防火墻關(guān)鍵技術(shù)的分析與實現(xiàn)

◆余慧婷

(福建林業(yè)職業(yè)技術(shù)學(xué)院 福建 353000)

0 引言

網(wǎng)絡(luò)安全問題的研究具有特殊性，我國進(jìn)行獨立研發(fā)和自主開發(fā)信息系統(tǒng)的時間較短，受諸多原因限制，起步較晚，而且很多新技術(shù)不是很成熟，與國外先進(jìn)技術(shù)相比較還有一定的差距。近年，有關(guān)網(wǎng)絡(luò)安全技術(shù)的研究開始受到更多的重視，也取得了長足的進(jìn)展?，F(xiàn)在解決網(wǎng)絡(luò)安全問題的有效方法之一是建立內(nèi)網(wǎng)與外網(wǎng)相連接的防火墻設(shè)置，這無論是從理論指導(dǎo)上還是實際應(yīng)用上都有著十分重要的意義。

1 防火墻的概念

防火墻主要的作用是強(qiáng)化網(wǎng)絡(luò)的控制量，用節(jié)點連接網(wǎng)絡(luò)設(shè)備，控制網(wǎng)絡(luò)訪問量。比如，路由器、網(wǎng)關(guān)等，均是由多個網(wǎng)絡(luò)傳輸構(gòu)成的，通過數(shù)據(jù)包或者鏈接的方式按照安全措施的要求進(jìn)行檢查，從而決定網(wǎng)絡(luò)間通訊是否被允許，這不但能提高內(nèi)部控制網(wǎng)絡(luò)與外部控制網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸效率，同時也能讓內(nèi)部網(wǎng)絡(luò)信息免受因外部非授權(quán)用戶的訪問而產(chǎn)生安全漏洞。

防火墻細(xì)致劃分可以分為軟件防火墻和硬件防火墻這兩類。軟件防火墻是以現(xiàn)有網(wǎng)絡(luò)為前提開展的網(wǎng)絡(luò)化系統(tǒng)操作，所以多選用UNIX操作系統(tǒng)，特點是以操作系統(tǒng)的內(nèi)核穩(wěn)定性為前提開設(shè)的。穩(wěn)健的操作系統(tǒng)不容易被下三層的攻擊形式所影響，在充分利用操作系統(tǒng)功能性的同時，能讓安全系統(tǒng)更為完善。但存在的不足是當(dāng)操作系統(tǒng)出現(xiàn)問題以后，會影響到防火墻的安全性能，而且要額外購置安裝操作系統(tǒng)。硬件防火墻均是自己獨立開發(fā)出來的操作系統(tǒng)，或者是部分經(jīng)過改造的操作系統(tǒng)這些系統(tǒng)均要在特定的硬件系統(tǒng)上才能運行，不但能摒除原有系統(tǒng)中不必要的麻煩，也能讓其整體性能達(dá)到最佳狀態(tài)，從而能達(dá)到源代碼保密的作用。

2 防火墻的關(guān)鍵性技術(shù)

2.1 數(shù)據(jù)包過濾技術(shù)

數(shù)據(jù)包過濾技術(shù)是根據(jù)系統(tǒng)內(nèi)部的過濾邏輯進(jìn)行選擇和分析，在網(wǎng)絡(luò)層進(jìn)行防護(hù)的技術(shù)。這項技術(shù)的應(yīng)用，必須要依靠訪問控制表。數(shù)據(jù)過濾時需要對數(shù)據(jù)流當(dāng)中所包含的所有數(shù)據(jù)包進(jìn)行全面檢查，包括源地址、目的地址等等，從而確定數(shù)據(jù)包的安全性，再決定是否允許通過。只有滿足既定規(guī)則的數(shù)據(jù)包才可以進(jìn)行發(fā)送，不能滿足相應(yīng)規(guī)則的數(shù)據(jù)包將會被刪除。這項技術(shù)以過濾算法的設(shè)計做為安全防護(hù)的核心。

2.2 應(yīng)用網(wǎng)關(guān)技術(shù)

應(yīng)用網(wǎng)關(guān)主要是在網(wǎng)絡(luò)應(yīng)用上通過協(xié)議過濾的方式針對具體提出的問題開展對應(yīng)的網(wǎng)絡(luò)化服務(wù)，既通過協(xié)議過濾網(wǎng)的方式，讓數(shù)據(jù)包分析相關(guān)的報告。應(yīng)用網(wǎng)關(guān)是對某些容易登錄或者容易控制的通信環(huán)境進(jìn)行控制，這能防止部分具有價值的程序免于被盜。另外，他的另一個功能是記錄信息，運用不同的用戶連接點，是信息能在具體的使用中滿足其需求，從而建立起專用型較好的工作系統(tǒng)。

2.3 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換可以對內(nèi)部地址進(jìn)行轉(zhuǎn)換，其轉(zhuǎn)換過程以透明方式進(jìn)行。利用這種方式，防止內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)出現(xiàn)泄露，同時保護(hù)主機(jī)資源，防止外部網(wǎng)絡(luò)訪問。這種技術(shù)的應(yīng)用，使得黑客無法攻擊內(nèi)部網(wǎng)絡(luò)，同時允許內(nèi)部網(wǎng)絡(luò)用戶重新設(shè)定自己的IP，從而解決內(nèi)部IP不足的問題。

2.4 套接技術(shù)

Sockets是網(wǎng)絡(luò)應(yīng)用層內(nèi)的國家化標(biāo)準(zhǔn)。在受到網(wǎng)絡(luò)保護(hù)后需要與外界網(wǎng)絡(luò)進(jìn)行互動聯(lián)系，防火墻使用套接服務(wù)的關(guān)鍵是用于檢查開戶源的信息和 IP地址，在經(jīng)過確認(rèn)以后，所有的套接服務(wù)才能與外界開展連接。從用戶的角度考慮，受到保護(hù)的網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間的信息交換是透明的，是很難感受到防火墻的存在的，原因是網(wǎng)絡(luò)用戶不需要直接登錄到防火墻上面，但是客戶端的應(yīng)用需要支持“socketsified API”。

2.5 安全I(xiàn)P通道

安全I(xiàn)P通道實現(xiàn)安全防護(hù)的主要形式是通過IP安全協(xié)議完成的。需要將 IP數(shù)據(jù)包進(jìn)行封裝并加密處理之后再進(jìn)行傳送。包在網(wǎng)絡(luò)通道的起始端進(jìn)行加密，傳送到末端后進(jìn)行解密。加密系統(tǒng)處理后的數(shù)據(jù)包，可以使得不同的用戶利用公共網(wǎng)絡(luò)安全的建立虛擬私網(wǎng)，并在其中交換數(shù)據(jù)，有效的防止黑客攻擊。利用IP通道技術(shù)，可以形成多個用戶共同完成安全數(shù)據(jù)交流，使得由多個用戶形成的用戶群在公共網(wǎng)絡(luò)之中也能進(jìn)行安全的數(shù)據(jù)公開交互，形成類似于局域網(wǎng)一樣的虛擬私有網(wǎng)絡(luò)。

2.6 郵件技術(shù)

當(dāng)防火墻采用多種安全防護(hù)技術(shù)，使得安全防護(hù)工作得到一定的保障，使得外部網(wǎng)絡(luò)僅能獲得防火墻的 IP以及域名，外部網(wǎng)絡(luò)所發(fā)送的數(shù)據(jù)郵件便只能傳送到防火墻上。這時防火墻便可以對郵件進(jìn)行規(guī)則內(nèi)的全面檢查，當(dāng)郵件的源主機(jī)在規(guī)則內(nèi)是允許通過的時，防火墻便對郵件進(jìn)行地址的轉(zhuǎn)換，使其得到目的地址并轉(zhuǎn)送到內(nèi)部的郵件服務(wù)器，再由內(nèi)部服務(wù)器進(jìn)行轉(zhuǎn)發(fā)。

2.7 身份認(rèn)證技術(shù)

與包過濾技術(shù)和訪問控制技術(shù)不同，這兩種技術(shù)都是基于對要訪問的服務(wù)器進(jìn)行有效安全防護(hù)的，而身份認(rèn)證技術(shù)所針對的對象卻是想要對網(wǎng)絡(luò)進(jìn)行有效訪問的個人。身份認(rèn)證技術(shù)以用戶權(quán)限所能控制的SEED值、迭代值以及用戶所設(shè)計的密碼為基礎(chǔ)進(jìn)行加密口令的生成，從而防止黑客利用 SNIFFER獲得用戶自身的登錄口令。同時，防火墻本身的用戶數(shù)據(jù)庫以及增強(qiáng)數(shù)據(jù)庫會對用戶所登錄的網(wǎng)絡(luò)服務(wù)器進(jìn)行驗證，從而限制對網(wǎng)絡(luò)資源的的訪問。

2.8 代理服務(wù)器

代理服務(wù)器技術(shù)通常被使用在應(yīng)用層，它能提供有效的應(yīng)用層服務(wù)相關(guān)控制。當(dāng)內(nèi)部網(wǎng)絡(luò)申請向外部網(wǎng)絡(luò)進(jìn)行訪問，并發(fā)送數(shù)據(jù)時，有代理服務(wù)器進(jìn)行轉(zhuǎn)接。內(nèi)部網(wǎng)絡(luò)對于外部網(wǎng)絡(luò)的各個接點所發(fā)送的數(shù)據(jù)直接拒絕，只由代理服務(wù)器進(jìn)行相關(guān)數(shù)據(jù)的接收，并尤其進(jìn)行數(shù)據(jù)由外向內(nèi)的轉(zhuǎn)接工作。

代理服務(wù)器在防火墻主機(jī)上是單獨存在的一種應(yīng)用程序，或者是一種服務(wù)器類的程序。防火墻主機(jī)可以成為一種雙宿主主機(jī)，其在功能上，可以同時具有外部幾口和內(nèi)部接口。這種主機(jī)可以對網(wǎng)絡(luò)進(jìn)行訪問，并且內(nèi)部主機(jī)也可以進(jìn)行有效訪問堡壘主機(jī)。用戶對網(wǎng)絡(luò)的請求由這些程序進(jìn)行處理，并以固定的安全策略，將其進(jìn)行轉(zhuǎn)發(fā)，從而實現(xiàn)實際服務(wù)。代理服務(wù)器可以為內(nèi)部主機(jī)提供一種代替性的連接，由代理服務(wù)器與外部網(wǎng)絡(luò)進(jìn)行連接，并且充當(dāng)所有數(shù)據(jù)交互服務(wù)當(dāng)中的網(wǎng)關(guān)。

3 防火墻的局限性

防火墻在使用時可以防止信息泄露，但是也有很多局限性存在，具體細(xì)化內(nèi)容如下：

Internet防火墻很難防范外界其他途徑帶來的攻擊。例如，如果允許向受到保護(hù)的網(wǎng)絡(luò)內(nèi)部撥號，內(nèi)網(wǎng)用戶就能直接使用SLIP或者PPP進(jìn)入到Internet。但有部分用戶需要借用附加認(rèn)證的方式進(jìn)行代理，這就讓人感覺很厭煩，導(dǎo)致很多人放棄這一環(huán)節(jié)，所以在向ISP購買SLIP或者PPP連接的時候，可以繞過精心預(yù)設(shè)的防火墻為其提供安全系統(tǒng)，給后門攻擊提供了極大的可能性。網(wǎng)絡(luò)上用戶需要對這種類型進(jìn)行簡單的了解，通過系統(tǒng)性的防護(hù)盡量避免這種狀況的發(fā)生。

Interent防火墻很難防范出來自于內(nèi)部的攻擊和部分用戶不規(guī)范操作所帶來的威脅。公司內(nèi)部的員工竊取數(shù)據(jù)后，均可以將內(nèi)容直接拷貝到硬盤上，然后帶離公司，而防火墻此時不能發(fā)揮作用。防火墻不能防范攻擊者是偽裝成超級用戶和一些新雇員的攻擊行為。此外還有一些非法分子為獲得信息，直接誘導(dǎo)老雇員在警惕性較低的情況下將用戶密碼公開或者授予新員工較高的臨時訪問權(quán)限，最終導(dǎo)致計算機(jī)系統(tǒng)中的信息被非法用戶所盜取。

防火墻不能避免病毒文件的傳送。病毒的種類較多，所以對應(yīng)的操作系統(tǒng)也有很多種，由于編碼與壓縮二進(jìn)制文件的方式各不相同，所以在使用時不能要求Internet對每一個系統(tǒng)文件進(jìn)行掃描，查找潛在病毒。所以，對病毒特別擔(dān)心的機(jī)構(gòu)需要在桌面上面部署防病毒的軟件，這能避免病毒直接入侵軟件進(jìn)入到網(wǎng)絡(luò)系統(tǒng)內(nèi)。

防火墻很難防范數(shù)據(jù)驅(qū)動系統(tǒng)所帶來的攻擊。數(shù)據(jù)驅(qū)動系統(tǒng)的攻擊從表面上看是一種無害的數(shù)據(jù)，直接將其郵寄或者拷貝到Internet的主機(jī)上面，但是在執(zhí)行時就容易產(chǎn)生攻擊。例如，一個數(shù)據(jù)性的攻擊能讓主機(jī)先于安全相關(guān)的文件，讓入侵者在獲取到系統(tǒng)訪問權(quán)后能看到堡壘主機(jī)部署的代理服務(wù)器是禁止從外部直接進(jìn)行訪問的，從而以減少數(shù)據(jù)驅(qū)動型攻擊。

4 IPSec在Linux系統(tǒng)平臺上的實現(xiàn)

4.1 數(shù)據(jù)封裝負(fù)載（ESP）分析

以安全封裝負(fù)載的方式進(jìn)行安全防護(hù)時，將會對數(shù)據(jù)包當(dāng)中的所有數(shù)據(jù)進(jìn)行加密，從而取保信息的安全性和機(jī)密性，這樣可以有效的確保信息在傳遞過程當(dāng)中不被其他用戶監(jiān)聽，從而防止信息交換的內(nèi)容泄露。這種安全防措施的應(yīng)用當(dāng)中，只有受信任用戶才能通過密鑰將信息打開。ESP的工作當(dāng)中，還包括了認(rèn)證的提供以及數(shù)據(jù)完整性的維持工作。由于ESP的防范措施會使得所有的數(shù)據(jù)都被加密，所以它在進(jìn)行數(shù)據(jù)處理時，會占用很多時間，使得性能降低。

4.2 互聯(lián)網(wǎng)密鑰管理協(xié)議

互聯(lián)網(wǎng)密鑰管理協(xié)議當(dāng)中的密鑰由兩部分組成，分別是密鑰確定以及分發(fā)，密鑰的個數(shù)最多可以設(shè)定為四個，AH和ESP分別占有兩個發(fā)送和接收密鑰。密鑰以十六進(jìn)制表示，譬如一個56位的密鑰可以表示為5F39DA752E0C25B4。這種56位的密鑰，便能夠滿足絕大多數(shù)的應(yīng)用了。

密鑰管理上，可以進(jìn)行手動管理，也可以進(jìn)行自動管理。手動管理需要管理員通過手工操作進(jìn)行系統(tǒng)設(shè)置，這種方法可以在小型網(wǎng)絡(luò)當(dāng)中得到有效的使用，能夠滿足有限的安全需要。自動管理能夠?qū)λ械膽?yīng)用給予回應(yīng)。自動管理系統(tǒng)可以在密鑰的確定和分發(fā)過程中實行動態(tài)管理。管理過程中通過中央控制點進(jìn)行統(tǒng)一操作，使得密鑰管理者能夠進(jìn)行集中，完全發(fā)揮IPSec效用。

5 結(jié)束語

網(wǎng)絡(luò)安全的重要性應(yīng)當(dāng)?shù)玫匠浞值闹匾?，防火墻技術(shù)的應(yīng)用便是非常有效的手段。防火墻可以對未經(jīng)授權(quán)的訪問進(jìn)行拒絕，防止用戶信息泄露，同時對于合法用戶提供不限制的訪問。防火墻的使用，可以有效的提高網(wǎng)絡(luò)安全性，但其并不能應(yīng)對所有的威脅，譬如防火墻雖然可以有效的應(yīng)對外部攻擊，但是內(nèi)部攻擊的防護(hù)能力卻很弱。因此需要對防火墻加以正確的使用，使得網(wǎng)絡(luò)安全得到保護(hù)。

[1]高旭平.基于B/S架構(gòu)的防火墻策略審計系統(tǒng)的設(shè)計與實現(xiàn)[J].北京郵電大學(xué)，2014.

[2]張建莊，張葵葵.基于Windows環(huán)境的個人防火墻系統(tǒng)的研究與實現(xiàn)[J].武漢理工大學(xué)，2015.

[3]李釗洪.基于 Linux操作系統(tǒng)的分布式防火墻系統(tǒng)研究[J].電子科技大學(xué)，2014.