防火墙技术
1概述
随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的
开放性、共享性、互连程度也随着扩大。政府上网工程的启动和实施,电子商务(electronic commerce)、电子货币(electronic currency)、网上银行等网络新业务的兴起和发展,使得网络安全问题显得日益重要和突出。防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,
阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上被非法输出。换言之,防火墙是一道门槛, 控制进出两个方向的通信。通过限制与网络或某一特定区域的通信, 以达到防止非法用户侵犯受保护网络的目的。
防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。
2防火墙技术
网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性:
1、所有的内部网络和外部网络之间传输的数据必须通过防火墙;
2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙;
3、防火墙本身不受各种攻击的影响;
4、使用目前新的信息安全技术,比如现代密码技术等;
5、人机界面良好,用户配置使用方便,易管理。
实现防火墙的主要技术有: 数据包过滤, 应用网关和代理服务等。
2.1 包过滤技术
包过滤(Packet Filter)技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑, 检查数据流中每个数据包后, 根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤算法的设计。
例如,用于特定的因特网服务的服务器驻留在特定的端口号的事实(如TCP端口23用于Telnet连接),使包过滤器可以通过简单的规定适当的端口号来达到阻止或允许一定类型的连接的目的,并可进一步组成一套数据包过滤规则。
包过滤技术作为防火墙的应用有三类: 一是路由设备在完成路由选择和数据转发之外, 同时进行包过滤, 这是目前较常用的方式; 二是在工作站上使用软件进行包过滤, 这种方式价格较贵; 三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。
2.2应用网关技术
应用网关(Application Gateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制, 以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中, 应用网关一般由专用工作站系统来完成。
有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户。
2.3代理服务器技术
代理服务器(Proxy Server)作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它接点的直接请求。
具体地说,代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如FTP、Telnet),并按照一定的安全策略转发它们到实际的服务。代理提供代替连接并且充当服务的网关。
包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据通过,其优点是速度快、实现方便,缺点是审计功能差,过滤规则的设计存在矛盾关系,过滤规则简单,安全性差,过滤规则复杂,管理困难。一旦判断条件满足, 防火墙内部网络的结构和运行状态便“暴露”在外来用户面前。代理技术则能进行安全控制又可以加速访问,能够有效地实现防火墙内外计算机系统的隔离,安全性好,还可用于实施较强的数据流监控、过滤、记录和报告等功能。其缺点是对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,因此实现也困难。
在实际应用当中,构筑防火墙的“真正的解决方案”很少采用单一的技术,通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险,采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。
一些协议(如Telnet、SMTP)能更有效地处理数据包过滤,而另一些(如FTP、Gopher、WWW)能更有效地处理代理。大多数防火墙将数据包过滤和代理服务器结合起来使用。 3 防火墙的体系结构
3.1 双重宿主主机体系结构
双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络(如外部网络)直接发送到另一个网络(如内部网络)。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。如图1。
3.2 被屏蔽主机体系结构
双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开,如图2。在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。
图1 双重宿主主机体系结构
这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。
图2 被屏蔽主机体系结构
数据包过滤容许堡垒主机开放可允许的连接(什么是"可允许连接"将由你的站点的特殊的安全策略决定)到外部世界。
在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行:
·允许其它的内部主机为了某些服务开放到Internet上的主机连接(允许那些经由
数据包过滤的服务)
·不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)
图2 被屏蔽主机体系结构
3.3被屏蔽子网体系结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络(通常是Internet)隔离开。
被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,他将仍然必须通过内部路由器。如图3。
图3 被屏蔽子网体系结构
