企业上网与防火墙建设
摘要:简要介绍了防火墙在企事业上网中的重 要作用,描述了防火墙的工作原理,提出在系统实现的方法和技巧。最后总结出系统设计的 优点和存在的缺点。
关键词:防火墙
INTERNET
网络
代理服务器
我们认为在未来10年中,通信网络的改变、扩大和改善对人类生活的
影响将会比自上个世纪以来的通信业任何变化都要深刻。这是一场网络革命,是一场通信革命。从许多方面看,这场革命才刚刚开始。INTERNET的应用的确给人们生活和工作带来了许多的便利。但是怎样实现与INTERNET相联,怎么保证自身安全,本文将围绕防火墙的技术,结合自身的实践体会,谈一点自己初浅的看法。
1.为何要设置安全的防火区域
随着电子商务、电子政务推出,越来越多网络需要与INTERNET的联网。通常需要在网上设置提供公众服务的主机系统,例如:WEB Server、EMAIL、Server、FTP Server等。但是如果简单将这些主机只用路由直接联上INTERNET网络,无疑是让“黑客”有机可乘,其可 能会想尽办法破坏你的主机。
比较合理的做法,是将这些提供给外部使用的服务器通过一定技术和设备隔离开来,让那些设备形成一个保护区,我们一般称之为防火区(见图1)。通过这一手段,将单位内部网络与Internet隔开。若网络黑客成功地侵入了防火墙的外部区域,则防火区可以在改击者及内部系统间,提供另一层额外的保护,所以首先防火区增强了单位网络的安全性。
其次,通过设立防火区,我们可以有效地对内部网络访问INTERNET进行控制,包括统计流量、控制访问等方面,有效对费用和访问内容根据需要进行把关。
另外通过防火区,使内部网络与INTERNET的网段得到隔离,内部网络的IP地址范围就不会受到INTERNET的IP地址的影响,保证了内部网络的独立性和可扩展性。
由此可见单位在将系统联上INTERNET时,设置防火区是多么重要。另外,单位内部还可以进一步设置安全保护区,也就是再设置内部防火区。
2
防火墙的基本原理
计算机网络系统中将防火区内与INTERNET网络直接相联的计算机系统称为“防火墙”,它能同时连内部网络和INTERNET网络两端。如果要从内部网络接到INTERNET网络,就得用telnet等先联到防火墙,然后从防火墙联上INTERNET网络。防火墙的主要作用就是阻止外界直接进入内部网络。目前防火墙通常有二种类型,即过滤型和代理型。
过滤型的防火墙是不让INTERNET网络某些地址的网站进入你的网络,实现只有经过过滤防火墙筛选才能访问内部网络的功能。这样除开放一些网络功能外这种IP过滤防火墙阻挡一切联网功能。另外一种是代理服务器的情况,用户可登录到防火墙,然后进入内部网络内的任何系统,也就是由防火墙进行网络联结。
2.1
IP过滤防火墙
在互联网这样的信息包交换网络上,所有往来的信息都被分割成一定长度的信息包,包中包括发送者的IP地址和接收者的IP地址。包过滤式的防火墙会检查所有通过信息包里的IP地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话,从这个地址而来的所有信息都会被防火墙屏蔽掉。这种防火墙的用法很多,比如国家有关部门可以通过包过滤防火墙来禁止国内用户去访问那些“有问题”的国外站点。
过滤防火墙是绝对性的过滤系统,它阻挡别人进入内部网络,但也不告诉你何人进入你的公共系统,或何人从内部进入INTERNET网络。一般这种防火墙的特点非常安全,也不需要用户名和密码来登录。这种防火墙速度快而且易于维护,通常作为第一道防线。包过滤路由器的弊端也是很明显的,通常它没有用户的使用记录,这就不能从访问记录中发现黑客的攻击记录,而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的,他们在这一方面已积累了大量经验。“信息包冲击”是黑客比较常用的一种攻击手段,黑客们对包过滤式防火墙发出一系列信息包,不过这些包中的IP地址已经被替换掉了,取而代之的是一串顺序的IP地址。一旦有一个包通过了防火墙,黑客便可用这IP地址来伪装发出的信息。
2.2
代理服务器
如果说包过滤只是根据地址进行选择而对IP包要么原封不动进行转发要么被限制的话,那么代理服务器完全是对包进行拆封并经过功能分析后重新封装。最好的例子是在内部网站执行telnet的过程。内部网站先将IP请求包传输给代理服务器,然后由服务器剖析后重新产生请求发向目的站点。如果不经过代理服务器,内部网络的请求根本到不了目的网站,因为这些IP包在代理服务器上是不会自动转发的。反向的情况也一样。这样利用客户端软件连接代理服务器后,代理服务器启动它的客户端代理软件,然后传回数据。由于代理服务器重复所有通讯,因此能够记录所有进行的工作。只要配置正确,代理服务器就绝对安全,这是它最可取之处。它阻挡任何人进入,因为没有直接的IP通路,所有IP都需要进行转换发送。
可见只要通过设置防火墙,就可允许单位内部员工使用EMAIL,浏览WWW及文件传输,但不允许外界任意访问公司内部的计算机,你也可以禁止内部不同部门之间互相访问。
3.防火墙服务器如何设置
一级防火墙是整个内部网络对外的枢纽,是一定需要设立的。它一边联接单位内部网络,一边通往防火区网络。防火区网络上可摆上单位对外提供服务的主机,例如: WEB Server、EMAIL Server、POP3Server及FTP server等,提供对外的服务。有些人会认为这些服务主机,既然是要给外人使用的,为什么不直接摆在防火墙外,而要摆在防火墙内接受防火墙的控管呢?其实这个道理很简单:首先,摆在防火墙内,你可以对任何存取你的服务器的访客留下记录,以供日后的追查或统计分析。其次,可增加其安全性,避免黑客对你的服务器的攻击。防火墙的设定,可保证你的服务器主机只提供它应提供的服务,而阻挡所有不当的存取与连线,避免黑客在你的服务主机上开后门。这就是要开一个防火区网络来放置所有对外的服务主机的道理。
单位可根据实际的需要,将某些较重要而有安全顾虑的部门网络,加上防火墙的配置(见图1),此即所谓的单位内防火墙(Intranet Firewall)。单位内防火墙的功能与主防火墙类似,但因为其数量可能很多,会分配到各部门的网络内,因此其管理规则的设定、系统的维护,不应太过困难。
单位希望建置一个安全的网络环境,除了采用防火墙之外,当然还必须妥善的规划其架构,拟定其安全政策,最重要的是必须彻底执行其安全政策,而防火墙是落实这些安全政策的必要且重要的工具之一。INTERNET网络商用化的趋势愈来愈明显,单位网络的安全性规划更是刻不容缓,一个好的防火墙的规划必须能充分的配合执行单位所制定的安全政策,再加上安全的建置架构,方能提供单位一个方便而安全的网络环境。
4.防火墙的选购策略
(1)选配防火墙前,首先要知道防火墙的最基本性能。
防火墙一般应具备如下性能:
①防火墙除包含先进的鉴别措施,还应采用如包过滤技术、加密技术、可信的信息技术等尽量多的技术。同时需要配备身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等。
②防火墙过滤语言应该是友好灵活的,同时应具备若干诸如源和目的IP地址、协议类型、源 和目的TCP/UDP端口及入出接口等过滤属性。
③防火墙应该忠实地支持自己的安全性策略,并能灵活地容纳新的服务和机构,改变所需的安全策略。防火墙应包含集中化的SMTP访问能力,以简化本地与远程系统的SMTP连接,实现 本地E-mail集中处理。
④若防火墙需Unix之类的操作系统,该系统的版本安全本身就是一个需要考虑的重要问题,应该作为防火墙的一部分,当用其他安全工具时,要保证防火墙主机的完整性,而且该系统应能整体安装。防火墙及操作系统应该可更新,并能用简易的方法解决系统故障等。
(2)选购防火墙前,还应认真制定安全政策,也就是要判定一个周密计划。安全政策是规定什么人或什么事允许连接到哪些人或哪些事。也就是说,事先要考虑把防火墙放在网络系统的哪一个位置上,才能满足自己的需求,才能确定欲购的防火墙所能接受的风险水平。
(3)在满足实用性、安全性的基础上,还要考虑经济性。
5.INTERNET联网应用实例
5.1
系统设计目标
(1)首先建立安装防火墙使用可编程路由器作为包过滤器,此法是目前用得最普通的网络互连安全结构。路由器根据源/目的地址或包头部的信息,有选择地使数据包通过或阻塞。
(2)其次建立安装防火墙的基本方法是,把防火墙安装在一台双端口的主机系统中,连接内部网络。而不管是内部网络还是外部网络均可访问这台主机,但外部网络不能与内部网上的主机直接进行通信。
(3)另外由于计费的需要,防火墙系统对外防火墙,对内审计、计费系统。
实际上防火墙需是集IP流量计费、流量控制、网络管理、用户验证、安全控制于一身的综合防火墙。本系统的主要功能包括:防止外部攻击,保护内部网络、解决网络边界的安全问题。通过防火墙隔离内外网络支持访问代理功能对IP地址进行访问控制对端口进行访问控制对协议进行访问控制。
5.2
防火区结构构架
我们实际上采用的是在内部网络与INTERNET接入网之间设立一个防火区。防火区由Cisco 2501路由和E-MAIL服务器、WEB服务器和代理服务器组成,相互之间用HUB相连。允许外部INTERNET用户作限定的访问。允许内部网站通过代理
