淺析防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用*

董西尚

(棗莊學(xué)院 計(jì)算機(jī)系,山東 棗莊 277160)

淺析防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用*

董西尚

(棗莊學(xué)院 計(jì)算機(jī)系,山東 棗莊 277160)

科學(xué)技術(shù)的發(fā)展在促使計(jì)算機(jī)技術(shù)應(yīng)用范圍急劇擴(kuò)大、引導(dǎo)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷突破的同時(shí),也帶來了各種網(wǎng)絡(luò)安全問題,甚至一定程度上正在改變?nèi)藗兊恼J(rèn)知方式,如果不很好地解決這個(gè)問題,必將阻礙計(jì)算機(jī)網(wǎng)絡(luò)化發(fā)展的進(jìn)程.

防火墻;防火墻技術(shù);網(wǎng)絡(luò)安全

1 防火墻技術(shù)簡述

1.1 防火墻的定義

防火墻(Firewall)是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備,由一個(gè)軟件和硬件設(shè)備組成,是可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一個(gè)緩沖,是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間、專用網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間的保護(hù)屏障.防火墻可以是一臺路由器、個(gè)人電腦、一臺主機(jī)或者可以由多臺主機(jī)構(gòu)成的體系,它們被配置為專門保護(hù)一個(gè)私有網(wǎng)絡(luò),使其免受那些被處于可信網(wǎng)絡(luò)之外主機(jī)濫用的某些協(xié)議和服務(wù)的影響.

設(shè)計(jì)防火墻的目的就是要阻止那些來自不受保護(hù)的網(wǎng)絡(luò)中的未授權(quán)的信息進(jìn)入專用網(wǎng)絡(luò),而仍能允許本地網(wǎng)絡(luò)上的以及其他特許用戶訪問授權(quán)網(wǎng)絡(luò)服務(wù).一般的防火墻都可以達(dá)到以下目的:一是可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò),過濾掉不安全服務(wù)和非法用戶;二是防止入侵者接近你的防御設(shè)施;三是限定用戶訪問非法站點(diǎn)和特殊站點(diǎn);四是為監(jiān)視 Internet安全提供方便[1].

圖1 防火墻基本功能

1.2 防火墻的類型

防火墻的種類很多,一般根據(jù)其所采用的技術(shù)不同,可以將它分為四種類型:包過濾器防火墻、應(yīng)用代理型防火墻、狀態(tài)包檢測 (SPI)防火墻、復(fù)合型防火墻等.

(1)包過濾器防火墻

包過濾型防火墻主要對OSI參考模型的網(wǎng)絡(luò)層和傳輸層起作用,對于傳輸層,只能識別數(shù)據(jù)包是 TCP還是 UDP及所用的端口信息;對于網(wǎng)絡(luò)層,它對接收到的數(shù)據(jù)包頭源及目的 IP進(jìn)行識別和控制,對數(shù)據(jù)源地址、目的地址、TCP數(shù)據(jù)分組或UDP報(bào)文的源端口號和協(xié)議類型等標(biāo)志進(jìn)行檢測,并與網(wǎng)絡(luò)管理員預(yù)先設(shè)置的訪問控制表進(jìn)行比較,以確定是否允許通過,只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地,其余數(shù)據(jù)包則被數(shù)據(jù)流阻擋丟棄.

包過濾器防火墻的優(yōu)點(diǎn)是:過濾路由器速度快、效率高,并且只需要一個(gè)過濾路由器就能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò),其對數(shù)據(jù)包過濾過程對用戶完全透明.缺點(diǎn)是:只能根據(jù)數(shù)據(jù)包所附帶的和人為判別的相關(guān)信息,諸如數(shù)據(jù)包來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,不能有效地、智能地防止地址欺騙,而且一些應(yīng)用協(xié)議不適合數(shù)據(jù)包過濾,甚至有些正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略,導(dǎo)致此種防火墻不能全面、有效地防范黑客攻擊,不支持應(yīng)用層協(xié)議,不能有效處理新的安全威脅.

(2)應(yīng)用代理型防火墻

應(yīng)用代理型防火墻是在 TCP/IP堆棧的“應(yīng)用層”上運(yùn)作,使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流或是使用 FTP時(shí)的數(shù)據(jù)流都是屬于這一層.其主要是在 OSI的應(yīng)用層工作,特點(diǎn)是完全“阻隔”網(wǎng)絡(luò)通信流,通過對每種應(yīng)用服務(wù)編制專門的代理程序,實(shí)現(xiàn)對應(yīng)用層通信流的監(jiān)視和控制.

應(yīng)用代理型防火墻的優(yōu)點(diǎn)是:安全性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效.缺點(diǎn)是:該系統(tǒng)設(shè)計(jì)較為復(fù)雜,需要代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用信息類型逐一進(jìn)行掃描,且對系統(tǒng)的整體性能有較大的影響.

(3)狀態(tài)包檢測 (SPI)防火墻

狀態(tài)包檢測 (SPI)防火墻是對包過濾器和應(yīng)用代理型防火墻的折衷,它既有包過濾機(jī)制的速度和靈活,也有應(yīng)用型防火墻的應(yīng)用級安全[2].它采用一種基于連接的狀態(tài)檢測機(jī)制,將屬于同一連接的所有數(shù)據(jù)包作為一個(gè)整體的數(shù)據(jù)流看待,以此構(gòu)成連接狀態(tài)表,并通過規(guī)則表與狀態(tài)表的共同配合,實(shí)現(xiàn)對表中的各個(gè)連接狀態(tài)因素加以區(qū)別.這種動(dòng)態(tài)連接表中的記錄既可以是以前的通信信息,也可以是其他相關(guān)應(yīng)用程序的信息.

狀態(tài)包檢測 (SPI)防火墻的優(yōu)點(diǎn)是:高安全性、高效性、可伸縮性和擴(kuò)展性以及應(yīng)用范圍廣.缺點(diǎn)是:所有這些記錄、測試和分析工作可能會(huì)造成網(wǎng)絡(luò)連接的某種滯后,特別是在同時(shí)有許多種連接激活時(shí),或者是有大量的過濾網(wǎng)絡(luò)通信規(guī)則存在時(shí).

(4)復(fù)合型防火墻

復(fù)合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代高性能防火墻,它以專用集成電路 (ASI C,Application Specific Integrated Circuit)為基礎(chǔ)構(gòu)建而成,把病毒防護(hù)、信息內(nèi)容過濾整合到防火墻里,其融 VPN、 IDS等單元為一體,是一種技術(shù)上的新突破[3].

復(fù)合型防火墻的優(yōu)點(diǎn)是:能有效地防止隱蔽在網(wǎng)絡(luò)流量里的攻擊,并對網(wǎng)絡(luò)邊界實(shí)施 OSI第七層的內(nèi)容掃描,實(shí)時(shí)對網(wǎng)絡(luò)邊緣部署病毒防護(hù)、內(nèi)容過濾等應(yīng)用層服務(wù)措施,充分體現(xiàn)網(wǎng)絡(luò)與信息安全并存的思想.缺點(diǎn)是:技術(shù)研究尚未成熟.

1.3 防火墻的功能

(1)防火墻是網(wǎng)絡(luò)安全的屏障

防火墻作為網(wǎng)絡(luò)阻塞點(diǎn)和控制點(diǎn),對所有通過的應(yīng)用協(xié)議進(jìn)行精心檢測,以提高內(nèi)部網(wǎng)絡(luò)的安全性.此外,防火墻還可以禁止不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò),保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員.

(2)防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略

以防火墻為中心的網(wǎng)絡(luò)安全方案配置,能將所有安全程序,如口令、加密、身份認(rèn)證、審計(jì)等配置在防火墻上.這樣統(tǒng)一的配置方式與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比顯得更加經(jīng)濟(jì)與牢固.

(3)對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)

假定所有的網(wǎng)絡(luò)訪問都經(jīng)過防火墻,那么防火墻就能對這些訪問并做出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù).當(dāng)發(fā)生攔截到可疑動(dòng)作時(shí),防火墻能進(jìn)行報(bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息.另外,防火墻所收集的網(wǎng)絡(luò)的使用和誤用情況對研究防火墻是否能夠抵擋攻擊者的探測和攻擊,以及了解防火墻的控制是否充足具有重要作用.

(4)防止內(nèi)部信息的外泄

通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)重點(diǎn)網(wǎng)段的隔離,從而降低或抑制局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響.此外,隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題,內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含有關(guān)安全的線索而引起外部攻擊者的興趣,使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)的服務(wù).

2 影響網(wǎng)絡(luò)安全的因素

一般而言,影響網(wǎng)絡(luò)安全的主要因素包括:

(1)信息泄密或篡改.主要表現(xiàn)為網(wǎng)絡(luò)信息被竊聽,信息被破壞,這樣的網(wǎng)絡(luò)侵犯前者被稱為積極侵犯者,后者被稱為消極侵犯者[4].

(2)傳輸非法信息流或非法使用網(wǎng)絡(luò)資源.網(wǎng)絡(luò)協(xié)議只允許用戶之間進(jìn)行特定類型的信息交流,禁止用戶登錄或進(jìn)入系統(tǒng)使用非法網(wǎng)絡(luò)資源.

(3)軟件漏洞.軟件漏洞包括操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用軟件、TCP/IP協(xié)議、網(wǎng)絡(luò)軟件和服務(wù)、密碼設(shè)置等,這些漏洞一旦遭受電腦病毒攻擊,就會(huì)帶來災(zāi)難性的后果.

(4)人為安全因素.除了技術(shù)層面上的網(wǎng)絡(luò)安全原因外,人為因素對網(wǎng)絡(luò)安全問題的影響也比較突出.無論系統(tǒng)的功能是多么強(qiáng)大或者配備了多少安全設(shè)施,如果管理人員不按規(guī)定正確地使用,甚至人為泄露系統(tǒng)的關(guān)鍵信息,則其造成的安全后果是難以估量的.

3 防火墻部署措施

防火墻可以檢測到網(wǎng)絡(luò)中的各種威脅,并根據(jù)威脅的類型及時(shí)地做出響應(yīng),將那些危險(xiǎn)的連接和攻擊行為隔絕在外,從而降低網(wǎng)絡(luò)的整體風(fēng)險(xiǎn).其基本功能是對網(wǎng)絡(luò)通信進(jìn)行檢測、篩選,以防止未授權(quán)的訪問進(jìn)出計(jì)算機(jī)網(wǎng)絡(luò),簡單的概括就是對網(wǎng)絡(luò)訪問進(jìn)行控制.實(shí)際應(yīng)用中,為了阻止計(jì)算機(jī)終端免受外界干擾,大部分的防火墻都選擇放置在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間.

網(wǎng)絡(luò)安全體系的構(gòu)建核心在于阻斷和監(jiān)控對不可信任網(wǎng)絡(luò)的訪問,而防火墻是目前與不可信任網(wǎng)絡(luò)進(jìn)行關(guān)聯(lián)的唯一紐帶.對網(wǎng)絡(luò)安全的監(jiān)控,我們只需通過關(guān)注部署好的防火墻的安全性就可以實(shí)現(xiàn).并且網(wǎng)絡(luò)訪問時(shí),所有的通信流量均是通過防火墻進(jìn)行審查、記錄和保存,以便對網(wǎng)絡(luò)安全犯罪的調(diào)查提供直接的依據(jù).因此,防火墻的采用大大降低了網(wǎng)絡(luò)和系統(tǒng)被用于不正當(dāng),甚至非法和惡意目的的風(fēng)險(xiǎn).

雖然在安全性方面,包過濾型防火墻和代理服務(wù)器型防火墻已經(jīng)被狀態(tài)監(jiān)測型防火墻所超越,但由于狀態(tài)監(jiān)測型防火墻技術(shù)存在實(shí)現(xiàn)成本較高、管理困難的缺點(diǎn),所以目前實(shí)際應(yīng)用的防火墻產(chǎn)品只是部分使用監(jiān)測型防火墻,大部分仍然以第二代代理型防火墻產(chǎn)品為主.

基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,一般可以選擇性地使用某些監(jiān)測型技術(shù)進(jìn)行防火墻的部署.這樣既能夠滿足網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時(shí)也能有效地控制安全系統(tǒng)的總體成本.

首先,防火墻的安裝位置應(yīng)當(dāng)在公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來自外部網(wǎng)絡(luò)的攻擊或入侵;其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個(gè)虛擬局域網(wǎng)之間設(shè)置第二層防火墻;第三,若總部與各分支機(jī)構(gòu)通過公網(wǎng)連接,則它們之間也應(yīng)該設(shè)置防火墻.條件允許的情況下,還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN).

一般說來,對防火墻的安裝必須遵守這樣一個(gè)基本原則,即只要在理論上存在惡意侵入或攻擊的可能,那么,無論是內(nèi)部網(wǎng)絡(luò)系統(tǒng)內(nèi)還是內(nèi)部網(wǎng)絡(luò)與外部公網(wǎng)的連接處,都應(yīng)該考慮安裝防火墻.

網(wǎng)絡(luò)的核心區(qū)域由核心交換機(jī)、核心路由器等重要設(shè)備組成,該區(qū)域主要承擔(dān)對整個(gè)網(wǎng)絡(luò)的核心數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)的重任,并且該區(qū)域與 DMZ區(qū)的 OA系統(tǒng)、ERP系統(tǒng)、CRM系統(tǒng)、對內(nèi)或?qū)ν獾腤eb服務(wù)器、數(shù)據(jù)庫服務(wù)器等諸多關(guān)鍵應(yīng)用相連[5].因此,僅僅從安全的角度來考慮,這個(gè)區(qū)域是最關(guān)鍵,同時(shí)也是風(fēng)險(xiǎn)最集中的.因?yàn)樗坏ＷC對DMZ區(qū)應(yīng)用的可用性和友好性不產(chǎn)生影響,又要保證其訪問源的安全性與可靠性.出于這種對核心區(qū)域安全性的考慮,通常我們不僅要在網(wǎng)絡(luò)的邊界部署防火墻,還要在這個(gè)區(qū)域?yàn)楸Ｗo(hù) DMZ等類似的關(guān)鍵區(qū)域部署防火墻.但這樣可能會(huì)產(chǎn)生一個(gè)不可調(diào)和的矛盾,即安全策略的部署,盡管可以提高網(wǎng)絡(luò)的安全性,但同時(shí)勢必會(huì)影響其可用性.

關(guān)鍵區(qū)域防火墻的主要功能與邊界區(qū)域防火墻的功能完全不同,前者主要是針對內(nèi)部用戶,重點(diǎn)作用在于保護(hù)重要服務(wù)和資源的訪問控制與完善安全日志的收集;而后者不僅僅要對來自掃描、滲透、入侵、拒絕服務(wù)攻擊等外部攻擊進(jìn)行防御,還要提供諸如NAT服務(wù)、遠(yuǎn)程VPN用戶、出站控制和移動(dòng)用戶訪問的授權(quán)等.我們可以根據(jù)上述兩種防火墻作用重點(diǎn)的不同,將各種防御的職能和提供的應(yīng)用具體分派到兩類防火墻上.即內(nèi)部防火墻重點(diǎn)保護(hù) DMZ區(qū)域和提供深層次的檢測與告警,而對邊界防火墻要提高數(shù)據(jù)過濾和轉(zhuǎn)發(fā)的功能.此外,還要并在了解網(wǎng)絡(luò)的特點(diǎn)與用途的基礎(chǔ)上,結(jié)合設(shè)備的實(shí)際功能與現(xiàn)有的網(wǎng)絡(luò)環(huán)境部署的靈活性,實(shí)現(xiàn)網(wǎng)絡(luò)可用性與安全性的平衡.

4 結(jié)論

防火墻技術(shù)經(jīng)歷了從最初的單純攔截來自防范黑客的惡意進(jìn)攻,逐步發(fā)展到走向安全事件管理及安全信息管理,并將最終執(zhí)行網(wǎng)絡(luò)安全管理,這是一種技術(shù)發(fā)展的必然結(jié)果.但由于網(wǎng)絡(luò)中有大量的攻擊工具,并且這些攻擊工具不斷改變形式,使得網(wǎng)絡(luò)安全不可能單靠防火墻來實(shí)現(xiàn),只有通過不斷完善策略、完善協(xié)議才能最終保證網(wǎng)絡(luò)的安全運(yùn)行.

[1]盧開澄.計(jì)算機(jī)密碼學(xué)計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)預(yù)安全[M].北京:清華大學(xué)出版社,19981

[2]余建斌.黑客的攻擊手段及用戶對策 [M].北京:人民郵電出版社,1998.

[3]陳莉.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].中國科技信息,2005,(23).

[4J蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) [M].北京:中國水利水電出版社,2002.

[5]黎連業(yè),張維.防火墻及其應(yīng)用技術(shù) [M].北京:清華大學(xué)出版社,2004.

TP393108

A

1006-5342(2011)06-0030-03

2011-05-20