浅谈网络安全与防火墙技术

随着信息化进程的深入和互联网的迅速发展, 人们的工作、学习和生活方式正在发生巨大变化, 效率大为提高, 信息资源得到最大程度的共享。但必须看到, 紧随信息化发展而来的网络安全问题日渐凸出, 如果不很好地解决这个问题, 必将阻碍信息化发展的进程。

1 网络安全问题的产生

互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。然而, 正是由于互联网的上述特性, 产生了许多安全问题: (1) 信息泄漏、信息污染、信息不易受控。例如, 资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等, 这些都是信息安全的技术难点。 (2) 在网络环境中, 一些组织或个人出于某种特殊目的, 进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透, 甚至通过网络进行政治颠覆等活动, 使国家利益、社会公共利益和各类主体的合法权益受到威胁。 (3) 网络运用的趋势是全社会广泛参与, 随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧, 使信息资源的保护和管理出现脱节和真空, 从而使信息安全问题变得广泛而复杂。 (4) 随着社会重要基础设施的高度信息化, 社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪, 包括国防通信设施、动力控制网、金融系统和政府网站等。

2 防火墙的定义

我们可以通过很多网络工具, 设备和策略来保护网络中的安全问题。其中防火墙是运用非常广泛和效果最好的选择。防火墙是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络。绝大部分的防火墙都是放置在可信任网络和不可信任网络之间。将那些危险的连接和攻击行为隔绝在外, 降低网络的整体风险。

为什么要使用防火墙?如果把每个单独的系统配置好, 其实也能经受住攻击。遗憾的是很多系统在缺省情况下都是脆弱的。我们不得不承认在Windows 2003以前的时代, Windows默认开放了太多不必要的服务和端口, 共享信息没有合理配置与审核。如果管理员通过安全部署, 包括删除多余的服务和组件, 严格执行NTFS权限分配, 控制系统映射和共享资源的访问, 以及帐户的加固和审核, 补丁的修补等。做好了这些, 我们也可以非常自信的说, Windows足够安全。但是致命的一点是, 该服务器系统无法在安全性, 可用性和功能上进行权衡和妥协。没有人可以保证网络中每个节点每个服务都永远运行在最佳状态。网络越庞大, 把网络中所有主机维护至同样高的安全水平就越复杂, 将会耗费大量的人力和时间。整体的安全响应速度将不可忍受, 最终导致网络安全框架的崩溃。对于此问题我们的回答是:“防火墙只专注做一件事, 在已授权和未授权通信之间做出决断。”

3 防火墙的体系结构

屏蔽路由器 (ScreeningRouter) , 屏蔽路由器作为内外连接的惟一通道, 要求所有的报文都必须在此通过检查。单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。屏蔽路由器的缺点是一旦被攻隐后很难发现, 而且不能识别不同的用户。

双穴主机网关 (DualHomedGateway) , 双穴主机网关是用一台装有两块网卡的堡垒主机的做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件, 可以转发应用程序, 提供服务等。与屏蔽路由器相比, 双穴主机网关堡垒主机的系统软件可用于维护护系统日志、硬件拷贝日志或远程日志。

被屏蔽主机网关 (ScreenedGatewy) , 屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上, 通常在路由器上设立过滤规则, 并使这个堡垒主机成为从外部网络惟一可直接到达的主机, 这确保了内部网络不受未被授权的外部用户的攻击。

被屏蔽子网 (ScreenedSubnet) , 被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网, 用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中, 两个分组过滤路由器放在子网的两端, 在子网内构成一个DNS, 内部网络和外部网络均可访问被屏蔽子网, 但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有一堡垒主机作为惟一可访问点, 支持终端交互或作为应用网关代理。

4 防火墙的基本类型

目前防火墙的控制技术大概可分为:封包过滤型 (Packet Filter) 、封包检验型 (Stateful Inspection Packet Filter) 以及应用层闸通道型 (Application Gateway) 。

封包过滤型:封包过滤型的控制方式会检查所有进出防火墙的封包标头内容, 如对来源及目地IP、使用协定、TCP或UDP的Port等信息进行控制管理。封包过滤型控制方式最大的好处是效率高, 但却管理复杂, 无法对连线作完全的控制, 规则设置的先后顺序会严重影响结果, 不易维护以及记录功能少。

封包检验型:封包检验型的控制机制是通过一个检验模组对封包中的各个层次做检验。封包检验型可谓是封包过滤型的加强版, 目的是增加封包过滤型的安全性, 增加控制“连线”的能力。但由于封包检验的主要检查对象仍是个别的封包, 不同的封包检验方式可能会产生极大的差异。其检查的层面越广将会越安全, 但其相对效能也越低。

应用层闸通道型:应用层闸通道型的防火墙采用将连线动作拦截, 由一个特殊的代理程序来处理两端间的连线的方式, 并分析其连线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作, 而不会被client端或server端欺骗, 在管理上也不会像封包过滤型那么复杂。但必须针对每一种应用写一个专属的代理程序, 或用一个一般用途的代理程序来处理大部分连线。这种运作方式是最安全的方式, 但也是效能最低的一种方式。

总之, 防火墙成为了与不可信任网络进行联络的唯一纽带, 我们通过部署防火墙, 就可以通过关注防火墙的安全来保护其内部的网络安全, 轻了网络和系统被用于非法和恶意目的的风险。

摘要：随着计算机网络的发展, 网络中的安全问题也日趋严重。当网络的用户来自社会各个阶层与部门时, 大量在网络中存储和传输的数据就需要保护。本文将结计算机网络安全问题初步的讨论。

关键词：网络安全,防火墙,技术特征

参考文献

[1] 谢希仁.计算机网络[M].大连理工大学出版社, 2004.

[2] 陈麒帆.防火墙基础[M].人民邮电出版社, 2007, 6.

[3] 戴有炜.Windows Server 2003网络专业指南[M].清华大学出版社, 2004, 6.