Network 版 (精华区)

发 信 人: login (waiter), 信 区: Networking
标  题: 防火墙（转载三）
发 信 站: 紫 丁 香
日  期: Fri Apr 18 21:49:04 1997
出  处: riee1.hit.edu.c


                       三  Firewall技术发展趋势
     从对Packet filter 和 Proxy的分析可以看出,这两种模式都有一定的缺陷,因
此人们正在寻找其他模式的Firewall,下面分别指出Firewall技术的几个发展趋向:
     *复合型(hybrid)Firewall
     由于对更高安全性的要求,有的厂商把基于Packet filter的方法和基于Proxy
service的方法结合起来,形成了新的Firewall产品.这种结合通常是以下两种方案之
一:
screened host(被屏蔽主机)或screened subnet(被屏蔽子网).在第一种方案中,一
个Packet filter路由器与Internet相连,同时,一个dual-homed Host安装在内部网
络.通常情况下,在路由器上设立过滤原则,使这个dual-homed Host成为Internet上
其他节点所能到达的唯一节点.这确保了内部网络不受未被授权的外部用户的攻击.
Screened subnet的方法与此相反,dual-homed Host放在这一子网内,用Packet filter
路由器使这一子网与内部网络分开.在许多Screened subnet的实现中,两个Packet
filter路由器放在子网的两端,在子网内构成了一个"非军事区"(DMZ即demi litarized
zone).象WWW和FTP这样的Internet服务器一般就放在DMZ中.在这两种方案中,dual-homed
host必须有高度的安全性能,能够抵抗来自外部的各种攻击,因此有的文献也把它称为
堡垒主机(bastion host).这个主机和Packet filter共同构成了整个Firewall的安全
基础.这样的方案构成了这样一个Firewall系统,数据在通过这个快速的Packet filter
系统时进行详细的注册(log)和审计(audit).
      *NAT(网络地址转换器)
      目前,有一些Firewall使用了NAT(Network Address Transtlater).NAT的原理就
好象一部电话总机,当不同的内部机器向外连接时使用相同的IP地址("总机号码");而内
部网络互相通讯时则使用内部IP地址("分机号码").这样做可以使内部网络不用担心自
己的IP地址与外界的IP地址发生冲突.
      使用NAT的网络,可以使内部网络对外部网络来说是不可见的.这给内部网络带来
了很大的安全好处,因为与外部网络的连接只能由内部网络发起.然而这对网络透明性提
出了严重的挑战.
      NAT的另外一个显而易见的可能用途是解决IP地址的匮乏问题,但对NAT可能带来的
一些不良后果值得重视.
      *Encrypting Router(加密路由器)
      加密路由器把通过路由器的内容进行加密和压缩,然后让它们通过"不可靠"的网
络传输,并在目的端进行解压缩和解密.加密路由器的使用将使Internet看上去更象一个
"私有网络".
      值得注意的是,在网络上使用加密传输,显然会涉及到一些法律问题.例如,在美国,
联邦政府要求得到加密算法和密钥,以便保证这些内容能得到监控.此事正在争论之中.
      *"身份证"(Authentication Token);
      "身份证"是一种可以用来验证用户身份的设备."身份证"使用challenge/response.
基于时间的代码序列或其他技术.在最简单的情况下,它可能是一张纸,上面是一次性口令
(one-time password)列表."身份证"使用的"one-time password"机制,使网络管理员有可
能根据时间,机器,要求的服务来确定安全方案.
      *安全内核(secured kernel)
      除了采用Proxy service以外,人们开始考虑在操作系统的层次上考虑安全性.人们
尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全.这
一策略的原理是用户不能得到不存在的服务.目前,已有一些商业Firewall推出了UNIX版
本的安全内核.
      *最少特权(the least privilege)
      Internet上有些基于存储转发的应用程序在运行时具有系统特权,这是一个重大的
安全漏洞.例如,最近版本的WUArchive ftpd存在一个漏洞使得在Internet上的任何一个用
户都可以获得运行这个程序的机器的系统特权.因此,在基于Proxy service的Firewall中,
要使得Proxy server具有最少的特权,最好不要以特权运行.一种可行的解决办法是使这些
server成为系统常驻进程,在UNIX系统中,这称为"CHOOT".

        上面提到了一些Firewall技术发展的新趋势,那么,将来的Firewall应该如何呢?
一个好的Firewall应该是具有高度安全性.高透明性.高网络性能的Firewall.然而,这些
特性是相互制约和相互影响的.因此,你需要根据你的网络访问原则来确定你的Firewall.
        另外,目前的Firewall对由数据驱动的攻击还没有好的解决办法.因此,更有效的
Packet filter能否对数据的内容进行更有效的管理也是值得注意的问题.


--




                                * *
                                 ^ 

※ Origin:·紫 丁 香 pclinux·[FROM: riee1.hit.edu.c]