计算机网络安全及防火墙技术论文 [计算机网络安全与防火墙技术]

　　摘要:防火墙技术的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。该文介绍了防火墙基本概念和系统结构，讨论了实现防火墙的主要技术手段。 　　关键词:网络安全；防火墙；拓扑结构；分组过滤；堡垒主机；双宿主主机；应用层网关；代理服务
　　
　　一、网络安全介绍
　　
　　互联网的安全问题促使了网络安全技术的发展。计算机网络的安全性定义为:
　　（一）保障网络服务的可用性(Availability)，即在用户需要得到系统服务时,系统能及时有效地提供。
　　（二）网络信息的完整性(Integrity)，要求用户接入或发出的信息必须完整地,准确地在指定有限范围内传播。
　　网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化；第二，网络的安全机制与技术不断地变化；第三，随着网络在各方面的延伸，入侵网络的手段越来越多，因此，网络安全技术是一个十分复杂的系统工程。
　　分析不同的网络结构和针对不同的应用,应采用不同的安全对策。从根本上说,网络安全的工具主要有两个: 一是防火墙(Firewall)技术,另一个是加密技术。本文着重讨论防火墙技术。
　　
　　二、防火墙的概念
　　
　　所谓防火墙就是一个或一组网络设备(计算机或路由器等)，可用来在两个或多个网络间加强访问控制。防火墙是被动防卫型安全保障系统,其特征是在网络边界上建立相应的网络通信监控系统来实现安全保障。它要求所保卫的网络是一个相对封闭的拓扑结构,只在出口与外界网络连接,假设不安全的因素仅来自于外部网络,建立防火墙就是利用专用安全软及硬件,对内部网络与外部网络之间的往来信息进行监测,控制和修改。
　　设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。通常被保护的网络属于我们自己，而所要防备的网络则是一个外部的网络，该网络是不可信赖的。对网络的保护包括下列工作：拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源。
　　不同的防火墙侧重点不同。从某种意义上来说，防火墙实际上代表了一个网络的访问原则。如果在某个网络设定防火墙，那首先需要决定本网络的安全策略(Security Policy)，即确定哪些类型的信息允许通过防火墙，哪些类型的信息不允许通过防火墙。防火墙的职责就是根据相应的安全策略，对外部网络与内部网络交流的数据进行检查，符合的予以放行，不符合的拒之门外。
　　在设计防火墙时，除了安全策略以外，还要确定防火墙类型和拓扑结构。
　　
　　三、防火墙拓扑结构
　　
　　建立性能良好的防火墙，其关键在于网络拓扑结构的合理设计及防火墙技术的合理配置。
　　（一） 屏蔽路由器模式
　　这是最初的防火墙设计方案，它不是采用专用的设备部署，而是在原有的路由器上进行包过滤部署。具备这种包过滤技术的路由器也称为“屏蔽路由器”，其结构如图1。
　　
　　（二） 双宿主机模式
　　它不是用真正的硬件防火墙来实现的，是通过在一台俗称为“堡垒主机”的计算机上安装有配置网络控制软件来实现的。所谓“双宿主机”，就是指堡垒主机，同时连接着一个内、外部网络，担当起全部的网络安全维护责任。双宿主机模式如图2。
　　（三）屏蔽主机模式
　　由于“屏蔽路由器”防火墙方案过于单调，很容易被黑客攻击，所以在路由器后增加了一个用于应用安全控制的计算机，充当堡垒主机角色。这就是“屏蔽主机防火墙”模式，又称“屏蔽主机”模式。其结构如图3。
　　采用这种设计作为应用级网关(代理服务器)，可使用网络地址转换(NAT)技术来屏蔽内部网络。可更进一步建立“屏蔽多宿主机防火墙”模式。在这种结构中，堡垒主机可以连接多个内部网络或网段，也就需要在堡垒主机上安装多块网卡。其结构如图4。
　　（四）非军事区（DMZ）结构模式
　　DMZ通常是一个过滤的子网，DMZ在内部网络和外部网络之间构造了一个安全地带。DMZ防火墙方案提供了一个区域放置公共服务器，从而能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池，以及所有的公共服务器
　　在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，相应内部网络的安全性也就大大加强，但投资成本也是最高的。网络结构如图5。
　　
　　四、防火墙技术
　　
　　防火墙最常采用的技术有数据包过滤,应用网关和Proxy等。本文主要介绍防火墙的基本构件和技术：分组过滤(Packet Filtering)技术、双宿主机(Dual-homed Host) 和堡垒主机(Bastion Host)、应用层网关(Application Level Gateway)、代理服务 (Proxy Service)。
　　（一）包过滤(Packet Filter)
　　包过滤是对网络中的数据包实施有选择通过。其依据是系统设置的接入控制表ACL(Access Control List)。根据IP包头信息中的源地址,目标地址,封装协议(TCP,UDP,ICMP或IP Tunnel),TCP/UDP端口号,ICMP，TCP链路状态等因素来确定是否允许数据包通过。包过滤主要工作在网络层,因而对位于网络更高协议层的信息无理解能力。由于数据包过滤逻辑是静态指定的,因而系统维护工作很大。数据包的检查过滤也会对路由设备的性能产生影响,可审核性也是要考虑的因素之一。
　　由于分组过滤规则的设计原则是有利于内部网络连向外部网络，所以在筛选路由器两侧所执行的过滤规则是不同的。
　　包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能以较小的代价在一定程度上保证系统的安全。但其缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造Ip地址,骗过包过滤型防火墙。
　　（二）双宿主机(Dual-homed Host) 和堡垒主机(Bastion Host)
　　双宿主机网关是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网和外部网相连。主机上运行着防火墙软件，可以转发应用程序，提供服务等
　　双宿主机是堡垒主机的一个实例。堡垒主机通常指的是对网络安全至关重要的防火墙主机，是组织机构中网络安全的中心主机。堡垒主机是由网络管理员严密监视的。堡垒主机软件和系统的安全情况应该定期地进行审查，对访问记录应进行查看，以发现潜在的安全漏洞和对堡垒主机的试探性攻击。
　　因为堡垒主机是与外部不可信赖网络的接口点，它们常常容易受到攻击。堡垒主机最简单的设置，是作为外部网络通信业务的第一个也是唯一的一个入口点。
　　进一步的发展就是多宿主机，多宿主机指的是一台配有多个网络接口的主机。通常，每一个网络接口与一个网络相连。多宿主机可以用来在几个不同的网段间进行寻径。如果在一台多宿主机中寻径功能被禁止，则这个主机可以隔离与它相连的网络之间的通信流量；与之相反的是，与它相连的每一个网络都可以执行由它所提供的网络应用，如果这个应用允许的话，它们还可以共享数据。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文 　　更进一步的话，可以用两种方案提高安全性：有屏蔽主机(Screened Host)或有屏蔽子网(Screened Subnet)。在第一种方案中，一个分组过滤路由器与Internet相连，同时一个堡垒主机安装在内部网络上。通常，在路由器上设立过滤规则，使这个堡垒主机成为Internet上其他节点所能达到的唯一节点。这确保了内部网络不受未被授权的外部用户的攻击。第二种方案，有屏蔽子网的方法是建立一个被隔离的子网，位于Internet和内部网络之间，用两台分组过滤路由器将这一子网分别与Internet和内部网络分开。两个分组过滤路由器放在子网的两端，在子网内构成一个禁止穿行区。 即Internet和内部网络均可访问有屏蔽子网，但禁止它们穿过有屏蔽子网进行通信。象WWW和FTP这样的Internet服务器一般就放在这种禁止穿行区中。
　　（三）应用网关(Application Gateway)
　　应用网关可以处理存储转发通信业务，也可以处理交互式通信业务。通过适当的程序设计，应用网关可以理解在用户应用层(OSI模型第七层)的通信业务。这样便可以在用户层或应用层提供访问控制，并且可以用来对各种应用程序的使用情况维持一个智能性的日志文件。能够记录和控制所有进出通信业务，是采用应用层网关的主要优点。
　　对于所中转的每种应用，应用层网关使用专用的程序代码。由于有这种专用的程序代码，应用层网关可以提供高可靠性的安全机制。每当一个新的需保护的应用加入网络中时，必须为其编制专门的程序代码。正是如此，许多应用层网关只能提供有限的应用和服务功能。
　　应用网关通常由专用工作站系统来实现。
　　（四）代理服务(Proxy Service)
　　代理型防火墙也被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
　　代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
　　
　　五、防火墙的不足和发展
　　
　　虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。
　　作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。人们正在寻找其他模式的防火墙。
　　新型的防火墙方案中通常可以考虑采用以下几种合并方案：
　　●使用多堡垒主机
　　●合并内部路由器与外部路由器
　　●合并堡垒主机与外部路由器
　　●合并堡垒主机与内部路由器
　　●使用多台内部路由器
　　●使用多台外部路由器
　　●使用多个周边网络
　　●使用双重宿主主机与屏蔽子网
　　总之，一个好的防火墙应该具有高度安全性、高透明性和高网络性能。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文