|
布式防火墻由安全策略管理服務(wù)器[Server]以及客戶端防火墻[Client]組成�。客戶端防火墻工作在各個從服務(wù)器�、工作站、個人計算機上��,根據(jù)安全策略文件的內(nèi)容���,依靠包過濾����、特洛伊木馬過濾和腳本過濾的三層過濾檢查,保護計算機在正常使用網(wǎng)絡(luò)時不會受到惡意的攻擊�����,提高了網(wǎng)絡(luò)安全性����。而安全策略管理服務(wù)器則負責安全策略�、用戶、日志�、審計等的管理。該服務(wù)器是集中管理控制中心��,統(tǒng)一制定和分發(fā)安全策略�����,負責管理系統(tǒng)日志��、多主機的統(tǒng)一管理��,使終端用戶“零”負擔�����。
圖1展示了分布式防火墻在政府/企業(yè)中的應(yīng)用解決方案。該方案是純軟件防火墻�����,無須改變?nèi)魏斡布O(shè)備和網(wǎng)絡(luò)架構(gòu)�����,就可以幫助政府/企業(yè)阻擋來自內(nèi)部和外部網(wǎng)絡(luò)的攻擊�。
一. 分布式防火墻系統(tǒng)架構(gòu)
圖1 分布式防火墻在政府/企業(yè)中的應(yīng)用解決方案
二. 分布式防火墻功能解析
在上述圖1所示的分布式防火墻解決方案中,左邊為政府/企業(yè)內(nèi)部網(wǎng)絡(luò)(內(nèi)網(wǎng))的應(yīng)用拓撲結(jié)構(gòu)圖�����,中間為Internet公眾網(wǎng)絡(luò)��,我們稱之為外部網(wǎng)絡(luò)(外網(wǎng))��,右邊為政府/企業(yè)辦公和業(yè)務(wù)的延伸部分�����,處于外部網(wǎng)絡(luò)環(huán)境中�。在內(nèi)部的財務(wù)、總裁辦���、人事��、檔案�����、網(wǎng)絡(luò)管理等主機���,以及數(shù)據(jù)庫服務(wù)器,文件服務(wù)器上存放著政府/企業(yè)的重要信息����,這些信息一旦泄漏或者存放信息的主機遭到破壞,會給政府/企業(yè)帶來不良的后果����。
如果不采取相應(yīng)措施,此網(wǎng)絡(luò)很容易遭受來自外網(wǎng)和內(nèi)網(wǎng)上的黑客攻擊����。若使用邊界式防火墻,則外網(wǎng)的攻擊將被阻攔����,但從數(shù)據(jù)統(tǒng)計看�����,還有大部分網(wǎng)絡(luò)攻擊/破壞來源于內(nèi)部網(wǎng)絡(luò)的黑客或員工的不小心應(yīng)用�����,這時普通防火墻就無能為力了����。而政府/企業(yè)的移動辦公人員���、代理商���、合作伙伴、遠程分支機構(gòu)在外部網(wǎng)絡(luò)上很容易受到外部黑客的攻擊���。所以說���,能夠很好的阻擋內(nèi)部和外部網(wǎng)絡(luò)攻擊是政府/企業(yè)內(nèi)部網(wǎng)絡(luò)安全的重要任務(wù)。
分布式防火墻能很好地解決上述問題����。在內(nèi)部網(wǎng)絡(luò)的主服務(wù)器安裝上分布式防火墻產(chǎn)品的安全策略管理服務(wù)器后����,設(shè)置組和用戶分別分配給相應(yīng)的從服務(wù)器和PC機工作站�,并配置相應(yīng)安全策略;將客戶端防火墻安裝在內(nèi)網(wǎng)和外網(wǎng)中的所有PC機工作站上,客戶端與安全策略管理服務(wù)器的連接采用SSL協(xié)議建立通信的安全通道��,避免下載安全策略和日志通信的不安全性����。同時客戶端防火墻的機器采用多層過濾,入侵檢測�����,日志紀錄等手段����,給主機的安全運行提供強有力的保證�����。
具體功能描述如下:
1����、阻止網(wǎng)絡(luò)攻擊
目前��,黑客們常用的攻擊手段有以下幾種:
(1)DoS拒絕服務(wù)式攻擊
拒絕服務(wù)攻擊是目前網(wǎng)絡(luò)中新興起的攻擊手段��,針對TCP/IP協(xié)議的漏洞���,使對方服務(wù)器承受過多的信息請求而無法處理,產(chǎn)生阻塞導致正常用戶的請求被拒絕��。一般地有如下方式:
(a)Ping-Flood:使用簡單的Ping命令對服務(wù)器發(fā)送數(shù)據(jù)包�����,如果在很短的時間內(nèi)服務(wù)器收到大量Ping數(shù)據(jù)包�����,那么服務(wù)器就需要耗費很多資源去處理這些數(shù)據(jù)包從而導致無法正常工作����。
(b)TCP-SYN-Flood: SYN數(shù)據(jù)包是兩臺計算機在進行TCP通信之前建立握手信號時所用,正常情況下���,SYN數(shù)據(jù)包中包含有想要進行通信的源機器的IP地址����,而服務(wù)器收到SYN數(shù)據(jù)包后將回復確認信息,源機器收到后再發(fā)送確認信息給服務(wù)器���,服務(wù)器收到�����,二者就可以建立連接進行通信了�����。采用這種攻擊方式就是在某一個極短的時間內(nèi)向?qū)Ψ椒⻊?wù)器發(fā)送大量的帶有虛假IP地址的SYN數(shù)據(jù)包����,服務(wù)器發(fā)出確認信息����,但是卻無法收到對方的回復�,就要耗費大量的資源去處理這些等待信息,最后將使系統(tǒng)資源耗盡以至癱瘓�。
(c)UDP-Flood: UDP是基于非連接的用戶數(shù)據(jù)報通訊協(xié)議,不包含流控制機制��。UDP數(shù)據(jù)包很容易使得計算機系統(tǒng)忙于響應(yīng)而喪失正常的網(wǎng)絡(luò)業(yè)務(wù)能力�。
另外還有諸如ICMP-Flood��, IGMP-Flood等攻擊手段����,在此不一一詳述����。
(2)源路由包攻擊
源路由包采用了極少使用的一個IP選項,它允許發(fā)起者來定義兩臺機器間所采取的路由���,而不是讓中間的路由器決定所走的路徑����。與ICMP的重定向相比�,這種特性能使一個黑客來欺騙你的系統(tǒng),使之相信它正在與一臺本地機器���、一臺ISP機器或某臺其他可信的主機對話����。
(3)利用型攻擊
利用型攻擊是一類試圖直接對你的機器進行控制的攻擊���,最常見的就是特洛伊木馬(Trojan Horse)���。例如BO2000就是典型的特洛伊木馬程序����。
(4)信息收集型攻擊
信息收集型攻擊在初期并不對目標本身造成危害����,而是被用來為進一步入侵提供有用的信息���,例如:端口掃描技術(shù),黑客使用特殊的應(yīng)用程序?qū)Ψ⻊?wù)器的每個端口進行測試����,以尋找可以進入的端口或者找出某些端口可以利用的安全漏洞。
以上的各種攻擊手段��,分布式防火墻可以及時地發(fā)現(xiàn)��,并且采取相應(yīng)的措施以控制事件的進一步發(fā)展�,同時記錄該攻擊事件。
2��、包過濾
包過濾是防火墻防止計算機受到攻擊的最基本方法����,防火墻實時地監(jiān)控進入以及出去的數(shù)據(jù)包,根據(jù)特定的過濾規(guī)則決定是否讓這些數(shù)據(jù)包通過��。分布式防火墻可以直接處理IP(或與IP級別相當?shù)腁RP���、RARP以及其它的非IP網(wǎng)絡(luò)協(xié)議)數(shù)據(jù)包的發(fā)送與接收�,根據(jù)數(shù)據(jù)包的包頭信息�����,分析出網(wǎng)絡(luò)協(xié)議����、源地址、目的地址����、源端口以及目的端口,然后對照過濾規(guī)則進行過濾�。對于不符合過濾規(guī)則的數(shù)據(jù)包,防火墻將拒絕通過����,同時進行記錄或報警���。
3、基于狀態(tài)的過濾
對于面向非連接的UDP網(wǎng)絡(luò)訪問��,為了提供較強過濾控制�,就必須根據(jù)上下文來進行判斷。例如:對于一個請求進入的UDP訪問�����,只有在它有對應(yīng)的出去的 UDP訪問(地址和端口號相匹配)時才可以接受���,否則將拒絕或報警���。這就需要IP包過濾模塊記錄有過去已經(jīng)發(fā)出的UDP訪問的列表,這樣的列表就叫做上下文��。而對于面向連接的TCP訪問����,同樣也可以根據(jù)不同的應(yīng)用協(xié)議設(shè)定相應(yīng)的上下文,進行更為細粒度的訪問控制���。這些技術(shù)統(tǒng)稱為基于狀態(tài)的包過濾�����。對于不符合規(guī)則的訪問拒絕事件�,要進行記錄�����。
4���、特洛伊木馬過濾
如果有黑客侵入到用戶的計算機上�,他會運行某一些特殊的應(yīng)用程序與之進行通信����,從而獲取一些信息。分布式防火墻維護一個已知的應(yīng)用程序列表�����,只有列表中的應(yīng)用程序才可以使用網(wǎng)絡(luò)�����,一旦檢測到有未知的應(yīng)用程序企圖使用網(wǎng)絡(luò)��,系統(tǒng)將會提醒用戶注意,是否要禁止使用或者是加入到允許訪問網(wǎng)絡(luò)的程序列表中����。如果用戶不小心運行了帶有特洛伊木馬的程序,當木馬程序企圖向網(wǎng)絡(luò)發(fā)送信息時�����,分布式防火墻將會進行攔截����。
5、腳本過濾
腳本過濾功能對常見的各種腳本���,如Java Script腳本�、VB Script腳本在運行前被一一進行分析檢查�����,判斷它們是否會進行比較危險的操作;如果是��,則提醒用戶注意�����,并要求用戶決定是否允許該腳本執(zhí)行,從而有選擇地讓無害的腳本通過�,對惡意的腳本進行攔截,實現(xiàn)實時腳本過濾���。
6��、用戶定制的安全策略
用戶可以將任意的IP地址加入到自己的信任/不信任地址列表中,對于在信任地址列表中的地址傳送過來的數(shù)據(jù)包�����,分布式防火墻將不進行任何阻攔����,而對于在不信任列表中的地址傳送過來的任何數(shù)據(jù)包,將拒絕接受����。如果經(jīng)常受到某些地址的攻擊,用戶可以將這些地址加入到不信任地址列表中��,拒絕接受這些地址所發(fā)出的任何數(shù)據(jù)包���。用戶定制的安全策略必須是統(tǒng)一安全策略的超集���,也就是說安全級別只能加強不能放松���。
7、日志和審計
日志用來記錄防火墻在運行過程中所出現(xiàn)的各種情況�,通過查看日志,用戶可以及時����、全面地掌握分布式防火墻本身的運轉(zhuǎn)以及用戶的訪問情況,并可以根據(jù)這些日志來制定或修改安全管理策略�。強大的日志記錄功能,主要包括:
(1)軟件的安裝����、升級記錄;
(2)安全策略改變記錄;
(3)被拒絕的網(wǎng)絡(luò)訪問記錄:包括被拒絕網(wǎng)絡(luò)訪問的應(yīng)用程序名,使用的協(xié)議��,源地址和目的地址�����,使用的端口等;
(4)遭受到的攻擊記錄: 包括攻擊者使用的協(xié)議�、端口、來源地址。
8��、統(tǒng)一的安全策略管理服務(wù)器
安全策略文件以密文形式存放于硬盤中���,用戶不能直接對其閱讀��,也不可以對其進行隨意更改�。分布式防火墻啟動時�����,安全策略文件經(jīng)解密后加載到防火墻中����。復雜的安全策略以Hash表的方法進行檢索�����。使用Hash列表對安全策略文件進行檢索能大大加快讀取速度����,安全策略可以動態(tài)更新,更新總在用戶態(tài)進行����,同時磁盤文件也被更新�。用戶可以在防火墻運行的過程中更改安全級別�����,而不影響防火墻的正常運行����。更新完成后,系統(tǒng)將會在新的安全級別下工作���。安全策略服務(wù)器和客戶端防火墻之間采用SSL通信��,保證了安全策略傳輸時的安全性����。另外管理模塊功能還包括:用戶組管理�,基于用戶組的安全策略分配,實時監(jiān)控當前網(wǎng)絡(luò)狀態(tài)���,查看日志�����,更改安全級別�,更改用戶定制的安全屬性等。
基于C/S架構(gòu)的分布式防火墻產(chǎn)品�����,采用統(tǒng)一的安全策略管理服務(wù)器[Server]��,各臺主機客戶端[Client]從服務(wù)器下載安全策略����,設(shè)置多層安全過濾,擁有出色的入侵檢測和強大的日志管理功能���,安裝方便���,使用簡潔���,升級快捷���,降低了維護成本,形成了可靠的網(wǎng)絡(luò)安全體系��,很好地滿足了政府、企業(yè)��、個人保護網(wǎng)絡(luò)信息安全的迫切需求����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強���!虛擬主機域名注冊頂級提供商�!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
