《計算機科學(xué)與技術(shù)專業(yè) 畢業(yè)設(shè)計外文翻譯》由會員分享,可在線閱讀,更多相關(guān)《計算機科學(xué)與技術(shù)專業(yè) 畢業(yè)設(shè)計外文翻譯(5頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、本科生畢業(yè)翻譯
單 位 計算機科學(xué)學(xué)院
姓 名
專業(yè)班級計算機科學(xué)與技術(shù)專業(yè)
指導(dǎo)教師(職稱)
翻譯完成時間二○○九年五月
Information Security Technical Report (2005) 10, 204e212
Firewalls e Are they enough protection forcurrent networks?
J. Stuart Broderick
Strategic Consulting, Symantec Corporation, 911 Central Parkway North, Suite
2、 300,San Antonio, TX 78232, USA
縱深防御
縱深防御是一個被安全從業(yè)人員吹捧多年的概念。盡管使用多重防火墻級聯(lián)的縱深防御已經(jīng)被廣泛應(yīng)用于世界各國的政府團體機構(gòu),然而其在非政府領(lǐng)域的應(yīng)用還是十分有限的。或許是由于成本的原因。幾年前,成本的理由是合理的。但是,隨著一些更快更小的防火墻技術(shù)和安全設(shè)備的產(chǎn)生,或許一些團體機構(gòu)是時候該重新考慮一下他們應(yīng)首先顧慮的問題了。
為了讓團體機構(gòu)的信息得到最佳的保護,他們的網(wǎng)絡(luò)應(yīng)該被規(guī)劃(或重新設(shè)計)這是從安全的立場(金等人)而不是從商業(yè)和地域角度來考慮。從安全角度來設(shè)計一個網(wǎng)絡(luò),應(yīng)該確保讓未經(jīng)授權(quán)的內(nèi)部訪問和來源于外部的訪問變
3、得非常困難。在下面這個圖表中就給出了一個分割或者隔離網(wǎng)絡(luò)的例子:
在圖中,用戶每向核心敏感層躍遷一次都要通過越來越嚴(yán)格的防火墻。此圖是一個簡單的可靠分割網(wǎng)絡(luò)的例子,它不是一個萬能的解決方案。每個團體機構(gòu)都可以根據(jù)自身的風(fēng)險承受能力、所保護信息的價值以及其與第三方關(guān)系確定是否有權(quán)使用的信息,來論證、修改這一模式。
在現(xiàn)實中,只有被高度信賴的管理員和安全人員才能直接訪問系統(tǒng)關(guān)鍵任務(wù),他們使命關(guān)鍵是有原因的:團體機構(gòu)的運營依靠他們,因此未經(jīng)授權(quán)的訪問是不可能的。對于值得信賴的管理員和其他特別授權(quán)的人員,使用強有力的身份驗證和VPN技術(shù)可以使他們達(dá)到任意想要到達(dá)的處理辦公環(huán)境。
這種類型的網(wǎng)絡(luò)隔
4、離并不是一個新設(shè)想。各國政府在全球范圍內(nèi)使用相似的解決方案已經(jīng)很多年了。但直到最近,防火墻方案的成本才達(dá)到任意團體機構(gòu)能實際承擔(dān)的水平。在大型團體機構(gòu)的網(wǎng)絡(luò)中,通過幾十或幾百個防火墻來劃分復(fù)雜的計算機網(wǎng)絡(luò),以嚴(yán)格的限制阻擋任何入侵者(內(nèi)部或外部)對系統(tǒng)的損害于防火墻之外。
如果得到IT安全政策、標(biāo)準(zhǔn)和程序的支持,這種網(wǎng)絡(luò)解決方案將是最合適、有效的。
確保這些建立之前,首先要投資于這種解決方案,或者使團體機構(gòu)的營利相對較少。此類解決方案,考慮和關(guān)注的細(xì)節(jié)應(yīng)該是任意團體機構(gòu)的雇員或者家庭網(wǎng)絡(luò)。
除非你所在團體機構(gòu)持有或處理的信息是極其敏感的或者非常有價值的,它所需要的保護水平才要高于你競爭對
5、手的團體機構(gòu)一兩個級別。除非一個入侵者有特殊的目的來訪問你的信息,否則,他們將只能訪問最容易得到的信息。如果實施一個安全的解決方案,找到一個比你對手更高明的受挫原因,那所有最執(zhí)著的入侵者都將尋找另一個更容易攻擊的目標(biāo)。
設(shè)置主機防火墻/個人防火墻
最終的網(wǎng)絡(luò)邊界是指出計算機連接到哪個網(wǎng)絡(luò)。這一點是配置防火墻的總趨勢,有時被成為個人防火墻。有些解決方案是安全有效的,其安全設(shè)置能被集中管理,其他只需依靠普通使用者的知識就能使用。通常情況下,pc機的使用者都不是安全專家,因此,指望他們能管理好自己的個人防火墻簡直就是癡心妄想。
倘若管理員有豐富安全知識,那中央管理的個人防火墻方案就能提供許多優(yōu)
6、點。不過,對于一些有能力的用戶,這些防火墻有時會影響他們進行的工作,所以他們要求(或者入侵)在標(biāo)準(zhǔn)防火墻下存在特別漏洞。這些漏洞也許是或者不是同一個來源,但應(yīng)該進行認(rèn)真評估,以減少對整個團體機構(gòu)的威脅風(fēng)險。
應(yīng)用程序安全
到目前為止,我們還之討論了防火墻、網(wǎng)絡(luò)協(xié)議及其使用。到頭來,還是應(yīng)用程序在保護數(shù)據(jù)本身。因此,即使所有的防火墻基礎(chǔ)設(shè)施是徹底安全的,應(yīng)用程序不正常響應(yīng)或者接受虛假、無效、意外的數(shù)據(jù),那么遭到未經(jīng)授權(quán)的訪問也是順理成章的。這一點已經(jīng)變得非常明顯,在過去幾年里,關(guān)于安全原則的程序代碼質(zhì)量顯著下降。部分原因可能是功能方面缺少這種安全需求,產(chǎn)品上市時間原因,或者干脆說,安全編程的
7、技術(shù)沒被教授(或許他們不被認(rèn)為是“酷”的技術(shù))。
用安全相關(guān)的軟件來彌補隨處出現(xiàn)的程序缺陷已經(jīng)司空見慣了。他們已經(jīng)存在于網(wǎng)絡(luò)通信的各環(huán)節(jié)的交流中。這些缺陷可能包括:
·TCP/IP協(xié)議
·包含缺陷的TCP/IP協(xié)議的實現(xiàn)
·任意一款有數(shù)據(jù)流通過的操作系統(tǒng)(含補丁)
·防火墻軟件或者配置文件操作的軟件
·加密軟件(如果用到的話)
一個在任意環(huán)節(jié)出現(xiàn)的代碼錯誤都表明了它本身的安全弱點被發(fā)現(xiàn),這不是一個簡單問題而且不能用簡單的解決方案。
如前所述,IP V6 提供了一種解決方案,可以解決許多通過TCP/IP發(fā)送數(shù)據(jù)的綜合安全問題。從安全立場來看,它不可能也沒有解決那些不堪一擊的程序代
8、碼的問題。直到那些程序的安全質(zhì)量問題被暴露出來,成為最薄弱的安全環(huán)節(jié)。
無線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)一體化
計算機無線網(wǎng)絡(luò)技術(shù)的理論,已經(jīng)針對如何保護飽受非法訪問的網(wǎng)絡(luò)問題,提出了有重大意義的觀點。這主要是因為無線網(wǎng)絡(luò)有效地解決了網(wǎng)絡(luò)劃分的問題。兩個主要的非法來源在侵入網(wǎng)絡(luò)邊界時被確定,他們是:
(1) 使用無線網(wǎng)卡鏈接到團體有限網(wǎng)絡(luò)的筆記本和其他電腦
(2) 未被授權(quán)的非法網(wǎng)絡(luò)接入節(jié)點或者為了方便用戶而連接到有線網(wǎng)絡(luò)的路由器
在大多數(shù)情況下,不安全的介紹是無意的,只是缺少對部分用戶的教育。不安全的介紹通常是作為一種便利功能給出的。
更加危險的潛在不安全因素是技術(shù)本身。無線設(shè)備(無線局域網(wǎng))
9、銷售時承諾有限制范圍和信息加密傳輸。但事實最有說服力。無線局域網(wǎng)信號能被接收到,通過用一些簡單的專業(yè)技術(shù)就能做到,不是150尺的距離(常見的無線設(shè)備規(guī)格),而是幾百碼或者超過一里外的某些情況。非無線網(wǎng)絡(luò)的專家認(rèn)為,數(shù)據(jù)的傳輸應(yīng)該像有線網(wǎng)絡(luò)那樣點對點的進行。但他們忘記了無線電可以在360°的任意方向向網(wǎng)絡(luò)周圍的三維空間傳播。這款無線網(wǎng)絡(luò)設(shè)備的廠商和安全委員會認(rèn)為他們包含數(shù)據(jù)加密技術(shù)。不幸的是,這種加密規(guī)格是很爛的,很容易被攻破。更糟的是,很多用戶甚至連這種級別的待遇都沒有。現(xiàn)在的網(wǎng)絡(luò)邊界不僅是漏洞,根本就是空白的。
防火墻技術(shù)
防火墻解決方案(麥蒂安德烈,茲威基等)在過去的25年里,已經(jīng)在許
10、多方面取得了進展,耗費龐大而昂貴的軟硬件支持作為服務(wù)。在另一極端,未來的電子消費產(chǎn)品可以裝配到掌上電腦而且花費不到100美金。盡管這是顯著的進展,但還是要取決于同一個問題:一個不可靠的協(xié)議簇和應(yīng)用軟件(無論是安裝在硬盤里或是加載在固件里)。
有三種基本類型的防火墻:
代理防火墻
·使用規(guī)則,不僅檢查報頭信息,而且檢查有效的荷載內(nèi)容,如果報頭是已被授權(quán)的。
濾包防火墻
·基本分為兩類:普通包過濾檢查每個數(shù)據(jù)包的報頭信息;狀態(tài)包過濾檢查初始報頭并在允許的情況下監(jiān)控其他包序列號的一致性。
·電路級防火墻——已經(jīng)成歷史了,通常被忽略
幾乎類似宗教狂熱式的銷售戰(zhàn)在代理防火墻和包過濾防火墻間
11、持續(xù)了多年。在現(xiàn)實中,許多商業(yè)防火墻是這兩種防火墻的融合。這只不過是兩種技術(shù)所占的比例不同罷了。大部分的混合防火墻都是傾向于一種技術(shù),這要看開發(fā)團隊的理解傾向了。那些團體機構(gòu)并不關(guān)心他們購買和使用的是那種防火墻,他們只是需要這防火墻運作起來并保護他們的數(shù)據(jù)而已。
無論那種解決方案被采用,防火墻軟件就是提供了一個可靠(但常常有缺陷)的安全保護,當(dāng)然僅僅當(dāng)他們能做到時才算。
·重點發(fā)展程序本身的安全性而非防火墻范圍的保護。
·根據(jù)組織機構(gòu)的具體需求正確配置和安裝防火墻。
·配置可靠的硬件基礎(chǔ)。
·鎖定要保護的數(shù)據(jù)。
·配置保證能夠正常運行的最基本服務(wù)數(shù)量。
·妥善處理防火墻本身的安全
12、及其功能配置。
保護不可能做到完美,因為我們所要絕對保護數(shù)據(jù)的設(shè)計往往都存在缺陷,不可能做到。
以上列出的要求都適用于各種防火墻和依托防火墻的常見操作系統(tǒng)或硬件。
當(dāng)市場銷售和促銷時,技術(shù)細(xì)節(jié)就會被忽略,防火墻只是一款安裝在操作系統(tǒng)上的應(yīng)用程序,只要它能負(fù)責(zé)控制TCP/IP通信的端口滿足其規(guī)則就行。同樣的防火墻軟件也要迎合其他軟件——和前面說的一樣。防火墻和其他軟件的不同就在于防火墻的開發(fā)者要比其他軟件的開發(fā)者更注重安全問題。
為了提高防火墻范圍內(nèi)的保護水平,應(yīng)該補充額外的安全技術(shù),如入侵檢測/防御惡意軟件技術(shù)。結(jié)合這項技術(shù)可以綜合一個個單一的安全技術(shù)為一體,這已經(jīng)變得越來越普通。前一
13、種做法可以由用戶自定義各種需求,而后者則全依賴開發(fā)商的安全側(cè)重點。沒有辦法來確定誰對誰錯,對于一個特定組織的具體工作。
防火墻不能保護你的組織機構(gòu)的內(nèi)容:
·會話劫持
·偵聽數(shù)據(jù)
·修改網(wǎng)絡(luò)數(shù)據(jù)
·重新路由數(shù)據(jù)
·網(wǎng)絡(luò)信息詐騙
·用戶信息泄露
·用戶調(diào)制解調(diào)器附帶的防火墻系統(tǒng)保護
·社會工程攻擊
·下載/接受的文件、信息包含病毒或惡意代碼
·來自內(nèi)部的數(shù)據(jù)攻擊
最安全的防火墻實現(xiàn)需要:
·制定一個公司范圍的安全策略(安全策略標(biāo)準(zhǔn)和程序,格林堡,2003)并按此執(zhí)行
·要按“攻擊者”而不是“防衛(wèi)者”的角度思考
·培訓(xùn)用戶和管理者
·為關(guān)鍵系統(tǒng)采用在防火墻和訪問控制
14、兩方面的“超前安全”策略
O允許的情況下,將防火墻集成到操作系統(tǒng)支持的硬件上
O禁用所有不必要的服務(wù)
O盡可能利用強大的認(rèn)證手段
O檢測“后門”
O檢測未被授權(quán)的擅自篡改
除了防火墻外,一個不錯的信息保護計劃(格林伯格,2003)也將:
·執(zhí)行和監(jiān)督入侵檢測系統(tǒng),以便你知道自己什么時候在被攻擊
·執(zhí)行事件處理和過程響應(yīng),來處理試圖或闖入的情況。
乍一看,防火墻可能會被認(rèn)為是一個簡單的即插即用設(shè)備,放到那就能實施保護。但實際上,在介紹了防火墻的解決方案后,你會發(fā)現(xiàn),使之有效地開展工作,需要大量的知識和安全專長。
接下來的步驟
由于您已經(jīng)閱讀這么深入了,很顯然,你關(guān)心自己的現(xiàn)
15、有的防火墻環(huán)境或以后的防火墻有關(guān)的配置方案。 解決這個問題的關(guān)鍵是要退一步,考慮一下你自己到底需要什么。
根據(jù)你自己習(xí)慣舒適的原則,你可以自己隨便安排,或者按你所在團體的設(shè)置,或者干脆成為一個獨立的第三方。無論選擇那種方式,關(guān)鍵是你都要徹底審視一下環(huán)境和趨勢,和其他安全問題一樣,問題是你所在團體的風(fēng)險承受力和他得承受能力。
總結(jié)
妥善設(shè)計、實施和管理防火墻技術(shù),為目前的計算機網(wǎng)絡(luò)提供重要的保護。他們不一定是過去吹噓的那種安全方面的靈丹妙藥,只不過是團體機構(gòu)用來抵擋電腦系統(tǒng)被入侵的一個簡單的護盾罷了。為了現(xiàn)在和光明的未來,防火墻仍是一個組織團體防御的堅定選擇。范圍僅限于安裝了防火墻設(shè)備的水
16、平,不過他們都肯定會被嵌入到硬件設(shè)備中,這是遲早的事。
盡管由于有防火墻技術(shù)的保證,他們正被試圖用來保護不可靠網(wǎng)絡(luò)通信的數(shù)據(jù),讓應(yīng)用程序盡可能的花費較少的信息驗證努力就能確保信息正確有效的接受和發(fā)送。在日益復(fù)雜的攻擊和用戶越來越少的安全意識下,就導(dǎo)致了防火墻就技術(shù)不斷面臨艱難的挑戰(zhàn)。實際中的防火墻只是整個安全解決方案的一部分,圍繞著這個單位的數(shù)據(jù)會有更強有力的保護措施。用防火墻作為其他技術(shù)的輔助,比如入侵檢測系統(tǒng)、惡意軟件保護系統(tǒng)等,當(dāng)然這些都軟件都是可靠地。接下來一個必須及時慎重考慮的問題就是:數(shù)據(jù)安全已經(jīng)越來越不能再被忽略了,在數(shù)據(jù)本身變成應(yīng)用的最后一步之前。
References
17、A definitive introduction to information security policies,standards and procedures. < ://enterprisesecurity.
symantec /article.cfm?articleid?1155&EID?0>; 2002.
Eric Greenberg. Mission critical security planner; 2003 [ISBN0-471-21165-6].
King, Dalton, Ertem Osmanoglu. Security architecture
18、design,deployment & operations [ISBN:0-07-213385-6].
Mandy Andress. Surviving security: how to integrate people,process and technology [chapter 7; ISBN:0-672-32129-7].
RFC 1883. Internet protocol, version 6 (IPv6) specification; December1995 () e originalspecification.
RFC 2460. Internet protocol, version 6 (IPv6) specification; December1998 () e obsoletes
RFC 1883.Zwicky, Cooper, Chapman. Building internet firewalls [chapter4; ISBN:1-56592-871-7].