胡斌彥

摘要 多種網(wǎng)絡(luò)安全產(chǎn)品的應(yīng)用給校園網(wǎng)的安全產(chǎn)品兼容性和管理增加了難度,而采用一體化網(wǎng)關(guān)式防火墻則比較經(jīng)濟(jì)、有效。分析一體化網(wǎng)關(guān)式防火墻特點,闡述防火墻策略配置的重要性,利用算法、實例驗證策略規(guī)劃和配置,達(dá)到保護(hù)校園網(wǎng)安全的目的。

關(guān)鍵詞 網(wǎng)絡(luò)安全;防火墻;安全策略;網(wǎng)絡(luò)威脅

中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:B 文章編號:1671-489X(2009)27-0099-02

Strategy and Analysis of An Integrated Gateway Firewall//Hu Binyan

Abstract The application of a variety of network security products makes the campus network security products compatibility and management more difficult, while the use of an integrated gateway firewall is more economical and effective. This paper analyzes the integration of the gateway firewall features, and expounded the importance of the firewall policy configuration, and the use of algorithms, examples demonstrate the strategic planning and configuration ,and achieve the protection of campus security.

Key words network security; firewalls; security policy; network threats

Authors address Wuwei Occupational College, Wuwei, Gansu, 733000, China

一體化網(wǎng)關(guān)式防火墻(UTM)是將多種安全能力融合在一個產(chǎn)品之中,實現(xiàn)防御一體化,為安全解決方案、規(guī)避設(shè)備兼容性問題、簡化安全管理提供先決條件[1]。具體來講,就是采用綜合分析、分流處理的設(shè)計思想,將各種數(shù)據(jù)由綜合分析引擎判斷出數(shù)據(jù)的合法性,做到單點部署、立體防御、一體化設(shè)計、高效易管、簡單安全[2]。尤其是對建設(shè)時期的高職院校,實現(xiàn)花最小財力、人力完成校園網(wǎng)安全維護(hù)大問題。

1 一體化網(wǎng)關(guān)的特點

1.1 軟硬結(jié)合方式一體化網(wǎng)關(guān)式防火墻通常采用專用的FPGA和ASIC芯片,可實現(xiàn)病毒檢測、內(nèi)容過濾、入侵防御等功能。但FPGA和ASIC芯片更新周期緩慢,且更新費用高昂。解決此類問題,一體化網(wǎng)關(guān)大多采用軟件升級方式,即軟硬件結(jié)合的方式完成安全防護(hù)。

1.2 合并橫向多種功能USG(如啟明星辰的天清漢馬USG-2000)在將協(xié)議重組分析之后,對模式匹配引擎和特征庫進(jìn)行合并(見圖1),形成“綜合分析引擎”技術(shù),將模式匹配進(jìn)行歸一化處理:在接收到數(shù)據(jù)報文后,通過一個綜合分析引擎實現(xiàn)對防病毒、入侵防御、內(nèi)容過濾、反垃圾郵件等高級安全功能分析和匹配。以一體化特征庫(病毒特征庫、入侵事件庫、內(nèi)容過濾特征庫、垃圾郵件特征庫)作為支撐,以統(tǒng)一的格式根據(jù)標(biāo)記準(zhǔn)確判斷該特征所屬類型,針對數(shù)據(jù)流用相應(yīng)的處理模塊進(jìn)行控制。一體化特征庫提高了多種安全功能協(xié)同運作的效率,相比分散的特征庫,可以使整體性能提升40%以上[3],如圖2所示。

1.3 優(yōu)化算法對于特征庫的匹配,通常存在AC和BM兩種算法,AC算法是最著名的模式匹配算法之一;BM算法的時間復(fù)雜度低于線性,是現(xiàn)在用得比較多的一種方法。啟明星辰公司對于2種算法進(jìn)行深入研究和優(yōu)化,通過BM算法提高步長,通過AC算法提高比對效率,并融入很多創(chuàng)新技術(shù),形成目前應(yīng)用在天清漢馬USG產(chǎn)品中的專利算法(專利號:200610089420.7)。此專利算法與特征庫大小、文本大小無關(guān),可以確保大容量特征庫正常情況下的檢測效率[4]。

2 天清漢馬防火墻功能

2.1 高效防病毒其實防病毒功能是UTM產(chǎn)品的難點,因為防病毒產(chǎn)品的核心部件有2個:防病毒引擎和病毒庫。其中病毒庫是需要經(jīng)常甚至每天更新的。這樣,病毒庫的數(shù)據(jù)量往往會很大,而作為網(wǎng)關(guān)級產(chǎn)品,需要對每個數(shù)據(jù)包進(jìn)行打開、分析、檢查,這是一個較長的比對過程。一個數(shù)據(jù)包如此,個個數(shù)據(jù)包都如此,這樣很容易把一臺UTM設(shè)備拖垮。但是一體化安全網(wǎng)關(guān)借助啟明星辰在IDS技術(shù)方面的多年積累,利用它獨到的“IPS協(xié)議還原技術(shù)”,巧妙地解決了這個難題[5]。并且用戶可以根據(jù)實際需要,選擇標(biāo)準(zhǔn)病毒庫和擴(kuò)展病毒庫。為了更有效地過濾網(wǎng)絡(luò)病毒,除了特征碼識別、廣譜特征碼、啟發(fā)式掃描技術(shù)等幾種常見的檢測方法外,天清漢馬防火墻還采用多種先進(jìn)的新一代病毒掃描引擎技術(shù),以巧妙而精確的算法保證在檢測大量病毒時,仍然保持高速而準(zhǔn)確的檢測結(jié)果。

2.2 NetFlow流量統(tǒng)計通過利用NetFlow流量統(tǒng)計分析技術(shù),對網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行安全監(jiān)控、病毒檢測,做到對網(wǎng)絡(luò)攻擊或其他異常流量進(jìn)行及時有效的防護(hù),成為防范蠕蟲病毒泛濫的理想解決方案。

天清漢馬集成NetFlow技術(shù)后,通過NetFlow技術(shù)可以使網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)流量做到宏觀把握,并用統(tǒng)計分析的方法,對規(guī)模日益壯大、業(yè)務(wù)日益復(fù)雜的網(wǎng)絡(luò)進(jìn)行監(jiān)控。這樣,天清漢馬防火墻在蠕蟲泛濫、流量異常的情況下,對于突發(fā)的流量變化可以做出簡單、快速的反應(yīng)動作,在網(wǎng)絡(luò)安全監(jiān)控和預(yù)警中起到必不可少的作用,從而打造出一個更加安全、更加經(jīng)濟(jì)、更加高效的校園網(wǎng)絡(luò)[6]。

3 防火墻安全策略設(shè)計

3.1 創(chuàng)建安全策略網(wǎng)絡(luò)安全策略是防火墻系統(tǒng)的重要組成部分,而防火墻設(shè)備是它的忠實執(zhí)行者和體現(xiàn)者,二者缺一不可。網(wǎng)絡(luò)安全策略決定受保護(hù)網(wǎng)絡(luò)的安全性和易用性,一個成功的防火墻系統(tǒng)首先應(yīng)有一個合理可行的安全策略。

在防火墻的策略配置過程中,容易出現(xiàn)5種常見錯誤:存在無關(guān)規(guī)則、缺少默認(rèn)規(guī)則、規(guī)則交叉沖突、規(guī)則間相互屏蔽和規(guī)則冗余。下面具體分析這些錯誤產(chǎn)生的原因和解決錯誤的辦法。

為了直觀地描述這幾種錯誤,在武威職業(yè)學(xué)院對此進(jìn)行測試,首先給出一個先期使用的防火墻策略樣例(后證明是個錯誤的配置),見表1。

1)存在無關(guān)規(guī)則。無關(guān)規(guī)則增加防火墻中規(guī)則表的長度。對于無關(guān)規(guī)則,可以將其刪除。以表1的規(guī)則8為例,它的源IP地址域為10.1.68.40,而此防火墻連接的網(wǎng)段為10.1.64.0和10.1.65.0,數(shù)據(jù)包不可能到達(dá)該防火墻,規(guī)則8為無關(guān)規(guī)則,應(yīng)該刪除。

2)缺少默認(rèn)規(guī)則。添加一條規(guī)則,它的每一個過濾域均設(shè)成該過濾域的值域。對于表1描述的防火墻策略,取一個數(shù)據(jù)包,采用TCP協(xié)議,源IP地址是10.1.64.30,源端口是8025,目標(biāo)IP地址是10.1.65.40,目標(biāo)端口為8080。當(dāng)此數(shù)據(jù)包到達(dá)防火墻時,防火墻沒有相匹配的規(guī)則,無法對該數(shù)據(jù)包進(jìn)行處理,防火墻將拒絕掉該包。

3)考慮表1中的規(guī)則1和規(guī)則3,兩者的源IP地址域和目標(biāo)IP地址域互相存在包含關(guān)系,并且兩者的動作域不相同,因此,規(guī)則1和規(guī)則3存在規(guī)則交又沖突。

4)規(guī)則間相互屏蔽?？紤]表1中的規(guī)則2和規(guī)則4,很顯然,匹配規(guī)則4的數(shù)據(jù)包必然也匹配規(guī)則2,而且兩者的動作域不同,因此規(guī)則4被規(guī)則2屏蔽。規(guī)則3和規(guī)則4也是同樣的情況。

5)規(guī)則冗余。在表1中,規(guī)則7和規(guī)則6的區(qū)別僅僅在目標(biāo)IP地址域上,并且規(guī)則7的目標(biāo)IP地址域是規(guī)則6的目標(biāo)IP地址域的子集,所以規(guī)則7是規(guī)則6的冗余。

3.2 規(guī)則沖突檢測算法針對前面描述的5種常見策略配置錯誤,采用相應(yīng)的算法,掃描一下規(guī)則表以檢測錯誤,通過觀察判定樹模型,可以歸納出沖突錯誤的發(fā)生條件。

考慮2條規(guī)則Rj和Rk,Rj在Rk之前。l)如果Rj的過濾域的每部分是Rk的對應(yīng)部分的超集,或者和Rk的對應(yīng)部分相同,那么,當(dāng)兩者的動作域相同時,發(fā)生規(guī)則冗余;當(dāng)兩者的動作域不同時,Rk被Rj屏蔽。2)如果Rj的過濾域中至少有一個是Rk的對應(yīng)部分的超集,同時至少有一個是Rk的對應(yīng)部分的真子集,并且剩下的過濾域都和Rk的對應(yīng)部分存在包含關(guān)系,那么當(dāng)兩者的動作域不同時,發(fā)生規(guī)則交叉沖突[7]。

通過算法分析,應(yīng)用于表1,得到如下結(jié)果:規(guī)則表中缺少默認(rèn)規(guī)則;規(guī)則8為無關(guān)規(guī)則;規(guī)則1和規(guī)則3發(fā)生交叉沖突;規(guī)則4被規(guī)則2屏蔽。

綜合以上分析,網(wǎng)絡(luò)安全預(yù)防要從網(wǎng)絡(luò)入口做起,采用一體化網(wǎng)關(guān)式防火墻的確是一個不錯的選擇,既經(jīng)濟(jì)又無兼容性問題,再加上良好的安全策略配置,真正達(dá)到保護(hù)校園網(wǎng)的目的。

參考文獻(xiàn)

[1]張千里,陳光英.網(wǎng)絡(luò)安全新技術(shù)[M].北京:人民郵電出版社,2003

[2]王金德,李祥和,冉曉明.主動入侵防御系統(tǒng)研究[J].微計算機(jī)應(yīng)用,2005,26(3)

[3]宮立波.高校信息化建設(shè)與管理問題探討[J].教育信息化,2004(8)

[4]李緋,李海霞.數(shù)字化校園建設(shè)[Z].北京:清華大學(xué)教育技術(shù)研究所,2005

[5]趙海蘭,崔先雨.高職高專院校數(shù)字化校園建設(shè)的思考[J].教育信息化,2006(Z1)

[6]尹迎菊.信息化建設(shè)—數(shù)字化校園的迫切要求[J].湖南環(huán)境生物職業(yè)技術(shù)學(xué)院學(xué)報,2006(01)

[7]姜惠民.網(wǎng)絡(luò)布線與小型局域網(wǎng)搭建[M].北京:高等教育出版社,2004