NetST技术白皮书.doc

NetST®防火墙技术白皮书1．安全概述互联网的迅猛发展，给企业带来了革命性的改变，增强了企业获得信息的能力，加快了企业内部信息的交流和办事效率，提高了市场反应速度，使企业在商业竞争中处于有利地位，更具竞争力在享受Internet带来的方便与快捷的同时，企业也要面对Internet开放带来的数据安全的新挑战和新危险，如何保护客户、销售商、移动用户、异地员工和内部员工的安全访问以及保护企业的机密信息不受黑客和间谍的入侵，成为网络安全的主要内容Internet的安全问题是不能忽视的当用户与Internet连接时，可以在中间加入一个或几个中介系统，防止非法入侵者通过网络进行攻击，并提供数据可靠性、完整性的安全和审查控制，这些中间系统就是防火墙（Firewall）防火墙是设置在被保护网络与外部网络之间的一道屏障，以防止不可预测的、潜在破坏的非法入侵它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况，以此来实现内部网络的安全保护防火墙一方面限制数据流通，一方面又允许数据流通，由于不同网络的安全要求和管理机制有差别，这对矛盾也有不同的表现形式这样就有了两种极端情况：一是除了非允许不可的，其它都被禁止；二是除了非禁止不可的，其它都被允许，而多数防火墙则在两者之间采取折衷措施。

在确保网络安全的前提下，应尽量提高跨越防火墙的访问效率防火墙提供行之有效的网络安全机制，是网络安全策略的有机组成部分它通过控制和监测网络之间的信息交换和访问行为实现对网络安全的有效保障，在内部网与外部网之间实施安全的防范措施这本白皮书讨论清华得实NetST®防火墙——基于状态检测技术的硬件防火墙NetST®防火墙采用专用硬件和安全增强内核设计，具有带内带外管理、日志管理、安全策略编辑、安全状态检测等多项强大的安全功能目前通过国家安全有关部门的安全性评测，并获得公安部颁发的“计算机信息系统安全专用产品销售许可证（XKC33129）”NetST®防火墙位于内部网络与外部网络的连接处，对进出内部网络的所有数据进行检查，符合一定的访问控制规则的数据才允许通过，否则要拒绝或修改数据，并能检测出可能的非法内外网络入侵，及时进行处理和记录，保证网络安全该防火墙能有效地防止黑客入侵，抵御来自外部网络的攻击，保证内部系统的资料不被盗取，可为电信、邮政、政府、教育、能源、金融、企业等各部门现有的网络提供最有效、最彻底的保安措施2．Internet防火墙技术：概述防火墙（Firewall）是用一个或一组网络设备（计算机系统或路由器等），在两个或多个网络间加强访问控制，以保护一个网络不受来自另一个网络攻击的安全技术。

防火墙的组成可以表示为：防火墙=过滤器+安全策略（+网关），它是一种非常有效的网络安全技术在Internet上，通过它来隔离风险区域（即Internet或有一定风险的网络）与安全区域（内部网，如Intranet）的连接，但不妨碍人们对风险区域的访问防火墙可以监控进出网络的通信数据，从而完成仅让安全、核准的信息进入，同时又抵制对企业构成威胁的数据进入的任务通常，防火墙服务于以下几个目的：l 限制他人进入内部网络，过滤掉不安全服务和非法用户；l 限定人们访问特殊站点；l 为监视Internet安全提供方便由于防火墙是一种被动技术，它假设了网络边界和服务，因此，对内部的非法访问难以有效地控制因此，防火墙适合于相对独立的网络，例如Intranet等种类相对集中的网络防火墙的主要技术类型包括网络级数据包过滤（Network-level Packet Filter），应用代理服务器（Application-level Proxy Server），状态检测防火墙2.1 包过滤防火墙数据包过滤（Packet Filtering）技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表（Access Control Table）。

通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过其实现机制如图1所示图1 包过滤防火墙的实现机制数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用，网络性能和透明度好它通常安装在路由器上，内部网络与Internet连接，必须通过路由器，因此在原有网络上增加这类防火墙，几乎不需要任何额外的费用——这类防火墙的缺点是不能对数据内容进行控制：很难准确地设置包过滤器，缺乏用户级的授权；数据包的源地址、目的地址以及IP端口号都在数据包的头部，很有可能被冒充或窃取，而非法访问一旦突破防火墙，即可对主机上的系统和配置进行攻击 说明：网络层的安全防护，主要目的是保证网络的可用性和合法使用，保护网络中的网络设备、主机操作系统以及各TCP/IP服务的正常运行，根据IP地址控制用户的网络访问网络层在ISO的体系层次中处于较低的层次，因而其安全防护也是较低级的，并且不易使用和管理网络层的安全防护是面向IP空间的2.2 应用层网关——应用层网关（Application Level Gateways）技术是在网络的应用层上实现协议过滤和转发功能。

它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、记录和统计，形成报告实际的应用网关通常安装在专用工作站系统上，其实现机制如图2所示图2 应用网关防火墙实现机制应用层网关防火墙和数据包过滤有一个共同的特点，就是它们仅仅依靠特定的逻辑来判断是否允许数据包通过一旦符合条件，防火墙内外的计算机系统便可以建立直接联系，外部的用户便有可能直接了解到防火墙内部的网络结构和运行状态，这大大增加了非法访问和攻击的机会针对对上缺点，出现了应用代理服务（Application-level Proxy Server）技术说明：应用层的安全防护，主要目的保证信息访问的合法性，确保合法用户根据授权合法的访问数据应用层在ISO的体系层次中处于较高的层次，因而其安全防护也是较高级的应用层的安全防护是面向用户和应用程序的2.3 应用代理服务器应用代理服务技术能够将所有跨越防火墙的网络通信链路分为两段防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用另外代理服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕迹。

其应用层代理服务数据的控制及传输过程如图3所示图3 代理服务防火墙应用层数据的控制及传输应用代理服务器对客户端的请求行使“代理”职责客户端连接到防火墙并发出请求，然后防火墙连接到服务器，并代表这个客户端重复这个请求返回时数据发送到代理服务器，然后再传送给用户，从而确保内部IP地址和口令不在Internet上出现优点：比包过滤防火墙安全，管理更丰富，功能提升容易易于记录并控制所有的进／出通信，并对Internet的访问做到内容级的过滤缺点：执行速度慢，操作系统容易遭到攻击说明：代理服务器（Proxy server）是指，处理代表内部网络用户的外部服务器的程序客户代理与代理服务器对话，它核实用户请求，然后才送到真正的服务器上，代理服务器在外部网络向内部网络中请服务时发挥了中间转接作用内部网络只接收代理服务器提出的服务请求，拒绝外部网络上其他节点的直接请求当外部网络向内部网络的节点申请某种服务时，如FTP、WWW、Telnet等，先由代理服务器接收，然后根据其服务类型、服务内容、被服务对象，以及申请者的域名范围、IP地址等因素，决定是否接受此项服务如果接受，则由代理服务器向内部网络转发请求，并把应答回送给申请者；否则，拒绝其请求。

根据其处理协议的不同，可分为FTP网关型、WWW网关型、Telnet网关型等防火墙，其优点在于既能进行安全控制，又可加速访问，但实现起来比较困难，对于每一种服务协议必须设计一个代理软件模式，以进行安全控制2.4 状态检测防火墙状态检测又称动态包过滤，是在传统包过滤上的功能扩展，最早由CheckPoint提出传统的包过滤在遇到利用动态端口的协议时会发生困难，如ftp，你事先无法知道哪些端口需要打开，而如果采用原始的静态包过滤，又希望用到的此服务的话，就需要实现将所有可能用到的端口打开，而这往往是个非常大的范围，会给安全带来不必要的隐患而状态检测通过检查应用程序信息（如FTP的port和pass命令），来判断此端口是否允许需要临时打开，而当传输结束时，端口又马上恢复为关闭状态状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此作为依据决定对该连接是接受还是拒绝检查引擎维护一个动态的状态信息表并对后续的数据包进行检查一旦发现任何连接的参数有意外的变化，该连接就被中止这种技术提供了高度安全的解决方案，同时也具有较好的性能、适应性和可扩展性状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持（如从HTTP连接中抽取出Java Applets或ActiveX控件等）。

状态检测技术最适合提供对UDP协议的有限支持它将所有通过防火墙的UDP分组均视为一个虚拟连接，当反向应答分组送达时就认为一个虚拟连接已经建立每个虚拟连接都具有一定的生存期，较长时间没有数据传送的连接将被中止状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，他们不仅仅检测“to”或“from”的地址，而且也不要求每个被访问的应用都有代理状态检测防火墙根据协议、端口及源、目的地址的具体情况决定数据包是否可以通过对于每个安全策略允许的请求，状态检测防火墙启动相应的进程，可以快速地确认符合授权流通标准的数据包，这使得本身的运行非常快速清华得实NetST®硬件防火墙综合了包过滤和应用代理服务器两类防火墙的优点，在提供根据数据包地址或端口进行过滤处理的同时还可实现对常用协议的内容过滤，即具备了包过滤类型防火墙的速度，又具备代理类型防火墙的安全3. 技术指标与支持标准3.1 标准配置防火墙硬件设备指标机箱外型：标准1U工业机箱，可安装于19”机架CPU：Pentium III 733MHz CPU以上内部随机存储器：128MB以上Image存储器：32MB DOM/DOC网络接口：3个10/100Base-TX以太网接口(1个可扩充接口)终端控制接口：RS-232接口LED指示灯：11个（系统指示灯2个，网络指示灯9个）工作温度：10～30摄氏度3.2 支持协议标准HTTP协议：RFC2616，RFC1945FTP协议：RFC959, RFC2640, RFC2228 SMTP协议：RFC821MIME协议：RFC2045－2049POP3协议：RFC1939，RFC1957，RFC24493.3 防火墙引擎技术指标支持协议：TCP/IP族内的各种协议，如IP、TCP、UDP、IMCP、IGMP等。

NAT（网络地址转换）方法：支持静态NAT（多对多，多对一，一对一）、动态NAT（IP伪装）等系统安全防范：拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop等）、端口扫描、IP欺骗、流量限制、用户认证、IP与MAC绑定3.4 执行标准GB/T 18019-1999 包过滤防火墙安全技术要求3.5 认证注册号公安部销售许可证号：XKC331294. NetST®防火墙的系统特点NetST®防火。