 |
| |
NVIDIA防火墙 PC安全与黑客防御
|
|
|
|
| |
| 计算机已成为每日工作与娱乐不可或缺的一部份。计算机内含有各种宝贵的信息,也使它成为黑客攻击的首要目标,这也是计算机安全已成为我们现今面临的最重要的问题之一的原因所在。
计算机安全包含三项相互独立的元素: 防火墙、入侵检测及病毒防御。
防火墙是计算机安全解决方案的核心,它能确保通过防火墙的数据包均符合安全策略。为提供这种防御能力,防火墙将检查每个尝试通过检查关卡的数据包,检验该包是否具备允许其通过的属性。如果不具备,该数据包将被拦截。 当防火墙功能被整合于PC的驱动程序时,黑客经由内部网络或互联网非法接入PC的机率就会大幅降低。
NVIDIA® 防火墙是第一套搭载NVIDIA ActiveArmor™安全网络引擎的防火墙。因此,NVIDIA 防火墙能在最低的CPU占用率下,达到最高的系统性能。此外,它能提供基于硬件的深层包检验、即时保护和防篡改功能,从而确保系统的整体安全性。
|
| |
防火墙 |
|
目的 |
| |
| 网络数据是由许多包组成的,包头包含元数据。这些元数据允许包通过子网(数据链路层包头)、互连网络(网络层包头)传送至主机的适当程序(传输层包头)。当某PC机连结至互联网时,已连接上网的任何其他PC机均可向其发送数据包——如果后者知道前者的IP地址的话。
虽然大多数包都是无害的,但总会有人偶而尝试发送寻找目标主机通讯协议软件或操作系统的漏洞的包。这些包的目的就是使目标主机瘫痪(亦称为“拒绝服务”攻击)或者非法进入目标主机。
大多数企业与家庭网络都很好界定了互联网连接。这种连接包括数量有限的连结点(DSL调制解调器),通过这些连接点,内部主机可以将数据包上传至互连网,反之亦然。为控制哪些包可以通过这一边界,防火墙概念应运而生。 |
| |
工作原理 |
| |
| 防火墙能够根据一系列标准对网络业务进行过滤。最常见的方式是根据包的类型进行过滤。通过利用包中所含的TCP或UDP端口号,防火墙能够根据接入控制表中所存储的规则,允许或拒绝该数据包通过。 |
| |
包过滤型防火墙有两种工作方式:
除被认为有害并将被拒绝的包(按端口号识别)之外,防火墙允许所有其他包通过。
对防火墙进行编程,可将默认工作方式设为先阻挡所有包,然后仅仅允许安全包通过。 |
| |
| 安全的重点在于风险管理。通过设定防火墙的配置,用户可以将风险局限于允许通过网络的包。通常情况下,防火墙都是可配置的,这样,黑客就难以知道哪些业务获许通过防火墙。这种保护机制有助于增强被保护计算机的机密性。 |
| |
防火墙的种类 |
| |
无状态防火墙 |
| |
| 无状态防火墙是最基本的防火墙,自上个世纪90年代初期就以各种型态存在。这种防火墙定义了允许/拒绝通过规则,这样,只有那些符合通过条件的包才能穿过防火墙。这些规则可以根据以太网类型、发端或目的端IP地址 、IP选项、IP协议、ICMP类型与代码值、发端或目的端TCP或UDP端口以及TCP选项过滤传入和传出业务。
如果某个包能够通过上述“考验”,它就能透过防火墙,否则将被拒绝。但是,所有包都将经受同样的“考验”。这种设计面临的问题就是每个包都必须经过所有规则的检查。随着规则数量的不断增加,处理一个包的时间就会延长。这样就导致了性能下降(按照每秒处理的包数或处理特定数量的业务时CPU的占用率计算)。无状态防火墙非常适合ICMP这种本质上就是无状态的包。
NVIDIA防火墙支持无状态检验,它能根据以太网络类型、IP协议、IP与TCP选项等规则来过滤包。只要条件适宜,这种防火墙能够以同一种方式过滤IPv4与IPv6业务,例如,IPv4选项和IPv6扩展头都可被用作过滤元素。 |
| |
状态防火墙 |
| |
| 状态防火墙是无状态防火墙的变体。在新建连接情况下,它的工作方式与无状态防火墙十分相似,因为它也需要对新协议(以及包的发端和目的端地址)和本机策略进行对比。
状态防火墙的主要优点是,特定传输流的包仅在连接开始时进行详细检查。一旦新建连接获准,连接状态跟踪表中将增加一个条目。匹配该条目的后续包将按照获准连接表进行检验,不需要检查每个包是否符合所有规则。状态防火墙的优势在于,它具备包过滤式防火墙的所有安全特性,但CPU的占用率仅仅相当于无状态防火墙的一个零头。
NVIDIA防火墙支持TCP和UDP业务的状态检查。确定UDP“状态”的方式是,观察新的UDP包,只有当它们通过用户定义的防火墙策略时创建相应的状态。
检查流程包括根据包头中几个关键字段计算出一个初步值。这些关键字段可能包括发端和目的端IP地址、IP协议(表明正在使用的是TCP、UDP或其他传输层协议),以及发端和目的端传输层端口等。根据这5个字段计算初步函数,每包将花费固定(少量)的时间。
防火墙策略规则的复杂度并不影响包检查速度。相比而言,在采用无状态防火墙时,每个包必须经过所有规则(或者足够决定接受/拒绝包的规则)的检验。此外,无状态防火墙的包分析时间随策略规则数量的增长呈线性增长,导致了包转发性能随规则数量的增长线性下降。 |
|
应用层网关 |
| |
| 应用层网关或传输层桥接器是一种运行获准通过的每种应用的代理程序的专用计算机。这些代理服务器必须非常稳固,并且具备很强的防御能力,否则,它自身将暴露出易受攻击的弱点。任何包都不能直接穿过应用层网关。网关收到包后,它将拆解其报头,检查其内容,在面向收端主机的新建连接通道上重新创建一个传输流。
应用层网关和包过滤防火墙一样是透明的,但前者的检查程序耗时更长。这种方式的好处就是,两个网络之间存在一个逻辑“气隙”,但它仅仅适用于网关可以理解的协议。
应用层网关的最大局限性在于,针对每种类型的业务,必须设置一个代理服务器。常用协议(例如SMTP、FTP、HTTP和TELNET)的代理程序业已推出,但更多特殊协议的代理程序还没有开发出来。对于某些应用而言,这些网关是确保仅仅允许有效数据穿过防火墙的最佳选择。
应用层网关型防火墙通常应用在网络边缘,要求专用硬件。NVIDIA防火墙是一种端点式防火墙,不具备应用层网关功能。 |
| |
防黑客防火墙 (防黑客) |
| |
| 欺诈性IP包在其发端IP地址字段中包含一个非法生成的数值。黑客的手段是故意使用一个不正确的IP地址,蓄意发起某种类型的攻击,其中最恶名昭彰的就是分布式拒绝服务(DDoS)攻击,它也是最常见的利用IP欺诈进行攻击的方式之一。这种攻击立足于两个安全弱点:(1)已连接上网的安全性受到威胁的“僵尸型”设备(通常是PC机);(2)利用假冒发端IP地址命令“僵尸型”PC机发送业务包的能力。
防火墙通常能够根据IP地址过滤业务包,但要检测出假冒IP业务包,需要一套更精密的检测流程。例如,根据给定业务包的发端IP地址,假定业务包已经达到接收端口,防火墙应当获知路由表的哪些信息?中介设备难以检测出假冒IP包。
防御假冒地址攻击的最好方法就是从源头(即“僵尸”PC)阻塞假冒IP包。通过将防假冒功能直接集成于PC机的网络硬件/软件,我们就能防止黑客利用按照统计学原理分配的地址或由DHCP分配的地址之外的任何其他IP地址发起攻击。 |
| |
其它重要安全功能 |
| |
| 防火墙提供一个保护层,通常被认为是安全的基础层。实际上,一套完整的安全解决方案包含多个功能层。
NVIDIA防火墙不能提供这些额外的功能,但用户可以根据其需求选择最佳组建,实现这些附加功能。 |
| |
入侵防御 |
| |
| 入侵检测是一种参照已知攻击或已知攻击的前兆对所有传入业务进行行为模式分析的功能。例如,为了攻击一种脆弱的网络应用软件,黑客可能会首先扫描所有的端口,目的是找出存在漏洞的软件。因此,检测出“端口扫描”即表明可能发生安全攻击,这样就能在损失发生之前采取防御措施。
借助入侵检测功能,我们可以在各种已知的攻击行为破坏系统之前,直接查明并阻止它们。
在前述的两种情况下,防入侵软件都要求接入已知攻击数据库。但这类产品通常无法查明新型攻击,因为它们还没有登入数据库。 |
| |
防毒保护 |
| |
| 防毒功能可以保护用户的PC机,拒绝运行已知的病毒或特洛伊程序。防病毒程序和入侵防御程序一样,需要接入一个已知如何防御的攻击的数据库。
此外,某些防病毒软件还能向用户发出可疑情况警报,虽然这些情况并不是一种已知的病毒。 |
| |
|
| |
NVIDIA防火墙 现已搭载ActiveArmor安全网络引擎,是业界第一套真正基于硬件的PC防火墙。由于具备安全网络引擎,NVIDIA防火墙不必依赖CPU进行任何处理。
NVIDIA ActiveArmor安全网络解决方案结合了NVIDIA防火墙与ActiveArmor安全引擎,将网络流量提升至千兆位以太网络的速度,同时降低了CPU占用率,能够执行业务包深层分析,提升了网络的总体安全性(参见图1)。 |
|
|
|
| |
图1. NVIDIA ActiveArmor在实现最佳性能的同时将CPU占用率降至最低 |
| |
| NVIDIA防火墙结合了防火墙与黑客防御技术,它支持非状态检测与状态检测机制、基于Web的管理、预设安全配置、端口过滤、智能化应用管理器、远程管理,并提供了一套易于使用的向导程序。此外,NVIDIA防火墙还具备防黑客功能,例如防假冒、防嗅探、防ARP缓存寻址,以及防范DHCP服务器型攻击等,这些功能对于企业网络环境而言都是相当重要防御机制。
在企业网络应用中,具备防黑客功能的端点防火墙(例如台式机防火墙)能够防范内部发起的安全攻击,阻止台式机产生非法业务。这不仅提高了系统的整体安全性,而且减轻了内部IT人员的负担。 |
| |
先进的管理功能 |
| |
| NVIDIA防火墙提供许多先进的管理功能,例如远程接入、配置、监视、命令行接口(CLI)和WMI脚本等。而且,这种防火墙还提供了一个用户友好的向导程序,非常易于设置。
这些先进的管理功能使得NVIDIA防火墙更加灵活、更加易于使用,并且异常强大(参见图2)。 |
| |
|
| |
图2. 基于Web的浏览器简化了NVIDIA防火墙的配置 |
| |
智能化应用管理器(IAM) |
| |
智能化应用管理器是NVIDIA防火墙的增强功能,在原本已相当完备的防火墙过滤功能的基础上添加了应用过滤功能。IAM扩展了NVIDIA防火墙策略管理功能,可以提供基于应用的过滤,不论这些应用在客户端或者服务器上运行。IAM为用户提供了一个严密的保护圈,能够让他们决定进出计算机的哪些业务是安全的。一旦应用获准,它就能打开相应的端口,不要求用户进行特定的配置(参见图3)。
IAM消除了用户PC机上的恶意应用程序发送碰巧能够穿过防火墙的业务的可能性,传出业务只有在来自用户认为安全的应用时才能获准传出。IAM甚至能够跟踪现有的应用,判断它们是否已被更改,例如已被附着在可执行代码的病毒或特洛伊木马更改,或者被试图模仿一个已知应用的更名应用更改。
IAM还是一种保护PC机拒收恶意传入包的有用工具,它能够限制特洛伊木马或其他间谍程序在PC机上将自身设置为服务器程序的能力,从而防止接收传自PC外部的业务。IAM不仅能够根据端口进行业务过滤,而且可以阻止服务器打开任何嵌套程序,有效防止服务器接收任何应用层业务。
IAM可全面防御各种攻击,保护PC机免受外部实体的攻击,同时防止PC机对其他PC发起攻击。 |
| |
|
| |
图3. 一旦任何未知应用试图接入网络,IAM将发出报警 |
| |
为何选择NVIDIA防火墙? |
| |
| 大多数PC防火墙都属于基于软件的插件程序,NVIDIA防火墙是业界第一套真正基于硬件的PC防火墙。NVIDIA的ActiveArmor安全网络解决方案包含NVIDIA防火墙与ActiveArmor引擎,能够提供网络的整体安全性。
NVIDIA防火墙 搭载许多独特的功能。它提供了智能化网络管理器,这是一种先进的管理程序,能够支持远程接入、配置和监控任务,并且提供了能够简化设置的向导程序。此外,这种防火墙还适合部署在企业应用环境中,可被用作端点防火墙(例如台式机防火墙)。它还适合家庭网络,在PC机连接至宽带网络时,防止非法接入PC机。
NVIDIA防火墙技术可作为一套功能强大的基准策略执行系统。为了实现周全的保护,用户需要结合使用NVIDIA防火墙以及业内领先的防病毒和入侵检测软件,为自己的PC机构筑一道坚不可摧的防护墙。 |
