防火墻技術(shù)在網(wǎng)絡(luò)安全上的應(yīng)用

林志浩

[摘要]在分析如今網(wǎng)絡(luò)的形勢基礎(chǔ)上簡要分析防火墻技術(shù)在網(wǎng)絡(luò)安全上的應(yīng)用，并重點介紹分析狀態(tài)檢測技術(shù)的利用。在最后給出網(wǎng)絡(luò)安全的一個宏觀把握方式以及發(fā)展趨勢并給出綜合性意見。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 防火墻技術(shù) 狀態(tài)檢測技 計算機

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0220133－01

網(wǎng)絡(luò)已經(jīng)成為了人類所構(gòu)建的最豐富多彩的虛擬世界，網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和學(xué)習生活帶來了巨大的改變。我們通過網(wǎng)絡(luò)獲得信息，共享資源。因而，網(wǎng)絡(luò)的安全將成為人們最為關(guān)注的問題。我們可以通過很多網(wǎng)絡(luò)工具，設(shè)備和策略來保護不可信任的網(wǎng)絡(luò)。其中防火墻是運用非常廣泛和效果最好的選擇。它可以防御網(wǎng)絡(luò)中的各種威脅，并且做出及時的響應(yīng)，將那些危險的連接和攻擊行為隔絕在外。從而降低網(wǎng)絡(luò)的整體風險。

防火墻是一個系統(tǒng)或一組系統(tǒng)，它在企業(yè)內(nèi)網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略。

一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。

如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。

簡單的概括就是，對網(wǎng)絡(luò)進行訪問控制。絕大部分的防火墻都是放置在可信任網(wǎng)絡(luò)（Internal）和不可信任網(wǎng)絡(luò)（Internet）之間。

我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個緩沖，防火墻可以是一臺有訪問控制策略的路由器（Route+ACL），一臺多個網(wǎng)絡(luò)接口的計算機，服務(wù)器等，被配置成保護指定網(wǎng)絡(luò)，使其免受來自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。所以一般情況下防火墻都位于網(wǎng)絡(luò)的邊界，例如保護企業(yè)網(wǎng)絡(luò)的防火墻，將部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上。

如果沒有防火墻，整個網(wǎng)絡(luò)的安全將倚仗該網(wǎng)絡(luò)中所有系統(tǒng)的安全性的平均值。遺憾的是這并不是一個正確的結(jié)論，真實的情況比這更糟：整個網(wǎng)絡(luò)的安全性將被網(wǎng)絡(luò)中最脆弱的部分所嚴格制約。即非常有名的木桶理論也可以應(yīng)用到網(wǎng)絡(luò)安全中來。沒有人可以保證網(wǎng)絡(luò)中每個節(jié)點每個服務(wù)都永遠運行在最佳狀態(tài)。網(wǎng)絡(luò)越龐大，把網(wǎng)絡(luò)中所有主機維護至同樣高的安全水平就越復(fù)雜，將會耗費大量的人力和時間。整體的安全響應(yīng)速度將不可忍受，最終導(dǎo)致網(wǎng)絡(luò)安全框架的崩潰。我們通過部署防火墻，就可以通過關(guān)注防火墻的安全來保護其內(nèi)部的網(wǎng)絡(luò)安全。并且所有的通信流量都通過防火墻進行審記和保存，對于網(wǎng)絡(luò)安全犯罪的調(diào)查取證提供了依據(jù)?？傊阑饓p輕了網(wǎng)絡(luò)和系統(tǒng)被用于非法和惡意目的的風險。

現(xiàn)代企業(yè)對網(wǎng)絡(luò)依賴主要來自于運行在網(wǎng)絡(luò)上的各種應(yīng)用，同樣的，網(wǎng)絡(luò)的范圍也覆蓋到整個企業(yè)的運營區(qū)域。我們所能做的，是減少企業(yè)所面臨的安全風險，延長安全的穩(wěn)定周期，縮短消除威脅的反映時間。

如今的防火墻的功能越來越強大，這里我們來簡單介紹下對于防火墻的智能防御?；跔顟B(tài)檢測技術(shù)的防火墻不僅僅對數(shù)據(jù)包進行檢測，還對控制通信的基本因素狀態(tài)信息（狀態(tài)信息包括通信信息、通信狀態(tài)、應(yīng)用狀態(tài)和信息操作性）進行檢測。通過狀態(tài)檢測虛擬機維護一個動態(tài)的狀態(tài)表，記錄所有的連接通信信息、通信狀態(tài)，以完成對數(shù)據(jù)包的檢測和過濾。

智能過濾技術(shù)指的是一種動態(tài)的過濾技術(shù)，覆蓋了網(wǎng)絡(luò)的各個層次，它可以根據(jù)用戶的特定的安全需求在指定的網(wǎng)絡(luò)層次中進行過濾或?qū)崿F(xiàn)動態(tài)過濾。例如：在網(wǎng)絡(luò)層攔截數(shù)據(jù)包，如果是某些特定的網(wǎng)絡(luò)應(yīng)用，則交給特定的檢測進程作進一步的檢測。

簡單的說，狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。這里動態(tài)連接狀態(tài)表中的記錄可以是以前的通信信息，也可以是其他相關(guān)應(yīng)用程序的信息，因此，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性。

通過多種技術(shù)的協(xié)同防護，可以保證在網(wǎng)絡(luò)邊界對訪問進行控制，但是，隨著VPN網(wǎng)絡(luò)和遠程移動辦公用戶的接入增多，網(wǎng)絡(luò)邊界的概念在如今已經(jīng)非常模糊了。很明顯的，網(wǎng)絡(luò)的邊界已經(jīng)拓展到實際用戶的桌面端。所以網(wǎng)絡(luò)安全是需要綜合的部署和完善的策略來做保證的。

參考文獻：

[1]《信息安全原理與應(yīng)用》，Charles P.Pfleeger Shari Lawrence Pfleeger，電子工業(yè)出版社.

[2]《網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)安全》，凌力，清華大學(xué)出版社，2007年11月第1版.