王曉聰，張 冉，黃赪東

(63892 部隊，河南 洛陽 471003)

0 引言

在現(xiàn)代社會中，從軍事探測應用、交通管控監(jiān)測到家居建筑檢測，獲取各種信息的雷達傳感器已經逐漸融入到人們生活中的各個角落，并且向著網絡化的方向發(fā)展。這也導致雷達信息處理系統(tǒng)產生了一些網絡安全問題。如何更好地保護雷達探測網絡已成為人們關注的焦點。

防火墻作為維護網絡安全的重要設備，在雷達傳感器網絡安全保護體系中已逐漸發(fā)展成為一個不可或缺的重要環(huán)節(jié)。

1 傳感器網絡

1.1 傳感器網絡的定義

傳感器網絡指的是由部署于監(jiān)測區(qū)域內部或附近的多個具有感知和信息獲取能力的各種傳感器所形成的電子信息網絡，綜合了傳感器技術、計算機技術、通信技術、網絡技術等多項現(xiàn)代信息技術，如圖1所示。

圖1 傳感器(雷達）網絡

目前，傳感器網絡中所使用的網絡化傳感器有兩種:有線網絡傳感器(采用IEEE1451.2 標準）和無線網絡傳感器(采用IEEE1451.2 標準和藍牙協(xié)議）［1］。圖2所示為無線網絡傳感器的基本組成模塊。

圖2 無線網絡傳感器結構

1.2 無線傳感器網絡

無線傳感器網絡(Wireless Sensor Network，簡稱WSN）是當前廣泛應用于軍事、環(huán)境、農業(yè)、醫(yī)療等各領域的一種新興前沿傳感器網絡。如圖3所示，WSN分為傳感器(群）、基站和管控節(jié)點3個部分。它將大量的無線網絡傳感器以自組織的方式構建成一個無線網絡對目標對象進行監(jiān)測，采用多跳技術傳輸傳感器(群）所監(jiān)測到的數(shù)據(jù)信息至基站。基站利用網關接入Internet 或衛(wèi)星網絡，將數(shù)據(jù)轉發(fā)給數(shù)據(jù)處理中心(管控節(jié)點）。數(shù)據(jù)處理中心對傳感信息進行分類、處理。應用用戶可以通過訪問數(shù)據(jù)處理中心進行發(fā)布監(jiān)測任務、配置和管理傳感器網絡和獲取監(jiān)測結果等操作。

圖3 WSN

1.3 分布式網絡化雷達探測系統(tǒng)

基于無線傳感器網絡技術構建的分布式網絡化雷達探測系統(tǒng)，相比于傳統(tǒng)雷達，具有抗干擾、反隱身、抗摧毀的綜合優(yōu)勢，在要地防空、低空高威脅目標預警探測、隱蔽監(jiān)視等領域具有重要的應用前景。但是，分布式網絡化雷達探測系統(tǒng)的物理形態(tài)決定了它必須依賴于通信和計算機網絡傳送和處理由分布在各處的傳感器獲取的探測信息，因此也使其面臨著網絡攻擊和網絡信息竊取的新威脅。如何應用防火墻技術，有效地保護分布式雷達探測系統(tǒng)網絡安全，是新型雷達系統(tǒng)技術發(fā)展中必須解決的重要問題。

2 防火墻

2.1 防火墻的定義

防火墻指的是一個由軟件和硬件設備組合而成、在進行數(shù)據(jù)交互的不同網絡(如內網和外網、專用網和公共網等）之間構造的保護屏障［2］。如圖4所示，在傳感器網絡中，防火墻主要是部署于數(shù)據(jù)處理節(jié)點。

圖4 防火墻的部署

2.2 防火墻的分類

防火墻從技術發(fā)展歷程上主要分為傳統(tǒng)防火墻、統(tǒng)一威脅管理和下一代防火墻。

2.2.1 傳統(tǒng)防火墻

傳統(tǒng)防火墻從技術上主要分為包過濾防火墻、應用級防火墻和狀態(tài)監(jiān)測防火墻。

(1）包過濾防火墻

包過濾防火墻主要是依據(jù)事先設置好特定的過濾規(guī)則，審查每一個要通過的數(shù)據(jù)包包含的源地址、目的地址、端口號等參數(shù)，如果符合相應規(guī)則要求，則包過濾防火墻會轉發(fā)該數(shù)據(jù)包;反之，則禁止該數(shù)據(jù)包的傳輸。

(2）應用級防火墻

如圖5所示，應用級防火墻(也稱代理服務器型防火墻）主要是利用代理服務器中轉和控制內外網之間的通信連接，實現(xiàn)防火墻作用。

圖5 應用級防火墻

(3）狀態(tài)檢測防火墻

狀態(tài)檢測防火墻與包過濾防火墻類似，主要是基于會話信息作出決策并動態(tài)開啟/關閉端口。具體來說，在建立一個會話時，開啟相應端口，并在狀態(tài)表(session table）中保存此次建立的會話的相關信息(包括數(shù)據(jù)包的源地址、目的地址、端口號等）。此后依據(jù)狀態(tài)表保存的信息，檢查每一個要通過的數(shù)據(jù)包的內容是否符合先前允許的會話，如果符合，則狀態(tài)檢測防火墻會轉發(fā)該數(shù)據(jù)包;反之，則禁止該數(shù)據(jù)包的傳輸。在所有數(shù)據(jù)傳輸完畢后，狀態(tài)檢測防火墻會刪除狀態(tài)表，關閉先前開啟的端口。

2.2.2 統(tǒng)一威脅管理

如圖6所示，統(tǒng)一威脅管理(Unified Threat Management，簡稱UTM），是在傳統(tǒng)防火墻的基礎上，由硬件、軟件和網絡技術組成的集成了防病毒、入侵檢測和防火墻等多項安全特性的設備。它的硬件平臺一般采用x86 架構、ASIC 架構、多核架構和混合架構，而軟件平臺一般是多種定制的操作系統(tǒng)的聯(lián)合體［3］。

圖6 UTM

2.2.3 下一代防火墻

下一代防火墻(Next Generation Firewall，簡稱NGFW）的概念源于市場分析咨詢機構Gartner 于2009年發(fā)布的一份名為《Defining the Next-Generation Firewall》的文章，它是一個線速(wire-speed）網絡安全處理平臺［4］，具有4個基本特性:

(1）Inheritance(繼承性）

NGFW 是在傳統(tǒng)防火墻的基礎上演變而來的，它繼承了傳統(tǒng)防火墻所能提供的全部功能。

(2）Seamless integration(無縫集成化）

NGFW 對入侵防御系統(tǒng)(IPS）進行了無縫集成。具體來說，它不但在硬件內集成了IPS 功能，而且其內置的防火墻與IPS 之間的聯(lián)動也是由NGFW 本身自動完成，并不需要管理員的介入。

(3）Intelligent(智能化）

NGFW 具有一定的智能化行為。具體來說，它能夠根據(jù)收集到的防火墻外的各類信息進行分析，對要作出的決策或設定的規(guī)則進行修正。同時，NGFW的各安全功能模塊之間處于緊密耦合的狀態(tài)，能夠相互根據(jù)各自提供的信息自動聯(lián)動。

(4）Application of controllable(應用可控化）

與傳統(tǒng)防火墻和UTM 不同，NGFW 是基于DPI/DFI技術深入到應用層報文進行檢測，并根據(jù)應用簽名、行為特征識別區(qū)分各種應用或威脅，使得網絡管理員可以通過視圖化的軟件管理界面觀察到各應用或威脅的具體情況，并對應用或威脅進行訪問控制。

在此4個基本特性基礎上，由于各個廠家的關注點的不同，NGFW 產品同時也具備了一些其他特性和功能。

例如，SonicWALL 在其旗下的NGFW 產品中集成了廣域網加速功能和3G/Wi-Fi 無線接入能力;Check Point 在其旗下的NGFW 產品中集成了獨有的應用程序庫AppWiki;梭子魚在其旗下的NGFW 產品中提供了虛擬環(huán)境部署方案;深信服科技在其旗下的NGFW產品中集成了WAF 產品的主要功能。

概括來說，NGFW的特性和安全功能分別如圖7和圖8所示。

圖7 NGFW的特性

圖8 NGFW的安全功能

3 防火墻在分布式雷達系統(tǒng)網絡中的應用

防火墻在分布式雷達系統(tǒng)網絡安全保護體系中主要負責信息處理節(jié)點的網絡安全。以基于無線傳感器網絡構建的分布式雷達系統(tǒng)為例(如圖9所示），防火墻將數(shù)據(jù)處理中心劃分為兩個區(qū)域:內網和非軍事區(qū)(DMZ）。內網是指信息處理中心內部受保護網絡，禁止外網用戶訪問;非軍事區(qū)是指信息處理中心內部專門提供給遠程用戶通過外網訪問的計算機(群）。

圖9 防火墻拓撲結構

防火墻在分布式雷達系統(tǒng)網絡中主要應用在以下幾個方面:(1）身份審查和識別，(2）虛擬專用網(VPN功能）和權限管控，(3）防御黑客攻擊，(4）集成網路行為分析和流量管理功能，(5）傳感器信息數(shù)據(jù)加密傳輸。

3.1 身份審查和識別

在分布式雷達系統(tǒng)傳感器與信息處理中心之間設置對用戶的身份審查和識別網關，用戶登錄網絡時，防火墻會檢查用戶身份。如果用戶身份不符合，防火墻將拒絕該用戶訪問信息處理中心內部網絡。在用戶通過防火墻認證后，防火墻會根據(jù)訪問控制策略允許用戶訪問其權限所規(guī)定的計算機并獲取相應的信息資源。在傳統(tǒng)防火墻里，訪問控制策略是需要靜態(tài)加載到防火墻上，而NGFW 可以做到將訪問控制策略和用戶動態(tài)綁定。同時，NGFW 防火墻還可以在用戶登錄后，結合事先設置好的使用者資料庫，及時地將IP 地址與使用者資訊相關聯(lián)，以有效識別用戶真實身份。

3.2 虛擬專用網(VPN 功能）和權限管控

防火墻可以將分布式雷達系統(tǒng)的傳感器節(jié)點和信息處理中心的所有計算機按照需要分為不同的組，以組為單位分配權限，組內計算機可以允許相互訪問，組與組之間如果不具備相應權限則禁止訪問，以此保護重要的傳感器信息。NGFW 也可以根據(jù)用戶身份的不同，差異化地給每個用戶分配不同的訪問權限。

3.3 防御黑客攻擊

防火墻一般都具有抗DDoS 攻擊功能，可以抵御一定量的非法數(shù)據(jù)流攻擊，尤其是處理能力相對較高的NGFW，其所擁有的更高的每秒新建會話能力，使得攻擊者對NGFW 進行網絡層入侵時需要付出比對傳統(tǒng)防火墻攻擊超出數(shù)倍的攻擊量才可能對NGFW 產生威脅。UTM和NGFW 都還集成了IPS、防病毒模塊等，可以進行入侵防御、病毒和惡意軟件防護，保護分布式雷達系統(tǒng)網絡的有效運行。

3.4 集成網路行為分析和流量管理功能

NGFW 具有網路行為分析能力。例如，Palo Alto公司開發(fā)的NGFW 可以利用ACC分析引擎，檢查網絡是否存在安全威脅，并將所有用戶的上網流量、連接情況等網路詳細行為呈現(xiàn)給網絡管理員。同時，NGFW還提供了管控網絡流量的功能。NGFW 可以基于應用簽名、行為特征識別控制進出數(shù)據(jù)處理中心的具體應用服務。在分布式雷達系統(tǒng)網絡中集成NGFW，對非數(shù)據(jù)處理中心提供的應用服務或不明流量，通過NGFW 進行阻止，以大幅減少惡意應用服務的干擾，防止分布式雷達探測系統(tǒng)獲取的重要信息外泄或丟失。

3.5 傳感器信息數(shù)據(jù)加密傳輸

為防止各雷達傳感器發(fā)出或者傳入的重要信息在經過專用網、互聯(lián)網或衛(wèi)星網絡傳輸時被他人竊取或者篡改，防火墻可以對在各類網絡之間傳輸?shù)臄?shù)據(jù)分別進行特定級別的加密。

4 結束語

隨著無線傳感器網絡技術的發(fā)展，分布式網絡化探測和信息處理已成為未來雷達系統(tǒng)技術發(fā)展的重要形態(tài)之一，也使人們對雷達系統(tǒng)信息傳輸和處理網絡的安全防護性能提出更高要求。防火墻作為網絡安全保護體系中一種傳統(tǒng)的保護機制，隨著其技術的發(fā)展和功能的完善，對雷達探測系統(tǒng)網絡的信息安全可以起到有效的保護作用。本文介紹了傳感器網絡和防火墻的概念、工作機理，闡述了防火墻在分布式雷達探測系統(tǒng)網絡中的相關應用途徑，對傳感器網絡信息安全的研究具有一定的參考價值。

［1］趙志誠，劉凱，鄭浩.傳感器技術和產品發(fā)展的重點［J］.儀表技術與傳感器，2005(3）:1-2.

［2］林建平.網絡防火墻技術現(xiàn)狀與發(fā)展前景探析［J］.山東電力高等?？茖W校學報，2006(4）:52-54.

［3］劉勝華，金志平，劉云龍.UTM(統(tǒng)一威脅管理）技術綜述［J］.網絡安全技術與應用，2011(4）:12-13.

［4］宏技.應運而生:下一代防火墻“給力”［J］.網絡與信息，2011(2）:51.

［5］李軍.UTM與NGFW的新瓶舊酒［J］.互聯(lián)網周刊，2010(17）:64-65.

［6］邢欣冉，姜民明.下一代防火墻技術前瞻［J］.信息與電腦，2010(10）:16.

［7］宋穎.防火墻技術與網絡安全［J］.中國新技術新產品，2011(18）:23.

［8］李富偉.淺談傳感器的現(xiàn)狀以及發(fā)展趨勢［J］.可編程控制器與工廠自動化，2007 (1）:28-32.

［9］王純.探析防火墻技術［J］.無線互聯(lián)科技，2011(6）:19-20.

［10］梁海軍.基于UTM 網絡綜合防御策略研究［J］.網絡安全技術與應用，2010(1）:21-23.

［11］陳冬雨.在發(fā)展中完善下一代防火墻［J］.計算機安全，2010(12）:81-82.

［12］呂穎軒.構筑新一代網絡安全屏障［J］.電信網技術，2011(3）:29-30.