| 出版日期:2000-10-01 总期号:164 本年期号:10 |
|
 |
构建安全可靠的网络系统
朗新信息科技Netshine防火墙解决方案 李全升 H背景情况 目前,越来越多的政府部门和企业机构开始应用Internet ,应用也从早期的网站浏览发展到了最近的电子商务,信息共享程度与网上业务不断增加。可是网络安全问题不容乐观,我们看到的是著名的网站被黑来黑去、病毒威胁政府和企业部门、用户信用卡信息被盗等等。为了安全,我们开始通过“锁定、拒绝、禁止”来保护我们宝贵的数据,Internet带给我们的便捷和喜悦被“黑”掉了。面对如此严峻的挑战,许多公司建立了防火墙和VPN,不是为了拒绝,而是为了许可,为了沟通。 防火墙是保证Internet安全的第一层把门关,它具有两个重要的任务: 1. 在不危及内部网络数据与其他资源的前提下允许本地用户使用外部网络的资源。 2. 将外部未被授权的用户屏蔽在内部网络之外而无法使用内部的资源。 从而解决了因为连接外部网络或是互联网带来的安全问题,保护了本地的数据资源,防止了内部用户对外部资源的滥用。而虚拟专用网(VPN)实际上是两个相互信任的实体之间的加密通道,这些实体可以是防火墙、安装了VPN客户端软件的PC、服务器或路由器。一般的,VPN连接总公司的本地局域网和子公司或合作厂商的远程局域网,使双方建立互相信任的关系,从而远程用户可以安全、透明地利用互联网进入企业内部。 对防火墙和VPN的要求 构建防火墙和VPN系统应考虑安全性、可管理性、适用性和通用性等因素。 1. 安全性是评价防火墙的最重要因素。评价防火墙的安全性应从防火墙自身的安全性和防火墙实现的功能综合考虑。前者受防火墙运行的操作系统、防火墙硬件可靠性与防火墙程序自身有无漏洞的影响;而防火墙所实现的功能应包括:身份认证、访问控制、入侵检测、网络层加密、审计等功能。 2. 便捷的管理是保证防火墙安全的一个重要部分。当前许多防火墙出现安全问题不是因为其自身存在漏洞,而是管理失误造成的。 3. 适用性包括该防火墙安装对网络重构的要求,防火墙的功能对自己是否够用、是否需要。 4. 如果你是一家大公司或与多个厂商有合作关系,那么你应该考虑VPN的通用性。因为你不可能期望每个人都用同一厂家的VPN系统。 朗新信息科技的防火墙解决方案介绍 下面以朗新信息科技的Netshine系列防火墙及虚拟专用网(VPN)产品来说明防火墙和VPN的应用。该防火墙和VPN是由朗新信息科技自行开发的基于Linux的高性能产品。 其典型连接下图所示:见图1 
图1 该商业模型中,内部局域网通过防火墙连接外围网和路由器。路由器通过PSTN或者ISDN、专线等方式连接到Internet,异地内部网也连接到Internet上,双方在Internet建立VPN隧道进行安全的虚拟链接。 方案分析 下面从安全性、可管理性、和适用性、通用性的角度来分析Netshine防火墙的综合性能。 1. 安全性 (1) 自身安全性:目前常见的防火墙采用的操作系统包括Unix、Windows NT、Linux。Unix 比较成熟;NT操作简便,但是两者都不开放源代码,这就对采用这两种操作系统的防火墙带来了天生的缺陷,因为它无法避免操作系统带来的Bug或后门。而NetShine采用定制的、拥有全部源代码的Linux操作系统,并把操作系统内核中可能引起安全性问题的部分去除,避免了操作系统中可能存在的不为人知的后门,充分保证防火墙系统本身的安全性。 (2) 认证机制:身份认证要求标识和鉴别用户的身份,防止攻击者假冒合法用户获取访问权限。 Netshine采用一次性口令认证方式来控制内部网络用户的对外访问。当内部网用户访问外部网,先主动请求防火墙用户认证服务器进行认证,如果连续三次认证失败,则在一定时间内禁止该用户认证。如果认证合格,则记录下用户及其IP和通过认证的状态。另外,防火墙主动地对通过认证的用户定时地进行验证,检查客户机是否处于活动状态,如果客户机死去,删除用户认证的记录。这样即使窃听者在网络上截取到口令,也无法在利用这个口令与内部网建立连接。 (3) 访问控制:按照访问控制方式,防火墙系统可以分为基于包过滤(Packet Filter)的防火墙和代理服务型(Proxy Service)的防火墙。朗新信息科技Netshine防火墙把包过滤和应用代理结合起来,形成混合类型的防火墙系统,提供完善的访问控制策略:提供基于源地址、目的地址、协议、端口、URL、URL表达式、时段、周期时段等访问控制方式。其基于URL级的细密控制:使安全管理员可以根据NetShine提供URL级的检测结果,来屏蔽某些敏感的网页。 (4) 入侵检测:入侵检测是一种比较新的软件系统,它可以发现正在进行的攻击,实施报警,并通过自动修改防火墙配置来抵制攻击。Netshine在入侵检测模块中嵌入了常见网络攻击手段特征数据库,目前可以防止OverFlow、ScanPort、BackDoor、Web入侵等类型常见的网络攻击手段(目前库中有特征2000余种),朗新信息科技公司将根据对网络攻击手段的最新研究成果,定期为用户进行软件升级。 (5) 网络层加密和网络地址伪装:由于7层协议中网络层仅在物理层和数据链路层之上,所以网络层加密能很好地防止在传输层和应用层造成的数据失窃,保证数据安全,而且底层加密能大幅度提高防火墙传输速率,提高数据吞吐量。Netshine防火墙具有以下网络层加密功能:IP包加密、数据源认证、数据完整性认证、防重播攻击、SA和密钥的自动管理和分发。网络地址伪装,通过在IP层上的地址转换功能可以实现IP地址复用,解决IP地址不足的问题,同时能够隐藏内部网络结构,强化内部网络的安全。Netshine防火墙提供了SNAT(源地址转换)和DNAT(目的地址转换)功能,可根据用户需要灵活配置。当内部网用户需要对外访问时,防火墙系统将会代替用户进行访问,并将结果透明地返回用户,相当于一个IP层代理。 (6) 审计功能:Netshine防火墙设有两套不同的日志系统:“防火墙工作日志”和“防火墙系统日志”。防火墙工作日志记录防火墙在网络中工作时发生的所有网络事件,包括发生的非法攻击事件。防火墙系统日志则记录所有对防火墙系统本身的设置事件,例如哪个系统管理员在什么时间增加了什么安全策略,等等。从而使日志系统可以全面地记录防火墙及网络中发生的所有时间,方便事后的分析统计,便于内部网的系统管理员完善全系统的网络安全。 2. 可管理性 (1) 基于Web的配置和管理 基于Web的配置和管理,是防火墙必须具备的远程管理功能。NetShine可以通过网络上任何一台具有浏览器的机器管理防火墙;管理维护模块采用全中文的符合中国人操作习惯的界面,并提供全中文的在线帮助,使您更加轻松地进行策略配置和管理。 (2) 安全策略管理 安全策略管理是保障系统安全运行重要环节,没有良好的安全策略再好的防火墙也将是非常脆弱的。NetShine防火墙系统出厂即配有为实现安全网络管理所需要的基本安全策略设置,使用户在进行简单的客户化设置之后,防火墙系统就可以发挥作用,防止了管理员疏忽造成的安全漏洞。系统更可以对管理员设定的安全策略进行逻辑分析,发现策略中的逻辑包含和逻辑矛盾关系并在日志中向管理员提出警示。 (3) 带宽管理和流量控制功能 Netshine防火墙对通过该设备的网络流量进行控制,防止某些IP占用过大的带宽。Netshine防火墙对出入内、外网及DMZ区的数据进行基于IP和协议的流量控制:可以根据需求对用户的流量进行限额控制,即当用户的总流量达到由管理员分配的限额时,用户对于受管理的服务的请求将就此中止,这样可以对网络流量做到更灵活的管理;同时基于Web的全中文的流量查询、统计报表,为管理提供了极大的方便,而且可以根据需求定制。 3. 适用性 (1) NetShine 可以被用来作透明传输,可以不分配任何IP给防火墙的网络接口,因而不需更改现有网络配置就可以实现网络安全防护,减少因网络安全改造而带来的网络重构负担。 (2) 通过设置虚拟网卡NetShine FW1000,可以实现对内部网不同网段的隔离与访问控制。 防火墙的每一个接口代表一块物理网卡,每块物理网卡可重载多个虚拟网卡。因此,每个端口可以配置多个IP地址,从而防火墙的一个端口就可以管理多个子网,极大地扩展了设备的功能(如不必再使用专用的内部防火墙)。 4. 通用性 IPSec ESP标准要求所有的ESP实现支持以密码分组链方式(CBC)的DES作为缺省的算法。而NetShine(tm) FW1000的VPN模块采用工业标准的DES或Triple DES加密算法,并提供消息摘要(MD5)和哈希散列两种验证算法保证数据的完整性。该VPN支持密钥交换协议,可以实现分钟级的密钥交换。所以这款防火墙能最大限度地支持标准通用联接,保护用户的投资。 方案总结 更有效的保障网络与信息安全,让用户放心的沟通,已成为网络建设者们莫大的追求。为此许多用户建立了防火墙、VPN,但是在建立防火墙的时候应当综合考虑,让防火墙给我们带来自由、安全的信息世界。 Netshine系列防火墙在企业网和Internet之间设置一道有效的屏障,严密保护内部网络,使其免受黑客侵扰;Netshine通过检查、审核和认证出入企业网的数据交换来实现完备的访问控制功能。 Netshine系列防火墙提供符合IPSec标准的虚拟专用网VPN功能模块。VPN功能模块能使您的企业与分支机构、合作伙伴之间构造出一条通过互联网络的安全透明的数据传输隧道,无须昂贵的租用专线或者专用网络。 |
||||||||||||||
