刘宏培　余　斌

摘要:本文针对目前防火墙在网络中的重要性,针对防火墙技术进行了简单的分析,论述了防火墙的安全策略设计。

关键词:网络 防火墙 安全策略

0 引言

网络技术的飞速发展,在给信息共享带来了翻天覆地的变化的同时,也带来了安全隐患,随之而来的问题就是如何保护网络的安全。防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。在构建安全网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。防火墙仍然起着最基本的预防作用,仍然是保护网络安全所必须的工具。

1 防火墙技术分析

防火墙是一种连接内网和外网(比如Internet) 的网关,提供对进入内部网络连接的访问控制能力。它能够根据预先定义的安全策略,允许合法连接进入内部网络,阻止非法连接,抵御黑客入侵,保护内部网的安全,防止机密数据的丢失。防火墙通常用于保护公司的内部网络,但也用于隔离不同部门之间的网络。防火墙在保护网络安全方面已经发挥出越来越重要的作用。

1.1 包过滤技术 包过滤防火墙是最早的防火墙技术。顾名思义,包过滤就是根据数据包头信息和过滤规则阻止或允许数据包通过防火墙。当数据包到达防火墙时,防火墙就检查数据包包头的源地址、目的地址、源端口、目的端口,及其协议类型。若是可信连接,就允许其通过;否则就丢弃。由于包过滤防火墙处于OSI 七层模型的网络层,它只检查数据包头信息,处理数据包的速度很快。但是由于这种防火墙没有检查应用层的数据,也没有跟踪连接状态,并且没有用户和应用的验证,因此存在安全漏洞。

1.2 应用代理技术 应用层代理防火墙也被称为应用层网关,这种防火墙的工作方式同包过滤防火墙的工作方式具有本质区别。代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序。应用层代理为一特定应用服务提供代理,它对应用协议进行解析并解释应用协议的命令。应用层代理防火墙的优点是能解释应用协议,支持用户认证,从而能对应用层的数据进行更细粒度的控制。缺点是效率低,不能支持大规模的并发连接,只适用于单一协议。

1.3 状态检测技术 状态检测防火墙也叫自适应防火墙又叫动态包过滤防火墙。1992年USC 信息科学院的Bobbradon 提出了动态包过滤防火墙,在此基础上1994年Check Point公司提出了状态检测防火墙,Check Point公司的FireWall-1 就是基于这种技术。后来Progressive System 公司又提出了自己的自适应防火墙,它们的Phoenix 防火墙也是基于此技术,状态检测防火墙在包过滤的同时,检查数据包之间的关联性,检查数据包中动态变化的状态码。它有一个检测引擎,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态的保存起来作为以后执行安全策略的参考,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密处理等处理动作。

1.4 自适应代理技术 自适应代理防火墙是由Network Associates 公司提出的,它整合了动态包过滤防火墙技术和应用代理技术,本质上也是状态检测防火墙。Network Associates公司的Gauntlet就是用这种技术。

自适应代理防火墙一般是通过应用层验证新的连接,这种防火墙同时具有代理防火墙和状态检测防火墙的特性。防火墙能够动态地产生和删除过滤规则。由于这种防火墙将后续的安全检查重定向到网络层,使用包过滤技术,因此对后续的数据包的应用层数据没有进行有效地检查。同样,由于使用了代理技术,而代理技术不能检测未知的攻击行为。

2 防火墙安全策略设计

2.1 创建安全策略 策略对防火墙来说是关键因素,有两种网络级的策略可以直接影响到防火墙系统的设计、安装和使用:

2.1.1 网络服务访问权限策略:一种较高级别的策略,用来定义允许的和明确拒绝的服务,包括提供这些服务的使用方法及策略的例外情况;

2.1.2 防火墙设计策略:一种较低级别策略,用来描述防火墙如何对网络服务访问权限策略中所定义的服务进行具体的限制访问和过滤。

安全策略是防火墙系统的重要组成部分和灵魂,而防火墙设备是它的忠实执行者和体现者,二者缺一不可。安全策略决定了受保护网络的安全性和易用性,一个成功的防火墙系统首先应有一个合理可行的安全策略,这样的安全策略能够在网络安全需求及用户易用性之间实现良好的平衡。如稍有不慎,就会拒绝用户的正常请求的合法服务或者给攻击者制造了可乘之机。

安全策略的制定受到多种因素的影响,对每一个具体的网络环境,应根据各自的具体情况制定不同的安全策略。总的来说有两种策略:没有被列为允许的服务都是禁止的策略和没有被列为禁止的服务都是允许的策略。前者拒绝一切未经许可的服务,防火墙封锁所有信息流,然后逐项使能每一种许可的服务。而后者允许一切没被禁止的服务,防火墙转发所有的信息,然后逐项删除所有被禁止的服务。

虽然针对具体的网络没有固定的安全策略,但在制定具体的安全策略时,是可以遵循一定的原则:①支持一条“禁止一切未明确允许的服务”或“允许一切未被禁止的服务”的规则。②在实现既定规则时不能漏掉任何一条。③只要适当修改规则,便可以适应新的服务和需求。④要在身份验证和透明性之间作出权衡。⑤在分组过滤时,可以针对某个具体的机器系统允许或禁止。⑥对于需要的各种服务,如FTP, Telnet, SMTP, HTTP等要加上相应的代理服务,考虑加入通用代理服务方便扩展。⑦对于拨号用户集中管理,并做好过滤和日志统计工作。

2.2 确定分组过滤规则安全策略创建后,防火墙作用的发挥最大的因素依赖于好的规则库,规则库是一组规则,当特定种类的通信量试图通过防火墙时,这组规则告诉防火墙要采取什么工作,如果简单的防火墙具有构造良好的规则,那么它就比虽然复杂但是规则不能阻止应当阻止的入侵企图的防火墙有效。所以要将规则库建立在安全策略的基础上,并不断对规则库进行简化,实现过滤优化。

防火墙逐一审查每一个数据包是否与其分组过滤规则相匹配,由规则确定包的取舍。分组过滤规则处理IP包头信息为基础,其中以IP源地址、IP目的地址、封装协议(UDP/TCP)、端口号等来制定检查规则。在确定规则时一般把最常用的规则放在最前面,而且大多时候Web服务是最主要的,从而它的流量也是最大的,所以应该对它的响应进行调整,尽量把它往前移动。

3 结束语

防火墙的安全技术策略是一项不断发展和完善的技术,国内外对防火墙技术策略的应用正处在不断的摸索中。本文对防火墙的安全技术及防火墙的应用策略进行剖析,防火墙的安全技术策略还需进一步发展,它必将成为信息安全领域研究计论的重点。

参考文献:

[1]韦巍,乐国友.组策略在网络安全中的应用[J].法制与经济.2006年08期.

[2]刘晓辉.网管从业宝典——交换机·路由器·防火墙.重庆大学出版社.

[3]马春光,郭方方.防火墙、入侵检测与VPN.北京邮电大学出版.