网络信息安全与防火墙技术应用之探讨

1、PAGE PAGE 14网络信息安安全与防火火墙技术应应用之探讨讨摘 要：随着互联联网的飞速速发展，网网络安全逐逐渐成为一一个潜在的的巨大问题题。网络安安全性是一一个涉及面面很广泛的的问题，其其中也会涉涉及到是否否构成犯罪罪行为的问问题。在其其最简单的的形式中，它它主要关心心的是确保保无关人员员不能读取取，更不能能修改传送送给其他接接收者的信信息。安全全性也处理理合法消息息被截获和和重播的问问题，以及及发送者是是否曾发送送过该条消消息的问题题。保障计计算机系统统的安全，尤其在当当今网络互互连的环境境中，网络安全全体系结构构的考查和选择显显得尤为重重要。采用用传统的防防火墙网络络安全体系系结构不

2、失失为一种简简单有效的的选择方案案。但是，防防火墙技术术本身也有有缺陷，我我们还需要要其他的技技术来保障障网络的安安全。加密密技术是这这些技术中中的典型。关键词：网网络安全；信息安全；防火墙漏漏洞；加密技术术Abstrract: Withh thee devveloppmentt at fulll speeed oof Innternnet, the onliine ssecurrity becoomes a pootenttial enorrmouss prooblemm graaduallly. The secuurityy of the netwwork is tthat one inv

3、oolvess prooblemm witth veery eextennsivee surrfacee, ammong themm willl innvolvve annd foorm tthe qquesttion of ccrimiinal offeence too. In its simpplestt forrm, wwhat it ccaredd aboout mmainlly iss to guarranteee thhat non-perssonneel caant readd, let alonne reevisee thee messsagee to otheer peers

4、onn. Seecuriity ddeal withh thee cappturee of legaal neews and probblem of rreplaay, aand tthe qquesttion of wwhethher tthe ssendeer haas evver ssend the newss andd ensurre thhe seecuriity oof coomputter ssysteem, eespecciallly inn thee envvironnmentt of currrent netwwork inteerconnnecttion, thee ex

5、aaminee andd chooice of tthe ssysteem sttructture of oonlinne seecuriity sseem partticullarlyy impportaant. Adopptingg thee traaditiionall firre waall oonlinne seecuriity ssysteem sttructture can yet be rregarrded as aa kinnd off simmple and effeectivve chhoicee schheme. Howweverr, thhe teechnoology

6、y of firee walll allso hhas ddefeccts, we nneed otheer teechnoologyy to ensuure tthe ssecurrity of tthe nnetwoork. The encrryptiion ttechnnologgy arre moodelss in the techhnoloogy.Keywoords: Nettworkk saffety；Inforrmatiion ssafetty；Looppholee of firee walll；Encrryptiion tecchnollogy1引言 21世纪全全世界的计计算机

7、都将将通过Innternnet 联联到一起，网网络信息安安全的内涵涵也就发生生了根本的的变化。它它不仅从一一般性的防防卫变成了了一种非常常普通的防防范，而且且还从一种种专门的领领域变成了了无处不在在。当人类类步入211世纪这一一信息和网网络社会的的时候，我我国将建立立起一套完完善的网络络安全体系系，特别是是从政策和和法律上建建立起有中中国特色的的网络安全全体系。从本质上来来讲，网络络安全就是是网络上的的信息安全全，是指网网络系统的的硬件、软软件及其系系统中的数数据受到保保护，不因因偶然的或或者恶意的的原因而遭遭到破坏、更改、泄泄露，系统统连续可靠靠正常地运运行，网络络服务不中中断。广义义地说，

8、凡是是涉及到网网络上信息息的保密性性、完整性性、可用性性、真实性性和可控性性的相关技技术和理论论都是网络络安全所要要研究的领领域。网络络安全涉及及的内容既既有技术方方面的问题题，也有管管理方面的的问题，两两方面相互互补充，缺缺一不可。技术方面面主要侧重重于防范外外部非法用用户的攻击击，管理方方面则侧重重于内部人人为因素的的管理。如如何更有效效地保护重重要的信息息数据、提提高计算机机网络系统统的安全性性已经成为为所有计算算机网络应应用必须考考虑和必须须解决的一一个重要问问题。随着网络在在社会各方方面的延伸伸，进入网网络的手段段也越来越越多，因此此，网络安安全技术是是一项非常常复杂的系系统工程。为

9、此建立立有中国特特色的网络络安全体系系，需要国国家政策和和法规的支支持及集团团联合研究究开发。安安全与反安安全就像矛矛盾的两个个方面，总总是不断的的向上攀升升，所以安安全产业将将来也是一一个随着新新技术发展展而不断发发展的产业业。随着网网络技术的的发展，网网络安全也也就成为当当今网络社社会的焦点点中的焦点点，几乎没没有人不在在谈论网络络上的安全全问题，病病毒、黑客客程序、邮邮件炸弹、远程侦听听等这一切切都无不让让人胆战心心惊。病毒毒、黑客的的猖獗使身身处今日网网络社会的的人们感觉觉到谈“网”色变，无无所适从。但我们必必须清楚地地认识到，这这一切的安安全问题我我们不可能能一下子全部找到到解决方案

10、案，况且有有的是根本本无法找到到彻底的解解决方案，例如病毒程序，由于任何反病毒程序都只能在新病毒发现之后才能开发出来，目前还没有哪一家反病毒软件开发商敢承诺他们的软件能查杀所有已知的和未知的病毒，所以我们不能有等网络安全了再上网的念头，因为或许网络不可能有这么一日，就像“矛”与“盾” ，网络与病毒、黑客永远是一对共存体。在当今网络互连的环境中，网络安全体系结构的考查和选择显得尤为重要。采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案。2防火墙防火墙是用用来对因特特网这种特定的的连接段进进行隔离的的任何一台台设备或一一组设备，他他们提供单单一的控制制点，从而而允许或禁禁止在网络络中的

11、传输输流1。通常有两两种实现方方案，即采采用应用网网关的应用用层防火墙墙和采用过过滤路由器器的网络层层防火墙。防火墙的的结构模型型可划分为为策略(ppoliccy)和控控制(coontrool)两部部分，前者者是指是否否赋予服务务请求着相相应的访问问权限，后者对授授权访问着着的资源存存取进行控控制。2.1应用用层防火墙墙（appplicaationn-layyer ffirewwall）应用层防火火墙可由下下图简单示示例： CFS图2.1 应用层防防火墙其中C代表表客户；FF代表防火火墙而居于于客户和提提供相应服服务的服务务器S之间间2。客户首先先建立与防防火墙间的的运输层连连接，而不不是与服

12、务务器建立相相应的连接接。域名服服务器DNNS受到客客户对服务务器S的域域名解析请请求后，返返回给客户户一个服务务重定向纪纪录(seervicce reedireectioon reecordd)，其中中包含有防防火墙的IIP地址。 然后，客客户与防火火墙进行会会话，从而使防防火墙能够够确定客户户的标识，与与此同时包包含对服务务器S的服服务请求。接下来防防火墙F判判断客户CC是否被授授权访问相相应的服务务，若结果果肯定，防防火墙F建建立自身同同服务器SS键的运输输层连接，并充当二二者间交互互的中介。应用层防防火墙不同同于网络层层防火墙之之处在于，其其可处理和和检验任何何通过的数数据。但必必须指

13、出的的是，针对对不同的应应用它并没没有一个统统一的解决决方案，而而必须分别别编码，这这严重制约约了它的可可用性和通通用性。另另外，一旦旦防火墙崩崩溃，整个应用用也将随之之崩溃；由由于其自身身的特殊机机制，带来来的性能损损失要比接接下来介绍绍的网络层层防火墙要要大。2.2网络络层防火墙墙（IP layeer fiirewaall）网络层防火火墙的基本本模型为一一个多端口口的IP层层路由器，它对每个个IP数据据报都运用用一系列规规则进行匹匹配运算3，借借以判断该该数据报是是否被前传传或丢弃，也就是利用数据包头所提供的信息，IP数据报进行过滤(filter)处理。防火墙路由由器具有一一系列规则则(r

14、ulle)，每条规则则由分组刻刻面(paackett proofilee)和动作作(acttion)组成。分分组刻面用用来描述分分组头部某某些域的值值，主要有源源IP地址址，目的IPP地址，协议号和和其他关于于源端和目目的端的信信息。防火墙的的高速数据据报前传路路径(hiigh speeed daatagrram fforwaardinng paath)对对每个分组组应用相应应规则进行行分组刻面面的匹配。若结果匹匹配，则执行相相应动作。典型的动动作包括：前传(fforwaardinng)，丢弃(ddroppping)，返回失败败信息(ssendiing aa faiiluree resspon

15、sse)和异异常登记(loggging for exceeptioon taackinng)。一一般而言，应包含一一个缺省的的规则，以便当所所有规则均均不匹配时时，能够留一一个出口，该规则通通常对应一一个丢弃动动作。2.3策略略控制层（ppoliccy coontrool leevel）现在引入策策略控制层层的概念，正是它在在防火墙路路由器中设设置过滤器器，以对客户户的请求进进行认证和和权限校验验，策略控制制层由认证证功能和权权限校验功功能两部分分组成。前者用来来验证用户户的身份，而后者用用来判断用用户是否具具有相应资资源的访问问权限。 CF1F2S / _ / / AA1 Z1 图图2.2

16、策略控制制层如上图所示示，C为客户，SS为服务器器，F1、FF2为处于于其间的两两个防火墙墙。A1和和X1分别别为认证服服务器和权权限验证服服务器。 首先由CC向S发送送一个数据据报开始整整个会话过过程，客户C使使用通常的的DNSllookuup和网络络层路由机机制。当分组到到达防火墙墙F1时，F1将会会进行一系系列上述的的匹配。由于该分分组不可能能与任何可可接受的分分组刻面匹匹配，所以返回回一个“Authhentiicatiion RRequiired”的标错信信息给C，其中包括括F1所信信任的认证证/权限校校验服务器器列表。然然后客户CC根据所返返回的标错错信息，箱认证服服务器A11发出认

17、证证请求。利利用从A11返回的票票据，客户C向向权限校验服服务器Z11发出权限限校验请求求，其中包括括所需的服服务和匹配防火墙所所需的刻面面。Z1随随之进行相相应的校验验操作，若校验结结果正确，权限校验验服务器ZZ1知会防防火墙F11允许该分分组通过。在客户器器C的分组组通过F11后，在防火墙墙F2 处处还会被拒拒绝，从而各部部分重复上上述过程，通过下图图可清晰的的看到上述述过程中各各事件的发发生和处理理。 _ | C | A11 | ZZ1 | F11 | F2 | S _ | senddpkt | | | | | | to S Intterceept | | | | | rrequiire

18、s | | | | | |aautheenticcatioon | | | | | | |PProviide | | | | | iss C | | | | | | Aloowed | | | | | | OKK | | |Ressend | | |Set filtter | | |firrst ppkt | | | | |to S (OKK) | | . | 图2.3网络防火墙墙技术是一一项安全有有效的防范范技术，主主要功能是是控制对内内部网络的的非法访问问。通过监监视等措施施，限制或或更改进出出网络的数数据流，从从而对外屏屏蔽内部网网的拓扑结结构，对内内屏蔽外部部危险站点点。防火墙墙将提供

19、给给外部使用用的服务器器，通过一一定技术的的设备隔离离开来，使使这些设备备形成一个个保护区，即即防火区。它隔离内内部网与外外部网，并并提供存取取机制与保保密服务，使使内部网有有选择的与与外部网进进行信息交交换；根据据需要对内内部网络访访问的INNTERNNET进行行控制，包包括设计流流量，访问问内容等方方面，使内内部网络与与INTEERNETT的网络得得到隔离，内内部网络的的IP地址址范围就不不会受到IINTERRNET的的IP地址址的影响，保保证了内部部网络的独独立性和可可扩展性。目前的防火火墙产品主主要有堡垒垒主机，包包过滤路由由器，应用用层网关（代代理服务器器）以及电电路层网关关，屏蔽主

20、主机防火墙墙，双宿主主机等类型型4。虽然防火火墙是目前前保护网络络免遭黑客客袭击的有有效手段，但但防火墙并并不是万能能的，自身身存在缺陷陷，使它无无法避免某某些安全风风险，而且且层出不穷穷的攻击技技术又令防防火墙防不不胜防。它它无法防范范通过防火火墙以外的的其它途径径的攻击，不能防止来自内部变节者和不经心的用户们的带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。自从1986年美国DIGITAL公司在INTERNET上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。防火墙处

21、于于五层网络络安全体系系中的最底底层，属于于网络安全全技术范畴畴。在这一一层上，企企业对安全全系统提出出的问题是是：所有的的IP是否否都能访问问到企业的的内部网络络系统？如果答案案是“是” ，则说明明企业内部部网还没有有在网络层层上采取相相应的防范范措施。用用防火墙来来实现网络络安全必须须考虑防火火墙的网络络拓扑结构构：屏蔽路由器器：又称包包过滤防火火墙。双穴主机：双穴主机机是包过滤滤网关的一一种替代。主机过滤结结构：这种种结构实际际上是包过过滤和代理理的结合。屏蔽子网结结构：这种种防火墙是是双穴主机机和被屏蔽蔽主机的变变形。随着INTTERNEET在我国国的迅速发发展，防火火墙技术引引起了各

22、方方面的广泛泛关注，一一方面在对对国外信息息安全和防防火墙技术术的发展进进行跟踪，另另一方面也也已经自行行开展了一一些研究工工作。目前前使用较多多的，是在在路由器上上采用分组组过滤技术术提供安全全保证，对对其他方面面的技术尚尚缺乏深入入了解。防防火墙技术术还处在一一个发展阶阶段，仍有有许多问题题有待解决决。因此，密密切关注防防火墙的最最新发展，对对推动INNTERNNET在我我国的健康康发展有着着重要的意意义。根据防火墙墙所采用的的技术不同同，我们可可以将它分分为四种基基本类型：包过滤型型、网络地地址转换NATT、代理型型和监测型型。（1）包过过滤型包过滤型产产品是防火火墙的初级级产品，其其技

23、术依据据是网络中中的分包传传输技术。网络上的的数据都是是以“包”为单位进进行传输的的，数据被被分割为一一定大小的的数据包，每每一个数据据包中都会会包含一些些特定信息息，如数据据的源地址址、目标地地址、TCCP/UDDP5源端口和目目标端口等等。防火墙墙通过读取取数据包中中的地址信信息来判断断这些“包”是否来自自可信任的的安全站点点，一旦发发现来自危危险站点的的数据包，防防火墙便会会将这些数数据拒之门门外。系统统管理员也也可以根据据实际情况况灵活制订订判断规则则。包过滤滤技术的优优点是简单单实用，实实现成本较较低，在应应用环境比比较简单的的情况下，能能够以较小小的代价在在一定程度度上保证系系统的

24、安全全。但包过过滤技术的的缺陷也是是明显的。包过滤技技术是一种种完全基于于网络层的的安全技术术，只能根根据数据包包的来源、目标和端端口等网络络信息进行行判断，无无法识别基基于应用层层的恶意侵侵入，如恶恶意的JAAVA小程程序以及电电子邮件中中附带的病病毒。有经经验的黑客客很容易伪伪造IP地地址，骗过过包过滤型型防火墙。这种攻击击方式主要要应用于用用IP协议议传送的报报文中。它它仅适用于于少数几种种平台。所所谓IP欺欺骗，无非非就是伪造造他人的源源IP地址址。其实质质就是让一一台机器来来扮演另一一台机器，以以达到蒙混混过关的目目的。IPP欺骗技术术只能实现现对某些特特定的运行行Freee TCP

25、P/IP5进行行攻击。一一般来说，任任何使用SSun RRPC调用用的配置、利用IPP地址认证证的网络服服务、MIIT的X Winddow系统统、R服务务等这些服服务易受到到IP欺骗骗攻击。IP欺欺骗式攻击击形式多种种多样，从从随机扫描描到利用系系统已知的的一些漏洞洞。IP欺欺骗攻击通通常发生于于一台主机机被确信在在安全性方方面存在漏漏洞之后。此时入侵侵者已作好好了实施一一次IP欺欺骗攻击的的准备，他他（或她）知知道目标网网络存在漏漏洞并且知知道该具体体攻击哪一一台主机。（2）网络络地址转化化NATT网络地址转转换是一种种用于把IIP地址转转换成临时时的、外部部的、注册册的IP地地址标准。它允

26、许具具有私有IIP地址的的内部网络络访问因特特网6，还意味味着不要为为其网络中中每一台机机器取得注注册的IPP地址。NAT的工工作过程如如下：在内部网络络通过安全全网卡访问问外部网络络时，将产产生一个映映射记录。系统将外外出的源地地址和源端端口映射为为一个伪装装的地址和和端口，让让这个伪装装的地址和和端口通过过非安全网网客与外部部网络连接接，这样对对外就隐藏藏了真实的的内部网络络地址。在在外部网络络通过非安安全网卡访访问内部网网络时，它它并不知道道内部网络络的连接情情况，而只只是通过一一个开放的的IP地址址和端口来来请求访问问。OLMM防火墙7根据据预先定义义好的映射射规则来判判断这个访访问是

27、否安安全。当符符合规则时时防火墙认认为访问是是安全的，可可以接受访访问请求，也也可以将连连接请求映映射到不同同的内部计计算机中。当不符合合规则时，防防火墙将屏屏蔽外部的的连接请求求。网络地地址转换的的过程对于于用户来说说是透明的的，不需要要用户进行行设置，用用户只要进进行常规操操作即可。（3）代理理型代理型防火火墙也可以以被称为代代理服务器器，它的安安全性要高高于包过滤滤型产品，并并已经开始始向应用层层发展。代代理服务器器位于客户户机与服务务器之间，完完全阻挡了了二者之间间的数据交交流。从客客户机来看看，代理服服务器相当当于一台真真正的服务务器；而从从服务器来来看，代理理服务器又又是一台真真正

28、的客户户机。当客客户机需要要使用服务务器上的数数据时，首首先将数据据请求发给给代理服务务器，代理理服务器再再根据这一一请求向服服务器索取取数据，然然后再由代代理服务器器将数据传传输给客户户机。由于于外部系统统与服务器器之间没有有直接的数数据通道，外外部的恶意意侵害也就就很难伤害害到企业内内部网络系系统。代理型防火火墙的优点点是安全性性较高，可可以针对应应用层进行行侦测和扫扫描，对付付基于应用用层的侵入入和病毒都都十分有效效。其缺点点是对系统统的整体性性能有较大大的影响，而而且代理服服务器必须须针对客户户机可能产产生的所有有应用类型型逐一进行行设置，大大大增加了了系统管理理的复杂性性。（4）监监

29、测型 监测型防火火墙是新一一代的产品品，这一技技术实际上上已经超越越了最初的的防火墙定定义。监测测型防火墙墙能够针对对各层的数数据进行主主动的、实实时的监测测，对这些数数据加以分分析的基础础上，监测测型防火墙墙能够有效效的判断出出各层的非非法侵入。同时，这种监测测型防火墙墙产品一般般还带有分分布式探测测器，这些些探测器安安置在各种种应用服务务器和其它它网络的节节点之中，不不但能够监监测来自网网络外部的的攻击，同时时对来自外外部的恶意意破坏也有有极强的防防范作用。根据权威威机构统计计，在针对对网络系统统的功击中中，有相当当比例的攻攻击来自网网络内部。因此，监监测型防火火墙不但超超越了传统统防火墙

30、的的定义，而而且在安全全性上也超超越了前两两代产品。虽然监测测型防火墙墙安全性上上已经超越越了包过滤滤型和代理理服务器型型防火墙，但但由于监测测型防火墙墙技术的实实现成本较较高，也不不易管理，所所以目前在在实用的防防火墙产品品仍然以第第二代代理理型产品为为主，但在在某些方面面也已经开开始使用监监测型防火火墙5。基于系统统成本与安安全技术成成本的综合合考虑，用用户可以选选择性的使使用某些监监测型技术术，这样既能能够保证网网络系统的的安全性需需求，同时时也能有效效的控制安安全系统的的总拥有成成本。（5）防火火墙的安全全性防火墙产品品最难评估估的方面是是防火墙的的安全性能能，即防火火墙是否能能够有效

31、的的阻挡外部部入侵。这这一点同防防火墙自身身的安全性性一样，普普通用户通通常无法判判断。即使使安装好了了防火墙，如如果没有实实际的外部部入侵，也也无法得知知产品性能能的优劣。但在实际际应用中检检测安全产产品的性能能是极为危危险的，所所以用户在在选择防火火墙产品时时，应该尽尽量选择占占市场份额额较大同时时又通过了了权威认证证机构认证证测试的产产品。3加密技术术与防火墙配配合使用的的安全技术术还有数据据加密技术术，是为提高高信息系统统及数据的的安全性和和保密性，防止秘密密数据被外外部破析所所采用的主主要技术手手段之一8。随随着信息技技术的发展展， 网络安安全与信息息保密日益益引起人们们的关注。目前

32、各国国除了从法法律上、管理上加加强数据的的安全保护护外，从技术上上分别在软软件和硬件件两方面采采取措施，推动着数数据加密技技术和物理理防范技术术的不断发发展。按作作用不同数数据加密技技术主要分分为数据传传输、数据存储储、数据完整整性的鉴别别以及密钥钥管理技术术四种。（1） 数数据传输加加密技术目的是对传传输中的数数据流加密密，常用的的方针有线线路加密和和端端加密密两种。前前者侧重在在线路上而而不考虑信信源与信宿宿，是对保密密信息通过过各线路采采用不同的的加密密钥钥提供安全全保护。后后者则指信信息由发送送者端自动动加密，并进入TCP/IP数据据包回封，然后作为为不可阅读读和不可识识别的数据据穿过互联联网，当这些信信息一旦到到达目的地地将被自动重组组、解密，成为可读读数据。（2） 数数据存储加加密技术目的是防止止在存储环环节上的数数据失密，可分为密密文存储和和存取控制制两种99。前者者一般是通通过加密算算法转换、附加密码码、加密模模块等方法法实现；后者则是是对用户资资格、权限加以以审查和限限制，防止非法法用户存取取数据或合合法用户越越权存取数数据。（3） 数数据完整性性鉴别技术术目的是对介介入信息的的传送、存取、处处理的人的的身份和相相关数据