防火墻安全等級及策略 防火墻安全等級及策略 防火墻安全等級概述 防火墻安全等級概述 從2010年5月1日起 對防火墻 安全路由器等13種產品 實行強制性認證 未獲得中國信息安全認證證書的產品 不得進入政府采購 其中 備受關注的防火墻類產品從09年5月份開始接受中國信息安全認證中心的強制檢測 中國信息安全認證中心依照的檢測標準之一就是 信息安全技術防火墻技術要求和測試評價方法GB T20281 2006 在該 方法 中 防火墻在安全等級方面被分為了三級 第三級為最高級 由于整個標準文字非常多 看起來比較費力 我們從功能分類方面大致上歸納了三個等級之間的區別 第一級 包過濾 應用代理 NAT 流量統計 安全審計 管理 第二級 除包含第一級所有功能分類外 增加了狀態檢測 深度包檢測 IP MAC地址綁定 動態開放端口 策略路由 帶寬管理 雙機熱備 負載均衡功能 第三級 除包含第二級所有功能分類外 增加了VPN 協同聯動功能 除了在功能分類上有區別外 每個功能分類下的功能要求細目也是逐級加強 增多 由于功能要求細目數量比較多 在此不做分析 防火墻安全等級概述 我們單從功能分類方面也會發現 防火墻第二級增加了很多實用功能 尤其是IP MAC地址綁定 帶寬管理 雙機熱備 在企業網絡管理中更為實用 而第三級中增加的VPN功能和協同聯動功能 更為企業遠程接入和全網安全提供了保障 我們知道 國家密碼管理局在2009年初頒布了最新的 SSLVPN技術規范 并對涉密產品中的算法做出了嚴格的限定 SM1算法成為商用密碼產品中使用范圍最廣的算法 而 方法 中規定 防火墻第三級中的VPN功能 必須符合國家密碼管理局相關的標準 這樣一來 符合第三級標準的防火墻不僅具備了傳統防護墻的實用功能 更擁有了符合國家標準的加密傳輸功能 成為政府 金融 企業中傳輸加密的首選產品 設定防火墻安全等級 雖然防火墻預設會根據你連接的網絡類型而套用不同的安全等級 但也可以隨時視需要變更這項設定執行此動作的步驟如下 1 點選主功能表上的 狀態 2 在 防護 區段 點選 設定 3 選擇 防火墻 選項 4 在 網絡 區段 點選 設定 5選擇網路 如果網路不只一個的話 並且指定你想要用來識別的網路名稱 點選 設定 6 指定此網路是受信任的網路或公共網路 受信任位置 受信任的網路是區域網路 例如家里的網路 你可以與網路上的其他電腦共用檔案或印表機 如果你選擇此項 在你的電腦連接到區域網路時 防火墻套用的安全等級可讓你與網路上的其他電腦共享各種資源 公用位置 公共網路是指你的電腦可以在公共場所連線的網路 例如在機場 大學 網吧 等 如果你選擇此項 防火墻會套用限制性較高的安全等級 防止網路上的其他電腦存取你的共用資源 硬件防火墻如果從技術上來分又可分為兩類 即標準防火墻和雙家網關防火墻 防火墻安全技術 防火墻 是一種形象的說法 其實它是一種由計算機硬件和軟件的組合 使互聯網與內部網之間建立起一個安全網關 scuritygateway 從而保護內部網免受非法用戶的侵入 它其實就是一個把互聯網與內部網 通常這局域網或城域網 隔開的屏障 防火墻如果從實現方式上來分 又分為硬件防火墻和軟件防火墻兩類 防火墻安全技術 防火墻實現應用安全八項實用技術 1 深度數據包處理深度數據包處理有時被稱為深度數據包檢測或者語義檢測 它就是把多個數據包關聯到一個數據流當中 在尋找攻擊異常行為的同時 保持整個數據流的狀態 深度數據包處理要求以極高的速度分析 檢測及重新組裝應用流量 以避免給應用帶來時延 下面每一種技術代表深度數據包處理的不同級別 2 TCP IP終止應用層攻擊涉及多種數據包 并且常常涉及多種請求 即不同的數據流 流量分析系統要發揮功效 就必須在用戶與應用保持互動的整個會話期間 能夠檢測數據包和請求 以尋找攻擊行為 至少 這需要能夠終止傳輸層協議 并且在整個數據流而不是僅僅在單個數據包中尋找惡意模式 3 SSL終止如今 幾乎所有的安全應用都使用HTTPS確保通信的保密性 然而 SSL數據流采用了端到端加密 因而對被動探測器如入侵檢測系統 IDS 產品來說是不透明的 為了阻止惡意流量 應用防火墻必須終止SSL 對數據流進行解碼 以便檢查明文格式的流量 這是保護應用流量的最起碼要求 如果你的安全策略不允許敏感信息在未加密的前提下通過網絡傳輸 你就需要在流量發送到Web服務器之前重新進行加密的解決方案 防火墻安全技術 4 URL過濾一旦應用流量呈明文格式 就必須檢測HTTP請求的URL部分 尋找惡意攻擊的跡象 譬如可疑的統一代碼編碼 unicodeencoding 對URL過濾采用基于特征的方案 僅僅尋找匹配定期更新的特征 過濾掉與已知攻擊如紅色代碼和尼姆達有關的URL 這是遠遠不夠的 這就需要一種方案不僅能檢查RUL 還能檢查請求的其余部分 其實 如果把應用響應考慮進來 可以大大提高檢測攻擊的準確性 雖然URL過濾是一項重要的操作 可以阻止通常的腳本少年類型的攻擊 但無力抵御大部分的應用層漏洞 5 請求分析全面的請求分析技術比單單采用URL過濾來得有效 可以防止Web服務器層的跨站腳本執行 cross sitescripting 漏洞和其它漏洞 全面的請求分析使URL過濾更進了一步 可以確保請求符合要求 遵守標準的HTTP規范 同時確保單個的請求部分在合理的大小限制范圍之內 這項技術對防止緩沖器溢出攻擊非常有效 6 用戶會話跟蹤更先進的下一個技術就是用戶會話跟蹤 這是應用流量狀態檢測技術的最基本部分 跟蹤用戶會話 把單個用戶的行為關聯起來 這項功能通常借助于通過URL重寫 URLrewriting 來使用會話信息塊加以實現 只要跟蹤單個用戶的請求 就能夠對信息塊實行極其嚴格的檢查 這樣就能有效防御會話劫持 session hijacking 及信息塊中毒 cookie poisoning 類型的漏洞 防火墻安全技術 7 響應模式匹配響應模式匹配為應用提供了更全面的保護 它不僅檢查提交至Web服務器的請求 還檢查Web服務器生成的響應 它能極其有效地防止網站受毀損 或者更確切地說 防止已毀損網站被瀏覽 對響應里面的模式進行匹配相當于在請求端對URL進行過濾 響應模式匹配分三個級別 防毀損工作由應用防火墻來進行 它對站點上的靜態內容進行數字簽名 如果發現內容離開Web服務器后出現了改動 防火墻就會用原始內容取代已毀損頁面 至于對付敏感信息泄露方面 應用防火墻會監控響應 尋找可能表明服務器有問題的模式 譬如一長串Java異常符 如果發現這類模式 防火墻就會把它們從響應當中剔除 或者干脆封阻響應 8 行為建模行為建模有時稱為積極的安全模型或 白名單 whitelist 安全 它是唯一能夠防御最棘手的應用漏洞 零時間漏洞的保護機制 零時間漏洞是指未寫入文檔或 還不知道 的攻擊 對付這類攻擊的唯一機制就是只允許已知是良好行為的行為 其它行為一律禁止 這項技術要求對應用行為進行建模 這反過來就要求全面分析提交至應用的每個請求的每次響應 目的在于識別頁面上的行為元素 譬如表單域 按鈕和超文本鏈接 這種級別的分析可以發現惡意表單域及隱藏表單域操縱類型的漏洞 同時對允許用戶訪問的URL實行極其嚴格的監控 行為建模是唯一能夠有效對付全部16種應用漏洞的技術 行為建模是一種很好的概念 但其功效往往受到自身嚴格性的限制 某些情況譬如大量使用JavaScript或者應用故意偏離行為模型都會導致行為建模犯錯 從而引發誤報 拒絕合理用戶訪問應用 行為建模要發揮作用 就需要一定程度的人為干預 以提高安全模型的準確性 防火墻安全策略 安全策略也可以稱為訪問上的控制策略 它包含了訪問上的控制以及組織內其他資源使用的種種規定 訪問控制包含了哪些資源可以被訪問 如讀取 刪除 下載等行為的規范 以及哪些人擁有這些權力等信息 1 網絡服務訪問策略網絡服務訪問策略是一種高層次的 具體到事件的策略 主要用于定義在網絡中允許的或禁止的網絡服務 還包括對撥號訪問以及PPP 點對點協議 連接的限制 這是因為對一種網絡服務的限制可能會促使用戶使用其他的方法 所以其他的途徑也應受到保護 比如 如果一個防火墻阻止用戶使用Telnet服務訪問因特網 一些人可能會使用撥號連接來獲得這些服務 這樣就可能會使網絡受到攻擊 網絡服務訪問策略不但應該是一個站點安全策略的延伸 而且對于機構內部資源的保護也起全局的作用 這種策略可能包括許多事情 從文件切碎條例到病毒掃描程序 從遠程訪問到移動介質的管理 防火墻安全策略 2 防火墻的設計策略防火墻的設計策略是具體地針對防火墻 負責制定相應的規章制度來實施網絡服務訪問策略 在制定這種策略之前 必須了解這種防火墻的性能以及缺陷 TCP IP自身所具有的易攻擊性和危險 防火墻一般執行一下兩種基本策略中的一種 除非明確不允許 否則允許某種服務 除非明確允許 否則將禁止某項服務 執行第一種策略的防火墻在默認情況下允許所有的服務 除非管理員對某種服務明確表示禁止 執行第二種策略的防火墻在默認情況下禁止所有的服務 除非管理員對某種服務明確表示允許 防火墻可以實施一種寬松的策略 第一種 也可以實施一種限制性策略 第二種 這就是制定防火墻策略的入手點 防火墻安全策略 3 安全策略設計時需要考慮的問題為了確定防火墻安全設計策略 進而構