论防火墙在网络安全体系中的作用

2022-09-11

1 网络安全防护的必要性

随着信息化进程的深入和互联网的快速发展, 网络化已经成为企业信息化的发展大趋势, 信息资源也将得到最大程度的共享。但紧随信息化发展而来的网络安全问题日渐凸出。由于互联网络的开放性和通信协议的安全缺陷, 以及在网络环境中数据信息存储和对其访问与处理的分布性特点, 网上传输的数据信息很容易泄露或被破坏, 网络受到的安全攻击非常严重, 因此建立有效的网络安全防护体系就更为迫切。网络安全防护体系必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则, 分析网络系统的各个不安全环节, 找到安全漏洞, 才能做到有的放矢。

防火墙是指设置在不同网络 (如可信任的企业内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口, 可以监测、限制、更改跨越防火墙的数据流, 尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 有选择地接受外部访问, 对内部强化设备监管、控制对服务器与外部网络的访问, 在被保护网络和外部网络之间架起一道屏障, 以防止发生不可预测的、潜在的破坏性侵入。因此防火墙是构建网络安全防护体系的必不可少的重要手段。

2 防火墙原理

防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。包过滤技术是一种简单、有效的安全控制技术, 它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则, 对通过设备的数据包进行检查, 限制数据包进出内部网络。包过滤的最大优点是对用户透明, 传输性能高。但由于安全控制层次在网络层、传输层, 安全控制的力度也只限于源地址、目的地址和端口号, 因而只能进行较为初步的安全控制, 对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段, 则无能为力。状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接, 状态检测检查预先设置的安全规则, 允许符合规则的连接通过, 并在内存中记录下该连接的相关信息, 生成状态表。对该连接的后续数据包, 只要符合状态表, 就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查, 而是对一个连接的后续数据包通过散列算法直接进行状态检查, 从而使得性能得到了较大提高;而且由于状态表是动态的, 因而可以有选择地、动态地开通1024号以上的端口, 使得安全性得到进一步地提高。防火墙的主要优点如下:防火墙可以通过执行访问控制策略而保护整个网络的安全, 并且可以将通信约束在一个可管理和可靠性高的范围之内;防火墙可以用于限制对某些特殊服务的访问;防火墙功能单一, 不需要在安全性, 可用性和功能上做取舍;防火墙有审记和报警功能, 有足够的日志空间和记录功能, 可以延长安全响应的周期。

3 防火墙应用

防火墙在网络中的应用模式主要可以分为两类:路由模式和交换模式。当防火墙位于互联网和局域网之间时 (如图1所示) , 采用路由模式, 形成局域网和互联网之间唯一的出入口, 将整个网络分为三部分:trust区域 (局域网部分) 、untrust区域 (互联网部分) 和DMZ区域。防火墙限制来自untrust区域的主机访问trust区域, 但可以访问DMZ区域提供的服务 (如WWW、MAI L、DNS等对外服务) 。防火墙工作在路由模式时所有接口都需配置ip地址, 各接口所在的安全区域是三层区域, 不同三层区域相关的接口连接的用户属于不同的子网。当报文在三层区域的接口间进行转发时, 根据报文的ip地址来查找路由表, 此时防火墙表现为一个路由器 (见图1) 。

举例如下 (以Cisco PIX515为例) 。

基本接口配置:

设置默认路由:

配置inside网络访问规则:

发布DMZ区服务器:

配置acl, 允许外部访问DMZ区服务器:

当防火墙安装在同一网络的两个不同网络安全域之间时 (如图2所示) , 采用交换模式, 形成两个不同网络安全域 (终端局域网和数据中心) 之间唯一的数据通道, 将整个网络分为两部分:trust区域 (数据中心) 、untrust区域 (终端局域网部分) 。防火墙只允许通过策略检查的untrust区域主机访问trust区域的服务。防火墙工作在交换模式时所有接口都不能配置ip地址, 接口所在的安全区域是二层区域, 和二层区域相关接口连接的用户同属一个子网。当报文在二层区域的接口间进行转发时, 需要根据报文的mac地址来寻找出接口, 此时防火墙表现为一个透明网桥 (见图2) 。

无论防火墙工作在哪种模式下, 防火墙中的ip报文都还需要送到上层进行相关过滤等处理, 通过检查会话表或acl规则以确定是否允许该报文通过, 并完成其它防攻击检查。防火墙还支持acl规则检查、aspf状态过滤、防攻击检查、流量监控等功能。

4 新一代防火墙的主要技术

目前主流的硬件防火墙采用的主要技术有:双端口或三端口的结构、透明的访问方式、灵活的代理系统、多级的过滤技术、网络地址转换技术、Internet网关技术、安全服务器网络 (SSN) 、用户鉴别与加密、用户定制服务、审计和告警等。为保证系统的安全性和防护水平, 新一代防火墙采用了三级过滤措施, 并辅以鉴别手段。在分组过滤一级, 能过滤掉所有的源路由分组和假冒的IP源地址;在应用级网关一级, 能利用F T P、S M T P等各种网关, 控制和监测Internet提供的所用通用服务;在电路网关一级, 实现内部主机与外部站点的透明连接, 并对服务的通行实行严格控制。防火墙利用NAT技术能透明地对所有内部地址进行转换, 使外部网络无法了解内部网络的内部结构, 同时允许内部网络使用自己定制的IP地址和专用网络, 防火墙能详尽记录每一个主机的通信, 确保每个分组送往正确的地址。同时使用NAT的网络, 与外部网络的连接只能由内部网络发起, 极大地提高了内部网络的安全性。NAT的另一个显而易见的用途是解决IP地址匮乏问题。新一代防火墙产品的审计和告警功能十分健全, 日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻, 并能以发出邮件、声响等多种方式报警。

5 防火墙的不足

如今, 高水平的黑客能利用防火墙开放的端口绕过防火墙的监测, 或者通过应用层攻击目标应用程序。因此, 防火墙还存在不足, 主要表现在:不能防御已经授权的访问, 以及存在于网络内部系统间的攻击不能防御合法用户恶意的攻击, 以及社交攻击等非预期的威胁;不能修复脆弱的管理措施和存在问题的安全策略;不能防御不经过防火墙的攻击和威胁;无法检测加密的Web流量;无法扩展带深度检测功能等方面。

6 结语

综上所述, 防火墙是构建网络安全防护体系的重要组成部分, 防火墙在被保护网络和外部网络之间架起一道屏障, 可以监测、限制、更改跨越防火墙的数据流, 以防止发生破坏性入侵, 大大提高了信息网络的安全性。但由于防火墙存在的不足, 还不能完全杜绝非法入侵。因此, 还需要部署入侵防御系统、加强局域网内部的安全管理、提高对重要数据的访问控制权限等才能形成完整的网络安全防护体系。

摘要：本文论述了防火墙是构建网络安全防护体系的重要组成部分, 并阐述了防火墙的工作原理、主要功能、应用方法和不足。

关键词：防火墙,路由,交换