如何定制企业防火墙安全机制
前言:
随着互联网发展日渐蓬勃,由于黑客的非法入侵时及病毒摧毁计算机所造成的威胁有越来越严重的趋势,企业对于功能更强大的防火墙的需求也越来越迫切。许多的企业也因为之前没有对网络架构作好网络防护措施,付出了惨痛而昂贵的代价。在使用防火墙产品以防止黑客的非法入侵时,除了产品的安全性与执行效能外,另外善解人意的GUI接口、完整的服务功能、厂商技术支持能力等,缺一不可。在享受丰盛的Internet/Intranet各种建置及所带来的效率与成本回收的成果之时,如果企业没有一个良好的安全防范机制,企业内部网络资源将不堪一击,这不是在危言耸听。
1、防火墙来是怎样防止非法者的入侵
防火墙是Internet上公认网络存取控制最佳的安全解决方案,网络公司正式将防火墙列入信息安全机制;防火墙是软硬件的结合体,架设在网络之间以确保安全的连接。因此它可以当做Internet、Intranet或Extranet的网关器,以定义一个规则组合或安全政策,来控制网络间的通讯。并可有效率的记录各种Internet应用服务的存取信息、隐藏企业内部资源、减少企业网络曝露的危机等。所以正确安全的防火墙架构必须让所有外部到内部或内部到外部的封包都必须通过防火墙,且唯有符合安全政策定义的封包,才能通过防火墙;既然防火墙是Internet/Intranet相关技术服务进出的唯一信道,要正确的使用防火墙就必须先了解防火墙的技术为何?安全性是否符合各种应用服务的需求?认证方式有哪些及网络传输资料的加解/密功能(VPN)方式?最重要的是厂商能否提供完整且长期的服务与技术支持能力?
2、目前防火墙的技术
防火墙的安全性与研发的技术息息相关,现在市场上的防火墙主要的技术可分为封包过滤(PacketFilter)、代理应用闸信道(ApplicationGateway/Proxy)及多阶层状态检查(MultilayerStatefulInspection)等,说明如下:
(1)封包过滤
就如同Router的技术,在网络层具备良好的效能和延伸能力,但只能提供Ip地址的过滤功能;封包过滤可知道每一个Ip的来源地址,但不知道使用者为何人?同样的,它会检测网络层的封包,而不会去管是什么应用程序,所以封包过滤是防火墙中功能最不安全的,因为他们不会监测到应用程序,无法知道封包传送内容,很容易被非经授权的使用者侵入。
(2)代理应用闸信道
此为最传统的防火墙技术,任何进出Internet的应用服务都必须经过防火墙的代理后,再转送到目的地;藉由代理的过程中,来检测各阶层的应用服务,但是这样做却破坏主从架构模式。此外,此种技术只支持有限制的应用程序,每一个服务或应用程序都须要专属的Proxy,因此有新的Internet服务时,使用者必须等待厂商开发新的代理应用程序才能使用;由于每一种代理(Proxy)需要不同的应用程序或daemon来执行,会因为过多的资料复制和内容交换会造成执行效能不佳。
(3)多阶层状态检查
这是一种新的防火墙专利技术,结合了封包过滤网络层的执行效能及代理应用闸信道的安全性。任何的封包会都在网络层中被拦劫,然后防火墙会从全部的应用层级中萃取出跟状态有关的数据,而且放在动态状态表来判续后续的封包;提供了应用层的资料内容安全检测,而且不会破坏主从架构模式,可以在资料保全和流量间作智能的控制,具有最大的扩展及延伸能力。
3、定制安全机制
(1)存取控制-定义安全政策
存取控制可定义使用者或应用服务的对象进/出企业网络,以保护企业内部资源;例如:一个企业组织只可决定于上班时间限制存取Internet特定的网站,只允许于午餐时间存取,或当系统在执行备援时,禁止存取重要的服务者等。
执行存取控制参数必须是简单且直接的,以一个明确的图形使用者接口(GUI)操作,最好全部的组件都是使用对象导向的方式来定义。而每一个规则能包含任何网络对象、服务、动作和追踪机置,并可判断规则的冲突性。防火墙除必须提供安全的存取控制外,还必须抵挡恶意的攻击。例如IPSpoofing、DenialofService、PingofDeath等等。
(2)认证机制
防火墙认证的应用为当使用者与目的主机联机时,在通讯被允许进行之前,认证的机制服务可安全的确认他们身份的有效性,且不需要修改服务器或客户端应用软件。认证服务是可完全的被整合到企业整体的安全政策内,并能经由防火墙图形使用者接口集中管理。所有的认证会期也都能经由防火墙日志浏览器来监视和追踪。
一般防火墙所提供的认证机制与方法多寡不一,以CheckPointFireWall-1为例,提供使用者的认证:针对FTP、TELNET、HTTP和RLOGIN提供透通的使用者认证;客户端认证:可针对特定IP地址的使用者授予存取的权限;透通的会期认证:提供以会期为基础的任何一种应用服务的认证等。
认证的机制包括固定的密码,如OS及防火墙的密码;以及动态的OneTimePassword的密码,如S/key、SectrID、RADIUS等。如要使用固定的密码认证,建议使用防火墙的密码较安全,但是固定密码还是容易被监听,最好是使用OneTimePassword的方式,以防止被窃取。
(3)内容的安全性
防火墙所提供的内容安全能力,可达到最高层次的应用服务协议检测,以保护使用者企业资源。以CheckPointFireWall-1而言,包含计算机病毒和恶意Java与ActiveXApplets的内容安全性检查,经由图形的接口可集中管理。另外提供开放平台的安全企业连接(OPSEC)架构的API,可整合第三者厂商内容过滤的应用。主要的应用如下:
A、URL过滤
可维护公司宝贵的网络频宽和增加网络另一层次的控制,允许网络管理者存取Internet特定网页,并可确保员工只能下传和存取的网页信息。
B、电子邮件的支持
通过SMTP的连接提供高度的控制以保护网络。可在一个标准的应用程序地址之后,隐藏一个外出的邮件地址,或可隐藏内部的网络结构与真正的内部的使用者,或丢弃超过所给与邮件信息的容量等。
C、FTP的支持
FTP指令(如PUT/GET)的内容安全性,可限制文件名称和档案反病毒检查等。
(4)网络地址转译
网络地址转译对Internet而言,可隐藏内部的网络地址,克服了IP地址数量的限制,可维护一个企业的内部地址的完整性,对映内部非注过册IP地址以一个合法有效的IP对外,可完整存取Internet。防火墙提供两种操作模式:
A、动态的模式
当维持已注册IP地址给予使用者存取Internet的时候和隐藏内部实际IP地址的网络资源,可使用动态的模式达到地址转译。动态的模式可将内部所有IP地址的连接,经过防火墙与单一个合法的IP地址对外。
B、静态的模式
可应用在一个网络IP地址很早就被分派使用和你需要提供「真正的」地址,以
便人们在Internet能存取他们,静态模式的地址转译可解决上述问题。静态的模式提供一个对一个的对映在对外公开IP地址和内部真正的IP地址之间。
(5)加密(虚拟私人网络)
私人的网络利用一些公用网络的设施称为虚拟私人网络或者VPN。一个VPN与一个专属的私人的网络相比较,优点显然是是减少昂贵的费用与更多的弹性。在公开的网络环境中,公司的信息可能在网际网络传输过程中遭受窃听与篡改,可利用加密功能在Internet上建立安全的通讯频道,可确保在公司内部的资源具备完整的隐私性、真实性与资料完整性。
由于每一家的防火墙加密机制大都不同,在标准IPSec的加密未完全产品化之前,彼此之间的整合性还是有问题。而加密软件的出口至今还是受美国的限制,一般商业的使用维持40Bits,金融项目申请可达56Bits。VPN可应用在远程使用者与防火墙之间及防火墙与防火墙之间的加解密。
(6)产品的后续支持及厂商的技术能力
Internet有新的安全产品出现,就有人会研究新的破解方法,所以一个好的防火墙提供者就必须要有一个庞大的组织作为使用者安全的后盾,也应该要有众多的使用者所建立的口碑为防火墙作见证。现今国内防火墙产品大部分是代理国外的软件,搭配硬件出售,很多防火墙的代理商都是销售单一防火墙产品,无法提供完整的安全解决方案,因企业内部有Intranet、Database等软件,如厂商无法提供整体的技术与安全政策,将会带给使用者更多的梦魇。所以在选购防火墙产品,你最好参考一下业界的评语、实际的安装经验或实地测试。
(7)内部人员考核与训练
这部分的安全政策属于人员安全的管理,主要目的在降低人员使用信息或操作信息设备时所可能发生的错误,如滥用、窃取、欺骗、遗失等问题。要避免前述的情况发生,首先应该从人员背景的调查与考核作起,尤其针对一些较敏感的信息之使用,应慎选适当人员来负责。其次,企业制定的安全政策为的就是希望让企业内部所有人员熟悉与了解。因此,最佳的方法,便是赋予人员应有的信息安全责任,并通过日常的信息安全教育训练来达到此一目的。除了以各种方式公布安全政策外,企业可以部门为单位,实施信息安全养成教育,由负责信息安全事宜的同仁来担任,解释企业信息安全政策的内容,告诉使用平时应该注意哪些细节,了解怎么做、什么事可以做、什么事不可以做。举例来说,有关计算机帐号的管理政策中明定,员工计算机中毒时,应该实时通知信息部门人员协助处理,并作详细的回报与记录,以避免计算机病毒扩散,造成企业内部更严重的损失。像这样的政策,如果只是公布,而没有对员工作适当的教育训练,一旦真的发生中毒的事件,必定是手忙脚乱,无法顺利排解问题,相反的,只会造成更多的问题。
小结:
需要特别说明的是,一个良好的防火墙安全机制如果不能有效地实施,那么一切还是形同虚设。一个专业知识有限的黑客,有时甚至是通过一次电话拨号连接,就能轻易地.