馬朝輝

摘要：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全日益重要。如何借助防火墻保護(hù)網(wǎng)絡(luò)內(nèi)部信息的安全已經(jīng)成為當(dāng)前的重要課題。該文研究基于CBAC防火墻的配置實(shí)現(xiàn)對(duì)應(yīng)用層HTTP協(xié)議的JAVA插件智能過(guò)濾。實(shí)驗(yàn)結(jié)果表明，該文提出的配置方案能有效實(shí)施JAVA插件過(guò)濾，從而避免一些網(wǎng)站上惡意的JAVA插件對(duì)內(nèi)部造成的潛在安全威脅。

關(guān)鍵詞：CBAC防火墻；HTTP協(xié)議；JAVA插件；過(guò)濾

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）31-7493-0

Abstract： With the development of the Internet， network security is becoming more and more important. How to use a firewall to protect internal network information security has become an important topic. Based on CBAC firewall configuration ，we study how to filter java plug-in intelligently in this paper， and the experiment results show that the proposed scheme can effectively implement JAVA plug-in filter， so as to avoid some website malicious JAVA plug-in to cause potential security threats.

Key words： CBAC Firewall； HTTP Protocol； JAVA Plug-in； Filtering

當(dāng)前，一些別有用心的國(guó)家持續(xù)對(duì)我國(guó)發(fā)起大規(guī)模、系統(tǒng)性的網(wǎng)絡(luò)攻擊，導(dǎo)致重要資源的泄露和惡意篡改，如何有效防止黑客的惡意攻擊已經(jīng)成為我國(guó)當(dāng)前發(fā)展的一個(gè)重要課題。防火墻技術(shù)，最初是針對(duì) Internet 網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施。顧名思義，防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn)[1]。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Internet之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件，該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻[2]。

1 防火墻分類(lèi)

防火墻是保護(hù)局域網(wǎng)免受外部網(wǎng)絡(luò)攻擊的最有效措施，從發(fā)展過(guò)程來(lái)看，主要分成兩大類(lèi)，一是基于區(qū)域劃分防火墻，二是CBAC防火墻?；趨^(qū)域劃分防火墻，它是一種較新的防火墻技術(shù)，雖然能完美的實(shí)現(xiàn)對(duì)單獨(dú)服務(wù)器的訪問(wèn)權(quán)限的設(shè)置，但是在對(duì)單臺(tái)服務(wù)器的HTTP協(xié)議的JAVA插件控制方面存在很大不足。CBAC防火墻是經(jīng)典防火墻技術(shù)，它可以智能的實(shí)現(xiàn)對(duì)HTTP協(xié)議的JAVA插件過(guò)濾或者不過(guò)濾，通過(guò)簡(jiǎn)單的配置滿足客戶需求。

2 CBAC防火墻簡(jiǎn)介

Context-Based Access Control（CBAC）基于上下文的訪問(wèn)控制協(xié)議通過(guò)檢查防火墻的流量來(lái)發(fā)現(xiàn)和管理TCP和UDP的會(huì)話狀態(tài)信息。這些狀態(tài)信息被用來(lái)在防火墻訪問(wèn)列表創(chuàng)建臨時(shí)通道。通過(guò)配置監(jiān)控信息，允許為監(jiān)控的協(xié)議建立連接，打開(kāi)這些通路[3]。CBAC對(duì)于運(yùn)行TCP、UDP應(yīng)用或某些多媒體應(yīng)用的網(wǎng)絡(luò)來(lái)說(shuō)是一個(gè)較好的安全解決方案。除此之外，CBAC在流量過(guò)濾、流量檢查、警告和審計(jì)蛛絲馬跡、入侵檢測(cè)等方面表現(xiàn)卓越。在大多數(shù)情況下，我們只需在單個(gè)接口的一個(gè)方向上配置CBAC，即可實(shí)現(xiàn)只允許屬于現(xiàn)有會(huì)話的數(shù)據(jù)流進(jìn)入內(nèi)部網(wǎng)絡(luò)?？梢哉f(shuō)，ACL與CBAC是互補(bǔ)的，它們的組合可實(shí)現(xiàn)網(wǎng)絡(luò)安全的最大化。

3 CBAC防火墻過(guò)濾HTTP JAVA插件的配置和實(shí)現(xiàn)

應(yīng)用層協(xié)議是用于解決某一類(lèi)網(wǎng)絡(luò)應(yīng)用問(wèn)題的、位于不同主機(jī)中的多個(gè)應(yīng)用進(jìn)程之間的通信規(guī)則和約定。應(yīng)用層的具體內(nèi)容就是規(guī)定應(yīng)用進(jìn)程在通信時(shí)所遵循的協(xié)議。當(dāng)前常見(jiàn)的應(yīng)用層協(xié)議包括：FTP、Telnet、SMTP、HTTP、RIP、NFS、DNS等，該文以HTTP為例，通過(guò)在CBAC防火墻上進(jìn)行正確的配置來(lái)對(duì)HTTP的JAVA插件進(jìn)行智能過(guò)濾，即過(guò)濾惡意的JAVA插件，保留有用的插件。有效地防止惡意插件傳送到終端，以及防止惡意級(jí)協(xié)議流量傳送到終端，保證了網(wǎng)絡(luò)的安全。

3.1 需求

放行去往外部網(wǎng)絡(luò)的HTTP流量，具體包括以下兩個(gè)：一是允許XP系統(tǒng)通過(guò)HTTP協(xié)議訪問(wèn)WWW網(wǎng)站服務(wù)器；二是放行XP系統(tǒng)通過(guò)HTTP的2002端口訪問(wèn)3A服務(wù)器某軟件。通過(guò)放行，可以方便的在內(nèi)部網(wǎng)絡(luò)通過(guò)網(wǎng)址訪問(wèn)外部WWW服務(wù)器和3A服務(wù)器。

接下來(lái)需要監(jiān)控從內(nèi)到外的HTTP流量。監(jiān)控的目的是使得兩臺(tái)服務(wù)器里面的JAVA插件全部過(guò)濾，從而在內(nèi)部網(wǎng)絡(luò)無(wú)法打開(kāi)這些插件。

參考文獻(xiàn)：

[1] 吳秀梅.防火墻技術(shù)及教程[M].北京：清華大學(xué)出版社，2010.

[2] 于婷婷.淺談Internet防火墻技術(shù)[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2012（4）.

[3] CBAC防火墻介紹. 2011.09.07. http：//baike.baidu.com/view/1301851.htm？fr=aladdin