【doc】应用网关防火墙——网络的“中间检查站”

【doc】应用网关防火墙——网络的“中间检查站” 应用网关防火墙——网络的“中间检查站” 防火墙专辑?技术篇 应用网关防火墙 网络的”中间检查站” 防火墙是一种用于加强两个网络或多个网络之间的访问 控制的技术,常常被放置在受保护的内部网络与Internet之 间,监测并过滤所有从外部网络传来的信息和通往外部网络 的信息,通过强制性地实施统一的安全策略防止对重要资 源的非法存取和访问,保护内部敏感数据不被偷窃和破坏. 目前,得到较为广泛应用的防火墙主要有两种,一是包过滤 (packet川tering)型,另一种为应用网关(apPIlcatIon gateway)型 一 ,应用网关防火墙工作原理 应用网关防火墙(applicationgateway)工作在应用层. 它能够设置为有选择地允许或者拒绝某一特征的服务或者协 ,它的基本思想是在两个网络之间设置一个 议.如图1所示 中间检查站,称之为代理服务器,两边的网络都可以通过 代理服务器相互通信,但是它们不能越过它直接通信. 客户机 从客户到Internet的 服务请球 响应数据被代理 服务嚣送到客户代 理服务器 从代理服务器到 Internet服务器的 服务请球 响应数据被送 到代理服务器 图I应用网关防火墙工作原理 在图1中我们可以看到它的工作过程.一个内部网络客 户程序要浏览Internet.首先向代理服务器发出连接请求.代 理服务器立即响应并且依据不同的网络应用层协议确认是否 允许该请求.如果允许,代理服务器就生成一个请求,并使 用它的网络适配器地址作为请求的源地址.向Internet~E务器 发送.当Internet上的服务器收到该请求后.只能认为代理服 务器是请求的用户.并将数据发送到代理服务器.代理服务 10算机安全2(=)O44 王钢刘云 器接收到所请求的数据后,要依据设置的协议和规则进行相 应的检查,如果通过了检查,代理服务器就用它的本地网络 适配器地址创建一个新的IP包,将数据发送给客户,完成代 理功能. 一 个代理程序一般只能为某几种协议提供代理服务其 他所有协议的数据包都不能通过代理服务程序,这就相当于 进行了一次过滤,但它执行记录和报警的功能比包过滤更强 壮内部网只接受代理服务器提出的服务请求,拒绝外部网 络其他节点的直接请求外部网络只能看到代理服务器而 看不到任何内部资源,增强了网络的安全性. 二,应用网关防火墙实现方式 应用网关防火墙的实现主要有三种方式. 1,双宿网关(DualHomedGateway)如图2所示,由 一 台拥有两个不同网络接口的特殊主机来实现,它一端接外 部网络.一端接需要保护的内部网络.并运行代理服务器.这 种代理服务器完全阻塞了Internet和内部网络的IP通信,将被 保护的网络与外界完全隔离开来.其网关功能是通过提供代 理而不是通过IP转发来实现.只有特定类型的协议请求才能 被代理服务器处理.实现了缺省拒绝策略,可以得到较 高的安全性. 图2双宿网关防火墙 Pc机Pc机 2,屏蔽主机网关(ScreenedHostGateway).由一台过 滤路由器和堡垒主机(代理服务器)组成,是包过滤和代理 功能的结合.内部网络与Internet之间的通信都通过代理服务 器进行,包过滤路由器则将内部网络与Internet隔开,只允许 那些来自或去往代理服务器的数据包通过,而丢弃其他所有 数据包.但是有的协议没有相应的代理服务,如果使用这些 协议的数据包是可信任”的,则可以让该协议的数据包通 过包过滤路由器,不经过代理服务器,直接去往相应的服务 器.由于可信任规则的存在,可通过设置包过滤网关将 某些通信直接传送到内部网络其他站点,使得配置更加灵活. 3,屏蔽子网(ScreenedSubnet).这是双宿网关和屏蔽 主机网关的变形,如图3所示.两个过滤路由器形成了这个 屏蔽子网,也称为非军事区”(DemiIitarizedZoneDMZ) 网络管理员可将堡垒主机,信息服务器(如WebServerFTP Server. HTTPServer).Modem池以及其他公共服务器放在其 中.堡垒主机用来提供终端会晤,同时也兼当应用级网关.连 接]~lJlnternet上的过滤路由器和连接内部网络的过滤路由器只 允许访问非军事区内数目有限的系统,而对跨过”非军 事区的Internet与企业内部网的直接通信是严格禁止的.当 入侵者攻克堡垒主机后,由于非军事区的存在,他所能 侦听到的只是周边的网络,内部网络上的信息由于内部过滤 路由器的存在而被阻止在非军事区”之外. , 要塞三墅l-?I醴晖艴吕霪服 下嚣堡垒l主机l????????一I????????一 过滤路由器I过滤路由嚣 南 信息服务器用户用户 图5屏蔽子网防火墙 应用网关防火墙主要技术 1,透明代理(transparentproxy) 传统代理(classicalproxy)是一个位于终端用户和服务 器之间的程序,客户在经过连接认证后连到代理服务器,然 后代理服务器就为它转发数据,但需要用户做一些如键入命 令行等额外的工作. 而透明代理更易于终端用户管理和使用,用户不需要知 道代理服务是如何进行的,甚至根本不知道使用了代理服务 器,对用户来说是透明的.从用户的观点来看,透明代理方 式就像用户直接与Internet服务器连接一样,用户不需把代理 服务器作为命令请示的目标,而是使用实际的终端目标作为 技术篇?防火墙专辑 命令行参数.由于透明代理位于用户和终端目标之间,可以 通过编程来截取某些通信进行访问控制,计算和决定各种请 求是否将被拒绝.透明代理技术,使防火墙的服务端口无法 探测到,也就无法对防火墙进行攻击,大大提高了防火墙的 安全性与抗攻击性. 2,网络地址转换技术(NetworkAddressTranslation NAT) 它的功能是将内部网发送出去和从Internet传送进来的数 据包进行地址转换.当数据包通过防火墙时,NAT通过转换 所有内部主机地址为防火墙地址的方法隐藏了所有IP地址. 它使用一个转换表来跟踪外部接口上的哪个套接字与内部接 口的哪个套接宇相等,然后重新传输内部主机数据的有效部 分图4说明了NAT的工作过程. 客户 NAT技术的使用可以隐藏内部网络的信息,使外网用户 只能看到防火墙的IP地址,却无法看到内部网用户真实的IP 地址.而在受保护的内部网络里允许使用任何想用的IP地址 范围,内部用户之间使用分配的真实的IP地址进行通信. 为了扩大允许的外部连接数,而不增加分配给NAT的IP 地址数量可采用被称作网络地址端口转换技术(Network AddressPortTranslation,NAPT)的NAT.通过改变源端口 号来唯一地标识一个连接,使一个有效的外部访问IP地址能 够为内部网中的多个客户服务.通过这种方式,仅使用几个 有效地址,就能将私有内部地址转换为有效的Internet地址, 建立许多连接,充分利用了IANA(InternetAssignedNumber Authority)保留的地址空间,缓解地址短缺压力. 3,虚拟专用网(VirtualPrivateNetwork,VPN) VPN是公用网上的一个通道,因为在其中传输的数据是 加密后封装在IP包里的,任何外来的包都是无法读取的,这 样保证了发送者和接收者的身份.图5是一个典型的VPN,两 个网络上的防火墙负责加密和封装IP流,加密后的IP包将发 送到另,个网络,跨越了Internet.而处理后的IP包的源地址 和目的地址将只能标识两个防火墙,而不是标识防火墙后面 ,44f算机安全11 的客户机或服务器. 图5典型的建立在两个防火墙之间的VPN 图5中VPN的安全性通过IPSec协议集来得以实现,在两 个防火墙上使用严格的认证措施来保证参与交换的每个数据 包的确是从对方发来的.对于远程用户.采取在客户机上使 用点对点隧道协议(PointtoPointTunnelingProtoco1.PPTP) 客户软件的方法.拨号连入网络上的远程入口服务器.通过 认证来建立VPN通道.实现安全通信. 四应用网关防火墙的改进 随着信息技术的不断进步及计算机硬件设备的飞速发 展,应用网关防火墙的性能也得到了很大提高,防火墙在安 全防范上发挥更加重要的作用成为必然要求.我们可以从以 下几个方面对应用网关防火墙进行改进. (1)在防火墙上对病毒进行检测 目前,许多病毒已经被我们所了解,它们具有特征鲜明 的代码,往往会攻击特定的计算机端口,或者发出具有固定 特征的信息包.我们可以依据这些特点,构筑病毒信息库.针 对已知病毒攻击的特征,对应用网关防火墙进行软件编程. 采取特征扫描,宏扫描,启发式扫描,模拟式扫描等方法对 盖地阻止瘴争母f6l譬篱 (2)在防火墙上实施多级内 12计算机安全2OO44 滤和清除病毒的能力.有效 容过滤 引入多级过滤机制能够灵活提供基于地址协议,端口, 时间和用户保留地址等信息的包过滤和互联接入.提高对网 络的保护能力并增强控制的灵活性.其中工作在第二三层之 间的动态包过滤对于应用程序是完全透明的,能够使防火墙 高效率地工作.对应用层的内容检测,是在HTTP,SMTP,FTP 等协议层根据过滤条件对信息流进行控制,使得URL,HTTP 携带的JavaApplet,JavaScript.ActiveX.Servlet,CGI. PHP,img电子邮件的subject.to,from和text域,电子邮 件附加的DOC和ZIP文件;FTP下载和上载文件的内容等可能 包含的危险信息,非法的关键字,非法操作命令等能够被清 除.有效地提高网络的安全性.同时.利用内容过滤,可以 对网络出口处含有敏感特征字的信息加以屏蔽或记录.以防 止敏感信息或机密文件通过网络泄露或被窃取. (3)引入入侵检测(IDS)机制 入侵检测是一种积极主动的安全防护技术,是通过收集 和分析计算机网络或计算机系统中若干关键点的信息,检查 网络或系统中是否存在违反安全策略的行为和被攻击的迹象. 提供对内部攻击,外部攻击和误操作的实时保护.入侵检测 系统通过模式匹配,异常分析行为关联,状态迁徙等入侵 检测技术发现入侵后.会及时做出包括切断网络连接,记录 事件和报警等响应,可以抵御一些常见的攻击行为,如SYN FloodPingofDeathICMPFlood,TearDrop等.入侵检测 是防火墙的合理补充.在不影响网络性能的情况下能对网络 进行监测,扩展了系统管理员的安全管理能力(包括安全审 计监视,进攻识别和响应),提高了信息安全基础结构的完 整性. 应用网关防火墙是目前应用最为广泛的一种安全技术, 作为一种边界控制机制.它使得LAN与Internet访问更加安 全易于管理,并且降低使用费用.随着信息技术的飞速发 展,防火墙的发展也逐步趋向模块化,硬件化,智能化,速 度也越来越快,功能也更加强大.新技术的不断发展和成熟, 使以防火墙为核心的安全域边界隔离整体解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 13臻完善, 应用网关防火墙技术呈现出蓬勃发展的前景,内部网络的安 全体系也必然会更加牢固,有效,可靠.(作者单位北方 息工程学院)0