防火墻技術(shù)與網(wǎng)絡(luò)安全

宋穎

（大慶地質(zhì)錄井一公司資料解釋評價(jià)中心，黑龍江 大慶 163411）

1 防火墻的基本概念

防火墻是在一個被認(rèn)為是安全和可信的內(nèi)部網(wǎng)和一個被認(rèn)為不那么安全和可信的外部網(wǎng)（如Internet）之間提供的一個由軟件和硬件設(shè)備共同組成的安全防御工具。它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕 、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有很高的抗攻擊能力，它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

2 防火墻的主要功能

2.1動態(tài)包過濾技術(shù)。根據(jù)所設(shè)置的安全規(guī)則動態(tài)維護(hù)通過防火墻的所有通信的狀態(tài)（連接），基于連接的過濾；

2.2部署NAT（Network Address Translation，網(wǎng)絡(luò)地址變換）。防火墻是部署NAT的理想位置，利用NAT技術(shù)，將有限的公有IP地址動態(tài)或靜態(tài)地與內(nèi)部的私有IP地址進(jìn)行映射，用以保護(hù)內(nèi)部網(wǎng)絡(luò)并可以緩解互聯(lián)網(wǎng)地址空間短缺的問題；

2.3控制不安全的服務(wù)。通過設(shè)置信任域與不信任域之間數(shù)據(jù)出入的策略，一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。還可以可以定義規(guī)則計(jì)劃，使得系統(tǒng)在某一時(shí)可以自動啟用和關(guān)閉策略；

2.4集中的安全保護(hù)。通過以防火墻為中心的安全方案配置，一個子網(wǎng)的所有或大部分需要改動的軟件以及附加的安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）能集中地放在防火墻系統(tǒng)中。這與將網(wǎng)絡(luò)安全問題分散到各個主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。

2.5加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)的訪問控制。一個防火墻的主要功能是對整個網(wǎng)絡(luò)的訪問控制。比如防火墻設(shè)置內(nèi)部用戶對外部網(wǎng)絡(luò)特殊站點(diǎn)的訪問策略，也可以針對可以屏蔽部分主機(jī)的特定服務(wù)，使得外部網(wǎng)絡(luò)可以訪問該主機(jī)的其它服務(wù)（如WWW服務(wù)），但無法訪問該主機(jī)的特定服務(wù)（如Telnet服務(wù)）。

2.6網(wǎng)絡(luò)連接的日志記錄及使用統(tǒng)計(jì)。防火墻系統(tǒng)能提供符合規(guī)則報(bào)文的信息、系統(tǒng)管理信息、系統(tǒng)故障信息的日志記錄。另外,防火墻系統(tǒng)也能夠?qū)φ５木W(wǎng)絡(luò)使用情況作出統(tǒng)計(jì)。通過對統(tǒng)計(jì)結(jié)果的分析,可以使得網(wǎng)絡(luò)資源到更好的使用。

2.7報(bào)警功能。如具有郵件通知功能，可以將系統(tǒng)的告警通過發(fā)送郵件通知網(wǎng)絡(luò)管理員

3 防火墻的基本構(gòu)件和技術(shù)

3.1 篩選路由器

許多路由器產(chǎn)品都具有根據(jù)給定規(guī)則對報(bào)文分組進(jìn)行篩選的功能，這些規(guī)則包括協(xié)議的類型、特定協(xié)議類型的源地址和目的地址字段以及作為協(xié)議一部分的控制字段。例如在常用的Cisco路由器上就具有這種對報(bào)文分組進(jìn)行篩選的功能，這種路由器被稱為篩選路由器.最早的Cisco路由器只能根據(jù)IP數(shù)據(jù)報(bào)頭部內(nèi)容進(jìn)行過濾，而目前的產(chǎn)品還可以根據(jù)TCP端口及連接建立的情況進(jìn)行過濾,而且在過濾語法上也有了一定改進(jìn)。

篩選路由器提供了一種強(qiáng)有力的機(jī)制，可用于控制任何網(wǎng)絡(luò)段上的通信業(yè)務(wù)類型。而通過控制一個網(wǎng)絡(luò)段上的通信業(yè)務(wù)類型，篩選路由器可以控制該網(wǎng)絡(luò)段上網(wǎng)絡(luò)服務(wù)的類型，從而可以限制對網(wǎng)絡(luò)安全有害的服務(wù)。篩選路由器可以根據(jù)協(xié)議類型和報(bào)文分組中有關(guān)協(xié)議字段的值來區(qū)別不同的網(wǎng)絡(luò)通信業(yè)務(wù)。路由器根據(jù)與協(xié)議相關(guān)的準(zhǔn)則來區(qū)別和限制通過其端口的報(bào)文分組的能力被稱為報(bào)文分組過濾。因此，篩選路由器又稱為分組過濾路由器。

3.2 分組過濾技術(shù)

篩選路由器可以采用分組過濾功能以增強(qiáng)網(wǎng)絡(luò)的安全性。篩選功能也可以由許多商業(yè)防火墻產(chǎn)品和一些類似于Karlbridge的基于純軟件的產(chǎn)品來實(shí)現(xiàn)。但是，許多商業(yè)路由器產(chǎn)品都可以被編程以用來執(zhí)行分組過濾功能。許多路由器廠商，象 Cisco、Bay Networks、3COM、DEC、IBM等，他們的路由器產(chǎn)品都可以用來通過編程實(shí)現(xiàn)分組過濾功能。

3.2.1分組過濾

分組過濾可以用來實(shí)現(xiàn)許多種網(wǎng)絡(luò)安全策略。網(wǎng)絡(luò)安全策略必須明確描述被保護(hù)的資源和服務(wù)的類型、重要程度和防范對象。

3.2.2網(wǎng)絡(luò)安全策略

通常，網(wǎng)絡(luò)安全策略主要用于防止外來的入侵，而不是監(jiān)控內(nèi)部用戶。例如，阻止外來者入侵內(nèi)部網(wǎng)絡(luò)，對一些敏感數(shù)據(jù)進(jìn)行存取和破壞網(wǎng)絡(luò)服務(wù)是更為重要的。這種類型的網(wǎng)絡(luò)安全策略決定了篩選路由器將被置于何處，以及如何進(jìn)行編程用來執(zhí)行分組過濾。良好的網(wǎng)絡(luò)安全的實(shí)現(xiàn)同時(shí)也應(yīng)該使內(nèi)部用戶難以妨害網(wǎng)絡(luò)安全，但這通常不是網(wǎng)絡(luò)安全工作的重點(diǎn)。

網(wǎng)絡(luò)安全策略的一個主要目標(biāo)是向用戶提供透明的網(wǎng)絡(luò)服務(wù)機(jī)制。由于分組過濾執(zhí)行在OSI模型的網(wǎng)絡(luò)層和傳輸層，而不是在應(yīng)用層，所以這種途徑通常比防火墻產(chǎn)品提供更強(qiáng)的透明性。我們曾經(jīng)提到防火墻在OSI模型應(yīng)用層上運(yùn)行，在這個層次實(shí)現(xiàn)的安全措施通常都不夠透明。在許多實(shí)際情況下，一般都只采用簡單模型來實(shí)現(xiàn)網(wǎng)絡(luò)安全策略。在這個模型中只有兩個網(wǎng)段與過濾裝置相連，典型的情況是一個網(wǎng)段連向外部網(wǎng)絡(luò)，另一個連向內(nèi)部網(wǎng)絡(luò)。通過分組過濾來限制請求被拒絕服務(wù)的網(wǎng)絡(luò)通信流。由于分組過濾規(guī)則的設(shè)計(jì)原則是有利于內(nèi)部網(wǎng)絡(luò)連向外部網(wǎng)絡(luò)，所以在篩選路由器兩側(cè)所執(zhí)行的過濾規(guī)則是不同的。換句話說，分組過濾器是不對稱的。

3.3 代理服務(wù)和應(yīng)用層網(wǎng)關(guān)

代理服務(wù)使用的的方法與分組過濾器不同，代理(Proxy)使用一個客戶程序(或許經(jīng)過修改)，與特定的中間結(jié)點(diǎn)連接，然后中間結(jié)點(diǎn)與期望的服務(wù)器進(jìn)行實(shí)際連接。與分組過濾器所不同的是，使用這類防火墻時(shí)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間不存在直接連接。因此，即使防火墻發(fā)生了問題，外部網(wǎng)絡(luò)也無法與被保護(hù)的網(wǎng)絡(luò)連接。

代理服務(wù)通常由兩個部分構(gòu)成：代理服務(wù)器程序和客戶程序。 相當(dāng)多的代理服務(wù)器要求使用固定的客戶程序。例如SOCKS要求適應(yīng)SICKS的客戶程序。如果網(wǎng)絡(luò)管理員不能改變所有的代理服務(wù)器和客戶程序，系統(tǒng)就不能正常工作。代理使網(wǎng)絡(luò)管理員有了更大的能力改善網(wǎng)絡(luò)的安全特性。然而，它也給軟件開發(fā)者、網(wǎng)絡(luò)系統(tǒng)員和最終用戶帶來了很大的不便，這就是使用代理的代價(jià)。也有一些標(biāo)準(zhǔn)的客戶程序可以利用代理服務(wù)器通過防火墻運(yùn)行，如mail、FTP 和 telnet等。

應(yīng)用層網(wǎng)關(guān)可以處理存儲轉(zhuǎn)發(fā)通信業(yè)務(wù)，也可以處理交互式通信業(yè)務(wù)。通過適當(dāng)?shù)某绦蛟O(shè)計(jì)，應(yīng)用層網(wǎng)關(guān)可以理解在用戶應(yīng)用層(OSI模型第七層)的通信業(yè)務(wù)。這樣便可以在用戶層或應(yīng)用層提供訪問控制，并且可以用來對各種應(yīng)用程序的使用情況維持一個智能性的日志文件。能夠記錄和控制所有進(jìn)出通信業(yè)務(wù)，是采用應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點(diǎn)。在需要時(shí)，在網(wǎng)關(guān)本身中還可以增加額外的安全措施。

為了使用應(yīng)用層網(wǎng)關(guān)，用戶或者在應(yīng)用層網(wǎng)關(guān)上登錄請求，或者在本地機(jī)器上使用一個為該服務(wù)特別編制的程序代碼。每個針對特定應(yīng)用的網(wǎng)關(guān)模塊都有自己的一套管理工具和命令語言。

3.4 堡壘主機(jī)及其應(yīng)用

堡壘主機(jī)指的是任何對網(wǎng)絡(luò)安全至關(guān)重要的防火墻主機(jī)。堡壘主機(jī)是一個組織機(jī)構(gòu)網(wǎng)絡(luò)安全的中心主機(jī)。因?yàn)楸局鳈C(jī)對網(wǎng)絡(luò)安全至關(guān)重要，對它必須進(jìn)行完善的防御。這就是說，堡壘主機(jī)是由網(wǎng)絡(luò)管理員嚴(yán)密監(jiān)視的。堡壘主機(jī)軟件和系統(tǒng)的安全情況應(yīng)該定期地進(jìn)行審查。對訪問記錄應(yīng)進(jìn)行查看，以發(fā)現(xiàn)潛在的安全漏洞和對堡壘主機(jī)的試探性攻擊。

4 總結(jié)

隨著Internet在我國的迅速發(fā)展，防火墻技術(shù)引起了各方面的廣泛關(guān)注。一個好的防火墻應(yīng)該具有高度安全性、高透明性和高網(wǎng)絡(luò)性能。這對推動Internet在我國的健康發(fā)展有著重要的意義。

[1]郭維來,董軍.防火墻與入侵檢測技術(shù)[J].信息技術(shù)，2003年03期.

[2]李蓉.簡析信息安全[J].情報(bào)雜志，1997年06期.