INTRANET网络及安全技术1.doc

INTRANET网络及安全技术1 　　第三部分Intranet安全技术 　　“防火墙”技术与结构 　　“防火墙”技术是通过对网络作拓扑结构和服务类型 上的隔离来加强网络安全的手段。它所保护的对象是网络 中有明确闭合边界的一个网块，它的防范对象是来自被保 护网块外部的对网络安全的威胁。所谓“防火墙”则是综 合采用适当技术在被保护网络周边建立的用于分隔被保护 网络与外部网络的系统。可见，“防火墙”技术最适合于 在企业专网中使用，特别是在企业专网与公共网络互连时 的使用。 　　建立“防火墙”是在对网络的服务功能和拓扑结构仔 细分析基础上，在被保护网络周边通过专用软件、硬件及 管理措施的综合，对跨越网络边界和信息提供监测、控制 甚至修改的手段。实现“防火墙”所用的主要技术有数据 包过滤、应用级网关和代理服务器（proxyserver）等， 在此基础上合理的网络拓扑结构及有关技术（在位置和配 置上）的适度使用也是保证防火墙的有效使用的重要因素 。 　　包过滤（packetfilter）技术顾名思义即在网络中适 当的位置对数据包实施有选择通过，选择判据即为系统内 设置的过滤逻辑（通常称为接入控制表accesscontrollis t）。通过检查数据流中的每个数据包后，根据包的源地 址、目的地址、所用的TCP端口号、TCP链路状态等因素或 它们的组合来确定是否允许数据包通过，只有满足过滤逻 辑的数据包才被转发至相应的至目的地的输出端口，其余 数据包则被从数据流中删除。包过滤技术的实现方式相当 简洁，目前网络的路由设备通常均具有一定的数据包过滤 能力，因而使路由设备在完成路由选择和数据转发功能之 外同时进行包过滤是目前常见的实现方式之一。此外在工 作站上使用软件进行包过滤也不失为一种可行的方案，但 相对较为昂贵。若在适当的路由设备上启动包过滤功能（ 作此用途的路由器称ScreeningRouter）则通常不需要额外 增加硬件／软件配置，也不需要对网络拓扑结构作改动。 但是应当注意到，包过滤技术本身对网络的保护功能是有 局限的，这是因为它是在网络层和传输层上运作的技术， 因而对位于网络更高协议层的信息无理解能力，使得它对 通过网络应用层协议实现的安全威胁无防范能力。由于数 据包过滤逻辑是静态指定的，因而系统的操作、维护工作 量相当可观，包过滤逻辑的 静态设置也使得它对需要 动态指定TCP端口号的应用协议（如FTP和X－Windows） 的应用受到限制。此外，进行数据包的检查和过滤会对路 由设备的工作性能产生可观的影响。并且由于路由器内部 资源的限制，通常路由器对所发现的非法数据包仅是删除 而已，并不作报告，从而不具有安全保障系统所要求的可 审核性。近来已有路由器厂家开始通过软件实现非法数据 包的登录和报告，但启动此功能对路由器性能的影响是可 观的。 　　应用级网关（ApplicationGateway）具有建立在网络 应用层上的协议过滤、转发功能，针对特别的网络应用服 务协议指定数据过滤逻辑，并可根据在按应用协议指定的 数据过滤逻辑进行过滤的同时，将对数据包分析的结果及 采取的措施作登录和统计，形成报告。实际中应用级网关 通常由专用工作站系统实现。 　　数据包过滤技术与应用级网关技术的一个共有特点是 ：它们仅根据特定的逻辑检查来决定是否允许特定的数据 包通过。一旦特定的网络数据流满足逻辑，则防火墙内外 的计算机系统建立直接联系，因而仍然存在防火墙外部网 络系统直接了解防火墙内网络结构和运行状态的可能。代 理服务器技术（ProxyServer）则是针对这一问题引入的 “防火墙”技术，其特点是将所有跨越防火墙的网络通讯 链路分为二段。防火墙内外计算机系统间的应用层的“连 接”由二个终止于代理服务器上的“连接”来实现，外部 计算机的网络链路只能到达代理服务器，由此实现了“防 火墙”内外计算机系统的隔离，代理服务器在此等效于一 个网络传输层上的数据转发器的功能。代理服务器是“防 火墙”技术中颇受推崇的一种，它的优点在于可以将被保 护网络内部结构屏蔽起来，显著增强了网络的安全性能， 同时代理服务器还可以用于实施较强的数据流监控、过滤 、记录、报告等功能。使用代理服务器的缺点在于需要为 每个网络服务专门设计、开发代理服务软件及相应的监控 过滤功能，并且由于代理服务具有相当的工作量，因此通 常需要专用的硬件（即工作站）来承担。 　　在上述基本技术基础上，建设性能良好的防火墙的关 键在于网络拓扑结构的合理选用及防火墙技术的合理配置 。目前在实际中的防火墙结构通常含有一个“停火区”DM Z（DemilitarizedZone）。 　　此外针对被保护网络的特殊需要，防火墙的结构常常 需要增加其他“组件”。例如通常被保护网络会有部分