[摘要]網(wǎng)絡(luò)安全的問題已經(jīng)日益突出,越來越引起世界各國的嚴密關(guān)注。隨著計算機網(wǎng)絡(luò)技術(shù)的突飛猛進,計算機網(wǎng)絡(luò)在人類生活各個領(lǐng)域的廣泛應(yīng)用,不斷出現(xiàn)網(wǎng)絡(luò)被非法入侵,重要資料被竊取,網(wǎng)絡(luò)系統(tǒng)癱瘓等嚴重問題,網(wǎng)絡(luò)、應(yīng)用程序的安全漏洞越來越多;各種病毒泛濫成災。因此,必須要加強安全意識,并及早防范。目前最常用的網(wǎng)絡(luò)安防范工具是防火墻。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 防火墻 分組過濾技術(shù) 數(shù)據(jù)包過濾 網(wǎng)絡(luò)服務(wù)

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0810049-01

一、防火墻的概念

防火墻的本義原是指古代人們房屋之間修建的那道墻,這道墻可以防止火災發(fā)生的時候蔓延到別的房屋。而這里所說的防火墻當然不是指物理上的防火墻,而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng),是這一類防范措施的總稱。應(yīng)該說,在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型,通過它可以隔離風險區(qū)域(即Internet或有一定風險的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))的連接,同時不會妨礙人們對風險區(qū)域的訪問。防火墻可以監(jiān)控進出網(wǎng)絡(luò)的通信量,從而完成看似不可能的任務(wù);僅讓安全、核準了的信息進入,同時又抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)。隨著安全性問題上的失誤和缺陷越來越普遍,對網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段,也有可能來自配置上的低級錯誤或不合適的口令選擇。

二、防火墻的架構(gòu)與工作方式

防火墻可以使用戶的網(wǎng)絡(luò)劃規(guī)劃更加清晰明了,全面防止跨越權(quán)限的數(shù)據(jù)訪問(因為有些人登錄后的第一件事就是試圖超越權(quán)限限制)。如果沒有防火墻的話,你可能會接到許許多多類似的報告,比如單位內(nèi)部的財政報告剛剛被數(shù)萬個Email郵件炸爛,或者用戶的個人主頁被人惡意連接向了Playboy,而報告鏈接上卻指定了另一家色情網(wǎng)站......一套完整的防火墻系統(tǒng)通常是由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個多端口的IP路由器,它通過對每一個到來的IP包依據(jù)組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息,例如協(xié)議號、收發(fā)報文的IP地址和端口號、連接標志以至另外一些IP選項,對IP包進行過濾。

三、防火墻的體系結(jié)構(gòu)

防火墻的體系結(jié)構(gòu)一般有以下幾部分組成:

(一)屏蔽路由器(ScreeningRouter)。屏蔽路由器可以由廠家專門生產(chǎn)的路由器實現(xiàn),也可以用主機來實現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道,要求所有的報文都必須在此通過檢查。路由器上可以安裝基于IP層的報文過濾軟件,實現(xiàn)報文過濾功能。許多路由器本身帶有報文過濾配置選項,但一般比較簡單。單純由屏蔽路由器構(gòu)成的防火墻的危險包括路由器本身及路由器允許訪問的主機。屏蔽路由器的缺點是一旦被攻隱后很難發(fā)現(xiàn),而且不能識別不同的用戶。

(二)雙穴主機網(wǎng)關(guān)(DualHomedGateway)。雙穴主機網(wǎng)關(guān)是用一臺裝有兩塊網(wǎng)卡的堡壘主機的做防火墻。兩塊網(wǎng)卡各自與受保護網(wǎng)和外部網(wǎng)相連。堡壘主機上運行著防火墻軟件,可以轉(zhuǎn)發(fā)應(yīng)用程序,提供服務(wù)等。與屏蔽路由器相比,雙穴主機網(wǎng)關(guān)堡壘主機的系統(tǒng)軟件可用于維護護系統(tǒng)日志、硬件拷貝日志或遠程日志。但弱點也比較突出,一旦黑客侵入堡壘主機并使其只具有路由功能,任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)。

(三)被屏蔽主機網(wǎng)關(guān)(ScreenedGatewy)。屏蔽主機網(wǎng)關(guān)易于實現(xiàn)也最為安全。一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上,通常在路由器上設(shè)立過濾規(guī)則,并使這個堡壘主機成為從外部網(wǎng)絡(luò)惟一可直接到達的主機,這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。

(四)被屏蔽子網(wǎng)(ScreenedSubnet)。被屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng),用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。

四、防火墻的模式轉(zhuǎn)變

傳統(tǒng)的防火墻通常都設(shè)置在網(wǎng)絡(luò)的邊界位置,不論是內(nèi)網(wǎng)與外網(wǎng)的邊界,還是內(nèi)網(wǎng)中的不同子網(wǎng)的邊界,以數(shù)據(jù)流進行分隔,形成安全管理區(qū)域。但這種設(shè)計的最大問題是,惡意攻擊的發(fā)起不僅僅來自于外網(wǎng),內(nèi)網(wǎng)環(huán)境同樣存在著很多安全隱患,而對于這種問題,邊界式防火墻處理起來是比較困難的,所以現(xiàn)在越來越多的防火墻產(chǎn)品也開始體現(xiàn)出一種分布式結(jié)構(gòu),以分布式為體系進行設(shè)計的防火墻產(chǎn)品以網(wǎng)絡(luò)節(jié)點為保護對象,可以最大限度地覆蓋需要保護的對象,大大提升安全防護強度,這不僅僅是單純的產(chǎn)品形式的變化,而是象征著防火墻產(chǎn)品防御理念的升華。防火墻的幾種基本類型可以說各有優(yōu)點,所以很多廠商將這些方式結(jié)合起來,以彌補單純一種方式帶來的漏洞和不足,例如比較簡單的方式就是既針對傳輸層面的數(shù)據(jù)包特性進行過濾,同時也針對應(yīng)用層的規(guī)則進行過濾,這種綜合性的過濾設(shè)計可以充分挖掘防火墻核心功能的能力,可以說是在自身基礎(chǔ)之上進行再發(fā)展的最有效途徑之一,目前較為先進的一種過濾方式是帶有狀態(tài)檢測功能的數(shù)據(jù)包過濾,其實這已經(jīng)成為現(xiàn)有防火墻產(chǎn)品的一種主流檢測模式了。

五、防火墻的功能擴展與性能提高

現(xiàn)在的防火墻產(chǎn)品已經(jīng)呈現(xiàn)出一種集成多種功能的設(shè)計趨勢,包括VPN、AAA、PKI、IPSec等附加功能,甚至防病毒、入侵檢測這樣的主流功能,都被集成到防火墻產(chǎn)品中了,很多時候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主,還是以某個功能為主了,即其已經(jīng)逐漸向我們普遍稱之為IPS(入侵防御系統(tǒng))的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能,這樣的設(shè)計會對管理性能帶來不少提升,但同時也對防火墻產(chǎn)品的另外兩個重要因素產(chǎn)生了影響,即性能和自身的安全問題,所以我們的意見是應(yīng)該根據(jù)具體的應(yīng)用環(huán)境來做綜合的權(quán)衡,畢竟這個世界暫時還不存在什么完美的解決方案。

六、防火墻的功能

一般來說,防火墻具有以下幾種功能:

1.允許網(wǎng)絡(luò)管理員定義一個中心點來防止非法用戶進入內(nèi)部網(wǎng)絡(luò)。

2.可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性,并報警。

3.可以作為部署NAT(Network Address Translation,網(wǎng)絡(luò)地址變換)的地點,利用NAT技術(shù),將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來,用來緩解地址空間短缺的問題。

4.是審計和記錄Internet使用費用的一個最佳地點。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸位置,并能夠依據(jù)本機構(gòu)的核算模式提供部門級的計費。

5.可以連接到一個單獨的網(wǎng)段上,從物理上和內(nèi)部網(wǎng)段隔開,并在此部署WWW服務(wù)器和FTP服務(wù)器,將其作為向外部發(fā)布內(nèi)部信息的地點。從技術(shù)角度來講,就是所謂的停火區(qū)(DMZ)。

參考文獻:

[1]朱雁輝,WINDOWS防火墻與網(wǎng)絡(luò)封包截獲技術(shù)[M].北京:電子工業(yè)出版社,2002.

[2]常紅等,網(wǎng)絡(luò)完全技術(shù)與反黑客[M].長春:冶金工業(yè)出版社,2001.

[3]袁家政,計算機網(wǎng)絡(luò)安全與應(yīng)用技術(shù)[M].北京:清華大學出版社,2002.

作者簡介:

陶國喜(1973-),男,湖北麻城人,黃岡職業(yè)技術(shù)學院計算機系教師,高校講師,主要從事計算機程序設(shè)計專業(yè)課教學與科研工作。