互聯(lián)網(wǎng)流控防火墻系統(tǒng)的分析及應用探討

【摘要】根據(jù)國家在“十一·五規(guī)劃”中明確提出計算機網(wǎng)絡、通信網(wǎng)絡、廣電網(wǎng)絡實現(xiàn)“三網(wǎng)融合”的總體要求，河南有線電視網(wǎng)絡集團對原有的HFC網(wǎng)絡進行大規(guī)模網(wǎng)絡改造，逐步開展全新的數(shù)字電視業(yè)務以及豐富的增值業(yè)務，向三網(wǎng)融合的下一代有線電視網(wǎng)絡（NGCN）過渡。

【關鍵詞】三網(wǎng)融合；數(shù)字電視業(yè)務；運營網(wǎng)絡；NGCN

河南有線網(wǎng)絡集團正在建設一個基于IP的高帶寬、高可靠性、可運營管理、具備多種業(yè)務綜合承載能力和擴展性的電信級骨干數(shù)據(jù)網(wǎng)絡，該網(wǎng)絡主要用以開展以IP業(yè)務為主的雙向業(yè)務，包括互聯(lián)網(wǎng)、VOD、IP電話、專網(wǎng)等業(yè)務。為了規(guī)避運營商出口故障所帶來的網(wǎng)絡可用性風險和解決網(wǎng)絡帶寬不足帶來的網(wǎng)絡訪問問題，許多企業(yè)往往會租用兩個或多個運營商出口鏈路（如電信、聯(lián)通等）。如何合理運用多個運營商出口，既不造成資源浪費，又能很好的服務于企業(yè)是現(xiàn)在運營商所考慮的問題。運營網(wǎng)絡是社會信息化的基礎設施，擁有巨大的用戶規(guī)模，需求嚴格的可靠性及服務質(zhì)量保證，業(yè)務子網(wǎng)之間需要復雜的訪問關系，這些特點都要在運營網(wǎng)絡安全規(guī)劃中充分考慮。

一、防火墻發(fā)展現(xiàn)狀

隨著網(wǎng)絡技術的普及，網(wǎng)絡攻擊行為出現(xiàn)得越來越頻繁。通過各種攻擊軟件，只要具有一般計算機常識的初學者也能完成對網(wǎng)絡的攻擊。各種網(wǎng)絡病毒的泛濫，也加劇了網(wǎng)絡被攻擊的危險。目前，Internet網(wǎng)絡上常見的安全威脅分為以下幾類：

非法使用：資源被未授權(quán)的用戶（也可以稱為非法用戶）或以未授權(quán)方式（非法權(quán)限）使用。例如，攻擊者通過猜測帳號和密碼的組合，從而進入計算機系統(tǒng)以非法使用資源。

拒絕服務：服務器拒絕合法用戶正常訪問信息或資源的請求。例如，攻擊者短時間內(nèi)使用大量數(shù)據(jù)包或畸形報文向服務器不斷發(fā)起連接或請求回應，致使服務器負荷過重而不能處理合法任務。

信息盜竊：攻擊者并不直接入侵目標系統(tǒng)，而是通過竊聽網(wǎng)絡來獲取重要數(shù)據(jù)或信息。

數(shù)據(jù)篡改：攻擊者對系統(tǒng)數(shù)據(jù)或消息流進行有選擇的修改、刪除、延誤、重排序及插入虛假消息等操作，而使數(shù)據(jù)的一致性被破壞。

目前網(wǎng)絡中主要使用防火墻來保證內(nèi)部網(wǎng)路的安全。防火墻類似于建筑大廈中用于防止火災蔓延的隔斷墻，Internet防火墻是一個或一組實施訪問控制策略的系統(tǒng)，它監(jiān)控可信任網(wǎng)絡（相當于內(nèi)部網(wǎng)絡）和不可信任網(wǎng)絡（相當于外部網(wǎng)絡）之間的訪問通道，以防止外部網(wǎng)絡的危險蔓延到內(nèi)部網(wǎng)絡上。防火墻作用于被保護區(qū)域的入口處，基于訪問控制策略提供安全防護。例如：當防火墻位于內(nèi)部網(wǎng)絡和外部網(wǎng)絡的連接處時，可以保護組織內(nèi)的網(wǎng)絡和數(shù)據(jù)免遭來自外部網(wǎng)絡的非法訪問（未授權(quán)或未驗證的訪問）或惡意攻擊；當防火墻位于組織內(nèi)部相對開放的網(wǎng)段或比較敏感的網(wǎng)段（如保存敏感或?qū)Ｓ袛?shù)據(jù)的網(wǎng)絡部分）的連接處時，可以根據(jù)需要過濾對敏感數(shù)據(jù)的訪問（即使該訪問是來自組織內(nèi)部）。

防火墻技術經(jīng)歷了包過濾防火墻、代理防火墻、狀態(tài)防火墻的技術演變，但是隨著各種基于不安全應用的攻擊增多以及網(wǎng)絡蠕蟲病毒的泛濫，傳統(tǒng)防火墻面臨更加艱巨的任務，不但需要防護傳統(tǒng)的基于網(wǎng)絡層的協(xié)議攻擊，而且需要處理更加高層的應用數(shù)據(jù)，對應用層的攻擊進行防護。對于互聯(lián)網(wǎng)上的各種蠕蟲病毒，必須能夠判斷出網(wǎng)絡蠕蟲病毒的特征，把網(wǎng)絡蠕蟲病毒造成的攻擊阻擋在安全網(wǎng)絡之外。從而對內(nèi)部安全網(wǎng)絡形成立體、全面的防護。

造成當前網(wǎng)絡“安全危機”另外一個因素是忽視對內(nèi)網(wǎng)安全的監(jiān)控管理。防火墻防范了來之外網(wǎng)的攻擊，對于潛伏于內(nèi)部網(wǎng)絡的“黑手”卻置之不理，很容易造成內(nèi)網(wǎng)變成攻擊的源頭，導致內(nèi)網(wǎng)數(shù)據(jù)泄密，通過NAT從內(nèi)部網(wǎng)絡的攻擊行為無法進行審計。由于對內(nèi)部網(wǎng)絡缺乏防范，當內(nèi)部網(wǎng)絡主機感染蠕蟲病毒時，會形成可以感染整個互聯(lián)網(wǎng)的污染源頭，導致整個互聯(lián)網(wǎng)絡環(huán)境低劣。

對于網(wǎng)絡管理者，不但需要關注來自外部網(wǎng)絡的威脅，而且需要防范來自內(nèi)部網(wǎng)絡的惡意行為。防火墻需要提供對內(nèi)部網(wǎng)絡安全保障的支持，形成全面的安全防護體系。

二、防火墻安全防護主要功能應用探討

狀態(tài)安全過濾功能：支持基礎、擴展和基于接口的狀態(tài)檢測包過濾技術，支持按照時間段進行過濾；支持H3C特有ASPF應用層報文過濾（Application Specific Packet Filter）協(xié)議，支持對每一個連接狀態(tài)信息的維護監(jiān)測并動態(tài)地過濾數(shù)據(jù)包，支持對FTP、HTTP、SMTP、RTSP、H.323（包括Q.931，H.245，RTP/RTCP等）應用層協(xié)議的狀態(tài)監(jiān)控，支持TCP/UDP應用的狀態(tài)監(jiān)控。

抗攻擊防范能力功能：包括多種DoS/DDoS攻擊防范、ARP欺騙攻擊的防范、提供ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能；靜態(tài)和動態(tài)黑名單功能；MAC和IP綁定功能；支持智能防范蠕蟲病毒技術。

應用層內(nèi)容過濾功能：可以有效的識別網(wǎng)絡中的BT、Edonkey、Emule等各種P2P模式的應用，并且對這些應用采取限流的控制措施，有效保護網(wǎng)絡帶寬；支持郵件過濾，提供SMTP郵件地址、標題和內(nèi)容過濾；支持網(wǎng)頁過濾，提供HTTP URL和內(nèi)容過濾；支持應用層過濾，提供Java/ActiveX Blocking和SQL注入攻擊防范。

多種安全認證服務功能：支持RADIUS和HWTACACS協(xié)議及域認證；支持基于PKI/CA體系的數(shù)字證書（X.509格式）認證功能；在PPP線路上支持CHAP和PAP驗證協(xié)議；支持用戶身份管理，不同身份的用戶擁有不同的命令執(zhí)行權(quán)限；支持用戶視圖分級，不同級別的用戶賦予不同的管理配置權(quán)限。

集中管理與審計功能：提供各種日志功能、流量統(tǒng)計和分析功能、各種事件監(jiān)控和統(tǒng)計功能、郵件告警功能。

全面NAT應用支持功能：提供多對一、多對多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換、Easy IP和DNS映射等NAT應用方式；支持多種應用協(xié)議正確穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。

VPN服務功能：支持L2TP VPN、GRE VPN、IPSec VPN、SSL VPN和動態(tài)VPN等多種VPN業(yè)務模式。利用動態(tài)VPN（DVPN）技術，簡化VPN配置，實現(xiàn)按需動態(tài)構(gòu)建VPN網(wǎng)絡。

智能網(wǎng)絡集成及QoS保證功能：支持路由、透明及混合運行模式，支持靜態(tài)路由協(xié)議，支持RIP v1/2、OSPF、BGP動態(tài)路由協(xié)議，支持路由策略及策略路由，支持基于802.1q VLAN，支持PPPoE Client/Server，DHCP Client/Server/Relay，支持流分類、流量監(jiān)管、流量整形及接口限速，支持擁塞管理（FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ），支持擁塞避免（WRED）

雙機狀態(tài)熱備功能：支持Active/Active和Active/Passive兩種工作模式，實現(xiàn)負載分擔和業(yè)務備份

智能圖形化管理功能：通過Web方式進行遠程配置管理，通過網(wǎng)管軟件實現(xiàn)與網(wǎng)絡設備的統(tǒng)一管理，通過VPN Manager系統(tǒng)對VPN進行動態(tài)和圖形化的業(yè)務管理和狀態(tài)監(jiān)控。

三、結(jié)束語

對于廣電行業(yè)來說，三網(wǎng)融合是一次難得的機遇，更是一次巨大挑戰(zhàn)的機會，確保廣電運營商能夠快速的適應市場并作出最佳應對，及時調(diào)整廣電網(wǎng)絡資源及系統(tǒng)，用以尋找新的業(yè)務市場和UP值，在云交互媒體電視，數(shù)據(jù)信息等創(chuàng)新增值業(yè)務上先行一步，從而在現(xiàn)階段多變的三網(wǎng)融合市場競爭中贏得先機。隨著互聯(lián)網(wǎng)的發(fā)展，運營商網(wǎng)絡環(huán)境已經(jīng)呈現(xiàn)出越來越高的復雜性，這給網(wǎng)絡運營商提出了更高的要求。挑戰(zhàn)的出現(xiàn)同時也意味著機遇的產(chǎn)生，如何應對如今復雜多變的網(wǎng)絡，如何在充分利用現(xiàn)有網(wǎng)絡資源的同時重組產(chǎn)業(yè)鏈尋求新的利潤增長點成為當今運營商急需解決的問題。

參考文獻

[1]陳波，于泠.防火墻技術與應用[M].機械工業(yè)出版社，2013.

[2]閻慧.防火墻原理與技術[M].機械工業(yè)出版社，2004.

作者簡介：楊陽（1983—），男，河南鄭州人，河南有線電視網(wǎng)絡集團有限公司鄭州分公司網(wǎng)絡工程師。