摘 要:簡要介紹了防火牆在企事業上網中的重 要作用,描述了防火牆的工作原理,提出在系統實現的方法和技巧。最後總結出系統設計的 優點和存在的缺點。
關鍵詞:防火牆 INTERNET 網絡 代理服務器
我們認為在未來10年中,通信網絡的改變、擴大和改善對人類生活的
影響將會比自上個世紀以來的通信業任何變化都要深刻。這是一場網絡革命,是一場通信革命。從許多方面看,這場革命才剛剛開始。INTERNET的應用的確給人們生活和工作帶來了許多的便利。但是怎樣實現與INTERNET相聯,怎麼保證自身安全,本文將圍繞防火牆的技術,結合自身的實踐體會,談一點自己初淺的看法。
1.為何要設置安全的防火區域
隨著電子商務、電子政務推出,越來越多網絡需要與INTERNET的聯網。通常需要在網上設置提供公眾服務的主機系統,例如:WEB Server、EMAIL、Server、FTP Server等。但是如果簡單將這些主機只用路由直接聯上INTERNET網絡,無疑是讓“黑客”有機可乘,其可 能會想盡辦法破壞你的主機。
比較合理的做法,是將這些提供給外部使用的服務器通過一定技術和設備隔離開來,讓那些設備形成一個保護區,我們一般稱之為防火區(見圖1)。通過這一手段,將單位內部網絡與Internet隔開。若網絡黑客成功地侵入了防火牆的外部區域,則防火區可以在改擊者及內部系統間,提供另一層額外的保護,所以首先防火區增強了單位網絡的安全性。
其次,通過設立防火區,我們可以有效地對內部網絡訪問INTERNET進行控制,包括統計流量、控制訪問等方面,有效對費用和訪問內容根據需要進行把關。
另外通過防火區,使內部網絡與INTERNET的網段得到隔離,內部網絡的IP地址范圍就不會受到INTERNET的IP地址的影響,保證了內部網絡的獨立性和可擴展性。
由此可見單位在將系統聯上INTERNET時,設置防火區是多麼重要。另外,單位內部還可以進一步設置安全保護區,也就是再設置內部防火區。
2 防火牆的基本原理
計算機網絡系統中將防火區內與INTERNET網絡直接相聯的計算機系統稱為“防火牆”,它能同時連內部網絡和INTERNET網絡兩端。如果要從內部網絡接到INTERNET網絡,就得用telnet等先聯到防火牆,然後從防火牆聯上INTERNET網絡。防火牆的主要作用就是阻止外界直接進 入內部網絡。目前防火牆通常有二種類型,即過濾型和代理型。
過濾型的防火牆是不讓INTERNET網絡某些地址的網站進入你的網絡,實現只有經過過濾防火牆篩選才能訪問內部網絡的功能。這樣除開放一些網絡功能外這種IP過濾防火牆阻擋一切聯網功能。另外一種是代理服務器的情況,用戶可登錄到防火牆,然後進入內部網絡內的任何系統,也就是由防火牆進行網絡聯結。
2.1 IP過濾防火牆
在互聯網這樣的信息包交換網絡上,所有往來的信息都被分割成一定長度的信息包,包中包括發送者的IP地址和接收者的IP地址。包過濾式的防火牆會檢查所有通過信息包裡的IP地址,並按照系統管理員所給定的過濾規則過濾信息包。如果防火牆設定某一IP為危險的話,從這個地址而來的所有信息都會被防火牆屏蔽掉。這種防火牆的用法很多,比如國家有關部門可以通過包過濾防火牆來禁止國內用戶去訪問那些“有問題”的國外站點。
過濾防火牆是絕對性的過濾系統,它阻擋別人進入內部網絡,但也不告訴你何人進入你的公共系統,或何人從內部進入INTERNET網絡。一般這種防火牆的特點非常安全,也不需要用戶名和密碼來登錄。這種防火牆速度快而且易於維護,通常作為第一道防線。包過濾路由器的弊端也是很明顯的,通常它沒有用戶的使用記錄,這就不能從訪問記錄中發現黑客的攻擊記錄,而攻擊一個單純的包過濾式的防火牆對黑客來說是比較容易的,他們在這一方面已積累了大量經驗。“信息包沖擊”是黑客比較常用的一種攻擊手段,黑客們對包過濾式防火牆發出一系列信息包,不過這些包中的IP地址已經被替換掉了,取而代之的是一串順序的IP地址。一旦有一個包通過了防火牆,黑客便可用這IP地址來偽裝發出的信息。
2.2 代理服務器
如果說包過濾只是根據地址進行選擇而對IP包要麼原封不動進行轉發要麼被限制的話,那麼代理服務器完全是對包進行拆封並經過功能分析後重新封裝。最好的例子是在內部網站執行telnet的過程。內部網站先將IP請求包傳輸給代理服務器,然後由服務器剖析後重新產生請求發向目的站點。如果不經過代理服務器,內部網絡的請求根本到不了目的網站,因為這些IP包在代理服務器上是不會自動轉發的。反向的情況也一樣。這樣利用客戶端軟件連接代理服務器後,代理服務器啟動它的客戶端代理軟件,然後傳回數據。由於代理服務器重復所有通訊,因此能夠記錄所有進行的工作。只要配置正確,代理服務器就絕對安全,這是它最可取之處。它阻擋任何人進入,因為沒有直接的IP通路,所有IP都需要進行轉換發送。
可見只要通過設置防火牆,就可允許單位內部員工使用EMAIL,浏覽WWW及文件傳輸,但不允許外界任意訪問公司內部的計算機,你也可以禁止內部不同部門之間互相訪問。
3.防火牆服務器如何設置
一級防火牆是整個內部網絡對外的樞紐,是一定需要設立的。它一邊聯接單位內部網絡,一邊通往防火區網絡。防火區網絡上可擺上單位對外提供服務的主機,例如:WEB Server、EMAIL Server、POP3Server及FTP server等,提供對外的服務。有些人會認為這些服務主機,既然是要給外人使用的,為什麼不直接擺在防火牆外,而要擺在防火牆內接受防火牆的控管呢?其實這個道理很簡單:首先,擺在防火牆內,你可以對任何存取你的服務器的訪客留下記錄,以供日後的追查或統計分析。其次,可增加其安全性,避免黑客對你的服務器的攻擊。防火牆的設定,可保證你的服務器主機只提供它應提供的服務,而阻擋所有不當的存取與連線,避免黑客在你的服務主機上開後門。這就是要開一個防火區網絡來放置 所有對外的服務主機的道理。
單位可根據實際的需要,將某些較重要而有安全顧慮的部門網絡,加上防火牆的配置(見圖1),此即所謂的單位內防火牆(Intranet Firewall)。單位內防火牆的功能與主防火牆類似,但因為其數量可能很多,會分配到各部門的網絡內,因此其管理規則的設定、系統的維護,不應太過困難。 單位希望建置一個安全的網絡環境,除了采用防火牆之外,當然還必須妥善的規劃其架構,擬定其安全政策,最重要的是必須徹底執行其安全政策,而防火牆是落實這些安全政策的必要且重要的工具之一。INTERNET網絡商用化的趨勢愈來愈明顯,單位網絡的安全性規劃更是刻不容緩,一個好的防火牆的規劃必須能充分的配合執行單位所制定的安全政策,再加上安全的建置架構,方能提供單位一個方便而安全的網絡環境。
4.防火牆的選購策略
(1)選配防火牆前,首先要知道防火牆的最基本性能。
防火牆一般應具備如下性能:
①防火牆除包含先進的鑒別措施,還應采用如包過濾技術、加密技術、可信的信息技術等盡量多的技術。同時需要配備身份識別及驗證、信息的保密性保護、信息的完整性校驗、系統的訪問控制機制、授權管理等。
②防火牆過濾語言應該是友好靈活的,同時應具備若干諸如源和目的IP地址、協議類型、源 和目的TCP/UDP端口及入出接口等過濾屬性。
③防火牆應該忠實地支持自己的安全性策略,並能靈活地容納新的服務和機構,改變所需的安全策略。防火牆應包含集中化的SMTP訪問能力,以簡化本地與遠程系統的SMTP連接,實現 本地E-mail集中處理。
④若防火牆需Unix之類的操作系統,該系統的版本安全本身就是一個需要考慮的重要問題,應該作為防火牆的一部分,當用其他安全工具時,要保證防火牆主機的完整性,而且該系統應能整體安裝。防火牆及操作系統應該可更新,並能用簡易的方法解決系統故障等。
(2)選購防火牆前,還應認真制定安全政策,也就是要判定一個周密計劃。安全政策是規定什麼人或什麼事允許連接到哪些人或哪些事。也就是說,事先要考慮把防火牆放在網絡系統的哪一個位置上,才能滿足自己的需求,才能確定欲購的防火牆所能接受的風險水平。
(3)在滿足實用性、安全性的基礎上,還要考慮經濟性。
5.INTERNET聯網應用實例
5.1 系統設計目標
(1)首先建立安裝防火牆使用可編程路由器作為包過濾器,此法是目前用得最普通的網絡互連安全結構。路由器根據源/目的地址或包頭部的信息,有選擇地使數據包通過或阻塞。
(2)其次建立安裝防火牆的基本方法是,把防火牆安裝在一台雙端口的主機系統中,連接內部網絡。而不管是內部網絡還是外部網絡均可訪問這台主機,但外部網絡不能與內部網上的主機直接進行通信。
(3)另外由於計費的需要,防火牆系統對外防火牆,對內審計、計費系統。
實際上防火牆需是集IP流量計費、流量控制、網絡管理、用戶驗證、安全控制於一身的綜合防火牆。本系統的主要功能包括:防止外部攻擊,保護內部網絡、解決網絡邊界的安全問題。通過防火牆隔離內外網絡支持訪問代理功能對IP地址進行訪問控制對端口進行訪問控制對協議進行訪問控制。
5.2 防火區結構構架
我們實際上采用的是在內部網絡與INTERNET接入網之間設立一個防火區。防火區由Cisco 2501路由和E-MAIL服務器、WEB服務器和代理服務器組成,相互之間用HUB相連。允許外部INTERNET用戶作限定的訪問。允許內部網站通過代理服務器對外訪問。
5.2.1 過濾路由器
其中Cisco 2501通過MODEM和DDN專線負責接入CHINANET(163)及CHINAINFO(169國內多媒體信息網),實現與INTERNET連接。其主要用作過濾路由和網絡地址轉換(NAT)。雖然防火區內每個服務器都配有163地址和169地址,但是防火區中的服務器網段上,實際只配置了169地址網段,這樣所有需要訪問上述服務器含163地址(202.96.XX.XX)的IP包都被轉成對應的含169地址(10.103.XX.XX)的IP包。這項任務由路由器2501來完成。這樣處理可以既 不影響速度,也減少了設備,又便於進行管理。
5.2.2 代理服務器
5.2.1.1 配置及主要功能
代理服務器配置為:P11/512M內存/6.4G硬盤4只/3C509網卡2塊/LUNIX操作系統其主要作為內部網絡訪問外界的代理服務器,也是主要的防火牆,一般由其外發的IP包的地址為設置成202.96.XX.5格式,這樣在黑客截走這個包後再企圖對該服務器進行進攻會招致失敗。另外該服務器還作為front page服務器,這樣使得在內部對相同的網站進行訪問時,只要提 供從服務器自身獲取數據即可。這樣可以提高速度降低費用。
5.2.2.2 流量控制
在流量統計方面可以分別按IP地址,按服務類型進行流量統計,可以對國內國外、流入流出進行統計,用戶可以根據情況自定義國內和國外子網段,針對不同的子網段可以有不同的訪問控制和計費標准。流入流量就是由外部網絡到內部子網的流量,流出流量是由內部子網訪問外部網絡的流量。IP防火牆可分別統計從內部子網到國內國外的流量,以及內外子網流入流出的流量。可按流量日志統計管理,支持數據庫,支持統計、計算、查詢和報表,實時監控,顯示網絡的通斷狀態。
防火牆可實時監控網絡狀態,並留有歷史記錄,管理員可以通過圖表查看網絡通斷狀態。管 理員可監控每一個用戶的使用流量並根據需要中止該用戶當月的使用。
5.2.2.3 主要技術
主要技術有IP包過濾、IP計費、IP和MAC地址的對應、RADIUS用戶驗證和授權、主機安全、 地址轉譯。
5.2.3 其他服務器
5.2.3.1 WEB服務器
配置為:P11/256MB內存/6.4GB硬盤2只/3C509網卡1塊/WINDOWS NT其主要用於存放公司主頁等;另外為了訪問安全和提高訪問速度,我們要求另在169系統上 申請一個300MB的存儲空間,主要作為主頁的訪問鏡像。
5.2.3.2 E-MAIL及DNS服務器
配置為:P11/256MB內存/6.4GB硬盤2只/3C509網卡2塊/LUNIX主要外來的電子郵件接收、外出郵件發送和域名轉換。提供SMTP和P0P3功能。
5.3 系統安裝
5.3.1 網絡地址配備
在安裝前首先向電信部門申請DDN專線,同時在申請到20個169的IP地址(10.103.XX .XX)及8個163的IP地址(202.96.XX.XX)。對IP地址進行分配。其中:3個163 IP地址用於線路及路由器,還有5個地址用於服務器。4個169 IP地址用於網絡連接,3個169 IP地址用於線路及路由器。5個169 IP地址用於公有的163地址作對應,即還有4個169的地址保留。
我們的網段分配如下:
路由器、WEB服務器、EMAIL SERVER、代理服務器各分配到1個163地址和169地址,這些設備之間通過同一網段169網段連接。我們為163設置虛擬網段,由路由負責將163網絡地址轉換成169地址。內部網絡的IP地址統一為172.16.XX.XX,為了實現代理服務器、MAIL SERVER等與內部網絡連接,我們給代理服務器和MAIL SERVER各分配了一個內部網絡地址。
5.3.2 系統安裝
a 網絡連接
b 路由及各服務器操作系統安裝調試
c 根據地址分配設置網卡地址,注意代理服務器的169地址應該設置成網關地址(GATEWAY)
d 代理服務器計費軟件和Front Page安裝調試
e WEB服務器調試
f MAIL SERVER域名轉換安裝調試
5.4 防火牆系統的維護原則
防火牆的維護防火牆的管理維護工作,是一項長期、細致的工作。必須經過一定水平的業務培訓,對自己的計算機網絡系統,包括防火牆在內的結構配置要清楚。
實施定期的掃描和檢查,發現系統結構出了問題,能及時排除和恢復。
保證系統監控及防火牆之間的通信線路能夠暢通無阻,以便對安全問題進行報警、修復、處理其他的安裝信息等。
保證整個系統處於優質服務狀態,必須全天候的對主機系統進行監控、管理和維護,達到萬無一失。
6.總結
我們目前設計的系統已經實現了基本安全和日常流量控制,主要包括:
①通過虛擬地址設立,有效控制外來訪問,實現防止外來入侵目的;
②控制雙向信息流向和信息包,並對進出流量進行計算以控制費用;
③通過地址轉換隱藏內部IP地址和實際網絡結構;
④便於提供VPN功能。
目前的系統設計上,不能完全阻擋有經驗的黑客襲擊,特別是內部黑客的襲擊。服務器使用 的是Red Hat的Linux,系統本身不會受到常見病毒的感染,但其不能對病毒進行過濾,工作站受病毒侵襲的可能依然存在。所以今後網絡安全在技術和管理上還有待於進一步發展。
作者單位:浙江大學快威科技產業總公司,310013 杭州
7.參考文獻
1 韋衛等.Internet網絡層安全協議理論研究與實現.計算機學報,1999;22(2):171~176
2 胡道元,那日松.Internet安全及解決方案.金融電子化,1999;2:21~23
3 曾明.代理服務器與Internet訪問管理.計算機通信,1999;2:50~52
——摘自:Linux1001.126.com
