那个时期是中国互联网处于刚刚开始发展的朦胧时期,也就是在这一年,中国互联网的大门终于面向公众开放了。但是在那个年代,电脑还是一件非常奢侈的电子用品,而互联网对于大众来说更是一个陌生的名词,我们只有在专业性极强的书刊中能够找到与网络相关的名词,而那些上网的群体也多数为科研人员和年轻知本家(那个时候小资群体还没有提出)。各地电脑发烧友最大的乐趣就是COPY那些小游戏和DOS等软件类产品,盗版对我们来说还是一个陌生的名词,对于广大计算机用户来说,COPY就是正版的一种传播方式。于是乎那个时代最早的黑客或者说“窃客”诞生了。那个时候我们没有太多的理想和豪言壮语,一个全新的小软件就几乎是我们计算机的全部生命与理解,而对于这些窃客来说能够COPY到国外的最新产品是他们最大的荣幸,那一张张的小软盘中承载了中国黑客最初的梦想。也正是从那个时期起,雷军等众多我们现在熟知的人从这里引领起中国软件与互联网业发展的浪潮。
在那个中国网络最为朦胧的岁月里,大多数玩家操作着比9600Bits/s还小的雏猫,在最为原始的网络上奔驰。那不是我们现在传统意义上的Internet,而是最为初级的BBS站,一种依靠拨电话号码直接连接到BBS服务器上的方式来交流。他们上的最多的是中国惠多网,而非Internet。足球和软件加解密成为最热门的话题,注册码的交换让许多人乐此不疲。更多的BBS方式的服务器在全国各大城市出现,软件的交换破解成为最为热门的话题,单单一套Linux就能够卖到1200元。那个时代的玩家现如今均已成为了驰骋互联网的风云人物,有些名字我们不得不提起:
周志农-自然码发明人,开创大自然BBS站。
马化腾(PonyMa)-滕讯公司总裁,中国惠多网第一批网友。
求伯君-金山公司总裁,开创西线和西点BBS站。
罗依(RoyLuo)、钟东(Dr.Arab)、潘德强……
这些我们熟悉或者不太熟悉的人们,在那个年代,以他们特有的方式进行着中国网络人特殊的梦,也以他们的方式孵化出中国第一代黑客的雏形-窃客。
时光转眼到了1996年,在中国网民的年代分类中,在1996年以前接触网络的人均被称之为中国的第一代网民,或许在这其中有些人从来没有接触过Internet,所接触的最多也是那种电话连接的BBS,但是他们仍然无愧于中国第一代网民。1995年-1996年这一期间,中国各个大中城市的互联网信息港基本已经初具规模,中国国际互联网的第一代网管诞生,中国第一代的大众网民也开始走出BBS,而融入这种天地更为广阔的Internet。那两年是中国互联网初步成长时期,也同样是中国软件业开始蓬勃发展的时期。那个平静的年头中,中国网络人以自己的方式做着自己的梦,在这些人中很多是接触过早期BBS的网友,在他们看来,从BBS移师Internet只不过将自己的舞台扩大了一些,让自己的眼睛看得更多了一些。而他们在BBS上最初所进行的那些活动也迁移到了Internet这个更为广阔的空间。在这一期间中国网络窃客技术飞速发展,也从此诞生了一批传奇式人物,这里面最为出名的当属高春辉,他的个人主页在当时以破解软件和注册码为主,在那个软件极度匮乏的时期,他创造了中国个人网页访问量第一的传奇历史。当然在那个阶段,除了窃客以外,电话飞客也曾出现在中国,但是由于程控交换机的出现,飞客很快的成为了历史。1996年底,中国电信开始实行优惠上网政策,在此之后中国网络开始了真正步入百姓家庭的步伐。
1997年在中国互联网发展史应该是最为值得纪念的一年,而在中国黑客成长过程中,那一时期也哺育了众多的初级黑客,互联网这一个名词也逐渐被大众接受,新的思想,新的观念也逐渐从网络中折射出来。在1997年初期,YAHOO搜索引擎中只能够搜索出7个跟黑客相关的简体中文网页。而且网站中的内容多数是翻译或者重复国外相同网页的内容,很多没有实际意义。不过此时“黑客”这一个名词已经开始正式的深入广大网友之中,当时初级黑客所掌握的最高技术仅仅是使用邮箱炸弹,并且多数是国外的工具,完全没有自己的黑客武器,更不要说自己的精神领袖。那个时期世界上的黑客共同有追随着一个精神领袖:凯文•米特尼克,世界头号黑客。这位传奇性人物不单单的领导着美国黑客的思想,也影响着中国初级黑客前进与探索的方向。
1998年正当我们国内开始轰轰烈烈的开展互联网大跃进活动的时期,在大洋彼岸的美国,一年一度的黑客大会上由一个名为“死牛崇拜”黑客小组公布了一款名叫“BackOrifice”的黑客软件,并将源代码一起发布。这个软件掀起了全球性的计算机网络安全问题,并推进了“特洛伊木马”这种黑客软件的飞速发展。BO公布后,透过刚刚兴起的互联网迅速传到了中国,当时很多网友就是使用这款软件开始了对黑客生涯的初恋。但是BO并没有在中国掀起浪潮,当然因素是多种多样的,比如网络尚在发展中,BO为舶来品不方便中国网友使用等。但是BO没有辉煌的另一个主要原因是CIH病毒的诞生和大规模发作。这个有史以来第一个以感染主板BIOS为主要攻击目标的病毒给中国经济带来了数百亿元的损失,也让大陆黑客第一次感受到了来自海峡对面的野心与威胁。
1998给还处在发育期的中国黑客带来了太多的惊奇、恐惧、理想与动力。在BO诞生不久,中国黑客自己的特洛伊木马也诞生了,这就是网络间谍NetSpy。但是NetSpy的诞生并没有给中国黑客的发展带来太大的震动,这一切都让CIH的光芒所掩盖了。在随后的日子里以谢朝霞、PP(彭泉)、天行(陈伟山)等为代表程序员黑客开始显露头角,少量的国产工具开始小范围流行于中国黑客之间。当大家正在忙于为杀毒而忙得不可开交的时候,一次国际**件掀起了中国黑客首次浪潮。
1998年7-8月份,在印度尼西亚爆发了大规模的屠杀、**、残害印尼华人的排华事件。众多华人妇女被野蛮的**杀害,华人的超市被抢夺一空,很多丧失人性的印尼**分子还将大量残害华人的图片发到了互联网上。这一系列行为激怒了刚刚学会蹒跚走步的中国黑客们,他们不约而同的聚集在IRC聊天室中,并以八至六人为单位,向印尼政府网站的信箱中发送垃圾邮件,用Ping的方式攻击印尼网站。这些现在看来很幼稚的攻击方法造就了中国黑客最初的团结与坚强的精神,为后来的中国红客的形成铺垫了基础。为了号召更多的人加入战斗,有几位技术性黑客牵头组建了“中国黑客紧急会议中心”负责对印尼网站攻击期间的协调工作。印尼排华事件造就了一大批网友投身于黑客这项活动中来,有些人在攻击过后又回到了现实生活中,有些人则从此开始了对黑客理想的执著追求。同样这次事件也使得“绿色兵团”这个黑客组织的名字享誉中国互联网,并造就了后来的“中联绿盟”。
轰轰烈烈的印尼排华事件过后,中国黑客似乎又回归于平静,继续着对理想的执著追求与探索,UNIX、Linux、Http、FTP等网络技术性问题和黑客技术成为了中国黑客的主要话题,无力的反击让中国黑客开始有了新的反省,同样也激励起他们旺盛的斗志,他们如饥似渴的摄取技术养分,黑客技术性网站也开始逐渐增多,新的黑客技术高手也再次涌现,这一时期最具代表性的技术性黑客当属流光、溯雪、乱刀等黑客软件的开发者-小榕,以后的日子中,小榕执著的追求着自己的理想,使流光等这些优秀的软件在一次次升级与完善中走进了世界优秀黑客软件的舞台。
1999年中国的互联网用户突飞猛增,创造了历史同期增长最快的水平,但是那一年也成为了每一个中国人和中国黑客难忘的一年,这一年在中国黑客发展的历史上是永远不可抹掉的一笔。那一年的4-5月份以美国为首的北约以种种借口对南斯拉夫塞尔维亚共和国发动了战争,随后的日子里中国人民在各种媒体发表了对正义的声援,网络上更是掀起了对美国霸权主义的批判浪潮。但是就在5月份,美国的轰炸机竟悍然轰炸了我驻南联盟大使馆。消息一经传出,举国上下为之震惊与愤怒,全国各高校学子更是义愤填膺,水木清华等全国各大网站论坛的帖子与信息流量达到了历史的最高峰。
在战争的初期,中国黑客的行动仅仅限于声援南联盟人民,并没有采取过多的过激行为。但当我驻南联盟大使馆被毫无理由的轰炸后,中国黑客又一次大规模的团结了起来,纷纷开展了对美国网站的攻击。一直作为奋斗理想的美国黑客精神迅速的被遗弃了,一时间,中国的黑客没有了自己心目中的精神领袖,有的只是满腔的愤怒。在中国大使馆被炸后的第二天,第一个中国红客网站诞生了,同时也创造出了一个新的黑客分支-红客。中国红客网站长分析家在看完中午的新闻后,以半个小时的时间做完了这个网站,并初步定名为“中国红客之祖国团结阵线”(随后的7月份改名为中国红客之祖国统一战线),以宣扬爱国主义红客精神为主导,网站宣言中不乏铿锵激扬的爱国词语,并引用了**青年时的话语:“国家是我们的国家,人民是我们的人民,我们不喊谁喊?我们不干谁干?”极负煽动力。网站在短短的数天内访问量已达50多万,并出现在新浪网的新闻链接中,中国红客从此成为了世界黑客中特殊的一个群体,爱国与团结是他们永恒的精神理念。那次黑客战争中,全世界的华人首次团结一致,众多美国网站被攻击,大规模的垃圾邮件也使得美国众多邮件服务器瘫痪失灵,这次伟大的卫国黑客战争取得了全面的胜利。
一切刚刚回归宁静不久,就在七月份,台湾*突然抛出了两国论,海峡两岸局势顿时紧张。中国黑客依靠由对美网络反击战中总结出的经验,迅速的攻击了台湾行政院等网站,并给许多台湾服务器安装了木马程序,导致很多鼓吹*的网站服务器长时间瘫痪。值得一提的是,此次安装的木马程序由美国的BO首次改为了中国黑客自己研发的“冰河”与NetSpy。而木马冰河也成为了中国黑客最为钟爱的木马程序。
木马冰河是中国黑客史中必须提到的一个软件,它由中国安全程序员黄鑫编写,黄鑫在最初开发这个软件最初版本的时候并没有考虑到它能够作为一个特洛伊木马来使用,但随后冰河疯狂流行于黑客手中,很多用户在不知不觉中被冰河控制。早期的冰河还不能算是一个好的木马软件,随后黄鑫用了大量的时间对冰河进行代码重构,冰河2.2版本诞生了。新版本的冰河迅速被流传出去,并让大批初级黑客快速的步入了黑客这扇大门。中国黑客软件的开发从此走向了新的纪元,再次之后,黑洞、网络神偷、灰鸽子、XSan、YAI等众多优秀的国产黑客软件纷纷涌现,黑客也开始出现商业化迹象,由前“绿色兵团”成员组建的“中联绿盟”网络安全公司成立,正式开始了黑客向商业化迈进的脚步,中国黑客逐渐成长了起来。
走向2003:浮躁的**(2000年-2002年)
2000年成为了中国网络最为辉煌的一年,网吧也在全国各地蜂拥出现,上网的人群更是增加了一倍多。一时间“你上网了吗?”成为了流行问候语。与此同时中国的黑客队伍也在迅速扩大着,众多的黑客工具与软件使得进入黑客的门槛大大降低,黑客不再是网络高手的带名词,很多黑客很有可能就是一个嘴里叼着棒棒糖手里翻着小学课本的孩子。也正是因为这种局面的出现,中国黑客的队伍开始杂乱。
2000年初“东史郎南京大屠杀”事件的败诉再次激起一些黑客的民族主义情绪,国内部分黑客发动了针对日本网站的攻击,也对一些台湾网站发起攻击。由于并没有太多的轰动力而没有产生多大的影响,反而值得注意的是很多国内的黑客组织有雨后春笋般纷纷诞生。此外也是在这一年,一个全新的概念“蓝客”也被提了出来。这时国内的黑客基本分成三种类型,一种是以中国红客为代表,略带政治性色彩与爱国主义情结的黑客。另外一种是以蓝客为代表,他们热衷于纯粹的互联网安全技术,对于其它问题不关心的技术黑客。最后一种就是完全追求黑客原始本质精神,不关心政治,对技术也不疯狂的追捧的原色黑客。当然在这一年中,中国黑客群体的扩大导致了众多伪黑客的出现,在这些伪黑客群体中以满舟的炒作《黑客攻击防范秘技》事件最为突出。这名自成为中国安全将军的高中生少年抄袭了国内大量黑客的文章和作品,然后堂而皇之的署上自己的名字交由一家电子出版公司炒作出版。这本错字连篇且只能算是电子出版物(电子出版物与正式书刊不同)的小册子正式的揭开了中国伪黑客的行为推向了极致。此后很多对技术一窍不通的伪黑客以各种方式上演了一幕幕的闹剧,不但亵渎了中国黑客的精神,也成为中国黑客史上最为肮脏的角落
跨入新的世纪后之后,日本的排华情绪日益嚣张,三菱事件、日航事件、教科书事件和《台湾论》等激怒了中国黑客。由国内几个黑客网站牵头,组织了几次大规模的对日黑客行动,这个时期一些傻瓜型黑客软件也涌现出来,最为著名的当数孤独剑客的“中国男孩儿”。技术门槛的降低致使很多青少年黑客出现,现成的工具,现成的软件武装了这些对网络技术一无所知的青年,但也造成了后期的年轻黑客对技术的无知与轻视。
由于国内黑客炒作已经到达了白热化的程度,各种媒体和小报一时间对于黑客这个名词感兴趣的程度大幅的提高。而安全公司更是希望能够抓住这个机会炒作一番,海信公司的8341防火墙挑战全球黑客就是那时期上眼的最为热闹的大戏,并拿出了50万元这个诱人的数字来做为活动的奖金,一时间安全圈所有的话题都集中在海信的防火墙上。可正当黑客高手们正在为如何突破防火墙而苦苦寻觅的时候,戏剧性的一幕发生了,海信公司的网站被黑了。黑客对海信公司冷嘲热讽了一通,并对海信的测试表示了质疑。但是由于黑客攻击的不是海信给出的测试网址,50万元钱的奖金他也不能够拿走,最终还是被海信充了公。这场异常热闹的闹剧也草草的收场了。
2001年4月1日,我国南海地区发生了“中美撞机事件”后,美国一个名为PoizonBOx黑客组织率先向我国的一些网站发起了恶意的进攻。中美黑客产生了一些小的摩擦。到了五•一假期期间,许多中国黑客拿起了手中的武器,大规模的向美国网站展开进攻,并号称有“八万人”至多。但事后证明这样不过是一群小孩子的涂鸦游戏,再经媒体炒作后上演了一场“爱国秀”的闹剧。八万人中大多数对网络知识一无所知,所使用的方式竟然仍是几年前的垃圾邮件和Ping,此外很多伪黑客用Photoshop制造出的大量的虚假信息也成为这次“爱国秀”的最大败笔。不过由于此次黑客行动的炒作,导致了众多媒体对中国黑客的关注,让很多人了解中国互联网上的这一特殊群体。
在随后的反思中,中国黑客思想开始逐渐成熟,众多黑客纷纷再次回归技术,没有在热衷于媒体的炒作。黑客道德与黑客文化的讨论和延伸也让中国黑客逐步的重返自然状态,致力于对网络安全技术的研究。
相对于现在的中国黑客现状来说,中国黑客针对商业犯罪的行为不多,报刊出现一些所谓的商业黑客犯罪行为,实际上多属采用物理手段,而非网络手段。尽管见诸于报端的中国黑客行为多体现为某种程度上的爱国情绪的宣泄,但是黑客行为毕竟大部分是个人行为,如果不加引导,有发展成计算机网络犯罪的可能。但是客观地说,中国黑客行动对我国网络安全起到了启蒙作用,没有黑客,就没有网络安全这个概念。同时,一批黑客高手已转变为网络安全专家,他们发现安全漏洞,研发出众多安全技术和安全软件,对我国计算机或网络的发展做出了贡献。
手记:
本文写到这里告一段落,短短的几天时间里,我们回顾了自中国互联网诞生以来的所有影响中国黑客发展的事件和人。有些是沉痛的,有些是充满**的。但是无论怎样我们都希望看到中国黑客将从上个世纪下载来的**继续发挥,并继续成接着中国黑客那种刀锋般锐利的思想。温故中被提及的名字和事件只是一部分,很多黑客与黑客事件也许被忽略掉了,但是他们对中国网络安全事业做出的贡献是我们永远无法忘记。许榕生、中国鹰派、netcc、袁哥等名字我们虽然无法一一记载,但中国安全事业的发展是与他们无法分开的。
温故中国黑客史,让我从不曾有过这样的激动和颤栗。真诚不是错误,年少也不是错误。时光静静地流过岁月的河床,有一天我们终会苍老如云,而那时他依然年轻。或许人们不知道,他留给我的一切是怎样充实自我日渐衰竭的生命……
当你白发苍苍的时候,当你垂暮之年的时候,你再一次回到计算机前,回到那个心灵曾经找寻过迷失过的网络中,你会清楚的发现,在厚厚的灰尘之下,仍然会残留着富有传奇的身影和保有**的震撼。当你回到那个生你养你的小镇度过你苍老的余生的时候,对着儿孙,是否会讲起那段活的像电影一样的日子,温故那段活的像电影一样的黑客岁月……
反黑绝学-反黑常规武器防火墙
据公安部的资料,1998年中国共破获电脑黑客案件近百起,利用计算机网络进行的各类违法行为在中国以每年30%的速度递增。有媒介报道,中国95%的与Internet相连的网络管理中心都遭到过黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
随着网络犯罪的递增,网络防火墙开始受人关注。在此,笔着向大家介绍一下“防火墙”的基本知识。
防火墙是什么?
所谓“防火墙”,是指一种将内部网和公众访问网(Internet)分开的方法,实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。
防火墙的安全技术分析
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火墙的基本原理和实现方式进行分析和研究,笔者对防火墙的安全性有如下几点认识。
1、正确选用、合理配置防火墙非常不容易
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系统,配置有效的防火墙应遵循这样四个基本步骤:(1)风险分析;(2)需求分析;(3)确立安全政策;(4)选择准确的防护手段,并使之与安全政策保持一致。然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防火墙能否“防火”还是个问题。
2、需要正确评估防火墙的失效状态
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹,而且要看到一旦防火墙被攻破,它的状态如何?按级别来分,有四种状态:(1)未受伤害能够继续正常工作;(2)关闭并重新启动,同时恢复到正常工作状态;(3)关闭并禁止所有的数据通行;(4)关闭并允许所有的数据通行。前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐患。
3、防火墙必须进行动态维护
防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch)产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙进行更新。
4、目前很难对防火墙进行测试验证
防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大:
(1)防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的工具和软件更是寥寥无几。目前只有美国ISS公司提供防火墙性能测试的工具软件。
(2)防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作难以达到既定的效果。
(3)选择“谁”进行公正的测试也是一个问题。
可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要。
5、非法攻击防火墙的基本“招数”
(1)通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖,虽说成功与否尚取决于机遇等因素,但对攻击者而言很值得一试。
(2)破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能,处于失效状态。
(3)需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,随意访问被严格禁止了,这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,因此不仅涉及网络安全,还涉及主机安全问题。
以上分析表明,防火墙的安全防护性能依赖的因素很多,防火墙并非万能。
目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存在各种网络外部或网络内部攻击防火墙的技术手段。
防火墙的基本类型
实现防火墙的技术包括四大类:
1、网络级防火墙
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。
下面是某一网络级防火墙的访问控制规则:
(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1;
(2)允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主机150.0.0.2上;
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3;
(4)允许任何WWW数据(80口)通过;
(5)不允许其他数据包进入。
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
2、应用级网关
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
常用的应用级防火墙已有了相应的代理服务器,例如:HTTP、NNTP、FTP、Telnet、rlogin、X-Window等,但是,对于新开发的应用,尚没有相应的代理服务,它们将通过网络级防火墙和一般的代理服务。
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。
3、电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。
实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结合在一起,如TrustInformationSystems公司的GauntletInternetFirewall;DEC公司的AltaVistaFirewall等产品。另外,电路级网关还提供一个重要的安全功能:代理服务器(ProxyServer),代理服务器是个防火墙,在其上运行一个叫做“地址转移”的进程,来将所有你公司内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,因为该网关是在会话层工作的,它就无法检查应用层级的数据包。
4、规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样,规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也像电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也像应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。
规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关,它并不打破客户机/服务机模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用户透明,在OSI最高层上加密数据,不需要你去修改客户端的程序,也不需对每个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1防火墙都是一种规则检查防火墙。
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间。也就是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册核查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数据。
防火墙的配置
防火墙配置有三种:Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最简单。Dual-homedGateway放置在两个网络之间,这个Dual-homedGateway又称为Bastionhost。这种结构成本低,但是这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。
Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了。
Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为“停火区”(DMZ,即DemilitarizedZone),Bastionhost放置在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。
防火墙的安全措施
各种防火墙的安全性能不尽相同。这里仅介绍一些一般防火墙的常用安全措施。
1、防电子欺骗术
防电子欺骗术功能是保证数据包的IP地址与网关接口相符,防止通过修改IP地址的方法进行非授权访问,对可疑信息进行鉴别,并向网络管理员报警。
2、网络地址转移
地址转移是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。
3、开放式结构设计
开放式结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容易,典型的应用程序连接如财务软件包、病毒扫描、登录分析等。
4、路由器安全管理程序
它为路由器提供集中管理和访问列表控制。
书书网手机版 m.1pwx.com