[摘要] 防火墙技术作为保证电子商务活动中信息安全的第一道有效屏障,受到越来越多的关注。本文从防火墙的概念和技术出发,详细分析了防火墙的功能,并对其保证安全方法的不同进行了分类研究。
[关键词] 信息安全防火墙过滤代理迁移
在信息社会中,信息具有和能源、物源同等的价值,在某些时候甚至具有更高的价值。具有价值的信息必然存在安全性的问题,对于企业更是如此。经济社会的发展更要求各用户之间的通信和资源共享,需要将一批计算机连成网络才能保证电子商务活动的正常开展,这样就带来了更多的安全隐患。特别是对当今最大的网络——国际互联网,很容易遭到别有用心者的恶意攻击和破坏。信息的泄露问题也变得日益严重,因此,计算机网络的安全性问题就变得越来越重要。
如何来保证计算机网络的安全性呢?方法虽然很多,但防火墙技术绝对是其中最高效、实用的方法之一。在构建安全的网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。通常一个公司在购买网络安全设备时,总是把防火墙放在首位。目前,防火墙已经成为世界上用得最多的网络安全产品之一。那么,防火墙是如何保证网络系统的安全,又如何实现自身安全的呢?本文从防火墙的概念出发,详细分析了防火墙的功能,并按其保证安全方法的不同进行了分类:包过滤式防火墙、服务代理式防火墙、地址迁移式防火墙等。
一、防火墙介绍
防火墙是指一种将内部网和公众访问网分开的方法,是网络之间一种特殊的访问控制设施。在internet网络与内部网之间设置的一道屏障,防止黑客进入内部网,由用户制定安全访问策略,抵御各种侵袭的一种隔离技术。它能允许你“同意”的人和数据进入你的网络,将“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息;能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作;能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和internet之间的任何活动,保证了内部网络的安全。防火墙的安全技术包括包过滤技术、代理技术和地址迁移技术等。
二、防火墙的作用
1.作为网络安全的屏障
只有经过精心选择的应用协议才能通过防火墙,可使网络环境变得更安全。如防火墙可以禁止nfs协议进出受保护的网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如ip选项中的源路由攻击和icmp重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2.可以强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。
3.可以对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等也是非常重要的。
4.可以防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
三、防火墙的技术分类
1.包过滤技术(packet filter)式防火墙
包过滤是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址,以及包所使用端口确定是否允许该类数据包通过。在互联网这样的信息包交换网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包括发送者的ip地址和接收者的ip地址。当这些包被送上互联网时,路由器会读取接收者的ip并选择一条物理上的线路发送出去,信息包可能以不同的路线抵达目的地,当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的ip地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一ip为危险的话,从这个地址而来的所有信息都会被防火墙屏蔽掉。这种防火墙的用法很多,比如国家有关部门可以通过包过滤防火墙来禁止国内用户去访问那些违反我国有关规定或者“有问题”的国外站点。
包过滤路由器的最大的优点就是它对于用户来说是透明的,也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护,通常做为第一道防线。包过滤路由器的弊端也是很明显的,通常它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的。如“信息包冲击”是黑客比较常用的一种攻击手段,黑客们对包过滤式防火墙发出一系列信息包,不过这些包中的ip地址已经被替换掉了,取而代之的是一串顺序的ip地址。一旦有一个包通过了防火墙,黑客便可以用这个ip地址来伪装他们发出的信息。通常它没有用户的使用记录,这样我们就不能从访问记录中发现黑客的攻击记录;此外,配置繁琐也是包过滤防火墙的一个缺点。它阻挡别人进入内部网络,但也不告诉你何人进入你的系统,或者何人从内部进入网际网路。它可以阻止外部对私有网络的访问,却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤,即不能鉴别不同的用户和防止ip地址盗用。所以说包过滤型防火墙是某种意义上的安全系统。
2.代理服务式防火墙
代理服务是另一种类型的防火墙,它通常是一个软件模块,运行在一台主机上。代理服务器与路由器的合作,路由器实现内部和外部网络交互时的信息流导向,将所有的相关应用服务请求传递给代理服务器。代理服务作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。代理服务的实质是中介作用,它不允许内部网和外部网之间进行直接的通信。
用户希望访问内部网某个应用服务器时,实际上是向运行在防火墙上的代理服务软件提出请求,建立连接;理服务器代表它向要访问的应用系统提出请求,建立连接;应用系统给予代理服务器响应;代理服务器给予外部网用户以响应。外部网用户与应用服务器之间的数据传输全部由代理服务器中转,外部网用户无法直接与应用服务器交互,避免了来自外部用户的攻击。通常代理服务是针对特定的应用服务而言的,不同的应用服务可以设置不同的代理服务器。 目前,很多内部网络都同时使用分组过滤路由器和代理服务器来保证内部网络的安全性,并且取得了较好的效果。
3.地址迁移式防火墙
由于多种原因,ipv4地址逐步面临耗尽的危机,而ipv6的实际应用还有待时日。随着企业上网的人数增多,企业获得的公共ip地址(称全局ip地址,或者实际ip地址)可能难以和企业上网的实际设备数目匹配,这种现象具有加剧的倾向。 一种可能的解决方案是为每个企业分配若干个全局ip地址,企业网内部使用自定义的ip地址(称为本地ip地址或者虚拟ip地址)。 当内外用户希望相互访问时,专门的路由器(nat路由器)负责全局/本地ip地址的映射。nat路由器位于不同地址域的边界处,通过保留部分全局ip地址的分配权来支持ip数据报的跨网传输。其工作原理:(1)地址绑定(静态或者动态的建立本地/全局地址的映射关系);(2)地址查找和转换(对数据报中的相关地址信息进行修改);(3)地址解绑定(释放全局地址)。
地址迁移式防火墙实际上融合了分组过滤和应用代理的设计思想,可以根据应用的需求限定允许内外网访问的结点;可以屏蔽内网的地址,保证内网的安全性。 数据报分析是nat路由器必须做的工作(例如,修改ip数据报携带的高层协议数据单元中的地址信息),因此可以有选择地提供/拒绝部分跨网的应用服务。
四、小结
在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域与安全区域的连接,同时不会妨碍人们对风险区域的访问。随着电子商务的不断发展,防火墙技术必将在网络安全方面着发挥更加重要的作用和价值。
参考文献:
[1]高峰许南山:防火墙包过滤规则问题的研究[j].应用,2003,23(6)
[2]赵启斌梁京章:防火墙过滤规则异常的研究[j].工程,2005.12
[3]谢希仁:计算机网络技术[m].北京:电子工业出版社,1999
本文链接:http://www.qk112.com/lwfw/guanlilunwen/dianzishangwuguanlilunwen/39998.html
