中小企业信息安全问题及解决方案.pdf

重庆大学硕士学位论文 中小企业信息安全问题及解决方案 硕士研究生：林 山 指 导 教 师 ：朱庆生 教 授 学科、专业：计算机应用技术 重庆大学计算机学院 二 OO 七年十月 Master Degree Dissertation of Chongqing University Problems and Solutions to Information Security in Small and Mid-scale Enterprises Master Degree Candidate:Lin Shan Supervisor: Prof. Zhu Qingsheng Major: Computer Application Technology College of Computer Science Chongqing University October 2007 I 摘 要 当今时代，信息是一个国家最重要的资源之一，信息与网络的运用亦是二十 一世纪国力的象征，以网络为载体、信息资源为核心的新经济改变了传统的资产 运营模式。信息作为企业的资源，需要安全的防护。 本文首先阐述了信息安全的现状和概念，目前的中小企业由于受人力和资金 上的限制，网络安全产品不仅仅需要简单的安装，更重要的是要有针对复杂网络 应用的一体化解决方案。这种安全解决方案的着眼点在于：能够实时监控并易于 管理；提供安全策略配置；用户能够完善自身安全体系。 在第二章中介绍了基于防火墙技术的网络安全方案，本方案具有结构简单， 管理和维护方便，投资小等优点。然而，由于防火墙自身功能的局限性，本方案 的安全性能也很有限。 在第三章中介绍了基于入侵检测技术的网络安全方案，作为防火墙的合理补 充，入侵检测能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力， 提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信 息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影 响网络性能的情况下能对网络进行监测。 在第四章中介绍了基于防水墙的网络安全方案，防水墙是对防火墙、虚拟专 用网、入侵检测系统等多种安全设备，所提供安全服务的有效补充。政府机关、 军工企业、涉密的企、事业单位，通过应用部署该系统，能很好的满足内网安全 防护的需要，切实降低信息泄密的风险，具有良好的应用效果。 在第五章中通过对四川省威远县酒厂的信息系统的改造，介绍了适合于中小 型企业的网络安全产品-UTM（统一威胁管理） 。UTM 整合防火墙、防病毒、反 垃圾邮件、VPN、负载平衡、宽带管理、入侵检测、内容过滤等高性能安全防护 功能，具有极好的性能优势和成本优势，非常适用于对信息安全管理重视，却又 面临人力、物力等成本压力的中小型企业用户。 本文研究的内容主要包括下面几点： 中小企业的信息安全现状和信息安全需求。 就中小企业信息安全问题分别给出了基于防火墙技术、 基于入侵检测技术、 基于防水墙技术和基于 UTM（统一威胁管理）的解决方案。 设计了四川省威远县酒厂的信息安全解决方案。 对今后我国信息安全产业的发展进行了展望。 关键词关键词：信息安全，防火墙技术，入侵检测技术，防水墙，UTM II ABSTRACT Nowadays, information is one of the most important national resources. The information and the network utilization is also perceived as a symbol of a nation's power in 21th century. Taking the network as the carrier and resources as the core, the new economy has converted the traditional model of capital employment. As bussiness resource, information calls for safe guarding. To begin with, the thesis explores the concept and the current situation of information security. At present, small and mid-scale enterprises suffer from lack of manpower and money. The network security products require not only simple installation, but also an all-in-one solution aiming at the complex network operation. The solution runs on the principles of real-time monitoring, easy management, provided safe strategies, and security system perfected by users. The second chapter elaborates the network security program founded on the technology of Firewall. This program enjoys such qualities as simple construction, convenient management and maintenance, small investment. However, owing to the limitations of Firewall functions, the performance of the program is also restricted. The third chapter introduces the network security program grounded on the technology of Intrusion Detection. As a reasonable complement to Firewall, Intrusion Detection can help the system to withstand the online attack, extend the abilities of the system manager in security management, and increase the integrity of basic construction in information security. The program collects and analyzes information from the key points in the network. Intrusion Detection is regarded as the second guard gate, which monitors the network without affecting its operation. The forth chapter expounded the network security program based on Waterwall, which is an potent supplementaty to Firewall, virtual special-purpose net, the Intrusion Detection system etc. The government agencies, defense industries, confidential enterprises and public institutions can take advantage of the program to protect their interior nets by applying and depoying it. In doing so, the risk of leaking the secret is lowered, and the practical effectiveness is achieved. With the example of information security transformation in Weiyuan Brewery in Sichuan Province, the fifth chapter presents UTM （Unified Threat Management ）, which re-adjust and optimizes such high-performance safety protections as Firewall, III Anti-virus, Anti-spam, VPN, Load balancing, ADSL management, Intrusion Detection, Information filting. The UTM is superior in performance and cost, which holds good for small and mid-scale businesses that put emphasis on information security while fail fo afford the cost of manpower and resources. The contents of the thesis include as follows: The current situation and the needs of information security in small and mid-scale enterprises. The solutions to information security based on Firewall, Intrusion Detection, Waterwall and UTM in small and mid-scale enterprises. The solution to information security designed for Weiyuan Brewery in Sichuan Province. Hope for the future development of information security industry in our country. Key Words: Information Security; Firewall; Intrusion Detection; Waterwall; Unified Threat Management IV 目 录 摘 要 .I ABSTRACT. II 1 概 述 1 1.1 企业信息安全现状1 1.2 本课题研究的主要内容4 2 基于防火墙的解决方案 7 2.1 防火墙的概念7 2.2 防火墙技术分类7 2.3 应用防火墙的信息安全方案11 2.4 本章小结12 3 基于入侵检测的解决方案 15 3.1 入侵检测系统的概念15 3.2 入侵检测系统技术及分类16 3.2.1 入侵检测系统技术 .16 3.2.2 入侵检测系统的分类 .17 3.3 入侵检测的主要方法17 3.3.1 静态配置分析 .17 3.3.2 异常性检测方法 .17 3.3.3 基于行为的检测方法 .18 3.4 入侵检测系统的结构及标准化18 3.5 入侵检测系统面临的主要问题及发展趋势19 3.5.1 入侵检测系统面临的主要问题 .19 3.5.2 入侵检测系统的发展趋势 .20 3.6 基于入侵检测系统的信息安全解决方案21 3.7 本章小结22 4 基于防水墙的信息安全解决方案 24 4.1 企业信息系统的安全需求24 4.2 企业信息系统的设计步骤25 4.3 基于防水墙系统的解决方案29 4.3.1 防水墙技术分析 .29 4.3.2 防水墙系统特点 .31 4.3.3 基于防水墙的解决方案 .31 4.4 本章小结32 5 企业信息安全的解决方案 34 5.1 概述34 V 5.1.1 企业信息系统设计思路 .34 5.1.2 UTM（统一威胁管理）技术分析35 5.1.3 UTM（统一威胁管理）的发展前景38 5.2 企业产品选型及网络结构39 5.3 本章小结40 6 总结和展望 42 致 谢 45 参考文献 46 附 录 47 1 1 概 述 进入二十一世纪的今天，随着社会、经济和科学技术的飞速发展，为了提高 办事效率和市场反应能力等核心竞争力，使企业能在信息资讯时代脱颖而出，众 多的企业也都纷纷依靠 IT 技术构建企业自身的信息系统和业务运营平台。计算机 网络在经济和生活的各个领域迅速普及，整个社会对网络的依赖程度越来越大。 网络带给了我们极大的自由与便利，人们的工作、学习和生活方式正在发生巨大 变化，效率大为提高，信息资源得到最大程度的共享。但我们必须看到，随着企 业网络的普及和网络开放性，共享性，互连程度的扩大，网络的安全问题也越来 越引起人们的重视。由于网络信息系统具有致命的脆弱性、易受攻击性和开放性， 造成了紧随信息化发展而来的网络安全问题日渐凸出。 网络安全关键是网络上信息的安全，企业利用通信网络把孤立的单机系统连 接起来，相互通信和共享资源，一旦企业网络遭到攻击，企业信息泄露，甚至被 人篡改，就会给企业带来不可估量的损失。据统计，现在全世界平均每 20 秒就发 生一次计算机网络入侵事件。现在，我们日常使用的软盘、CD 、VCD 、DVD 都 可能携带病毒；E-mail、上网浏览、下载以及聊天都可能感染病毒。甚而有之，用 户不做任何事情都有可能感染病毒。因此，为了应对复杂多变的各种信息安全问 题，对企业的网络信息安全进行进一步的研究，以保证企业信息的机密性 （Confidentiality） 、 完整性 （Integrity） 、 可用性 （Availability） 、 真实性 （Authenticity） 、 实用性（Utility）和占有性10是十分必要与紧迫的。 目前，人们已经开始认识到研究与防范信息安全问题对企业发展的重要性、 紧迫性。针对各种信息安全问题对企业造成影响的不同，攻击特点和原理的不同， 人们已经研发出了各种信息安全技术，以达到最大限度的防范与解决信息安全威 胁的目的。 1.1 企业信息安全现状 随着信息化进程的深入和互联网的迅速发展，网络信息安全成为了企业信息 安全的主要问题。网络环境为信息共享、信息交流、信息服务创造了理想空间， 网络技术的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而， 正是由于网络与生俱有的开放性、交互性和分散性等特征，造成了许多网络安全 问题。现今，网络上泛滥的各种安全问题已成为全人类共同面临的挑战，企业信 息安全问题也日益突出。具体表现为：网络的物理安全问题；计算机网络系统受 病毒感染和破坏的情况相当严重；电脑黑客活动日益频繁，且已对网络信息安全 2 形成严重威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防 范和恢复能力方面存在许多薄弱环节。 在当今经济全球化、竞争白热化和信息技术应用飞速发展的时代，信息化已 经成为改善企业管理水平、提高劳动生产率、增强企业核心竞争力的有力武器， 企业信息化的核心是企业的各种网络基础设施以及办公、应用系统。大体可以分 为生产网，办公网，以及合作伙伴、远程接入、移动办公接入网络等等几个部分。 中小企业网络面临的安全威胁主要来自外部和内部人员的恶意攻击和入侵。 在网络安全方面，防止内部人员窃取和攻击，以及因其它原因造成企业信息失密， 还没有得到中小企业的足够重视。有关调查显示，中小企业从事计算机工作的员 工 60%以上利用网络处理私人事务。对网络的不正当使用，一方面降低了生产率、 阻碍了电脑网络、消耗了企业网络资源，容易引入病毒和间谍，另一方面也使得 个别不法员工可以通过网络泄漏企业机密，从而导致企业受到损失。 如何能够满足中小企业信息安全要求，最大限度的保证信息安全，这是很多 中小企业必须面对的问题。大多数中小企业对员工的泄密行为，所采取的措施大 致有：禁止网络联接；禁止可移动存储器使用；强行拆除光驱、软驱，采购计算 机时不采购光驱、软驱等设备；贴封条，定期检查等。或者纯粹依靠员工的责任 心、自觉性。通过人治的方法，人为地控制、监督管理，堵住可能泄密的途径和 漏洞。这是一种比较传统的保护方式，还不能从技术上和本质上解决内部失泄密 的问题，早已不能满足企业信息保密的要求。何况传统方式总会增加成本，也不 便于管理。 影响企业信息系统安全的因素有很多，可能是有意的攻击，也可能是无意的 误操作；可能是内部的破坏，也可能是外来攻击者对信息系统资源的非法使用， 归结起来，针对企业信息系统安全的问题主要有如下几个方面： 物理安全 由于信息系统的脆弱性，网络线缆和通讯媒介等网络通信设施都可能因为地 震、电磁场、雷电等环境因素以及其他人为因素而发生物理损坏，导致网络出现 故障，从而造成数据在传输的过程中出现乱码、丢包等信息失真现象。来自于各 种自然灾害、恶劣场地环境、电磁辐射、电磁干扰、网络设备老化等自然威胁是 不可预测的，会直接影响企业信息的安全；而人为威胁通过攻击系统的要害或弱 点，破坏企业信息系统，如篡改、删除商务信息流的内容等，也会给企业造成不 可估量的损失。另外，攻击者还可以监听网络上传递的信息流，从而获得信息的 内容，造成企业内部信息外泄。 网络信息安全意识淡薄 目前，在网络安全问题上还存在不少认知盲区和制约因素。网络是新生事物， 3 许多人一接触就忙着用于学习、工作和娱乐等，对网络信息的安全性无暇顾及， 安全意识相当淡薄，对网络信息不安全的事实认识不足。如安全配置不当造成的 安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借 他人，或与别人共享信息资源，内部人员的误操作等等都会对网络安全带来威胁。 24 与此同时，网络经营者和机构注重的是网络效应，对安全领域的投入和管理 远远不能满足安全防范的要求。总体上看，网络信息安全处于被动的封堵漏洞状 态，从上到下普遍存在侥幸心理，没有形成主动防范、积极应对的全民意识，更 无法从根本上提高网络监测、防护、响应、恢复和抗击能力。近年来，国家和各 级职能部门在信息安全方面已做了大量努力，但就范围、影响和效果来讲，迄今 所采取的信息安全保护措施和有关计划还不能从根本上解决目前的被动局面，整 个信息安全系统在迅速反应、快速行动和预警防范等主要方面，缺少方向感、敏 感度和应对能力。 人为的恶意攻击 典型的黑客攻击和计算机犯罪属于这一类威胁。此类攻击又可以分为以下两 种：一种是主动攻击，它以各种方式有选择地破坏信息的机密性、可用性和完整 性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、 破译以获得重要机密信息。这两种攻击均可对计算机网络造成直接的极大的危害， 并导致企业机密数据的泄漏和丢失。 操作系统和应用软件的漏洞 以微软 windows 为代表的各种操作系统不断地被发现漏洞，通常在漏洞被披 露的 12 周之内，相应的蠕虫病毒就产生了，这对安全补丁工作提出了极大的要 求，在目前企业安全人员严重不足的情况下，在短时间内完成成百上千台计算机 补丁的部署将会带来巨大的工作量；另外，软件存在“后门” ，这些“后门”本来是 软件公司的设计编程人员为了以后软件扩展和维护而设置的，一般不为外人所知， 但一旦“后门”洞开，其就会成为攻击者攻击网络系统的捷径。 蠕虫、病毒、垃圾邮件、间谍软件等等的威胁 病毒、蠕虫、恶意代码、垃圾邮件、间谍软件、流氓软件等等很容易通过各 种途径侵入企业的内部网络，除了利用企业网络安全防护措施的漏洞外，最大的 威胁却是来自于网络用户的各种危险的应用，如：不安装杀毒软件；安装杀毒软 件但未能及时升级；网络用户在安装完自己的办公桌面系统后未进行各种有效防 护措施就直接连接到危险的开放网络环境中，特别是 Internet；移动用户计算机连 接到各种情况不明网络环境后，在没有采取任何措施的情况下又连入企业网络； 终端用户在使用各种数据介质、软件介质时都可能将病毒、蠕虫在不知不觉中带 4 入到企业网络中，给企业信息基础设施、企业业务带来无法估量的损失。 企业网络边界扩展带来的威胁 随着各种网上交易和电子商务活动的展开，企业网络边界不断扩展，远程拨 号用户，VPN 用户，分支机构，合作伙伴，供应商，无线局域网等等已经大大地 扩展了网络的边界，网络的扩展给企业带来办公便利的同时也引入了潜在的风险， 网络边界模糊化导致传统的边界保护更加困难。 大量与工作无关的网络访问 权威调查机构 IDC 的统计表明：3040的工作时间内发生的企业员工网 络访问行为是与业务无关的，比如游戏、聊天、视频、P2P 下载等等；另一项调查 表明：1/3 的员工曾在上班时间玩电脑游戏，这些行为无疑会浪费网络资源、降低 劳动生产率、增加企业运营成本支出，并有可能因为不良的网络访问行为导致企 业信息系统被入侵和机密资料被窃，引起法律责任和诉讼风险15。 海量安全事件信息带来的问题 通常情况下，企业在信息安全方面的投资有限，仅有少量的或者没有专职的 安全管理人员，面对复杂多变的风险。目前的实际情况是，有限的 IT 管理人员要 面对不同厂商的多种产品：防火墙、防毒墙、内容过滤、防垃圾邮件、补丁管理， 以及这些产品时时刻刻在产生的海量的、分散的、相互之间没有关联的安全事件 信息，难免不被这些告警信息所淹没，导致真正的威胁反而被忽略，如何能使有 限的财力、人力用到刀刃上，真正起到保护企业安全的目标，如何避免处理海量 安全事件和告警所需要的大量人力资源带来的管理和成本风险，如何对企业的安 全资源进行有效的整合和集中管理，这是所有企业管理者都在思考的问题。 1.2 本课题研究的主要内容 在处于信息化时代的今天，信息的重要性是以往的任何时代都不可比拟的， 如何实现信息在保障存储、传输以及应用过程中的机密性、完整性、可用性、真 实性、实用性和占有性已成为当代企业信息安全研究的重点。 机密性：就是说这个信息是经过加密的，只有懂得怎么加密的人才能在还原 信息后看懂，而其他人是无法看懂的。 完整性：就是说保证信息的完整，因为虽然别人看不懂已加密的信息，但是 可以破坏你的信息，比如删除一部分信息，这样就导致合法的接受方无法得到正 确的信息，而完整性机制保证了信息的完整不被破坏性，可以安全的让接受方获 得全部数据。 可用性：就是指信息必须是有效的，能被合法的访问接受并使用。 真实性：指信息在传输过程中，不会因为黑客、电磁场等种种原因而产生信 5 息失真。 实用性：是指信息要有价值，并且是可用的，不是一些可有可无的垃圾信息。 占有性：是指存储信息的节点、磁盘等信息载体不被盗用，以保证对信息的 占用权不丧失。 信息安全的任务是多方面的，根据当前信息安全的现状，制定信息安全防范 的任务主要分两个方面： 从安全技术上，进行全面的安全漏洞检测和分析，针对检测和分析的结果制 定防范措施和完整的解决方案；正确配置防火墙、网络防病毒软件、入侵检测系 统、建立安全认证系统等安全系统。 从安全管理上，建立和完善安全管理规范和机制，切实加强和落实安全管理 制度，增强安全防范意识。 企业信息安全防范的目标是：加强安全预警和通报，提高信息网络安全防范 能力；进行时候统计和分析，发现信息安全漏洞和隐患；增强用户防范意识；建 立健全的规章制度，加强信息安全管理，使各种事件有规可循、有章可依；加快 推进信息安全等级保护工作，建立起完善的安全防范体系。 当今中小企业与大企业一样，都广泛使用信息技术，特别是网络技术，以不 断提高企业竞争力。企业信息设施在提高企业效益和方便企业管理的同时，也给 企业带来了安全隐患。大企业所面临的安全问题也一直困扰着中小企业，给中小 企业所造成的损失不可估量。由于计算机网络特有的开放性，网络安全问题日益 严重。中小企业所面临的安全问题主要有以下几个方面: 互联网安全：企业通过 Internet 可以把遍布世界各地的资源互联互享，但因 为其开放性， 在 Internet 上传输的信息在安全性上不可避免地会面临很多危险。 当 越来越多的企业把自己的商务活动放到网络上后，针对网络系统的各种非法入侵、 病毒等活动也随之增多。例如黑客攻击、病毒传播、垃圾邮件泛滥、信息泄露等 已成为影响广泛的安全威胁。 企业内部网安全：企业中大量员工利用网络处理私人事务。对网络的不正 当使用，降低了生产效率、消耗了企业的网络资源，并引入病毒和木马程序等。 发生在企业网络上的病毒事件，据调查 90是经由电子邮件或浏览网页，进入企 业内部网络并传播的。垃圾邮件和各种恶意程序，造成企业网络拥塞瘫痪，甚至 系统崩溃，造成难以弥补的巨大损失。 内网与内网、内网与外网之间的连接安全：随着企业的不断发展壮大，逐 渐形成了企业总部、异地分支机构、移动办公人员这样的新型互动运营模式。怎 样处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共 享，又要防止机密的泄漏已经成为企业成长过程中需要及时解决的问题。同时异 6 地分支机构、移动办公人员与总部之间的有线和无线网络连接安全直接影响着企 业的运行效率。 中小企业希望能具有竞争力并提高生产效率，就必须对市场需求作出及时有 效的响应，从而引发了依赖于互联网来获取、共享信息的趋势，这样才能进一步 提高生产效率进而推动企业的发展。然而，有网络的地方就有安全的问题。过去 的网络大多是封闭式的，因而比较容易确保其安全性，简单的安全性设备就足以 承担其任务。然而当今的网络已经发生了巨大的变化，确保网络的安全性和可用 性已经成为更加复杂而且必需的任务。用户每一次连接到网络上，原有的安全状 况就会发生变化。所以很多企业频繁地受到网络的安全威胁甚至损害。因为当今 网络业务的复杂性，依靠早期的简单安全设备已经对这些问题无能为力。 为了应对网络安全挑战，企业通常会使用多种网络硬件设备，包括防火墙、 路由器、转接器、远程接入设备等。大多数公司的网络相当复杂，这些网络需要 所有这些设备来确保正确的路由以及提供快速和可靠的网络性能。在这些硬件的 基础上， 再结合多种软件解决方案， 如病毒防护、 入侵检测 （IDS） 、 入侵防御 （IPS） 、 VPN 网关和内容过滤（如 URL 过滤）等，就构成了一个常规的网络安全解决方 案。但目前的中小企业由于受人力和资金上的限制，网络安全产品不仅仅需要简 单的安装，更重要的是要有针对复杂网络应用的一体化解决方案。这种安全解决 方案的着眼点在于：能够实时监控并易于管理；提供安全策略配置；用户能够完 善自身安全体系。 本文分析了目前常用的计算机信息安全技术中的防火墙技术、入侵检测技术、 防水墙技术等，并分别给出了基于这些技术的信息安全解决方案。通过对四川省 威远县酒厂的信息系统的改造，推荐了适合中小企业的新一代信息安全产品 -UTM（统一威胁管理） 。UTM 整合防火墙、防病毒、反垃圾邮件、VPN、负载 平衡、宽带管理、入侵检测、内容过滤等高性能安全防护功能，具有极好的性能 优势和成本优势，非常适用于对信息安全管理重视，却又面临人力、物力等成本 压力的中小型企业用户。 7 2 基于防火墙的解决方案 防火墙（Firewall）是确保网络安全的一种重要网络设备。防火墙可以被安放 在一个单独的路由器中，用来过滤不想要的信息包，也可以被安装在路由器和主 机中，发挥更大的网络安全保护作用。防火墙被广泛用来让用户在一个安全屏障 后面接入互联网，还被用来把企业的公共网络服务器和企业内部网络隔开。另外， 防火墙还可以被用来保护企业内部网络某一个部分的安全。 简单来说防火墙就是一个位于计算机和它所连接的网络之间的设备。 流入流出 网络的所有通信均要经过此防火墙。所有的防火墙至少都会说两个词：Yes 或者 No。根据防火墙所采用的技术不同，我们可以将它分为四种基本类型:包过滤型、 网络地址转换NAT、代理型和监测型。防火墙有软、硬件之分，实现防火墙功 能的软件，称为软件防火墙。软件防火墙运行于特定的计算机上，它需要计算机 操作系统的支持。基于专用的硬件平台的防火墙系统，称为硬件防火墙。它们也 是基于 PC 架构，运行一些经过裁剪和简化的操作系统，承载防火墙软件。 2.1 防火墙的概念 防火墙技术是一种用来加强网络之间访问控制， 防止外部网络用户以非法手段 通过外部网络进入内部网络访问内部网络资源，保护内部网络操作环境的特殊网 络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施 检查，以决定网络之间的通信是否被允许，并监视网络运行状态。自从 1986 年美 国 Digital 公司在 Internet 上安装了全球第一个商用防火墙系统， 提出了防火墙概念 后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同 的防火墙产品系列。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层 网关（代理服务器）以及电路层网关、屏蔽主机防火墙、双宿主机等类型13。目 前出现一种新型防火墙，那就是“分布式防火墙“，英文名为“Distributed Firewalls“。 它是在目前传统的边界式防火墙基础上开发的。但目前主要是以软件形式出现的， 也有一些国际著名网络设备开发商开始开发生产硬件形式的分布式防火墙。 2.2 防火墙技术分类 包过滤型 包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。 网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包， 每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP 8 源端口和目标端口等。 防火墙通过读取数据包中的地址信息来判断这些“包”是否来 自可信任的安全站点。4 包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况 下，能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全 技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于 应用层的恶意侵入，如恶意的 Java 小程序以及电子邮件中附带的病毒。有经验的 黑客容易伪造 IP 地址，骗过包过滤型防火墙。 网络地址转换NAT 网络地址转换是一种用于把 IP 地址转换成临时的、外部的、注册的 IP 地址 标准。它允许具有私有 IP 地址的内部网络访问因特网。它还意味着用户不需要为 其网络中每一台机器取得注册的 IP 地址。 在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外 出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通 过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部 网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是 通过一个开放的 IP 地址和端口来请求访问。 OLM 防火墙根据预先定义好的映射规 则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接 受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时， 防火墙认为该访问是不安全的，将屏蔽外部的连接请求。网络地址转换的过程对 于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。 代理型 代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品， 并已经开始向应用层发展。它位于客户机与服务器之间，完全阻挡了二者间的数 据交流。从客户机来看，代理服务器相当于一台真正的服务器;而从服务器来看， 代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先 将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然 后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直 接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付 基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响， 而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增 加了系统管理的复杂性。 监测型 9 监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加 以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这 种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务 器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部 的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中， 有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的 定义，而且在安全性上也超越了前两代产品。 虽然监测型防火墙安全性上己超越了包过滤型和代理服务器型防火墙，但由 于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙 产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。 基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型 技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的 总拥有成本。 实际上，作为当前防火墙产品的主流趋势，大多数代理服务器（也称应用网 关）也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优 势。由于这种产品是基于应用的，应用网关能提供对协议的过滤。例如，它可以 过滤掉 FTP 连接中的 PUT 命令，而且通过代理应用，应用网关能够有效地避免内 部网络的信息外泄。正是由于应用网关的这些特点，使得应用过程中的矛盾主要 集中在对多种网络应用协议的有效支持和对网络整体性能的影响。 分布式防火墙 分布式防火墙这一概念最早是由 Bellovin 博士于 1999 年提出的， 其由多台主 机但受集中管理和配置的防火墙组成。在分布式防火墙中，安全策略仍然被集中 定义，但发布在网络端点（例如主机、路由器）上单独实施。分布式防火墙中包 含有三个必需的组件：1）描述网络安全策略的语言。2）安全发布策略的机制。3） 应用、实施策略的机制。 安全策略语言用来规定哪些数据包被允许，哪些数据包被禁止。它应该支持 多种类型的应用。策略制定后分发到网络端点上，策略发布机制应该保证策略在 传输过程中的完整性和真实性。策略发布有多种方式，可以由中心管理主机直接 发到终端系统上，也可以由终端按需获取或定时获取，还可以以证书的形式提供 给用户。策略实施机制位于受保护的主机上，在处理输入输出数据包时，它查询 本地策略来判断允许还是禁止数据包。 分布式防火墙体系结构如图 2.1 所示。 包含如下部分： 1） 网络防火墙 （Netvork Firewall） ：它是用于内网与外网之间。以及内网各子网之间的防护。2） 主机防 火墙（Host Firewal） ：用于对网络中的服务器和桌面机进行防护。这也是传统边界 10 式防火墙所不具有的， 也算是对传统边界式防火墙在安全体系方面的一个完善。 3） 中心管理 （Central Management） ： 这是一个服务器软件， 负责总体安全策略的策划、 管理、分发及日志的汇总。 图 2.1 分布式防火墙的体系结构 Fig.2.1 The Architectrure of Distributed Firewall 分布式防火墙是未来网络安全技