防火墙技术综述
- 格式:pdf
- 大小:80.98 KB
- 文档页数:2
2002年第1期
2002年3月 山 东 乞 霉 第22卷
总第87期
防火墙技术综述
胡 东
枣庄峄城区气象局.山东枣庄277100)
摘要:介绍了防火墙的理论以及防兜墙的建立、安全设置和实际使用等问题。
关键词:互联网;防火墙;安全性 。
中图分类号:TP393.08 文献标识码:B 文章编号:1005—0582 c 2002101—0045—02
引言
众所周知,作为全球使用范围最大的信息网,
Internet自身协议的开放性极大地方便了各种计
算机人网.拓宽了共事资源。但是.由于在早期网
络协议设计上对安全问题的忽视,以及使用和管理
的无政府状态,逐渐使Internet自身的安全受到严 重威胁,与它有关的安全事故屡有发生。这就要求 我们对Internet互联所带来的安全性问题应予以 足够重视。 防火墙是设置在被保护网络和外部网络之间 的一道屏障,以防止发生不可预测的、潜在破坏性 的侵人,可有效地保证网络安全。 l防火墙简述 防火墙是指设置在不同网络(如可信任的企业内 部网和不可信的公共网)或网络安全域之问的一系列 部件的组合。它可通过监测、限制、更改跨越防火墙 的数据流,尽可能地对外部屏蔽网络内部的信息、结 构和运行状况,以此来实现网络的安全保护。 在逻辑上,防火墙是一个分离器,一个限制器, 也是一个分析器,有效地监控了内部网和Internet 之间的活动.保证内部网络的安全。 2防火墙的种类 防火墙总体上分为包过滤、应用级网关和代理 服务器三大类型。 2.1数据包过滤 数据包过滤(Packet Filtering)技术是在网络 层对数据包进行选择,选择的依据是系统内设置的 过滤逻辑,被称为访问控制表(Aceess Control 收碚日期}2001—09一l6 作者茼舟 胡东(I97O一) 男.山东薛城人 从事气象科技服务与产业。 Table)。通过检查数据流中每个数据包的源地址、 目的地址、所用的端口号、协议状态等.或它们的组 合来确定是否允许该数据包通过。数据包过滤防 火墙逻辑简单,价格便宜,易于安装和使用.,网络性 能和透明性好,它通常安装在路由器上。路由器是 内部网络与Internet连接必不可少的设备.因此在
原有网络上增加这样的防火墙几乎不需要任何额
外的费用。
数据包过滤防火墙的缺点有二:一是非法访问
一
旦突破防火墙,即可对主机上的软件和配置漏洞
进行攻击;二是数据包的源地址、目的地址以及IP
的端口号都在数据包的头部,很有可能被窃听或假
冒。
2 2应用级网关
应用级网关(Application Level Gateways)是在
网络应用层上建立协议过滤和转发功能。针对特
定的网络应用服务协议使用指定的数据过滤逻辑,
并在过滤的同时,对数据包进行必要的分析、登记
和统计,形成报告。实际中的应用网关通常安装在
专用工作站上。数据包过滤和应用网关防火墙有
一
个共同的特点,就是它们依靠特定的逻辑判定是
否允许数据包通过。一旦满足逻辑,则防火墙内外
的计算机系统建立直接联系.防火墙外部的用户便
有可能直接了解防火墙内部的网络结构和运行状
态.以实施非法访问和攻击。
2.3代理服务
代理服务(Proxy Service)也称链路级网关或
TCP通道(Circuit Level Gateways或TCP Tun.
・
45
维普资讯 http://www.cqvip.com
nelS),也有人将它归于应用级网关~类。它是针
对数据包过滤和应用网关技术存在的缺点而引入
的防火墙技术,其特点是将所有跨越防火墙的网络
通信链路分为两段。防火墙内外计算机系统间应
用层的“链接”,由两个终点代理服务器上的“链接”
来实现,外部计算机的网络链路只能到达代理服务
器,从而起到了隔离防火墙内外计算机系统的作
用。此外,代理服务也对过往的数据包进行分析、
注册登记,形成报告,当发现被攻击迹象时会向网
络管理员发出警报,并保留攻击痕迹。
3设置防火墙的要素
3.1 网络策略
影响Firewall系统设计、安装和使用的网络策
略可分为两级,高级的网络策略定义允许和禁止的
服务以及如伺使用服务,低级的网络策略描述
Firewall如何限制和过滤在高级策略中定义的服
务。
3.2服务访问策略
服务访问策略集中在Internet访闻服务以及
外部网络访问(如拨人策略、sL】P/PPP连接等)。 服务访问策略必须是可行的和合理的。可行的策 略必须在阻止已知的网络风险和提供用户服务之 间获得平衡。典型的服务访问策略是:允许通过增 强认证的用户在必要的情况下从Internet访问某 些内部主机和服务。 3.3防火墙设计策略 通常有两种基本的设计策略:允许任何服务除 非被明确禁止;禁止任何服务除非被明确允许。第 种的特点是安全但不好用,第二种是好用但不安 全,通常采用第二种类型的设计策略。而多数防火 墙都在两种之间采取折衷 3.4增强的认证 许多在Internet上发生的入侵事件源于脆弱 的传统用户/El令机制。多年来,用户被告知使用 难于猜测和破译口令,但攻击者仍然在Internet上 监视传输的口令明文.使传统的口令机制形同虚 设。增强的认证机制包含智能卡、认证令牌、生理 特征(指纹)以及基于软件(RSA)等技术,来克服传 统口令的弱点 虽然存在多种认证技术,但它们均 使用增强的认证机制产生难被攻击者重用的口令 和密钥。目前许多流行的增强机制使用一次有效 的口令和密钥(如SmartCard和认证令牌)。 ・46 4防火墙在大型网络系统中的部署 根据网络系统的安全需要,可以在如下位置部 署防火墙: (1)局域网内的VL,(N之间控制信息流向时。 (2)Intranet与Internet之问连接时(企业单位 与外网连接时的应用网关)。 在广域网系统中,由于安全的需要,总部的局 域网可以将各分支机构的局域网看成不安全的系 统,(通过公网ChinaPac,ChinM)DN,Frame Relay 等连接)在总部的局域网和各分支机构连接时采用 防火墙厢离,并利用VPN构成虚拟专网。 (3)总部的局域网和分支机构的局域网是通过 lniernet连接,需要各自安装防火墙.并利用 NetSereen的VPN组成虚拟专网 在远程用户拨号访问时,加入虚拟专网。 (4)ISP可利用NetSereen的负载平衡功能在 公共访问服务器和客户端阃加人防火墙进行负载 分担、存取控制、用户认证、流量控制、日志纪录等 功能。 (5)两网对接时,可利用NetScreen硬件防火
墙作为网关设备实现地址转换(NAT),地址映射
( ),网络隔离(DMZ),存取安全控制,消除传
统软件防火墙的瓶颈问题。
5结语
随着网络攻击手段和信息安全技术的发展,新
一
代防火墙功能更强大,安全性更强。目前防火墙
已经超过传统意义上的防火墙的范畴,演变成一个
全方位的安全技术集成系统,称为第四代防火墙。
同时,新一代防火墙技术采用了一些主动的网络安
全技术,比如网络安全性分析、网络信息安全检测
等等.因此可以抵御目前常见的网络攻击手段:IP
地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探
寻攻击、邮件攻击等等。
网络安全是一种相对的安全,并没有绝对安全
的网络.网络的安全系数越高,需要付出的代价越
高。增加网络安全的措施不可避免地要耗费网络
资源或者限制资源的使用,这对网络服务的高效、
灵活是一种抑制。因此对网络安全的追求必须与
网络服务高效灵活和应用成本之间寻求一个最佳
平衡点。
致谢:南京气象学院茅晓波、张宝云、罗勇等提供技术方
面的帮助,以及北美防^墙技术研究所提供的最前沿的费抖。
维普资讯 http://www.cqvip.com