网络防火墙的系统解决方案(下)

（三）状态包过滤型防火墙 　　为了克服包过滤模式明显的安全性不足的问题, 一些包过滤型防火墙厂商推出了状态包过滤的概念。在包过滤技术的基础上，通过基于上下文的动态包过滤模块检查，增强了安全性检查。它不再只是分别对每个进来的包简单地就地址进行检查，动态包过滤型防火墙在网络层截
获进来的包，直到足够的数量，以便能够确定此试图连接的有关“状态”。然后用防火墙系统内核中“专用的检查模块”对这些包进行检查。安全决策所需的相关状态信息经过这个“专用的检查模块”检查之后，记录在动态状态表中，以便对其后的数据包通讯进行安全评估。经过检查的包穿过防火墙，在内部与外部系统之间建立直接的联系。 　　尽管基于上下文的状态包过滤检查的方法明显地提高了安全性，但它仍然无法与应用层代理防火墙相比。动态包过滤防火墙的典型代表是CHECKPOINT FIREWAL-1防火墙。下图显示的是基于上下文的动态包过滤防火墙的逻辑结构。

　　三、安全需求分析 　　TCP/IP的灵活设计和Internet的普遍应用为网络黑客技术的发展提供了基础，黑客技术很容易被别有用心或喜欢炫耀的人们掌握，由此黑客数量剧增。加之网络连接点多面广，客观上为黑客的入侵提供了较多的切入点。企业计算机网络中内部网上的信息有许多是属于机密数据，一旦被不怀好意的黑客窃取或被竞争对手得到，都将带来难以估量的损失。为了使信息系统在保障安全的基础上被正常访问，需要一定的设备来对系统实施保护，保证只有合法的用户才可以访问系统。就目前看，能够实现这种需求的性能价格比最优的设备就是防火墙。 　　本着经济、高效的原则，有必要将内部网和外部不信任网络、内部网络中主要的应用服务器和内部其它网段用防火墙隔离保护，以实现对内部网以及主机系统的访问控制和边界安全的集中管理。 　　四、防火墙方案具体实现 　　（一）产品选型原则 　　在进行防火墙产品选型时，除了必须遵循网络安全体系设计原则外，还要求防火墙至少应包含以下功能： 　　1、访问控制：通过对特定网段和特定服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前； 　　2、攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时地检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）； 　　3、加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息； 　　4、身份认证：良好的认证体系可防止攻击者假冒合法用户； 　　5、多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标； 　　6、隐藏内部信息：使攻击者不能了解系统内的基本情况； 　　7、安全监控中心：为信息系统提供安全体系管理、监控，保护及紧急情况服务。 　　在实际的网络中，保障网络安全与提供高效灵活的网络服务是矛盾的。从网络服务的可用性、灵活性和网络性能考虑，网络结构和技术实现应该尽可能简捷，不引入额外的控制因素和资源开销。但从网络安全保障考虑，则要求对网络系统提供服务的种类、时间、对象、地点甚至内容有尽可能多的了解和控制能力，实现这样附加的安全功能不可避免地要耗费有限的网络资源或限制网络资源的使用，从而对网络系统的性能、服务的使用方式和范围产生显著影响。此外，保障网络安全常常还涉及到额外的硬件、软件投入及网络运行管理中的额外投入，由此可见，保障网络的安全是有代价的。对安全性的追求可以是无限的，但费用也会随之增长。以防火墙建立一套安全系统，可充分兼顾以下因素：
　　1、安全性与方便 　　一般来说，网络使用的方便性会因采用了网络安全措施而降低。防火墙无论从安装、配置到策略调整都在同一个GUI界面下完成，管理十分方便快捷，网络管理员的额外工作强度很小。此外，防火墙内外网卡透明设置也极大地方便了内部用户，内部工作站（包括服务器）不必增加任何额外的配置。 　　2、安全性与性能 　　对网络来说，安全措施是靠网络资源来完成的，它或者是占用主机CPU和内存，或者是占用网络带宽，或者是增加信息处理的过程，所有这些都可以导致整体性能降低防火墙拥有独特的状态包过滤技术，在安全性和速度之间可以自动找到理想的平衡点。 　　3、安全性与成本 　　采用网络安全措施或建立网络安全系统都会增加额外的成本，这里包括购买硬件、软件的花费，系统设计和实施费用，管理和维护安全系统的费用。 　　（二）防火墙具体实现 　　1、部署边界防火墙 　　设置边界防火墙的正确位置应该在内部网络与外部网络之间。防火墙设置在此位置上，防火墙的内外网卡分属于内部和外部网段。内部网络和外部网络被完全隔离开，所有来自外部网络的服务请求只能到达防火墙，防火墙对收到的数据包进行分析后将合法的请求传送给相应的服务主机，对于非法访问加以拒绝。内部网络的情况对于外部网络的用户来说是完全不可见的。由于防火墙是内部网络和外部网络的唯一通讯信道，因此防火墙可以对所有针对内部网络的访问进行详细的记录，形成完整的日志文件。防火墙要保护的网络与外部网络应该只有唯一的连接通路，如果防火墙后还有其它通路，防火墙将被短路，无法完成保护内部网络的工作。如果内部网络有多个外部连接，就应该在每个入口处都放置防火墙。 　　设置边界防火墙，我们可以有效的防范来自外部网络的攻击。设置防火墙后内部网与外部网进行了有效的隔离，所有来自外部网络的访问请求都要通过防火墙的检查，安全有了很大的提高。 　　边界防火墙可以完成以下具体任务： 　　通过源地址过滤，拒绝外部非法IP地址，有效的避免了外部网络上与业务无关的主机的越权访问防火墙可以只保留有用的服务，将其他不需要的服务关闭，可将系统受攻击的可能性降低到最小限度，使黑客无机可乘边界防火墙可以制定访问策略，只有被授权的外部主机可以访问内部网络的有限的IP地址，保证外部网络只能访问内部网络中必要的资源，与业务无关的操作将被拒绝由于外部网络对DMZ区主机的所有访问都要经过防火墙，防火墙可以全面监视外部网络对内部网络的访问活动，并进行详细的记录，通过分析可以得出可疑的攻击行为对于远程登录的用户，如telnet等，防火墙利用加强的认证功能，可以有效的防止非法入侵安装了边界防火墙后，网络的安全策略由防火墙集中管理，因此黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的边界防火墙可以进行地址转换工作，外部网络不能看到内部网络的结构，使黑客攻击失去目标以上的内容充分说明，企业的计算机网络安装了边界防火墙后，可以实现内部网络与外部网络的有效隔离，防止来自外部网络的非法攻击。同时，保证了DMZ区服务器的相对安全性和使用便利性。