【文章內(nèi)容簡(jiǎn)介】 智能防火墻[6]是相對(duì)傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問(wèn)控制的目的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問(wèn)控制。由于這些方法多是人工智能學(xué)科采用的方法，因此，又稱(chēng)為智能防火墻。 防火墻的功能 防火墻的主要功能1．包過(guò)濾。包過(guò)濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護(hù)機(jī)制，它可用來(lái)控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時(shí)間。可根據(jù)地址簿進(jìn)行設(shè)置規(guī)則。2．地址轉(zhuǎn)換。網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的IP地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換Source NAT(SNAT)和目的地址轉(zhuǎn)換Destination NAT(DNAT)。SNAT用于對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來(lái)自外部其他網(wǎng)絡(luò)的非授權(quán)訪問(wèn)或惡意攻擊。并將有限的IP地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部IP地址對(duì)應(yīng)起來(lái)，用來(lái)緩解地址空間的短缺問(wèn)題，節(jié)省資源，降低成本。DNAT主要用于外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)主機(jī)。3．認(rèn)證和應(yīng)用代理。 認(rèn)證指防火墻對(duì)訪問(wèn)網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)。提供HTTP、FTP和SMTP代理功能，并可對(duì)這三種協(xié)議進(jìn)行訪問(wèn)控制。同時(shí)支持URL過(guò)濾功能。4．透明和路由指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問(wèn)，同時(shí)阻止了外部未授權(quán)訪問(wèn)者對(duì)專(zhuān)用網(wǎng)絡(luò)的非法訪問(wèn)。防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng)之間的安全訪問(wèn)。 入侵檢測(cè)功能入侵檢測(cè)技術(shù)[7]就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)，包括以下內(nèi)容:。端口掃描就是指黑客通過(guò)遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn)主機(jī)的哪些非常用端口是打開(kāi)的。是否支持FTP、Web服務(wù)。且FTP服務(wù)是否支持“匿名”，以及IIS版本，是否有可以被成功攻破的IIS漏洞，進(jìn)而對(duì)內(nèi)部網(wǎng)絡(luò)的主機(jī)進(jìn)行攻擊。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有:關(guān)閉閑置和有潛在危險(xiǎn)的端口。檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。拒絕服務(wù)(DoS)攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶(hù)無(wú)法得到服務(wù)的響應(yīng)，其攻擊方式有很多種。而分布式的拒絕服務(wù)攻擊(DDoS)攻擊手段則是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類(lèi)攻擊方式，分布式的拒絕服務(wù)攻擊(DDoS)。其原理很簡(jiǎn)單，就是利用更多的受控主機(jī)同時(shí)發(fā)起進(jìn)攻，以比DoS更大的規(guī)模(或者說(shuō)以更高于受攻主機(jī)處理能力的進(jìn)攻能力)來(lái)進(jìn)攻受害者。現(xiàn)在的防火墻設(shè)備通常都可檢測(cè)Synflod、Land、Ping of Death、TearDrop、ICMP flood和UDPflod等多種DOS/DDOS攻擊。(Buffer Overflow)。緩沖區(qū)溢出(Buffer Overflow)攻擊指利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作，防火墻設(shè)備可檢測(cè)對(duì)FTP、Telnet、SSH、RPC和SMTP等服務(wù)的遠(yuǎn)程堆棧溢出入侵。CGI就是Common Gateway Inter——face的簡(jiǎn)稱(chēng)。是World Wide Web主機(jī)和CGI程序間傳輸資訊的定義。IIS就是Internet Information server的簡(jiǎn)稱(chēng)，也就是微軟的Internet信息服務(wù)器。防火墻設(shè)備可檢測(cè)包括針對(duì)Unicode、ASP源碼泄漏、PHF、NPH、。、木馬及其網(wǎng)絡(luò)蠕蟲(chóng)。后門(mén)程序是指采用某種方法定義出一個(gè)特殊的端口并依靠某種程序在機(jī)器啟動(dòng)之前自動(dòng)加載到內(nèi)存，強(qiáng)行控制機(jī)器打開(kāi)那個(gè)特殊的端口的程序。木馬程序的全稱(chēng)是“特洛依木馬”，它們是指尋找后門(mén)、竊取計(jì)算機(jī)的密碼的一類(lèi)程序。網(wǎng)絡(luò)蠕蟲(chóng)病毒分為2類(lèi)，一種是面向企業(yè)用戶(hù)和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè)互聯(lián)網(wǎng)造成癱瘓性的后果，以“紅色代碼”，“尼姆達(dá)”，以及最新的“sql蠕蟲(chóng)王”為代表。另外一種是針對(duì)個(gè)人用戶(hù)的，通過(guò)網(wǎng)絡(luò)(主要是電子郵件，惡意網(wǎng)頁(yè)形式)迅速傳播的蠕蟲(chóng)病毒，以愛(ài)蟲(chóng)病毒，求職信病毒為例。防火墻設(shè)備可檢測(cè)試圖穿透防火墻系統(tǒng)的木馬控制端和客戶(hù)端程序。檢測(cè)試圖穿透防火墻系統(tǒng)的蠕蟲(chóng)程序。 虛擬專(zhuān)網(wǎng)功能指在公共網(wǎng)絡(luò)中建立專(zhuān)用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。VPN的基本原理是通過(guò)IP包的封裝及加密、認(rèn)證等手段，從而達(dá)到安全的目的。 其他功能。可支持任一網(wǎng)絡(luò)接口的IP地址和MAC地址的綁定，從而禁止用戶(hù)隨意修改IP地址。要求對(duì)使用身份標(biāo)識(shí)和認(rèn)證的機(jī)制，文件的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關(guān)安全事件進(jìn)行記錄，以便系統(tǒng)管理員進(jìn)行安全跟蹤。一般防火墻設(shè)備可以提供三種日志審計(jì)功能:系統(tǒng)管理日志、流量日志和入侵日志。內(nèi)置特殊站點(diǎn)數(shù)據(jù)庫(kù)，用戶(hù)可選擇是否封禁色情、反動(dòng)和暴力等特殊站點(diǎn)。 防火墻的原理及分類(lèi)國(guó)際計(jì)算機(jī)安全委員會(huì)ICSA將防火墻分成三大類(lèi):包過(guò)濾防火墻，應(yīng)用級(jí)代理服務(wù)器[8]以及狀態(tài)包檢測(cè)防火墻。顧名思義，包過(guò)濾防火墻[9]就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過(guò)濾規(guī)則相比較，從而決定是否阻塞或通過(guò)。過(guò)濾規(guī)則是基于網(wǎng)絡(luò)層IP包包頭信息的比較。包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，IP包的包頭中包含源、目的IP地址，封裝協(xié)議類(lèi)型(TCP，UDP，ICMP或IP Tunnel)，TCP/UDP端口號(hào)，ICMP消息類(lèi)型，TCP包頭中的ACK等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理。如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包。如果沒(méi)有匹配規(guī)則，則按缺省情況處理。包過(guò)濾防火墻是速度最快的防火墻，這是因?yàn)樗幱诰W(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實(shí)現(xiàn)，對(duì)用戶(hù)來(lái)說(shuō)都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。例如，HTTP。通常是使用80端口。如果公司的安全策略允許內(nèi)部員工訪問(wèn)網(wǎng)站，包過(guò)濾防火墻可能設(shè)置允所有80端口的連接通過(guò)，這時(shí)，意識(shí)到這一漏洞的外部人員可以在沒(méi)有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過(guò)濾防火墻的維護(hù)比較困難，定義過(guò)濾規(guī)則也比較復(fù)雜，因?yàn)槿魏我粭l過(guò)濾規(guī)則的不完善都會(huì)給網(wǎng)絡(luò)黑客造成可乘之機(jī)。同時(shí)，包過(guò)濾防火墻一般無(wú)法提供完善的日志。應(yīng)用級(jí)代理技術(shù)通過(guò)在OSI的最高層檢查每一個(gè)IP包，從而實(shí)現(xiàn)安全策略。代理技術(shù)與包過(guò)濾技術(shù)完全不同，包過(guò)濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實(shí)現(xiàn)防火墻功能。它的代理功能，就是在防火墻處終止客戶(hù)連接并初始化一個(gè)新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理機(jī)制提供額外的安全，這是因?yàn)樗鼘?nèi)部和外部網(wǎng)絡(luò)隔離開(kāi)來(lái)，使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測(cè)變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行全面的控制。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪問(wèn)WEB站點(diǎn)的HTTP，用于文件傳輸?shù)腇TP，用于E一MAIL的SMTP/POP3等等。如果某種應(yīng)用沒(méi)有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持并且不能通過(guò)防火墻進(jìn)行轉(zhuǎn)發(fā)。同時(shí)升級(jí)一種應(yīng)用時(shí)，相應(yīng)的代理程序也必須同時(shí)升級(jí)。代理服務(wù)(Proxy Service)也稱(chēng)鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類(lèi)。它是針對(duì)數(shù)據(jù)包過(guò)濾[10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí)也常結(jié)合入過(guò)濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過(guò)濾路由器或防火墻與Internet相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾器路由器或防火墻上過(guò)濾規(guī)則的設(shè)置，使堡壘機(jī)成為Internet上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶(hù)的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。 防火墻包過(guò)濾技術(shù)隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類(lèi)重要的、敏感的數(shù)據(jù)逐漸增多。同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問(wèn)，阻止病毒的傳播感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類(lèi)。其中包過(guò)濾作為最早發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。所謂包過(guò)濾，就是對(duì)流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個(gè)檢查，并依據(jù)所制定的安全策略來(lái)決定數(shù)據(jù)包是通過(guò)還是不通過(guò)。包過(guò)濾最主要的優(yōu)點(diǎn)在于其速度與透明性。也正是由于此。包過(guò)濾技術(shù)歷經(jīng)發(fā)展演變而未被淘汰。由于其主要是對(duì)數(shù)據(jù)包的過(guò)濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過(guò)濾技術(shù)的基礎(chǔ)?？紤]包過(guò)濾技術(shù)的發(fā)展過(guò)程，可以認(rèn)為包過(guò)濾的核心問(wèn)題就是如何充分利用數(shù)據(jù)包中各個(gè)字段的信息，并結(jié)合安全策略來(lái)完成防火墻的功能[11][15]當(dāng)應(yīng)用程序用TCP傳送數(shù)據(jù)時(shí)，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個(gè)通過(guò)每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對(duì)接收到的數(shù)據(jù)都要增加一些首部信息。TCP傳給IP的數(shù)據(jù)單元稱(chēng)作TCP報(bào)文段(TCP Segment)。IP傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱(chēng)作IP數(shù)據(jù)報(bào)(IP Datagram)；通過(guò)以太網(wǎng)傳輸?shù)谋忍亓鞣Q(chēng)作幀(Frame)。對(duì)于進(jìn)防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。IP，TCP首部格式如表21表22所示。表21 IP首部格式版本首部長(zhǎng)服務(wù)類(lèi)型總 長(zhǎng) 度標(biāo)識(shí)標(biāo)志片偏移生存時(shí)間協(xié)議首部校驗(yàn)和源IP地址目的IP地址選項(xiàng)表2