论文部分内容阅读
【摘要】互联网到今天已经从基本信息共享向电子商务、网络应用等更为复杂的方面发展,随着商业应用的增加,网络安全逐渐成为一个潜在的巨大问题。其中也会涉及到是否构成犯罪行为的问题。防火墙技术的引入给予管理和提高网络的安全性,提供了一个必要而便捷的方式。文中论述了防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准其安全体系的构成。
【关键词】网络安全;防火墙技术
【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158(2012)11-0099-01
一、概述
“防火墙”的本意是指发生火灾时,用来防止火势蔓延的一道障碍物,一般都修建在建筑物之间。由于网络防火墙提供了与此类似的功能,所以人们采用防火墙这一术语来描述设置在计算机网络之间的隔离装置,可以隔离两个或者多个网络、限制网络互访,以保护网络用户的安全。防火墙通常位于用户网络系统的边界处,通过设定一定的筛选机制来决定允许或拒绝数据包通过,实现对进入网络内部的服务和访问的审计和控制。
二、防火墙中使用的主要技术
(一)包过滤技术是在网络层对数据包进行选择
它依据系统内事先设定好的筛选规则,检查数据流中每个数据包的源地址、目的地址、所有的TCP端口与TCP连接状态等信息,并以此来确定是否允许数据包通过防火墙。包过滤的最大优点是它对用户是透明的,即不需要使用用户名和密码来登录,不要应用程序做任何改动。这使得防火墙速度快且易于维护。单纯采用包过滤技术的防火墙产品价格低、易使用,但也存在着明显的缺陷。由于采用这种产品时,允许在内部和外部系统之间直接交换数据包,那么内部网中的所有主机和路由器所允许的全部服务就都可能会成为攻击目标。这就意味着可以从外部网络上直接访问的主机要支持复杂的用户认证机制,并且网络管理员要不断地检查网络状态,以确定是否受到攻击。
(二)应用网关是在网络的应用层上建立协议过滤和转发功能
它针对特定的网络应用服务协议使用指定的数据过滤逻辑。并在过滤的同时,对数据包进行必要的登记、统计和分析,形成日志报告。数据包过滤和应用网关有一个共同的特点,就是它们仅依靠特定的逻辑来判断是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统就会建立直接联系,防火墙外部的用户便有可能直接了解内部网的结构和运行状态,这显然有利于实施非法访问和攻击。
(三)代理服务也称链路级网关或TCP通道
它是针列数据包过滤和应用网关技术存在的缺点而引入的,特点是将所有跨越防火墙的网络通信链路分为2段。防火墙内外计算机系统间应用层的“连接”由代理服务器以软件方式来实现,外部计算机的网络链路只能到达代理服务器,不能直接连接到内部网的任何机器上。这样,防火墙就可以很好地把内外网路分隔。代理服务也对过往的数据包进行登记、分析,形成日志报告。
(四)SOCK技术
SOCKS是NEC(美国)公司1998年提出并应用于防火墙技术的新协议标准。SOCKS是一个电路层网关的标准,目前的版本为Version 5。SOCKS;主要由一个运行于防火墙系统上的代理服务器软件包和一个连接到各种网络应用程序的库文件包组成。它只中继基于TCP数据包,只需要改变客户端的程序,这样的结构使得用户能根据自己的需要定制代理软件,从而有利于增添新的应用。许多公司的产品已经支持SOCKS,如Netscape和IE浏览器。
三、防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
(一)防火墙为网络系统的安全屏障
总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
(二)防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从人手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
(三)管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
(四)防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
四、安全技术的研究现状和动向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”(Beu&Lapadula模型)的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。
因此网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步人信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
【关键词】网络安全;防火墙技术
【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158(2012)11-0099-01
一、概述
“防火墙”的本意是指发生火灾时,用来防止火势蔓延的一道障碍物,一般都修建在建筑物之间。由于网络防火墙提供了与此类似的功能,所以人们采用防火墙这一术语来描述设置在计算机网络之间的隔离装置,可以隔离两个或者多个网络、限制网络互访,以保护网络用户的安全。防火墙通常位于用户网络系统的边界处,通过设定一定的筛选机制来决定允许或拒绝数据包通过,实现对进入网络内部的服务和访问的审计和控制。
二、防火墙中使用的主要技术
(一)包过滤技术是在网络层对数据包进行选择
它依据系统内事先设定好的筛选规则,检查数据流中每个数据包的源地址、目的地址、所有的TCP端口与TCP连接状态等信息,并以此来确定是否允许数据包通过防火墙。包过滤的最大优点是它对用户是透明的,即不需要使用用户名和密码来登录,不要应用程序做任何改动。这使得防火墙速度快且易于维护。单纯采用包过滤技术的防火墙产品价格低、易使用,但也存在着明显的缺陷。由于采用这种产品时,允许在内部和外部系统之间直接交换数据包,那么内部网中的所有主机和路由器所允许的全部服务就都可能会成为攻击目标。这就意味着可以从外部网络上直接访问的主机要支持复杂的用户认证机制,并且网络管理员要不断地检查网络状态,以确定是否受到攻击。
(二)应用网关是在网络的应用层上建立协议过滤和转发功能
它针对特定的网络应用服务协议使用指定的数据过滤逻辑。并在过滤的同时,对数据包进行必要的登记、统计和分析,形成日志报告。数据包过滤和应用网关有一个共同的特点,就是它们仅依靠特定的逻辑来判断是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统就会建立直接联系,防火墙外部的用户便有可能直接了解内部网的结构和运行状态,这显然有利于实施非法访问和攻击。
(三)代理服务也称链路级网关或TCP通道
它是针列数据包过滤和应用网关技术存在的缺点而引入的,特点是将所有跨越防火墙的网络通信链路分为2段。防火墙内外计算机系统间应用层的“连接”由代理服务器以软件方式来实现,外部计算机的网络链路只能到达代理服务器,不能直接连接到内部网的任何机器上。这样,防火墙就可以很好地把内外网路分隔。代理服务也对过往的数据包进行登记、分析,形成日志报告。
(四)SOCK技术
SOCKS是NEC(美国)公司1998年提出并应用于防火墙技术的新协议标准。SOCKS是一个电路层网关的标准,目前的版本为Version 5。SOCKS;主要由一个运行于防火墙系统上的代理服务器软件包和一个连接到各种网络应用程序的库文件包组成。它只中继基于TCP数据包,只需要改变客户端的程序,这样的结构使得用户能根据自己的需要定制代理软件,从而有利于增添新的应用。许多公司的产品已经支持SOCKS,如Netscape和IE浏览器。
三、防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
(一)防火墙为网络系统的安全屏障
总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
(二)防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从人手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
(三)管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
(四)防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
四、安全技术的研究现状和动向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”(Beu&Lapadula模型)的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。
因此网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步人信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。