1、NetST防火墙技术白皮书11安全概述互联网的迅猛发展,给企业带来了革命性的改变,增强了企业获得信息的能力,加快了企业内部信息的交流和办事效率,提高了市场反应速度,使企业在商业竞争中处于有利地位,更具竞争力。在享受 Internet 带来的方便与快捷的同时,企业也要面对 Internet 开放带来的数据安全的新挑战和新危险,如何保护客户、销售商、移动用户、异地员工和内部员工的安全访问以及保护企业的机密信息不受黑客和间谍的入侵,成为网络安全的主要内容。Internet 的安全问题是不能忽视的。当用户与 Internet 连接时,可以在中间加入一个或几个中介系统,防止非法入侵者通过网络进行攻击,并
2、提供数据可靠性、完整性的安全和审查控制,这些中间系统就是防火墙(Firewall) 。防火墙是设置在被保护网络与外部网络之间的一道屏障,以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况,以此来实现内部网络的安全保护。防火墙一方面限制数据流通,一方面又允许数据流通,由于不同网络的安全要求和管理机制有差别,这对矛盾也有不同的表现形式。这样就有了两种极端情况:一是除了非允许不可的,其它都被禁止;二是除了非禁止不可的,其它都被允许,而多数防火墙则在两者之间采取折衷措施。在确保网络安全的前提下,应尽量提高跨越防火墙的访问效率。
3、防火墙提供行之有效的网络安全机制,是网络安全策略的有机组成部分。它通过控制和监测网络之间的信息交换和访问行为实现对网络安全的有效保障,在内部网与外部网之间实施安全的防范措施。这本白皮书讨论清华得实 NetST防火墙基于状态检测技术的硬件防火墙。NetST防火墙采用专用硬件和安全增强内核设计,具有带内带外管理、日志管理、安全策略编辑、安全状态检测等多项强大的安全功能。目前通过国家安全有关部门的安全性评测,并获得公安部颁发的“计算机信息系统安全专用产品销售许可证(XKC33129) ”。NetST防火墙位于内部网络与外部网络的连接处,对进出内部网络的所有数据进行检查,符合一定的访问控制规则的数据才
4、允许通过,否则要拒绝或修NetST防火墙技术白皮书2改数据,并能检测出可能的非法内外网络入侵,及时进行处理和记录,保证网络安全。该防火墙能有效地防止黑客入侵,抵御来自外部网络的攻击,保证内部系统的资料不被盗取,可为电信、邮政、政府、教育、能源、金融、企业等各部门现有的网络提供最有效、最彻底的保安措施。NetST防火墙技术白皮书32 Internet 防火墙技术:概述防火墙(Firewall)是用一个或一组网络设备(计算机系统或路由器等) ,在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示为:防火墙=过滤器+安全策略(+网关) ,它是一种非常有
5、效的网络安全技术。在 Internet 上,通过它来隔离风险区域(即 Internet 或有一定风险的网络)与安全区域(内部网,如 Intranet)的连接,但不妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据,从而完成仅让安全、核准的信息进入,同时又抵制对企业构成威胁的数据进入的任务。通常,防火墙服务于以下几个目的: 限制他人进入内部网络,过滤掉不安全服务和非法用户; 限定人们访问特殊站点; 为监视 Internet 安全提供方便。由于防火墙是一种被动技术,它假设了网络边界和服务,因此,对内部的非法访问难以有效地控制。因此,防火墙适合于相对独立的网络,例如Intranet 等种类相
6、对集中的网络。防火墙的主要技术类型包括网络级数据包过滤(Network-level Packet Filter) ,应用代理服务器(Application-level Proxy Server) ,状态检测防火墙。2.1 包过滤防火墙数据包过滤(Packet Filtering)技术是在网络层对数据包进行分析、选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表(Access Control Table) 。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。其实现机制如图 1 所示。NetST防火墙技术白皮书4图 1 包过滤防
7、火墙的实现机制数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能和透明度好。它通常安装在路由器上,内部网络与 Internet 连接,必须通过路由器,因此在原有网络上增加这类防火墙,几乎不需要任何额外的费用。这类防火墙的缺点是不能对数据内容进行控制:很难准确地设置包过滤器,缺乏用户级的授权;数据包的源地址、目的地址以及 IP 端口号都在数据包的头部,很有可能被冒充或窃取,而非法访问一旦突破防火墙,即可对主机上的系统和配置进行攻击。说明:网络层的安全防护,主要目的是保证网络的可用性和合法使用,保护网络中的网络设备、主机操作系统以及各TCP/IP 服务 的正常运行,根据 I
8、P地址控制用户的网络访问。网络层在ISO的体系层次中处于较低的层次,因而其安全防护也是较低级的,并且不易使用和管理。网络层的安全防护是面向IP空间的。2.2 应用层网关应用层网关(Application Level Gateways)技术是在网络的应用层上实现协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、记录和统计,形成报告。实际的应用网关通常安装在专用工作站系统上,其实现机制如图 2 所示。NetST防火墙技术白皮书5图2 应用网关防火墙实现机制应用层网关防火墙和数据包过滤有一个共同的特点,就是它们仅仅依靠特定的逻辑来判断是否
9、允许数据包通过。一旦符合条件,防火墙内外的计算机系统便可以建立直接联系,外部的用户便有可能直接了解到防火墙内部的网络结构和运行状态,这大大增加了非法访问和攻击的机会。针对对上缺点,出现了应用代理服务(Application-level Proxy Server)技术。说明:应用层的安全防护,主要目的保证信息访问的合法性,确保合法用户根据授权合法的访问数据。 应用层在 ISO 的体系层次中处于较高的层次,因而其安全防护也是较高级的。应 用层的安全防护是面向用户和应用程序的。2.3 应用代理服务器应用代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接,由两个
10、代理服务器之间的连接来实现,外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。另外代理服务器也对过往的数据包进行分析、记录、形成报告,当发现攻击迹象时会向网络管理员发出警告,并保留攻击痕迹。其应用层代理服务数据的控制及传输过程如图 3 所示。图3 代理服务防火墙应用层数据的控制及传输应用代理服务器对客户端的请求行使“代理”职责。客户端连接到防火墙并发出请求,然后防火墙连接到服务器,并代表这个客户端重复这个请求。返回时数据发送到代理服务器,然后再传送给用户,从而确保内部IP地址和口令不在Internet上出现。优点:比包过滤防火墙安全,管理更丰富,功能提升容易。易于
11、记录并控制所有的进出通信,并对Internet的访问做到内容级的过滤缺点:执行速度慢,操作系统容易遭到攻击。说明:代理服务器(Proxy server)是指,处理代表内部网络用户的外部服务器的程序。客户代理与代理服 务器对话,它核 实用户请 求,然后才送到真正的服 务器上,代理服务器在外部网 络向内部网络中请服务时发挥了中间转接作用。内部NetST防火墙技术白皮书6网络只接收代理服务器提出的服务请求,拒绝外部网络上其他节点的直接请求。当外部网络向内部网络的节点申请某种服务时,如FTP、WWW、Telnet等,先由代理服务器接收,然后根据其服务类型、服 务内容、被服务对象,以及申请者的域名范围、
12、IP地址等因素,决定是否接受此项服务。如果接受,则由代理服务器向内部网络转发请求,并把应答回送给申请者;否则,拒绝其请求。根据其 处理协议的不同,可分为FTP网关型、WWW网关型、Telnet 网关型等防火墙,其 优点在于既能进行安全控制,又可加速访问,但 实现起来比较困难, 对于每一种服务协议必须设计一个代理软件模式,以进行安全控制。2.4 状态检测防火墙状态检测又称动态包过滤,是在传统包过滤上的功能扩展,最早由CheckPoint提出。传统的包过滤在遇到利用动态端口的协议时会发生困难,如ftp,你事先无法知道哪些端口需要打开,而如果采用原始的静态包过滤,又希望用到的此服务的话,就需要实现将
13、所有可能用到的端口打开,而这往往是个非常大的范围,会给安全带来不必要的隐患。而状态检测通过检查应用程序信息(如FTP的port和pass命令) ,来判断此端口是否允许需要临时打开,而当传输结束时,端口又马上恢复为关闭状态。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此作为依据决定对该连接是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查。一旦发现任何连接的参数有意外的变化,该连接就被中止。这种技术提供了高度安全的解决方案,同时也具有较好的性能、适应性和可扩展性。状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据
14、内容的支持(如从HTTP连接中抽取出Java Applets或ActiveX控件等) 。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚拟连接,当反向应答分组送达时就认为一个虚拟连接已经建立。每个虚拟连接都具有一定的生存期,较长时间没有数据传送的连接将被中止。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性,他们不仅仅检测“to ”或“from ”的地址,而且也不要求每个被访问的应用都有代理。状态检测防火墙根据协议、端口及源、目的地址的具体情况决定数据包是否可以通过。对于每个安全策略允许的请求,状态检测防火墙启动相应的进程,可以快速地确认符合授权
15、流通标准的数据包,这使得本身的运行非常快速。清华得实NetST硬件防火墙综合了包过滤和应用代理服务器两类防火墙的优点,在提供根据数据包地址或端口进行过滤处理的同时还可实现对常用协议的内容过滤,即具备了包过滤类型防火墙的速度,又具备代理类型防火墙的安全。NetST防火墙技术白皮书73. 技术指标与支持标准3.1 标准配置防火墙硬件设备指标机箱外型:标准1U工业机箱,可安装于19” 机架CPU:Pentium III 733MHz CPU以上内部随机存储器:128MB以上Image存储器:32MB DOM/DOC网络接口:3 个10/100Base-TX以太网接口(1个可扩充接口)终端控制接口:R
16、S-232接口LED指示灯:11个(系统指示灯 2个,网络指示灯9个)工作温度:1030摄氏度3.2 支持协议标准HTTP协议:RFC2616,RFC1945FTP协议:RFC959, RFC2640, RFC2228 SMTP协议:RFC821MIME协议:RFC20452049POP3协议:RFC1939,RFC1957,RFC24493.3 防火墙引擎技术指标支持协议:TCP/IP族内的各种协议,如IP、TCP、UDP、IMCP、IGMP等。NAT(网络地址转换)方法:支持静态NAT(多对多,多对一,一对一) 、动态NAT(IP 伪装)等。系统安全防范:拒绝服务攻击(ping of de
17、ath, land, syn flooding, ping flooding, tear drop等) 、端口扫描、IP欺骗、流量限制、用户认证、IP与MAC绑定。3.4 执行标准GB/T 18019-1999 包过滤防火墙安全技术要求。3.5 认证注册号公安部销售许可证号:XKC33129NetST防火墙技术白皮书84. NetST防火墙的系统特点NetST防火墙功能全面、技术先进、可靠性强、安全性高,具体有以下特点:4.1 一体化的硬件设计NetST防火墙采用一体化的硬件设计,可以发挥硬件最高效能,提高系统自身安全性。一般软件防火墙需要昂贵的高档工作站或高档微机支持,同时系统安全性受操作系
18、统本身安全问题的影响。使用软件防火墙不仅要求用户提供硬件平台支持,而且防火墙的安全性还要依赖于操作系统。NetST防火墙采用一体化的设计,可以根据软件和硬件之间的“协作”要求量身定制,这样充分发挥系统的潜力,保持较高的效率和稳定性。4.2 基于状态检测的防火墙引擎NetST防火墙引擎采用国际流行的状态检测包过滤技术,可在线监测当前内外网络的连接状态,根据连接状态动态处理连接情况,对异常的连接状态进行阻断和记录,及时报警。4.3 抗攻击能力 NetST防火墙采用专用安全操作系统,安全级别高; 防电子欺骗(防 IP 地址欺骗):NetST 防火墙的防电子欺骗功能保证数据包的 IP 地址与网关通信接
19、口相符,防止通过修改 IP 地址的方法进行非授权访问; 攻击检测功能:NetST防火墙系统可以检测到对网络或内部主机的所有 TCP/UDP 扫描以及多种拒绝服务攻击,如 SynFlooding 攻击等; 对外部扫描以及攻击的响应能力:NetST防火墙可以对来自外部网络的扫描和多种攻击进行实时响应。 抗 DOS/DDOS 攻击:拒绝服务攻击是一种常见的攻击方式,NetST防火墙系统不但可以识别此类型攻击,而且可以对抗 DOS 攻击,使受保护主机免于瘫痪。NetST防火墙技术白皮书94.4 高性能的系统核心NetST防火墙系统核心专门为防火墙而设计,能大大提高系统性能。其中核心模块都经过专家详尽分
20、析,并用汇编语言进行全面优化,比同类系统性能提高 20%60%。4.5 双向网络地址转换NetST防火墙系统支持动态、静态、双向的网络地址转换(NAT) 。它可以把内部网 IP 地址转换成因特网 IP 地址,使得外部网络无法知道内部主机的IP 地址,从而伪装内部地址、保护内部主机,进一步增强系统的安全性。另外,网络地址翻译方式允许内部用户使用非静态的 IP 地址(符合 RFC1918) ,从而解决了 ISP 所提供 IP 地址有限问题。4.6 中立区(DMZ)为适应越来越多的用户向 Internet 上提供服务时对服务器进行保护的需要,NetST防火墙采用区分保护策略保护对外服务器。防火墙通过
21、一个独立的网络接口为对外服务器提供服务,使对外服务器拥有一个独立的、完全隔离的网段,防火墙可以为这个区域设定独立的安全规则,这就是 DMZ 技术。DMZ 与外部网络之间有防火墙保护,DMZ 与内部网络之间也有防火墙保护,因此,黑客对DMZ 区的攻击行为并不会影响内部网用户享用正常的网络服务,内部网仍处于防火墙的保护之下。4.7 完善的访问控制管理员可以根据系统提供的完善选项,设定网络地址段、网络地址与网络服务端口和访问控制策略。4.8 支持各种标准服务及用户自定义服务可以支持的协议标准是评价一个防火墙系统的重要指标之一。NetST防火墙基于TCP/IP 协议,支持Internet 上的各种服务
22、( 如Web browser、E-mail、 FTP、Telnet 等)、支持基于TCP协议的所有标准应用程序、支持基于UDP的各种应用程序。而且,还支持像数据库访问这样的商务应用程序和像Real Audio, VDOLive和Internet Phone这样的多媒体应用程序。用户不必担心使用防火墙后,出现某些服务失效的副作用。NetST防火墙技术白皮书104.9 强大的内容过滤功能系统支持对可能的危险代码或容易挤占网络带宽数据的过滤,如 HTML 中的 Java,ActiveX 脚本、音频视频信息、电子邮件中的危险附件等;控制 FTP上载/ 下载的文件类型等;阻止 ActiveX、Java
23、、JavaScript 等侵入。4.10 便捷的安装配置提供快速的安装配置功能。系统通过命令规范,使安全管理员在几分钟内完成防火墙系统设置,简化了安装过程,缩短了因系统安装带来的网络停顿时间。4.11 多级登录权限设置NetST防火墙系统支持多级登录权限,管理人员可以灵活设置权限,例如为管理人员设置特殊用户权限。特权用户登录到防火墙系统时可以拥有不同的功能选项。通过对访问权限的检查,可实现服务端口访问控制、协议访问控制以及基于 IP 包的服务类型和安全选项的访问控制。4.12 实时动态监测NetST防火墙可对通过防火墙的数据包进行实时监测。在管理界面中,管理员可以实时监测系统状态,如系统负载、系统使用情况、用户的连接状态等,方便及时地了解系统的状态,并且在必要的时候采取相应的行动。4.13 直观的安全策略设置安全规则是本产品系统的核心设置之一。在管理界面中,管理员可以通过按照自定的安全策略修改防火墙规则,直观方便地做规则的增加、修改、查看、删除、插入、排序等操作。
