网络信息安全与防火墙技术应用之探讨

1、PAGE PAGE 15网络信息安全与防火墙技术应用之探讨摘 要：随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。保障计算机系统的安全，尤其在当今网络互连的环境中，网络安全体系结构的考查和选择显得尤为重要。采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案。但是，防火墙技术本身也有缺陷，我们还需要其他的技术来保障网络的安全。加密技术是这

2、些技术中的典型。关键词：网络安全；信息安全；防火墙漏洞；加密技术Abstracct: With the ddeveloopmentt at ffull sspeed of Innterneet, thhe onlline ssecuriity beecomess a pootentiial ennormouus prooblem graduually. The securrity oof thee netwwork iis thaat onee invoolves probllem wiith veery exxtensiive suurfacee, amoong thhem wiill in

3、nvolvee and form the qquestiion off crimminal offennce tooo. Inn its simpllest fform, what it caared aabout mainlly is to guuaranttee thhat non-peersonnnel caant rread, let aalone revisse thee messsage tto othher peerson. Secuurity deal with the ccapturre of legall newss and pprobleem of replaay, an

4、nd thee quesstion of whhetherr the sendeer hass everr sendd the news and ensuree the securrity oof commputerr systtem, eespeciially in thhe envvironmment oof currrent netwoork inntercoonnecttion, the eexaminne andd choiice off the systeem strructurre of onlinne seccurityy seemm partticulaarly iimpor

5、ttant. Adoptting tthe trraditiional fire wall onlinne seccurityy systtem sttructuure caan yett be rregardded ass a kiind off simpple annd efffectivve chooice sschemee. Howwever, the technnologyy of ffire wwall aalso hhas deefectss, we need otherr techhnologgy to ensurre thee secuurity of thhe nettwo

6、rk. The encryyptionn techhnologgy aree modeels inn the technnologyy.Keywordds: Neetworkk safeety；Informmationn safeety；Loophhole oof firre walll；Encryyptionn teechnollogy1引言 21世纪全世界界的计算机都都将通过Innterneet 联到一一起，网络信信息安全的内内涵也就发生生了根本的变变化。它不仅仅从一般性的的防卫变成了了一种非常普普通的防范，而而且还从一种种专门的领域域变成了无处处不在。当人人类步入211世纪这一信信息和网

7、络社社会的时候，我我国将建立起起一套完善的的网络安全体体系，特别是是从政策和法法律上建立起起有中国特色色的网络安全全体系。从本质上来讲，网网络安全就是是网络上的信信息安全，是是指网络系统统的硬件、软软件及其系统统中的数据受受到保护，不不因偶然的或者者恶意的原因因而遭到破坏坏、更改、泄泄露，系统连连续可靠正常常地运行，网网络服务不中中断。广义地地说，凡是涉涉及到网络上上信息的保密密性、完整性性、可用性、真真实性和可控控性的相关技技术和理论都都是网络安全全所要研究的的领域。网络络安全涉及的的内容既有技技术方面的问问题，也有管管理方面的问问题，两方面面相互补充，缺缺一不可。技技术方面主要要侧重于防范

8、范外部非法用用户的攻击，管管理方面则侧侧重于内部人人为因素的管管理。如何更更有效地保护护重要的信息息数据、提高高计算机网络络系统的安全全性已经成为为所有计算机机网络应用必必须考虑和必必须解决的一一个重要问题题。随着网络在社会会各方面的延延伸，进入网网络的手段也也越来越多，因因此，网络安安全技术是一一项非常复杂杂的系统工程程。为此建立立有中国特色色的网络安全全体系，需要要国家政策和和法规的支持持及集团联合合研究开发。安安全与反安全全就像矛盾的的两个方面，总总是不断的向向上攀升，所所以安全产业业将来也是一一个随着新技技术发展而不不断发展的产产业。随着网网络技术的发发展，网络安安全也就成为为当今网络

9、社社会的焦点中中的焦点，几几乎没有人不不在谈论网络络上的安全问问题，病毒、黑黑客程序、邮邮件炸弹、远远程侦听等这这一切都无不不让人胆战心心惊。病毒、黑黑客的猖獗使使身处今日网网络社会的人人们感觉到谈谈“网”色变，无所所适从。但我我们必须清楚楚地认识到，这这一切的安全全问题我们不不可能一下子全部找到解解决方案，况况且有的是根根本无法找到到彻底的解决决方案，例如病毒程序序，由于任何反病病毒程序都只只能在新病毒毒发现之后才才能开发出来来，目前还没没有哪一家反反病毒软件开开发商敢承诺诺他们的软件件能查杀所有有已知的和未未知的病毒，所所以我们不能能有等网络安安全了再上网网的念头，因因为或许网络络不可能有

10、这么一一日，就像“矛”与“盾” ，网络与病病毒、黑客永永远是一对共共存体。在当当今网络互连连的环境中，网络安全体体系结构的考考查和选择显得得尤为重要。采用传统的的防火墙网络络安全体系结结构不失为一一种简单有效效的选择方案案。2防火墙防火墙是用来对对因特网这种特定的连连接段进行隔隔离的任何一一台设备或一一组设备，他他们提供单一一的控制点，从而允许或禁止在网络中的传输流1。通常有两种实现方案，即采用应用网关的应用层防火墙和采用过滤路由器的网络层防火墙。防火墙的结构模型可划分为策略(policy)和控制(control)两部分，前者是指是否赋予服务请求着相应的访问权限，后者对授权访问着的资源存取进行

11、控制。2.1应用层防防火墙（appplicaation-layerr fireewall）应用层防火墙可可由下图简单单示例： CFS图2.1 应应用层防火墙墙其中C代表客户户；F代表防防火墙而居于于客户和提供供相应服务的的服务器S之之间2。客户首先建建立与防火墙墙间的运输层层连接，而不不是与服务器器建立相应的的连接。域名名服务器DNNS受到客户户对服务器SS的域名解析析请求后，返返回给客户一一个服务重定定向纪录(sservicce reddirecttion rrecordd)，其中包包含有防火墙墙的IP地址址。 然后，客客户与防火墙墙进行会话，从而使防火火墙能够确定定客户的标识识，与此同时时

12、包含对服务务器S的服务务请求。接下下来防火墙FF判断客户CC是否被授权权访问相应的的服务，若结结果肯定，防防火墙F建立立自身同服务务器S键的运输层层连接，并充当二者者间交互的中中介。应用层层防火墙不同同于网络层防防火墙之处在在于，其可处处理和检验任任何通过的数数据。但必须须指出的是，针针对不同的应应用它并没有有一个统一的的解决方案，而而必须分别编编码，这严重制约了了它的可用性性和通用性。另外，一旦防火墙崩溃，整个应用也将随之崩溃；由于其自身的特殊机制，带来的性能损失要比接下来介绍的网络层防火墙要大。2.2网络层防防火墙（IPP layerr fireewall）网络层防火墙的的基本模型为为一个

13、多端口口的IP层路路由器，它对每个IIP数据报都都运用一系列列规则进行匹匹配运算33，借以判判断该数据报报是否被前传传或丢弃，也也就是利用数数据包头所提提供的信息，IIP数据报进进行过滤(ffilterr)处理。防火墙路由器具具有一系列规规则(rulle)，每条规则由由分组刻面(packeet proofile)和动作(aactionn)组成。分分组刻面用来来描述分组头头部某些域的的值，主要有源IIP地址，目的IP地地址，协议号和其其他关于源端端和目的端的的信息。防火墙的高高速数据报前前传路径(hhigh speedd dataagram forwaardingg pathh)对每个分分组应用

14、相应应规则进行分分组刻面的匹匹配。若结果果匹配，则执行相应应动作。典型的动作作包括：前传传(forwwardinng)，丢弃(drroppinng)，返回失败信信息(sennding a faiilure respoonse)和和异常登记(loggiing foor excceptioon taccking)。一般而言言，应包含一个个缺省的规则则，以便当所有有规则均不匹匹配时，能够留一个个出口，该规则通常常对应一个丢丢弃动作。2.3策略控制制层（pollicy ccontrool levvel）现在引入策略控控制层的概念念，正是它在防防火墙路由器器中设置过滤滤器，以对客户的的请求进行认认证和权

15、限校校验，策略控制层层由认证功能能和权限校验验功能两部分分组成。前者用来验验证用户的身身份，而后者用来来判断用户是是否具有相应应资源的访问问权限。 CF11FF2S / _ / / AA1 Z1 图2.2 策略控控制层如上图所示，CC为客户，SS为服务器，F1、F22为处于其间间的两个防火火墙。A1和和X1分别为为认证服务器器和权限验证证服务器。 首先由C向向S发送一个个数据报开始始整个会话过过程，客户C使用用通常的DNNSlookkup和网络络层路由机制制。当分组到达达防火墙F11时，F1将会进进行一系列上上述的匹配。由于该分组组不可能与任任何可接受的的分组刻面匹匹配，所以返回一一个“Aut

16、heenticaation Requiired”的标错信息息给C，其中包括FF1所信任的的认证/权限限校验服务器器列表。然后后客户C根据所返回回的标错信息息，箱认证服务务器A1发出出认证请求。利利用从A1返返回的票据，客户C向权限限校验服务器器Z1发出权权限校验请求求，其中包括所所需的服务和和匹配防火墙所需的的刻面。Z11随之进行相相应的校验操操作，若校验结果果正确，权限校验服服务器Z1知知会防火墙FF1允许该分分组通过。在在客户器C的的分组通过FF1后，在防火墙FF2 处还会会被拒绝，从而各部分分重复上述过过程，通过下图可可清晰的看到到上述过程中中各事件的发发生和处理。 _ | C | A1

17、 | Z1 | F11 | FF2 | S _ | sendpkkt | | | | | | to S Interrcept | | | | | reequirees | | | | | |auuthentticatiion | | | | | | |Proviide | | | | | is C | | | | | | Allowed | | | | | | OOK | | |RResendd | | |SSet fiilter | | |ffirst pkt | | | | |tto S (OK) | | . | 图图2.3网络防火墙技术术是一项安全全有效的防范范技术，主要要功能是控制制对

18、内部网络络的非法访问问。通过监视视等措施，限限制或更改进进出网络的数数据流，从而而对外屏蔽内内部网的拓扑扑结构，对内内屏蔽外部危危险站点。防防火墙将提供供给外部使用用的服务器，通通过一定技术术的设备隔离离开来，使这这些设备形成成一个保护区区，即防火区区。它隔离内内部网与外部部网，并提供供存取机制与与保密服务，使使内部网有选选择的与外部部网进行信息息交换；根据据需要对内部部网络访问的的INTERRNET进行行控制，包括括设计流量，访访问内容等方方面，使内部部网络与INNTERNEET的网络得得到隔离，内内部网络的IIP地址范围围就不会受到到INTERRNET的IIP地址的影影响，保证了了内部网络

19、的的独立性和可可扩展性。目前的防火墙产产品主要有堡堡垒主机，包包过滤路由器器，应用层网网关（代理服服务器）以及及电路层网关关，屏蔽主机机防火墙，双双宿主机等类类型4。虽然防火墙墙是目前保护护网络免遭黑黑客袭击的有有效手段，但但防火墙并不不是万能的，自自身存在缺陷陷，使它无法法避免某些安安全风险，而而且层出不穷穷的攻击技术术又令防火墙墙防不胜防。它它无法防范通通过防火墙以以外的其它途途径的攻击，不能防止来自内部变节者和不经心的用户们的带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。自从1986年美国DIGITAL公司在INTERNET上安装了全球第一个商用防火

20、墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。防火墙处于五层层网络安全体体系中的最底底层，属于网网络安全技术术范畴。在这这一层上，企企业对安全系系统提出的问问题是：所有有的IP是否否都能访问到到企业的内部部网络系统？如果答案是是“是” ，则说明企企业内部网还还没有在网络络层上采取相相应的防范措措施。用防火火墙来实现网网络安全必须须考虑防火墙墙的网络拓扑扑结构：屏蔽路由器：又又称包过滤防防火墙。双穴主机：双穴穴主机是包过过滤网关的一一种替代。主机过滤结构：这种结构实实际上是包过过滤和代理的的结合。屏蔽子网结构：这种防火墙墙是双穴主

21、机机和被屏蔽主主机的变形。随着INTERRNET在我我国的迅速发发展，防火墙墙技术引起了了各方面的广广泛关注，一一方面在对国国外信息安全全和防火墙技技术的发展进进行跟踪，另另一方面也已已经自行开展展了一些研究究工作。目前前使用较多的的，是在路由由器上采用分分组过滤技术术提供安全保保证，对其他他方面的技术术尚缺乏深入入了解。防火火墙技术还处处在一个发展展阶段，仍有有许多问题有有待解决。因因此，密切关关注防火墙的的最新发展，对对推动INTTERNETT在我国的健健康发展有着着重要的意义义。根据防火墙所采采用的技术不不同，我们可可以将它分为为四种基本类类型：包过滤滤型、网络地地址转换NAT、代代理型

22、和监测测型。（1）包过滤型型包过滤型产品是是防火墙的初初级产品，其其技术依据是是网络中的分分包传输技术术。网络上的的数据都是以以“包”为单位进行行传输的，数数据被分割为为一定大小的的数据包，每每一个数据包包中都会包含含一些特定信信息，如数据据的源地址、目目标地址、TTCP/UDDP5源端口口和目标端口口等。防火墙墙通过读取数数据包中的地地址信息来判判断这些“包”是否来自可可信任的安全全站点，一旦旦发现来自危危险站点的数数据包，防火火墙便会将这这些数据拒之之门外。系统统管理员也可可以根据实际际情况灵活制制订判断规则则。包过滤技技术的优点是是简单实用，实实现成本较低低，在应用环环境比较简单单的情况

23、下，能能够以较小的的代价在一定定程度上保证证系统的安全全。但包过滤滤技术的缺陷陷也是明显的的。包过滤技技术是一种完完全基于网络络层的安全技技术，只能根根据数据包的的来源、目标标和端口等网网络信息进行行判断，无法法识别基于应应用层的恶意意侵入，如恶恶意的JAVVA小程序以以及电子邮件件中附带的病病毒。有经验验的黑客很容容易伪造IPP地址，骗过过包过滤型防防火墙。这种种攻击方式主主要应用于用用IP协议传传送的报文中中。它仅适用用于少数几种种平台。所谓谓IP欺骗，无无非就是伪造造他人的源IIP地址。其其实质就是让让一台机器来来扮演另一台台机器，以达达到蒙混过关关的目的。IIP欺骗技术术只能实现对对某

24、些特定的的运行Freee TCPP/IP55进行攻击击。一般来说说，任何使用用Sun RRPC调用的的配置、利用用IP地址认认证的网络服服务、MITT的X Wiindow系系统、R服务务等这些服务务易受到IPP欺骗攻击。IP欺骗式式攻击形式多多种多样，从从随机扫描到到利用系统已已知的一些漏漏洞。IP欺欺骗攻击通常常发生于一台台主机被确信信在安全性方方面存在漏洞洞之后。此时时入侵者已作作好了实施一一次IP欺骗骗攻击的准备备，他（或她她）知道目标标网络存在漏漏洞并且知道道该具体攻击击哪一台主机机。（2）网络地址址转化NAT网络地址转换是是一种用于把把IP地址转转换成临时的的、外部的、注注册的IP地

25、地址标准。它它允许具有私私有IP地址址的内部网络络访问因特网网6，还意意味着不要为为其网络中每每一台机器取取得注册的IIP地址。NAT的工作过过程如下：在内部网络通过过安全网卡访访问外部网络络时，将产生生一个映射记记录。系统将将外出的源地地址和源端口口映射为一个个伪装的地址址和端口，让让这个伪装的的地址和端口口通过非安全全网客与外部部网络连接，这这样对外就隐隐藏了真实的的内部网络地地址。在外部部网络通过非非安全网卡访访问内部网络络时，它并不不知道内部网网络的连接情情况，而只是是通过一个开开放的IP地地址和端口来来请求访问。OOLM防火墙墙7根据预预先定义好的的映射规则来来判断这个访访问是否安全

26、全。当符合规规则时防火墙墙认为访问是是安全的，可可以接受访问问请求，也可可以将连接请请求映射到不不同的内部计计算机中。当当不符合规则则时，防火墙墙将屏蔽外部部的连接请求求。网络地址址转换的过程程对于用户来来说是透明的的，不需要用用户进行设置置，用户只要要进行常规操操作即可。（3）代理型代理型防火墙也也可以被称为为代理服务器器，它的安全全性要高于包包过滤型产品品，并已经开开始向应用层层发展。代理理服务器位于于客户机与服服务器之间，完完全阻挡了二二者之间的数数据交流。从从客户机来看看，代理服务务器相当于一一台真正的服服务器；而从从服务器来看看，代理服务务器又是一台台真正的客户户机。当客户户机需要使

27、用用服务器上的的数据时，首首先将数据请请求发给代理理服务器，代代理服务器再再根据这一请请求向服务器器索取数据，然然后再由代理理服务器将数数据传输给客客户机。由于于外部系统与与服务器之间间没有直接的的数据通道，外外部的恶意侵侵害也就很难难伤害到企业业内部网络系系统。代理型防火墙的的优点是安全全性较高，可可以针对应用用层进行侦测测和扫描，对对付基于应用用层的侵入和和病毒都十分分有效。其缺缺点是对系统统的整体性能能有较大的影影响，而且代代理服务器必必须针对客户户机可能产生生的所有应用用类型逐一进进行设置，大大大增加了系系统管理的复复杂性。（44）监测型 监测型防火墙是是新一代的产产品，这一技技术实际

28、上已已经超越了最最初的防火墙墙定义。监测测型防火墙能能够针对各层层的数据进行行主动的、实实时的监测，对这些数据据加以分析的的基础上，监监测型防火墙墙能够有效的的判断出各层层的非法侵入入。同时，这种监测型型防火墙产品品一般还带有有分布式探测测器，这些探探测器安置在在各种应用服服务器和其它它网络的节点点之中，不但但能够监测来来自网络外部部的攻击，同时对对来自外部的的恶意破坏也也有极强的防防范作用。根根据权威机构构统计，在针针对网络系统统的功击中，有有相当比例的的攻击来自网网络内部。因因此，监测型型防火墙不但但超越了传统统防火墙的定定义，而且在在安全性上也也超越了前两两代产品。虽虽然监测型防防火墙安

29、全性性上已经超越越了包过滤型型和代理服务务器型防火墙墙，但由于监监测型防火墙墙技术的实现现成本较高，也也不易管理，所所以目前在实实用的防火墙墙产品仍然以以第二代代理理型产品为主主，但在某些些方面也已经经开始使用监监测型防火墙墙5。基于于系统成本与与安全技术成成本的综合考考虑，用户可可以选择性的的使用某些监监测型技术，这样既能够够保证网络系系统的安全性性需求，同时时也能有效的的控制安全系系统的总拥有有成本。（5）防火墙的的安全性防火墙产品最难难评估的方面面是防火墙的的安全性能，即即防火墙是否否能够有效的的阻挡外部入入侵。这一点点同防火墙自自身的安全性性一样，普通通用户通常无无法判断。即即使安装好

30、了了防火墙，如如果没有实际际的外部入侵侵，也无法得得知产品性能能的优劣。但但在实际应用用中检测安全全产品的性能能是极为危险险的，所以用用户在选择防防火墙产品时时，应该尽量量选择占市场场份额较大同同时又通过了了权威认证机机构认证测试试的产品。3加密技术与防火墙配合使使用的安全技技术还有数据据加密技术，是为提高信信息系统及数数据的安全性性和保密性，防止秘密数数据被外部破破析所采用的的主要技术手手段之一88。随着信息技技术的发展， 网络安全全与信息保密密日益引起人人们的关注。目前各国除除了从法律上上、管理上加强强数据的安全全保护外，从技术上分分别在软件和和硬件两方面面采取措施，推动着数据据加密技术和

31、和物理防范技技术的不断发发展。按作用用不同数据加密技术术主要分为数数据传输、数据存储、数据完整性性的鉴别以及及密钥管理技技术四种。（1） 数据传传输加密技术术目的是对传输中中的数据流加加密，常用的的方针有线路路加密和端端加密两两种。前者侧侧重在线路上上而不考虑信信源与信宿，是对保密信信息通过各线线路采用不同同的加密密钥钥提供安全保保护。后者则则指信息由发发送者端自动动加密，并进入TCP/IIP数据包回回封，然后作为不不可阅读和不不可识别的数数据穿过互联联网，当这些信息息一旦到达目目的地将被自动重组、解密，成为可读数数据。（2） 数据存存储加密技术术目的是防止在存存储环节上的的数据失密，可分为密文文存储和存取取控制两种9。前者者一般是通过过加密算法转转换、附加密密码、加密模模块等方法实实现；后者则是对对用户资格、权权限加以审查查和限制，防止非法用用户存取数据据或合法用户户越权存取数数据。（3） 数据完完整性鉴别技技术目的是对介入信信息的传送、存取、处理理的人的身份