摘要:计算机网络技术的迅猛发展,为企业共享全球范围内的信息和资源提供了方便,有效降低了企业的运营成本并改变了传统的工作模式。随着企业内部网络的日益庞大及与外部网络联系的逐渐增多,传统的集中式、静态网络安全体系已经不能满足需要,一个安全可信的企业网络安全系统显得十分重要。为了解决打叶企业在信息化建设中面临的网络信息安全问题,在充分研究网络安全需求的基础上,通过分析现今防火墙技术的分类及各种类型防火墙的优缺点,为企业在构建防火墙时对防火墙的选择与设置问题提出建议。制定相应安全策略,并采用相应的安全技术手段来加以实现。
关键词:网络安全;防火墙;DMZ
中图分类号:TP393.08 文献标识码:A文章编号:1009-3044(2007)12-21564-03
Firewall Technology and Tobacco Processing Factory Network Security
ZHANG Song-lin
(Hefei University of Technology,Hefei 230039,China)
Abstract: Computer Network Technology of the rapid development of enterprises within the scope of the global sharing of information and resources to provide a convenient, effectively reduce the company"s operating costs and to change the traditional work patterns. Along with the internal network and the increasing external networking gradually increased. A safe and reliable enterprise network security system is very important for us. To address enterprises in the development of the information industry is facing network information security issues, the full study of the network security needs on the basis of By analyzing the current classification of firewall technology and the advantages and disadvantages of various types of firewalls, Construction of enterprises in the firewall on the Firewall option and set up to make recommendations and to develop corresponding security strategy. Use corresponding security technology as a means to be achieved.
Key words:network security;firewall;DoS
1 引言
20世纪90年代以来,烟草系统信息进程得到巨大的发展和广泛的应用。计算机应用技术的普及,信息技术的迅猛发展,信息化建设给这个行业带来了新的机遇和挑战。而对于打叶复烤企业来说,由于企业规模较小,计算机应用基础薄弱。随着信息化建设的不断深入,特别是计算机网络技术应用(如企业网络的应用系统,主要有WEB、E-mail、OA系统、MIS系统等)范围越来越广,不可避免的就会带来了网络攻击、内部网络使用混乱、信息盗窃和其它危及企业正常生产及经营活动的行为,从而直接威胁到打叶复烤企业网络与信息方面的安全问题。
2 网络安全
2.1 网络安全的概念
信息技术的使用给人们的生活和工作带来了便捷,然而,计算机信息技术也和其它学科一样是一把双刃剑,当大部分人使用信息技术提高了工作效率,为社会创造更多财富的同时,另外一些人却利用信息技术做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息,篡改和破坏数据,造成难以估量的损失。
网络安全是一个关系到国家安全、社会稳定、民族文化的继承和发扬等重要问题。网络安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科。
计算机网络的安全不是绝对的。安全是有成本的,而且也有时间限制。因此,安全是指化多大成本在多长时间之内可以保证计算机网络安全。安全问题的解决依赖于法律、管理机制和技术保障等多方面相互协调和配合,形成一个完整的安全保障体系。
2.2 网络安全的需求
计算机网络安全是随着计算机网络的发展和广泛应用而产生的,是计算机安全的发展与延伸。可以用系统的观点把计算机网络看成一个扩大了的计算机系统,因此许多关于计算机安全的概念和机制也同样适用于计算机网络。虽然网络安全同单个计算机安全在目标上并没有本质区别,但由于网络环境的复杂性,网络安全比单个计算机安全要复杂得多[1]。
第一,网络资源的共享范围更加宽泛,难以控制。共享既是网络的优点,又是风险的根源,它会导致更多的用户(友好与不友好的)远程访问系统,使数据遭到拦截与破坏,以及对数据、程序和资源的非法访问。
第二网络支持多种操作系统,这使网络系统更为复杂,安全管理和控制更为困难。
第三网络的扩大使网络的边界和网络用户群变得不确定,对用户的管理较计算机单机困难得多。
第四单机的用户可以从自己的计算机中直接获取敏感数据,但网络中用户的文件可能存放在远离自己的服务器上,在文件的传送过程中,可能经过多个主机的转发,因而沿途可能受到多处攻击。
第五由于网络路由选择的不固定性,很难确保网络信息在一条安全通道上传送。
基于以上5个特点的分析可知,保证计算机网络的安全,就是要保护网络信息在存储和传动过程中的保密性、完整性、可用性、可控性和真实性。
(1)数据的保密性
数据的保密性是网络信息不被泄露给非授权的用户和实体,信息只能以允许的方式供授权用户使用的特性。也就是说,保证只有授权用户才可以访问数据,而限制其他人对数据的访问。
(2)数据的完整性
数据的完整性是网络信息未经授权不能进行改变的特性,即网络信息在存储或传送过程中不被偶然或蓄意地删除、修改、伪造、乱序、重放及插入等破坏和丢失的特性。
(3)数据的可用性
数据的可用性是网络信息可被授权实体访问并按需求使用的特性,即需要网络信息服务时允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。影响网络可用性的因素包括人为和非人为两种,前者有非法占用网络资源,切断或阻塞网络通信,通过病毒、蠕虫或者拒绝服务攻击降低网络性能,甚至使网络瘫痪等;后者有灾害事故(水灾、火灾、雷击等)和系统死锁、系统故障等。
(4)数据的可控性
数据的可控性是控制授权范围内的网络信息流向和行为方式的特性,如对信息的访问、传播及内容具有控制能力。
(5)数据的真实性
数据的真实性又称不可抵赖或不可否认性,指在网络信息系统的信息交互过程中参与者的真实同一性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。
2.3 安全攻击的种类和常见形式
对网络信息系统的攻击来自很多方面,这些攻击可以宏观地分为人为攻击和自然灾害攻击。它们都会对通信安全构成威胁,但精心设计的人为攻击威胁更大,也最难防备。对网络信息系统的人为攻击,通常都是通过寻找系统的弱点,以非授权的方式达到破坏、欺骗和窃取数据等目的[2]。
2.3.1 主动攻击
主动攻击涉及某些数据流的篡改或虚假数据流的产生,这些攻击可分为假冒、重放、篡改消息和拒绝服务4类。
(1)假冒:假冒指某个实体(人或系统)假扮另外一个实体,以获取合法用户的权力和特权。
(2)重放:重放即攻击者对截获的某次合法数据进行复制,以后出于非法目的的重新发送,以产生未授权的效果。
(3)篡改消息:篡改消息是指一个合法消息的某些部分被改变、删除,或者消息被延迟或改变顺序,以产生未授权的效果。
(4)拒绝服务:拒绝服务即常说的DoS(Deny of Service),会导致对通信设备的正常使用或管理被无条件地拒绝。通常是对整个网络实施破坏,如大量无用信息将资源(如通信带宽、主机内存)耗尽,以达到降低性能,中断服务的目的。这种攻击可能有一个特定的目标,如到某一特定目的地(如安全审计服务)的所有数据包都被阻止。
2.3.2 被动攻击
被动攻击是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者,但不对数据信息做任何修改。通常包括监听未受保护的通信、流量分析、解密弱加密的数据流、获得认证信息(如密码)等。被动攻击常用的手段有以下几种:
(1)搭线监听:搭线监听是最常用的手段,将导线搭到无人职守的网络传输线上进行监听。
(2) 无线截获:通过高灵敏度的接受装置接受网络节点辐射的电磁波或网络连接设备辐射的电磁波,通过对电磁信号的分析恢复原数据信号,从而获得网络信息。
(3)其它截获:用程序和病毒截获信息是计算机技术发展的新型手段,在通信设备或主机中预留程序代码或施放病毒程序后,这些程序会将有用的信息通过某种方式发送出来。
3 防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全[3]。
从技术上看,防火墙有三种基本类型:包过滤型、代理服务器型和复合型。它们之间各有所长,具体使用哪一种或是否混合使用,要根据具体需求确定[4]。
(1)包过滤型防火墙(Packet Filter Firewall)
通常建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层,基于单个IP包实施网络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与网络管理员预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好,对网络性能影响不大,可以用于禁止外部不合法用户对企业内部网的访问,也可以用来禁止访问某些服务类型,但是不能识别内容有危险的信息包,无法实施对应用级协议的安全处理。
(2)代理服务器型防火墙(Proxy Service Firewall)
通过在计算机或服务器上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用层网关级防火墙。代理服务器型防火墙的核心,是运行于防火墙主机上的代理服务器进程,实质上是为特定网络应用连接企业内部网与Internet的网关。它代理用户完成TCP/IP网络的访问功能,实际上是对电子邮件、FTP、Telnet、WWW等各种不同的应用各提供一个相应的代理。这种技术使得外部网络与内部网络之间需要建立的连接必须通过代理服务器的中间转换,实现了安全的网络访问,并可以实现用户认证、详细日志、审计跟踪和数据加密等功能,实现协议及应用的过滤及会话过程的控制,具有很好的灵活性。代理服务器型防火墙的缺点是可能影响网络的性能,对用户不透明,且对每一种TCP/IP服务都要设计一个代理模块,建立对应的网关,实现起来比较复杂。
(3)复合型防火墙(Hybrid Firewall) [5]
由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙,以提高防火墙的灵活性和安全性。这种结合通常有两种方案:
屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。
屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。
企业在选择防火墙时不仅要考虑防火墙的安全性、实用性、而且还要考虑经济性,防火墙产品的安全性、实用性和经济性是相互制约和平衡的。
4 打叶复烤企业防火墙的设置
必须妥善地规划其架构,拟定其安全政策,最重要的是必须彻底执行其安全政策,而防火墙是落实这些安全政策的重要工具之一。Internet网络商用化的趋势愈来愈明显,企业也不断通过应用网络技术提高生产销售的水平,单位网络的安全性规划更是刻不容缓。一个好防火墙的规划必须能充分配合执行单位所制定的安全政策,再加上安全的建置架构,方能提供单位一个方便而安全的网络环境。
图1以屏蔽子网防火墙为例介绍打叶复烤企业防火墙的设置,一级堡垒防火墙是整个内部网络对外的枢纽,是必需设立的。它一边连接单位内部网络,一边通往外部网络。外部网络上可摆单位对外提供服务的主机,例如:WEBServer、EMAILServer、POP3Server及FTPServer等,提供对外服务。防火墙的设定,可保证服务器主机只提供它应提供的服务,而阻挡所有不当的存取与连线,避免黑客在服务主机上开后门[6]。
打叶复烤企业可根据实际需要,将其他部门的子系统保护在隔断防火墙内,比如生产运行实时控制系统、企业运行管理信息系统、企业营销管理系统、企业多种经营管理系统等。同时可以将某些较重要而有安全顾虑的部门网络,加上防火墙的配置,此即所谓的单位内防火墙(IntranetFirewall)。单位内防火墙的功能与主防火墙类似,但因为其数量可能很多,会分配到电力部门的网络内,因此其管理规则的设定、系统的维护,不应太过于困难。单位希望建置一个安全的网络环境,除了采用防火墙之外,当然还提供单位一个方便而安全的网络环境。
图1 企业屏蔽子网防火墙拓扑图
4 结论
打叶复烤企业所面临的网络安全问题是多种多样的,所以企业设计和部署防火墙也就没有唯一的正确答案。各个机构的网络安全决定可能会受到许多因素的影响,诸如安全策略、职员的技术背景、费用、以及估计可能受到的攻击等。作者认为:企业内部信息网络系统是动态发展变化的,正确的安全策略与选择合适的防火墙产品只是一个良好的开端,它只能解决40%~60%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,所有这些都使打叶复烤企业将要面对网络信息系统安全的挑战。
参考文献:
[1]孙静,曾红卫.网络安全检测与预警[J].计算机工程,2001,(12):109-110.
[2]刘占全.网络管理与防火墙技术[M].人民邮电出版社,2000.
[3]Greg Holden(美).防火墙与网络安全[M]. 清华大学出版社,2004.
[4]郭炎华.网络信息与信息安全探析[J].情报杂志,2001,6.
[5]刘克龙,蒙杨.一种新型的防火墙系统[J].计算机学报,2006,8.
[6]王永滨.Linux防火墙规则的可视化输入与翻译[J].计算机应用研究,2001,(12):107-109.
“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”
