【摘要】防火墙技术在防止局域网内部和外部攻击中均发挥着重要作用。本文首先分析了防火墙技术在防止网络外部攻击中的配置和应用。之后研究了防火墙在阻断内部攻击中的应用,供同行参考
【关键词】防火墙技术;局域网;内部攻击;外部攻击;应用
【中图分类号】TP309.1【文献标识码】B【文章编号】1005-1074(2008)07-0264-01
在建筑大厦中,我们常常见到用来阻止火灾蔓延的防火隔断墙。防火墙类似于这种隔断墙, Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供安全防护。
本文将首先简要研究防火墙保护局域网防止外部攻击的配置与应用,之后分析防火墙的内部阻断功能。
1防火墙保护局域网防止外部攻击的配置与应用
1.1网络中常见的攻击种类随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。网络攻击,一般是侵入或破坏网上的服务器(主机) ,盗取服务器的敏感数据或干扰破坏服务器对外提供的服务; 也有直接破坏网络设备的网络攻击,这种破坏影响较大,会导致网络服务异常,甚至中断。防火墙的攻击防范功能能够检测出多种类型的网络攻击,并能采取相应的措施保护局域网络免受恶意攻击,保证内部局域网络及系统的正常运行。
1.2防火墙的典型组网配置和攻击防范目前网络中主要使用防火墙来保证局域网络的安全。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的局域网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问来自组织内部)。
1.3防火墙在防病毒攻击上的应用对于互联网上的各种蠕虫病毒、震荡波病毒等,必须能够判断出网络蠕虫病毒、震荡波病毒的特征,把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。因此我们启用防火墙的实时网络流量分析功能,及时发现各种攻击和网络蠕虫病毒产生的异常流量。可以使用防火墙预先定义的流量分析模型,也可以自己定义各种协议流量的比例,连接速率阈值等参数,形成适合当前网络的分析模型。比如,用户可以指定系统的TCP连接和UDP连接总数的上限阈值和下限阈值。当防火墙系统的TCP或UDP连接个数超过设定的阈值上限后,防火墙将输出日志进行告警,而当TCP、UDP连接个数降到设定的阈值下限时,防火墙输出日志,表示连接数据恢复到正常。
2内部隔离
造成当前网络“安全危机”的另外一个因素是忽视对内网安全的监控管理。防火墙防范了来自网络外部的攻击,对于潜伏于网络内部的“黑手”却置之不理,事实上很多攻击的源头来自局域网内部,出现网络内部数据泄密,通过NAT的网络内部的攻击行为无法进行审计。由于对网络内部缺乏防范,当网络内部主机感染蠕虫病毒时,会形成可以感染整个互联网的污染源头,导致整个互联网络环境低劣。所以,对于网络管理者,不但要关注来自局域网络外部的威胁,而且要防范来自网络内部的恶意行为。防火墙可以提供对网络内部安全保障的支持,形成全面的安全防护体系。通过防火墙强大的访问控制以及内网的安全特性,在高安全性的内部网络保证机密数据的合法访问,并且通过分级的策略控制,实现网络内部的分级安全保障。
在受保护的内部网络,如何防范来自网络内部的攻击将是网络安全领域面临的一个十分重要的问题。在IP协议栈中,ARP是以太网上非常重要的一个协议。以太网网络中的主机,在互相进行IP访问之前,都必须先通过ARP协议来获取目的IP地址对应的MAC地址。在通过路由器、三层交换机作为网关时,PC机为了把数据发送到网关,同样需要通过ARP协议来获取网关的MAC地址。由于ARP协议本身不具备任何安全性,所以留下了很多的安全漏洞。①主机欺骗:恶意的网络客户可以伪造出别的客户的ARP报文,使被攻击的客户不能正常进行网络通讯。②网关伪造:恶意的网络客户可以伪造网关的ARP应答,在ARP应答报文中把网关的IP地址对应的MAC地址设置为自己的MAC地址,那么,网络中所有的客户都会把数据发送到恶意网络客户的主机上。③ARP“轰炸”:恶意客户主机发出大量的不同IP对应不同的MAC 的ARP报文,让网络中的设备ARP表都加入最大数量的ARP表项,导致正常的ARP不能加入,从而中断网络流量。
3防火墙的性能测试
通过上述方法可以解决网络中的攻击问题以及内网的安全问题,但是防火墙在使用中,通过测试存在以下几个问题。
3.1 防火墙无法检测加密的Web流量由于网络防火墙对于加密的SSL流中的数据是不可见的,防火墙无法迅速截获SSL 数据流并对其解密,因此无法阻止应用程序的攻击,甚至有些网络防火墙,根本就不提供数据解密的功能。
3.2 普通应用程序加密就能轻易躲过防火墙的检测大多数网络防火墙中,依赖的是静态的特征库,只有当应用层攻击
行为的特征与防火墙中的数据库中已有的特征完全匹配时,防火墙才能识别和截获攻击数据。如果采用常见的编码技术,将恶意代码和其它攻击命令隐藏起来,转换成某种形式,只要与防火墙规则库中的规则不一样,就能够躲过网络防火墙,成功避开特征匹配。
3.3 对于Web应用程序,防范能力不足据2007年趋势科技公司统计, 网络攻击中70%来自于Web应用程序的攻击,由于体系结构的原因,即使是最先进的网络防火墙,在防范Web应用程序时,由于无法全面控制网络、应用程序和数据流,也无法截获应用层的攻击。由于对于整体的应用数据流,缺乏完整的、基于会话(Session)级别的监控能力,因此很难预防新的、未知的攻击。
以上防火墙的不足可以通过其它安全工具来解决。因此在网络中,需要防火墙和病毒网关结合使用。
4参考文献
1李文杰.浅析防火墙安全技术及发展[J].科技信息(科学教研),2008,(10)
2范涛.防火墙与网络安全[J].中国科技信息,2008,(07)
相关热词搜索: 局域网 防火墙 攻击 技术