防火墙技术对网络安全的影响
2009-01-20李振兵
李振兵
摘要:本文通过防火墙的分类、工作原理、应用等分析,同时对防火墙技术在企业网络安全中的作用及影响进行论述。
关键词:防火墙网络安全技术
0引言
随着科学技术的快速发展,网络技术的不断发展和完善,在当今信息化的社会中,我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理,伴随着网络应用的发展,这些信息都通过网络来传送、接收和处理,所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的安全,人们提出了许多手段和方法,采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。
1防火墙的分类
防火墙是在内部网与外部网之间实施安全防范的系统,它用于保护可信网络免受非可信网络的威胁,同时,仍允许双方通信,目前,许多防火墙都用于Internet内部网之间,但在任何网间和企业网内部均可使用防火墙。按防火墙发展的先后顺序可分为:包过滤型(PackFilter)防火墙(也叫第一代防火墙)。复合型(Hybrid)防火墙(也叫第二代防火墙);以及继复合型防火墙之后的第三代防火墙,在第三代防火墙中最具代表性的有:IGA(InternetGatewayAppciance)防毒墙;SonicWall防火墙以及Cink TvustCyberwall等。
按防火墙在网络中的位置可分为:边界防火墙、分布式防火墙。分布式防火墙又包括主机防火墙、网络防火墙。按实现手段可分为:硬件防火墙、软件防火墙以及软硬兼施的防火墙。
网络防火墙技术是一种用来加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包,如链接方式,按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
2防火墙在网络安全中的作用
防火墙的作用是防止非法通信和未经过授权的通信进出被保护的网络。防火墙的任务就是从各种端口中辨别判断从外部不安全网络发送到内部安全网络中具体的计算机的数据是否有害,并尽可能地将有害数据丢弃,从而达到初步的网络系统安全保障。它还要在计算机网络和计算机系统受到危害之前进行报警、拦截和响应。一般通过对内部网络安装防火墙和正确配置后都可以达到以下目的:①限制他人进入内部网络,过滤掉不安全服务和非法用户。②防止入侵者接近你的防御设施。③限定用户访问特殊站点。④为监视Intemet安全提供方便。
3防火墙的工作原理
防火墙可以用来控制Internet和Intranet之间所有的数据流量。在具体应用中,防火墙是位于被保护网和外部网之间的一组路由器以及配有适当软件的计算机网络的多种组合。防火墙为网络安全起到了把关作用,只允许授权的通信通过。防火墙是两个网络之间的成分集合,有以下性质:①内部网络和外部网络之间的所有网络数据流都必须经过防火墙;②只有符合安全策略的数据流才能通过防火墙;③防火墙自身应具有非常强的抗攻击免疫力。一个好的防火墙应具有以下属性:一是所有的信息都必须通过防火墙:二是只有在受保护网络的安全策略中允许的通信才允许通过防火墙:三是记录通过防火墙的信息内容和活动;四是对网络攻击的检测和告警;五是防火墙本身对各种攻击免疫。
4防火墙技术
防火墙的种类多种多样,在不同的发展阶段,采用的技术也各不相同,因而也就产生了不同类型的防火墙。防火墙所采用的技术主要有:
4.1屏蔽路由技术最简单和最流行的防火墙形式是“屏蔽路由器”。屏蔽路由器在网络层工作(有的还包括传输层),采用包过滤或虚电路技术,包过滤通过检查每个lP网络包,取得其头信息,一般包括:到达的物理网络接口,源lP地址,目标IP地址,传输层类型(TCPUDP ICMP),源端口和目的端口。根据这些信息,判别是否规则集中的某条目匹配,并对匹配包执行规则中指定的动作(禁止或允许)。
4.2基于代理的(也称应用网关)防火墙技术它通常被配置为“双宿主网关”,具有两个网络接口卡,同时接入内部和外部网。由于网关可以与两个网络通信,它是安装传递数据软件的理想位置。这种软件就称为“代理”,通常是为其所提供的服务定制的。代理服务不允许直接与真正的服务通信,而是与代理服务器通信(用户的默认网关指向代理服务器)。各个应用代理在用户和服务之间处理所有的通信。能够对通过它的数据进行详细的审计追踪,许多专家也认为它更加安全,因为代理软件可以根据防火墙后面的主机的脆弱性来制定,以专门防范已知的攻击。
4.3包过滤技术系统按照一定的信息过滤规则,对进出内部网络的信息进行限制,允许授权信息通过,而拒绝非授权信息通过。包过滤防火墙工作在网络层和逻辑链路层之间。截获所有流经的IP包,从其IP头、传输层协议头,甚至应用层协议数据中获取过滤所需的相关信息。然后依次按顺序与事先设定的访问控制规则进行一一匹配比较,执行其相关的动作。
4.4动态防火墙技术动态防火墙技术是针对静态包过滤技术而提出的一项新技术。静态包过滤技术局限于过滤基于源及目的的端口,IP地址的输入输出业务,因而限制了控制能力,并且由于网络的所有高位(1024--65535)端要么开放,要么关闭,使网络处于很不完全的境地。而动态防火墙技术可创建动态的规则,使其适应不断改变的网络业务量。根据用户的不同要求,规则能被修改并接受或拒绝条件。动态防火墙为了跟踪维护连接状态,它必须对所有进出的数据包进行分析,从其传输层,应用层中提取相关的通讯和应用状态信息,根据其源和目的IP地址,传输层协议和源及目的端口来区分每一连接,并建立动态连接表为所有连接存储其状态和上下文信息;同时为检查后续通讯。应及时更新这些信息,当连接结束时,也应及时从连接表中删除其相应信息。
4.5一种改进的防火墙技术(或称复合型防火墙技术)由于过滤型防火墙安全性不高,代理服务器型防火墙速度较慢,因而出现了一种综合上述两种技术优点的改进型防火墙技术,它保证了一定的安全性,又使通过它的信息传输速度不至于受到太大的影响。对于那些从内部网向外部网发出的请求,由于对内部网的安全威胁不大,因此可直接下载外部网建立连接,对于那些从外部网向内部网提出的请求,先要通过包过滤型防火墙,在此经过初步安全检查,两次检查确定无疑后可接受其请求,否则,就需要丢弃或作其他处理o
5防火墙的应用
5.1硬件防火墙的设置
下面以思科PIX 501型防火墙为例,设置如下:要设置内部接口的lP地址,使用如下命令:
PIXl(config)# ip address inside 10.1.1.1 255.O.0.0
PIXl(config)#
现在,设置外部接口的IP地址:
PIXI(config)#ip address outside 1 1.1.1 255.255.255.0
PIXl(config)#
下一步,启动内部和外部接口。确认每一个接口的以太网电缆线连接到一台交换机。注意,ethernetO接口是外部接口,它在PIX 501防火墙中只是一个10base-T接口。ether-netl接口是内部接口,是一个100Base-T接口。下面是启动这些接口的方法:
PIXl(config)#interface ethernetO 10baset
PIXl fconfig)#interface ethemetl 100full
PIXl(config)#
最后设置一个默认的路由,这样,发送到Plx防火墙的所有的通讯都会流向下一个上行路由器(我们被分配的IP地址是10.76.12.254):
Pl×1(cOnfiq)#route outside 0 0 10.76.12.254
PIXl(config)#
当然,PI×防火墙也支持动态路由协议(如R1P和oSPF协议)。
现在,我们接着介绍一些更高级的设置。网络地址解析
由于我们有IP地址连接,我们需要使用网络地址解析让内部用户连接到外部网络。我们将使用~种称作“PAT”或者“NATOver-load”的网络地址解析。这样,所有内部设备都可以共享一个公共的1P地址(Pl×防火墙的外部IP地址)。要做到这一点,请输入这些命令:
PlXl(config)#nat(insjde)1 10.0.0 0 255.0.0.0
PIXl(config)#globaI(outside)1 1 0.1.1.2
G10ball 0.1.1.2 will be PortAddressTranslated
PI×1(config)#
使用这些命令之后,全部内部客户机都可以连接到公共网络的设备和共享IP地址10.1.1.2。然而,客户机到目前为止还没有任何规则允许他们这样做。
5.2软件防火墙的设置以天网、诺顿防火墙为例:
5.2.1天网防火墙(2.60版)在天网防火墙的主面板上点击“系统设置”按钮,在弹出的“系统设置”窗口中,点击“规则设定”中的“向导”,就会弹出设置向导。
在“安全级别设置”对话框中选择好安全级别(局域网内的用户可以选择“低”)后再点击“下一步”按钮,进入“局域网信息设置”窗口。勾选“我的电脑在局域网中使用”,软件便会自动探测本机的lP地址并显示在下方。接下来,一路点击“下一步”按钮即可完成设置了。
5.2.2诺顿个人防火墙在软件的主界面左侧点击“Internet区域控制”选项,在右侧窗口进入“信任区域”选项卡,点击“添加”按钮,打开“指定计算机”对话框。在该对话框中选择“使用范围”,然后在下面输入允许访问的起始地址和结束地址即可。
6结束语
防火墙技术是目前应对网络安全问题的有效的技术手段之一,但是网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。