摘 要:本文从目前网络安全的形势出发,详细的阐述了计算机网络安全方面的信息安全传送、防火墙以及本地安全技术,重点分析了过滤路由安全防火墙构建技术,最后通过内部网络防火墙构建实例得出相关的结论。
关键词:路由;防火墙;安全
1. 引言
随着电子科技的迅速发展和网络技术的普及应用,计算机网络安全方面的问题逐步突出,网络的安全普遍受到人们尊重。只有网络足够的安全才可以保证网络生活能够有序进行,网络系统不遭破坏,信息不被窃取,网络服务不被非法中断等。另外,目前的网络正在遭受很多威胁和攻击,网络中存在很多不安全的因素。诸如,黑客入侵、信息泄露等,针对于这些不安全因素所采取的相应防范技术是目前的研究热点。
2. 网络安全防火墙技术概述
网络安全技术目前共分为三类:信息传送安全技术、防火墙技术、本地安全技术。信息传送安全技术包括诸如信息加密、数字签名、信息发送方法等,是从信息安全传送的角度划入该类的。本地安全技术包括审计跟踪、访问控制、弱点保护、预防病毒等。防火墙是保障内部网络安全的最有效手段。防火墙在防止非法入侵、确保内部网络安全上,是目前最有效的一种方法。防火墙是一种综合技术,它涉及网络技术、密码技术、软件技术等。目前防火墙技术尚不完善,其标准也不健全,实用效果亦不甚理想,本文的研究重点为网络安全的防火墙技术。
3. 过滤路由安全防火墙的构建
本文所讨论的过滤路由器安全防火墙构建技术主要有下几个方面:
(1)过滤路由器(Screening router)也称正过滤器(IP filter)、网络层防火墙(NetWork Level Firewall)。顾名思义,该防火墙通常是由一台起IP过滤作用的路由器构成。如图 1所示。其过滤规则的设置是基于可以提供给IP转发用的数据包包头信息。路由器审查其接收的每个数据包,以确定其是否与某一条包过滤规则匹配,从而做出允许或拒绝的动作。包头信息中包括IP源地址和目标地址、内装协议(TCP、UDP、ICMP、IP Tunnel)、TCP/UDP目标端口、ICMP的消息类型、TCP包头中的ACK位等信息。
图1 包过滤型防火墙
(2)过滤路由器能够根据指定的规则和要求来筛选流经的数据包。举例:假定Telnet服务器在TCP的23号端口上监听远地连接,S入ITP服务器在TCP的25号端口上监听连接。要求:屏蔽所有进入的Telnet连接; 那么过滤路由器的动作就是:拒绝所有TCP端口号为23的数据包。要求:将进来的Telnet连接限制到内部的数台机器上。那么过滤路由器的动作就是:拒绝所有TCP端口号为23并且目标丁地址不等于主机IP地址的数据包。
4. 实例分析
本文通过对普通内部局域网络基于安全防火墙构建为实例来进行具体说明和分析。该公司网络拓扑如下图2所示,其中公司内部系统为win2003系统服务器。
图2 网络拓扑图
(1)修改win2003系统服务器内核,增加支持路由记录功能。win2003系统服务器并没有支持IP数据包路由记录功能,因此首先必须修改win2003系统服务器的TCp/Ip内核源程序,再重新编译内核。实现这一功能的程序是IP程序中的选项控制模块build_options,所以应该修改/usr/src/win2003系统服务器/net/inet/ipc.net使其支持路由记录。
(2)在win2003系统服务器中安装双网卡,设置路由。在win2003系统服务器主机上配置路由功能要求在该主机内至少有两个以上的网络接口。因此,首先在win2003系统服务器中安装好两个网卡。在具体操作时可能存在一个问题,就是在win2003系统服务器中只有一块以太网卡会被缺省自动检测,这就需要对win2003系统服务器进行一些修改。
通过对网络路由安全防火墙构建的实例情况,我们可以分析得到以下几个方面的结论。
(l)采用记录并分析所有经过防火墙的IP数据包从源节点到目的节点的路由信息,从一定的程度上解决了目前防火墙系统对于欺骗攻击的脆弱性。
(2)对于路由记录,只有当源节点和目的节点双方都支持的情况下,记录路由选项中的各护地址才能得到处理,该选项才真正有效。而现在Intemet上只有很少的节点支持路由记录,因此目前实用有一定的困难。但是,这种方法只要各TCP胆协议软件开发商对其TCP/Ip软件作一个简单修改 (如上所述)使其支持路由记录就可以了。所以不失为种解决欺骗攻击很有效的方法。
参考文献:
[1]楚狂等.网络安全与防火墙.北京.人民邮电出版社,2008
[2]雷震甲.计算机网络管理及系统开发.电子工业出版社.2005
[3] Sean Harnedy著.简单网络管理协议教程(第2版).电子工业出版社.2008
