江苏有铭集团有限公司
电话:18951145666
手机:
邮箱:10536059@qq.com
网址:www.jsymjt.com
地址:江苏省东台市时堰镇泰东工业区36号
Internet给人类社会带来了的冲击,它的重要性和巨大优势有目共睹,其优势之所在正是其上的所有资源均可相互共享,而这也正是其脆弱性之所在。为充分发挥其优势,为使善良的人们能充分利用网络上的资源,网络被设计为容易进入。不怀好意的人就利用这种容易进入并进行破坏。
通过Internet将各种分布的计算机网络系统互联,在大大扩展信息资源共享的空间尺度的同时也显著缩短了信息服务的时间尺度,显著提高了信息资源的利用率,这对保障网络系统安全带来了的挑战。网络装机容量(全球Internet已有来自几十万个互联网网络的3000多万个联网系统)、全球性的地理覆盖、千差万别的网络运行状态和单机系统均对网络安全保障提出了严峻的要求。
计算机网络安全一个使用很广泛的技术就是防火墙技术,即在Internet和内部网络之间设一个防火墙。目前在全球连入Internet的计算机中约有三分之一是处于防火墙保护之下。
那么什么是防火墙(Fire Wall)呢?顾名思义,防火墙是用来阻挡外部(Internet)火情影响内部网络的(Internal network)屏障。无论外部世界多么错综复杂,良莠不齐,经过防火墙的过滤,内部网络大可隔岸观火,不受火灾危害。用专业一点的话来描述,防火墙的主要目的就是防止外部网络的未授权访问。
防火墙的特征是通过在网络边界上建立相应的网络通讯监控系统达到保障网络安全的目的。
防火墙技术假设被保护网络具有明确定义的边界和服务并且网络安全的威胁仅来自外部网络,进而防火墙型技术通过监测、限制、更改跨越防火墙的数据流,通过尽可能地对外部网络屏蔽有关被保护网络的信息、结构来实现对网络的安全保护。由此可见,防火墙型系统比较适合于相对独立,与外部网络互联途径有限并且网络服务种类相对集中和单一的网络系统,常见的企业专用网一般属于此类。
防火墙技术通过对网络做拓扑结构和服务类型上的隔离来加强网络安全。它所保护的对象是网络中有明确闭合边界的一个网块,它的防范对象是来自被保护网块外部的对网络安全的威胁。建立防火墙是在对网络的服务功能和拓扑结构仔细分析基础上,在被保护网络周边通过专用软件、硬件及管理措施的综合,对跨越网络边界和信息提供监测、控制甚至修改的手段。可见,防火墙技术适合于在企业专业网中使用,特别是在企业专业网与公共网络互联时的使用。 目前,在商业网络上大多使用防火墙来防止某些外部结点的侵入,从而可以避免有关的商业机密受到侵犯。例如,将企业内部应用的Web服务器、域名服务器、E-mail服务器放在防火墙内,对于公开使用的Web服务器放在防火墙外,外部网络中只有经过授权的用户才能通过防火墙,进入到内部网络获取信息。反之,内部网络上的用户若想访问Internet,也必须通过防火墙的检查,防火桥架以确认是否合法。
需要说明的是,如前所述,网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的。对防火墙的设置也不例外,常常需要有特殊的相对较为封闭的网络拓扑结构来支持。由于防火墙的隔断作用,一方面加强了内部网络的安全,一方面却使内部网络与外部网络(Internet)的信息系统交流受到阻碍,必须在“防火墙”上附加各种信息服务的代理软件来代理内部网络与外部的信息交流,这样不仅增大了网络管理开销,而且减慢了信息传递速率。因此,一般而言,只有对个体网络安全有特别要求,而又需要和Internet联网的企业网、网,才建议使用“防火墙”。
另外,“防火墙”在技术原理上对来自内部网络系统的安全威胁不具防范作用,只能阻截来自外部网络的侵扰,因而内部网络的安全还需要通过对内部网络的有效控制和管理来实现。
如果某个网络决定设定“防火墙”系统,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略,即确定什么类型的信息允许通过“防火墙”,什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外。另外,还要确定“防火墙”类型,即“防火墙”拓扑。
“防火墙”具有以下属性:所有的从外到内的信息及从内到外的信息都必须通过“防火墙”;只有在受保护网络的安全策略中允许的通信才允许通过“防火墙”;“防火墙”本身对各种攻击免疫。
“防火墙通常由过滤器和网关等组成。其中,过滤器封锁某些类型通信量的传输,网关提供中继服务。也可把“防火墙”理解为由选通门和阻塞门两个关键部件构成的网络隔离墙,选通门让数据在两个网络之间自由通过而阻塞门阻止不是以该选通门为目的地的输入数据分组,或者阻止不是来自该选通门的输出的数据分组,即在其源地址或目的地地址中没有该选通门地址的任何数据分组都被中止。典型的选通门一般是一台信关计算机;阻塞门则往往是一个智能路由器。“防火墙”又可分为基于路由的“防火墙”、基于网卡的“防火墙”等等。
实现“防火墙”所用的主要技术有数据包过滤、应用级网关和代理服务器等,在此基础上合理的网络拓扑结构及有关技术(在位置和配置上)的适度使用也是保证“防火墙”有效使用的重要因素。
顾名思义,数据包过滤技术即在网络中适当的位置对数据包实施有选择通过,选择数据即为系统内设置的过滤逻辑。
计算机网络通过检查数据流中的每个数据包后,根据包的源地址、目的地址、所用的TCP端口号、TCP链路状态等因素或它们的组合来确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发至相应的目的地的输出端口,其余数据包则被从数据流中删除。具体表现为:
这一结构由路由器和Filter共同完成对外界计算机访问内部网络从IP地址或域名上的限制,也可以指定或限制内部网络访问Internet。路由器仅对Filter主机特定的端口上数据通讯加以路由,而Filter主机则执行筛选、过滤、验证及其安全监控,这样可以很大程度隔断内外网络间的不正常的访问登录。
数据包过滤技术的实现方式相当简洁,目前网络的路由设通常均具有一定的数据包过滤能力,因而使路由设在完成路由选择和数据转发功能之外同时进行数据包过滤是目前常见的实现方式之一。由于多数Internet与Internet的连接都要使用路由器,因此路由器成为网络内外通信的必经端口。有些路由器商在新型的路由器上添加数据包过滤功能,这样的路由器称为Scrcening Router,它通常不需要外增加硬件/软件配置,也不需要对网络拓扑结构做改动。
但是应当注意到,数据包过滤技术本身对网络的保护功能是有局限的,这是因为它是在网络链路层和传输链路层上运作的技术,因而对位于网络更高协议层的信息无理解能力,使得它对通过网络应用链路层协议实现的安全威胁无防范能力。
此外,进行数据包的检查和过滤会对路由设的工作性能产生可观的影响。由于路由器内部资源的限制,通常路由器对所发现的非法数据包仅是删除而已,并不做报告,防火桥架从而不具有安全保障系统所要求的可审核性。防火桥架已有路由器家开始通过软件实现非法数据包的登录和报告,代价是极可能使路由器的工作速度变慢。
应用网关像具有过滤功能的路由器一样,是对计算机网络设功能的扩充,并且都是根据特定的逻辑检查是否允许特定的数据包通过。
所不同的是,应用网关是建立在网络应用链路层上的协议过滤功能设,它针对特别的网络应用服务协议指定数据过滤逻辑,并可根据在按应用协议指定的数据过滤逻辑进行过滤的同时,对数据包分析的结果及采取的措施做登录和统计,形成报告。
应用网关通常由一台专用计算机来实现,这台机器是内外网络连接的桥梁,是内外联络的途径,因而,这台机器被称为堡垒主机(Bastion Host)。 3.代理服务器技术(Proxy Server)
代理服务技术的特点是将所有跨越“防火墙”的网络通信链路分为两段。“防火墙”内外计算机网络间的应用链路层的链接由两个终止于代理服务上的链接来实现,外部网络链接只能到达代理服务,由此实现了“防火墙”内外网络隔离,代理服务在此等效于一个网络传输链路层上的数据转发器的功能,形象地表示就是:
这种方式是内部网络与Internet不直接通讯,而是内部网络计算机用户与代理服务器采用一种通讯方式即提供内部网络协议(Netbios、TCP/IP等)。代理服务器与Internet之间采取的是标准TCP/IP网络通讯协议。这样使得网络数据包不能直接在内外网络之间进行。内部计算机必须通过代理服务器访问Internet,这样容易在代理服务器上对内部网络计算机访问外界计算机进行限制。另外,由于代理服务器两端采用不同协议标准也可以直接阻止外界非法入侵。还有,代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。这样,能较好地控制管理两端的用户起到防火墙作用。
代理服务器是“防火墙”技术中颇受推崇的一种,它的优点在于可以将被保护网络内部结构屏蔽起来,显著增强了网络的安全性能,同时代理服务器还可以用于实施较强的数据流监控、过滤、记录、报告等功能。使用代理服务器的缺点在于需要为每个网络服务专门设计、开发代理服务软件及相应的监控过滤功能,并且由于代理服务具有相当的工作量,因此通常需要专用的硬件(即工作站)来承担。
可想而知,这种“防火墙”措施是通过代理服务器进行,在联机用户多时,效率必然受到影响,代理服务器负担很重,并且许多访问Internet的客户软件在内部网络计算机中无法正常访问Internet。
在上述基本技术基础上,建设性能良好的“防火墙”的关键在于网络拓扑结构的合理选用及“防火墙”技术的合理配置。“防火墙”的实现多种多样,细节各不相同。
现行的“防火墙”的几种模式都有一定的缺陷,因此人们正在寻找其他模式的“防火墙”,“防火墙”技术主要有以下几个发展趋向。
复合型“防火墙”。由于对更高安全性的要求,有的商把基于数据包过滤的方法和基于代理服务器的方法结合起来,形成了新的“防火墙”产品。
NAT网络地址转换器。目前,有一些“防火墙”使用了NAT(Network Address Transtlater,网址转换器)。NAT的原理就好象一部电话总机,当不同的内部机器向外连接时使用相同的IP地址(相当于总机号码);而内部网络互相通讯时则使用内部IP地址(相当于分机号码)。这样做可以使内部网络不用担心自己的IP地址与外界的IP地址发生冲突。使用NAT的网络,可以使内部网络对外部网络来说是不可见的。这给内部网络带来了很大的安全好处,因为与外部网络的连接只能由内部网络发起。NAT的另外一个显而易见的可能用途是解决IP地址的匮乏问题,但对NAT可能带来的一些不良后果值得重视。
加密路由器。加密路由器把通过路由器的内容进行加密和压缩,然后让它们通过“不可靠”的网络传输,并在目的端进行解压缩和解密。加密路由器的使用将使Internet看上去更象一个“私有网络”。
安全内核。除了采用代理服务器以外,人们开始在操作系统的层次上考虑安全性。人们尝试把计算机网络系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。目前,已有一些商业防火墙推出了Unix版本的安全内核。
少特权。Internet上有些基于存储转发的应用程序运行时具有系统特权,这是一个重大的安全漏洞。因此,在基于代理服务器的“防火墙”内,要使得代理服务器具有少的特权,不要以特权运行。
以上信息由江苏有铭集团有限公司整理编辑,了解更多防火桥架信息请访问http://www.jsymjt.com