网络信息安全与防火墙技术应用之探讨

1、网络信息安全与防火墙技术应用之探讨摘 要：随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。保障计算机系统的安全，尤其在当今网络互连的环境中，网络安全体系结构的考查和选择显得尤为重要。采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案。但是，防火墙技术本身也有缺陷，我们还需要其他的技术来保障网络的安全。加密技术是这些技术中的典型。关键词：

2、网络安全；信息安全；防火墙漏洞；加密技术Abstract: With the development at full speed of Internet, the online security becomes a potential enormous problem gradually. The security of the network is that one involves problem with very extensive surface, among them will involve and form the question of criminal offence to

3、o. In its simplest form, what it cared about mainly is to guarantee that non-personnel can't read, let alone revise the message to other person. Security deal with the capture of legal news and problem of replay, and the question of whether the sender has ever send the news and ensure the securi

4、ty of computer system, especially in the environment of current network interconnection, the examine and choice of the system structure of online security seem particularly important. Adopting the traditional fire wall online security system structure can yet be regarded as a kind of simple and effe

5、ctive choice scheme. However, the technology of fire wall also has defects, we need other technology to ensure the security of the network. The encryption technology are models in the technology.Keywords: Network safety；Information safety；Loophole of fire wall；Encryption technology1引言 21世纪全世界的计算机都将通

6、过Internet 联到一起，网络信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息和网络社会的时候，我国将建立起一套完善的网络安全体系，特别是从政策和法律上建立起有中国特色的网络安全体系。从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。广义地说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容

7、既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。随着网络在社会各方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一项非常复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断的向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。随着网络技术的发展，网络安全也就成为当今网络社会的焦点

8、中的焦点，几乎没有人不在谈论网络上的安全问题，病毒、黑客程序、邮件炸弹、远程侦听等这一切都无不让人胆战心惊。病毒、黑客的猖獗使身处今日网络社会的人们感觉到谈“网”色变，无所适从。但我们必须清楚地认识到，这一切的安全问题我们不可能一下子全部找到解决方案，况且有的是根本无法找到彻底的解决方案，例如病毒程序，由于任何反病毒程序都只能在新病毒发现之后才能开发出来，目前还没有哪一家反病毒软件开发商敢承诺他们的软件能查杀所有已知的和未知的病毒，所以我们不能有等网络安全了再上网的念头，因为或许网络不可能有这么一日，就像“矛”与“盾” ，网络与病毒、黑客永远是一对共存体。在当今网络互连的环境中，网络安全体系结

9、构的考查和选择显得尤为重要。采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案。2防火墙防火墙是用来对因特网这种特定的连接段进行隔离的任何一台设备或一组设备，他们提供单一的控制点，从而允许或禁止在网络中的传输流1。通常有两种实现方案，即采用应用网关的应用层防火墙和采用过滤路由器的网络层防火墙。防火墙的结构模型可划分为策略(policy)和控制(control)两部分，前者是指是否赋予服务请求着相应的访问权限，后者对授权访问着的资源存取进行控制。2.1应用层防火墙（application-layer firewall）应用层防火墙可由下图简单示例： C<->F<-&g

10、t;S图2.1 应用层防火墙其中C代表客户；F代表防火墙而居于客户和提供相应服务的服务器S之间2。客户首先建立与防火墙间的运输层连接，而不是与服务器建立相应的连接。域名服务器DNS受到客户对服务器S的域名解析请求后，返回给客户一个服务重定向纪录(service redirection record)，其中包含有防火墙的IP地址。 然后，客户与防火墙进行会话，从而使防火墙能够确定客户的标识，与此同时包含对服务器S的服务请求。接下来防火墙F判断客户C是否被授权访问相应的服务，若结果肯定，防火墙F建立自身同服务器S键的运输层连接，并充当二者间交互的中介。应用层防火墙不同于网络层防火墙之处在于，其可处

11、理和检验任何通过的数据。但必须指出的是，针对不同的应用它并没有一个统一的解决方案，而必须分别编码，这严重制约了它的可用性和通用性。另外，一旦防火墙崩溃，整个应用也将随之崩溃；由于其自身的特殊机制，带来的性能损失要比接下来介绍的网络层防火墙要大。2.2网络层防火墙（IP layer firewall）网络层防火墙的基本模型为一个多端口的IP层路由器，它对每个IP数据报都运用一系列规则进行匹配运算3，借以判断该数据报是否被前传或丢弃，也就是利用数据包头所提供的信息，IP数据报进行过滤(filter)处理。防火墙路由器具有一系列规则(rule)，每条规则由分组刻面(packet profile)和动

12、作(action)组成。分组刻面用来描述分组头部某些域的值，主要有源IP地址，目的IP地址，协议号和其他关于源端和目的端的信息。防火墙的高速数据报前传路径(high speed datagram forwarding path)对每个分组应用相应规则进行分组刻面的匹配。若结果匹配，则执行相应动作。典型的动作包括：前传(forwarding)，丢弃(dropping)，返回失败信息(sending a failure response)和异常登记(logging for exception tacking)。一般而言，应包含一个缺省的规则，以便当所有规则均不匹配时，能够留一个出口，该规则通常对应

13、一个丢弃动作。2.3策略控制层（policy control level）现在引入策略控制层的概念，正是它在防火墙路由器中设置过滤器，以对客户的请求进行认证和权限校验，策略控制层由认证功能和权限校验功能两部分组成。前者用来验证用户的身份，而后者用来判断用户是否具有相应资源的访问权限。 C<->F1<->F2<->S / _ / / A1 Z1 图2.2 策略控制层如上图所示，C为客户，S为服务器，F1、F2为处于其间的两个防火墙。A1和X1分别为认证服务器和权限验证服务器。 首先由C向S发送一个数据报开始整个会话过程，客户C使用通常的DNSlookup和网络

14、层路由机制。当分组到达防火墙F1时，F1将会进行一系列上述的匹配。由于该分组不可能与任何可接受的分组刻面匹配，所以返回一个“Authentication Required”的标错信息给C，其中包括F1所信任的认证/权限校验服务器列表。然后客户C根据所返回的标错信息，箱认证服务器A1发出认证请求。利用从A1返回的票据，客户C向权限校验服务器Z1发出权限校验请求，其中包括所需的服务和匹配防火墙所需的刻面。Z1随之进行相应的校验操作，若校验结果正确，权限校验服务器Z1知会防火墙F1允许该分组通过。在客户器C的分组通过F1后，在防火墙F2 处还会被拒绝，从而各部分重复上述过程，通过下图可清晰的看到上述

15、过程中各事件的发生和处理。 _ | C | A1 | Z1 | F1 | F2 | S _ | sendpkt | | | | | | to S ->Intercept | | | | | requires | | | | | |authentication | | < - - | | | | |authenticate | | | | |C to A1-> | | | | |Provide | | | | | <-ticket | | | |Request | | | | | |Authorization | | | | | ->is C | | | | | |

16、 Alowed | | | | | | OK -> | | |Resend | | |Set filter | | |first pkt | | | | |to S ->(OK)-> | | . | 图2.3网络防火墙技术是一项安全有效的防范技术，主要功能是控制对内部网络的非法访问。通过监视等措施，限制或更改进出网络的数据流，从而对外屏蔽内部网的拓扑结构，对内屏蔽外部危险站点。防火墙将提供给外部使用的服务器，通过一定技术的设备隔离开来，使这些设备形成一个保护区，即防火区。它隔离内部网与外部网，并提供存取机制与保密服务，使内部网有选择的与外部网进行信息交换；根据需要对内部网络访

17、问的INTERNET进行控制，包括设计流量，访问内容等方面，使内部网络与INTERNET的网络得到隔离，内部网络的IP地址范围就不会受到INTERNET的IP地址的影响，保证了内部网络的独立性和可扩展性。目前的防火墙产品主要有堡垒主机，包过滤路由器，应用层网关（代理服务器）以及电路层网关，屏蔽主机防火墙，双宿主机等类型4。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但防火墙并不是万能的，自身存在缺陷，使它无法避免某些安全风险，而且层出不穷的攻击技术又令防火墙防不胜防。它无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们的带来的威胁，也不能完全防止传送已感染病毒的

18、软件或文件，以及无法防范数据驱动型的攻击。自从1986年美国DIGITAL公司在INTERNET上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。防火墙处于五层网络安全体系中的最底层，属于网络安全技术范畴。在这一层上，企业对安全系统提出的问题是：所有的IP是否都能访问到企业的内部网络系统？如果答案是“是” ，则说明企业内部网还没有在网络层上采取相应的防范措施。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构：（1） 屏蔽路由器：又称包过滤防火墙。（2） 双穴主机：双穴主机是包过滤网关的一种替代。（3） 主

19、机过滤结构：这种结构实际上是包过滤和代理的结合。（4） 屏蔽子网结构：这种防火墙是双穴主机和被屏蔽主机的变形。随着INTERNET在我国的迅速发展，防火墙技术引起了各方面的广泛关注，一方面在对国外信息安全和防火墙技术的发展进行跟踪，另一方面也已经自行开展了一些研究工作。目前使用较多的，是在路由器上采用分组过滤技术提供安全保证，对其他方面的技术尚缺乏深入了解。防火墙技术还处在一个发展阶段，仍有许多问题有待解决。因此，密切关注防火墙的最新发展，对推动INTERNET在我国的健康发展有着重要的意义。根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型、网络地址转换NAT、代理型和监测型

20、。（1）包过滤型包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP5源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于

21、网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的JAVA小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。这种攻击方式主要应用于用IP协议传送的报文中。它仅适用于少数几种平台。所谓IP欺骗，无非就是伪造他人的源IP地址。其实质就是让一台机器来扮演另一台机器，以达到蒙混过关的目的。IP欺骗技术只能实现对某些特定的运行Free TCP/IP5进行攻击。一般来说，任何使用Sun RPC调用的配置、利用IP地址认证的网络服务、MIT的X Window系统、R服务等这些服务易受到IP欺骗攻击。IP欺骗式攻击形式

22、多种多样，从随机扫描到利用系统已知的一些漏洞。IP欺骗攻击通常发生于一台主机被确信在安全性方面存在漏洞之后。此时入侵者已作好了实施一次IP欺骗攻击的准备，他（或她）知道目标网络存在漏洞并且知道该具体攻击哪一台主机。（2）网络地址转化NAT网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网6，还意味着不要为其网络中每一台机器取得注册的IP地址。NAT的工作过程如下：在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网客与外部网络连接，这样

23、对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙7根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。（3）代理型代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者之间的数据交流

24、。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。（4）监测型 监测型防火墙是新一代的产

25、品，这一技术实际上已经超越了最初的防火墙定义。监测型防火墙能够针对各层的数据进行主动的、实时的监测，对这些数据加以分析的基础上，监测型防火墙能够有效的判断出各层的非法侵入。同时，这种监测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其它网络的节点之中，不但能够监测来自网络外部的攻击，同时对来自外部的恶意破坏也有极强的防范作用。根据权威机构统计，在针对网络系统的功击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不但超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。虽然监测型防火墙安全性上已经超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较

26、高，也不易管理，所以目前在实用的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙5。基于系统成本与安全技术成本的综合考虑，用户可以选择性的使用某些监测型技术，这样既能够保证网络系统的安全性需求，同时也能有效的控制安全系统的总拥有成本。（5）防火墙的安全性防火墙产品最难评估的方面是防火墙的安全性能，即防火墙是否能够有效的阻挡外部入侵。这一点同防火墙自身的安全性一样，普通用户通常无法判断。即使安装好了防火墙，如果没有实际的外部入侵，也无法得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的，所以用户在选择防火墙产品时，应该尽量选择占市场份额较大同时又通过了权

27、威认证机构认证测试的产品。3加密技术与防火墙配合使用的安全技术还有数据加密技术，是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一8。随着信息技术的发展， 网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术和物理防范技术的不断发展。按作用不同数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。（1） 数据传输加密技术目的是对传输中的数据流加密，常用的方针有线路加密和端端加密两种。前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地将被自动重组、解密，成为可读数据。（2） 数据存储加密技术目的是防止在存储环节上的数据失密，可分为密文存储和存取控制两种9。前者一般是通过加密算法转换、附加密码、加密模块等方法实现；后者则是对用户资格、权限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。（3） 数据完整性鉴别技术目的是对介入信息的传送、存取、处理的