几乎每个中型和大型组织都在互联网上存在,并且有一个与之相连的组织网络.外部Internet和内部网络之间的边界网络分区对于网络安全至关重要.有时内部网络(内部网)被称为"可信"端,外部互联网被称为"不信任"端.
防火墙是一种网络设备,可将组织的内部网络与较大的外部网络/Internet隔离开来.它可以是防止未经授权访问内部网络的硬件,软件或组合系统.
进入或离开内部网络的所有数据包都通过防火墙,后者检查每个数据包并阻止那些不符合指定安全标准的人.
在网络边界部署防火墙就像在单点聚合安全性一样.它类似于在入口处锁定公寓而不一定在每个门.
防火墙被认为是实现网络安全的基本要素,原因如下:
内部网络和主机不太可能得到妥善保护.
互联网是一个危险的地方,犯罪分子,来自竞争公司的用户,心怀不满的前雇员,来自不友好国家的间谍,破坏者等等.
防止攻击者发起对网络资源的拒绝服务攻击.
防止外来攻击者非法修改/访问内部数据.
防火墙分为三种基本类型 :
数据包过滤器(无状态) & Stateful)
应用级网关
电路级网关
然而,这三个类别并不是mutua lly独家.现代防火墙具有多种功能,可以将它们置于三种类别中的一种以上.
在这种类型的防火墙部署中,内部网络通过路由器防火墙连接到外部网络/Internet.防火墙逐个数据包检查和过滤数据.
数据包过滤防火墙主要根据源和/或目的地等标准允许或阻止数据包IP地址,协议,源和/或目标端口号以及IP标头中的各种其他参数.
决策可以基于IP标头字段以外的因素,例如ICMP消息类型,TCP SYN和ACK位等.
数据包过滤规则有两个部分 :
选择标准 : 它用作决策的条件和模式匹配.
行动领域 : 此部分指定IP数据包满足选择条件时要采取的操作.该操作可以是阻止(拒绝)或允许(允许)穿过防火墙的数据包.
数据包过滤通常通过配置来完成路由器或交换机上的访问控制列表(ACL). ACL是数据包过滤规则表.
当流量进入或退出接口时,防火墙会从上到下对每个传入数据包应用ACL,找到匹配条件并允许或拒绝个人数据包.
无状态防火墙是一种僵硬的工具.它查看数据包并允许它,如果它符合标准,即使它不是任何已建立的持续通信的一部分.
因此,这些防火墙被状态防火墙在现代网络中.这种类型的防火墙为无状态防火墙的唯一基于ACL的数据包检查方法提供了更深入的检查方法.
状态防火墙监视连接设置和拆除过程以检查连接在TCP/IP级别.这允许他们跟踪连接状态并确定哪个主机在任何给定时间点具有打开的授权连接.
它们仅在请求新连接时引用规则库.将属于现有连接的数据包与防火墙的开放连接状态表进行比较,并决定允许或阻止.此过程可节省时间并提供更高的安全性.除非属于已建立的连接,否则不允许数据包侵入防火墙.它可以使防火墙上的非活动连接超时,之后它不再允许该连接的数据包.
应用程序级网关充当应用程序级流量的中继节点.它们拦截传入和传出的数据包,运行通过网关复制和转发信息的代理,并充当 代理服务器 ,防止可信服务器或客户端之间的任何直接连接.不可信的主机.
代理是特定于应用程序的.他们可以在OSI模型的应用层过滤数据包.
特定于应用程序的代理接受仅由指定应用程序生成的数据包,这些应用程序专门用于复制,转发和过滤.例如,只有Telnet代理可以复制,转发和过滤Telnet流量.
如果网络仅依赖于应用程序级网关,则传入和传出的数据包无法访问没有的服务代理已配置.例如,如果网关运行FTP和Telnet代理,则只有这些服务生成的数据包才能通过防火墙.所有其他服务都被阻止.
应用程序级代理网关,检查并过滤单个数据包,而不是简单地复制它们并盲目地通过网关转发它们.特定于应用程序的代理检查通过网关的每个数据包,通过应用程序层验证数据包的内容.这些代理可以过滤应用程序协议中的特定类型的命令或信息.
应用程序网关可以限制执行特定操作.例如,网关可以配置为阻止用户执行"FTP put"命令.这可以防止攻击者修改存储在服务器上的信息.
尽管应用级网关可以是透明的,但许多实现都需要用户可以访问不受信任的网络之前的用户身份验证,这个过程会降低真正的透明度.如果用户来自内部网络或来自Internet,则身份验证可能不同.对于内部网络,可以允许简单的IP地址列表连接到外部应用程序.但是从Internet方面应该实现强大的身份验证.
应用程序网关实际上在两个方向上的两个TCP连接之间中继TCP段(Client↔ Proxy↔ Server)./p>
对于出站数据包,网关可以用自己的IP地址替换源IP地址.该过程称为网络地址转换(NAT).它确保内部IP地址不会暴露给互联网.
电路级网关是一个介于两者之间的中间解决方案.包过滤器和应用程序网关.它在传输层运行,因此可以作为任何应用程序的代理.
类似于应用程序网关,电路级网关也不允许端到端TCP连接穿过门户.它设置两个TCP连接,并将TCP段从一个网络中继到另一个网络.但是,它不会像应用程序网关那样检查应用程序数据.因此,有时它被称为"管道代理".
SOCKS(RFC 1928)指的是电路级网关.它是一种网络代理机制,可使SOCKS服务器一侧的主机获得对另一端主机的完全访问权限,而无需直接IP可达性.客户端连接到防火墙上的SOCKS服务器.然后客户端为要使用的身份验证方法进行协商,并使用所选方法进行身份验证.
客户端向SOCKS服务器发送连接中继请求,其中包含所需的目标IP地址和运输港口.在检查客户端是否满足基本过滤条件后,服务器接受请求.然后,代表客户端,网关打开与请求的不可信主机的连接,然后密切监视随后的TCP握手.
SOCKS服务器通知客户端,如果是成功,开始在两个连接之间中继数据.当组织信任内部用户时,使用电路级网关,并且不希望检查Internet上发送的内容或应用程序数据.
防火墙是一种机制,用于控制组织内部网络中的网络流量"进入"和"流出".在大多数情况下,这些系统有两个网络接口,一个用于外部网络,如Internet,另一个用于内部.
防火墙进程可以严格控制允许从中进行遍历的内容一边到另一边.希望提供对其Web服务器的外部访问的组织可以限制到达防火墙的所有流量期望端口80(标准http端口).所有其他流量(如邮件流量,FTP,SNMP等)都不允许穿过防火墙进入内部网络.下图显示了一个简单防火墙的示例.
在上面的简单部署中,尽管来自外部的所有其他访问都被阻止,但攻击者可能不仅要联系Web服务器,还要联系内部网络上任何意外或以其他方式打开端口80的其他主机.
因此,大多数组织面临的问题是如何在保持内部网络安全性的同时,实现对Web,FTP和电子邮件等公共服务的合法访问.典型的方法是部署防火墙以在网络中提供非军事区(DMZ).
在此设置中(如下图所示),部署了两个防火墙;一个在外部网络和DMZ之间,另一个在DMZ和内部网络之间.所有公共服务器都放在DMZ中.
通过此设置,可以使用允许公共访问公共服务器的防火墙规则,但内部防火墙可以限制所有传入连接.通过使用DMZ,公共服务器可以提供足够的保护,而不是直接将它们放在外部网络上.
数据包过滤防火墙仅根据涉及TCP/UDP/IP标头的规则运行.他们不会尝试在不同的会话之间建立相关性检查.
入侵检测/预防系统(IDS/IPS)通过查看数据包内容来执行深度包检测(DPI).例如,检查数据包中的字符串与已知病毒的数据库,攻击字符串.
应用程序网关会查看数据包内容,但仅针对特定应用程序.他们不会在数据包中查找可疑数据. IDS/IPS查找数据包中包含的可疑数据,并尝试检查多个数据包之间的相关性,以识别任何攻击,如端口扫描,网络映射和拒绝服务等.
IDS和IPS在检测网络中的异常方面类似. IDS是一种"可见性"工具,而IPS被视为"控制"工具.
入侵检测系统坐在网络一侧,监控许多不同点的流量,并提供了解网络的安全状态.如果IDS报告异常,则纠正措施由网络管理员或网络上的其他设备发起.
入侵防御系统就像防火墙一样,它们位于两个之间网络并控制通过它们的流量.它强制执行指定的策略来检测网络流量中的异常.通常,它会丢弃所有数据包并在注意到异常情况时阻止整个网络流量,直到管理员解决异常为止.
IDS有两种基本类型.
基于签名的IDS
它需要一个已知攻击及其签名的数据库.
签名由表征特定攻击的数据包的类型和顺序定义.
此类IDS的限制是只能检测到已知的攻击.这个IDS也会引发误报.当正常的数据包流与攻击的签名匹配时,可能会发生误报.
众所周知的公共开源IDS示例是"Snort"IDS.
基于异常的IDS
这种类型的IDS会创建正常网络运营的流量模式.
在IDS模式下,它会查看统计上不常见的流量模式.例如,ICMP异常负载,端口扫描的指数增长等.
检测到任何异常流量模式都会产生警报.
此类IDS部署面临的主要挑战是难以区分正常流量和异常流量.
在本章中,我们讨论了用于网络访问控制的各种机制.通过访问控制实现网络安全的方法在技术上与在本教程前面章节中讨论的不同网络层实现安全控制技术不同.但是,虽然实现方法不同,但它们互为补充.
网络访问控制包括两个主要组件:用户身份验证和网络边界保护. RADIUS是一种在网络中提供集中身份验证的常用机制.
防火墙通过将内部网络与公共Internet分离来提供网络边界保护.防火墙可以在不同的网络协议层运行. IDS/IPS允许监控网络流量中的异常,以检测攻击并对其进行预防措施.
