Internet防火墙技术及安全策略

Internet防火墙技术及安全策略

摘要：

　　本文讨论了当前常见的各种防火墙技术的特点，及其适用范围；然后讨论了防火墙设置安全策略，及这些策略的优缺点。

　　当一个机构将其内部网络与Internet连接之后，私有网的内部数据和网络设施暴露给Internet上的黑客时，网络管理员越来越关心网络的安全。为了提供所需级别的保护，机构需要有安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部信息。即使一个机构没有连接到Internet上，它也需要建立内部的安全策略来管理用户对部分网络的访问并对敏感或秘密数据提供保护。

1.Internet防火墙

Internet防火墙是这样的系统（或一组系统），它能增强机构内部网络的安全性。防火墙系统决定了那些内部服务可以被外界访问；外界的那些人可以访问内部的那些可以访问的服务，以及那些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙，接受防火墙的检查（图1）。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。但不幸的是，防火墙系统一旦被攻击者突破或迂回，就不能提供任何的保护了。
　
图1安全策略建立的防御范围

　　应给予特别注意的是，Internet防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。这种安全策略应包括在出版的安全指南中，告诉用户们他们应有的责任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

2.Internet防火墙技术

　　防火墙有两种：一种是硬件的，一种软件的。

2.1代理技术

　　可以采用软件方式保护内部网络不受外来用户的攻击。在Web主机上或单独一台计算机上运行一类软件，监测、侦听来自网络上的信息，对访问内部网的数据起到过滤作用，从而保护内部网免受破坏。这类软件中，最常用的是代理服务器软件。

　　在代理方式下，私有网络的数据包从来不能直接进入互联网，而是需要经过代理的处理。同样，外部网的数据也不能直接进入私有网，而是要经过代理处理以后才能到达私有网，因此在代理上就可以进行访问控制，地址转换等功能。下图是是用代理服务器的工作示意图：

　　代理服务器的配置有多种方式，最常用的方式是在一台计算机中使用两块网络接口卡（NIC），一个与内部网相连，一个与INTERNET相连，两个接口卡具有不同的IP地址。其中与INTERNET相连的接口卡IP地址必须是有效的IP地址，在INTERNET上唯一。与内部网相连的接口卡可以分配一个自由的IP地址，如10.x.y.z，192.168.x.y，如图：

　　之后，根据代理服务器的内部地址（如192.168.0.1）给局域网的每台计算机分配一个唯一的IP地址，如192.168.0.2，192.168.0.3，……,并做相应的设置。这样，当用户访问Internet时，其请求就被送到192.168.0.1网卡上，代理服务器将以有效的IP地址210.44.64.101向INTERNET请求服务，收到回答后再传给192.168.0.1，然后将结果传送到用户工作站。

　　目前，代理服务器软件有很多，如Netscape Suit Proxy，MS Proxy，Wingate，squid等。这些代理服务器不仅能起到防火墙的作用，而且还可以加速局域网用户对INTERNET的访问，因为代理服务器有一个大的缓冲器，将每次浏览的网页都保存起来，在下一次访问该页时就直接从缓冲器里调出

　　综上所述代理服务器(Proxy Server)主要功能有：

　　1.设置用户验证和记帐功能，可按用户进行记帐，没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息流量进行统计。

　　2.对用户进行分级管理，设置不同用户的访问权限，对外界或内部的Internet地址进行过滤，设置不同的访问权限。

　　3.增加缓冲器(Cache)，提高访问速度，对经常访问的地址创建缓冲区，大大提高热门站点的访问效率。通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大)，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，以提高访问速度。

　　4.连接Internet与Intranet充当FireWall(防火墙)：因为所有内部网的用户通过代理服务器访问外界时，只映射为一个IP地址，所以外界不能直接访问到内部网；同时可以设置IP地址过滤，限制内部网对外部的访问权限。

　　5.节省IP开销：所有的数据经过代理时都被代理所改写(NAT)，将源地址改写为自己的ip地址，所以所有的所有用户只占用一个真实IP，一方面可以节省ip开销，降低网络的维护成本，另一个方面可以隐藏内部网的拓扑结构，增强安全性。

　　从代理技术上讲，一般具有以下两种代理：传统代理和透明代理。

2.1.1传统代理

　　传统代理工作方式下，内部网络和外部网络之间的唯一连接是代理服务器，客户端要在浏览器中设置代理服务器的地址和端口号，客户浏览器在发出连接请求以前，会自动察看浏览器设置的代理地址及代理端口，若设置了代理端口和代理地址，则将连接请求发送给指定的代理服务器的指定端口。在这种方式的一个明显特点是客户机在连接以前的dns查询也由代理服务器去做。解析DNS的过程是根据代理服务器设置的dns查询顺序进行的。

　　若代理服务器使用的是linux环境下的代理服务器，并且查询顺序设置为先查找/etc/hosts，然后找DNS数据库。在这种情况下的管理员就可以根据需要设定客户访问某个外部地址时，其实是访问本地某个服务器。要实现该功能，管理员只需要在/etc/hosts中设定要代换的外部地址的指定匹配。例如管理员在/etc/hosts中设置了192.168.0.3 www.sohu.com则客户在访问sohu时，其实访问的是本地的192.168.0.3的机器。