隐者黑鹰
“防火墙”技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的手段。它所保护的对象是网络中有明确闭合边界的一个网块,它的防范对象是来自被保护网块外部的对网络安全的威胁。所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的用于分隔被保护网络与外部网络的系统。可见,“防火墙”技术最适合于在企业专网中使用,特别是在企业专网与公共网络互连时的使用。建立“防火墙”是在对网络的服务功能和拓扑结构仔细分析基础上,在被保护网络周边通过专用软件、硬件及管理措施的综合,对跨越网络边界和信息提供监测、控制甚至修改的手段。
实现“防火墙”所用的主要技术有数据包过滤、应用级网关和代理服务器(proxy server)等,在此基础上合理的网络拓扑结构及有关技术(在位置和配置上)的适度使用也是保证防火墙的有效使用的重要因素。包过滤(packet filter)技术顾名思义即在网络中适当的位置对数据包实施有选择通过,选择判据即为系统内设置的过滤逻辑(通常称为接入控制表access controllist)。通过检查数据流中的每个数据包后,根据包的源地址、目的地址、所用的TCP端口号、TCP链路状态等因素或它们的组合来确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发至相应的至目的地的输出端口,其余数据包则被从数据流中删除。包过滤技术的实现方式相当简洁,目前网络的路由设备通常均具有一定的数据包过滤能力,因而使路由设备在完成路由选择和数据转发功能之外同时进行包过滤是目前常见的实现方式之一。
此外在工作站上使用软件进行包过滤也不失为一种可行的方案,但相对较为昂贵。若在适当的路由设备上启动包过滤功能(作此用途的路由器称Screening Router)则通常不需要额外增加硬件/软件配置,也不需要对网络拓扑结构作改动。
但是应当注意到,包过滤技术本身对网络的保护功能是有局限的。这是因为它是在网络层和传输层上运作的技术,因而对位于网络更高协议层的信息无理解能力,使得它对通过网络应用层协议实现的安全威胁无防范能力。由于数据包过滤逻辑是静态指定的,因而系统的操作、维护工作量相当可观,包过滤逻辑的静态设置也使得它对需要动态指定TCP端口号的应用协议(如FTP和X-Windows)的应用受到限制。此外,进行数据包的检查和过滤会对路由设备的工作性能产生可观的影响。并且由于路由器内部资源的限制,通常路由器对所发现的非法数据包仅是删除而已,并不作报告,从而不具有安全保障系统所要求的可审核性。
近来已有路由器厂家开始通过软件实现非法数据包的登录和报告,但启动此功能对路由器性能的影响是可观的。应用级网关(Application Gateway)具有建立在网络应用层上的协议过滤、转发功能,针对特别的网络应用服务协议指定数据过滤逻辑,并可根据在按应用协议指定的数据过滤逻辑进行过滤的同时,将对数据包分析的结果及采取的措施作登录和统计,形成报告。实际中应用级网关通常由专用工作站系统实现。数据包过滤技术与应用级网关技术的一个共有特点是:它们仅根据特定的逻辑检查来决定是否允许特定的数据包通过。一旦特定的网络数据流满足逻辑,则防火墙内外的计算机系统建立直接联系,因而仍然存在防火墙外部网络系统直接了解防火墙内网络结构和运行状态的可能。
代理服务器技术(Proxy Server)则是针对这一问题引入的“防火墙”技术,其特点是将所有跨越防火墙的网络通讯链路分为二段。防火墙内外计算机系统间的应用层的“连接”由二个终止于代理服务器上的“连接”来实现,外部计算机的网络链路只能到达代理服务器,由此实现了“防火墙”内外计算机系统的隔离,代理服务器在此等效于一个网络传输层上的数据转发器的功能。代理服务器是“防火墙”技术中颇受推崇的一种,它的优点在于可以将被保护网络内部结构屏蔽起来,显着增强了网络的安全性能,同时代理服务器还可以用于实施较强的数据流监控、过滤、记录、报告等功能。使用代理服务器的缺点在于需要为每个网络服务专门设计、开发代理服务软件及相应的监控过滤功能,并且由于代理服务具有相当的工作量,因此通常需要专用的硬件(即工作站)来承担。
在上述基本技术基础上,建设性能良好的防火墙的关键在于网络拓扑结构的合理选用及防火墙技术的合理配置。目前在实际中的防火墙结构通常含有一个“停火区”DMZ(Demilitarized Zone)。此外针对被保护网络的特殊需要,防火墙的结构常常需要增加其他“组件”。例如通常被保护网络会有部分信息可以与外部网络在较大程度上共享,允许外部用户直接读取(如WWW服务器、匿名FTP服务器等)。对此常常是以在防火墙中建立二个停火区来满足网络服务要求,其中外停火区的子网上可以加上公共信息服务器。在这一配置中,外“停火区”上的路由应以静态设置,并且所有外停火区内的网络系统均不应被内部网络认为是可靠系统。加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性,因而这一类安全保障技术的基石是适用的数据加密技术及其在分布式系统中的应用。
数据加密技术可以分为三类,即对称型加密、不对称型加密和不可逆加密。其中对称型加密使用单个密钥对数据进行加密或解密,其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难,主要是密钥管理困难,从而使用成本较高,保安性能也不易保证。这类算法的代表是在计算机专网系统中广泛使用的DES算法(Digital Encryption Standard)。
不对称型加密算法也称公用密钥算法,其特点是有二个密钥(即公用密钥和私有密钥),只有二者搭配使用才能完成加密和解密的全过程。由于不对称算法拥有二个密钥,它特别适用于分布式系统中的数据加密,在Internet中得到了广泛应用。其中公用密钥在网上公布,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的收信方妥善保管。不对称加密的另一用法称为“数字签名”(digital signature),即数据源使用其私有密钥对数据的校验和(checksum)或其他与数据内容有关的变量进行加密,而数据接收方则用相应的公用密钥解读“数字签名”,并将解读结果用于对数据完整性的检验。在网络系统中得到应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA算法(Digital Signature Algorithm)。不对称加密法在分布式系统中应用需注意的问题是如何管理和确认公用密钥的合法性。
不可逆加密算法的特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题,适合于分布式网络系统上使用,但是其加密计算工作量相当可观,所以通常用于数据量有限的情形下的加密,例如计算机系统中的口令就是利用不可逆算法加密的。近来随着计算机系统性能的不断改善,不可逆加密的应用逐渐增加。在计算机网络中应用较多的有RSA公司发明的MD5算法和由美国国家标准局建议的可靠不可逆加密标准(SHS-Secure Hash Standard)。
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。前者通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外,通过适当的密钥管理机制,使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。SKIP协议即是近来IETF在这一方面的努力之一。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,例如使用Kerberos服务的telnet、NFS、rlogion等,以及用作电子邮件加密的PEM (Privacy Enhanced Mail)和PGP (Pretty Good Privacy)。这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
网络安全保障工具与产品相对而言,互联网安全保障产品的开发和完善仍处在很不成熟的阶段。常见的网络安全保障系统通常是根据网络的特殊需要和资源条件专门设计而成,其优点是“量体裁衣”,所得系统能切合网络用户的安全需要,但是实现成本通常较高。近二年来,随着互联网技术越来越广泛的应用,集成化程度较高的网络安全保障工具与产品开始逐渐出现于市场。下面介绍两个典型产品及其结构特点供参考。
Gauntlet:这是由Trusted Information Systems,Inc.(美国马里兰州)提供的计算机互联网“防火墙”产品。它的基本功能是面向应用服务的代理服务能力。可以对Telnet、rlogin、ftp、SMTP、NNTP、Gopher、HTTP及X-Windows等应用协议提供代理服务。整个系统是在基于Intel的系统上运行的,系统的初始安装及代理服务器的配置通过一个文本型用户界面来实现。Gauntlet的基本原则是所有网络上的计算机系统均是不可信任的系统,只有在代理服务器中特别指定的计算机系统上的应用服务才是可以信任的服务,从而可以通过Gauntlet防火墙代理实现。此外Gauntlet还配有系统完整性自检、系统事件记录和报告、系统接入控制及用户确认等功能。Gauntlet及其Public Domain版TIS“防火墙”工具集由于采用了可扩展的结构设计、公开的源程序,已经成为应用相当广泛的网络安全保障的基本组成部分。例如口碑颇好的BBN公司提供的Internet Site Patrol服务即是基于Gauntlet的系统安全保障服务。
Interlock:这是由Advanced Network & Services Inc.(美国弗吉尼亚州)提供的在应用层上的代理服务系统。InterLock运行在专用的IBMR 6000或Sun Sparcstation上运行,它可以为Telent、ftp、SMTP、X-Windows、Gopher、HTTP、NNTP、NTP等应用协议提供代理服务。此外为了适应互联网上种类繁多的应用服务,Interlock还提供了一个通用代理服务,以用于那些尚无专用代理服务器的应用协议之需。其本质是一个根据传输层端口号来选择的代理服务。InterLock对网络的安全保障是由其内在的一个接入控制规则数据库(ACRB-Access Control Rule Base)来确定的,ACRB内的规则被用于确定特定的应用服务请求是否允许建立。利用这些规则可以指定用户名或用户组、协议名、专网名或主机名、网络子网掩码、起始时刻、连接方向、加密以及用户确认机制等因素作为是否允许相应应用服务的判据。
网络安全保障市场的未来走向随着Internet及其技术的大规模应用并且进入到经济社会活动的各个领域,可以预见到对网络安全保障的技术和产品需求将迅速增长。这样的需求可以分为三大类,其一是传统的企业专网进入Internet时对“防火墙”的需求;其二是在公共互联网(例如国内的CHINANET)成为一个可靠和廉价的网络媒介后,市场将对利用公用互联网建立具有安全保障的虚拟专网产生强烈兴趣;最后,也是第三类需求,联网系统上的安全预警工具将日益受到市场的重视。
隐者黑鹰
“防火墙”技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的手段。它所保护的对象是网络中有明确闭合边界的一个网块,它的防范对象是来自被保护网块外部的对网络安全的威胁。所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的用于分隔被保护网络与外部网络的系统。可见,“防火墙”技术最适合于在企业专网中使用,特别是在企业专网与公共网络互连时的使用。建立“防火墙”是在对网络的服务功能和拓扑结构仔细分析基础上,在被保护网络周边通过专用软件、硬件及管理措施的综合,对跨越网络边界和信息提供监测、控制甚至修改的手段。
实现“防火墙”所用的主要技术有数据包过滤、应用级网关和代理服务器(proxy server)等,在此基础上合理的网络拓扑结构及有关技术(在位置和配置上)的适度使用也是保证防火墙的有效使用的重要因素。包过滤(packet filter)技术顾名思义即在网络中适当的位置对数据包实施有选择通过,选择判据即为系统内设置的过滤逻辑(通常称为接入控制表access controllist)。通过检查数据流中的每个数据包后,根据包的源地址、目的地址、所用的TCP端口号、TCP链路状态等因素或它们的组合来确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发至相应的至目的地的输出端口,其余数据包则被从数据流中删除。包过滤技术的实现方式相当简洁,目前网络的路由设备通常均具有一定的数据包过滤能力,因而使路由设备在完成路由选择和数据转发功能之外同时进行包过滤是目前常见的实现方式之一。
此外在工作站上使用软件进行包过滤也不失为一种可行的方案,但相对较为昂贵。若在适当的路由设备上启动包过滤功能(作此用途的路由器称Screening Router)则通常不需要额外增加硬件/软件配置,也不需要对网络拓扑结构作改动。
但是应当注意到,包过滤技术本身对网络的保护功能是有局限的。这是因为它是在网络层和传输层上运作的技术,因而对位于网络更高协议层的信息无理解能力,使得它对通过网络应用层协议实现的安全威胁无防范能力。由于数据包过滤逻辑是静态指定的,因而系统的操作、维护工作量相当可观,包过滤逻辑的静态设置也使得它对需要动态指定TCP端口号的应用协议(如FTP和X-Windows)的应用受到限制。此外,进行数据包的检查和过滤会对路由设备的工作性能产生可观的影响。并且由于路由器内部资源的限制,通常路由器对所发现的非法数据包仅是删除而已,并不作报告,从而不具有安全保障系统所要求的可审核性。
近来已有路由器厂家开始通过软件实现非法数据包的登录和报告,但启动此功能对路由器性能的影响是可观的。应用级网关(Application Gateway)具有建立在网络应用层上的协议过滤、转发功能,针对特别的网络应用服务协议指定数据过滤逻辑,并可根据在按应用协议指定的数据过滤逻辑进行过滤的同时,将对数据包分析的结果及采取的措施作登录和统计,形成报告。实际中应用级网关通常由专用工作站系统实现。数据包过滤技术与应用级网关技术的一个共有特点是:它们仅根据特定的逻辑检查来决定是否允许特定的数据包通过。一旦特定的网络数据流满足逻辑,则防火墙内外的计算机系统建立直接联系,因而仍然存在防火墙外部网络系统直接了解防火墙内网络结构和运行状态的可能。
代理服务器技术(Proxy Server)则是针对这一问题引入的“防火墙”技术,其特点是将所有跨越防火墙的网络通讯链路分为二段。防火墙内外计算机系统间的应用层的“连接”由二个终止于代理服务器上的“连接”来实现,外部计算机的网络链路只能到达代理服务器,由此实现了“防火墙”内外计算机系统的隔离,代理服务器在此等效于一个网络传输层上的数据转发器的功能。代理服务器是“防火墙”技术中颇受推崇的一种,它的优点在于可以将被保护网络内部结构屏蔽起来,显着增强了网络的安全性能,同时代理服务器还可以用于实施较强的数据流监控、过滤、记录、报告等功能。使用代理服务器的缺点在于需要为每个网络服务专门设计、开发代理服务软件及相应的监控过滤功能,并且由于代理服务具有相当的工作量,因此通常需要专用的硬件(即工作站)来承担。
在上述基本技术基础上,建设性能良好的防火墙的关键在于网络拓扑结构的合理选用及防火墙技术的合理配置。目前在实际中的防火墙结构通常含有一个“停火区”DMZ(Demilitarized Zone)。此外针对被保护网络的特殊需要,防火墙的结构常常需要增加其他“组件”。例如通常被保护网络会有部分信息可以与外部网络在较大程度上共享,允许外部用户直接读取(如WWW服务器、匿名FTP服务器等)。对此常常是以在防火墙中建立二个停火区来满足网络服务要求,其中外停火区的子网上可以加上公共信息服务器。在这一配置中,外“停火区”上的路由应以静态设置,并且所有外停火区内的网络系统均不应被内部网络认为是可靠系统。加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性,因而这一类安全保障技术的基石是适用的数据加密技术及其在分布式系统中的应用。
数据加密技术可以分为三类,即对称型加密、不对称型加密和不可逆加密。其中对称型加密使用单个密钥对数据进行加密或解密,其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难,主要是密钥管理困难,从而使用成本较高,保安性能也不易保证。这类算法的代表是在计算机专网系统中广泛使用的DES算法(Digital Encryption Standard)。
不对称型加密算法也称公用密钥算法,其特点是有二个密钥(即公用密钥和私有密钥),只有二者搭配使用才能完成加密和解密的全过程。由于不对称算法拥有二个密钥,它特别适用于分布式系统中的数据加密,在Internet中得到了广泛应用。其中公用密钥在网上公布,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的收信方妥善保管。不对称加密的另一用法称为“数字签名”(digital signature),即数据源使用其私有密钥对数据的校验和(checksum)或其他与数据内容有关的变量进行加密,而数据接收方则用相应的公用密钥解读“数字签名”,并将解读结果用于对数据完整性的检验。在网络系统中得到应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA算法(Digital Signature Algorithm)。不对称加密法在分布式系统中应用需注意的问题是如何管理和确认公用密钥的合法性。
不可逆加密算法的特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题,适合于分布式网络系统上使用,但是其加密计算工作量相当可观,所以通常用于数据量有限的情形下的加密,例如计算机系统中的口令就是利用不可逆算法加密的。近来随着计算机系统性能的不断改善,不可逆加密的应用逐渐增加。在计算机网络中应用较多的有RSA公司发明的MD5算法和由美国国家标准局建议的可靠不可逆加密标准(SHS-Secure Hash Standard)。
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。前者通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外,通过适当的密钥管理机制,使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。SKIP协议即是近来IETF在这一方面的努力之一。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,例如使用Kerberos服务的telnet、NFS、rlogion等,以及用作电子邮件加密的PEM (Privacy Enhanced Mail)和PGP (Pretty Good Privacy)。这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
网络安全保障工具与产品相对而言,互联网安全保障产品的开发和完善仍处在很不成熟的阶段。常见的网络安全保障系统通常是根据网络的特殊需要和资源条件专门设计而成,其优点是“量体裁衣”,所得系统能切合网络用户的安全需要,但是实现成本通常较高。近二年来,随着互联网技术越来越广泛的应用,集成化程度较高的网络安全保障工具与产品开始逐渐出现于市场。下面介绍两个典型产品及其结构特点供参考。
Gauntlet:这是由Trusted Information Systems,Inc.(美国马里兰州)提供的计算机互联网“防火墙”产品。它的基本功能是面向应用服务的代理服务能力。可以对Telnet、rlogin、ftp、SMTP、NNTP、Gopher、HTTP及X-Windows等应用协议提供代理服务。整个系统是在基于Intel的系统上运行的,系统的初始安装及代理服务器的配置通过一个文本型用户界面来实现。Gauntlet的基本原则是所有网络上的计算机系统均是不可信任的系统,只有在代理服务器中特别指定的计算机系统上的应用服务才是可以信任的服务,从而可以通过Gauntlet防火墙代理实现。此外Gauntlet还配有系统完整性自检、系统事件记录和报告、系统接入控制及用户确认等功能。Gauntlet及其Public Domain版TIS“防火墙”工具集由于采用了可扩展的结构设计、公开的源程序,已经成为应用相当广泛的网络安全保障的基本组成部分。例如口碑颇好的BBN公司提供的Internet Site Patrol服务即是基于Gauntlet的系统安全保障服务。
Interlock:这是由Advanced Network & Services Inc.(美国弗吉尼亚州)提供的在应用层上的代理服务系统。InterLock运行在专用的IBMR 6000或Sun Sparcstation上运行,它可以为Telent、ftp、SMTP、X-Windows、Gopher、HTTP、NNTP、NTP等应用协议提供代理服务。此外为了适应互联网上种类繁多的应用服务,Interlock还提供了一个通用代理服务,以用于那些尚无专用代理服务器的应用协议之需。其本质是一个根据传输层端口号来选择的代理服务。InterLock对网络的安全保障是由其内在的一个接入控制规则数据库(ACRB-Access Control Rule Base)来确定的,ACRB内的规则被用于确定特定的应用服务请求是否允许建立。利用这些规则可以指定用户名或用户组、协议名、专网名或主机名、网络子网掩码、起始时刻、连接方向、加密以及用户确认机制等因素作为是否允许相应应用服务的判据。
网络安全保障市场的未来走向随着Internet及其技术的大规模应用并且进入到经济社会活动的各个领域,可以预见到对网络安全保障的技术和产品需求将迅速增长。这样的需求可以分为三大类,其一是传统的企业专网进入Internet时对“防火墙”的需求;其二是在公共互联网(例如国内的CHINANET)成为一个可靠和廉价的网络媒介后,市场将对利用公用互联网建立具有安全保障的虚拟专网产生强烈兴趣;最后,也是第三类需求,联网系统上的安全预警工具将日益受到市场的重视。