网络安全、过滤器和防火墙

网络安全、过滤器和防火墙

摘要:本文是对网络安全和因特网解决方案的一般介绍；重点将放在路由过滤器和防火墙上。作为一个建立一个安全网络的指南，它不是很明确的；它的用途仅仅是一个总的概括。虽然一些网络IP的知识不是决定因素，但是它是基本因素。

关键词：网络安全；过滤器；防火墙

在最近的十年中，计算机的使用数量已经达到非常之多。在现在相当长的一段时间里，计算机在我们日常学习和生活方面已经成为一个决定性的因素，并且更重要的是应用到商业领域方面。回顾过去，计算机应用的增长是显著的，甚至在使用计算机进行对话方面将有一个更大的突破（虽然有点延迟）。计算机领域的迅速发展主要归功于两个独立的因素，这两个因素目前拥有不同的目标和产品。第一个因素主要研究兴趣领域和实验领域；这个领域经常需要共享文件，电子邮件和其他的宽带信息。这项研究为数据的传输提供了一些协议和方案，最显著的是传输控制协议TCP/IP。在网络成长过程中的第二个因素是商业因素。在相当长的一段时间里，商业领域的兴趣主要放在共享办公室或校园网里面的数据，这导致了适合于这种特定领域里的各种不同协议的发展。

在最近的五年里，商业领域已经开始转向共享宽带数据。这就促使其努力把主要以局域网为基础的协议转换成以广域网为主的协议。这个结果导致了一个完整的咨询体系的诞生，这一体系知道如何操作路由器，网关并且可以通过点对点的连接（两种非常不同的通过网络传输数据包的方式）实现网络协议的传输。最近(在最近的两三年内)，越来越多的公司已经意识到他们需要建立一个通用的网络协议。通常选择的协议是传输控制协议TCP/IP,这是一个运行在因特网上的主要协议。传输控制协议TCP/IP的出现，允许公司之间就像通过公共网络进行连接一样，通过私人网络建立互相连接。

这是一张非常具有代表性的图片：商业，政府和个体之间通过网络进行彼此沟通。而事实也是正在快速地接近这张理想化的图片，一些相关的较小的议题已经从先前的次态变得非常重要起来。安全或许是这些问题中最广为人知的。当商业领域通过网络传送个人信息的时候，他们为信息能完整无缺的到达目的地，提供了一个高的标准保障协议，并且不允许除了有意的接受者以外的其他人进行拦截。个体传送的个人的通信更加要求安全的通信。最后，连接一个系统到一个能对攻击自动打开本身系统的网络。如果一个系统受到危险的攻击,则数据损失的危险性则更高。

打破破坏网络安全性的有用的方法主要有两种基本类型：

∙一种方法是当它在网络上传输的时候保护数据

∙一种方法是当它在网络上传输的时候管理数据包

虽然两种方法很明显的都是实现从一个站点到另一个站点的传输，但是他们的目的是不同的。

传送安全

目前，当数据在一个公众的网络上传送时，没有一个系统可以保证在宽带上传输数据的安全性。从而采取在一些并行站点之间加密的方法来实现。不幸地是，目前没有一个方案可以很好的满足这一特定的要求。支配这一领域的有以下两个一般的方法：

虚拟个人网络: 这是一个用传输控制协议TCP/IP提供一个低层的第二

TCP/IP协议的堆栈来创造一个个人网络的概念，这可能是一项比较难于了解的概念，并且通过与传输控制协议TCP/IP正常实现的比较，对此有一个更好的了解。简言之，IP传输在各种不同形式的网络的物理层上。连接到网络物理层上的每一个系统为IP通讯在链路层上的传输提供了一个标准。这种标准为IP在各种不同类型已存在的连接上的传输提供了保障，最通常的是以太网和点对点的连接(PPP和SLIP)。一旦一个IP数据包被接收到，它则被传输到传输控制协议TCP/IP栈的高层协议上（如UDP, TCP和应用层）。当一个虚拟的个人网络被执行的时候,最低层的TCP/IP协议被用来执行一个已存在的TCP/IP连接。有很多种方法可以在提取和效率之间达到一个权衡。它的优点是数据的安全传递是一步一步实现的。因为一个虚拟个人网络可以让你实现对物理层的完全控制，它是受到网路设计者的完全控制的，设计者可以在物理层（虚拟层）的连接上进行加密。通过实现这项功能，不论是在应用层（如邮件或新闻）还是在这个栈的最低层—物理层(如IP,ICMP)，所有在虚拟个人网络上的任何种类的传输都将被加密。虚拟个人网络的主要优点是:它们允许分配个人私有的地址空间（你可以在同一个网路上同时连接多台电脑），并且可以允许数据包在一个专用的系统上进行加密和传输，以便在原机上减小负载。

包级别加密技术：另一种方法是在TCP/IP栈的更高层协议上加密。在安全保证，远程登陆加密和远程登陆协议（Kerberos，S/Key和DESlogin）等方面均采用了一些方法，这些是在栈的高层协议上加密的典型实例（应用层）。在高层协议上加密的优点是对一个虚拟个人网络进行处理的处理器是可以除去的，而当前应用软件的互用性是不受影响的，并且编译一个支持应用层加密的客户机程序比建立一个虚拟个人网络更加容易。从本质上说，在IP栈的任何层上加密都是可能的。尤其是允许在TCP层上加密，这一层对多数网络应用软件提供相当透明的传输加密技术。

这一点是值得注意的，这两种方法均可在主机执行协议的时候表现出冲击现象，并且在网络上其他机器连接这些主机的时候也可表现出冲击现象。在载入或转换一个数据包到一种新的CPU请求时间形式和已用的额外网络容量的时候，这种方式是相对简单的。加密技术是一个真正的处理器密集的程序，而且加密后的数据包应被填补成一个统一的长度，以保证一些运算法则的正确性。更深层一点的说就是这两种方法会给其他的领域（相关的安全和其他的方面—如地址分配，容错处理和负载平衡）带来一定的冲击，这就需要考虑哪一个更适合于特定的领域。

传输规则

如今因特网在网络安全方面最通常的形式是管理哪一类数据包可以在两个网络之间进行传输。如果一个对远程主机具有破坏性行为的数据包不可能到达目的地，那么这个远程主机就不必对此数据包担心了。传输规则为主机与远程站点之间提供了一个屏蔽。这主要应用于网路的三个基本的领域内：路由器，防火墙和主机。每一个均在网络的不同的点上提供相似的服务。事实上他们之间的界限已经没有那么清晰了。在这篇文章中，我将会使用下列的定义:

路由器传输规则:任何一个规则都将在路由器和终端服务器（主机的主要目的是转寄其他主机传输的数据包）上进行传输并且根据数据包的特征确定相应规则。这不包括申请网关，但是包括地址的转换。

防火墙传输规则: 传输或过滤规则均通过申请网关或代理服务器执行的。

主机传输规则:传输规则运行在数据包的目的地上。主机在与过滤路由器和防火墙的传输规则上起到越来越小的作用。

过滤器和路径列表

调节数据包以便其可以在两个站点之间传输，这是一个在表面上看来非常简单的概念，对任何一个路由器或防火墙来说，决定是否传送一个特定的站点的数据包不应该是并且不是困难的。不幸的是，大多数人连接到因特网的目的是以便他们可以和远程主机交换数据包。开展一个设计，这个设计允许正确的数据包在正确的时间内传输并且否定恶意的数据包，这是一个艰难的任务，这项研究超出了本文所讨论的范围。然而，一些基本的技术是值得讨论的。

∙限制内部路径，而非外部路径：几乎所有的数据包（除了那些在最低层上处理网络能动性的协议）都被送往UDP 或 TCP目的地上。典型的是，来自远程主机的数据包将试图到达我们已知的端口。这些端口将被应用软件所监控，这个应用软件将提供像是邮件传送，新闻组服务，时间申请检测，域名服务和各种不同的登录协议等服务。它对现代路由器或防火墙来说是微不足道的，仅仅允许这些不同类型的数据包传输到提供给定服务的特定机器上。将不被允许试图传递其他类型的数据包。这可以保护因特网内部的主机，但是仍然允许所有的数据包的传出。不幸的是，它似乎不可能是万能的。

∙接收数据包的问题：让我们假设除非远程用户使用一种安全的、加密的申请如S/Key,否则你不允许他们登陆你的系统。然而，你希望允许你的用户试图通过远端登入或 ftp连接到远程站点上。起初，这个看起来很简单：你仅仅限制一种类型数据包进行远程连接，并且允许任何类型的外在连接。不幸地，由于交互式协议的本性，他们必须确定一个唯一的端口数去连接到一个确定的连接上。如果他们不这样做，在任何一个给定的时间里，仅仅有一种类型的交互式协议在两个给定的主机上进行传输。这就导致了一种困境：突然，一个远程站点将要试着传送一个指定的数据包到任意的一个端口。正常地，这些数据包应该被拦截。但是如果数据包已经在同一个端口从一个内部的网络传输到外部网络，则现代路由器和防火墙为