关于消除防火墙局限性和脆弱性的可行性研究
科技信.息
计
机 算 网与
关络 消 除 盼孑 火 局I限 牲和脆 弱 Ⅱ晌 可行牲 研穷 啬生
江科技 西师范 院 学柳 宝家
[ 摘要] 文对防火墙 的局限章和脆 性性弱现表以及 成原 因等方 形进行 了研 面,究 并对入检 测侵技 术技以 及防墙火和 入侵检测 系
的统 动联进 行了 讨探。
[
键 词 火墙] 局 限 性 脆弱 性 入 侵 检 测 动 联关
防着 随Itn ten 的高速e的展 及发们对人息信的大量需 ,求联 互网户 用 乎 以几何几级数长 增, 此由来而网络的全 问安也题日 复杂。防火益作墙 为 网安络的全一第道屏障, 网络 安防护措施中全 , 防火在墙般也被一 作为首选 在安,全 市上 , 防场火墙 占所的场份市最大 额,其 相 的关种各技 术也相比对较熟 成 尽管防。墙火是网络安 的全主基要 石 但,我们不是能 防火墙把万化 能。防墙也不火避免可 的有它自身的 缺。 陷
一 .
上 。一
个有的效火墙依防 于一个赖明确清的 、 全面的安全楚策。实际 略上,在 设 安 全计 系统 时 先考首 虑的 应该 是 策 略 ,不是 防 火墙, 一 是 这而 个好的则规 。防火也因墙其本身取采安的全略策而不避免可具有的缺。 陷防
火 墙 有 两 种 对立 安 的全策 略 : ( ) 非 明 允确许 则,禁 某 止种服 务 除1
、否
网络安 全现
状网
络的放性和开享性共在便了人们使用方同时 ,的也得 使络网很 容易 到受攻 击 而,受 且攻击后到的害伤是重严 的 ,数如被据人窃 取,诸 务服器不能正提供常务 等等服 。 信 息域 领的罪犯也随之来 , 而取信息 窃 、篡数改据 非和攻击等对法 系 统使用者及全会 社成 的造危和害{ 也特失 别巨 大 =,6 i 并且日 增加 益 据 。 国美《金融时报》 道 , 报 现平均 在 每2秒就发 生一入次计算机侵 络网 O 事件的 ; 过 超31互的 联傲网攻破 。 约7 %以 上网络信息主的人 员报管 ,’告 0
闵机 密信
息漏泄而到受 了损 失。%6在过 的 1 去月个中遭到 内攻部 l 2 击 8 在,去过的 1 个中遭月 到部攻击外。5 %2 据公安 部资料计 , 统早在 19 我 国 98年已就获计破算黑客案件机 近百 ,起利计用算 网机络进的各行类违法行 在中为以每国 3年 %速的 度 递0。增黑客攻击的方法 已超 过算计病毒的机种 类, 总数达到 千种。近公 安部官 员估 计, 目 已前发现黑的客击案约攻占总 数 的%1, 5 多 事件数 由
于没有造 成 严 危重 害或 商 家 不 愿 透 露而 未 被 曝光 。 有 媒 报道体
,中 国 9% 的 It nt 连与 的络 网 管 理中心 都遭 到 过 境 内 黑 外客的 攻 击或 ne 5e r
相这种 策 略除 非 明确允 某 许种服 务 或 应 ,否 则 用防 墙火会 阻 止 所 有的通信在这种。情况假定防墙火应阻塞该所有息 信访,问制控 表CA (Lcs C nrli ,Aes o t 简s 称 AL ̄) oL C t 载i的允许规则是, 对据包数 的挡阻能 相力较大对,以 安性相全较强对 它 。缺点的 是 所 安“全高于性用使户的用 方 便 ”对用性进行户了 束约, , 自度较小由。 () 除非 明2不 允确,许 否则允某许种务服 这种策 略上一种与好相刚反 ,种策略这为认 防墙应火转该所发有 的信 通, 除 网非络管理员对某种务服表示明 确止禁这。情种况假防火定 墙 应该接收所 的有信息 包 A L表,中记 载 是 拒绝 的规则, 在 C 其绝拒范 围 小, 对数据 包的挡能力阻小较, 以安性相对较弱。 全 所它的缺是点 “使 用 的 方便性于高‘安性 ”但 内部网络是户用与界外通信所受约束较 的= , 小
,自 由 相度对 较 大。
侵入 中,行 银、 融和证券构机是客攻击 黑重的 。点 在中,国其 针对银 金 行 、券等金证领融域黑客的罪 案犯总件涉案额金 高达已数元 亿 ,对其 针 行业 他黑的犯客案罪件也时有生发 。
由此 可见 ,络 安 全是 一 个 关系 国 家 安全和 主 权、 会 定 、 稳 网社民族 文化的 继承发扬和重要问的 题 。 二 、防 火墙 述 概据统 计 ,连入 I RN T的 网T络 约为大 6 0, N E 0E0 个左0右 ,主机 数 总则 已超 过 10 0 0 万台, 由 于 IT R N EEN 上 T有 如此 的 用 多 , 中户 难免有 其 少数 居 心 不 的所 谓 良 “客 ” 。 黑防火技墙作术为 前目来实现 用网络全措安 的一种施要手主 ,段 它 主要是 用来绝拒未经权授的 刷户 访问,止未阻授的用户权存取感数 敏 ,据同允许合时法用不户妨碍地访受 网问络源资 防。火 墙可以即硬是 ,件也可 以是件 , 软还 以可是行特运定防火 软件的墙机系统主。 防火墙 实质的限是数制流通和允据许数 据流 ,通由 组一件 软、硬 件和一 组全安策略的 合 ,集并 在网络间进行之访控制问。防火墙 像是家 就里的 盗门一防 样 ,们对普它人通说是一层安来防护 ,全 是没有但何一 任 防火墙能提供绝种对保护 , 它同样的有也自己的局限 和脆弱性, 给不 事者好们来带“了 望” 希同也时给网络全安下了隐埋患 ,。 三 、 墙火的 限性 局 和
脆 弱 性防 对火防 的安墙全限局弱性分析脆 ,为了是更好利的防用火墙来保 网络护全, 安要获想得高级别的更网安络 全 我们 ,必须全分析面火防 自身墙 的安全弱 点 、 消 除 防 火墙出局 性限 和脆 弱 性 方 法 。 找 的
)(限性 分 析一 局
防火 对墙 络之间网数的据包按 照一定的 安全 策略来实施检 , 查以 决 网定之络的间信是通 否被 允许, 屏内蔽部网信的息 埘、 结外和运构 行 状况 ,并 供单一的安提全和审 计安控 制点装 , 从而到达保护内 网络部信 不息被部外授权非户访问用 ,过滤 不信良息的 的目。 由于防火墙是 基于 “允许 ” “ 或限制”数 据流 通, 它的通信性能与 其全安性是矛盾 , 要的提其高安全 势必性降 低火防 墙的能性 , 之反, 提高 它的 能性一就定降低会防墙的安全火性。如,例防 火的墙安性全立建在 对据检 查数 上 检查越细,安全越, 但是检 越 细查速越度慢 。
() 弱 性 ( )洞 析 二 脆 漏 分 脆弱性 ,又称 全漏洞安 ,是防就墙火的软件或件在设组 、 计码 、编 配 和使用置程 过的错误中所造成的缺陷。 攻击意者能够用这利缺陷 , 恶个 对 源资行进非权授访或滥问用, 背系统 安的全策 ,略 违 引发安全题。 问 防墙火的脆弱性表现为 全安漏洞, 具体为 : 】 防火墙在存无法阻止着击攻者使软用后门件击攻; 、 2 、法 阻止据数驱动攻 击的 拒绝务服击攻 造过滤、规则 中 使 用无 伪 I的址和物理 地址 P地 ; 无3有法效地阻止络网蔽隐通传道递信息等漏 洞 、; 4、 防墙的操火作统不系能保证有漏洞 没 ; 5 防墙无法火区是分恶命意还是令意善令等。命、 弱脆导性系致呈现一些统弱薄环节漏或洞,任何 胁都是因为系威 统 本身具有薄弱环节漏或才形洞或出现成 。的火防墙的弱性根脆源 很多 ,
有要 :主
() 1软设计件 编、 码的中误错 带 的来漏洞 ,例 如输条入件误错、 问 访验 证 错 、误界 检 错查 误等 边. .() 2 系用户 为方统操便 , 作更设改 置和用 户 主, 之问机信任的 关 系 传所递带 来的忡隐 缺 , 陷如无需入 H输 名 /户 j例密码的 文共享件 、 程远 登录等。 ) 3( 配和置操作缺陷: 于用户南配的置、 使用来带 的陷缺由于。现 代计算 网络的庞机复杂 大很,多管理只员使用默 配置认对或改更配置后 安的后全不清楚果, 使攻 击 者的入更 侵容为易。如为方便远程例管 理 ,管 理员在火墙 中留下防了隐 蔽的R A 道 ,通 S 从而使击者攻有可
能利用 该 通道 绕过防火 墙 的安 全监 控 。 击攻者果如要击一 攻受个 火防墙护保 的网络 首,先做要的 是机手 目标防 墙火访 的控问制 列规表信则息和内 部网拓络扑 信息, 后然用 利置规则配漏的使 防火洞墙 失去实策 略的能施,进力对受而保的 护内 部
l仃 攻 进击 。碉 络
防火墙
局限性的是防火墙受 自指限制或约束身的 性。质 国从外 历次内测 试的果结都可以看出, 前 目火墙防一个很 大的局限 是速度性 不 够。 具体 体 还 在现 1: 防墙拥火单有一的网络接 点人 ,、 存着规在则 被意滥恶致使用 资源 耗尽的 陷 缺 ;、 2防墙火不防止受病能毒染感 的件传输文; 3防火 墙不防止能内泄 密部为行 ; 、 4火防墙不能防不经范 防火墙的过击 ;攻、 5防火墙不能解 决 来 内部 自网的攻击 和安络 问全题 ; 、 6、 不 墙 防能 策止 略 置配 不或当 误错配 置引 起的 安威 全 胁 等。防 火 防 火墙局限的 性成因有 很方 多面,主 体要在防火墙现的设计策略
... —
综—上所 述 防火 墙, 是 整只体 安 防全范 策 略的一部 分 , 提 高网 络的 要 体安全性能 整 ,还需其要因他的考 素。虑 四 入、 检侵 测( nt s nD citn Isr i e t e uo 】o
24.— 4. .
科技— 喜 信
.
计 算 与机 络网
测 和特 检检征测 相合结 )的 侵检测入也不可避 免的缺有 陷 因,此 们同我 样不能仅靠入依检侵测系 统 还需要其他,技术 的合结能更有才地效解 决网 络 安全 题问 。 今 如入 的侵检 系测 统 也不尽 如 人 意 虽 然 ,开发 者 一直 尽力 改进 和 改 良现 有 的术克服这些 技足 ,不 而些 局限有 固有的 是 , 然见常的 有 : 缺乏有效1性, 、 处当 的事件非理多常 , 时无就 法事件进行实时分 对 析,从而致导入检测 侵系因统来及不处理过数量 据丢失或网络数 据 而失包效。 2 有 限 灵 的 性 活 今, 的 入侵 检 系测 统 操与作 系 统 是 关相的 , 当 、 且 如进升级行或重配新时 置 要,重新动启 。 需 3单点失 效 、 当,侵入 检测 统 自系 身因受 到攻或击其他 因而原不 正能常工作时, 其 保功护就能会失丧。 4 缺 对入乏 侵检测 键组件关的保护 , 、 入 检测 系统 侵自也身 面对 很多攻 击 ,果 如 攻击把 入 侵 测 检系 统某 一 组 件 破攻 么, 侵 检入测 统系的 那 检 测功 就 能会 打大折 扣 。 ( )侵检测 与 防火 墙 联 动 三 入 如说假 防火墙是 一 大幢 楼的
门锁 ,那入侵 监测统系是这 就大楼幢 里 的监视 系统。防火墙 工 作方被式 动 ,供提的是 静防御 态,的规则 都 必它事先设须置好, 于未 列出 的络网击不 攻实能时反 应制止 并 对 ,法无 利用 网络态和状网 信络 息自调整动策设略置以阻断正在 行 的攻击进。 通 常 安,策略 全要用来主 止防来外侵 ,人而 不监是控内部 用 。 户 对相应 的,入 侵检 测统系 IS虽 有发具入 侵现 、断接 的连功 能, D阻 但其重点更 多地放在入对行侵 的识别为上,网络整体 安的策全还需略
由火防完成墙 。
由于防
火墙有上具不 可述避 免局的限 性和弱性 脆 ,网防络护 中,在 不 能 够 仅依 靠 火防 墙统 , 系 该应 其和他 安 全 的 施措 结合起 来 同建 , 而
立 共更 加强 大 的络 网御防系 统。 ) 侵检(测术 技一 入 由于防墙本火 身的缺 ,陷上 T P P议族本身 缺乏协应相的 全 加 安C3机 制 ,使个 整网不 可避免地络存 在全 安问题 。侵入 测系检统 I (n SD I s—ui cto mv 很 好)的 弥 补 火 防 墙不的足 , 防 火 墙 技 术 之t sDne ts nr oei能
是后
新代的一全安障技保术, 是 对防墙 火必的补充 要 如果。我将计们算机网络 比作城堡 , 么那 防火 墙是就城 堡护城的 桥( ) 河— — 允许 己方只 的队伍通 过 入。 检测侵 统系就是城 堡的 了望中 哨 — 监—视无有方敌其他误或城入的堡人 现 出 。作 为种 一动主的安全护措施 ,防 通过它对计算 网机络和计机 算 系统 中的干若关 键收点集信并对息其行进分 析 从 ,中发现 络或系网 统中 是 否有违 安反 策全的行为略被和击攻的 象 迹,它提供 了 内对攻部 击 外、 攻部 击误 和 作操 实的时 保 护,在 络 收网到危 之 害 进 前行拦 截 和 应响 能 个。通 用的 人 侵检 系测统它 分 为 四个基 本 组 件: 件 产 生 器、 分 件 事 事 器析 应单元、和件数据库事( 图 。 1响 )
一如
图
1 侵 检 测入 系统 的 基本 构成 图事件产 器 的任生务 是从入侵检测 统系 之外的计算机环境 中采 集 数据 ,它数据 流 对、日 志文等件行进追踪 , 将后集 收的原始 到据转换数 然
为
件 , 并事把这事件传些 送给其 组件它。 件事析分分析器 从他其件组 到的收 事件息 ,信后 然它对们进行分 析 ,判断 否是入侵行是 或为异 现常 象最, 将判断结果后化 转警为信
息。告
事
件据数库来存储用各 中间种最终和数 ,它从事件据生 产器或 事 分析器接收件
数据进并保存行以备 系统 需 时使 用要 。 响应 单根元警告据信息作出 反应 ,并 据采 此相应取的施措 ,它以 可做 出杀 死相关进程 、 链将接 位复 、改修文 权 限等件烈反应 ,强也 可 只 以简单是报的警, 是它入侵测系检统 主要的武 器 。 人检测侵系统正是 通过 这 个 组四的件 相互调和 配协合 工而 作。 的 侵检测入系相 比其他统安的全 品产 要有更多需 的智能 能将得,到 的数 据 进智行能 析 分 ,有出意义 结果 ,的且并求不 断要地更新弱点据 数 得库 ,能以够识 别最 新的入侵为行。 个合格的一侵检测入统能够大大化 系简 网络管理员 工的 作 ,保证网 络全的安运 行。从网络安 全体立纵深、 多层 防御 次的度看角, 侵检入测应受 到 度高视重。 据入侵检根所采测 用的 技术 同 不,以分 为 两 类 常:检测 和 特 征 检 测。 异可 1 常 检异测 、 于异基的入常检测 侵方法主来源于要这样的思想 ,人 正常行为的 都 是一定 的规有 律, 并且 以通过可分析这些 为 行, 生产 志日信 并息结总 出这些规律 ; 而侵和滥入用行 则 为通常正和 的常 行存在为重 严的 异 ,差 检查 出些这差异就可 以检 出测入 侵 。这 ,样我们不 但 能检测 出知的入已 侵 行为 还,能发未现知的攻击 模式。 异常检 测 根使据 用的者为行或资 使源 用状况判 断是否 来侵入, 例 如, 通过流量统计析分异将时 间常异的 常络网量流视 为疑可 ,以也 所被 称 为 基 于 为行 检 的 。测基 于 为 的行 测 检与系 统 对相无 ,关用 性 较 强 通 。甚至可能检测 它出以前未出现 的过新的 击方式 ,不攻 像基知于识 检的 测( 滥用监测 ) 那样 受已模式的知限制, 不能发现 新攻击的方 式
2。 、征检 测
特在
目 前的研 究 和 际实 应 用 ,往 中往 将 火 防 墙与 入侵 检测 系 统孤 立 起 单来使独用。侵入检测与防墙火间之的 联动够弥能各 自补的缺陷 ,实 现优 势互补 , 建立一而个全位的防御体方。系现实入侵检测防火和墙 从 之 的联间有两动种方式 :1通过 定 的一则来规实 现联 :动署在 些 某域 区的 侵入检产 测品 、 部如果 能和相关的防火 在 墙络网上 通 可,可以发则它们挥 之间的 动联 功能。 如 果够将入侵检能 测 品产和火防墙品产动 联 可,以防火墙在系上 统定义哪些 动是活合 不法的动活 ,后然把这种 安 全策转换成略侵 人测 规检 则 ,一旦入侵检 测现发攻 行为击 ,它 以通可知 火防修 墙改全规则 ,安 阻后止 续攻的行 击, 提高为
网络安效 率。全 2 将 侵检入测系 统 入嵌 火防 墙系 统 中 、:这种方 将两法 种术技真正 的 二合一 为, 如果防 墙具火有一定的 侵人测功能检, 则可以在 防火墙 上 开打 功 此 能, 在 防火 上墙使 用 侵入 测 检功 可 以有能 效地抵 制 来 自内 部 和 外 网部 的络攻击 ; 果 入侵 检测 系 具统备 防 火 墙 功 能 ,的它 可 以有 如则效 的 保 自护 的 组身件 免遭 击 并 对 检攻 测到的 入 侵 为进行 行及时 的控制 追 和 。 踪
、五结 展 望 总
于技 术由方 面等的 原,要真 正因现实防墙与入侵火检测 系统的 联动,可能会 临很 多挑战 。但面 ,是于防 火与入侵检测墙 统 系动有联 基效 提地升 火墙 防机 动的和实性反应 时力能, 同增时 强了入检测侵系 的统 阻功断 能, 火墙防和入侵 检测的 动是今后 联全安技发展术 的个一方 向。 侵检测技术入与防火 墙技术的 结合,将会使 消防火墙局 限性和脆除弱 性 成为可能 合理 的,合 运综用 些这术 , 可技以 效有的加增算机 计络 的网 安 性 全,使 计机算网 安全进络入个全一 新时代 的。
参考 文 献
] [湘黔 . 络 全 安与 火防 技墙术 … . 庆 : 庆 大 学出版 ,社 曾 网 1 重重
2 0 . 0 54
[
]奇 富网络 安 全 术 技][ 州 : 江杭 大学 版出社,06 8姚2T . 2 浙 0
特征测又称为滥检用监 测 它,假所定入侵有行和手为段( 及其变 )种 都 能 够表 达 为 一 模种 式 或 征 特,么 , 有 知 的 已入 侵 法 都方可 以 用 匹 那 所 配方法发现 的 。模式现发 关键的如何是表 入达侵的 模式 把真正,入的侵 与 正行为 区分开常 。来因为很 一大部分 的 入侵是用利 了知 系统已脆的 性弱, 通 过分入析侵程的过征 特 、件 、条 顺 以序及事 件的间关系 以, 可具 描述入体侵为 的行迹 。象这 方法 由于种依具据体 征库特 进行判断 ,以 所 准确 度 很 。高为 检测 结 有果 确明的 参 照, 管为理 员 做相出应 措 施 提 因 也 供 了便方 。 ( ) 侵 检 系 统测 不 的 足二 由于入异 常检测 和特 检 测征 也 各有自 自 身的 陷 缺 至, 混 式合 ( 常甚 异
[]
张3基温.信 息统系全教安 [程]北京 I:清 大学 出版社 华, 077 2.0 []美] (登le , ) 4[ 侯 Ho dn .G 王 , 斌孔璐 译. 火墙与防 络网安全一入 侵 测和检 VP [ ] Ns M. 北京: 清 华大 出学社 ,版 04 62.0 [ ] 云 信所息安全论[概北京]
: 5 I段 高等.教育 版出社 , 93020. [ ] 6吴煌 煜网络 与信安息 教全 []程 京 北: 国 水 利 电 水版出社 , I 中
.
2 ̄
6 ( 0
[ ] 罗7守山 入检侵 []测J. 北京 : 北京邮 大学出版社电, 302 0 []8 李涣 洲. 网 安络全 入和检侵测 技术 ]l川四: 师 范川大 学学 I 四
报. 0 1. 12 0
[
] n rw ebau 熊桂喜 , 小 虎 等 译计 算 机网络 ( 9 A d三 se Tn nma 王第 )J版 . :京 大 华学 出版社 ,9 8 [ ] 北清 91 [0 [ ] b cGa r yBae 侵 入 测 检 ] [ : 京 邮民 电出版 1 ] 美eR ceul e. Mc. 北 人社 ,
1 0 02
~
24 5
—