安全知識分享 基于C/S架構(gòu)分布式防火墻

布式防火墻由安全策略管理服務器[Server]以及客戶端防火墻[Client]組成。客戶端防火墻工作在各個從服務器、工作站、個人計算機上，根據(jù)安全策略文件的內(nèi)容，依靠包過濾、特洛伊木馬過濾和腳本過濾的三層過濾檢查，保護計算機在正常使用網(wǎng)絡(luò)時不會受到惡意的攻擊，提高了網(wǎng)絡(luò)安全性。而安全策略管理服務器則負責安全策略、用戶、日志、審計等的管理。該服務器是集中管理控制中心，統(tǒng)一制定和分發(fā)安全策略，負責管理系統(tǒng)日志、多主機的統(tǒng)一管理，使終端用戶“零”負擔。

圖1展示了分布式防火墻在政府/企業(yè)中的應用解決方案。該方案是純軟件防火墻，無須改變?nèi)魏斡布O(shè)備和網(wǎng)絡(luò)架構(gòu)，就可以幫助政府/企業(yè)阻擋來自內(nèi)部和外部網(wǎng)絡(luò)的攻擊。

一. 分布式防火墻系統(tǒng)架構(gòu)

　　圖1 分布式防火墻在政府/企業(yè)中的應用解決方案

二. 分布式防火墻功能解析

在上述圖1所示的分布式防火墻解決方案中，左邊為政府/企業(yè)內(nèi)部網(wǎng)絡(luò)(內(nèi)網(wǎng))的應用拓撲結(jié)構(gòu)圖，中間為Internet公眾網(wǎng)絡(luò)，我們稱之為外部網(wǎng)絡(luò)(外網(wǎng))，右邊為政府/企業(yè)辦公和業(yè)務的延伸部分，處于外部網(wǎng)絡(luò)環(huán)境中。在內(nèi)部的財務、總裁辦、人事、檔案、網(wǎng)絡(luò)管理等主機，以及數(shù)據(jù)庫服務器，文件服務器上存放著政府/企業(yè)的重要信息，這些信息一旦泄漏或者存放信息的主機遭到破壞，會給政府/企業(yè)帶來不良的后果。

如果不采取相應措施，此網(wǎng)絡(luò)很容易遭受來自外網(wǎng)和內(nèi)網(wǎng)上的黑客攻擊。若使用邊界式防火墻，則外網(wǎng)的攻擊將被阻攔，但從數(shù)據(jù)統(tǒng)計看，還有大部分網(wǎng)絡(luò)攻擊/破壞來源于內(nèi)部網(wǎng)絡(luò)的黑客或員工的不小心應用，這時普通防火墻就無能為力了。而政府/企業(yè)的移動辦公人員、代理商、合作伙伴、遠程分支機構(gòu)在外部網(wǎng)絡(luò)上很容易受到外部黑客的攻擊。所以說，能夠很好的阻擋內(nèi)部和外部網(wǎng)絡(luò)攻擊是政府/企業(yè)內(nèi)部網(wǎng)絡(luò)安全的重要任務。

分布式防火墻能很好地解決上述問題。在內(nèi)部網(wǎng)絡(luò)的主服務器安裝上分布式防火墻產(chǎn)品的安全策略管理服務器后，設(shè)置組和用戶分別分配給相應的從服務器和PC機工作站，并配置相應安全策略;將客戶端防火墻安裝在內(nèi)網(wǎng)和外網(wǎng)中的所有PC機工作站上，客戶端與安全策略管理服務器的連接采用SSL協(xié)議建立通信的安全通道，避免下載安全策略和日志通信的不安全性。同時客戶端防火墻的機器采用多層過濾，入侵檢測，日志紀錄等手段，給主機的安全運行提供強有力的保證。

具體功能描述如下：

1、阻止網(wǎng)絡(luò)攻擊

目前，黑客們常用的攻擊手段有以下幾種：

(1)DoS拒絕服務式攻擊

拒絕服務攻擊是目前網(wǎng)絡(luò)中新興起的攻擊手段，針對TCP/IP協(xié)議的漏洞，使對方服務器承受過多的信息請求而無法處理，產(chǎn)生阻塞導致正常用戶的請求被拒絕。一般地有如下方式：

(a)Ping-Flood：使用簡單的Ping命令對服務器發(fā)送數(shù)據(jù)包，如果在很短的時間內(nèi)服務器收到大量Ping數(shù)據(jù)包，那么服務器就需要耗費很多資源去處理這些數(shù)據(jù)包從而導致無法正常工作。

(b)TCP-SYN-Flood： SYN數(shù)據(jù)包是兩臺計算機在進行TCP通信之前建立握手信號時所用，正常情況下，SYN數(shù)據(jù)包中包含有想要進行通信的源機器的IP地址，而服務器收到SYN數(shù)據(jù)包后將回復確認信息，源機器收到后再發(fā)送確認信息給服務器，服務器收到，二者就可以建立連接進行通信了。采用這種攻擊方式就是在某一個極短的時間內(nèi)向?qū)Ψ椒⻊掌靼l(fā)送大量的帶有虛假IP地址的SYN數(shù)據(jù)包，服務器發(fā)出確認信息，但是卻無法收到對方的回復，就要耗費大量的資源去處理這些等待信息，最后將使系統(tǒng)資源耗盡以至癱瘓。

(c)UDP-Flood： UDP是基于非連接的用戶數(shù)據(jù)報通訊協(xié)議，不包含流控制機制。UDP數(shù)據(jù)包很容易使得計算機系統(tǒng)忙于響應而喪失正常的網(wǎng)絡(luò)業(yè)務能力。

另外還有諸如ICMP-Flood， IGMP-Flood等攻擊手段，在此不一一詳述。

(2)源路由包攻擊

源路由包采用了極少使用的一個IP選項，它允許發(fā)起者來定義兩臺機器間所采取的路由，而不是讓中間的路由器決定所走的路徑。與ICMP的重定向相比，這種特性能使一個黑客來欺騙你的系統(tǒng)，使之相信它正在與一臺本地機器、一臺ISP機器或某臺其他可信的主機對話。

(3)利用型攻擊

利用型攻擊是一類試圖直接對你的機器進行控制的攻擊，最常見的就是特洛伊木馬(Trojan Horse)。例如BO2000就是典型的特洛伊木馬程序。

(4)信息收集型攻擊

信息收集型攻擊在初期并不對目標本身造成危害，而是被用來為進一步入侵提供有用的信息，例如：端口掃描技術(shù)，黑客使用特殊的應用程序?qū)Ψ⻊掌鞯拿總�端口進行測試，以尋找可以進入的端口或者找出某些端口可以利用的安全漏洞。

以上的各種攻擊手段，分布式防火墻可以及時地發(fā)現(xiàn)，并且采取相應的措施以控制事件的進一步發(fā)展，同時記錄該攻擊事件。

2、包過濾

包過濾是防火墻防止計算機受到攻擊的最基本方法，防火墻實時地監(jiān)控進入以及出去的數(shù)據(jù)包，根據(jù)特定的過濾規(guī)則決定是否讓這些數(shù)據(jù)包通過。分布式防火墻可以直接處理IP(或與IP級別相當?shù)腁RP、RARP以及其它的非IP網(wǎng)絡(luò)協(xié)議)數(shù)據(jù)包的發(fā)送與接收，根據(jù)數(shù)據(jù)包的包頭信息，分析出網(wǎng)絡(luò)協(xié)議、源地址、目的地址、源端口以及目的端口，然后對照過濾規(guī)則進行過濾。對于不符合過濾規(guī)則的數(shù)據(jù)包，防火墻將拒絕通過，同時進行記錄或報警。

3、基于狀態(tài)的過濾

對于面向非連接的UDP網(wǎng)絡(luò)訪問，為了提供較強過濾控制，就必須根據(jù)上下文來進行判斷。例如：對于一個請求進入的UDP訪問，只有在它有對應的出去的 UDP訪問(地址和端口號相匹配)時才可以接受，否則將拒絕或報警。這就需要IP包過濾模塊記錄有過去已經(jīng)發(fā)出的UDP訪問的列表，這樣的列表就叫做上下文。而對于面向連接的TCP訪問，同樣也可以根據(jù)不同的應用協(xié)議設(shè)定相應的上下文，進行更為細粒度的訪問控制。這些技術(shù)統(tǒng)稱為基于狀態(tài)的包過濾。對于不符合規(guī)則的訪問拒絕事件，要進行記錄。

4、特洛伊木馬過濾

如果有黑客侵入到用戶的計算機上，他會運行某一些特殊的應用程序與之進行通信，從而獲取一些信息。分布式防火墻維護一個已知的應用程序列表，只有列表中的應用程序才可以使用網(wǎng)絡(luò)，一旦檢測到有未知的應用程序企圖使用網(wǎng)絡(luò)，系統(tǒng)將會提醒用戶注意，是否要禁止使用或者是加入到允許訪問網(wǎng)絡(luò)的程序列表中。如果用戶不小心運行了帶有特洛伊木馬的程序，當木馬程序企圖向網(wǎng)絡(luò)發(fā)送信息時，分布式防火墻將會進行攔截。

5、腳本過濾

腳本過濾功能對常見的各種腳本，如Java Script腳本、VB Script腳本在運行前被一一進行分析檢查，判斷它們是否會進行比較危險的操作;如果是，則提醒用戶注意，并要求用戶決定是否允許該腳本執(zhí)行，從而有選擇地讓無害的腳本通過，對惡意的腳本進行攔截，實現(xiàn)實時腳本過濾。

6、用戶定制的安全策略

用戶可以將任意的IP地址加入到自己的信任/不信任地址列表中，對于在信任地址列表中的地址傳送過來的數(shù)據(jù)包，分布式防火墻將不進行任何阻攔，而對于在不信任列表中的地址傳送過來的任何數(shù)據(jù)包，將拒絕接受。如果經(jīng)常受到某些地址的攻擊，用戶可以將這些地址加入到不信任地址列表中，拒絕接受這些地址所發(fā)出的任何數(shù)據(jù)包。用戶定制的安全策略必須是統(tǒng)一安全策略的超集，也就是說安全級別只能加強不能放松。

7、日志和審計

日志用來記錄防火墻在運行過程中所出現(xiàn)的各種情況，通過查看日志，用戶可以及時、全面地掌握分布式防火墻本身的運轉(zhuǎn)以及用戶的訪問情況，并可以根據(jù)這些日志來制定或修改安全管理策略。強大的日志記錄功能，主要包括：

(1)軟件的安裝、升級記錄;

(2)安全策略改變記錄;

(3)被拒絕的網(wǎng)絡(luò)訪問記錄：包括被拒絕網(wǎng)絡(luò)訪問的應用程序名，使用的協(xié)議，源地址和目的地址，使用的端口等;

(4)遭受到的攻擊記錄： 包括攻擊者使用的協(xié)議、端口、來源地址。

8、統(tǒng)一的安全策略管理服務器

安全策略文件以密文形式存放于硬盤中，用戶不能直接對其閱讀，也不可以對其進行隨意更改。分布式防火墻啟動時，安全策略文件經(jīng)解密后加載到防火墻中。復雜的安全策略以Hash表的方法進行檢索。使用Hash列表對安全策略文件進行檢索能大大加快讀取速度，安全策略可以動態(tài)更新，更新總在用戶態(tài)進行，同時磁盤文件也被更新。用戶可以在防火墻運行的過程中更改安全級別，而不影響防火墻的正常運行。更新完成后，系統(tǒng)將會在新的安全級別下工作。安全策略服務器和客戶端防火墻之間采用SSL通信，保證了安全策略傳輸時的安全性。另外管理模塊功能還包括：用戶組管理，基于用戶組的安全策略分配，實時監(jiān)控當前網(wǎng)絡(luò)狀態(tài)，查看日志，更改安全級別，更改用戶定制的安全屬性等。

基于C/S架構(gòu)的分布式防火墻產(chǎn)品，采用統(tǒng)一的安全策略管理服務器[Server]，各臺主機客戶端[Client]從服務器下載安全策略，設(shè)置多層安全過濾，擁有出色的入侵檢測和強大的日志管理功能，安裝方便，使用簡潔，升級快捷，降低了維護成本，形成了可靠的網(wǎng)絡(luò)安全體系，很好地滿足了政府、企業(yè)、個人保護網(wǎng)絡(luò)信息安全的迫切需求。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]