基于防火墙的网络安全技术
2010-01-27商娟叶
商娟叶,刘 静
(1.西安外事学院 陕西 西安 710077;2.西安广播电视大学 陕西 西安 710002)
当今社会,科技突飞猛进,网络技术随之不断发展和完善,我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理,伴随着网络技术的发展,网络传送、接收和处理的信息量越来越大。维护计算机网络安全,越来越成为人们焦虑的问题,而防火墙无疑是解决这一问题最主要、最核心、最有效的手段之一。
1 防火墙的概念及作用
防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。在互联网上防火墙是一种非常有效的网络安全模型,防火墙的作用是防止非法通信和未经过授权的通信进出被保护的网络。防火墙的任务就是从各种端口中辨别从外部不安全网络发送到内部安全网络中的数据是否有害,并尽可能地将有害数据丢弃,从而达到初步的网络系统安全保障。它还要在计算机网络和计算机系统受到危害之前进行报警、拦截和响应。
2 防火墙的基本类型[1]
如今市场上的防火墙有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。总的来说可以分为3种:包过滤防火墙、代理服务器和状态监视器。
1) 包过滤防火墙 (IP Filting Firewall) 包过滤(Packet Filter)是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过。
2)代理服务器(ProxyServer) 代理服务是设置在Internet防火墙网关上的应用。代理服务器通常拥有高速缓存,缓存中存有用户经常访问站点的内容,在下一个用户要访问同样的站点时,服务器就不用重复地去访问同样的内容,既节约了时间也节约了网络资源。
3)状态监视技术(Stateful Inspection) 状态监视技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上,进一步发展了“会话过滤”(Session Filtering)功能。在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行。
3 防火墙的选择
防火墙为网络安全起到了把关作用,它是两个网络之间的成分集合。一个好的防火墙应具有以下属性:所有的信息都必须通过防火墙;只有在受保护网络的安全策略中允许的通信才允许通过防火墙;记录通过防火墙的信息内容和活动;对网络攻击的检测和报警;防火墙本身对各种攻击免疫。
一个优秀的网络安全保障系统必须建立在对网络安全需求与环境的客观分析评估基础上,在网络的应用性能及价格和安全保障需求之间确定一个“最佳平衡点”,使得网络安全保障引入的额外开销与它所带来的效益相当。
3.1 网络安全体系设计原则[2]
3.1.1 安全性与便捷
一般来说,网络使用的方便性会因采用了网络安全措施而降低。防火墙无论从安装、配置到策略调整都在同一个GUI界面下完成,管理十分方便快捷,网络管理员的额外工作强度很小。此外,防火墙内外网卡透明设置也极大地方便了内部用户,内部工作站(包括服务器)不必增加任何额外的配置。在安全专家的指导下,建立统一安全制度,消灭一般由于系统配置不当造成的明显安全漏洞。
3.1.2 安全性与性能
对网络来说,安全措施是靠网络资源来完成的,它或者是占用主机CPU和内存,或者是占用网络带宽,或者是增加信息处理的过程,所有这些都可以导致整体性能降低防火墙拥有独特的状态包过滤技术,在安全性和速度之间可以自动找到理想的平衡点。
3.1.3 安全性与成本
采用网络安全措施或建立网络安全系统都会增加额外的成本,这里包括购买硬件、软件的花费,系统设计和实施费用,管理和维护安全系统的费用。比如利用软件来实现安全,例如软件型的防火墙,使用费用比较低廉的共享版本或者免费版本的软件。还可以聘请较有经验的国内专业安全公司制定企业内部网的规划,同时系统的安全性维护主要由内部技术人员兼职完成。
3.1.4 安全性与可扩展性
一套相对安全的安全系统并不意味着永远保持“相对的安全性”,这就要求原先的系统具有良好的可扩展性。
3.2 产品选择型号的原则
在进行防火墙产品选择型号时,除了必须遵循网络安全体系设计原则外,还要求防火墙应包含以下功能[3]:1)访问控制,通过对特定网段和特定服务建立的访问控制体系,将绝大多数攻击在到达攻击目标之前阻止;2)攻击监控,通过对特定网段、服务建立的攻击监控体系,可实时地检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等);3)加密通信,主动的加密通信,可使攻击者不能了解、修改敏感信息;4)身份认证,良好的认证体系可防止攻击者假冒合法用户;5)多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标;6)隐藏内部信息,使攻击者不能了解系统内的基本情况;7)安全监控中心,为信息系统提供安全体系管理、监控,保护及紧急情况服务。
在实际的网络中,保障网络安全与提供高效灵活的网络服务是矛盾的。从网络服务的可用性、灵活性和网络性能考虑,网络结构和技术实现应该尽可能简捷,不引入额外的控制因素和资源开销。但从网络安全保障考虑,则要求对网络系统提供服务的种类、时间、对象、地点甚至内容有尽可能多的了解和控制能力,实现这样附加的安全功能不可避免地要耗费有限的网络资源或限制网络资源的使用,从而对网络系统的性能、服务的使用方式和范围产生显著影响。此外,保障网络安全常常还涉及到额外的硬件、软件投入及网络运行管理中的额外投入,由此可见,保障网络的安全是有代价的。对安全性的追求可以是无限的,但费用也会随之增长。
4 防火墙架构
一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器主要用来防止IP欺骗攻击,其最大优点就是架构简单且硬件成本较低,而缺点则是建立包过滤规则比较困难,以及屏蔽路由器的管理成本及用户级身份认证的缺乏等。路由器生产商们已经开始开发编辑包过滤规则的图形用户界面,制订标准的用户级身份认证协议,供远程用户身份认证拨入。代理服务器可以识别并屏蔽非法的请求,其最大优点在于用户级的身份认证、日志记录和帐号管理容易实现。而缺点是要想提供全面的安全保证,就要对每一项服务都建立对应的应用层网关,这很难被应用采纳。
防火墙是监测并过滤所有通向外部网和从外部网传来的信息,防火墙保护着内部敏感的数据不被偷窃和破坏,并记下通信发生的时间和操作等,新一代的防火墙甚至可以阻止内部人员故意将敏感数据传输到外界。将局部网络放置防火墙之后可以阻止来自外界的攻击。
建立一个可靠的规则集,搭建安全体系结构是防火墙成功的关键步骤,这还离不开规则集中的每条规则的落实。要重点把握以下几点[4]:切断默认防火墙的不必要的服务;允许内部网络的任何人出网,与安全策略中所规定的一样,所有的服务都被许可;添加锁定规则,阻塞对防火墙的任何访问,这是所有规则集都应有的一条标准规则,除了防火墙管理员,任何人都不能访问防火墙;丢弃不匹配的数据包并不记录;允许Internet用户访问DNS服务器;允许Internet和内网用户通过SMTP(简单邮件传递协议)访问邮件服务器;允许Internet和内网用户通过HTTP访问Web服务器;阻塞内网用户公开访问DMZ;允许内部的POP访问;只要有从DMZ到内网用户的通话,它就会发出拒绝、做记录并发出警告;允许管理员(受限于特殊的资源IP)以加密方式访问内部网络;只要有可能,就把最常用的规则移到规则集的顶端。防火墙只分析较少数的规则,这样能提高防火墙性能。
5 防火墙方案具体实现
5.1 部署外部防火墙
设置外部防火墙可以实现内部网络与外部网络的有效隔离,可有效防范外部网络的攻击。外部防火墙可以制定访问策略,只有被授权的外部主机可以访问内部网络有限的IP地址,保证外部网络只能访问内部网络中必要的资源,与业务无关的操作将被拒绝。外部防火墙可以进行地址转换工作,外部网络不能看到内部网络的结构,使黑客攻击失去目标[5]。
设置外部防火墙的正确位置应该在内部网络与外部网络之间。内部网络和外部网络被完全隔离开,所有来自外部网络的服务请求只能到达防火墙,防火墙对收到的数据包进行分析后将合法的请求传送给相应的服务主机,对于非法访问加以拒绝。内部网络的情况对于外部网络的用户来说是完全不可见的。由于防火墙是内部网络和外部网络的唯一通信信道,因此防火墙可以对所有针对内部网络的访问进行详细的记录,形成完整的日志文件。防火墙要保护的网络与外部网络应该只有唯一的连接通路,如果防火墙后还有其他通路,防火墙将被短路,无法完成保护内部网络的工作。如果内部网络有多个外部连接,就应该在每个入口处都放置防火墙。部署外部防火墙如图1所示。
图1 外部防火墙部署图
5.2 部署内部防火墙
在服务器的入口处设置内部防火墙,可以制定完善的安全策略,有效地控制内部网络的访问。内部防火墙可以精确制定每个用户的访问权限,保证内部网络用户只能访问必要的资源,对于拨号备份线路的连接,通过强大的认证功能,实现对远程用户的管理。内部防火墙可以记录网段间的访问信息,及时发现误操作和来自内部网络其他网段的攻击行为防火墙通过安全策略的集中管理,每个网段上的主机不必再单独设立安全策略,降低人为因素导致的网络安全问题[6]。内部防火墙部署如图2所示。
图2 内部防火墙部署图
综上所述,计算机网络中设置防火墙后,一方面可以有效地防范来自外部网络的攻击行为,另一方面可以为内部网络制定完善的安全访问策略,从而使得整个网络具有较高的安全级别。
6 结束语
防火墙的核心思想是在不安全的网际环境中构造一个相对安全的子网环境。通过防火墙概念、作用、基本类型及架构的介绍,重点分析如何选择防火墙、组织架构防火墙,解决防火墙在网络中的具体实现。正因为防火墙不是万能的,所以一定要克服那种“有了防火墙就可以高枕无忧”的麻痹思想和侥幸心理,要高度重视计算机网络的信息安全,扎扎实实落实安全措施与各项安全制度要求,并不断丰富完善计算机网络安全的各种技术措施,共同建立一个有效的网络安全防护体系。
[1]阎慧,王伟,宁宇鹏,等.防火墙原理与技术[M].北京:机械工业出版社,2005.
[2]毕晓东.基于防火墙的网络安全技术初探[J].山东省农业管理干部学院学报,2007,23(2):175-176.
[3]卡拉西克-亨姆.防火墙核心技术精解[M].北京:中国水利水电出版社,2005.
[4]阮灿华.基于防火墙的网络安全技术 [J].福建电脑,2006(6):48-49.
[5]刘益洪,陈林.基于防火墙的网络安全技术分析[J].通信技术,2008,06(41):136-138.
[6]张连根.防火墙技术在网络安全中的应用[J].科技资讯,2007(9):188-190.