一、概述
随着计算机网络的广泛应用,全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性,所以我们要用防火墙,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
其实防火墙就好像在古老的中世纪安全防务的一个现代变种:在你的城堡周围挖一道深深的壕沟。这样一来,使所有进出城堡的人都要经过一个吊桥,吊桥上的看门警卫可以检查每一个来往的行人。对于网络,也可以采用同样的方法:一个拥有多个LAN的公司的内部网络可以任意连接,但进出该公司的通信量必须经过一个电子吊桥(防火墙)。也就是说防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上被非法输出。
防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。
二、防火墙技术
网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性:
1、所有的内部网络和外部网络之间传输的数据必须通过防火墙;
2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙;
3、防火墙本身不受各种攻击的影响;
4、使用目前新的信息安全技术,比如现代密码技术等;
5、人机界面良好,用户配置使用方便,易管理。
实现防火墙的主要技术有:分组筛选器,应用网关和服务等。
(1)分组筛选器技术
分组筛选器是一个装备有额外功能的标准路由器。这些额外功能用来检查每个进出的分组。符合某种标准的分组被正常转发,不能通过检查的就被丢弃。
通常,分组筛选器由系统管理员配置的表所驱动。这些表列出了可接受的源端和目的端,拥塞的源端和目的端,以及作用于进出其他机器的分组的缺省规则。在一个UNIX设置的标准配置中,一个源端或目的端由一个IP地址和一个端口组成,端口表明希望得到什么样的服务。例如,端口23是用于Telnet的,端口79是用于Finger分组,端口119是用于USENET新闻的。一个公司可以拥塞到所有IP地址及一个端口号的分组。这样,公司外部的人就不能通过Telnet登陆,或用Finger找人。进而该公司可以奖励其雇员看一整天的USENET新闻。
拥塞外出分组更有技巧性,因为虽然大多数节点使用标准端口号,但这也不一定是一成不变的,更何况有一些重要的服务,像FTP(文件传输协议),其端口号是动态分配的。此外,虽然拥塞TCP连接很困难,但拥塞UDP分组甚至更难,因为很难事先知道它们要做什么。很多筛选分组器只是拦截UDP分组流。
(2)应用网关技术
应用网关(ApplicationGateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般由专用工作站系统来完成。
有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户(3)服务
服务器(ProxyServer)作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它接点的直接请求。
具体地说,服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如FTP、Telnet),并按照一定的安全策略转发它们到实际的服务。提供代替连接并且充当服务的网关。
在实际应用当中,构筑防火墙的“真正的解决方案”很少采用单一的技术,通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险,采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。超级秘书网
三、防火墙技术展望
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。
另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。
参考文献:
[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.
【关键词】网络防火墙服务器
绪论
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、型和监测型。
一、包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
二、网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
三、型
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到内部网络系统。
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
四、监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
2、INTRANET条件下,智能型防火墙的工作原理
当内网互联主机与互联网主机连接时,需要使用相应的IP地址,反之当互联网主机与内网互联主机连接时,需要通过网关映射到内网主机。这将使互联网网络无法看到内部网的网络,而且内部网的网络将自己躲了起来。此外,DMZ中堡垒主机过滤管理程序可以顺利通过安全通道,并与内部网中的智能认证服务器进行互相通信,而且通信的信息都是秘密进行的。由于智能认证服务器能够进行秘密通信,因此它可以修改内外路由器表,也可以调整制定过滤规则。在智能防火墙中的智能认证服务程序和应用过滤管理程序可以互相协调,不仅可以在堡垒主机上运行,还可以在服务器上运行。
3、INTRANET条件下智能型防火墙的网络安全技术实现方式
3.1智能型防火墙堡垒主机及其实现方法
堡垒主机起着连接内部网和互联网的作用,它的作用非常重要,但是它容易受到攻击,因此我必须要对其做好安全性保护,首先我们对堡垒主机操作系统——Linux操作系统,做了非常缜密的安全化处理,其具体方法是:对于SMTP,FTP,HTTP等的基本网路服务进行保留,对他们的源代码进行重新改写,使它们中的过滤功能从中分离出来,建立一个新的模块,这个模块被称为:应用过滤管理器模块,让这个模块运行在堡垒主机上,统一调度管理所有的应用服务。应用过滤管理器的主要功能是对所有经过堡垒主机的信息进行拦截,然后从下至上对其经过协议的信息进行逐层分析,并对相对安全的数据进行存储,最后秘密地传达给智能认证服务器,让智能认证服务器对这些信息进行分析处理,分析完之后再秘密地传回给应用过滤管理器,然后应用过滤管理器根据分析结果对应用过滤功能进行重新配置,同时激发相应进行工作。
3.2智能型防火墙的智能认证服务器及实现方法
智能认证服务程序和网络数据库是智能认证服务器的核心,智能认证服务器是通过信息驱动来进行操作的,如果外部主机访问内部网络,则需要外部路由器的数据审核,通过审核的信息才能顺利达到DMZ网络,对于内部网的信息请求,不需要经过内部路由器审核,它可以直接进入DMZ网络,另外,还需要这些路由器是否制定过滤规则,如果制定了过滤规则,就不能进行信息传达,并且这些信息也将被丢弃掉,但是,如果过滤规则允许进行传输,那么这些信息还需要通过防火墙。如果数据包和路由器制定的规则不一致,那么这个数据包将会被用过滤管理器拦截下来,然后从底层协议到上层协议对其进行分析,如果分析结果是具有安全性的,那么这个数据包将会被传输给智能认证服务器。智能认证服务器上的数据接收器就会把这些信息存储到网络安全数据库中,网络安全数据库发生变化后,推理机就会自动进行工作,推理机就会使用安全专家知识库里的信息对刚刚进入网络安全数据库中的这些信息进行分析、比较和推断,看看是否能够找出相关对应的数据,从而得出过滤方案,使网络管理员能够直观的看到,方便网络管理员根据实际情况作出相应的处理。这时原文发生器就会转化其内部的代码或者通过修改路由器表和过滤规则来实现内外主机通信;或者由过滤管理器通过修改过滤规则,将其传输到DMZ上的堡垒主机,堡垒主机中的应用过滤管理器对其过滤功能进行重新配置,激发其他应用进行工作。因此,智能型防火墙更能全面严格地进行安全控制。
[中图分类号] TE867 [文献码] B [文章编号] 1000-405X(2014)-8-317-1
1外墙外保温的优势
1.1外保温使主墙结构的耐久性提高
护墙体变形会导致内保温板缝的开裂,若采用外墙外保温,则建筑内部结构就会受到保护。外保温能够有效防止并减少墙体和屋面的温度变形,继而使主体结构的耐久性提高。
1.2外保温使人居环境的舒服度改善
外保温可以提高外墙内表的温度,就算屋内温度下降了,也能有舒适的热环境,因此,在加强外保温、保持屋内体感舒适的前提下,适当降低室温,可以减少采暖负荷,节约能源,有利于可持续发展。
1.3外保温可以防止墙体产生热桥
外墙既要承担承重作用,又要保温,外墙肯定很厚。外保温可以防止热桥,在采用同样厚度的保温材料情况下,外保温要比内保温的热损失降低20%左右,使热能得到节约。
1.4外保温优于内保温的其他功能
(1)当外墙必须进行装修或抗震加固时,加做外保温是最经济,最有利的方法。
(2)采用外保温可以与室内工程同时作业,减少工程时间。
(3)外保温可以使建筑更为美观。
(4)外保温有广泛的应用范围。
(5)外保温有很高的综合经济效益。
2目前外墙外保温防火技术现状件之一,然而我国外保温系统发展到现在,在防火技术领域的研究还是落后的,并且我国现行的标准和规范中也没有有关外保温防火技术的具体内容,在行业标准中也只是将保温材料的燃烧性能有所涉及。目前外保温系统中大约4/5的主体保温材料都为有机可燃材料,系统没有一点防火构造设施,并且大多用于高层建筑当中,这会导致火灾事故或加速火情蔓延的案例经常发生,给人们的生命和财产安全造成严重威胁,同时使筑存在的安全隐患。我国建筑的火灾,多为幕墙保温和高层建筑火灾,尤其是高层幕墙保温建筑,具有多发性、火势蔓延快、燃烧产生大量有毒烟尘、施救难度大等特点。
现今,我国已经开始重视外保温防火技术的发展,就防火安全性问题达成了共识,易燃的保温材料是外墙外保温易造成火灾事故的重要原因,因此,提高外墙外保温系统的防火技术已刻不容缓。
3目前外墙外保温防火技术所存在的问题
3.1目前所用外保温的有机绝热材料的防火性能弱
外墙外保温系统建在墙体结构的外部,它自身的燃烧能力和耐火极限对抵抗邻建筑火灾的侵害和遏制本身建筑火情的蔓延都是相当的重要。在我国现行的技术政策和节能指示的推动下,外墙外保温系统正在快速的发展,但不足的是,对防火技术重视不够。而在外国,普通规定都要求在做保温前,对保温系统和绝热材料做燃烧性能和耐火极限的试验(同时考虑燃烧产生的烟气及毒性等),并为其分出不同等级,再根据适用范围选用不同等级的保温系统和材料。
3.2高层住宅建筑比多层住宅建筑的防火等级要求更高
高层住宅建筑对保温墙的耐火性要求更高,并且在火灾事故发生时还要具备防止某些物品燃烧可能释放的有毒气体的能力,对材料的强度和体积要求破坏程度尽量低,否则会给百姓或消防人员造成伤害,而且还会给火灾施救带来许多障碍。高层幕墙保温建筑又具有火灾事故多发性、火情蔓延快、高层人多楼窄、施救难度大等问题。因此,在我国这种建筑火灾多因幕墙保温和高层建筑火灾的国家来说,对外保温的防火技术的研究、使用和发展迫在眉睫。
3.3建筑施工对外保温的防火安全存在侥幸心理
我国对建筑防火技术本来发展就比较缓慢,而又有许多施工方在外墙外保温的设计和施工过程中为了省钱和节约时间忽视建筑的防火问题或存在侥幸心理,能省的防火设施一律省去。使建筑危险度大大增加。在我国近几年有好多建筑因为施工时对防火设备和材料偷工减料,最终酿成大火。如2003年北京东直门当代万国城、2004年北京新源大厦、2005年上海汤臣一品、2006年江苏无锡某建筑的火灾均是由易燃的外墙外保温系统引起的,而且还通过窗口向上及周围蔓延。
4外墙外保温防火技术的未来发展
国家现在很推广外墙外保温方法,其确实也是一种顺应时代的保温方法,给人们生活带来便利,所以,我们应该将其定位在可持续发展的高度,借鉴国外先进并符合我国国情的防火技术,再进行自主创新的研究,推行使用更为节能、安全性更高的保温材料,逐步达到发达国家的防火技术级别。大力推行建筑节能政策,在外墙外保温施工技术与产品等方面,期望开发出符合我国建筑结构特点的保温系统,并将其防火技术更加完善,使保温系统能够让人们更放心的使用。
5总结
综上所述,外墙外保温是现在建筑中推行最为广泛的保温方法,但它在给人们生活带来方便的同时,也出现了一些潜在的危险问题――保温材料易燃、应火强度不够、阻火能力差和火灾施救困难等问题。这是说明在推行外墙外保温的同时,也要将外保温的防火技术进行改善提高和重视,杜绝施工方对防火设施偷工减料的行为。研究开发一些新型保温防火材料,减少火灾事故率,让外墙外保温真正成为适用广泛并顺应可持续发展的节能保温方法。
参考文献
[1]胡成德,朱艳芳,王培铭.外墙外保温系统对室内热环境的影响[A].中国硅酸盐学会2003年学术年会论文摘要集[C].2003年.
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 19-0000-01
Network Firewall Technology and Design Process Related Issues
Shi Yang
(Xuzhou Port(Group)Co.,Ltd.Wanzhaigang Branch,Xuzhou221007,China)
Abstract:Network Security in the Information Age is now more and more sectors of society-wide attention and attention as an important security network security network firewall technology in practice more and play a position to defend the security role network security has become the patron saint.This paper analyzes the theory of the strong network of fire safety knowledge and practical experience,lessons and explore the network firewall network firewall design and operation of the process involved in issues related to exploration and research.
Keywords:Network firewall technology;Design process;Problem
一、网络防火墙的相关理论研究
随着和网络时代的到来,网络防火墙逐渐成为当前最为重要相关网络的防护手段,英文叫做“Firewall”。随着信息技术的不断发展,防火墙的过滤和防护机制的设计从最初的只注重外网的信息通讯防护和检测,对内网传输的绝对信任发展成为现在的不仅对于外网的通信需要进行有效过滤和排查,也需要对内部网络用户发出的数据或者通讯信息进行安全过滤,这样的设计和安排符合网络防火墙的基本设计初衷和安全的要求。由此可见,防火墙并不是完全封闭不可透过的,它存在的过滤机制可以让安全的通讯正常传输,而阻止具有破坏性的、危险的通讯,以保护网络安全。
网络防火墙作为网络安全的屏障具有自身特征:首先是网络防火墙具有本身坚固的抵御攻击的免疫能力,这也是防火墙能担当网络安全屏障的前提条件,只有防火墙自身具有完善的可以信任的安全防护系统,才谈得上为网络提供安全保证;其次,防火墙的工作原理和设计理念就是只有符合安全设置的数据和信号才能通过防火墙,才能顺利传输;最后,防火墙是所有信息传输的唯一通道,无论是内部网络还是外部网络传输的信号和数据都需要经过防火墙,这样防火墙才能起到真正过滤威胁,维护网络通信安全的作用。
网络防火墙通常情况下从软硬件的形式上来划分主要有硬件防火墙和软件防火墙两类;从防火墙的技术职能上来划分主要可分为“包过滤型”和“应用型”两大类;如果按防火墙的应用部署位置来划分主要由边界防火墙、个人防火墙和混合防火墙三大类;再从防火墙的结构上来划分主要有单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。不同分类之下的防火墙通过在内部和外部网络的相关设置的检查点来检测和控制传输的数据和信号,将不同的网络隔离开来,互相区分,以保证内部信息和数据不会外泄和流失,强化了网络安全防护的效果,有效审查网络的相关活动,保证网络安全。
二、网络防火墙设计和运行中的相关问题研究
随着网络防火墙主要技术的不断发展变革,主要包括的技术有:包过滤,是防火墙最为传统、最基本的过滤技术之一;网络地址转换(NAT,Network Address Translate);应用级网关(服务器);电路级网关技术是会话层过滤的数据包,较之包过滤要高出两层左右;非军事化区(DMZ)在网络内部设置公开化的网络服务器设施,这样较比其他的防火墙要多一道防护;透明模式也叫做透明技,此技术使得用户也意识不到防火墙的存在;邮件转发技术使得外部网络只知道防火墙的域名或者IP地址,这样只能将信息和数据传输到防火墙在进行转发,以实现保护内网;堡垒主机经常配置相关网关服务,设置一个监测点,使所有内网的完全问题集中在一个主机上解决;阻塞路由器和屏蔽路由器,在内部网和内外网连接中起到防护作用;隔离域名服务器是可以起到保证受保护网络的IP地址不被外部网络侵害或者知悉;状态监视器是最新的防火墙技术,安全防护的性能最佳,功能最强大。
在网络防火墙设计结构模式的发展历程见证了不同时代的防火墙技术,这里主要介绍屏蔽路由器模式、屏蔽主机模式以及非军事区结构模式几种。
屏蔽主机模式,在发展的一定阶段的时候,防火墙技术在路由器后增加一道用于进行安全控制点的计算机,眨眼那个可靠的计算,只有侵害透过了路由和堡垒主机才能到达内网,加强了安全防护。
屏蔽路由器,较之屏蔽主机模式就略显单一,也是之前的防火墙技术不够完善的表现,这种防护策略是很原始、很单一,只限于在现有的硬件的基础上实现单一的防护,加之过滤包的过滤,是最简单的防火技术原理。
非军事区结构,在这个防火墙技术设计中,同时存在着两个防火墙系统,外部防火墙主要负责抵挡来自外部网络的侵害和攻击,内部防火墙主要负责管理DMZ对于内部网络的输入和访问。内部防火墙是对于内部网络的除了外部防火墙和堡垒主机之外的第三道安全屏障和防护,当外部防火墙被侵害而失效时,它还可以继续起到保护内部网络安全运行的功能。在这样涉及到防火墙安全结构里,一个黑客想要进攻内网,必须完全通过三个相互独立的防护区域(包括外部防火墙、内部防火墙和堡垒主机)才能实际到达内部局域网展开攻击。保护的强度和范围大大加大,网络的稳定性和安全性也就大大提升,当然,随之而来的,在这样的网络防火墙结构设计里,经济成本投入毋庸置疑的也是最大的。
三、结束语
网络信息时代,利用网络进行的经济活动和社会生活也越来越广泛和多样,带给人们社会生活的实际影响也就越来越大,因此,如何有效实现网络安全也就成为当今时代最为热点的问题。网络防火墙最为有效保护网络安全的技术,需要在实践里不断研究探索和发展完善。在经历了不同时代防火墙技术的发展之后,现如今的防火墙技术已经在一定程度上实现了有效保护内网安全和稳定的目的。但是,未来在具体的设计网络防火墙还是任重道远的,因而黑客在不断的进步和技术更新,自然,网络防火墙技术也相应地需要在网管设置、技术更新、屏蔽形式、硬软件设置和配备等多方面提升和完善,加大技术和资金投入,保证未来信息时代网络安全运行,为经济生产和社会生活保驾护航。
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)22-5187-02
防火墙技术作为一种重要的网络安全技术,已经广泛开设于计算机网络、计算机网络安全技术、信息安全概论等课程中。但学习防火墙技术不仅仅是学习书本上空洞的理论和抽象的安全策略,要使学生真正掌握好该技术,需要大量的实践环节加以理解、掌握和应用,提高学生的专业实践能力。如果利用专用的防火墙硬件作为实验设备,不仅具有价格昂贵、内部技术不透明的缺点,而且不能真正地让学生了解防火墙的体系结构、原理及技术,并加以灵活运用。因此本文利用Linux OS下的开放源代码软件IPtables及Squid,灵活地使用Linux主机实现各种防火墙技术,设置了若干防火墙技术实验项目,给出了实验环境的搭建。
1 包过滤防火墙实验
包过滤防火墙[1]可以在网络层或数据链路层截获数据,使用一些规则来确定是否转发或丢弃各个数据包。该文中将以Linux OS下的IPtables软件为例来说明包过滤防火墙实验设计,其实验环境搭建如图1所示。
在该环境中只设置1台Linux主机用于运行IPtables防火墙,三台Windows主机分别连接到防火墙主机的三块网卡(NIC)上,用于模拟私有网络、Internet区域和DMZ。为了满足实验的要求,在这三台Windows主机上需要安装一些必要软件如各种服务器软件并加以配置使其正确运行。在该实验环境中,设计满足如下网络安全要求的防火墙实验。
1) 允许网络接口eth1、eth2相连接的LAN1和LAN2之间进行相互通信。
2) LAN1和LAN2的任何主机可以使用internet中的任何服务(Web,E-mail,Ftp等)。
3) 来自internet的主机不能访问1023以下的LAN1和LAN2中的内部端口。
4) 拒绝从网络接口eth0直接访问防火墙本机的ICMP数据包,但是允许相应防火墙TCP请求的数据包进入。
5) 允许internet中的主机访问LAN1中的DNS服务、WEB服务、FTP服务,其它服务如telnet等禁止。
通过该实验可以使学生掌握防火墙包过滤技术, IPtables的防火墙规则编写方法、IPtables中的表和链的概念、数据包控制方法,防火墙在网络系统中的部署、安装、配置和测试方法等,为以后真正利用防火墙解决网络安全工程中的实际问题奠定坚实的基础。
2 网络地址翻译NAT实验
网络地址翻译(NAT)[2]也是一种重要的防火墙技术,它隐藏了内部的网络结构,外部攻击者无法确定内部网络的连接状态。通过设置规则,在不同的时候,内部网络向外连接使用的地址都可以不同,给外部攻击者造成了困难。同样NAT通过定义各种映射规则,可以屏蔽外部的连接请求,并可以将外部连接请求映射到不同的主机上。NAT实验环境如图2所示,可以设计如下实验。
1) 利用NAT进行IP地址伪装
将向外部网络上提供服务的服务器在物理上放置于私用网络中,假如私用网络中的一台服务器的IP地址为192.168.1.3/24,如果要对外部网络提供Web服务,就可以利用IPtables进行IP地址伪装,当外部网络中的主机对210.45.144.254进行Web请求时,该防火墙就转向私用网络中的192.168.1.3的服务器进行Web请求。可以使用下面的IPtables规则加以实现。
#IPtables -t nat -A PREROUTING -p tcp -d 210.45.144.254 ―dport 80 -j DNAT ―to-destination 192.168.1.3
2) 使用NAT访问外部服务
使私有网络中的主机通过NAT访问外部网络中的服务,可以使用下面的IPtables规则加以实现。
3 应用层服务器防火墙实验
服务器防火墙[3] 通过一种(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是服务器技术。
服务器可以用于禁止防问特定的网络服务,而允许其他服务的使用,通过防火墙服务器的通信信息,可以提供源于部分传输层,全部应用层和部分会话层的信息。另外还有识别并实施高层的协议,如http和ftp等的优点。
本实验项目拟用Squid服务器[4]实现高速Web,并且实现认证以及流量计费系统。图3是实现该实验项目的平台。
在以上的实验环境中,设计满足如下要求的实验:
1) 限制内网某些IP使用服务器,例如要使用地址范围10.10.43.1到10.10.43.254的主机允许访问Squid服务器可使用下面的方法定义acl。
一旦定义地址范围以后就可以用带allow动作的http_access命令把allowed_hosts指定为aacl进行下面的定义。
2) 实现认证,指定认证程序,并且指定认证的身份认证口令文件为/usr/local/squid/etc/passwd。
3) 实现Squid服务器访问报告生成器。Squid服务器访问统计系统可以利用Sarg软件加以实现,该软件可以从http:///sarg.php下载sarg-2.3.1.tar.gz源代码软件包。该软件通过访问Squid的日志文件access.log实现用户访问情况统计、站点访问统计、拒绝访问统计、认证失败统计、访问流量统计、访问时间统计等各种信息统计。
4 结论
本文利用Linux OS下的IPtables、Squid以及其它开放源代码软件,灵活地使用Linux主机实现各种防火墙技术,包括使用IPtables实现包过滤防火墙、NAT、IP地址伪装、Squid服务器、认证、服务访问统计系统等,设置了若干防火墙技术实验项目,给出了实验环境的搭建。在节约实验设备硬件投资的情况下,使学生更深入地掌握防火墙原理、技术及实现,并提高学生的专业实践能力。
参考文献:
[1] 叶惠卿. 基于Linux iptables防火墙规则生成的研究与实现[D].广州:中山大学,2010.
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2015)11-0000-00
1防火墙概述
1.1 防火墙的概念
防火墙主要是用来加强网络之间的访问和控制,以防止安全策略中禁止的通讯,从而保护计算机安全的一种硬件或软件。它和建筑之中的防火墙功能有些类似,通常外部的网络用户以非法的手段从外部网络进入内部网络,访问内部网络资源,窃取数据。为了保护计算机的安全,防火墙对两个或者以上的安全策略进行检查,进行的通讯是否安全从而决定是否放行,同时也监视者网络的运行状态。设立防火墙的主要目的是出于信息的安全考虑,防止外部的用户任意的浏览计算机内部信息和窃取数据,以达到保护计算机安全的目的。
1.2防火墙的功能
防火墙的功能主要有,隔离内外网络,增加保密内容,防止信息被有意盗窃。建立检查点,强化安全策略,记录一些入侵途径的日志,监控网络情况,为预警提供方便等。
2 防火墙与入侵检测技术
2.1 入侵检测系统概述
入侵检测是对一些有害的信息进行监测或者阻止,它可以对信息安全提供保障。
根据检测系统监测的对象是主机还是网络,可以将入侵检测系统主要分为两种。
2.1.1基于主机的入侵检测系统
这类系统主要用于保护运行关键应用的服务器。通过查看日志文件,可以发现入侵或者入侵的企图,并迅速的启动应急程序,从而到达避开检测系统的目的。
2.1.2基于网络的入侵检测系统
这种入侵检测系统通过在共享的网段上对数据的监听来收集数据并分析可疑的对象数据,这种系统不要严格的审计,因此对主机的要求不高,而且还可以提供对网络通用的的保护,不必去担心不同主机的不同架构。
2.2 入侵检测系统面临的挑战
入侵检测系统(IDS)是近些年来发展起来的一种动态安全防范技术,它主要是通过对一些关键点收集信息并对它们进行分析,看行为是否有被攻击的迹象。这也是一种集检测、记录、报警、响应的动态安全技术,它不仅能检查外部的入侵行为,也可以检测内部的行为,这种检测技术主要面临着三个挑战,分别表现在以下几个方面:(1)如何来提高检测数据的速度以适应日益发展的网络通信要求;(2)如何来提高检测系统的检测安全性和准确性;(3)如何来提高整个检测系统的互动性能。
这些挑战在以后的信息安全问题中将继续凸显出来,所以只有继续提高检测技术来应对这些方面的挑战。
2.3防火墙与入侵技术的结合
从概念上我们可以看出防火墙是一种对入侵比较被动的防御,而入侵检测相对来说是一种主动的防御。防火墙作为第一道防线,阻止了网络层的攻击,拒绝了一些明显的攻击数据但是还是放入了一些隐藏攻击的数据,这时就需要入侵检测技术的支持。如果防火墙加入了入侵检测技术那么很快就会确认入侵者,这样就大大的提高了防火墙的整体防御效力。下面是防火墙和入侵检测系统的两种合作方式。
一种是紧密的结合。这种结合就是把入侵检测技术配置到防火墙中。这种结合使得所有的数据在经过防火墙的同时也会接受入侵检测技术的检查。来判断数据包是否有入侵嫌疑。从而达到即时阻挡。
第二种是两者之间拿出一个开放接口给对方调用,并且按照一定的协议进行交流。这种结合方式是在对防火墙和入侵检测的优缺点进行分析后研究建立的模型,实现了功能上的优势互补。
无论是哪种方式,入侵检测技术和防火墙的结合都很好的解决了防火墙可以阻挡但难发现入侵的弊端,同时也解决了入侵检测技术容易发现进攻但难阻挡的劣势。这样的结合型防火墙不仅能快速的发现进攻而且还能够及时做出反应来阻挡进攻。同时高效的收集有关入侵信息也给了入侵很大的威慑力。
3 防火墙发展趋势及前景
防火墙的一些安全问题暴露出防火墙的一些不足,防火墙开始出现了一种更高级的防火墙,这是也是防火墙一种设计理念的升华。这种较为先进的防火墙带有检测系统,它通过过滤数据来检测入侵,这也是现有防火墙的一种主流模式了。在未来防火墙的检测技术中将继续聚合更多的范畴,这些聚合的范畴也很大的提高了防火墙的性能和功能的扩展,与此同时我们可以展望未来的防火墙必定是向着多功能化、高性能、智能化、更安全的方向发展。
3.1多功能化防火墙
现在防火墙已经出现了一种聚成多种功能的设计趋势,入侵检测这样的功能很多出现在现在防火墙产品中了,这样的设计给管理性能带来了不少的提升。甚至会有更多新颖的设计出现在防火墙中,比如短信功能,当防火墙的规则被变更或者出现入侵攻击的时候,报警行为会通过多种途径将消息发送到管理员手中,包括即时短信,或者电话呼叫。以确保安全行为第一时间即被启动。也许在不久的将来我们就可以在防火墙产品上看到更多更出色的功能设计。
3.2 高性能防火墙
另外一种趋势是性能的提高,未来的防火墙在功能上的提高一定会伴随着性能的提升,特别是数据的流量日益复杂更需要性能的保障。如果只是要求性能的提高必然会出现问题。单纯的流量过滤性能问题是比较容易解决的问题,但是与应用层涉及越密,性能提高需要面对的问题就会越来越复杂。特别是在大型应用环境中防火墙规则库有几万的记录,这对防火墙的负荷来说是很大的考验,所以一些并行处理技术的高性能防火墙将出现在人们的眼中。
3.3智能化防火墙
网络中的一些以垃圾电子邮件的发送,恶意性网站网页的弹出问题等,这些已经不是简单的防火墙技术可以解决的。传统防火墙解决的效果差而且效果也不好,所以智能防火墙在未来的发展趋势中也必定发挥出相应的作用。
所以不论是从功能还是性能或者其他方面来说防火墙在今后都将会迅速发展,这也是反映了信息安全对防火墙的要求,同时也是防火墙的发展趋势。
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2013)03-0216-01
信息社会的发展使得网络应用成为人们日常生活的一部分。计算机网络突破了传统空间中的地域限制和时间限制,可以快速准确的帮助人们获得所需信息和资源,极大的扩展了人们了解现实的渠道。但是随着计算机网络的普及和经济社会的发展,网络应用给我们带来了巨大的便利,也为我们带来了巨大的安全隐患。网络中的恶意程序以及人为的恶意破坏使得我们必须采取有效的防护措施对自身数据进行保护,防止被非法获取或泄露。防火墙则是基于网络的一种信息安全保障技术,是当前时期网络安全的主要解决方案之一,利用防火墙技术可以有效控制用户和网络之间的数据通信,保障数据的安全。
1 防火墙技术发展概述
防火墙技术主要是对内网和外网之间的访问机制进行控制,但是传统的依靠拓扑结构进行网络划分的防火墙在防止来自网络内部的攻击方面的性能不够完善,无法实现数据的安全防护。为解决该问题,分布式防火墙技术被提出来解决上述问题,该技术将安全策略的执行下放到各主机端,但是在服务端对各主机进行集中管理,统一控制,该技术解决了传统防火墙技术在网络结构、内部安全隐患、“单点失效”、过滤规则、端到端加密、旁点登陆等诸多方面的问题,具有较好的网络防护性能。随着分布式防火墙技术的提出,人们不断对其进行改进,这些改进主要集中于两个方面:硬件和软件。其中基于硬件的防火墙技术被称为嵌入式防火墙技术。
2 经典嵌入式防火墙技术研究
较为经典的嵌入式防火墙技术由以下几种。
2.1 基于OpenBSDUNIX的嵌入式防火墙技术
该技术的实现基础为在OpenBSDUNIX操作系统,该平台具有一体化的安全特性和库,如IPSec栈、KeyNote和SSL等,应用平台中的组件内核扩展程序可以指定安全通信机制;应用平台中的用户层后台处理程序组件可以对防火墙策略进行执行;设备驱动程序组件用于提供通信接口。
2.2 基于Windows平台的嵌入式防火墙技术
该技术的主要实现过程为对主机的具体应用和对外服务制定安全策略。其中数据包过滤引擎被嵌入到内核中的链路层和网络层之间,向用户提供访问控制、状态及入侵检测等防御机制;用户配置接口用于配置本地安全策略。
本文主要对该平台的嵌入式防火墙技术进行研究。
3 基于嵌入式协议栈的内容过滤防火墙技术方案
该技术方案将嵌入式协议栈和动态包过滤进行整合,进而替代主机的应用层防火墙接口和系统功能调用,内容过滤和数据处理。其中,嵌入式协议栈主要用于对数据和通信策略进行检测,动态包过滤主要用于对IP层和TCp层的通信规则进行检测。
该技术方案的优势在于数据包过滤和协议内容分析处于系统的同一层次,这就会提高防火墙的防御效果。
3.1 防火墙结构分析
防火墙系统结构分为主要分为两部分:底层安全策略表和应用层安全策略表。与传统防火墙技术相比,本文所述基于嵌入式协议栈的防火墙技术在防御策略中添加了应用层的安全策略,其中,网络协议还原将原有的网络通信协议进行了还原处理,而应用层协议还原则是对应用层协议进行还原解码处理,经过两次还原,数据信息被送入安全检测模块进行数据分析。
3.2 工作流程实现
当网络中的主机进行数据包通信时时,会按照访问规则对数据包进行安全检测,查看是否符合访问规则,若不符合访问规则,则对该数据包进行丢弃处理,若符合访问规则,则按照防火墙状态表对数据包进行二次检测,该检测在协议栈部分进行。
对于需要检测的数据包如HTTP、SMTP、POP3等数据流,其检测过程为,数据进行IP分片还原、TCP连接还原以及应用层协议还原,还原过程结束后应用层的安全策略会产生一个新的状态表,该状态表用于判断数据包是否安全,若判定数据不安全则对其进行丢弃处理,若判定数据安全则对数据包进行转发。
对于不需要检测的数据如多媒体影音数据等,可以直接认定为其在安全层是安全的,可直接进行内容转发。
进入内容转发步骤的数据包即可实现数据的通信,整个嵌入式防火墙过程结束。
3.3 性能分析
该嵌入式防火墙技术将数据包过滤所需的状态表以及通信地址所需的地址表进行了集成,实现了嵌入式协议栈的整合。这种方式具有两方面好处:一是提高了两者之间的通信效率,减少了不必要的通信流程,协议栈可以便捷的更新数据包状态表,数据包状态表的状态可以确定数据包是否进行数据检测;二是集成化处理实现了状态表和协议栈之间的相对统一,降低了内存空间的使用。
4 结语
本文讨论了防火墙技术的应用目标和应用作用,进而就防火墙技术的发展及理论创新进行总结和分析,确定了嵌入式防火墙技术的应用优势,最后就基于Windows系统平台的嵌入式协议栈防火墙技术进行分析和阐述。随着网络环境的日趋复杂,在进行网络应用时必须要注意做好安全防护措施,应用嵌入式防火墙技术即可获得较为理想的安全防护效果。
参考文献
[1]孟英博,嵌入式防火墙的研究与实现[D].南京航空航天大学,2007(1).
中图分类号:G642 文献标识码:A
Abstract:The course of firewall technology is a core curriculum in information security and related professions in Higher Vocational Colleges,carrying responsibilities and tasks to be network security manager.It is particularly important to develop a project oriented practice textbook on the basis of professional post demand.It was proposed a model based on four dimensional integration about the development of firewall technology project in this paper.It was proved that the students can enhance network security professional skills through this textbook.
Keywords:professional post;project;four dimensional integrated model;textbook construction
1 引言(Introduction)
伴随着网络安全问题的出现,国家机关单位、行业、企业、事业单位等都在局域网网络安全建设方面投入了防火墙设备以提高网络安全性能。高职教育直接为社会经济发展提供高技能型人才[1],尤其是为地方经济建设服务。因此网络安全类专业培养熟悉网络安全设备方面的人才需求量日益增加。防火墙技术课程是国家高职院校专业标准中计算机网络技术、信息安全技术专业的核心技术课程,是培养专业核心技能的专业课程[2,3],且开设学校与面向的学生广泛,课程教材建设尤为重要。王永红[4,5]等提出理实一体化教材建设思想,采用“五个”对接理念进行优质教材建设。
2 教材建设的依据(The basis of textbook construction )
社会经济发展区域势态不同,行业、企业需求不一样,不同省份、区域的高职院校在专业建设方面的投入各不相同,因此教材建设存在显著差异。对于实训环境欠缺的院校,防火墙技术课程注重理论和软件防火墙的模拟操作。因此目前已经出版发行的主流防火墙技术教材,主要是基于软件防火墙应用及防火墙工作原理介绍网络安全策略,重原理轻实践,尤其是缺乏市场主流硬件防火墙配置与管理方面的实践内容。对于实训环境较好的院校,其地方经济活跃,行业、企业信息化程度高,对硬件防火墙的需求能力旺盛,因此该区域的高职院校防火墙技术课程旨在培养学生对软、硬件防火墙的操作配置的实践能力,实现防火墙设备与交换机、路由器等网络设备的互联互通,进而达到企业网络安全系统集成的技能要求,注重行业企业岗位职责需求,同时掌握防火墙技术所需的理论知识,以够用为原则。
本教材改革传统防火墙技术内容编排体系,根据《防火墙技术》课程核心技能要求和网络安全技术岗位技能要求(如图1所示),依据网络安全管理与防控过程的工作逻辑选取并组织内容体系。选取技术方法常用、内容实用,结合市场主流防火墙技术应用案例,对企业安全案例进行典型化修改、提升和拓展,嵌入省部级信息安全职业技能大赛赛项内容。按项目设计工作任务,由简单到复杂,螺旋进阶,组织内容体系。由背景需求引导解决问题方法,分析设备选型,规划网络拓朴并进行设备配置,最终进行项目测试、撰写测试分析报告。采用理论(与技能赛点匹配,与实践操作对应链接)+实践(仿真与实操结合)的框架结构,突出防火墙技术技能训练。
3 《防火墙技术》教材建设的依据(The basis of textbook construction on firewall technology)
3.1 吻合课程标准,突出网络安全防控能力训练
《防火墙技术》为专业课程体系中的专业核心技能训练模块课程,课程设置对应网络安全防控能力训练,与网络安全管理员岗位的防火墙技术应用技能匹配。教材紧贴课程标准开发与建设,符合岗位职业技能需求。
3.2 融合行业企业项目及技能大赛内容,动态更新
教材建设既与企业项目工程实战紧密相关,通过消化吸收企业真实工程项目,对企业真实案例进行典型化修改并融入到教材内容中,通过毕业生网络安全管理工作实践反馈,再吸收行业新技术、新案例,保证技术内容覆盖深度和广度。另一方面嵌入省部级技能大赛,将省部级大学生技能大赛赛点以任务形式融入教材内容中,通过各个技能点对应的任务提高学生职业技能,更好地参加省部级技能大赛、创新训练大赛、创业大赛等项目。
3.3 项目载体,基于任务难易进行进阶设计
教材内容应用实践部分,采用项目化方式将企业项目与技能大赛技能点进行消化吸收,按照学生思维“从简单到复杂”的方式组织项目,开展“任务驱动、赛项融合、防控一体,企业生产实践一体化”教学模式,将课程逐级递增项目难度,最后实现网络安全系统综合实训内容。
4 教材开发(The development of textbook)
防火墙技术项目化教程采用四维一体开发模式。(1)采用项目化实战维度。突出实训内容,构建信息安全技术专业核心课程教学资源库建设,按照行业、企业需求,对网络安全技术职业岗位进行调研并归纳出岗位对应的典型工作任务,开发出防火墙技术课程对应的教学资源及配套教材。(2)采用网络安全工程生命周期维度。教材开发遵循网络安全工程生命周期开发,先从基础网络配置,在网络互联互通基础上进行防火墙安全设备配置,实现网络安全策略部署。(3)采用省部级技能大赛维度。嵌入省部级信息安全技术方面的职业技能大赛赛项内容。教材内容涵盖省部级信息安全技术赛项中防火墙技术技能点、防火墙与网络互联设备综合技能点,以任务形式开展技能点训练,并定期进行更新,极大的提高了教学效果和教学质量。(4)采用综合管理技能训练维度。每个项目里面设立项目综合实训,将企业真实项目引入,阶段性的引入综合管理技能。分项目完成后设立综合实训项目:网络安全系统综合实训,将防火墙与交换机、路由器等网络系统进行系统化集成,如图2所示。
开发的实战项目如表1所示。
5 结论(Conclusion)
《防火墙技术项目化教程》是信息安全技术专业、计算机网络技术专业的核心教材,是2014江苏省现代职业教育技术课题中高职衔接课程资源建设核心成果之一,经过实践教学应用,教材使用效果好。教材建设是专业内涵建设的一部分,特别是专业核心课程的教材建设,需要综合考虑企业、行业的需求,人才培养职业能力、实训环境、省职业技能大赛需求等方面,切实提升专业内涵建设。
参考文献(References)
[1] 李敏等.高职工学结合特色教材建设的探索与实践――以机械类专业“基于工作过程系统化”教材开发为例.哈尔滨职业技术学院学报,2015(1):56-57.
[2] 刘静,杨正校.基于太仓市产业集群的电子商务发展研究.苏州市职业大学学报,2014(25):31-35.
[3] 杨正校,刘静.基于产业集群的中小企业移动电子商务研究-以太仓市为例[J].软件2014,09(35):86-90.
[4] 王诗瑶,王永红.基于“理实一体化”的《计算机网络技术》教材建设研究.开封教育学院学报,2015(35):112-113.
[5] 王永红,王诗瑶.基于五个“对接”的优质教材建设思考与实践[J].计算机教育,2015(12):94-97.
1.概述
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2.防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.2.防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2.3.管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
2.4.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
2.5.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
3.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
3.1.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
3.2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
3.3.RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m为明文,c为密文。
解密:m=cd(mod n)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.PKI技术
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
4.1.认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。
4.2.注册机构
RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.策略管理
在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。
4.4.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.5.证书管理与撤消系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
1.概述
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2.防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.2.防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2.3.管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
2.4.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
2.5.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
3.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
3.1.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
3.2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
3.3.RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m为明文,c为密文。
解密:m=cd(mod n)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.PKI技术
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
4.1.认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。
4.2.注册机构
RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.策略管理
在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。
4.4.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.5.证书管理与撤消系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
