浅析网络信息安全与防火墙技术应用.docVIP

浅析网络信息安全与防火墙技术应用 　　摘要：随着互联网的日益普及，网络安全逐渐成为一个潜在的巨大问题。保障计算机系统的安全，尤其在当今网络互连的环境中，网络安全体系结构的考量和选择显得尤为重要。采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案。 　　关键词：网络安全 信息安全 防火墙 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2013）03-0197-02 　　随着网络技术发展和Internet 的普及，网络信息安全的内涵也就发生了根本的变化。从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 　　在当今网络互连的环境中，网络安全体系结构的考量和选择显得尤为重要.采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案。 　　1 防火墙的定义及分类 　　防火墙是用来对因特网种特定的连接段进行隔离的任何一台设备或一组设备，他们提供单一的控制点，从而允许或禁止在网络中的传输流。通常有两种实现方案，即采用应用网关的应用层防火墙和采用过滤路由器的网络层防火墙。防火墙的结构模型可划分为策略（policy）和控制（control）两部分，前者是指是否赋予服务请求着相应的访问权限，后者对授权访问着的资源存取进行控制。 　　1.1 应用层防火墙（application-layer firewall） 　　应用层防火墙可由下图简单示例： 　　图1 应用层防火墙 　　其中C代表客户；F代表防火墙而居于客户和提供相应服务的服务器S之间[2]。客户首先建立与防火墙间的运输层连接，而不是与服务器建立相应的连接。域名服务器DNS受到客户对服务器S的域名解析请求后，返回给客户一个服务重定向纪录（service redirection record），其中包含有防火墙的IP地址。然后，客户与防火墙进行会话，从而使防火墙能够确定客户的标识，与此同时包含对服务器S的服务请求。接下来防火墙F判断客户C是否被授权访问相应的服务，若结果肯定，防火墙F建立自身同服务器S键的运输层连接，并充当二者间交互的中介。应用层防火墙不同于网络层防火墙之处在于，其可处理和检验任何通过的数据。但必须指出的是，针对不同的应用它并没有一个统一的解决方案，而必须分别编码，这严重制约了它的可用性和通用性。另外，一旦防火墙崩溃，整个应用也将随之崩溃；由于其自身的特殊机制，带来的性能损失要比网络层防火墙要大。 　　1.2 网络层防火墙（IP-layer firewall） 　　网络层防火墙的基本模型为一个多端口的IP层路由器，它对每个IP数据报都运用一系列规则进行匹配运算[3]，借以判断该数据报是否被前传或丢弃，也就是利用数据包头所提供的信息，IP数据报进行过滤（filter）处理。 　　防火墙路由器具有一系列规则（rule），每条规则由分组刻面（packet profile）和动作（action）组成。分组刻面用来描述分组头部某些域的值，主要有源IP地址，目的IP地址，协议号和其他关于源端和目的端的信息。防火墙的高速数据报前传路径（high_speed datagram forwarding path）对每个分组应用相应规则进行分组刻面的匹配。若结果匹配，则执行相应动作。典型的动作包括：前传（forwarding），丢弃（dropping），返回失败信息（sending a failure response）和异常登记（logging for exception tacking）。一般而言，应包含一个缺省的规则，以便当所有规则均不匹配时，能够留一个出口，该规则通常对应一个丢弃动作。 　　1.3 策略控制层 （policy control level） 　　现在引入策略控制层的概念，正是它在防火墙路由器中设置过滤器，以对客户的请求进行认证和权限校验，策略控制层由认证功能和权限校验功能两部分组成。前者用来验证用户的身份，而后者用来判断用户是否具有相应资源的访问权限。 　　图2 策略控制层 　　如上图所示，C为客户，S为服务器，F1、F2为处于其间的两个防火墙。A1和X1分别为认证服务器和权限验证服务器。首先由C向S发送一个数据报开始整个会话过程，客户C使用通常的DNSlookup和网络层路由机制。当分组到达防火墙F1时，F1将会进行一系列上述的匹配。由于该分组不可能与任何可接受的分组刻面匹配，所以返回一个“Authentication Required”的标错信息给C，其中包括F1所信任的认证/权限校验服务器列表。然后客户C根据所返回的标错信息，箱认证服务器A1发出认证请求