防火墙技术与网络安全

2011-12-31宋颖

中国新技术新产品 2011年18期

宋颖

（大庆地质录井一公司资料解释评价中心，黑龙江大庆 163411）

1 防火墙的基本概念

防火墙是在一个被认为是安全和可信的内部网和一个被认为不那么安全和可信的外部网（如Internet）之间提供的一个由软件和硬件设备共同组成的安全防御工具。它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。

2 防火墙的主要功能

2.1动态包过滤技术。根据所设置的安全规则动态维护通过防火墙的所有通信的状态（连接），基于连接的过滤；

2.2部署NAT（Network Address Translation，网络地址变换）。防火墙是部署NAT的理想位置，利用NAT技术，将有限的公有IP地址动态或静态地与内部的私有IP地址进行映射，用以保护内部网络并可以缓解互联网地址空间短缺的问题；

2.3控制不安全的服务。通过设置信任域与不信任域之间数据出入的策略，一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。还可以可以定义规则计划，使得系统在某一时可以自动启用和关闭策略；

2.4集中的安全保护。通过以防火墙为中心的安全方案配置，一个子网的所有或大部分需要改动的软件以及附加的安全软件（如口令、加密、身份认证、审计等）能集中地放在防火墙系统中。这与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

2.5加强对网络系统的访问控制。一个防火墙的主要功能是对整个网络的访问控制。比如防火墙设置内部用户对外部网络特殊站点的访问策略，也可以针对可以屏蔽部分主机的特定服务，使得外部网络可以访问该主机的其它服务（如WWW服务），但无法访问该主机的特定服务（如Telnet服务）。

2.6网络连接的日志记录及使用统计。防火墙系统能提供符合规则报文的信息、系统管理信息、系统故障信息的日志记录。另外,防火墙系统也能够对正常的网络使用情况作出统计。通过对统计结果的分析,可以使得网络资源到更好的使用。

2.7报警功能。如具有邮件通知功能，可以将系统的告警通过发送邮件通知网络管理员

3 防火墙的基本构件和技术

3.1 筛选路由器

许多路由器产品都具有根据给定规则对报文分组进行筛选的功能，这些规则包括协议的类型、特定协议类型的源地址和目的地址字段以及作为协议一部分的控制字段。例如在常用的Cisco路由器上就具有这种对报文分组进行筛选的功能，这种路由器被称为筛选路由器.最早的Cisco路由器只能根据IP数据报头部内容进行过滤，而目前的产品还可以根据TCP端口及连接建立的情况进行过滤,而且在过滤语法上也有了一定改进。

筛选路由器提供了一种强有力的机制，可用于控制任何网络段上的通信业务类型。而通过控制一个网络段上的通信业务类型，筛选路由器可以控制该网络段上网络服务的类型，从而可以限制对网络安全有害的服务。筛选路由器可以根据协议类型和报文分组中有关协议字段的值来区别不同的网络通信业务。路由器根据与协议相关的准则来区别和限制通过其端口的报文分组的能力被称为报文分组过滤。因此，筛选路由器又称为分组过滤路由器。

3.2 分组过滤技术

筛选路由器可以采用分组过滤功能以增强网络的安全性。筛选功能也可以由许多商业防火墙产品和一些类似于Karlbridge的基于纯软件的产品来实现。但是，许多商业路由器产品都可以被编程以用来执行分组过滤功能。许多路由器厂商，象 Cisco、Bay Networks、3COM、DEC、IBM等，他们的路由器产品都可以用来通过编程实现分组过滤功能。

3.2.1分组过滤

分组过滤可以用来实现许多种网络安全策略。网络安全策略必须明确描述被保护的资源和服务的类型、重要程度和防范对象。

3.2.2网络安全策略

通常，网络安全策略主要用于防止外来的入侵，而不是监控内部用户。例如，阻止外来者入侵内部网络，对一些敏感数据进行存取和破坏网络服务是更为重要的。这种类型的网络安全策略决定了筛选路由器将被置于何处，以及如何进行编程用来执行分组过滤。良好的网络安全的实现同时也应该使内部用户难以妨害网络安全，但这通常不是网络安全工作的重点。

网络安全策略的一个主要目标是向用户提供透明的网络服务机制。由于分组过滤执行在OSI模型的网络层和传输层，而不是在应用层，所以这种途径通常比防火墙产品提供更强的透明性。我们曾经提到防火墙在OSI模型应用层上运行，在这个层次实现的安全措施通常都不够透明。在许多实际情况下，一般都只采用简单模型来实现网络安全策略。在这个模型中只有两个网段与过滤装置相连，典型的情况是一个网段连向外部网络，另一个连向内部网络。通过分组过滤来限制请求被拒绝服务的网络通信流。由于分组过滤规则的设计原则是有利于内部网络连向外部网络，所以在筛选路由器两侧所执行的过滤规则是不同的。换句话说，分组过滤器是不对称的。

3.3 代理服务和应用层网关

代理服务使用的的方法与分组过滤器不同，代理(Proxy)使用一个客户程序(或许经过修改)，与特定的中间结点连接，然后中间结点与期望的服务器进行实际连接。与分组过滤器所不同的是，使用这类防火墙时外部网络与内部网络之间不存在直接连接。因此，即使防火墙发生了问题，外部网络也无法与被保护的网络连接。

代理服务通常由两个部分构成：代理服务器程序和客户程序。相当多的代理服务器要求使用固定的客户程序。例如SOCKS要求适应SICKS的客户程序。如果网络管理员不能改变所有的代理服务器和客户程序，系统就不能正常工作。代理使网络管理员有了更大的能力改善网络的安全特性。然而，它也给软件开发者、网络系统员和最终用户带来了很大的不便，这就是使用代理的代价。也有一些标准的客户程序可以利用代理服务器通过防火墙运行，如mail、FTP 和 telnet等。

应用层网关可以处理存储转发通信业务，也可以处理交互式通信业务。通过适当的程序设计，应用层网关可以理解在用户应用层(OSI模型第七层)的通信业务。这样便可以在用户层或应用层提供访问控制，并且可以用来对各种应用程序的使用情况维持一个智能性的日志文件。能够记录和控制所有进出通信业务，是采用应用层网关的主要优点。在需要时，在网关本身中还可以增加额外的安全措施。

为了使用应用层网关，用户或者在应用层网关上登录请求，或者在本地机器上使用一个为该服务特别编制的程序代码。每个针对特定应用的网关模块都有自己的一套管理工具和命令语言。

3.4 堡垒主机及其应用

堡垒主机指的是任何对网络安全至关重要的防火墙主机。堡垒主机是一个组织机构网络安全的中心主机。因为堡垒主机对网络安全至关重要，对它必须进行完善的防御。这就是说，堡垒主机是由网络管理员严密监视的。堡垒主机软件和系统的安全情况应该定期地进行审查。对访问记录应进行查看，以发现潜在的安全漏洞和对堡垒主机的试探性攻击。