網(wǎng)絡(luò)安全是一個(gè)不容忽視的問題,當(dāng)人們?cè)谙硎芫W(wǎng)絡(luò)帶來的方便與快捷的同時(shí),也要時(shí)時(shí)面對(duì)網(wǎng)絡(luò)開放帶來的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險(xiǎn)。為了保障網(wǎng)絡(luò)安全,當(dāng)園區(qū)網(wǎng)與外部網(wǎng)連接時(shí),可以在中間加入一個(gè)或多個(gè)中介系統(tǒng),防止非法入侵者通過網(wǎng)絡(luò)進(jìn)行攻擊,非法訪問,并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制,這些中間系統(tǒng)就是防火墻(Firewall)技術(shù)。它通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況、阻止外部網(wǎng)絡(luò)中非法用戶的攻擊、訪問以及阻擋病毒的入侵,以此來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全運(yùn)行。
Internet防火墻是一個(gè)或一組系統(tǒng),它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性,用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制,防止外部用戶非法使用內(nèi)部網(wǎng)的資源,保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞,防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取,防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問,外界的哪些人可以訪問內(nèi)部的服務(wù),以及哪些外部服務(wù)何時(shí)可以被內(nèi)部人員訪問。
防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問控制設(shè)備,常常安裝在內(nèi)部網(wǎng)和外部網(wǎng)連接的點(diǎn)上。Internet防火墻是由路由器、堡壘主機(jī)、或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源。安全策略應(yīng)告訴用戶應(yīng)有對(duì)的責(zé)任,公司規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施,以及雇員培訓(xùn)等。所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設(shè)。
防火墻系統(tǒng)可以是路由器,也可以是個(gè)人主機(jī)、主系統(tǒng)和一批主系統(tǒng),用于把網(wǎng)絡(luò)或子網(wǎng)同那些可能被子網(wǎng)外的主系統(tǒng)濫用的協(xié)議和服務(wù)隔絕。防火墻系統(tǒng)通常位于等級(jí)較高的網(wǎng)關(guān)或網(wǎng)點(diǎn)與Internet的連接處,但是防火墻系統(tǒng)也可以位于等級(jí)較低的網(wǎng)關(guān),以便為某些數(shù)量較少的主系統(tǒng)或子網(wǎng)提供保護(hù)。
防火墻的局限性:
1)不能防范惡意的知情者;
2)不能防范不通過它的連接;
3)不能防范全部的威脅;
4)不能防范病毒。
由此可見,要想建立一個(gè)真正行之有效的安全的計(jì)算機(jī)網(wǎng)絡(luò),僅使用防火墻還是不夠,在實(shí)際的應(yīng)用中,防火墻常與其它安全措施,比如加密技術(shù)、防病毒技術(shù)等綜合應(yīng)用。
包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè)置好的過濾規(guī)則,通過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會(huì)被防火墻過濾掉,由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通常可以過濾基于某些或所有下列信息組的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術(shù)實(shí)際上是一種基于路由器的技術(shù),其最大優(yōu)點(diǎn)就是價(jià)格便宜,實(shí)現(xiàn)邏輯簡單便于安裝和使用。
缺點(diǎn):
1)過濾規(guī)則難以配置和測試;
2)包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息,訪問信息有限,對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力;
3)對(duì)一些協(xié)議,如UDP和RPC難以有效的過濾。
代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個(gè)網(wǎng)絡(luò)之間設(shè)置一個(gè)“中間檢查站”,兩邊的網(wǎng)絡(luò)應(yīng)用可以通過這個(gè)檢查站相互通信,但是它們之間不能越過它直接通信。這個(gè)“中間檢查站”就是代理服務(wù)器,它運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間,對(duì)網(wǎng)絡(luò)之間的每一個(gè)請(qǐng)求進(jìn)行檢查。當(dāng)代理服務(wù)器接收到用戶請(qǐng)求后,會(huì)檢查用戶請(qǐng)求合法性。若合法,則把請(qǐng)求轉(zhuǎn)發(fā)到真實(shí)的服務(wù)器上,并將答復(fù)再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器是針對(duì)某種應(yīng)用服務(wù)而寫的,工作在應(yīng)用層。
優(yōu)點(diǎn):它將內(nèi)部用戶和外界隔離開來,使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。與包過濾技術(shù)相比,代理技術(shù)是一種更安全的技術(shù)。
缺點(diǎn):在應(yīng)用支持方面存在不足,執(zhí)行速度較慢。
這是第三代防火墻技術(shù),集成了前兩者的優(yōu)點(diǎn)。能對(duì)網(wǎng)絡(luò)通信的各層實(shí)行檢測。同包過濾技術(shù)一樣,它能夠檢測通過IP地址、端口號(hào)以及TCP標(biāo)記,過濾進(jìn)出的數(shù)據(jù)包。它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接,不依靠與應(yīng)用層有關(guān)的代理,而是依靠某種算法來識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù),這些算法通過己知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包,這樣從理論上就能比應(yīng)用級(jí)代理在過濾數(shù)據(jù)包上更有效。
圖1 包過濾防火墻
圖2 雙宿主主機(jī)防火墻
圖3 屏蔽主機(jī)網(wǎng)關(guān)防火墻
圖4 屏蔽子網(wǎng)防火墻
狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序,可方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。此外,它還可監(jiān)測RPC和UDP端口信息,而包過濾和代理都不支持此類端口。這樣,通過對(duì)各層進(jìn)行監(jiān)測,狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。目前,多使用狀態(tài)監(jiān)測防火墻,它對(duì)用戶透明,在OSI最高層上加密數(shù)據(jù),而無需修改客戶端程序,也無需對(duì)每個(gè)需在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)代理。
包過濾防火墻也稱作過濾過濾路由器,它是最基本、最簡單的一種防火墻,可以在一般的路由器上實(shí)現(xiàn),也可以在基于主機(jī)的路由器上實(shí)現(xiàn)。配置圖如圖1所示。
內(nèi)部網(wǎng)絡(luò)的所有出入都必須通過過濾路由器,路由器審查每個(gè)數(shù)據(jù)包,根據(jù)過濾規(guī)則決定允許或拒絕數(shù)據(jù)包。
優(yōu)點(diǎn):
1)易實(shí)現(xiàn);
2)不要求運(yùn)行的應(yīng)用程序做任何改動(dòng)或安裝特定的軟件,也無需對(duì)用戶進(jìn)行特定的培訓(xùn)。
缺點(diǎn):
1)依賴一個(gè)單一的設(shè)備來保護(hù)系統(tǒng),一旦該設(shè)備(過濾路由器)發(fā)生故障,則網(wǎng)絡(luò)門戶開放;
2)很少或沒有日志記錄能力,當(dāng)網(wǎng)絡(luò)被入侵時(shí),無法保留攻擊者的蹤跡。包防火墻適于小型簡單的網(wǎng)絡(luò)。
這種防火墻系統(tǒng)由一種特殊的主機(jī)來實(shí)現(xiàn)。這臺(tái)主機(jī)擁有兩個(gè)不同的網(wǎng)絡(luò)接口,一端接外部網(wǎng)絡(luò),一端接需要保護(hù)的內(nèi)部網(wǎng)絡(luò),并運(yùn)行代理服務(wù)器,故被稱為雙宿主主機(jī)防火墻。它不使用包過濾規(guī)則,而是在外部網(wǎng)絡(luò)和被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間設(shè)置一個(gè)網(wǎng)關(guān),隔斷IP層之間的直接傳輸。兩個(gè)網(wǎng)絡(luò)中的主機(jī)不能直接通信,兩個(gè)網(wǎng)絡(luò)之間的通信通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來實(shí)現(xiàn)。如圖2所示。
優(yōu)點(diǎn):
1)網(wǎng)關(guān)將被保護(hù)的網(wǎng)絡(luò)與外界完全隔離開;
2)提供日志,有助于發(fā)現(xiàn)入侵;
3)內(nèi)部網(wǎng)絡(luò)的名字和IP地址對(duì)外界來說是不可見的。
缺點(diǎn):代理服務(wù),代理服務(wù)器必須為每種應(yīng)用專門設(shè)計(jì),所有的服務(wù)依賴于網(wǎng)關(guān)提供的在某些要求靈活的場合不太適用。
它由一臺(tái)過濾路由器和一臺(tái)堡壘主機(jī)組成。在這種配置下,堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上,過濾路由器則放置在內(nèi)部網(wǎng)路和外部網(wǎng)絡(luò)之間。外部網(wǎng)絡(luò)的主機(jī)只能訪問該堡壘主機(jī),而不能直接訪問內(nèi)部網(wǎng)絡(luò)的其它主機(jī)。內(nèi)部網(wǎng)絡(luò)在向外通信時(shí),必須先到堡壘主機(jī),由該堡壘主機(jī)決定是否允許訪問外部網(wǎng)絡(luò)。這樣堡壘主機(jī)成為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的唯一通道。如圖3所示。
優(yōu)點(diǎn):
1)配置更為靈活,它可以通過配置過濾路由器將某些通信直接傳到內(nèi)部網(wǎng)絡(luò)的其它站點(diǎn)而不是堡壘主機(jī);
2)包過濾路由器的規(guī)則較簡單。
缺點(diǎn):一旦堡壘主機(jī)被攻破,內(nèi)部網(wǎng)絡(luò)將完全暴露。
屏蔽子網(wǎng)防火墻在屏蔽主機(jī)網(wǎng)關(guān)防火墻的配置上加上另一個(gè)包過濾路由器,如圖4所示。
在屏蔽主機(jī)網(wǎng)關(guān)防火墻中,堡壘主機(jī)最易受到攻擊。而且內(nèi)部網(wǎng)對(duì)堡壘主機(jī)是完全公開的,入侵者只要破壞了這一層的保護(hù),那么入侵也就成功了。屏蔽子網(wǎng)防火墻被憑就是在被屏蔽主機(jī)結(jié)構(gòu)中再增加一臺(tái)路由器的安全機(jī)制,這臺(tái)路由器的意義就在于它能夠在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)筑出一個(gè)安全子網(wǎng),從而使得內(nèi)部網(wǎng)與外部網(wǎng)之間有兩層隔斷。用子網(wǎng)來隔離堡壘主機(jī)與內(nèi)部網(wǎng),就能減輕入侵者沖開堡壘主機(jī)后而給內(nèi)部網(wǎng)帶來的沖擊力。
優(yōu)點(diǎn):提供多層保護(hù),一個(gè)入侵者必須通過兩個(gè)路由器和一個(gè)應(yīng)用網(wǎng)關(guān),是目前最為安全的防火墻系統(tǒng)。
缺點(diǎn):
1)價(jià)格較貴;
2)整個(gè)系統(tǒng)的配置較為困難。
該防火墻適合大、中型企業(yè),以及對(duì)安全性要求高的單位。
[1]陳莉.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].中國科技信息,2005(23):25.
[2]張景田.計(jì)算機(jī)網(wǎng)絡(luò)安全技淺析[J].統(tǒng)計(jì)與查詢,2005(4):31.
[3]史忠植.高級(jí)計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社,2002.
[4]張漢文.計(jì)算機(jī)網(wǎng)絡(luò)安全與防范問題初探[J].信息安全與通信保密,2005(10):40.
[5]Eric Maiwald,Wi1liEducation,Security Planning&Disaster Recovery,2003,Posts&Telecommunications Press.
[6]John Viega,Gary McGraw,構(gòu)建安全的軟件[M].鐘向群,王鵬譯清華大學(xué)出版社,2003,04.