第5卷第4期
2003年10月
沈阳电力高等专科学校学报
JournalofShenyangElectricPowerInstitute
Vol15,No14Oct.,2003
文章编号:1008-312X(2003)04-0028-03
防火墙技术的一般性设计原则
杜文洁1,姜 颖2
(11沈阳师范大学职业技术学院,辽宁沈阳110036;21沈阳化工学院,辽宁沈阳110021)
摘 要:防火墙技术是较为有效的网络安全技术之一。从技术上分析了4,
探讨了防火墙的安全体系结构,、。关 键 词:防火墙;网络安全;体系结构;中图分类号:TP393108也称为应用级网关。代理服务器隔离在风险网络
和内部网络之间,内外不能直接交换数据,数据交换由代理服务器“代理”完成,内部网络只接收代理服务器提出的要求,拒绝外部网络的直接请求。代理服务可以实现用户认证、详细日志、审计跟踪和数据加密等功能。213 电路层网关
电路层网关在网络的传输层上实施访问策略,是在内、外网络主机之间建立一个虚拟电路进行通信,相当于在防火墙上直接开个口进行传输,不像应用层防火墙那样能严密地控制应用层信息。214 混合型防火墙
混合型防火墙是把过滤和代理服务等功能结合起来形成新的防火墙,所用主机称为堡垒主机,负责代理服务。各种类型的防火墙各有其优缺点。当前的防火墙产品已不是单一的包过滤型或代理服务器型防火墙,而是将各种安全技术结合起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。
1 从狭义上讲,防火墙是指安装了防火墙软件的主机或路由器系统;从广义上讲,防火墙还包括整个网络的安全策略和行为。在因特网上,通过它隔离风险区域(即Internet或有一定风险的网络)与安全区域(内部网如Intranet)的连接,能够增强内部网络的安全性。所有来自和去往In2ternet的信息都必须经过防火墙,接受防火墙的监控和检查,只有符合安全标准的信息才允许进出。
2 防火墙的类型
防火墙有很多种形式,有的以软件形式运行在普通计算机上,有的以固件形式设计在路由器之中。但从技术上看,可以分为4种类型。211 包过滤型
包过滤型防火墙是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,即访问控制表。根据数据包中的信息按事先设定好的条件进行过滤,通过检查数据流中每个IP数据包的源地址、目的地址、所用的端口号、协议状态等因素以及它们的组合来确定是否允许该数据包通过。包过滤器通常安装在路由器上。212 代理服务器型
3 防火墙安全体系结构
实际构筑防火墙一般是综合运用多种策略,
将多个不同的部件组合在一起,每个部件有各自解决问题的重点。防火墙常见的几种安全体系结构有以下几种。311 分组过滤路由器
分组过滤路由器可以是带有数据包过滤功能
代理服务器型防火墙通过在主机上运行代理的服务程序,直接对特定的应用层进行服务,因此
收稿日期:2003-09-01
作者简介:杜文洁(1963-),女,辽宁海城人,沈阳师范大学讲师.
第4期杜文洁等:防火墙技术的一般性设计原则 29
的商用路由器,也可以是基于主机的路由器,这是最基本、最简单的一种防火墙形式,它在被保护网络和Internet之间放置。这种防火墙的好处是完全透明,但由于在单机上实现,形成了网络中的“单失效点”。由于路由器的基本功能是转发分组,一旦过滤机能失效,就会形成网络直通状态,任何非法访问都可以进入内部网络。因此这种防火墙尚不能提供有效的安全功能,仅在早期的In2ternet中应用。312 双宿主机也称双穴防范网关。它不使用分组过滤规则,而是在内部网络和Internet机,用来隔断TCP/IP口连Internet,而内外网络之间不能直接通信。一般在使用时要求用户先注册,再通过双宿主机访问另一边的网络。由于代理服务器简化了用户的访问过程,可以做到对用户透明。313 主机过滤防火墙这种形式的防火墙由过滤路由器和运行网关软件的堡垒主机构成。过滤路由器位于内部网络和Internet之间,提供数据包过滤功能。堡垒主机连接在内部网络上,可完成多种代理,如FTP、Telnet等,还可以完成认证和交互功能,能提供完善的Internet访问控制。这种防火墙主机是网络的单失效点,也是网络黑客集中攻击的目标,安全性能仍不够理想。但这种防火墙投资少,功能容易实现,也便于扩充,因而应用比较广泛。314 子网过滤防火墙该防火墙是在主机过滤结构中再增加一层参数网络的安全机制,并且把堡垒主机放在了内部网络和Internet之间这个附加层称之为周边网。该体系结构有两个过滤路由器,一个位于Inter2net和周边网之间,称为外部路由器;一个位于周边网和内部网之间,称为内部路由器。内、外部路由器分别连接内部网络与外部网络。这种网络防火墙容易配置,也减少了被闯入破坏的机会,是一种比较理想的安全防范模式。315 吊带式防火墙
这种防火墙与被屏蔽子网防火墙结构的区别是作为代理服务器和认证服务器的网关主机位于周边网络中,另外增加了内部过滤路由器保护内
部网络的安全。这样代理服务器和认证服务器是内部网络的第一道防线,内部路由器是内部网络的第二道防线,而把Internet的公共服务(如FTP服务器、Telnet服务器WWW及E2mail服务器等)置于周边网络中,也减少了内部网络的安全风险。
4 防火墙的设计
411 防火墙的安全要求
,形成一个有一。
2)防火墙应能抵抗网络黑客的攻击,并可对网络通信进行监控和审计。
3)防火墙一旦失效、重启动或崩溃,则应完全阻断内外部网络站点的连接,以免非法用户闯入。4)防火墙应提供强认证服务,外部网络站点对内部网络的访问应经过防火墙的检查,包括对网络用户和数据源的认证。
5)防火墙对内部网络应起到屏蔽作用。即隐藏内部网站的地址和网络的拓扑结构。412 防火墙拓扑设计的基本原则
1)决定防火墙的类型和拓扑结构。针对防火墙所保护的系统的安全级别作出定性和定量的评估,从系统的成本、安全保护实现的难易程度来决定防火墙的类型和拓扑结构。
2)制定安全策略。在实现过程中,网络安全的第一条策略是拒绝一切未许可的服务,防火墙封锁所有的信息流,逐一完成每一项许可的服务;第二条策略是允许一切没有被禁止的服务,防火墙转发所有的信息,逐项删除被禁止的服务。在上述策略的指导下,再针对系统制定各项具体策略。
3)确定包过滤规则。一般以处理IP数据包包头信息为基础,包括过滤规则序号、过滤方式、源和目的端口号及协议类型等。它决定算法执行时的顺序,因此正确的排列至关重要。过滤方式包括允许和禁止。
4)设计代理服务。代理服务器接受外部网络节点提出的服务请求,如果服务请求被接受,代理服务器再建立与实服务器的连接。由于它作用于应用层,故可利用各种安全技术,如身份验证、
30 沈阳电力高等专科学校学报2003
日志登录、审计跟踪、密码技术等,用以加强网络
安全性,解决包过滤所不能解决的问题。
5)严格定义功能模块,分散实现。防火墙由各种功能模块组成,如包过滤器、代理服务器、认证服务器、域名服务器、通信监控器等,这些功能模块最好由路由器和单独的主机实现。功能分散减少了实现的难度,增加了可靠程度。
6)防火墙维护和管理方案的考虑。防火墙日常维护是对访问记录进行审计,发现入侵和非法访问情况。据此对防火墙的安全性进行评价,适当时加以改进。管理工作要根据网络拓扑结构件的修改和升级。性能,图1 5 实际应用中的防火墙将多种安全技术(如包
过滤器、路由器、代理服务器、密码技术等)相结合,将各种单一的防火墙相结合,如与子网过滤防火墙结构相结合构造的防火墙,使用两台堡垒主机的参数网络结构等。上海交通大学网络中心设计的防火墙就是一个典型。其结构如图1所示。 这个防火墙由两个包过滤路由器和一个堡垒主机构成,支持应用层和网络层的安全功能。它把代理服务(www、Telnet、FTP和E-mail)
、
、日志登录和审计系统以及加密系
统放在堡垒主机中,并使堡垒主机位于内外部网络之间。其中路由器、堡垒主机和包过滤、代理服务、密码技术、身份认证和日志登录审计系统构成屏蔽子网。参考文献:
[1]TerranceGoan.ACopontheBeat:CollectingandAp2
praisingIntrusionEvidence[J].CommunicationoftheACM,1999,42(7).
[2]李海泉.计算机网络防火墙的体系结构[J].微型机
与应用,2000(3).[3]张 然.防火墙与入侵检测技术[J].计算机应用研
究,2001,18(1).
Thecommondesignprinciplesoffirewall
DUWen2jie1,JIANGYing2
(11VocationalandTechnicalInstitute,ShenyangNormalUniversity,Shenyang110036,China;21ShenyangInstituteofChemicalTechnology,Shenyang110021,China)
Abstract:Firewalltechnologyisoneofthemostefficientnetworksecuritytechnology.Analysesfourtypesoffirewallfromtechnicaldetails,exploresthesecurityframeworkstructure,putsforwardthedesignrequi2sitions,principlesandsecuritypolicyoffirewallaswellasgivestheexamples.Keywords:firewall;networksecurity;frameworkstructure;securitypolicy
(责任编辑 翟 春)