淺談辦公網(wǎng)絡中防火墻的應用

淺談辦公網(wǎng)絡中防火墻的應用

摘要：隨著時代的發(fā)展，Internet日益普及，網(wǎng)絡已經(jīng)成為信息資源的海洋，給人們帶來了極大的方便。但由于Internet是一個開放的，無控制機構的網(wǎng)絡，經(jīng)常會受到計算機病毒、黑客的侵襲。它可使計算機和計算機網(wǎng)絡數(shù)據(jù)和文件丟失，系統(tǒng)癱瘓。因此，計算機網(wǎng)絡系統(tǒng)安全問題必須放在首位。本文就辦公網(wǎng)絡中應用最多的防火墻技術做了探討。關鍵字：計算機網(wǎng)絡；網(wǎng)絡安全；防火墻技術一、前言企業(yè)內(nèi)部辦公自動化網(wǎng)絡一般是基于TCP/IP協(xié)議并采用了Internet的通信標準和Web信息流通模式的Intranet，它具有開放性，因而使用極其方便。但開放性卻帶來了系統(tǒng)入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決，就可能出現(xiàn)商業(yè)秘密泄漏、設備損壞、數(shù)據(jù)丟失、系統(tǒng)癱瘓等嚴重后果，給正常的企業(yè)經(jīng)營活動造成極大的負面影響。因此企業(yè)需要一個更安全的辦公自動化網(wǎng)絡系統(tǒng)。目前企業(yè)內(nèi)部辦公網(wǎng)絡存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數(shù)據(jù)監(jiān)聽等，在這眾多的安全隱患中要數(shù)黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。所以企業(yè)網(wǎng)絡中應該以防范黑客和病毒為首。針對企業(yè)辦公網(wǎng)絡存在的眾多隱患，各個企業(yè)也實施了安全防御措施，其中包括防火墻技術、數(shù)據(jù)加密技術、認證技術、PKI技術等，但其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文將就放火墻技術在企業(yè)辦公中的應用給予探討，希望能給廣大企業(yè)辦公網(wǎng)絡安全建設帶來一定幫助。二、防火墻技術概述1.防火墻的基本概念防火墻原是建筑物大廈里用來防止火災蔓延的隔斷墻，在這里引申為保護內(nèi)部網(wǎng)絡安全的一道防護墻。從理論上講，網(wǎng)絡防火墻服務的原理與其類似，它用來防止外部網(wǎng)上的各類危險傳播到某個受保護網(wǎng)內(nèi)。從邏輯上講，防火墻是分離器、限制器和分析器；從物理角度看，各個防火墻的物理實現(xiàn)方式可以有所不同，但它通常是一組硬件設備(路由器、主機)和軟件的多種組合；而從本質上來說防火墻是一種保護裝置，用來保護網(wǎng)絡數(shù)據(jù)、資源和用戶的聲譽；從技術上來說，網(wǎng)絡防火墻是一種訪問控制技術，在某個機構的網(wǎng)絡和不安全的網(wǎng)絡之間設置障礙，阻止對信息資源的非法訪問，換句話說，防火墻是一道門檻，控制進/出兩個方向的通信，防火墻主要用來保護安全網(wǎng)絡免受來自不安全網(wǎng)絡的入侵，如安全網(wǎng)絡可能是企業(yè)的內(nèi)部網(wǎng)絡，不安全網(wǎng)絡是因特網(wǎng)，當然，防火墻不只是用于某個網(wǎng)絡與因特網(wǎng)的隔離，也可用于企業(yè)內(nèi)部網(wǎng)絡中的部門網(wǎng)絡之間的隔離。2.防火墻的工作原理

防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻的數(shù)據(jù)流，只允許授權的數(shù)據(jù)通過，同時記錄有關的聯(lián)接來源、服務器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤，并且防火墻本身也必須能夠免于滲透。3.防火墻的功能一般來說，防火墻具有以下幾種功能：①能夠防止非法用戶進入內(nèi)部網(wǎng)絡。②可以很方便地監(jiān)視網(wǎng)絡的安全性，并報警。③可以作為部署NAT（NetworkAddressTranslation，網(wǎng)絡地址變換）的地點，利用NAT技術，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應起來，用來緩解地址空間短缺的問題。④可以連接到一個單獨的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署WWW服務器和FTP服務器，將其作為向外部發(fā)布內(nèi)部信息的地點。從技術角度來講，就是所謂的停火區(qū)（DMZ）。4.防火墻的分類①包過濾型防火墻，又稱篩選路由器(Screeningrouter)或網(wǎng)絡層防火墻(Networklevelfirewall)，它工作在網(wǎng)絡層和傳輸層。它基于單個數(shù)據(jù)包實施網(wǎng)絡控制，根據(jù)所收到的數(shù)據(jù)包的源IP地址、目的IP地址、TCP/UDP源端口號及目標端口號、ICMP消息類型、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標志等為參數(shù)，與用戶預定的訪問控制表進行比較，決定數(shù)據(jù)是否符合預先制定的安全策略，決定數(shù)據(jù)包的轉發(fā)或丟棄，即實施過濾。②代理服務器型防火墻代理服務器型防火墻通過在主機上運行代理的服務程序，直接對特定的應用層進行服務，因此也稱為應用型防火墻。其核心是運行于防火墻主機上的代理服務器進程，它代替網(wǎng)絡用戶完成特定的TCP/IP功能。一個代理服務器實際上是一個為特定網(wǎng)絡應用而連接兩個網(wǎng)絡的網(wǎng)關。③復合型防火墻由于對更高安全性的要求，通常把數(shù)據(jù)包過濾和代理服務系統(tǒng)的功能和特點綜合起來，構成復合型防火墻系統(tǒng)。所用主機稱為堡壘主機，負責代理服務。各種類型的防火墻都有其各自的優(yōu)缺點。當前的防火墻產(chǎn)品己不再是單一的包過濾型或代理服務器型防火墻，而是將各種安全技術結合起來，形成一個混合的多級防火墻，以提高防火墻的靈活性和安全性?；旌闲头阑饓σ话悴捎靡韵聨追N技術:①動態(tài)包過濾；②內(nèi)核透明技術；③用戶認證機制；④內(nèi)容和策略感知能力:⑤內(nèi)部信息隱藏；⑥智能日志、審計和實時報警；⑦防火墻的交互操作性等。在實現(xiàn)過程中，沒有允許的服務是被禁止的，沒有被禁止的服務都是允許的，因此網(wǎng)絡安全的第一條策略是拒絕一切未許可的服務。防火墻封鎖所有信息流，逐一完成每一項許可的服務；第二條策略是允許一切沒有被禁止的服務，防火墻轉發(fā)所有的信息，逐項刪除被禁止的服務。1.3確定包過濾規(guī)則包過濾規(guī)則是以處理IP包頭信息為基礎，設計在包過濾規(guī)則時，一般先組織好包過濾規(guī)則，然后再進行具體設置。1.4設計代理服務代理服務器接受外部網(wǎng)絡節(jié)點提出的服務請求，如果此請求被接受，代理服務器再建立與實服務器的連接。由于它作用于應用層，故可利用各種安全技術，如身份驗證、日志登錄、審計跟蹤、密碼技術等，來加強網(wǎng)絡安全性，解決包過濾所不能解決的問題。1.5嚴格定義功能模塊，分散實現(xiàn)防火墻由各種功能模塊組成，如包過濾器、代理服務器、認證服務器、域名服務器、通信監(jiān)控器等。這些功能模塊最好由路由器和單獨的主機實現(xiàn)，功能分散減少了實現(xiàn)的難度，增加了可靠程度。1.6防火墻維護和管理方案的考慮防火墻的日常維護是對訪問記錄進行審計，發(fā)現(xiàn)入侵和非法訪問情況。據(jù)此對防火墻的安全性進行評價，需要時進行適當改進，管理工作要根據(jù)網(wǎng)絡拓撲結構的改變或安全策略的變化，對防火墻進行硬件和軟件的修改和升級。通過維護和管理進一步優(yōu)化其性能，以保證網(wǎng)絡極其信息的安全性。2.一種典型防火墻設計實例——數(shù)據(jù)包防火墻設計數(shù)據(jù)包過濾防火墻工作于DOD(DepartmentofDefense)模型的網(wǎng)絡層，其技術核心是對是流經(jīng)防火墻每個數(shù)據(jù)包進行行審查，分析其包頭中所包含的源地址、目的地址、封裝協(xié)議(TCP，UDP、ICMP，IPTunnel等)、TCP/UDP源端口號和目的端口號、輸人輸出接口等信息，確定其是否與系統(tǒng)預先設定的安全策略相匹配，以決定允許或拒絕該數(shù)據(jù)包的通過。從而起到保護內(nèi)部網(wǎng)絡的作用，這一過程就稱為數(shù)據(jù)包過濾。本例中網(wǎng)絡環(huán)境為：內(nèi)部網(wǎng)絡使用的網(wǎng)段為，eth0為防火墻與Internet接口的網(wǎng)卡，eth1為防火墻與內(nèi)部網(wǎng)絡接口的網(wǎng)卡。數(shù)據(jù)包過濾規(guī)則的設計如下：2.1與服務有關的安全檢查規(guī)則這類安全檢查是根據(jù)特定服務的需要來決定是否允許相關的數(shù)據(jù)包被傳輸.這類服務包括WWW，F(xiàn)TP，Telnet，SMTP等.我們以WWW包過濾為例，來分析這類數(shù)據(jù)包過濾的實現(xiàn).WWW數(shù)據(jù)包采用TCP或UDP協(xié)議，其端口為80，設置安全規(guī)則為允許內(nèi)部網(wǎng)絡用戶對Internet的WWW訪問，而限制Internet用戶僅能訪問內(nèi)部網(wǎng)部的WWW服務器，(假定其IP地址為1)。要實現(xiàn)上述WWW安全規(guī)則，設置WWW數(shù)據(jù)包過濾為，在防火eth0端僅允許目的地址為內(nèi)部網(wǎng)絡WWW服務器地址數(shù)據(jù)包通過，而在防火墻eth1端允許所有來自內(nèi)部網(wǎng)絡WWW數(shù)據(jù)包通過。#DefineHTTPpackets#允許Internet客戶的WWW包訪問WWW服務器/sbin/ipchains-Ainput-ptcp-s/01024:-d1/32www-ieth0–jACCEPT/sbin/ipchains-Ainput-ptcp-s/fl1024:-d1132www-ieth0–jACCEPT#允許WWW服務器回應Internet客戶的WWW訪問請求/sbin/ipchains-Ainput-ptcp-s1/32www:-d/01024:-iethl–jACCEPT/sbin/ipchains-Ainput-pudp-s1/32www:-d/01024:-ieth1–jACCEPT顯然，設置此類數(shù)據(jù)過濾的關鍵是限制與服務相應的目地地址和服務端口。與此相似，我們可以建立起與FTP，Telnet，SMTP等服務有關的數(shù)據(jù)包檢查規(guī)則；2.2與服務無關的安全檢查規(guī)則這類安全規(guī)則是通過對路由表、數(shù)據(jù)包的特定IP選項和特定段等內(nèi)容的檢查來實現(xiàn)的，主要有以下幾點：①數(shù)據(jù)包完整性檢查(TinyFragment):安全規(guī)則為拒絕不完整數(shù)據(jù)包進人Ipchains本身并不具備碎片過濾功能，實現(xiàn)完整性檢查的方法是利用REDHAT，在編譯其內(nèi)核時設定IP；alwaysdefraymentssetto‘y’。REDHAT檢查進人的數(shù)據(jù)包的完整性，合并片段而拋棄碎片。②源地址IP(SourceIPAddressSpoofing)欺騙:安全規(guī)則為拒絕從外部傳輸來的數(shù)據(jù)包偽裝成來自某一內(nèi)部網(wǎng)絡主機，以期能滲透到內(nèi)部網(wǎng)絡中.要實現(xiàn)這一安全規(guī)則，設置拒絕數(shù)據(jù)包過