防火墙技术及其在网络安全中的应用
摘要
防火墙是网络安全的关键技术,在实际中被广泛应用。防火墙技术实际是一种隔离技术,它将企业内部网络或个人计算机与internet隔离开来,只允许符合特定规则的数据包通过,从而最大限度的保护计算机系统的安全。本文讨论防火墙技术的基本原理、实现防火墙的主要技术手段、防火墙技术的优缺点以及防火墙技术的实际应用。
关键字
防火墙 网络安全 包过滤 代理服务器 状态检测
1、防火墙的基本原理
在网络中,防火墙技术实际上是一种隔离技术,它将内部网与公众网隔离开来,从而达到保护内部网络不受侵害的目的。
典型的应用防火墙技术的网络系统具备如下三个基本特征:
1) 内部网络和外部网络之间的所有数据流量都必须经过防火墙。
这是防火墙实现防护功能的前提,因为只有当防火墙是内网网络之间唯一的通讯通道时,它才能全面有效的保护内部网络。 根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。典型的防火墙网络体系结构如图1所示:
图1,防火墙网络体系结构
2) 只有符合安全策略的数据流才能通过防火墙
安全策略是防火墙判断通过的数据的合法性的重要依据,拒绝违反安全策略的数据流的通过是防火墙实现安全防护功能的重要手段。 防火墙有两种对立的安全策略: 允许没有特别拒绝的数据流通过。这种情况下防火墙只规定了不允许通过的数据对象,除此之外其他任何数据都是允许的,安全性相对较弱。 拒绝北邮特别允许的数据流通过。这种情况下防火墙规定了允许通过的数据对象,除此之外任何数据都不允许通过,安全性相对较强。 3) 防火墙自身硬具备很强的抗攻击能力
防火墙处于网络边缘,是内外网互通的唯一通道,内网的重要安全屏障,势必成为网络攻击的首要目标,这就要求防火墙本身必须具备很强的抗攻击免疫力,只有在自身安全的前提下才能完成保护内网不受攻击的首要目标。
此外,在传统防火墙基础上发展起来的新型防火墙,如应用层防火墙和数据库防火墙,除具有传统防火墙的功能特点之外,还具备特殊防护功能,如应用层防火墙具备区分端口和应用的能力,可以有效抵御应用层攻击,数据库防火墙具备针对数据库系统的恶意攻击的阻断能力,可以抵御针对数据库服务器攻击的SQL注入技术、返回行超标技术等。
2、防火墙的功能
安全功能是防火墙的核心功能,防火墙必须支持一定的安全策略,过滤掉不安全服务和非法用户,控制管理网络访问行为,监视网络安全状况,必要时发出警报。
除安全功能外,防火墙还可以实现如下功能:通过网络地址转换技术NAT缓解地址空间短缺问题;方便的实现流量统计、计费等功能;将企业内部用于发布信息的www服务器、ftp服务器等隔离开来。
3、防火墙的关键技术
1) 包过滤技术
包过滤技术是一种简单有效的安全控制技术,其技术基础是网络数据分包传输技术。包过滤型防火墙是防火墙的初级产品,通过读取数据包中的源地址、目标地址、源端口、目标端口等信息判断该数据包是否来自可信任的安全站点。
包过滤型防火墙的优点是具有用户透明性,过滤效率高且易于维护。
包过滤型数据库的缺点是访问控制列表的配置比较复杂,对网络管理人员的要求较高;性能随访问控制列表的长度成指数下降;对通过应用层协议进行的攻击无能为力;没有用户的使用记录,无法通过日志分析网络攻击。
2) 代理服务器技术
代理服务器在网络应用层提供授权检查,在内网和外网进行信息交换时对数据进行转发。使用代理服务器时,内网用户访问外网主机时,首先将请求发送到代理服务器,代理服务器检查该请求是否符合规定,不符合规定的请求直接丢弃,对符合规定的请求,代理服务器会修改数据包中的ip地址,然后发送给外网主机,对于外网主机来说,请求其实是代理服务器发送的。同样,外网服务器返回的数据包也先发送给代理服务器,代理服务器进行检查,丢弃不符合规则的数据包,将符合规则的数据库转发给原请求数据的内网用户。
代理服务器运行在内外网之间,能有效隔绝内外网的直接通信,其优点是安全性好,能实现流量监控、过滤和日志功能,但是由于每次通讯都需要通过代理服务器转发,具有使网络访问速度变慢的缺点,同时,对于每一种应用服务都需要设计一个专门的代理软件模块,并不是所有的互联网应用软件都可以通过代理服务器访问。
3) 状态检测技术
状态检测防火墙是在包过滤技术上发展而来的,又称动态包过滤防火墙。传统的包过滤技术只检测单个数据包,安全规则是静态的,状态检测技术可以将前后数据包的上下文联系起来,根据过去的通讯信息和其他状态信息动态生成过滤规则。
4) 深度内容检测技术
普通报文检测仅分析报文中的源地址、目标地址、源端口、目标端口和协议类型的信息,而当前网络上的一些非法应用会采用隐藏假冒端口号的方法躲避检测和监管,仿冒合法报文攻击网络,在此情况下,传统的检测方法已经无能为力了。深度内容检测技术是通过对应用流中的数据报文内容进行探测,增加了应用层分析,识别各种应用及其内容,从而确定数据报文的真正应用。
4、防火墙在网络系统中的实际应用
1) 个人防火墙
个人防火墙通常是一个运行在计算机上具有数据包过滤功能的软件,不需要特定的网络设备,只要在用户所使用的PC上安装软件即可。现在主流的pc操作系统,如window(windows xp之后版本)、linux等都有内置防火墙程序。
常见的个人防火墙有:天网防火墙个人版、瑞星个人防火墙、360木马防火墙、费尔个人防火墙、江民黑客防火墙和金山网标等。这些软件都能够独立运行于整个系统中或针对对个别程序、项目,所以在使用时十分方便及实用。
个人防火墙的优点是成本低,不需要额外的硬件资源,主要的缺点是其本身很容易受到威胁。
以下以Kaspersky Anti-Hacker为例,简单介绍个人防火墙的使用。图2是Kaspersky Anti-Hacker的主界面。
图2:Kaspersky Anti-Hacker主界面
a) 应用程序规则
Anti-Hackert个人防火墙的应用级规则是一个重要功能,通过实施应用及过滤,可以决定哪些应用程序可以访问网络。
当Kaspersky Anti-Hacker成功安装后,会自动把一些安全的有网络请求的程序,添加到程序规则列表中,并且根据每个程序的情况添加适当规则,Anti-Hacker把程序共分9种类型,不同类型的访问权限不同。
如果对目标程序比较了解,可以自定义规则,为程序规定的访问的协议和端口。
b) 包过滤规则
Anti-Hacker提供的包过滤规则主要是针对电脑系统中的各种应用服务和黑客攻击来制定的。点击“服务/包过滤规则”菜单,打开包过滤规则窗口,规则可以自定义编辑。
这些规则把服务细化到通过固定端口和协议来访问网络,为电脑提供最大的安全保障。
c) 网络防火墙的应用
Anti-Hacker防火墙可以阻止10种各类攻击,入侵检测系统默认是启动的。打开“服务/设置”菜单,切换到“入侵检测系统”标签,可以调整每项的具体参数的设置。上网时当遭到黑客攻击时,防火墙的程序主窗口会自动弹出,并在窗口级别的下方显示出攻击的类型和端口。这时可以根据情况禁用攻击者的远程IP地址与你的电脑之间的通讯,并且在包过滤规则中添加上禁止该IP地址通讯的规则,这样以后就再不会遭到来自该地址的攻击了。如果上述方法不能奏效,还可以选择全部拦截或者暂时断开网络。
Anti-Hacker防火墙还有非常强大的日志功能,一切网络活动都会记录在日志中。从中可查找出黑客留下的蛛丝马迹,对防范攻击是非常有帮助的。
2) 企业防火墙
大中型企业一般对网络的需求更大,网络访问的用户数量和流量很大,对网络安全的要求也很高,基于这些原因,一般都选择使用硬件防火墙。硬件防火墙是专门的安全设备,上面预装着安全软件,其操作系统一般是专用操作系统。
企业用户在防火墙的应用上,除了防火墙的基本功能外,一般都根据用户的需要增加了许多扩展功能,如NAT、DNS、VPN、IDS等。
一般的企业网络拓扑结构如图3所示:
图3:一般企业网络拓扑结构
图3所示的网络结构没有安全防护措施,存在着明显的安全威胁,特别是对外提供服务的www服务器等,很容易受到攻击。上述的安全威胁问题可以通过使用防火墙解决,使用防火墙后的网络结构如图4所示。
图4:使用防火墙的企业网络结构
防火墙在企业网络中可以实现如下功能:
1) 实现企业内部网与internet之间的隔离与访问控制; 2) 实现对内部网各网段的访问控制
3) 实现都www等公开服务器的安全保护 4) 代理内部用户访问internet 5) 实现流量控制
6) 防止攻击及进行入侵检测 7) 实现安全记录与审计
5、结束语
防火墙技术还处于发展完善的过程中,目前网络环境中各种新的攻击方式层出不穷,这必将促进防火墙技术的飞速发展。防火墙技术是实现网络安全和信息安全的基础,在实际应用中,应根据信息安全级别及用户的具体需求,合理采用适当的防火墙,并结合其他信息安全技术,以保证网络信息的安全。
参考文献
[1] 蔡金龙、秦婧
防火墙关键技术的研究[J] 科技信息,2008,27,551-553 [2] 楚狂等 网络安全与防火墙技术[M] 人民邮电出版社,2000 [3] 翟钰等 防火墙包过滤技术发展研究[J] 计算机应用研究,2004,9,144-146 [4] 黎连业、张维等 防火墙及其应用技术[M] 清华大学出版社,2004,7
