1、浅谈办公网络中防火墙的应用摘要: 随着时代的发展,Internet 日益普及,网络已经成为信息资源的海洋,给人们带来了极大的方便。但由于 Internet 是一个开放的,无控制机构的网络,经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失,系统瘫痪。因此,计算机网络系统安全问题必须放在首位。本文就办公网络中应用最多的防火墙技术做了探讨。关键字:计算机网络; 网络安全; 防火墙技术 一、前言 企业内部办公自动化网络一般是基于 TCP/IP 协议并采用了 Internet 的通信标准和 Web 信息流通模式的 Intranet,它具有开放性,因而使用极其方便。但开放性却带来了
2、系统入侵、病毒入侵等安全性问题。一旦安全问题得不到很好地解决,就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果,给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的办公自动化网络系统。 目前企业内部办公网络存在的安全隐患主要有黑客恶意攻击、病毒感染、口令攻击、数据监听等,在这众多的安全隐患中要数黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。所以企业网络中应该以防范黑客和病毒为首。 针对企业办公网络存在的众多隐患,各个企业也实施了安全防御措施,其中包括防火墙技术、数据加密技术、认证技术、PKI 技术等,但其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文
3、将就放火墙技术在企业办公中的应用给予探讨,希望能给广大企业办公网络安全建设带来一定帮助。 二、防火墙技术概述 1.防火墙的基本概念 防火墙原是建筑物大厦里用来防止火灾蔓延的隔断墙,在这里引申为保护内部网络安全的一道防护墙。从理论上讲,网络防火墙服务的原理与其类似,它用来防止外部网上的各类危险传播到某个受保护网内。从逻辑上讲,防火墙是分离器、限制器和分析器;从物理角度看,各个防火墙的物理实现方式可以有所不同,但它通常是一组硬件设备(路由器、主机)和软件的多种组合;而从本质上来说防火墙是一种保护装置,用来保护网络数据、资源和用户的声誉;从技术上来说,网络防火墙是一种访问控制技术,在某个机构的网络和
4、不安全的网络之间设置障碍,阻止对信息资源的非法访问,换句话说,防火墙是一道门槛,控制进/出两个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵,如安全网络可能是企业的内部网络,不安全网络是因特网,当然,防火墙不只是用于某个网络与因特网的隔离,也可用于企业内部网络中的部门网络之间的隔离。 2.防火墙的工作原理 防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙 的数据流,只允许授权的数据通过,同时记录有关的联接来源、服务器提供的 通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪,并且防火墙本身也必须能够免于渗透。 3.防火墙的功能 一般来说,防火墙具有以下几种
5、功能: 能够防止非法用户进入内部网络。 可以很方便地监视网络的安全性,并报警。 可以作为部署 NAT(Network Address Translation,网络地址变换)的地点,利用 NAT 技术,将有限的 IP 地址动态或静态地与内部的 IP 地址对应起来,用来缓解地址空间短缺的问题。 可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署 WWW 服务器和 FTP 服务器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ) 。 4.防火墙的分类 包过滤型防火墙,又称筛选路由器(Screening router)或网络层防火墙(Network level
6、firewall),它工作在网络层和传输层。它基于单个数据包实施网络控制,根据所收到的数据包的源 IP 地址、目的 IP 地址、TCP/UDP 源端口号及目标端口号、ICMP 消息类型、包出入接口、协议类型和数据包中的各种标志等为参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施过滤。 代理服务器型防火墙 代理服务器型防火墙通过在主机上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用型防火墙。其核心是运行于防火墙主机上的代理服务器进程,它代替网络用户完成特定的 TCP/IP 功能。一个代理服务器实际上是一个为特定网络应用而连接
7、两个网络的网关。 复合型防火墙 由于对更高安全性的要求,通常把数据包过滤和代理服务系统的功能和特点综合起来,构成复合型防火墙系统。所用主机称为堡垒主机,负责代理服务。各种类型的防火墙都有其各自的优缺点。当前的防火墙产品己不再是单一的包过滤型或代理服务器型防火墙,而是将各种安全技术结合起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。混合型防火墙一般采用以下几种技术:动态包过滤;内核透明技术;用户认证机制;内容和策略感知能力:内部信息隐藏;智能日志、审计和实时报警;防火墙的交互操作性等。 三、办公网络防火墙的设计 1.防火墙的系统总体设计思想 1.1 设计防火墙系统的拓扑结构 在确定
8、防火墙系统的拓扑结构时,首先必须确定被保护网络的安全级别。从整个系统的成本、安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑,以决定防火墙系统的拓扑结构。 1.2 制定网络安全策略 在实现过程中,没有允许的服务是被禁止的,没有被禁止的服务都是允许的,因此网络安全的第一条策略是拒绝一切未许可的服务。防火墙封锁所有信息流,逐一完成每一项许可的服务;第二条策略是允许一切没有被禁止的服务,防火墙转发所有的信息,逐项删除被禁止的服务。 1.3 确定包过滤规则 包过滤规则是以处理 IP 包头信息为基础,设计在包过滤规则时,一般先组织好包过滤规则,然后再进行具体设置。 1.4 设计代理服务
9、 代理服务器接受外部网络节点提出的服务请求,如果此请求被接受,代理服务器再建立与实服务器的连接。由于它作用于应用层,故可利用各种安全技术,如身份验证、日志登录、审计跟踪、密码技术等,来加强网络安全性,解决包过滤所不能解决的问题。1.5 严格定义功能模块,分散实现 防火墙由各种功能模块组成,如包过滤器、代理服务器、认证服务器、域名服务器、通信监控器等。这些功能模块最好由路由器和单独的主机实现,功能分散减少了实现的难度,增加了可靠程度。 1.6 防火墙维护和管理方案的考虑 防火墙的日常维护是对访问记录进行审计,发现入侵和非法访问情况。据此对防火墙的安全性进行评价,需要时进行适当改进,管理工作要根据
10、网络拓扑结构的改变或安全策略的变化,对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能,以保证网络极其信息的安全性。 2.一种典型防火墙设计实例数据包防火墙设计 数据包过滤防火墙工作于 DOD ( Department of Defense)模型的网络层,其技术核心是对是流经防火墙每个数据包进行行审查,分析其包头中所包含的源地址、目的地址、封装协议(TCP, UDP、ICMP, IP Tunnel 等)、TCP/UDP 源端口号和目的端口号、输人输出接口等信息,确定其是否与系统预先设定的安全策略相匹配,以决定允许或拒绝该数据包的通过。从而起到保护内部网络的作用,这一过程就称为数
11、据包过滤。 本例中网络环境为:内部网络使用的网段为 192.168.1.0, eth0 为防火墙与 Internet 接口的网卡,eth1 为防火墙与内部网络接口的网卡。 数据包过滤规则的设计如下: 2.1 与服务有关的安全检查规则 这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输.这类服务包括 WWW, FTP, Telnet, SMTP 等.我们以 WWW 包过滤为例,来分析这类数据包过滤的实现. WWW 数据包采用 TCP 或 UDP 协议,其端口为 80,设置安全规则为允许内部网络用户对 Internet 的 WWW 访问,而限制 Internet 用户仅能访问内部网部
12、的 WWW 服务器,(假定其 IP 地址为 192.168.1.11)。 要实现上述 WWW 安全规则,设置 WWW 数据包过滤为,在防火 eth0 端仅允许目的地址为内部网络 WWW 服务器地址数据包通过,而在防火墙 eth 1端允许所有来自内部网络 WWW 数据包通过。 #Define HTTP packets #允许 Internet 客户的 WWW 包访问 WWW 服务器 /sbin/ipchains-A input -p tcp -s 0.0.0.0/0 1024: -d 192.168.1.11/32 www -i eth0 j ACCEPT /sbin/ipchains-A in
13、put -p tcp -s 0.0.0.0/fl 1024:-d 192.168.1.11132 www -i eth0 j ACCEPT #允许 WWW 服务器回应 Internet 客户的 WWW 访问请求 /sbin/ipchains-A input-ptcp -s192.168.1.11/32www:-d 0.0.0.0/0 1024:-i ethl j ACCEPT /sbin/ipchains-A input -p udp -s 192.168.1.11 /32www:-d 0.0.0.0/0 1024:-i eth1 j ACCEPT 显然,设置此类数据过滤的关键是限制与服务相应
14、的目地地址和服务端口。 与此相似,我们可以建立起与 FTP, Telnet, SMTP 等服务有关的数据包检查规则; 2.2 与服务无关的安全检查规则 这类安全规则是通过对路由表、数据包的特定 IP 选项和特定段等内容的检查来实现的,主要有以下几点: 数据包完整性检查(Tiny Fragment ):安全规则为拒绝不完整数据包进人 Ipchains 本身并不具备碎片过滤功能,实现完整性检查的方法是利用REDHAT,在编译其内核时设定 IP ; always defrayments set toy。 REDHAT 检查进人的数据包的完整性,合并片段而抛弃碎片。 源地址 IP ( Source I
15、P Address Spoofing)欺骗:安全规则为拒绝从外部传输来的数据包伪装成来自某一内部网络主机,以期能渗透到内部网络中.要实现这一安全规则,设置拒绝数据包过滤规则为,在防火墙eth0 端拒绝 1P 源地址为内部网络地址的数据包通过。 源路由(Source Routing)欺骗:安全规则为拒绝从外部传输来的数据包包含自行指定的路由信息,实现的方法也是借助 REDHAT 的路由功能,拒绝来自外部的包含源路由选项的数据包。 总之,放火墙优点众多,但也并非万无一失。所以,安全人员在设定防火墙后千万不可麻痹大意,而应居安思危,将防火墙与其他安全防御技术配合使用,才能达到应有的效果。 参考文献:
16、 1张 晔,刘玉莎 . 防火墙技术的研究与探讨J . 计算机系统应用, 1999 2王丽艳 . 浅谈防火墙技术与防火墙系统设计 . 辽宁工学院学报 . 2001 3郭伟 . 数据包过滤技术与防火墙的设计 . 江汉大学学报 . 2001 4Anthony Northup. NT Network Plumbing: Routers, Proxies, and Web Services M. New York: IDG Books Worldwide, 1998. 5 (美)Chris Hare Karanjit Siyan . Internet 防火墙与网络安全 . 北京:机械工业出版社,1998