论文部分内容阅读
摘要:随着Internet的迅速发展,网络安全问题日益严重。解决网络安全问题的重要手段就是防火墙技术。对防火墙技术的基本概念和系统结构进行简单的介绍,讨论了实现防火墙的两种主要技术手段:一种是基于分组过滤技术(Packet filtering);一种是基于代理技术(Proxy)。最后对防火墙的未来发展趋势进行了简单的介绍。
关键词:网络安全;防火墙;分组过滤技术;代理技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)34-1863-02
Network Security and Firewall Technology Research
YAN Yan1,2
(1.Chongqing Pharmaceutical College, Chongqing 400030, China; 2.Chongqing Normal University, Chongqing 400047, China)
Abstract: With the rapid development of Internet and network security issues is becoming increasingly serious. Resolve the issue of network security is an important means of firewall technology. In this paper, the basic concept of firewall technology and system architecture, discussed the firewall to achieve the two main technical means: A packet filtering technology is based on (Packet filtering); one is based on agent technology.Finally, the firewall for the future development trend of a brief introduction.
Key words: network security; firewalls; packet filtering technology; agent technology
Internet的迅速发展在提高了工作效率的同时,也带来了一个日益严峻的问题:网络安全。很多企业为了保障自身服务器或数据安全都采用了防火墙。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出人口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
下面简单介绍下列防火墙的基本构件和技术:筛选路由器(screening router)、分组过滤(packet filtering)技术、代理服务(Proxy Service)和应用层网关(application level gateway)。
1 筛选路由器(Screening Router)
许多路由器产品都具有根据给定规则对报文分组进行筛选的功能,这些规则包括协议的类型、特定协议类型的源地址和目的地址字段以及作为协议一部分的控制字段。例如在常用的Cisco路由器上就具有这种对报文分组进行筛选的功能,这种路由器被称为筛选路由器。
筛选路由器可以根据协议类型和报文分组中有关协议字段的值来区别不同的网络通信业务。路由器根据与协议相关的准则来区别和限制通过其端口的报文分组的能力被称为报文分组过滤。因此,筛选路由器又称为分组过滤路由器。我们首先介绍应用筛选路由器时需要考虑的安全防线设置问题。
企业网络中的边界被称为安全环形防线。2005年1月,ICS报告说Internet主机数量超过3亿1750万台。由于在INTERNET上危险的“黑客”很多,确定一个危险区域是很有用的。这个危险区域就是指通过INTERNET可以直接访问的所有具有TCP/IP功能的网络。筛选路由器本身不能够消除危险区域,但它们可以极为有效地减小危险区域,从而使其不能渗透到我们网络的安全防线之内。
2 分组过滤(Packet Filtering)技术
分组过滤可以用来实现许多种网络安全策略。网络安全策略必须明确描述被保护的资源和服务的类型、重要程度和防范对象。
在许多实际情况下,一个分组过滤一般都只采用简单模型来实现网络安全策略。在这个模型中只有两个网段与过滤装置相连,典型的情况是一个网段连向外部网络,另一个连向内部网络。通过分组过滤来限制请求被拒绝服务的网络通信流。
当前 ,几乎所有的分组过滤装置(筛选路由器或分组过滤网关)都按如下方式操作:
1) 对于分组过滤装置的有关端口必须设置分组过滤准则,也称为分组过滤规则。
2) 当一个分组到达过滤端口时,将对该分组的头部进行分析。大多数分组过滤装置只检查IP,TCP或UDP头部内的字段。
3) 分组过滤规则按一定的顺序存贮。当一个分组到达时,将按分组规则的存贮顺序依次运用每条规则对分组进行检查。
4) 如果一条规则阻塞传递或接收一个分组,则不允许该分组通过。
5) 如果一条规则允许传递或接收一个分组,则允许该分组通过。
6) 如果一个分组不满足任何规则,则该分组被阻塞。
3 代理服务(Proxy Service)
代理服务使用的方法与分组过滤器不同,代理(Proxy)使用一个客户程序,与特定的中间结点(通常为双宿主机)连接,然后中间结点与期望的服务器进行实际连接。使用这类防火墙时外部网络与内部网络之间不存在直接连接,即使防火墙发生了问题,外部网络也无法与被保护的网络连接。
代理服务可提供详细的日志记录(log)及审计(audit)功能,这大大提高了网络的安全性,代理服务器可运行在双宿主机上,它是基于特定应用程序的。代理服务通常由两个部分构成:代理服务器程序和客户程序。相当多的代理服务器要求使用固定的客户程序。例如SOCKS要求适应SICKS的客户程序。如果网络管理员不能改变所有的代理服务器和客户程序,系统就不能正常工作。
4 应用层网关
应用层网关可以处理存储转发通信业务,也可以处理交互式通信业务。通过适当的程序设计,应用层网关可以理解在用户应用层的通信业务。这样便可以在用户层或应用层提供访问控制,记录和控制所有进出通信业务。
由于每个报文分组都将由在应用层运行的软件进行处理,主机的性能将会受到影响。每个分组都将被所有的通信层次处理两遍,并需要在用户层上进行处理以及转换工作环境。应用层网关都暴露在网络面前,因此可能需要采用其它手段来保护应用层网关主机,例如分组过滤技术。
从对上述防火墙技术的分析可以看出,这几种模式都有一定的缺陷,因此人们正在寻找其他模式的防火墙。新一代防火墙系统不仅应该能更好地保护防火墙后面内部网络的安全,而且应该具有更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护,但同时它也成为限制网络带宽的瓶颈。数据通过率是表示防火墙性能的参数,由于不同防火墙的不同功能具有不同的工作量和系统资源要求,因此数据在通过防火墙时会产生延时。因此未来防火墙的发展方向之一是提高防火墙的数据通过率。
多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;支持IPSEC VPN,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。
总之,一个好的防火墙应该具有高度安全性、高透明性和高网络性能。此外,人们也在开展其他计算机网络安全技术的研究。未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。
参考文献:
[1] Karanjit S,Chirs H.Internet Firewall and Network Security[M].New Riders publishing,1996.
[2] 梅杰,许榕生.Internet防火墙技术最新发展[J].微电脑世界,1996,6:27-30.
[3] SALIML,MOHAMEDSB,THIERRYM G.Adaptive fuzzy control of a class of MIMO nonlinear systems[J].Fuzzy Sets and Systems,2005(151):59-77.
关键词:网络安全;防火墙;分组过滤技术;代理技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)34-1863-02
Network Security and Firewall Technology Research
YAN Yan1,2
(1.Chongqing Pharmaceutical College, Chongqing 400030, China; 2.Chongqing Normal University, Chongqing 400047, China)
Abstract: With the rapid development of Internet and network security issues is becoming increasingly serious. Resolve the issue of network security is an important means of firewall technology. In this paper, the basic concept of firewall technology and system architecture, discussed the firewall to achieve the two main technical means: A packet filtering technology is based on (Packet filtering); one is based on agent technology.Finally, the firewall for the future development trend of a brief introduction.
Key words: network security; firewalls; packet filtering technology; agent technology
Internet的迅速发展在提高了工作效率的同时,也带来了一个日益严峻的问题:网络安全。很多企业为了保障自身服务器或数据安全都采用了防火墙。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出人口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
下面简单介绍下列防火墙的基本构件和技术:筛选路由器(screening router)、分组过滤(packet filtering)技术、代理服务(Proxy Service)和应用层网关(application level gateway)。
1 筛选路由器(Screening Router)
许多路由器产品都具有根据给定规则对报文分组进行筛选的功能,这些规则包括协议的类型、特定协议类型的源地址和目的地址字段以及作为协议一部分的控制字段。例如在常用的Cisco路由器上就具有这种对报文分组进行筛选的功能,这种路由器被称为筛选路由器。
筛选路由器可以根据协议类型和报文分组中有关协议字段的值来区别不同的网络通信业务。路由器根据与协议相关的准则来区别和限制通过其端口的报文分组的能力被称为报文分组过滤。因此,筛选路由器又称为分组过滤路由器。我们首先介绍应用筛选路由器时需要考虑的安全防线设置问题。
企业网络中的边界被称为安全环形防线。2005年1月,ICS报告说Internet主机数量超过3亿1750万台。由于在INTERNET上危险的“黑客”很多,确定一个危险区域是很有用的。这个危险区域就是指通过INTERNET可以直接访问的所有具有TCP/IP功能的网络。筛选路由器本身不能够消除危险区域,但它们可以极为有效地减小危险区域,从而使其不能渗透到我们网络的安全防线之内。
2 分组过滤(Packet Filtering)技术
分组过滤可以用来实现许多种网络安全策略。网络安全策略必须明确描述被保护的资源和服务的类型、重要程度和防范对象。
在许多实际情况下,一个分组过滤一般都只采用简单模型来实现网络安全策略。在这个模型中只有两个网段与过滤装置相连,典型的情况是一个网段连向外部网络,另一个连向内部网络。通过分组过滤来限制请求被拒绝服务的网络通信流。
当前 ,几乎所有的分组过滤装置(筛选路由器或分组过滤网关)都按如下方式操作:
1) 对于分组过滤装置的有关端口必须设置分组过滤准则,也称为分组过滤规则。
2) 当一个分组到达过滤端口时,将对该分组的头部进行分析。大多数分组过滤装置只检查IP,TCP或UDP头部内的字段。
3) 分组过滤规则按一定的顺序存贮。当一个分组到达时,将按分组规则的存贮顺序依次运用每条规则对分组进行检查。
4) 如果一条规则阻塞传递或接收一个分组,则不允许该分组通过。
5) 如果一条规则允许传递或接收一个分组,则允许该分组通过。
6) 如果一个分组不满足任何规则,则该分组被阻塞。
3 代理服务(Proxy Service)
代理服务使用的方法与分组过滤器不同,代理(Proxy)使用一个客户程序,与特定的中间结点(通常为双宿主机)连接,然后中间结点与期望的服务器进行实际连接。使用这类防火墙时外部网络与内部网络之间不存在直接连接,即使防火墙发生了问题,外部网络也无法与被保护的网络连接。
代理服务可提供详细的日志记录(log)及审计(audit)功能,这大大提高了网络的安全性,代理服务器可运行在双宿主机上,它是基于特定应用程序的。代理服务通常由两个部分构成:代理服务器程序和客户程序。相当多的代理服务器要求使用固定的客户程序。例如SOCKS要求适应SICKS的客户程序。如果网络管理员不能改变所有的代理服务器和客户程序,系统就不能正常工作。
4 应用层网关
应用层网关可以处理存储转发通信业务,也可以处理交互式通信业务。通过适当的程序设计,应用层网关可以理解在用户应用层的通信业务。这样便可以在用户层或应用层提供访问控制,记录和控制所有进出通信业务。
由于每个报文分组都将由在应用层运行的软件进行处理,主机的性能将会受到影响。每个分组都将被所有的通信层次处理两遍,并需要在用户层上进行处理以及转换工作环境。应用层网关都暴露在网络面前,因此可能需要采用其它手段来保护应用层网关主机,例如分组过滤技术。
从对上述防火墙技术的分析可以看出,这几种模式都有一定的缺陷,因此人们正在寻找其他模式的防火墙。新一代防火墙系统不仅应该能更好地保护防火墙后面内部网络的安全,而且应该具有更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护,但同时它也成为限制网络带宽的瓶颈。数据通过率是表示防火墙性能的参数,由于不同防火墙的不同功能具有不同的工作量和系统资源要求,因此数据在通过防火墙时会产生延时。因此未来防火墙的发展方向之一是提高防火墙的数据通过率。
多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;支持IPSEC VPN,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。
总之,一个好的防火墙应该具有高度安全性、高透明性和高网络性能。此外,人们也在开展其他计算机网络安全技术的研究。未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。
参考文献:
[1] Karanjit S,Chirs H.Internet Firewall and Network Security[M].New Riders publishing,1996.
[2] 梅杰,许榕生.Internet防火墙技术最新发展[J].微电脑世界,1996,6:27-30.
[3] SALIML,MOHAMEDSB,THIERRYM G.Adaptive fuzzy control of a class of MIMO nonlinear systems[J].Fuzzy Sets and Systems,2005(151):59-77.