企业上网与防火墙建设
赵洋
摘 要:简要介绍了防火墙在企事业上网中的重 要作用,描述了防火墙的工作原理,提出在系统实现的方法和技巧。最后总结出系统设计的 优点和存在的缺点。
关键词:防火墙 INTERNET 网络 代理服务器
我们认为在未来10年中,通信网络的改变、扩大和改善对人类生活的
影响将会比自上个世纪以来的通信业任何变化都要深刻。这是一场网络革命,是一场通信革命。从许多方面看,这场革命才刚刚开始。INTERNET的应用的确给人们生活和工作带来了许多的便利。但是怎样实现与INTERNET相联,怎么保证自身安全,本文将围绕防火墙的技术,结合自身的实践体会,谈一点自己初浅的看法。
1.为何要设置安全的防火区域
随着电子商务、电子政务推出,越来越多网络需要与INTERNET的联网。通常需要在网上设置提供公众服务的主机系统,例如:WEB Server、EMAIL、Server、FTP Server等。但是如果简单将这些主机只用路由直接联上INTERNET网络,无疑是让“黑客”有机可乘,其可 能会想尽办法破坏你的主机。
比较合理的做法,是将这些提供给外部使用的服务器通过一定技术和设备隔离开来,让那些设备形成一个保护区,我们一般称之为防火区(见图1)。通过这一手段,将单位内部网络与Internet隔开。若网络黑客成功地侵入了防火墙的外部区域,则防火区可以在改击者及内部系统间,提供另一层额外的保护,所以首先防火区增强了单位网络的安全性。
其次,通过设立防火区,我们可以有效地对内部网络访问INTERNET进行控制,包括统计流量、控制访问等方面,有效对费用和访问内容根据需要进行把关。
另外通过防火区,使内部网络与INTERNET的网段得到隔离,内部网络的IP地址范围就不会受到INTERNET的IP地址的影响,保证了内部网络的独立性和可扩展性。
由此可见单位在将系统联上INTERNET时,设置防火区是多么重要。另外,单位内部还可以进一步设置安全保护区,也就是再设置内部防火区。
2 防火墙的基本原理
计算机网络系统中将防火区内与INTERNET网络直接相联的计算机系统称为“防火墙”,它能同时连内部网络和INTERNET网络两端。如果要从内部网络接到INTERNET网络,就得用telnet等先联到防火墙,然后从防火墙联上INTERNET网络。防火墙的主要作用就是阻止外界直接进 入内部网络。目前防火墙通常有二种类型,即过滤型和代理型。
过滤型的防火墙是不让INTERNET网络某些地址的网站进入你的网络,实现只有经过过滤防火墙筛选才能访问内部网络的功能。这样除开放一些网络功能外这种IP过滤防火墙阻挡一切联网功能。另外一种是代理服务器的情况,用户可登录到防火墙,然后进入内部网络内的任何系统,也就是由防火墙进行网络联结。
2.1 IP过滤防火墙
在互联网这样的信息包交换网络上,所有往来的信息都被分割成一定长度的信息包,包中包括发送者的IP地址和接收者的IP地址。包过滤式的防火墙会检查所有通过信息包里的IP地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话,从这个地址而来的所有信息都会被防火墙屏蔽掉。这种防火墙的用法很多,比如国家有关部门可以通过包过滤防火墙来禁止国内用户去访问那些“有问题”的国外站点。
过滤防火墙是绝对性的过滤系统,它阻挡别人进入内部网络,但也不告诉你何人进入你的公共系统,或何人从内部进入INTERNET网络。一般这种防火墙的特点非常安全,也不需要用户名和密码来登录。这种防火墙速度快而且易于维护,通常作为第一道防线。包过滤路由器的弊端也是很明显的,通常它没有用户的使用记录,这就不能从访问记录中发现黑客的攻击记录,而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的,他们在这一方面已积累了大量经验。“信息包冲击”是黑客比较常用的一种攻击手段,黑客们对包过滤式防火墙发出一系列信息包,不过这些包中的IP地址已经被替换掉了,取而代之的是一串顺序的IP地址。一旦有一个包通过了防火墙,黑客便可用这IP地址来伪装发出的信息。
2.2 代理服务器
如果说包过滤只是根据地址进行选择而对IP包要么原封不动进行转发要么被限制的话,那么代理服务器完全是对包进行拆封并经过功能分析后重新封装。最好的例子是在内部网站执行telnet的过程。内部网站先将IP请求包传输给代理服务器,然后由服务器剖析后重新产生请求发向目的站点。如果不经过代理服务器,内部网络的请求根本到不了目的网站,因为这些IP包在代理服务器上是不会自动转发的。反向的情况也一样。这样利用客户端软件连接代理服务器后,代理服务器启动它的客户端代理软件,然后传回数据。由于代理服务器重复所有通讯,因此能够记录所有进行的工作。只要配置正确,代理服务器就绝对安全,这是它最可取之处。它阻挡任何人进入,因为没有直接的IP通路,所有IP都需要进行转换发送。
可见只要通过设置防火墙,就可允许单位内部员工使用EMAIL,浏览WWW及文件传输,但不允许外界任意访问公司内部的计算机,你也可以禁止内部不同部门之间互相访问。
3.防火墙服务器如何设置
一级防火墙是整个内部网络对外的枢纽,是一定需要设立的。它一边联接单位内部网络,一边通往防火区网络。防火区网络上可摆上单位对外提供服务的主机,例如:WEB Server、EMAIL Server、POP3Server及FTP server等,提供对外的服务。有些人会认为这些服务主机,既然是要给外人使用的,为什么不直接摆在防火墙外,而要摆在防火墙内接受防火墙的控管呢?其实这个道理很简单:首先,摆在防火墙内,你可以对任何存取你的服务器的访客留下记录,以供日后的追查或统计分析。其次,可增加其安全性,避免黑客对你的服务器的攻击。防火墙的设定,可保证你的服务器主机只提供它应提供的服务,而阻挡所有不当的存取与连线,避免黑客在你的服务主机上开后门。这就是要开一个防火区网络来放置 所有对外的服务主机的道理。
单位可根据实际的需要,将某些较重要而有安全顾虑的部门网络,加上防火墙的配置(见图1),此即所谓的单位内防火墙(Intranet Firewall)。单位内防火墙的功能与主防火墙类似,但因为其数量可能很多,会分配到各部门的网络内,因此其管理规则的设定、系统的维护,不应太过困难。 单位希望建置一个安全的网络环境,除了采用防火墙之外,当然还必须妥善的规划其架构,拟定其安全政策,最重要的是必须彻底执行其安全政策,而防火墙是落实这些安全政策的必要且重要的工具之一。INTERNET网络商用化的趋势愈来愈明显,单位网络的安全性规划更是刻不容缓,一个好的防火墙的规划必须能充分的配合执行单位所制定的安全政策,再加上安全的建置架构,方能提供单位一个方便而安全的网络环境。
4.防火墙的选购策略
(1)选配防火墙前,首先要知道防火墙的最基本性能。
防火墙一般应具备如下性能:
①防火墙除包含先进的鉴别措施,还应采用如包过滤技术、加密技术、可信的信息技术等尽量多的技术。同时需要配备身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等。
②防火墙过滤语言应该是友好灵活的,同时应具备若干诸如源和目的IP地址、协议类型、源 和目的TCP/UDP端口及入出接口等过滤属性。
③防火墙应该忠实地支持自己的安全性策略,并能灵活地容纳新的服务和机构,改变所需的安全策略。防火墙应包含集中化的SMTP访问能力,以简化本地与远程系统的SMTP连接,实现 本地E-mail集中处理。
④若防火墙需Unix之类的操作系统,该系统的版本安全本身就是一个需要考虑的重要问题,应该作为防火墙的一部分,当用其他安全工具时,要保证防火墙主机的完整性,而且该系统应能整体安装。防火墙及操作系统应该可更新,并能用简易的方法解决系统故障等。
(2)选购防火墙前,还应认真制定安全政策,也就是要判定一个周密计划。安全政策是规定什么人或什么事允许连接到哪些人或哪些事。也就是说,事先要考虑把防火墙放在网络系统的哪一个位置上,才能满足自己的需求,才能确定欲购的防火墙所能接受的风险水平。
(3)在满足实用性、安全性的基础上,还要考虑经济性。
5.INTERNET联网应用实例
5.1 系统设计目标
(1)首先建立安装防火墙使用可编程路由器作为包过滤器,此法是目前用得最普通的网络互连安全结构。路由器根据源/目的地址或包头部的信息,有选择地使数据包通过或阻塞。
(2)其次建立安装防火墙的基本方法是,把防火墙安装在一台双端口的主机系统中,连接内部网络。而不管是内部网络还是外部网络均可访问这台主机,但外部网络不能与内部网上的主机直接进行通信。
(3)另外由于计费的需要,防火墙系统对外防火墙,对内审计、计费系统。
实际上防火墙需是集IP流量计费、流量控制、网络管理、用户验证、安全控制于一身的综合防火墙。本系统的主要功能包括:防止外部攻击,保护内部网络、解决网络边界的安全问题。通过防火墙隔离内外网络支持访问代理功能对IP地址进行访问控制对端口进行访问控制对协议进行访问控制。
5.2 防火区结构构架
我们实际上采用的是在内部网络与INTERNET接入网之间设立一个防火区。防火区由Cisco 2501路由和E-MAIL服务器、WEB服务器和代理服务器组成,相互之间用HUB相连。允许外部INTERNET用户作限定的访问。允许内部网站通过代理服务器对外访问。
5.2.1 过滤路由器
其中Cisco 2501通过MODEM和DDN专线负责接入CHINANET(163)及CHINAINFO(169国内多媒体信息网),实现与INTERNET连接。其主要用作过滤路由和网络地址转换(NAT)。虽然防火区内每个服务器都配有163地址和169地址,但是防火区中的服务器网段上,实际只配置了169地址网段,这样所有需要访问上述服务器含163地址(202.96.XX.XX)的IP包都被转成对应的含169地址(10.103.XX.XX)的IP包。这项任务由路由器2501来完成。这样处理可以既 不影响速度,也减少了设备,又便于进行管理。
5.2.2 代理服务器
5.2.1.1 配置及主要功能
代理服务器配置为:P11/512M内存/6.4G硬盘4只/3C509网卡2块/LUNIX操作系统其主要作为内部网络访问外界的代理服务器,也是主要的防火墙,一般由其外发的IP包的地址为设置成202.96.XX.5格式,这样在黑客截走这个包后再企图对该服务器进行进攻会招致失败。另外该服务器还作为front page服务器,这样使得在内部对相同的网站进行访问时,只要提 供从服务器自身获取数据即可。这样可以提高速度降低费用。
5.2.2.2 流量控制
在流量统计方面可以分别按IP地址,按服务类型进行流量统计,可以对国内国外、流入流出进行统计,用户可以根据情况自定义国内和国外子网段,针对不同的子网段可以有不同的访问控制和计费标准。流入流量就是由外部网络到内部子网的流量,流出流量是由内部子网访问外部网络的流量。IP防火墙可分别统计从内部子网到国内国外的流量,以及内外子网流入流出的流量。可按流量日志统计管理,支持数据库,支持统计、计算、查询和报表,实时监控,显示网络的通断状态。
防火墙可实时监控网络状态,并留有历史记录,管理员可以通过图表查看网络通断状态。管 理员可监控每一个用户的使用流量并根据需要中止该用户当月的使用。
5.2.2.3 主要技术
主要技术有IP包过滤、IP计费、IP和MAC地址的对应、RADIUS用户验证和授权、主机安全、 地址转译。
5.2.3 其他服务器
5.2.3.1 WEB服务器
配置为:P11/256MB内存/6.4GB硬盘2只/3C509网卡1块/WINDOWS NT其主要用于存放公司主页等;另外为了访问安全和提高访问速度,我们要求另在169系统上 申请一个300MB的存储空间,主要作为主页的访问镜像。
5.2.3.2 E-MAIL及DNS服务器
配置为:P11/256MB内存/6.4GB硬盘2只/3C509网卡2块/LUNIX主要外来的电子邮件接收、外出邮件发送和域名转换。提供SMTP和P0P3功能。
5.3 系统安装
5.3.1 网络地址配备
在安装前首先向电信部门申请DDN专线,同时在申请到20个169的IP地址(10.103.XX .XX)及8个163的IP地址(202.96.XX.XX)。对IP地址进行分配。其中:3个163 IP地址用于线路及路由器,还有5个地址用于服务器。4个169 IP地址用于网络连接,3个169 IP地址用于线路及路由器。5个169 IP地址用于公有的163地址作对应,即还有4个169的地址保留。
我们的网段分配如下:
路由器、WEB服务器、EMAIL SERVER、代理服务器各分配到1个163地址和169地址,这些设备之间通过同一网段169网段连接。我们为163设置虚拟网段,由路由负责将163网络地址转换成169地址。内部网络的IP地址统一为172.16.XX.XX,为了实现代理服务器、MAIL SERVER等与内部网络连接,我们给代理服务器和MAIL SERVER各分配了一个内部网络地址。
5.3.2 系统安装
a 网络连接
b 路由及各服务器操作系统安装调试
c 根据地址分配设置网卡地址,注意代理服务器的169地址应该设置成网关地址(GATEWAY)
d 代理服务器计费软件和Front Page安装调试
e WEB服务器调试
f MAIL SERVER域名转换安装调试
5.4 防火墙系统的维护原则
防火墙的维护防火墙的管理维护工作,是一项长期、细致的工作。必须经过一定水平的业务培训,对自己的计算机网络系统,包括防火墙在内的结构配置要清楚。
实施定期的扫描和检查,发现系统结构出了问题,能及时排除和恢复。
保证系统监控及防火墙之间的通信线路能够畅通无阻,以便对安全问题进行报警、修复、处理其他的安装信息等。
保证整个系统处于优质服务状态,必须全天候的对主机系统进行监控、管理和维护,达到万无一失。
6.总结
我们目前设计的系统已经实现了基本安全和日常流量控制,主要包括:
①通过虚拟地址设立,有效控制外来访问,实现防止外来入侵目的;
②控制双向信息流向和信息包,并对进出流量进行计算以控制费用;
③通过地址转换隐藏内部IP地址和实际网络结构;
④便于提供VPN功能。
目前的系统设计上,不能完全阻挡有经验的黑客袭击,特别是内部黑客的袭击。服务器使用 的是Red Hat的Linux,系统本身不会受到常见病毒的感染,但其不能对病毒进行过滤,工作站受病毒侵袭的可能依然存在。所以今后网络安全在技术和管理上还有待于进一步发展。
作者单位:浙江大学快威科技产业总公司,310013 杭州
7.参考文献
1 韦卫等.Internet网络层安全协议理论研究与实现.计算机学报,1999;22(2):171~176
2 胡道元,那日松.Internet安全及解决方案.金融电子化,1999;2:21~23
3 曾明.代理服务器与Internet访问管理.计算机通信,1999;2:50~52
发布人:netbull 来自:蓝森林