资源描述
本科生毕业翻译单 位 计算机科学学院 姓 名专业班级计算机科学与技术专业指导教师(职称)翻译完成时间二九年五月Information Security Technical Report (2005) 10, 204e212Firewalls e Are they enough protection forcurrent networks?J. Stuart BroderickStrategic Consulting, Symantec Corporation, 911 Central Parkway North, Suite 300,San Antonio, TX 78232, USA纵深防御纵深防御是一个被安全从业人员吹捧多年的概念。尽管使用多重防火墙级联的纵深防御已经被广泛应用于世界各国的政府团体机构,然而其在非政府领域的应用还是十分有限的。或许是由于成本的原因。几年前,成本的理由是合理的。但是,随着一些更快更小的防火墙技术和安全设备的产生,或许一些团体机构是时候该重新考虑一下他们应首先顾虑的问题了。为了让团体机构的信息得到最佳的保护,他们的网络应该被规划(或重新设计)这是从安全的立场(金等人)而不是从商业和地域角度来考虑。从安全角度来设计一个网络,应该确保让未经授权的内部访问和来源于外部的访问变得非常困难。在下面这个图表中就给出了一个分割或者隔离网络的例子:在图中,用户每向核心敏感层跃迁一次都要通过越来越严格的防火墙。此图是一个简单的可靠分割网络的例子,它不是一个万能的解决方案。每个团体机构都可以根据自身的风险承受能力、所保护信息的价值以及其与第三方关系确定是否有权使用的信息,来论证、修改这一模式。在现实中,只有被高度信赖的管理员和安全人员才能直接访问系统关键任务,他们使命关键是有原因的:团体机构的运营依靠他们,因此未经授权的访问是不可能的。对于值得信赖的管理员和其他特别授权的人员,使用强有力的身份验证和VPN技术可以使他们达到任意想要到达的处理办公环境。这种类型的网络隔离并不是一个新设想。各国政府在全球范围内使用相似的解决方案已经很多年了。但直到最近,防火墙方案的成本才达到任意团体机构能实际承担的水平。在大型团体机构的网络中,通过几十或几百个防火墙来划分复杂的计算机网络,以严格的限制阻挡任何入侵者(内部或外部)对系统的损害于防火墙之外。如果得到IT安全政策、标准和程序的支持,这种网络解决方案将是最合适、有效的。确保这些建立之前,首先要投资于这种解决方案,或者使团体机构的营利相对较少。此类解决方案,考虑和关注的细节应该是任意团体机构的雇员或者家庭网络。除非你所在团体机构持有或处理的信息是极其敏感的或者非常有价值的,它所需要的保护水平才要高于你竞争对手的团体机构一两个级别。除非一个入侵者有特殊的目的来访问你的信息,否则,他们将只能访问最容易得到的信息。如果实施一个安全的解决方案,找到一个比你对手更高明的受挫原因,那所有最执着的入侵者都将寻找另一个更容易攻击的目标。设置主机防火墙/个人防火墙最终的网络边界是指出计算机连接到哪个网络。这一点是配置防火墙的总趋势,有时被成为个人防火墙。有些解决方案是安全有效的,其安全设置能被集中管理,其他只需依靠普通使用者的知识就能使用。通常情况下,pc机的使用者都不是安全专家,因此,指望他们能管理好自己的个人防火墙简直就是痴心妄想。倘若管理员有丰富安全知识,那中央管理的个人防火墙方案就能提供许多优点。不过,对于一些有能力的用户,这些防火墙有时会影响他们进行的工作,所以他们要求(或者入侵)在标准防火墙下存在特别漏洞。这些漏洞也许是或者不是同一个来源,但应该进行认真评估,以减少对整个团体机构的威胁风险。应用程序安全到目前为止,我们还之讨论了防火墙、网络协议及其使用。到头来,还是应用程序在保护数据本身。因此,即使所有的防火墙基础设施是彻底安全的,应用程序不正常响应或者接受虚假、无效、意外的数据,那么遭到未经授权的访问也是顺理成章的。这一点已经变得非常明显,在过去几年里,关于安全原则的程序代码质量显著下降。部分原因可能是功能方面缺少这种安全需求,产品上市时间原因,或者干脆说,安全编程的技术没被教授(或许他们不被认为是“酷”的技术)。用安全相关的软件来弥补随处出现的程序缺陷已经司空见惯了。他们已经存在于网络通信的各环节的交流中。这些缺陷可能包括:TCP/IP协议包含缺陷的TCP/IP协议的实现任意一款有数据流通过的操作系统(含补丁)防火墙软件或者配置文件操作的软件加密软件(如果用到的话)一个在任意环节出现的代码错误都表明了它本身的安全弱点被发现,这不是一个简单问题而且不能用简单的解决方案。如前所述,IP V6 提供了一种解决方案,可以解决许多通过TCP/IP发送数据的综合安全问题。从安全立场来看,它不可能也没有解决那些不堪一击的程序代码的问题。直到那些程序的安全质量问题被暴露出来,成为最薄弱的安全环节。无线网络和无线网络一体化计算机无线网络技术的理论,已经针对如何保护饱受非法访问的网络问题,提出了有重大意义的观点。这主要是因为无线网络有效地解决了网络划分的问题。两个主要的非法来源在侵入网络边界时被确定,他们是:(1) 使用无线网卡链接到团体有限网络的笔记本和其他电脑(2) 未被授权的非法网络接入节点或者为了方便用户而连接到有线网络的路由器在大多数情况下,不安全的介绍是无意的,只是缺少对部分用户的教育。不安全的介绍通常是作为一种便利功能给出的。更加危险的潜在不安全因素是技术本身。无线设备(无线局域网)销售时承诺有限制范围和信息加密传输。但事实最有说服力。无线局域网信号能被接收到,通过用一些简单的专业技术就能做到,不是150尺的距离(常见的无线设备规格),而是几百码或者超过一里外的某些情况。非无线网络的专家认为,数据的传输应该像有线网络那样点对点的进行。但他们忘记了无线电可以在360的任意方向向网络周围的三维空间传播。这款无线网络设备的厂商和安全委员会认为他们包含数据加密技术。不幸的是,这种加密规格是很烂的,很容易被攻破。更糟的是,很多用户甚至连这种级别的待遇都没有。现在的网络边界不仅是漏洞,根本就是空白的。防火墙技术防火墙解决方案(麦蒂安德烈,茲威基等)在过去的25年里,已经在许多方面取得了进展,耗费庞大而昂贵的软硬件支持作为服务。在另一极端,未来的电子消费产品可以装配到掌上电脑而且花费不到100美金。尽管这是显著的进展,但还是要取决于同一个问题:一个不可靠的协议簇和应用软件(无论是安装在硬盘里或是加载在固件里)。有三种基本类型的防火墙:代理防火墙使用规则,不仅检查报头信息,而且检查有效的荷载内容,如果报头是已被授权的。滤包防火墙基本分为两类:普通包过滤检查每个数据包的报头信息;状态包过滤检查初始报头并在允许的情况下监控其他包序列号的一致性。电路级防火墙已经成历史了,通常被忽略几乎类似宗教狂热式的销售战在代理防火墙和包过滤防火墙间持续了多年。在现实中,许多商业防火墙是这两种防火墙的融合。这只不过是两种技术所占的比例不同罢了。大部分的混合防火墙都是倾向于一种技术,这要看开发团队的理解倾向了。那些团体机构并不关心他们购买和使用的是那种防火墙,他们只是需要这防火墙运作起来并保护他们的数据而已。无论那种解决方案被采用,防火墙软件就是提供了一个可靠(但常常有缺陷)的安全保护,当然仅仅当他们能做到时才算。重点发展程序本身的安全性而非防火墙范围的保护。根据组织机构的具体需求正确配置和安装防火墙。配置可靠的硬件基础。锁定要保护的数据。配置保证能够正常运行的最基本服务数量。妥善处理防火墙本身的安全及其功能配置。保护不可能做到完美,因为我们所要绝对保护数据的设计往往都存在缺陷,不可能做到。以上列出的要求都适用于各种防火墙和依托防火墙的常见操作系统或硬件。当市场销售和促销时,技术细节就会被忽略,防火墙只是一款安装在操作系统上的应用程序,只要它能负责控制TCP/IP通信的端口满足其规则就行。同样的防火墙软件也要迎合其他软件和前面说的一样。防火墙和其他软件的不同就在于防火墙的开发者要比其他软件的开发者更注重安全问题。为了提高防火墙范围内的保护水平,应该补充额外的安全技术,如入侵检测/防御恶意软件技术。结合这项技术可以综合一个个单一的安全技术为一体,这已经变得越来越普通。前一种做法可以由用户自定义各种需求,而后者则全依赖开发商的安全侧重点。没有办法来确定谁对谁错,对于一个特定组织的具体工作。防火墙不能保护你的组织机构的内容:会话劫持侦听数据修改网络数据重新路由数据网络信息诈骗用户信息泄露用户调制解调器附带的防火墙系统保护社会工程攻击下载/接受的文件、信息包含病毒或恶意代码来自内部的数据攻击最安全的防火墙实现需要:制定一个公司范围的安全策略(安全策略标准和程序,格林堡,2003)并按此执行要按“攻击者”而不是“防卫者”的角度思考培训用户和管理者为关键系统采用在防火墙和访问控制两方面的“超前安全”策略O允许的情况下,将防火墙集成到操作系统支持的硬件上O禁用所有不必要的服务O尽可能利用强大的认证手段O检测“后门”O检测未被授权的擅自篡改除了防火墙外,一个不错的信息保护计划(格林伯格,2003)也将:执行和监督入侵检测系统,以便你知道自己什么时候在被攻击执行事件处理和过程响应,来处理试图或闯入的情况。乍一看,防火墙可能会被认为是一个简单的即插即用设备,放到那就能实施保护。但实际上,在介绍了防火墙的解决方案后,你会发现,使之有效地开展工作,需要大量的知识和安全专长。接下来的步骤由于您已经阅读这么深入了,很显然,你关心自己的现有的防火墙环境或以后的防火墙有关的配置方案。 解决这个问题的关键是要退一步,考虑一下你自己到底需要什么。根据你自己习惯舒适的原则,你可以自己随便安排,或者按你所在团体的设置,或者干脆成为一个独立的第三方。无论选择那种方式,关键是你都要彻底审视一下环境和趋势,和其他安全问题一样,问题是你所在团体的风险承受力和他得承受能力。总结妥善设计、实施和管理防火墙技术,为目前的计算机网络提供重要的保护。他们不一定是过去吹嘘的那种安全方面的灵丹妙药,只不过是团体机构用来抵挡电脑系统被入侵的一个简单的护盾罢了。为了现在和光明的未来,防火墙仍是一个组织团体防御的坚定选择。范围仅限于安装了防火墙设备的水平,不过他们都肯定会被嵌入到硬件设备中,这是迟早的事。尽管由于有防火墙技术的保证,他们正被试图用来保护不可靠网络通信的数据,让应用程序尽可能的花费较少的信息验证努力就能确保信息正确有效的接受和发送。在日益复杂的攻击和用户越来越少的安全意识下,就导致了防火墙就技术不断面临艰难的挑战。实际中的防火墙只是整个安全解决方案的一部分,围绕着这个单位的数据会有更强有力的保护措施。用防火墙作为其他技术的辅助,比如入侵检测系统、恶意软件保护系统等,当然这些都软件都是可靠地。接下来一个必须及时慎重考虑的问题就是:数据安全已经越来越不能再被忽略了,在数据本身变成应用的最后一步之前。ReferencesA definitive introduction to information security policies,standards and procedures. ; 2002.Eric Greenberg. Mission critical security planner; 2003 ISBN0-471-21165-6.King, Dalton, Ertem Osmanoglu. Security architecture design,deployment & operations ISBN:0-07-213385-6.Mandy Andress. Surviving security: how to integrate people,process and technology chapter 7; ISBN:0-672-32129-7.RFC 1883. Internet protocol, version 6 (IPv6) specification; December1995 () e originalspecification.RFC 2460. Internet protocol, version 6 (IPv6) specification; December1998 () e obsoletesRFC 1883.Zwicky, Cooper, Chapman. Building internet firewalls chapter4; ISBN:1-56592-871-7.
展开阅读全文