防火墻技術在防止局域網內外攻擊方面的應用

【摘要】防火墻技術在防止局域網內部和外部攻擊中均發揮著重要作用。本文首先分析了防火墻技術在防止網絡外部攻擊中的配置和應用。之后研究了防火墻在阻斷內部攻擊中的應用，供同行參考

【關鍵詞】防火墻技術；局域網；內部攻擊；外部攻擊；應用

【中圖分類號】TP309.1【文獻標識碼】B【文章編號】1005-1074(2008)07-0264-01

在建筑大廈中，我們常常見到用來阻止火災蔓延的防火隔斷墻。防火墻類似于這種隔斷墻， Internet防火墻是一個或一組實施訪問控制策略的系統，它監控可信任網絡(相當于內部網絡)和不可信任網絡(相當于外部網絡)之間的訪問通道，以防止外部網絡的危險蔓延到內部網絡上。防火墻作用于被保護區域的入口處，基于訪問控制策略提供安全防護。

本文將首先簡要研究防火墻保護局域網防止外部攻擊的配置與應用，之后分析防火墻的內部阻斷功能。

1防火墻保護局域網防止外部攻擊的配置與應用

1.1網絡中常見的攻擊種類隨著網絡技術的普及，網絡攻擊行為出現得越來越頻繁。通過各種攻擊軟件，只要具有一般計算機常識的初學者也能完成對網絡的攻擊。各種網絡病毒的泛濫，也加劇了網絡被攻擊的危險。網絡攻擊，一般是侵入或破壞網上的服務器(主機) ，盜取服務器的敏感數據或干擾破壞服務器對外提供的服務; 也有直接破壞網絡設備的網絡攻擊，這種破壞影響較大，會導致網絡服務異常，甚至中斷。防火墻的攻擊防范功能能夠檢測出多種類型的網絡攻擊，并能采取相應的措施保護局域網絡免受惡意攻擊，保證內部局域網絡及系統的正常運行。

1.2防火墻的典型組網配置和攻擊防范目前網絡中主要使用防火墻來保證局域網絡的安全。例如:當防火墻位于內部網絡和外部網絡的連接處時，可以保護組織內的局域網絡和數據免遭來自外部網絡的非法訪問(未授權或未驗證的訪問)或惡意攻擊;當防火墻位于組織內部相對開放的網段或比較敏感的網段(如保存敏感或專有數據的網絡部分)的連接處時，可以根據需要過濾對敏感數據的訪問(即使該訪問來自組織內部)。

1.3防火墻在防病毒攻擊上的應用對于互聯網上的各種蠕蟲病毒、震蕩波病毒等，必須能夠判斷出網絡蠕蟲病毒、震蕩波病毒的特征，把網絡蠕蟲病毒造成的攻擊阻擋在安全網絡之外。從而對內部安全網絡形成立體、全面的防護。因此我們啟用防火墻的實時網絡流量分析功能，及時發現各種攻擊和網絡蠕蟲病毒產生的異常流量。可以使用防火墻預先定義的流量分析模型，也可以自己定義各種協議流量的比例，連接速率閾值等參數，形成適合當前網絡的分析模型。比如，用戶可以指定系統的TCP連接和UDP連接總數的上限閾值和下限閾值。當防火墻系統的TCP或UDP連接個數超過設定的閾值上限后，防火墻將輸出日志進行告警，而當TCP、UDP連接個數降到設定的閾值下限時，防火墻輸出日志，表示連接數據恢復到正常。

2內部隔離

造成當前網絡“安全危機”的另外一個因素是忽視對內網安全的監控管理。防火墻防范了來自網絡外部的攻擊，對于潛伏于網絡內部的“黑手”卻置之不理，事實上很多攻擊的源頭來自局域網內部，出現網絡內部數據泄密，通過NAT的網絡內部的攻擊行為無法進行審計。由于對網絡內部缺乏防范，當網絡內部主機感染蠕蟲病毒時，會形成可以感染整個互聯網的污染源頭，導致整個互聯網絡環境低劣。所以，對于網絡管理者，不但要關注來自局域網絡外部的威脅，而且要防范來自網絡內部的惡意行為。防火墻可以提供對網絡內部安全保障的支持，形成全面的安全防護體系。通過防火墻強大的訪問控制以及內網的安全特性，在高安全性的內部網絡保證機密數據的合法訪問，并且通過分級的策略控制，實現網絡內部的分級安全保障。

在受保護的內部網絡，如何防范來自網絡內部的攻擊將是網絡安全領域面臨的一個十分重要的問題。在IP協議棧中，ARP是以太網上非常重要的一個協議。以太網網絡中的主機，在互相進行IP訪問之前，都必須先通過ARP協議來獲取目的IP地址對應的MAC地址。在通過路由器、三層交換機作為網關時，PC機為了把數據發送到網關，同樣需要通過ARP協議來獲取網關的MAC地址。由于ARP協議本身不具備任何安全性，所以留下了很多的安全漏洞。①主機欺騙:惡意的網絡客戶可以偽造出別的客戶的ARP報文，使被攻擊的客戶不能正常進行網絡通訊。②網關偽造:惡意的網絡客戶可以偽造網關的ARP應答，在ARP應答報文中把網關的IP地址對應的MAC地址設置為自己的MAC地址，那么，網絡中所有的客戶都會把數據發送到惡意網絡客戶的主機上。③ARP“轟炸”:惡意客戶主機發出大量的不同IP對應不同的MAC 的ARP報文，讓網絡中的設備ARP表都加入最大數量的ARP表項，導致正常的ARP不能加入，從而中斷網絡流量。

3防火墻的性能測試

通過上述方法可以解決網絡中的攻擊問題以及內網的安全問題，但是防火墻在使用中，通過測試存在以下幾個問題。

3.1 防火墻無法檢測加密的Web流量由于網絡防火墻對于加密的SSL流中的數據是不可見的，防火墻無法迅速截獲SSL 數據流并對其解密，因此無法阻止應用程序的攻擊，甚至有些網絡防火墻，根本就不提供數據解密的功能。

3.2 普通應用程序加密就能輕易躲過防火墻的檢測大多數網絡防火墻中，依賴的是靜態的特征庫，只有當應用層攻擊

行為的特征與防火墻中的數據庫中已有的特征完全匹配時，防火墻才能識別和截獲攻擊數據。如果采用常見的編碼技術，將惡意代碼和其它攻擊命令隱藏起來，轉換成某種形式，只要與防火墻規則庫中的規則不一樣，就能夠躲過網絡防火墻，成功避開特征匹配。

3.3 對于Web應用程序，防范能力不足據2007年趨勢科技公司統計， 網絡攻擊中70%來自于Web應用程序的攻擊，由于體系結構的原因，即使是最先進的網絡防火墻，在防范Web應用程序時，由于無法全面控制網絡、應用程序和數據流，也無法截獲應用層的攻擊。由于對于整體的應用數據流，缺乏完整的、基于會話(Session)級別的監控能力，因此很難預防新的、未知的攻擊。

以上防火墻的不足可以通過其它安全工具來解決。因此在網絡中，需要防火墻和病毒網關結合使用。

4參考文獻

1李文杰.淺析防火墻安全技術及發展[J].科技信息(科學教研)，2008，(10)

2范濤.防火墻與網絡安全[J].中國科技信息，2008，(07)