NetST技术白皮书.docVIP

1．安全概述 互联网的迅猛发展，给企业带来了革命性的改变，增强了企业获得信息的能力，企业当用户与Internet连接时，可以在中间加入一个或几个中介系统，防止非法入侵者通过网络进行攻击，并提供数据可靠性、完整性的安全和审查控制，这些中间系统就是防火墙（Firewall）。防火墙是设置在被保护网络与外部网络之间的一道屏障，以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况，以此来实现内部网络的安全保护。 防火墙一方面限制数据流通，一方面又允许数据流通，由于不同网络的安全要求和管理机制有差别，这对矛盾也有不同的表现形式。这样就有了两种极端情况：一是除了非允许不可的，其它都被禁止；二是除了非禁止不可的，其它都被允许，而多数防火墙则在两者之间采取折衷措施。在确保网络安全的前提下，应尽提高跨越防火墙的访问效率。 NetST?防火墙——基于状态检测技术的硬件防火墙。 NetST?防火墙采用专用硬件和安全增强内核设计，具有带内带外管理、日志管理、安全策略编辑、安全状态检测等多项强大的安全功能。目前通过国家安全有关部门的安全性评测，并获得公安部颁发的“计算机信息系统安全专用产品销售许可证（XKC33129） NetST?防火墙位于内部网络与外部网络的连接处，对进出内部网络的所有数据进行检查，符合一定的访问控制规则的数据才允许通过，否则要拒绝或修改数据，并能检测出可能的非法内外网络入侵，及时进行处理和记录，保证网络安全。 该防火墙能有效地防止黑客入侵，抵御来自外部网络的攻击，保证内部系统的资料不被盗取，可为电信、邮政、政府、教育、能源、金融、企业等各部门现有的网络提供最有效、最彻底的保安措施。 2．Internet防火墙技术：概述 防火墙（Firewall）是用一个或一组网络设备（计算机系统或路由器等），在两个或多个网络间加强访问控制，以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示为：防火墙=过滤器+安全策略（+网关），它是一种非常有效的网络安全技术。在Internet上，通过它来隔离风险区域（即Internet或有一定风险的网络）与安全区域（内部网，如Intranet）的连接，但不妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据，从而完成仅让安全、核准的信息进入，同时又抵制对企业构成威胁的数据进入的任务。通常，防火墙服务于以下几个目的： 限制他人进入内部网络，过滤掉不安全服务和非法用户； 限定人们访问特殊站点； 为监视Internet安全提供方便。 由于防火墙是一种被动技术，它假设了网络边界和服务，因此，对内部的非法访问难以有效地控制。因此，防火墙适合于相对独立的网络，例如Intranet等种类相对集中的网络。防火墙的主要技术类型包括网络级数据包过滤（Network-level Packet Filter）应用代理服务（Application-level Proxy Server）。2.1 包过滤防火墙 数据包过滤（Packet Filtering）技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表（Access Control Table）。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 图1 包过滤防火墙的实现机制 数据包过滤防火墙的优点是逻辑简单、成本低、易于安装和使用，网络性能和透明度好。它通常安装在路由器上，内部网络与Internet连接，必须通过路由器，因此在原有网络上增加这类防火墙，几乎不需要任何额外的费用。 ——这类防火墙的缺点是很难准确地设置包过滤器，缺乏用户级的授权；数据包的源地址、目的地址以及IP端口号都在数据包的头部，很有可能被冒充或窃取，而非法访问一旦突破防火墙，即可对主机上的系统和配置进行攻击。 /IP服务的正常运行，根据IP地址控制用户的网络访问。网络层在ISO的体系层次中处于较低的层次，因而其安全防护也是较低级的，并且不易使用和管理。网络层的安全防护是面向IP空间的。 2.2 应用层网关——应用层网关（Application Level Gateways）技术是在网络的应用层上实现协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、记录和统计，形成报告。实际的应用网关通常安装在专用工作站系统上，其实现机制如图2所示。 应用层网关防火墙和数据包过滤有一个共同的特点，就是它们仅仅依靠特定的逻辑来判断是否允许数据包通过。一旦符合条件，防火墙内外的计算机系统便可以建立直接联系，外部的用户便有可能直接了解到防火墙内部的网络结构和运行状态，这大大