统网络的访问进行授权控制。另外将重要的网上服务平台放置在防火墙的DMZ区内,制定安全的访问控制策略,对其进行重点保护。同时为了省监狱局电子政务网络系统内外网络的物理隔离,因此放置一台防火墙在内外网之间,同时对网络管理区域和核心数据库区域重点保护,防止内外网的用户入侵和破坏。
防火墙系统详述 基本功能
?
实时的连接状态监控功能,通过规则表与连接状态表共同配合,提高了系统的性能和安全性
动态设置过滤规则的功能,根据实际应用的需要,在建立应用服务的时候动态地增加一组规则,在服务结束的时候,自动地把规则删除
双向的网络地址转换功能,同时支持一对一的静态地址映射和多对一的动态地址映射两种方式的地址转换
对Ftp, Telnet, Http,Smtp和POP3等应用的透明代理访问方式
抗攻击和自我保护能力,通过严密的体系结构,可以防范一系列外部黑客的攻击,如:
抗IP假冒攻击 抗特洛伊木马攻击 抗口令字探寻攻击 抗邮件诈骗攻击 抗DOS攻击 抗网络安全性分析
?
?
? ?
? ?
提供服务模板功能,简化IP过滤规则的定制
提供网络访问活动情况,对防火墙的访问操作等的审计日志,并提供对可疑的和有攻击性的访问情况向系统管理员告警的功能 网络工作情况的事后分析和查询功能 安全的体系结构
提供操作简单的图形化用户界面对防火墙进行配置
安全的网络结构,采用内部网,DMZ区,用户控制区分离的网络结构 根据用户各自不同的需要定制不同服务的功能
在访问控制规则中,提供对通过防火墙使用网络资源的用户进行身份认证的功能,身份认证过程对应用和协议透明
提供报表功能,对数据库中存档的内容以简明的表格形式显示
20
? ? ? ? ? ?
?
面向对象的可视化规则编辑和管理工具 关键技术
?
实时的连接状态监控功能
包过滤是防火墙中的一项主要安全技术,它通过防火墙对进出网络的数据流进行控制与操作。系统管理员可以设定一系列规则,指定允许哪些类型的数据包可以流入或流出内部网络;哪些类型的数据包传输应该被拦截。防火墙不仅根据数据包的地址、协议、端口进行访问控制,同时还对任何网络连接和会话的当前状态进行分析和监控。 传统防火墙的包过滤只是与规则表进行匹配,对符合规则的数据包进行处理,不符合规则的丢弃。由于是基于规则的检查,同属于同一连接的不同包毫无任何联系,每个包都要依据规则顺序过滤,这样随着安全规则的增加,势必会使防火墙的性能大幅度的降低,造成网络拥塞。甚至黑客会采用IP Spoofing的办法将自己的非法包伪装成属于某个合法的连接。这样的包过滤既缺乏效率又容易产生安全漏洞。防火墙采用了基于连接状态的检查,将属于同一连接的所有包作为一个整体的数据流看待,通过规则表与连接状态表的共同配合,大大的提高了系统的性能和安全性。
对于包过滤来说按其复杂度不同一般分为两种情况。一种是无连接的包过滤,将每个包看成是一个孤立的单元进行检测;另一种是考虑连接的包过滤,在进行包的检测时不仅将其看成是独立的单元,同时还要考虑它的历史关联性。例如,在基于TCP协议的连接中,每个包在传输时都包括了IP源地址,IP目的地址,协议的源接口和目的接口等信息,还包括了对在允许的时间间隔内是否发生了TCP握手消息的监视信息等。这些信息与每个数据包都是有关联的。换句话说,对于属于同一个连接的数据包来说并不是完全孤立的,它们存在内部的关联信息。无连接的包过滤规则没有考虑这些内在的关联信息,而是对每个数据包都进行孤立的规则检测,这样就降低了传输效率。 对于基于UDP协议的应用来说,是很难用简单的包过滤技术对其处理的,因为UDP协议本身对于顺序错误或丢失的包,是不做纠错或重传的。东方龙马防火墙在对基于UDP协议的连接处理时,会为UDP建立虚拟的连接,同样能够对连接过程状态进行监控,通过规则与连接状态的共同配合,达到包过滤的高效与安全。
实时的连接状态监控功能极大地提高了系统的安全性。在状态表中可以通过诸如ACK(应答响应) No.等连接状态因素加以识别,阻止该包通过,增强了系统的安全性。
21
?
动态过滤规则技术
为应用提供动态过滤(Dynamic Filter)规则是防火墙的一大特色。
防火墙的IP包过滤,主要是依据一个有固定排序的规则链过滤,其中的每个规则都包含IP地址、端口、传输方向、分包、协议等多项内容。对每个被截取到的IP包,我们将依照规则链中的规则顺序地进行检查,当该IP包符合规则的要求时,则依照该规则的规定对该IP包进行处理,接受IP包,并且继续按次序使用规则进行匹配;若该IP包不符合规则的要求,则它将被丢弃。一般防火墙的包过滤的过滤规则是在启动时配置好的,只有系统管理员才可以修改,是静态存在的,称为静态规则。而动态过滤规则是根据实际应用的需要,在建立应用服务的时候动态地增加一组规则,在服务结束的时候,自动地把规则删除。
静态规则是管理员事先定好的,由于事先很难精确的判断防火墙到底有多少端口需要打开才能满足正常通讯的需求,所以,在定制静态的规则时,需要打开的端口范围极大,其中必然大部分端口是不必打开的,这样就会造成很多不安全的隐患。 动态规则的引入弥补了静态规则的这一不足,是基于规则检查技术的一个重大改进。它根据TCP/IP协议特点,由网络连接的第一个服务连接分析出后面的连接所需的端口号与地址,进而添加到过滤规则中。例如,通过端口21建立了FTP服务,动态规则就可以根据FTP端口的连接,为后面的GET服务连接动态地添加一条临时规则,在GET服务结束时,自动把此规则删除。由于动态规则是由系统程序直接加入的,所以防火墙应该打开的端口在应用中能够被查清,而这些端口都由应用程序通过动态规则在适当时刻打开,当应用结束时,动态规则又由系统程序删除,相应的端口也被关闭,而作为动态分析的依据,静态规则只需打开极少数事先必须打开的端口。这样在最大程度上降低了黑客进攻的成功率。
如上所述,由静态规则打开基本的服务端口,动态规则是在应用程序中确定插入、删除规则的,不会造成服务因为端口没有开放而禁止,同时能够有效的关闭系统存在的‘开口’隐患。
?
双向的网络地址转换(NAT)
防火墙利用NATIP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
22
防火墙提供了“内部网到外部网”,“外部网到内部网”的双向NAT功能。同时支持两种方式的网络地址转换,一种为静态地址映射,即外部地址和内部地址一对一的映射,使内部地址的主机既可以访问外部网络,也可以接受外部网络提供的服务。另一种是更灵活的方式,可以支持多对一的映射,即内部的多个机器可以通过一个外部有效地址访问外部网络。让多个内部IP地址共享一个外部IP地址,就必须转换端口地址,这样内部不同IP 地址的数据包就能转换为同一个IP地址而端口地址不同,通过这些端口对外部提供服务。这种NAT转换可以更有效地利用IP地址资源,并且提供更好的安全性。
在内部网络通过安全网卡访问外部网络时将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。防火墙可以根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。NAT的工作过程如图所示:
源地址 目的地址 192.168.111.5 www.com.cn 源地址 目的地址 200.200.200.200 www.com.cn 源地址 目的地址 www.com.cn 192.168.111.5
源地址 目的地址 www.com.cn
23
200.200.200.200
内部网 源IP包 回应的包 NAT 外部网
NAT工作示意图
统提供的双向NAT功能可以使系统管理员自行设置内部的地址而不必对外公开,隐藏了内部网络的真实地址,从而使外来的黑客无法探知内部网络的结构;同时也可以解决IP地址短缺的问题。并提高整体的安全性。
?
透明的代理访问方式(Transparent Proxy)
防火墙中对Ftp,Telnet,Http,Smtp和Pop3等应用实现了代理服务。这些代理服务对用户是透明的(Transparent),即用户意识不到防火墙的存在,便可完成内外网络的通讯。当内部用户需要使用透明代理访问外部资源时,用户不需要进行设置,代理服务器会建立透明的通道,让用户直接与外界通信,这样极大地方便用户的使用,避免使用中的错误,降低使用防火墙时固有的安全风险和出错概率。 下图说明了透明代理的原理:
透明代理的原理图
如图假设为防火墙。当A对B有连接请求时,TCP连接请求被防火墙截取并加以监控。截取后当发现连接需要使用代理服务器时,A和C之间首先建立连接,然后防火墙建立相应的代理服务通道(ftp,telnet,http, smtp, pop3等)与目标B建立连接,由此通过代理服务器建立A 和目标地址B的数据传输途径。从用户的角度看,A和B的连接是直接的,而实际上A 是通过代理服务器C和B建立连接的。反之,当B对A有连接请求时原理相同。由于这些连接过程是自动的,不需要客户端手工配置代理服务器,甚至用户根本不知道代理服务器的存在,因而对用户来说是透明的。
24