防火墙在网络安全中的应用

2017-03-28李秀峰

长治学院学报 2017年5期

关键词：路由器数据包防火墙

李秀峰

（长治学院计算机系，山西长治 046011）

防火墙在网络安全中的应用

李秀峰

（长治学院计算机系，山西长治 046011）

信息技术快速发展的同时，网络安全问题日益凸现。目前存着在多种网络安全技术，其中防火墙技术就是一种重要的防御措施。文章介绍了防火墙的定义、分类、非法攻击防火墙的方法及安全配置措施。

防火墙；NAT;网络安全

随着信息化技术的快速发展和网络的高度普及，资源共享和数据通信都需要通过计算机系统加以处理，人们的工作和生活已然离不开计算机和网络。因为网络的便捷和开放性，使得数据的存储和传输十分便捷，比如移动支付就可极大的减少现金流动，于此同时安全问题不容忽视。没有一个安全的网络环境，那么网络的使用程度将会大打折扣。为了保证网络安全，人们采取了很多技术和手段。无论哪种方式往往都会结合使用防火墙技术，它是最有效和最基础的防御手段之一。防火墙技术用于控制不同网络之间的互联程度，可以防止外部网络使用非法手段访问内部网络设备及内网资源，从而达到保护内部网络及系统的目的[1]。其工作原理是：对两个或多个网络之间传输的数据进行检查，按照管理员指定的安全策略以决定是否允许此次通信。

1 防火墙的基本功能

1.1 过滤风险服务

防火墙执行制定的网络安全策略，只有被允许的网络和协议才能通过防火墙。因此可对站点进行访问控制，过滤非法用户访问特殊站点，有效地将风险连接控制在网络最外层。

1.2 集中安全防护

防火墙可对企业内部网实行集中的安全管理，可将编写的访问策略应用在防火墙的端口之上，无须在内部网的每台主机上分别执行安全策略。

1.3 保密性

使用防火墙系统的站点可以防止finger，可以封锁域名服务信息，保护域名服务器信息不外露。

1.4 网络连接的统计

防火墙系统可以记录通过防火墙的网络通信连接，提供关于外部网路连接的统计数据，对所有的访问形成日志，便于在出现问题时溯源查询。

2 防火墙技分类

防火墙技术的发展经历了5个阶段[2]。第一代防火墙产生时间和路由器很接近，主要运用包过滤（Packet filter）技术，对流经端口的每个数据包提取其源端口、目的端口和源网络等信息，按照访问策略对其实施对应的操作；第二代防火墙为电路层防火墙，通过将TCP连接从可信任网络中继到非信任网络来工作；第三代为应用层代理防火墙，工作在TCP/IP协议的应用层，这个代理服务器可以伪装成真实的服务器，使真正的服务器免于被攻击；第四代为基于动态包过滤技术的防火墙，与第一代防火墙不同，它通过包的属性和维护一份连接表来监视通信会话的状态，而不是简单依靠标志的设置。也就是说第四代防火墙是基于会话进行操作的防火墙；第五代防火墙采用的是高级应用代理技术，在网关上使用代理程序，使其安全性能有了质的飞跃。目前，较为成熟和常用的防火墙技术主要有以下三种，三者各有所长，应用的场合不同。

2.1 包过滤防火墙

数据包过滤（Packet filtering）技术应用在网络层。其原理是：依据管理者定义的控制策略对流经端口的数据包进行分析、选择和过滤。具体实现过程是：对每一个数据包的源地址、目的地址、端口号、协议状态等信息进行采集和分析，之后遍历控制列表找到与之对应的语句，最后采取对应的措施。此类防火墙的优点是对每个数据包的IP字段进行检查，可以识别和丢弃带有欺骗性源IP地址的包，使这类数据包不能绕过防火墙，同时运算速度快、成本低、网络性能和透明度好。主要缺点是配置较为复杂，需要一定的工作经验。由于其主要针对当前的网络环境进行配置，可能会对以后的扩展服务产生限制，需要及时调整。同时一些应用协议也不适合进行数据包过滤。另外，如果攻击性程序冒充或窃取正常数据包的源地址、目的地址以及IP端口号，该型防火墙将对其失去免疫能力。

2.2 状态检测防火墙

状态检测防火墙基于传统包过滤技术上发展而来。与包过滤防火墙不同的是：其所跟踪检测的对象既有IP数据包中所包含的信息（如：源、目的信息），还包括该数据包的状态，同时记录与之有关的信息（如：现有的网络连接和信息的传出请求等）用来提高辨识数据包的能力。这样做的好处是在原有包过滤的基础上增加一组附加标准，可以根据这些标准制定精细化的策略，以更高的要求决定数据包是否可以正常通过。状态检测防火墙的优点是遵从基于包中信息的过滤规则，检查每个需要通过的数据包IP字段，具有辨识欺骗性源IP地址数据包的能力，可以杜绝此类数据包通过防火墙。该型防火墙唯一的缺点是大量的状态检测工作可能会引起网络通信的某种延时，尤其是在防火墙应用了大量过滤规则和处在高并发性的网络时。这种情况下对网络的传输性能有一定的影响。

2.3 应用代理防火墙

该型防火墙将所有连接在其上网络通信链路分为内、外两部分，内网和外网之间的通信经过应用层，通过使用两个代理服务器实现通信连接。[3]这样做的好处是：外网访问连接只能到达网关的代理服务器，而不能直接访问内网，从而起到将内网设备与外网隔离的作用。同时代理服务器会对流经的数据包进行信息采集和分析，形成流量统计报告，如检测发现类似攻击的操作时会向管理者发出警告，并保留攻击痕迹，便于对已发生的攻击和未授权的访问事件进行审计。应用代理防火墙能够对特定的网络连接进行控制，如限制对数据库服务器网络地址的访问或对特殊IP地址的访问。同时，还可以通过控制部分协议的传出请求，以缩减不必要的网络服务，减少被攻击的几率。应用代理防火墙的缺点是：必须在一定程度上制定用户的网络连接属性，这样会导致部分应用程序因不支持代理连接而无法使用。

3 非法攻击防火墙的方法

防火墙能够对网络的内部使用环境提供较好的防范，但不可避免的也存在着一些局限性，如：不能防御未流向防火墙的攻击，也不能防御内部人为因素的攻击，不能防御携带病毒的文件传输以及不能防御数据驱动式的攻击。下面列举3种非法攻击防火墙的方式，针对这些问题要严加防范。[4]

（1）利用“绿色”子网攻击。这些网段往往得到了防火墙的允许，所以是攻击者最常用的攻击方法。

（2）攻击与干扰相结合。也就是让防火墙始终处于繁忙的状态，在此期间进行攻击。过分的繁忙会导致防火墙临时停机或处于失效状态，导致其安全防护性能急剧下降。

（3）内部攻击。这一点需要特别注意。防火墙可以禁止特定网络的接入访问，而无法拒绝内部网络的攻击。一些不怀好意的人会利用这个漏洞对防火墙发起攻势。攻击的目标常常是防火墙或运行中的服务器，这类攻击最为棘手也最难以防范。

4 防火墙在网络安全中的应用

4.1 安全服务区配置

安全服务隔离区（Demilitarized Zone）简称DMZ，又称为“非军事区”，主要作用是将部分必须公开的服务功能设置在外网可访问的区域，为确保安全而又不能使外网直接访问，如WEB服务和FTP服务。[5]此区域并不是将其中设备完全独立，它依旧是内网的一部分。对其进行单独划分是为了服务器系统正常履行义务的同时保障其安全性。安全服务隔离区的建立最好结合NAT技术使用，将内网服务器或者需要被外网访问的主机通过地址转换服务向外网开放，外网用户可以访问转换后的IP地址，但并不清楚真实的内网IP。如此，即便被发起攻击，目标也只是一个虚拟的IP，起到很好的内网防护作用。同时还可以使用NAPT技术大幅度减少对公网IP的租用数量，节约企业开支。对于部分企业网已经了具备边界路由器的情况，可以在不去除原有设备的前提下进行加装。如在边界路由器上添加ACL访问控制列表，这样路由器就具备了包过滤防火墙的功能，之后将路由器和内网进行连接，在路由器的另一个端口单独设置一个网段用来做DMZ区域；或者防火墙与边界路由器相结合使用，组成两道安全防线，同时可以在这两者之间设置DMZ区域，用来放置需要被外网访问的服务器设备。

4.2 访问策略配置

对于防火墙来说，合理的配置访问策略是最为重要的。一个完善的访问策略必须经过实地考察、推演和实践，并结合已有的成功案例，不能盲目设置。在与用户探讨需求分析过程中，必须要了解企业的内外网络应用，以及这些应用使用的源地址、目的地址和服务端口。收集以上信息后，结合应用的使用频率制订合理的访问策略，在规则表中进行细致的排序，如将访问次数最多的配置策略设置在控制列表的前列并做到最简化，以提高执行效率。