資訊與網路安全技術 第 十章 防火牆  上一頁      下一頁

 

10-3 防火牆架構

內容:

10-3-1 防火牆設備

防火牆架構的型態是安全防護能力的主要關鍵,這是一般網路管理者必須詳細研究的課題。不安全的防火牆架構除了浪費許多精神維護之外,說不定連最基本的安全性也無法達成。但話又說回來,也不可能存在百分之百的安全架構,如欲達到一定的安全性,仍需仰賴維護人員隨時摸索,尋找網路的破綻以防止被攻擊。再說,各私有網路的情況不同,所面臨的挑戰也不會相同,因此,毫無標準規範可循。在介紹防火牆架構之前,首先介紹一些相關名詞及其所需的設備:

  • 雙介面主機(Dual-homed Host:表示某一主機上安裝有兩片網路卡,其中一片網路卡連結自己的網路系統,以達到隔離兩邊網路之目的;主機依照安全策略決定是否允許封包由某一網路轉送到另一個網路卡,因此,雙介面主機就好像是護城牆中的城門一樣,負責過濾或轉送人民進出的功能。至於雙介面主機可以是路由器、網路閘門、以及防禦主機等等。

  • 防禦主機(Bastion Host):防禦主機是進出封包的轉驛站,直接暴露於外部網路上,並且公告週知由此主機可以和內部網路通訊。防禦主機上可能安裝有封包過濾或代理程式,可依照防火牆架構決定是雙介面或單介面主機。防禦主機就好像辦公大樓的大廳一樣,任何人想與大樓內的人員從事交易行為,都必須先到大廳和管理人員交涉,再決定是過濾或代理。

  • 封包(Packet):防火牆檢測的最基本資料單位,一般指 IP 封包。

  • 屏蔽路由器(Screening Router):某一路由器具有封包過濾功能,並直接暴露於外部網路上,又稱為外部路由器。

  • 周圍網路(Perimeter Network):隔離外部網路與內部網路(受保護網路)之間的網路,以提高內部網路的安全性。一般將周圍網路稱之為DMZ 網路』De-Militarized Zone,如南北韓之間的停戰區)。

接下來,我們將介紹三種防火牆的基本架構,一般私有網路的防火牆措施多半是由這三種基本架構演變而來。

10-3-2 雙介面主機架構

『雙介面主機』(Dual-homed Host是最簡單的防火牆架構,網路型態如圖 10-4 所示。它利用一部雙介面主機作為隔離外部網路與內部網路(受保護網路),並依照防火牆的安全保護層次,決定雙介面主機是『屏蔽路由器』或『防禦主機』。如果採用防禦主機,則此主機上必須安裝有代理程式(如 SOCKS ISA 2000);如果採用屏蔽路由器,則此路由器必須安裝封包過濾程式,當然防禦主機上也可以安裝封包過濾程式,同時達到封包過濾與代理器的功能。一般較小企業公司喜歡採用此種架構,因為它的價格最便宜,但防護能力有限,容易被攻破。

10-4 雙介面主機式架構

無論主機是採用防禦主機或屏蔽路由器,它都將直接暴露於外界網路上,攻擊者只要尋找出該主機的漏洞,便可趁虛而入侵系統。最簡單的方法是搜尋主機是否有其它埠口打開(通常選擇較少使用或較不起眼的埠口),再利用此埠口從事破壞的工作。另外,既然外部使用者可以直接進入內部網路,便可循正規管道將病毒帶入系統內,利用該病毒打開一些較不起眼的埠口(一般都是 1024 以後的埠口,又稱為開後門),讓外界入侵者長驅直入。

10-3-3 屏蔽主機架構

『屏蔽主機』(Screening Host架構會比雙介面主機的安全性高一點,也是目前私有網路中普遍採用的型態。屏蔽主機架構是由一部屏蔽路由器及一部防禦主機所構成,如圖 10-5 所示,其中屏蔽路由器的功能是過濾封包,限制封包進出私有網路,至於防禦主機則是扮演代理伺服器的功能,代理外部使用者存取內部伺服器,或代理內部使用者存取外部伺服器。兩者的工作項目必須互相配合,最基本的設定是:

  • 對外部使用者而言:只允許外部使用者連結到防禦主機,亦即屏蔽路由器只允許目的地是防禦主機的封包可以通過,並完全隔離掉其他封包,既然由防禦主機代理外部使用者存取內部伺服器,所以可以減少暴露內部主機的機會。

  • 對內部使用者而言:由私有網路的『安全政策』決定,是否允許內部使用者通過屏蔽路由器,存取外部伺服器或與外部網路通訊。較嚴密的單位為了安全考量是不允許的,所以屏蔽路由器阻擋往外的連線,至於所有通訊行為都必須透過防禦主機代理,並且可以在防禦主機上登錄所有向外的通聯記錄。一般公司學校大多允許內部使用者自行決定,是要直接通過屏蔽路由器向外連線,還是透過防禦主機上的代理程式(如 Proxy Server)。

10-5 屏蔽主機架構

乍看之下,防禦主機架構好像對外或對內都可達到很好的安全措施,但無論如何,攻擊者還是可以通過屏蔽路由器(無論合法或非法擊破)進入內部網路。另一方面,我們雖然可禁止內部連線通過屏蔽路由器,達到隱藏內部主機的目的。若不幸讓入侵者通過屏蔽路由器,便可以在內部網路上收集所有通訊訊息,再由訊息中分析出系統主機;只要得到主機的相關資料,欲從事破壞或偷竊的行為就不會很難了。由此可見,防禦主機架構的安全性並非如想像中的完美,有心人士還是可以輕而易舉攻破它。

10-3-4 屏蔽網路架構

在防火牆概念中,並無所謂百分之百的安全架構,而是設法架設一種讓攻擊者較不容易擊破的防護措施,也就是說,『建立一種讓攻擊者必須耗費多時難以擊破的防火牆』。上述兩種架構只築一面城牆(或城門)從事安全措施,攻擊者祇要突破這個城門便可長驅直入內部網路。為了延長被攻擊進入內部網路的時間,簡單的方法就是多建立幾道城牆,亦即當入侵者擊破第一道門之後,必須再經過第二道、第三道、等等,始可進入到內部網路。因此,網路管理者必須隨時監視是否有被入侵的情況,只要在入侵者尚未完全進入到內部網路之前,將之揪出,正所謂亡羊補牢,尤時未晚。

多建立幾道城門(或城牆)之後,城牆和城牆之間稱為『周圍網路』(Perimeter Network,一般將周圍網路稱為『非軍事區網路』(DMZ 網路,De-Militarized Zone,如南北韓之間的停戰區。但在防火牆措施上稱之為『屏蔽式子網路』(Screened Subnet,簡稱屏蔽網路)架構,網路基礎型態如圖 10-6 所示。

10-6 屏蔽網路架構

10-6 中包含外部路由器、內部路由器與防禦主機等三個主要設備,並沒有一定的規則來定義它們應該處理什麼樣的安全措施,完全視私有網路的『安全政策』而定。簡單的設定是將外部與內部路由器設定成封包過濾器,而將防禦主機安裝成代理伺服器(如:Proxy ServerFTP ServerSOCKS Server),其管理措施如下:

  • 對外部使用者而言:外部路由器僅允許連結到防禦主機的封包進入,再透過防禦主機的代理系統存取內部的伺服器,至於內部路由器也只允許來源目的為防禦主機的封包進入內部網路。

  • 對內部使用者而言:一般系統大多不會採取嚴格的限制,但某些較特殊的單位不在此限。簡單的做法是,內部路由器祇允許目的位址為防禦主機的封包出去,並由防禦主機的代理系統存取外部伺服器,另一方面,外部路由器也只允許來源位址為防禦主機的封包進入;另一種做法是,將內部路由器設定成『網路位址轉譯器』(NAT,如此便可達到隱藏內部網路位址的功能,而內部使用者連結到外面也比較不容易被追蹤出來。

  • 對公開伺服器而言:私有網路也許需要將某些伺服器公開給外部使用者存取,譬如,電子商務系統必須公開網頁伺服器、FTP 伺服器等等。私有網路可以選擇將公開伺服器架設於周圍網路或內部網路,如果選擇放在內部網路,則外部使用者都必須透過防禦主機存取;如放在周圍網路,則可在外部路由器上設定,是否允許外部使用者直接存取公開伺服器,或需透過防禦主機代理。

DMZ 網路之下,入侵者擊破外部路由器之後,還隔著一道牆,因此無法直接觀察到內部網路的通訊行為,仍需花費一段時間才能攻擊內部路由器。一旦入侵者擊破內部路由器之後,始可搜尋到內部網路訊息,所以在這個期間,管理者必須設法將入侵者找出來,並將它堵死。這個情況好比,入侵者先派間諜進入城內(無論合法或非法進入),並開啟另一道門(也就是通訊埠口),再讓入侵程式直接由那一道城門進入;另一種情況是,間諜並不開啟後門(通訊埠口),直接將收集的資料透過合法管道傳送給外部入侵者。當然有許多入侵方法不勝枚舉,但無論如何,管理者必須在入侵者得逞之前發現,並將它刪除。

 

主講人:粘添壽博士

 

資訊與網路安全技術