基本介紹
- 中文名:硬體防火牆
- 內容:把防火牆做到晶片里,由硬體執行
簡介,硬體防火牆的配置檔案,硬體防火牆的磁碟使用情況,硬體防火牆的CPU負載,硬體防火牆系統的精靈程式,系統檔案,異常日誌,防火牆的作用,區域網路對外網,外網對區域網路,區域網路與DMZ,DMZ與外網,DMZ區的保護,軟體防火牆與硬體防火牆的區別,總結,拒絕服務型攻擊,掃描窺探攻擊,畸形報文攻擊,
簡介
硬防就是硬體防火牆
軟防就是軟體防火牆
系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭,例行檢查的任務就是要發現這些安全隱患,並儘可能將問題定位,方便問題的解決。
一般來說,硬體防火牆的例行檢查主要針對以下內容:
硬體防火牆的配置檔案
不管你在安裝硬體防火牆的時候考慮得有多么的全面和嚴密,一旦硬體防火牆投入到實際使用環境中,情況卻隨時都在發生改變。硬體防火牆的規則總會不斷地變化和調整著,配置參數也會時常有所改變。作為網路安全管理人員,最好能夠編寫一套修改防火牆配置和規則的安全策略,並嚴格實施。所涉及的硬體防火牆配置,最好能詳細到類似哪些流量被允許,哪些服務要用到代理這樣的細節。
在安全策略中,要寫明修改硬體防火牆配置的步驟,如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分,如某人具體做修改,另一人負責記錄,第三個人來檢查和測試修改後的設定是否正確。詳盡的安全策略應該保證硬體防火牆配置的修改工作程式化,並能儘量避免因修改配置所造成的錯誤和安全漏洞。
硬體防火牆的磁碟使用情況
如果在硬體防火牆上保留日誌記錄,那么檢查硬體防火牆的磁碟使用情況是一件很重要的事情。如果不保留日誌記錄,那么檢查硬體防火牆的磁碟使用情況就變得更加重要了。保留日誌記錄的情況下,磁碟占用量的異常增長很可能表明日誌清除過程存在問題,這種情況相對來說還好處理一些。在不保留日誌的情況下,如果磁碟占用量異常增長,則說明硬體防火牆有可能是被人安裝了Rootkit工具,已經被人攻破。
因此,網路安全管理人員首先需要了解在正常情況下,防火牆的磁碟占用情況,並以此為依據,設定一個檢查基線。硬體防火牆的磁碟占用量一旦超過這個基線,就意味著系統遇到了安全或其他方面的問題,需要進一步的檢查。
硬體防火牆的CPU負載
和磁碟使用情況類似,CPU負載也是判斷硬體防火牆系統運行是否正常的一個重要指標。作為安全管理人員,必須了解硬體防火牆系統CPU負載的正常值是多少,過低的負載值不一定表示一切正常,但出現過高的負載值則說明防火牆系統肯定出現問題了。過高的CPU負載很可能是硬體防火牆遭到DoS攻擊或外部網路連線斷開等問題造成的。
硬體防火牆系統的精靈程式
每台防火牆在正常運行的情況下,都有一組精靈程式(Daemon),比如名字服務程式、系統日誌程式、網路分發程式或認證程式等。在例行檢查中必須檢查這些程式是不是都在運行,如果發現某些精靈程式沒有運行,則需要進一步檢查是什麼原因導致這些精靈程式不運行,還有哪些精靈程式還在運行中。
系統檔案
關鍵的系統檔案的改變不外乎三種情況:管理人員有目的、有計畫地進行的修改,比如計畫中的系統升級所造成的修改;管理人員偶爾對系統檔案進行的修改;攻擊者對檔案的修改。
異常日誌
硬體防火牆日誌記錄了所有允許或拒絕的通信的信息,是主要的硬體防火牆運行狀況的信息來源。由於該日誌的數據量龐大,所以,檢查異常日誌通常應該是一個自動進行的過程。當然,什麼樣的事件是異常事件,得由管理員來確定,只有管理員定義了異常事件並進行記錄,硬體防火牆才會保留相應的日誌備查。
上述6個方面的例行檢查也許並不能立刻檢查到硬體防火牆可能遇到的所有問題和隱患,但持之以恆地檢查對硬體防火牆穩定可靠地運行是非常重要的。如果有必要,管理員還可以用數據包掃描程式來確認硬體防火牆配置的正確與否,甚至可以更進一步地採用漏洞掃描程式來進行模擬攻擊,以考核硬體防火牆的能力。
軟防是指軟體防火牆.顧名思義,軟體防火牆就是像office 等,是一個安裝在PC上(當然,這裡是指可以在PC上安裝,但具體使用的時候最好用伺服器),的一個軟體,而且一般的防火牆都帶了gateway功能。
<IMG SRC="/tech/UploadPic/2005-9/2005112732020599.gif" border=0>
交換機企業區域網路。
一般的企業網路結構圖就是,路由器->防火牆
交換機DMZ區。
防火牆的作用
有些人可能會問到以前一些問題
軟體防火牆能防DOS攻擊嗎?能,絕對可以,現在DOS攻擊已經不再可怕。
軟體防火牆能防DDOS攻擊嗎?也許可能。看攻擊量是否很大,結合你的頻寬。
軟體防火牆能防反射性DDOS攻擊嗎?不能。所謂的反射性DDOS攻擊,所攻擊的對象不是防火牆,而是你的頻寬,你將面臨的是幾千、幾萬甚至更多的伺服器,來對你一條10M、100M或者1000M的頻寬來進行攻擊,在理論上,任何防火牆都無法做到完全防止這種攻擊,至於在使用IP v4的時候,軟體防火牆還做不到。除非你不用TCP/IP協定。
那么說到底,防火牆到底能做些什麼呢?在這裡就說一下比較常用的(結合上圖)。
區域網路對外網
一般而言,一個企業都會對用戶訪問外網做限制。如:是否允許使用HTTP、FTP、TELNET,都可以在防火牆中策略、規則。
外網對區域網路
跟上面相反,區域網路的資源是否允許外網進來防問。一般而言是禁止的,即使要限問的話,一般也用到VPN(詳見下篇文章)。只要這樣才能最大可能的保證區域網路的安全。
區域網路與DMZ
區域網路與DMZ都是屬於防火保護區。一般而言都是允許區域網路對DMZ區進行訪問,但不允許DMZ區對區域網路訪問。
DMZ與外網
DMZ區的保護
對從Internet來訪問DMZ數據做的一些限制,如:web伺服器只許訪問web資源、mail伺服器只允許防問mail資源等。
軟體防火牆與硬體防火牆的區別
其實說到底,軟體防火牆與硬體防火牆是沒有區別的,幾乎硬體防火牆有的功能他都有了。不同點在於,軟體防火牆是基於作業系統的如:2000/linux/Sun等。而硬體防火牆呢,是基於硬體的(當然它也帶有系統,但並不是像2000/Linux/Sun這類的)。一個簡單的例子。相信大家都知道刻錄機吧,它就分為內置和外置的。系統配置可以直接影響到刻盤的的效果,比如內置刻錄機在刻盤的時候,你在玩遊戲(星際、雷神等)的時候,可能刻出的光碟會有很多你意想不到的問題。而外置的刻錄機,一般都是帶有快取的,就是說,你可以把他看作是一個獨立的系統,他的工作是在作業系統之外的,但是必須有作業系統支配。而軟體防火牆也一樣,伺服器的性能也可以直接影響到他的性能,比如在裝有防火牆的機器上上網、玩遊戲等都是可能給防火牆帶來負面的影響。
總結
網路攻擊可分為拒絕服務型攻擊、掃描窺探攻擊和畸形報文攻擊三大類:
拒絕服務型攻擊
拒絕服務型(dos,denial of service)攻擊是使用大量的數據包攻擊系統,使系統無法接受正常用戶的請求,或者主機掛起不能提供正常的工作。主要的dos 攻擊有syn flood、fraggle 等。拒絕服務攻擊和其他類型的攻擊不同之處在於:攻擊者並不是去尋找進入內部網路的入口,而是阻止合法用戶訪問網路資源。
掃描窺探攻擊
掃描窺探攻擊是利用ping 掃射(包括icmp 和tcp)來標識網路上存活著的系統,從而準確的指出潛在的目標。利用tcp 和udp 連線埠掃描,就能檢測出作業系統和監聽著的潛在服務。攻擊者通過掃描窺探就能大致了解目標系統提供的服務種類和潛在的安全漏洞,為進一步侵入系統做好準備。
