淮北师范大学
网络安全方案课程设计
电力局网络安全系统
学院: 计算机科学与技术学院
2012年11月 8日
目 录
目 录 .................................................................................................. 2
概述 .................................................................................................... 3
一、 欧斯电力局网络安全系统分析 . ...................................... 3
二、网络威胁、风险分析 .......................................................... 6
三、安全系统建设原则 .............................................................. 7
四、网络安全总体设计 .............................................................. 8
五、安全设备要求 .................................................................... 12
六、技术支持与服务 ................................................................ 13
电力局网络安全系统方案
概述:
近几年来,Internet 技术日趋成熟,众所周知,作为全球使用范围最大的信息网,Internet 自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet 自身安全受到严重威胁,与它有关的安全事故屡有发生。网络安全的威胁主要表现在:非授权访问,破坏数据完整性,物理传输介质的失密,利用网络传播病毒,拒绝服务攻击等方面。
本文就网上收集的欧斯电力局案例分析电力局网络安全方案。设计方案主要由防火墙技术、漏洞扫描技术、防病毒技术以及其他技术(如数据加密、数据备份、访问控制)相结合设计而成。
一、 欧斯电力局网络安全系统分析
1. 网络现状
通过多年的建设,电力局计算机网络系统已初据规模,从网络拓扑结构来看,电力局计算机信息系统网络是以市局信息中心的Catalyst 6509为中心,向外星型辐射的网络。
(1)通过光纤千兆网与调度大楼、办公大楼和供电发展大厦的Catalyst 2948G相连,构成市局直属科室和单位的骨干网络。
(2)局大院、南坑生产基地的各个班组楼通过光纤与上述3栋楼的2948交换机连接,实现10/100M的第三级联接。
(3)对于下属的各供电所、220KV 变电站,通过采用电信的帧中继网络、自建的SDH 光纤网络以及基于模拟电话线路的HDSL ,接入市局,并采用联通的DDN 为下属斗门局提供接入,构成下属县局、供电所、变电站的广域接入网络,其设备主要采用Cisco 路由器。
(4)通过E1线路向上接入省局,与全省各地市电力网络实现互连, 并通过省局Internet 出口接入Internet 。
(5) 通过拨号接入路由器,为远程移动办公用户和没有固定数据线路连接的下属单位 提供拨号接入。
(6) 调度实时监控网通过1台CISCO PIX防火墙与调度楼一2948交换机与局管理网相连。
详细的接入情况为:
2. 应用现状
欧斯电力局目前已投入运行的应用系统主要有:
(1) OAK办公自动化系统:由两台运行于Windows NT 4.0上的互为群集的Lotus Notes
4.6组成,该系统为欧斯电力局所有用户提供办公自动化服务,主要是作为欧斯电力局系统内部电子邮件的传送、公文流转的管理和文件传输等服务,提供给欧斯电力局内部网络、远程分支机构和移动办公用户访问。但服务器必须开放给省局和兄弟局访问。
(2)用电MIS 系统:由两台互为备份的运行于Windows NT 4.0上的Oracle 7.3数据库服务器和一台Windows NT 4.0文件服务器组成,该系统主要为欧斯电力局经营部门提供服务。
(3)生产MIS 系统:由一台运行于Windows NT 4.0上的Oracle 8.0数据库服务器和一台Windows NT 4.0文件服务器组成,该系统主要为欧斯电力局生产部门提供服务。
(4)客户服务系统:通过Internet 对外发布信息,并提供用户查询、投诉和故障处理反馈等,该系统既可供省局和Internet 上的用户访问,也供局内部用户访问。由一台运行于Windows NT 4.0上的Oracle 8.0数据库服务器、一台Windows NT 4.0应用程序和文件服务器、一台运行于Windows NT 4.0上的Oracle 8.0 Web服务器、一台运行于Windows NT 4.0上CTI 排队管理服务器、一台运行于Windows NT 4.0上的IVR 自动语音回复服务器组成。
(5)财务核算系统:由一台运行于Windows NT 4.0上的SQL Server数据库服务器构成,供局内部特定合法用户访问。
(6)气象预报系统:由一台运行于Windows NT 4.0上的IIS Web 服务器构成,它通过拨号到气象局获取气象数据。
在建系统还有用电分析、综合查询系统、计划管理、物资管理、安监管理、人事管理,将建系统有配电GIS ,这些系统都只供局内部用户访问。
另外,内部网络用户要通过省局访问Internet ,进行浏览网页、收发邮件、下载文件等。
内部局域网主要服务器有Notes 服务器、生产MIS 服务器、用电MIS 服务器和拨号认证服务器等等。随着局MIS 小型机的购置具体系统的服务器平台将有所变化 。
依据应用需求,欧斯电力局计算机局域网按IP 地址进行了VLAN 划分,各个VLAN 划分情况和服务器IP 所属VLAN 情况为:
VLAN1: CISCO 6509和2948等主干交换机的网络管理IP ,OAK 系统服务器、气象服务WEB 服务器、网管工作站IP 。
VLAN2: 财务科所有电脑及财务核算系统服务器IP 。
VLAN3: 用电部本部、农电公司本部所有电脑、用电MIS 各服务器、客服系统各服务器IP ,供电所远程接入路由器以太口IP 。
VLAN4: 局机关(局办、人事科、策划部、团委、党办、工会、保卫科、基建科、物资科、审计科)电脑IP 。
VLAN5: 生产部门(调度所、生技科、安监科、配电部、变电工区、输电工区)电脑、生产MIS 服务器,CISCO 3640路由器以太口IP 。
VLAN6: 集团公司(设计院、物资公司、电建公司、输电公司、威翰公司、电缆公司、配电公司)所有IP 。
3. 安全现状
除了计算机信息系统中固有的安全措施外,欧斯电力局目前额外采用的安全控制系统主要有:
(1)接入省局和Internet 处的PIX 520防火墙系统。
(2)为拨号接入用户提供身份认证服务的CiscoSecure 认证、授权和审计系统。
(3)办公自动化系统OA 服务器上安装了Norton 防病毒系统。
(4)采用PIX 防火墙将调度网络和办公管理网隔离。
二、网络威胁、风险分析
1. 互联网安全隐患
中国互联网应用目前越来越广泛,网络安全始终是一个问题。安全没保障,很多人不敢把自己重要的内容放在网络上。去年互联网上病毒猖獗,据统计约有1.2万种病毒问世。英国一家权威机构对各国网络发展做了分类统计,把世界各国相应分成四类,在网络发展速度方面,中国列入第二类,而在网络安全和信息保障、信息安全保护方面,中国则排在第四类。我国计算机网络入侵防范中心首席科学家许榕生教授认为, 这是我国对网络发展的理解和判断力有问题而造成的, 这个问题如解决不好,我国的互联网将畸形发展。中国应把安全置于中国互联网发展的一个重要位置,
据2002年1月15日最新发布的中国互联网络发展状况统计报告显示,超过六成的中国互联网用户的计算机过去一年曾被入侵过,中国网络安全依然存在重大隐患。这个报告就网络安全问题专门做了调查。调查显示,有百分之六十三点三的用户在过去一年内遭遇过计算机被入侵的情况。对网络安全状况表示不满的用户有四分之一。
与此同时,网民对网络安全的重视程度也有提升:有七成多的用户在电脑里加装防病毒软件;超过六成的用户使用防火墙;近三成的用户为密码加密。但也有百分之八点五的用户对安全措施不清楚或什么措施都不采用,有百分之五十四的电子邮箱用户从来不换密码。
据此,国内网络安全专家均认为,目前中国网络系统其实非常脆弱,提高计算机网络可靠性和安全性应该成为互联网用户的当务之急。相关资料显示,美国在网络安全投入方面,占整个网络建设的15%~20%,而中国还不到1%。9.11事件发生后,美国国防部网络中断8小时以后就逐渐开始恢复运转,他们对安全数据备份的重视这时候显现了作用。而我国在这方面的建设还极其薄弱。
国内网络安全专家尤其提醒政府机关和企业要关注网络信息安全问题,否则根本无法对付各种电脑病毒和突发事件。据称中国科学院目前正在研制可以记录计算机被入侵状况和反映计算机安全状况的高科技产品。
2. 内部网安全隐患
由于欧斯电力局计算机网络体系越来越复杂,应用系统越来越多,特别是客户服务系统WEB 网站建立后,网络用户既有内部用户,也有许多不能直接管理的外部用户。目前内部网络与外部网络通过路由器和一台CISCO PIX520防火墙相连,CISCO PIX520防火墙直接承担对外部用户的访问控制工作,这显然是远远不够的,整个网络的安全存在
着巨大的安全隐患,主要有:
(1)未授权访问:外部网络或内部网络用户没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
(2)破坏数据完整性:外部网络或内部网络用户以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用内部网络和外部网络之间的连接:
(3)拒绝服务攻击:不可信任的外部网络或内部网络非法用户可能不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
(4)利用网络传播病毒:通过网络传送的病毒和Internet 的电子邮件夹带的病毒,如果网络系统没有有效的病毒防范措施和病毒实时检测工具,网络系统不能实时监控网络病毒和对网络病毒作出实时的响应。非法用户可能利用网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范,对网络系统造成的损失是无法预料的。
(5)物理传输介质的失密:一些别有用心的人利用搭线窃听,获取信息;专线通讯的安全性的相对性。
(6)缺乏有效的手段监视、评估网络系统和操作系统的安全性。
(7)缺乏一套完整的安全策略、监控和防范技术手段。
(8)缺乏一套完整的网络数据备份、灾难恢复手段。
三、安全系统建设原则
在进行计算机网络安全设计、规划时,应遵循以下原则:
1.需求、风险、代价平衡分析的原则
对任一网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本、被保护信息的价值必须平衡,价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。
2.综合性、整体性原则
运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、
软件、数据等环节。它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。
3.一致性原则
这主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设之初就考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少得多。
4.易操作性原则
安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,采用的措施不能影响系统正常运行。
5.适应性、灵活性原则
安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。
6.多重保护原则
任何安全保护措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
四、网络安全总体设计
1. 总体目标
保密性:保证非授权操作不能获取保护信息或计算机资源。
完整性:保证非授权操作不能修改数据。
有效性:保证数据不受非授权操作的破坏。
2. 总体设计重点考虑方向
(1)合理配置系统
要完成企业内部网的各种操作,就需要操作系统来协助我们完成对关键数据的存取控制和用户的认证等工作,所以,操作系统的安全性能是网络系统的安全基础。遗憾的是,我们通常所用的操作系统本身并不是非常安全的。这种不安全性有的是先天的,比如Windows 的安全性能设计得比较薄弱。但是安全漏洞更多的是由于管理和配置不善导致的。因此,我们的安全措施对于不同的情况应给予不同的策略,比如说对于Windows 9x系统,可以利用附加程序增强其安全特性,对于系统的安全漏洞则利用补丁程序来弥补。
(2)集中用户管理
由于企业IT 人员的高流动性. 用户以其帐号将存在于多个不同服务器中,给系统管理人员带来较高的负担,需要对不同类型的多个服务器进行管理控制,有可能人员流动
后,其中某一项服务的帐号与权限未能及时回收,可能带来严重的隐患, 因为80%的网络安全问题是由内部人员的所带来的。因此系统需要有一套能对用户帐号及权限进行集中管理控制的机制。
(3)评估网络安全
一般的操作系统都有身份认证与访问控制系统,但如何去配置日益复杂的网络环境,如用户认证密码是否容易被别人获取破解;系统资源的各个对象的访问权限是否设置正确;系统的各种服务是否存在有漏洞等。通过网络扫描,可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级,更正网络系统中的错误配置。
(4)控制非法访问
TCP/IP的灵活设计和INTERNET 的普遍应用为网络黑客技术的发展提供了基础, 黑客技术很容易被别有用心或喜欢炫耀的人们掌握,由此黑客数量剧增。加之网络连接点多面广,客观上为黑客的入侵提供了较多的切入点。本着经济、高效的原则,有必要将关键主机和关键网段用防火墙隔离,以实现对系统的访问控制和安全的集中管理。外部网络不能直接对内部网络进行访问,对内部资源的访问需经过防火墙的监控,并且只能到达指定的访问目的地。
(5)加密传输数据
网上的业务数据传输安全性要求很高,而数据流经的物理路径环节又较多,数据在存储和传输过程中极有可能被盗用、暴露、假冒和篡改,因此必须采取有效的数据加密措施,鉴别和监督合法用户的操作,防止对敏感数据的非法访问、使用、修改和破坏。
(6)监控网络入侵
利用防火墙通常能够在内外网之间提供安全保护,降低了网络安全风险,但是,如果入侵者可寻找防火墙背后可能敞开的后门,或者入侵者就在防火墙内,特别是内部用户,具有易于接近物理介质、熟悉网络拓扑、了解公司的安全策略、易于获取口令等特点,因此在网络内部发动入侵、攻击、破坏、盗窃、滥用等更容易得逞。采用入侵检测系统,可提供实时的入侵检测及采取相应的防护手段,如记录入侵证据、断开网络连接等。
(7)防止病毒侵害
由于Internet 的迅速发展,将文件附加在电子邮件中的能力不断提高以及世界对计算机的依赖程度不断提高,使得病毒的扩散速度也急骤提高,受感染的范围越来越广,据NCSA 调查,在1994年中,只有约20%的企业受到过病毒的攻击,但是在1998年
中,就有约99.3%的企业受到病毒的攻击,而且感染方式也由主要从软盘介质感染转到了从网络服务器或Internet 感染。为了企业的信息财产免受损失,需尽快建设全面的主动病毒防护体系,在每台单机,服务器上都要有常驻内存的反病毒软件并必需集中统一管理,在Internet 网关上要安装基于Internet 网关的病毒防火墙以防止病毒从Internet 上对企业内部网络的感染。对邮件服务器安装邮件系统的防病毒软件以阻止病毒通过附件等方式传播扩散,安装集中的管理更新系统以保持对网络病毒状况的随时监控和随时更新调整。只有作到把病毒传播,滋生的渠道完全堵死并不断维护,才能保证系统的真正安全。
(8)备份关键数据
随着网络的普及与愈趋复杂的跨平台应用环境,身为企业的网络管理者,所面对的挑战是急剧膨胀的数据量, 越来越复杂的数据类型、二十四小时不停运转的关键任务数据库, 而每天可以提供给备份工作的时间却越来越短。企业长时间所建立起的资料,突然因无法预测的系统宕机、硬盘损坏或病毒侵害等灾难,在一时之间毀于一旦,损失难以估量。如何做到有效的数据保存,是企业刻不容缓的议题。对企业而言,不论是天灾或是人为疏忽所造成数据损失,对企业造成的冲击及财务损失就是一场可怕的灾难。防止这些灾难, 最佳的解决之道便是事先做好数据备份,并做好灾难恢复计划。
(9)排除故障隐患
为加强业务经营管理、保证网络通畅、及时发现和解决系统及网络问题,变被动管理为主动管理,可通过对网络设备和网络流量的实施监控和分析,在系统出现性能抖动或响应时间过长时,就能及时发现问题,并建议系统管理员采用及时的处理,预防问题的发生;通过对线路和其他系统进行透视化管理,利用管理系统提供的专家系统对系统的性能进行优化,提供整体网络运行的健康以及趋势分析。
(10)加强安全培训
制定和不断完善管理制度,对系统管理人员加强培训,提高安全意识和防范能力。
3. 设计重点
首先,我们分析一下现行计算机网络系统的安全性:
(1)操作系统及应用程序的安全性
一般操作系统均有用户身份识别与权限访问控制等安全措施,但对网络资源缺乏 有效的控制,况且有了安全控制机制与制定了行之有效的安全策略是两回事,如用户 的密码是否定期更新了,密码是否容易被攻击,网络服务的权限是否被有效控制等; 操作系统本身都或多或少存在漏洞,也成为被利用的对象。另外,许多应用服务系统 在访问控制及安全通讯方面考虑较少,如果系统设置错误,很容易造成损失;同时对
付恶意攻击方面也显得束手无策。
(2)网络及其所采用的协议族的安全性
TCP/IP的灵活设计和INTERNET 的普遍应用为网络黑客技术的发展提供了基础,
由于目前采用的通信协议大都未考虑安全性,对信息的完整性也考虑得不够,加之黑
客技术很容易被别有用心或喜欢炫耀的人们掌握,通过一定的手段如“窥探”等即可
得到通讯的信息内容。
(3)网络病毒、蠕虫、木马的安全威胁
由于Internet 的迅快发展,将文件附加在电子邮件中的能力不断提高以及世界对
计算机的依赖程度不断提高,使得病毒的扩散速度也急骤提高,受感染的范围越来越
广,据NCSA 调查,在1994年中,只有约20%的企业受到过病毒的攻击,但是在1997
年中,就有约99.3%的企业受到病毒的攻击,而且感染方式也由主要从软盘介质感染
转到了从网络服务器或Internet 感染,在1996年只有21%的病毒是通过电子邮件、
服务器或Internet 下载来感染的,但到1997年,这一比例就达到52%,1999年,超
过80%。
(4)网络安全产品自身的安全性
防病毒产品是否能实时、有效地阻止现有各种病毒,病毒特征码库是否能及时地
更新,有无网关防病毒产品;防火墙产品的实现本身是否存在安全漏洞,防火墙的安
全策略配置是否有问题等都成为网络安全要考虑的范畴。
4.设计的主要内容
(1)网络运行环境:包括机房、设备间、配线间和电源供电
(2)网络系统:包括网络传输设备和网络设备
(3)网络操作系统:当前主流操作系统有Windows 操作系统、NetWare 操作系统、UNIX
操作系统和Linux 操作系统
(4)网络应用软件开发与运行环境:包括网络数据库安全系统、网络软件开发工具和网
络应用系统
(5)网络管理与网络安全系统:为处理各类信息的计算机系统提供一个性能良好和安全
的通信环境
5. 设计结果图
1. 根据欧斯电力的网络结构和对病毒来源的分析,欧斯电力病毒防护系统由五部分
组成:
(1)INTERNET 病毒防护:主要针对Internet EMAIL 、Internet Download(信息下载) 等集中进行病毒扫描。对邮件的附件、下载信息进行病毒过滤;
(2)服务器病毒防护:对各种服务器进行病毒扫描和清除,集中报警;
(3)客户端病毒防护:针对各种桌面操作系统,进行病毒扫描和清除;
(4)单机(包括笔记本电脑)病毒防护;
(5)Domino 服务器病毒防护:对Domino 服务器、Domino 数据库等的病毒扫描和清除,和Notes 管理无缝地集成到一起;
2. 多层防范结构
NAI 公司的AVD 套件包含了企业网防病毒所需的所有组件模块, 产品由以下几部分组成:
(1)桌面防病毒模块VirusScan
(2)服务器防病毒模块Netshield
(3)邮件防病毒模块Groupshield
(4)网关防病毒模块Webshield
(5)防病毒系统网管控制台EPO
EPO 是整个防病毒系统的控制中心,可以为客户端远程分发安装相应的防病毒模块,并可为之远程升级病毒特征代码库、病毒扫描引擎,配置病毒扫描策略,搜集客户端的报警信息,实现全网防病毒的统一管理和控制。
五、安全设备要求
安全产品至少应包含以下功能:
访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达
攻击目标之前;
漏洞检查:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数
攻击无效;
攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻
击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源
等);
加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息;
身份认证:良好的认证体系可防止攻击者假冒合法用户;
备份和恢复:良好的备份和恢复机制,必要时尽快地恢复数据和系统服务;
多层立体防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标;
隐藏内部信息:使攻击者不能了解系统内的基本情况;
设立安全监控中心:为信息系统提供安全体系管理、监控,保护及紧急情况服务。
六、技术支持与服务
1. 数据加密技术
数据加密技术是信息安全领域的一种基本实用且非常重要的技术。数据加密技术主要分对称密钥技术(如DES 算法)和非对称密钥技术(也叫公开密钥技术,如RAS 算法)。根据电力局的各种信息安全等级,用不同的加密技术进行加密,是窃取数据的成本高于数据本身价值,这样能有效防止数据被盗。
2. 网络安全控制技术
访问控制可以防止未经授权的用户非法使用系统资源。访问控制是通过对访问者的有关信息进行检查来限制或禁止访问者使用资源的技术。
当前,网络安全控制技术主要包括:身份认证、存取控制、数据完整性、防止否认、防火墙技术,这些技术都是基于计算机网络开展的,涉及业务信息安全的主要技术,应根据电力企业业务系统性质、任务,制定最优控制策略。
3. 防病毒技术
计算机病毒已经向网络化、多态化、灾难化发展,在省公司及区域电网建立计算机网络防病毒中心,实施网络化管理。
4. 防黑客攻击技术
“黑客”主要针对信息系统网络和主机存在的一些漏洞进行攻击。按其计算机应用环
境及业务重要程度制定防黑客攻击措施,重点检测系统信息安全漏洞,及时解决,特别重要的系统(如电力实时运行控制系统)应采用物理隔离措施。同时可以设置入侵检测系统加强对系统信息的保护。
5. 安全恢复技术
采用多种备份措施,按其重要程度确定数据备份等级,配置数据备份措施(如:完全备份、增量备份和差异备份等),建立省级和区域数据备份中心,采用先进灾难恢复技术,保证信息系统可靠性和数据重要性。
6. 安全漏洞扫描技术
安全扫描是网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。在网络安全体系的建设中,安全扫描工具花费低、效果好、见效快、与网络的运行相对对立、安装运行简单,可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定。
7. 防火墙技术
防火墙是目前主要的网络安全设备。防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。
(1)包过滤
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP 端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
使用包过滤技术时,要特别注意一般应用的数据通信大多都是双向的,在设置过滤规则时必须予以考虑。
(2)状态检测
与包过滤相类似的、更为有效的安全控制方法是状态检测。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的
后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。
此外,部分状态检测型防火墙还支持多种用户认证方式,提供了应用级的安全认证手段,增加了某些应用的代理功能,使得安全控制力度更为细致。
(3)代理服务
代理服务是运行于内部网络与外部网络之间的主机(堡垒主机)之上的一种应用。当用户需要访问代理服务器另一侧主机时,对符合安全规则的连接,代理服务器会代替主机响应,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。对于用户而言,似乎是直接与外部网络相连的,代理服务器对用户透明。由于代理机制完全阻断了内部网络与外部网络的直接联系,保证了内部网络拓扑结构等重要信息被限制在代理网关内侧,不会外泄,从而减少了黑客攻击时所需的必要信息。
代理服务器的应用也受到诸多限制。首先是当一项新的应用加入时,如果代理服务程序不予支持,则此应用不能使用。解决的方法之一是自行编制特定服务的代理服务程序,但工作量大,而且技术水平要求很高,一般的应用单位无法完成。其次是处理性能远不及状态检测高,但代理服务型防火墙的安全特性远远高于包过滤型防火墙。