防火墙作为网络的第一道安全防线,正受到越来越多用户的关注。目前,防火墙已经成为世界上用得最多的网络安全产品之一。东方龙马最新上市的防火墙产品,在继承了原有产品的特点外,在包过滤技术、网络地址转换、应用代理方面又进行了新的定义。
众所周知,防火墙是一种将内部网和公众网如Inte.net分开的方法。它能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全,逻辑示意图如图1所示。防火墙的安全技术包括包过滤技术、网络地址转换NAT技术、代理技术等。东方龙马防火墙在综合使用了这些技术的同时,又进行了独到的改进和创新。
图1
特色一 软化黑客攻击
基于连接状态的动态包过滤
包过滤技术(Packet Filter)是防火墙为系统提供安全保障的主要技术,它通过设备对进出网络的数据流进行有选择的控制与操作。包过滤操作通常在选择路由的同时对数据包进行过滤(通常是对从互联网络到内部网络的包进行过滤)。用户可以设定一系列的规则,指定允许哪些类型的数据包可以流入或流出内部网络,例如:只接收来自某些指定的IP地址的数据包,或者内部网络的数据包只可以流向某些指定的端口,以及哪些类型数据包的传输应该被拦截。包过滤规则以IP包信息为基础, 对IP包的源地址、IP包的目的地址、封装协议(TCP/UDP/ICMP/IP Tunnel)、端口号等进行筛选。包过滤这个操作可以在路由器上进行,也可以在网桥,甚至在一个单独的主机上进行。
传统的包过滤只是与规则表进行匹配。防火墙的IP包过滤,主要是根据一个有固定排序的规则链过滤,其中的每个规则都包含IP地址、端口、传输方向、分包、协议等多项内容。同时,一般防火墙的包过滤的过滤规则是在启动时配置好的,只有系统管理员才可以修改,是静态存在的,称为静态规则。东方龙马防火墙采用了基于连接状态的检查,将属于同一连接的所有包作为一个整体的数据流看待,通过规则表与连接状态表的共同配合进行检查。动态过滤规则技术的引入,使东方龙马防火墙弥补了许多不安全的隐患,在很大程度上降低了黑客攻击的成功率,从而大大提高了系统的性能和安全性。
特色二 蒙蔽黑客
实现网络地址转换的双向化
网络地址转换(Network Address Translation-NAT)是一种用于把内部IP地址转换成临时的、外部的、注册的IP地址的标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每台机器取得注册的IP地址。
图2
东方龙马防火墙提供了“内部网到外部网”,“外部网到内部网”的双向NAT功能,并支持两种方式的网络地址转换:一种为静态地址映射,即外部地址和内部地址一对一的映射,使内部地址的主机既可以访问外部网络,也可以接受外部网络提供的服务;另一种是更灵活的方式,可以支持多对一的映射,即内部的多个机器可以通过一个外部有效地址访问外部网络。让多个内部IP地址共享一个外部IP地址,就必须转换端口地址,这样内部不同IP 地址的数据包就能转换为同一个IP地址而端口地址不同,通过这些端口对外部提供服务。
利用NAT转换功能,不仅可以更有效地利用IP地址资源,解决IP地址短缺的问题;而且可使系统管理员自行设置内部的地址而不必对外公开,隐藏了内部网络的真实地址,从而使外来的黑客无法探知内部网络的结构,提高整体的安全性。 NAT的工作过程如图2所示。
图3 透明代理示意图
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。东方龙马防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙就认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中;当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
特色三 提高免疫力
让代理服务透明化
应用服务器或代理服务器(Application-Level Proxy or Proxy Server)是代理内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求确认后送达外部服务器,同时将外部服务器的响应再回送给用户。这种技术被用于在Web服务器上高速缓存信息,并且扮演Web客户和Web服务器之间的中介角色。它主要保存因特网上那些最常用和最近访问过的内容,为用户提供更快的访问速度,并且提高网络安全性。这项技术对ISP很常见,特别是如果它到因特网的连接速度很慢的话。在Web上,代理首先试图在本地寻找数据,如果没有,再到远程服务器上去查找。也可以通过建立代理服务器来允许在防火墙后面直接访问因特网。代理在服务器上打开一个套接字,并允许通过这个套接字与因特网通信。
东方龙马防火墙中对FTP,TELNET,HTTP,SMTP和POP3等应用实现了代理服务。这些代理服务对用户是透明的(Transparent),即用户意识不到防火墙的存在,便可完成内外网络的通讯。防火墙使用透明代理技术,使防火墙的服务端口无法探测到,也就无法对防火墙进行攻击,大大提高了防火墙的抗攻击性能。
图4 东方龙马防火墙网络结构示意图
特色四 抵御黑客
加强自我保护能力
如果防火墙系统本身被攻击者突破或迂回,对内部系统来说它就毫无意义了,因此保障防火墙自身的安全是实现系统安全的前提。一个防火墙要抵御黑客的攻击,必须具有严密的体系结构和安全的网络结构。东方龙马防火墙是以TCP/IP和相关的应用协议为基础,分别在应用层和数据链路与网络层间对内外通讯进行监控。它提供四个网络接口,分别连接LAN(内部网)、DMZ (demilitarized zone 隔离区)、Control(用户控制区)以及外部网,并且东方龙马防火墙采用了禁止用户直接登录、拒绝收取任何邮件等措施,对目前流行的黑客攻击技术,都有较强的防御能力。