因素是忽視對內網安全的監控管理。防火牆防範了來自網絡外部的攻擊,對於潛伏於網絡內部的“黑手”卻置之不理,事實上很多攻擊的源頭來自局域網內部,出現網絡內部數據泄密,通過NAT的網絡內部的攻擊行爲無法進行審計。由於對網絡內部缺乏防範,當網絡內部主機感染蠕蟲病毒時,會形成可以感染整個互聯網的污染源頭,導致整個互聯網絡環境低劣。
所以,對於網絡管理者,不但要關注來自局域網絡外部的威脅,而且要防範來自網絡內部的惡意行爲。防火牆可以提供對網絡內部安全保障的支持,形成全面的安全防護體系。如果企業內部網絡規模較大,並且設置有虛擬局域網(VL N) ,則應該在各個VLAN之間設置防火牆;因此,在企業、機構等重要部門或者關鍵數據中心應部署防火牆, 保證重要數據的安全。
通過防火牆強大的訪問控制以及內網的安全特性,在高安全性的內部網絡保證機密數據的合法訪問,並且通過分級的.策略控制,實現網絡內部的分級安全保障。
在受保護的內部網絡,如何防範來自網絡內部的攻擊將是網絡安全領域面臨的一個十分重要的問題。在IP協議棧中,ARP是以太網上非常重要的一個協議。以太網網絡中的主機,在互相進行IP訪問之前,都必須先通過ARP協議來獲取目的IP 地址對應的MAC地址。在通過路由器、三層交換機作爲網關時, PC機爲了把數據發送到網關,同樣需要通過ARP 協議來獲取網關的MAC地址。由於ARP協議本身不具備任何安全性,所以留下了很多的安全漏洞。
主機欺騙:惡意的網絡客戶可以僞造出別的客戶的ARP報文,使被攻擊的客戶不能正常進行網絡通訊。
網關僞造:惡意的網絡客戶可以僞造網關的ARP應答,在ARP應答報文中把網關的IP地址對應的MAC地址設置爲自己的MAC地址,那麼,網絡中所有的客戶都會把數據發送到惡意網絡客戶的主機上。
ARP“轟炸”:惡意客戶主機發出大量的不同IP對應不同的MAC的ARP 報文, 讓網絡中的設備ARP表都加入最大數量的ARP 表項,導致正常的ARP不能加入,從而中斷網絡流量。
防火牆通過以下幾種方式來解決上述內部網絡的地址安全性:
( )M 地址和I 地址綁定配置如下配置客戶機I 地址和M 地址到地址綁定關係中。
[Quidway] firewall mac - binding202. 169. 168. 1 00e0 - fc00 - 0100使能地址綁定功能。
[Quidway] firewall mac - bindingenable( 2) ARP欺騙檢查:
firewall defend arp - reve rse - query( 3)ARP反向查詢firewall defend arp - spoofing3 防火牆的性能測試通過上述方法可以解決網絡中的攻擊問題以及內網的安全問題,但是防火牆在使用中,通過測試存在以下幾個問題。
3. 1 防火牆無法檢測加密的Web流量由於網絡防火牆對於加密的SSL流中的數據是不可見的,防火牆無法迅速截獲SSL 數據流並對其解密,因此無法阻止應用程序的攻擊,甚至有些網絡防火牆,根本就不提供數據解密的功能。
3. 2 普通應用程序加密就能輕易躲過防火牆的檢測大多數網絡防火牆中,依賴的是靜態的特徵庫,只有當應用層攻擊行爲的特徵與防火牆中的數據庫中已有的特徵完全匹配時,防火牆才能識別和截獲攻擊數據。如果採用常見的編碼技術,將惡意代碼和其它攻擊命令隱藏起來,轉換成某種形式,只要與防火牆規則庫中的規則不一樣,就能夠躲過網絡防火牆,成功避開特徵匹配。
3 3 對於W 應用程序,防範能力不足據年趨勢科技公司統計, 網絡攻擊中70%來自於Web應用程序的攻擊,由於體系結構的原因,即使是最先進的網絡防火牆,在防範Web應用程序時,由於無法全面控制網絡、應用程序和數據流,也無法截獲應用層的攻擊。由於對於整體的應用數據流,缺乏完整的、基於會話( Se ssion)級別的監控能力,因此很難預防新的、未知的攻擊。
以上防火牆的不足可以通過其它安全工具來解決。
因此在網絡中, 需要防火牆和病毒網關結合使用。
4、結語
作爲內部網絡與外部公共網絡之間的第一道屏障,防火牆對於保護本單位的內部網絡有着十分重要的作用。因此,在當今信息化時代,伴隨着網絡技術的飛速發展,應加強防火牆的應用研究,保護企業內部網絡的安全,促進電子商務和電子政務的快速發展。
參考文獻
[ 1 ] 劉建偉,王育民。 網絡安全—技術與實踐[M ]. 北京:清華大學出版社, 2005.
[ 2 ] Te rryWilliam Ogle tree. 防火牆原理與實施[M ]. 北京:電子工業出版社, 2001.
[ 3 ] Marcus Gonca lve s. 防火牆技術指南[M ].北京:機械工業出版社, 2000.