網(wǎng)絡(luò)防火墻安全訪問控制的實現(xiàn)

邵學(xué)海

摘要：隨著Internet的應(yīng)用日益普及，針對網(wǎng)絡(luò)的攻擊頻率和密度也在顯著增長，這給網(wǎng)絡(luò)安全帶來了越來越多的安全隱患。我們可以通過很多網(wǎng)絡(luò)工具、設(shè)備和策略來保護不可信任的網(wǎng)絡(luò)。其中防火墻是運用非常廣泛和效果最好的選擇。它可以防御網(wǎng)絡(luò)中的各種威脅，并做出及時的響應(yīng)，將那些危險的連接和攻擊行為隔絕在外，從而降低了網(wǎng)絡(luò)的整體風(fēng)險。

關(guān)鍵詞：防火墻；安全訪問；訪問控制

1概述

TCP／IP通信協(xié)議和Internet最初是面向科研人員的，因此，設(shè)計此協(xié)議的工作組認為用戶和主機之間互相信任。大家能夠進行自由開放的信息交換和共享，不會有人故意進行破壞。在這樣的環(huán)境里，使用Internet的人實際上就是創(chuàng)建Internet的人。隨著時間的推移。Inter-net變得更加有用和可靠，更多的用戶參與進來，人越來越多，風(fēng)險也越來越大。1988年11月的Internet蠕蟲染指了數(shù)千臺主機。從那時起，就不斷有侵犯安全的事件報道。

如今Internet的安全問題成了人們關(guān)注的焦點，給認為Internet已經(jīng)完全勝任商務(wù)活動的過高期望潑了一盆冷水，計算機和通信界一片恐慌。

從本質(zhì)上，Internet的安全性可以通過提供以下兩方面的安全服務(wù)來達到：一是訪問控制服務(wù)，用來保護計算機和聯(lián)網(wǎng)資源不被非授權(quán)使用；二是通信安全服務(wù)，用來提供認證、數(shù)據(jù)機要性、完整性和各通信端的不可否認性服務(wù)。這兩種服務(wù)的實現(xiàn)，主要依賴于防火墻技術(shù)和加密技術(shù)。

防火墻的概念實際上是借用了建筑學(xué)上的一個術(shù)語。建筑學(xué)中的防火墻是用來防止大火從建筑的一部分蔓延到另一部分而設(shè)置的阻擋機構(gòu)。計算機網(wǎng)絡(luò)上的防火墻是用來防止來自互聯(lián)網(wǎng)的破壞，如黑客攻擊、資源被盜用或文件被篡改等波及內(nèi)部網(wǎng)絡(luò)的危害。

隨著安全性問題上的失誤和缺陷越來越普遍，對網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段。也有可能來自配置上的低級錯誤或不合適的口令選擇。因此，防火墻可以定義如下：它是設(shè)置在用戶網(wǎng)絡(luò)和外界之間的一道屏障，防止不可預(yù)料的、潛在的破壞侵入用戶網(wǎng)絡(luò)；在開放和封閉的界面上構(gòu)造一個保護層，屬于內(nèi)部范圍的業(yè)務(wù)，依照協(xié)議在授權(quán)許可下進行；外部對內(nèi)部網(wǎng)絡(luò)的訪問受到的限制。

防火墻的設(shè)計包括以下兩方面原則：

(1)過濾不安全服務(wù)

基于這個準則，防火墻應(yīng)封鎖所有信息流，然后對希望提供的安全服務(wù)逐項開放，對不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中。

(2)屏蔽非法用戶

基于這個準則，防火墻應(yīng)先允許所有的用戶和站點對內(nèi)部網(wǎng)絡(luò)的訪問，然后網(wǎng)絡(luò)管理員按照IP地址對未經(jīng)授權(quán)的用戶或不信任的站點進行逐項屏蔽。

總之，防火墻能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了外界的哪些人可以訪問內(nèi)部的哪些可以訪問的服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問；要使一個防火墻有效，所有來自和通向外界的信息都必須經(jīng)過防火墻，接受防火墻的檢查；防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。

2防火墻的主要類型

通常將現(xiàn)在流行的防火墻劃分為兩大類：代理型和包過濾型。代理型防火墻又包括電路級網(wǎng)關(guān)防火墻和應(yīng)用級網(wǎng)關(guān)防火墻。包過濾防火墻又可以分為靜態(tài)包過濾型和狀態(tài)監(jiān)測型防火墻。

(1)電路級網(wǎng)關(guān)防火墻

它是一個通用代理服務(wù)器，它工作于OSI互聯(lián)模型的會話層或是TCP／JP協(xié)議的TOP層。它適用于多個協(xié)議，但不能識別在同一個協(xié)議棧上運行的不同的應(yīng)用，當(dāng)然也就不需要對不同的應(yīng)用設(shè)置不同的代理模塊，但這種代理對客戶端做適當(dāng)修改。它接受客戶端的請求。代理客戶端完成網(wǎng)絡(luò)連接。通過電路級網(wǎng)關(guān)的傳遞的數(shù)據(jù)似乎起源于防火墻，隱藏了被保護網(wǎng)絡(luò)的信息。

(2)應(yīng)用級網(wǎng)關(guān)防火墻

通常也稱為應(yīng)用代理服務(wù)器。它工作于OSI模型的應(yīng)用層。在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時起到轉(zhuǎn)接作用。

其工作過程為：首先，它對該用戶的身份進行驗證。若為合法用戶，則把請求轉(zhuǎn)發(fā)給真正的某個內(nèi)部網(wǎng)絡(luò)的主機，同時監(jiān)控用戶的操作，拒絕不合法的訪問。當(dāng)內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時，代理服務(wù)器的工作過程剛好相反。應(yīng)用網(wǎng)關(guān)代理的優(yōu)點是易于配置，界面友好；不允許內(nèi)外網(wǎng)主機的直接連接；可以提供比包過濾更詳細的日志記錄。

(3)靜態(tài)包過濾防火墻

在網(wǎng)絡(luò)層對進出內(nèi)部網(wǎng)絡(luò)的所有信息進行分析，并按照一定的安全策略進行篩選，允許授權(quán)信息通過，拒絕非授權(quán)信息。信息過濾規(guī)則以收到的數(shù)據(jù)包的頭部信息為基礎(chǔ)。在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。路由器起著一夫當(dāng)關(guān)的作用。因此，包過濾型防火墻一般通過路由器實現(xiàn)，因而也稱為包過濾路由器。

包過濾型防火墻的優(yōu)點是邏輯簡單，實施費用低廉，對網(wǎng)絡(luò)的影響較小，有較強的透明性。并且它的工作與應(yīng)用層無關(guān)，無須改動任何客戶機和主機上的應(yīng)用程序。易于安裝和使用。其弱點是：配置基于包過濾方式的防火墻。需要對IP、TCP、UDP、ICMP等各種協(xié)議有深入的了解，否則容易出現(xiàn)因配置不當(dāng)帶來的問題：不提供用戶的鑒別機制。

(4)狀態(tài)監(jiān)測型防火墻

就是對包過濾技術(shù)的增強。這種防火墻采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為監(jiān)測模塊。它工作在鏈路層和網(wǎng)絡(luò)層之間，對網(wǎng)絡(luò)通信的各層實施監(jiān)測分析，提取相關(guān)的通信和狀態(tài)信息，并在動態(tài)連接表中進行狀態(tài)及上下文信息的存儲和更新，這些表被持續(xù)更新，為下一個通信檢查提供累積的數(shù)據(jù)。狀態(tài)監(jiān)視器的另一個優(yōu)點是：能夠提供對基于無連接的協(xié)議的應(yīng)用(如DNS)及基于端口動態(tài)分配的協(xié)議的應(yīng)用(如NFS)的安全支持，靜態(tài)的包過濾和代理網(wǎng)關(guān)都不支持此類應(yīng)用。總之，這類防火墻減少了端口的開放時間，提供了對幾乎所有服務(wù)的支持，缺點是它也允許外部客戶和內(nèi)部主機的直接連接；不提供用戶的鑒別機制。

另外，新近推出的自適應(yīng)代理(Adaptive Proxy)防火墻技術(shù)。本質(zhì)上也屬于代理服務(wù)技術(shù)，但它也結(jié)合了動態(tài)包過濾(狀態(tài)檢測)技術(shù)。組成這種類型防火墻的基本要素有兩個：動態(tài)包過濾器與自適應(yīng)代理服務(wù)器。它結(jié)合了代理服務(wù)防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在保證安全性的基礎(chǔ)上將代理服務(wù)器防火墻的性能提高10倍以上。

3防火墻配置的實現(xiàn)

(1)雙宿主主機防火墻

這種防火墻系統(tǒng)由一臺特殊主機來實現(xiàn)。這臺主機擁有兩個不同的網(wǎng)絡(luò)接口：一端接外部網(wǎng)絡(luò)，一端接需要保護的內(nèi)部網(wǎng)絡(luò)，故被稱為雙宿主主機，也成為雙宿主網(wǎng)關(guān)。防火墻不使用包過濾規(guī)則，而是通過在外部網(wǎng)絡(luò)和被保護的內(nèi)部網(wǎng)絡(luò)之間設(shè)置這個網(wǎng)關(guān)(雙宿主網(wǎng)關(guān))，隔斷IP層之間的直接傳輸。被保護網(wǎng)絡(luò)中的主機與該網(wǎng)關(guān)可以通信，外部網(wǎng)絡(luò)中主機也能與該網(wǎng)關(guān)通信。但是兩個網(wǎng)絡(luò)中的主機不能直接通信，兩個網(wǎng)絡(luò)之間的通信通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來實現(xiàn)，其配置實現(xiàn)如圖1所示。

(2)屏蔽主機防火墻

屏蔽主機防火墻由一臺過濾路由器和一臺堡壘主機組成，其配置實現(xiàn)如圖2所示。在這種配置中，堡壘主機配置在內(nèi)部網(wǎng)絡(luò)上，過濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。在路由器上進行安裝。使得外部網(wǎng)絡(luò)的主機只能訪問該堡壘主機，而不能直接訪問內(nèi)部網(wǎng)絡(luò)的其他主機。內(nèi)部網(wǎng)絡(luò)在向外通信時，也必須首先到達堡壘主機，由該堡壘主機來決定是否允許訪問外部網(wǎng)絡(luò)。這樣，堡壘主機成為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的唯一通道。

堡壘主機是運行代理軟件的計算機。它暴露在被保護的網(wǎng)絡(luò)之外，入侵者如果穿透了過濾路由器，必須首先把該主機攻克。才能夠進入到內(nèi)部網(wǎng)絡(luò)。

(3)屏蔽子網(wǎng)防火墻

屏蔽子網(wǎng)防火墻是目前流行的一種結(jié)構(gòu)，其配置實現(xiàn)如圖3所示。采用了兩個包過濾路由器和一個堡壘主機，在內(nèi)外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，定義為“非軍事區(qū)”，有時也稱作周邊網(wǎng)，用于放置堡壘主機、WEB服務(wù)器、Mail服務(wù)器等公用服務(wù)。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，但禁止它們穿過子網(wǎng)通信。在這一配置中，即使堡壘主機被入侵者控制，內(nèi)部網(wǎng)絡(luò)仍受到內(nèi)部包過濾路由器的保護。

屏蔽子網(wǎng)防火墻的主要優(yōu)點是它又提供了一層保護。一個入侵者必須通過兩個路由器和一個應(yīng)用網(wǎng)關(guān)，這比起屏蔽主機防火墻來要困難得多。

4結(jié)束語

防火墻是一種綜合性的技術(shù)，涉及計算機網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全技術(shù)、軟件技術(shù)、國際標準化組織(ISO)的安全規(guī)范以及安全操作系統(tǒng)等方面。防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問控制設(shè)備，常常安裝在內(nèi)部網(wǎng)和外部網(wǎng)交界點上。在實際的應(yīng)用中，如果認為單純地采用防火墻后網(wǎng)絡(luò)將變得絕對安全。將是很幼稚的。Internet防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它更是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源，所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。