国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

防火墻進化史

用戶84 / 1225人閱讀

摘要:毫無疑問這一部分會引起廠商和粉絲的爭議,但是作為學術討論來看,作者堅持這個觀點它們多帶帶不能構成防火墻。部署防火墻的目的,即隔離網段網域間的安全風險。上文說道防火墻是程序,可能會使一些未涉足過嵌入式設備的粉絲感到迷惑。

一、聲明

此文僅代表我個人對防火墻的理解。不夸張的說,基于認識的局限性,本文很可能存在認識的誤區。很多產品可能標注為防火墻,卻不能在本文找到對應的分類,這往往因為包含包含了高度集成的功能,各個功能可以歸在防火墻的子類里;也有些產品的名字里不含防火墻,但是可能提供防火墻的一種功能。

另,撰寫此文并未參考公安部對信息安全產品的分類,也未參考國內任何學術單位的文獻。暫且不說差異之處孰是孰非,如有雷同純屬巧合。

本文僅供讀者參考。

二、前言

無論管理員和規劃人員是否主觀上有所察覺,防火墻作為控制被保護網絡與其他網絡(internet或其他lan)的訪問控制組件,它客觀上也提供著某種程度的認證、授權的機制。防火墻規則中每一條Allow規則都是對不信任網絡中的網絡行為的一種授權。隨著信息系統應用的深入,信息系統安全也越來越多的面臨連接問題之外的威脅,例如SQL注入等;防火墻也隨之進化,產生了基于代理、過濾器和其他機制的防護產品。

雖然正文部分會有討論。但是此處可以籠統說,位于網絡邊界的通訊控制設備--包含服務器主機、標準機架式一體機等,控制(包括調配)osi layer3 acl的、基于configuration而非knowledge base的,都是一種防火墻。雖然configuration多數基于knowledge base往往僅在更新模式有所差別,但是同時符合兩者并且主要控制osi layer3的產品卻非常罕見。具體的說,本文不認為下列產品是防火墻:

網橋和網閥

純粹意義上的VPN 服務器和網關

認證服務器--它基于程序的數據進行授權而不是基于網絡IP層工作。這其中包括了802.1x的認證設備和服務器。

所謂的數據防篡改系統(data loss prevention )

IDS和IPS--IPS基于IDS,而且規則之外的第一次連接是成功的。IDS毫無疑問不能算防火墻,那么可以視為IDS擴展模塊的IPS本文也認為更不是防火墻。

網絡殺毒服務器等--這些程序將IP數據包還原成文件和通訊流,判斷是否存在病毒、網絡攻擊等,最終與客戶端聯動處理相關程序和通訊。這可以以2009年以trendmicro的virus wall為代表。

反垃圾郵件產品--即使叫做垃圾郵件防火墻,它也不在IP連接上過濾網絡包。

另外本文認為以下組件(主要指腳本、配置等)構成防火墻的一部分,但多帶帶來說不可以算做防火墻:

標準代理、反向代理服務器。它可能是Web Application Security Firewall (國內所說的WAF,哇福)一個重要部分,但它獨立工作很難說能起到防火墻的作用。另外它不工作于OSI Layer3。

iptables /netfilter/squid 等等的配置和腳本。確實經過資深管理員的調整和組合,相當多的開源工具可以達到企業級別硬件防火墻的作用,甚至可以超過一系列硬件產品的功效。首先這些腳本或配置文件,自己不是程序,尤其是iptables更是操作系統內核的一部分;其次它們嚴重依賴IT管理員的knowlege base的配置無法象產品那樣推廣應用。把它說為管理員的技巧更恰當。

一些無說明的開源的、或GPL v2防火墻。很難定性。

對訪問網址進行過濾的功能部分,如果多帶帶構成程序或產品,本文也認為它不是防火墻。毫無疑問這一部分會引起廠商和粉絲的爭議,但是作為學術討論來看,作者堅持這個觀點--它們多帶帶不能構成防火墻。例如個人/企業防火墻對已知的xss站點、釣魚網站進行屏蔽,這些組件不能多帶帶構成防火墻。從程序上看,它們與IP連接無直接關系、是基于數據包或者程序控制的一部分。總體說,如果您認為垃圾郵件防火墻不能算網絡防火墻,您也應該能理解僅僅提供訪問網址過濾的防火墻不能叫做防火墻。舉個極端的例子說明吧:您認為firefox的adblock是防火墻嗎,還是說這個adblock安裝在服務器端就可以叫做防火墻了?

三、正文

1.什么是防火墻

美國國防部所屬,信息安全應對策略局Defense Information Systems Agency (DISA,其官方網站貌似被墻了)有定義:

A firewall is a device that serves as a barrier between networks providing access control, traffic filtering, and other security features. Firewalls are commonly deployed between trusted and untrusted networks, for example between the Internet (untrusted) and an organization’s trusted private network. They [firewalls] can also be used internally to segment an organization’s network infrastructure, for example; deploying a firewall between the corporate financial information and the rest of the company network.

如果評論國內的定義怕是又有一堆這個那個的人物出來非議,我得罪不起他們。拿DISA做靶子吧!上文值得商榷的地方很多。防火墻不一定是“device”,例如廣為接受的個人防火墻通常就是個程序。知名的企業在同一企業內部,也會部署防火墻的,例如財務部和業務部,客戶端網段與服務器網段,城市之間的網段等等。隨著柵欄防御體系的破敗和防火墻成本的降低,在企業內網中看見防火墻已經是很常見的事情。而隨著硬件處理能力的提高,高度整合的防火墻可能帶有其他功能,使用其附加功能、利用防火墻的易維護性可能使得防火墻應用在今后更加普及。如同我現在用的煙盒帶有打火機一樣,使用多功能的整合防火墻的網址過濾功能、認證功能、日志功能,可能比使用它的IP過濾功能更為常見。但是反過來說,我們不能說打火機就是煙盒吧。

基于上面的討論,我對防火墻進行下列定義:

防火墻是用于隔離不同網段、網域,對其進行通訊過濾的程序。所有的防火墻都按照策略工作,至少提供OSI Layer3的過濾功能。即使廠商常常為其提供其他安全功能,但是對OSI Layer3進行過濾是防火墻的本質特性。部署防火墻的目的,即隔離網段、網域間的安全風險。

上文說道防火墻是程序,可能會使一些未涉足過嵌入式設備的粉絲感到迷惑。目前市面上的硬件防火墻,以ARM硬件平臺為主,運行操作系統并自動運行系列程序;硬件防火墻仍然是程序控制通訊。也有人根據Web Application Security Firewall對此不解,其實這類防火墻首先阻斷被控網內到被控網外除特定端口以外的所有通訊,再對其收到的services request做相應的分析及過濾;所以它本身首先是阻斷型防火墻(這是它實現安全的首要因素),不過它的附加功能更為人們所歡迎罷了。

1.1常見應用

前言之前對防火墻進行了歸類。下面進行分類討論。

network firewall,就是傳統意義上的企業防火墻,它所隔離的網段可不言而喻的映射為被控網段、非可控網段等。出于負載和可靠性的考慮,單一功能的network firewall常常是嵌入式的標準機架式(偽)硬件。

Application firewall 也以嵌入式系統為主,但也有服務器類型的,它隔離和控制的網域卻是某種“系統”,例如apache群集、甚至是另外的一系列Application Firewall等等。雖然分離式Application Firewall較為常見,但是也有將服務系統與應用程序防火墻安裝在一臺服務器上的情況(并不推薦)。

Personal Firewall 個人防火墻就不多說了。

而較為糾集的是Network Firewall與Application Firewall的整合,即復合型防火墻。這種應用受到多種制約--例如帶寬、成本和網絡規模。隨著虛擬化的普及,有將兩者運行在虛擬化平臺為(物理)網絡提供服務的;但是osi layer3 常見的ddos使得深受其害的用戶不得不將兩者從硬件上分離、有些用戶甚至防止不同攻擊的包過濾防火墻層級連接(控制burst rate的,ddos包過濾SPI的,控制內部互相ddos的,WASF防這又防那的,外加一系列監控監管平臺);為虛擬化平臺(例如云)提供復合型防火墻的方案更是五花八門、多種多樣,利用web application firewall當負載平衡的也非常之常見,為web request添加cookie、為tcp session 加cookie做四次握手之類的各種冷門控制手段驚人的都能在此看到。

很多防火墻也有認證的支持功能,例如SSO服務器支持。SSO支持與VPN服務聯動,可以提供完整的integrity控制方案而深受世界知名企業青睞。可惜國內方面對完整性的應用和理解遠遠落后,僅僅有個vpn功能的防火墻已經對于他們來說算是高級貨。毫無疑問這是問責制即accountability在國內沒有受到支持,用戶將所有責任都推給網管的習慣造成的。無論有沒有server log,所有責任都歸IT、操作人員對保密無知和拒絕負責使得對于國內來說SSO功能并不那么重要。不要問我方案,國內沒見過,我也受保密條款的道德制約。

?2. 防火墻的細分

2.1 Network Firewall

2.1.1 Stateless http://en.wikipedia.org/wiki/StatelessX23Xfirewall?
(看history部分)

2.1.2 Stateful? http://en.wikipedia.org/wiki/StatelessX26Xfirewall

實際上,多種DDOS清洗器、或者叫做DDOS過濾管道(pipeline)很大程度上依賴SPI技術(stateful),僅僅是安裝有大內存和2-128個arm cpu就使得ddos清洗設備,賣到骨干網絡上就必須昂貴到幾十萬到幾百萬,實在是燒錢的絕好理由(天頂星人不要來噴水)。在2001年的時候,有業內人士吐槽說給tcp多來次握手或(給ip數據包,包括udp)加個認證的cookie就是市面上所有的抗ddos設備,是不是這么回事讀者看后心里就有數了。

而2013年兩會期間IDF服務器受到流氓公司(們?)的天文數量流量的ddos攻擊,其攻擊類型就是syn和ack攻擊組成。單主機控制iptables在幾十g的帶寬下,效果不是十分明顯。因為ddos即使在主機上識別為攻擊,作流量控制、并且drop,但是網絡介入服務商的設備卻在承受高負載攻擊。如果配置為reset,則ISP的設備就要承受雙重負載。

所以預防ddos可以說比較復雜,ISP方面也需要有足夠經驗去配置設備。

2.2 Application Security Firewall

ASF是比較新型的防火墻,如前文所說,它第一條安全規則應當是阻止內部服務器通過ASF設備連接到互聯網。其次,ASF基本都屬于中間件服務程序,運行著經過調試的代理服務程序。例如網頁防護程序應當運行著類似squid的程序。

這種特征使得ASF可以詳細追蹤和分析service request,進行允許(拒絕)的acl控制、紀錄、即啟發式自動分析,或進行類似負載平衡那樣的調度。相比network firwall來說,ASF在OSI上工作在頂層,即application layer。所以network firewall又有lower layer firewall的名字,而application firewall也有higher layer firewall的大號。

ASF很多特征與負載平衡程序相似,根據對通訊解析之后根據request 實現規則的控制、通訊的調度和干預。不僅僅針對HTTP,ASF也有對POP3 IMAP SMTP FTP的防護程序。不過與大家想象的不同,不僅詳細識別相關程序、對網站、url、ip等等進行控制,ASF對于同一網域的出、入通訊都可以在ASF上控制。已經有那種控制企業內網用戶上網的、可以直接放置于網絡邊界自動識別通訊協議(而非端口),并且進行相關分析、控制的ASF。

中間件結構的優勢使得ASF可以達到傳統Network Firewall無法做到的功能。例如,對惡意url
(xss等)識別,對應用程序漏洞的識別,在惡意入侵達到目標機之前就可被ASF識別和攔截。實際上通過ASF的通訊并沒有直接與目標主機進行連接。

ASF有主機型防護程序,或網段型防護程序。主機型host-based ASF可能安裝于被保護終端的主機上--即使如此,ASF也不是Personal Firewall,它們兩者的區別還是非常大的:ASF是根據協議進行識別和控制,而PF主要是根據程序或socket進行控制。

ASF在國內普遍叫做WAF,主要就是國內用戶使用ASF進行網站防護(Web -),換句話說國內應用和研發能力較低造成的。美國稱之為AF,因為他們確實可以做到通過通訊對應用程序和它們的弱點進行識別。

已經普遍應用于保護服務器網段的ASF,目前有WAF,database firewall,xml 防火墻等等。市面上已經可以找到處理SQL injections, database rootkits,? data loss的ASF產品。

2.3 Multifunction Firewall

CPU速度超過過去很多,剩下的運算能力干嘛用才好呢?

2.3.1 VPN Gateway

VPN不稀奇了。各大廠商為自己的vpn協議發表各自的客戶端軟件。

2.3.2 Unified Threat Management

防火墻實現基本的控制功能以外,增加了各種非傳統意義防火墻的功能。例如,Network Firewall按照商業數據庫對網站分類,對其進行阻攔等等。所謂UTM不一定是防火墻的標準功能或常見功能,因為耗費巨大運算資源,功能往往也很有限。

2.4 Personal Firewall

2.4.1 歷史

早期的個人防火墻如同Network Firewall一樣,對網卡上的通訊進行統一的規則匹配。支持NAT和DNS服務的個人防火墻曾幾何時風靡一世。之后隨SDK的開放和OS廠商的推廣,PF防火墻實現了按程序和Socket雙重防護的功能。

隨之而來的是產品的整合。殺毒軟件、反木馬軟件、DLP數據泄露防護、反釣魚網站保護和網址過濾、防activex惡意代碼,沙盒子sandbox下載與運行保護。一個殺毒軟件包攬本地安全是很早之前的故事。

PDA和智能手機帶來新的機遇。現在的主流軟件不僅可以在手機上進行快速的權限和代碼掃瞄,更可以掃瞄短信、email和IM中傳遞的網址。

2.5 Others

虛擬化和云的應用帶來新的觀點和手段。有很多產品可以在虛擬機內對程序和主機進行認證,再在hyper層進行進一步一體化控制。trendmicro,edenwall(此站在發文時已經被黑)、checkpoint和CA 都在此方面有深入研究。其中checkpoint為amazone 提供安全服務,而美國CA目前為美國海軍第xxx大隊的全球衛星控制中心做安全防護和災難恢復的方案和防護。

不過在應用虛擬化安全方案之前就應當注意,虛擬化體系本身就存在很多安全問題。在2009年時中科院某院士對hyper層發表非官方的安全可信的首肯之后,2010年就有259種hyper層帶來的安全漏洞的分析。覆巢之下,焉有完卵。???

2.6 Thanks

首先感謝美國國防部所屬DISA,給我個理由批判傳統觀念。

其次感謝那些在2013年DDOS IDF的人渣們,給我寫這篇文章的初衷。

最后感謝從來沒承認過我們的,更沒實際教育過我們的,卻控制中國互聯網言論的水軍。

還有感謝把深度防御理論公開,控制思想GPL V1,搞的WAF滿天飛卻沒拿到絲毫專利權和著作權的自己。


via idf.cn

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/7887.html

相關文章

  • SegmentFault 技術周刊 Vol.39 - 什么!服務器炸了?

    摘要:有一次別人的云服務器被攻擊,提供商竟然重啟了物理機然后又諸多悲劇出現。造成微博服務短暫不可用。通過建立工具來診斷問題,并創建一種復盤事故的文化來推動并作出改進,防止未來發生故障。 showImg(https://segmentfault.com/img/bV0jif?w=900&h=385); 相信小伙伴們在上網或者玩游戲的時候一定都遇到過無法訪問的情況。服務器炸了的原因有各種各樣,下...

    1treeS 評論0 收藏0
  • 華云數據高調進入企業級云計算領域的底氣在哪?

    摘要:華云數據經過這幾年的融資和布局,可以說是云計算服務領域的佼佼者。這也是華云數據有底氣推出面向企業市場的云計算產品的信心所在。  ??今天,云計算發展這么快,首先是緣于移動互聯網的發展,產生了許多需求。其次,技術的進步不是勻速的,而是呈現指數級增長,也造成了今天的云計算蓬勃發展的局面。  同樣,用戶的需求也隨著云計算在進化。從早期的云計算雛形比如在傳統IDC上托管幾臺服務器,后來上了防火墻,又...

    baukh789 評論0 收藏0
  • DevOps是如何出現的?前因后果

    摘要:是如何出現的前因后果更多物聯網高并發編程知識請移步軟件開發的演變多年來,從現有的軟件開發策略方法發展而來,以響應業務需求。數據表明超過的項目最終都是以失敗告終的。團隊應該定期反思如何能變得更有戰斗力,然后相應地轉變并調整其行為。 DevOps是如何出現的?前因后果 更多物聯網高并發編程知識請移步:https://www.yuque.com/shizhiy... 軟件開發的演變 多年來...

    XBaron 評論0 收藏0

發表評論

0條評論

用戶84

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<