基于CBAC防火墙对HTTP的JAVA插件智能过滤的研究和实践
2014-12-05马朝辉
马朝辉
摘要:随着互联网的发展,网络安全日益重要。如何借助防火墙保护网络内部信息的安全已经成为当前的重要课题。该文研究基于CBAC防火墙的配置实现对应用层HTTP协议的JAVA插件智能过滤。实验结果表明,该文提出的配置方案能有效实施JAVA插件过滤,从而避免一些网站上恶意的JAVA插件对内部造成的潜在安全威胁。
关键词:CBAC防火墙;HTTP协议;JAVA插件;过滤
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)31-7493-0
Abstract: With the development of the Internet, network security is becoming more and more important. How to use a firewall to protect internal network information security has become an important topic. Based on CBAC firewall configuration ,we study how to filter java plug-in intelligently in this paper, and the experiment results show that the proposed scheme can effectively implement JAVA plug-in filter, so as to avoid some website malicious JAVA plug-in to cause potential security threats.
Key words: CBAC Firewall; HTTP Protocol; JAVA Plug-in; Filtering
当前,一些别有用心的国家持续对我国发起大规模、系统性的网络攻击,导致重要资源的泄露和恶意篡改,如何有效防止黑客的恶意攻击已经成为我国当前发展的一个重要课题。防火墙技术,最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问[1]。它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件,该计算机流入流出的所有网络通信均要经过此防火墙[2]。
1 防火墙分类
防火墙是保护局域网免受外部网络攻击的最有效措施,从发展过程来看,主要分成两大类,一是基于区域划分防火墙,二是CBAC防火墙。基于区域划分防火墙,它是一种较新的防火墙技术,虽然能完美的实现对单独服务器的访问权限的设置,但是在对单台服务器的HTTP协议的JAVA插件控制方面存在很大不足。CBAC防火墙是经典防火墙技术,它可以智能的实现对HTTP协议的JAVA插件过滤或者不过滤,通过简单的配置满足客户需求。
2 CBAC防火墙简介
Context-Based Access Control(CBAC)基于上下文的访问控制协议通过检查防火墙的流量来发现和管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过配置监控信息,允许为监控的协议建立连接,打开这些通路[3]。CBAC对于运行TCP、UDP应用或某些多媒体应用的网络来说是一个较好的安全解决方案。除此之外,CBAC在流量过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面表现卓越。在大多数情况下,我们只需在单个接口的一个方向上配置CBAC,即可实现只允许属于现有会话的数据流进入内部网络。可以说,ACL与CBAC是互补的,它们的组合可实现网络安全的最大化。
3 CBAC防火墙过滤HTTP JAVA插件的配置和实现
应用层协议是用于解决某一类网络应用问题的、位于不同主机中的多个应用进程之间的通信规则和约定。应用层的具体内容就是规定应用进程在通信时所遵循的协议。当前常见的应用层协议包括:FTP、Telnet、SMTP、HTTP、RIP、NFS、DNS等,该文以HTTP为例,通过在CBAC防火墙上进行正确的配置来对HTTP的JAVA插件进行智能过滤,即过滤恶意的JAVA插件,保留有用的插件。有效地防止恶意插件传送到终端,以及防止恶意级协议流量传送到终端,保证了网络的安全。
3.1 需求
放行去往外部网络的HTTP流量,具体包括以下两个:一是允许XP系统通过HTTP协议访问WWW网站服务器;二是放行XP系统通过HTTP的2002端口访问3A服务器某软件。通过放行,可以方便的在内部网络通过网址访问外部WWW服务器和3A服务器。
接下来需要监控从内到外的HTTP流量。监控的目的是使得两台服务器里面的JAVA插件全部过滤,从而在内部网络无法打开这些插件。
参考文献:
[1] 吴秀梅.防火墙技术及教程[M].北京:清华大学出版社,2010.
[2] 于婷婷.浅谈Internet防火墙技术[J].计算机光盘软件与应用,2012(4).
[3] CBAC防火墙介绍. 2011.09.07. http://baike.baidu.com/view/1301851.htm?fr=aladdin
