馮乃光,程 曦

摘 要:為了在組網(wǎng)中防火墻的設(shè)置方式和實(shí)現(xiàn)技術(shù)。通過(guò)在端口應(yīng)用中訪問(wèn)控制列表的包過(guò)濾技術(shù)組建防火墻。有效地控制了外部網(wǎng)絡(luò),只有特定用戶可以訪問(wèn)內(nèi)部服務(wù)器,而內(nèi)部網(wǎng)絡(luò)只有特定主機(jī)可以訪問(wèn)外部網(wǎng)絡(luò)。在應(yīng)用該技術(shù)進(jìn)行組網(wǎng)后,防火墻在很大程度上有效地隔離了病毒的攻擊,使網(wǎng)內(nèi)用戶很少受到網(wǎng)絡(luò)病毒的攻擊。與普通的防火墻相比有較強(qiáng)的防病毒的能力。

關(guān)鍵詞:防火墻;過(guò)濾包;控制列表;組網(wǎng)

中圖分類(lèi)號(hào):TP393.02文獻(xiàn)標(biāo)識(shí)碼:A

文章編號(hào):1004-373X(2009)20-082-03

Achievement of ACL/Packet Filtering Skill Based on Accessing of Port Adduction

FENG Naiguang1,CHENG Xi2

(1.Sichuan Radio and TV University,Chengdu,610073,China;2.Anqing TV University,Anqing,246003,China)

Abstract:The purpose of this article is to do research on the skills of setting and achievement of the network firewall,which is to build the firewall in the control list with filtrating skill while accessing the port.The result comes out to be effectively controlling access of the outer network to the inner server through particular users.Meanwhile,the inner network could only access the outer network through the particular mainframe.The conclusion is that the firewall has increased its ability a lot to quarantine the virus with building this firewall with the above skill.This leads to the result that only very few inner users get virus attack,which shows that it has much stronger ability to quarantine the virus than the ordinary firewall.

Keywords:firewall;packet filtering;control lists;network construction

0 引 言

Internet的發(fā)展為政府結(jié)構(gòu)、企事業(yè)單位帶來(lái)了革命性的改革和開(kāi)放。他們正努力利用Internet提高辦事效率和市場(chǎng)反應(yīng)速度,以便更具競(jìng)爭(zhēng)力。但隨之帶來(lái)的負(fù)面效應(yīng)之一是數(shù)據(jù)在傳輸過(guò)程中可能存在不安全的因素。網(wǎng)絡(luò)安全成為當(dāng)今最熱門(mén)的話題之一,很多企、事業(yè)單位為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。隨著科技的發(fā)展,防火墻也逐漸被大眾所接受。這里研究的是防火墻中核心技術(shù)的實(shí)現(xiàn),即組網(wǎng)配置中防火墻設(shè)計(jì)技術(shù)的實(shí)現(xiàn)。

1 防火墻及ACL/包過(guò)濾技術(shù)簡(jiǎn)介

1.1 防火墻的的概念、分類(lèi)及功能

簡(jiǎn)單地說(shuō),防火墻的作用是在保護(hù)一個(gè)網(wǎng)絡(luò)免受“不信任”網(wǎng)絡(luò)的攻擊的同時(shí),保證兩個(gè)網(wǎng)絡(luò)之間可以進(jìn)行合法的通信。防火墻應(yīng)該具有如下基本特征:經(jīng)過(guò)防火墻保護(hù)的網(wǎng)絡(luò)之間的通信必須都經(jīng)過(guò)防火墻。只有經(jīng)過(guò)各種配置策略驗(yàn)證過(guò)的合法數(shù)據(jù)包才可以通過(guò)防火墻。防火墻本身必須具有很強(qiáng)的抗攻擊、滲透能力?，F(xiàn)代的防火墻體系不僅是一個(gè)“入口的屏障”,而且是幾個(gè)網(wǎng)絡(luò)的接入控制點(diǎn),所有經(jīng)過(guò)被防火墻保護(hù)的網(wǎng)絡(luò)的數(shù)據(jù)流都應(yīng)該首先經(jīng)過(guò)防火墻,形成一個(gè)信息進(jìn)入的關(guān)口。因此防火墻不但可以保護(hù)內(nèi)部網(wǎng)絡(luò)在Internet中的安全,同時(shí)還可以保護(hù)若干主機(jī)在一個(gè)內(nèi)部網(wǎng)絡(luò)中的安全。在每一個(gè)被防火墻分割的網(wǎng)絡(luò)中,所有的計(jì)算機(jī)之間是被認(rèn)為“可信任的”,它們之間的通信不受防火墻的干涉。而在各個(gè)被防火墻分割的網(wǎng)絡(luò)之間,必須按照防火墻規(guī)定的“策略”進(jìn)行互相的訪問(wèn)?，F(xiàn)在的許多防火墻同時(shí)還具有一些其他特點(diǎn),如進(jìn)行身份鑒別,對(duì)信息進(jìn)行安全(加密)處理等。

防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類(lèi)型,但總體來(lái)講可分為兩大類(lèi),即包過(guò)濾和應(yīng)用代理。包過(guò)濾(Packet Filtering),作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號(hào)、協(xié)議類(lèi)型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。應(yīng)用代理(Application Proxy),也叫應(yīng)用網(wǎng)關(guān)(Application Gateway),它作用在應(yīng)用層,其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流,通過(guò)對(duì)每種應(yīng)用服務(wù)編制專(zhuān)門(mén)的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際應(yīng)用中的網(wǎng)關(guān)通常由專(zhuān)用工作站實(shí)現(xiàn)。

1.2 ACL/包過(guò)濾概念

ACL(Access Control Lists,存取控制列表)是一套與文件相關(guān)的用戶、組和模式項(xiàng),此文件為所有可能的用戶ID或組ID組合指定了權(quán)限。ACL初期僅在路由器上支持,目前已經(jīng)擴(kuò)展到三層交換機(jī),部分最新的二層交換機(jī)如2950等也開(kāi)始提供ACL支持。只不過(guò)支持的特性不是那么完善而已。在其他廠商的路由器或多層交換機(jī)上也提供類(lèi)似的技術(shù),不過(guò)名稱和配置方式都可能有細(xì)微的差別。

ACL的基本原理是使用包過(guò)濾技術(shù),在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等,根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾,從而達(dá)到訪問(wèn)控制的目的。ACL的主要功能就是一方面保護(hù)資源節(jié)點(diǎn),阻止非法用戶對(duì)資源節(jié)點(diǎn)的訪問(wèn),另一方面限制特定的用戶節(jié)點(diǎn)所能具備的訪問(wèn)權(quán)限。

ACL/包過(guò)濾應(yīng)用在路由器中,就為路由器增加了對(duì)數(shù)據(jù)包的過(guò)濾功能。ACL/包過(guò)濾實(shí)現(xiàn)對(duì)IP數(shù)據(jù)包的過(guò)濾,對(duì)路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,先獲取數(shù)據(jù)包的包頭信息,包括IP層所承載的上層協(xié)議的協(xié)議號(hào),數(shù)據(jù)包的源地址、目的地址、源端口和目的端口等,然后和設(shè)定的ACL 規(guī)則進(jìn)行比較,根據(jù)比較的結(jié)果決定對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。

1.3 基于接口的ACL/包過(guò)濾技術(shù)

對(duì)路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,先獲取包頭信息,然后和設(shè)定的規(guī)則進(jìn)行比較,根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實(shí)現(xiàn)包過(guò)濾的核心技術(shù)是訪問(wèn)控制列表(見(jiàn)圖1)。

圖1 ACL/包過(guò)濾工作過(guò)程

包過(guò)濾技術(shù)主要是設(shè)定一定的規(guī)則,控制數(shù)據(jù)包。路由器會(huì)根據(jù)設(shè)定的規(guī)則和數(shù)據(jù)包的包頭信息比較,來(lái)決定是否允許這個(gè)數(shù)據(jù)包通過(guò)。

實(shí)現(xiàn)包過(guò)濾技術(shù)最核心內(nèi)容就是訪問(wèn)控制列表。使用訪問(wèn)控制列表的目的主要是拒絕某些不希望的訪問(wèn)。此外訪問(wèn)控制列表具有區(qū)分?jǐn)?shù)據(jù)包的能力。

訪問(wèn)控制列表按照數(shù)據(jù)包的特點(diǎn),規(guī)定了一些規(guī)則,見(jiàn)圖2。這些規(guī)則描述了具有一定特點(diǎn)的數(shù)據(jù)包,并且規(guī)定它們是被“允許”的還是被“禁止”的。這些規(guī)則的定義是按照數(shù)據(jù)包包頭的特點(diǎn)定義的,例如可以這樣定義:允許202.38.0.0/16網(wǎng)段的主機(jī)可以使用協(xié)議HTTP 訪問(wèn)129.10.10.1。禁止從202.110.0.0/16網(wǎng)段的所有訪問(wèn)。

圖2 基于接口的訪問(wèn)控制列表規(guī)則

訪問(wèn)控制列表就可以提供這樣的功能,它按照數(shù)據(jù)包的特點(diǎn),規(guī)定了一些規(guī)則。

這些規(guī)則描述具有一定特點(diǎn)的數(shù)據(jù)包(例如所有源地址是202.10.10.0 地址段的數(shù)據(jù)包、所有使用 Telnet 訪問(wèn)的數(shù)據(jù)包等),并且規(guī)定它們是被“允許”的還是被“禁止”的。

這樣可以將訪問(wèn)控制列表規(guī)則應(yīng)用到路由器的接口,阻止一些非法的訪問(wèn),同時(shí)并不影響合法用戶的訪問(wèn)。訪問(wèn)控制列表提供了一種區(qū)分?jǐn)?shù)據(jù)包種類(lèi)的手段,它把各種數(shù)據(jù)包按照各自的特點(diǎn)區(qū)分成各種不同的種類(lèi),達(dá)到控制用戶訪問(wèn)的目的。

用戶可以通過(guò) Internet 和外部網(wǎng)絡(luò)進(jìn)行聯(lián)系,網(wǎng)絡(luò)管理員都面臨著一個(gè)問(wèn)題,就是如何拒絕一些不希望的連接,同時(shí)又要保證合法用戶進(jìn)行的訪問(wèn)。

為了達(dá)到這樣的效果,需要有一定的規(guī)則來(lái)定義哪些數(shù)據(jù)包是“合法”的(或者是可以允許訪問(wèn)),哪些是“非法”的(或者是禁止訪問(wèn))。這些規(guī)則就是訪問(wèn)控制列表。

由于訪問(wèn)控制列表具有區(qū)分?jǐn)?shù)據(jù)包的功能,因此,訪問(wèn)控制列表可以控制“什么樣的數(shù)據(jù)包”,可以做什么樣的事情。

例如,當(dāng)企業(yè)內(nèi)部網(wǎng)通過(guò)撥號(hào)方式訪問(wèn) Internet,如果不希望所有的用戶都可以撥號(hào)上網(wǎng),就可以利用控制列表決定哪些主機(jī)可以觸發(fā)撥號(hào),以達(dá)到訪問(wèn) Internet 的目的。

利用訪問(wèn)控制列表可以控制數(shù)據(jù)包的觸發(fā)撥號(hào),同樣在IPSec(是一套用來(lái)通過(guò)公共IP網(wǎng)絡(luò)進(jìn)行安全通訊的協(xié)議格式,它包括數(shù)據(jù)格式協(xié)議、密鑰交換和加密算法等)、地址轉(zhuǎn)換等應(yīng)用中,可以利用控制列表描述什么樣的數(shù)據(jù)包可以加密,什么樣的數(shù)據(jù)包可以地址轉(zhuǎn)換等。

2 包過(guò)濾防火墻配置原理及配置實(shí)例

2.1 包過(guò)濾防火墻配置原理

包過(guò)濾防火墻的配置包括:允許或禁止防火墻;設(shè)置防火墻缺省過(guò)濾方式;設(shè)置包過(guò)濾防火墻分片報(bào)文檢測(cè)開(kāi)關(guān);配置分片報(bào)文檢測(cè)的上、下門(mén)限值;在接口上應(yīng)用訪問(wèn)控制列表,使能或禁止包過(guò)濾防火墻,并在系統(tǒng)視圖下進(jìn)行配置,如表1所示。

表1 配置命令

操作命令

使能包過(guò)濾防火墻Firewall packet-filter enable

禁止包過(guò)濾防火墻Undo firewall packet-filter enable

系統(tǒng)缺省情況下,使能包過(guò)濾防火墻。

2.2 基于接口的ACL/包過(guò)濾防火墻典型配置實(shí)例

2.2.1 組網(wǎng)需求

以下通過(guò)一個(gè)公司配置防火墻的實(shí)例來(lái)說(shuō)明防火墻的配置。

該公司通過(guò)一臺(tái) Quidway 安全網(wǎng)關(guān)的接口Ethernet1/0/0 訪問(wèn)Internet,安全網(wǎng)關(guān)與內(nèi)部網(wǎng)通過(guò)以太網(wǎng)接口Ethernet0/0/0 連接。公司內(nèi)部對(duì)外提供WWW,FTP和Telnet服務(wù),公司內(nèi)部子網(wǎng)為129.38.1.0,其中,內(nèi)部FTP 服務(wù)器地址為129.38.1.1,內(nèi)部Telnet 服務(wù)器地址為129.38.1.2,內(nèi)部WWW服務(wù)器地址為129.38.1.3,公司對(duì)外地址為202.38.160.1。在安全網(wǎng)關(guān)上配置了地址轉(zhuǎn)換,這樣內(nèi)部PC 機(jī)可以訪問(wèn)Internet,外部PC 可以訪問(wèn)內(nèi)部服務(wù)器。通過(guò)配置防火墻,希望實(shí)現(xiàn)以下要求:

(1) 外部網(wǎng)絡(luò)只有特定用戶可以訪問(wèn)內(nèi)部服務(wù)器;

(2) 內(nèi)部網(wǎng)絡(luò)只有特定主機(jī)可以訪問(wèn)外部網(wǎng)絡(luò)。

現(xiàn)假定外部特定用戶的 IP 地址為202.39.2.3。

2.2.2 組網(wǎng)圖

圖3為該包過(guò)濾防火墻組網(wǎng)配置圖。

圖3 包過(guò)濾防火墻組網(wǎng)配置圖

2.2.3 配置步驟

第一步:在安全網(wǎng)關(guān)Quidway 上允許防火墻。

[Quidway] firewall packet-filter enable

第二步:設(shè)置防火墻缺省過(guò)濾方式為允許包通過(guò)。

[Quidway] firewall packet-filter default permit

第三步:創(chuàng)建訪問(wèn)控制列表3001。

[Quidway] ACL number 3001

第四步:配置規(guī)則允許特定主機(jī)訪問(wèn)外部網(wǎng),允許內(nèi)部服務(wù)器訪問(wèn)外部網(wǎng)。

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.4 0

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.1 0

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.2 0

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.3 0

[Quidway-ACL-adv-3001] rule deny ip

第五步:創(chuàng)建訪問(wèn)控制列表3002。

[Quidway] ACL number 3002

第六步: 配置規(guī)則允許特定用戶從外部網(wǎng)訪問(wèn)內(nèi)部服務(wù)器。

[Quidway-ACL-adv-3002] rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0

第七步:配置規(guī)則允許特定用戶從外部網(wǎng)取得數(shù)據(jù)(只允許端口大于1024 的包)。

[Quidway-ACL-adv-3002] rule permit tcp destination 202.38.160.1 0

destination-port gt 1024

第八步:將規(guī)則3001 作用于從接口Ethernet0/0/0 進(jìn)入的包。

[Quidway-Ethernet0/0/0] firewall packet-filter 3001 inbound

最后將規(guī)則3002 作用于從接口Ethernet1/0/0 進(jìn)入的包。

[Quidway-Ethernet1/0/0] firewall packet-filter 3002 inbound

通過(guò)上述方法配置防火墻后,完全能達(dá)到外部網(wǎng)絡(luò)只有特定用戶可以訪問(wèn)內(nèi)部服務(wù)器。內(nèi)部網(wǎng)絡(luò)只有特定主機(jī)可以訪問(wèn)外部網(wǎng)絡(luò)的要求,并能有效識(shí)別欺詐型的IP地址。在實(shí)際應(yīng)用過(guò)程中,該防火墻運(yùn)行穩(wěn)定,成本低廉,堵塞情況少,能對(duì)多數(shù)黑客攻擊進(jìn)行有效隔離。

3 結(jié) 語(yǔ)

隨著網(wǎng)絡(luò)應(yīng)用的增加,對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。

另外,由于網(wǎng)絡(luò)多媒體應(yīng)用越來(lái)越普遍,它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。因此為了使防火墻在接口處不造成數(shù)據(jù)堵塞,可使用專(zhuān)門(mén)的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流,比起ACL/包過(guò)濾的防火墻具有更好的性能,但成本較高,不利于普及。從執(zhí)行速度的角度看來(lái),基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類(lèi)防火墻中有一些專(zhuān)門(mén)用于處理數(shù)據(jù)層面任務(wù)的引擎,從而減輕了CPU的負(fù)擔(dān),該類(lèi)防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

參考文獻(xiàn)

[1]張玉芳,熊忠陽(yáng),賴芳,等.IPv6下基于病毒過(guò)濾防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)科學(xué),2009(4):108-111.

[2]劉鵬遠(yuǎn).Windows平臺(tái)通用個(gè)人防火墻的分析與設(shè)計(jì)[J].計(jì)算機(jī)工程,2009(6):114-116,119.

[3]劉益洪,陳林.基于防火墻的網(wǎng)絡(luò)安全技術(shù)分析[J].通信工程, 2008(6):136-138.

[4]鐘樂(lè)海.網(wǎng)絡(luò)安全技術(shù)[M].北京:電子工業(yè)出版社,2007.

[5]王永彪,徐凱聲.用包過(guò)濾技術(shù)實(shí)現(xiàn)個(gè)人防火墻[J].計(jì)算機(jī)安全,2005(5):21-22,26.

[6]劉建偉.聯(lián)動(dòng)型網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].科學(xué)技術(shù)與工程,2009(3):1 614-1 616.

[7]張連銀.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].科技資訊,2007(9):188-190.

[8]唐成華,胡昌振,崔中杰.基于域的網(wǎng)絡(luò)安全策略研究[J].計(jì)算機(jī)工程,2007(9):131-133.

[9]曾曠怡,楊家海.一種基于策略的網(wǎng)絡(luò)管理系統(tǒng)研究與實(shí)現(xiàn)[J].小型微型計(jì)算機(jī)系統(tǒng),2007(2):218-223.

[10]Hazem Hamed,Ehab AI-Shaer.Taxonomy of Conflicts in Network Security Policies[J].IEEE Communications Magazine,2006,44(3):134-141.