《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 防火墻的研究與實(shí)現(xiàn)

防火墻的研究與實(shí)現(xiàn)

2009-01-06
作者:閔 君 馮 珊

  摘 要: 介紹了防火墻的概念、原理、分類及比較,指出傳統(tǒng)防火墻存在的不足之處,提出了一種新型防火墻系統(tǒng)—嵌入式防火墻系統(tǒng),最后對防火墻的發(fā)展作了前景展望。
  關(guān)鍵詞: 互聯(lián)網(wǎng) 防火墻? 網(wǎng)絡(luò)安全? 包過濾? 嵌入式防火墻系統(tǒng)


  國際互聯(lián)網(wǎng)(Internet)的迅速發(fā)展,為信息共享提供了一條全球性的高速通道,同時(shí)也為各種新興娛樂方式、商業(yè)形式的形成和發(fā)展創(chuàng)造了有利條件。然而不幸的是,由于目前采用的TCP/IP協(xié)議族潛在著安全漏洞以及安全機(jī)制不健全,Internet網(wǎng)上的黑客趁機(jī)而入,非法進(jìn)入企業(yè)的內(nèi)部網(wǎng)并存取、破壞、竊聽數(shù)據(jù)。因此,如何保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)中的資源及信息不受外部攻擊者肆意破壞或盜竊,是企業(yè)網(wǎng)絡(luò)安全需要解決的重要問題。
  防火墻就是保護(hù)網(wǎng)絡(luò)安全最主要的手段之一,它是設(shè)置在被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道屏障,以防止不可預(yù)測的、潛在破壞的非法入侵。它通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流,盡可能地對外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況,以此來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)。
1 防火墻的概念、原理
  防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間實(shí)施安全防范的系統(tǒng)??烧J(rèn)為它是一種訪問控制機(jī)制,用于確定哪些內(nèi)部服務(wù)允許外部訪問,以及允許哪些外部服務(wù)訪問內(nèi)部服務(wù)。它可以根據(jù)網(wǎng)絡(luò)傳輸?shù)念愋蜎Q定IP包是否可以傳進(jìn)或傳出企業(yè)網(wǎng)。防止非授權(quán)用戶訪問企業(yè)內(nèi)部、允許使用授權(quán)機(jī)器的用戶遠(yuǎn)程訪問企業(yè)內(nèi)部、管理企業(yè)內(nèi)部人員對Internet的訪問。防火墻的組成可用表達(dá)式說明如下:
  防火墻=過濾器+安全策略(網(wǎng)關(guān))
  防火墻通過逐一審查收到的每個(gè)數(shù)據(jù)包,判斷它是否有相匹配的過濾規(guī)則(用表格的形式表示,包括Match,Action,Trace,Target四個(gè)條件項(xiàng))。即按表格中規(guī)則的先后順序以及每條規(guī)則的條件項(xiàng)進(jìn)行比較,直到滿足某一條規(guī)則的條件,并作出規(guī)定的動(dòng)作(停下或向前轉(zhuǎn)發(fā)),從而來保護(hù)網(wǎng)絡(luò)的安全。
2 防火墻的分類及比較
  防火墻一般可以分為以下幾種:包過濾型防火墻、電路級網(wǎng)關(guān)型防火墻、應(yīng)用網(wǎng)關(guān)型防火墻、代理服務(wù)型防火墻、狀態(tài)檢測型防火墻、自適應(yīng)代理型防火墻。下面分析各種防火墻的優(yōu)缺點(diǎn)。
  包過濾型防火墻? 它是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行分析、選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯,也可稱之為訪問控制表。通過檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源地址、目的地址、所用端口、協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數(shù)據(jù)包通過。它的優(yōu)點(diǎn)是:邏輯簡單,成本低,易于安裝和使用,網(wǎng)絡(luò)性能和透明性好,通常安裝在路由器上。缺點(diǎn)是:很難準(zhǔn)確地設(shè)置包過濾器,缺乏用戶級的授權(quán);包過濾判別的條件位于數(shù)據(jù)包的頭部,由于IPV4的不安全性,很可能被假冒或竊?。皇腔诰W(wǎng)絡(luò)層的安全技術(shù),不能檢測通過高層協(xié)議而實(shí)施的攻擊。
  電路級網(wǎng)關(guān)型防火墻? 它起著一定的代理服務(wù)作用,監(jiān)視兩主機(jī)建立連接時(shí)的握手信息,判斷該會(huì)話請求是否合法。一旦會(huì)話連接有效后,該網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)。它在IP層代理各種高層會(huì)話,具有隱藏內(nèi)部網(wǎng)絡(luò)信息的能力,且透明性高。但由于其對會(huì)話建立后所傳輸?shù)木唧w內(nèi)容不再作進(jìn)一步地分析,因此安全性低。
  應(yīng)用網(wǎng)關(guān)型防火墻? 它是在應(yīng)用層上實(shí)現(xiàn)協(xié)議過濾和轉(zhuǎn)發(fā)功能,針對特別的網(wǎng)絡(luò)應(yīng)用協(xié)議制定數(shù)據(jù)過濾邏輯。應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。由于它工作于應(yīng)用層,因此具有高層應(yīng)用數(shù)據(jù)或協(xié)議的理解能力,可以動(dòng)態(tài)地修改過濾邏輯,提供記錄、統(tǒng)計(jì)信息。它和包過濾型防火墻有一個(gè)共同特點(diǎn),就是它們僅依靠特定的邏輯來判斷是否允許數(shù)據(jù)包通過,一旦符合條件,則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系,防火墻外部網(wǎng)絡(luò)能直接了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài),這大大增加了實(shí)施非法訪問攻擊的機(jī)會(huì)。
  代理服務(wù)型防火墻? 代理服務(wù)器接收客戶請求后,會(huì)檢查并驗(yàn)證其合法性,如合法,它將作為一臺(tái)客戶機(jī)向真正的服務(wù)器發(fā)出請求并取回所需信息,最后再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界完全隔離開來,從外面只看到代理服務(wù)器,而看不到任何內(nèi)部資源,而且代理服務(wù)器只允許被代理的服務(wù)通過。代理服務(wù)安全性高,還可以過濾協(xié)議,通常認(rèn)為它是最安全的防火墻技術(shù)。其不足主要是不能完全透明地支持各種服務(wù)、應(yīng)用,它將消耗大量的CPU資源,導(dǎo)致低性能。
  狀態(tài)檢測型防火墻? 它將動(dòng)態(tài)記錄、維護(hù)各個(gè)連接的協(xié)議狀態(tài),并在網(wǎng)絡(luò)層對通信的各個(gè)層次進(jìn)行分析、檢測,以決定是否允許通過防火墻。因此它兼?zhèn)淞溯^高的效率和安全性,可以支持多種網(wǎng)絡(luò)協(xié)議和應(yīng)用,且可以方便地?cái)U(kuò)展實(shí)現(xiàn)對各種非標(biāo)準(zhǔn)服務(wù)的支持。
  自適應(yīng)代理型防火墻? 它可以根據(jù)用戶定義的安全策略,動(dòng)態(tài)適應(yīng)傳送中的分組流量。如果安全要求較高,則最初的安全檢查仍在應(yīng)用層完成。而一旦代理明確了會(huì)話的所有細(xì)節(jié),那么其后的數(shù)據(jù)包就可以直接經(jīng)過速度快得多的網(wǎng)絡(luò)層。因而它兼?zhèn)淞舜砑夹g(shù)的安全性和狀態(tài)檢測技術(shù)的高效率。
3 新型防火墻系統(tǒng)
3.1 傳統(tǒng)防火墻的缺點(diǎn)
  傳統(tǒng)防火墻結(jié)構(gòu)在其技術(shù)原理上對來自內(nèi)部的安全威脅不具備防范能力,且具有以下不足:
  · 高成本:內(nèi)部網(wǎng)中需要保護(hù)的主機(jī)或者資源越多,就要設(shè)置更多的安全檢查點(diǎn),即需要更高的設(shè)備成本及系統(tǒng)維護(hù)開銷。
  ·高管理負(fù)擔(dān):IT管理人員將面臨極大的挑戰(zhàn)來管理,維護(hù)更多的防火墻設(shè)備。
  · 存在盲點(diǎn):由于傳統(tǒng)防火墻將檢查點(diǎn)設(shè)立在一個(gè)“可信子網(wǎng)”的入口處,來自子網(wǎng)內(nèi)部任何主機(jī)的攻擊都將成為該防火墻的盲點(diǎn)。
  · 低性能:由于大量的安全檢查點(diǎn)被安置于企業(yè)內(nèi)的各種路由設(shè)備上,內(nèi)部網(wǎng)中所有的通信都將不可避免地經(jīng)過若干個(gè)安全檢查點(diǎn),以至于造成相應(yīng)的傳輸延遲,使網(wǎng)絡(luò)性能降低了。
3.2 嵌入式防火墻系統(tǒng)概述
  為了有效地解決日益突出的內(nèi)部網(wǎng)安全問題,作者提出了一種新型的防火墻系統(tǒng)—嵌入式防火墻系統(tǒng)(EFS)。它不僅是一種單純的提供訪問控制手段的防火墻設(shè)備,還集成了一整套解決網(wǎng)絡(luò)安全問題的各種應(yīng)用,為大量的網(wǎng)絡(luò)用戶及需要保護(hù)的網(wǎng)絡(luò)資源提供了一個(gè)可管理的、分布式的、安全的計(jì)算環(huán)境。它使用了一種簡化的,基于公鑰的Kerberos協(xié)議以實(shí)現(xiàn)透明的認(rèn)證,并綜合了其它一些網(wǎng)絡(luò)安全技術(shù),包括授權(quán)、安全數(shù)據(jù)傳輸、審計(jì)等,并提供了一種集中式的管理機(jī)制。
3.2.1 系統(tǒng)結(jié)構(gòu)和實(shí)現(xiàn)機(jī)制
  EFS核心系統(tǒng)一般可以包括四個(gè)主要部件:客戶認(rèn)證代理,嵌入式防火墻代理,票據(jù)授予服務(wù)器(TGS)和認(rèn)證服務(wù)器(AS)如圖1所示。


  EFS的實(shí)現(xiàn)機(jī)制如下:
  (1)客戶登錄EFS系統(tǒng)時(shí),客戶認(rèn)證代理將提示并獲取相應(yīng)的用戶名和口令。僅當(dāng)客戶同時(shí)具有正確的口令和含有私有密鑰的設(shè)備,客戶代理才能夠進(jìn)行身份認(rèn)證。在用戶登錄完成后,客戶代理將自動(dòng)向AS發(fā)送請求AS_REQ,以申請TGT。
  (2)認(rèn)證服務(wù)器AS收到客戶的AS_REQ后,發(fā)回應(yīng)答消息AS_REP。
  (3)客戶認(rèn)證代理得到AS發(fā)回的AS_REP后,進(jìn)行解密,獲取并保存與TGS通信的會(huì)話密鑰及提交給TGS的票據(jù)。
  (4)當(dāng)客戶需要使用某一服務(wù)時(shí),客戶認(rèn)證代理將首先截獲請求TCP連接的IP包,并根據(jù)Socket匹配以判斷是否已具有獲取該服務(wù)的票據(jù)。如有,則直接將此票附加于該IP包,形成AP_REQ,發(fā)往服務(wù)器(執(zhí)行步驟7)。否則,客戶認(rèn)證代理必須首先向TGS申請相應(yīng)的應(yīng)用票據(jù)。
  (5)TGS在收到客戶認(rèn)證代理發(fā)來的TGS_REQ后,進(jìn)行解密,以獲取客戶與其會(huì)話密鑰,用它來解密認(rèn)證算子,將算得的檢驗(yàn)和與自己生成的HASH函數(shù)結(jié)果相比較,以檢查客戶身份的合法性和消息的完整性。在授權(quán)通過后,TGS生成TGS_REP,并發(fā)回用戶。
  (6)客戶認(rèn)證代理得到TGS發(fā)回的TGS_REP后,首先確定所申請的服務(wù)是否需要認(rèn)證。若無需認(rèn)證,客戶代理將恢復(fù)連接請求。否則,從TGS_REP中獲取服務(wù)的票據(jù)和與應(yīng)用服務(wù)器之間的會(huì)話密鑰,將它們放入原來的連接請求包中,形成AP_REQ,發(fā)往應(yīng)用服務(wù)器。
  (7)駐留于應(yīng)用服務(wù)器上的嵌入式防火墻代理收到AP_REQ后,解開票據(jù),獲取會(huì)話密鑰,以驗(yàn)證用戶身份。如合法,則將該IP包遞交上層處理,否則予以丟棄。
3.2.2 外部網(wǎng)訪問控制及狀態(tài)檢測機(jī)制
  EFS可以實(shí)現(xiàn)對外部網(wǎng)的訪問控制,首先在所有與外部網(wǎng)相連的路由器或網(wǎng)關(guān)設(shè)備上安裝嵌入式防火墻代理。然后再將各種外部網(wǎng)絡(luò)服務(wù)在TGS上注冊,并安裝相應(yīng)的通過邊界路由器或網(wǎng)關(guān)設(shè)備所需的票據(jù)。最后,根據(jù)用戶身份制定外部網(wǎng)訪問控制安全策略?;镜腅FS實(shí)現(xiàn)了嚴(yán)格的身份認(rèn)證及訪問控制,客戶認(rèn)證代理一旦與嵌入式防火墻代理完成三次握手,創(chuàng)建了TCP連接,通信將直接在客戶機(jī)與服務(wù)器間進(jìn)行,不再接受任何形式的安全檢查,這種機(jī)制雖然大大地提高了訪問效率,但它不能實(shí)現(xiàn)基于特定協(xié)議命令的過濾和內(nèi)容安全檢查。為了實(shí)現(xiàn)高級安全檢查,可以在EFS中增加狀態(tài)檢測防火墻,由它來檢查一些標(biāo)準(zhǔn)的網(wǎng)絡(luò)服務(wù)(如Http,F(xiàn)tp,Telnet,F(xiàn)inger等),或基于內(nèi)容的檢查。
3.2.3 嵌入式防火墻的優(yōu)點(diǎn)
  與傳統(tǒng)防火墻相比,EFS具有如下優(yōu)點(diǎn):
  ·同時(shí)防止來自于內(nèi)、外部網(wǎng)絡(luò)的攻擊。由于嵌入式防火墻代理部件直接安裝在所有需要安全保護(hù)的應(yīng)用服務(wù)器上,來自于裝載嵌入式防火墻代理的機(jī)器之外的任何通信,都需經(jīng)過嵌入式防火墻代理的檢查和過濾。
  ·透明認(rèn)證。由于EFS在低層即IP層上實(shí)現(xiàn)了Kerberos認(rèn)證協(xié)議,它能夠支持任何基于IP協(xié)議的應(yīng)用。用戶無需親自與防火墻連接以獲取認(rèn)證,而是由駐留在客戶機(jī)上的認(rèn)證代理自動(dòng)與AS、TGS等連接,交換相應(yīng)的票據(jù),實(shí)現(xiàn)整個(gè)認(rèn)證過程,即EFS是完全透明于用戶的。EFS中,即使應(yīng)用程序本身從未考慮過實(shí)現(xiàn)任何認(rèn)證機(jī)制,EFS仍可使其支持嚴(yán)格的身份認(rèn)證過程,從而實(shí)現(xiàn)了認(rèn)證與應(yīng)用的完全獨(dú)立。
  ·安全會(huì)話。由于Kerberos協(xié)議為每個(gè)會(huì)話均提供了一個(gè)隨機(jī)的會(huì)話密鑰,從而實(shí)現(xiàn)了安全的會(huì)話傳輸。此外,通過與公開密鑰技術(shù)的結(jié)合,EFS提供了四種數(shù)據(jù)傳輸?shù)陌踩墑e,從而在兩臺(tái)通信主機(jī)之間形成了一條私有通道。
  ·一次簽放。用戶只需在登錄系統(tǒng)時(shí)進(jìn)行一次認(rèn)證,便可以使用所有的安全服務(wù)。而管理員只需維護(hù)一套EFS帳號(hào),并精確定義用戶訪問各種服務(wù)的權(quán)限即可,這也有助于管理員將各個(gè)服務(wù)的安全性作為一個(gè)整體集中起來綜合考慮,從而極大地增加了系統(tǒng)的安全系數(shù)。
  ·低成本、高性能。EFS中,檢查點(diǎn)被直接設(shè)置于需保護(hù)的應(yīng)用服務(wù)器上,內(nèi)部網(wǎng)中無需為了安全而使用額外的路由器以劃分安全子網(wǎng),沒有多余的通信檢查和硬件投資。
  ·統(tǒng)籌規(guī)劃、集中管理。由于EFS在每臺(tái)需保護(hù)的主機(jī)上安裝了嵌入式防火墻代理,而該代理的主要工作是驗(yàn)證Kerberos票據(jù),所有的安全策略都將統(tǒng)一保存在TGS上,因此形成了一個(gè)負(fù)責(zé)整個(gè)企業(yè)訪問控制及授權(quán)的集中式控制臺(tái)。
3.2.4 嵌入式防火墻的發(fā)展
  目前,整個(gè)系統(tǒng)模型已在Linux操作系統(tǒng)上得以實(shí)現(xiàn)。在不久的將來,系統(tǒng)還將實(shí)現(xiàn)運(yùn)行于Windows系統(tǒng)平臺(tái)上的客戶認(rèn)證代理及運(yùn)行于NT和UNIX上的嵌入式防火墻代理。屆時(shí),一個(gè)完整的、跨平臺(tái)的安全解決方案將會(huì)形成。
4 前景展望
  防火墻作為一種防護(hù)手段,對維護(hù)網(wǎng)絡(luò)安全起到了一定的作用,但并非萬無一失,它只能防護(hù)經(jīng)過自身的非法訪問和攻擊;它雖然能夠針對所有服務(wù)進(jìn)行安全檢查,過濾其是否合法,但不能有效地杜絕所有惡意數(shù)據(jù)包,利用合法的連接傳輸非法數(shù)據(jù)確實(shí)存在。
  防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)的一部分,它需要其他的防護(hù)措施和技術(shù),如密碼技術(shù)、訪問控制、權(quán)限管理、病毒防治等。也只有運(yùn)用先進(jìn)認(rèn)證技術(shù),并在網(wǎng)絡(luò)層上實(shí)施統(tǒng)一的用戶端對端的數(shù)據(jù)流加密技術(shù),再結(jié)合目前的防火墻技術(shù)以進(jìn)行必要的內(nèi)容檢測、攻擊檢測及其他一些手段,才能解決內(nèi)部網(wǎng)安全問題,并最終提供一套一體化的解決途徑。
參考文獻(xiàn)
1 張華、劉玉莎、陳福民.防火墻技術(shù)的研究與探討.計(jì)算機(jī)應(yīng)用研究,1999;(11)
2 張華、劉玉莎、陳福民.構(gòu)筑安全的內(nèi)部網(wǎng).計(jì)算機(jī)應(yīng)用研究,1999;(9)
3 林靜、魯艷玲,趙玉梅.防火墻.計(jì)算機(jī)與網(wǎng)絡(luò)、1999
4 張超、王錦田. Internet/Intranet系統(tǒng)上的安全技術(shù)及安全性建設(shè)原則.計(jì)算機(jī)應(yīng)用與軟件、1999;(6)
5 王艷華、韋遠(yuǎn)明.基于互聯(lián)網(wǎng)絡(luò)的信息安全措施的探討.電腦與信息技術(shù)、1999;(2)

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。