《防火墙技术与网络安全》由会员分享,可在线阅读,更多相关《防火墙技术与网络安全(4页珍藏版)》请在金锄头文库上搜索。
1、防火墙技术与网络安全 徐雪霞侯旋 (甘肃省信息中心兰州730000)(空军第二航空学院长春130022) Internet在世界范围内的普及和发展,给政府机构、企事业单位都带来了革命性的变化。利用Internet来提高办事效率和市场反映速度,成为提高自身竞争力的重要手段,可以快捷地从世界范围内取得重要数据和有用信息,同时Internet开放带来的数据安全新的挑战和新危险也是不可避免的。保证客户、销售商、移动用户、异地员工和内部员工之间的安全访问,防止企业内部的机密信息及其系统数据不受黑客或工业间谍的入侵盗窃等,都为Internet网络安全有效应用提出了系统安全控制要求。因此企业必须建立和加强安
2、全屏障,作为“战壕”的防火墙则应运而生,它成为构筑安全屏障的最基本、最有效和最经济的基础设施。网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,因此要保证网络信息的安全首先应考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。只要做到这一点,实现信息网络的安全才能够成为可能,而最基本的分隔手段就是防火墙。防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,且本身具有较强的抗攻击能力。利用防火墙,可以实现内部网(信任网络)与外部不可信任网络(如Internet)之间或是内部不同网络安全域的隔离与
3、访问控制,保证网络系统及网络服务的可用性。目前,根据ISOOSI参考模型,防火墙技术主要分为两大类:一类是建立在网络层上的基于包过滤技术的防火墙(连接结构见图1)。包过滤型防火墙通常基于IP数据包的源或目标IP地址、协议类型、协议端口号等对数据流进行过滤。它有着较高的网络性能和较好的应用程序透明性,其不足在于正确建立和管理包过滤规则比较困难,同时还缺乏审计、跟踪及身份验证功能。另一类是建立在应用上的基本代理技术的防火墙(连接结构见图2)。应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。它工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。其缺点在于缺
4、乏透明性,影响网络性能,必须针对每一项服务都建立对应的应用层网关,才能提供全面的安全保证,这势必严重限制了新应用的采纳。针对包过滤型防火墙和应用代理型防火墙在实际应用中的缺陷,更高的安全性和网络互连的要求,通常把基于包过滤的方法与基于应用代理的方法结合起来,同时加上地址转化、地址映射及流量统计与控制,攻击检测与攻击反应等功能,形成具有综合功能的复合型防火墙(连接结构见图3)。它的结合通常采取屏蔽主机防火墙体系结构和屏蔽子网防火墙体系结构两种方案。确定安全策略与选择合适的防火墙产品是解决网络安全问题的一个良好开端。防火墙的设置有几项重要功能:(1)防火墙是网络安全的屏障一个防火墙(作为阻塞点、控
5、制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。(2)防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。(3)对网络存取和访问进行监控审计防火墙能记录所有经过它的访问并做出日志记录。同时还能提供网络使用情况的统计数据。(4)防止内部信息的外泄通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。并且还可以隐蔽一些内部网络中不引人注意的细节,防止其透漏。(5)防止资源被滥用节约经费,强化安全管理,除了安全作用,还可以支持具有Inte
6、rnet服务特性的企业内部网络技术体系VPN,通过VPN将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。防火墙的上述种种功能的确有效地保证了网络安全能够少受侵犯,但在实际应用中不免设置了防火墙并不就可万事大吉。事实上,它只能解决4060的安全问题,其余的安全问题仍有待于更高技术解决。这些问题包括信息系统高智能主动性威胁;后继安全策略与响应的弱化;系统的配置错误,对安全风险的感知程度低,动态变化的应用环境充满弱点等。面对这些挑战的同时我们应当意识到网络安全的动态性和整体性规律则是大量系统安全问题产生的根本因素。网络
7、安全实际上是一个动态发展的过程,它的安全程序是随时间的变化而发生改变的。在一个特定的时期内,在一定的安全策略下,网络是安全的。但随时间的变化和环境的变化,网络的安全程度也会随之发生改变。因此,网络的安全需要随着网络环境的变化和技术的不断发展进行不断的调整和加强。当一个企业机构进行扩大之后,它的网络拓扑结构就相应发生改变,这样一来,原有的安全策略在新的环境下就很可能不再保证网络的安全。又如某单位使用的操作系统是上个月发布的版本,而现在发现它无法处理一种特殊的IP包,导致一旦黑客发送这种IP数据包,操作系统就会全面崩溃。我们还会见到专门提供大量黑客工具的网站,建立黑客论坛,不断研究和改进攻击技术和
8、网络漏洞,于是这些攻击方法则得到了广泛的传播。针对网络动态变化的规律,我们应切忌走进一次配置好网络拓扑和安全设备,就可以一劳永逸的认识误区。同时也应该提高警惕,认清网络安全尤如防病毒需要天天注意,月月升级,因为黑客们在时时研究,新的攻击方法天天都在上市,耀武扬威!要实现网络的安全,必须保持网络设备和各个组件的整体安全性。网络安全包括了安全管理,安全设备,安全系统等多个方面。从技术上来说,网络安全是由安全的操作系统,应用软件,防火墙,网络监控,信息审计,通信加密,灾难恢复,安全扫描等多个安全组件来保证的。一个单独的安全组件只能完成其中部分的功能。倘若一个单位购买了防火墙作为唯一的安全网络设备,则
9、仅能实现对网络的访问控制,而对攻击检测,网络监控等安全需求就不可能满足。若具有多个分支机构且分布在不同地域的单位,购买的防火墙等安全设备不具备VPN设备,则该单位的各个分支机构间就难以实现安全的加密通信。甚至有比较齐全的网络安全设备,包括防火墙,网络监控等系统,但使用的邮件服务器软件存在安全漏洞,照样可以被远程黑客利用,因此这样的网络也是不安全的。由此我们可以看到网络的安全性是一个整体的概念。认为只要配置了防火墙,就可以保证网络的安全性;相信只要有防火墙,那么它后面的服务器就是安全的;只要设置口令,服务器就可以平安无事的想法都过于天真。要保证网络的真正安全,不但要重视网络设备的安全性,同时还要
10、重视操作系统和应用软件的安全性。针对网络安全的动态性和整体性规律,目前网络专家提出了相应的网络对策。一方面提出了整体的网络安全模型见图4,用来适应网络安全的整体性。另一方面,信息系统的安全应该是一种动态的检测监视安全响应的循环过程。动态的网络安全风险评估和入侵检测产品正是实现这一目标必不可少的环节。网络安全检测是对网络进行风险评估的重要措施,通过定期对网络进行安全分析和安全测试,分析网络的安全风险,调整网络的安全策略,修补网络的安全漏洞。入侵检测系统是实时网络违规自动识别和响应系统。它位于有效敏感数据需要保护的网络上或任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵和破坏性代码
11、流,寻找网络违规模式和未授权的网络访问尝试。一旦发现,即能够根据系统安全策略做出反应,包括实时报警,事件登录,自动阻断通信连接或执行用户自定义的安全策略等。另外,使用IP信道和加密技术(IPSEC)也可以在两个网络结点之间建立透明的安全加密信道。它的优点是应用透明,可以提供主机间的安全服务,并通过建立安全的IP隧道实现虚拟专网即VPN。目前,大部分防火墙已经提供了相同的功能。信息时代的今天,如何保证网络的真正安全已成为诸多科技工作者的重大研究课题。于是,防火墙技术的发展也成为人们颇为关注的一个热点。随着新技术的发展,混合使用包过滤技术、代理服务技术和其它一些新技术的防火墙正向我们走来,并开始在实际中应用。除了防火墙产品外,综合的网络安全解决方案也日益受到企业级和国家级用户的喜爱。如微软的Internet安全网络框架现已广泛应用于Explore浏览器和Windows NT中,它将公钥密码技术和口令安全技术有效的结合起来,在商业环境中有很强的竞争力。另外Netscape的SSL,Cradient的WebCrandader,Nortel的EntrustWeb,CA的Enterprise Web Server也都提供了综合的网络安全保护方案,并在进一步研究和改进中逐步走向完善。
