关键词:防火墙;网络安全;网络服务
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)29-7133-02
网络的安全是指通过运用各种管理措施和技术,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。[1]随着计算机网络的迅猛发展,网络安全逐渐成为人们关注的问题。如何才能快捷地访问外部网络,同时又能有效地保护内部局域网的安全――防火墙是实现网络安全的有效产品。
1防火墙的定义
“防火墙”是获取安全性方法的一种形象说法,它是由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。[2]换句话说,防火墙是一种用来加强网络之间访问控制的特殊网络互连设备,是一种非常有效的网络安全模型。
防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。目的是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道,以按照事先制定的策略控制信息的流入和流出,监督和控制使用者的操作。它可以通过监测、限制、更改跨越防火墙的数据源,尽可能地对外部屏蔽网络内部信息、结构和运行状况,以此来保护实现内部网络的安全,构成结构如图1所示。
2防火墙的功能和分类
防火墙主要有以下几种功能:1)网络安全的屏障;2)过滤不安全的服务:3)阻断特定的网络攻击;4)部署NAT机制;5)提供了监视局域网安全和预警的方便端点。
提供包括安全和统计数据在内的审计数据,好的防火墙还能灵活设置各种报警方式。
防火墙主要有分类主要有以下几种[3]:
1)个人防火墙:在操作系统上运行的软件,可为个人计算机提供简单的防火墙功能,如NortonPersonalFirewall、天网个人防火墙、瑞星、360个人防火墙等;
2)软件防火墙:作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。不仅支持Windows系统,并且多数都支持Unix或Linux系统。如CheckPointFireWall-1,MicrosoftISAServer2006等。
3)一般硬件防火墙:一般采用PC架构(就是一台嵌入式主机),但使用的各个配件都量身定制。一般由小型的防火墙厂商开发,或者是大型厂商开发的中低端产品,应用于中小型企业,功能比较全,但性能一般。
4)纯硬件防火墙:采用专用芯片(非X86芯片)来处理防火墙核心策略的一种硬件防火墙,也称为芯片级防火墙。性能高,具有非常高的并发连接数和吞吐量;
5)分布式防火墙:可以对内部网络实现有效地保护,是一种新型的防火墙体系结构(包含网络防火墙、主机防火墙和管理中心)。由于其优越的安全防护体系,符合未来的发展趋势。
3防火墙的局限性
防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失:
①只能防范经过其本身的非法访问和攻击,对绕过防火墙的访问和攻击无能为力;
②来自系统内部网络的攻击及安全问题不能解决;
③受病毒感染文件的传输无法防止;
④策略配置不当或错误配置引起的网络安全威胁无法控制;
⑤人为或自然的故意破坏无法防止;
⑥本身安全漏洞的威胁无法防止。
4防火墙在网络安全中的应用
网络安全隐患的主要原因是由网络的自由性、开放性、无边界性造成的。保护网络安全首先考虑把被保护的网络从这一公共网络环境中独立出来,使之成为有管理、可控制的、安全的内部网络。防火墙是目前用来实现网络安全的一种主要措施。利用防火墙,可以用来在拒绝未经允许的网络连接、阻止敏感数据的泄漏的同时,保证合法用户的合法网络流量畅通无阻,可以实现内部网络(可信任网络)与外部因特网(不可信任网络)之间,或是内部不同子网之间的隔离与控制,保证网络系统及网络服务的可用性。
网络中一般可以在以下位置部署防火墙[4]:
1)域网内VLAN之间控制信息流向时。
2)因特网与因特网之间连接时。
3)在广域网系统中,出于安全需要,总部的局域网可将各分支机构的局域网看成不安全的系统,(通过公网PSTN,DDN,FR,X.25等连接)在总部的局域网和各分支机构连接时采用防火墙隔离。
4)总部的局域网和分支机构的局域网是通过Internet连接,需要分别安装防火墙,并利用VPN组成虚拟专网。
5)在远程用户拨号访问时,加入虚拟专网。
在网络安全系统中使用防火墙,对改善网络系统的安全性有很多优点:
1)可以隔离网络,限制安全问题的扩散。防火墙可以隔离不同的网络,或者隔离网络中的某一个网段,有效地控制这个网段或网络中的问题在不同的网络中传播,达到限制安全问题扩散效果。
2)可以对网络中的安全进行集中化管理,简化网络安全管理的复杂度。只要在防火墙上配置好过滤策略,就使防火墙成为一个网络安全的检查站,所有进出网络的信息都需要通过防火墙,把非法访问拒于门外。从而实现安全的集中统一的管理,简化安全管理的复杂度。
3)能够有效地记录因特网上的活动。因所有进出内部网络的信息都必须经过防火墙,所以防火墙能够收集企业内部网络和外部网络之间或者不同网段之间所发生的事件,为管理员的进一步分析与安全管理提供依据。
5结束语
本文介绍了防火墙概念、功能和分类等,阐述了防火墙在网络安全中的应用。随着网络处理器和ASIC芯片技术的不断革新,对防火墙的要求也越来越高,高性能、多端口、高粒度控制、减缓病毒和垃圾邮件传播速度、对入侵行为智能切断、以及增强抗DOS攻击能力的将是未来防火墙发展的趋势。
参考文献:
[1]王群.计算机网络安全技术[M].北京:清华大学出版社,2010.
[2]石磊,赵慧然.网络安全与管理[M].北京:清华大学出版社,2009.
关键词:网络安全;防范措施;防火墙技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)05-1067-03
1绪论
计算机技术的应用与发展,带动并促进了信息技术的变革,二者正从整体上影响着世界经济和社会发展的进程。但是,伴随而来的是计算机屡遭破坏,轻者丢失数据,重者系统平台和计算机资源被攻击,其损失是不可估量的,因此计算机网络安全是一个日益严峻的问题。为了保护计算机、服务器和局域网资源免受攻击破坏,利用防火墙技术是既流行且可行的一种网络安全防护技术。
2计算机网络面临的主要安全问题
2.1网络安全的定义
网络安全是指网络系统中的硬件、软件及其数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常运行,网络不中断。
2.2网络安全面临的主要威胁
一般来说,计算机网络安全威胁因素主要来自计算机病毒、软件漏洞、黑客非法入侵和用户安全意识不强等几个方面。
2.2.1计算机病毒
计算机病毒是目前数据安全的头号大敌,它是编译者在计算机程序中插入的一组影响计算机软、硬件的正常运行并且能自我复制的计算机代码。
2.2.2软件漏洞
软件漏洞是无法避免的,一般是软件开发者的疏忽或基于编程语言的局限性,而在软件中留下的缺陷。
2.2.3黑客非法入侵
黑客非法入侵从某种意义上讲比一般电脑病毒对计算机安全的危害更为严重,主要是利用操作系统的安全漏洞非法进入他人计算机系统获取信息。
2.2.4用户安全意识不强
用户安全意识不强主要体现在密码长度不够,由单一数字或字母组合;访问有安全隐患的网站;计算机存在共享文件;对下载文件没有及时进行查杀病毒而直接运行等。
2.3网络安全常用技术
2.3.1数据加密技术
数据加密是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息。
2.3.2身份认证系统
身份认证是通过对主客体进行鉴别,并经过确认主客体身份后,赋予恰当的标志、标签、证书等。
2.3.3入侵检测技术
入侵检测技术是指通过收集和分析网络行为、安全日志等数据对入侵行为的检测。
2.3.4防病毒技术
防病毒技术是通过一定的技术手段防止计算机病毒对系统的传染和破坏。
2.3.5文件系统安全
在操作系统中可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限来限制用户访问。
2.3.6防火墙技术
防火墙技术是一种隔离技术,用来阻挡外部不安全因素,其目的就是防止外部网络用户未经授权的访问,它是计算机网络安全的第一道关卡。
3防火墙的概述
随着Internet的迅速发展,网络应用涉及到各个领域,网络中各类重要的、敏感的数据逐渐增多,同时由于黑客入侵以及网络病毒的原因,使得保护网络资源不被非法访问,阻止病毒的感染传播显得尤为重要。就目前而言,对于局域网络的保护,防火墙仍不失为一种有效的手段。
3.1防火墙的主要功能
3.1.1强化网络安全策略
通过以防火墙能将所有安全措施(如口令、加密、身份认证等)配置在防火墙上,这与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济实用。
3.1.2对数据包过滤
数据包过滤是指数据包从一个网络向另一个网络传送过程中通过事先设定的规则对其进行检查以确定是否允许通过。
3.1.3防止内部信息外泄
通过利用防火墙对内部网络的划分,可实现内部网中重点网段的隔离,限制内部网络中不同部门之间互相访问,保障了网络内部敏感数据的安全。同时防火墙还可以阻塞有关内部网络中的DNS信息,从而避免内部信息外泄。
3.1.4虚拟专用网络
虚拟专用网络功能可以在防火墙与计算机之间对所有网络传输内容进行加密,建立一条虚拟通道。
3.1.5网络地址转换
网络地址转换优点是:一隐藏内部网络真实IP,可以使黑客无法直接攻击内部网络;二可以让内部使用保留IP,即私有网段IP,可以解决IP不足的情况。
3.1.6提供详细日志记录
由于对网络存取和访问都必须经过防火墙,因此防火墙就不仅保存完整的日志记录,还能够提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
3.2防火墙的分类及工作原理
国际计算机安全委员会ICSA将防火墙分成三大类:包过滤防火墙、应用级服务器及状态包检测防火墙。
3.2.1包过滤防火墙
包过滤防火墙就是把接收到的每个数据包同预先设定的包过滤规则相比较,从而决定阻止或通过。
3.2.2应用防火墙
应用防火墙是针对数据包过滤和应用网关技术将所有跨越防火墙的网络通信链路分离。
3.2.3状态包检测防火墙
状态包检测防火墙在建立连接时,检查预先设定的安全规则,符合规则的连接允许通过,并记录相关信息,动态生成状态表。
3.3防火墙应用实例
在供电分公司骨干链路出入口处部署一台普天网安PT-WA2000防火墙,主要技术参数为:6个10M/100M以太网接口,400Mb?ps吞吐量,80万并发连接数,1200条VPN通道;防火墙将分公司、内网和外网隔离。(网络拓朴图如下)
3.3.1普天防火墙的功能
1)对外网进入内网的所有数据流可以毫无遗漏地进行控制,消除了网络安全的死角。
2)内网用户只能单向主动地访问互联网,而互联网上的机器不能主动访问内网用户。
3)VPN远程用户可以登陆防火墙,通过对防火墙所做的通信规则实现对防火墙连接的所有网络进行不同程度的访问。
4)充分利用防火墙的路由功能,拆除多余的路由器,简化网络,提高内网的通信效率,降低维护成本。
5)充分利用防火墙的带宽保证功能,确保主要业务和特殊用户的带宽使用,针对P2P技术的下载流量也可进行限制与管理。
6)通过防火墙的实时日志管理功能及日志服务器对防火墙的日志实时接收,方便了网络管理员对用户网络运行的监控与管理及对网络中异常的访问的排查。
7)通过防火墙的用户认证管理机制,对互连网访问的用户实现监控与管理。
3.4防火墙的主要技术优缺点分析
3.4.1包过滤技术
优点:包过滤防火墙工作在网络层,因此处理数据包的速度快,此外它还提供透明服务,即不需要用户名和密码来登录。缺点:网络层在OSI体系中处于较低的层次,因此安全防护也是较低级,不能彻底防止地址欺骗。
3.4.2应用技术
优点:应用型防火墙工作在应用层,对内部网络用户而言是透明的,而对外部网络却隐藏了内部IP地址,可以保护内部主机不受外部攻击。
缺点:速度较路由器慢,对于每项服务可能要求不同的服务器,不能改进底层协议的安全性。
3.4.3状态检测技术
优点:配置了“专用检测模块”,更容易地实现应用与服务的扩充。缺点:配置复杂,因而降低了网络速度。
4防火墙的未来发展趋势
4.1防火墙未来发展设想
1)形成以防火墙为核心的计算机网络安全体系。迄今为止,防火墙技术仍是应用最广泛的计算机网络安全防护技术,其重要性不可替代,但是要想最大程度地保护网络安全,仅凭防火墙单方面的作用是不行的,还必须借助其他手段构建以防火墙为核心,多个安全系统协作配合的计算机网络安全体系。
2)防火墙硬件技术架构上的发展趋势。目前防火墙正逐步向基于网络处理器ASIC芯片架构上发展。网络处理器由于内含多个数据处理引擎,能够直接完成网络数据处理工作从而减轻CPU的负担。
3)智能技术的进一步发展。目前的防火墙只能识别一些已知的攻击行为,对于未知的攻击则显得力不从心,因此智能化是将来的发展趋势,能自动识别并防御黑客的各种手法及相应的变种。
4)分布式技术的进一步发展。分布式技术将是未来的趋势,多台物理防火墙协同工作,组织成一个强大的、具备并行处理能力、负载均衡的逻辑防火墙,不仅保证了在大型网络安全策略的一致,而且集中管理,大大降低了资金、人力及管理成本。
5)经济高效的发展趋势。防火墙要防止各种网络的攻击,其性能势必会下降。安全性和实用性是一对主要的矛盾,经济高效的防火墙将是未来研究的方向。
随着网络技术的不断发展,网络安全正面临着越来越大的威胁,局域网络中部署防火墙已是至关重要的。虽然目前的防火墙还存在一定的缺陷,但是在科研人员的研发下已在不断完善,从单纯地拦截黑客的恶意攻击,逐步走向安全事件管理及安全信息管理,并将最终成为未来网络安全技术中不可缺少的一部分。
参考文献:
[1]王卫平.陈文惠.朱卫未.防火墙技术分析[J].信息安全与通信保密,2006.
关键词:防火墙技术;体系配置;选择实施
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)15-20ppp-0c
DeployandImplementationofComputerFirewallSystem
ZHOULi
(YunnanJinmaMachineryGeneralFactory,Kunming650102,China)
Abstract:InternetsecurityisnotonlyrelatedtothefurtherdevelopmentoftheInternetandpopularityevenlinkedtotheInternettoputersecurityaremanyfactorstoestablishanabsolutesecurityofinformationsystems,howtobuildbettersecuritydefenses,ensurethetransmissionofinformationsecurity,thefirewallhasbecomethecomputertechnologytoexaminetheimportantissuesoftheworld.Thisarticleanalyzednotonlythehistoryofthefirewallbutalsohowtobuiltupastrongfirewallinthefuture.
Keywords:Firewalltechnology;Systemstructure;Choiceimplementation
随着计算机网络技术的不断发展和完善,计算机网络的应用已经渗透到人们日常生活的各个方面,对社会各个领域的发展产生了重要影响。我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理,伴随着网络应用的发展,这些信息都通过网络来传送、接收和处理。然而,由于计算机网络在设计之初只考虑了它的开放性、共享性而忽略了它的安全性,构成计算机网络的许多要素从网络操作系统到网络传输协议TCP/IP以及各种网络服务软件都存在着设计缺陷或者系统漏洞,使得一些重要的计算机网络系统极易成为黑客恶意攻击的目标。为了维护计算机网络的安全,人们提出了许多手段和方法,采用防火墙是其中最核心、最有效的手段之一。
1防火墙的体系结构
防火墙系统通常是由过滤路由器和服务器组成。对于一个典型的防火墙的体系结构来说,它包括屏蔽路由器、双宿主主机、被屏蔽主机,被屏蔽子网等类型。
1.1屏蔽路由器
这是防火墙最基本的构件,它可以由厂家专门生产的路由器实现,也可以由主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以装有基于IP层的报文过滤软件,实现报文过滤功能。它的缺点是一旦被攻陷之后很难发现,而且不能识别不同的户。
1.2双宿主主机
双宿主主机结构是一台至少装有两块网卡或者说至少具有两个网络接口的堡垒主机构成的。其中的两块网卡分别和内网和外网相连,而防火墙的功能则是用堡垒主机运行的防火墙软件来实现。采用双宿主主机结构时,允许内网和外网与双宿主主机进行连接,但是不允许内网和外网直接通信。双宿主主机将在内网和外网的信息完全切断了,从而保护了内部网络。这种结构的优点是它可以利用堡垒主机中记录下的各种日志,可以便于日后检查。但是由于只有堡垒主机这一道屏障,一旦被攻破,那么防火墙就不会再起作用,整个内网完全暴露了出来。所以为了保护内网,双宿主主机要禁止网络层的路由功能,加强身份认证系统,尽量减少在堡垒主机上的用户的帐户数目。
1.3屏蔽主机网关
屏蔽主机网关是由过滤路由器和应用网关组成的。这种结构使用了一台过滤路由器,它提供来自仅仅与内部网络相连的主机的服务,也即强迫所有到达路由器的数据包被发送到被屏蔽主机。对于这种结构来说,堡垒主机是配置在内部网络上的,而在内网和外网之间放有包过滤路由器。并且在路由器上设定好规则,使从外网来的数据必须要经过堡垒主机,而去往其它主机上的信息被阻塞了。在这种体系结构中,主要的安全是由数据包过滤提供的,而数据包过滤的设置必须要保证堡垒主机是内网和外网之间的唯一通道。同双宿主主机结构一样,堡垒主机也是至关重要的地方。此时它提供了众多的网络服务,例如:邮件服务器、新闻服务器、DNS服务器,打印服务器或文件服务等等,因此它的安全配置重要到直接决定了整个内网的安全。
1.4被屏蔽子网
在屏蔽主机网关的结构中,我们可以看到堡垒主机是受到攻击的主要部分,而且也使得内网的安全完全依靠于堡垒主机。那么如果在屏蔽主机网关的结构中多用上一台路由器,而这台路由器的意义主要在于构建一个安全子网在内网和外网之间。如果入侵者想攻入内网的话,那么他就必须在攻破堡垒主机之后,还要面对内部路由器,大大提高了安全性。这种结构就是当然具体建造防火墙时,为了解决安全问题,通常进行多种组合以便发挥更大的作用。
2防火墙的安全防护措施及选择和实施
2.1防火墙的安全防护措施
防火墙攻击可以分为三部:防火墙探测、绕过防火墙的攻击和破坏性攻击。在防火墙探测攻击中,一旦攻击者标识出目标网络的防火墙,就能确定它们的部分脆弱点。对于这一类攻击,可以通过设置防火墙过滤规则把出去的ICMP数据包过滤掉,或者可以在数据包进入防火墙时,检查IP数据包的TTL值。如果为1或者0则丢弃,且不发出任何ICMP数据包来达到防止这种探测的目的。绕过防火墙攻击通常是利用地址欺骗、TCP序列号等手段绕过防火墙的认证机制。可以在配置防火墙时过滤掉那些进来数据包的源地址是内部地址的数据包来达到防范IP欺骗攻击;对源路由攻击所采取的防御方法就是简单丢弃所有包含源路由选项的数据包;对于分片攻击目前可行的解决方案是在分片进入内部网络之前防火墙对其进行重组,但是这增加了防火墙的负担,也影响防火墙传发数据包的效率;木马攻击是比较常用的攻击手段,最好的防范就是避免木马的安装以及在系统上安装木马检测工具。
2.2防火墙的选择和实施
2.2.1选择
首先是明确目的。想要如何操作这个系统,亦即只允许想要的工作通过,比如某企业只需要电子邮件服务,则该企业将防火墙设置为只允许电子邮件服务通过,而禁止FTP.WWW等服务;还是允许多种业务通过防火墙,但要设置相应的监测、计量、注册和稽核等。其次是想要达到什么级别的监测和控制。根据网络用户的实际需要,建立相应的风险级别,随之便可形成一个需要监测、允许、禁止的清单,再根据清单的要求来设置防火墙的各项功能。
第三是费用问题。安全性越高,实现越复杂,费用也相应的越高,反之费用较低,这就需要对网络中需保护的信息和数据进行详细的经济性评估。一般网络安全防护系统的造价占需保护的资源价值的1%左右。所以在装配防火墙时,费用与安全性的折衷是不可避免的,这也就决定了“绝对安全”的防火墙是不存在的。可以在现有经济条件下尽可能科学的配置各种防御措施,使防火墙充分地发挥作用。
2.2.2防火墙的实施技术
2.2.2.1网络地址转换技术(NAT)
NAT现在已成为防火墙的主要技术之一。通过此项功能可以很好地屏蔽内部网络的IP地址,对内部网络用户起到了保护作用。NAT又分“SNAT(SourceNAT)”和“DNAT(Des-tinationNAT)”。SNAT就是改变转发数据包的源地址,对内部网络地址进行转换,对外部网络是屏蔽的,使得外部非法用户对内部主机的攻击更加困难。而DNAT就是改变转发数据包的目的地址,外部网络主机向内部网络主机发出通信连接时,防火墙首先把目的地址转换为自己的地址,然后再转发外部网络的通信连接,这样实际上外部网络主机与内部网络主机的通信变成了防火墙与内部网络主机的通信,这样就有效地保护了内部主机的信息安全。
2.2.2.2加密技术
加密技术分为两类:即对称加密和非对称加密。在对称加密技术中,对信息的加密和解密都使用相同的钥匙,这种加密方法可简化加密处理过程。在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密。现在许多种类的防火墙产品都采用了加密技术来保证信息的安全。
2.2.2.3多级的过滤技术
防火墙采用分组、应用网关和电路网关的三级过滤措施来实现其功能。在分组过滤一级,能过滤掉所有的源路由分组和假冒的IP源地址;在应用网关一级,能利用SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的执行严格控制。
3结束语
在互联网高速发展的时代,人们在享受众多快捷信息的同时,网络安全问题也变的日趋重要。防火墙作为维护网络安全的第一道防线,被认为是威力最大、效果最好的有利保护措施,已成为保障计算机网络安全不可缺少的必备工具,并得到了广泛的应用,但是我们也不能过分依赖防火墙,防火墙不是万能的,网络的安全是一个整体,并不是有某一样特别出色的配置,所以我们要合理的应用防火墙,使它发挥最大的功效,为我们提供更安全的保障。
参考文献:
[1]周明全,吕林涛,李军怀.网络信息安全技术.西安电子科技大学出版社,2005年12月,P143-150.
[2]朱鹏.基于状态包过滤的防火墙技术.微计算机工程,2005年3月,P197-199.
[3]吴功宜.计算机网络.清华大学出版社,2005年9月,P386-392.
[4]胡道元,闵京华.网络安全.清华大学出版社,2005年9月,P145-167.
[5](美)AnneCarasik-Henmi,等.李华飚,柳振良,王恒,等.防火墙核心技术精解.中国水利水电出版社,2005年12月,P256-277.
[6]王代潮.曾能超防火墙技术的演变及其发展趋势分析,信息安全与通信保密,2005年7月.
【关键词】办公网;技术网;防火墙;隔离
1.概述
1.1当前网络状况
随着广播发射电台网络建设的发展,电台的业务需求也呈现多样化,台站网络按照规划一般分为两个网段:办公(OA)网和技术网。在现有的网络中,以一台H3CS5500交换机作为电台办公网的核心交换机,办公网通过H3CS5500上联MSR3020路由器,通过MSR3020接入全局广域网,H3CS5500与MSR3020之间采用Eudemon200防火墙隔离。
技术网以一台三层交换机H3CS5500为核心,接入采用二层方式连接。改造之前办公网与技术网之间没有添加隔离设备,物理直接相连,通过静态路由协议互通。如图1所示。
图1网络连接示意图
1.2办公网与技术网隔离的背景
1.2.1网络潜在威胁
由于计算机网络的发展,信息系统的不安全因素陡然增加。网络的不安全因素主要表现为下列几个方面:[1]
物理临近攻击。
内部犯罪。
信息泄露。
重放攻击。
篡改和破坏。
恶意程序的攻击。
系统脆弱性攻击。
网络安全隐患是全方位的,软件,硬件,人为等因素都会造成网络的故障,甚至是不可挽回的损失。我们现在需解决的是电台办公网与技术网的隔离问题,也就是说要保证办公网即使出现计算机病毒,恶意代码等也不会波及到技术网。反之技术网的安全威胁也不会波及到办公网。
1.2.2隔离原因
在改造之前的运行环境中,技术网和办公网之间是通过静态路由互通的,两网之间没有任何的隔离措施。
根据无线电台管理局内网网络建设的要求,办公网和技术网的安全级别是不一样的。技术网主要部署安全播出服务器和控制终端,安全级别要求更高,技术网的网段地址不对外,只在台站内有效;办公网网段是全局广域网的,局机关与台站以及各台站之间都可以互访。因此为了保证网络安全,在办公网和技术网之间须要增加安全隔离措施,以尽量避免或减少病毒、攻击等网络威胁对技术网造成影响。
在两网之间,办公网用户与技术网用户不需要进行数据交换,办公网服务器与技术网服务器分别设有一台应用服务器实现数据库数据同步。因此,安全隔离措施将全部禁止办公网与技术网中其余用户和服务器的数据交换,只允许办公网应用服务器(即办公网通讯服务器,例如IP为10.2.72.149)和技术网应用服务器(即技术网通讯服务器,例如IP为172.1.72.5)之间进行数据传递。
2.隔离方案对比
根据电台办公网与技术网现状和需求,我们提出以下四种网络隔离解决方案:
2.1物理隔离
物理隔离是一种完全断开物理上连接的方式,使得办公网和技术网相互不连通。在办公网需要提取技术网相关数据时,通过移动存储介质进行传输。这种方式的优点在于只要保证了存储介质和对技术网进行访问的相关人员的安全,就保证了技术网的绝对安全。
但是由于办公网需要读取的不仅仅是数据库中存储的数据,还包括服务器里实时变动的相应数据,所以采取此方式得到的数据都存在相当大的延迟,从某种程度上讲,得到的数据已经“失效”。
2.2访问控制列表
为了过滤通过网络设备的数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。在识别出特定的对象之后,网络设备才能根据预先设定的策略允许或禁止相应的数据包通过,访问控制列表(AccessControlList,ACL)就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。ACL应用在交换机全局或端口,交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。由ACL定义的数据包匹配规则,还可以在其它需要对流量进行区分。
优点:此方案不需要添加任何隔离设备。仅需要在核心交换机上设置ACL,只允许指定的办公网服务器访问技术网服务器,禁止其余用户访问,配置灵活,维护方便。
缺点:对病毒和网络攻击的防御作用较小。
2.3多功能安全网关
在办公网和技术网之间增加多功能安全网关设备,隔离办公网和技术网。
多功能安全网关工作模式为路由模式,采用静态路由方式。增加包过滤规则,对匹配办公网通讯服务器和技术网通讯服务器的网络流量允许通过,其余流量禁止通过,同时利用访问控制列表过滤病毒端口。
优点:功能强大,整合了防病毒、IDS、IPS、防火墙等功能,降低技术复杂度。
缺点:不能有效防范内部攻击,过度集成造成误判率较高,降低了系统的可用性和稳定性。
2.4防火墙
在办公网和技术网之间增加防火墙设备,隔离办公网和技术网。
防火墙配置路由模式,采用静态路由方式。同时,采用两种隔离规则:
(1)增加包过滤规则,对匹配办公网通讯服务器和技术网通讯服务器的网络流量允许通过,其余流量禁止通过,同时利用访问控制类别过滤病毒端口。
(2)通过NAT方式,对外隐藏技术网应用服务器地址,把该IP地址转换成一个其他地址,转换后办公网中只能看到防火墙转换后的地址,而无法看到原始IP地址,增强了安全性。
优点:性价比高,配置灵活,维护方便,安全性高。
缺点:功能较为单一,不能有效防范内部攻击和未设置策略的攻击漏洞。
2.5方案对比和选择
为了提供最佳的解决方案,我们需要针对电台网络进行综合的分析,权衡利弊,才能提出一个理想的解决方案。
电台办公网与技术网之间数据流量并不大,办公网用户与办公网用户之间除了特定的应用服务器都没有数据交换的需要。但是数据交换具有偶然性、实时性的要求,除了读取数据库中保存的数据,还需要读中间件服务器中的实时变化的数据。综合考虑办公网与技术网的使用现状、流量、数据交换要求、经济性以及安全特性等因素,以上4种解决方案中我们建议采取第四种解决方案,即采用防火墙作为两网间的隔离设备,以达到安全防护的目的。
主要原因如下:
(1)物理隔离方式因为没有直接的物理连接最为安全,但其提供的数据交换不能够满足对技术网数据提取的要求。
(2)访问控制列表过于简单,只能单纯地过滤数据报,不能对报文作深度的监测分析,没有防病毒、抗攻击能力。
(3)多功能安全网关,具备强大的防火墙功能,安全性较高,但价格昂贵,配置复杂,过度集成造成性能下降,误判率高,增加了配置和维护的复杂性。
(4)防火墙功能强大,传输效率高,安全性较高,可对数据报进行深度的监测分析,具有抗病毒、抗攻击能力。
3.防火墙隔离详细设置
3.1防火墙工作模式
针对电台站办公网与技术网现状,防火墙采用路由模式工作,因为只有采用这种工作模式才可以利用NAT技术进(下转第169页)(上接第165页)行地址转换,实现隐藏技术网地址的目的。
在路由模式下,防火墙必须设置接口IP地址。它除了具备路由器的数据包转发功能外,同时解析所有通过它的数据包,增强网络安全性。见图2所示。
图2防火墙隔离示意图
3.2IP地址和路由协议使用
防火墙采用路由模式时与之连接的接口必须配置IP地址,防火墙采用静态路由协议与办公网和技术网互通。
接口地址表如下:
办公交换机S5500,端口为GE0/0/19,IP地址为10.2.72.17;
防火墙,端口为GE0,IP地址为10.2.72.18,端口为GE1,IP地址为10.2.72.21;
技术交换机S5500,端口为E1/0/2,IP地址为10.2.72.22。
NAT地址表:内部地址为172.1.72.5;外部地址为10.2.72.120/29
参照接口地址表和NAT的地址表,路由协议配置规则如下:
(1)技术网核心交换机S5500配置静态路由,规则配置为:去往目标网络地址10.2.72.149,下一跳地址为10.2.72.21。
(2)防火墙配置静态路由,规则配置为:去往目标网络地址172.1.72.5,下一跳地址为10.2.72.22;去往目标网络地址10.2.72.149,下一跳地址为10.2.72.17。同时,设置NAT地址池将地址为172.1.72.5放置在地址池中,转换成地址为10.2.72.120/29绑定在出方向GE1接口,设置global地址10.2.72.121转换成inside地址172.1.72.5。
(3)办公网核心交换机S5500设置静态路由,规则配置为:去往目标网络地址10.2.72.120,下一跳地址为10.2.72.18。
3.3NAT配置
在本防火墙设置中,可以把技术网看作一个内部网络。
NAT就是在技术网中使用内部地址,而当技术网节点要与办公网节点进行通讯时,就在防火墙处将技术网地址替换成一个另外的地址。
通过这种方法,NAT对外屏蔽了技术网网络,所有技术网计算机对于办公网来说是不可见的,而技术网计算机用户通常不会意识到NAT的存在。
在这次改造过程中,我们可在防火墙上配置NAT,针对技术网配置地址转换,技术网应用服务器,IP地址为172.1.72.5,可以看作是内部地址,通过地址转换,转换成IP地址为10.2.72.121的全局地址。
对于办公网来说,办公网只知道技术网应用服务器转换的地址,而不知道真实的地址,这就提高了网络安全性,确保了技术网内服务器的保密性,隐藏了技术网内真实的IP地址。
以上设置能够保证技术网服务器正常访问办公网服务器,同时办公网服务器也能正常访问技术网服务器,而办公网中只知道去往地址的路由,并不会知道技术网服务器的存在,这样就利用防火墙保证了办公网和技术网的安全性和独立性。
4.结论
办公网和技术网隔离的改造完成之后,保障了办公网用户终端安全的使用,技术网应用系统可靠稳定的运行,对电台网络安全建设发挥了巨大的作用,为电台的安全播出工作做出了重要的贡献。
参考文献
无线网络。作为对有线网络的补充,无线网络因其便利和快捷得到广泛应用。无线网络设计采用Fit组网模式,以无线控制器作为整个无线网络的管理核心,采用基于802.11n传输协议且支持MIMO技术的AP作为无线接入点,提高了无线传输质量,也使传输速率得到极大提升。在无线安全方面,可以结合802.1X与终端准入系统,控制合法人员的接入。
网络可靠性。可靠性包括网络节点和网络链路二方面。采用双链路冗余方式互联,同时使用端口聚合技术,不仅形成流量负载分担,而且实现了链路冗余。2台核心设备使用无源背板,且配冗余引擎、冗余电源,并且采用虚拟化技术保证切换时间为毫秒级,将多台设备简化为一台设备进行管理。简化了网络的复杂度,提高了网络的可靠性。
网络部署。主要包括:IP地址规划、MplsVPN设计、VLAN设计和QoS部署。IP地址的规划既要考虑当前现状,又要考虑日后扩展。大型局域网组建中,VLAN技术是不可缺少的关键技术,科学的VLAN设计可以为局域网络带来一系列的优点。QoS部署则是通过QoS技术保证网络中的关键业务优先处理,避免被非关键业务挤占。
网络管理。支持基于Web的远程访问和日志的智能归并,并提供网络管理的基本功能,包括:拓扑管理、性能管理、告警管理、网元管理、安全管理、配置管理等。
设计方案
城市轨道交通信息网络系统,需要连接城市轨道交通指挥中心及各站点,规模相当于一个城域网,其稳定性、安全性尤为重要。把一个大型的网络元素划分成一个个互连的网络层,实际上就是把网络划分为一个个子网,这样网络节点和流量管理变得更加容易,网络扩展更容易处理,新的子网模块和新的网络技术更容易集成。下面以苏州轨道交通1号线信息网络系统设计为例进行介绍。
苏州轨道交通1号线是一个包含约3500个信息点的大型网络,是面向乘客运营服务的开放性系统,未来将有应用集成平台、门户网站、会议视频、RAMS资料查询管理等十几种业务系统,因此对网络设备的性能、链路带宽、业务融合性有很高的要求。为保证数据安全,建设完备的灾备系统也是非常重要的。
网络系统结构
图1为苏州轨道交通1号线信息网络系统构成图。网络系统按照三层结构设计,分别为核心层、汇聚层、接入层。核心层由2台骨干路由器组成,汇聚层由8台汇聚交换机组成,其中2台放置于车辆段,6台放置控制中心,接入层由24个车站通信机房、1个车辆段及控制中心各楼层配线间相应位置的接入交换机组成。
1.核心层。整个网络中的核心层由2台思科7609路由器作为骨干路由器,放置于控制中心,用于高速传输整个网络数据。2台骨干路由器通过万兆光纤互连,形成热备。后期还可与其他线路的骨干路由器互连,形成网状结构,组成整个苏州轨道交通信息网络系统的核心层。
2.汇聚层。采用8台汇聚交换机,其中:2台思科Catalyst6509交换机放置于控制中心信息中心机房作为控制中心汇聚交换机,通过万兆光纤向上连接至骨干路由器,通过千兆光纤向下连接至控制中心各楼层配线间接入交换机。2台思科Catalyst4506交换机放置于控制中心信息中心机房作为车站汇聚交换机。通过万兆光纤向上连接至控制中心骨干路由器,通过千兆光纤向下连接至车站接入交换机。2台思科Catalyst4506交换机放置于车辆段作为车辆段汇聚交换机,通过万兆光纤向上连接至控制中心骨干路由器,通过千兆光纤向下连接至车辆段各栋大楼的接入交换机。2台思科Catalyst4506交换机放置于控制中心信息中心机房作为数据中心汇聚交换机,通过万兆光纤向上连接至2台控制中心汇聚交换机,通过千兆光纤向下连接至服务器群与磁盘阵列。
3.接入层。由24个车站的通信机房、1个车辆段及控制中心各楼层配线间相应位置的接入交换机组成。
安全措施
在控制中心和信息中心设置硬件防火墙和入侵检测系统,形成从Internet至内部管理网络之间的隔离防护措施(外网防火墙),保证信息网络系统的安全性。内部网络各子网间设置硬件防火墙隔离防护(内网防火墙),子网划分不少于10个。
1.防火墙:配置思科ASA5540防火墙为In-ternet外网防火墙;在数据中心汇聚交换机配置最大支持20个Vlan子网保护的防火墙模块作为内网防火墙。防火墙模块对不同子网进行安全状态审核和策略过滤,保证子网防护区安全可靠、灵活部署的同时,还可对不同业务部门(Vlan)进行安全策略控制,降低全网部署防火墙的成本。本方案提供的内网防火墙集成在内网交换机上,减少了网络故障节点,增加了网络的可用性和可靠性。2.IPS设备:配置思科IPS4260作为内网的IPS/IDS设备。
3.IDS设备:配置鹰眼入侵检测系统。入侵检测系统的探测口分别连接在核心交换机的镜像端口上(核心交换的镜像口配置全网镜像)。探测口隐藏,不占用系统地址资源。入侵检测系统的管理口直接接入交换机。由管理员分配相应的可管理IP地址,并由一台管理控制中心主机(安装随机附带的管理控制中心软件)进行统一管理。
4.防病毒系统:选用趋势科技云安全多层次防病毒系统。
5.终端安全防护:部署Officescan。网络中计算机防病毒体系,应达到一体化、分组管理的机制,集成病毒专杀工具、病毒爆发预防策略、网络版防火墙和IDS,抵御间谍软件和其他类型灰件的侵害,具体分布式的病毒码更新、病毒爆发监控和扫描病毒漏洞等功能并入趋势科技整体防病毒体系。
6.服务器整体防护:选用趋势科技DeepSe-curity7.0产品,通过四大模块提供服务器整体安全防护解决方案。
结束语
关键字:计算机网络;网络安全;防火墙技术
一、前言
企业内部办公自动化网络一般是基于tcp/ip协议并采用了internet的通信标准和web信息流通模式的intranet,它具有开放性,因而使用极其方便。但开放性却带来了系统入侵、病毒入侵等安全性问题。一旦安全问题得不到很好地解决,就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果,给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的办公自动化网络系统。
目前企业内部办公网络存在的安全隐患主要有黑客恶意攻击、病毒感染、口令攻击、数据监听等,在这众多的安全隐患中要数黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。所以企业网络中应该以防范黑客和病毒为首。
针对企业办公网络存在的众多隐患,各个企业也实施了安全防御措施,其中包括防火墙技术、数据加密技术、认证技术、pki技术等,但其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文将就放火墙技术在企业办公中的应用给予探讨,希望能给广大企业办公网络安全建设带来一定帮助。
二、防火墙技术概述
1.防火墙的基本概念
防火墙原是建筑物大厦里用来防止火灾蔓延的隔断墙,在这里引申为保护内部网络安全的一道防护墙。从理论上讲,网络防火墙服务的原理与其类似,它用来防止外部网上的各类危险传播到某个受保护网内。从逻辑上讲,防火墙是分离器、限制器和分析器;从物理角度看,各个防火墙的物理实现方式可以有所不同,但它通常是一组硬件设备(路由器、主机)和软件的多种组合;而从本质上来说防火墙是一种保护装置,用来保护网络数据、资源和用户的声誉;从技术上来说,网络防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,换句话说,防火墙是一道门槛,控制进/出两个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵,如安全网络可能是企业的内部网络,不安全网络是因特网,当然,防火墙不只是用于某个网络与因特网的隔离,也可用于企业内部网络中的部门网络之间的隔离。
2.防火墙的工作原理
防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙
的数据流,只允许授权的数据通过,同时记录有关的联接来源、服务器提供的
通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪,并且防火墙本身也必须能够免于渗透。
3.防火墙的功能
一般来说,防火墙具有以下几种功能:
①能够防止非法用户进入内部网络。
②可以很方便地监视网络的安全性,并报警。
③可以作为部署nat(networkaddresstranslation,网络地址变换)的地点,利用nat技术,将有限的ip地址动态或静态地与内部的ip地址对应起来,用来缓解地址空间短缺的问题。
④可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署/list.aspx?cid=194"target="_blank"title="">核心是运行于防火墙主机上的服务器进程,它代替网络用户完成特定的tcp/ip功能。一个服务器实际上是一个为特定网络应用而连接两个网络的网关。
③复合型防火墙
由于对更高安全性的要求,通常把数据包过滤和服务系统的功能和特点综合起来,构成复合型防火墙系统。所用主机称为堡垒主机,负责服务。各种类型的防火墙都有其各自的优缺点。当前的防火墙产品己不再是单一的包过滤型或服务器型防火墙,而是将各种安全技术结合起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。混合型防火墙一般采用以下几种技术:①动态包过滤;②内核透明技术;③用户认证机制;④内容和策略感知能力:⑤内部信息隐藏;⑥智能日志、审计和实时报警;⑦防火墙的交互操作性等。
三、办公网络防火墙的设计
1.防火墙的系统总体设计思想
1.1设计防火墙系统的拓扑结构
在确定防火墙系统的拓扑结构时,首先必须确定被保护网络的安全级别。从整个系统的成本、安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑,以决定防火墙系统的拓扑结构。
1.2制定网络安全策略论文网在线
在实现过程中,没有允许的服务是被禁止的,没有被禁止的服务都是允许的,因此网络安全的第一条策略是拒绝一切未许可的服务。防火墙封锁所有信息流,逐一完成每一项许可的服务;第二条策略是允许一切没有被禁止的服务,防火墙转发所有的信息,逐项删除被禁止的服务。
1.3确定包过滤规则
包过滤规则是以处理ip包头信息为基础,设计在包过滤规则时,一般先组织好包过滤规则,然后再进行具体设置。
1.4设计服务
服务器接受外部网络节点提出的服务请求,如果此请求被接受,服务器再建立与实服务器的连接。由于它作用于应用层,故可利用各种安全技术,如身份验证、日志登录、审计跟踪、密码技术等,来加强网络安全性,解决包过滤所不能解决的问题。
1.5严格定义功能模块,分散实现
防火墙由各种功能模块组成,如包过滤器、服务器、认证服务器、域名服务器、通信监控器等。这些功能模块最好由路由器和单独的主机实现,功能分散减少了实现的难度,增加了可靠程度。
1.6防火墙维护和管理方案的考虑
防火墙的日常维护是对访问记录进行审计,发现入侵和非法访问情况。据此对防火墙的安全性进行评价,需要时进行适当改进,管理工作要根据网络拓扑结构的改变或安全策略的变化,对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能,以保证网络极其信息的安全性。
2.一种典型防火墙设计实例——数据包防火墙设计
数据包过滤防火墙工作于dod(departmentofdefense)模型的网络层,其技术核心是对是流经防火墙每个数据包进行行审查,分析其包头中所包含的源地址、目的地址、封装协议(tcp,udp、icmp,iptunnel等)、tcp/udp源端口号和目的端口号、输人输出接口等信息,确定其是否与系统预先设定的安全策略相匹配,以决定允许或拒绝该数据包的通过。从而起到保护内部网络的作用,这一过程就称为数据包过滤。
本例中网络环境为:内部网络使用的网段为192.168.1.0,eth0为防火墙与internet接口的网卡,eth1为防火墙与内部网络接口的网卡。
数据包过滤规则的设计如下:
2.1与服务有关的安全检查规则
这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输.这类服务包括论文网在线
这类安全规则是通过对路由表、数据包的特定ip选项和特定段等内容的检查来实现的,主要有以下几点:
①数据包完整性检查(tinyfragment):安全规则为拒绝不完整数据包进人ipchains本身并不具备碎片过滤功能,实现完整性检查的方法是利用redhat,在编译其内核时设定ip;alwaysdefraymentssetto‘y’。redhat检查进人的数据包的完整性,合并片段而抛弃碎片。
②源地址ip(sourceipaddressspoofing)欺骗:安全规则为拒绝从外部传输来的数据包伪装成来自某一内部网络主机,以期能渗透到内部网络中.要实现这一安全规则,设置拒绝数据包过滤规则为,在防火墙eth0端拒绝1p源地址为内部网络地址的数据包通过。
③源路由(sourcerouting)欺骗:安全规则为拒绝从外部传输来的数据包包含自行指定的路由信息,实现的方法也是借助redhat的路由功能,拒绝来自外部的包含源路由选项的数据包。
总之,放火墙优点众多,但也并非万无一失。所以,安全人员在设定防火墙后千万不可麻痹大意,而应居安思危,将防火墙与其他安全防御技术配合使用,才能达到应有的效果。
参考文献:
[1]张晔,刘玉莎.防火墙技术的研究与探讨[j].计算机系统应用,1999
[2]王丽艳.浅谈防火墙技术与防火墙系统设计.辽宁工学院学报.2001
[3]郭伟.数据包过滤技术与防火墙的设计.江汉大学学报.2001
[4]anthonynorthup.ntnetworkplumbing:routers,proxies,andwebservices[m].
关键词:防火墙技术;网络安全;技术策略
1防火墙概述
1.1基本概念
防火墙形式多样,想要给出一个涵盖所有网络配置的归一化定义是很难的。一般来说,防火墙的主要功能是隔断外界对本地网络或主机数据库的非法访问,它是软件和硬件的组合体,事先设定一些特定准则,以挑选想要或不想要的网址。防火墙规则可划分为三方面:设定外界人员访问内部服务的权限范围,以及内部人员可以访问哪些外部服务。高级防火墙还可以对网络登录情况进行实时监控,截取并分析信息,对症下药,根据不同情况采取适当的防护手段。
一般而言,服务器是局域网内用户访问网络数据库的必经之路,另外它起到防火墙作用,借助多穴主机方式,将局域网和外网予以隔离,监控网络运行情况,并及时记录传输数据。
1.2防火墙四个主要功能
⑴防火墙有助于实施通用性较佳的广泛安全政策,确定服务访问权限。防火墙主要控制网络往返访问,对于未获得授权的非法用户,严格限制其访问内部网络资源,也严禁内部向外界传递信息,只允许获得授权的数据传输。
⑵建立节流点。在公共网络和公司专有网络之间应该有一个节流点,这个工作由防火墙完成。通过节流点,防火墙可以对经过节流点的所有数据进行监控和过滤。
⑶记录网络访问行为。防火墙会实时记录访问操作,并具有报警功能。
⑷保护网络主机隐秘性。防火墙对网络到网络的过渡进行多重加密,并加强身份验证,以尽可能减少网络主机的暴露。
2防火墙技术分析
2.1包过滤防火墙
数据包过滤在内部网络和外部主机之间进行选择性记忆,依照访问控制列表(ACL)的算法来决定数据包是否可以通过。通过合理设置,ACL可以根据数据包报头的任意部分进行数据包筛选工作。目前,这种过滤主要针对数据包的源地址和目的地址、协议种类、源端口和目的端口。数据包过滤是在网络层和传输层之间的边界安全机制。
2.2状态检测防火墙
该类防火墙采用了状态监测和故障诊断技术,在传统数据包过滤的基础上进行了功能拓展。采用这种技术的防火墙会对节流点处的每一个连接进行跟踪,严格监控运行状况,并按需在过滤过程中不断增减算法条目或调整规则。状态检测防火墙在网络层设置了检查引擎,通过截取数据包抽取相关信息,获得应用层的运行信息,并以此作为是否接受该连接的依据。
2.3服务防火墙
服务是运行在防火墙主机上的特有程序,主机可以是一个双重宿主主机,同时拥有内部网络接口和外部网络接口,也可以是一个围墙式主机,作为唯一一个可以与外部网络通信的站点。服务器接收内部用户网络服务请求,根据相关安全准则核实其使用权限,而后转发请求,并将此请求反馈给网络主机。换言之,服务器发挥了网关的功能,在应用层上提供替代连接并提供操作。具有服务专属性,要按照应用服务的归属情况选择合适的服务器。
2.4网络地址翻译
网络地址翻译,将私有地址转换为可以在公共网络上被路由器所识别的IP地址,在私有地址节点和外部公网节点之间建立通信通道。一般来讲,网络地址翻译设置在外部和内部网络接壤处,内部网络主机向外网主机发出数据传输请求时,先将数据包发送到NAT设备,NAT进程首先审核IP数据包报头,如果允许通过,就用唯一一个专属IP地址对内源地址字段中的私有IP地址进行替换,再将数据包发送到外部网的主机上。外部网主机发回反馈数据包后,NAT进程负责接收,根据现有的网络地址比对表,再把回应包中的共有目标地址换为原来内部主机私有地址,最后把该回应包送到内部网指定的源主机进行相关数据操作。
2.5个人防火墙
个人防火墙又名单机防火墙,主要功能是保护PC接入公共网络时的数据安全。个人防火墙主要以软件形式存在,硬件式很少见。个人防火墙能够对内部攻击和外来侵袭产生有效抵御。
2.6防火墙分析总结
通过上述分析,我们了解到,防火墙只是网络安全防护的一个环节,必须结合诸如病毒防护、加密算法、身份鉴别技术一类的手段,才能最大程度提高网络安全等级;再者,防火墙也并非万无一失,只能对经过节流点的访问和攻击进行防御,如果黑客通过某些手段绕过防火墙,则此类防护就失去作用;另外,架构防火墙要充分进行技术需求分析和风险成本管理,并要注意后期的维护和翻新,防火墙的测试和试验受限也较多,所以单一防火墙技术并不能很好满足用户网络安全的需要。
[参考文献]
[1]任月鸥,高文举,李秋菊.在校园网络环境下防火墙技术的应用研究[J].硅谷,2011(12)
关键词:龙芯;防火墙;转发性能;Netfilter;硬件加速
中图分类号:TP311文献标识码:A文章编号:1009-3044(2013)20-4588-04
1龙芯防火墙转发性能研究与实现
1.1龙芯防火墙平台简介
1.1.1系统整体架构
基于龙芯CPU的防火墙是一款具有百/千兆流量处理的系统,具有4个100/1000M自适应端口、一个串行管理接口、两个USB接口,支持一个Honeypot分析联动口,可供蜜罐或入侵检测系统在线分析网络信息,与防火墙联动实现入侵收敛。同时,提供完善的路由协议(支持IPv4协议栈、L2/L3层交换及路由协议)、VLAN控制、流量控制、QoS(服务质量)保证等机制,提供完备的业务控制和用户管理能力,基于硬件实现深度包检测(DPI)和状态流检测(DFI)等技术感知应用层协议。为校园网、企业网、政府网、行业网、金融网、中小企业等提供边界安全服务。
产品符合IEEE802.3(u、ab)Ethernet、以太网标准,符合国家《信息安全技术防火墙技术要求和测试评价方法》GB/T20281-2006质量指标依据标准。
系统采用标准的19英寸长、高1U的机械结构,外观如图1所示。
1.1.2系统软件架构
软件平台基于Linux[4]操作系统,全面支持包过滤和状态过滤机制、IPv4协议栈,同时支持IPv4静态路由,支持RIP、OSPF等动态路由协议。系统软件架构如图2所示。
如图2所示,操作系统提供硬件抽象层和网络协议处理,上层应用包括传统防火墙功能,例如:状态包过滤、地址转换等,VPN功能,路由转发功能,应用识别功能以及网络基本功能。在管理方面提供CLI和WebUI方式。
为了保持IP核心软件的简单明了性,采用如下的队列管理机制:为IP协议栈维护一个接收队列,为每个网络接口维护一个发送队列。IP协议栈的处理过程如图3所示。
2龙芯高性能防火墙研究与实现
2.1龙芯防火墙带来的问题
2.1.1核心模块处理效率低下
通过Oprofile测试发现,网卡驱动和netfilter核心组件占用大量的系统资源。如图4所示,为测试结果。
主要分析原因是:因为测试的报文长度64Byte,同时e1000e驱动的copybreak特性,会将小于特定大小的报文复制到新的skb中,便于CPU的cache命中。而这个默认的大小设定为256Byte。将copybreak修改为32,主要是为了避免在e1000_clean_rx_irq中的内存拷贝。由此可见,Netfilter框架核心部件(IPtables和连接跟踪)和网卡驱动是防火墙转发性能的主要瓶颈。
2.1.2龙芯CPU主频过低
龙芯2F最高工作主频为1GHz,网卡中断使用大量的硬件中断资源,即使采用轮询(NAPI)方式,在64bytes字节下也无法满足要求,并且出来硬件中断,操作系统软中断也是消耗大量CPU资源。因此,防火墙新建连接率性能无法提供。如图5所示,龙芯2F防火墙与性价比接近的产品比较结果。
根据测试数据表明,龙芯2F防火墙新建连接率为6000cps。一般IntelAtomD525处理器新建连接率在15000cps。由此可见,防火墙的主频直接影响新建连接率,同时主频也是防火墙转发性能的主要瓶颈之一。
2.2解决方案
2.2.1总体设计方案
新防火墙硬件平台主要由两部分组成,由采用龙芯多核处理器的高性能计算平台和采用FPGA的硬件加速处理模块组成,完全满足应对千兆线速下的的性能需求。
龙芯多核多CPU运算平台和硬件处理模块间采用PCI-E总线连接,单向具备20Gbps以上的带宽,硬件处理模块采用了基于主机控制的ACL转发模块,能大大降低网络数据传输延迟,通过采用负载均衡技术,使得防火墙应用软件能充分实现并行性,相关的报文预处理模块匹配加速模块,有效提升了系统性能。系统可以提供2/4/8个100/1000自适应接口。如图6所示为其硬件平台结构图。
基于FPGA的硬件处理模块是提高系统性能的重要组成部分,核心模块采用FPGA设计,板卡上实现了数据包解析、分类、数据流调度、数据转发模块等,可以实现在板卡上直接进行数据流的转发,在数据吞吐率和延时等方面都具有非常好的性能。
网络数据报文通过硬件加速设备接收之后判断是否为首包,首包交给龙芯3CPU按传统方式处理,处理的结果如果是通过则形成一个流转发表下发给FPGA,三次握手完成之后相关的数据流通过FPAG处理,以便达到加速的目的。
2.2.2实现方案
本文网络加速卡设备[11]采用了流转发方式来处理网络报文。其中加速卡上的转发芯片专门为提高网络转发性能设计,在一颗FPGA芯片中集成了需要高性能网络报文操作处理的共,芯片和HOSTCPU及其软件结合,可以有效帮助运行HOST上的软件系统从CPU上卸载网络流量处理的诸多工作,从而有效规避软件系统中网络处理的各个瓶颈,实现提升HOST系统上软件应用的性能。
转发芯片内可以完成报文路由收发、流量分类、状态检测、网络地址转换、流量统计、报文转发和流量整形等功能。芯片采用的是五元组精确匹配的流转发方式来处理网络报文,其基本工作软肋可以抽象描述如图7所示。
数据流首包采用传统的CPU处理方式,在CPU获得必要的路由信息,状态跟踪信息等内容后,把针对该流的安全策略(允许通过/拒绝/统计),路由信息(出接口/下一跳)和处理策略(nat/路由/桥接/qos)等内容下发到加速卡芯片中。在芯片中,每一条流都有一条记录这些信息的表项,称为SSNentry。
流中的后续报文可以由芯片根据SSNentry来自行进行处理,而不再需要CPU的介入。为了给CPU足够精细的控制粒度,CPU可以随时通过修改SSNentry,来决定芯片是可以直接自行转发,还是需要镜像到CPU,还是需要交由CPU来进行处理,对于需要CPU进行深度内容分析的报文,控制权通过镜像和/或上交给CPU。
为了加速CPU对首包的处理,加速芯片还可以把首包流分类结果附着在上行报文中交给CPU进行识别和处理,CPU也获得了O(1)的流分类处理能力。
数据报(packet)查询SSN表项,进行已知流的处理(通常是直接转发,称为快速路径)。对于未知报文,如果有ACL表定义丢弃/镜像策略,对报文进行丢弃/镜像。如果有Crosslink表,根据Crosslink定义的端口桥接互联策略,对报文进行桥接转发处理。如果没有Crosslink表,把报文上行交给CPU处理,通常CPU会进行建流处理。
为了验证新平台的优势,根据RFC2544网络基础测试的要求,分别测试吞吐量(如图8所示)、CPU利用率(如图9所示)和新建连接率(如图10所示)。
测试结果表明,硬件加速芯片可以做到小包4G吞吐量。在线速转发的性能压力下,CPU占用率保持在20%左右。
2.3本章小结
综上所述,该文使用的高性能转发防火墙方案,可以把例行的网络处理功能下移到芯片,把CPU从网络层处理中解放出来,使其有更多处理能力去关注安全业务管理,而不是网络报文处理。信任流量可以由芯片通过SSN或者Crosslink进行处理,拒绝流量可以编程芯片(SSN或者ACL)直接实现丢弃,从而实现高性能的数据转发。
3结论
3.1本文结论
本文首先对龙芯CPU发展历史及其现状、防火墙技术进行详细的介绍。在充分理解防火墙核心Netfilter框架之后,分析其优势与劣势,提出利用快速路径和慢速路径分开处理的思想解决报文转发性能的方法。同时,通过GCC软件预取的改进和减少TLB失效提高系统报文转发性能。
为了获得更高报文转发性能,根据龙芯CPU和软件系统转发报文瓶颈的分析,提出采用多核和硬件加速报文转发的方案提高转发性能。通过两种设计方案的对比,验证了多核CPU和硬件加速在转发报文中的性能。
3.2进一步改进的地方
为了提高防火墙报文转发性能,采用龙芯3号多核处理器和基于FPGA的硬件加速卡。快速路径转发性能得到了提升,但由于龙芯3号主频还是1GHz,导致新建连接率比较低,为了提高防火墙整体性能,后续可以从以下几个方面进行研究:
1)充分利用龙芯3号处理器多核多CPU的优势,优化网络协议栈核心Netfilter框架的锁机制,发挥读写锁性能优势。
【关键词】建筑幕墙;防火;防雷;安全;质量责任
【Abstract】Throughanalysisofarchitecturalcurtainwalloffirehazards,toclarifypositivewallagainsttheimportanceofbuildingfirerisk.Combinationofanumberofrelevantlaws,regulations,normsandexperiences,fromthedutiesandprofessionalviewpoint,theconstructioncurtainwallfirelightninginthedesignandconstructionofthetechnicalprocessingelements.
【Keywords】Buildingwalls;Fireprotection;Thunderprevention;Security;Qualityresponsibilit
建筑幕墙是由金属构架与板材组成,不承担主体结构荷载与作用的建筑护结构。建筑幕墙除了有技术发展较成熟的玻璃幕墙、金属幕墙和石材幕墙外,还有现在发展得较快的多用于大空间的点驳式幕墙和新型的气循幕墙、智能幕墙与光电幕墙。建筑幕墙是现代建筑派的主要表现特征,在新世纪的现代化城市建筑中具有不可替代的艺术地位。
建筑幕墙一般应用在人群密集的、大型的公共建筑,重要的高层、超高层建筑物的外墙上。幕墙建筑的火灾危险性大,因为玻璃、石材是脆性材料,其抗火性差,温度达到250度时玻璃即会炸裂。一般幕墙的玻璃、石材、复合铝板均不耐火,当受热或遇火烧时易变形、破碎毁坏而造成幕墙大面积掉落,火焰就从幕墙破碎洞口的外侧卷进上层室内。另外,垂直幕墙与建筑物各楼层楼板、房间间墙的缝隙未经处理或处理不恰当,且消防系统不完善情况下,浓烟也可通过缝隙向上层扩散弥漫,造成人员窒息,而火苗则通过缝隙往上层窜。这些缝隙和幕墙破裂的洞口就成了引火通道,串烟串火,酿成更大的火灾。国内外都有这样不少惨痛的例子。此外,室内的大火可将石材幕墙挂石板的不锈钢板和钢材软化而失去强度致使石板剥离从天而降,威胁行人安全。可见,幕墙的防火不当不但严重影响建筑物的使用安全性,还严重危害人民生命财产安全和其他公众利益,所以幕墙的防火是一项非常重要的工作,建设主体各方都不可掉以轻心。
《建设工程质量管理条例》明确了建设主体各方的质量责任和义务,尤其明确了设计单位必须按照工程建设标准进行设计,并对其设计质量负责;施工单位对建设工程的施工质量负责。也就是说,设计单位,施工单位,对质量行为负终身责任。笔者以过去设计的经验及现在监督的个案例子,结合《工程建设标准强制性条文》和一些相关规范着重在设计、施工方面对建筑幕培防火、防雷措施提出一些技术处理要点。
1.幕墙的防火设计
幕墙的防火,设计要先行,设计是前提是基础。所以防火设计应做到:
(1)明确设计责任。建筑设计单位主要应考虑幕墙工程的防火、防雷、光环境污染和连接预埋件的结构安全等因素,并对建筑幕墙工程提出具体设计要求并负相应的设计责任。幕墙设计单位应具备相应的专业设计资质,严格按照有关规范和相关标准及制度对幕墙防火方面的选材、节点、细部构造进行设计。
(2)建筑幕墙的设置、层数、长度、面积和防火分区、防火间距及建筑幕墙的防火节点的耐火极限要求等应符合《建筑设计防火规范》和高层民用建筑设计防火规范》。
(3)建筑幕墙作为护构件要求密封性好,尤其是玻璃幕墙其开启部分面积要求不宜大于幕培墙面面积的15%:且开启部分宜采用上悬结构,开启角度不宜大于45度。所以,以建筑幕墙为护结构的建筑物基本上是属于封闭性建筑物,防火设计应遵循预防为主、防消结合的工作方针,采取可靠的防火措施立足自防自救,幕墙防火措施要与建筑主体的消防系统结合考虑。
(4)设计幕墙分格时要力求杆件与柱、梁、墙、楼板位置一致,避免交叉。一般地,幕墙立挺与柱要重合,幕墙横梁与建筑物楼板或主框梁、防火墙裙要吻合,避免一玻璃跨越两个防火分区,这样幕墙的主杆件才可以与建筑物主体可靠连接,防火区才得以封闭。
(5)个别情况下,幕墙横梁与楼面标高不一致时,应在楼面外沿设置水平放置的铝型材填充,铝型材用透明结构胶与玻璃粘结。
(6)窗间墙、窗槛墙的填充材料应采用不燃烧材料。当其外墙面采用耐火极限不低于lh的不燃烧体时,其墙内填充材料可采用难燃烧材料。
(7)无窗间墙和窗槛墙的玻璃幕墙,应在每层楼板外沿设置耐火极限不低于lh,高度不低于0.8m的不燃烧实体裙楼;或在幕墙内侧每层设间距≤2m的自动喷水喷头。
(8)玻璃幕墙与每层楼板、隔培处的缝隙,应采用不燃烧材料严密填实,楼板和隔墙处形成水平或垂直防火带。
(9)防火层的厚度和宽度应根据防火材料的耐火极限来决定。防火层应采用隔离措施。防火层的板应采用经防腐处理且厚度不小于1.5mm的耐热钢板,不得采用铝板。防火层的密封材料应采用防火密封胶,防火密封胶应有法定检机构的防火检验报告。
(10)幕墙使用的防火、保温材料应采用不燃烧性或难燃性材料,其品种、材质、耐火等级、铺设厚度、燃烧性能必须达到规范要求,其表面应有防潮措施。
(11)装修材料的使用严格按《建筑内部装修设计防火规范》要求采用燃烧性能等级为A或B1级的材料,当材料的防火等级不明确时,应取样进行检测。
(12)目前,幕墙工程多由施工企业自行设计,其设计文件图纸必须由原设计单位审核,审核单位不能仅从总体方案、立面效果、平立面分格方面粗审,要真正起到技术审核把关的作用。
(13)原设计单位在设计建筑主体消防系统时,要同时结合考虑幕墙的防火措施,避免出现消防盲区而留下火灾隐患。幕墙四周天花处,可设烟感探测器及消防喷淋加以保护,当火苗初起,烟感探测器马上报警,喷水设备启动,将火灾消灭在萌芽状态中。
2.幕墙防火施工
幕墙防火的施工是幕墙防火有效的关键和保证。
(1)承包幕墙施工的单位必须具备相应的资质。建筑幕墙工程施工企业应根据设计要求提出有关施工安装的技术要求并对幕墙材料、幕墙结构设计和加工制作部件等的工程质量负责。
(2)建筑幕墙工程施工企业必须严格按照经有资质的审核单位审定的设计文件和施工图进行施工,不得擅自修改。
(3)防火材料的安装应有固定措施,确保安装牢固,做到不松懈不遗漏,拼缝不留缝隙。防火棉厚度不能少于60mm,铺设要饱满均匀无遗漏,且不能与玻璃有直接接触。
(4)防火材料不得与幕墙玻璃直接接触,防火材料朝玻璃面处宜用装修材料覆盖。
(5)搁置玻璃幕。
设要饱满均匀无遗漏,且不能与玻璃有直接接触。
(6)防火材料不得与幕墙玻璃直接接触,防火材料朝玻璃面处宜用装修材料覆盖。
(7)搁置玻璃幕墙防火棉的金属板应为厚度不小于1.2mm的镀锌钢板,而金属和石材幕墙的防火层必须采用经防腐处理且厚度不小于1.5mm的耐热钢板,两者均不得采用铝板。
(8)镀锌钢衬板不得与铝合金型材直接接触,衬板就位后应进行密封处理。
(9)幕墙四周与主体结构之间的缝隙应采用防火保温材料填塞,不得采用水泥砂浆等干硬性材料填塞,内外表面应采用密封胶连续封闭,接缝要严密,做到不渗漏不漏气。
(10)双面胶带、泡沫棒硅酮密封胶的填充棒)、复合铝板等易燃、可燃材料,在实际的工程应用中,大量使用时要有相当的防火措施,使用铝板时,尽量使用单层铝板。
(11)在施工过程中,幕墙防火构造、防火节点应作隐蔽验收。防火材料应有产品合格证或材料耐火检验报告。
(12)施工完毕,必须检查所有的防火节点、防火隔断是否都密封严密,各层间防火隔断是否都按要求用防潮材料将矿棉等不燃烧材料包裹进行填塞,其防火隔断能否满足防火规范要求。其检验手段一般采用观察和触摸方法,必要时可在防火节点处用火苗试试是否漏气、串烟,是否真正达到既防火又防烟的作用。
3.幕墙的防雷
建筑幕墙的金属骨架是良导体,幕墙的防雷措施不当,可能会遭到雷电的侧击破坏,严重的可能招至火灾,所以幕墙的防雷必须严格按照有关规范进行设计和施工。
(1)墙的防重设士人应迷细3解建坦主生的防重装置和幕墙、门窗洞口的防雷装置引出线,要充分利用幕墙、门窗型材的金属导电特性,确定一个合理、安全、经济的防雷设计方案。
(2)幕墙应形成自身的防雷网,并与主体结构的防雷体系有可靠的连接。幕墙自身的防雷网不宜大于100平方米。
(3)建筑物每隔三层要装设均压环,环间垂直距离不应大于12m,均压环内的纵向钢筋必须采用焊接连接并与接地装置连通。所有引下线、建筑物的金属结构和金属设备均应连到环上。
(4)根据《建筑物防雷设计规范》,幕场防侧击措施如下:一类防雷建筑物从30m起每隔不少于6m沿建筑物四周设水平避雷带并与引下线相连30m以上幕墙的金属物与防雷装置连接。应将二类防雷建筑物45m以上,三类防雷建筑物60m以上幕墙的金属物与防雷装置连接。
(5)对设有许多较重要的敏感电子系统,如通信设备、电子计算机、电子控制系统等现代化设备的建筑物,为了增加屏蔽作用,可将防侧击雷和等电位措施从地面首层做起,即将首层以上的外墙上的建筑幕墙、铝和金门窗、金属栏杆等较大金属物与防雷装置连接。
(6)幕墙防侧雷做法:幕墙位于均压环处的预埋件的锚筋必须与均压环处的梁的纵向钢筋连通,固定在设均压环楼层上的立柱必须与均压环连通,位于均压环处与梁纵筋连通的立柱上的横梁必须与立柱连通。
(7)幕墙立面上,水平方向每8m以内位于未设均压环楼层的立柱,必须与固定在设均压环楼层的立柱连通
(8)幕墙顶的防雷可用避雷带或避雷针,由建筑物防雷系统统一考虑。建筑幕墙位于女儿墙外侧时可沿屋顶周边设避雷带,其安装位置略为突出女儿墙顶部;也可用屋顶其他明设金属物作为接闪器;也有直接利用建筑幕墙与女儿墙之间的封顶金属板作接闪器,这时要求金属板厚度大于0.5mm,板与板之间的搭接长度大于100mm,金属板无绝缘覆盖层,金属板与女儿墙内的钢筋连接成电器通路。在女儿墙部位幕墙构架与避雷带装置的连接节点应明露。
(9)幕墙避雷导线与铝合金材料连接时应满足等电位要求。当用铜质材料与铝合金材料连接时,铜质材料外表面应经热镀锌处理。导线连接接触面应紧密可靠不松动。
(10)金属和石材幕墙的还规定导线应在材料表面的保护膜除掉部位进行连接。
(11)铝板幕墙在选材上注意宜选用单层铝板而不要选用铝塑复合板,因为复合板中间夹有的聚己烯塑料是不能导电而致使复合板幕墙无法接地,无法预防雷电对建筑物幕墙的危害,且用该料做成的幕墙不耐用。单层铝板不仅几十年不变形、寿命长,更重要的是其导电性能好,易和幕墙一起接地预防雷击。
(12)幕墙防雷处的接地电阻应小于10欧。
4.结束语
随着《建设工程质量管理条例》和《建设工程标准强制性条文》的颁布实施,我国的建设活动走向了规范化和法规化道路,迈进了法制化管理轨道,不仅明确了建设主体各方的质量责任、义务及刑法法律责任,而且还确立了凡涉及人民生命财产、人身健康、环境质量和其他公众利益的为必须严格执行的强制性标准条文,为参与建设活动各方执行标准规范质量行为保证工程质量和建筑物的安全性及使用功能提供了法律和技术依据。建设主体各方要明确自己的职责,按建设程序办事,严格按规范设计和施工。
参考文献
〔1〕《金属与石材幕墙工程技术规范》JGJ133-2001
〔2〕《玻璃幕墙工程技术规范》JGJ102-96
【关键词】建筑外墙;保温材料;重特大火灾;火灾危险性;消防安全监督
0引言
近年来,从北京央视新址附属文化中心火灾起所发生的一系列重特大火灾来看,建筑外墙保温材料的应用已经成为影响建筑消防安全的重要因素之一。而建筑外墙保温材料的应用是实现建筑节能最经济有效的技术措施,是不可逆转的时代主流。为此,在总结火灾教训的基础上深入调查研究;剖析了建筑外墙保温材料起火成灾的根源;分析了建筑外墙保温材料的应用和火灾防控的内因与外因关系;立足实际提出了可以从建筑外墙保温材料的选用,不同类别建筑外墙保温设计技术措施的运用,加强安全监督管理,督促指导施工单位落实安全责任制、安全管理制度和操作规程,配齐灭火设施器材等方面入手,实现建筑外墙保温材料火灾的防控。对于我们遏制建筑外墙保温材料火灾的发生,最大限度地保障人民群众的生命财产安全有着积极的现实意义。
1几起建筑外墙保温材料引发火灾的思考
从北京央视新址附属文化中心火灾起,到后来发生的南京中环国际广场、哈尔滨经纬360度双子星大厦、济南奥体中心、上海胶州路教师公寓、沈阳皇朝万鑫酒店等一系列与建筑外墙保温材料有关的重特大火灾来看,由于易燃外墙保温材料的普遍使用,施工工地消防安全责任制和安全管理制度不落实,安全监管工作不到位是导致起火成灾的主要根源。
分析这几起大火,与建筑外墙保温材料相关联,又都是在外因的作用下引发了火灾,而并不是因为建筑外墙保温材料自身引发的火灾。除此之外,建设工程施工工地在施工的中后期,由于建筑外墙保温材料进场施工,也极易因其引发火灾。总体来看,引发火灾的因素有三个方面:一是建筑外墙保温材料进场后的堆垛期,这时发生火灾多半是因为乱丢烟头或火种管理不当引起的;二是建筑外墙保温材料安装施工期间,这时发生的火灾主要是因为施工现场消防安全管理责任制没有落实,施工进度安排不合理,多工种交叉作业。如哈尔滨经纬360、济南奥体中心等安装外墙保温材料和焊接作业同时进行,且安全防护工作不到位造成的火灾;三是安装完外墙保温材料,建筑物竣工投入使用或接近完工进入工程收尾阶段,因外界各种原因引发的火灾,如央视大楼因燃放烟花引起的火灾、上海胶州路教师公寓因外墙施工围网着火引燃建筑外墙保温材料而发生的火灾、沈阳皇朝万鑫酒店因燃放烟花爆竹引发的火灾等。
2建筑外墙保温材料的应用及其火灾危险性
2.1建筑外墙保温材料的应用是建筑节能的必然趋势
当今世界,绿色低碳经济已经成为全球人类的共同奋斗目标,也是我国未来经济发展的主流。建筑节能是我国实现低碳绿色经济的一项重要举措,也是我国实现节能减排必须长期坚持的一项重大国策。迄今为止,国内外普遍认为:在实现建筑节能各项措施中,运用保温隔热材料是防止建筑物能耗损失最经济、最有效的技术措施。
2.2建筑外墙保温材料的分类及火灾危险性
目前,建筑外墙保温隔热材料从材质上可以分为:有机保温材料、无机保温材料和复合保温材料三种。
有机类外墙保温材料主要来源于石油副产品,以聚苯乙烯和聚氨酯为主要成分,包括膨胀聚苯板(EPS)、挤塑聚苯板(XPS)、聚氨酯喷涂(SPU)以及聚苯颗粒等,属于可燃(B2级)材料,存在引发火灾的危险。在我国,有机类外墙保温材料占据了当前市场份额的75%以上。
无机类外墙保温材料通常是指由岩、矿棉制作而成的外墙保温材料,岩、矿棉中含有的金属氧化物为稳定氧化物,在火灾过程中没有氧化还原反应发生,不存在火灾危险,是理想的不燃材料。国外大量采用岩、矿棉作为高等级、具有防火性能的外墙保温主体材料已经有几十年的历史,并且有成熟的产品质量标准。我国目前的无机类外墙保温材料大部分是使用高炉炼铁矿渣等固体废弃物为主要原料的矿渣棉,在产品质量、外观上与大规模用于墙体保温材料的要求还相差甚远。而近期大量出现的燃烧性能为A级的保温材料,主要是指玻化微珠、闭孔膨胀珍珠岩、岩棉、矿棉、玻璃棉、水泥基或石膏基的无机保温砂浆及轻质砌块等无机类外墙保温材料。
复合外墙保温材料,这种材料以胶粉聚苯颗粒保温浆为主要原料,属于难燃材料,不具备对火焰的传播性,本身不存在火灾危险。
3应用建筑外墙保温材料的消防安全保障措施
3.1尽可能选用燃烧性能等级为A级的建筑外墙保温材料。由于无机类建筑外墙保温材料属于不燃材料,不存在火灾危险,从消防安全角度来讲,都能达到国家标准要求,是首选的建筑外墙保温材料。但就我国目前的技术、经济条件而言,难以完全满足节能保温及节约成本的需求,尚得不到广泛使用。
3.2运用技术措施实现火灾防控。目前,建筑易燃可燃外保温材料已经成为一类新的火灾隐患,我国尚无完善的关于使用建筑外墙保温材料的行业标准和设计规范。本着对国家和人民生命财产安全高度负责的态度,为切实把好建筑易燃可燃外保温材料火灾防控源头关,2009年9月25日,公安部、住房和城乡建设部联合制定了《民用建筑外保温系统及外墙装饰防火暂行规定》,对建筑外保温材料的使用作出了明确规定,要求民用建筑外保温材料的燃烧性能宜为A级,且不应低于B2级,并对墙体、屋顶、金属夹芯板材使用的保温材料和不同类别民用建筑外墙使用不同燃烧性能等级的保温材料时应当采取的防火技术措施做出了明确规定,填补了国家对建筑保温材料使用约束上的法律空白,具有较强的法律约束作用。2011年3月,公安部消防局又发文要求,在新标准前,从严执行《民用建筑外保温系统及外墙装饰防火暂行规定》,民用建筑外保温材料采用燃烧性能为A级的材料。为此,急切期盼有关单位深入调研,从建筑外墙保温材料的节能效果、火灾危险性、现实技术、经济发展水平和民用建筑的规模大小、使用性质、发生火灾可能造成的人员伤亡及财产损失等全方位多角度分析论证,尽快修订出台符合我国实际和民用建筑使用规模、性质、用途的建筑外墙保温材料的新技术标准,为进一步规范建筑外墙保温材料的运用和监管提供科学有力的依据。
3.3加强消防安全监督管理工作。
一是要严把建设工程消防设计审核(或审核备案)源头关,筑牢遏制建筑外墙保温材料火灾事故的防线。公安消防部门对建设工程进行消防设计审核时,要严格依照国家现行标准规范的有关规定及暂行规定,对建筑外墙保温设计(包括选用的保温材料的燃烧性能、采用的防火技术措施是否符合要求等)进行审核,杜绝建设工程“带病”开工。
二是要加强对建筑外墙保温系统施工及使用过程中的监督检查,及时整治各类火灾隐患和消防违法行为。近几年,建筑外墙保温材料火灾大多发生在建设工程施工工地和改扩建工程项目中,并且大多是因为违章作业、违法使用明火或燃放烟花爆竹、防护措施不到位而引发火灾。公安部、住房和城乡建设部联合制定下发的《民用建筑外保温系统及外墙装饰防火暂行规定》中,也对民用建筑外保温系统的施工及使用提出了具体要求。为此,有关职能部门要进一步加大检查频次和力度,大力排查整治火灾隐患,严肃查处消防违法行为,督促有关单位落实好建筑外保温系统火灾防控措施和相关要求,坚决遏制建筑外墙保温材料火灾事故的发生。
三是认真落实施工现场消防安全责任制和安全管理制度,配齐灭火设施和器材。施工单位要建立施工现场消防安全责任制度,落实动火、用电、易燃可燃材料等消防安全管理制度和操作规程,保障施工现场具备消防安全条件,保证在建工程竣工验收前消防通道、消防水源、消防设施和器材、消防安全标志等完好有效。同时,针对施工现场用火用电频繁、火灾危险性大等特点,加强员工消防安全教育及岗前培训,使施工人员切实掌握消防基本知识,提高消防安全意识和自防自救能力。
防火墙硬件基础架构发展至今,大致可以分为通用CPU(x86)架构、FPGA/ASIC架构、NP架构、多核处理器架构等几种架构。通过以上架构的组合,还可以形成更高性能的架构。采用分布式处理的架构还可以利用以上架构的灵活组合,发挥各种架构的优越性,增强防火墙的性能,扩展新功能。但是,无论是多种架构的组合,还是由集中式向分布式发展,都是由“单”向“多”的方向进化,而嵌入式多核也正是这一发展趋势的体现。
防火墙的平台演进
第一代防火墙的硬件平台采用的是通用CPU,通过通用CPU加上网络接口来实现,所有的业务和管理处理都在CPU上完成,灵活性强但网络转发性能不高。
第二代防火墙的硬件平台通用ASIC/FPGA来实现。将大量例行的转发等业务丢给ASIC来处理,这样简单转发的性能很强,但是灵活扩展性不够,在此基础上新增防火墙、UTM业务需要定制开发,开发的周期很长,且无法满足快速变化的应用层安全需求,产品的灵活性受到了极大的限制。
第三代防火墙的硬件平台是采用NP来实现,即例行的业务处理通过NP的编程来实现。借助于NP的快速的首包处理能力,为设备提供强大的网络处理性能,但芯片资源有限,导致功能扩展受限。
第四代防火墙的硬件平台采用CPU加NP来实现。业务流量处理通过NP芯片来实现;管理和对灵活性要求较高的复杂业务放在CPU上实现,两者优势充分结合,来应对日益增长的网络安全威胁。但这种结构毕竟是一种折衷的解决方案,在应对越来越多的复杂应用层业务处理时,NP无法处理应用层业务,必须完全依赖CPU,其硬件架构的性能不足还是暴露出来。
第五代防火墙的硬件平台采用嵌入式多核CPU来实现,每一个核都是一个通用CPU,相对于多CPU方案提供了更高的集成度、更高效的核间通信和管理机制。少量的核完成管理功能,大多数核完成例行的业务处理功能。有些CPU通过协处理器来实现加解密,而且由于可以采用C编程,功能扩展不受控制,平台可以实现VPN加解密、防火墙、UTM等业务而不影响相应性能。
多核优势明显
多核CPU的架构,从根本上来讲其处理核心仍然是CPU,只是将多个核心或者是线程集成到一起,结合相关的并行处理技术,在芯片的逻辑设计上,采用转发流程、缓存共享优化,以及集成专用协处理器的方式,来实现高性能与高灵活性于一体的集成。这样的集成使得多核处理器具备多项技术优势,成为下一代网络安全产品理想的硬件平台。
目前,华为赛门铁克开发了全系列基于嵌入式多核的安全产品,包括从百兆到万兆的处理能力,应用范围广泛,覆盖了从小型企业到骨干网络全部的应用场景,可以为用户提供E1、Wi-Fi、百兆以太网、千兆以太网、万兆以太网、2.5GPOS、10GPOS等各种网络接口,为各种组网应用提供丰富的接入手段。
多核是新一代的硬件平台,但对软件开发技术的要求非常高,如何有效实现和发挥多核技术的优势,是基于多核硬件平台进行产品开发的巨大挑战,华为赛门铁克对多核软件开发技术有着深厚的理解,主要表现在以下几个方面:
首先,多核处理器有强大的并行处理能力和I/O能力,硬件辅助数据报文调度能力,但是通用的操作系统在CPU内核数量增加的情况下,效率下降很快。华为赛门铁克安全产品针对网络安全应用的特点,开发出适合于网络处理应用的多核操作系统SOS(SecurityOperationSystem)。该操作系统高效、稳定、安全,适合作为高性能网络转发、安全业务开发平台,支持高效的报文调度,并发处理。
1.引言
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的1.6亿美元上升到今年的9.8亿美元。
为了更加全面地了解Internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。
2.Internet防火墙技术简介
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:
1)限定人们从一个特定的控制点进入;
2)限定人们从一个特定的点离开;
3)防止侵入者接近你的其他防御设施;
4)有效地阻止破坏者对你的计算机系统进行破坏。
在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet,如图1所示。
图1防火墙在Internet中的位置
从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3.防火墙技术与产品发展的回顾
防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:
过滤进、出网络的数据;
管理进、出网络的访问行为;
封堵某些禁止行为;
记录通过防火墙的信息内容和活动;
对网络攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。
3.1基于路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:
1)利用路由器本身对分组的解析,以访问控制表(AccessList)方式实现对分组的过滤;
2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。
第一代防火墙产品的不足之处十分明显,具体表现为:
路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。
路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。
路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
3.2用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
2)针对用户需求,提供模块化的软件包;
3)软件可以通过网络发送,用户可以自己动手构造防火墙;
4)与第一代防火墙相比,安全性提高了,价格也降低了。
由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:
配置和维护过程复杂、费时;
对用户的技术要求高;
全软件实现,使用中出现差错的情况很多。
3.3建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操
作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些
特点:
1)是批量上市的专用防火墙产品;
2)包括分组过滤或者借用路由器的分组过滤功能;
3)装有专用的系统,监控所有协议的数据和指令;
4)保护用户编程空间和用户可配置内核参数的设置;
5)安全性和速度大大提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,
它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:
1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性
无从保证;
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的
安全性负责;
3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商
的攻击;
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;
5)透明性好,易于使用。
4.第四代防火墙的主要技术及功能
第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。
4.1双端口或三端口的结构
新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做IP转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。
4.2透明的访问方式
以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的系统技术,从而降低了系统登录固有的安全风险和出错概率。
4.3灵活的系统
系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种机制:一种用于从内部网络到外部网络的连接;另一种用于从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制或保密的系统技术来解决。
4.4多级过滤技术
为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
4.5网络地址转换技术
第四代防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
4.6Internet网关技术
由于是直接串联在网络之中,第四代防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。
在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。
在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
4.7安全服务器网络(SSN)
为了适应越来越多的用户向Internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Tnlnet等方式从内部网上管理。
SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与风部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。
4.8用户鉴别与加密
为了减低防火墙产品在Tnlnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
4.9用户定制服务
为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的,便可以利用这些支持,方便设置。
4.10审计和告警
第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、FTP、出站、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。
此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。
5.第四代防火墙技术的实现方法
在第四代防火墙产品的设计与开发中,安全内核、系统、多级过滤、安全服务器、鉴别与加密是关键所在。
5.1安全内核的实现
第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:
1)取消危险的系统调用;
2)限制命令的执行权限;
3)取消IP的转发功能;
4)检查每个分组的接口;
5)采用随机连接序号;
6)驻留分组过滤模[!]块;
7)取消动态路由功能;
8)采用多个安全内核。
5.2系统的建立
防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过系统来实现,为保证整个防火墙的安全,所有的都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。
在所有的连接通过防火墙前,所有的要检查已定义的访问规则,这些规则控制的服务根据以下内容处理分组:
1)源地址;
2)目的地址;
3)时间;
4)同类服务器的最大数量。
所有外部网络到防火墙内部或SSN的连接由进站处理,进站要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或SSN的地址。
所有从内部网络SSN通过防火墙与外部网络建立的
连接由出站处理,出站必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络SSN的连接。5.3分组过滤器的设计
作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中IP堆栈的深层运行,极为安全。分组过滤器包括以下参数。
1)进站接口;
2)出站接口;
3)允许的连接;
4)源端口范围;
5)源地址;
6)目的端口的范围等。
对每一种参数的处理都充分体现设计原则和安全政策。
5.4安全服务器的设计
安全服务器的设计有两个要点:第一,所有SSN的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,SSN的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。
SSN上的每一个服务器都隐蔽于Internet,SSN提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现SSN的关键在于:
1)解决分组过滤器与SSN的连接;
2)支持通过防火墙对SSN的访问;
3)支持服务。
5.5鉴别与加密的考虑
鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种一种是加密卡(CryptoCard);另一种是SecureID,这两种都是一次性口令的生成工具。
对信息内容的加密与鉴别则涉及加密算法和数字签名技术,除PEM、PGP和Kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家信息安全和,各国有不同的要求。
6.第四代防火墙的抗攻击能力
作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在Internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。
6.1抗IP假冒攻击
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的IP地址,因而难以攻击。
6.2抗特洛伊木马攻击
特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载并执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。
6.3抗口令字探寻攻击
在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户传给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令字直接登录。
第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施,能够有效防止对口令字的攻击。
6.4抗网络安全性分析
网络安全性分析工具是提供管理人员分析网络安全性之用的,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,SATA软件可以从网上免费获得,InternetScanner可以从市面上购买,这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术,将内部网络隐蔽起来,使网络安全分析工具无法从外部对内部网络做分析。
6.5抗邮件诈骗攻击
邮件诈骗也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件诈骗,最终的解决办法是对邮件加密。
7.防火墙技术展望
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
