防火墻技術(shù)在傳感器網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用*

王曉聰，張 冉，黃赪東

(63892 部隊，河南 洛陽 471003)

0 引言

在現(xiàn)代社會中，從軍事探測應(yīng)用、交通管控監(jiān)測到家居建筑檢測，獲取各種信息的雷達(dá)傳感器已經(jīng)逐漸融入到人們生活中的各個角落，并且向著網(wǎng)絡(luò)化的方向發(fā)展。這也導(dǎo)致雷達(dá)信息處理系統(tǒng)產(chǎn)生了一些網(wǎng)絡(luò)安全問題。如何更好地保護(hù)雷達(dá)探測網(wǎng)絡(luò)已成為人們關(guān)注的焦點(diǎn)。

防火墻作為維護(hù)網(wǎng)絡(luò)安全的重要設(shè)備，在雷達(dá)傳感器網(wǎng)絡(luò)安全保護(hù)體系中已逐漸發(fā)展成為一個不可或缺的重要環(huán)節(jié)。

1 傳感器網(wǎng)絡(luò)

1.1 傳感器網(wǎng)絡(luò)的定義

傳感器網(wǎng)絡(luò)指的是由部署于監(jiān)測區(qū)域內(nèi)部或附近的多個具有感知和信息獲取能力的各種傳感器所形成的電子信息網(wǎng)絡(luò)，綜合了傳感器技術(shù)、計算機(jī)技術(shù)、通信技術(shù)、網(wǎng)絡(luò)技術(shù)等多項現(xiàn)代信息技術(shù)，如圖1所示。

圖1 傳感器(雷達(dá)）網(wǎng)絡(luò)

目前，傳感器網(wǎng)絡(luò)中所使用的網(wǎng)絡(luò)化傳感器有兩種:有線網(wǎng)絡(luò)傳感器(采用IEEE1451.2 標(biāo)準(zhǔn)）和無線網(wǎng)絡(luò)傳感器(采用IEEE1451.2 標(biāo)準(zhǔn)和藍(lán)牙協(xié)議）［1］。圖2所示為無線網(wǎng)絡(luò)傳感器的基本組成模塊。

圖2 無線網(wǎng)絡(luò)傳感器結(jié)構(gòu)

1.2 無線傳感器網(wǎng)絡(luò)

無線傳感器網(wǎng)絡(luò)(Wireless Sensor Network，簡稱WSN）是當(dāng)前廣泛應(yīng)用于軍事、環(huán)境、農(nóng)業(yè)、醫(yī)療等各領(lǐng)域的一種新興前沿傳感器網(wǎng)絡(luò)。如圖3所示，WSN分為傳感器(群）、基站和管控節(jié)點(diǎn)3個部分。它將大量的無線網(wǎng)絡(luò)傳感器以自組織的方式構(gòu)建成一個無線網(wǎng)絡(luò)對目標(biāo)對象進(jìn)行監(jiān)測，采用多跳技術(shù)傳輸傳感器(群）所監(jiān)測到的數(shù)據(jù)信息至基站?；纠镁W(wǎng)關(guān)接入Internet 或衛(wèi)星網(wǎng)絡(luò)，將數(shù)據(jù)轉(zhuǎn)發(fā)給數(shù)據(jù)處理中心(管控節(jié)點(diǎn)）。數(shù)據(jù)處理中心對傳感信息進(jìn)行分類、處理。應(yīng)用用戶可以通過訪問數(shù)據(jù)處理中心進(jìn)行發(fā)布監(jiān)測任務(wù)、配置和管理傳感器網(wǎng)絡(luò)和獲取監(jiān)測結(jié)果等操作。

圖3 WSN

1.3 分布式網(wǎng)絡(luò)化雷達(dá)探測系統(tǒng)

基于無線傳感器網(wǎng)絡(luò)技術(shù)構(gòu)建的分布式網(wǎng)絡(luò)化雷達(dá)探測系統(tǒng)，相比于傳統(tǒng)雷達(dá)，具有抗干擾、反隱身、抗摧毀的綜合優(yōu)勢，在要地防空、低空高威脅目標(biāo)預(yù)警探測、隱蔽監(jiān)視等領(lǐng)域具有重要的應(yīng)用前景。但是，分布式網(wǎng)絡(luò)化雷達(dá)探測系統(tǒng)的物理形態(tài)決定了它必須依賴于通信和計算機(jī)網(wǎng)絡(luò)傳送和處理由分布在各處的傳感器獲取的探測信息，因此也使其面臨著網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)信息竊取的新威脅。如何應(yīng)用防火墻技術(shù)，有效地保護(hù)分布式雷達(dá)探測系統(tǒng)網(wǎng)絡(luò)安全，是新型雷達(dá)系統(tǒng)技術(shù)發(fā)展中必須解決的重要問題。

2 防火墻

2.1 防火墻的定義

防火墻指的是一個由軟件和硬件設(shè)備組合而成、在進(jìn)行數(shù)據(jù)交互的不同網(wǎng)絡(luò)(如內(nèi)網(wǎng)和外網(wǎng)、專用網(wǎng)和公共網(wǎng)等）之間構(gòu)造的保護(hù)屏障［2］。如圖4所示，在傳感器網(wǎng)絡(luò)中，防火墻主要是部署于數(shù)據(jù)處理節(jié)點(diǎn)。

圖4 防火墻的部署

2.2 防火墻的分類

防火墻從技術(shù)發(fā)展歷程上主要分為傳統(tǒng)防火墻、統(tǒng)一威脅管理和下一代防火墻。

2.2.1 傳統(tǒng)防火墻

傳統(tǒng)防火墻從技術(shù)上主要分為包過濾防火墻、應(yīng)用級防火墻和狀態(tài)監(jiān)測防火墻。

(1）包過濾防火墻

包過濾防火墻主要是依據(jù)事先設(shè)置好特定的過濾規(guī)則，審查每一個要通過的數(shù)據(jù)包包含的源地址、目的地址、端口號等參數(shù)，如果符合相應(yīng)規(guī)則要求，則包過濾防火墻會轉(zhuǎn)發(fā)該數(shù)據(jù)包;反之，則禁止該數(shù)據(jù)包的傳輸。

(2）應(yīng)用級防火墻

如圖5所示，應(yīng)用級防火墻(也稱代理服務(wù)器型防火墻）主要是利用代理服務(wù)器中轉(zhuǎn)和控制內(nèi)外網(wǎng)之間的通信連接，實現(xiàn)防火墻作用。

圖5 應(yīng)用級防火墻

(3）狀態(tài)檢測防火墻

狀態(tài)檢測防火墻與包過濾防火墻類似，主要是基于會話信息作出決策并動態(tài)開啟/關(guān)閉端口。具體來說，在建立一個會話時，開啟相應(yīng)端口，并在狀態(tài)表(session table）中保存此次建立的會話的相關(guān)信息(包括數(shù)據(jù)包的源地址、目的地址、端口號等）。此后依據(jù)狀態(tài)表保存的信息，檢查每一個要通過的數(shù)據(jù)包的內(nèi)容是否符合先前允許的會話，如果符合，則狀態(tài)檢測防火墻會轉(zhuǎn)發(fā)該數(shù)據(jù)包;反之，則禁止該數(shù)據(jù)包的傳輸。在所有數(shù)據(jù)傳輸完畢后，狀態(tài)檢測防火墻會刪除狀態(tài)表，關(guān)閉先前開啟的端口。

2.2.2 統(tǒng)一威脅管理

如圖6所示，統(tǒng)一威脅管理(Unified Threat Management，簡稱UTM），是在傳統(tǒng)防火墻的基礎(chǔ)上，由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的集成了防病毒、入侵檢測和防火墻等多項安全特性的設(shè)備。它的硬件平臺一般采用x86 架構(gòu)、ASIC 架構(gòu)、多核架構(gòu)和混合架構(gòu)，而軟件平臺一般是多種定制的操作系統(tǒng)的聯(lián)合體［3］。

圖6 UTM

2.2.3 下一代防火墻

下一代防火墻(Next Generation Firewall，簡稱NGFW）的概念源于市場分析咨詢機(jī)構(gòu)Gartner 于2009年發(fā)布的一份名為《Defining the Next-Generation Firewall》的文章，它是一個線速(wire-speed）網(wǎng)絡(luò)安全處理平臺［4］，具有4個基本特性:

(1）Inheritance(繼承性）

NGFW 是在傳統(tǒng)防火墻的基礎(chǔ)上演變而來的，它繼承了傳統(tǒng)防火墻所能提供的全部功能。

(2）Seamless integration(無縫集成化）

NGFW 對入侵防御系統(tǒng)(IPS）進(jìn)行了無縫集成。具體來說，它不但在硬件內(nèi)集成了IPS 功能，而且其內(nèi)置的防火墻與IPS 之間的聯(lián)動也是由NGFW 本身自動完成，并不需要管理員的介入。

(3）Intelligent(智能化）

NGFW 具有一定的智能化行為。具體來說，它能夠根據(jù)收集到的防火墻外的各類信息進(jìn)行分析，對要作出的決策或設(shè)定的規(guī)則進(jìn)行修正。同時，NGFW的各安全功能模塊之間處于緊密耦合的狀態(tài)，能夠相互根據(jù)各自提供的信息自動聯(lián)動。

(4）Application of controllable(應(yīng)用可控化）

與傳統(tǒng)防火墻和UTM 不同，NGFW 是基于DPI/DFI技術(shù)深入到應(yīng)用層報文進(jìn)行檢測，并根據(jù)應(yīng)用簽名、行為特征識別區(qū)分各種應(yīng)用或威脅，使得網(wǎng)絡(luò)管理員可以通過視圖化的軟件管理界面觀察到各應(yīng)用或威脅的具體情況，并對應(yīng)用或威脅進(jìn)行訪問控制。

在此4個基本特性基礎(chǔ)上，由于各個廠家的關(guān)注點(diǎn)的不同，NGFW 產(chǎn)品同時也具備了一些其他特性和功能。

例如，SonicWALL 在其旗下的NGFW 產(chǎn)品中集成了廣域網(wǎng)加速功能和3G/Wi-Fi 無線接入能力;Check Point 在其旗下的NGFW 產(chǎn)品中集成了獨(dú)有的應(yīng)用程序庫AppWiki;梭子魚在其旗下的NGFW 產(chǎn)品中提供了虛擬環(huán)境部署方案;深信服科技在其旗下的NGFW產(chǎn)品中集成了WAF 產(chǎn)品的主要功能。

概括來說，NGFW的特性和安全功能分別如圖7和圖8所示。

圖7 NGFW的特性

圖8 NGFW的安全功能

3 防火墻在分布式雷達(dá)系統(tǒng)網(wǎng)絡(luò)中的應(yīng)用

防火墻在分布式雷達(dá)系統(tǒng)網(wǎng)絡(luò)安全保護(hù)體系中主要負(fù)責(zé)信息處理節(jié)點(diǎn)的網(wǎng)絡(luò)安全。以基于無線傳感器網(wǎng)絡(luò)構(gòu)建的分布式雷達(dá)系統(tǒng)為例(如圖9所示），防火墻將數(shù)據(jù)處理中心劃分為兩個區(qū)域:內(nèi)網(wǎng)和非軍事區(qū)(DMZ）。內(nèi)網(wǎng)是指信息處理中心內(nèi)部受保護(hù)網(wǎng)絡(luò)，禁止外網(wǎng)用戶訪問;非軍事區(qū)是指信息處理中心內(nèi)部專門提供給遠(yuǎn)程用戶通過外網(wǎng)訪問的計算機(jī)(群）。

圖9 防火墻拓?fù)浣Y(jié)構(gòu)

防火墻在分布式雷達(dá)系統(tǒng)網(wǎng)絡(luò)中主要應(yīng)用在以下幾個方面:(1）身份審查和識別，(2）虛擬專用網(wǎng)(VPN功能）和權(quán)限管控，(3）防御黑客攻擊，(4）集成網(wǎng)路行為分析和流量管理功能，(5）傳感器信息數(shù)據(jù)加密傳輸。

3.1 身份審查和識別

在分布式雷達(dá)系統(tǒng)傳感器與信息處理中心之間設(shè)置對用戶的身份審查和識別網(wǎng)關(guān)，用戶登錄網(wǎng)絡(luò)時，防火墻會檢查用戶身份。如果用戶身份不符合，防火墻將拒絕該用戶訪問信息處理中心內(nèi)部網(wǎng)絡(luò)。在用戶通過防火墻認(rèn)證后，防火墻會根據(jù)訪問控制策略允許用戶訪問其權(quán)限所規(guī)定的計算機(jī)并獲取相應(yīng)的信息資源。在傳統(tǒng)防火墻里，訪問控制策略是需要靜態(tài)加載到防火墻上，而NGFW 可以做到將訪問控制策略和用戶動態(tài)綁定。同時，NGFW 防火墻還可以在用戶登錄后，結(jié)合事先設(shè)置好的使用者資料庫，及時地將IP 地址與使用者資訊相關(guān)聯(lián)，以有效識別用戶真實身份。

3.2 虛擬專用網(wǎng)(VPN 功能）和權(quán)限管控

防火墻可以將分布式雷達(dá)系統(tǒng)的傳感器節(jié)點(diǎn)和信息處理中心的所有計算機(jī)按照需要分為不同的組，以組為單位分配權(quán)限，組內(nèi)計算機(jī)可以允許相互訪問，組與組之間如果不具備相應(yīng)權(quán)限則禁止訪問，以此保護(hù)重要的傳感器信息。NGFW 也可以根據(jù)用戶身份的不同，差異化地給每個用戶分配不同的訪問權(quán)限。

3.3 防御黑客攻擊

防火墻一般都具有抗DDoS 攻擊功能，可以抵御一定量的非法數(shù)據(jù)流攻擊，尤其是處理能力相對較高的NGFW，其所擁有的更高的每秒新建會話能力，使得攻擊者對NGFW 進(jìn)行網(wǎng)絡(luò)層入侵時需要付出比對傳統(tǒng)防火墻攻擊超出數(shù)倍的攻擊量才可能對NGFW 產(chǎn)生威脅。UTM和NGFW 都還集成了IPS、防病毒模塊等，可以進(jìn)行入侵防御、病毒和惡意軟件防護(hù)，保護(hù)分布式雷達(dá)系統(tǒng)網(wǎng)絡(luò)的有效運(yùn)行。

3.4 集成網(wǎng)路行為分析和流量管理功能

NGFW 具有網(wǎng)路行為分析能力。例如，Palo Alto公司開發(fā)的NGFW 可以利用ACC分析引擎，檢查網(wǎng)絡(luò)是否存在安全威脅，并將所有用戶的上網(wǎng)流量、連接情況等網(wǎng)路詳細(xì)行為呈現(xiàn)給網(wǎng)絡(luò)管理員。同時，NGFW還提供了管控網(wǎng)絡(luò)流量的功能。NGFW 可以基于應(yīng)用簽名、行為特征識別控制進(jìn)出數(shù)據(jù)處理中心的具體應(yīng)用服務(wù)。在分布式雷達(dá)系統(tǒng)網(wǎng)絡(luò)中集成NGFW，對非數(shù)據(jù)處理中心提供的應(yīng)用服務(wù)或不明流量，通過NGFW 進(jìn)行阻止，以大幅減少惡意應(yīng)用服務(wù)的干擾，防止分布式雷達(dá)探測系統(tǒng)獲取的重要信息外泄或丟失。

3.5 傳感器信息數(shù)據(jù)加密傳輸

為防止各雷達(dá)傳感器發(fā)出或者傳入的重要信息在經(jīng)過專用網(wǎng)、互聯(lián)網(wǎng)或衛(wèi)星網(wǎng)絡(luò)傳輸時被他人竊取或者篡改，防火墻可以對在各類網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)分別進(jìn)行特定級別的加密。

4 結(jié)束語

隨著無線傳感器網(wǎng)絡(luò)技術(shù)的發(fā)展，分布式網(wǎng)絡(luò)化探測和信息處理已成為未來雷達(dá)系統(tǒng)技術(shù)發(fā)展的重要形態(tài)之一，也使人們對雷達(dá)系統(tǒng)信息傳輸和處理網(wǎng)絡(luò)的安全防護(hù)性能提出更高要求。防火墻作為網(wǎng)絡(luò)安全保護(hù)體系中一種傳統(tǒng)的保護(hù)機(jī)制，隨著其技術(shù)的發(fā)展和功能的完善，對雷達(dá)探測系統(tǒng)網(wǎng)絡(luò)的信息安全可以起到有效的保護(hù)作用。本文介紹了傳感器網(wǎng)絡(luò)和防火墻的概念、工作機(jī)理，闡述了防火墻在分布式雷達(dá)探測系統(tǒng)網(wǎng)絡(luò)中的相關(guān)應(yīng)用途徑，對傳感器網(wǎng)絡(luò)信息安全的研究具有一定的參考價值。

［1］趙志誠，劉凱，鄭浩.傳感器技術(shù)和產(chǎn)品發(fā)展的重點(diǎn)［J］.儀表技術(shù)與傳感器，2005(3）:1-2.

［2］林建平.網(wǎng)絡(luò)防火墻技術(shù)現(xiàn)狀與發(fā)展前景探析［J］.山東電力高等專科學(xué)校學(xué)報，2006(4）:52-54.

［3］劉勝華，金志平，劉云龍.UTM(統(tǒng)一威脅管理）技術(shù)綜述［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011(4）:12-13.

［4］宏技.應(yīng)運(yùn)而生:下一代防火墻“給力”［J］.網(wǎng)絡(luò)與信息，2011(2）:51.

［5］李軍.UTM與NGFW的新瓶舊酒［J］.互聯(lián)網(wǎng)周刊，2010(17）:64-65.

［6］邢欣冉，姜民明.下一代防火墻技術(shù)前瞻［J］.信息與電腦，2010(10）:16.

［7］宋穎.防火墻技術(shù)與網(wǎng)絡(luò)安全［J］.中國新技術(shù)新產(chǎn)品，2011(18）:23.

［8］李富偉.淺談傳感器的現(xiàn)狀以及發(fā)展趨勢［J］.可編程控制器與工廠自動化，2007 (1）:28-32.

［9］王純.探析防火墻技術(shù)［J］.無線互聯(lián)科技，2011(6）:19-20.

［10］梁海軍.基于UTM 網(wǎng)絡(luò)綜合防御策略研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010(1）:21-23.

［11］陳冬雨.在發(fā)展中完善下一代防火墻［J］.計算機(jī)安全，2010(12）:81-82.

［12］呂穎軒.構(gòu)筑新一代網(wǎng)絡(luò)安全屏障［J］.電信網(wǎng)技術(shù)，2011(3）:29-30.