网络信息安全与防火墙技术应用之探讨

1网络信息安全与防火墙技术应用之探讨摘要：随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。保障计算机系统的安全，尤其在当今网络互连的环境中，网络安全体系结构的考查和选择显得尤为重要。采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案。但是，防火墙技术本身也有缺陷，我们还需要其他的技术来保障网络的安全。加密技术是这些技术中的典型。关键词：网络安全；信息安全；防火墙漏洞；加密技术2Abstract:WiththedevelopmentatfullspeedofInternet,theonlinesecuritybecomesapotentialenormousproblemgradually.Thesecurityofthenetworkisthatoneinvolvesproblemwithveryextensivesurface,amongthemwillinvolveandformthequestionofcriminaloffencetoo.Initssimplestform,whatitcaredaboutmainlyistoguaranteethatnon-personnelcan'tread,letalonerevisethemessagetootherperson.Securitydealwiththecaptureoflegalnewsandproblemofreplay,andthequestionofwhetherthesenderhaseversendthenewsandensurethesecurityofcomputersystem,especiallyintheenvironmentofcurrentnetworkinterconnection,theexamineandchoiceofthesystemstructureofonlinesecurityseemparticularlyimportant.Adoptingthetraditionalfirewallonlinesecuritysystemstructurecanyetberegardedasakindofsimpleandeffectivechoicescheme.However,thetechnologyoffirewallalsohasdefects,weneedothertechnologytoensurethesecurityofthenetwork.Theencryptiontechnologyaremodelsinthetechnology.Keywords:Networksafety；Informationsafety；Loopholeoffirewall；Encryptiontechnology31引言21世纪全世界的计算机都将通过Internet联到一起，网络信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息和网络社会的时候，我国将建立起一套完善的网络安全体系，特别是从政策和法律上建立起有中国特色的网络安全体系。从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。广义地说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。随着网络在社会各方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一项非常复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断的向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。随着网络技术的发展，网络安全也就成为当今网络社会的焦点中的焦点，几乎没有人不在谈论网络上的安全问题，病毒、黑客程序、邮件炸弹、远程侦听等这一切都无不让人胆战心惊。病毒、黑客的猖獗使身处今日网络社会的人们感觉到谈“网”色变，无所适从。但我们必须清楚地认识到，这一切的安全问题我们不可能一下子全部找到解决方案，况且有的是根本无法找到彻底的解决方案，例如病毒程序，由于任何反病毒程序都只能在新病毒发现之后才能开发出来，目前还没有哪一家反病毒软件开发商敢承诺他们的软件能查杀所有已知的和未知的病毒，所以我们不能有等网络安全了再上网的念头，因为或许网络不可能有这么一日，就像“矛”与“盾”，网络与病毒、黑客永远是一对共存体。在当今网络互连的环境中，网络安全体系结构的考查和选择显得尤为重要。采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案。2防火墙4防火墙是用来对因特网这种特定的连接段进行隔离的任何一台设备或一组设备，他们提供单一的控制点，从而允许或禁止在网络中的传输流[1]。通常有两种实现方案，即采用应用网关的应用层防火墙和采用过滤路由器的网络层防火墙。防火墙的结构模型可划分为策略(policy)和控制(control)两部分，前者是指是否赋予服务请求着相应的访问权限，后者对授权访问着的资源存取进行控制。2.1应用层防火墙（application-layerfirewall）应用层防火墙可由下图简单示例：C------F------S图2.1应用层防火墙其中C代表客户；F代表防火墙而居于客户和提供相应服务的服务器S之间[2]。客户首先建立与防火墙间的运输层连接，而不是与服务器建立相应的连接。域名服务器DNS受到客户对服务器S的域名解析请求后，返回给客户一个服务重定向纪录(serviceredirectionrecord)，其中包含有防火墙的IP地址。然后，客户与防火墙进行会话，从而使防火墙能够确定客户的标识，与此同时包含对服务器S的服务请求。接下来防火墙F判断客户C是否被授权访问相应的服务，若结果肯定，防火墙F建立自身同服务器S键的运输层连接，并充当二者间交互的中介。应用层防火墙不同于网络层防火墙之处在于，其可处理和检验任何通过的数据。但必须指出的是，针对不同的应用它并没有一个统一的解决方案，而必须分别编码，这严重制约了它的可用性和通用性。另外，一旦防火墙崩溃，整个应用也将随之崩溃；由于其自身的特殊机制，带来的性能损失要比接下来介绍的网络层防火墙要大。2.2网络层防火墙（IPlayerfirewall）网络层防火墙的基本模型为一个多端口的IP层路由器，它对每个IP数据报都运用一系列规则进行匹配运算[3]，借以判断该数据报是否被前传或丢弃，也就是利用数据包头所提供的信息，IP数据报进行过滤(filter)处理。防火墙路由器具有一系列规则(rule)，每条规则由分组刻面(packetprofile)和动作5(action)组成。分组刻面用来描述分组头部某些域的值，主要有源IP地址，目的IP地址，协议号和其他关于源端和目的端的信息。防火墙的高速数据报前传路径(highspeeddatagramforwardingpath)对每个分组应用相应规则进行分组刻面的匹配。若结果匹配，则执行相应动作。典型的动作包括：前传(forwarding)，丢弃(dropping)，返回失败信息(sendingafailureresponse)和异常登记(loggingforexceptiontacking)。一般而言，应包含一个缺省的规则，以便当所有规则均不匹配时，能够留一个出口，该规则通常对应一个丢弃动作。2.3策略控制层（policycontrollevel）现在引入策略控制层的概念，正是它在防火墙路由器中设置过滤器，以对客户的请求进行认证和权限校验，策略控制层由认证功能和权限校验功能两部分组成。前者用来验证用户的身份，而后者用来判断用户是否具有相应资源的访问权限。C----------F1------------F2-------------S\/\_____/\\/A1Z1图2.2策略控制层如上图所示，C为客户，S为服务器，F1、F2为处于其间的两个防火墙。A1和X1分别为认证服务器和权限验证服务器。首先由C向S发送一个数据报开始整个会话过程，客户C使用通常的DNSlookup和网络层路由机制。当分组到达防火墙F1时，F1将会进行一系列上述的匹配。由于该分组不可能与任何可接受的分组刻面匹配，所以返回一个“AuthenticationRequired”的标错信息给C，其中包括F1所信任的认证/权限校验服务器列表。然后客户C根据所返回的标错信息，箱认证服务器A1发出认证请求。利用从A1返回的票据，客户C向权限校验服务器Z1发出权限校验请求，其中包括所需的服务和匹配防火墙所需的刻面。Z1随之进行相应的校验操作，若校验结果正确，权限校验服务器Z1知会防火墙F1允许该分组通过。在客户器C的分组通过F1后，在防火墙F2处还会被拒绝，从而各部分重复上述过程，通过下图可清晰的看到上述过程中各事件的发生和处理。6________________________________________________________|C|A1|Z1|F1|F2|S________________________________________________________|sendpkt||||||toS-----------------------Intercept|||||requires||||||authentication||-----------|||||authenticate|||||CtoA1-------------------|||||Provide|||||-----------ticket||||Request||||||Authorization|||||-----------------isC||||||Alowed||||||OK------|||Resend|||Setfilter|||firstpkt|||||toS--------------------------(OK)-----||…….|图2.3网络防火墙技术是一项安全有效的防范技术，主要功能是控制对内部网络的非法访问。通过监视等措施，限制或更改进出网络的数据流，从而对外屏蔽内部网的拓扑结构，对内屏蔽外部危险站点。防火墙将提供给外部使用的服务器，通过一定技术的设备隔离开来，使这些设备形成一个保护区，即防火区。它隔离内部网与外部网，并提供存取机制与保密服务，使内部网有选择的与外部网进行信息交换；根据需要对内部网络访问的INTERNET进行控制，包括设计流量，访问内容等方面，使内部网络与INTERNET的网络得到隔离，内部网络的IP地址范围就不会受到INTERNET的IP地址的影响，保证了内部网络的独立性和可扩展性。目前的防火墙产品主要有堡垒主机，包过滤路由器，应用层网关（代理服务器）以及7电路层网关，屏蔽主机防火墙，双宿主机等类型[4]。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但防火墙并不是万能的，自身存在缺陷，使它无法避免某些安全风险，而且层出不穷的攻击技术又令防火墙防不胜防。它无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们的带来的威胁，也不能完全防止传送已感染病毒的软件或文件，