网络边界安全防护.pdfVIP

⽹络边界安全防护

不同的计算机系统通过⽹络联系起来，复杂的⽹络使计算机系统可能受到来⾃⽹络的攻击。为此，需要在⽹络边界处实

施安全保护。从论上说，如果⽹络边界的安全问题可以避免，⽹络安全问题就可以解决。但事实上，要想完全解决安

全问题是不可能的，再好的保护技术也只能降低系统所受攻击的风险。本⽂介绍⼏种常见的⽹络边界防护技术。

⼀、防⽕墙

（⼀）防⽕墙概述

防⽕墙是⼀种重要的⽹络安全设备，是设置在不同⽹络或不同安全域之间的⼀道安全屏障，⽤于⽹络或安全域之间的安

全访问控制。

防⽕墙的⽬的是保证⽹络内部数据流的合法性，防⽌外部⾮法数据流的侵⼊，同时管内部⽹络⽤户访问外部⽹络的权

限，并在此前提下将⽹络中的数据流快速地从⼀条链路转发到另外的链路上。防⽕墙对流经它的数据流进⾏安全访问控

制，只有符合防⽕墙策略的数据才允许通过，不符合策略的数据将被拒绝。防⽕墙可以关闭不使⽤的端⼝，禁⽌指定端

⼝的通信或来⾃指定站点的访问。

防⽕墙主要有以下作⽤：

（）过滤进、出⽹络的数据流；

1

（）管进、出⽹络的访问⾏为；

2

（）记录通过防⽕墙的信息内容和活动；

3

（）对⽹络攻击进⾏检测和报警。

4

防⽕墙通常使⽤的安全控制技术主要是包过滤和应⽤代服务。包过滤技术考虑的是参考模型的⽹络层和传输层的

OSI

数据安全问题，⽽应⽤代技术则是在应⽤层检查数据分组的安全性。包过滤技术根据数据分组的源地址、⽬的地址、

端⼝号和协议类型等标志确定是否允许通过，只有符合过滤条件的数据分组才被转发，其余不符合条件的数据分组则被

丢弃。包过滤技术分为简单包过滤和状态检测包过滤种。

2

简单分组过滤是⼀种简单、有效的安全控制技术。它根据已经定义的过滤规则检查每个数据分组，以便确定该数据分组

是否与某⼀条分组过滤规则匹配。过滤规则是根据数据分组的源地址、⽬的地址、源端⼝、⽬的端⼝和协议类型制

IPIP

定的。如果找到匹配的允许规则，则允许该数据分组通过；如果没有找到匹配的规则或者找到⼀个匹配的拒绝规则，则

丢弃该数据分组。简单包过滤技术的运⾏速度较快，传输性能⾼，但由于安全控制只限于源地址、⽬的地址、源

IPIP

端⼝、⽬的端⼝和协议类型，因此，只能进⾏初级的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等⾼层次的

攻击⼿段则⽆能为⼒。

状态检测包过滤是⽐简单包过滤更为有效的安全控制⽅法。它把进出⽹络的数据流看成是多个会话，利⽤会话表（会话

表是记录允许通过会话的相关信息的状态表）跟踪每⼀个会话的状态。对于新的会话请求，防⽕墙检查第⼀个数据分组

是否符合预先设置的安全规则，允许符合安全规则的数据分组通过并在内存中记录下该数据分组的相关信息，作为⼀个

新的会话插⼊会话表。对于该会话的后续数据分组，只要符合会话状态就允许通过。状态检测包过滤检查数据分组所处

会话的状态，提⾼了完整的对传输层的控制能⼒。这种⽅式的好处在于：由于不需要对每个数据分组进⾏规则检查，⽽

是直接进⾏状态检查，从⽽较⼤提⾼了数据的传输性能；⽽且，由于会话表是动态的，因此，可以有选择地、动态地开

通端⼝，提⾼安全性。

应⽤代技术⼯作在应⽤层，在应⽤层检查数据分组的安全性。应⽤代通常运⾏在个⽹络之间，彻底隔断了两端的

2

直接通信，所有通信都必须经应⽤层的代转发，访问者任何时候都不能与服务器建⽴直接的连接。应⽤代技术是⼀

种透明的代⽅式，它可以对⽹络中任何⼀层的数据通信进⾏筛选保护。这种代⽅式检测能⼒强、安全性⾼，但是处

速度慢，配置起来也⽐较繁琐。

（⼆）防⽕墙典型配置实例

（⼆）防⽕墙典型配置实例

1、访问策略配置实例

访问策略对从特定源发往特定⽬的的数据分组进⾏控制。访问策略的元素如下。

①基本元素：序号（优先级）、名称、描述信息、启⽤状态（启⽤、禁⽤）、产⽣⽇志状态。

匹配条件：源安全域、源⽤户、源、⽬的安全域、⽬的、服