安全隔離閘道器是防火牆、IPS、內容過濾、反病毒、Web安全 安全閘道器是各種技術有機的融合,具有重要且獨特的保護作用,其範圍從協議級過濾到十分複雜的應用級過濾。防火牆主要有三類: 分組過濾 電路閘道器 應用閘道器 注意:三種中只有一種是過濾器,其餘都是閘道器。 這三種機制通常結合使用。過濾器是對映機制,可區分合法的和欺騙包。每種方法都有各自的能力和限制,要根據安全的需要仔細評價。1、包過濾器 包過濾是安全對映最基本的形式,路由軟體可根據包的源地址、目的地址或埠號建立許可權, 對眾所周知的埠號的過濾可以阻止或允許網際協議如FTP、rlogin等。過濾器可對進入和/或流出的資料操作, 在網路層實現過濾意味著路由器可以為所有應用提供安全對映功能。作為(邏輯意義上的)路由器的常駐部分, 這種過濾可在任何可路由的網路中自由使用,但不要把它誤解為萬能的,包過濾有很多弱點,但總比沒有好。 包過濾很難做好,尤其當安全需求定義得不好且不細緻的時候更是如此。這種過濾也很容易被攻破。包過濾比較每個資料包, 基於包頭資訊與路由器的訪問列表的比較來做出透過/不透過的決定,這種技術存在許多潛在的弱點。首先, 它直接依賴路由器管理員正確地編制許可權集,這種情況下,拼寫的錯誤是致命的, 可以在防線中造成不需要任何特殊技術就可以攻破的漏洞。即使管理員準確地設計了許可權,其邏輯也必須毫無破綻才行。 雖然設計路由似乎很簡單,但開發和維護一長套複雜的許可權也是很麻煩的, 必須根據防火牆的許可權集理解和評估每天的變化,新新增的伺服器如果沒有明確地被保護,可能就會成為攻破點。 隨著時間的推移,訪問許可權的查詢會降低路由器的轉發速度。每當路由器收到一個分組, 它必須識別該分組要到達目的地需經由的下一跳地址,這必將伴隨著另一個很耗費CPU的工作: 檢查訪問列表以確定其是否被允許到達該目的地。訪問列表越長,此過程要花的時間就越多。 包過濾的第二個缺陷是它認為包頭資訊是有效的,無法驗證該包的源頭。 頭資訊很容易被精通網路的人篡改, 這種篡改通常稱為“欺騙”。 包過濾的種種弱點使它不足以保護你的網路資源,最好與其它更復雜的過濾機制聯合使用,而不要單獨使用。2、鏈路閘道器 鏈路級閘道器對於保護源自私有、安全的網路環境的請求是很理想的。這種閘道器攔截TCP請求,甚至某些UDP請求, 然後代表資料來源來獲取所請求的資訊。該代理伺服器接收對全球資訊網上的資訊的請求,並代表資料來源完成請求。實際上, 此閘道器就象一條將源與目的連在一起的線,但使源避免了穿過不安全的網路區域所帶來的風險。 3、應用閘道器 應用閘道器是包過濾最極端的反面。包過濾實現的是對所有穿過網路層包過濾裝置的資料的通用保護, 而應用閘道器在每個需要保護的主機上放置高度專用的應用軟體,它防止了包過濾的陷阱,實現了每個主機的堅固的安全。 應用閘道器的一個例子是病毒掃描器,這種專用軟體已經成了桌面計算的主要產品之一。它在啟動時調入記憶體並駐留在後臺, 持續地監視檔案不受已知病毒的感染,甚至是系統檔案的改變。 病毒掃描器被設計用於在危害可能產生前保護使用者不受到病毒的潛在損害。 這種保護級別不可能在網路層實現,那將需要檢查每個分組的內容,驗證其來源,確定其正確的網路路徑, 並確定其內容是有意義的還是欺騙性的。這一過程將產生無法負擔的過載,嚴重影響網路效能。4、組合過濾閘道器 使用組合過濾方案的閘道器透過冗餘、重疊的過濾器提供相當堅固的訪問控制,可以包括包、鏈路和應用級的過濾機制。 這樣的安全閘道器最普通的實現是象崗哨一樣保護私有網段邊緣的出入點,通常稱為邊緣閘道器或防火牆。 這一重要的責任通常需要多種過濾技術以提供足夠的防衛。下圖所示為由兩個元件構成的安全閘道器:一個路由器和一個處理機。 結合在一起後,它們可以提供協議、鏈路和應用級保護。 這種專用的閘道器不象其它種類的閘道器一樣,需要提供轉換功能。作為網路邊緣的閘道器,它們的責任是控制出入的資料流。 顯然的,由這種閘道器聯接的內網與網路都使用IP協議,因此不需要做協議轉換,過濾是最重要的。 護內網不被非授權的外部網路訪問的原因是顯然的。控制向外訪問的原因就不那麼明顯了。在某些情況下, 是需要過濾發向外部的資料的。例如,使用者基於瀏覽的增值業務可能產生大量的WAN流量,如果不加控制, 很容易影響網路運載其它應用的能力,因此有必要全部或部分地阻塞此類資料。 聯網的主要協議IP是個開放的協議,它被設計用於實現網段間的通訊。這既是其主要的力量所在,同時也是其最大的弱點。 為兩個IP網提供互連在本質上建立了一個大的IP網, 保衛網路邊緣的衛士--防火牆--的任務就是在合法的資料和欺騙性資料之間進行分辨。 5、實現中的考慮 實現一個安全閘道器並不是個容易的任務,其成功靠需求定義、仔細設計及無漏洞的實現。首要任務是建立全面的規則, 在深入理解安全和開銷的基礎上定義可接受的折衷方案,這些規則建立了安全策略。 安全策略可以是寬鬆的、嚴格的或介於二者之間。在一個極端情況下,安全策略的基始承諾是允許所有資料透過,例外很少, 很易管理,這些例外明確地加到安全體制中。這種策略很容易實現,不需要預見性考慮,保證即使業餘人員也能做到最小的保護。 另一個極端則極其嚴格,這種策略要求所有要透過的資料明確指出被允許,這需要仔細、著意的設計,其維護的代價很大, 但是對網路安全有無形的價值。從安全策略的角度看,這是唯一可接受的方案。在這兩種極端之間存在許多方案,它們在易於實現、 使用和維護代價之間做出了折衷,正確的權衡需要對危險和代價做出仔細的評估。
安全隔離閘道器是防火牆、IPS、內容過濾、反病毒、Web安全 安全閘道器是各種技術有機的融合,具有重要且獨特的保護作用,其範圍從協議級過濾到十分複雜的應用級過濾。防火牆主要有三類: 分組過濾 電路閘道器 應用閘道器 注意:三種中只有一種是過濾器,其餘都是閘道器。 這三種機制通常結合使用。過濾器是對映機制,可區分合法的和欺騙包。每種方法都有各自的能力和限制,要根據安全的需要仔細評價。1、包過濾器 包過濾是安全對映最基本的形式,路由軟體可根據包的源地址、目的地址或埠號建立許可權, 對眾所周知的埠號的過濾可以阻止或允許網際協議如FTP、rlogin等。過濾器可對進入和/或流出的資料操作, 在網路層實現過濾意味著路由器可以為所有應用提供安全對映功能。作為(邏輯意義上的)路由器的常駐部分, 這種過濾可在任何可路由的網路中自由使用,但不要把它誤解為萬能的,包過濾有很多弱點,但總比沒有好。 包過濾很難做好,尤其當安全需求定義得不好且不細緻的時候更是如此。這種過濾也很容易被攻破。包過濾比較每個資料包, 基於包頭資訊與路由器的訪問列表的比較來做出透過/不透過的決定,這種技術存在許多潛在的弱點。首先, 它直接依賴路由器管理員正確地編制許可權集,這種情況下,拼寫的錯誤是致命的, 可以在防線中造成不需要任何特殊技術就可以攻破的漏洞。即使管理員準確地設計了許可權,其邏輯也必須毫無破綻才行。 雖然設計路由似乎很簡單,但開發和維護一長套複雜的許可權也是很麻煩的, 必須根據防火牆的許可權集理解和評估每天的變化,新新增的伺服器如果沒有明確地被保護,可能就會成為攻破點。 隨著時間的推移,訪問許可權的查詢會降低路由器的轉發速度。每當路由器收到一個分組, 它必須識別該分組要到達目的地需經由的下一跳地址,這必將伴隨著另一個很耗費CPU的工作: 檢查訪問列表以確定其是否被允許到達該目的地。訪問列表越長,此過程要花的時間就越多。 包過濾的第二個缺陷是它認為包頭資訊是有效的,無法驗證該包的源頭。 頭資訊很容易被精通網路的人篡改, 這種篡改通常稱為“欺騙”。 包過濾的種種弱點使它不足以保護你的網路資源,最好與其它更復雜的過濾機制聯合使用,而不要單獨使用。2、鏈路閘道器 鏈路級閘道器對於保護源自私有、安全的網路環境的請求是很理想的。這種閘道器攔截TCP請求,甚至某些UDP請求, 然後代表資料來源來獲取所請求的資訊。該代理伺服器接收對全球資訊網上的資訊的請求,並代表資料來源完成請求。實際上, 此閘道器就象一條將源與目的連在一起的線,但使源避免了穿過不安全的網路區域所帶來的風險。 3、應用閘道器 應用閘道器是包過濾最極端的反面。包過濾實現的是對所有穿過網路層包過濾裝置的資料的通用保護, 而應用閘道器在每個需要保護的主機上放置高度專用的應用軟體,它防止了包過濾的陷阱,實現了每個主機的堅固的安全。 應用閘道器的一個例子是病毒掃描器,這種專用軟體已經成了桌面計算的主要產品之一。它在啟動時調入記憶體並駐留在後臺, 持續地監視檔案不受已知病毒的感染,甚至是系統檔案的改變。 病毒掃描器被設計用於在危害可能產生前保護使用者不受到病毒的潛在損害。 這種保護級別不可能在網路層實現,那將需要檢查每個分組的內容,驗證其來源,確定其正確的網路路徑, 並確定其內容是有意義的還是欺騙性的。這一過程將產生無法負擔的過載,嚴重影響網路效能。4、組合過濾閘道器 使用組合過濾方案的閘道器透過冗餘、重疊的過濾器提供相當堅固的訪問控制,可以包括包、鏈路和應用級的過濾機制。 這樣的安全閘道器最普通的實現是象崗哨一樣保護私有網段邊緣的出入點,通常稱為邊緣閘道器或防火牆。 這一重要的責任通常需要多種過濾技術以提供足夠的防衛。下圖所示為由兩個元件構成的安全閘道器:一個路由器和一個處理機。 結合在一起後,它們可以提供協議、鏈路和應用級保護。 這種專用的閘道器不象其它種類的閘道器一樣,需要提供轉換功能。作為網路邊緣的閘道器,它們的責任是控制出入的資料流。 顯然的,由這種閘道器聯接的內網與網路都使用IP協議,因此不需要做協議轉換,過濾是最重要的。 護內網不被非授權的外部網路訪問的原因是顯然的。控制向外訪問的原因就不那麼明顯了。在某些情況下, 是需要過濾發向外部的資料的。例如,使用者基於瀏覽的增值業務可能產生大量的WAN流量,如果不加控制, 很容易影響網路運載其它應用的能力,因此有必要全部或部分地阻塞此類資料。 聯網的主要協議IP是個開放的協議,它被設計用於實現網段間的通訊。這既是其主要的力量所在,同時也是其最大的弱點。 為兩個IP網提供互連在本質上建立了一個大的IP網, 保衛網路邊緣的衛士--防火牆--的任務就是在合法的資料和欺騙性資料之間進行分辨。 5、實現中的考慮 實現一個安全閘道器並不是個容易的任務,其成功靠需求定義、仔細設計及無漏洞的實現。首要任務是建立全面的規則, 在深入理解安全和開銷的基礎上定義可接受的折衷方案,這些規則建立了安全策略。 安全策略可以是寬鬆的、嚴格的或介於二者之間。在一個極端情況下,安全策略的基始承諾是允許所有資料透過,例外很少, 很易管理,這些例外明確地加到安全體制中。這種策略很容易實現,不需要預見性考慮,保證即使業餘人員也能做到最小的保護。 另一個極端則極其嚴格,這種策略要求所有要透過的資料明確指出被允許,這需要仔細、著意的設計,其維護的代價很大, 但是對網路安全有無形的價值。從安全策略的角度看,這是唯一可接受的方案。在這兩種極端之間存在許多方案,它們在易於實現、 使用和維護代價之間做出了折衷,正確的權衡需要對危險和代價做出仔細的評估。