论文部分内容阅读
摘 要:在综合信息网建设中,随着各种网络各种新的应用新技术不断出现,硬件防火墙具有的一些缺点逐渐显露,怎样才能有效的克服硬件防火墙的缺陷,这是网络安防设计面对的一大难题,本文主要阐述了基于IPSec技术的分布式防火墙系统,DFW(Distributed Fire Wall),既分布式防火墙,其应用策略集中设计,其后再分发至用户终端机具体执行,较好地解决了硬件防火墙单点故障、内部攻击等问题。
关键词:安防;防火墙;IPSec
中图分类号:TP393.08
我们常用硬件防火墙作为受控端把网络分割成内网和外网两部分,分别控制内网络与外部网络之间进行通信,防火墙处在内网与外网之间。当网络处在一局限定的拓扑时,这种模式可以起到较好的保护作用,但当网络规模及应用不断扩展后,比如应用远程通信或高速线路等,这样的方式就不能为网络提供优质的安全防护。分布式防火墙是基于IPSec的技术,它为终端驻留式的安全系统,可以保护局域网中的重要结点,比如:信息服务器、数据流及应用站点等不受到外部入侵的破坏,无论是外网,还是来自内部网络,分布式防火墙能对信息流进行限制与过滤,起到很好的网络防护作用。
1 硬件边界防火墙的特点及局限性
硬件边界防火墙用于限制被保护局域网络与外网之间的相互通信,它处在内外网之间,几乎所有先前应用的各种防火墙都是把内网用户看成是值得信任的,而把外网用户则视为潜在的攻击者来对待。网路安全设置的包过滤、应用层代理、自适应代理等都是基于这样的认识。
目前,计算机网络技术不断发展和各种新技术相继涌现,各种类型的新攻击情况更是不断更新,在以往边界式防火墙设计里,局域网非常容易受到恶意攻击和破坏,当接入局域网的用户终端,同时又得到终端控制权时,恶意攻击者就会将这台PC作为跳板,继续入侵其他系统。基于IPSec的DFW的作用,则是将防火墙分布到网络的各个子网、终端或及信息服务器上。DFW会让整个局域网内的用户方便地访问信息资源,网络的其他部分将不会被显露在攻击者面前。应用DFW的网络用户无论在局域、互联网、VPN网还是远程访问,其都能实现“没有区别的局域网互联,即是一种端到端的完全保护。除此之外,DFW还具有加强网络整体抗毁性能,以避免局域网由于部分系统的攻击而导致的全网络蔓延的状况产生,这样也限制了采用公共账号进入网络系统的用户无法进入受限的重要应用系统。
2 DFW的工作原理
DFW(Distributed Fire Wall),既分布式防火墙,这种安防系统的工作原理是:界定合法连接的安防策略集中定义,而安防策略的执行则由相关节点独自实施。
使用DFW的系统中,会为每个节点颁发不同的证书,即一个节点对应一个数字证书,安防维护人员、终端系统维护员并不是相同的人,网络安防维护人员可以在任何地方用数字证书登录,并不受网络拓扑结构限制。几乎与硬件防火墙相同,安防策略还是集中定义,但是,是分别在各节点实施。节点在处理数据流IP包时,必须符合安防策略文件规则,确保与整个系统的安防策略一致。由于是终端节点在执行安防策略,这样,就很自然的克服了以往防火墙的应用缺陷。
DFW由各个端点实施设置的策略,由中心定义策略。其主要依赖说明哪一类连接可以被允许或禁止的策略语言、一种系统管理工具和IP安全协议三个概念来实现。
3 DFW的结构设计
基于IPSec的DFW系统体系结构主要由:策略控制中心、策略执行器以及IPSec通信构成。策略控制中心的主要功能是设置被保护终端、为被保护终端设置安防策略、和向被保护终端发送策略文件;策略执行器是驻留在被保护终端的状态包过滤防火墙,解释并强制执行策略控制中心发放的安防策略;IPSec通信是对内部终端之间的通信进行加密保护以防止内部的窃探、欺骗以及重放等攻击破坏。被保护终端运行的是策略执行器,策略控制中心发放的安防策略的程序由其解释并强制执行,是保护端点终端的程序,完成的主要功能有:包过滤作用、实现与策略控制中心的通信、策略文件的接收、并负责将策略文件翻译成包过滤模块可识别的规则表达形式。
4 策略控制中心
策略控制中心的作用主要是注册被保护终端、向被保护终端设置安防策略、为被保护终端发送策略文件。为策略控制中心的体系结构,主要有终端注册模块、策略编辑模块以及策略发送模块。终端注册模块负责完成被保护终端在策略控制中心的注册,并为控制中心添加被保护终端,设置被保护终端的参数,例如终端名、地址、掩码和策略文件等。
策略编辑模块主要功能是为被保护终端设置安防策略,策略分别是指包过滤规则,包括源地址/端口、目的地址/端口、协议种类、网络端口、检测状态等数据。策略发送模块负责终端在策略控制中心的注册信息以及向被保护终端发送策略文件。
图1 策略控制中心体系结构
为防止内部攻击,对DFW系统内部终端间的通信进行保护是通过IPSec通信完成的。IPSec协议给出了应用于IP层上网络数据安全的一整套体系结构,其中包括Authentication (网络认证协议)、(AH)Header、Encapsulation Security payload(ESP)封装安全载荷协议、密钥管理协议Internet Key Exchange(IKE)和一些加密、认证的算法等。其定义相关基础结构及IP包格式,使网络通信具有端到端、加强的身份验证、抗重播、保密性、和完整性等功能。
5 在构建网络安全解决方案中的应用
DFW的网络安防方案是在内网的主用管理服务器安装产品的安防策略管理服务,而配置管理组和用户分别分配给相应的从服务器和终端工作站,并设计对应的安防策略;将终端防火墙安装在内网和外网中的所有终端工作站上,被管理端与安防策略管理服务器采用SSL协议进行连接,并建立相互通信的安全通道,避免下载安防策略和日志通信的不安全性。在客户终端,防火墙的机器采用多层过滤、入侵检测、日志记录等手段,给终端的安全运行提供强有力的保证。远程终端系统,作为应用业务延伸部分,并不属于内网,但是,在系统中仍是内网终端,与内网之间的通信仍然可以通过VPN、防火墙隔离等技术来控制接入。因此,对DFW的网络安防方案而言,远程终端系统与物理上的内部终端没有任何区别。
6 结束语
本文主要阐述了基于IPSec技术的分布式防火墙系统,DFW是采用策略集中设计,然后再分发到各终端机执行,较好地解决了硬件防火墙单点故障、内部攻击等问题。在作用上,该技术具备了抵御内部攻击、外部攻击和穿越非信任的外部网络的能力。从应用及管理上说,其远超传统上应用的防火墙,管理和控制更加方便、易行。
参考文献:
[1]孟庆媛,孟晓景.网络防火墙的应用[J].终端与信息技术,2009,11.
[1]赵兵,孙梅.分布式防火墙技术的分析与研究[J].软件导刊,2010,3.
关键词:安防;防火墙;IPSec
中图分类号:TP393.08
我们常用硬件防火墙作为受控端把网络分割成内网和外网两部分,分别控制内网络与外部网络之间进行通信,防火墙处在内网与外网之间。当网络处在一局限定的拓扑时,这种模式可以起到较好的保护作用,但当网络规模及应用不断扩展后,比如应用远程通信或高速线路等,这样的方式就不能为网络提供优质的安全防护。分布式防火墙是基于IPSec的技术,它为终端驻留式的安全系统,可以保护局域网中的重要结点,比如:信息服务器、数据流及应用站点等不受到外部入侵的破坏,无论是外网,还是来自内部网络,分布式防火墙能对信息流进行限制与过滤,起到很好的网络防护作用。
1 硬件边界防火墙的特点及局限性
硬件边界防火墙用于限制被保护局域网络与外网之间的相互通信,它处在内外网之间,几乎所有先前应用的各种防火墙都是把内网用户看成是值得信任的,而把外网用户则视为潜在的攻击者来对待。网路安全设置的包过滤、应用层代理、自适应代理等都是基于这样的认识。
目前,计算机网络技术不断发展和各种新技术相继涌现,各种类型的新攻击情况更是不断更新,在以往边界式防火墙设计里,局域网非常容易受到恶意攻击和破坏,当接入局域网的用户终端,同时又得到终端控制权时,恶意攻击者就会将这台PC作为跳板,继续入侵其他系统。基于IPSec的DFW的作用,则是将防火墙分布到网络的各个子网、终端或及信息服务器上。DFW会让整个局域网内的用户方便地访问信息资源,网络的其他部分将不会被显露在攻击者面前。应用DFW的网络用户无论在局域、互联网、VPN网还是远程访问,其都能实现“没有区别的局域网互联,即是一种端到端的完全保护。除此之外,DFW还具有加强网络整体抗毁性能,以避免局域网由于部分系统的攻击而导致的全网络蔓延的状况产生,这样也限制了采用公共账号进入网络系统的用户无法进入受限的重要应用系统。
2 DFW的工作原理
DFW(Distributed Fire Wall),既分布式防火墙,这种安防系统的工作原理是:界定合法连接的安防策略集中定义,而安防策略的执行则由相关节点独自实施。
使用DFW的系统中,会为每个节点颁发不同的证书,即一个节点对应一个数字证书,安防维护人员、终端系统维护员并不是相同的人,网络安防维护人员可以在任何地方用数字证书登录,并不受网络拓扑结构限制。几乎与硬件防火墙相同,安防策略还是集中定义,但是,是分别在各节点实施。节点在处理数据流IP包时,必须符合安防策略文件规则,确保与整个系统的安防策略一致。由于是终端节点在执行安防策略,这样,就很自然的克服了以往防火墙的应用缺陷。
DFW由各个端点实施设置的策略,由中心定义策略。其主要依赖说明哪一类连接可以被允许或禁止的策略语言、一种系统管理工具和IP安全协议三个概念来实现。
3 DFW的结构设计
基于IPSec的DFW系统体系结构主要由:策略控制中心、策略执行器以及IPSec通信构成。策略控制中心的主要功能是设置被保护终端、为被保护终端设置安防策略、和向被保护终端发送策略文件;策略执行器是驻留在被保护终端的状态包过滤防火墙,解释并强制执行策略控制中心发放的安防策略;IPSec通信是对内部终端之间的通信进行加密保护以防止内部的窃探、欺骗以及重放等攻击破坏。被保护终端运行的是策略执行器,策略控制中心发放的安防策略的程序由其解释并强制执行,是保护端点终端的程序,完成的主要功能有:包过滤作用、实现与策略控制中心的通信、策略文件的接收、并负责将策略文件翻译成包过滤模块可识别的规则表达形式。
4 策略控制中心
策略控制中心的作用主要是注册被保护终端、向被保护终端设置安防策略、为被保护终端发送策略文件。为策略控制中心的体系结构,主要有终端注册模块、策略编辑模块以及策略发送模块。终端注册模块负责完成被保护终端在策略控制中心的注册,并为控制中心添加被保护终端,设置被保护终端的参数,例如终端名、地址、掩码和策略文件等。
策略编辑模块主要功能是为被保护终端设置安防策略,策略分别是指包过滤规则,包括源地址/端口、目的地址/端口、协议种类、网络端口、检测状态等数据。策略发送模块负责终端在策略控制中心的注册信息以及向被保护终端发送策略文件。
图1 策略控制中心体系结构
为防止内部攻击,对DFW系统内部终端间的通信进行保护是通过IPSec通信完成的。IPSec协议给出了应用于IP层上网络数据安全的一整套体系结构,其中包括Authentication (网络认证协议)、(AH)Header、Encapsulation Security payload(ESP)封装安全载荷协议、密钥管理协议Internet Key Exchange(IKE)和一些加密、认证的算法等。其定义相关基础结构及IP包格式,使网络通信具有端到端、加强的身份验证、抗重播、保密性、和完整性等功能。
5 在构建网络安全解决方案中的应用
DFW的网络安防方案是在内网的主用管理服务器安装产品的安防策略管理服务,而配置管理组和用户分别分配给相应的从服务器和终端工作站,并设计对应的安防策略;将终端防火墙安装在内网和外网中的所有终端工作站上,被管理端与安防策略管理服务器采用SSL协议进行连接,并建立相互通信的安全通道,避免下载安防策略和日志通信的不安全性。在客户终端,防火墙的机器采用多层过滤、入侵检测、日志记录等手段,给终端的安全运行提供强有力的保证。远程终端系统,作为应用业务延伸部分,并不属于内网,但是,在系统中仍是内网终端,与内网之间的通信仍然可以通过VPN、防火墙隔离等技术来控制接入。因此,对DFW的网络安防方案而言,远程终端系统与物理上的内部终端没有任何区别。
6 结束语
本文主要阐述了基于IPSec技术的分布式防火墙系统,DFW是采用策略集中设计,然后再分发到各终端机执行,较好地解决了硬件防火墙单点故障、内部攻击等问题。在作用上,该技术具备了抵御内部攻击、外部攻击和穿越非信任的外部网络的能力。从应用及管理上说,其远超传统上应用的防火墙,管理和控制更加方便、易行。
参考文献:
[1]孟庆媛,孟晓景.网络防火墙的应用[J].终端与信息技术,2009,11.
[1]赵兵,孙梅.分布式防火墙技术的分析与研究[J].软件导刊,2010,3.