簡要介紹網路安全中防火牆和IDS的作用 作者:天緣 源自:天極網
業界的同行曾經說過「安全,是一種意識,而不是某種的技術就能實現真正的安全。」隨著工作的時間漸長,對這句話的體會就越深。再防守嚴密的網路,利用人為的疏忽,管理員的懶惰和社會工程學也可能被輕易攻破。
因此,在這裡我介紹的防火牆和IDS技術,只是我們在網路安全環節中進行的一個防禦步驟。在網路內進行防火牆與IDS的設定,並不能保證我們的網路就絕對安全了,但是設定得當的防火牆和IDS,至少會使我們的網路更為堅固一些,並且能提供更多的攻擊訊息供我們分析。
接下來,讓我們正確地認識一下防火牆和IDS的作用吧。
防火牆
一、防火牆能夠作到些什麼?
1.包過濾
具備包過濾的就是防火牆?對,沒錯!根據對防火牆的定義,凡是能有效阻止網路非法連線的模式,都算防火牆。早期的防火牆一般就是利用設定的條件,監測通過的包的特徵來決定放行或是阻止的,包過濾是很重要的一種特性。雖然防火牆技術發展到現在有了很多新的理念提出,但是包過濾依然是非常重要的一環,如同四層交換機首要的仍是要具備包的快速轉信這樣一個交換機的基本功能一樣。通過包過濾,防火牆可以實現阻擋攻擊,禁止外部/內定訪問某些站臺,限制每個ip的流量和連線數。
2.包的透明轉信
事實上,由於防火牆一般架設在提供某些服務的伺服器前。若果用示意圖來表示就是 Server—FireWall—Guest 。使用者對伺服器的訪問的請求與伺服器反饋給使用者的訊息,都需要經由防火牆的轉信,因此,很多防火牆具備通訊閘的能力。
3.阻擋外部攻擊
若果使用者傳送的訊息是防火牆設定所不容許的,防火牆會立即將其阻斷,避免其進入防火牆之後的伺服器中。
4.記錄攻擊
若果有必要,其實防火牆是完全可以將攻擊行為都記錄下來的,但是由於出於效率上的考慮,目前一般記錄攻擊的事情都交給IDS來完成了,我們在後面會提到。
以上是所有防火牆都具備的基本特性,雖然很簡單,但防火牆技術就是在此基礎上逐步發展起來的。
二、防火牆有哪些缺點和不足?
1.防火牆可以阻斷攻擊,但不能消滅攻擊源。
「各掃自家門前雪,不管他人瓦上霜」,就是目前網路安全的現狀。互聯網上病毒、木馬、惡意試探等等造成的攻擊行為絡繹不絕。設定得當的防火牆能夠阻擋他們,但是無法清除攻擊源。即使防火牆進行了良好的設定,使得攻擊無法穿透防火牆,但各種攻擊仍然會源源不斷地向防火牆發出嘗試。例如接主幹網10M網路頻寬的某站臺,其日常流量中平均有512K左右是攻擊行為。那麼,即使成功設定了防火牆後,這512K的攻擊流量依然不會有絲毫減少。
2.防火牆不能抵抗最新的未設定策略的攻擊漏洞
就如掃毒軟體與病毒一樣,總是先出現病毒,掃毒軟體經由分析出特徵碼後加入到病毒庫內才能查殺。防火牆的各種策略,也是在該攻擊模式經由專家分析後給出其特徵進而設定的。若果世界上新發現某個主電腦漏洞的cracker的把第一個攻擊物件選中了您的網路,那麼防火牆也沒有辦法幫到您的。
3.防火牆的並發連線數限制容易導致擁塞或是溢出
由於要判斷、處理流經防火牆的每一個包,因此防火牆在某些流量大、並發請求多的情況下,很容易導致擁塞,成為整個網路的瓶頸影響效能。而當防火牆溢出的時候,整個防線就如同虛設,原本被禁止的連線也能從容通過了。
4.防火牆對伺服器合法開放的連接埠的攻擊大多無法阻止
某些情況下,攻擊者利用伺服器提供的服務進行缺陷攻擊。例如利用開放了3389連接埠取得沒打過sp補丁的win2k的超級權限、利用asp程式進行腳本攻擊等。由於其行為在防火牆一級看來是「合理」和「合法」的,因此就被簡單地放行了。
5.防火牆對待內定主動發起連線的攻擊一般無法阻止
「外緊內松」是一般局域網路的特點。或許一道嚴密防守的防火牆內定的網路是一片混亂也有可能。通過社會工程學傳送帶木馬的信件、帶木馬的URL等模式,然後由中木馬的機器主動對攻擊者連線,將鐵壁一樣的防火牆瞬間破壞掉。另外,防火牆內定各主電腦間的攻擊行為,防火牆也只有如旁觀者一樣冷視而愛莫能助。
6.防火牆本身也會出現問題和受到攻擊
防火牆也是一個os,也有著其硬體系統和軟體,因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現軟/硬體方面的故障。
7.防火牆不處理病毒
不管是funlove病毒也好,還是CIH也好。在內定網路使用者下載外網的帶毒檔案的時候,防火牆是不為所動的(這裡的防火牆不是指單機/企業級的掃毒軟體中的實時監控功能,雖然它們不少都叫「病毒防火牆」)。
看到這裡,或許您原本心目中的防火牆已經被我拉下了神臺。是的,防火牆是網路安全的重要一環,但不代表設定了防火牆就能一定保證網路的安全。「真正的安全是一種意識,而非技術!」請牢記這句話。
不管怎麼樣,防火牆仍然有其積極的一面。在構建任何一個網路的防禦工事時,除了物理上的隔離和目前新近提出的網閘概念外,首要的選取絕對是防火牆。那麼,怎麼選取需要的防火牆呢?
防火牆的分類
首先大概說一下防火牆的分類。就防火牆(本文的防火牆都指商業用途的網路版防火牆,非個人使用的那種)的群組成結構而言,可分為以下三種:
第一種:軟體防火牆
軟體防火牆執行於特定的電腦上,它需要客戶預先安裝好的電腦動作系統的支援,一般來說這臺電腦就是整個網路的通訊閘。軟體防火牆就像其它的軟體產品一樣需要先在電腦上安裝並做好組態才可以使用。防火牆廠商中做網路版軟體防火牆最出名的莫過於Checkpoint。使用這類防火牆,需要網管對所工作的動作系統平臺比較熟悉。
第二種:硬體防火牆
這裡說的硬體防火牆是指所謂的硬體防火牆。之所以加上"所謂"二字是針對晶片級防火牆說的了。它們最大的差別在於是否基於私人的硬體平臺。目前市場上大多數防火牆都是這種所謂的硬體防火牆,他們都基於PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構電腦上執行一些經由裁剪和簡化的動作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。 值得註意的是,由於此類防火牆採用的依然是別人的內核,因此依然會受到os本身的安全性影響。國內的許多防火牆產品就屬於此類,因為採用的是經由裁減內核和定制元件的平臺,因此國內防火牆的某些銷售人員常常吹噓其產品是「私人的os」等等,其實是一個概念誤導,下面我們提到的第三種防火牆才是真正的os私人。
第三種:晶片級防火牆
它們基於專門的硬體平臺,沒有動作系統。專有的ASIC晶片促使它們比其他種類的防火牆速度更快,處理能力更強,效能更高。做這類防火牆最出名的廠商莫過於NetScreen.其他的品牌還有FortiNet,算是後起之秀了。這類防火牆由於是私人OS,因此防火牆本身的漏洞比較少,不過價格相對比較高昂,所以一般只有在「確實需要」的情況下才考慮。
在這裡,特別糾正幾個不正確的觀念:
1.在效能上,晶片級防火牆>硬體防火牆>軟體防火牆。
在價格上看來,的確倒是如此的關係。但是效能上卻未必。防火牆的「好」,是看其支援的並發數、最大流量等等效能,而不是用軟體硬體來區分的。事實上除了晶片級防火牆外,軟體防火牆與硬體防火牆在硬體上基本是完全一樣的。目前國內的防火牆廠商由於大多採用硬體防火牆而不是軟體防火牆,原因1是考慮到使用者網路管理員的素質等原因,還有就是基於我國大多數民眾對「看得見的硬體值錢,看不到的軟體不值錢」這樣一種錯誤觀點的迎合。不少硬體防火牆廠商大肆詆毀軟體防火牆效能,不外是為了讓自己那加上了外殼的普通pc+一個被修改後的內核+一套防火牆軟體能夠賣出一個好價錢來而已。而為什麼不作晶片級防火牆呢?坦白說,國內沒有公司有技術實力。而且在中國市場上來看,某些國內的所謂硬體防火牆的硬體質量連diy的相容機都比不上。看看國內XX的硬體防火牆那拙劣的硬碟和網卡,使用過的人都能猜到是哪家,我就不點名了。真正看防火牆,應該看其穩定性和效能,而不是用軟、硬來區分的。至少,若果筆者自己選購,我會選取購買CheckPoint而非某些所謂的硬體防火牆的。
2.在效果上,晶片防火牆比其他兩種防火牆好
這同樣也是一種有失公允的觀點。事實上晶片防火牆由於硬體的獨立,的確在OS本身出漏洞的機會上比較少,但是由於其固化,導致在面對新興的一些攻擊模式時,無法及時應對;而另外兩種防火牆,則可以簡單地通過升級os的內核來取得系統新特性,通過靈活地策略設定來滿足不斷變化的要求,不過其OS出現漏洞的概率相對高一些。
3.唯技術指標論
請以「防火牆買來是使用的」為第一前提進行購買。防火牆本身的質量如何是一回事,是否習慣使用又是另一回事。若果對一款產品的界面不熟悉,策略設定模式不理解,那麼即使用世界最頂級的防火牆也沒有多大作用。就如小說中武林中人無不嚮往的「倚天劍」、「屠龍刀」被我拿到,肯定也敵不過喬峰赤手的少林長拳是一般道理。防火牆技術發展至今,市場已經很成熟了,各類產品的存在,自然有其生存於市場的理由。如何把產品用好,遠比盲目地比較各類產品好。
IDS
什麼是IDS呢?早期的IDS僅僅是一個監聽系統,在這裡,你可以把監聽理解成竊聽的意思。基於目前局網的工作模式,IDS可以將使用者對位於與IDS同一交換機/HuB的伺服器的訪問、動作全部記錄下來以供分析使用,跟我們常用的widnows動作系統的事件檢視器類似。再後來,由於IDS的記錄太多了,所以新一代的IDS提供了將記錄的資料進行分析,僅僅列出有危險的一部分記錄,這一點上跟目前windows所用的策略審核上很像;目前新一代的IDS,更是增加了分析套用層資料的功能,使得其能力大大增加;而更新一代的IDS,就頗有「路見不平,拔刀相助」的味道了,配合上防火牆進行聯動,將IDS分析出有敵意的位址阻止其訪問。
就如理論與實際的區別一樣,IDS雖然具有上面所說的眾多特性,但在實際的使用中,目前大多數的入侵檢驗的接入模式都是採用pass-by模式來偵聽網路上的資料流,所以這就限制了IDS本身的阻斷功能,IDS只有靠發阻斷封包來阻斷目前行為,並且IDS的阻斷範圍也很小,只能阻斷建立在TCP基礎之上的一些行為,如Telnet、FTP、HTTP等,而對於一些建立在UDP基礎之上就無能為力了。因為防火牆的策略都是事先設定好的,無法動態設定策略,缺少針對攻擊的必要的靈活性,不能更好的保護網路的安全,所以IDS與防火牆聯動的目的就是更有效地阻斷所發生的攻擊事件,從而使網路隱患降至較低限度。
接下來,我簡單介紹一下IDS與防火牆聯動工作原理
入侵檢驗系統在擷取到某一攻擊事件後,按策略進行檢查,若果策略中對該攻擊事件設定了防火牆阻斷,那麼入侵檢驗系統就會發給防火牆一個相應的動態阻斷策略,防火牆根據該動態策略中的設定進行相應的阻斷,阻斷的時間、阻斷時間間隔、源連接埠、目的連接埠、源IP和目的IP等訊息,完全依照入侵檢驗系統發出的動態策略來執行。一般來說,很多情況下,不少使用者的防火牆與IDS並不是同一家的產品,因此在聯動的協定上面大都遵從 opsec 或是 topsec協定進行通信,不過也有某些廠家自己開發相應的通信規範的。目前總得來說,聯動有一定效果,但是穩定性不理想,特別是攻擊者利用偽造的包訊息,讓IDS錯誤判斷,進而錯誤指揮防火牆將合法的位址無辜屏蔽掉。
因為諸多不足,在目前而言,IDS主要起的還是監聽記錄的作用。用個比喻來形容:網路就好比一片黑暗,到處充滿著危險,冥冥中只有一個出口;IDS就像一支手電筒,雖然手電筒不一定能照到正確的出口,但至少有總比沒有要好一些。稱職的網管,可以從IDS中得到一些關於網路使用者的來源和訪問模式,進而依據自己的經驗進行主觀判斷(註意,的確是主觀判斷。例如使用者連續ping了伺服器半個小時,到底是意圖攻擊,還是無意中的行為?這都依據網路管理員的主觀判斷和網路對安全性的要求來確定對應模式。)對IDS的選取,跟上面談到的防火牆的選取類似,根據自己的實際要求和使用習慣,選取一個自己夠用的,會使用的就足夠了。
最後,要說的依然是那句「世界上沒有一種技術能真正保證絕對地安全。」安全問題,是從裝置到人,從伺服器上的每個服務程式到防火牆、IDS等安全產品的綜合問題;任何一個環節工作,只是邁向安全的步驟。