摘 要 為了使您的PC服務(wù)器和網(wǎng)絡(luò)資源得到保護(hù),不受黑客的攻擊,同時(shí)將黑客的技術(shù)破壞,通過掌握防火墻的分類,工作原理,特點(diǎn)和不足,以及分析最新的防火墻技術(shù),其作用是巨大的。在防止黑客的攻擊上,目前公認(rèn)的且普遍應(yīng)用的就是防火墻技術(shù)。所以本文討論了網(wǎng)絡(luò)防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全方面的應(yīng)用。
關(guān)鍵詞 防火墻 應(yīng)用代理 防火墻技術(shù)
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A
信息共享和信息安全在計(jì)算機(jī)網(wǎng)絡(luò)中是相互矛盾的,伴隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展及應(yīng)用的廣泛,其安全問題也被擺到人們面前。據(jù)調(diào)查,截至2010年,超過六成的電腦用戶被黑客攻擊或入侵過。這些攻擊和入侵主要表現(xiàn)在以下幾個(gè)方面:外部人員對(duì)其進(jìn)行惡意攻擊并竊取機(jī)密信息,攻擊網(wǎng)絡(luò)的可用性以及破壞信息,內(nèi)部人員未經(jīng)授權(quán)的訪問及信息泄露,電腦病毒的破壞。為了保護(hù)企業(yè)和機(jī)構(gòu)的網(wǎng)絡(luò)安全,保護(hù)他們免受未經(jīng)授權(quán)的訪問和外來的入侵,還能防止非法內(nèi)幕接入外網(wǎng)網(wǎng)站,大部分單位都采用了防火墻技術(shù),此技術(shù)是最成熟的,最早的產(chǎn)品化網(wǎng)絡(luò)安全機(jī)制。從網(wǎng)絡(luò)安全中的防火墻應(yīng)用進(jìn)行討論,為提高網(wǎng)絡(luò)安全提出本人的建議。
1 關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)的具體分類
1.1 代理技術(shù)
當(dāng)客戶發(fā)出請(qǐng)求時(shí),代理服務(wù)器會(huì)對(duì)其合法性進(jìn)行監(jiān)測(cè),如果通過監(jiān)測(cè),服務(wù)器會(huì)把客戶所需要的信息發(fā)送過去,它使得內(nèi)部系統(tǒng)被保護(hù)起來,外界無法進(jìn)入同時(shí)也無法看到任何內(nèi)部資源。只能從外面看到代理服務(wù)器。它只會(huì)讓一些有代理權(quán)的或是已被確認(rèn)為可相信的服務(wù)越過防火墻,其他的服務(wù)都會(huì)被分離并進(jìn)行封鎖,這點(diǎn)是為了系統(tǒng)的安全考慮。代理服務(wù)還可以過濾協(xié)議,如過濾可以使用FTP連接,拒絕使用FTP put命令,以確保匿名用戶無法寫入到文件服務(wù)器。
1.2 包過濾技術(shù)
包過濾防火墻在網(wǎng)絡(luò)層的工作,它能夠控制和識(shí)別數(shù)據(jù)包的源及目的IP,負(fù)責(zé)傳輸工作的也只是分析出它是TCP 還是 UDP 及所用的端口信息。現(xiàn)在,包過濾控制的能力已經(jīng)在路由器,交換機(jī)路由器和某些操作系統(tǒng)中使用。由于該系統(tǒng)只是分析IP地址,TCP / UDP協(xié)議和端口,包過濾防火墻的工作速度快,并且配置要求低。
1.3 狀態(tài)檢測(cè)技術(shù)
當(dāng)有人使用動(dòng)態(tài)客戶端協(xié)議時(shí),就需要使用狀態(tài)檢測(cè)技術(shù)。它的原理是檢查連接狀態(tài),將同一客戶的所有連接方式看做是一個(gè)完整的數(shù)據(jù)看待,并加以統(tǒng)計(jì),形成動(dòng)態(tài)鏈接表,該表采用的共同協(xié)調(diào)的規(guī)則表與狀態(tài)表,并對(duì)每一個(gè)連接狀態(tài)進(jìn)行鑒別,第一時(shí)間打開或關(guān)閉動(dòng)態(tài)端口。該檢測(cè)技術(shù)具有很大的靈活性和安全性。
2 計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)研究的必要性
2.1 信息系統(tǒng)面臨的安全威脅
計(jì)算機(jī)信息系統(tǒng)承受的破壞大體是:信息被截獲,竊取,篡改,偽造,刪除和插入,黑客,病毒的入侵,破壞內(nèi)部員工
2.2 計(jì)算機(jī)信息系統(tǒng)的安全需求
計(jì)算機(jī)信息安全必須滿足如下的要求:保證信息的完整性,絕對(duì)機(jī)密性,法律效果,不可抗拒性。
2.3 計(jì)算機(jī)信息系統(tǒng)面臨攻擊
計(jì)算機(jī)信息系統(tǒng)將受到攻擊的各個(gè)方面,現(xiàn)總結(jié)如下:
(1)計(jì)算機(jī)信息系統(tǒng)中的信息被篡改攻擊,使得系統(tǒng)信息部分丟失,導(dǎo)致其不完整,此攻擊方式是對(duì)信息系統(tǒng)中的相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行更改消息的時(shí)間,順序,從而達(dá)到使信息失真的目的。(2)想要對(duì)系統(tǒng)認(rèn)證進(jìn)行攻擊,首先要偽造一個(gè)系統(tǒng)信息,偽造第一要素向系統(tǒng)注入偽造的虛假信息,然后輸入法人制度,信息違規(guī)操作的名稱和妨礙充分和有效的信息傳遞。(3)為了對(duì)系統(tǒng)中的機(jī)密性文件進(jìn)行攻擊,對(duì)內(nèi)部的重要信息進(jìn)行抄襲,可以通過各種途徑泄漏信息,包括線法等,或?yàn)榱双@得一些情報(bào)分析利用流量法。(4)為了使系統(tǒng)癱瘓或中斷,達(dá)到不能工作的目的,可以通過對(duì)硬件系統(tǒng)進(jìn)行攻擊。
3 防火墻技術(shù)的特點(diǎn)和缺陷
3.1 包過濾的優(yōu)缺點(diǎn)
缺點(diǎn):不能完全防止信息竊取。一些應(yīng)用協(xié)議數(shù)據(jù)包過濾不適合正常的數(shù)據(jù)包,所以一些安全策略過濾路由器是無法執(zhí)行的,從而不能防范黑客的攻擊,有些應(yīng)用層協(xié)議得不到系統(tǒng)的支持,不能起到合理的防范措施。
優(yōu)點(diǎn):過濾整個(gè)網(wǎng)絡(luò)數(shù)據(jù)包完全可以由過濾路由器做到的,用戶可以看到整個(gè)過程,過濾路由器的特點(diǎn)是快速、高效。
3.2 代理技術(shù)的優(yōu)缺點(diǎn)
缺點(diǎn):速度趕不上路由器,對(duì)用戶進(jìn)行透明的服務(wù)器代理,對(duì)每個(gè)服務(wù)機(jī)構(gòu)可能要求不同的代理服務(wù)器,這樣會(huì)導(dǎo)致用戶受到協(xié)議弱點(diǎn)的威脅;通過代理的方式是無法讓底層協(xié)議的安全狀況得到好轉(zhuǎn)。其適應(yīng)性弱的特點(diǎn)使得它注定會(huì)被取代。
優(yōu)點(diǎn):當(dāng)使用應(yīng)用代理網(wǎng)時(shí),防火墻會(huì)將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的完全切斷,內(nèi)部網(wǎng)絡(luò)用戶要想訪問外部網(wǎng)絡(luò),訪問外部網(wǎng)絡(luò)的防火墻內(nèi)網(wǎng)的用戶將被轉(zhuǎn)發(fā)到防火墻。在進(jìn)行網(wǎng)絡(luò)通信的情況下,其代理軟件也必須同時(shí)發(fā)送,在任何時(shí)候,用戶不能與服務(wù)器直接建立網(wǎng)絡(luò)通信的連接,對(duì)于使用網(wǎng)絡(luò)的應(yīng)用層協(xié)議必須滿足安全要求。應(yīng)用代理網(wǎng)關(guān)可以在應(yīng)用層,傳輸層和網(wǎng)絡(luò)層功能的協(xié)議上進(jìn)行檢查,能對(duì)數(shù)據(jù)包進(jìn)行幾位安全的分析。代理可以完成各種記錄:靈活性,對(duì)傳入和傳出流量的控制,信息、數(shù)據(jù)內(nèi)容進(jìn)行過濾,同時(shí)代理商也要向用戶解釋為何需要加密,代理可以輕易的與其他安全措施進(jìn)行融合。
4 防火墻技術(shù)的實(shí)際運(yùn)用
4.1 防火墻體系結(jié)構(gòu)設(shè)計(jì)
以一個(gè)相對(duì)獨(dú)立的內(nèi)部網(wǎng)絡(luò)為例,如果能夠使用一臺(tái)計(jì)算機(jī)作為防火墻隔離就能夠提供較高的安全性,這種防火墻體系能夠保護(hù)內(nèi)部網(wǎng)絡(luò)不會(huì)受到來自外部網(wǎng)絡(luò)的非法入侵和攻擊,使內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)終端能夠安全訪問互聯(lián)網(wǎng)。但是,如果對(duì)龐大的計(jì)算機(jī)網(wǎng)絡(luò)來說,簡(jiǎn)單的防火墻設(shè)置不能夠完全抵御外界入侵和攻擊,應(yīng)該按照計(jì)算機(jī)網(wǎng)絡(luò)被保護(hù)的級(jí)別程度、數(shù)據(jù)信息的秘密級(jí)別和造成安全問題的損失代價(jià)等綜合因素來制定安全有效的防御策略。由此,我們需要設(shè)計(jì)實(shí)現(xiàn)相對(duì)復(fù)雜的防火墻體系結(jié)構(gòu),并隨時(shí)根據(jù)安全防御的實(shí)際需求改變結(jié)構(gòu)或做出適當(dāng)調(diào)整。
由防火墻與局域網(wǎng)隔離區(qū)的關(guān)系來看,應(yīng)該將代理服務(wù)器中代理的全部應(yīng)用服務(wù)允許防火墻通過,并將公共信息服務(wù)器中包括的公共應(yīng)用服務(wù)允許防火墻通過。隔離區(qū)中的公共信息服務(wù)器可以與防火墻外部網(wǎng)卡綁定的合法網(wǎng)絡(luò)地址相互對(duì)應(yīng),通過網(wǎng)絡(luò)地址轉(zhuǎn)換器進(jìn)行轉(zhuǎn)換之后使處于互聯(lián)網(wǎng)中的計(jì)算機(jī)可以訪問內(nèi)部網(wǎng)絡(luò)資源。由防護(hù)區(qū)與內(nèi)部專用網(wǎng)絡(luò)的關(guān)系來看,防火墻的配置應(yīng)該允許內(nèi)部專用網(wǎng)絡(luò)的全部數(shù)據(jù)包通過,同時(shí)對(duì)流入內(nèi)部專用網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行控制,允許由內(nèi)部專用網(wǎng)絡(luò)流出的數(shù)據(jù)包重新流入到內(nèi)部專用網(wǎng)絡(luò)中。由局域網(wǎng)隔離區(qū)與內(nèi)部專用網(wǎng)絡(luò)的關(guān)系來看,防火墻的配置應(yīng)該允許來自內(nèi)部專用網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)入局域網(wǎng)隔離區(qū),但是對(duì)由局域網(wǎng)隔離區(qū)流入到內(nèi)部專用網(wǎng)中的數(shù)據(jù)包進(jìn)行控制。而且,防火墻要將代理服務(wù)器中的應(yīng)用服務(wù)允許通過到內(nèi)部專用網(wǎng)絡(luò),只能允許內(nèi)部專用網(wǎng)絡(luò)流入到局域網(wǎng)隔離區(qū)的數(shù)據(jù)包重新流入內(nèi)部專用網(wǎng)絡(luò)。
4.2 屏蔽主機(jī)網(wǎng)關(guān)
屏蔽主機(jī)網(wǎng)技術(shù)是如今使用最廣泛的最容易實(shí)現(xiàn)網(wǎng)絡(luò)安全應(yīng)用的技術(shù),例如,將內(nèi)部網(wǎng)絡(luò)上配備一個(gè)堡壘主機(jī),然后通過數(shù)據(jù)包過濾路由器進(jìn)行與外部網(wǎng)絡(luò)的連接,對(duì)路由器進(jìn)行設(shè)置,這樣就能保證堡壘主機(jī)直接與外部網(wǎng)絡(luò)相連接時(shí),內(nèi)部網(wǎng)絡(luò)可以篩選掉那些未經(jīng)授權(quán)的外部用戶的攻擊。
如果受保護(hù)的網(wǎng)絡(luò)是虛擬的、擴(kuò)展的本地網(wǎng)絡(luò),那么就不需要子網(wǎng)絡(luò)及路由器,那么堡壘主機(jī)和配置路由器就不會(huì)有任何威脅了。該軟件的主要策略是安裝在網(wǎng)關(guān)控制。如果攻擊者要登錄到主機(jī)的網(wǎng)絡(luò),這將會(huì)對(duì)其本身的內(nèi)部網(wǎng)絡(luò)產(chǎn)生嚴(yán)重的后果。
4.3 配置訪問策略
防火墻的核心在于訪問策略的安全,因此,在設(shè)置之前要經(jīng)過非??b密的信息統(tǒng)計(jì)才行。在這個(gè)過程中,需要對(duì)單元的內(nèi)部和外部應(yīng)用程序和相應(yīng)的源地址,目的地址, TCP或UDP端口進(jìn)行分析并掌握,以及不同應(yīng)用使用的情況還有對(duì)每個(gè)策略在規(guī)則表中進(jìn)行排列,之后才能執(zhí)行配置。其原因是當(dāng)防火墻執(zhí)行規(guī)則查找時(shí)順序進(jìn)行,所以為了提高效率,將使用頻率高的規(guī)則放在靠前的位置。
4.4 屏蔽子網(wǎng)
此方法的目的是建立一個(gè)子網(wǎng),而子網(wǎng)的位子在內(nèi)部網(wǎng)與外部網(wǎng)的通道之間,建立子網(wǎng)就需要使用兩個(gè)路由器,并將子網(wǎng)掩碼分開。
一個(gè)路由器可以實(shí)現(xiàn)屏蔽主機(jī)體系的結(jié)構(gòu)為內(nèi)部網(wǎng)絡(luò)提供了相連的主機(jī)服務(wù)。在這種結(jié)構(gòu)系統(tǒng)中,包括過濾器(數(shù)據(jù)包過濾來主要是防止攻擊者繞過代理服務(wù)器和內(nèi)部網(wǎng)絡(luò)的直接連接) ,而且還包含其他執(zhí)行措施:例如,配備倆個(gè)路由器,一個(gè)對(duì)互聯(lián)網(wǎng)的數(shù)據(jù)流進(jìn)行監(jiān)督和控制,另外一個(gè)則是對(duì)數(shù)據(jù)的安全性進(jìn)行監(jiān)管, Intranet和Internet接入互聯(lián)網(wǎng)進(jìn)行訪問時(shí),子網(wǎng)要做屏蔽處理,也是為了防止他們進(jìn)入已經(jīng)屏蔽子網(wǎng)。堡壘主機(jī)需要被設(shè)置上子網(wǎng)掩碼,子網(wǎng)所提供的代理服務(wù)只是對(duì)于其內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的訪問,對(duì)其他網(wǎng)絡(luò)進(jìn)行訪問時(shí)倆個(gè)路由器就會(huì)對(duì)其數(shù)據(jù)進(jìn)行必要的檢查。
4.5 安全服務(wù)配置
安全服務(wù)隔離區(qū)(DMZ)就是劃分出服務(wù)器機(jī)群和系統(tǒng)管理機(jī)群,設(shè)置為隔離的安全服務(wù),作為內(nèi)部網(wǎng)絡(luò)的一部分,但也是一個(gè)獨(dú)立的局域網(wǎng),一個(gè)單獨(dú)的部門,以更好地保護(hù)服務(wù)器上正常運(yùn)行的數(shù)據(jù)和系統(tǒng)管理。推薦NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng) IP 地址。這不僅會(huì)把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)及IP地址屏蔽起來,保護(hù)內(nèi)部網(wǎng)絡(luò)的安全性,而且還可以大大降低使用公網(wǎng)IP地址,節(jié)約投資成本。
如果本機(jī)已有邊界路由器,你可以充分利用現(xiàn)有設(shè)備,邊界路由器同樣有包過濾功能,設(shè)置相應(yīng)的防火墻功能,使原有的路由器也具有防火墻功能。之后再將防火墻與內(nèi)部網(wǎng)連接。對(duì)于DMZ區(qū)域公共服務(wù)器,可以不經(jīng)過防火墻直接與邊界路由器連接。這種方法只是經(jīng)過路由器,從而建立了兩道安全的屏障,并在兩者之間設(shè)置了一個(gè)DMZ區(qū)域,用來處理那些訪問公用服務(wù)器的用戶。
4.6 日志監(jiān)控
安全管理手段中最有效的方法是日志監(jiān)控。大多數(shù)的管理人員都認(rèn)為只要日志有了信息就去采集。如:所有的報(bào)警或所有策略匹配或不匹配的流量等等,這么做雖然看上去很好,但每天進(jìn)出防火墻的數(shù)據(jù)有上百萬甚至更多,因此,必須捕捉到有用的日志才是關(guān)鍵。系統(tǒng)的報(bào)警信息的記錄是十分必要的,流量信息則要有選擇性的保留,記錄那些影響網(wǎng)絡(luò)安全的流量信息。
總之,防火墻技術(shù),在應(yīng)對(duì)黑客的入侵及攻擊上是很好的網(wǎng)絡(luò)安全措施,同時(shí)也是解決此問題最有效的方法之一,網(wǎng)絡(luò)安全是一個(gè)全球性的問題,是對(duì)系統(tǒng)的考驗(yàn),因此,任何一個(gè)漏洞的存在都會(huì)對(duì)整個(gè)網(wǎng)絡(luò)的帶來隱患,解決此問題就需要通過系統(tǒng)工程的知識(shí)來處理,用簡(jiǎn)單,快速,有效的方法對(duì)網(wǎng)絡(luò)的安全性進(jìn)行分析并制作出具體的措施。采取的主要安全措施有:法律的保護(hù),各項(xiàng)管理制度(人員審查,工作流程,維護(hù),安全系統(tǒng)等)和技術(shù)設(shè)計(jì)(識(shí)別,控制采集模式,設(shè)置密碼,容錯(cuò)性,病毒查殺控制,高安全性的產(chǎn)品,等等)。
參考文獻(xiàn)
[1] 劉玉莎.防火墻技術(shù)的研究與探討[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2010(09).
[2] 郭偉.數(shù)據(jù)包過濾技術(shù)與防火墻的設(shè)計(jì)[J].江漢大學(xué)學(xué)報(bào),2011(03).
[3] 朱艷琴,錢龍華,陳承勤.計(jì)算機(jī)組網(wǎng)技術(shù)教程[M].北京:北京電子希望出版社,2011
[4] 馬程.防火墻在網(wǎng)絡(luò)安全中的應(yīng)用[J].甘肅科技,2007(4).
[5] 洛桑旺堆.論計(jì)算機(jī)網(wǎng)絡(luò)的安全管理[J].信息與電腦(理論版),2010(02).