安全知識(shí)分享 基于C/S架構(gòu)分布式防火墻

布式防火墻由安全策略管理服務(wù)器[Server]以及客戶端防火墻[Client]組成。客戶端防火墻工作在各個(gè)從服務(wù)器、工作站、個(gè)人計(jì)算機(jī)上，根據(jù)安全策略文件的內(nèi)容，依靠包過濾、特洛伊木馬過濾和腳本過濾的三層過濾檢查，保護(hù)計(jì)算機(jī)在正常使用網(wǎng)絡(luò)時(shí)不會(huì)受到惡意的攻擊，提高了網(wǎng)絡(luò)安全性。而安全策略管理服務(wù)器則負(fù)責(zé)安全策略、用戶、日志、審計(jì)等的管理。該服務(wù)器是集中管理控制中心，統(tǒng)一制定和分發(fā)安全策略，負(fù)責(zé)管理系統(tǒng)日志、多主機(jī)的統(tǒng)一管理，使終端用戶“零”負(fù)擔(dān)。

圖1展示了分布式防火墻在政府/企業(yè)中的應(yīng)用解決方案。該方案是純軟件防火墻，無須改變?nèi)魏斡布�設(shè)備和網(wǎng)絡(luò)架構(gòu)，就可以幫助政府/企業(yè)阻擋來自內(nèi)部和外部網(wǎng)絡(luò)的攻擊。

一. 分布式防火墻系統(tǒng)架構(gòu)

　　圖1 分布式防火墻在政府/企業(yè)中的應(yīng)用解決方案

二. 分布式防火墻功能解析

在上述圖1所示的分布式防火墻解決方案中，左邊為政府/企業(yè)內(nèi)部網(wǎng)絡(luò)(內(nèi)網(wǎng))的應(yīng)用拓?fù)浣Y(jié)構(gòu)圖，中間為Internet公眾網(wǎng)絡(luò)，我們稱之為外部網(wǎng)絡(luò)(外網(wǎng))，右邊為政府/企業(yè)辦公和業(yè)務(wù)的延伸部分，處于外部網(wǎng)絡(luò)環(huán)境中。在內(nèi)部的財(cái)務(wù)、總裁辦、人事、檔案、網(wǎng)絡(luò)管理等主機(jī)，以及數(shù)據(jù)庫服務(wù)器，文件服務(wù)器上存放著政府/企業(yè)的重要信息，這些信息一旦泄漏或者存放信息的主機(jī)遭到破壞，會(huì)給政府/企業(yè)帶來不良的后果。

如果不采取相應(yīng)措施，此網(wǎng)絡(luò)很容易遭受來自外網(wǎng)和內(nèi)網(wǎng)上的黑客攻擊。若使用邊界式防火墻，則外網(wǎng)的攻擊將被阻攔，但從數(shù)據(jù)統(tǒng)計(jì)看，還有大部分網(wǎng)絡(luò)攻擊/破壞來源于內(nèi)部網(wǎng)絡(luò)的黑客或員工的不小心應(yīng)用，這時(shí)普通防火墻就無能為力了。而政府/企業(yè)的移動(dòng)辦公人員、代理商、合作伙伴、遠(yuǎn)程分支機(jī)構(gòu)在外部網(wǎng)絡(luò)上很容易受到外部黑客的攻擊。所以說，能夠很好的阻擋內(nèi)部和外部網(wǎng)絡(luò)攻擊是政府/企業(yè)內(nèi)部網(wǎng)絡(luò)安全的重要任務(wù)。

分布式防火墻能很好地解決上述問題。在內(nèi)部網(wǎng)絡(luò)的主服務(wù)器安裝上分布式防火墻產(chǎn)品的安全策略管理服務(wù)器后，設(shè)置組和用戶分別分配給相應(yīng)的從服務(wù)器和PC機(jī)工作站，并配置相應(yīng)安全策略;將客戶端防火墻安裝在內(nèi)網(wǎng)和外網(wǎng)中的所有PC機(jī)工作站上，客戶端與安全策略管理服務(wù)器的連接采用SSL協(xié)議建立通信的安全通道，避免下載安全策略和日志通信的不安全性。同時(shí)客戶端防火墻的機(jī)器采用多層過濾，入侵檢測(cè)，日志紀(jì)錄等手段，給主機(jī)的安全運(yùn)行提供強(qiáng)有力的保證。

具體功能描述如下：

1、阻止網(wǎng)絡(luò)攻擊

目前，黑客們常用的攻擊手段有以下幾種：

(1)DoS拒絕服務(wù)式攻擊

拒絕服務(wù)攻擊是目前網(wǎng)絡(luò)中新興起的攻擊手段，針對(duì)TCP/IP協(xié)議的漏洞，使對(duì)方服務(wù)器承受過多的信息請(qǐng)求而無法處理，產(chǎn)生阻塞導(dǎo)致正常用戶的請(qǐng)求被拒絕。一般地有如下方式：

(a)Ping-Flood：使用簡(jiǎn)單的Ping命令對(duì)服務(wù)器發(fā)送數(shù)據(jù)包，如果在很短的時(shí)間內(nèi)服務(wù)器收到大量Ping數(shù)據(jù)包，那么服務(wù)器就需要耗費(fèi)很多資源去處理這些數(shù)據(jù)包從而導(dǎo)致無法正常工作。

(b)TCP-SYN-Flood： SYN數(shù)據(jù)包是兩臺(tái)計(jì)算機(jī)在進(jìn)行TCP通信之前建立握手信號(hào)時(shí)所用，正常情況下，SYN數(shù)據(jù)包中包含有想要進(jìn)行通信的源機(jī)器的IP地址，而服務(wù)器收到SYN數(shù)據(jù)包后將回復(fù)確認(rèn)信息，源機(jī)器收到后再發(fā)送確認(rèn)信息給服務(wù)器，服務(wù)器收到，二者就可以建立連接進(jìn)行通信了。采用這種攻擊方式就是在某一個(gè)極短的時(shí)間內(nèi)向?qū)Ψ椒��?wù)器發(fā)送大量的帶有虛假IP地址的SYN數(shù)據(jù)包，服務(wù)器發(fā)出確認(rèn)信息，但是卻無法收到對(duì)方的回復(fù)，就要耗費(fèi)大量的資源去處理這些等待信息，最后將使系統(tǒng)資源耗盡以至癱瘓。

(c)UDP-Flood： UDP是基于非連接的用戶數(shù)據(jù)報(bào)通訊協(xié)議，不包含流控制機(jī)制。UDP數(shù)據(jù)包很容易使得計(jì)算機(jī)系統(tǒng)忙于響應(yīng)而喪失正常的網(wǎng)絡(luò)業(yè)務(wù)能力。

另外還有諸如ICMP-Flood， IGMP-Flood等攻擊手段，在此不一一詳述。

(2)源路由包攻擊

源路由包采用了極少使用的一個(gè)IP選項(xiàng)，它允許發(fā)起者來定義兩臺(tái)機(jī)器間所采取的路由，而不是讓中間的路由器決定所走的路徑。與ICMP的重定向相比，這種特性能使一個(gè)黑客來欺騙你的系統(tǒng)，使之相信它正在與一臺(tái)本地機(jī)器、一臺(tái)ISP機(jī)器或某臺(tái)其他可信的主機(jī)對(duì)話。

(3)利用型攻擊

利用型攻擊是一類試圖直接對(duì)你的機(jī)器進(jìn)行控制的攻擊，最常見的就是特洛伊木馬(Trojan Horse)。例如BO2000就是典型的特洛伊木馬程序。

(4)信息收集型攻擊

信息收集型攻擊在初期并不對(duì)目標(biāo)本身造成危害，而是被用來為進(jìn)一步入侵提供有用的信息，例如：端口掃描技術(shù)，黑客使用特殊的應(yīng)用程序?qū)Ψ��?wù)器的每個(gè)端口進(jìn)行測(cè)試，以尋找可以進(jìn)入的端口或者找出某些端口可以利用的安全漏洞。

以上的各種攻擊手段，分布式防火墻可以及時(shí)地發(fā)現(xiàn)，并且采取相應(yīng)的措施以控制事件的進(jìn)一步發(fā)展，同時(shí)記錄該攻擊事件。

2、包過濾

包過濾是防火墻防止計(jì)算機(jī)受到攻擊的最基本方法，防火墻實(shí)時(shí)地監(jiān)控進(jìn)入以及出去的數(shù)據(jù)包，根據(jù)特定的過濾規(guī)則決定是否讓這些數(shù)據(jù)包通過。分布式防火墻可以直接處理IP(或與IP級(jí)別相當(dāng)?shù)腁RP、RARP以及其它的非IP網(wǎng)絡(luò)協(xié)議)數(shù)據(jù)包的發(fā)送與接收，根據(jù)數(shù)據(jù)包的包頭信息，分析出網(wǎng)絡(luò)協(xié)議、源地址、目的地址、源端口以及目的端口，然后對(duì)照過濾規(guī)則進(jìn)行過濾。對(duì)于不符合過濾規(guī)則的數(shù)據(jù)包，防火墻將拒絕通過，同時(shí)進(jìn)行記錄或報(bào)警。

3、基于狀態(tài)的過濾

對(duì)于面向非連接的UDP網(wǎng)絡(luò)訪問，為了提供較強(qiáng)過濾控制，就必須根據(jù)上下文來進(jìn)行判斷。例如：對(duì)于一個(gè)請(qǐng)求進(jìn)入的UDP訪問，只有在它有對(duì)應(yīng)的出去的 UDP訪問(地址和端口號(hào)相匹配)時(shí)才可以接受，否則將拒絕或報(bào)警。這就需要IP包過濾模塊記錄有過去已經(jīng)發(fā)出的UDP訪問的列表，這樣的列表就叫做上下文。而對(duì)于面向連接的TCP訪問，同樣也可以根據(jù)不同的應(yīng)用協(xié)議設(shè)定相應(yīng)的上下文，進(jìn)行更為細(xì)粒度的訪問控制。這些技術(shù)統(tǒng)稱為基于狀態(tài)的包過濾。對(duì)于不符合規(guī)則的訪問拒絕事件，要進(jìn)行記錄。

4、特洛伊木馬過濾

如果有黑客侵入到用戶的計(jì)算機(jī)上，他會(huì)運(yùn)行某一些特殊的應(yīng)用程序與之進(jìn)行通信，從而獲取一些信息。分布式防火墻維護(hù)一個(gè)已知的應(yīng)用程序列表，只有列表中的應(yīng)用程序才可以使用網(wǎng)絡(luò)，一旦檢測(cè)到有未知的應(yīng)用程序企圖使用網(wǎng)絡(luò)，系統(tǒng)將會(huì)提醒用戶注意，是否要禁止使用或者是加入到允許訪問網(wǎng)絡(luò)的程序列表中。如果用戶不小心運(yùn)行了帶有特洛伊木馬的程序，當(dāng)木馬程序企圖向網(wǎng)絡(luò)發(fā)送信息時(shí)，分布式防火墻將會(huì)進(jìn)行攔截。

5、腳本過濾

腳本過濾功能對(duì)常見的各種腳本，如Java Script腳本、VB Script腳本在運(yùn)行前被一一進(jìn)行分析檢查，判斷它們是否會(huì)進(jìn)行比較危險(xiǎn)的操作;如果是，則提醒用戶注意，并要求用戶決定是否允許該腳本執(zhí)行，從而有選擇地讓無害的腳本通過，對(duì)惡意的腳本進(jìn)行攔截，實(shí)現(xiàn)實(shí)時(shí)腳本過濾。

6、用戶定制的安全策略

用戶可以將任意的IP地址加入到自己的信任/不信任地址列表中，對(duì)于在信任地址列表中的地址傳送過來的數(shù)據(jù)包，分布式防火墻將不進(jìn)行任何阻攔，而對(duì)于在不信任列表中的地址傳送過來的任何數(shù)據(jù)包，將拒絕接受。如果經(jīng)常受到某些地址的攻擊，用戶可以將這些地址加入到不信任地址列表中，拒絕接受這些地址所發(fā)出的任何數(shù)據(jù)包。用戶定制的安全策略必須是統(tǒng)一安全策略的超集，也就是說安全級(jí)別只能加強(qiáng)不能放松。

7、日志和審計(jì)

日志用來記錄防火墻在運(yùn)行過程中所出現(xiàn)的各種情況，通過查看日志，用戶可以及時(shí)、全面地掌握分布式防火墻本身的運(yùn)轉(zhuǎn)以及用戶的訪問情況，并可以根據(jù)這些日志來制定或修改安全管理策略。強(qiáng)大的日志記錄功能，主要包括：

(1)軟件的安裝、升級(jí)記錄;

(2)安全策略改變記錄;

(3)被拒絕的網(wǎng)絡(luò)訪問記錄：包括被拒絕網(wǎng)絡(luò)訪問的應(yīng)用程序名，使用的協(xié)議，源地址和目的地址，使用的端口等;

(4)遭受到的攻擊記錄： 包括攻擊者使用的協(xié)議、端口、來源地址。

8、統(tǒng)一的安全策略管理服務(wù)器

安全策略文件以密文形式存放于硬盤中，用戶不能直接對(duì)其閱讀，也不可以對(duì)其進(jìn)行隨意更改。分布式防火墻啟動(dòng)時(shí)，安全策略文件經(jīng)解密后加載到防火墻中。復(fù)雜的安全策略以Hash表的方法進(jìn)行檢索。使用Hash列表對(duì)安全策略文件進(jìn)行檢索能大大加快讀取速度，安全策略可以動(dòng)態(tài)更新，更新總在用戶態(tài)進(jìn)行，同時(shí)磁盤文件也被更新。用戶可以在防火墻運(yùn)行的過程中更改安全級(jí)別，而不影響防火墻的正常運(yùn)行。更新完成后，系統(tǒng)將會(huì)在新的安全級(jí)別下工作。安全策略服務(wù)器和客戶端防火墻之間采用SSL通信，保證了安全策略傳輸時(shí)的安全性。另外管理模塊功能還包括：用戶組管理，基于用戶組的安全策略分配，實(shí)時(shí)監(jiān)控當(dāng)前網(wǎng)絡(luò)狀態(tài)，查看日志，更改安全級(jí)別，更改用戶定制的安全屬性等。

基于C/S架構(gòu)的分布式防火墻產(chǎn)品，采用統(tǒng)一的安全策略管理服務(wù)器[Server]，各臺(tái)主機(jī)客戶端[Client]從服務(wù)器下載安全策略，設(shè)置多層安全過濾，擁有出色的入侵檢測(cè)和強(qiáng)大的日志管理功能，安裝方便，使用簡(jiǎn)潔，升級(jí)快捷，降低了維護(hù)成本，形成了可靠的網(wǎng)絡(luò)安全體系，很好地滿足了政府、企業(yè)、個(gè)人保護(hù)網(wǎng)絡(luò)信息安全的迫切需求。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]