湖南环境生物职业技术学院学报 2008年9月 网络进入内部网络,访问内部网络资源,保护内部 网络操作环境的特殊网络互联设备.它对两个或 网络的安全防线之内; (2)分组过滤(Packet Filtering)技术.分组 过滤技术以增强筛选路由器网络的安全性.分组 多个网络之间传输的数据包如链接方式按照一定 的安全策略来实施检查,以决定网络之间的通信 过滤功能可以由许多商业防火墙产品和一些类似 是否被允许,并监视网络运行状态. 设立防火 墙的主要目的是保护一个网络不受来自另一个网 络的攻击.通常,被保护的网络属于我们自己,或 者是我们负责管理的,而所要防备的网络则是一 个外部的网络,该网络是不可信赖的,因为可能有 人会从该网络上对我们的网络发起攻击,破坏网 络安全.网络防火墙拒绝未经授权的用户访问, 阻止未经授权的用户存取敏感数据,同时允许合 法用户不受妨碍地访问网络资源. 在设计防火墙时,除了安全策略以外,还要确 定防火墙类型和拓扑结构.一般来说,防火墙被 设置在可信赖的内部网络和不可信赖的外部网络 之间.防火墙相当于一个控流器,可用来监视或拒 绝应用层的通信业务,防火墙也可以在网络层和 传输层运行,在这种情况下,防火墙检查进入和离 去的报文分组的IP和TCP头部,根据预先设计的 报文分组过滤规则来拒绝或允许报文分组通过. 2.2 防火墙的基本构件和技术 (1)筛选路由器(Screening Router).许多路 由器产品都具有根据给定规则对报文分组进行筛 选的功能,这些规则包括协议的类型、特定协议类 型的源地址和目的地址字段以及作为协议一部分 的控制字段.例如在常用的Cisco路由器上就具 有这种对报文分组进行筛选的功能,这种路由器 被称为筛选路由器.最早的Cisco路由器只能根 据IP数据报头部内容进行过滤,而目前的产品还 可以根据TCP端口及连接建立的情况进行过滤, 而且在过滤语法上也有了一定改进. 筛选路由 器可以根据协议类型和报文分组中有关协议字段 的值来区别不同的网络通信业务.路由器根据与 协议相关的准则来区别和限制通过其端VI的报文 分组的能力被称为报文分组过滤.因此,筛选路 由器又称为分组过滤路由器. 从我们自己的角度上看,INTERNET中的地 区网、国家网和主干网都代表着一个危险区域,在 危险区域内的主机对于外来攻击的防范是很脆弱 的.因此,我们当然希望把自己的网络和主机置 于危险区域之外.然而,没有相应的设备去拦截 对自己网络的攻击,则危险区域将会延伸至自己 的网络上.筛选路由器就是这样一种设备,它可 以用来减小危险区域,从而使其不能渗透到我们 于Karlbridge的基于纯软件的产品来实现.但是, 许多商业路由器产品都可以被编程以用来执行分 组过滤功能.许多路由器厂商,象Cisco、Bay Net— works、3COM、DEC、IBM等,他们的路由器产品都 可以用来通过编程实现分组过滤功能. 分组过滤可以用来实现许多种网络安全策 略.通常,网络安全策略主要用于防止外来的入 侵,而不是监控内部用户.例如,阻止外来者入侵 内部网络,对一些敏感数据进行存取和破坏网络 服务是更为重要的.这种类型的网络安全策略决 定了筛选路由器将被置于何处,以及如何进行编 程用来执行分组过滤.良好的网络安全的实现同 时也应该使内部用户难以妨害网络安全,但这通 常不是网络安全工作的重点.网络安全策略的一 个主要目标是向用户提供透明的网络服务机制. 由于分组过滤执行在OSI模型的网络层和传输 层,而不是在应用层,所以这种途径通常提供更强 的透明性. 在分组过滤装置的每一个端口都可以实施网 络安全策略,这种策略描述通过该端口可存取的 网络服务的类型.如果同时有许多网段同该过滤 装置相连,则分组过滤装置所实施的策略将变得 很复杂.在解决网络安全问题时应该避免过于复 杂的方案,首先是为了便于维护和减少在配置过 滤规则时出错;其次是为了避免执行复杂的方案 对设备的性能产生负作用.在许多实际情况下,只 采用简单模型来实现网络安全策略.在这个模型 中只有两个网段与过滤装置相连,典型的情况是 一个网段连向外部网络,另一个连向内部网络.通 过分组过滤来限制请求被拒绝服务的网络通信 流.由于分组过滤规则的设计原则是有利于内部 网络连向外部网络,所以在筛选路由器两侧所执 行的过滤规则是不同的. (3)双宿主机(Dual—Homed Host).在TCP/ IP网络中,术语多宿主机被用来描述一台配有多 个网络接口的主机.通常,每一个网络接口与一个 网络相连.在以前,这种多宿主机也可以用来在几 个不同的网段间进行寻径,术语网关用来描述由多 宿主机执行的寻径功能.但近年来人们一般用术 语路由器来描述这种寻径功能,而网关则用于描述 相当于OSI模型上几层中所进行的寻径功能. 维普资讯 http://www.cqvip.com
第14卷第3期 李北枝:计算机网络安全中的防火墙技术研究 下面介绍在双宿主机防火墙中禁止寻径的方 法. 大多数防火墙建立在运行UNIX的机器上. 为了在基于UNIX的双宿主机中禁止进行寻径, 需要重新配置和编译内核.在BSD UNIX系统中 该过程如下所述. 使用MAKE命令编译UNIX系统内核.使用 一个叫做CONFIG的命令来读取内核配置文件并 生成重建内核所需的文件.内核配置文件在/usr/ sys/conf或/usr/src/sys目录下.在使用Intel硬 件的BSDI UNIX平台上,配置文件在/usr/src/ sys/i386/conf目录下.进入配置文件目录usr/src/ sys/i386/conf),将文件GENERIC复制到一个新 的配置文件中,其名字应对新的配置有所启发. 例如,你可以将这个文件称为FIREWALL或LO— CAL. cd/usr/src/sys/i386/conf cp GENERIC FIREWALL , 下一步,编辑文件FIREWALL中的选项参数 IPFORWARDING,将其值改为一1,代表“不转发 任何IP数据报”.这个变量的作用是设置内核变 量ipforwarding的值,从而禁止IP转发. options IPFORWARDING:——1 在某些其它的系统上,你看到的可能不是IP— FORWARDING参数,而是:options GATEWAY 为禁止IP分组的转发,可以将一个撑号放在 这一行的起始处,将这句话注释掉. #options GATEWAY 同时,检验下列TCP/IP内核配置语句是否 存在: options INET#Internet Protocol support is to be included pseudo—device loop#The loop back device is ot be defined(127.0.0.1) pseudo—device ehter#Generic Ethemet sup— port such as ARP functions pseudo—device pry#pseudo teletypes for tel— net/rlogin access device we0 at isa?port 0x280#Could be dif- ferent for your Ethernet interface 运行CONFIG命令来建立LOCAL目录,然后 进入该目录: config LOCAL cd../../compile/LOCAL 然后,运行MAKE命令来建立必要的相关部 件和内核: make depend make 将内核映像复制到根目录下,然后重新启动 (reboot): P/bsd/bsd.old cp bsd/bsd reboot[ 】 现在,这台主机可以用来作为双宿主机防火 墙了. 双宿主机防火墙的也存在安全隐患.对安全最 大的危胁是一个攻击者掌握了直接登录到双宿主 机的权限.登录到一个双宿主机上总是应该通过双 宿主机上的一个应用层代理进行.对从外部不可信 任网络进行登录应该进行严格的身份验证.还应该 从双宿主机防火墙中移走所有的影响到安全的程 序、工具和服务,以免落入攻击者的手中. 下面是UNIX双宿主机防火墙的一部分有用 的检查点. 第一步,移走程序开发工具,即编译器、链接 器等;第二步,移走你不需要或不了解的具有 SUID和SGID权限的程序.如果系统不工作,你 可以移回一些必要的基本程序;第三步,使用磁盘 分区,从而使在一个磁盘分区上发动的填满所有 磁盘空间的攻击被限制在那个磁盘分区当中;第 四步,删去不需要的系统和专门帐号;第五步,删 去不需要的网络服务,使用netstat—a来检验. 编 ̄k/etc/inetd.conf和/etc/services文件,删除不 需要的网络服务定义. (4)代理服务和应用层网关.代理服务 (Proxy Service)使用的的方法与分组过滤器不 同,代理(Proxy)使用一个客户程序(或许经过修 改),与特定的中间结点连接,然后中间结点与期 望的服务器进行实际连接.与分组过滤器所不同 的是,使用这类防火墙时外部网络与内部网络之 间不存在直接连接.因此,即使防火墙发生了问 题,外部网络也无法与被保护的网络连接.中间结 点通常为双宿主机. 代理服务可提供详细的日志记录(1og)及审 计(audit)功能,这大大提高了网络的安全性,也 为改进现有软件的安全性能提供了可能性.代理 服务器可运行在双宿主机上,它是基于特定应用 程序的.为了通过代理支持一个新的协议,必须 修改代理以适应新协议.在一个称为SOCKS的 免费程序库中包括了与许多标准系统调用基本兼 维普资讯 http://www.cqvip.com
湖南环境生物职业技术学院学报 2008年9月 容的代理版本,如SOCKS()、BIND()、CONNECT ()等.在URL统一资源定位地ftp://ftp.inoc. d1.nee.corn/pub/security/sock.cstc中可以得到该 程序.[ 端点之间复制字节.线路网关中可能包括支持某 些特定TCP/IP应用的程序代码,但这通常是有 限的.如果它能支持某些应用,则这些应用通常 是一些TCP/IP的应用. 应用层网关可以处理存储转发通信业务,也 可以处理交互式通信业务.通过适当的程序设 计,应用层网关可以理解在用户应用层(OSI模型 第七层)的通信业务.这样便可以在用户层或应 用层提供访问控制,并且可以用来对各种应用程 3 小结 随着Internet在我国的迅速发展,防火墙技 术引起了各方面的广泛关注.一方面在对国外信 息安全和防火墙技术的发展进行跟踪,另一方面 序的使用情况维持一个智能性的日志文件.能够 也已经自行开展了一些研究工作.目前使用较多 记录和控制所有进出通信业务,是采用应用层网 的,是在路由器上采用分组过滤技术提供安全保 关的主要优点.在需要时,在网关本身中还可以 证,对其它方面的技术尚缺乏深人了解.防火墙 增加额外的安全措施. 技术还处在一个发展阶段,仍有许多问题有待解 对于所中转的每种应用,应用层网关需要使 决.因此,密切关注防火墙的最新发展,对推动 用专用的程序代码.由于有这种专用的程序代 Internet在我国的健康发展有着重要的意义. 码,应用层网关可以提供高可靠性的安全机制. 每当一个新的需保护的应用加人网络中时,必须 参考文献: 为其编制专门的程序代码.正是如此,许多应用 [1]梅杰,许榕生.Intemet防火墙技术最新发展[J]. 层网关只能提供有限的应用和服务功能.为了使 微电脑世界,2005,(6):27—30. 用应用层网关,用户或者在应用层网关上登录请 [2]袁家政.计算机网络安全与应用技术[M].北京:清 求,或者在本地机器上使用一个为该服务特别编 华大学出版社,2005. 制的程序代码.每个针对特定应用的网关模块都 [3]常红.网络完全技术与反黑客[M].北京:冶金工 有自己的一套管理工具和命令语言. 业出版社,2004. [4]劳帼龄.网络安全与管理.[M].北京:高等教育出版 另一种类型的应用层网关被称为“线路网 社,2003. 关”(circuit gateway).在线路层网关中,分组的地 [5]肖衍,蒋外文.基于Windows2000的无线局域网安 址是一个应用层的用户进程.线路网关用于在两 全体系设计实践[J].湖南环境生物职业技术学院学 个通信端点之间中转分组.线路网关只是在两个 报,2006,12(4):381—385. The Network Firewall of Computer Security Technology LI Bei—zhi (Synthesis Research Ofifce,School of Advanced Courses for Teachers in Hengnan County,Hengyang 421 100 China) Abstract:The core thought of firewall technology is to construct a structure relative security sub—net environ— ment in the unsaf.e Intemet environment.This article introduced the basic concept of firewall technology and coryesponding strategies to it.It including two main technical method of the firewall:One is filters hte technol- ogy based on the grouping(Packet ifltering)whose representative is the firewall function which realizes on the screening router;the other is based on the proxy technology(Proxy)whose representative is the firewall func— tion which realizes on the application level gateway.5refs. Key words:network security;firewall;grouping filters;proxy;dual—homed host
因篇幅问题不能全部显示,请点此查看更多更全内容