淺析防火墻技術在網絡安全中的應用*

董西尚

(棗莊學院 計算機系,山東 棗莊 277160)

淺析防火墻技術在網絡安全中的應用*

董西尚

(棗莊學院 計算機系,山東 棗莊 277160)

科學技術的發展在促使計算機技術應用范圍急劇擴大、引導計算機網絡技術不斷突破的同時,也帶來了各種網絡安全問題,甚至一定程度上正在改變人們的認知方式,如果不很好地解決這個問題,必將阻礙計算機網絡化發展的進程.

防火墻;防火墻技術;網絡安全

1 防火墻技術簡述

1.1 防火墻的定義

防火墻(Firewall)是目前一種最重要的網絡防護設備,由一個軟件和硬件設備組成,是可信網絡與不可信網絡之間的一個緩沖,是內部網絡與外部網絡之間、專用網絡與公共網絡之間的保護屏障.防火墻可以是一臺路由器、個人電腦、一臺主機或者可以由多臺主機構成的體系,它們被配置為專門保護一個私有網絡,使其免受那些被處于可信網絡之外主機濫用的某些協議和服務的影響.

設計防火墻的目的就是要阻止那些來自不受保護的網絡中的未授權的信息進入專用網絡,而仍能允許本地網絡上的以及其他特許用戶訪問授權網絡服務.一般的防火墻都可以達到以下目的:一是可以限制他人進入內部網絡,過濾掉不安全服務和非法用戶;二是防止入侵者接近你的防御設施;三是限定用戶訪問非法站點和特殊站點;四是為監視 Internet安全提供方便[1].

圖1 防火墻基本功能

1.2 防火墻的類型

防火墻的種類很多,一般根據其所采用的技術不同,可以將它分為四種類型:包過濾器防火墻、應用代理型防火墻、狀態包檢測 (SPI)防火墻、復合型防火墻等.

(1)包過濾器防火墻

包過濾型防火墻主要對OSI參考模型的網絡層和傳輸層起作用,對于傳輸層,只能識別數據包是 TCP還是 UDP及所用的端口信息;對于網絡層,它對接收到的數據包頭源及目的 IP進行識別和控制,對數據源地址、目的地址、TCP數據分組或UDP報文的源端口號和協議類型等標志進行檢測,并與網絡管理員預先設置的訪問控制表進行比較,以確定是否允許通過,只有滿足過濾條件的數據包才被轉發到相應目的地,其余數據包則被數據流阻擋丟棄.

包過濾器防火墻的優點是:過濾路由器速度快、效率高,并且只需要一個過濾路由器就能協助保護整個網絡,其對數據包過濾過程對用戶完全透明.缺點是:只能根據數據包所附帶的和人為判別的相關信息,諸如數據包來源、目標和端口等網絡信息進行判斷,不能有效地、智能地防止地址欺騙,而且一些應用協議不適合數據包過濾,甚至有些正常的數據包過濾路由器無法執行某些安全策略,導致此種防火墻不能全面、有效地防范黑客攻擊,不支持應用層協議,不能有效處理新的安全威脅.

(2)應用代理型防火墻

應用代理型防火墻是在 TCP/IP堆棧的“應用層”上運作,使用瀏覽器時所產生的數據流或是使用 FTP時的數據流都是屬于這一層.其主要是在 OSI的應用層工作,特點是完全“阻隔”網絡通信流,通過對每種應用服務編制專門的代理程序,實現對應用層通信流的監視和控制.

應用代理型防火墻的優點是:安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效.缺點是:該系統設計較為復雜,需要代理服務器必須針對客戶機可能產生的所有應用信息類型逐一進行掃描,且對系統的整體性能有較大的影響.

(3)狀態包檢測 (SPI)防火墻

狀態包檢測 (SPI)防火墻是對包過濾器和應用代理型防火墻的折衷,它既有包過濾機制的速度和靈活,也有應用型防火墻的應用級安全[2].它采用一種基于連接的狀態檢測機制,將屬于同一連接的所有數據包作為一個整體的數據流看待,以此構成連接狀態表,并通過規則表與狀態表的共同配合,實現對表中的各個連接狀態因素加以區別.這種動態連接表中的記錄既可以是以前的通信信息,也可以是其他相關應用程序的信息.

狀態包檢測 (SPI)防火墻的優點是:高安全性、高效性、可伸縮性和擴展性以及應用范圍廣.缺點是:所有這些記錄、測試和分析工作可能會造成網絡連接的某種滯后,特別是在同時有許多種連接激活時,或者是有大量的過濾網絡通信規則存在時.

(4)復合型防火墻

復合型防火墻是指綜合了狀態檢測與透明代理的新一代高性能防火墻,它以專用集成電路 (ASI C,Application Specific Integrated Circuit)為基礎構建而成,把病毒防護、信息內容過濾整合到防火墻里,其融 VPN、 IDS等單元為一體,是一種技術上的新突破[3].

復合型防火墻的優點是:能有效地防止隱蔽在網絡流量里的攻擊,并對網絡邊界實施 OSI第七層的內容掃描,實時對網絡邊緣部署病毒防護、內容過濾等應用層服務措施,充分體現網絡與信息安全并存的思想.缺點是:技術研究尚未成熟.

1.3 防火墻的功能

(1)防火墻是網絡安全的屏障

防火墻作為網絡阻塞點和控制點,對所有通過的應用協議進行精心檢測,以提高內部網絡的安全性.此外,防火墻還可以禁止不安全的NFS協議進出受保護網絡,保護網絡免受基于路由的攻擊,拒絕所有以上類型攻擊的報文并通知防火墻管理員.

(2)防火墻可以強化網絡安全策略

以防火墻為中心的網絡安全方案配置,能將所有安全程序,如口令、加密、身份認證、審計等配置在防火墻上.這樣統一的配置方式與將網絡安全問題分散到各個主機上相比顯得更加經濟與牢固.

(3)對網絡存取和訪問進行監控審計

假定所有的網絡訪問都經過防火墻,那么防火墻就能對這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據.當發生攔截到可疑動作時,防火墻能進行報警,并提供網絡是否受到監測和攻擊的詳細信息.另外,防火墻所收集的網絡的使用和誤用情況對研究防火墻是否能夠抵擋攻擊者的探測和攻擊,以及了解防火墻的控制是否充足具有重要作用.

(4)防止內部信息的外泄

通過利用防火墻對內部網絡的劃分,可實現對內部網絡重點網段的隔離,從而降低或抑制局部重點或敏感網絡安全問題對全局網絡造成的影響.此外,隱私是內部網絡非常關心的問題,內部網絡中不引人注意的細節可能包含有關安全的線索而引起外部攻擊者的興趣,使用防火墻就可以隱蔽那些透漏內部細節的服務.

2 影響網絡安全的因素

一般而言,影響網絡安全的主要因素包括:

(1)信息泄密或篡改.主要表現為網絡信息被竊聽,信息被破壞,這樣的網絡侵犯前者被稱為積極侵犯者,后者被稱為消極侵犯者[4].

(2)傳輸非法信息流或非法使用網絡資源.網絡協議只允許用戶之間進行特定類型的信息交流,禁止用戶登錄或進入系統使用非法網絡資源.

(3)軟件漏洞.軟件漏洞包括操作系統、數據庫及應用軟件、TCP/IP協議、網絡軟件和服務、密碼設置等,這些漏洞一旦遭受電腦病毒攻擊,就會帶來災難性的后果.

(4)人為安全因素.除了技術層面上的網絡安全原因外,人為因素對網絡安全問題的影響也比較突出.無論系統的功能是多么強大或者配備了多少安全設施,如果管理人員不按規定正確地使用,甚至人為泄露系統的關鍵信息,則其造成的安全后果是難以估量的.

3 防火墻部署措施

防火墻可以檢測到網絡中的各種威脅,并根據威脅的類型及時地做出響應,將那些危險的連接和攻擊行為隔絕在外,從而降低網絡的整體風險.其基本功能是對網絡通信進行檢測、篩選,以防止未授權的訪問進出計算機網絡,簡單的概括就是對網絡訪問進行控制.實際應用中,為了阻止計算機終端免受外界干擾,大部分的防火墻都選擇放置在可信任網絡和不可信任網絡之間.

網絡安全體系的構建核心在于阻斷和監控對不可信任網絡的訪問,而防火墻是目前與不可信任網絡進行關聯的唯一紐帶.對網絡安全的監控,我們只需通過關注部署好的防火墻的安全性就可以實現.并且網絡訪問時,所有的通信流量均是通過防火墻進行審查、記錄和保存,以便對網絡安全犯罪的調查提供直接的依據.因此,防火墻的采用大大降低了網絡和系統被用于不正當,甚至非法和惡意目的的風險.

雖然在安全性方面,包過濾型防火墻和代理服務器型防火墻已經被狀態監測型防火墻所超越,但由于狀態監測型防火墻技術存在實現成本較高、管理困難的缺點,所以目前實際應用的防火墻產品只是部分使用監測型防火墻,大部分仍然以第二代代理型防火墻產品為主.

基于對系統成本與安全技術成本的綜合考慮,一般可以選擇性地使用某些監測型技術進行防火墻的部署.這樣既能夠滿足網絡系統的安全性需求,同時也能有效地控制安全系統的總體成本.

首先,防火墻的安裝位置應當在公司內部網絡與外部Internet的接口處,以阻擋來自外部網絡的攻擊或入侵;其次,如果公司內部網絡規模較大,并且設置有虛擬局域網(VLAN),則應該在各個虛擬局域網之間設置第二層防火墻;第三,若總部與各分支機構通過公網連接,則它們之間也應該設置防火墻.條件允許的情況下,還應該同時將總部與各分支機構組成虛擬專用網(VPN).

一般說來,對防火墻的安裝必須遵守這樣一個基本原則,即只要在理論上存在惡意侵入或攻擊的可能,那么,無論是內部網絡系統內還是內部網絡與外部公網的連接處,都應該考慮安裝防火墻.

網絡的核心區域由核心交換機、核心路由器等重要設備組成,該區域主要承擔對整個網絡的核心數據進行轉發的重任,并且該區域與 DMZ區的 OA系統、ERP系統、CRM系統、對內或對外的Web服務器、數據庫服務器等諸多關鍵應用相連[5].因此,僅僅從安全的角度來考慮,這個區域是最關鍵,同時也是風險最集中的.因為它不但要保證對DMZ區應用的可用性和友好性不產生影響,又要保證其訪問源的安全性與可靠性.出于這種對核心區域安全性的考慮,通常我們不僅要在網絡的邊界部署防火墻,還要在這個區域為保護 DMZ等類似的關鍵區域部署防火墻.但這樣可能會產生一個不可調和的矛盾,即安全策略的部署,盡管可以提高網絡的安全性,但同時勢必會影響其可用性.

關鍵區域防火墻的主要功能與邊界區域防火墻的功能完全不同,前者主要是針對內部用戶,重點作用在于保護重要服務和資源的訪問控制與完善安全日志的收集;而后者不僅僅要對來自掃描、滲透、入侵、拒絕服務攻擊等外部攻擊進行防御,還要提供諸如NAT服務、遠程VPN用戶、出站控制和移動用戶訪問的授權等.我們可以根據上述兩種防火墻作用重點的不同,將各種防御的職能和提供的應用具體分派到兩類防火墻上.即內部防火墻重點保護 DMZ區域和提供深層次的檢測與告警,而對邊界防火墻要提高數據過濾和轉發的功能.此外,還要并在了解網絡的特點與用途的基礎上,結合設備的實際功能與現有的網絡環境部署的靈活性,實現網絡可用性與安全性的平衡.

4 結論

防火墻技術經歷了從最初的單純攔截來自防范黑客的惡意進攻,逐步發展到走向安全事件管理及安全信息管理,并將最終執行網絡安全管理,這是一種技術發展的必然結果.但由于網絡中有大量的攻擊工具,并且這些攻擊工具不斷改變形式,使得網絡安全不可能單靠防火墻來實現,只有通過不斷完善策略、完善協議才能最終保證網絡的安全運行.

[1]盧開澄.計算機密碼學計算機網絡中的數據預安全[M].北京:清華大學出版社,19981

[2]余建斌.黑客的攻擊手段及用戶對策 [M].北京:人民郵電出版社,1998.

[3]陳莉.計算機網絡安全與防火墻技術研究[J].中國科技信息,2005,(23).

[4J蔡立軍.計算機網絡安全技術 [M].北京:中國水利水電出版社,2002.

[5]黎連業,張維.防火墻及其應用技術 [M].北京:清華大學出版社,2004.

TP393108

A

1006-5342(2011)06-0030-03

2011-05-20