淺談防火墻維護與管理的方法
本文從介紹防火墻的基本概念、分類以及特點入手,探討防火墻維護與管理的方法、技術(shù)的發(fā)展趨勢。
1、引言
網(wǎng)絡(luò)安全是一個不容忽視的問題,當人們在享受網(wǎng)絡(luò)帶來的方便與快捷的同時,也要時時面對網(wǎng)絡(luò)開放帶來的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險。為了保障網(wǎng)絡(luò)安全,當園區(qū)網(wǎng)與外部網(wǎng)連接時,可以在中間加入一個或多個中介系統(tǒng),防止非法入侵者通過網(wǎng)絡(luò)進行攻擊,非法訪問,并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制,這些中間系統(tǒng)就是防火墻(Firewall)技術(shù)。它通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流,盡可能地對外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運行情況、阻止外部網(wǎng)絡(luò)中非法用戶的攻擊、訪問以及阻擋病毒的入侵,以此來實現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全運行。
2、防火墻的概述及其分類
網(wǎng)絡(luò)安全的重要性越來越引起網(wǎng)民們的注意,大大小小的單位紛紛為自己的內(nèi)部網(wǎng)絡(luò)“筑墻”、防病毒與防黑客成為確保單位信息系統(tǒng)安全的基本手段。防火墻是目前最重要的一種網(wǎng)絡(luò)防護設(shè)備,是處于不同網(wǎng)絡(luò)(如可信任的局域內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口,能根據(jù)企業(yè)的安全策略控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
2.1 概述
在邏輯上,防火墻其實是一個分析器,是一個分離器,同時也是一個限制器,它有效地監(jiān)控了內(nèi)部網(wǎng)間或Internet之間的任何活動,保證了局域網(wǎng)內(nèi)部的安全。
1)什么是防火墻
古時候,人們常在寓所之間砌起一道磚墻,一旦火災(zāi)發(fā)生,它能夠防止火勢蔓延到別的寓所?,F(xiàn)在,如果一個網(wǎng)絡(luò)接到了Internet上面,它的用戶就可以訪問外部世界并與之通信。但同時,外部世界也同樣可以訪問該網(wǎng)絡(luò)并與之交互。為安全起見,可以在該網(wǎng)絡(luò)和Internet之間插入一個中介系統(tǒng),豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡(luò)對本網(wǎng)絡(luò)的威脅和入侵,提供扼守本網(wǎng)絡(luò)的安全和審計的關(guān)卡,它的作用與古時候的防火磚墻有類似之處,因此就把這個屏障叫做“防火墻”。
防火墻可以是硬件型的,所有數(shù)據(jù)都首先通過硬件芯片監(jiān)測;也可以是軟件型的,軟件在計算機上運行并監(jiān)控。其實硬件型也就是芯片里固化了UNIX系統(tǒng)軟件,只是它不占用計算機CPU的處理時間,但價格非常高,對于個人用戶來說軟件型更加方便實在。
2)防火墻的功能
防火墻只是一個保護裝置,它是一個或一組網(wǎng)絡(luò)設(shè)備裝置。它的目的就是保護內(nèi)部網(wǎng)絡(luò)的訪問安全。它的主要任務(wù)是允許特別的連接通過,也可以阻止其它不允許的連接。其主體功能可以歸納為如下幾點:
·根據(jù)應(yīng)用程序訪問規(guī)則可對應(yīng)用程序聯(lián)網(wǎng)動作進行過濾;
·對應(yīng)用程序訪問規(guī)則具有學(xué)習(xí)功能;
·可實時監(jiān)控,監(jiān)視網(wǎng)絡(luò)活動;
·具有日志,以記錄網(wǎng)絡(luò)訪問動作的詳細信息;
·被攔阻時能通過聲音或閃爍圖標給用戶報警提示。
3)防火墻的使用
由于防火墻的目的是保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊。因此,防火墻通常使用在一個被認為是安全和可信的園區(qū)網(wǎng)與一個被認為是不安全與不可信的網(wǎng)絡(luò)之間,阻止別人通過不安全與不可信的網(wǎng)絡(luò)對本網(wǎng)絡(luò)的攻擊,破壞網(wǎng)絡(luò)安全,限制非法用戶訪問本網(wǎng)絡(luò),最大限度地減少損失。
2.2 防火墻的分類
市場上的硬件防火墻產(chǎn)品非常之多,分類的標準比較雜,從技術(shù)上通常將其分為“包過濾型”、“代理型”和“監(jiān)測型”等類型。
1)包過濾型
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?,?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP(傳輸控制協(xié)議/用戶數(shù)據(jù)報協(xié)議)源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。
2)代理型
代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務(wù)器相當于一臺真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機。當客戶機需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。
3)監(jiān)測型
監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際上已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種監(jiān)測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用。據(jù)權(quán)威機構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品。
3、防火墻的作用、特點及優(yōu)缺點
防火墻通常使用在一個可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間,阻斷來自外部通過網(wǎng)絡(luò)對局域網(wǎng)的威脅和入侵,確保局域網(wǎng)的安全。與其它網(wǎng)絡(luò)產(chǎn)品相比,有著其自身的專用特色,但其本身也有著某些不可避免的局限。下面對其在網(wǎng)絡(luò)系統(tǒng)中的作用、應(yīng)用特點和其優(yōu)缺點進行簡單的闡述。
3.1 防火墻的作用
防火墻可以監(jiān)控進出網(wǎng)絡(luò)的通信量,僅讓安全、核準了的信息進入,同時又抵制對園區(qū)網(wǎng)構(gòu)成威脅的數(shù)據(jù)。隨著安全性問題上的失誤和缺陷越來越普遍,對網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段,也有可能來自配置上的低級錯誤或不合適的口令選擇。因此,防火墻的作用是防止不希望的、未授權(quán)的通信進出被保護的網(wǎng)絡(luò),迫使單位強化自己的安全策略。一般的防火墻都可以達到如下目的:一是可以限制他人進入內(nèi)部網(wǎng)絡(luò),過濾掉不安全服務(wù)和非法用戶;二是防止入侵者接近防御設(shè)施;三是限定用戶訪問特殊站點;四是為監(jiān)視Internet安全提供方便。
3.2 防火墻的特點
我們在使用防火墻的同時,對性能、技術(shù)指標和用戶需求進行分析。包過濾防火墻技術(shù)的特點是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡(luò)信息進行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒;代理型防火墻的特點是安全性較高,可以針對應(yīng)用層進行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。當然代理服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性;雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻。
防火墻一般具有如下顯著特點:
·廣泛的服務(wù)支持 通過動態(tài)的、應(yīng)用層的過濾能力和認證相結(jié)合,可以實現(xiàn)WWW瀏覽器、HTTP服務(wù)器、FTP等;
·對私有數(shù)據(jù)的加密支持 保證通過Internet進行虛擬私人網(wǎng)絡(luò)和商業(yè)活動不受損壞;
·客戶端只允許用戶訪問指定的網(wǎng)絡(luò)或選擇服務(wù) 企業(yè)本地網(wǎng)、園區(qū)網(wǎng)與分支機構(gòu)、商業(yè)伙伴和移動用戶等安全通信的信息;
·反欺騙 欺騙是從外部獲取網(wǎng)絡(luò)訪問權(quán)的常用手段,它使數(shù)據(jù)包類似于來自網(wǎng)絡(luò)內(nèi)部。防火墻能監(jiān)視這樣的數(shù)據(jù)包并能丟棄;
·C/S模式和跨平臺支持 能使運行在一個平臺的管理模塊控制運行在另一個平臺的監(jiān)視模塊。
3.3 防火墻的優(yōu)勢和存在的不足
防火墻在確保網(wǎng)絡(luò)的安全運行上發(fā)揮著重要的作用。但任何事物都不是完美無缺的,對待任何事物必須一分為二,防火墻也不例外。在充分利用防火墻優(yōu)點為我們服務(wù)的同時,也不得不面對其自身弱點給我們帶來的不便。
1) 防火墻的優(yōu)勢
(1)防火墻能夠強化安全策略。因為網(wǎng)絡(luò)上每天都有上百萬人在收集信息、交換信息,不可避免地會出現(xiàn)個別品德不良或違反規(guī)則的人。防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”,它執(zhí)行站點的安全策略,僅僅允許“認可的”和符合規(guī)則的請求通過。
(2)防火墻能有效地記錄網(wǎng)絡(luò)上的活動。因為所有進出信息都必須通過防火墻,所以防火墻非常適合用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點,防火墻能在被保護的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進行記錄。
(3)防火墻限制暴露用戶點。防火墻能夠用來隔開網(wǎng)絡(luò)中的兩個網(wǎng)段,這樣就能夠防止影響一個網(wǎng)段的信息通過整個網(wǎng)絡(luò)進行傳播。
(4)防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕于門外。
2) 防火墻存在的不足
(1)不能防范惡意的知情者。防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息,但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上,放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部,防火墻是無能為力的。內(nèi)部用戶可以偷竊數(shù)據(jù),破壞硬件和軟件,并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅,只能要求加強內(nèi)部管理。
(2)不能防范不通過它的連接。防火墻能夠有效地防止通過它傳輸?shù)男畔?,然而它卻不能防止不通過它而傳輸?shù)男畔?。例如,如果站點允許對防火墻后面的內(nèi)部系統(tǒng)進行撥號訪問,那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。
(3)不能防備全部的威脅。防火墻被用來防備已知的威脅,如果是一個很好的防火墻設(shè)計方案,就可以防備新的威脅,但沒有一臺防火墻能自動防御所有新的威脅。
4、防火墻的管理與維護
如果已經(jīng)設(shè)計好了一個防火墻,使它滿足了你的機構(gòu)的需要,接下來的工作就是防火墻的管理與維護了。在防火墻設(shè)計建造完成以后,使它正常運轉(zhuǎn)還要做大量的工作。值得注意的是,這里許多維護工作是自動進行的。管理與維護工作主要有4個方面,它們分別是:建立防火墻的安全策略、日常管理、監(jiān)控系統(tǒng)、保持最新狀態(tài)。
4.1 建立防火墻的安全策略
要不要制定安全上的策略規(guī)定是一個有爭議的問題。有些人認為制定一套安全策略是相當必須的,因為它可以說是一個組織的安全策略輪廓,尤其在網(wǎng)絡(luò)上以及網(wǎng)絡(luò)系統(tǒng)管理員對于安全上的顧慮并沒有明確的策略時。
安全策略也可以稱為訪問上的控制策略。它包含了訪問上的控制以及組織內(nèi)其他資源使用的種種規(guī)定。訪問控制包含了哪些資源可以被訪問,如讀取、刪除、下載等行為的規(guī)范,以及哪些人擁有這些權(quán)力等信息。
1) 網(wǎng)絡(luò)服務(wù)訪問策略
網(wǎng)絡(luò)服務(wù)訪問策略是一種高層次的、具體到事件的策略,主要用于定義在網(wǎng)絡(luò)中允許的或禁止的網(wǎng)絡(luò)服務(wù),還包括對撥號訪問以及PPP(點對點協(xié)議)連接的限制。這是因為對一種網(wǎng)絡(luò)服務(wù)的限制可能會促使用戶使用其他的方法,所以其他的途徑也應(yīng)受到保護。比如,如果一個防火墻阻止用戶使用Telnet服務(wù)訪問因特網(wǎng),一些人可能會使用撥號連接來獲得這些服務(wù),這樣就可能會使網(wǎng)絡(luò)受到攻擊。網(wǎng)絡(luò)服務(wù)訪問策略不但應(yīng)該是一個站點安全策略的延伸,而且對于機構(gòu)內(nèi)部資源的保護也起全局的作用。這種策略可能包括許多事情,從文件切碎條例到病毒掃描程序,從遠程訪問到移動介質(zhì)的管理。
2) 防火墻的設(shè)計策略
防火墻的設(shè)計策略是具體地針對防火墻,負責(zé)制定相應(yīng)的規(guī)章制度來實施網(wǎng)絡(luò)服務(wù)訪問策略。在制定這種策略之前,必須了解這種防火墻的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險。防火墻一般執(zhí)行一下兩種基本策略中的一種:
① 除非明確不允許,否則允許某種服務(wù);
② 除非明確允許,否則將禁止某項服務(wù)。
執(zhí)行第一種策略的防火墻在默認情況下允許所有的服務(wù),除非管理員對某種服務(wù)明確表示禁止。執(zhí)行第二種策略的防火墻在默認情況下禁止所有的服務(wù),除非管理員對某種服務(wù)明確表示允許。防火墻可以實施一種寬松的策略(第一種),也可以實施一種限制性策略(第二種),這就是制定防火墻策略的入手點。
3) 安全策略設(shè)計時需要考慮的問題
為了確定防火墻安全設(shè)計策略,進而構(gòu)建實現(xiàn)預(yù)期安全策略的防火墻,應(yīng)從最安全的防火墻設(shè)計策略開始,即除非明確允許,否則禁止某種服務(wù)。策略應(yīng)該解決以下問題:
·需要什么服務(wù),如Telnet、WWW或NFS等;
·在那里使用這些服務(wù),如本地、穿越因特網(wǎng)、從家里或遠方的辦公機構(gòu)等;
·是否應(yīng)當支持撥號入網(wǎng)和加密等服務(wù);
·提供這些服務(wù)的風(fēng)險是什么;
·若提供這種保護,可能會導(dǎo)致網(wǎng)絡(luò)使用上的不方便等負面影響,這些影響會有多大;
·與可用性相比,站點的安全性放在什么位置。
4.2 日常管理
日常管理是經(jīng)常性的瑣碎工作,以使防火墻保持清潔和安全。為此,需要經(jīng)常去完成的主要工作:數(shù)據(jù)備份、賬號管理、磁盤空間管理等。
1) 數(shù)據(jù)備份
一定要備份防火墻的數(shù)據(jù)。使用一種定期的、自動的備份系統(tǒng)為一般用途的機器做備份。當這個系統(tǒng)正常做完備份之后,最好還能發(fā)送出一封確定信,而當它發(fā)現(xiàn)錯誤的時候,也最好能產(chǎn)生一個明顯不同的信息。
為什么只是在錯誤發(fā)生的時候送出一封信就好了呢?如果這個系統(tǒng)只在有錯誤的時候產(chǎn)生一封信,或許就有可能不會注意到這個系統(tǒng)根本就沒有運作。那為什么需要明顯不同的信息呢?如果備份系統(tǒng)正常和執(zhí)行失敗時產(chǎn)生的信息很類似。那么習(xí)慣于忽略成功信息的人,也有可能會忽略失敗信息。理想的情況是有一個程序檢查備份有沒有執(zhí)行,并在備份沒有執(zhí)行的時候產(chǎn)生一個信息。
2) 賬號管理
賬號的管理。包括增加新賬號、刪除舊賬號及檢查密碼期限等,是最常被忽略的日常管理工作。在防火墻上,正確的增加新賬號、迅速地刪除舊賬號以及適時地變更密碼,絕對是一項非常重要的工作。
建立一個增加賬號的程序,盡量使用一個程序增加賬號。即使防火墻系統(tǒng)上沒有多少用戶,但每一個用戶都可能是一個危險。一般人都有一個毛病,就是漏掉一些步驟,或在過程中暫停幾天。如果這個空檔正好碰到某個賬號沒有密碼,入侵者就很容易進來了。
賬號建立程序中一定要標明賬號日期,以及每隔一階段就自動檢查賬號。雖然不需要自動關(guān)閉賬號,但是需要自動通知那些賬號超過期限的人??赡艿脑挘O(shè)置一個自動系統(tǒng)監(jiān)控這些賬號。這可以在UNIX系統(tǒng)上產(chǎn)生賬號文件,然后傳送到其他的機器上,或者是在各臺機器上產(chǎn)生賬號,自動把這些賬號文件拷貝到UNIX上,再檢查它們。
如果系統(tǒng)支持密碼期限的功能,應(yīng)該把該功能打開。選擇稍微長一點的期限,譬如說三到六個月。如果密碼有效期太短,例如一個月,用戶可能會想盡辦法躲避期限,也就無法在安全防護上得到真正的收益。同理如果密碼期限功能不能保證用戶在賬號被停用前看到密碼到期通知,就不要開啟這個功能。否則,用戶會很不方便,而且也會冒著鎖住急需使用機器的系統(tǒng)管理者的風(fēng)險。
3) 磁盤空間管理
數(shù)據(jù)總是會塞滿所有可用的空間,即使在幾乎沒有什么用戶的機器上也一樣。人們總是向文件系統(tǒng)的各個角落丟東西,把各種數(shù)據(jù)轉(zhuǎn)存到文件系統(tǒng)的臨時地址中。這樣引起的問題可能常常會超出人們的想象。暫且不說可能需要使用那些磁盤空間,只是這種碎片就容易造成混亂,使事件的處理更復(fù)雜。于是有人可能會問:那是上次安裝新版程序留下來的程序嗎?是入侵者放進來的程序嗎?那真的是一個普通的數(shù)據(jù)文件嗎?是一些對入侵者有特殊意義的東西?等等,不幸的是能自動找出這種“垃圾”的方法沒有,尤其是可以在磁盤上到處寫東西的系統(tǒng)管理者。因此,最好有一個人定期檢查磁盤,如果讓每一個新任的系統(tǒng)管理者都去遍歷磁盤會特別有效。他們將會發(fā)現(xiàn)管理員忽視的東西。
在大多數(shù)防火墻中,主要的磁盤空間問題會被日志記錄下來。這些記錄應(yīng)該自動進行,自動重新開始,這些數(shù)據(jù)最好把它壓縮起來。Trimlon程序能夠使這個處理程序自動化。當系統(tǒng)管理者要截斷或搬移記錄時,一定要停止程序或讓它們暫停記錄,如果在截斷或搬移記錄時,還有程序在嘗試寫入記錄文件,顯然就會有問題。事實上,即使只是有程序開啟了文件準備稍后寫入,也可能會惹上麻煩。
4.3 監(jiān)視系統(tǒng)
對防火墻的維護、監(jiān)視系統(tǒng)是維護防火墻的重點,它可以告訴系統(tǒng)管理者以下的問題:
·防火墻已岌岌可危了嗎?
·防火墻能提供用戶需求的服務(wù)嗎?
·防火墻還在正常運作嗎?
·嘗試攻擊防火墻的是哪些類型的攻擊?
要回答這幾個問題,首先應(yīng)該知道什么是防火墻的正常工作狀態(tài)。
1) 專用設(shè)備的監(jiān)視
雖然大部分的監(jiān)視工作都是利用防火墻上現(xiàn)成的工具或記錄數(shù)據(jù),但是也可能會覺得如果有一些專用的監(jiān)視設(shè)備會很方便。例如,可能需要在周圍網(wǎng)絡(luò)上放一個監(jiān)視站,以便確定通過的都是預(yù)料中的數(shù)據(jù)包??梢允褂糜芯W(wǎng)絡(luò)窺視軟件包的一般計算機,也可以使用特殊用途的網(wǎng)絡(luò)檢測器。
如何確定這一臺監(jiān)視機器不會被入侵者利用呢?事實上,最好根本不要讓入侵者知道它的存在。在某些網(wǎng)絡(luò)硬件設(shè)備上,只要利用一些技術(shù)和一對斷線器(wire cutter)取消網(wǎng)絡(luò)接口的傳輸功能,就可以使這臺機器無法被檢測到,也很難被入侵者利用。如果有操作系統(tǒng)的原始程序,也可以從那里取消傳輸功能,隨時停止傳輸。但是,在這種情況下很難確認操作是否已經(jīng)做成功了。
2) 應(yīng)該監(jiān)視的內(nèi)容
理想的情況是,應(yīng)該知道通過防火墻的一切事情,包括每一條連接,以及每一個丟棄或接受的數(shù)據(jù)包。然而實際的情況是很難做到的,而折衷的辦法是,在不至于影響主機速度也不會太快填滿磁盤的情況下,盡量多做記錄,然后再為所產(chǎn)生的記錄整理出摘要。
在特殊情況下,要記錄好以下內(nèi)容:一是所有拋棄的包和被拒絕的連接;二是每一個成功的連接通過堡壘主機的時間、協(xié)議和用戶名;三是所有從路由器中發(fā)現(xiàn)的錯誤、堡壘主機和一些代理程序。
3) 監(jiān)視工作中的一些經(jīng)驗
應(yīng)該把可疑的事件劃分為幾類:一是知道事件發(fā)生的原因,而且這不是一個安全方面的問題;二是不知道是什么原因,也許永遠不知道是什么原因引起的,但是無論它是什么,它從未再出現(xiàn)過;三是有人試圖侵入,但問題并不嚴重,只是試探一下;四是有人事實上已經(jīng)侵入。
這些類別之間的界限比較含糊。要提供以上任何問題的詳細征兆是不可能的,但是下面這些歸納出的經(jīng)驗可能會對網(wǎng)絡(luò)系統(tǒng)管理員有所幫助。如果發(fā)現(xiàn)以下情況,網(wǎng)絡(luò)系統(tǒng)管理員就有理由懷疑有人在探試站點:一是試圖訪問在不安全的端口上提供的服務(wù)(如企圖與端口映射或者調(diào)試服務(wù)器連接);二是試圖利用普通賬戶登錄(如guest);三是請求FTP文件傳輸或傳輸NFS(Network File System,網(wǎng)絡(luò)文件系統(tǒng))映射;四是給站點的SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協(xié)議)服務(wù)器發(fā)送debug命令。
如果網(wǎng)絡(luò)系統(tǒng)管理員見到以下任何情況,應(yīng)該更加關(guān)注。因為侵襲可能正在進行之中:一是多次企圖登錄但多次失敗的合法賬戶,特別是因特網(wǎng)上的通用賬戶;二是目的不明的數(shù)據(jù)包命令;三是向某個范圍內(nèi)每個端口廣播的數(shù)據(jù)包;四是不明站點的成功登錄。
如果網(wǎng)絡(luò)系統(tǒng)管理員了發(fā)現(xiàn)以下情況,應(yīng)該懷疑已有人成功地侵入站點:一是日志文件被刪除或者修改;二是程序突然忽略所期望的正常信息;三是新的日志文件包含有不能解釋的密碼信息或數(shù)據(jù)包痕跡;四是特權(quán)用戶的意外登錄(例如root用戶),或者突然成為特權(quán)用戶的意外用戶;五是來自本機的明顯的試探或者侵襲,名字與系統(tǒng)程序相近的應(yīng)用程序;六是登錄提示信息發(fā)生了改變。
4) 對試探作出的處理
通常情況下,不可避免地發(fā)覺外界對防火墻進行明顯試探——有人向沒有向Internet提供的服務(wù)發(fā)送數(shù)據(jù)包,企圖用不存在的賬戶進行登錄等。試探通常進行一兩次,如果他們沒有得到令人感興趣的反應(yīng),他們通常就會走開。而如果想弄明白試探來自何方,這可能就要花大量時間追尋類似的事件。然而,在大多數(shù)情況下,這樣做不會有很大成效,這種追尋試探的新奇感很快就會消失。
一些人滿足于建立防火墻機器去誘惑人們進行一般的試探。例如,在匿名的FTP區(qū)域設(shè)置裝有用戶賬號數(shù)據(jù)的文件,即使試探者破譯了密碼,看到的也只是一個虛假信息。這對于消磨空閑時間是沒有害處的,這還能得到報復(fù)的快感,但是事實上它不會改善防火墻的安全性。它只能使入侵者惱怒,從而堅定了入侵者闖入站點的決心。
4.4 保持最新狀態(tài)
保持防火墻的最新狀態(tài)也是維護和管理防火墻的一個重點。在這個侵襲與反侵襲的領(lǐng)域中,每天都產(chǎn)生新的事物、發(fā)現(xiàn)新的毛病,以新的方式進行侵襲,同時現(xiàn)有的工具也會不斷地被更新。因此,要使防火墻能同該領(lǐng)域的發(fā)展保持同步。
當防火墻需要修補、升級一些東西,或增加新功能時,就必須投入較多的時間。當然所花的時間長短視修補、升級、或增加新功能的復(fù)雜程度而定。如果開始時對站點需求估計的越準確,防火墻的設(shè)計和建造做的越好,防火墻適應(yīng)這些改變所花的時間就越少。
5、結(jié)束語
隨著Internet在我國的迅速發(fā)展,網(wǎng)絡(luò)安全的問題越來越得到重視,防火墻技術(shù)也引起了各方面的廣泛關(guān)注。我們國家除了自行展開了對防火墻的一些研究,還對國外的信息安全和防火墻的發(fā)展進行了密切的關(guān)注,以便能更快掌握這方面的信息,更早的應(yīng)用到我們的網(wǎng)絡(luò)上面。當然,金無足赤,人無完人,我們從防火墻維護和管理的研究上得知,防火墻能保護網(wǎng)絡(luò)的安全,但并不是絕對安全的,而是相對的。