网络防火墙的安全方案(网络安全设备1防火墙)

【转】

安全设备篇(1)——防火墙

什么是防火墙?

网络防火墙的安全方案(网络安全设备1防火墙)(1)

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。

网络防火墙的安全方案(网络安全设备1防火墙)(2)

防火墙(Firewall),是一种硬件设备或软件系统,主要架设在内部网络和外部网络间,为了防止外界恶意程式对内部系统的破坏,或者阻止内部重要信息向外流出,有双向监督功能。藉由防火墙管理员的设定,可以弹性的调整安全性的等级。

防火墙分类及原理

网络防火墙的安全方案(网络安全设备1防火墙)(3)

防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。包含如下几种核心技术:

1、包过滤技术

包过滤技术是一种简单、有效的安全控制技术,它工作在网络层,通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。

网络防火墙的安全方案(网络安全设备1防火墙)(4)

包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。

2、应用代理技术

应用代理防火墙工作在OSI的第七层,它通过检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。

网络防火墙的安全方案(网络安全设备1防火墙)(5)

应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。

3、状态检测技术

状态检测防火墙工作在OSI的第二至四层,采用状态检测包过滤的技术,是传统包过滤功能扩展而来。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持。

网络防火墙的安全方案(网络安全设备1防火墙)(6)

状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。主要特点是由于缺乏对应用层协议的深度检测功能,无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。

4、完全内容检测技术

完全内容检测技术防火墙综合状态检测与应用代理技术,并在此基础上进一步基于多层检测架构,把防病毒、内容过滤、应用识别等功能整合到防火墙里,其中还包括IPS功能,多单元融为一体,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路,(因此也被称为“下一代防火墙技术”)。

网络防火墙的安全方案(网络安全设备1防火墙)(7)

它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。完全内容检测技术防火墙可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细等优点,但由于功能集成度高,对产品硬件的要求比较高。

防火墙作用

网络防火墙的安全方案(网络安全设备1防火墙)(8)

  • 保护脆弱的服务

通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。

  • 控制对系统的访问

Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall允许外部访问特定的Mail Server和Web Server。

网络防火墙的安全方案(网络安全设备1防火墙)(9)

  • 集中的安全管理

Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。

  • 增强的保密性

使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Figer和DNS。

网络防火墙的安全方案(网络安全设备1防火墙)(10)

  • 记录和统计网络利用数据以及非法使用数据

Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。

  • 策略执行

Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。

安全设备篇(2)——IDS

什么是IDS

网络防火墙的安全方案(网络安全设备1防火墙)(11)

IDS是英文"Intrusion Detection Systems"的缩写,中文意思是"入侵检测系统"。

网络防火墙的安全方案(网络安全设备1防火墙)(12)

大家还记得「网络安全」安全设备篇(1)——防火墙吗?做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。

网络防火墙的安全方案(网络安全设备1防火墙)(13)

在本质上,入侵检测系统是一个典型的"窥探设备"。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

网络防火墙的安全方案(网络安全设备1防火墙)(14)

IDS模型

按入侵检测的手段,IDS的入侵检测模型可分为基于网络和基于主机两种。

网络防火墙的安全方案(网络安全设备1防火墙)(15)

1

基于主机模型

也称基于系统的模型,它是通过分析系统的审计数据来发现可疑的活动,如内存和文件的变化等。其输入数据主要来源于系统的审计日志,一般只能检测该主机上发生的入侵。这种模型有以下优点:

①性能价格比高:在主机数量较少的情况下,这种方法的性能价格比更高;

②更加细致:可以很容易地监测一些活动,如敏感文件、目录、程序或端口的存取,而这些活动很难基于协议的线索发现;

③视野集中:一旦入侵者得到了一个主机用户名和口令,基于主机的代理是最有可能区分正常活动和非法活动的;

④易于用户剪裁:每一个主机有自己的代理,当然用户剪裁更加方便;

⑤较少的主机:基于主机的方法有时不需要增加专门的硬件平台;

⑥对网络流量不敏感:用代理的方式一般不会因为网络流量的增加而丢掉对网络行为的监视。

网络防火墙的安全方案(网络安全设备1防火墙)(16)

2

基于网络模型

即通过连接在网络上的站点捕获网上的包,并分析其是否具有已知的攻击模式,以此来判别是否为入侵者。当该模型发现某些可疑的现象时,也一样会产生告警,并会向一个中心管理站点发出告警信号。这种模型有以下优点:

①侦测速度快:基于网络的监测器,通常能在微秒或秒级发现问题。而大多数基于主机的产品则要依靠最近几分钟内审计记录的分析;

②隐蔽性好:一个网络上的监测器不像主机那样显眼和易被存取,因而也不那么容易遭受攻击;

③视野更宽:基于网络的方法甚至可以作用在网络边缘上,即攻击者还没能接入网络时就被制止;

④较少的监测器:由于使用一个监测器可以保护一个共享的网段,所以不需要很多的监测器;

⑤占资源少:在被保护的设备上不占用任何资源,这点较主机模型最为突出。

网络防火墙的安全方案(网络安全设备1防火墙)(17)

IDS分类

根据模型和部署方式的不同,IDS分为基于主机的IDS、基于网络的IDS,以及由两者取长补短发展而来的新一代分布式IDS。

1

基于主机的IDS

输入数据来源于系统的审计日志,即在每个要保护的主机上运行一个代理程序,一般只能检测该主机上发生的入侵。它在重要的系统服务器、工作站或用户机器上运行,监视操作系统或系统事件级别的可疑活动(如尝试登录失败)。此类系统需要定义清楚哪些是不合法的活动,然后把这种安全策略转换成入侵检测规则。

网络防火墙的安全方案(网络安全设备1防火墙)(18)

2

基于网络的IDS

基于网络的IDS的输入数据来源于网络的信息流,该类系统一般被动地在网络上监听整个网段上的信息流,通过捕获网络数据包,进行分析,能够检测该网络段上发生的网络入侵。

网络防火墙的安全方案(网络安全设备1防火墙)(19)

3

分布式IDS

一般由多个部件组成,分布在网络的各个部分,完成相应功能,分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、产生入侵警报等。在这种结构下,不仅可以检测到针对单独主机的入侵,同时也可以检测到针对整网络上的主机的入侵。

网络防火墙的安全方案(网络安全设备1防火墙)(20)

IDS作用

1.监控、分析用户及系统活动。

2.对系统构造和弱点的审计。

3.识别反映已知进攻的活动模式并报警。

4.异常行为模式的统计分析。

5.评估重要系统和数据文件的完整性。

6.对操作系统的审计追踪管理,并识别用户违反安全策略的行为。

安全设备篇(3)——IPS

什么是IPS?

网络防火墙的安全方案(网络安全设备1防火墙)(21)

IPS是英文"Intrusion Prevention Systems"的缩写,中文意思是"入侵防御系统",IPS实现实时检查和阻止入侵。

上文「网络安全」安全设备篇(2)——IDS提到的IDS入侵检测系统大多是被动防御,而不是主动的,在攻击实际发生之前,它们往往无法预先发出警报。而IPS入侵防御系统,则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后发出警报。

网络防火墙的安全方案(网络安全设备1防火墙)(22)

IPS原理

网络防火墙的安全方案(网络安全设备1防火墙)(23)

IPS引擎原理图

IPS是通过直接嵌入到网络流量中实现主动防御的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另一个端口将它传送到内部系统中。通过这个过程,有问题的数据包以及所有来自同一数据流的后续数据包,都将在IPS设备中被清除掉。

网络防火墙的安全方案(网络安全设备1防火墙)(24)

IPS拥有众多过滤器,能够防止各种攻击。当新的攻击手段被发现后,IPS就会创建一个新的过滤器。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。

网络防火墙的安全方案(网络安全设备1防火墙)(25)

IPS分类

网络防火墙的安全方案(网络安全设备1防火墙)(26)

基于主机的入侵防护(HIPS)

HIPS通过在主机/服务器上安装软件代理程序,防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为,整体提升主机的安全水平。

网络防火墙的安全方案(网络安全设备1防火墙)(27)

基于网络的入侵防护(NIPS)

NIPS通过检测流经的网络流量,提供对网络系统的安全保护。由于它采用在线连接方式,所以一旦辨识出入侵行为,NIPS就可以去除整个网络会话,而不仅仅是复位会话。同样由于实时在线,NIPS需要具备很高的性能,以免成为网络的瓶颈,因此NIPS通常被设计成类似于交换机的网络设备,提供线速吞吐速率以及多个网络端口。

网络防火墙的安全方案(网络安全设备1防火墙)(28)

NIPS必须基于特定的硬件平台,才能实现千兆级网络流量的深度数据包检测和阻断功能。这种特定的硬件平台通常可以分为三类:一类是网络处理器(网络芯片),一类是专用的FPGA编程芯片,第三类是专用的ASIC芯片。

应用入侵防护(AIP)

NIPS产品有一个特例,即应用入侵防护(Application Intrusion Prevention,AIP),它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备,配置在应用数据的网络链路上,以确保用户遵守设定好的安全策略,保护服务器的安全。NIPS工作在网络上,直接对数据包进行检测和阻断,与具体的主机/服务器操作系统平台无关。

网络防火墙的安全方案(网络安全设备1防火墙)(29)

NIPS的实时检测与阻断功能很有可能出现在未来的交换机上。随着处理器性能的提高,每一层次的交换机都有可能集成入侵防护功能。

IPS作用

IPS是对防病毒软件和防火墙的补充,能有效阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。

网络防火墙的安全方案(网络安全设备1防火墙)(30)

安全设备篇(4)——防火墙、IDS、IPS的区别

之前,小编发表过三篇文章,主要针对防火墙、IDS、IPS做了详细介绍,具体内容这里不再赘述,感兴趣的小伙伴可以去看看哦。

概念不同

网络防火墙的安全方案(网络安全设备1防火墙)(31)

防火墙和IPS属于访问控制类产品,而IDS属于审计类产品。我们可以用一个简单的比喻,描述三者的不同和关系——将网络空间比喻成一个大厦,那么防火墙相当于门锁,有效隔离内外网或不同安全域,IDS相当于监视系统,当有问题发生时及时产生警报,而IPS则是巡视和保证大厦安全的安保人员,能够根据经验,主动发现问题并采取措施。

网络防火墙的安全方案(网络安全设备1防火墙)(32)

保护内容不同

防火墙较多应用在转发、内网保护(NAT)、流控、过滤等方面;IDS和IPS主要针对一些攻击情况。一般的防火墙只能做到3-4层的保护,对于5-7层的应用保护很一般,而5-7层的保护正是IDS和IPS的长处。

网络防火墙的安全方案(网络安全设备1防火墙)(33)

部署位置不同

网络防火墙的安全方案(网络安全设备1防火墙)(34)

防火墙通常采用串行接入,部署在网络边界,用来隔离内外网;

IDS通常采用旁路接入,在网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源,这些位置通常是:

服务器区域的交换机上;

Internet接入路由器滞后的第一台交换机上;

重点保护网段的局域网交换机上。

IPS通常采用Inline接入,在办公网络中,至少需要在以下区域部署:

办公网与外部网络的连接部位(入口/出口);

重要服务器集群前端;

办公网内部接入层。

网络防火墙的安全方案(网络安全设备1防火墙)(35)

工作机制不同

防火墙是重要的网络边界控制设备,主要通过策略5要素(源、目的、协议、时间、动作),各厂家根据定义不同,会有所扩展,实现对网络的访问控制。

IDS主要针对已发生的攻击事件或异常行为进行处理,属于被动防护。以NIDS为例:NIDS以旁路方式,对所监测的网络数据进行获取、还原,根据签名进行模式匹配,或者进行一系列统计分析,根据结果对有问题的会话进行阻断,或者和防火墙产生联动。IDS的致命缺点在于阻断UDP会话不太灵,对加密的数据流束手无策。

网络防火墙的安全方案(网络安全设备1防火墙)(36)

IPS针对攻击事件或异常行为可提前感知及预防,属于主动防护。根据设置的过滤器,分析相对应的数据包,通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。

IPS的阻断方式较IDS更为可靠,可以中断拦截UDP会话,也可以做到确保符合签名规则的数据包不漏发到被保护区域。

IPS致命的缺点是同样硬件的情况下,性能比IDS低的多。实际应用中,误杀漏杀和IDS一样,主要是签名库决定的。但是随着UDP协议的广泛使用,IPS在UDP上的误杀率可能会高于IDS。

网络防火墙的安全方案(网络安全设备1防火墙)(37)

三者在网络中相互配合,各司其职,实际使用中,需要根据具体网络需求进行评估和选择,有效发挥各设备优势,尽量避免缺点和不足,保证网络的安全运行。

安全设备篇(5)——WAF

随着WEB应用的普及,WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。传统防火墙无法对应用层的攻击进行有效抵抗,例如无法对当前快速爆发和蔓延的0DAY漏洞进行快速响应和对抗,而要彻底解决此类漏洞的代码审计和代码修补往往需要较长的时间。因此,出现了保护Web应用安全的Web应用防火墙系统——waf。

什么是WAF?

网络防火墙的安全方案(网络安全设备1防火墙)(38)

WAF是英文"Web Application Firewall"的缩写,中文意思是"Web应用防火墙",也称为"网站应用级入侵防御系统"。WAF是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备。

WAF需要部署在Web服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响Web服务,所以HA功能、Bypass功能都是必须的。

WAF主要技术

网络防火墙的安全方案(网络安全设备1防火墙)(39)

WAF的主要技术是对入侵的检测能力,尤其是对Web服务入侵的检测能力。常见的实现形式包括代理服务、特征识别、算法识别、模式匹配。

1

代理服务

代理方式本身是一种安全网关,基于会话的双向代理,中断了用户与服务器的直接连接,适用于各种加密协议,这也是Web的Cache应用中最常用的技术。代理方式有效防止入侵者的直接进入,对DDOS攻击可以抑制,对非预料的“特别”行为也有所抑制。

网络防火墙的安全方案(网络安全设备1防火墙)(40)

2

特征识别

识别出入侵者是防护它的前提。特征就是攻击者的“指纹”,如缓冲区溢出时的Shellcode,SQL注入中常见的“真表达(1=1)”。应用信息没有“标准”,但每个软件、行为都有自己的特有属性,病毒与蠕虫的识别就采用此方式,麻烦的就是每种攻击都有自己的特征,数量比较庞大,多了也容易相像,误报的可能性也大。虽然目前恶意代码的特征指数型地增长,安全界声言要淘汰此项技术,但目前应用层的识别还没有特别好的方式。

网络防火墙的安全方案(网络安全设备1防火墙)(41)

3

算法识别

特征识别有缺点,人们在寻求新的方式。对攻击类型进行归类,相同类的特征进行模式化,不再是单个特征的比较,算法识别有些类似模式识别,但对攻击方式依赖性很强,如SQL注入、DDOS、XSS等都开发了相应的识别算法。算法识别是进行语义理解,而不是靠“长相”识别。

网络防火墙的安全方案(网络安全设备1防火墙)(42)

4

模式匹配

IDS中“古老”的技术,把攻击行为归纳成一定模式,匹配后能确定是入侵行为。协议模式是其中简单的,是按标准协议的规程来定义模式,行为模式就复杂一些。

5

最大挑战

网络防火墙的安全方案(网络安全设备1防火墙)(43)

WAF最大的挑战是识别率,这并不是一个容易测量的指标,因为漏网进去的入侵者,并非都大肆张扬,比如给网页挂马,很难察觉进来的是哪一个,不知道当然也无法统计。对于已知的攻击方式,可以谈识别率;对未知的攻击方式,你也只好等他自己“跳”出来才知道。

WAF分类

WAF从形态上可分为硬件WAF、WAF防护软件和云WAF。

网络防火墙的安全方案(网络安全设备1防火墙)(44)

1

硬件WAF

通常串行部署在Web服务器前端,用于检测、阻断异常流量。通过代理技术代理来自外部的流量,并对请求包进行解析,通过安全规则库的攻击规则进行匹配,如成功匹配规则库中的规则,则识别为异常并进行请求阻断。

网络防火墙的安全方案(网络安全设备1防火墙)(45)

2

软件WAF

通常部署在需要防护的服务器上,通过监听端口或以Web容器扩展方式进行请求检测和阻断。

3

云WAF

云WAF,也称WEB应用防火墙的云模式,这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对网站实施安全防护,它的主要实现方式是利用DNS技术,通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测,如存在异常请求则进行拦截否则将请求转发至真实服务器。

WAF作用

网络防火墙的安全方案(网络安全设备1防火墙)(46)

WAF的作用主要包括WEB防护和防止WEB信息泄露两大部分,具体如下:

Web防护

●网络层:DDOS攻击、Syn Flood、Ack Flood、Http/Https Flood(CC攻击)、慢速攻击。

●应用层:URL黑白名单、HTTP协议规范(包括特殊字符过滤、请求方式、内容传输方式,例如:multipart/form-data,text/xml,application/x-www-form-urlencoded)。

●注入攻击(form和URL参数,post和get):SQL注入防御、 LDAP注入防御、 命令注入防护(OS命令,webshell等)、 XPath注入、 Xml/Json注入、XSS攻击(form和URL参数,post和get,现阶段分为三类攻击:存储式(危害大,也是一种流行方式),反射式、基于Dom的XSS)。

网络防火墙的安全方案(网络安全设备1防火墙)(47)

●目录遍历(Path Traversal)。

●form表单数据验证和表单篡改和注入(表单验证银行卡、数据、日期等)。

●认证管理和会话劫持(cookie加密:防护会话劫持,包括cookie超时)。

●内容过滤(这儿强调上传内容过滤post form和get 参数,主要应用论坛)。

●Web服务器漏洞探测(apache版本等隐藏,站点隐藏)。

●爬虫防护(基于SRC IP,周期判断访问数,爬虫白名单除外)。

●CSRF(Cross-site request forgery)(WAF采用token方式处理能够解决)。

●篡改(包括盗链)(WAF周期爬服务器网页,进行对比验证,如果篡改发现篡改,Client访问WAF网页)。

●Web服务器漏洞扫描(模拟攻击,判断缺陷,自动配置对应规则)。

●cache加速(静态页面优化,PDF,图片等,需要周期映像)。

●错误码过滤(探测服务,及其目录结构)。

●站点转换(URL rewrite)。

●发现攻击锁定(发现攻击,锁定用户)。

●查杀毒。

●加密传输(http -> https转化,即client-waf之间通过https,waf与server之间http)。

●URL ACL(URL匹配一些规则)。

网络防火墙的安全方案(网络安全设备1防火墙)(48)

防止Web信息泄露

●银行卡(信用卡、借记卡)、社保卡、驾照等,采用覆盖和隐藏两种方式。

●敏感词过滤、Web中关键词(政治敏感词、技术关键词等) 。

●防止文件泄露(word、pdf等扩展文件及其关键词),Web服务器上的文件。

安全设备篇(6)——VPN

什么是VPN?

VPN是英文“Virtual Private Network”的缩写,中文意思是“虚拟专用网络”。

VPN是虚拟出来的企业内部专线。通过特殊加密的通讯协议,为连接在Internet上,不同地理位置的两个或多个企业内部网,建立一条专有的通讯线路,就像架设了一条专线,但不需要真正去铺设光缆之类的物理线路。

VPN构成

网络防火墙的安全方案(网络安全设备1防火墙)(49)

VPN由VPN服务器、VPN连接(Internet公共网络)、协议隧道、VPN客户机组成。

工作原理...

1.通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入Internet。

2.网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。

3.网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络二的VPN网关的外部地址。

4.网络一的VPN网关将VPN数据包发送到Internet,由于VPN数据包的目标地址是网络二的VPN网关的外部地址,所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。

5.网络二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。

6.网络二的VPN网关将还原后的原始数据包发送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。在终端B看来,它收到的数据包就和从终端A直接发过来的一样。

7.从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。

在VPN网关对数据包进行处理时,有两个参数对于VPN通讯十分重要:原始数据包的目标地址(VPN目标地址)和远程VPN网关地址。根据VPN目标地址,VPN网关能够判断对哪些数据包进行VPN处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址,即VPN隧道的另一端VPN网关地址。

由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。

实现方式

VPN的实现有很多种方法,常用的有以下四种:

1.VPN服务器:在大型局域网中,可以通过在网络中心搭建VPN服务器的方法实现VPN。

2.软件VPN:可以通过专用的软件实现VPN。

3.硬件VPN:可以通过专用的硬件实现VPN。

4.集成VPN:某些硬件设备,如路由器、防火墙等,都含有VPN功能,但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。

VPN分类

网络防火墙的安全方案(网络安全设备1防火墙)(50)

根据不同的划分标准,VPN可以按几个标准进行分类划分:

  • 按VPN的协议分类:

VPN的隧道协议主要有三种,PPTP、L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议。

  • 按VPN的应用分类:

(1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量;

(2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源;

(3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。

网络防火墙的安全方案(网络安全设备1防火墙)(51)

  • 按所用的设备类型进行分类:

网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机、路由器和防火墙:

(1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可;

(2)交换机式VPN:主要应用于连接用户较少的VPN网络;

(3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型。

网络防火墙的安全方案(网络安全设备1防火墙)(52)

  • 按照实现原理划分:

(1)重叠VPN:此VPN需要用户自己建立端节点之间的VPN链路,主要包括:GRE、L2TP、IPSec等众多技术。

(2)对等VPN:由网络运营商在主干网上完成VPN通道的建立,主要包括MPLS、VPN技术。

常见VPN介绍

  • 二层VPN L2TP

该协议是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。

网络防火墙的安全方案(网络安全设备1防火墙)(53)

L2TP协议是由IETF起草,微软、Ascend、Cisco,3com等公司参予制定的二层隧道协议,它结合了PPTP和L2F两种二层隧道协议的优点,为众多公司所接受,已经成为IETF有关2层通道协议的工业标准,基于微软的点对点隧道协议 (PPTP)和思科2层转发协议(L2F)之上的,被一个因特网服务提供商和公司使用使这个虚拟私有网络的操作能够通过因特网。

网络防火墙的安全方案(网络安全设备1防火墙)(54)

  • 三层VPN

三层VPN包含了很多种VPN,标准的IPsecVPN,SSLVPN,GRE隧道VPN,混合VPN等。企业一般按照自己的需求选择合适的VPN,每种VPN都有自己的优点和缺点。

1.SSLVPN:SSLVPN指的是基于安全套接层协议(Security Socket Layer-SSL)建立远程安全访问通道的VPN技术。它是近年来兴起的VPN技术,其应用随着Web的普及和电子商务、远程办公的兴起而发展迅速。

网络防火墙的安全方案(网络安全设备1防火墙)(55)

2.GRE隧道VPN:通用路由封装(GRE:Generic Routing Encapsulation)在RFC1701/RFC1702中定义,它规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义,它允许用户使用IP封装IP、IPX、AppleTalk,并支持全部的路由协议,如RIP、OSPF、IGRP、EIGRP。通过GRE,用户可以利用公用IP网络连接IPX网络和AppleTalk网络,还可以使用保留地址进行网络互联,或对公网隐藏企业网的IP地址。

网络防火墙的安全方案(网络安全设备1防火墙)(56)

3.IPsecVPN:IPsecVPN是网络层的VPN技术,它独立于应用程序,以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息。一旦IPSEC建立加密隧道后,就可以实现各种类型的连接,如Web、电子邮件、文件传输、VoIP等,每个传输直接对应到VPN网关之后的相关服务器上。IPSEC是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议,对应用层协议完全透明,这是IPSEC VPN的最大优点之所在。

网络防火墙的安全方案(网络安全设备1防火墙)(57)

  • MPLSVPN

MPLS-VPN是指采用MPLS技术在宽带IP网络上构建企业IP专网,实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信,并结合差别服务、流量工程等相关技术,将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起,为用户提供高质量的服务。

VPN作用

网络防火墙的安全方案(网络安全设备1防火墙)(58)

VPN是建立在实际网络(或物理网络)基础上的一种功能性网络。它利用低成本的公共网络做为企业骨干网,同时又克服了公共网络缺乏保密性的弱点,在VPN网络中,位于公共网络两端的网络在公共网络上传输信息时,其信息都是经过安全处理的,可以保证数据的完整性、真实性和私有性。

网络防火墙的安全方案(网络安全设备1防火墙)(59)

VPN有效解决了地理距离过长,无法假设物理网络以及随时访问企业内网的安全问题。公司内部网络是封闭的、有边界的,这一问题限制了企业内部各种应用的延伸。通过VPN,将两个物理上分离的网络通过Internet这个公共网络进行逻辑上的直接连接,通过这种方式我们可以无限延伸企业的内部网络,继而使所有用户可以访问相同的资源,使用相同的应用。

网络防火墙的安全方案(网络安全设备1防火墙)(60)

VPN的可以很好的利用当前既有的Internet线路资源,不再受地域的限制,而对于用户来讲,VPN的工作方式是完全透明的。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页