- 相關(guān)推薦
防火墻技術(shù)及其體系結(jié)構(gòu)研究
摘要: 本文首先指出了計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展過(guò)程中的安全問(wèn)題,然后給出了網(wǎng)絡(luò)安全可行的解決方案——防火墻技術(shù),同時(shí)分析了實(shí)現(xiàn)防火墻的幾種主要技術(shù),并討論了構(gòu)筑、配置防火墻的幾種基本的體系結(jié)構(gòu)。關(guān)鍵詞:防火墻 體系結(jié)構(gòu) 網(wǎng)絡(luò)安全 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò)
1概述
隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,上網(wǎng)的人數(shù)不斷地增大,網(wǎng)上的資源也不斷地增加,網(wǎng)絡(luò)的
開(kāi)放性、共享性、互連程度也隨著擴(kuò)大。政府上網(wǎng)工程的啟動(dòng)和實(shí)施,電子商務(wù)(electronic commerce)、電子貨幣(electronic currency)、網(wǎng)上銀行等網(wǎng)絡(luò)新業(yè)務(wù)的興起和發(fā)展,使得網(wǎng)絡(luò)安全問(wèn)題顯得日益重要和突出。防火墻技術(shù)是近年來(lái)發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。
防火墻實(shí)際上是一種訪(fǎng)問(wèn)控制技術(shù),在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙,
阻止對(duì)信息資源的非法訪(fǎng)問(wèn), 也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。換言之,防火墻是一道門(mén)檻, 控制進(jìn)出兩個(gè)方向的通信。通過(guò)限制與網(wǎng)絡(luò)或某一特定區(qū)域的通信, 以達(dá)到防止非法用戶(hù)侵犯受保護(hù)網(wǎng)絡(luò)的目的。
防火墻不是一個(gè)單獨(dú)的計(jì)算機(jī)程序或設(shè)備。在理論上,防火墻是由軟件和硬件兩部分組成,用來(lái)阻止所有網(wǎng)絡(luò)間不受歡迎的信息交換,而允許那些可接受的通信。
2防火墻技術(shù)
網(wǎng)絡(luò)防火墻是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪(fǎng)問(wèn)控制的特殊網(wǎng)絡(luò)設(shè)備,它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對(duì)其進(jìn)行檢查,來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許,其中被保護(hù)的網(wǎng)絡(luò)稱(chēng)為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò),另一方則被稱(chēng)為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。防火墻能有效得控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪(fǎng)問(wèn)及數(shù)據(jù)傳輸,從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶(hù)的訪(fǎng)問(wèn)和過(guò)濾不良信息的目的。一個(gè)好的防火墻系統(tǒng)應(yīng)具有以下五方面的特性:
1、所有的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過(guò)防火墻;
2、只有被授權(quán)的合法數(shù)據(jù)及防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過(guò)防火墻;
3、防火墻本身不受各種攻擊的影響;
4、使用目前新的信息安全技術(shù),比如現(xiàn)代密碼技術(shù)等;
5、人機(jī)界面良好,用戶(hù)配置使用方便,易管理。
實(shí)現(xiàn)防火墻的主要技術(shù)有: 數(shù)據(jù)包過(guò)濾, 應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。
2.1 包過(guò)濾技術(shù)
包過(guò)濾(Packet Filter)技術(shù)是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過(guò)濾邏輯, 檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后, 根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號(hào)、TCP/UDP目的端口號(hào)及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來(lái)確定是否允許數(shù)據(jù)包通過(guò),其核心是安全策略即過(guò)濾算法的設(shè)計(jì)。
例如,用于特定的因特網(wǎng)服務(wù)的服務(wù)器駐留在特定的端口號(hào)的事實(shí)(如TCP端口23用于Telnet連接),使包過(guò)濾器可以通過(guò)簡(jiǎn)單的規(guī)定適當(dāng)?shù)亩丝谔?hào)來(lái)達(dá)到阻止或允許一定類(lèi)型的連接的目的,并可進(jìn)一步組成一套數(shù)據(jù)包過(guò)濾規(guī)則。
包過(guò)濾技術(shù)作為防火墻的應(yīng)用有三類(lèi): 一是路由設(shè)備在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)之外, 同時(shí)進(jìn)行包過(guò)濾, 這是目前較常用的方式; 二是在工作站上使用軟件進(jìn)行包過(guò)濾, 這種方式價(jià)格較貴; 三是在一種稱(chēng)為屏蔽路由器的路由設(shè)備上啟動(dòng)包過(guò)濾功能。
2.2應(yīng)用網(wǎng)關(guān)技術(shù)
應(yīng)用網(wǎng)關(guān)(Application Gateway)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過(guò)濾,它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過(guò)濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。應(yīng)用網(wǎng)關(guān)對(duì)某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制, 以防有價(jià)值的程序和數(shù)據(jù)被竊取。它的另一個(gè)功能是對(duì)通過(guò)的信息進(jìn)行記錄,如什么樣的用戶(hù)在什么時(shí)間連接了什么站點(diǎn)。在實(shí)際工作中, 應(yīng)用網(wǎng)關(guān)一般由專(zhuān)用工作站系統(tǒng)來(lái)完成。
有些應(yīng)用網(wǎng)關(guān)還存儲(chǔ)Internet上的那些被頻繁使用的頁(yè)面。當(dāng)用戶(hù)請(qǐng)求的頁(yè)面在應(yīng)用網(wǎng)關(guān)服務(wù)器緩存中存在時(shí),服務(wù)器將檢查所緩存的頁(yè)面是否是最新的版本(即該頁(yè)面是否已更新),如果是最新版本,則直接提交給用戶(hù),否則,到真正的服務(wù)器上請(qǐng)求最新的頁(yè)面,然后再轉(zhuǎn)發(fā)給用戶(hù)。
2.3代理服務(wù)器技術(shù)
代理服務(wù)器(Proxy Server)作用在應(yīng)用層,它用來(lái)提供應(yīng)用層服務(wù)的控制,起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請(qǐng)求,拒絕外部網(wǎng)絡(luò)其它接點(diǎn)的直接請(qǐng)求。
具體地說(shuō),代理服務(wù)器是運(yùn)行在防火墻主機(jī)上的專(zhuān)門(mén)的應(yīng)用程序或者服務(wù)器程序;防火墻主機(jī)可以是具有一個(gè)內(nèi)部網(wǎng)絡(luò)接口和一個(gè)外部網(wǎng)絡(luò)接口的雙重宿主主機(jī),也可以是一些可以訪(fǎng)問(wèn)因特網(wǎng)并被內(nèi)部主機(jī)訪(fǎng)問(wèn)的堡壘主機(jī)。這些程序接受用戶(hù)對(duì)因特網(wǎng)服務(wù)的請(qǐng)求(諸如FTP、Telnet),并按照一定的安全策略轉(zhuǎn)發(fā)它們到實(shí)際的服務(wù)。代理提供代替連接并且充當(dāng)服務(wù)的網(wǎng)關(guān)。
包過(guò)濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過(guò)特定的邏輯判斷來(lái)決定是否允許特定的數(shù)據(jù)通過(guò),其優(yōu)點(diǎn)是速度快、實(shí)現(xiàn)方便,缺點(diǎn)是審計(jì)功能差,過(guò)濾規(guī)則的設(shè)計(jì)存在矛盾關(guān)系,過(guò)濾規(guī)則簡(jiǎn)單,安全性差,過(guò)濾規(guī)則復(fù)雜,管理困難。一旦判斷條件滿(mǎn)足, 防火墻內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運(yùn)行狀態(tài)便“暴露”在外來(lái)用戶(hù)面前。代理技術(shù)則能進(jìn)行安全控制又可以加速訪(fǎng)問(wèn),能夠有效地實(shí)現(xiàn)防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離,安全性好,還可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄和報(bào)告等功能。其缺點(diǎn)是對(duì)于每一種應(yīng)用服務(wù)都必須為其設(shè)計(jì)一個(gè)代理軟件模塊來(lái)進(jìn)行安全控制,而每一種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全問(wèn)題各不相同,分析困難,因此實(shí)現(xiàn)也困難。
在實(shí)際應(yīng)用當(dāng)中,構(gòu)筑防火墻的“真正的解決方案”很少采用單一的技術(shù),通常是多種解決不同問(wèn)題的技術(shù)的有機(jī)組合。你需要解決的問(wèn)題依賴(lài)于你想要向你的客戶(hù)提供什么樣的服務(wù)以及你愿意接受什么等級(jí)的風(fēng)險(xiǎn),采用何種技術(shù)來(lái)解決那些問(wèn)題依賴(lài)于你的時(shí)間、金錢(qián)、專(zhuān)長(zhǎng)等因素。
一些協(xié)議(如Telnet、SMTP)能更有效地處理數(shù)據(jù)包過(guò)濾,而另一些(如FTP、Gopher、WWW)能更有效地處理代理。大多數(shù)防火墻將數(shù)據(jù)包過(guò)濾和代理服務(wù)器結(jié)合起來(lái)使用。
3 防火墻的體系結(jié)構(gòu)
3.1 雙重宿主主機(jī)體系結(jié)構(gòu)
雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器;它能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。因此IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)(如外部網(wǎng)絡(luò))直接發(fā)送到另一個(gè)網(wǎng)絡(luò)(如內(nèi)部網(wǎng)絡(luò))。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信,內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信,它們之間的通信必須經(jīng)過(guò)雙重宿主主機(jī)的過(guò)濾和控制。如圖1.
3.2 被屏蔽主機(jī)體系結(jié)構(gòu)
雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒(méi)有使用路由器。而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開(kāi),如圖2.在這種體系結(jié)構(gòu)中,主要的安全由數(shù)據(jù)包過(guò)濾提供(例如,數(shù)據(jù)包過(guò)濾用于防止人們繞過(guò)代理服務(wù)器直接相連)。
圖1 雙重宿主主機(jī)體系結(jié)構(gòu)
這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪(fǎng)問(wèn)內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺(tái)主機(jī)。因此堡壘主機(jī)要保持更高等級(jí)的主機(jī)安全。
圖2 被屏蔽主機(jī)體系結(jié)構(gòu)
數(shù)據(jù)包過(guò)濾容許堡壘主機(jī)開(kāi)放可允許的連接(什么是“可允許連接”將由你的站點(diǎn)的特殊的安全策略決定)到外部世界。
在屏蔽的路由器中數(shù)據(jù)包過(guò)濾配置可以按下列方案之一執(zhí)行:
·允許其它的內(nèi)部主機(jī)為了某些服務(wù)開(kāi)放到Internet上的主機(jī)連接(允許那些經(jīng)由
數(shù)據(jù)包過(guò)濾的服務(wù))
·不允許來(lái)自?xún)?nèi)部主機(jī)的所有連接(強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù))
圖2 被屏蔽主機(jī)體系結(jié)構(gòu)
3.3被屏蔽子網(wǎng)體系結(jié)構(gòu)
被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu),即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)(通常是Internet)隔離開(kāi)。
被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為,兩個(gè)屏蔽路由器,每一個(gè)都連接到周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間,另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)(通常為Internet)之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè)“隔離帶”.為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò),侵襲者必須通過(guò)兩個(gè)路由器。即使侵襲者侵入堡壘主機(jī),他將仍然必須通過(guò)內(nèi)部路由器。如圖3.
圖3 被屏蔽子網(wǎng)體系結(jié)構(gòu)
4結(jié)束語(yǔ)
隨著Internet/Intranet技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)安全問(wèn)題必將愈來(lái)愈引起人們的重視。防火墻技術(shù)作為目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段,它主要是用來(lái)拒絕未經(jīng)授權(quán)用戶(hù)的訪(fǎng)問(wèn),阻止未經(jīng)授權(quán)用戶(hù)存取敏感數(shù)據(jù),同時(shí)允許合法用戶(hù)不受妨礙的訪(fǎng)問(wèn)網(wǎng)絡(luò)資源。如果使用得當(dāng),可以在很大程度上提高網(wǎng)絡(luò)安全。但是沒(méi)有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問(wèn)題,比如防火墻雖然能對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù),但對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊卻無(wú)能為力。事實(shí)上60%以上的網(wǎng)絡(luò)安全問(wèn)題來(lái)自網(wǎng)絡(luò)內(nèi)部。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的,還需要有其它技術(shù)和非技術(shù)因素的考慮,如信息加密技術(shù)、身份驗(yàn)證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識(shí)等等。
參考文獻(xiàn)
1、Karanjit S,Chirs H.Internet Firewall and Network Security,New Riders publishing,1996
2、Steven M B, William R C. Network firewalls. IEEE Communications, 1994(9)
3、林曉東,楊義先。 網(wǎng)絡(luò)防火墻技術(shù)。 電信科學(xué), 1997(13)
4、黃允聰,嚴(yán)望佳。 防火墻的選型、配置、安裝和維護(hù)。 清華大學(xué)出版社,1999
作者簡(jiǎn)介:黃智祥,男,合肥工業(yè)大學(xué)碩士研究生,主要研究方向:計(jì)算機(jī)網(wǎng)絡(luò)與分布式數(shù)據(jù)庫(kù)
葉震,男,合肥工業(yè)大學(xué)微機(jī)所副研究員,主要研究方向:計(jì)算機(jī)網(wǎng)絡(luò)與多媒體技術(shù)
孫志勇,男,合肥工業(yè)大學(xué)博士研究生,主要研究方向:計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)
【防火墻技術(shù)及其體系結(jié)構(gòu)研究】相關(guān)文章:
Internet防火墻技術(shù)綜述08-06
新技術(shù)推廣的阻礙因素及其對(duì)策研究——以高校為例08-26
消費(fèi)及其與經(jīng)濟(jì)增長(zhǎng)關(guān)系的研究08-05
股份回購(gòu)研究及其在中國(guó)的應(yīng)用08-05
軟交換技術(shù)及其應(yīng)用08-06
自認(rèn)構(gòu)成及其證據(jù)價(jià)值與規(guī)則研究08-05
WEP安全性能研究及其攻擊08-06