因特网应用中的防火墙机制.pdfVIP

因特网应用中的防火墙机制 郑枫苏厚勤刘维克 上海市计算技术研究所上海200040 [摘要]本文就因特罔(Internet)互连应用中韵防火墙基本概念、构件和解决方案作了简要介绍 和讨论．根据网络系统的安全要求，给出四种不同构件组成的防火墙实现机制和方案，较为系统地介绍了 目前日趋流行的ProxyServer防火墙代理应用软件，并结合实例给出了一种高安全性防火墙方案的设计 和实现． [主题词] 因特网防火墙ProxyServer 一、网络安全问题的提出 网络安全问题自有网络那天起就存在，只是人们并没有怎么充分重视它。今天，计算 机网络的发展使得计算机应用更加广泛与深入，网络的安全问题也日益明显和复杂。一方 面，由于计算机网络分布范围广，具有开放式的体系结构，提供了资源共享性和系统可扩 充性，使得计算机网络技术已逐步深入到教育、科研、经济、文化与国防等领域，人们对 计算机网络的依赖越来越大；另一方面，网络中的系统也正遭受巨大的威胁，主要表现 在：1．菲授权访问；2．冒充合法用户：3．破坏数据完整性；4．干扰系统正常运行；5．利 用网络传播病毒；6．线路窃听。 Internet作为全球共用范围最大的信息网，其自身协议的开放性极大地方便了各种 计算机入网，但由于在早期网络协议设计上对安全问题的忽略，以及在使用和管理上的 “无政府”状态，逐渐使Internet自身的安全受到困扰，有关它的安全事故屡屡见诸报 端。由于计算机网络犯罪智能化程度高，隐蔽性强，就更具危害性。因此，网络安全问题 的关键在于如何创造出一种安全的环境，对网络上的各种非法行为进行主动防御和有效抑 制，使人们不再担心上网后便有可能蒙受损失或遭受攻击。 随着因特网的商业化，许多公司开始在网上进行商业活动。由于每家公司都有一些不 能被外人知晓的敏感数据。所以网络的安全性就成为他们按入因特网时首先要解决的问题， 是按照Internet超文本／超媒体信息结构建立的，供企业员工充分共享企业信息和应用资 以通过自己的企业内部网向Internes上发布公司的消息，但应保证一般公众不能从外部 的因特网访问这个内部专用网，达到这一目的关键便是“防火墙”(Firewall)技术，以及 与之相配套的身份认证、加密、数字签名和内容检查等措施。 二、防火墙技术 防火墙是非常有效的网络安全模型。在大厦构造中，防火墙被设计用来防止火从大厦 的一部分传播到另一部分。理论上，Internet防火墙服务于类似的目的：它防止来自 Internet的危险传播到内部网络。它主要实现： ·限定人们从一个特别控制的点进入； ·防止侵袭者接近你的其它防御措施； ·限定人们从一个特别控制的点离开。 隔离开。所有来自Internet的传输信息或从内部网络发出的传输信息都要穿过防火墙， 因此防火墙可以分析这些传输信息，以确保它们符合站点设定的安全策略。 为什么要设置防火墙呢?若没有防火墙，子网系统会因为有本质上不安全的服务及来 自外部的窥探或攻击而暴露，网络的安全完全依赖于主机安全。所有主机需要相互合作， 以实现统一的高级别的安全性，而子网越庞大就越难保持所有的主机在同～安全级别上。 防火墙技术为帮助提高所有主机的安全性提供了很多便利： l、防止不安全的服务，防火墙可以过滤本质上不安全的服务，这样只有经选择的协 议才能通过防火墙。比如，防火墙可以禁止象NFs这样的不安全服务进入或离开受保护的 子网，以防止此种服务被外部的攻击者所利用。 2、控制对站点系统的访问，防火墙可以设置某些主机能被外部访问而其它的主机被 隐藏起来不能被访问。比如，除了邮件服务器和信息服务器，其它主机不被外部访问。 3、集中安全性，大多数安全软件可放置在防火墙系统上，而不必分散到主机上。 4、增强保密性，看似寻常的信息可能会包含对黑客有用的线索。一些站点使用防火 墙来阻塞象finger和DNS这样的服务。 5、对网络正常和不当使用的日志记录及统计，如果所有往来于Internet的访问都经 过防火墙，防火墙就能记录访问并提供有关网络使用情况的有价值的统计信息。 6、增强网络访问策略，防火墙对用户和服务提供了访问控制，因而网络访问策略得 到了增强。没有防火墙时，这种策略完全依赖于用户间的合作。一个站点或许可以依赖于 自己用户的合作，但这不可能也不应该依赖于Internet的用