來源:上海中網網絡安全技術有限公司 時間:2005-08-03 浏覽量:6760
防火牆與網閘的串聯應用環境,一般是在網閘與防火牆之間部署交換機接一個“業務外網”(包含一台或者多台前置服務器、或者終端),用來提供網絡對外服務,并同時和内網實施數據安全通訊。
防火牆與網閘的串聯應用,如果是堆疊式直接串聯,中間不設置“業務外網”,則防火牆的功能主要用來過濾垃圾數據包或者攻擊包,讓正常業務數據包到達網閘,爲網閘減輕工作負擔。
如果在沒有設置“業務外網”情況下,省略掉防火牆,僅僅設置網閘,網閘本身具備防火牆的抗攻擊功能,也可以正常工作,但在攻擊包(或者垃圾數據包)較多的情況下會損失性能。這種部署常見于兩個不同等級内網之間的連接(攻擊較少或者基本沒有)。
就産品功能而言,防火牆比網閘的功能強大,應用适應性廣,支持的各類協議也更多,但安全性要差很多。
防火牆是一個單機設備。工作在OSI模型第2-7層(或者TCP/IP模型2-4層),但主要工作在ISO模型的3-4層(或者TCP/IP模型2-3層)。
隔離網閘是一個2+1系統,工作在ISO模型的1-7層(或者TCP/IP模型1-4層)。
兩者系統結構的差别歸根結底在于第一層。第一層包含網絡物理接口,以及與之相對應的信息流控制方式和信息編碼方式。防火牆遵循的是TCP/IP模型第一層協議,網閘颠覆了TCP/IP模型第一層協議,使得TCP/IP數據包無法穿透。
目前網絡安全從大類上分爲五種威脅,針對每一種安全威脅,下面我們對防火牆和隔離網閘做詳細的比較:
一般來說,人爲管理差錯造成的威脅是最大的安全威脅。
相比較而言:在“人爲”管理差錯情況下,防火牆造成的安全威脅更甚于網閘。因爲,防火牆可以設置成“全通”,形同虛設;網閘沒有“全通”機制,隻有“全斷”。
應用安全是目前網絡安全領域最爲頭痛的事情,防病毒,入侵檢測,防漏洞,安全态勢感知、C/A認證,VPN,堡壘機、雙因子認證等等,都在嘗試着去解決應用安全中的某一個痛點。
防火牆在應用安全這個環節顯得十分單薄,一般是用關鍵字檢索(對IP包中的數據段檢索匹配)來應對,效果非常不理想,聊勝于無而已。
隔離網閘在解決應用安全這個問題上也同樣是不能做到完美的,但是相比較防火牆而言,其安全性大大增強,由于網閘實現了物理層隔斷,應用達到網閘後,所有的協議頭與數據分離,然後裸數據擺渡,然後再封裝,在這個過程中,隔離網閘可以對每一個協議剝離/封裝實現深度的協議檢查和内容檢查,可以控制數據類型,數據長度,數據關鍵字過濾,協議限定等等。另外,還提供了身份認證的輔助安全工具來控制網閘使用者。
在互聯網世界,防火牆被攻克的例子不勝枚舉,根據2002年8月的《計算機安全》援引的世界互聯網權威組織發布的數據,全球最著名防火牆廠商CISCO防火牆的黑客攻破率達到了47%。其根本原因在于:世界上所有的防火牆基于這樣一個理念:首先保障信息的傳遞,然後再最大程度的加強安全。
網絡監聽攻擊、欺騙攻擊、木馬攻擊、密碼破解、端口掃描是黑客攻擊的主要手段,防火牆對于直接的黑客攻擊手段(網絡監聽攻擊、欺騙攻擊),可以說是一籌莫展。
目前的TCP/IP協議族的自身漏洞是導緻防火牆被頻繁攻破的關鍵因素之一。由于IP包由始至終貫穿防火牆,使得網絡監聽攻擊、欺騙攻擊、掃描攻擊大行其道。木馬攻擊也十分普遍,防火牆面對這些攻擊隻能采用被動防禦的手段,事後修改防火牆規則,疲于應付。
隔離網閘在防止基于TCP/IP的黑客攻擊方面是絕無僅有的。無論TCP/IP協議族是否有漏洞,在到達網閘以後,被終止了協議,從而使攻擊終止。
因此說,隔離網閘完全消除了基于TCP/IP網絡黑客攻擊。
網絡安全設備的另外一個重要的安全威脅,就是操作系統的漏洞所導緻的安全威脅。我們知道,任何安全設備都是有硬件、軟件二部分組成。而軟件又分爲操作系統部分和應用控制軟件部分二種。
全世界IT發展的實踐表明:任何操作系統都不可能沒有安全漏洞,特别是通用的操作系統OS,如Windows(最高危險級别), Linux(中等危險級别),Unix(低等危險級别)以及其他一些具有可用性的操作系統。
操作系統的漏洞導緻的後果是黑客可以擁有該設備的使用權限,如果是防火牆,黑客通過OS漏洞攻擊掌控該防火牆後,從内核級别(所有防火牆的運行軟件都可以很容易受控制,因爲它是操作系統的一部分)很容易的就關掉防火牆,從而直接訪問内網,下載木馬等等。
對于隔離網閘而言,我們依然不能保證黑客不能攻破操作系統漏洞。問題在于即使黑客攻破了隔離網閘【外網機】的操作系統,從而掌控該主機,也可以随時癱瘓網閘,但它無法滲透進内網,因爲TCP/IP協議已經中斷,如果要繼續攻擊内網,就需要付出極大的時間和努力去研究【外網機】的信息傳輸機制,并嘗試向内網發送蠕蟲或者木馬,這個難度非常之大。
但無能如何,一個更安全的操作系統,對于防火牆和網閘這類安全産品而言,顯得特别重要,可以大大提高黑客的攻擊門檻,從而确保設備的正常運行。
任何安全設備必須有相應的應用控制軟件,這一點是無容置疑的。自身應用控制軟件的安全雖然比上面幾種安全威脅要來的低些,但依然不可忽視。
目前,國内外所有知名的防火牆大都采用了linux操作系統内核所配備的安全模塊,并對這些模塊實現配置、封裝、控制運行。很不幸的是,由于防火牆自身的應用特點,這些應用控制軟件是全開放的,而且必須是全開放的。着意味着隻要黑客掌控了相應的操作系統操作權限(OS攻擊,密碼破解、監聽攻擊),則很容易掌控防火牆自身的應用控制軟件,這個時候,所有的事情都可能會發生。
隔離網閘從設計初開始,就定位于“安全第一,甯死不屈”這樣一種設計思想,其自身的應用控制軟件負責協議/内容檢查、協議拆卸/封裝、裸數據擺渡、應用代理等一系列專用的處理和控制工作,雖然也會調用操作系統的内核模塊,但與防火牆相比,攻擊難度要大得多。
| 比較參數 | 隔離網閘 | 防火牆 |
|---|---|---|
| 設計思想 | 在保障絕對安全的前提下,最大限度的保持網絡應用效率 | 在保障網絡應用效率的前提下,最大限度地保障安全 |
| 取舍原則 | 安全第一,甯死不屈 | 确保連通,安全不松 |
| 支持的應用 | 文件傳輸、數據庫訪問、查看靜态網頁、定制TCP/IP應用,均以應用模塊方式提供 | 支持所有應用 |
| 支持的協議 | 在網閘内部,中止TCP/IP協議,隻通過讀寫兩個命令,簡單,安全,高效 | 支持幾乎所有的網絡協議 |
| 基于TCP/IP的黑客攻擊 | 攻破率極小,有效保護内網 | 理論上的攻破率是100%,實踐中可以達到攻破率80%左右 |
| 破解産品駐留進程的攻擊 | 攻破率極小,私密,專用 | 攻破率可達50%左右,開放性功能,通用性,接口豐富 |
| 通過操作系統漏洞攻擊 | 根據不同的操作系統選型,決定【外網機】被攻破的幾率 | 根據不同的操作系統選型,決定防火牆被攻破的幾率 |
| 劫持客戶端應用程序攻擊内網 | 在客戶端應用程序被黑客劫持的情況下,可對内網造成一定的危險,存在蠕蟲攻擊的可能性。應用開放越多,安全性越低 | 在客戶端應用程序被黑客劫持的情況下,可以暢通無阻通過防火牆,實施木馬攻擊和蠕蟲攻擊 |
| 吞吐率 | 30%-80%,根據不同應用 | 100% |
| 數據包延時 | 1518字節幀長100%負載,1毫秒 | 1518字節幀長100%負載,60微秒 |
| 并發連接數 | 一般小于1萬 | 大于30萬 |
| 多用戶限制 | 無限制 | 無限制 |
| 日志管理 | 支持 | 支持 |
| 行業應用環境 | 内網保護、資源服務器保護 | 所有網絡邊界 |
| 總結 | 需要超高安全性保證,同時能犧牲部分速度、部分應用範圍的地方,隔離網閘是最理想的選擇! | 保持高速度,兼容所有應用,提供一定安全保證的地方,防火牆是最理想的選擇! |