防火墙与网络安全

网络信息安全与防火墙应用急需重视 （1）


随着信息技术和互联网的发展，网络信息安全成为了构建和谐社会的一个难题，关系到2.21亿网络用户的自身利益，乃至国家的安全。本文详细讲述网络信息安全定义、网络信息安全现状、网络信息安全主要威胁，深入探讨网络安全技术与防火墙技术。

据最新统计数据显示，截至2月，我国网民数达2.21亿人，超过美国，跃升全球第一。而按照CNNIC发布的截至去年底的中国互联网统计报告，我国宽带网民数1.63亿人，居世界第一位。中国电信今年一季度宽带用户净增206万，达3771万。中国网通今年一季度宽带用户达2166万，用户净增189 万。然而在取得这一成就的同时，一个严重的问题也出现了：网络安全危机重重。随着信息技术和互联网的发展，网络信息安全已对构建和谐社会提出了难题，关系到每个网络用户的利益，乃至国家的安全。网络安全问题已经成为互联网发展中无法回避的核心问题。

网络安全问题包括网络自身可靠、网络运行安全、信息安全以及有害信息过滤和溯源在内多个层面。除涉及用户、网络运营商和国家以外，还涉及互联网上的内容提供商、应用提供商等其他实体。

网络安全是一门涉及多种学科的综合性学科。本文从网络安全的定义，网络信息安全主要威胁，渐渐深入探讨网络安全技术与防火墙技术。

1. 网络安全的定义


网络安全的一个通用定义是：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的内容包括了系统安全和信息安全两个部分。网络安全从其本质上来讲就是网络上的信息安全。

信息安全最初主要指信息系统传递的秘密数据，主要强调的是通信安全（COMSEC），随着数据库技术和信息系统的发展，强调计算机安全（COMPSEC），随着信息系统的应用范围不断扩大，必须要考虑网络安全（NETSEC），计算机安全和网络安全都属于运行安全（OPsEC）层面，而对信息系统基础设施的保护就称为物理安全 （PHYSEC）。再后来，信息系统的更重要主题是可用性，强调信息保障的整体性。现在信息安全又增加了新内容，即面向应用的内容安全 （CONTSEC），主要解决存在于信息利用方面的安全问题，保护对信息系统的控制能力。

被学术界普遍认可的是被称为信息安全金三角（CIA）的框架模型，包括机密性、完整

性和可用性三个核心属性。

网络信息安全的特征：1、保密性。保密性是指信息不泄漏给非授权的用户、实体或过程，或供其利用的特性。数椐保密性就是保证具有授权用户可以访问数据，而限制其他人对数据的访问。数据保密性分为网络传输保密性和数据存储保密性。完整性。完整性是指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。数据的完整性的目的就是保证计算机系统上的数据和信息处于一种完整和未受损害的状态，这就是说，数据不会因有意或无意的事件而被改变或丢失。数据完整性的丧失直接影响到数据的可用性。3、可用性。可用性是指被授权实体访问并按需求使用的特性，即当需要时能否存取和访问所需的信息。

最近有研究者提出了新的信息安全模型，即三层次、四层面模型，从信息系统的安全、信息自身的安全和信息利用的安全三个层次描述信息安全，包含物理安全、运行安全、数据安全和内容安全四个安全层面。信息载体（信息系统）安全和信息内容安全组成了完整的信息安全体系。

从以上分析，对信息安全的得出如下定义，信息安全是通过实现一组合适控制获得的，控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。该特定目标表现在对信息系统、信息自身及信息利用中的保密性、可鉴别性、可控性、可用性四个核心安全属性的保护上，即确保信息与信息系统不被非授权所掌握、其信息与操作是可鉴别的、信息与系统是可控的、能随时为授权者提供信息及系统服务；具体反映在物理安全、运行安全、数据安全、内容安全四个层面上。

2. 网络信息安全主要威胁


从2007年网络信息风险分析，网络安全事件主要是利用网络存在的安全漏洞。黑客们所制造的各类新型的风险将会不断产生，这些风险由多种因素引起，与网络系统结构和系统的应用等因素密切相关。下面从物理安全、网络安全、系统安全、应用安全及管理安全进行分类分析。

2.1 物理安全风险分析，我们认为网络物理

安全是整个网络系统安全的前提物理安全的风险主要有：地震、水灾、火灾等环境事故造成整个系统毁灭，电源故障造成设备断电以至操作系统引导失败或数据库信息丢失，电磁辐射可能造成数据信息被窃取或偷阅，不能保证几个不同机密程度网络的物理隔离。

2.2网络安全风险分析

内部网络与外部网络间如果在没有采取一定的安全防护措施，内部网络容易遭到来自外网的攻击。包括来自inte瑚e止的风

险和下级单位的风险。

内部局域网不同部门或用户之间如果没有采用相应一些访问控制，也可能造成信息泄漏或非法攻击。据调查统计，已发生的网络安全事件中，70％的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较、熟悉，自已攻击或泄露重要信息内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。

2.3系统的安全风险分析

所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其Back —Door。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。

2.4应用的安全风险分析

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。比如新增了一个新的应用程序，肯定会出现新的安全漏洞，必须在安全策略上做一些调整，不断完善。 ①公开服务器应用。②病毒传播。网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，有些病毒会在你的系统中自动打包一些文件自动从发件箱中发出。可能造成信息泄漏、文件丢失、机器死机等不安全因素。③信息存储。由于天灾或其它意外事故，数据库服务器造到破坏。如果没有采用相应的安全备份与恢复系统，则可能造成数据丢失后果务。④管理的安全风险分析。管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。比如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法人侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，本文认为最可行的做法是管理制度和技术解决方

案的结合。

随着人类社会生活对Intemet需求的日益增长，据不完全统计，目前网络攻击手段有数千种之多，使网络安全问题变得极其严峻，据美国商业杂志《信息周刊》公布的一项调查报告称，黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失，在全球范围内每数秒钟就发生一起网络攻击事件。

随着Intemet的发展，网络安全技术也在与网络攻击的对抗中不断发展。从总体上看，经历了从静态到动态、从被动防范到主动防范的发展过程。

3. 网络安全主要技术


现阶段网络安全主要技术有访问控制技术、数字签名与文件加密技术、防火墙技术等。

3.1访问控制技术

访问控制技术也就是通常讲的认证技术。对合法用户进行认证可以防止非法用户获得对信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。

1、身份认证。当系统的用户要访问系统资源时要求确认是否是合法的用户，这就是身份认证。常采用用户名和口令等最简易方法进行用户身份的认证识别。

2、报文认证。主要是通信双方对通信的内容进行验证，以保证报文由确认的发送方产生、报文传到了要发给的接受方、传送中报文没有被修改过。

3、访问授权。主要是确认用户对某资源的访问权限。

3.2数字签名与文件加密技术

加密就是通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。主要存在两种主要的加密类型：私匙加密和公匙加密。

数字签名是一种使用加密认证电子信息的方法，其安全性和有用性主要取决于用户私匙的保护和安全的哈希函数。数字签名技术是基于加密技术的，可用对称加密算法、非对称加密算法或混合加密算法来实现。

文件加密与数字签名技术，它是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部窃取、侦听或破坏所采用的主要技术手段之一。按作用不同，文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。

数据传输加密技术。目的是对传输中的数据流加密，常用的方针有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件，采用某种加密技术对所发送文件进行加密，把明文（也即原文）加密成密文（加密后的文件，这些文件内容是一些看不懂的代码），然后进人TCPAP数据包封装穿过互联网，当这些信息一旦到达目的地，将由收件人运用相应的密钥进行解密，使密文恢复成为可读

数据明文。目前最常用的加密技术有对称加密技术和非对称加密技术，对称加密技术是指同时运用一个密钥进行加密和解密，非对称加密方式就是加密和解密所用的密钥不一样，它有一对密钥，称为“公钥”和“私钥”两个，这两上密钥必须配对使用，也就是说用公钥加密的文件必须用相应人的私钥才能解密，反之亦然。用非对称加密方式进行加密的软件目前最流行的是PGP。

4. 防火墙技术


网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态，是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。

目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关（代理服务器）以及电路层网关、屏蔽主机防火墙、双宿主机等。根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型、网络地址转换一NAT、代理型和监测型。

4.1包过滤型

包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCPAJDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外，系统管理员也可以根据实际情况灵活制订判断规则。

包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。但它是一种完全基于网络层的安全技术，只能根据数据包的

来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Javad、程序以及电子邮件中附带的病毒，有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。

4.2代理型

代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描。对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

4.3监测型

测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。它能够对各层的数据进行主动的、实时的监测、有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测

来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。

基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。

实际上，作为当前防火墙产品的主流趋势，大多数代理服务器（也称应用网关）也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的，应用网关能提供对协议的过滤。例如，它可以过滤掉FTP连接中的PUT命令，而且通过代理应用，应用网关能

够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点，使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

网络信息安全是我国发展在新的历史时期所面临的一个重要问题。它是一个综合性的课题，是一个系统的工程，涉及技术、管理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，不能仅仅依靠防病毒软件、防火墙单一的系统来解决。