clearcase/" target="_blank" >cc size=2>一.网络安全概述
计算机网络问世以来,安全性一直是人们讨论的话题,随着计算机网络安全技术的迅速发展,网络的安全性问题也日趋严重。计算机网络系统必须采取安全措施,以鉴别合法用户和监
督经过授权的操作,同时防止对敏感数据进行非授权的访问、使用,防止黑客的侵入和计算机病毒的破坏,把计算机网络安全措施落实到实处。
网络安全性面临的威胁
网络安全性的内容
(一)网络安全性面临的威胁
1.信息泄露
2.相互猜疑
3.冒名顶替
4.篡改信息
5.恶意攻击
(二)网络安全性的内容
网络安全性,是由数据的安全性和通信的安全性两部分组成的。
数据的安全性是一组程序和功能,用来阻止对数据进行非授权的泄露、转移、修改和破坏。通信安全性是一种保护措施,要求在电信中采用保密安全性、传输安全性、辐射安全性等措施,并且要求对于通信安全性信息采用物理安全性措施。通过上述各种措施,可以拒绝非授权的人员在电信中获取有价值的信息。
二.防火墙与防火墙的作用
Internet(因特网)的迅速发展,为人们提供了发布信息和检索信息的场所,但它也带来了信息污染和信息被破坏的危险。为了保护其数据和资源的安全,创建了防火墙。
防火墙从本质上说是一种保护装置,是用来保护网络数据、资源和用户声誉的。
(一)Internet防火墙
防火墙是在网络之间执行访问控制策略的一个或一组系统,原则上防火墙是由两种机制构成:一种是查阻信息流通行,另一种是允许信息流通过。本地“孤岛”式的局域网是不需要防火墙的,只有与Internet有接口相连的单位才需要防火墙。
对于内部用户,可以说企业网是“不设防”的;可对于外部用户,并没有足够的信任度,一旦从互联网进入内部网,他们可能会破坏内部主机、可能会窃取商业机密和技术资料或者修改你的重要信息,这(些)将给企业带来重大损失。防火墙的应用,首先要解决这种安全隐患。可我们不能简单地拒绝所有的接入,因为有些企业网,它的部分主机必须能够被外部用户访问以提供一些服务(如HTTP、FTP服务),因此需要正确判断何种接入可通过、何种接入应阻隔。
(二)防火墙功能
按传统理论,防火墙可分为包过滤(Packet filtering)和应用代理(Application Proxy)两种类型。前者工作在网络层和传输层,一般直接转发报文,网络效率及对用户的透明性都比较好,但安全性相对较低。后者则属于应用层的范畴,通过特定的代理程序对高层协议进行识别,并采取相应预先编制的控制策略。后者虽然安全性提高了,但网络速度则明显下降,为提高效率,实际中的应用网关通常由专用工作站来实现,故其总体投资较高,只有大型网络用户才能承受。
从逻辑上讲,防火墙是分离器、限制器、分析器。从物理角度看,各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备 路由器、主计算机,或者是路由器、计算机和配有适当软件的网络的多种组合。
准确来讲,防火墙是由一组对象组成的、基于策略的一种体系,而并非仅仅是某个对象(如我们熟知的商用防火墙)。下图是一个完整的防火墙系统:
给体系加上一定的规则,通常是加在路由器上,防火墙就能很好的保护内部网、同时提供足够的对公服务,包括进行电子商务。
在这种体系下,只要配置正确,就能确保内部主机间通讯的数据包不会越过内部路由器到达边缘网络,从而给内部网以更高的安全性(因为所有在边缘网及以外网络传输的数据包都有被黑客监听、截取和破解的可能)。
一些企业具有自己构造防火墙的能力,他们使用可用的软件组件和设备或自己编写一个防火墙程序。另外一些企业利用经销商提供的防火墙技术服务,例如相应的硬件和软件、开发安全策略、风险评估、安全检测和安全培训等。
尽管自己构筑防火墙具有内部人员了解防火墙设计的细节从而能够方便应用的优势。但自制防火墙需要长时间的修建、记录文档和维护,其策略管理成了网络安全人员一个费时、费力和令人头痛的问题。相比之下,购买商用防火墙是较为经济的(除非是一些有特定要求的特别部们)。商用防火墙整合了边缘网络及内部路由器,并提供堡垒机的接口(也叫非军事区接口)。
由上可知,简要的说,防火墙的主要功能是:
l.防火墙能强化安全策略
2.防火墙能有效地记录Internet上的活动
3.防火墙能限制暴露用户
4. 防火墙是一个安全策略的检查站
正如前边提到,任何在边缘网及以外网络传输的数据包都有被黑客监听、截取和破解的可能,如何保护公共用户的重要信息不被破解?为此,防火墙应能提供加密隧道,以高位的数据加密技术保证数据的可靠传输。另外还要具有阻止伪装地址的进攻,阻止端口及地址空间的探测,阻止测试网络配置情况的IP Options;其地址翻译(NAT)功能可使用户隐藏内部主机及网络真实地址,从而节省网络地址资源,又防止黑客的攻击;除此之外,有些防火墙还提供漏洞扫描及入侵检测等功能。如图示:
三.主要防火墙产品
(一)产品分类我们的整体防火墙方案较多,主要可分为两大类:
纯软件的解决方案
基于硬件的解决方案
比较流行的有如下产品:
软件解决方案
Check Point 的FireWall-1
Cisco IOS 防火墙特性集
硬件解决的方案
Cisco PIX
蓝盾防火墙
Netscreen-100
(二)产品概述
FireWall-1是美国网络安全公司Check Point推出的一个防火墙软件,是一个基于策略的状态检查过滤器,带有一个集成的网络地址翻译器(NAT)和过滤一般因特网协议的专用安全过滤器。目前的市场占有率最高。用户可以从一个Windows或Unix工作站上同时管理整个网络的多个防火墙。用户通过FireWall-1的管理界面,可用一个网络安全策略控制所有的防火墙以及任何一个路由器(通过访问规则和过滤器实现)。这个方法意味着安全策略对所有需要进入网络、有待管理的防火墙都是相同的,只需编辑一次。而其他产品则要求独立维护每个防火墙,这大大增加了管理员的负担和配置出错的可能性。
Cisco的PIX(Private Internet eXchange)防火墙是最早使用的专用防火墙之一,基于Cisco的带有定制的实时防火墙操作系统的路由硬件,支持任何基于TCP/IP的网络。是仅次于FIREWALL-1销售的最好的防火墙。Cisco PIX 防火墙提供强大的安全,而不影响网络性能。通过 Cisco Secure PIX 防火墙可以建立使用IPSec标准的虚拟专网(VPN)连接。Cisco Secure PIX防火墙加强了内部网、外部网链路和 Internet 之间的安全访问。
Cisco集成化软件( Cisco IOS 防火墙特性集)为网络的每一个周边提供稳健的集成化防火墙和入侵检测功能性。Cisco Secure 集成化软件可用于广泛的基于 Cisco IOS 软件的路由器,为一个企业内(内部网)及合作伙伴网络(外部网)之间的连接提供尖端的安全和政策加强,并保证远程和分支机构 Internet 连接的安全性。
蓝盾防火墙基于硬件一体化设计,除具有传统防火墙的基本功能外,还引入了“智能防御”机制,能自动探测出各种扫描和攻击,即时进行统计分析,自动进行防御,必要时断开连接,并报警。已获得国家公安部计算机安全信息中心的认证,是中国第一套具有智能防御功能的网络安全产品。
NetScreen-100防火墙产品是美国NetScreen公司推出的支持100BaseT速率的硬件防火墙,独特的ASIC设计和已申请专利保护的系统体系结构为重要的企业数据提供了最可靠的安全保障。
主要性能指标:
访问控制:支持的INTERNET服务类型数量
网络地址翻译(NAT):一对一或一对多
身份认证:支持的认证方法类型
入侵检测:能否“识别”多种黑客攻击
虚拟专用网络(VPN)功能:提供用户数据在INTERNET上的私密传输
高可靠性(HA):
负载均衡:在多个服务器间提供合理的负载分配
管理、审计:可否进行策略编辑,日志审计,安全告警,集中管理
(三)产品比较
国内外防火墙产品比较表
Cisco Pix |
CheckPoint Firewall-1 |
蓝盾防火墙 | ||
产品形态 |
硬件黑盒,但需要额外硬件才能支持IPSEC |
软件,需要昂贵的网络服务器才能运作 |
硬件黑盒,无需额外硬件 | |
操作系统 |
专用操作系统,性能很高,安全性很强 |
基于NT或Solaris,性能差,安全性低 |
专用操作系统,性能很高,安全性很强 | |
系统载体 |
Flash Rom,大幅延长平均故障间隔时间(MTBF),但无法保存网络记录和建立Cache |
硬盘,平均故障间隔时间(MTBF)短 |
Flash Rom,大幅延长平均故障间隔时间(MTBF),同时可以将网络记录和Cahce输出到硬盘上 | |
产地 |
美国,高安全性加密模块不能出口,价格昂贵,缺少许多适应国情的功能 |
美国,高安全性加密模块不能出口,价格昂贵,缺少许多适应国情的功能 |
中国,具有高安全性的加密模块,价格合理,专门针对国情设计 | |
状态检测 分组过滤 |
支持 |
支持 |
支持,同时支持分组过滤 | |
透明代理服务器 |
不支持 |
不支持 |
支持,并可以与NAT共用,方便的解决在NAT中使用FTP等服务的难题 | |
代理服务器 |
HTTP FTP SMTP,无Cache |
HTTP FTP SMTP,无Cache |
HTTP/FTP,有Cache | |
反向代理服器 |
不支持,作为另外的产品(Cache Engine)出售 |
不支持 |
支持,可以利用反向代理服务器建立负载分担的Web Server | |
智 能 功 能 |
智能防御 |
不支持 |
不支持 |
支持 |
自动反扫描 |
不支持 |
不支持 |
支持 | |
自动报警 |
不支持 |
不支持 |
支持 | |
双机热备份 |
支持,提供较强的容错能力 |
不支持 |
支持,提供较强的容错能力 | |
集群处理(Cluster) |
不支持 |
不支持 |
支持,提供容错、负载分担、热替换功能 | |
信息过滤 |
不支持 |
不支持 |
支持 | |
网络黑洞 |
支持 |
支持 |
支持 | |
流量控制 |
不支持,作为另外的产品出售 |
不支持,作为另外的产品(Flood Gate-1)出售 |
支持,可以对不同IP、不同端口、不同协议、不同流向的数据流做出统计和限制 | |
负载分流 |
不支持,作为另外的产品(Distributed Director)出售 |
不支持,作为另外的产品(Connection Control)出售 |
支持 | |
URL拦截 |
支持,但需要与另外一台服务器上的Cisco软件产品一起使用 |
支持 |
支持 | |
虚拟专网(VPN) |
支持.但需要另外的硬件模块,同时高保密算法不能出口美国 |
支持,但是IPSEC不能出口 |
支持,IPSEC可以支持168Bits 3DES等高强度加密算法 | |
管理界面 |
命令行,参数复杂,英文,Web管理界面需要另外购买 |
GUI,英文,远程管理模块昂贵 |
基于文本的菜单(控制口)和基于Web的全中文界面,带有128位SSL和Session功能,保证远程控制的安全 |