防火墻技術(shù)在傳感器網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用*

王曉聰，張 冉，黃赪東

(63892 部隊(duì)，河南 洛陽(yáng) 471003)

0 引言

在現(xiàn)代社會(huì)中，從軍事探測(cè)應(yīng)用、交通管控監(jiān)測(cè)到家居建筑檢測(cè)，獲取各種信息的雷達(dá)傳感器已經(jīng)逐漸融入到人們生活中的各個(gè)角落，并且向著網(wǎng)絡(luò)化的方向發(fā)展。這也導(dǎo)致雷達(dá)信息處理系統(tǒng)產(chǎn)生了一些網(wǎng)絡(luò)安全問(wèn)題。如何更好地保護(hù)雷達(dá)探測(cè)網(wǎng)絡(luò)已成為人們關(guān)注的焦點(diǎn)。

防火墻作為維護(hù)網(wǎng)絡(luò)安全的重要設(shè)備，在雷達(dá)傳感器網(wǎng)絡(luò)安全保護(hù)體系中已逐漸發(fā)展成為一個(gè)不可或缺的重要環(huán)節(jié)。

1 傳感器網(wǎng)絡(luò)

1.1 傳感器網(wǎng)絡(luò)的定義

傳感器網(wǎng)絡(luò)指的是由部署于監(jiān)測(cè)區(qū)域內(nèi)部或附近的多個(gè)具有感知和信息獲取能力的各種傳感器所形成的電子信息網(wǎng)絡(luò)，綜合了傳感器技術(shù)、計(jì)算機(jī)技術(shù)、通信技術(shù)、網(wǎng)絡(luò)技術(shù)等多項(xiàng)現(xiàn)代信息技術(shù)，如圖1所示。

圖1 傳感器(雷達(dá)）網(wǎng)絡(luò)

目前，傳感器網(wǎng)絡(luò)中所使用的網(wǎng)絡(luò)化傳感器有兩種:有線網(wǎng)絡(luò)傳感器(采用IEEE1451.2 標(biāo)準(zhǔn)）和無(wú)線網(wǎng)絡(luò)傳感器(采用IEEE1451.2 標(biāo)準(zhǔn)和藍(lán)牙協(xié)議）［1］。圖2所示為無(wú)線網(wǎng)絡(luò)傳感器的基本組成模塊。

圖2 無(wú)線網(wǎng)絡(luò)傳感器結(jié)構(gòu)

1.2 無(wú)線傳感器網(wǎng)絡(luò)

無(wú)線傳感器網(wǎng)絡(luò)(Wireless Sensor Network，簡(jiǎn)稱WSN）是當(dāng)前廣泛應(yīng)用于軍事、環(huán)境、農(nóng)業(yè)、醫(yī)療等各領(lǐng)域的一種新興前沿傳感器網(wǎng)絡(luò)。如圖3所示，WSN分為傳感器(群）、基站和管控節(jié)點(diǎn)3個(gè)部分。它將大量的無(wú)線網(wǎng)絡(luò)傳感器以自組織的方式構(gòu)建成一個(gè)無(wú)線網(wǎng)絡(luò)對(duì)目標(biāo)對(duì)象進(jìn)行監(jiān)測(cè)，采用多跳技術(shù)傳輸傳感器(群）所監(jiān)測(cè)到的數(shù)據(jù)信息至基站。基站利用網(wǎng)關(guān)接入Internet 或衛(wèi)星網(wǎng)絡(luò)，將數(shù)據(jù)轉(zhuǎn)發(fā)給數(shù)據(jù)處理中心(管控節(jié)點(diǎn)）。數(shù)據(jù)處理中心對(duì)傳感信息進(jìn)行分類、處理。應(yīng)用用戶可以通過(guò)訪問(wèn)數(shù)據(jù)處理中心進(jìn)行發(fā)布監(jiān)測(cè)任務(wù)、配置和管理傳感器網(wǎng)絡(luò)和獲取監(jiān)測(cè)結(jié)果等操作。

圖3 WSN

1.3 分布式網(wǎng)絡(luò)化雷達(dá)探測(cè)系統(tǒng)

基于無(wú)線傳感器網(wǎng)絡(luò)技術(shù)構(gòu)建的分布式網(wǎng)絡(luò)化雷達(dá)探測(cè)系統(tǒng)，相比于傳統(tǒng)雷達(dá)，具有抗干擾、反隱身、抗摧毀的綜合優(yōu)勢(shì)，在要地防空、低空高威脅目標(biāo)預(yù)警探測(cè)、隱蔽監(jiān)視等領(lǐng)域具有重要的應(yīng)用前景。但是，分布式網(wǎng)絡(luò)化雷達(dá)探測(cè)系統(tǒng)的物理形態(tài)決定了它必須依賴于通信和計(jì)算機(jī)網(wǎng)絡(luò)傳送和處理由分布在各處的傳感器獲取的探測(cè)信息，因此也使其面臨著網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)信息竊取的新威脅。如何應(yīng)用防火墻技術(shù)，有效地保護(hù)分布式雷達(dá)探測(cè)系統(tǒng)網(wǎng)絡(luò)安全，是新型雷達(dá)系統(tǒng)技術(shù)發(fā)展中必須解決的重要問(wèn)題。

2 防火墻

2.1 防火墻的定義

防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在進(jìn)行數(shù)據(jù)交互的不同網(wǎng)絡(luò)(如內(nèi)網(wǎng)和外網(wǎng)、專用網(wǎng)和公共網(wǎng)等）之間構(gòu)造的保護(hù)屏障［2］。如圖4所示，在傳感器網(wǎng)絡(luò)中，防火墻主要是部署于數(shù)據(jù)處理節(jié)點(diǎn)。

圖4 防火墻的部署

2.2 防火墻的分類

防火墻從技術(shù)發(fā)展歷程上主要分為傳統(tǒng)防火墻、統(tǒng)一威脅管理和下一代防火墻。

2.2.1 傳統(tǒng)防火墻

傳統(tǒng)防火墻從技術(shù)上主要分為包過(guò)濾防火墻、應(yīng)用級(jí)防火墻和狀態(tài)監(jiān)測(cè)防火墻。

(1）包過(guò)濾防火墻

包過(guò)濾防火墻主要是依據(jù)事先設(shè)置好特定的過(guò)濾規(guī)則，審查每一個(gè)要通過(guò)的數(shù)據(jù)包包含的源地址、目的地址、端口號(hào)等參數(shù)，如果符合相應(yīng)規(guī)則要求，則包過(guò)濾防火墻會(huì)轉(zhuǎn)發(fā)該數(shù)據(jù)包;反之，則禁止該數(shù)據(jù)包的傳輸。

(2）應(yīng)用級(jí)防火墻

如圖5所示，應(yīng)用級(jí)防火墻(也稱代理服務(wù)器型防火墻）主要是利用代理服務(wù)器中轉(zhuǎn)和控制內(nèi)外網(wǎng)之間的通信連接，實(shí)現(xiàn)防火墻作用。

圖5 應(yīng)用級(jí)防火墻

(3）狀態(tài)檢測(cè)防火墻

狀態(tài)檢測(cè)防火墻與包過(guò)濾防火墻類似，主要是基于會(huì)話信息作出決策并動(dòng)態(tài)開(kāi)啟/關(guān)閉端口。具體來(lái)說(shuō)，在建立一個(gè)會(huì)話時(shí)，開(kāi)啟相應(yīng)端口，并在狀態(tài)表(session table）中保存此次建立的會(huì)話的相關(guān)信息(包括數(shù)據(jù)包的源地址、目的地址、端口號(hào)等）。此后依據(jù)狀態(tài)表保存的信息，檢查每一個(gè)要通過(guò)的數(shù)據(jù)包的內(nèi)容是否符合先前允許的會(huì)話，如果符合，則狀態(tài)檢測(cè)防火墻會(huì)轉(zhuǎn)發(fā)該數(shù)據(jù)包;反之，則禁止該數(shù)據(jù)包的傳輸。在所有數(shù)據(jù)傳輸完畢后，狀態(tài)檢測(cè)防火墻會(huì)刪除狀態(tài)表，關(guān)閉先前開(kāi)啟的端口。

2.2.2 統(tǒng)一威脅管理

如圖6所示，統(tǒng)一威脅管理(Unified Threat Management，簡(jiǎn)稱UTM），是在傳統(tǒng)防火墻的基礎(chǔ)上，由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的集成了防病毒、入侵檢測(cè)和防火墻等多項(xiàng)安全特性的設(shè)備。它的硬件平臺(tái)一般采用x86 架構(gòu)、ASIC 架構(gòu)、多核架構(gòu)和混合架構(gòu)，而軟件平臺(tái)一般是多種定制的操作系統(tǒng)的聯(lián)合體［3］。

圖6 UTM

2.2.3 下一代防火墻

下一代防火墻(Next Generation Firewall，簡(jiǎn)稱NGFW）的概念源于市場(chǎng)分析咨詢機(jī)構(gòu)Gartner 于2009年發(fā)布的一份名為《Defining the Next-Generation Firewall》的文章，它是一個(gè)線速(wire-speed）網(wǎng)絡(luò)安全處理平臺(tái)［4］，具有4個(gè)基本特性:

(1）Inheritance(繼承性）

NGFW 是在傳統(tǒng)防火墻的基礎(chǔ)上演變而來(lái)的，它繼承了傳統(tǒng)防火墻所能提供的全部功能。

(2）Seamless integration(無(wú)縫集成化）

NGFW 對(duì)入侵防御系統(tǒng)(IPS）進(jìn)行了無(wú)縫集成。具體來(lái)說(shuō)，它不但在硬件內(nèi)集成了IPS 功能，而且其內(nèi)置的防火墻與IPS 之間的聯(lián)動(dòng)也是由NGFW 本身自動(dòng)完成，并不需要管理員的介入。

(3）Intelligent(智能化）

NGFW 具有一定的智能化行為。具體來(lái)說(shuō)，它能夠根據(jù)收集到的防火墻外的各類信息進(jìn)行分析，對(duì)要作出的決策或設(shè)定的規(guī)則進(jìn)行修正。同時(shí)，NGFW的各安全功能模塊之間處于緊密耦合的狀態(tài)，能夠相互根據(jù)各自提供的信息自動(dòng)聯(lián)動(dòng)。

(4）Application of controllable(應(yīng)用可控化）

與傳統(tǒng)防火墻和UTM 不同，NGFW 是基于DPI/DFI技術(shù)深入到應(yīng)用層報(bào)文進(jìn)行檢測(cè)，并根據(jù)應(yīng)用簽名、行為特征識(shí)別區(qū)分各種應(yīng)用或威脅，使得網(wǎng)絡(luò)管理員可以通過(guò)視圖化的軟件管理界面觀察到各應(yīng)用或威脅的具體情況，并對(duì)應(yīng)用或威脅進(jìn)行訪問(wèn)控制。

在此4個(gè)基本特性基礎(chǔ)上，由于各個(gè)廠家的關(guān)注點(diǎn)的不同，NGFW 產(chǎn)品同時(shí)也具備了一些其他特性和功能。

例如，SonicWALL 在其旗下的NGFW 產(chǎn)品中集成了廣域網(wǎng)加速功能和3G/Wi-Fi 無(wú)線接入能力;Check Point 在其旗下的NGFW 產(chǎn)品中集成了獨(dú)有的應(yīng)用程序庫(kù)AppWiki;梭子魚(yú)在其旗下的NGFW 產(chǎn)品中提供了虛擬環(huán)境部署方案;深信服科技在其旗下的NGFW產(chǎn)品中集成了WAF 產(chǎn)品的主要功能。

概括來(lái)說(shuō)，NGFW的特性和安全功能分別如圖7和圖8所示。

圖7 NGFW的特性

圖8 NGFW的安全功能

3 防火墻在分布式雷達(dá)系統(tǒng)網(wǎng)絡(luò)中的應(yīng)用

防火墻在分布式雷達(dá)系統(tǒng)網(wǎng)絡(luò)安全保護(hù)體系中主要負(fù)責(zé)信息處理節(jié)點(diǎn)的網(wǎng)絡(luò)安全。以基于無(wú)線傳感器網(wǎng)絡(luò)構(gòu)建的分布式雷達(dá)系統(tǒng)為例(如圖9所示），防火墻將數(shù)據(jù)處理中心劃分為兩個(gè)區(qū)域:內(nèi)網(wǎng)和非軍事區(qū)(DMZ）。內(nèi)網(wǎng)是指信息處理中心內(nèi)部受保護(hù)網(wǎng)絡(luò)，禁止外網(wǎng)用戶訪問(wèn);非軍事區(qū)是指信息處理中心內(nèi)部專門(mén)提供給遠(yuǎn)程用戶通過(guò)外網(wǎng)訪問(wèn)的計(jì)算機(jī)(群）。

圖9 防火墻拓?fù)浣Y(jié)構(gòu)

防火墻在分布式雷達(dá)系統(tǒng)網(wǎng)絡(luò)中主要應(yīng)用在以下幾個(gè)方面:(1）身份審查和識(shí)別，(2）虛擬專用網(wǎng)(VPN功能）和權(quán)限管控，(3）防御黑客攻擊，(4）集成網(wǎng)路行為分析和流量管理功能，(5）傳感器信息數(shù)據(jù)加密傳輸。

3.1 身份審查和識(shí)別

在分布式雷達(dá)系統(tǒng)傳感器與信息處理中心之間設(shè)置對(duì)用戶的身份審查和識(shí)別網(wǎng)關(guān)，用戶登錄網(wǎng)絡(luò)時(shí)，防火墻會(huì)檢查用戶身份。如果用戶身份不符合，防火墻將拒絕該用戶訪問(wèn)信息處理中心內(nèi)部網(wǎng)絡(luò)。在用戶通過(guò)防火墻認(rèn)證后，防火墻會(huì)根據(jù)訪問(wèn)控制策略允許用戶訪問(wèn)其權(quán)限所規(guī)定的計(jì)算機(jī)并獲取相應(yīng)的信息資源。在傳統(tǒng)防火墻里，訪問(wèn)控制策略是需要靜態(tài)加載到防火墻上，而NGFW 可以做到將訪問(wèn)控制策略和用戶動(dòng)態(tài)綁定。同時(shí)，NGFW 防火墻還可以在用戶登錄后，結(jié)合事先設(shè)置好的使用者資料庫(kù)，及時(shí)地將IP 地址與使用者資訊相關(guān)聯(lián)，以有效識(shí)別用戶真實(shí)身份。

3.2 虛擬專用網(wǎng)(VPN 功能）和權(quán)限管控

防火墻可以將分布式雷達(dá)系統(tǒng)的傳感器節(jié)點(diǎn)和信息處理中心的所有計(jì)算機(jī)按照需要分為不同的組，以組為單位分配權(quán)限，組內(nèi)計(jì)算機(jī)可以允許相互訪問(wèn)，組與組之間如果不具備相應(yīng)權(quán)限則禁止訪問(wèn)，以此保護(hù)重要的傳感器信息。NGFW 也可以根據(jù)用戶身份的不同，差異化地給每個(gè)用戶分配不同的訪問(wèn)權(quán)限。

3.3 防御黑客攻擊

防火墻一般都具有抗DDoS 攻擊功能，可以抵御一定量的非法數(shù)據(jù)流攻擊，尤其是處理能力相對(duì)較高的NGFW，其所擁有的更高的每秒新建會(huì)話能力，使得攻擊者對(duì)NGFW 進(jìn)行網(wǎng)絡(luò)層入侵時(shí)需要付出比對(duì)傳統(tǒng)防火墻攻擊超出數(shù)倍的攻擊量才可能對(duì)NGFW 產(chǎn)生威脅。UTM和NGFW 都還集成了IPS、防病毒模塊等，可以進(jìn)行入侵防御、病毒和惡意軟件防護(hù)，保護(hù)分布式雷達(dá)系統(tǒng)網(wǎng)絡(luò)的有效運(yùn)行。

3.4 集成網(wǎng)路行為分析和流量管理功能

NGFW 具有網(wǎng)路行為分析能力。例如，Palo Alto公司開(kāi)發(fā)的NGFW 可以利用ACC分析引擎，檢查網(wǎng)絡(luò)是否存在安全威脅，并將所有用戶的上網(wǎng)流量、連接情況等網(wǎng)路詳細(xì)行為呈現(xiàn)給網(wǎng)絡(luò)管理員。同時(shí)，NGFW還提供了管控網(wǎng)絡(luò)流量的功能。NGFW 可以基于應(yīng)用簽名、行為特征識(shí)別控制進(jìn)出數(shù)據(jù)處理中心的具體應(yīng)用服務(wù)。在分布式雷達(dá)系統(tǒng)網(wǎng)絡(luò)中集成NGFW，對(duì)非數(shù)據(jù)處理中心提供的應(yīng)用服務(wù)或不明流量，通過(guò)NGFW 進(jìn)行阻止，以大幅減少惡意應(yīng)用服務(wù)的干擾，防止分布式雷達(dá)探測(cè)系統(tǒng)獲取的重要信息外泄或丟失。

3.5 傳感器信息數(shù)據(jù)加密傳輸

為防止各雷達(dá)傳感器發(fā)出或者傳入的重要信息在經(jīng)過(guò)專用網(wǎng)、互聯(lián)網(wǎng)或衛(wèi)星網(wǎng)絡(luò)傳輸時(shí)被他人竊取或者篡改，防火墻可以對(duì)在各類網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)分別進(jìn)行特定級(jí)別的加密。

4 結(jié)束語(yǔ)

隨著無(wú)線傳感器網(wǎng)絡(luò)技術(shù)的發(fā)展，分布式網(wǎng)絡(luò)化探測(cè)和信息處理已成為未來(lái)雷達(dá)系統(tǒng)技術(shù)發(fā)展的重要形態(tài)之一，也使人們對(duì)雷達(dá)系統(tǒng)信息傳輸和處理網(wǎng)絡(luò)的安全防護(hù)性能提出更高要求。防火墻作為網(wǎng)絡(luò)安全保護(hù)體系中一種傳統(tǒng)的保護(hù)機(jī)制，隨著其技術(shù)的發(fā)展和功能的完善，對(duì)雷達(dá)探測(cè)系統(tǒng)網(wǎng)絡(luò)的信息安全可以起到有效的保護(hù)作用。本文介紹了傳感器網(wǎng)絡(luò)和防火墻的概念、工作機(jī)理，闡述了防火墻在分布式雷達(dá)探測(cè)系統(tǒng)網(wǎng)絡(luò)中的相關(guān)應(yīng)用途徑，對(duì)傳感器網(wǎng)絡(luò)信息安全的研究具有一定的參考價(jià)值。

［1］趙志誠(chéng)，劉凱，鄭浩.傳感器技術(shù)和產(chǎn)品發(fā)展的重點(diǎn)［J］.儀表技術(shù)與傳感器，2005(3）:1-2.

［2］林建平.網(wǎng)絡(luò)防火墻技術(shù)現(xiàn)狀與發(fā)展前景探析［J］.山東電力高等專科學(xué)校學(xué)報(bào)，2006(4）:52-54.

［3］劉勝華，金志平，劉云龍.UTM(統(tǒng)一威脅管理）技術(shù)綜述［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011(4）:12-13.

［4］宏技.應(yīng)運(yùn)而生:下一代防火墻“給力”［J］.網(wǎng)絡(luò)與信息，2011(2）:51.

［5］李軍.UTM與NGFW的新瓶舊酒［J］.互聯(lián)網(wǎng)周刊，2010(17）:64-65.

［6］邢欣冉，姜民明.下一代防火墻技術(shù)前瞻［J］.信息與電腦，2010(10）:16.

［7］宋穎.防火墻技術(shù)與網(wǎng)絡(luò)安全［J］.中國(guó)新技術(shù)新產(chǎn)品，2011(18）:23.

［8］李富偉.淺談傳感器的現(xiàn)狀以及發(fā)展趨勢(shì)［J］.可編程控制器與工廠自動(dòng)化，2007 (1）:28-32.

［9］王純.探析防火墻技術(shù)［J］.無(wú)線互聯(lián)科技，2011(6）:19-20.

［10］梁海軍.基于UTM 網(wǎng)絡(luò)綜合防御策略研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010(1）:21-23.

［11］陳冬雨.在發(fā)展中完善下一代防火墻［J］.計(jì)算機(jī)安全，2010(12）:81-82.

［12］呂穎軒.構(gòu)筑新一代網(wǎng)絡(luò)安全屏障［J］.電信網(wǎng)技術(shù)，2011(3）:29-30.