網路安全中防火牆和ids的作用
業界的同行曾經說過「安全,是一種意識,而不是某種的技術就能實現真正的安全。」隨著工作的時間漸長,對這句話的體會就越深。再防守嚴密的網路,利用人為的疏忽,管理員的懶惰和社會工程學也可能被輕易攻破。
因此,在這裡我介紹的防火牆和ids技術,只是我們在網路安全環節中進行的乙個防禦步驟。在網路內進行防火牆與ids的設定,並不能保證我們的網路就絕對安全了,但是設定得當的防火牆和ids,至少會使我們的網路更為堅固一些,並且能提供更多的攻擊資訊供我們分析。
接下來,讓我們正確地認識一下防火牆和ids的作用吧。
防火牆
一、防火牆能夠作到些什麼?
1.包過濾
具備包過濾的就是防火牆?對,沒錯!根據對防火牆的定義,凡是能有效阻止網路非法連線的方式,都算防火牆。早期的防火牆一般就是利用設定的條件,監測通過的包的特徵來決定放行或者阻止的,包過濾是很重要的一種特性。雖然防火牆技術發展到現在有了很多新的理念提出,但是包過濾依然是非常重要的一環,如同四層交換機首要的仍是要具備包的快速**這樣乙個交換機的基本功能一樣。通過包過濾,防火牆可以實現阻擋攻擊,禁止外部/內部訪問某些站點,限制每個ip的流量和連線數。
2.包的透明**
事實上,由於防火牆一般架設在提供某些服務的伺服器前。如果用示意圖來表示就是 server—firewall—guest 。使用者對伺服器的訪問的請求與伺服器反饋給使用者的資訊,都需要經過防火牆的**,因此,很多防火牆具備閘道器的能力。
3.阻擋外部攻擊
如果使用者傳送的資訊是防火牆設定所不允許的,防火牆會立即將其阻斷,避免其進入防火牆之後的伺服器中。
4.記錄攻擊
如果有必要,其實防火牆是完全可以將攻擊行為都記錄下來的,但是由於出於效率上的考慮,目前一般記錄攻擊的事情都交給ids來完成了,我們在後面會提到。
以上是所有防火牆都具備的基本特性,雖然很簡單,但防火牆技術就是在此基礎上逐步發展起來的。
二、防火牆有哪些缺點和不足?ids
什麼是ids呢?早期的ids僅僅是乙個監聽系統,在這裡,你可以把監聽理解成竊聽的意思。基於目前局網的工作方式,ids可以將使用者對位於與ids同一交換機/hub的伺服器的訪問、操作全部記錄下來以供分析使用,跟我們常用的widnows作業系統的事件檢視器類似。再後來,由於ids的記錄太多了,所以新一代的ids提供了將記錄的資料進行分析,僅僅列出有危險的一部分記錄,這一點上跟目前windows所用的策略審核上很象;目前新一代的ids,更是增加了分析應用層資料的功能,使得其能力大大增加;而更新一代的ids,就頗有「路見不平,拔刀相助」的味道了,配合上防火牆進行聯動,將ids分析出有敵意的位址阻止其訪問。
就如理論與實際的區別一樣,ids雖然具有上面所說的眾多特性,但在實際的使用中,目前大多數的入侵檢測的接入方式都是採用pass-by方式來偵聽網路上的資料流,所以這就限制了ids本身的阻斷功能,ids只有靠發阻斷資料報來阻斷當前行為,並且ids的阻斷範圍也很小,只能阻斷建立在tcp基礎之上的一些行為,如telnet、ftp、http等,而對於一些建立在udp基礎之上就無能為力了。因為防火牆的策略都是事先設定好的,無法動態設定策略,缺少針對攻擊的必要的靈活性,不能更好的保護網路的安全,所以ids與防火牆聯動的目的就是更有效地阻斷所發生的攻擊事件,從而使網路隱患降至較低限度。
接下來,我簡單介紹一下ids與防火牆聯動工作原理
入侵檢測系統在捕捉到某一攻擊事件後,按策略進行檢查,如果策略中對該攻擊事件設定了防火牆阻斷,那麼入侵檢測系統就會發給防火牆乙個相應的動態阻斷策略,防火牆根據該動態策略中的設定進行相應的阻斷,阻斷的時間、阻斷時間間隔、源埠、目的埠、源ip和目的ip等資訊,完全依照入侵檢測系統發出的動態策略來執行。一般來說,很多情況下,不少使用者的防火牆與ids並不是同一家的產品,因此在聯動的協議上面大都遵從 opsec 或者 topsec協議進行通訊,不過也有某些廠家自己開發相應的通訊規範的。目前總得來說,聯動有一定效果,但是穩定性不理想,特別是攻擊者利用偽造的包資訊,讓ids錯誤判斷,進而錯誤指揮防火牆將合法的位址無辜遮蔽掉。
因為諸多不足,在目前而言,ids主要起的還是監聽記錄的作用。用個比喻來形容:網路就好比一片黑暗,到處充滿著危險,冥冥中只有乙個出口;ids就象一支手電筒,雖然手電筒不一定能照到正確的出口,但至少有總比沒有要好一些。稱職的網管,可以從ids中得到一些關於網路使用者的**和訪問方式,進而依據自己的經驗進行主觀判斷(注意,的確是主觀判斷。例如使用者連續ping了伺服器半個小時,到底是意圖攻擊,還是無意中的行為?這都依據網路管理員的主觀判斷和網路對安全性的要求來確定對應方式。)對ids的選擇,跟上面談到的防火牆的選擇類似,根據自己的實際要求和使用習慣,選擇乙個自己夠用的,會使用的就足夠了。
最後,要說的依然是那句「世界上沒有一種技術能真正保證絕對地安全。」安全問題,是從裝置到人,從伺服器上的每個服務程式到防火牆、ids等安全產品的綜合問題;任何乙個環節工作,只是邁向安全的步驟。
網路安全筆記之防火牆
lesson5 防火牆 u 防火牆可在鏈路層 網路層 應用層上實現隔離。可以基於物理的,基於邏輯的 防火牆可以用於內部網路不通的安全域之間 防火牆是被動防禦裝置。預先設定策略。u 防火牆的功能 網路安全的屏障 過濾不安全的服務 內部提供的不安全符合和內部訪問外部的不安全服務 隔斷特定的網路攻擊 聯動...
網路安全 硬體防火牆ASA
狀態防火牆 英語 stateful firewall 一種能夠提供狀態資料報檢查 stateful packet inspection,縮寫為spi 或狀態檢視 stateful inspection 功能的防火牆,能夠持續追蹤穿過這個防火牆的各種網路連線 例如tcp與udp連線 的狀態。這種防火牆...
網路安全 防火牆系統
支援透明 路由和混合三種工作模式。支援基於物件的網路訪問控制,包括網路層 應zz用層等多層次的訪問控制 支援url 指令碼 關鍵字 郵件等多種形式的內容過濾。支援多種網路位址轉換 nat 方式。支援多種認證方式,如本地認證 證書認證 radius認證 tacacs securld ldap 域認證等...