📄 rfc1636.txt
字号:
2. 启动访问该服务会导致经过防火墙路由器越过一个或多个保护边界。
3. 策略控制标准在防火墙路由器中设置过滤器,以此来允许或拒绝该尝试。
策略控制标准包括两种不同的功能,验证和授权。验证是一种校验用户声明身份的功能。授权功能应穿过Internet被分配的,以使一种组织中的用户能被其他组织鉴别。一旦用户被鉴别了,它就应执行对本地资源的授权服务,该本地资源是指决定用户是否授权访问该资源的请求。如果授权被允许了,防火墙中的过滤器就能被更新以便允许该访问。
作为理解该命令的辅助程序,我们介绍特殊的详细机制。我们强调该机制仅作为一个说明性实例;该机制的实际工程毫无疑问将导致许多变化。该机制由下图说明。在此用户要将防火墙F1后的计算机C与防火墙F2后的服务器S连接起来。A1是一个特殊的鉴别服务器,Z1是一个 特殊的授权服务器。
C <-------> F1 <-------> F2 <-------> S
\ /
\_____ /
\ \ /
A1 Z1
C试图通过发送一个初始数据包给S来启动会话。C利用一个普通的DNS查找来解析S的名字,并利用普通IP路由器机制。C的数据包到达防火墙路由器F1,由于它不与任何可接受数据包文件匹配而拒绝该数据包。F1返回一个“鉴别请求”错误信息给C,包括一张F1信任的鉴别/授权服务器表单。该信息可能是一种新的ICMP目标文件不可接收数据包类型,或某些与C交流的其他机制。
当C在确认A1的身份后接收到错误信息时,带有A1的鉴别,错误信息表单中的一种鉴别服务器。C向Z1服务器请求授权,通知它要执行的应用中的Z1,并对它要通过的F1的数据包提供文件。Z1执行授权功能来决定是否允许C穿透F1。如果C被允许了,Z1就通知防火墙F1允许匹配数据包文件的数据包通过防火墙F1。
在C的数据包穿透F1后,它又一次被第二个防火墙F2拒绝。C能利用F2信任的鉴别服务器A2和授权服务器Z2来执行相同的程序。这由以下事件顺序的示意图表说明。
----------+--------+--------+------------+------------+----
| C | A1 | Z1 | F1 | F2 | S
----------+--------+--------+------------+------------+----
|发送数据包| | | | |
| 到 S -----------------------> 截取; | |
| | | | 要求 | |
| | | | 认证 |
| <------------------------------- | |
| 认证 | | | | |
| C 到 A1 ----> | | | |
| | 提供 | | | |
| <------- 标签 | | | |
| 要求 | | | | |
| 授权 | | | | |
| -------------------> 允许| | |
| | | C吗? | | |
| | | OK ---------> | |
| 再发送 | | | 设置过滤 | |
|第一个数据| | | | |
|包到S-------------------------->(OK)------> 截取; |
| | | | | 要求 |
| | | | | 认证
| <------------------------------------------- |
| ( 重复 | | | | |
| 过程 | | | | |
同 A2,Z2 ) | | | | |
| ... | | | | |
|再发送第 | | | | |
一个数据包| | | | |
| ------------------------------>(OK)--------(OK)------>
| | | | | |
-----------+--------+--------+------------+------------+----
我们再一次强调这只是可能机制的部分草图。它省略了某些重要的命令,包括不对称路径的可行性(参见以下3.3.3章节),和两种方向C,S间不同文件的可行性。
我们可以想象将此归纳成防火墙的任意顺序。然而,安全性需要每个防火墙能校验数据包确实来自于C。该数据包鉴别问题,在下一章节讨论,如果数据必须顺序通过多个或可能是两个防火墙,则这将会变得非常困难。
防火墙路由器需要再鉴别,因为:
* 它已被路由变化添加到路径中,或
* 它已超时文件入口,或
* 可能在因丢失可接受文件列表而引起崩溃后,它已被重新再次激活。
如果C要将S信任的鉴别和授权服务器连接起来,那么C可以利用开始使用S时这些服务器所给的票据,而且对S可以避免再次鉴别自己。
尽管鉴别服务器A1和授权服务器Z1概念上是分离的,但它们运行在相同的计算机或路由器上,甚至是单个程序的不同的方面。C对An的协议,C对Zn的协议和Zn对Fn的协议都未在这些注解中指定。用防火墙Fn所需的An和数据包文件鉴别机制被认为是策略的内容。
3.3.2源文件鉴别
下一步我们考虑如何保护对IP源文件地址的欺骗,例如:不是C发送但声称是C发送的注入数据包。有三种防御该IP级防火墙的欺骗机制。这些机制的概要在以下4.3章节也将得到讨论。
o 数据包外形
安全性的最低标准包括对仅仅基于数据包文件的过滤数据包降低IP层防火墙。这是被当今过滤路由器所使用的本质途径,通过附加(1)鉴别和授权服务器来控制过滤文件,和(2)自动“鉴别请求”通知机制。该途径几乎没有提供安全性;它不能保护其他计算机防止表面上由C发送的,或接管C对S的传送标准连接的欺骗性数据包。
o 密封数据包
安全性的第二层,每个数据包都是用安全哈希算法“密封”的。鉴别服务器Ai选择一个密钥并把它与源文件主机S和授权服务器Zi共享,Zi还与防火墙Fi共享该密钥。C传送的每个数据包包含一个由数据包和密钥值内容产生的哈希值。防火墙Fi能计算相同哈希函数并校验该数据包是否是由已知的共享密钥计算机产生的。
该途径提出了C信任Zi和Fi到何种程度的问题。既然它们都知道C的密钥,则Zi或Fi能欺骗C。如果C在其路径中不完全信任Z和F,则需要更强大(参见下面)的机制。
当一个以上的防火墙存位于路径中时,在鉴别C的数据包问题上还存在更多的难题。为每个被渗透的防火墙携带一个单独的密封信息就数据包大小来说将是非常昂贵的。另一方面,为了使用单个密封信息,所有防火墙必须协作,这需要一个比前面章节中的单个草图更复杂的机制。而且,它需要所有鉴别服务器Ai和授权服务器Zi的相互信任;这些服务器中的任何一个都能破坏所有其他的服务器。调查中的其他可能性是利用HOP-BY-HOP方式而不是END-TO-END方式鉴别C的数据包。也就是说,每个防火墙都替代数据包中下一个防火墙需要的哈希函数。
多防火墙源文件鉴别是一个困难的问题,它需要更多的研究。
o 数据包签名
安全性的第三层中,每个数据包都是用公钥/密钥算法“签名”的。C将其公钥与Zn共享, C又将之与Fn共享。在这种方案中,所有授权服务器和防火墙都能安全地使用一对密钥。没有哪个授权服务器或防火墙可以欺骗C,因为它们不能给数据包正确的签名。
尽管数据包签名带来了更可靠的安全性,但它需要获得专利的公钥算法和当前非常昂贵的计算机。为了哈希算法,它们的时间也必须填加到上面。同样,签名哈希通常使之更大。
3.3.3其它防火墙问题
* 执行
Internet层防火墙具有一般性和机动性的优点。然而,过滤器提出了一个潜在的执行问题。执行可能需要依靠用于过滤的包的字段的数目和位置,依赖包必须匹配的规则数。
否认服务攻击要求每一个包规则匹配,访问路径能跟上接口速度。
* 多点传送
为了让多点传送通过防火墙,所需要的规则应为接收方而不是发送方提供。然而,这将不适用于3.3.1中所描述的难题机构,因为"必须认证"的通知将要送到发送方,而非接收方。
多点传送会话可以用前面章节所述的三级安全中的任何一级,但所有的防火墙将要和数据流发送方共享同一秘密。该秘密需经过其它的渠道提供给接收方,然后在接收方传给防火墙。(和资源保存在接收方的RSVP中的方式相同)。
* 不对称路由选择
假如客户端计算机C通过防火墙F从其它的计算机S上获得服务:如果从S返回给C的包的通道不同于C到S 的通道,他们可能遇到没有授权的防火墙F'(不像已经授权的F)。F'将要核实S而不是C,而S可能没有被F'信任的证明它自身的凭证。
幸运的是,这种不对称的路由选择情形对于通用的单一本地管理域来说不是问题。不对称的路由选择将汇聚在防火墙。
* 非法汇合
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -