防火墙墙安全等级级及策略Your company sloganYour company slogan防火墙墙安全等级级及策略1 1防火墙墙安全等级设级设置2 2防火墙墙技术术3 3防火墙墙安全策略4 4防火墙安全等级概述Your company sloganYour company slogan防火墙安全等级概述v 从2010年5月1日起，对防火墙、安全路由器等13种产品，实行强制性认证，未获得中国信息安 全认证证书的产品，不得进入政府采购。其中，备受关注的防火墙类产品从09年5月份开始接受中 国信息安全认证中心的强制检测。中国信息安全认证中心依照的检测标准之一就是信息安全技术 防火墙技术要求和测试评价方 法 GB/T20281-2006。在该方法中，防火墙在安全等级方面被分为了三级，第三级为最高 级。由于整个标准文字非常多，看起来比较费力，我们从功能分类方面大致上归纳了三个等级之间 的区别。v 第一级：包过滤、应用代理、NAT、流量统计、安全审计、管理。第二级：除包含第一级所有功能分类外，增加了状态检测、深度包检测、IP/MAC地 址绑定、动态开放端口、策略路由、带宽管理、双机热备、负载均衡功能。第三级：除包含第二级所有功能分类外，增加了VPN、协同联动功能。v 除了在功能分类上有区别外，每个功能分类下的功能要求细目也是逐级加强、增多。由 于功能要求细目数量比较多，在此不做分析。Your company sloganYour company slogan防火墙安全等级概述v 我们单从功能分类方面也会发现，防火墙第二级增加了很多实用功 能，尤其是IP/MAC地址绑定、带宽管理、双机热备，在企业网络管 理中更为实用。而第三级中增加的VPN功能和协同联动功能，更为企 业远程接入和全网安全提供了保障。我们知道，国家密码管理局在2009年初颁布了最新的SSL VPN 技术规范，并对涉密产品中的算法做出了严格的限定，SM1算法成 为商用密码产品中使用范围最广的算法。而方法中规定，防火墙 第三级中的VPN功能，必须符合国家密码管理局相关的标准。这样一 来，符合第三级标准的防火墙不仅具备了传统防护墙的实用功能，更 拥有了符合国家标准的加密传输功能，成为政府、金融、企业中传输 加密的首选产品。 Your company sloganYour company slogan设设定防火墙墙安全等级级v 虽然防火墙预设 会根据你连接的网络类型而套用不同的安全等级，但也可以 随时视需要变更这项设 定 v 执行此动作的步骤如下： v 1.点选主功能表上的【状态】； v 2.在【防护】区段，点选【设定】； v 3.选择【防火墙】选项； v 4.在【网络】区段，点选【设定】； v 5选择网路 (如果网路不只一个的话)，並且指定你想要用来识別的网路名称 。点选【设定】； v 6.指定此网路是受信任的网路或公共网路。 受信任位置：受信任的网路是区域网路 (例如家里的网路)，你可以与网 路上的其他电脑共用档案或印表机。如果你选择此项，在你的电脑连接到 区域网路时，防火墙套用的安全等级可让你与网路上的其他电脑共享各种 资源。 公用位置：公共网路是指你的电脑可以在公共场所连线的网路，例如在机 场、大学、网吧. 等。如果你选择此项，防火墙会套用限制性较高的安 全等级，防止网路上的其他电脑存取你的共用资源。Your company sloganYour company slogan硬件防火墙如果硬件防火墙如果 从技术上来分又从技术上来分又 可分为两类可分为两类, , 即即 标标准防火墙和双准防火墙和双 家网关防火墙。家网关防火墙。 防火墙墙安全技术术“ “防火防火墙墙” ”是一种形象的是一种形象的说说法法, , 其其实实它是一种由它是一种由计计算机硬件算机硬件 和和软软件的件的组组合合, , 使互使互联联网与网与 内部网之内部网之间间建立起一个安全建立起一个安全网关网关( ( scurityscurity gateway), gateway), 从而保从而保护护内部网免受非法用内部网免受非法用 户户的侵入，它其的侵入，它其实实就是一个就是一个 把互把互联联网与内部网（通常网与内部网（通常这这 局域网或城域网）隔开的局域网或城域网）隔开的 屏障。屏障。防火墙如果从实现防火墙如果从实现 方式上来分，又分方式上来分，又分 为硬件防火墙和软为硬件防火墙和软 件防火墙两类件防火墙两类 Your company sloganYour company slogan防火墙墙安全技术术v 防火墙实现应用安全八项实用技术 ： v 1.深度数据包处理深度数据包处理有时被称为深度数据包检测或者语义检测，它就是把多个数据包关 联到一个数据流当中，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据 包处理要求以极高的速度分析、检测及重新组装应用流量，以避免给应用带来时延。下 面每一种技术代表深度数据包处理的不同级别。v 2. TCP/IP终止应用层攻击涉及多种数据包，并且常常涉及多种请求，即不同的数据流。流量分 析系统要发挥 功效，就必须在用户与应用保持互动的整个会话期间，能够检测 数据 包和请求，以寻找攻击行为。至少，这需要能够终 止传输层协议 ，并且在整个数据 流而不是仅仅 在单个数据包中寻找恶意模式。 v 3. SSL终止如今，几乎所有的安全应用都使用HTTPS确保通信的保密性。然而，SSL数据流 采用了端到端加密，因而对被动探测器如入侵检测 系统（IDS）产品来说是不透明的 。为了阻止恶意流量，应用防火墙必须终 止SSL，对数据流进行解码，以便检查 明文 格式的流量。这是保护应 用流量的最起码要求。如果你的安全策略不允许敏感信息在 未加密的前提下通过网络传输 ，你就需要在流量发送到Web服务器之前重新进行加密 的解决方案。 Your company sloganYour company slogan防火墙墙安全技术术v 4.URL过滤一旦应用流量呈明文格式，就必须检测 HTTP请求的URL部分，寻找恶意攻击的 迹象，譬如可疑的统一代码编码 （unicode encoding）。对URL过滤 采用基于特征的 方案，仅仅寻 找匹配定期更新的特征、过滤 掉与已知攻击如红色代码和尼姆达有关的 URL，这是远远 不够的。这就需要一种方案不仅能检查 RUL，还能检查请 求的其余 部分。其实，如果把应用响应考虑进 来，可以大大提高检测 攻击的准确性。虽然URL 过滤 是一项重要的操作，可以阻止通常的脚本少年类型的攻击，但无力抵御大部分的 应用层漏洞。v 5.请求分析全面的请求分析技术比单单采用URL过滤来得有效，可以防止Web服务器层的跨 站脚本执行（cross-site scripting）漏洞和其它漏洞。全面的请求分析使URL过滤更 进了一步：可以确保请求符合要求、遵守标准的HTTP规范，同时确保单个的请求部分 在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。v 6.用户会话跟踪更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分 ：跟踪用户会话，把单个用户的行为关联起来。这项功能通常借助于通过URL重写（ URL rewriting）来使用会话信息块加以实现。只要跟踪单个用户的请求，就能够对信 息块实行极其严格的检查。这样就能有效防御会话劫持（session-hijacking）及信息 块中毒（cookie-poisoning）类型的漏洞。 Your company sloganYour company slogan防火墙墙安全技术术v 7.响应模式匹配响应模式匹配为应用提供了更全面的保护：它不仅检查提交至Web服务器的请求 ，还检查Web服务器生成的响应。它能极其有效地防止网站受毁损，或者更确切地说 ，防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL进行过滤 。响应模式匹配分三个级别。防毁损工作由应用防火墙来进行，它对站点上的静态内容 进行数字签名。如果发现内容离开Web服务器后出现了改动，防火墙就会用原始内容 取代已毁损页面。至于对付敏感信息泄露方面，应用防火墙会监控响应，寻找可能表明 服务器有问题的模式，譬如一长串Java异常符。如果发现这类模式，防火墙就会把它 们从响应当中剔除，或者干脆封阻响应。v8. 行为建模行为建模有时称为积极的安全模型或“白名单”（white list）安全，它是唯一能够 防御最棘手的应用漏洞零时间漏洞的保护机制。零时间漏洞是指未写入文档或“还 不知道”的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为，其它行 为一律禁止。这项技术要求对应用行为进行建模，这反过来就要求全面分析提交至应用 的每个请求的每次响应，目的在于识别页面上的行为元素，譬如表单域、按钮和超文本 链接。这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞，同时对允许 用户访问的URL实行极其严格的监控。行为建模是唯一能够有效对付全部16种应用漏 洞的技术。行为建模是一种很好的概念，但其功效往往受到自身严格性的限制。某些情 况譬如大量使用JavaScript或者应用故意偏离行为模型都会导致行为建模犯错，从而 引发误报，拒绝合理用户访问应用。行为建模要发挥作用，就需要一定程度的人为干预 ，以提高安全模型的准确性 Your company sloganYour company slogan防火墙墙安全策略v 安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使 用的种种规定。访问控制包含了哪些资源可以被访问，如读取、删除、下载等行为的规 范，以及哪些人拥有这些权力等信息。v 1) 网络服务访问 策略网络服务访问 策略是一种高层次的、具体到事件的策略，主要用于定义 在网络中允许的或禁止的网络服务，还包括对拨号访问以及PPP(点对点协 议)连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他 的方法，所以其他的途径也应受到保护。比如，如果一个防火墙阻止用户使 用Telnet服务访问 因特网，一些人可能会使用拨号连接来获得这些服务， 这样就可能会使网络受到攻击。网络服务访问 策略不但应该是一个站点安 全策略的延伸，而且对于机构内部资源的保护也起全局的作用。这种策略可 能包括许多事情，从文件切碎条例到病毒扫描程序，从远程访问到移动介质 的管理。Your company sloganYour company slogan防火墙墙安全策略v 2) 防火墙的设计策略防火墙的设计策略是具体地针对防火墙，负责制定相应的规章制度来实 施网络服务访问 策略。在制定这种策略之前，必须了解这种防火墙的性能以 及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基 本策略中的一种： 除非明确不允许，否则允许某种服务; 除非明确允许，否则将禁止某项服务。执行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对 某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的 服务，除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策 略(第一种)，也可以实施一种限制性策略(第二种)，这就是制定防火墙策略 的入手点。Your company sloganYour company slogan防火墙墙安全策略v 3) 安全策略设计时 需要考虑的问题为了确定防火墙安全设计策略，进而构建实现预 期安全策略的防火墙， 应从最安全的防火墙设计 策略开始，即除非明确允许，否则禁止某种服务。 策略应该解决以下问题：* 需要什么服务，如Telnet、WWW或NFS等;* 在那里使用这些服务，如本地、穿越因特网、从家里或远方的办公机构 等;* 是否应当支持拨号入网和加密等服务;* 提供这些服务的风险是什么;* 若提供这种保护，可能会导致网络使用上的不方便等负面影响，这些 影响会有多大;* 与可用性相比，站点的安全性放在什