DFW在網(wǎng)絡(luò)安防規(guī)劃中的應(yīng)用

摘 要：在綜合信息網(wǎng)建設(shè)中，隨著各種網(wǎng)絡(luò)各種新的應(yīng)用新技術(shù)不斷出現(xiàn)，硬件防火墻具有的一些缺點(diǎn)逐漸顯露，怎樣才能有效的克服硬件防火墻的缺陷，這是網(wǎng)絡(luò)安防設(shè)計(jì)面對的一大難題，本文主要闡述了基于IPSec技術(shù)的分布式防火墻系統(tǒng)，DFW（Distributed Fire Wall），既分布式防火墻，其應(yīng)用策略集中設(shè)計(jì)，其后再分發(fā)至用戶終端機(jī)具體執(zhí)行，較好地解決了硬件防火墻單點(diǎn)故障、內(nèi)部攻擊等問題。

關(guān)鍵詞：安防；防火墻；IPSec

中圖分類號：TP393.08

我們常用硬件防火墻作為受控端把網(wǎng)絡(luò)分割成內(nèi)網(wǎng)和外網(wǎng)兩部分，分別控制內(nèi)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進(jìn)行通信，防火墻處在內(nèi)網(wǎng)與外網(wǎng)之間。當(dāng)網(wǎng)絡(luò)處在一局限定的拓?fù)鋾r，這種模式可以起到較好的保護(hù)作用，但當(dāng)網(wǎng)絡(luò)規(guī)模及應(yīng)用不斷擴(kuò)展后，比如應(yīng)用遠(yuǎn)程通信或高速線路等，這樣的方式就不能為網(wǎng)絡(luò)提供優(yōu)質(zhì)的安全防護(hù)。分布式防火墻是基于IPSec的技術(shù)，它為終端駐留式的安全系統(tǒng)，可以保護(hù)局域網(wǎng)中的重要結(jié)點(diǎn)，比如：信息服務(wù)器、數(shù)據(jù)流及應(yīng)用站點(diǎn)等不受到外部入侵的破壞，無論是外網(wǎng)，還是來自內(nèi)部網(wǎng)絡(luò)，分布式防火墻能對信息流進(jìn)行限制與過濾，起到很好的網(wǎng)絡(luò)防護(hù)作用。

1 硬件邊界防火墻的特點(diǎn)及局限性

硬件邊界防火墻用于限制被保護(hù)局域網(wǎng)絡(luò)與外網(wǎng)之間的相互通信，它處在內(nèi)外網(wǎng)之間，幾乎所有先前應(yīng)用的各種防火墻都是把內(nèi)網(wǎng)用戶看成是值得信任的，而把外網(wǎng)用戶則視為潛在的攻擊者來對待。網(wǎng)路安全設(shè)置的包過濾、應(yīng)用層代理、自適應(yīng)代理等都是基于這樣的認(rèn)識。

目前，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷發(fā)展和各種新技術(shù)相繼涌現(xiàn)，各種類型的新攻擊情況更是不斷更新，在以往邊界式防火墻設(shè)計(jì)里，局域網(wǎng)非常容易受到惡意攻擊和破壞，當(dāng)接入局域網(wǎng)的用戶終端，同時又得到終端控制權(quán)時，惡意攻擊者就會將這臺PC作為跳板，繼續(xù)入侵其他系統(tǒng)?；贗PSec的DFW的作用，則是將防火墻分布到網(wǎng)絡(luò)的各個子網(wǎng)、終端或及信息服務(wù)器上。DFW會讓整個局域網(wǎng)內(nèi)的用戶方便地訪問信息資源，網(wǎng)絡(luò)的其他部分將不會被顯露在攻擊者面前。應(yīng)用DFW的網(wǎng)絡(luò)用戶無論在局域、互聯(lián)網(wǎng)、VPN網(wǎng)還是遠(yuǎn)程訪問，其都能實(shí)現(xiàn)“沒有區(qū)別的局域網(wǎng)互聯(lián)，即是一種端到端的完全保護(hù)。除此之外，DFW還具有加強(qiáng)網(wǎng)絡(luò)整體抗毀性能，以避免局域網(wǎng)由于部分系統(tǒng)的攻擊而導(dǎo)致的全網(wǎng)絡(luò)蔓延的狀況產(chǎn)生，這樣也限制了采用公共賬號進(jìn)入網(wǎng)絡(luò)系統(tǒng)的用戶無法進(jìn)入受限的重要應(yīng)用系統(tǒng)。

2 DFW的工作原理

DFW（Distributed Fire Wall），既分布式防火墻，這種安防系統(tǒng)的工作原理是：界定合法連接的安防策略集中定義，而安防策略的執(zhí)行則由相關(guān)節(jié)點(diǎn)獨(dú)自實(shí)施。

使用DFW的系統(tǒng)中，會為每個節(jié)點(diǎn)頒發(fā)不同的證書，即一個節(jié)點(diǎn)對應(yīng)一個數(shù)字證書，安防維護(hù)人員、終端系統(tǒng)維護(hù)員并不是相同的人，網(wǎng)絡(luò)安防維護(hù)人員可以在任何地方用數(shù)字證書登錄，并不受網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)限制。幾乎與硬件防火墻相同，安防策略還是集中定義，但是，是分別在各節(jié)點(diǎn)實(shí)施。節(jié)點(diǎn)在處理數(shù)據(jù)流IP包時，必須符合安防策略文件規(guī)則，確保與整個系統(tǒng)的安防策略一致。由于是終端節(jié)點(diǎn)在執(zhí)行安防策略，這樣，就很自然的克服了以往防火墻的應(yīng)用缺陷。

DFW由各個端點(diǎn)實(shí)施設(shè)置的策略，由中心定義策略。其主要依賴說明哪一類連接可以被允許或禁止的策略語言、一種系統(tǒng)管理工具和IP安全協(xié)議三個概念來實(shí)現(xiàn)。

3 DFW的結(jié)構(gòu)設(shè)計(jì)

基于IPSec的DFW系統(tǒng)體系結(jié)構(gòu)主要由：策略控制中心、策略執(zhí)行器以及IPSec通信構(gòu)成。策略控制中心的主要功能是設(shè)置被保護(hù)終端、為被保護(hù)終端設(shè)置安防策略、和向被保護(hù)終端發(fā)送策略文件；策略執(zhí)行器是駐留在被保護(hù)終端的狀態(tài)包過濾防火墻，解釋并強(qiáng)制執(zhí)行策略控制中心發(fā)放的安防策略；IPSec通信是對內(nèi)部終端之間的通信進(jìn)行加密保護(hù)以防止內(nèi)部的竊探、欺騙以及重放等攻擊破壞。被保護(hù)終端運(yùn)行的是策略執(zhí)行器，策略控制中心發(fā)放的安防策略的程序由其解釋并強(qiáng)制執(zhí)行，是保護(hù)端點(diǎn)終端的程序，完成的主要功能有：包過濾作用、實(shí)現(xiàn)與策略控制中心的通信、策略文件的接收、并負(fù)責(zé)將策略文件翻譯成包過濾模塊可識別的規(guī)則表達(dá)形式。

4 策略控制中心

策略控制中心的作用主要是注冊被保護(hù)終端、向被保護(hù)終端設(shè)置安防策略、為被保護(hù)終端發(fā)送策略文件。為策略控制中心的體系結(jié)構(gòu)，主要有終端注冊模塊、策略編輯模塊以及策略發(fā)送模塊。終端注冊模塊負(fù)責(zé)完成被保護(hù)終端在策略控制中心的注冊，并為控制中心添加被保護(hù)終端，設(shè)置被保護(hù)終端的參數(shù)，例如終端名、地址、掩碼和策略文件等。

策略編輯模塊主要功能是為被保護(hù)終端設(shè)置安防策略，策略分別是指包過濾規(guī)則，包括源地址/端口、目的地址/端口、協(xié)議種類、網(wǎng)絡(luò)端口、檢測狀態(tài)等數(shù)據(jù)。策略發(fā)送模塊負(fù)責(zé)終端在策略控制中心的注冊信息以及向被保護(hù)終端發(fā)送策略文件。

圖1 策略控制中心體系結(jié)構(gòu)

為防止內(nèi)部攻擊，對DFW系統(tǒng)內(nèi)部終端間的通信進(jìn)行保護(hù)是通過IPSec通信完成的。IPSec協(xié)議給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，其中包括Authentication （網(wǎng)絡(luò)認(rèn)證協(xié)議）、（AH）Header、Encapsulation Security payload（ESP）封裝安全載荷協(xié)議、密鑰管理協(xié)議Internet Key Exchange（IKE）和一些加密、認(rèn)證的算法等。其定義相關(guān)基礎(chǔ)結(jié)構(gòu)及IP包格式，使網(wǎng)絡(luò)通信具有端到端、加強(qiáng)的身份驗(yàn)證、抗重播、保密性、和完整性等功能。

5 在構(gòu)建網(wǎng)絡(luò)安全解決方案中的應(yīng)用

DFW的網(wǎng)絡(luò)安防方案是在內(nèi)網(wǎng)的主用管理服務(wù)器安裝產(chǎn)品的安防策略管理服務(wù)，而配置管理組和用戶分別分配給相應(yīng)的從服務(wù)器和終端工作站，并設(shè)計(jì)對應(yīng)的安防策略；將終端防火墻安裝在內(nèi)網(wǎng)和外網(wǎng)中的所有終端工作站上，被管理端與安防策略管理服務(wù)器采用SSL協(xié)議進(jìn)行連接，并建立相互通信的安全通道，避免下載安防策略和日志通信的不安全性。在客戶終端，防火墻的機(jī)器采用多層過濾、入侵檢測、日志記錄等手段，給終端的安全運(yùn)行提供強(qiáng)有力的保證。遠(yuǎn)程終端系統(tǒng)，作為應(yīng)用業(yè)務(wù)延伸部分，并不屬于內(nèi)網(wǎng)，但是，在系統(tǒng)中仍是內(nèi)網(wǎng)終端，與內(nèi)網(wǎng)之間的通信仍然可以通過VPN、防火墻隔離等技術(shù)來控制接入。因此，對DFW的網(wǎng)絡(luò)安防方案而言，遠(yuǎn)程終端系統(tǒng)與物理上的內(nèi)部終端沒有任何區(qū)別。

6 結(jié)束語

本文主要闡述了基于IPSec技術(shù)的分布式防火墻系統(tǒng)，DFW是采用策略集中設(shè)計(jì)，然后再分發(fā)到各終端機(jī)執(zhí)行，較好地解決了硬件防火墻單點(diǎn)故障、內(nèi)部攻擊等問題。在作用上，該技術(shù)具備了抵御內(nèi)部攻擊、外部攻擊和穿越非信任的外部網(wǎng)絡(luò)的能力。從應(yīng)用及管理上說，其遠(yuǎn)超傳統(tǒng)上應(yīng)用的防火墻，管理和控制更加方便、易行。

參考文獻(xiàn)：

[1]孟慶媛，孟曉景.網(wǎng)絡(luò)防火墻的應(yīng)用[J].終端與信息技術(shù)，2009，11.

[1]趙兵，孫梅.分布式防火墻技術(shù)的分析與研究[J].軟件導(dǎo)刊，2010，3.