網絡安全技術之保護Web服務器
INTERNET或信息發布服務
這種情況非常普遍,ISP或ICP,企業的網頁,在INTERNET上提供息服務或提供數據庫服務等。任何一種想提供普遍服務或廣而告之的網絡行為,必須允許用戶能夠訪問到你提供服務的主機,都屬于這種情況。
對訪問服務行業而言,訪問服務提供者必須把要提供服務的服務器主機放在外部用戶可以訪問的地方,也就是說,主機安全幾乎是唯一的保證。除非明確地知道 誰會對你的訪問驚醒破壞,才可以對出口路由器或出口防火墻驚醒一些針對性的限制訪問控制的設定,否則,訪問控制變得毫無意義。
主機安全是一個非常有效的手段。所謂的主機安全是一個非常廣義的概念,首先是要有一個安全的操作系統,建立在一個不安全、甚至穩定性都很差的操作系統上,是無法作到一個安全的主機。然后是仔細的檢查你所提供的服務,如果不是你所必須提供的服務,建議除掉一切你所不需要的進程,對你的服務而言,它們都是你安全上的隱患。
可以采用一些安全檢測或網絡掃描工具來確定你的服務器上到底有伸麼服務,以保證是否有安全漏洞或隱患。最后是對主機確定非常嚴格的訪問限制規則,除了允許提供商愿意提供的服務之外,宣紙并拒絕所有未允許的服務,這是一個非常嚴格的措施。
除了主機安全以外,如果還需要提高服務的安全性,就該考慮采用網絡實時監控和交互式動態防火墻。網絡實時監控系統,會自動捕捉網絡上所有的通信包,并對其進行分析和解析,并判斷出用戶的行為和企圖。如果發現用戶的行為或企圖與服務商所允許的服務不同,交互式防火墻立即采取措施,封堵或拒絕用戶的訪問,將其拒絕在防火墻之外,并報警。網絡實時監控系統和交互式防火墻具有很強的審計功能,但成本相對偏高。
INTERNET和內部網
企業一方面訪問INTERNET,得到INTERNET所帶來的好處,另一方面,卻不希望外部用戶去訪問企業的內部數據庫和網絡。企業當然沒有辦法去建立兩套網絡來滿足這種需求。
防火墻的基本思想不是對每臺主機系統進行保護,而是讓所有對系統的訪問通過某一點,并且保護這一點,并盡可能地對受保護的內部網和不可信任的外界網絡之間建立一道屏障,它可以實施比較慣犯的安全政策來控制信息流,防止不可預料的潛在的入侵破壞。
根據企業內部網安全政策的不同,采取防火墻的技術手段也有所不同。
1.包過濾防火墻
包過濾防火墻的安全性是基于對包的IP地址的校驗。在Internet上,所有信息都是以包的形式傳輸的,信息包中包含發送方的IP地址和接收方的IP地址。包過濾防火墻將所有通過的信息包中發送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態等信息讀出,并按照預先設定過濾原則過濾信息包。那些不符合規定的IP地址的信息包會被防火墻過濾掉,以保證網絡系統的安全。
包過濾防火墻是基于訪問控制來實現的。它利用數據包的頭信息(源IP地址、封裝協議、端口號等)判定與過濾規則相匹配與否決定舍取。建立這類防火墻需按如下步驟去做;建立安全策略;寫出所允許的和禁止的任務;將安全策略轉化為數據包分組字段的邏輯表達式;用相應的句法重寫邏輯表達式并設置之,
包過濾防火墻主要是防止外來攻擊,或是限制內部用戶訪問某些外部的資源。如果是防止外部攻擊,針對典型攻擊的過濾規則,大體有:
對付源IP地址欺騙式攻擊(Source IP Address Spoofing Attacks)
對入侵者假冒內部主機,從外部傳輸一個源IP地址為內部網絡IP地址的數據包的這類攻擊,防火墻只需把來自外部端口的使用內部源地址的數據包統統丟棄掉。
對付殘片攻擊(Tiny Fragment Attacks)
入侵者使用TCP/IP數據包 分段特性,創建極小的分段并強行將TCP/IP頭信息分成多個數據包,以繞過用戶防火墻的過濾規則。黑客期望防火墻只檢查第一個分段而允許其余的分段通過。對付這類攻擊,防火墻只需將TCP/IP協議片斷位移植(Fragment Offset)為1的數據包全部丟棄即可。
包過濾防火墻簡單、透明,而且非常行之有效,能解決大部分的安全問題,但必須了解包過濾防火墻不能做伸麼和有伸麼缺點。
對于采用動態分配端口的服務,如很多RPC(遠程過程調用)服務相關聯的服務器在系統啟動時隨機分配端口的,就很難進行有效地過濾。
包過濾防火墻只按照規則丟棄數據包而不對其作日志,導致對過濾的IP地址的不同用戶,不具備用戶身份認證功能,不具備檢測通過高層協議(如應用層)實現的安全攻擊的能力。
2.代理防火墻
包過濾防火墻從很大意義上像一場戰爭,黑客想攻擊,防火墻堅決予以拒絕。而代理服務器則是另外一種方式,能回避就回避,甚至干脆隱藏起來。代理服務器接收客戶請求后會檢查驗證其合法性,如其合法,代理服務器象一臺客戶機一樣取回所需的信息再轉發給客戶。它將內部系統與外界隔離開來,從外面只能看到代理服務器而看不到任何內部資源。代理服務器只允許有代理的服務通過,而其他所有服務都完全被封鎖住。
代理服務器非常適合那些根本就不希望外部用戶訪問企業內部的網絡,而也不希望內部的用戶無限制的使用或濫用INTERNET。采用代理服務器,可以把企業的內部網絡隱藏起來,內部的用戶需要驗證和授權之后才可以去訪問INTERNET。
代理服務器包含兩大類:一類是電路級代理網關,另一類是應用級代理網關。
電路級網關又稱線路級網關,它工作在會話層。它在兩主機收次建立TCP連接時創立一個電子屏障。它作為服務器接收外來請求,轉發請求;與被保護的主機連接時則擔當客戶機角色、起代理服務的作用。它監視兩主機建立連接時的握手信息,如Syn、Ack和序列數據等是否合乎邏輯,信號有效后網關僅復制、傳遞數據,而不進行過濾。電路網關中特殊的客戶程序只在初次連接時進行安全協商控制,其后就透明了。只有懂得如何與該電路網關通信的客戶機才能到達防火墻另一邊的服務器。
電路級網關的防火墻的安全性比較高,但它仍不能檢查應用層的數據包以消除應用層攻擊的威脅。
應用級網關使用軟件來轉發和過濾特定的應用服務,如TELNET、FTP等服務的連接。這是一種代理服務。它只允許有代理的服務通過,也就是說只有那些被認為“可信賴的”服務才被允許通過防火墻。另外代理服務還可以過濾協議,如過濾FTP連接、拒絕使用FTP放置命令等。應用級網關的安全性高,其不足是要為每種應用提供專門的代理服務程序。
兩種代理技術都具有登記、日記、統計和報告功能,有很好的審計功能。還可以具有嚴格的用戶認證功能。先進的認證措施,如驗證授權RADIUS、智能卡、認證令牌、生物統計學和基于軟件的工具已被用來克服傳統口令的弱點。
3.狀態監控技術
網絡狀態監控技術普遍被認為是下一代的網絡安全技術。傳統的網絡狀態監控技術對網絡安全正常的工作完全沒有影響的前提下,采用捕捉網絡數據包的方法對網絡通信的各個層次實行監測,并作安全決策的依據。監視模塊支持多種網絡協議和應用協議,可以方便地實現應用和服務擴充。狀態監視服務可以監視RPC(遠程過程調用)和UDP(用戶數據包)端口信息,而包過濾和代理服務則都無法做到。
網絡狀態監控對主機的要求非常高,128M的內存可能是一個基本的要求,硬盤的要求也非常大,至少要求9G,對SWAP區至少也要求192M以上。一個好的網絡狀態監控系統,處理的量可能高達每秒45M左右(一條T3的線路)。
網絡狀態的監控的結果,直接就是要求能夠有一種交互式的防火墻來滿足客戶較高的要求。中網的IP防火墻就是這樣一種產品。
虛擬專用網VPN
EXTRANET和VPN是現代網絡的新熱點。虛擬專用網的本質實際上涉及到密碼的問題。在無法保證電路安全、信道安全、網絡安全、應用安全的情況下,或者也不相信其他安全措施的情況下,一種行之有效的辦法就是加密,而加密就是必須考慮加密算法和密碼的問題。考慮到我國對密碼管理的體制情況,密碼是一個單獨的領域。對防火墻而言,是否防火墻支持對其他密碼體制的支持,支持提供API來調用第三方的加密算法和密碼,非常重要。
【編輯推薦】
