防火墻技術(shù)在網(wǎng)絡(luò)安全上的應(yīng)用

林志浩

[摘要]在分析如今網(wǎng)絡(luò)的形勢(shì)基礎(chǔ)上簡(jiǎn)要分析防火墻技術(shù)在網(wǎng)絡(luò)安全上的應(yīng)用，并重點(diǎn)介紹分析狀態(tài)檢測(cè)技術(shù)的利用。在最后給出網(wǎng)絡(luò)安全的一個(gè)宏觀把握方式以及發(fā)展趨勢(shì)并給出綜合性意見(jiàn)。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 防火墻技術(shù) 狀態(tài)檢測(cè)技 計(jì)算機(jī)

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0220133－01

網(wǎng)絡(luò)已經(jīng)成為了人類所構(gòu)建的最豐富多彩的虛擬世界，網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和學(xué)習(xí)生活帶來(lái)了巨大的改變。我們通過(guò)網(wǎng)絡(luò)獲得信息，共享資源。因而，網(wǎng)絡(luò)的安全將成為人們最為關(guān)注的問(wèn)題。我們可以通過(guò)很多網(wǎng)絡(luò)工具，設(shè)備和策略來(lái)保護(hù)不可信任的網(wǎng)絡(luò)。其中防火墻是運(yùn)用非常廣泛和效果最好的選擇。它可以防御網(wǎng)絡(luò)中的各種威脅，并且做出及時(shí)的響應(yīng)，將那些危險(xiǎn)的連接和攻擊行為隔絕在外。從而降低網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)。

防火墻是一個(gè)系統(tǒng)或一組系統(tǒng)，它在企業(yè)內(nèi)網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略。

一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。

如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。

簡(jiǎn)單的概括就是，對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)控制。絕大部分的防火墻都是放置在可信任網(wǎng)絡(luò)（Internal）和不可信任網(wǎng)絡(luò)（Internet）之間。

我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖，防火墻可以是一臺(tái)有訪問(wèn)控制策略的路由器（Route+ACL），一臺(tái)多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)，服務(wù)器等，被配置成保護(hù)指定網(wǎng)絡(luò)，使其免受來(lái)自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。所以一般情況下防火墻都位于網(wǎng)絡(luò)的邊界，例如保護(hù)企業(yè)網(wǎng)絡(luò)的防火墻，將部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上。

如果沒(méi)有防火墻，整個(gè)網(wǎng)絡(luò)的安全將倚仗該網(wǎng)絡(luò)中所有系統(tǒng)的安全性的平均值。遺憾的是這并不是一個(gè)正確的結(jié)論，真實(shí)的情況比這更糟：整個(gè)網(wǎng)絡(luò)的安全性將被網(wǎng)絡(luò)中最脆弱的部分所嚴(yán)格制約。即非常有名的木桶理論也可以應(yīng)用到網(wǎng)絡(luò)安全中來(lái)。沒(méi)有人可以保證網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)每個(gè)服務(wù)都永遠(yuǎn)運(yùn)行在最佳狀態(tài)。網(wǎng)絡(luò)越龐大，把網(wǎng)絡(luò)中所有主機(jī)維護(hù)至同樣高的安全水平就越復(fù)雜，將會(huì)耗費(fèi)大量的人力和時(shí)間。整體的安全響應(yīng)速度將不可忍受，最終導(dǎo)致網(wǎng)絡(luò)安全框架的崩潰。我們通過(guò)部署防火墻，就可以通過(guò)關(guān)注防火墻的安全來(lái)保護(hù)其內(nèi)部的網(wǎng)絡(luò)安全。并且所有的通信流量都通過(guò)防火墻進(jìn)行審記和保存，對(duì)于網(wǎng)絡(luò)安全犯罪的調(diào)查取證提供了依據(jù)。總之，防火墻減輕了網(wǎng)絡(luò)和系統(tǒng)被用于非法和惡意目的的風(fēng)險(xiǎn)。

現(xiàn)代企業(yè)對(duì)網(wǎng)絡(luò)依賴主要來(lái)自于運(yùn)行在網(wǎng)絡(luò)上的各種應(yīng)用，同樣的，網(wǎng)絡(luò)的范圍也覆蓋到整個(gè)企業(yè)的運(yùn)營(yíng)區(qū)域。我們所能做的，是減少企業(yè)所面臨的安全風(fēng)險(xiǎn)，延長(zhǎng)安全的穩(wěn)定周期，縮短消除威脅的反映時(shí)間。

如今的防火墻的功能越來(lái)越強(qiáng)大，這里我們來(lái)簡(jiǎn)單介紹下對(duì)于防火墻的智能防御。基于狀態(tài)檢測(cè)技術(shù)的防火墻不僅僅對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)，還對(duì)控制通信的基本因素狀態(tài)信息（狀態(tài)信息包括通信信息、通信狀態(tài)、應(yīng)用狀態(tài)和信息操作性）進(jìn)行檢測(cè)。通過(guò)狀態(tài)檢測(cè)虛擬機(jī)維護(hù)一個(gè)動(dòng)態(tài)的狀態(tài)表，記錄所有的連接通信信息、通信狀態(tài)，以完成對(duì)數(shù)據(jù)包的檢測(cè)和過(guò)濾。

智能過(guò)濾技術(shù)指的是一種動(dòng)態(tài)的過(guò)濾技術(shù)，覆蓋了網(wǎng)絡(luò)的各個(gè)層次，它可以根據(jù)用戶的特定的安全需求在指定的網(wǎng)絡(luò)層次中進(jìn)行過(guò)濾或?qū)崿F(xiàn)動(dòng)態(tài)過(guò)濾。例如：在網(wǎng)絡(luò)層攔截?cái)?shù)據(jù)包，如果是某些特定的網(wǎng)絡(luò)應(yīng)用，則交給特定的檢測(cè)進(jìn)程作進(jìn)一步的檢測(cè)。

簡(jiǎn)單的說(shuō)，狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過(guò)規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別。這里動(dòng)態(tài)連接狀態(tài)表中的記錄可以是以前的通信信息，也可以是其他相關(guān)應(yīng)用程序的信息，因此，與傳統(tǒng)包過(guò)濾防火墻的靜態(tài)過(guò)濾規(guī)則表相比，它具有更好的靈活性和安全性。

通過(guò)多種技術(shù)的協(xié)同防護(hù)，可以保證在網(wǎng)絡(luò)邊界對(duì)訪問(wèn)進(jìn)行控制，但是，隨著VPN網(wǎng)絡(luò)和遠(yuǎn)程移動(dòng)辦公用戶的接入增多，網(wǎng)絡(luò)邊界的概念在如今已經(jīng)非常模糊了。很明顯的，網(wǎng)絡(luò)的邊界已經(jīng)拓展到實(shí)際用戶的桌面端。所以網(wǎng)絡(luò)安全是需要綜合的部署和完善的策略來(lái)做保證的。

參考文獻(xiàn)：

[1]《信息安全原理與應(yīng)用》，Charles P.Pfleeger Shari Lawrence Pfleeger，電子工業(yè)出版社.

[2]《網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)安全》，凌力，清華大學(xué)出版社，2007年11月第1版.