關鍵詞:網絡安全防火墻技術特征
1.概觀
21世紀,世界各地的計算機將通過互聯網連接起來,信息安全的內涵將發生根本改變。不僅從壹般的防禦變成了非常普通的防禦,也從專門的領域變成了無處不在。當人類在21世紀步入信息社會和網絡社會時,中國將建立壹個完整的網絡安全體系,特別是在政策和法律上具有中國特色的網絡安全體系。
壹個國家的信息安全體系其實包括國家的法規政策,以及技術和市場的發展平臺。在構建信息防禦系統時,中國應專註於開發自己獨特的安全產品。中國真正解決網絡安全問題的最終途徑是發展民族安全產業,促進中國網絡安全技術的整體提升。
網絡安全產品有以下特點:第壹,網絡安全來源於安全策略和技術的多樣化,采用統壹的技術和策略並不安全;第二,網絡的安全機制和技術應該是不斷變化的;再次,隨著網絡在社會方面的延伸,進入網絡的手段越來越多。因此,網絡安全技術是壹項非常復雜的系統工程。因此,建立具有中國特色的網絡安全體系需要國家政策法規的支持和集團的共同研發。安全和反安全就像是矛盾的兩個方面,總是在向上上升,所以未來安全行業也會隨著新技術的發展而發展。
信息安全是國家發展面臨的重要問題。對於這個問題,我們還沒有從系統規劃上考慮,從技術、產業、政策上發展。政府不僅要看到發展信息安全是我國高科技產業的壹部分,還要看到發展安全產業的政策是信息安全體系的重要組成部分,甚至要看到它對我國未來電子信息技術的發展將起到非常重要的作用。
2.防火墻
網絡防火墻技術是壹種專用的網絡互聯設備,用於加強網絡間的訪問控制,防止外網用戶通過外網非法進入內網,訪問內網資源,保護內網運行環境。它按照壹定的安全策略檢查兩個或兩個以上網絡之間傳輸的數據包,如鏈路模式,以決定是否允許網絡之間的通信,並監控網絡運行狀態。?
目前防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)、電路層網關、屏蔽主機防火墻、雙宿主機等。?
雖然防火墻是保護網絡免受黑客攻擊的有效手段,但它也有明顯的缺點:不能防止來自防火墻以外的其他途徑的攻擊,不能防止來自內部叛逃者和臨時用戶的威脅,不能完全防止被感染軟件或文件的傳播,不能防止數據驅動的攻擊。
自從1986,美國數字公司在互聯網上安裝了世界上第壹個商用防火墻系統並提出防火墻的概念以來,防火墻技術發展迅速。國內外數十家公司推出了不同功能的防火墻產品線。
防火墻處於五層網絡安全體系的底層,屬於網絡層安全技術的範疇。在這個層面上,企業對安全系統的質疑是:所有的IP是否都可以接入企業的內網系統?如果答案是“是”,說明內網沒有在網絡層采取相應的防範措施。
防火墻作為內部網絡和外部公網之間的第壹道屏障,是最早被人們重視的網絡安全產品之壹。理論上,防火墻處於網絡安全的底層,負責網絡間的安全認證和傳輸。然而,隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術逐漸走向網絡層以外的其他安全層面,不僅要完成傳統防火墻的過濾任務,還要為各種網絡應用提供相應的安全服務。此外,多種防火墻產品正在向數據安全和用戶認證方向發展,防止病毒和黑客的入侵。
根據防火墻采用的不同技術,我們可以將其分為四種基本類型:包過濾、網絡地址轉換——NAT、代理和監控。
2.1.包過濾類型
包過濾產品是防火墻的初級產品,其技術基礎是網絡中的數據包傳輸技術。網絡上的數據是以包的形式傳輸的,數據被分成壹定大小的包,每個包都會包含壹些特定的信息,比如數據的源地址、目的地址、TCP/UDP源端口、目的端口等。防火墻通過讀取數據包中的地址信息來判斷這些“數據包”是否來自可信的安全站點。
壹旦發現來自危險網站的數據包,防火墻就會將其拒之門外。系統管理員也可以根據實際情況靈活制定判斷規則。
包過濾技術的優點是簡單實用,實施成本低。在應用環境簡單的情況下,能夠以較小的成本在壹定程度上保證系統的安全性。
但是包過濾技術的缺陷也是顯而易見的。包過濾技術是壹種完全基於網絡層的安全技術,只能根據數據包的來源、目的、端口等網絡信息進行判斷,無法識別基於應用層的惡意入侵,如惡意Java小程序、郵件附帶的病毒等。有經驗的黑客可以輕易地偽造IP地址,騙過包過濾防火墻。
2.2.網絡地址轉換
網絡地址轉換是壹種將IP地址轉換為臨時、外部和註冊IP地址的標準。它允許具有私有IP地址的內部網絡訪問互聯網。這也意味著不允許用戶獲得其網絡中每臺機器的註冊IP地址。
NAT的工作過程如圖1所示:
當內網通過安全網卡訪問外網時,會產生壹條映射記錄。系統將外發源地址和源端口映射到壹個偽裝的地址和端口,通過不安全的網卡將偽裝的地址和端口連接到外網,從而對外隱藏真實的內網地址。外網通過不安全的網卡訪問內網時,並不知道內網的連接,只是通過開放的IP地址和端口請求訪問。OLM防火墻根據預定義的映射規則判斷該訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求或將連接請求映射到不同的內部計算機。當不符合規則時,防火墻認為訪問不安全,不可接受,防火墻會屏蔽外部連接請求。網絡地址轉換的過程對用戶是透明的,用戶不需要設置,只需要做常規操作即可。
2.3.代理類型
代理防火墻也可以稱為代理服務器,其安全性高於包過濾產品,並且已經開始向應用層發展。代理服務器位於客戶端和服務器之間,完全阻斷了兩者之間的數據交換。從客戶端的角度來看,代理服務器相當於壹個真實的服務器;從服務器的角度來看,代理服務器是壹個真正的客戶端。當客戶端需要使用服務器上的數據時,首先向代理服務器發送數據請求,然後代理服務器根據這個請求向服務器請求數據,然後代理服務器將數據傳輸給客戶端。由於外部系統與內部服務器之間沒有直接的數據通道,外部惡意侵權很難對企業內部網絡系統造成危害。
代理防火墻的優點是安全性高,可以檢測和掃描應用層,對基於應用層的入侵和病毒非常有效。其缺點是對系統整體性能影響較大,對於客戶端可能生成的所有應用類型都必須壹壹設置代理服務器,大大增加了系統管理的復雜度。
2.4.監控類型
監控防火墻是新壹代的產品,這項技術實際上已經超越了防火墻最初的定義。監控防火墻可以主動實時監控各層數據。基於對這些數據的分析,監控防火墻可以有效地判斷各層的非法入侵。同時,這種檢測防火墻產品壹般都有分布式檢測器,安裝在各種應用服務器和其他網絡節點中,不僅可以檢測來自網絡外部的攻擊,對來自內部的惡意破壞也有很強的防範作用。據權威機構統計,針對網絡系統的攻擊有相當比例來自網絡內部。因此,監控防火墻不僅超越了傳統防火墻的定義,在安全性上也超越了前兩代產品。
雖然監控防火墻的安全性已經超越了包過濾防火墻和代理服務器防火墻,但是由於監控防火墻技術實施成本高、管理難度大,目前在實踐中第二代代理防火墻產品仍然是主要產品,但是監控防火墻在某些方面也開始使用。基於系統成本和安全技術成本的綜合考慮,用戶可以選擇性地使用壹些監控技術。這樣既能保證網絡系統的安全要求,又能有效控制安全系統的總擁有成本。
事實上,作為防火墻產品的主流趨勢,大多數代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單壹使用具有更大的優勢。因為該產品是基於應用程序的,所以應用程序網關可以為協議提供過濾。比如可以過濾掉FTP連接中的PUT命令,通過代理應用,應用網關可以有效避免內網的信息泄露。正是由於應用網關的這些特點,應用過程中的矛盾主要集中在對各種網絡應用協議的有效支持和對網絡整體性能的影響上。