董西尚

(枣庄学院 计算机系,山东 枣庄 277160)

浅析防火墙技术在网络安全中的应用*

董西尚

(枣庄学院 计算机系,山东 枣庄 277160)

科学技术的发展在促使计算机技术应用范围急剧扩大、引导计算机网络技术不断突破的同时,也带来了各种网络安全问题,甚至一定程度上正在改变人们的认知方式,如果不很好地解决这个问题,必将阻碍计算机网络化发展的进程.

防火墙;防火墙技术;网络安全

1 防火墙技术简述

1.1 防火墙的定义

防火墙(Firewall)是目前一种最重要的网络防护设备,由一个软件和硬件设备组成,是可信网络与不可信网络之间的一个缓冲,是内部网络与外部网络之间、专用网络与公共网络之间的保护屏障.防火墙可以是一台路由器、个人电脑、一台主机或者可以由多台主机构成的体系,它们被配置为专门保护一个私有网络,使其免受那些被处于可信网络之外主机滥用的某些协议和服务的影响.

设计防火墙的目的就是要阻止那些来自不受保护的网络中的未授权的信息进入专用网络,而仍能允许本地网络上的以及其他特许用户访问授权网络服务.一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问非法站点和特殊站点;四是为监视 Internet安全提供方便[1].

图1 防火墙基本功能

1.2 防火墙的类型

防火墙的种类很多,一般根据其所采用的技术不同,可以将它分为四种类型:包过滤器防火墙、应用代理型防火墙、状态包检测 (SPI)防火墙、复合型防火墙等.

(1)包过滤器防火墙

包过滤型防火墙主要对OSI参考模型的网络层和传输层起作用,对于传输层,只能识别数据包是 TCP还是 UDP及所用的端口信息;对于网络层,它对接收到的数据包头源及目的 IP进行识别和控制,对数据源地址、目的地址、TCP数据分组或UDP报文的源端口号和协议类型等标志进行检测,并与网络管理员预先设置的访问控制表进行比较,以确定是否允许通过,只有满足过滤条件的数据包才被转发到相应目的地,其余数据包则被数据流阻挡丢弃.

包过滤器防火墙的优点是:过滤路由器速度快、效率高,并且只需要一个过滤路由器就能协助保护整个网络,其对数据包过滤过程对用户完全透明.缺点是:只能根据数据包所附带的和人为判别的相关信息,诸如数据包来源、目标和端口等网络信息进行判断,不能有效地、智能地防止地址欺骗,而且一些应用协议不适合数据包过滤,甚至有些正常的数据包过滤路由器无法执行某些安全策略,导致此种防火墙不能全面、有效地防范黑客攻击,不支持应用层协议,不能有效处理新的安全威胁.

(2)应用代理型防火墙

应用代理型防火墙是在 TCP/IP堆栈的“应用层”上运作,使用浏览器时所产生的数据流或是使用 FTP时的数据流都是属于这一层.其主要是在 OSI的应用层工作,特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现对应用层通信流的监视和控制.

应用代理型防火墙的优点是:安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.缺点是:该系统设计较为复杂,需要代理服务器必须针对客户机可能产生的所有应用信息类型逐一进行扫描,且对系统的整体性能有较大的影响.

(3)状态包检测 (SPI)防火墙

状态包检测 (SPI)防火墙是对包过滤器和应用代理型防火墙的折衷,它既有包过滤机制的速度和灵活,也有应用型防火墙的应用级安全[2].它采用一种基于连接的状态检测机制,将属于同一连接的所有数据包作为一个整体的数据流看待,以此构成连接状态表,并通过规则表与状态表的共同配合,实现对表中的各个连接状态因素加以区别.这种动态连接表中的记录既可以是以前的通信信息,也可以是其他相关应用程序的信息.

状态包检测 (SPI)防火墙的优点是:高安全性、高效性、可伸缩性和扩展性以及应用范围广.缺点是:所有这些记录、测试和分析工作可能会造成网络连接的某种滞后,特别是在同时有许多种连接激活时,或者是有大量的过滤网络通信规则存在时.

(4)复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代高性能防火墙,它以专用集成电路 (ASI C,Application Specific Integrated Circuit)为基础构建而成,把病毒防护、信息内容过滤整合到防火墙里,其融 VPN、 IDS等单元为一体,是一种技术上的新突破[3].

复合型防火墙的优点是:能有效地防止隐蔽在网络流量里的攻击,并对网络边界实施 OSI第七层的内容扫描,实时对网络边缘部署病毒防护、内容过滤等应用层服务措施,充分体现网络与信息安全并存的思想.缺点是:技术研究尚未成熟.

1.3 防火墙的功能

(1)防火墙是网络安全的屏障

防火墙作为网络阻塞点和控制点,对所有通过的应用协议进行精心检测,以提高内部网络的安全性.此外,防火墙还可以禁止不安全的NFS协议进出受保护网络,保护网络免受基于路由的攻击,拒绝所有以上类型攻击的报文并通知防火墙管理员.

(2)防火墙可以强化网络安全策略

以防火墙为中心的网络安全方案配置,能将所有安全程序,如口令、加密、身份认证、审计等配置在防火墙上.这样统一的配置方式与将网络安全问题分散到各个主机上相比显得更加经济与牢固.

(3)对网络存取和访问进行监控审计

假定所有的网络访问都经过防火墙,那么防火墙就能对这些访问并做出日志记录,同时也能提供网络使用情况的统计数据.当发生拦截到可疑动作时,防火墙能进行报警,并提供网络是否受到监测和攻击的详细信息.另外,防火墙所收集的网络的使用和误用情况对研究防火墙是否能够抵挡攻击者的探测和攻击,以及了解防火墙的控制是否充足具有重要作用.

(4)防止内部信息的外泄

通过利用防火墙对内部网络的划分,可实现对内部网络重点网段的隔离,从而降低或抑制局部重点或敏感网络安全问题对全局网络造成的影响.此外,隐私是内部网络非常关心的问题,内部网络中不引人注意的细节可能包含有关安全的线索而引起外部攻击者的兴趣,使用防火墙就可以隐蔽那些透漏内部细节的服务.

2 影响网络安全的因素

一般而言,影响网络安全的主要因素包括:

(1)信息泄密或篡改.主要表现为网络信息被窃听,信息被破坏,这样的网络侵犯前者被称为积极侵犯者,后者被称为消极侵犯者[4].

(2)传输非法信息流或非法使用网络资源.网络协议只允许用户之间进行特定类型的信息交流,禁止用户登录或进入系统使用非法网络资源.

(3)软件漏洞.软件漏洞包括操作系统、数据库及应用软件、TCP/IP协议、网络软件和服务、密码设置等,这些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果.

(4)人为安全因素.除了技术层面上的网络安全原因外,人为因素对网络安全问题的影响也比较突出.无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为泄露系统的关键信息,则其造成的安全后果是难以估量的.

3 防火墙部署措施

防火墙可以检测到网络中的各种威胁,并根据威胁的类型及时地做出响应,将那些危险的连接和攻击行为隔绝在外,从而降低网络的整体风险.其基本功能是对网络通信进行检测、筛选,以防止未授权的访问进出计算机网络,简单的概括就是对网络访问进行控制.实际应用中,为了阻止计算机终端免受外界干扰,大部分的防火墙都选择放置在可信任网络和不可信任网络之间.

网络安全体系的构建核心在于阻断和监控对不可信任网络的访问,而防火墙是目前与不可信任网络进行关联的唯一纽带.对网络安全的监控,我们只需通过关注部署好的防火墙的安全性就可以实现.并且网络访问时,所有的通信流量均是通过防火墙进行审查、记录和保存,以便对网络安全犯罪的调查提供直接的依据.因此,防火墙的采用大大降低了网络和系统被用于不正当,甚至非法和恶意目的的风险.

虽然在安全性方面,包过滤型防火墙和代理服务器型防火墙已经被状态监测型防火墙所超越,但由于状态监测型防火墙技术存在实现成本较高、管理困难的缺点,所以目前实际应用的防火墙产品只是部分使用监测型防火墙,大部分仍然以第二代代理型防火墙产品为主.

基于对系统成本与安全技术成本的综合考虑,一般可以选择性地使用某些监测型技术进行防火墙的部署.这样既能够满足网络系统的安全性需求,同时也能有效地控制安全系统的总体成本.

首先,防火墙的安装位置应当在公司内部网络与外部Internet的接口处,以阻挡来自外部网络的攻击或入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个虚拟局域网之间设置第二层防火墙;第三,若总部与各分支机构通过公网连接,则它们之间也应该设置防火墙.条件允许的情况下,还应该同时将总部与各分支机构组成虚拟专用网(VPN).

一般说来,对防火墙的安装必须遵守这样一个基本原则,即只要在理论上存在恶意侵入或攻击的可能,那么,无论是内部网络系统内还是内部网络与外部公网的连接处,都应该考虑安装防火墙.

网络的核心区域由核心交换机、核心路由器等重要设备组成,该区域主要承担对整个网络的核心数据进行转发的重任,并且该区域与 DMZ区的 OA系统、ERP系统、CRM系统、对内或对外的Web服务器、数据库服务器等诸多关键应用相连[5].因此,仅仅从安全的角度来考虑,这个区域是最关键,同时也是风险最集中的.因为它不但要保证对DMZ区应用的可用性和友好性不产生影响,又要保证其访问源的安全性与可靠性.出于这种对核心区域安全性的考虑,通常我们不仅要在网络的边界部署防火墙,还要在这个区域为保护 DMZ等类似的关键区域部署防火墙.但这样可能会产生一个不可调和的矛盾,即安全策略的部署,尽管可以提高网络的安全性,但同时势必会影响其可用性.

关键区域防火墙的主要功能与边界区域防火墙的功能完全不同,前者主要是针对内部用户,重点作用在于保护重要服务和资源的访问控制与完善安全日志的收集;而后者不仅仅要对来自扫描、渗透、入侵、拒绝服务攻击等外部攻击进行防御,还要提供诸如NAT服务、远程VPN用户、出站控制和移动用户访问的授权等.我们可以根据上述两种防火墙作用重点的不同,将各种防御的职能和提供的应用具体分派到两类防火墙上.即内部防火墙重点保护 DMZ区域和提供深层次的检测与告警,而对边界防火墙要提高数据过滤和转发的功能.此外,还要并在了解网络的特点与用途的基础上,结合设备的实际功能与现有的网络环境部署的灵活性,实现网络可用性与安全性的平衡.

4 结论

防火墙技术经历了从最初的单纯拦截来自防范黑客的恶意进攻,逐步发展到走向安全事件管理及安全信息管理,并将最终执行网络安全管理,这是一种技术发展的必然结果.但由于网络中有大量的攻击工具,并且这些攻击工具不断改变形式,使得网络安全不可能单靠防火墙来实现,只有通过不断完善策略、完善协议才能最终保证网络的安全运行.

[1]卢开澄.计算机密码学计算机网络中的数据预安全[M].北京:清华大学出版社,19981

[2]余建斌.黑客的攻击手段及用户对策 [M].北京:人民邮电出版社,1998.

[3]陈莉.计算机网络安全与防火墙技术研究[J].中国科技信息,2005,(23).

[4J蔡立军.计算机网络安全技术 [M].北京:中国水利水电出版社,2002.

[5]黎连业,张维.防火墙及其应用技术 [M].北京:清华大学出版社,2004.

TP393108

A

1006-5342(2011)06-0030-03

2011-05-20