防火墙技术在传感器网络系统中的应用*
2012-06-08王晓聪黄赪东
王晓聪,张 冉,黄赪东
(63892 部队,河南 洛阳 471003)
0 引言
在现代社会中,从军事探测应用、交通管控监测到家居建筑检测,获取各种信息的雷达传感器已经逐渐融入到人们生活中的各个角落,并且向着网络化的方向发展。这也导致雷达信息处理系统产生了一些网络安全问题。如何更好地保护雷达探测网络已成为人们关注的焦点。
防火墙作为维护网络安全的重要设备,在雷达传感器网络安全保护体系中已逐渐发展成为一个不可或缺的重要环节。
1 传感器网络
1.1 传感器网络的定义
传感器网络指的是由部署于监测区域内部或附近的多个具有感知和信息获取能力的各种传感器所形成的电子信息网络,综合了传感器技术、计算机技术、通信技术、网络技术等多项现代信息技术,如图1所示。
图1 传感器(雷达)网络
目前,传感器网络中所使用的网络化传感器有两种:有线网络传感器(采用IEEE1451.2 标准)和无线网络传感器(采用IEEE1451.2 标准和蓝牙协议)[1]。图2所示为无线网络传感器的基本组成模块。
图2 无线网络传感器结构
1.2 无线传感器网络
无线传感器网络(Wireless Sensor Network,简称WSN)是当前广泛应用于军事、环境、农业、医疗等各领域的一种新兴前沿传感器网络。如图3所示,WSN分为传感器(群)、基站和管控节点3个部分。它将大量的无线网络传感器以自组织的方式构建成一个无线网络对目标对象进行监测,采用多跳技术传输传感器(群)所监测到的数据信息至基站。基站利用网关接入Internet 或卫星网络,将数据转发给数据处理中心(管控节点)。数据处理中心对传感信息进行分类、处理。应用用户可以通过访问数据处理中心进行发布监测任务、配置和管理传感器网络和获取监测结果等操作。
图3 WSN
1.3 分布式网络化雷达探测系统
基于无线传感器网络技术构建的分布式网络化雷达探测系统,相比于传统雷达,具有抗干扰、反隐身、抗摧毁的综合优势,在要地防空、低空高威胁目标预警探测、隐蔽监视等领域具有重要的应用前景。但是,分布式网络化雷达探测系统的物理形态决定了它必须依赖于通信和计算机网络传送和处理由分布在各处的传感器获取的探测信息,因此也使其面临着网络攻击和网络信息窃取的新威胁。如何应用防火墙技术,有效地保护分布式雷达探测系统网络安全,是新型雷达系统技术发展中必须解决的重要问题。
2 防火墙
2.1 防火墙的定义
防火墙指的是一个由软件和硬件设备组合而成、在进行数据交互的不同网络(如内网和外网、专用网和公共网等)之间构造的保护屏障[2]。如图4所示,在传感器网络中,防火墙主要是部署于数据处理节点。
图4 防火墙的部署
2.2 防火墙的分类
防火墙从技术发展历程上主要分为传统防火墙、统一威胁管理和下一代防火墙。
2.2.1 传统防火墙
传统防火墙从技术上主要分为包过滤防火墙、应用级防火墙和状态监测防火墙。
(1)包过滤防火墙
包过滤防火墙主要是依据事先设置好特定的过滤规则,审查每一个要通过的数据包包含的源地址、目的地址、端口号等参数,如果符合相应规则要求,则包过滤防火墙会转发该数据包;反之,则禁止该数据包的传输。
(2)应用级防火墙
如图5所示,应用级防火墙(也称代理服务器型防火墙)主要是利用代理服务器中转和控制内外网之间的通信连接,实现防火墙作用。
图5 应用级防火墙
(3)状态检测防火墙
状态检测防火墙与包过滤防火墙类似,主要是基于会话信息作出决策并动态开启/关闭端口。具体来说,在建立一个会话时,开启相应端口,并在状态表(session table)中保存此次建立的会话的相关信息(包括数据包的源地址、目的地址、端口号等)。此后依据状态表保存的信息,检查每一个要通过的数据包的内容是否符合先前允许的会话,如果符合,则状态检测防火墙会转发该数据包;反之,则禁止该数据包的传输。在所有数据传输完毕后,状态检测防火墙会删除状态表,关闭先前开启的端口。
2.2.2 统一威胁管理
如图6所示,统一威胁管理(Unified Threat Management,简称UTM),是在传统防火墙的基础上,由硬件、软件和网络技术组成的集成了防病毒、入侵检测和防火墙等多项安全特性的设备。它的硬件平台一般采用x86 架构、ASIC 架构、多核架构和混合架构,而软件平台一般是多种定制的操作系统的联合体[3]。
图6 UTM
2.2.3 下一代防火墙
下一代防火墙(Next Generation Firewall,简称NGFW)的概念源于市场分析咨询机构Gartner 于2009年发布的一份名为《Defining the Next-Generation Firewall》的文章,它是一个线速(wire-speed)网络安全处理平台[4],具有4个基本特性:
(1)Inheritance(继承性)
NGFW 是在传统防火墙的基础上演变而来的,它继承了传统防火墙所能提供的全部功能。
(2)Seamless integration(无缝集成化)
NGFW 对入侵防御系统(IPS)进行了无缝集成。具体来说,它不但在硬件内集成了IPS 功能,而且其内置的防火墙与IPS 之间的联动也是由NGFW 本身自动完成,并不需要管理员的介入。
(3)Intelligent(智能化)
NGFW 具有一定的智能化行为。具体来说,它能够根据收集到的防火墙外的各类信息进行分析,对要作出的决策或设定的规则进行修正。同时,NGFW的各安全功能模块之间处于紧密耦合的状态,能够相互根据各自提供的信息自动联动。
(4)Application of controllable(应用可控化)
与传统防火墙和UTM 不同,NGFW 是基于DPI/DFI技术深入到应用层报文进行检测,并根据应用签名、行为特征识别区分各种应用或威胁,使得网络管理员可以通过视图化的软件管理界面观察到各应用或威胁的具体情况,并对应用或威胁进行访问控制。
在此4个基本特性基础上,由于各个厂家的关注点的不同,NGFW 产品同时也具备了一些其他特性和功能。
例如,SonicWALL 在其旗下的NGFW 产品中集成了广域网加速功能和3G/Wi-Fi 无线接入能力;Check Point 在其旗下的NGFW 产品中集成了独有的应用程序库AppWiki;梭子鱼在其旗下的NGFW 产品中提供了虚拟环境部署方案;深信服科技在其旗下的NGFW产品中集成了WAF 产品的主要功能。
概括来说,NGFW的特性和安全功能分别如图7和图8所示。
图7 NGFW的特性
图8 NGFW的安全功能
3 防火墙在分布式雷达系统网络中的应用
防火墙在分布式雷达系统网络安全保护体系中主要负责信息处理节点的网络安全。以基于无线传感器网络构建的分布式雷达系统为例(如图9所示),防火墙将数据处理中心划分为两个区域:内网和非军事区(DMZ)。内网是指信息处理中心内部受保护网络,禁止外网用户访问;非军事区是指信息处理中心内部专门提供给远程用户通过外网访问的计算机(群)。
图9 防火墙拓扑结构
防火墙在分布式雷达系统网络中主要应用在以下几个方面:(1)身份审查和识别,(2)虚拟专用网(VPN功能)和权限管控,(3)防御黑客攻击,(4)集成网路行为分析和流量管理功能,(5)传感器信息数据加密传输。
3.1 身份审查和识别
在分布式雷达系统传感器与信息处理中心之间设置对用户的身份审查和识别网关,用户登录网络时,防火墙会检查用户身份。如果用户身份不符合,防火墙将拒绝该用户访问信息处理中心内部网络。在用户通过防火墙认证后,防火墙会根据访问控制策略允许用户访问其权限所规定的计算机并获取相应的信息资源。在传统防火墙里,访问控制策略是需要静态加载到防火墙上,而NGFW 可以做到将访问控制策略和用户动态绑定。同时,NGFW 防火墙还可以在用户登录后,结合事先设置好的使用者资料库,及时地将IP 地址与使用者资讯相关联,以有效识别用户真实身份。
3.2 虚拟专用网(VPN 功能)和权限管控
防火墙可以将分布式雷达系统的传感器节点和信息处理中心的所有计算机按照需要分为不同的组,以组为单位分配权限,组内计算机可以允许相互访问,组与组之间如果不具备相应权限则禁止访问,以此保护重要的传感器信息。NGFW 也可以根据用户身份的不同,差异化地给每个用户分配不同的访问权限。
3.3 防御黑客攻击
防火墙一般都具有抗DDoS 攻击功能,可以抵御一定量的非法数据流攻击,尤其是处理能力相对较高的NGFW,其所拥有的更高的每秒新建会话能力,使得攻击者对NGFW 进行网络层入侵时需要付出比对传统防火墙攻击超出数倍的攻击量才可能对NGFW 产生威胁。UTM和NGFW 都还集成了IPS、防病毒模块等,可以进行入侵防御、病毒和恶意软件防护,保护分布式雷达系统网络的有效运行。
3.4 集成网路行为分析和流量管理功能
NGFW 具有网路行为分析能力。例如,Palo Alto公司开发的NGFW 可以利用ACC分析引擎,检查网络是否存在安全威胁,并将所有用户的上网流量、连接情况等网路详细行为呈现给网络管理员。同时,NGFW还提供了管控网络流量的功能。NGFW 可以基于应用签名、行为特征识别控制进出数据处理中心的具体应用服务。在分布式雷达系统网络中集成NGFW,对非数据处理中心提供的应用服务或不明流量,通过NGFW 进行阻止,以大幅减少恶意应用服务的干扰,防止分布式雷达探测系统获取的重要信息外泄或丢失。
3.5 传感器信息数据加密传输
为防止各雷达传感器发出或者传入的重要信息在经过专用网、互联网或卫星网络传输时被他人窃取或者篡改,防火墙可以对在各类网络之间传输的数据分别进行特定级别的加密。
4 结束语
随着无线传感器网络技术的发展,分布式网络化探测和信息处理已成为未来雷达系统技术发展的重要形态之一,也使人们对雷达系统信息传输和处理网络的安全防护性能提出更高要求。防火墙作为网络安全保护体系中一种传统的保护机制,随着其技术的发展和功能的完善,对雷达探测系统网络的信息安全可以起到有效的保护作用。本文介绍了传感器网络和防火墙的概念、工作机理,阐述了防火墙在分布式雷达探测系统网络中的相关应用途径,对传感器网络信息安全的研究具有一定的参考价值。
[1]赵志诚,刘凯,郑浩.传感器技术和产品发展的重点[J].仪表技术与传感器,2005(3):1-2.
[2]林建平.网络防火墙技术现状与发展前景探析[J].山东电力高等专科学校学报,2006(4):52-54.
[3]刘胜华,金志平,刘云龙.UTM(统一威胁管理)技术综述[J].网络安全技术与应用,2011(4):12-13.
[4]宏技.应运而生:下一代防火墙“给力”[J].网络与信息,2011(2):51.
[5]李军.UTM与NGFW的新瓶旧酒[J].互联网周刊,2010(17):64-65.
[6]邢欣冉,姜民明.下一代防火墙技术前瞻[J].信息与电脑,2010(10):16.
[7]宋颖.防火墙技术与网络安全[J].中国新技术新产品,2011(18):23.
[8]李富伟.浅谈传感器的现状以及发展趋势[J].可编程控制器与工厂自动化,2007 (1):28-32.
[9]王纯.探析防火墙技术[J].无线互联科技,2011(6):19-20.
[10]梁海军.基于UTM 网络综合防御策略研究[J].网络安全技术与应用,2010(1):21-23.
[11]陈冬雨.在发展中完善下一代防火墙[J].计算机安全,2010(12):81-82.
[12]吕颖轩.构筑新一代网络安全屏障[J].电信网技术,2011(3):29-30.