淺析防火墻的安全技術(shù)策略

劉宏培　余　斌

摘要:本文針對(duì)目前防火墻在網(wǎng)絡(luò)中的重要性,針對(duì)防火墻技術(shù)進(jìn)行了簡(jiǎn)單的分析,論述了防火墻的安全策略設(shè)計(jì)。

關(guān)鍵詞:網(wǎng)絡(luò) 防火墻 安全策略

0 引言

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,在給信息共享帶來(lái)了翻天覆地的變化的同時(shí),也帶來(lái)了安全隱患,隨之而來(lái)的問題就是如何保護(hù)網(wǎng)絡(luò)的安全。防火墻是目前最為流行也是使用最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)。在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過程中,防火墻作為第一道安全防線,正受到越來(lái)越多用戶的關(guān)注。防火墻仍然起著最基本的預(yù)防作用,仍然是保護(hù)網(wǎng)絡(luò)安全所必須的工具。

1 防火墻技術(shù)分析

防火墻是一種連接內(nèi)網(wǎng)和外網(wǎng)(比如Internet) 的網(wǎng)關(guān),提供對(duì)進(jìn)入內(nèi)部網(wǎng)絡(luò)連接的訪問控制能力。它能夠根據(jù)預(yù)先定義的安全策略,允許合法連接進(jìn)入內(nèi)部網(wǎng)絡(luò),阻止非法連接,抵御黑客入侵,保護(hù)內(nèi)部網(wǎng)的安全,防止機(jī)密數(shù)據(jù)的丟失。防火墻通常用于保護(hù)公司的內(nèi)部網(wǎng)絡(luò),但也用于隔離不同部門之間的網(wǎng)絡(luò)。防火墻在保護(hù)網(wǎng)絡(luò)安全方面已經(jīng)發(fā)揮出越來(lái)越重要的作用。

1.1 包過濾技術(shù) 包過濾防火墻是最早的防火墻技術(shù)。顧名思義,包過濾就是根據(jù)數(shù)據(jù)包頭信息和過濾規(guī)則阻止或允許數(shù)據(jù)包通過防火墻。當(dāng)數(shù)據(jù)包到達(dá)防火墻時(shí),防火墻就檢查數(shù)據(jù)包包頭的源地址、目的地址、源端口、目的端口,及其協(xié)議類型。若是可信連接,就允許其通過;否則就丟棄。由于包過濾防火墻處于OSI 七層模型的網(wǎng)絡(luò)層,它只檢查數(shù)據(jù)包頭信息,處理數(shù)據(jù)包的速度很快。但是由于這種防火墻沒有檢查應(yīng)用層的數(shù)據(jù),也沒有跟蹤連接狀態(tài),并且沒有用戶和應(yīng)用的驗(yàn)證,因此存在安全漏洞。

1.2 應(yīng)用代理技術(shù) 應(yīng)用層代理防火墻也被稱為應(yīng)用層網(wǎng)關(guān),這種防火墻的工作方式同包過濾防火墻的工作方式具有本質(zhì)區(qū)別。代理服務(wù)器是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序。應(yīng)用層代理為一特定應(yīng)用服務(wù)提供代理,它對(duì)應(yīng)用協(xié)議進(jìn)行解析并解釋應(yīng)用協(xié)議的命令。應(yīng)用層代理防火墻的優(yōu)點(diǎn)是能解釋應(yīng)用協(xié)議,支持用戶認(rèn)證,從而能對(duì)應(yīng)用層的數(shù)據(jù)進(jìn)行更細(xì)粒度的控制。缺點(diǎn)是效率低,不能支持大規(guī)模的并發(fā)連接,只適用于單一協(xié)議。

1.3 狀態(tài)檢測(cè)技術(shù) 狀態(tài)檢測(cè)防火墻也叫自適應(yīng)防火墻又叫動(dòng)態(tài)包過濾防火墻。1992年USC 信息科學(xué)院的Bobbradon 提出了動(dòng)態(tài)包過濾防火墻,在此基礎(chǔ)上1994年Check Point公司提出了狀態(tài)檢測(cè)防火墻,Check Point公司的FireWall-1 就是基于這種技術(shù)。后來(lái)Progressive System 公司又提出了自己的自適應(yīng)防火墻,它們的Phoenix 防火墻也是基于此技術(shù),狀態(tài)檢測(cè)防火墻在包過濾的同時(shí),檢查數(shù)據(jù)包之間的關(guān)聯(lián)性,檢查數(shù)據(jù)包中動(dòng)態(tài)變化的狀態(tài)碼。它有一個(gè)檢測(cè)引擎,采用抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè),抽取狀態(tài)信息,并動(dòng)態(tài)的保存起來(lái)作為以后執(zhí)行安全策略的參考,當(dāng)用戶訪問請(qǐng)求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前,狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析,結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密處理等處理動(dòng)作。

1.4 自適應(yīng)代理技術(shù) 自適應(yīng)代理防火墻是由Network Associates 公司提出的,它整合了動(dòng)態(tài)包過濾防火墻技術(shù)和應(yīng)用代理技術(shù),本質(zhì)上也是狀態(tài)檢測(cè)防火墻。Network Associates公司的Gauntlet就是用這種技術(shù)。

自適應(yīng)代理防火墻一般是通過應(yīng)用層驗(yàn)證新的連接,這種防火墻同時(shí)具有代理防火墻和狀態(tài)檢測(cè)防火墻的特性。防火墻能夠動(dòng)態(tài)地產(chǎn)生和刪除過濾規(guī)則。由于這種防火墻將后續(xù)的安全檢查重定向到網(wǎng)絡(luò)層,使用包過濾技術(shù),因此對(duì)后續(xù)的數(shù)據(jù)包的應(yīng)用層數(shù)據(jù)沒有進(jìn)行有效地檢查。同樣,由于使用了代理技術(shù),而代理技術(shù)不能檢測(cè)未知的攻擊行為。

2 防火墻安全策略設(shè)計(jì)

2.1 創(chuàng)建安全策略 策略對(duì)防火墻來(lái)說(shuō)是關(guān)鍵因素,有兩種網(wǎng)絡(luò)級(jí)的策略可以直接影響到防火墻系統(tǒng)的設(shè)計(jì)、安裝和使用:

2.1.1 網(wǎng)絡(luò)服務(wù)訪問權(quán)限策略:一種較高級(jí)別的策略,用來(lái)定義允許的和明確拒絕的服務(wù),包括提供這些服務(wù)的使用方法及策略的例外情況;

2.1.2 防火墻設(shè)計(jì)策略:一種較低級(jí)別策略,用來(lái)描述防火墻如何對(duì)網(wǎng)絡(luò)服務(wù)訪問權(quán)限策略中所定義的服務(wù)進(jìn)行具體的限制訪問和過濾。

安全策略是防火墻系統(tǒng)的重要組成部分和靈魂,而防火墻設(shè)備是它的忠實(shí)執(zhí)行者和體現(xiàn)者,二者缺一不可。安全策略決定了受保護(hù)網(wǎng)絡(luò)的安全性和易用性,一個(gè)成功的防火墻系統(tǒng)首先應(yīng)有一個(gè)合理可行的安全策略,這樣的安全策略能夠在網(wǎng)絡(luò)安全需求及用戶易用性之間實(shí)現(xiàn)良好的平衡。如稍有不慎,就會(huì)拒絕用戶的正常請(qǐng)求的合法服務(wù)或者給攻擊者制造了可乘之機(jī)。

安全策略的制定受到多種因素的影響,對(duì)每一個(gè)具體的網(wǎng)絡(luò)環(huán)境,應(yīng)根據(jù)各自的具體情況制定不同的安全策略?？偟膩?lái)說(shuō)有兩種策略:沒有被列為允許的服務(wù)都是禁止的策略和沒有被列為禁止的服務(wù)都是允許的策略。前者拒絕一切未經(jīng)許可的服務(wù),防火墻封鎖所有信息流,然后逐項(xiàng)使能每一種許可的服務(wù)。而后者允許一切沒被禁止的服務(wù),防火墻轉(zhuǎn)發(fā)所有的信息,然后逐項(xiàng)刪除所有被禁止的服務(wù)。

雖然針對(duì)具體的網(wǎng)絡(luò)沒有固定的安全策略,但在制定具體的安全策略時(shí),是可以遵循一定的原則:①支持一條“禁止一切未明確允許的服務(wù)”或“允許一切未被禁止的服務(wù)”的規(guī)則。②在實(shí)現(xiàn)既定規(guī)則時(shí)不能漏掉任何一條。③只要適當(dāng)修改規(guī)則,便可以適應(yīng)新的服務(wù)和需求。④要在身份驗(yàn)證和透明性之間作出權(quán)衡。⑤在分組過濾時(shí),可以針對(duì)某個(gè)具體的機(jī)器系統(tǒng)允許或禁止。⑥對(duì)于需要的各種服務(wù),如FTP, Telnet, SMTP, HTTP等要加上相應(yīng)的代理服務(wù),考慮加入通用代理服務(wù)方便擴(kuò)展。⑦對(duì)于撥號(hào)用戶集中管理,并做好過濾和日志統(tǒng)計(jì)工作。

2.2 確定分組過濾規(guī)則安全策略創(chuàng)建后,防火墻作用的發(fā)揮最大的因素依賴于好的規(guī)則庫(kù),規(guī)則庫(kù)是一組規(guī)則,當(dāng)特定種類的通信量試圖通過防火墻時(shí),這組規(guī)則告訴防火墻要采取什么工作,如果簡(jiǎn)單的防火墻具有構(gòu)造良好的規(guī)則,那么它就比雖然復(fù)雜但是規(guī)則不能阻止應(yīng)當(dāng)阻止的入侵企圖的防火墻有效。所以要將規(guī)則庫(kù)建立在安全策略的基礎(chǔ)上,并不斷對(duì)規(guī)則庫(kù)進(jìn)行簡(jiǎn)化,實(shí)現(xiàn)過濾優(yōu)化。

防火墻逐一審查每一個(gè)數(shù)據(jù)包是否與其分組過濾規(guī)則相匹配,由規(guī)則確定包的取舍。分組過濾規(guī)則處理IP包頭信息為基礎(chǔ),其中以IP源地址、IP目的地址、封裝協(xié)議(UDP/TCP)、端口號(hào)等來(lái)制定檢查規(guī)則。在確定規(guī)則時(shí)一般把最常用的規(guī)則放在最前面,而且大多時(shí)候Web服務(wù)是最主要的,從而它的流量也是最大的,所以應(yīng)該對(duì)它的響應(yīng)進(jìn)行調(diào)整,盡量把它往前移動(dòng)。

3 結(jié)束語(yǔ)

防火墻的安全技術(shù)策略是一項(xiàng)不斷發(fā)展和完善的技術(shù),國(guó)內(nèi)外對(duì)防火墻技術(shù)策略的應(yīng)用正處在不斷的摸索中。本文對(duì)防火墻的安全技術(shù)及防火墻的應(yīng)用策略進(jìn)行剖析,防火墻的安全技術(shù)策略還需進(jìn)一步發(fā)展,它必將成為信息安全領(lǐng)域研究計(jì)論的重點(diǎn)。

參考文獻(xiàn):

[1]韋巍,樂國(guó)友.組策略在網(wǎng)絡(luò)安全中的應(yīng)用[J].法制與經(jīng)濟(jì).2006年08期.

[2]劉曉輝.網(wǎng)管從業(yè)寶典——交換機(jī)·路由器·防火墻.重慶大學(xué)出版社.

[3]馬春光,郭方方.防火墻、入侵檢測(cè)與VPN.北京郵電大學(xué)出版.