1、密 级:文档编号:项目代号:中国移动企业信息化防火墙安全规范Version 1.0中国移动通信有限公司二零零四年十二月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人,负责对本文档进行标准化审核4读取5读取目录1综述62防火墙简介和分类72.1防火墙简介72.2防火墙分类82.2.1包过滤(Packet Filter)82.2.2应用层代理(Proxy)92.2.3电路层代理(Circuit Proxy)92.2.4动态包过滤(D
2、ynamic Packet Filter)102.2.5全状态检测(Stateful Inspection)102.2.6自适应代理(Adaptive Proxy)112.2.7深度包检测(Deep Packet Inspection)113防火墙技术133.1NAT133.2双机热备143.3桥接、路由143.4内容过滤163.5带宽管理173.6附加功能:攻击保护,联动功能,入侵检测,防止攻击184防火墙的体系结构214.1屏蔽路由器(Screening Router)214.2双穴主机网关(Dual Homed Gateway)214.3屏蔽主机网关(Screened Host Gate
3、way)224.4屏蔽子网 (Screened Subnet)225防火墙的功能要求245.1包过滤防火墙应具备的基本安全功能245.1.1用户数据保护功能245.1.2识别与鉴别功能265.1.3保密功能275.1.4可信安全功能保护275.1.5安全审计功能285.2应用网关防火墙应具备的基本安全功能305.2.1用户数据保护功能305.2.2识别与鉴别功能335.2.3保密功能345.2.4可信安全功能保护345.2.5安全审计功能355.3防火墙的特殊安全功能要求375.4选择防火墙的考虑396防火墙的管理与配置416.1安全策略配置416.1.1通信策略426.1.2访问策略446.
4、1.3应用策略446.2安全策略流程管理466.2.1增添安全策略流程476.2.2更改安全策略流程486.2.3删除安全策略流程496.3防火墙分级管理506.3.1管理员角色定义506.3.2用户参数管理526.4日志审计及监控546.4.1安全审计原则546.4.2审计方法及过程556.5日常维护管理596.5.1防火墙系统资源监控596.5.2系统日志监控606.5.3数据包捕获分析606.5.4定期备份607防火墙适用环境与部署原则627.1适用环境627.2部署原则631 综述本规范的目的是介绍防火墙的分类、常用技术和体系结构,并为中国移动企业信息化系统提供使用防火墙时需要考虑的功
5、能要求、策略配置和管理要求,以及防火墙系统的维护和审计方式,帮助中国移动企业信息化系统安全管理人员建设新的防火墙系统,或是对现有的防火墙系统进行改造、调整、维护,以满足企业信息化业务发展对网络安全的要求。2 防火墙简介和分类2.1 防火墙简介防火墙是一种控制隔离技术,是在被保护网络和外部网络之间的一道屏障,用以分隔被保护网络与外部网络系统,防止发生不可预测、潜在的破坏性侵入。防火墙的主要作用是:过滤进出网络的数据、管理进出网络的访问行为、封堵某些禁止的业务、记录进出网络的信息和活动、对网络攻击进行检测和告警。防火墙是一个中心“扼制点”来防止非法用户,如黑客、网络破坏者等进入内部网络。简要来讲,
6、防火墙具有以下几方面主要作用:控制不安全的服务防火墙可以控制不安全的服务,因为只有授权的协议和服务才能通过防火墙进入到内部子网。这就大大降低了子网的暴露度,从而提高了网络的安全度。主机的访问控制防火墙还提供了对站点的访问控制。比如,从外界可以访问内网的某些主机,而对内网内的其它主机的访问则会被视为非法。强化安全管理 透过分布式防火墙/网络管理系统对网络内部设备的监管,可有效控制内部工作站对内部主机、外部Internet的登陆与访问,通过对其使用的协议、端口以及通讯数据的过滤,加之根据具体应用的规则限定与流量控制,可有效防止发自于网络内部的攻击,从整体上强化系统的安全管理增强抗攻击能力。强化私有
7、权对一些站点而言,私有性是很重要的,因为,某些看似不甚重要的信息往往会成为攻击者灵感的源泉。使用防火墙系统,站点可以防止诸如DNS域名等服务,从而使Internet外部主机无法获取站点名和IP地址。封锁这些信息,可以防止攻击者从中获得一些有用信息。网络连接的日志记录及使用统计日志是对一些可能的攻击进行分析和防范的十分重要的情报。另外,防火墙系统也能够对正常的网络使用情况作出统计。通过对统计结果的分析,可以使得网络资源到更好的使用。其它安全控制各部门可以根据本单位的特殊要求来配置防火墙系统的使用规则与应用参数,从而保障自己部门的网络安全运行。2.2 防火墙分类根据技术实现方式的不同,传统的防火墙
8、的类型主要有三种:包过滤、应用层代理、电路层代理。在应用层代理技术的基础上又出现了自适应代理技术。后来在包过滤技术基础上又出现了动态包过滤,在动态包过滤技术基础上又发展为全状态检测防火墙。目前,新的发展方向是采用深度包过滤技术。2.2.1 包过滤(Packet Filter)包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包过滤主要检查包头中的下列内容:IP源地址、IP目标地址、协议类型(TCP包、UDP包和ICMP包)、TCP或UDP包的目的端口、TCP或UDP包的源端口、ICMP消息类
9、型、TCP包头的ACK位、TCP包的序列号、IP校验和等。包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能和透明度好,不需要改变用户的行为。这类防火墙的缺点是:防火墙维护比较困难;不能识别大多数IP欺骗,因此不能有效防止黑客的欺骗攻击;不支持应用层的过滤,不能防范数据驱动型攻击;无法对网络上流动的信息提供全面的控制,例如不能跟踪TCP状态,导致一些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。2.2.2 应用层代理(Proxy)应用层代理防火墙也被称为应用层网关,这种防火墙的工作方式同包过滤防火墙的工作方式具有本质区别。代理服务是运行在防火墙主机上的专门的应
10、用程序或者服务器程序。应用层代理为一特定应用服务提供代理,它对应用协议进行解析并解释应用协议的命令。应用层代理的优点为它能解释应用协议从而获得更多的信息,支持用户认证。缺点是只适用于单一协议;处理速度非常慢,不能支持大规模的并发连接。2.2.3 电路层代理(Circuit Proxy)另一种类型的代理技术称为电路层网关(Circuit Gateway)。在电路层网关中,包被提交到用户应用层处理。电路层网关用来在两个通信的终点之间转换包。电路层网关是一个建立应用层网关更加灵活的方法。虽然它们包含支持某些特定TCP/IP应用程序的代码,但通常要受到限制。如果支持应用程序,那也很可能是TCP/IP应
11、用程序。在电路层网关中,可能要安装特殊的客户机软件,用户需要一个可变用户接口来相互作用或改变他们的工作习惯。2.2.4 动态包过滤(Dynamic Packet Filter)这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。动态包过滤只有在用户的请求下才打开端口,并且在服务完毕之后关闭端口,这样可以降低受到与开放端口相关的攻击的可能性。防火墙可以动态的决定哪些数据包可以通过内部网络的链路和应用程序层服务。可以配置相应的访问策略,只有在允许范围之内才自动打开端口,当通信结束时关闭端口。这种方法在两个方向上都最小化了暴露端口的数量,给网络提供更高的安全性。对于许多应用程
12、序协议而言,例如媒体流,动态IP包过滤提供了处理动态分配端口的最安全方法。2.2.5 全状态检测(Stateful Inspection)动态包过滤技术后来演变为全状态检测。全状态检测防火墙在包过滤的同时,检查数据包之间的关联性,检查数据包中动态变化的状态码。它有一个监测引擎,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。全状态检测防火墙保留状态连接表,并将进出网络的数据当成一个个的会话,
13、利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。网关型包过滤防火墙的一个挑战是效率与安全性成反比,全状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。全状态检测技术采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。目前市场上的主流防火墙,一般都是全状态检测防火墙。2.2.6 自适应代理(Adaptive Proxy)应用层代理的主要问题是速度慢,支持的并发连接数有限。因此,NAI公司在1998年又推出了具有“自适应代理”特性的防火墙。
14、自适应代理不仅能维护系统安全,还能够动态“适应”传送中的分组流量。自适应代理防火墙允许用户根据具体需求,定义防火墙策略,而不会牺牲速度或安全性。如果对安全要求较高,那么最初的安全检查仍在应用层进行,保证实现传统代理防火墙的最大安全性。而一旦代理明确了会话的所有细节,其后的数据包就可以直接经过速度更快的网络层。自适应代理可以和安全脆弱性扫描器、病毒安全扫描器和入侵检测系统之间实现更加灵活的集成。作为自适应安全计划的一部分,自适应代理将允许经过正确验证的设备在安全传感器和扫描仪发现重要的网络威胁时,根据防火墙管理员事先确定的安全策略,自动“适应”防火墙级别。2.2.7 深度包检测(Deep Pac
15、ket Inspection)目前的应用层代理和状态检测防火墙不能阻止大规模的网络攻击。例如目前流行的冲击波、震荡波、Nimda病毒等可以在应用层利用漏洞进行攻击,垃圾邮件泛滥严重影响网络的效率,而应用层代理和状态检测防火墙不能有效防范这类攻击。今后,越来越多的攻击是应用层攻击和DDOS攻击,而传统的防火墙所起的作用有限。深度包检测防火墙提供了入侵检测和攻击防范的功能,它能深入检查信息包流,查出恶意行为,可以根据特征检测和内容过滤,来寻找已知的攻击,并理解什么是“正常的”通信,同时阻止异常的访问。深度包检测防火墙代表了防火墙技术的未来发展方向。深度包检测技术成功地解决了普遍存在的拒绝服务攻击(
16、DDOS)的问题、病毒传播问题和高级应用入侵问题,代表着防火墙的主流发展方向。深度包检测防火墙应能防范恶意数据攻击:能识别恶意数据流量,并有效地阻断恶意数据攻击,解决SYN Flooding、Land Attack、UDP Flooding、Fraggle Attack、Ping Flooding、Smurf、Ping of Death、Unreachable Host等攻击,有效的切断恶意病毒或木马的流量攻击;能防范黑客攻击,能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。国内外的一些主流防火墙厂商已经开始采用深度包检测技术。例如,CheckPoint的SmartDefense能够查找常
17、见的攻击,然后丢弃与之相关的会话。NetScreen通过购买OneSecure,使得它能够把深度包检测技术合并到它的硬件防火墙中等。3 防火墙技术3.1 NATNAT可以节约公用IP地址,同时外部也不能直接查找到中国移动内部的网络设备,可以起到隐藏和保护内部信息的作用。因此在移动内部网络中使用内部私有空间地址,通过NAT把内部私有地址翻译成合法的公用全局IP地址。目前NAT功能通常被集成到路由器、防火墙等设备中。NAT设备维护一个NAT表,用它来实现全局到本地和本地到全局地址的映射。路由器或防火墙等设备利用NAT表把私有IP地址映射到合法的全局IP地址上去。每个私有地址包通过NAT设备都被翻译
18、成合法的全局IP地址发往下一级设备,这给NAT设备的处理器带来了一定的负担。不过对一般的网络来说是微不足道的,除非是有许多主机的大型网络。NAT有三种类型:静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)。其中静态NAT设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。当建立内部网的时候,建议使用以下地址组用于主机,这些地址是由Network Working Group(RFC 19
19、18)保留用于私有网络地址分配的。Class A:10.1.1.1 to 10.254.254.254Class B:172.16.1.1 to 172.31.254.254Class C:192.168.1.1 to 192.168.254.2543.2 双机热备虽然使用网络地址翻译可以带来许多优点,例如可以帮助网络管理员向互联网隐藏内部网络地址,并把内部网络地址转换为合法的公有地址;使现有网络不必重新编址、减少了ISP接入费用,还可以起平衡负载的作用。但NAT也潜在地影响到一些网络性能和安全设施及部分网络应用,这就需要网络管理员谨慎地使用它。使用防火墙,就定义了一个中心“扼制点”,所有来自
20、和去往Internet的信息都必须经过防火墙,都要接受防火墙的检查,防止非法用户进入内部网络,禁止存在安全威胁的服务进出网络,并抗击来自各种路线的攻击。但是,单个的防火墙存在着单点脆弱性的问题,因为防火墙处于内部网络和外部网络相连的边界上,处于网络链接的关键部位,当该防火墙忙或者宕机时,服务就被迫中断了。为了防止这种情况的出现,应该使用冗余的防火墙来提供系统的容错性,同时也可以提高系统的处理能力。 防火墙的冗余解决方案为系统的自然增长提供了完备的可扩缩性,能够方便地管理一群相对低价位的防火墙或者VPN系统协同工作,而不用花费大量的投资升级到单个不具容错能力却价格昂贵的防火墙。另外,冗余防火墙能
21、够提供不停顿的网络安全通信,保证了在正常的维护和升级期间的不间断服务。当要从网络上暂时移去一个防火墙时,系统会自动地将流量重定向到别的防火墙上,而增加一个防火墙时,系统也会自动地将流量重新分配到包括新防火墙在内的每个防火墙上。3.3 桥接、路由桥接模式:在桥接模式下,防火墙在网络中被配置成为一个桥接设备,在各个网段之间转发数据,而网络中的其他设备并不会感觉到网桥设备的存在。接口为Transparent 模式(透明模式)时, 防火墙设备过滤通过防火墙的封包,而不会修改 IP 封包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分,而防火墙设备的作用更像是Layer 2(第 2层
22、)交换机或桥接器。在Transparent 模式(透明模式)下,接口的 IP 地址被设置为 0.0.0.0,使得防火墙设备对于用户来说是可视或“透明”的。Transparent 模式(透明模式)是一种保护 Web 服务器、或者主要从不可信源接收信息流的其它任意类型服务器的方便手段。使用Transparent 模式(透明模式)有以下优点: 不需要重新配置路由器或受保护服务器的 IP 地址设置 不需要为到达受保护服务器的内向信息流创建映射或虚拟 IP 地址应用环境:需要在网络中添加一个防火墙而不需要修改网络中任何设备的参数;路由模式:路由模式下,防火墙在网络中被配置成为一个路由设备,让处于不同网段
23、的计算机通过路由转发的方式互相通信。接口为Route 模式(路由模式)时, 防火墙设备在不同区段间转发信息流时不执行 NAT ;即,当信息流过防火墙设备时,IP 封包包头中的源地址和端口号保持不变。与Transparent 模式(透明模式)不同, Trust 区段中的接口和Untrust 区段中的接口在不同的子网中。接口运行在Route 模式(路由模式)时,可在策略级选择性地执行 NAT,而不是在接口级应用 NAT(这样做会使发出外向信息流的所有源地址都被转换为目的地接口的 IP 地址)。通过为内向或外向信息流上的指定源地址创建启用 NAT 的策略,可确定要确定路由的网络和 VPN 信息流,以
24、及对哪些信息流执行 NAT。对于网络信息流,可使用IP 地址或动态IP (DIP) 池的目的地区段接口地址来执行 NAT,动态 IP 池与目的地区段接口在同一子网中。对于 VPN信息流,可使用目的地区段接口 IP 地址或其相关 DIP 池的地址,或者通道接口 IP 地址或其相关 DIP 池的地址,来执行 NAT。使用路由模式有以下优点: 可以自然的隔离二层的攻击 可以同时支持多个网络区域间的安全策略 可以参与路由协议的运行,以支持复杂的网络拓扑应用环境:路由模式主要应用于内部网络与外部网络(如因特网)的连接。实施的考虑考虑到功能和安全性的因素,应普遍使用路由模式的工作模式,尤其在较关键的网络位
25、置。由于桥接模式的特殊功能,可以作为一种补充的手段在特殊的情况下使用。3.4 内容过滤内容过滤是基于应用层信息对数据包进行过滤。信息的过滤处理需要进行大量的查找工作,而且查找所基于的数据库通常非常巨大而且不断在被修改,因此不适于在防火墙内部进行数据库的维护和查找。通用的做法是:防火墙根据预定义的策略,将策略匹配的所有数据包的相关信息(通常是URL)送交外部的服务器该服务器维护了完整的过滤策略数据库,服务器对防火墙送交的应用层信息进行深层次的解析,判断是否需要对相应的数据包进行过滤。内容过滤的服务器和防火墙之间由特别定义的协议保持联系,通常是由服务器软件提供商定义的,如:Websense, N2
26、H2等。实施的考虑 过滤策略数据库的维护是工作重点。它是此功能的核心 防火墙的工作机制也关系到最终的性能。如:时延。应要求防火墙将内容请求信息及时转发给过滤服务器和应用服务器,但对应用服务器的响应内容做缓存,当过滤服务器的判决结果被收到后立即对缓存内容进行转发或丢弃。 防火墙支持的过滤数据库协议需预先考虑。3.5 带宽管理在一个高效管理的网络结构里,带宽管理是非常重要的功能,它能够避免在网络关键节点产生拥塞。防火墙系统通常会被部署在外网到内网、内网子网之间的关键位置,因此,防火墙具备必要的带宽管理功能对提高整个网络效率会起到非常重要的作用。因此,防火墙应该支持基于Policy对带宽进行控制。防
27、火墙对Policy的定义可以根据源地址、目标地址、源端口、目标端口以及时间段等多种因素,所以,对带宽管理的控制也是高度灵活的。通过实施带宽管理,保证关键应用的顺畅进行,同时,防止某些应用或某些用户无限制的消耗带宽,或防止某些攻击耗尽带宽。在实施的过程中,防火墙的流量算法可以精确控制带宽分配:类似于帧中继技术中的带宽管理功能,对特定的网络服务设定最小网络带宽(最小是10K)和最大网络带宽;另外,通过设置8级队列的优先级,为不同的流量分配优先权。在当前的网络里,为实现设备端到端的QoS质量保证体系,越来越多的设备支持DiffServ协议框架。因此,防火墙也需要支持Diffserv的字段映射,可以将
28、Priority级别映射到DSCP的系统上。最后,为方便管理人员查看相关网络服务的带宽使用情况,防火墙可以提供必要的图形化流量监控,即在防火墙的Report功能内可以图形化地显示当前某策略的网络流量状况,也可以显示历史记录。 3.6 附加功能:攻击保护,联动功能,入侵检测攻击保护:防火墙作为网络通讯的安全控制门户,对来自内/外网络的攻击,也需要能够提供足够的抵挡功能。以SYN Flood攻击举例,SYN包是正常的TCP请求包,当大量的SYN到达服务器时,就会造成服务器内存和CPU的消耗,严重的会造成服务器的崩溃。防火墙系统可以针对SYN的攻击提供防护,当访问服务器的SYN频率高于某个设定阀值时
29、,防火墙自动启动代理服务功能(Proxy),代替服务器响应SYN的请求。只有产生了Ack确认的网络访问,防火墙才会让该访问流透过防火墙转发到服务器;对于在规定时间内没有响应Ack的数据流,防火墙会主动将连接清除。通常,防火墙能够防御不低于30种的目前较为流行的网络攻击。如果防火墙在设置防御攻击方面有灵活的设置选择,将能更有效地消除攻击而不影响防火墙的性能。联动功能:IDS入侵检测设备和防火墙的联动功能是早几年前提出的安全防范措施,随着黑客技术以及网络安全技术的发展,联动功能的弊端也日渐凸现。目前,Internet公用地址不足,往往很多用户共享一个IP地址上网,一旦其中某个用户启动黑客攻击,被I
30、DS检测到并联动防火墙阻断该IP地址的访问的话,这个IP地址后的所有其它用户都将无法访问该站点。这将是非常大的安全漏洞,而在电信企业内部网络的环境中,更容易产生这种问题。目前,还有另外一种选择,即:防火墙设备集成入侵检测防御功能,在检测到网络攻击的同时,能够切断该攻击连接,而不需要同防火墙作联动。这种方法更有效、更能在攻击到达目标之前消除攻击。入侵检测:分类说明1) 针对性的参数调整一些基本的防火墙功能对应的参数的调整可以在一定程度上防止攻击的发生。如:超时等待时间、最大半开连接数、最大半开连接时间等。2) 入侵检测的提供入侵检测功能可以基于已知网络攻击的特征,对数据包进行仔细分析,以发现并最
31、终阻断攻击。由于入侵检测的计算量和时延大大超过基本的防火墙处理,因此,防火墙上的入侵检测的特征库通常只是基于最常见的攻击。绝大部分攻击为常见的大约100种特征所涵盖,因此,可以在防火墙上只针对这些攻击打开入侵检测功能。3)与入侵检测系统的联动通常入侵检测设备工作在旁路的方式下,通过检查每个数据包的特征,并与攻击特征做对比,从而分析出攻击包是否存在。当发现攻击数据包的时候,入侵检测设备无法主动阻断攻击,一般有2种方式实现对攻击的阻断: TCP reset这种方式是通过向服务器和客户端发送TCP Reset信息,使服务器或客户端丢弃当前攻击包。然而,由于网络传输速度的往往不一致, Reset无法准
32、确地将数据包丢弃。结果,服务器仍然受到了攻击。而且,TCP reset只对TCP生效。 防火墙联动IDS设备侦测到网络攻击,发起一个自动脚本联动防火墙,由防火墙根据IP地址、端口服务等信息阻断该访问。但是,由于防火墙只能根据IP地址、服务端口阻断攻击包,如果有来自代理服务器IP地址的某个攻击的话,来自该IP地址的所有访问都将被阻断。鉴于上述IDS设备所固有的缺点,目前业界出现IDP技术,即除了检测攻击以外,还能够主动阻断攻击,而不需要借助防火墙或TCP Reset等手段。而且,IDP设备能够工作在旁路的模式下(不能阻断),也可以工作在在线方式下(能阻断)。实施的考虑:防攻击的手段的实施通常与网
33、络的性能有直接的关联,需要仔细平衡和调节上述第一种手段基本不会影响防火墙的性能,通常一定是会考虑的第二种手段可用于大多数中、小节点,提供较完善的攻击防护,同时不增加网络的成本和复杂性。第三种手段设备投资和管理的成本很高。对攻击源不仅要及时阻断,而且要进行仔细的分析和长期的观察,以找到攻击发生的根本原因。被IDS检测到并联动防火墙阻断某IP地址的访问的话,这个IP地址后的所有其它用户都将无法访问该站点。这将是非常大的安全漏洞,而在电信企业内部网络的环境中,更容易产生这种问题。不建议广泛使用。4 防火墙的体系结构网络的拓扑结构和防火墙的合理配置与防火墙系统的性能密切相关,防火墙一般采用如下几种结构
34、。4.1 屏蔽路由器(Screening Router)这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户。4.2 双穴主机网关(Dual Homed Gateway)这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行
35、着防火墙软件,可以转发应用程序,提供服务等。双穴主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。双穴主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。4.3 屏蔽主机网关(Screened Host Gateway) 屏蔽主机网关易于实现也很安全,因此应用广泛。例如,一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确
36、保了内部网络不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面,内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。4.4 屏蔽子网 (Screened Subnet) 这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡
37、垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,整个过程中不能引发警报。 选择防火墙结构时,一般很少采用单一的技术,通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心能接受
38、什么等级风险。采用哪种技术主要取决于经费,投资的大小或技术人员的技术、时间等因素。一般有以下几种形式: 1、使用多堡垒主机; 2、合并内部路由器与外部路由器; 3、合并堡垒主机与外部路由器; 4、合并堡垒主机与内部路由器; 5、使用多台内部路由器; 6、使用多台外部路由器; 7、使用多个周边网络; 8、使用双重宿主主机与屏蔽子网。 5 防火墙的功能要求虽然前面章节介绍防火墙的体系结构和技术多种多样,但防火墙产品从原理上主要分为两类:包过滤和应用网关。本章分别规定了包过滤和应用网关防火墙的最低安全要求。首先定义两种策略,第一种策略称为:未鉴别的端到端策略,主要讨论一个内部或外部网络上的主体通过防
39、火墙发送数据流到一个外部或内部网络上的客体。第二种策略称为:有鉴别的端到端策略,主要讨论一个内部或外部网络上的主体在发送数据流前,必须通过防火墙的鉴别,才能将数据流传送给一个外部或内部网络上的客体。5.1 包过滤防火墙应具备的基本安全功能中国移动企业信息化系统采用的包过滤防火墙必须具有以下的基本安全功能:5.1.1 用户数据保护功能5.1.1.1 完整的客体访问控制防火墙的安全功能应在以下方面执行未鉴别的端到端策略:a)主体:未经防火墙鉴别的主机;b)客体:内部或外部网上的主机。以及安全功能策略所包括主体和客体上的所有操作。防火墙的安全功能应确保安全功能策略包括了控制范围中的任何主体和客体之间
40、的所有操作。5.1.1.2 访问授权与拒绝防火墙的安全功能应执行未鉴别的端到端策略。根据主体和客体的安全属性值提供明确的访问保障能力。防火墙的安全功能应执行未鉴别的端到端策略。根据主体和客体的安全属性值提供明确的拒绝访问能力。5.1.1.3 多种安全属性访问控制防火墙应根据源地址,目的地址,传输层协议和请求的服务(如源端口号或目的端口号)对客体执行未鉴别的端到端策略。防火墙应执行以下规则以确定受控主体与受控客体之间的操作是否被允许:a)防火墙应拒绝从外部网络发出的、但拥有内部网络上的主机源地址的访问或服务请求。b)防火墙应拒绝从外部网络发出的、但拥有广播网络上的主机源地址的访问或服务请求。c)
41、防火墙应拒绝从外部网络发出的、但拥有保留网络上的主机源地址的访问或服务请求。d)防火墙应拒绝从外部网络发出的、但拥有环回网络上的主机源地址的访问或服务请求。5.1.1.4 资源分配时对遗留信息的充分保护防火墙应保证在为所有客体进行资源分配时,不提供以前的任何信息内容。5.1.1.5 管理员属性修改防火墙应执行访问控制的功能策略(SFP):未鉴别的端到端策略,向授权管理员提供修改下述参数的能力:a)标识与角色(例如:管理员)的关联。b)5.1.1.3中标识的访问控制属性。c)与安全有关的管理数据。5.1.1.6 管理员属性查询防火墙应执行访问控制的功能策略:未鉴别的端到端策略,向授权管理员提供以
42、下查询:a)5.1.1.3中标识的访问控制属性。b)主机名。5.1.2 识别与鉴别功能5.1.2.1 授权管理员和可信主机鉴别数据初始化防火墙应根据5.1.2.6和5.1.2.7中规定的鉴别数据提供授权管理员和可信主机鉴别数据的初始化功能。防火墙应确保只允许授权管理员使用这些功能。5.1.2.2 授权管理员和可信主机鉴别数据的基本保护防火墙应保护存储于设备中的鉴别数据不受未授权查阅、修改和破坏。5.1.2.3 鉴别失败的基本处理防火墙的安全功能应能够在鉴别尝试经一个可设定的次数失败以后,终止可信主机建立会话的过程。最多失败次数仅由授权管理员设定。在可信主机会话建立过程终止后,防火墙的安全功能应
43、能够关闭可信主机的帐号,直至授权管理员重新开启。5.1.2.4 授权管理员、可信主机和主机属性的初始化防火墙的安全功能应提供用默认值对授权管理员,可信主机和主机属性初始化的能力。5.1.2.5 授权管理员、可信主机和主机唯一属性定义防火墙的安全功能应为每一个规定的授权管理员、可信主机和主机提供一套唯一的,为了执行安全策略所必须的安全属性。5.1.2.6 授权管理员的基本鉴别防火墙的安全功能应鉴别任何通过防火墙的控制口履行授权管理员功能的管理员身份。5.1.2.7 单一使用的鉴别机制防火墙的安全功能应鉴别任何声称要履行授权管理员和可信主机功能的管理员和主机的身份。防火墙应预防与远程管理和远程可信
44、主机操作有关的鉴别数据的重用。5.1.2.8 授权管理员、可信主机和主机唯一身份识别防火墙的安全功能应确保在所有授权管理员、可信主机和主机请求执行的任何操作之前,对每个授权管理员、可信主机和主机进行唯一身份识别。5.1.3 保密功能5.1.3.1 符合规定的加密操作防火墙的安全功能应保证其从外部网络到防火墙的远程管理会话的加密符合国家密码管理的有关规定。5.1.4 可信安全功能保护5.1.4.1 防火墙安全策略的不可旁路性防火墙的安全功能应确保任何与安全有关的操作被允许执行之前,都必须通过安全策略的检查。5.1.4.2 安全功能区域分割防火墙的安全功能应为其自身的执行过程设定一个安全区域,以保
45、护其免遭不可信主体的干扰和篡改。5.1.4.3 区分安全管理角色防火墙的安全功能应将与安全相关的管理功能与其它功能区分开。防火墙的安全功能中与安全相关的管理功能集应包括安装、配置和管理防火墙安全功能所需的所有功能,其中至少应包括:增加和删除主体和客体;查阅安全属性;分配、修改和撤销安全属性;查阅和管理审计数据。防火墙的安全功能应把执行与安全相关的管理功能的能力限定为一种安全管理职责,该职责具有一套特别授权的功能和响应的责任。防火墙的安全功能应能把授权执行管理功能的授权管理员和可信主机与使用防火墙的所有其他个人或系统分开。防火墙的安全功能应只允许授权管理员和可信主机承担安全管理职责。防火墙的安全
46、功能应在提出一个明确的请求以后,才会让授权管理员和可信主机承担安全管理职责。5.1.4.4 管理功能防火墙的安全功能应使授权管理员能够设置和更新与安全相关的数据。防火墙的安全功能应向授权管理员提供能够执行防火墙的安装及初始配置,系统启动和关闭功能,备份和恢复的能力。备份能力应有自动工具的支持。如果防火墙的安全功能支持外部或内部接口的远程管理,那么它应该:a) 具有对两个接口或其中之一关闭远程管理的选择权;b) 能够限制那些可进行远程管理的地址;c) 能够通过加密来保护远程管理对话。5.1.5 安全审计功能5.1.5.1 审计数据生成防火墙的安全功能应能够对可审计事件生成一个审计记录, 在每一个审计记录中至少记录以下信息:事件发生的日期和时间,事件的类型,主体身份和成功或失败事件。5.1.5.2 审计跟踪管理防火墙的安全功能应使管理员能创建、存档、删除和清空审计记录。5.1.5.3 可理解的格式防火墙的安全功能应使审计记录中的所有审计数据可为人所理解。5.1.5.4 限制审计跟踪访问防火墙的安全功能应只允许授权管理员访问审计记录。5.1.5.5 限制审计查阅防火墙的安全功能应提供具有查阅审计数据能力的工具。防
