什么是防火墻?
防火墻是一種機(jī)制�,用于控制和監(jiān)視網(wǎng)絡(luò)上來(lái)往的信息流����,目的是保護(hù)網(wǎng)絡(luò)上的設(shè)備����。流過(guò)的信息要與預(yù)定義的安全標(biāo)準(zhǔn)或政策進(jìn)行比較,丟棄不符合政策要求的信息。實(shí)際上,它是一個(gè)過(guò)濾器,阻止了不必要的網(wǎng)絡(luò)流量,限制了受保護(hù)網(wǎng)絡(luò)與其它網(wǎng)絡(luò)(如因特網(wǎng)��,或站點(diǎn)網(wǎng)絡(luò)的另一部分)之間通信的數(shù)量和類(lèi)型�����。下圖顯示了一個(gè)簡(jiǎn)單的防火墻,禁止來(lái)自因特網(wǎng)對(duì)個(gè)人計(jì)算機(jī)(PC)和可編程邏輯控制器(PLC)的訪問(wèn)��,但允許對(duì)企業(yè)Web服務(wù)器的訪問(wèn)��。
圖:一個(gè)簡(jiǎn)化的防火墻舉例
防火墻類(lèi)型
防火墻具有很多不同的設(shè)計(jì)和配置����。它可以是一個(gè)連接到網(wǎng)絡(luò)的單獨(dú)物理硬件設(shè)備(如思科的PIX?或賽門(mén)鐵克的安全網(wǎng)關(guān)防火墻)�,可以是一個(gè)帶有操作系統(tǒng)和防火墻功能(如運(yùn)行在Linux?服務(wù)器上的“iptables”)的硬件/軟件單元,甚至可以是一個(gè)完全基于主機(jī)的軟件解決方案�����,即直接在工作站上安裝防火墻軟件(如諾頓的個(gè)人防火墻?或Sygate的個(gè)人防火墻)���。
獨(dú)立的硬件或硬件/軟件單元通常被稱為網(wǎng)絡(luò)防火墻���,通常是最安全的解決方案�����,把企業(yè)網(wǎng)絡(luò)與工業(yè)自動(dòng)化控制網(wǎng)絡(luò)(IACN)分開(kāi)�。它們是專用的功能單元���,除了個(gè)別例外����,加固后可以抵擋一切攻擊。此外����,網(wǎng)絡(luò)防火墻通常提供最佳的管理選項(xiàng)����,因此通常允許對(duì)它們進(jìn)行遠(yuǎn)程管理���。
基于主機(jī)的防火墻通常能夠接受某些妥協(xié)�����,因?yàn)橹鳈C(jī)的主要功能不是安保�����,通常要完成一些工作站或服務(wù)器的任務(wù),例如數(shù)據(jù)庫(kù)訪問(wèn)或Web服務(wù)�。
同時(shí)�,基于主機(jī)的防火墻解決方案目前僅適用于Windows或基于Unix的平臺(tái)���,只能為網(wǎng)絡(luò)上的嵌入式控制設(shè)備(如PLC)做一定的流量管理���?��;谥鳈C(jī)的防火墻可以放置在IACN / 監(jiān)控與數(shù)采(SCADA)網(wǎng)絡(luò)上�����,但它們通常在我們今天要考慮的范圍之外��。因此,除少數(shù)情況外���,本文假定IACN / SCADA防火墻是一個(gè)專用的硬件或硬件/軟件解決方案,通過(guò)一系列規(guī)則����,對(duì)傳送到控制網(wǎng)絡(luò)信息流實(shí)施允許或拒絕。
防火墻分類(lèi)
網(wǎng)絡(luò)使用離散的位組發(fā)送數(shù)據(jù),通常把一定數(shù)量的位組稱為數(shù)據(jù)包。每個(gè)數(shù)據(jù)包通常包含若干個(gè)獨(dú)立的信息�����,包括(但不限于)的項(xiàng)目有:
?發(fā)件人的身份(源地址);
?收件人的身份(目的地址);
?包涉及的服務(wù)(端口號(hào));
?網(wǎng)絡(luò)操作和狀態(tài)標(biāo)志;
?把數(shù)據(jù)的有效載荷傳遞到該服務(wù)�����。
接收一個(gè)數(shù)據(jù)包時(shí)��,防火墻對(duì)包的這些特征進(jìn)行分析,并決定對(duì)這個(gè)包采取什么行動(dòng)。可以選擇丟棄該包���、允許立即通過(guò)、因帶寬限制而暫時(shí)緩存����,或轉(zhuǎn)發(fā)給不同的收件人 – 應(yīng)按照網(wǎng)絡(luò)安全策略采取適當(dāng)?shù)男袆?dòng)��。
這些決定都基于一系列的規(guī)則,該規(guī)則通常被稱為訪問(wèn)控制列表(ACL)。防火墻具有不同的類(lèi)型�,每種類(lèi)型都具有復(fù)雜的分析和行動(dòng)能力�。下面給予分別介紹���。
1.包過(guò)濾防火墻
最簡(jiǎn)單一類(lèi)的防火墻被稱為包過(guò)濾防火墻���。它具有一系列的靜態(tài)規(guī)則�,對(duì)收到的報(bào)文按規(guī)則采取行動(dòng)。下面的示例表明了包過(guò)濾防火墻是如何按規(guī)則處理數(shù)據(jù)包的:
?在用戶數(shù)據(jù)報(bào)協(xié)議(UDP)端口53上接受域名服務(wù)(DNS)響應(yīng)數(shù)據(jù)包;
?阻止因特網(wǎng)協(xié)議(IP)地址為24.116.25.21的任何數(shù)據(jù);
?通過(guò)阻斷傳輸訪問(wèn)控制協(xié)議(TCP)端口80、443�����、3128�、8000和8080傳出的數(shù)據(jù)包以阻止網(wǎng)上沖浪,除非他們指向企業(yè)內(nèi)部網(wǎng)Web服務(wù)器的IP地址;
?丟棄源路由包;
?接受來(lái)自特定IP地址范圍的工程操作站,通過(guò)TCP端口23遠(yuǎn)程登錄(telnet)到一個(gè)特定的分布式控制系統(tǒng)(DCS)IP地址的數(shù)據(jù)�。
不幸的是,包過(guò)濾防火墻缺乏理解一系列數(shù)據(jù)包之間關(guān)系的能力�。例如��,廣泛適用的規(guī)則“接受UDP端口53上的DNS響應(yīng)數(shù)據(jù)包”包含一個(gè)嚴(yán)重的缺陷。如果DNS沒(méi)有發(fā)過(guò)查詢�����,而用一個(gè)偽造的DNS“響應(yīng)”包來(lái)代替呢?這個(gè)簡(jiǎn)單的防火墻會(huì)接受這個(gè)數(shù)據(jù)包��,并提供給“請(qǐng)求”主機(jī)��,這可能會(huì)帶來(lái)麻煩。比較狡猾的黑客會(huì)利用防火墻的這些弱點(diǎn)潛入內(nèi)部系統(tǒng)�。
