Intranet与防火墙技术
徐志宇 黄 健
本文从技术与安全角度分析了Intranet和防火墙技术。主要介绍了Intranet的网络互连和交换技术,以及防人墙技术的分类与典型配置。
1 引言
——自Internet由教育和科研领域扩展到商业领域之后,在短短三年里发生了由质到量的变化,在新一代计算机工业中,Internet不再是一个网络的代名词,而已成为以TCP/IP和WWW技术为核心的新兴计算机技术的代名词。Internet的出现及相关技术的发展,特别是WWW技术的发展与普及,对传统办公和生活方式产生了巨大的冲击。
——自从Netscape公司首先把Internet技术应用到其企业内部网,Intranet技术则如雨后春笋般迅猛发展起来。作为企业内部的Internet网,它的突出优点是使用非常方便,并且可与支持Web浏览器的任何硬件平台进行通信。但更令企业主惊喜的是,Intranet可带给企业巨额投资回报。据IDC的调查显示,Intranet的投资回报率大大高于1000%,远远超过从一般技术投资中得到的收益。比高额投资回报更重要的是,接受调查的公司均在6至12周内收回Intranet的成本,因而使投资风险变得极其微小。
2 Intranet概念
——Intranet是企业内部的信息管理和交换的基础设施,它基于Internet通信标准和WWW内容标准(Web技术、游览器、页面、检索工具和HTML等)。Intranet具有廉价、高效、使用极其方便的特点,借助游览器,用户可迅速调用企业内外各种资源。并可方便集成许多其他系统,如电子函件、FTP、BBS、数据库系统以及全新的、基于Web的协作群体系统等。它可提供一个灵活、高效的通信平台,也可作为包括异地机构、合作伙伴、供应商和客户在内的整个企业的HUB。
3 Intranet技术及其特点
——在商业应用和Internet技术发展的双重背景下,Intranet逐渐形成了独立的开发目标和开发标准。
——Intranet的建设主要涉及到以下一些技术:
——(1)网络互连
——Intranet的网络互连继承和采用了Internet的TCP/IP协议网络互连技术。目前TCP/IP已经成为众多异种网络进行互连的主要协议。TCP/IP协议的简单化和标准化使得企业内部的网络互连具有低成本、高效率的特点。Intranet中的任何个人或部门都可轻而易举地实现网络互连,并可进一步实现Internet互连。
——随着Intranet的发展,加在网络上变化的通信量类型需要更大的带宽,要求网络的基础结构发生相应的变化,以适应应用的需求。导致需要更大的带宽主要因素是基于Web的图形信息的性质,急剧增大了网络上的通信量。Intranet的演变产生了传统的“80/20规则”的逆转。正常网络通信量80%应保持在本地,同时20%的通信量通过主干网,并通过WAN。但由于Internet/Intranet的爆炸性增长,通过在运行中带入更多的子网,产生了多达80%的网络通信量通过子网边界的情况,使得“80/20规则”被倒转过来。另外,随着基于Web的应用程序越来越多采用实时多媒体,控制这类网络的能力变得越来越重要。这就需要采用一种新的互连方法,即Intranet交换。
——Intranet交换,通过集成路由器的补充混合物、LAN交换机和ATM来完成信号发送和交换功能,从而扩展了由传统Client/Server、基于路由器的网络所建立的边界。网络路由器由一组能执行Layer3交换功能和精密多模型应用的智能交换机支持,另外还具备已有的Layer2交换能力。交换和路由的网络连接方法的结合,产生出一种能有效地使用可达带宽的方法,这种方法又有助于减少通信量阻塞和等待时间延迟。在传统基于路由器的网络中,路由器被用于分段——一个大的单个网络分成多个较小的片段,通过减少对有限带宽的竞争,提高综合性能。但是随着日益增长的通信量的重担落在路由器上,从而引起网络瓶颈,其解决方案是将Layer2发送从路由器转换到开销更低而性能更高的边缘设备,如交换机。
——现在,由于Intranet的通信量需求又一次开始超过已有的路由器,循环再一次开始,要求交换机中软件迅速升级以满足信息的顺利流通,这一趋势给智能Layer3交换机以生命,它以比现在使用的路由器更快的速度和更低的花费,快速有效地处理各类通信。所有这些铺平了向ATM交换结构平滑转移的道路。
——(2)文件传输
——TCP/IP网络另一个特征就是基于该协议的应用相当丰富。FTP是经常使用的应用之一。网络最早的目的就是用于信息共享,文件传输成了必不可少的服务JTP通过访问远程文件系统,在计算机之间传输文件。在企业内部,FTP可实现应用软件和数据文件的共享。
——(3)电子函件
——电子函件无疑是Internet最实用的通信手段。企业内部网络可以利用电子函件进行人际交流和信息交换。电子函件的使用可以节省传统的电话、传真以及印刷品等传媒所带来的费用。
——(4)Web与数据库技术
——Internet发展最快的技术就是Web技术,如HTML、VRML、CGI、Java等等。Web技术的出现对信息发布和共享具有深远影响。基于Web的信息导航和超文本连接,以及和多媒体技术的结合,使得Web成为Intranet的一个主要表现形式。由于企业管理系统往往都是围绕数据库这一核心技术进行开发和应用的,Intranet在以Internet软件体系为开发基础的同时,也不失时机引入数据库编程按口(如各类CGI、JDBC),以满足企业对数据库的访问。另外,Java技术的出现,使得Intranet用户除了可共享超文本信息、访问数据库,更是可以共享功能日益强大的各类应用。
——(5)用户界面
——Intranet的另一个鲜明特征就是用户界面的简单、直观和友好。由于Web Browser的出现和不断更新版本,Intranet的用户无需更多培训,就可享受不断丰富的使用。
4 Intranet的安全性与防火墙技术
——安全性问题是网络上一个非常重要的问题。网络上一般存在两种安全性问题:一种是各种真正的攻击,无论来自外界还是内部的Hacker(“黑客”)企图侵入并破坏系统;另一种来自软件、硬件和程序过程本身的脆弱性。与过去的PC机/LAN的客户服务器环境相比,Intranet在安全性方面可以说取得了重大进展。因为Intranet模式是将应用程序和数据放在一个集中式网络服务器上,而不是台式PC机中。这样防护一个设有多重保护堡垒的中心服务器要比保护成千上万个分散的服务器和客户机要容易得多。但随着Internet网络规模和信息量的不断扩大,企业和社团网络的急剧增加,Intranet网络上企业和社团的数据遭到偷窃甚至破坏的可能性也随之增加。因为Internet服务给企业提供挖掘和共享Internet资源的条件,而获取巨大收益,同时,也为窃取企业秘密数据的非法用户敞开大门。因而,Intranet安全成为关键问题。防火墙(Firewall)技术就是针对Intranet网的特点而建立的防范措施。
4.1 防火墙的概念
——Internet防火墙是指一种保护措施,它可按照用户事先规定的方案控制信息的流入和流出,监督和控制使用者的操作。使用户可以安全使用网络,并避免受到Hacker的袭击。
——防火墙通常由过滤器和网关等组成,如图1所示。过滤器封锁某些类型的通信量,网关提供中继服务,补偿过滤影响的一个或一组机器。网关留驻的网络经常称为隔离地带(DMZ)。
4.2 防火墙技术的分类
——(1)包过滤技术(IP filtering or packet filtering)这种技术的原理在于监视并过滤网络上流入和流出的IP包,拒绝发送可疑的包,用户可在路由表中设定需要屏蔽或需要保护的源/目的主机的IP地址或端口号,在外来数据包进入企业的内部网络之前,路由器先检测源/远宿主机地址,如地址不符,则将该包滤除。这种防火墙又称为过滤式路由器。路由器作用在IP层,只在企业网络与Internet采用直接IP连接的情况下才采用。而且因为它只检测数据包的IP地址,一旦破坏者突破此防线便可为所欲为。所以在安全性要求较高的场合,通常还需要配合其它技术来加强安全性。
——(2)应用网关技术(Application gateway)
——该技术又称为双主机技术(Dual Homed Host),结构如图2所示,采用主机取代路由器执行控管功能。主机是内外网络连接的桥梁,是内外联系的唯一途径,起着网关的作用,也被成为Bastion Host(堡垒主机)。在应用网关上运行应用代理程序(Application Proxy),一方面代替原服务器程序,与客户程序建立连接,另一方面代替客户程序,与原服务器建立连接,使合法用户可以通过应用网关安全地使用Internet,而对非法用户不予理睬。常用的代理程序有WWW proxy,E-mail proxy等。与包过滤技术相比,应用网关技术更加灵活;由于作用在用户层,因此能执行更细致的检查工作。但软件开销大,管理和维护比较复杂。
——其他常用的安全机制还有身份验证(Authentication)、访问控制(Access Control)、加密(Encryption)、日志(Log)、报警(Alert)等。
4.3 防火墙的设置
——典型的Internet/Intranet防火墙配置如图3所示。首先,在外部世界和内部网络之间设置一个周边网络,它只是一个小的单段网络,是外部世界和内部网络之间的安全缓冲区,以便既满足内部用户可访问Internet的需要,又不暴露整个内部网络的服务。周边网络上连接作为服务器的堡垒主机,提供安全、有效的服务。因为堡垒主机暴露在Internet之下,它要承受外部攻击的危害,所以配置提供系统安全审计的详细日记、堡垒主机通常都用UNIX操作系统,用作FTP、E-mail或WWW公共服务器。周边网络与外部Internet之间设置了基于路由器的周边防火墙(也称外部防火墙),周边网络与内部网络之间设置了基于路由器的Internet防火墙(也称内部防火墙)。外部防火墙用于保护对堡垒主机的攻击,而内部防火墙则用于防卫受被危害堡垒主机的影响。两者均能保护受攻击的内部网络。
——作为一项保护网络安全的技术,防火墙并不是无懈可击,还有待于不断地完善和改进。企业也并不能因此而放松警惕,因为企业内部网络可以漏洞百出,技术上的不完善、管理疏忽都会造成严重后果。
5 结束语
——Intranet作为自成体系的一项技术,已经形成了自己的开发工具、开发标准和方法。Intranet系统的设计和开发基于成熟的Internet技术,软件开发周期短、系统生命期长。Internet所有的应用系统的性能和可靠性已经在Internet的实际运行中经受考验。从这个意义上说,Intranet避免了许多软硬件投资,最大限度地降低了系统的开发和运行成本,有着极强的生命力,必将成为我国信息高速公路计划中的一辆快车。