浅谈防火墙技术的应用

摘　要：随着计算机网络的飞速发展，我们发现，在众多领域都无法忽视计算机网络所占的一席之地。本文论述了网络防火墙安全技术的分类及其主要技术特征。

关键词：计算机网络技术；网络防火墙
引言
　　21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
　　网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会各方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。
　　信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
　　1.防火墙的概念
　　网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
　　根据防火墙所采用的技术不同,我们可以将它分为两种基本类型： 1,网络级防火墙   2,应用级防火墙。
　　1.1  网络级防火墙
　　网络级防火墙一般根据源、目的地址做出决策，输入单个的IP包。一台简单的路由器是"传统的"网络级防火墙，因为它不能做出复杂的决策，不能判断出一个包的实际含意或包的实际出处。现代网络级防火墙已变得越来越复杂，可以保持流经它的接入状态、一些数据流的内容等等有关信息。许多网络级防火墙之间的一个重要差别是防火墙可以使传输流直接通过，因此要使用这样的防火墙通常需要分配有效的IP地址块。
　　1.2应用级防火墙
　　应用防火墙，即WAF通过执行应用会话内部的请求来处理应用层，它专门保护Web应用 通信 流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的 浏览器 和HTTP攻击，强大的应用防火墙甚至能够模拟代理成为网站服务器接受应用交付，形象的来说相当于给原网站加上了一个安全的绝缘外壳。
　　1.3应用层防火墙与传统的入侵检测设备之间具有本质上的区别
　　在 TCP/IP 模型中网络流量从物理层到应用层是逐层递交，入侵检测设备( IPS )主要定位在分析传输层和网络层的数据，而再往上则是复杂的各种应用层协议报文，而应用层防火墙(WAF)则仅提供对Web应用流量全部层面的监管。IPS需要处理网络中所有的流量，而WAF仅处理与Web应用相关的协议，其他的则给予转发。
　　2.以WEB应用防火墙在学校为案例
　　随着学校业务资源逐渐向数据中心高度集中，Web成为一种普适平台，上面承载了越来越多的核心业务。Web的开放性带来丰富资源、高效率、新工作方式的同时，也使机构的重要信息暴露在越来越多的威胁中。去年，我们学校网站遭遇攻击，网站发布的重要信息被篡改成为大量签名，各级页面不再具有正常的观感。最为棘手的是：期间持续发生"网页被篡改－恢复－再次被篡改－再次恢复..."的现象。间歇还伴随有针对WEB服务器的DDOS攻击，网站访问峰值严重超过服务器正常所能处理的最大负荷。
　　2.1WEB应用防火墙可以防御的攻击类型：
　　（1）SQL注入：一些应用程序通过复制Web客户端输入来创建数据库查询。黑客通过构造一些应用程序没有仔细检查和会被拒绝的字符串，来获取返回的机密数据。
　　（2）跨站点脚本：黑客插入脚本代码（如JavaScript或ActiveX）到一个输入字符串，导致Web服务器泄漏用户名和密码等信息。
　　（3）操作系统命令注入：一些应用程序从web输入来创建操作系统命令，就像访问一个文件和显示文件内容。如果输入的字符串没有仔细检查机制，黑客就可以创建输入来显示未经授权的数据、修改文件或系统参数。
　　（4）会话劫持：黑客通过猜测基于令牌格式知识的会话令牌的内容来获得登录会话的权利。这使得黑客能接管会话并可以得到原来的用户帐户信息。
　　（5）篡改参数或URL：web应用程序通常在返回的的web页面中嵌入参数和URL，或者用授权的参数更新缓存。黑客可以修改这些参数、URL或缓存，使Web服务器返回不应泄漏的信息。
　　（6）缓冲区溢出：应用程序代码应该检查输入数据的长度，以确保输入数据不会超出剩余的缓冲区和修改相邻的存储。黑客很快就会发现应用程序不检查溢出，并创建输入来导致溢出。
　　2.2针对学校网站的特性，利用 WAF提供了以下解决方案：
　　（1）WAF透明部署在防火墙和WEB服务器群及应用服务器之间，在网络中即插即用，不改变网络拓扑和网站业务流程，管理简单。
　　（2）WAF提供了针对核心WEB服务器群的防护；根据高校的网站部署的特点，一般大学站点都具有数十个主站点，同一台服务器会同时具有几个站点的特色，我们会区分各站点之间的不同属性进行分类管理，例如：普通学生登陆的站点都是HTTP协议，而教师员工登陆的管理平台和办公系统都是HTTPS协议，因此我们会设计一套HTTP协议的基本防御模版，而HTTPS协议我们会在基本保护的策略框架下，再启用SSL加速的功能，来帮助提升用户的访问速度。
　　（3）WAF自动扫描网站结构；梭子鱼WAF主动扫描网站结构并根据结果生成防护规则，分析整个Web站点，并建立正常状态模 型。根据学校的网站设计的特点，一般学校网站中各校区站点的设计模版都比较固定化，梭子鱼会主动寻找每一个小站点的树型目录和文件结构，帮助防御不必要外网"穷举型"的攻击。
　　（4）WAF自动学习用户习惯；WAF会自动调整外网用户登陆网站后的使用习惯，例如在某个校区站点的通告栏上的发贴字数长度，会随着用户习惯逐渐增多。
　　（5）WAF调整主动模式来过滤所有的WEB请求；根据高校的网站防御的特点，一般学校的门户网站都具有前端学生登陆信息平台查看信息，后端管理人员发布学校最新动态、管理学生档案、处理学生业务等等工作流。所以在网站前端我们过滤的总体策略都是过滤常规攻击方式，并且对进入网站之后所有提交的数据和语句做限定，在网站后端管理平台，一方面我们将限定指定的管理人员登陆，另一方面我们适当调整管理者登陆系统之后的限定权限，以免发生网站后端被攻击的事件。基于学习的主动模式目的是为了建立一个安全防护模型，一旦行为有差异则可以发现，比如隐藏的表单、限制型的Listbox值是否被篡改、输入的参数类型不合法等，这样在面对多变的攻击手法和未知的攻击类型时能依靠安全防护模型动态调整防护策略。
　　（6）提供简明维护的平台；经过长期的了解和沟通，学校的网络管理者非常青睐于简明的维护平台和日志系统。一般经过简单的培训，他们便可以轻松的查看网站的安全隐患和轻松的进行安全加固。
　　小结
　　随着Internet在我国的迅速发展，防火墙技术引起了各方面的广泛关注. 一方面在对国外信息安全和防火墙技术的发展进行跟踪，另一方面也已经自行开展了一些研究工作.目前使用较多的，是在路由器上采用分组过滤技术提供安全保证，对其它方面的技术尚缺乏深入了解. 防火墙技术还处在一个发展阶段，仍有许多问题有待解决. 因此，密切关注防火墙的最新发展，对推动Internet在我国的健康发展有着重要的意义.
　　参考文献:
　　[1] 袁家政.计算机网络安全与应用技术[M].清华大学出版社,2002.
　　[2] 陈月波.网络信息安全[M].第1版.武汉:武汉工业大学出版社.2005.