论文部分内容阅读
摘要:防火墙是在内部网与外部网之间实施安全防范的系统,它限制外界用户对内部网络的访问,管理内部用户访问外部网络的权限,保护着主机信息在网络上的安全。分布式防火墙技术的使用可以加强内外网关之间数据交换的安全性,本文使用该技术设计、实现了内外网关数据的安全交换。
关键词:分布式防火墙;内网关;外网关;数据交换;安全
Abstract:The firewall is the security system between the internal network and the external network, it restricts the outside user visit to internal network, manages the jurisdiction of the internal user to visit the exterior network, and protects the main engine information security in the network. The use of distributed firewall technology might strengthen security of the data exchange between the inside and outside gateways, this paper uses this technology to design and realize the inside and outside gateway data exchange safely.
Keywords:Distributed firewall;internal gateway;external gateway;data exchange;security
防火墙是在内部网络和外部网络之间架起的一层屏障,它综合采用适当的技术,加强内外网络之间的访问控制,它对两个网络间传输的报文和连接方式按照一定的安全策略进行检查,来决定网络间的通信是否被允许,从而达到保护内部网络的目的。防火墙,是用来防范非授权的访问,保护信息安全的一个或一组系统。一般意义上的防火墙用于非授权访问的防范,这种防范对于企事业单位的网络安全起到了非常重要的作用。
防火墙是一种行之有效的网络安全机制,它由软件或硬件设备组合而成,处于企业或网络群体计算机与Internet之间,限制外界用户对内部网络访问及管理内部用户访问外部网络的权限,作为内部网与外部网之间实施安全防范的系统[1],其位置如图1所示。
由于从互联网或从内部网上产生的任何活动都必须经过防火墙,它可被认为是一种访问控制机制,用来确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。
防火墙的本质功能主要包括如下几方面[2]:
(1)IP地址的保存和流转发。许多防火墙具有路由器的功能,因而,不同网络之间可以交换信息。
(2)网络分割。防火墙通过给客户局域网和其他网络之间设置一道分界线来实现其功能。
(3)防护DoS、扫描、Sniffer攻击。防火墙在数据的输入和输出节点处设置了一个监视器,可以通过防火墙限制任何选定的数据通过。
(4)IP地址和端口过滤。防火墙可以根据客户定义,对某些IP地址和端口进行连接或者拒绝连接。
(5)内容过滤。代理服务器通过检测URL和页面内容来控制信息传输,它是唯一采用这种方式的防火墙。如果配置准确的话。面向代理的防火墙可以鉴别并且阻止有害的内容通过。
(6)数据包重定向。防火墙可以将数据流从一个端口或主机转发到另一个端口或主机。
(7)增强的认证及加密功能。防火墙可以认证用户,在自己和其它网络防火墙之间加密传输信息。
(8)补充日志。防火墙的一个最重要的功能是允许用户检查所有网络数据包的详细资料。
Bellovin[3]于1999年提出了分布式防火墙的概念。分布式防火墙是指物理上有多个防火墙实体在工作,但在逻辑上只有一个防火墙。从管理者角度来看,它不需要了解防火墙分布细节,只要清楚有哪些资源需要保护,以及资源的权限如何分配即可。
分布式防火墙[4]安全体系具有以下特点:一是灵活性。分布式防火墙布置非常灵活,用一个过滤器可以隔离一个或多个资源,由于过滤器在设计上的特点,它可以在不影响网络拓扑结构的情况下透明接入,不需要原网络软硬件有任何设置改变。二是易管理性。分布式防火墙是集中管理,在一台管理站上可添加、删除、修改资源,并可对所有的资源进行权限设置,大大方便了管理员使用。三是高可靠性。由于过滤器是专用的过滤设备,除了管理站命令外,对外基本不响应,因此很难被攻击,过滤器和管理站的通信均使用带签名的加密包,安全可靠。四是成本低。在分布式防火墙中用得最多的是过滤器,过滤器本身设备简单,与价格万元以上的商业硬件防火墙相比,价格优势很大。
在现实生活中,由于政府、银行、证券和部队等安全性要求很高、涉及单位秘密的内部网络与外部相对不安全的网络互联的需求越来越多,如何万无一失地保证内部网络的安全,防止内网信息泄密,阻止外网病毒和木马的攻击,显得格外重要。有没有什么方法可以在保证内部网络与外部网络之间实现信息安全交换的同时,提供了很高的安全性?本文主要讲述如何使用分布式防火墙技术来实现内外网关数据安全交换。
在细述之前,我们先通过一个简单的实例,了解一下一个数据包是如何从内部网络的一台主机上发送到Internet,并从Internet返回到内部网络的该台主机的。
假设一个内部用户(192.168.6.123:2000)发送一个数据包到Internet上的一台主机(202.102.192.68:80),其整个数据传输过程如下所示:
第一步:内网关接收到内部主机的数据包请求:
192.168.6.123:2000 --> 202.102.192.68:80
内网关数据交换模块将此包通过物理隔离控制模块发送到外网关;
第二步:外网关从物理隔离控制模块中接收到内网关发送来的内部主机请求数据包,在内外地址映射表中添加一条记录,内外地址映射表的大致结构如下所示:
第三步:外网关对数据包进行地址转换,转换后的格式如下:(假设外网关的出口IP地址为:192.168.2.241)
192.168.2.241:I --> 202.102.192.68:80(其中I是一个变量,代表外网关的发送数据包端口号)
然后将该数据包通过网卡发送到Internet上;
第四步:当该数据包请求得到Internet主机响应时,外网关数据交换模块捕获该响应包如下:
202.102.192.68:80 --> 192.168.2.241:I
通过内外地址映射表的对应关系可以对该数据包进行还原如下:
202.102.192.68:80 --> 192.168.6.123:2000
第五步:外网关数据交换模块把还原后的数据包:
202.102.192.68:80 --> 192.168.6.123:2000
通过物理隔离控制模块发送到内网关上;
第六步:内网关数据交换模块接收到外网关发送来的还原后的数据包,把该数据包通过网卡发送到内部主机192.168.6.123:2000上。
为了更加清晰地描述数据包的交换过程,上述过程并没有描述内网关的用户验证、日志记录以及病毒检测功能,同时也忽略了一些实现细节,如:数据包MAC地址的转换、ARP包的应答处理以及不同协议数据包的不同分析等等。
由此可以看出,内外网关数据交换系统应该能够实现以下几个功能:内网关数据交换模块所实现的功能包括:用户验证、日志记录、病毒检测以及网络数据交换。外网关数据交换模块所实现的功能包括:网络地址转换(NAT)以及网络数据交换。内外网关数据交换系统根据功能可分为以下几个部分:内网处理单元、外网处理单元、信息交换装置。具体结构如图2所示:
本文只针对内外网之间数据安全交换的实现来进行描述,所以用户验证、日志记录、病毒检测等功能暂时不予描述。
1.内网关数据交换模块设计
内网关数据交换功能是通过内网关数据交换程序来完成的,内网关数据交换程序主要流程示意图如图3所示。
内网关数据交换程序主要包括三个线程:第一个线程在内网关入口处抓包,并把内部用户的请求数据包放到公共输出缓存区链表中;第二个线程负责将公共输出缓存区链表中的数据包,通过物理隔离控制模块发送到外网关;第三个线程负责接收从外网关通过物理隔离控制模块进入内网关的数据包,并把接收到的数据包发送到内部网络中。
2.外网关数据交换模块设计
外网关数据交换模块要实现两个主要功能:网络地址转换(NAT)及网络数据交换。其中,网络地址转换功能的实现,即实现内外网络的地址转换是外网关数据交换的主要功能,要对不同类型的IP包进行拆包分析,并采取不同的方案进行转发;网络数据交换功能是由外网关数据交换程序来完成的。
内网地址与外网地址的动态转换(NAT)完全依赖于内外地址映射表,该映射表在外网关数据交换程序中起着举足轻重的作用,表结构设计应该简洁合理,避免烦琐的多次匹配以影响效率,具体的链表结构可设计如下:
实现外网关网络数据交换的外网关数据交换程序主要流程示意图如图4所示:
外网关数据交换程序主要包括三个线程:第一个线程在外网关出口处抓包,并把由Internet返回的应答数据包放到公共输入缓存区链表中;第二个线程负责将公共输入缓存区链表中的数据包,通过物理隔离控制模块发送到内网关;第三个线程负责接收从内网关通过物理隔离控制模块进入外网关的数据包,并把接收到的数据包发送到Internet上。
内外网关数据安全交换的实现将极大地提高安全性要求较高、涉及单位秘密的内部网络的安全性,同时也将有力地提高信息安全领域的安全防范水平。希望本文能够抛砖引玉,吸引更多的老师共同致力于网络安全的工作。
参考文献
[1]V.V.Preetham.冉晓旻,等,译.Internet安全与防火墙[M].北京:清华大学出版社,2004.
[2](美)Anne Carasik-Henmi,等.李华飚,柳帧良,王恒,等,译.防火墙核心技术精解[M].北京:中国水利水电出版社,2005:37-50.
[3]Bellovin S M.Distributed firewalls[J]. Journal of Login,1999,24(5):37-39.
[4]赵戈,等.用分布式防火墙构造网络安全体系[J].计算机应用研究,2004.2.
[5]Terry William Ogletree.防火墙原理与实施[M].电子工业出版社,2001.3.
作者简介:陈晓男(1973--),女,江苏省常州人, 无锡科技职业学院软件外包工程系讲师,江南大学信息工程学院在读工程硕士,研究方向为计算机技术。
联系方式:无锡市无锡科技职业学院软件与服务外包学院(214028),电话:13585029786,E-mail:wxcxn@126.com。
关键词:分布式防火墙;内网关;外网关;数据交换;安全
Abstract:The firewall is the security system between the internal network and the external network, it restricts the outside user visit to internal network, manages the jurisdiction of the internal user to visit the exterior network, and protects the main engine information security in the network. The use of distributed firewall technology might strengthen security of the data exchange between the inside and outside gateways, this paper uses this technology to design and realize the inside and outside gateway data exchange safely.
Keywords:Distributed firewall;internal gateway;external gateway;data exchange;security
防火墙是在内部网络和外部网络之间架起的一层屏障,它综合采用适当的技术,加强内外网络之间的访问控制,它对两个网络间传输的报文和连接方式按照一定的安全策略进行检查,来决定网络间的通信是否被允许,从而达到保护内部网络的目的。防火墙,是用来防范非授权的访问,保护信息安全的一个或一组系统。一般意义上的防火墙用于非授权访问的防范,这种防范对于企事业单位的网络安全起到了非常重要的作用。
防火墙是一种行之有效的网络安全机制,它由软件或硬件设备组合而成,处于企业或网络群体计算机与Internet之间,限制外界用户对内部网络访问及管理内部用户访问外部网络的权限,作为内部网与外部网之间实施安全防范的系统[1],其位置如图1所示。
由于从互联网或从内部网上产生的任何活动都必须经过防火墙,它可被认为是一种访问控制机制,用来确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。
防火墙的本质功能主要包括如下几方面[2]:
(1)IP地址的保存和流转发。许多防火墙具有路由器的功能,因而,不同网络之间可以交换信息。
(2)网络分割。防火墙通过给客户局域网和其他网络之间设置一道分界线来实现其功能。
(3)防护DoS、扫描、Sniffer攻击。防火墙在数据的输入和输出节点处设置了一个监视器,可以通过防火墙限制任何选定的数据通过。
(4)IP地址和端口过滤。防火墙可以根据客户定义,对某些IP地址和端口进行连接或者拒绝连接。
(5)内容过滤。代理服务器通过检测URL和页面内容来控制信息传输,它是唯一采用这种方式的防火墙。如果配置准确的话。面向代理的防火墙可以鉴别并且阻止有害的内容通过。
(6)数据包重定向。防火墙可以将数据流从一个端口或主机转发到另一个端口或主机。
(7)增强的认证及加密功能。防火墙可以认证用户,在自己和其它网络防火墙之间加密传输信息。
(8)补充日志。防火墙的一个最重要的功能是允许用户检查所有网络数据包的详细资料。
Bellovin[3]于1999年提出了分布式防火墙的概念。分布式防火墙是指物理上有多个防火墙实体在工作,但在逻辑上只有一个防火墙。从管理者角度来看,它不需要了解防火墙分布细节,只要清楚有哪些资源需要保护,以及资源的权限如何分配即可。
分布式防火墙[4]安全体系具有以下特点:一是灵活性。分布式防火墙布置非常灵活,用一个过滤器可以隔离一个或多个资源,由于过滤器在设计上的特点,它可以在不影响网络拓扑结构的情况下透明接入,不需要原网络软硬件有任何设置改变。二是易管理性。分布式防火墙是集中管理,在一台管理站上可添加、删除、修改资源,并可对所有的资源进行权限设置,大大方便了管理员使用。三是高可靠性。由于过滤器是专用的过滤设备,除了管理站命令外,对外基本不响应,因此很难被攻击,过滤器和管理站的通信均使用带签名的加密包,安全可靠。四是成本低。在分布式防火墙中用得最多的是过滤器,过滤器本身设备简单,与价格万元以上的商业硬件防火墙相比,价格优势很大。
在现实生活中,由于政府、银行、证券和部队等安全性要求很高、涉及单位秘密的内部网络与外部相对不安全的网络互联的需求越来越多,如何万无一失地保证内部网络的安全,防止内网信息泄密,阻止外网病毒和木马的攻击,显得格外重要。有没有什么方法可以在保证内部网络与外部网络之间实现信息安全交换的同时,提供了很高的安全性?本文主要讲述如何使用分布式防火墙技术来实现内外网关数据安全交换。
在细述之前,我们先通过一个简单的实例,了解一下一个数据包是如何从内部网络的一台主机上发送到Internet,并从Internet返回到内部网络的该台主机的。
假设一个内部用户(192.168.6.123:2000)发送一个数据包到Internet上的一台主机(202.102.192.68:80),其整个数据传输过程如下所示:
第一步:内网关接收到内部主机的数据包请求:
192.168.6.123:2000 --> 202.102.192.68:80
内网关数据交换模块将此包通过物理隔离控制模块发送到外网关;
第二步:外网关从物理隔离控制模块中接收到内网关发送来的内部主机请求数据包,在内外地址映射表中添加一条记录,内外地址映射表的大致结构如下所示:
第三步:外网关对数据包进行地址转换,转换后的格式如下:(假设外网关的出口IP地址为:192.168.2.241)
192.168.2.241:I --> 202.102.192.68:80(其中I是一个变量,代表外网关的发送数据包端口号)
然后将该数据包通过网卡发送到Internet上;
第四步:当该数据包请求得到Internet主机响应时,外网关数据交换模块捕获该响应包如下:
202.102.192.68:80 --> 192.168.2.241:I
通过内外地址映射表的对应关系可以对该数据包进行还原如下:
202.102.192.68:80 --> 192.168.6.123:2000
第五步:外网关数据交换模块把还原后的数据包:
202.102.192.68:80 --> 192.168.6.123:2000
通过物理隔离控制模块发送到内网关上;
第六步:内网关数据交换模块接收到外网关发送来的还原后的数据包,把该数据包通过网卡发送到内部主机192.168.6.123:2000上。
为了更加清晰地描述数据包的交换过程,上述过程并没有描述内网关的用户验证、日志记录以及病毒检测功能,同时也忽略了一些实现细节,如:数据包MAC地址的转换、ARP包的应答处理以及不同协议数据包的不同分析等等。
由此可以看出,内外网关数据交换系统应该能够实现以下几个功能:内网关数据交换模块所实现的功能包括:用户验证、日志记录、病毒检测以及网络数据交换。外网关数据交换模块所实现的功能包括:网络地址转换(NAT)以及网络数据交换。内外网关数据交换系统根据功能可分为以下几个部分:内网处理单元、外网处理单元、信息交换装置。具体结构如图2所示:
本文只针对内外网之间数据安全交换的实现来进行描述,所以用户验证、日志记录、病毒检测等功能暂时不予描述。
1.内网关数据交换模块设计
内网关数据交换功能是通过内网关数据交换程序来完成的,内网关数据交换程序主要流程示意图如图3所示。
内网关数据交换程序主要包括三个线程:第一个线程在内网关入口处抓包,并把内部用户的请求数据包放到公共输出缓存区链表中;第二个线程负责将公共输出缓存区链表中的数据包,通过物理隔离控制模块发送到外网关;第三个线程负责接收从外网关通过物理隔离控制模块进入内网关的数据包,并把接收到的数据包发送到内部网络中。
2.外网关数据交换模块设计
外网关数据交换模块要实现两个主要功能:网络地址转换(NAT)及网络数据交换。其中,网络地址转换功能的实现,即实现内外网络的地址转换是外网关数据交换的主要功能,要对不同类型的IP包进行拆包分析,并采取不同的方案进行转发;网络数据交换功能是由外网关数据交换程序来完成的。
内网地址与外网地址的动态转换(NAT)完全依赖于内外地址映射表,该映射表在外网关数据交换程序中起着举足轻重的作用,表结构设计应该简洁合理,避免烦琐的多次匹配以影响效率,具体的链表结构可设计如下:
实现外网关网络数据交换的外网关数据交换程序主要流程示意图如图4所示:
外网关数据交换程序主要包括三个线程:第一个线程在外网关出口处抓包,并把由Internet返回的应答数据包放到公共输入缓存区链表中;第二个线程负责将公共输入缓存区链表中的数据包,通过物理隔离控制模块发送到内网关;第三个线程负责接收从内网关通过物理隔离控制模块进入外网关的数据包,并把接收到的数据包发送到Internet上。
内外网关数据安全交换的实现将极大地提高安全性要求较高、涉及单位秘密的内部网络的安全性,同时也将有力地提高信息安全领域的安全防范水平。希望本文能够抛砖引玉,吸引更多的老师共同致力于网络安全的工作。
参考文献
[1]V.V.Preetham.冉晓旻,等,译.Internet安全与防火墙[M].北京:清华大学出版社,2004.
[2](美)Anne Carasik-Henmi,等.李华飚,柳帧良,王恒,等,译.防火墙核心技术精解[M].北京:中国水利水电出版社,2005:37-50.
[3]Bellovin S M.Distributed firewalls[J]. Journal of Login,1999,24(5):37-39.
[4]赵戈,等.用分布式防火墙构造网络安全体系[J].计算机应用研究,2004.2.
[5]Terry William Ogletree.防火墙原理与实施[M].电子工业出版社,2001.3.
作者简介:陈晓男(1973--),女,江苏省常州人, 无锡科技职业学院软件外包工程系讲师,江南大学信息工程学院在读工程硕士,研究方向为计算机技术。
联系方式:无锡市无锡科技职业学院软件与服务外包学院(214028),电话:13585029786,E-mail:wxcxn@126.com。