有部電影叫”防火牆”,裡面男主角是電腦安全專家傑克史坦菲德(哈里遜福特飾)為一家位於西雅圖的太平洋銀行工作。他是一名備受信賴的高階主管,多年來負責設計最有效的防盜電腦系統,透過層層的密碼和防火牆,阻止日益猖獗的電腦駭客盜取銀行的資產。 傑克在公司的待遇優厚,讓他、他身為建築師的妻子貝絲(薇吉妮亞麥德森飾)以及他們的一對小孩過著優裕的生活,包括一棟位於市郊高級住宅區的豪宅。 但是傑克的防盜系統卻有一個致命弱點,那就是他自己,有一名殘暴兇狠的歹徒決定利用這弱點盜取銀行鉅款。
所以,結論是:再好的防火牆還是有漏洞,就是製造者本身的敬業精神是否可以信任?還是選擇一間可以信任的電腦(資訊安全)公司.企業及組織為確保內部網路及系統的安全,均紛紛建置不同層次的資訊安全解決機制,而防火牆 (Firewall) 就是各企業及組織在建置資安控管解決方案當中最常被優先考量的安全控管機制。根據可靠的統計數據顯示,幾乎有90%甚至以上的企業組織均有建置防火牆。由於防火牆往往扮演的是為企業及組織網路安全把關的第一道防線,在考慮防火牆的安全管理時不可不慎。
防火牆發展至今,技術已相當成熟同時其概念亦為資訊人員所瞭解。一般而言,所有進出企業的網路封包皆必須經過防火牆,由防火牆對於所有通過防火牆介面的封包提供基本的 permit/deny 動作。不過科技發展至今,雖然 Internet 所提供附加服務的增加(例如:Web、Audio、Video、VoIP 以及 Java/ActiveX),防火牆的角色並沒有改變,只是防火牆的運作參數之複雜程度也相對提高。一般在討論防火牆,也大都從防火牆的功能、特性及建置來作探討,然而,除了這些技術層面的問題之外,在下列文章中,我們將從另一管理角度來看防火牆,當企業或組織大部分都已經建置了防火牆之後,接下來要如何更進一步做好管理工作,以強固防火牆整體的安全控管機能。
防火牆管理的重要性
在進入到防火牆的管理主題時,不妨先就防火牆的功能面,對防火牆運作功能及其限制作一簡單陳述。
防火牆可以做什麼?
防火牆可以集中控管所有通過與防火牆連接網路區段之網路交通 (network traffic)。
透過安全政策的制定,防火牆可以強制執行對於通過防火牆各網路區段交通 (traffic) 的安全政策。
防火牆提供紀錄 (log) 網路交通 (network traffic) 資訊的中央控制點。
防火牆無法做什麼?
防火牆無法控管未通過這個防火牆的網路交通。
防火牆只能控管 TCP/IP 網路交通,例如:防火牆並不支援 SNA。
防火牆無法防止內部未經授權,惡意破壞的使用者。
SNA為Systems Network Architecture的簡稱,意即系統網路架構,是由IBM公司在1974年該公司大型主機mainframe網路架構所訂定的網路結構標準和通訊協定。後來ISO(國際標準組織)使用IBM的SNA架構作為它的OSI模型(開放式系統架構)的原始模型架構,OSI 所包含七層架構為:
第一層:實體層(Physical layer)允許多種不同類型的實體連接。
第二層:資料連接層(Data-link layer)確保實體層連結的資料之正確性,包含資料傳輸的錯誤偵測及更正功能。
第三層:網路層(Network layer)建立及管理節點到另一個節點的路徑。
第四層:傳輸層(Transmission layer)確保資料在網路層與對話層之間的傳輸品質。
第五層:對話層(Session layer)主要在管理各使用者之間資料的交換形式。
第六層:展現層(Presentation layer)負責將傳輸的資訊以有意義的形式表達給網路使用者,並提供應用程式介面。
第七層:應用層(Application layer)是OSI最高層,其提供了使用者網路上的服務。
事實上現今市面上恐怕沒有任何一種防火牆系統廠商敢誇言,其產品可以提供百分之百的安全保障。新的網路威脅不斷被發現,而防火牆系統的廠商亦需時時研制新的修正程式以解決問題。然而,對防火牆管理及維護的正確態度和定期的安全檢核將有助於降低防火牆的安全風險。防火牆的管理者及其管理動作將直接影響防火牆安全程度的高低,過多防火牆管理者或不適當的管理行為都將引發防火牆淺在的威脅及暴露防火牆的弱點。而強化防火牆安全功能的做法,除了選擇一個功能完整、適合企業及組織的防火牆產品之外,更重要的,是建置防火牆所需特別注意的安全問題以及防火牆建置完成之後的管理工作。
防火牆(firewall)是指一個由軟體或和硬體設備組合而成,位於企業或網路群體電腦與外界(Internet)之間,限制外界用戶對內部網路存取及管理內部用戶訪問外界網路的權限。主要是控制對受保護的網絡的存取,逼使各連接點的通過能得到檢查和評估。
Firewall最粗淺的概念,就是在Internet與組織的LAN之間設一Choke Point,以管制進出組織資料及組織內機器的安全。一般防火牆的做法都是在主機上插兩片或兩片以上的網路卡,其中一片連接可公開網路,另一片則是連接到被保護網路,而防火牆則是管理流經這兩片卡的資料封包。
為何要FireWall
防火牆是用來隔開內部網路與外部網路之間,達到公司安全的要求,從外部網路要使用內部網路的機器,必須經過防火牆。可視為一種保護作用,使得內部機器不被外界透過網路任意連接使用。近年來網際網路的風行,為企業帶來許多的便利與新的商機,愈來愈多的企業連上網際網路,應用也從早期的網站瀏覽到最近的線上報稅;將來企業網路與網際網路的整合已成趨勢也被大家習以為常地接受。但同時也帶給企業資訊安全新的挑戰。企業不僅需要擔心網路遭到入侵,也必須防止資訊外洩(如:客戶資料、研發資料等),電腦資源被破壞而停止運作,愈來愈多的應用系統將在這個網路上被執行,然而安全的問題是急待克服的難題。防火牆的設計是網際網路安全性考量的第一層把門關,有人說連上防火牆不見的就安全,其原因是很多人以為裝上防火牆就達到了安全的標準,其實防火牆只是一個網路安全的控管系統,重要的是企業有無一套安全的網路架構規劃以及控管機置存在。防火牆必須基於這樣的安全規劃下去執行其任務,方能保障企業網路的安全。
FireWall種類
防火牆的定義並不很明確,在理論上,它大抵有封包濾器(packet filter)及應用閘 道器(application gateway)兩種,實際的防火牆可以是這兩種的混合型。
1. 封包濾器又名屏障式選徑器(screening router)
它僅具有簡單的封包過濾及選徑功能,有的甚至不能過濾來源位址、只能過濾目標位址,其過濾動作於網際網路層進行,這類型常見於普通的選徑器。
封包濾器通常針對IP封包的表頭欄位與管理者制定的規則進行過濾,這些欄位主要為 :
封包型別(Packet Type),IP、UDP、ICMP、或TCP。
來源主機之IP位址
目標主機之IP位址
來源TCP/UDP埠號碼
目標TCP/UDP埠號碼
2. 應用閘道器(application gateway)
同時以兩個網路介面連接兩段網路,它也具過濾封包的功能,只是不同於封包濾器 在網際網路層進行,應用閘道器的連 線過濾動作發生在程序應用層,故能提供較細緻、較智慧的安全管制。應用閘道器的特性是不允許封包直接由其網際網路層流經,其接受遠端主機的連線與否的規則在程序應用層制定,因此,用戶若欲通過應用閘道器,得先出示其識別碼及密碼進行登入,待登入之後,再透過該閘道器與外界連線,由外而內亦同,應用閘道器也被稱作代理(proxy)伺服器。
3. 防火牆延伸功能IP位址轉譯(Address Translation)
防火牆除了提供封包過濾、應用閘道器等防火牆的基本功能外,為提昇防護效果 及產品的競爭力,通常還會提供額外的防禦服務,內部IP位址的遮罩、轉譯(translation)的功能。
位址轉譯的技巧即是在私人位址與正式位址之間進行動態的映射,在私人網 路,我們可在內、外網路之間設置一位址轉換器,一般是設在選徑器或防火牆,若有主機須對Internet連線,當它的封包通過位址轉換器時,其表頭的來源位址(私人位址)將被轉換器動態配置的正式位址所取代,而由目標主機回應的封包在經過 轉換器時,其目標位址亦會被原主機的來源位址取代,如此,私人網路的主機即 可與Internet的主機連線。
位址轉譯,令數量有限的IP位址可供更多的主機利用,它的副帶效果,是還隱藏了內部主機實際的IP位址,因此起著某種程度的保護作用,但其缺點是,內部網路的主機位址是動態配置的,這對外界某些主機可能帶來困擾,例如,當外界主機欲對內部主機設置權限控制時,它將無法確定對方的IP位址為何,另一個問題是,位址不固定的主機、其網域名稱資料的設置將有困難,目前的名稱伺服器、其資料庫多屬靜態的,若能將動態配置IP位址的機制與DNS伺服器相結合,則可解決此問題。
本文出至於台南縣教育網路中心
文章定位:
