淺析自適應算法提升企業(yè)防火墻的安全途徑

字號:

在防火墻領域中,思科的PIX防火墻系列產(chǎn)品,是其中的領頭羊。他以其出色的性能與安全性,坐穩(wěn)了第一把交椅。而自適應安全算法,在其中起著關鍵的作用。
    Cisco PIX防火墻,它有一個單獨的操作環(huán)境。而自適應安全算法則是這個操作環(huán)境的關鍵組成部分。這個算法比其他算法,如分組過濾機制,更加的安全、有效;在性能上也有突出的表現(xiàn)。自適應算法可以把連接到防火墻的網(wǎng)絡段隔離開,維持周邊的安全,并且可以控制這些網(wǎng)絡段間的流量。
    一、六步走完自適應算法
    其實,自適應安全算法并沒有想象中的那么復雜。他跟其他的算法相比,就是多了一個“狀態(tài)表”。自適應安全算法就是圍繞這個狀態(tài)表展開的。這就是自適應算法的全部過程。
    第一步:內(nèi)部主機發(fā)起連接的請求。
    若企業(yè)內(nèi)部主機要跟企業(yè)外部網(wǎng)絡上的主機進行通信的話,則首先內(nèi)部主機要發(fā)出一個連接的請求。在這個數(shù)據(jù)包中,往往會記錄著一些內(nèi)部主機的相關信息。如內(nèi)部主機的IP地址與通信端口,目的IP地址與目的端口,TCP順序信息等等。這些內(nèi)容是保持雙方通信的必要信息。
    作為防火墻,就是對這些信息進行分析判斷,該通過的就通過,該拒絕的就拒絕,從而來保障企業(yè)內(nèi)部網(wǎng)絡與信息的安全。
    第二步:防火墻將相關信息寫入到狀態(tài)表中。
    當企業(yè)內(nèi)部主機發(fā)出的數(shù)據(jù)包到達防火墻之后,防火墻操作系統(tǒng)會把一些關鍵信息寫入到一個狀態(tài)表中。這些信息主要包括源IP地址與源端口、目的IP地址與目的端口、TCP順序信息、應用一個隨機生成的TCP序列號等等。
    這個狀態(tài)表是防火墻工作時的關鍵信息來源。像訪問控制列表、VPN等等,都要一來這個狀態(tài)表才能夠正常工作。
    第三步:利用安全策略進行判斷。
    在這一個步驟中,主要是利用在防火墻上配置的安全策略來進行判斷,這個數(shù)據(jù)包是否要被轉發(fā)。如果在防火墻上配置了“拒絕訪問www.11com網(wǎng)站”這么一個安全策略。則當內(nèi)部主機試圖訪問這個被禁止的網(wǎng)站時,防火墻就會禁止這個數(shù)據(jù)包轉發(fā),并且,這個會話對象會被刪除,跟內(nèi)部主機的連接也會被取消。除非,其再次發(fā)出連接的請求。
    第四步:轉發(fā)數(shù)據(jù)包。
    若企業(yè)內(nèi)部主機發(fā)出的連接請求,是企業(yè)防火墻所允許的。則防火墻就會把這個數(shù)據(jù)包轉發(fā)出去。不過,為了內(nèi)部主機的安全性,防火墻會進行一些保護措施,如把源IP地址進行轉換。如此的話,外部主機只能夠看到防火墻的地址,而不知道內(nèi)部主機的具體IP地址信息。這就在一定程度上保護了內(nèi)部主機的安全性。
    第五步:外部主機響應。
    當內(nèi)部主機連接的請求被轉發(fā)到外部目的主機之后,外部主機就會響應這個連接請求。當然,如果外部主機所在的網(wǎng)絡,也部屬了防火墻,則仍然需要一系列的驗證。若允許這個連接的話,則最后會向企業(yè)防火墻發(fā)生一個響應信息,表示可以進行連接。
    第六步:企業(yè)防火墻的后續(xù)處理。
    當這個響應信息到達企業(yè)防火墻之后,自適應安全算法會把這個響應信息跟會話對象進行比較。如果響應信息與會話對象相匹配的話,目的地址就會被轉換為初始地址,即內(nèi)部主機的IP地址。然后這個數(shù)據(jù)包就會被轉發(fā)給內(nèi)部主機。如果不匹配的話,這個會話就會被刪除,連接被取消。
    這個步驟完成后,自適應安全算法的周期也就完成了。
    二、自適應算法的優(yōu)點
    自適應算法的優(yōu)越性是非常明顯的,無論在安全性方面,還是在性能上,都有非常突出的表現(xiàn)。
    1、通過自適應安全算法,可以防止TCP會話被攔截
    在黑客攻擊中,通過攔截TCP會話而獲得特定資源的訪問權,這是非常常見的一種手段。在防火墻的其他算法中,如分組過濾中,不能夠有效的杜絕這種威脅。但是,在自適應安全算法中,則可以幫助企業(yè)網(wǎng)絡管理員有效的消除TCP被攔截的安全威脅。
    自適應安全算法被設計成一個有狀態(tài)的、面向連接的安全過程。在防火墻的狀條表中,會保存當前的所有會話信息。通過在狀態(tài)表中應用相關的安全策略與地址轉換來控制通過防火墻的所有信息。如此的話,在企業(yè)網(wǎng)絡邊界部署防火墻后,企業(yè)所有內(nèi)部主機與外部網(wǎng)絡通信都將會受到有效的管理。
    自適應算法的特點就是在會話開始前會生成一個隨機的TCP序列號,并將相關的信息寫入到狀態(tài)表中。外部主機響應后,會像企業(yè)防火墻傳回一個響應信息。返回信息與狀態(tài)表中的信息將進行比較。如果信息不匹配的話,則防火墻將會刪除這個連接,并且,狀態(tài)表中的這條信息也將會被刪除。很明顯,安全算法強調(diào)的是對連接的控制,而不是分組。這個特性就可以有效的杜絕黑客對TCP會話的挾持。這關閉了黑客想通過攔截TCP會話而卻資源的訪問權的大門。
    2、配置管理更加的智能化
    在PIX防火墻的各個接口上,都分配了對應的安全等級。防火墻允許流量從高安全等級接口流向低安全等級接口。考試.大提示相關人員對各個接口定義顯示的規(guī)則。如企業(yè)一般情況下,不需要對內(nèi)部的信息進行過多的控制。從數(shù)據(jù)安全性方面出發(fā),主要是考慮對外部連接訪問的控制,杜絕外部對內(nèi)部網(wǎng)絡的非法訪問。如此的話,不需要對防火墻進行額外的配置,就可以起作用。只需要被企業(yè)內(nèi)部網(wǎng)絡接到高安全級別的接口上;而把外部網(wǎng)絡接到低安全界別的接口中。
    如此連接后,不需要配置具體的規(guī)則,內(nèi)部網(wǎng)絡向外部網(wǎng)絡發(fā)送信息,可以暢通無阻。但是,若外部網(wǎng)絡要訪問企業(yè)內(nèi)部網(wǎng)絡資源的話(流量從低安全等級接口到高安全等級接口),則必須滿足一定的條件。一是必須存在對目的地的靜態(tài)轉換。也就是說,網(wǎng)絡安全人員必須在防火墻上顯示的定義允許外部主機對企業(yè)內(nèi)部主機的訪問。二是在適當?shù)奈恢帽仨氂幸粋€訪問列表或者管道(如VPN隧道)允許這個流量通過。只有同時滿足這兩個條件后,外部主機訪問企業(yè)內(nèi)部的主機才會被允許。
    當然,在有必要的時候,也可以通過訪問控制列表來管理從高安全級別向低安全級別的流量。如要控制企業(yè)內(nèi)部主機對外部特定網(wǎng)站的訪問,就可以通過訪問控制列表來解決。
    可見,利用自適應安全算法,在安全管理上,更加的靈活;管理配置也更加的簡單、智能化。
    三、管理心得共享
    雖然說,防火墻還提供了其他的算法,如分組過濾、貫穿式代理等等,而且他們也各有各的特點。不過還是傾向于這個自適應算法的防火墻。其部屬起來相對來說比較簡單,而且,也比較靈活。
    不過現(xiàn)在能夠實現(xiàn)這個自適應算法的防火墻產(chǎn)品還不是很多。企業(yè)在選擇網(wǎng)絡防火墻的時候,要根據(jù)自己的操作偏好,選擇合適的防火墻產(chǎn)品。若你比較鐘愛自適應算法的防火墻的話,則選購的時候,就一定要注意,看看防火墻是否支持這種算法。