关键词:分布式防火墙网络安全应用
0引言
近几年来,随着互联网应用的飞速发展,许多政府机构、企事业单位及各类学校都纷纷建成了诸如城域网、企业网、校园网等内部互联网。但人们在享受网络带来的诸多便利的同时,也正在面临着日益严重的网络安全问题。能否确保内部网不被来自网内外的用户非法登陆及恶意攻击,使政务、商务等信息系统能正常运行,将成为影响企业利益、国家安全和社会稳定的重要因素。因此,作为新一代的网络安全技术,分布式防火墙技术已应运而生,并逐渐取代传统防火墙技术,成为目前网络安全应用的主流。
1分布式防火墙技术的主要优势
1.1增强的系统安全性
分布式防火墙增加了针对主机的入侵检测和防护功能,加强了对来自网络内部的攻击防范,可以实施全方位的安全策略。
1.2提高了系统性能
传统防火墙由于具有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。分布式防火墙则从根本上抛弃了单一的接入点,而使这一问题迎刃而解。另一方面,分布式防火墙可以针对各个服务器及终端计算机的不同需要,对防火墙进行最佳配置,配置时能够充分考虑到这些主机上运行的应用,如此便可在保障网络安全的前提下大大提高网络运行效率。
1.3系统的可扩展性
因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限制的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住。而不会像边界式防火墙一样随着网络规模的增大而不堪重负。
1.4实施主机策略[2]
传统防火墙大多缺乏对主机意图的了解,通常只能根据数据包的外在特性来进行过滤控制。虽然型防火墙能够解决该问题,但它需要对每一种协议单独地编写代码,其局限性也是显而易见的。在没有上下文的情况下,防火墙是很难将攻击包从合法的数据包中区分出来的,因而也就无法实施过滤。分布式防火墙由主机来实施策略控制,毫无疑问主机对自己的意图有足够的了解,所以分布式防火墙依赖主机作出合适的决定就能很自然地解决这一问题,对网络中的各节点可以起到更安全的防护。
1.5支持VPN通信
分布式防火墙最重要的优势在于它能够保护物理拓扑上不属于内部网络,但位于逻辑上的“内部”网络的那些主机,这种需求随着VPN的发展越来越多。对这个问题的传统处理方法是将远程“内部”主机和外部主机的通信依然通过防火墙隔离来控制接入,而远程“内部”主机和防火墙之间采用“隧道”技术保证安全性。这种方法使原本可以直接通信的双方必须经过防火墙,不仅效率低而且增加了防火墙过滤规则设置的难度。与此相反,分布式防火墙从根本上防止了这种情况的发生,因为它本身就是基于逻辑网络的概念,对它而言,远程“内部”主机与物理上的内部主机没有任何区别。
2分布式防火墙技术的应用
2.1利用分布式防火墙查杀病毒
企业级防火墙作为企业网络安全的“门神”,有着不可替代的作用。但实践证明,企业级防火墙也不能令人完全满意。与企业级防火墙相比,个人防火墙(主机防火墙)可以有效地阻止内部网络攻击,并且由于防护节点在主机,可以大大减轻对网络带宽和资源的影响。但个人防火墙在企业网络中的应用和防病毒软件的应用一样面临管理的问题,没有统一整体的管理,个人防火墙也不会起到应有的作用。
分布式防火墙技术的出现,有效地解决了这一问题。以北京安软天地科技的EVERLINK分布式防火墙[3]为例,它不仅提供了个人防火墙、入侵检测、脚本过滤和应用程序访问控制等功能,最主要的是提供了中央管理功能。利用EVERLINK分布式防火墙中央管理器,可以对网络内每台计算机上的防火墙进行配置、管理和更新,从宏观上对整个网络的防火墙进行控制和管理。这种管理可以在企业内部网中进行,也可以通过Internet实现远程管理。另外,对于应用较简单的局域网,网络杀毒和分布式防火墙的组合是比较易于部署且维护方便的安全解决方案。
2.2利用分布式防火墙堵住内网漏洞
随着网络安全技术的不断发展,传统边界防火墙逐渐暴露出一些弱点[4],具体表现在以下几个方面。
(1)受网络结构限制边界防火墙的工作机理依赖于网络的拓扑结构。随着越来越多的用户利用互联网构架跨地区企业网络,移动办公和服务器托管日益普遍,加上电子商务要求商务伙伴之间在一定权限下可以彼此访问,企业内部网和网络边界逐渐成为逻辑上的概念,边界防火墙的应用也受到越来越多的限制。
(2)内部不够安全边界防火墙设置安全策略是基于这样一个基本假设:企业网外部的人都是不可信的,而企业网内部的人都是可信的。事实上,接近80%的攻击和越权访问来自于企业网内部,边界防火墙对于来自企业网内部的攻击显得力不从心。分布式防火墙把Internet和内部网络均视为不“友好”的。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说,分布式防火墙进行配置后能够阻止一些不必要的协议通过,从而阻止了非法入侵的发生。
(3)效率不高与故障点多边界防火墙把检查机制集中在网络边界的单点上,由此造成网络访问瓶颈,并使得用户在选择防火墙产品时首先考虑检测效率,其次才是安全机制。安全策略过于复杂也进一步降低了边界防火墙的效率。
针对传统边界防火墙存在的缺陷,专家提出了分布式防火墙方案。该方案能有效地消除前面提到的各种内网漏洞。正是由于分布式防火墙这种优越的安全防护体系,并且符合未来的发展趋势,所以使得这一技术刚出现便为许多用户所接受,成为目前公认的最有效的网络安全解决方案。
3结束语
防火墙技术从边界防火墙逐渐演变到主机防火墙、分布式防火墙,并日益与IDS(入侵检测系统)相融合,分布式防护的理念已逐渐被主流安全厂商所拥护,也逐步得到使用者的认可。但大多数的企业网络都非常复杂,要保护它们免受当今难以捉摸且快速传播的混合威胁,是一件非常不容易的事。“集中式管理、分布式防护”是近年来提出的一个新话题,它能真正解决高速网络带来的入侵检测困难的问题。网络安全技术未来的发展目标,势必是各种分布式安全模块在统一的网络管理软件框架内的融合,共同构架起一个从内到外、安全无处不在的大安全体系,使企业尽可能地全面保护自己的网络信息安全。
参考文献:
[1]JohnViga,GaryMcGraw[美],BuildingSecureSoftware[M],北京:清华大学出版社,2003,160-162.
[2]王伟,曹元大,分布式防火墙下主机防火墙Agent技术[J],计算机工程,2004,30(8).
[3]叶丹,网络安全实用技术[M],北京:清华大学出版杜,2003,85-86.
关键词:网络安全信息安全防火墙
中图分类号:TP393.08文献标识码:A文章编号:1007-9416(2013)03-0197-02
随着网络技术发展和Internet的普及,网络信息安全的内涵也就发生了根本的变化。从本质上来讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
在当今网络互连的环境中,网络安全体系结构的考量和选择显得尤为重要.采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案。
1防火墙的定义及分类
防火墙是用来对因特网种特定的连接段进行隔离的任何一台设备或一组设备,他们提供单一的控制点,从而允许或禁止在网络中的传输流。通常有两种实现方案,即采用应用网关的应用层防火墙和采用过滤路由器的网络层防火墙。防火墙的结构模型可划分为策略(policy)和控制(control)两部分,前者是指是否赋予服务请求着相应的访问权限,后者对授权访问着的资源存取进行控制。
1.1应用层防火墙(application-layerfirewall)
应用层防火墙可由下图简单示例:
图1应用层防火墙
其中C代表客户;F代表防火墙而居于客户和提供相应服务的服务器S之间[2]。客户首先建立与防火墙间的运输层连接,而不是与服务器建立相应的连接。域名服务器DNS受到客户对服务器S的域名解析请求后,返回给客户一个服务重定向纪录(serviceredirectionrecord),其中包含有防火墙的IP地址。然后,客户与防火墙进行会话,从而使防火墙能够确定客户的标识,与此同时包含对服务器S的服务请求。接下来防火墙F判断客户C是否被授权访问相应的服务,若结果肯定,防火墙F建立自身同服务器S键的运输层连接,并充当二者间交互的中介。应用层防火墙不同于网络层防火墙之处在于,其可处理和检验任何通过的数据。但必须指出的是,针对不同的应用它并没有一个统一的解决方案,而必须分别编码,这严重制约了它的可用性和整理性。另外,一旦防火墙崩溃,整个应用也将随之崩溃;由于其自身的特殊机制,带来的性能损失要比网络层防火墙要大。
1.2网络层防火墙(IP-layerfirewall)
网络层防火墙的基本模型为一个多端口的IP层路由器,它对每个IP数据报都运用一系列规则进行匹配运算[3],借以判断该数据报是否被前传或丢弃,也就是利用数据包头所提供的信息,IP数据报进行过滤(filter)处理。
防火墙路由器具有一系列规则(rule),每条规则由分组刻面(packetprofile)和动作(action)组成。分组刻面用来描述分组头部某些域的值,主要有源IP地址,目的IP地址,协议号和其他关于源端和目的端的信息。防火墙的高速数据报前传路径(high_speeddatagramforwardingpath)对每个分组应用相应规则进行分组刻面的匹配。若结果匹配,则执行相应动作。典型的动作包括:前传(forwarding),丢弃(dropping),返回失败信息(sendingafailureresponse)和异常登记(loggingforexceptiontacking)。一般而言,应包含一个缺省的规则,以便当所有规则均不匹配时,能够留一个出口,该规则通常对应一个丢弃动作。
1.3策略控制层(policycontrollevel)
现在引入策略控制层的概念,正是它在防火墙路由器中设置过滤器,以对客户的请求进行认证和权限校验,策略控制层由认证功能和权限校验功能两部分组成。前者用来验证用户的身份,而后者用来判断用户是否具有相应资源的访问权限。
图2策略控制层
如上图所示,C为客户,S为服务器,F1、F2为处于其间的两个防火墙。A1和X1分别为认证服务器和权限验证服务器。首先由C向S发送一个数据报开始整个会话过程,客户C使用通常的DNSlookup和网络层路由机制。当分组到达防火墙F1时,F1将会进行一系列上述的匹配。由于该分组不可能与任何可接受的分组刻面匹配,所以返回一个“AuthenticationRequired”的标错信息给C,其中包括F1所信任的认证/权限校验服务器列表。然后客户C根据所返回的标错信息,箱认证服务器A1发出认证请求。利用从A1返回的票据,客户C向全县校验服务器Z1发出权限校验请求,其中包括所需的服务和匹配防火墙所需的刻面。Z1随之进行相应的校验操作,若校验结果正确,权限校验服务器Z1知会防火墙F1允许该分组通过。在客户器C的分组通过F1后,在防火墙F2处还会被拒绝,从而各部分重复上述过程,通过下图可清晰的看到上述过程中各事件的发生和处理。
网络防火墙技术是一项安全有效的防范技术,主要功能是控制对内部网络的非法访问。通过监视等措施,限制或更改进出网络的数据流,从而对外屏蔽内部网的拓扑结构,对内屏蔽外部危险站点。防火墙将提供给外部使用的服务器,通过一定技术的设备隔离开来,使这些设备形成一个保护区,即防火区。它隔离内部网与外部网,并提供存取机制与保密服务,使内部网有选择的与外部网进行信息交换;根据需要对内部网络访问的INTERNET进行控制,包括设计流量,访问内容等方面,使内部网络与INTERNET的网络得到隔离,内部网络的IP地址范围就不会受到INTERNET的IP地址的影响,保证了内部网络的独立性和可扩展性(如图3)。
目前的防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但防火墙并不是万能的,自身存在缺陷,使它无法避免某些安全风险,而且层出不穷的攻击技术又令防火墙防不胜防。
2结语
随着INTERNET在我国的迅速发展,防火墙技术引起了各方面的广泛关注,一方面在对国外信息安全和防火墙技术的发展进行跟踪,另一方面也已经自行开展了一些研究工作。目前使用较多的,是在路由器上采用分组过滤技术提供安全保证,对其他方面的技术尚缺乏深入了解。防火墙技术还处在一个发展阶段,仍有许多问题有待解决。因此,密切关注防火墙的最新发展,对推动INTERNET在我国的健康发展有着重要的意义。
参考文献
[1]雷震甲.《网络工程师教程》.清华大学出版社,p6442004.7.