10-3 防火牆架構
10-3-1 防火牆設備 防火牆架構的型態是安全防護能力的主要關鍵,這是一般網路管理者必須詳細研究的課題。不安全的防火牆架構除了浪費許多精神維護之外,說不定連最基本的安全性也無法達成。但話又說回來,也不可能存在百分之百的安全架構,如欲達到一定的安全性,仍需仰賴維護人員隨時摸索,尋找網路的破綻以防止被攻擊。再說,各私有網路的情況不同,所面臨的挑戰也不會相同,因此,毫無標準規範可循。在介紹防火牆架構之前,首先介紹一些相關名詞及其所需的設備:
接下來,我們將介紹三種防火牆的基本架構,一般私有網路的防火牆措施多半是由這三種基本架構演變而來。 10-3-2 雙介面主機架構 『雙介面主機』(Dual-homed Host)是最簡單的防火牆架構,網路型態如圖 10-4 所示。它利用一部雙介面主機作為隔離外部網路與內部網路(受保護網路),並依照防火牆的安全保護層次,決定雙介面主機是『屏蔽路由器』或『防禦主機』。如果採用防禦主機,則此主機上必須安裝有代理程式(如 SOCKS 或 ISA 2000);如果採用屏蔽路由器,則此路由器必須安裝封包過濾程式,當然防禦主機上也可以安裝封包過濾程式,同時達到封包過濾與代理器的功能。一般較小企業公司喜歡採用此種架構,因為它的價格最便宜,但防護能力有限,容易被攻破。
圖 10-4 雙介面主機式架構 無論主機是採用防禦主機或屏蔽路由器,它都將直接暴露於外界網路上,攻擊者只要尋找出該主機的漏洞,便可趁虛而入侵系統。最簡單的方法是搜尋主機是否有其它埠口打開(通常選擇較少使用或較不起眼的埠口),再利用此埠口從事破壞的工作。另外,既然外部使用者可以直接進入內部網路,便可循正規管道將病毒帶入系統內,利用該病毒打開一些較不起眼的埠口(一般都是 1024 以後的埠口,又稱為開後門),讓外界入侵者長驅直入。 10-3-3 屏蔽主機架構 『屏蔽主機』(Screening Host)架構會比雙介面主機的安全性高一點,也是目前私有網路中普遍採用的型態。屏蔽主機架構是由一部屏蔽路由器及一部防禦主機所構成,如圖 10-5 所示,其中屏蔽路由器的功能是過濾封包,限制封包進出私有網路,至於防禦主機則是扮演代理伺服器的功能,代理外部使用者存取內部伺服器,或代理內部使用者存取外部伺服器。兩者的工作項目必須互相配合,最基本的設定是:
圖 10-5 屏蔽主機架構 乍看之下,防禦主機架構好像對外或對內都可達到很好的安全措施,但無論如何,攻擊者還是可以通過屏蔽路由器(無論合法或非法擊破)進入內部網路。另一方面,我們雖然可禁止內部連線通過屏蔽路由器,達到隱藏內部主機的目的。若不幸讓入侵者通過屏蔽路由器,便可以在內部網路上收集所有通訊訊息,再由訊息中分析出系統主機;只要得到主機的相關資料,欲從事破壞或偷竊的行為就不會很難了。由此可見,防禦主機架構的安全性並非如想像中的完美,有心人士還是可以輕而易舉攻破它。 10-3-4 屏蔽網路架構 在防火牆概念中,並無所謂百分之百的安全架構,而是設法架設一種讓攻擊者較不容易擊破的防護措施,也就是說,『建立一種讓攻擊者必須耗費多時難以擊破的防火牆』。上述兩種架構只築一面城牆(或城門)從事安全措施,攻擊者祇要突破這個城門便可長驅直入內部網路。為了延長被攻擊進入內部網路的時間,簡單的方法就是多建立幾道城牆,亦即當入侵者擊破第一道門之後,必須再經過第二道、第三道、等等,始可進入到內部網路。因此,網路管理者必須隨時監視是否有被入侵的情況,只要在入侵者尚未完全進入到內部網路之前,將之揪出,正所謂亡羊補牢,尤時未晚。 多建立幾道城門(或城牆)之後,城牆和城牆之間稱為『周圍網路』(Perimeter Network),一般將周圍網路稱為『非軍事區網路』(DMZ 網路,De-Militarized Zone),如南北韓之間的停戰區。但在防火牆措施上稱之為『屏蔽式子網路』(Screened Subnet,簡稱屏蔽網路)架構,網路基礎型態如圖 10-6 所示。
圖 10-6 屏蔽網路架構 圖 10-6 中包含外部路由器、內部路由器與防禦主機等三個主要設備,並沒有一定的規則來定義它們應該處理什麼樣的安全措施,完全視私有網路的『安全政策』而定。簡單的設定是將外部與內部路由器設定成封包過濾器,而將防禦主機安裝成代理伺服器(如:Proxy Server、FTP Server、SOCKS Server),其管理措施如下:
在 DMZ 網路之下,入侵者擊破外部路由器之後,還隔著一道牆,因此無法直接觀察到內部網路的通訊行為,仍需花費一段時間才能攻擊內部路由器。一旦入侵者擊破內部路由器之後,始可搜尋到內部網路訊息,所以在這個期間,管理者必須設法將入侵者找出來,並將它堵死。這個情況好比,入侵者先派間諜進入城內(無論合法或非法進入),並開啟另一道門(也就是通訊埠口),再讓入侵程式直接由那一道城門進入;另一種情況是,間諜並不開啟後門(通訊埠口),直接將收集的資料透過合法管道傳送給外部入侵者。當然有許多入侵方法不勝枚舉,但無論如何,管理者必須在入侵者得逞之前發現,並將它刪除。
|
翻轉工作室:粘添壽
資訊與網路安全技術
翻轉電子書系列:
|