防火墙技术在武警内网中的应用研究分析 计算机科学与技术专业

目录TOC\o"1-3"\h\u9589摘要 113009一、引言 25010二、防火墙体系结构 29924（一）传统式防火墙 274191.筛选路由器 2313262.多宿主主机 2296433.被屏蔽主机 376034.被屏蔽子网 315521（二）分布式防火墙 311349三、武警部队内网信息中的防火墙应用研究 320591（一）武警部队内网信息中防火墙的应用部署 3164981.安全策略 4311412.防火墙应用模式 46091（二）部队防火墙维护 428615（三）武警内网信息VPN技术应用研究 524949四、IPSecVPN应用研究 511448（一）IPSec协议 6637（二）SSLVPN应用研究 6207871.SSL协议 7207192.SSL记录协议 7149323.改变密码规范协议 9327164.握手协议 914364（三）SSLVPN应用分析 103058（四）IPSecVPN与SSLVPN比较 105455五、实施方案 1114598（一）选择VPN应考虑的因素 1125385（二）总队内网信息中的VPN配置 12263281.JuniperNetScreen系统性能分析 12204012.NetScreen200系列具有如下特性 122791五、结论 1317334参考文献 14摘要随着军队网络办公、信息化建设的发展，部队越来越多的单位通过互联网进行日常工作，这给黑客和一些不怀好意的人带来了可乘之机。因此，军队系统迫切需要在自身网络与互联网之间建立起一道信息安全屏障。在众多安全措施中，防火墙是最为有效的一种。防火墙技术作为构筑网络安全的第一道防线，能有效监控内部网和互联网之间的活动。防火墙不仅将大量的恶意攻击直接阻挡在外面,同时也屏蔽来自网络内部的不良行为，使其不能把某些保密信息散播到外部的公共网络上去。本文通过理论分析和实际的应用研究工作，对如何应用防火墙技术构建科学高效的武警部队内网信息信息安全保障体系进行了较深入的探讨，规范了总队级内网信息络中防火墙的实施应用程序，对提高部队民用工程信息网络的安全性和强健性有着积极的指导意义，具有较强的工程性和实践性应用价值。关键词：防火墙；武警部队；内网一、引言目前国内外很多网络安全公司都有自己的防火墙系统，其性能和价格的差异很大，在功能上的区别却基本相同。如何选购适合自身实用价值的防火墙、如何正确使用好防火墙，从而更好地保护好我们的网络是我们当前应该首先考虑的问题。但是防火墙是死的，影响网络安全的问题却是在不断的变化的，如何能够用防火墙真正合理的解决网络安全问题，不单是一个系统的简单选择问题，同时也是一个如何正确发挥系统功能的问题，从而以适应不断变化的网络安全问题，切实有效的提高武警部队各总队在充分利用互联网实现远程网络办公条件下的网络安全性。这就需要我们在防火墙的使用上多动动脑筋，把防火墙的功能最大限度的发挥岀来。二、防火墙体系结构（一）传统式防火墙传统防火墙的体系结构包括以下四种基本形式。1.筛选路由器筛选路由器(ScreeningR。uter)又称包过滤防火墙(PacketFilter)或筛选过滤器(ScreeningFilter)□它一般作用在网络层(IP层)，故也称网络层防火墙(Netw。rkLevelFirewall)或IP过滤器(IPFilter)。它对进出内部网络的所有信息进行分析，并按照一定的安全策略(信息过滤规则)对进出内部网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础，比如IP数据包源地址、IP数据包目的地址、封装协议类型(TCP、UDP、ICMP等)、TCP/IP源端口号、TCP/IP目的端口号、ICMP报文类型等。2.多宿主主机双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信，但内外网络之间不可直接通信,内外部网路之间的IP数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。3.被屏蔽主机被屏蔽主机中提供安全保护的主机仅仅与内部网相连。另外，被屏蔽主机结构还有一台单独的过滤路由器。这台路由器的意义就在于强迫所有到达路由器的数据包被发送到被屏蔽主机。4.被屏蔽子网在被屏蔽主机结构中，堡垒主机最容易受到攻击。而且内部网对堡垒主机是完全公开的，入侵者只要破坏了这一层的保护，那么入侵也就大功告成了。被屏蔽子网结构就是在被屏蔽主机结构中再增加一台路由器的安全机制，这台路由器的意义就在于它能够在内部网和外部网之间构筑出一个安全子网，又称为非军事区(DMZ),从而使得内部网与外部网之间有两层隔断。用子网来隔离堡垒主机与内部网，就能减轻入侵者冲开堡垒主机后而给内部网带来的冲击力。（二）分布式防火墙1999年，Bell。vin提出了分布式防火墙(DistributedFireWall,DFW)的概念，并给出了分布式防火墙的基本框架模型。分布式防火墙基于传统防火墙技术，集中管理、分布防御，即集中制定安全策略，由分布于网络中的各个防火墙实施策略。DFW内外皆防，可以提供细粒度的网络安全保护，已成为防火墙技术发展的一个重要方向网。分布式防火墙，可以分为狭义分布式防火墙和广义分布式防火墙两种。狭义DFW即是分布式的主机防火墙，安全策略的执行主体是主机防火墙。广义DFW是分布式的主机防火墙、边界防火墙。在集中的管理下，主机和边界防火墙均作为安全策略的执行主体。两种类型的DFW最大的差别就是是否使用边界防火墙作为执行主体。狭义DFW相较广义DFW,其长处是由于挨弃了边界防火墙，该体系结构完全不依赖于网络拓扑。三、武警部队内网信息中的防火墙应用研究（一）武警部队内网信息中防火墙的应用部署目前，防火墙系统是部队内网信息抵御外部非法攻击的第一道重要防线，因此制定一个适宜的防火墙应用方案就成了保护部队网络安全的重中之重了。1.安全策略防火墙并不是独立的，它是机构总体安全策略的一部分。机构总体安全策略定义了安全防御的方方面面，安全策略必须建立在精心进行的安全分析、风险评估以及部队需求分析基础之上。如果机构没有详尽的安全策略，则无论如何精心构建的防火墙都会被绕过去，使整个内部网络暴露在攻击下。安全策略的制订必须是切合实际的，能够满足整个网络系统安全保密的水平。网络安全措施必须考虑，也必须要满足，但理想的100%的安全技术是很难实现的，几乎可以说是不可能存在的。所以，目标应当是尽量减少要付出的代价，把可能遭受的风险水平降到可以接受的程度。2.防火墙应用模式防火墙的设计原则分为以下两种：（1）一切未被允许的就是禁止的基于该原则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这是一种非常实用的方法，可以造成一种十分安全的环境，因为只有经过仔细挑选的服务才被允许使用。其弊端是，安全性高于用户使用的方便性，用户所能使用的服务范围受到限制。（2）一切未被禁止的就是允许的基于该原则，防火墙应转发所有信息流，然后逐项屏蔽可能有害的服务。这种方法构筑一种更为灵活的应用环境，可为用户提供更多的服务。其弊端是，在日益增多的网络服务前，网管人员往往疲于奔命，特别是受保护的网络范围越来越大时，对其的监控也会变得越来越难，因而很难提供可靠的安全防护。如果防火墙采取第一种设计原则，就需要确定所有可以被提供的服务以及它们的安全特性。然后开放这些服务，并将其它所有未被列入的服务排斥在外并禁止访问。如果防火墙釆用第二种设计原则，则正好相反，需要确定那些被认为是不安全的服务，禁止其访问。而除这些服务之外的则被认为是安全的，允许访问。（二）部队防火墙维护部队在建设好防火墙系统后，千万不能认为从此可以一劳永逸，高枕无忧了。我们必须意识到，在防火墙系统安装配置完成后，使它正常运转还需要做大量的管理维护工作，并且这是一项长期、细致的工作。只有有效地维护一个防火墙，才能使它有效地工作。一个维护不当的防火墙可能会给人一种安全的假象，而实际上却存在着很多安全漏洞。安全策略应清楚地反映有效进行防火墙维护的重要性。事实上，如果防火墙被突破，一个管理不善的站点会倍受侵扰并遭受更严重的损失。防火墙系统的存在并不意味着可以减少对高素质管理的需求。防火墙可以让一个站点在系统维护上处于主动的位置，因为防火墙提供了一种屏障，所以人们就可以在系统维护上花更多的时间，而不是把大部分时间花在事故的处理上。由于部队目前网络安全专业人才缺乏，部队官兵网络安全意识淡薄，加之部队施工任务繁重，人手紧张，导致网络管理员经常不能专职专用，部分人员一身兼多职，导致防火墙系统的管理和维护经常流于形式，网管人员常常不能及时发现防火墙系统中出现的漏洞，从而给部队内网信息造成一定的安全隐患。这就要求部队的管理上应给予防火墙维护足够的支持，如专职的网络管理人员、资金和其它必要的资源。（三）武警内网信息VPN技术应用研究VPN是一种通过公用网络安全地对内部专用网络进行远程访问的连接方式，实现不同网络的组件和资源之间的相互连接。它能够利用Internet或其他公共互联网络的基础设施为用户创建隧道，采用高强度的认证、加密算法以保证传输数据的完整性和私密性，提供与专用网络一样的安全和功能保障。VPN釆用多种安全协议，最为典型的包括PPTP（点对点隧道协议）、L2TP（第2层隧道协议）、IPSec（IP安全协议），MPLSVPN（多协议标记交换）、SSLVPN（安全套接层）协议。其中IPSec属于第三层隧道协议，L2TP、PPTP属于第二层隧道协议，SSL介于第四层和第七层之间。基于PPTP和L2TP协议的VPN一般应用于移动用户的拨号访问网。基于IPSec协议的VPN广泛应用于对机密性要求较高的场合，通常应用于总部和分支机构（或者移动用户）之间。目前IPSec已完成了标准化的工作，系统也相对比较成熟。SSLVPN尚未形成统一的标准，各个厂商的系统因设计思路和实现方式上的不同，也有较大的差异。但大多也是基于代理或者基于插件来实现。其中，IPSecVPN和SSLVPN是目前应用较广泛的两种VPN技术。四、IPSecVPN应用研究IPSecVPN是基于IPSec协议建立的虚拟专用网络。IPSec是一组开放的网络安装协议的总称。在IP层提供访问控制和无连接的完整性、防重放性、数据来源验证、加密以及数据流分类加密等服务。这样不仅极大地降低了企业用于网络建设的费用，也提高了网络的安全性。（一）IPSec协议进行IPSec处理意味着对IP数据包进行加密和认证。只有在对IP数据包实施了加密和认证后，才能保证外部网络传输数据包的机密性、真实性和完整性。IPSec是一种具有互操作性、高质量、基于加密的、适用于Ipv4和Ipv6的规范。IPSec能够对数据的存取控制、保密性、完整性和可用性提供保证，并能够防止重放攻击。IPSec可应用在IP层（对IP包进行封装）或在IP层与数据链路层之间或在物理线路上。进行IPSec处理意味着对IP数据包进行加密和认证。只有在对IP数据包实施了加密和认证后，才能保证在外部网络传输的数据包的保密性、完整性，通过Internet进行安全的通信才成为可能。无论是加密还是认证IPSec都有两种工作模式：隧道模式和传输模式。传输模式只对IP包的有效负载进行加密或认证，而隧道模式则对整个IP数据包进行加密或认证。IPSec支持广泛的组网方式，提供对远程访问用户的支持，还可以和L2TP、GRE等隧道协议一起使用，为用户提供更大的灵活性和可靠性。IPSec协议通过AH和ESP协议对传输的数据提供完整性认证和加密的安全服务。在IPSec传送加密数据之前，IPSec通讯的双方需要配置相匹配的用于安全通讯的参数，如加密算法及密钥等。IPSec提供以下几种安全服务，用于对IP协议或上层协议提供保护。（1）数据源认证：确保接收到的数据分组的发送者为实际的发送者；（2）数据完整性：确保数据分组在传输过程中未被非法篡改；（3）防重传保护：防止数据分组被假冒者重传；（4）信息保密：确保数据分组在传输过程中不被偷看；（5）有限的流量保密：隐藏通信双方的通信行为及数据流量；（6）不可否认服务：确保发送方和接收方事后不能否认自己的行为。IPSec包括AH（Authenticati。nHeader,验证头）、ESP（EncapsulatingSecurityPayl。ad,封装安全载荷）、SA（SecurityAss。ciate,安全关联）和IKE（InternetKeyEnchange,互联网密钥交换）协议。（二）SSLVPN应用研究1.SSL协议SSL（SecurityS。cketLayer,安全套接层）协议主要是网景（Netscape）公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议（如HTTP、TELNET.NMTP、FTP）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSL协议采用2层协议体系结构，包括2个子协议（见图4-1）。第一是SSL记录协议，规定了数据传输格式。第二是SSL握手协议，包括改变密码规范协议和告警协议）。从而使得服务器和客户能够相互认证对方的身份，协商加密和MAC算法以及用来保护SSL记录中发送数据的加密密钥。SSL的2个重要概念是SSL会话和SSL连接。会话是指客户机和服务器之间的关联，由握手协议创建。定义一组可以被多个连接共用的密码安全参数，每个连接可以利用会话来避免对新的安全参数进行代价昂贵的协商。每个连接都和一个会话相关，需要维持独立的读和写状态：当客户机或者服务器接收到改变码规范消息时，它就会拷贝未决读状态为当前读状态；当客户机或者服务器发送一条改变密码规范消息时，它就会拷贝未决写状态为当前写状态。当握手协商完成时,客户机和服务器交换改变密码规范消息，然后它们之间的后续通信采用新近达成的密码规范进行处理。图4-1SSL纪录协议组成结构图2.SSL记录协议SSL协议的底层是记录协议层，在客户机和服务器之间传输应用数据和SSL控制数据，有可能对数据进行分段或者组合，最多能够传送16384个字节的数据块。SSL记录协议的操作过程如图4-2。第一步：分段。每一个高层消息都要分段，使其长度不超过214字节。第二步：可选择是否进行压缩。没有指定压缩算法，压缩必须是无损的，而且不会增加1024字节以上长度的内容。对于非常短的数据块可能压缩算法的输出长于输入。第三步：给压缩后的数据计算消息验证码。MAC使用下面公式进行计算：hash(MAC_write_secret+pad_2+hash(MAC_write_secret+pad_l+seq_num+SSLC。mpressed.type+SSLC。mpressed.length+SSLC。mpressed.fragment))其中MAC_write_secret为客户、服务器共享的秘密；pad_l为字符0x36重复48次(MD5)或40次(SHA)；pad_2为字符0x5c重复48次(MD5)或40次(SHA)；seq_num为消息序列号；hash为哈希算法；SSLC。mpressed,type为处理分段的高层协议类型；SSLC。mpressed.length为压缩分段的长度；SSLC。mpressed.fragment为压缩分段(没有压缩时，就是明文分段)。第四步：使用对称加密算法给添加了MAC的压缩消息加密。而且加密不能使长度超过1024字节，因此总长度不能超过214+2048个字节。第五步：添加报头。应用数据分段/组合压缩计算MAC加密附加SS记录协议头。图4-2SSL纪录协议流程图3.改变密码规范协议协议由单个字节消息组成，如图6-6所示（由SSL记录头格式的内容类型字段确定）。协议用于从一种加密算法转变为另外一种加密算法。通常在SSL握手协议结束时改变，也可以在任何时候被改变。4.握手协议握手协议是SSL中最复杂的部分。该协议允许服务器和客户机相互验证，协商加密和MAC算法及秘密密钥，用来保护在SSL记录中传送的数据。握手协议是在应用程序传输之前使用的，由一系列客户机和服务器的交换消息来实现。第一步：客户和服务器交换Hell。消息。双方还要产生一些随机数，并在Hell。消息中交换。客户端和服务器选择它们都支持的某个密码组。SSL3.0协议规范定义了31种密码组。包含下列部件：(1)密钥交换方法(KeyExchangeMeth。d)；(2)数据传输加密算法(Cipherf。rDataTransfer)；(3)计算消息认证码的消息摘要方法(MessageDigestf。rCreatingtheMAC)。第二步：实际的密钥交换过程，由ServerCertificate消息、ServerKeyExchange消息、ClientCertificate消息、ClientKeyExchange消息四条消息来实现。如果某个客户发送了一个具有签名能力的证书(如RSA证书)，则可以明确发第送一条证书确认消息来验证(由两部分消息认证码组成):用MD5算法(CertificateVerify.signature.md5_hash):MD5(master_secret+pad_2+MD5(handshake_messages+master_secret+pad_l))；用SHA算法进行计算(Certificate.signature.sha_hash):SHA(master_secret+pad_2+SHA(handshake_messages+master_secret+pad_l))；其中pad_l和pad_2同早先的MAC定义相同，handshake_message指从client_hell。消息以后的所有发送和接收的handshakepr。t。c。l消息，但不包括此证书验证消息。然后用用户私钥进行加密，从而验证客户机私钥的所有权。第三步：客户机发送change_cipher_spec消息，并改变自身状态，后续消息都将使用新的密码组规范进行操作。然后客户机马上用新密码组规范发送finished消息。服务器发送自身的change_cipher_spec消息，拷贝未决状态密码组到当前密码组，并发送finished消息。此时，客户机和服务器处于同步状态，完成整个握手过程，即可开始交换应用层的数据。SSL握手协议、SSL改变密码规范协议、SSL告警协议以及应用层协议的数据都被封装进入SSL记录协议。封装后的协议作为数据被发送到更低层协议进行处理。（三）SSLVPN应用分析SSLVPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSecVPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN,这是因为SSL内嵌在浏览器中，它不需要象传统IPSecVPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器(包括家用机、工作机和客户机等等)需要与公司机密信息相连接的用户至关重要。人们普遍认为它将成为安全远程访问的新生代。SSLVPN在实际应用中就是要依据安全控制策略为分散移动用户提供从外网访问企业内网资源的安全访问通道。通常企业内部的资源服务器向外网用户提供一个虚拟的URL地址，当用户从外网访问企业内网资源时,发起的连接被SSLVPN网关取得，通过认证后映射到不同的应用服务器。采用这种方式能够屏蔽内部网络的结构，不易遭受来自外部的攻击。下面是SSLVPN的一个完整的应用过程。（1）用户首先请求同SSLVPN连接并输入用户名、密码或者证书；（2）企业的后台身份认证服务器将检验用户提供的证书；（3）此后含有用户可访问资源列表的页面将返回给用户，通过该页面用户可访问这些资源；（5）用户点击页面上的链接以访问这些资源；（6）SSLVPN代理用户发来的请求，将这些请求进行URL翻译和协议翻译(如HTTPS到HTTP的翻译)，并发给后台相应的资源服务器。（四）IPSecVPN与SSLVPN比较表4-3为IPSecVPN与SSLVPN这两种VPN应用方面的比较。表4-3IPSecVPN与SSLVPN的比较IPSecVPNSSLVPN网关间的tunnel是否支持所有的IP应用程序是否应用程序级的访问控制否是无需安装客户端软件否是从任何计算机实现访问否是SSLVPN的诞生，成为IPSecVPN的有利的互补。已经有厂商将SSLVPN和IPSecVPN集成到一个硬件里面(如NetScreen200系列防火墙),以增加系统的适应能力。政府、金融行业、能源部门在VPN的使用上相对比较早，一些大中型企业也巳采用VPN,还有更多的企业尚未釆用，随着电子政务、电子商务、网上银行、网上办公的发展，VPN的市场需求量会大幅度增加，未来中国的VPN技术发展更加具多样性、灵活性，技术服务与需求趋向紧密结合。五、实施方案（一）选择VPN应考虑的因素（1）安全性。由于VPN运行的环境基础是Internet,所有的数据都必须经过Internet进行传输与交换，而这些数据有的是私密性质的，必须保证没有获得授权的用户无法接入VPN网络。VPN网络的安全性应从数据传输的安全、用户接入的安全、对内网资源的访问安全等三个方面考虑。（2）稳定性。不同VPN系统的稳定性是千差万别的。越稳定的系统，整体的成本一般是越高的。高端的专用VPN硬件，由于其采用高性能的硬件架构、专用的VPN软件，具备非常高的稳定性。而一些低端的VPN系统，本身就釆用了廉价的硬件，往往又集成了除VPN之外的多种业务，因而难以保障高的稳定性的要求。所以，VPN系统的稳定性必须是满足用户的应用需要，而不能岀现经常性的网络中高速性。现有的宽带网络已远远超过过去的窄带网络，但用户对带宽的要求是无止境的。另外，由于VPN网络承载的是单位的内部应用，习惯了局域网的10M/100M速度的用户，对速度的要求也非常髙，应用的速度也会极大的影响单位的效率。（3）髙性能和高服务质量。VPN系统的性能不但影响到速度，也会影响到本身所能容纳的计算机和网络容量，如同时建立VPN隧道数量、同时接入VPN用户数量等等。（4）易管理性和可扩展性。与普通的IT设施系统相比较，由于VPN的用处就是解决异地网络的互联互通问题，所以VPN系统可能会分布在不同的地域。因此，对整个VPN网络进行有效的管理、维护和监控，是构建VPN网络要考虑的非常重要的因素。VPN网络的扩展性要求VPN系统能对各种新型的Internet接入方式保证同步支持。（二）总队内网信息中的VPN配置1.JuniperNetScreen系统性能分析NetScreen200系列是当今最通用的系统，可以轻松整合到不同的环境，其中包括大型至中型企业的办公室、电子商务网站、数据中心以及电信运营基础设施。NetScreen200系列配备四到八个自适应10/100Base-T以太网端口，提供接近线速的防火墙功能(NetScreen208为550Mbps,而NetScreen204为400Mbps)。即使在3DES加密的严苛应用上亦能提供高于200Mbps的速率性能。2.NetScreen200系列具有如下特性（1）多个接口，以便灵活部署：NetScreen200系列支持四个(NetScreen204)到八个(NetScreen208)10/100M自适应以太网接口，适用于网络的要求，不仅局限其网络内部，而且可提供更进一步的高阶安全保障。利用多个接口，网络可被划分成多个分区，更有效的防止重要的企业资源受到威胁。（2）所有接口皆具防火墙防御功能：所有接口都支持防火墙拒绝服务和攻击的防御功能，保证不受内部和外来的威胁。每个接口均可配置多达28个的攻击防御，为现今的网络带来更多的灵活性和安全性。（3）所有的接口皆有VPN通道：NetScreen200系列可以在任何一个接口上发起或终止IPSecVPN通道，允许更高级VPN的部署。这一特性的应用是在无线局域网上，加密功能可以透过在内部接口上的VPN通道，从而保护无线网路中的内部通讯。结合防火墙和用户认证功能，可以在非法访问时安全锁定网络，及为无线传输进行加密，确保私密性。（4）集中星型VPN（Hub-and-Sp。ke）的中心站点：NetScreen200系列最适合部署于集中星型VPN网络的中央站点。用户不需要为每个远程站点之间建立VPN通道，而是只在中央站点间建立一个VPN通道，让中央站点把网络流量引导到正确的远程站点。NetScreen200具有高度VPN容量和处理性能，可以更容易实现上述功能。（5）高可靠性（设备的冗余性HA）:NetScreen200系列支持高可靠性（HA）,维护所有会话的同步，包括IPSec安全联盟（SAs）。由于所有会话和IPSecSA都在设备之间被保存和维护，