什么是防火墻?
防火墻是一種機制���,用于控制和監視網絡上來往的信息流,目的是保護網絡上的設備。流過的信息要與預定義的安全標準或政策進行比較,丟棄不符合政策要求的信息�。實際上,它是一個過濾器,阻止了不必要的網絡流量�,限制了受保護網絡與其它網絡(如因特網���,或站點網絡的另一部分)之間通信的數量和類型�。下圖顯示了一個簡單的防火墻�����,禁止來自因特網對個人計算機(PC)和可編程邏輯控制器(PLC)的訪問�,但允許對企業Web服務器的訪問。
圖:一個簡化的防火墻舉例
防火墻類型
防火墻具有很多不同的設計和配置��。它可以是一個連接到網絡的單獨物理硬件設備(如思科的PIX?或賽門鐵克的安全網關防火墻)�����,可以是一個帶有操作系統和防火墻功能(如運行在Linux?服務器上的“iptables”)的硬件/軟件單元��,甚至可以是一個完全基于主機的軟件解決方案�����,即直接在工作站上安裝防火墻軟件(如諾頓的個人防火墻?或Sygate的個人防火墻)����。
獨立的硬件或硬件/軟件單元通常被稱為網絡防火墻,通常是最安全的解決方案�����,把企業網絡與工業自動化控制網絡(IACN)分開��。它們是專用的功能單元�,除了個別例外����,加固后可以抵擋一切攻擊��。此外,網絡防火墻通常提供最佳的管理選項����,因此通常允許對它們進行遠程管理。
基于主機的防火墻通常能夠接受某些妥協�����,因為主機的主要功能不是安保��,通常要完成一些工作站或服務器的任務��,例如數據庫訪問或Web服務��。
同時�����,基于主機的防火墻解決方案目前僅適用于Windows或基于Unix的平臺����,只能為網絡上的嵌入式控制設備(如PLC)做一定的流量管理?����;谥鳈C的防火墻可以放置在IACN / 監控與數采(SCADA)網絡上,但它們通常在我們今天要考慮的范圍之外���。因此�����,除少數情況外����,本文假定IACN / SCADA防火墻是一個專用的硬件或硬件/軟件解決方案�,通過一系列規則,對傳送到控制網絡信息流實施允許或拒絕。
防火墻分類
網絡使用離散的位組發送數據,通常把一定數量的位組稱為數據包����。每個數據包通常包含若干個獨立的信息,包括(但不限于)的項目有:
?發件人的身份(源地址);
?收件人的身份(目的地址);
?包涉及的服務(端口號);
?網絡操作和狀態標志;
?把數據的有效載荷傳遞到該服務。
接收一個數據包時����,防火墻對包的這些特征進行分析�����,并決定對這個包采取什么行動?���?梢赃x擇丟棄該包、允許立即通過�、因帶寬限制而暫時緩存��,或轉發給不同的收件人 – 應按照網絡安全策略采取適當的行動��。
這些決定都基于一系列的規則�����,該規則通常被稱為訪問控制列表(ACL)���。防火墻具有不同的類型�����,每種類型都具有復雜的分析和行動能力��。下面給予分別介紹��。
1.包過濾防火墻
最簡單一類的防火墻被稱為包過濾防火墻。它具有一系列的靜態規則,對收到的報文按規則采取行動��。下面的示例表明了包過濾防火墻是如何按規則處理數據包的:
?在用戶數據報協議(UDP)端口53上接受域名服務(DNS)響應數據包;
?阻止因特網協議(IP)地址為24.116.25.21的任何數據;
?通過阻斷傳輸訪問控制協議(TCP)端口80��、443�����、3128�、8000和8080傳出的數據包以阻止網上沖浪,除非他們指向企業內部網Web服務器的IP地址;
?丟棄源路由包;
?接受來自特定IP地址范圍的工程操作站�,通過TCP端口23遠程登錄(telnet)到一個特定的分布式控制系統(DCS)IP地址的數據����。
不幸的是�����,包過濾防火墻缺乏理解一系列數據包之間關系的能力��。例如,廣泛適用的規則“接受UDP端口53上的DNS響應數據包”包含一個嚴重的缺陷��。如果DNS沒有發過查詢�,而用一個偽造的DNS“響應”包來代替呢?這個簡單的防火墻會接受這個數據包,并提供給“請求”主機���,這可能會帶來麻煩。比較狡猾的黑客會利用防火墻的這些弱點潛入內部系統�。
