关键词 Intranet Extranet 防火墙
1 前言
Internet起源于60年代末美国国防部的ARPA网,最初,ARPA网上使用的协议称为网络控制协议(NCP)。70年代中期,为完善网络的性能,ARPA网将NCP过渡到TCP/IP,各大计算机厂商竞相支持TCP/IP,使TCP/IP成为网络互连实际的工业标准。ARPA网采用TCP/IP后,利用称为网关的网络设备实现了网际连接,形成了“网中之网”,即Internet(因特网)。鉴于ARPA网的成功,美国国家科学基金会采用TCP/IP建立了NSFNET网,并代替ARPA网成为Internet的主干网。
总之,确切地讲,Internet是一个“虚拟”网络,因为它是“网中之网”,是由采用TCP/IP协议的各个不同的物理网络相互连接起来的网络,随着加入Internet的网络数目及主机数目的不断增加,特别是WWW的应用,使Interent发展尤为迅猛,用户数剧增,目前联网主机近2 000万台,据预测,到2000年,用户可达2.5亿。
近几年来,IT行业又出现了两个新的名词:Intranet和Extranet。
Intranet指采用Internet技术和设备建立的企业(社团)内部网,或者说是专用网,其使用范围限于企业内部(也可以是企业集团内部)。Extranet指采用Internet技术和设备建立的企业(社团)外延网,是Intranet的一部分或Intranet的延伸,其使用范围除企业内部外,还扩大到特定的企业外部,如商业伙伴甚至客户。
Intranet/Extranet是基于Internet的新的应用,是现代企业网发展的客观需要,也是网络发展的必然趋势。
2 Intranet/Extranet的特点和应用
Intranet的特点:
(1)服务对象是企业的内部机构和人员,目的是实现企业内部的信息交流和共享,包括获取信息和提供信息,还可与数据库服务器连接,支持企业的决策支持系统。
(2)采用基于Internet技术和基于Web的应用系统,E-mail等是其使用的基本工具。
(3)可从传统企业网发展到Intranet,原有资源可继续利用。
(4)建设Intranet周期短,规模有伸缩性。
(5)采用防火墙等强有力的安全措施,防范来自Internet的非法入侵。
(6)支持多媒体应用。
Intranet的应用:
(1)作为企业发布信息的新方式,大大减少了企业用于发布信息的开支和时间,提高了工作效率。
(2)支持分布式计算策略。
(3)提供快速在线支持。
Extranet的特点:
(1)服务对象既不限于企业内部的机构和人员,也不像Internet那样,完全对外开放服务,而是有选择地扩大到与本企业相关联的供应商、代理商和客户等。Extranet是Intranet向外部的延伸,用于有关联企业之间的联结和信息沟通,故有人称之为企业间合作的纽带。
(2)Extranet同样是采用Internet技术和基于Web的应用系统。鉴于其考虑的重点是在保证企业核心数据安全的前提下,扩大对网络的访问范围,使以前只有企业内部人员才能访问的信息资源,也能让商业伙伴甚至客户访问,所以制定特定的应用策略,如在某些情况下,为提高竞争力,甚至可以让外部用户访问优先权高于内部。
(3)像Intranet一样,网络安全仍是关键问题,需要设置防火墙。
(4)Extranet面对三种处理类型:
—— 数据库查询型。企业内部存储的信息(如商品信息、技术资料、技术支持信息、销售信息及客户信息)向外部开放,其主体是WWW提供的信息和条件检索功能的组合。
—— 交易型。企业与交易点进行信息交换(如物资调配、库存信息、购销合同、报价及交货信息等)。
—— 群件型。多个企业形成的共同事业和共同项目开发的处理。
Extranet的应用:
(1)企业信息的发布和维护。
(2)企业间的信息交流和合作,成为实现电子商务的重要媒体。
(3)提供在线帮助和在线支持。
(4)提供客户服务。
(5)产品、项目管理和控制。
下面具体介绍Intranet/Extranet的安全技术。
3 防火墙技术
防火墙(FW)是保护可信网络(如Intranet/Extranet)阻止不可信网络(如Internet)入侵的一种机制,属于访问控制的范畴。防火墙设置在受保护网络(Intranet/Extranet)和公共网络(Internet)之间,但如入侵者设法绕过防火墙,则防火墙形同虚设,所以防火墙不是保证网络安全的唯一途径,而要靠网络安全策略的综合措施来堵截各种安全漏洞。
防火墙通常由过滤器和网关组成,过滤器起封锁某些类型通信量传输的作用,网关是借助于代理应用去转发内部网和外部网之间服务的设备,网关驻留的中间地带称为隔离地带(DMZ)。下面简要介绍几种主要类型的防火墙。
(1)分组过滤器 这是基于IP的防火墙,实际上就是基于路由器的防火墙。按照“拒绝除特殊许可的服务外的所有服务”的原则,防火墙对每个IP分组的分组头进行检查,根据源IP地址、目的IP地址、服务类型及使用协议等做出对IP分组进行滤除或通过的决定。
基于路由器的防火墙的优点是不需另外投资去购置,当前市场上大多数路由器产品除具有路由选择功能外,同时具有分组过滤器的功能。
网络层防火墙的主要缺点之一是容易受到电子欺骗的攻击。所谓电子欺骗是指来自外部网络但使用伪造的内部源IP地址的IP分组,因一般路由器选择路由时只检查每个分组的目的地址,而不检查分组的始发地,所以作为网络层防火墙必须专门检查所有分组的源地址,对来自外部网络而又具有内部源地址的任何分组均予以丢弃。
(2)应用层网关(代理服务)
通过代理应用对内部网与外部网之间的服务进行转发的设备称为应用层网关,为此要在应用层网关上安装代理服务软件,针对特定的应用各个代理模块独立运行,相互无关。安全管理员根据需要,安装相应的代理模块。
应用层网关的工作过程是:先由外部网络客户端与代理服务建立连接,代理服务经过认证后,再与内部网络服务器建立连接,以后,两者经过代理服务转发数据。
应用层网关又称堡垒主机,这是个加固了的主机系统,运行防火墙软件。应用层网关的优点是:内部网与外部网无直接的连接,便于进行全面的访问控制,通过配置访问控制表,决定内部网络和外部网络的哪些用户可使用哪个代理模块连接到哪个目的主机;能采用先进的认证机制,进行严格的身份审查;易于记录工作对象与过程,便于必要时进行审计等。主要缺点是不透明性引起的使用不方便。
(3)复合防火墙
用分组过滤器或应用层网关作为防火墙功能还是有限的,将两者适当组合构成各种复合防火墙能达到更大的安全性,例如屏蔽主机防火墙及屏蔽子网防火墙等。图1是一个典型的防火墙系统(这是高安全性的防火墙)。
图1 典型的高安全性的防火墙
4 Intranet/Extranet的其他安全技术
防火墙是保障Intranet/Extranet安全的重要设施,但仅仅依靠防火墙是不够的,必须要有完整的安全策略,建立全方位的防御体系,而防火墙仅仅是安全策略的一部分。限于篇幅,这里不能详细讨论安全策略的设计,而仅简单介绍其中涉及的安全技术。
(1)访问控制
访问控制即规定或强制允许入网者及出网者。访问控制关键因素是识别现有的全部服务和应用,但分组过滤技术无法处理应用层,而应用代理需占用大量CPU开销,对Internet上的新的服务如多媒体的支持也很慢。而目前应用最广泛的Checkpoint Firewall-1通过采用状态监控技术,结合面向对象的方法,能够提供较好的应用层识别,并且能快速方便地支持Internet上的新的服务。
(2)认证
认证是指验明试图访问网络和系统的用户身份真实性的过程。
(3)加密
利用部分公共网络(Internet)资源构成的专用网(企业内部网)称为虚拟专用网(VPN)。VPN比租用专线构成的专用网费用低、灵活性高,使任何规模的商业企业都能实现全球范围的联通,但连到公用网使企业面临入侵、窃取及篡改的危险,所以要加密。
(4)网络地址转换
Internet技术基于IP协议,每个参与通信的设备必须具有唯一的IP地址。但是Internet上IP地址的资源是有限的,不可能也不必要为Intranet上每个设备分配一个IP地址。IP地址转换完成两项功能:
* 把内部未注册的IP地址转换成Internet网上已注册的合法IP地址。
* 隐藏企业内部IP地址和内部网络,避免遭受黑客的攻击。
(5)内容安全
内容安全能力将数据监控能力扩展到高层服务协议,保护用户免遭各种危害,如计算机病毒、恶意Java Applet或ActiveX等,同时提供对Internet良好的访问控制。内容安全可与其他安全特性集成在一起,并且集中地通过直观的图形用户接口来管理。
(6)连接控制
连接控制就是在提供安全的同时维持网络最优性能的能力,实质上就是负载均衡,在能提供相同服务的多个服务器之间实行负载分担。
(7)操作系统安全
严格的访问控制、强有力的用户认证,以及数据加密能力等手段能保护网络抵御外来的安全威胁。但是,不能解决来自内部用户的安全威胁。
加固的操作系统对防火墙应用提供较大的管理上的安全,并且用于针对操作系统的威胁。加固操作系统通过限制访问重要进程、配置文件等手段,达到保护防火墙的目的。
(8)高可用性
高可用性是在选用和配置防火墙时要注意的关键问题,否则防火墙功能再强,一旦出现系统故障导致防火墙不能工作,内部网与外部网间的通信就中断了,所以必须保证即使防火墙发生系统故障仍能维持通信。在重要场合使用的高可用性防火墙,通常需要配置两台安全服务器,一台作主用网关,另一台作备用网关,在主用网关和备用网关之间配置共享及同步连接信息。
(9)日志、记帐及告警
允许安全管理员监视所选择连接上的记帐数据。根据规则,在每一连接处理后生成记帐日志登记项,除包括信息字段数,还有连接的持续时间,传送的字节数及分组数。当监视连接结束时,生成记帐日志记录。