传统的网络安全策略模型包括加密、认证、访问控制、审计和日志等方面但这些都是比较孤立地分散在整个网络范围之内大部分工作由参与通信的双方来完成这样便加重了客户机的负担。

　　而在现在的计算模式中客户端日趋简单比如和即是这种“瘦客户机”的典型代表它们反映了一种流向。在这种情况下由客户机处理加密、认证等计算密集型的应用对于客户机来说是一个比较大的负担并且这种分散的安全模式使整个网络没有进行统一安全控制的能力。客户机各自为政的后果就是增加了网络的管理难度和安全隐患使一个完整的网络安全策略不能得到全面的实施。因此,有必要在传统的网络安全策略模型的基础上结合现有的网络安全技术对其进行改进。

　　2防火墙技术比较与安全策略

　　21传统的防火墙技术比较

　　防火墙技术作为网络安全策略的一个组成部分,在网络安全管理中得到了广泛的应用。目前防火墙技术可以分为两大类:一类是网络层实现的屏蔽路由器;另一类是在应用层实现的代理服务器。

　　屏蔽路由器代理型防火墙

　　1网络层网关可以由硬件实现,具有1代理服务器能够检查应用协议信息,包括包较高的性能的内容

　　2网络层网关对用户透明,用户感知2代理服务器可以提供用户级的身份认证

　　不到它的存在3代理服务器可以进行日志记录、报警和帐号优点3网络层网关适用于一切应用协议管理,因此可以对网络上的可疑行为进行记录4可以根据网络管理员掌握的情况,411可以针对某一具体的协议进行访问控制,因动态调整访问控制表此,它不妨碍其它协议的正常执行

　　5在原有网络上加入报文过滤功能几乎不需要任务费用

　　1只能根据IP报文进行访问控制,1代理服务器需要针对每一个应用开发一个而不能对用户进行身份认证,安全性代理,增加了管理上的复杂度和开发上的难度相对较低2代理服务器的使用,对于通信的性能和效率

　　2不具备进行日志记录和审计、报警有较大的影响等高级安全功能3由于代理是位于应用层的,用户可以感知到

　　3要对所有通过路由器的报文进行它的存在,只有在采取了一定的步骤之后,才不足检查,势必会对网络的性能造成一定能顺利通过防火墙影响

　　4规则表很快会变得很大而且很复杂,规则的正确性、一致性很难进行测试和形式化的证明,随着表的增大和复杂性的增加,规则结构出现漏洞的可能性也会增加基于上述两种防火墙的优缺点,目前防火墙的发展趋势是混合型防火墙,这种防火墙由包过滤和应用代理防火墙共同组成,通过合理的安全策略和配置,取长补短,成为保障网络安全的重要技术途径。

　　22基于代理防火墙的Internet安全策略模型

　　基于对传统防火墙和网络安全技术的深入分析,我们认为代理网关防火墙适于对网络进行集中的安全访问控制,基于代理网关的Internet安全策略模型有较强的安全性,完全可以成为保障内部私有网络的有力工具。但是,目前的代理服务器普遍存在以下两个不足:

　　(1)单点失效问题防火墙作为网络的访问控制点,一旦本身出现安全漏洞或硬件

　　(2)效率问题代理型防火墙是工作在应用层之上,要处理所有的网络通信,其效率必然受到影响,这对目前国内通信速度仍是瓶颈的现实来说,是个很大的障碍。

　　为了更好地解决这两个问题,使代理服务器能够更加完善,我们开发和设计了HTTP代理防火墙工具。

　　3 HTTP代理防火墙工具

　　31 HTTP代理防火墙工具的主要设计思想针对传统策略模型的不足,HTTP代理作了如下考虑:

　　(1)解决单点失效问题HTTP代理防火墙可以和包过滤路由器结合在一起组成复合型防火墙使用。在这种模型中,有两个HTTP代理和一个屏蔽路由器,代理都具有两个网卡,因此内部网分成三个部分:内部网、私有网和外围网。外围网由屏蔽路由器和一个代理构成,形成外部“停火区”DM Z。内部网可以在外围DM Z上开放一些公共服务,如匿名FTP服务、WWW服务等。私有网位于内部网和外围网之间,可以把内部网上的一些安全性要求较弱的主机连接到私有网上。把一些保存有敏感信息的主机隐藏在内部代理主机之后,私有网可以作为第二缓冲,这样网络的安全特性分布到多个网络单元中,内部网络有了更高的安全保护。此外,还可以在关键的硬件和软件上,实现一定程度的冗余。为了增强防火墙代理本身的安全性,HTTP代理使用安全性最佳的Java语言编写,运行于W indow s N T平台之上,由于Java的平台无关性,可以很容易地移植到UN IX上。

　　(2)解决效率问题为了解决效率问题,除了进行合理的配置之外,HTTP代理使用高速缓存来提高用户的请求反应速度,这是目前大多数防火墙产品所不具备的。

　　3 HTTP代理防火墙的体系结构

　　HTTP代理是建立在应用层上的代理服务器防火墙,可以针对某一具体的应用来实现访问控制。客户请求通过HTTP代理防火墙代理的过程如图1所示。

　　4 HTTP代理的状态机模型

　　为了更好地说明FreGuard的原理和实现,我们给出HTTP代理的状态机模型。

　　HTTP代理主要由守护进程、代理、高速缓存管理、用户身份验证、日志、计费、远程管理等7个模块组成。HTTP代理防火墙工具的有限状态机模型如图2所示。

　　图中各数字含义为:①客户向守护进程发出访问w eb站点的请求;②守护进程监听8080端口,等待客户发出的请求;③守护进程接到客户请求,启动一个代理线程,对用户的请求进行处理;④代理进行配置文件匹配后对用户进行身份验证,于是向身份验证服务器发出请求;⑤身份验证之后,检索高速缓存;⑥代理直接在高速缓存中检查;⑦未在高速缓存中发现客户需要的文件,于是向w eb服务器发起连接请求;⑧获取客户需要的目标之后返给客户;⑨用用户检索到的文件更新高速缓存Harehttphttp::C,wwwwwwSiyan..ncsacheckpointK Internet;κFirewall直接从高andN etworkSecurity速缓存中提取用户的目标,然后

　　返还客户;结束,关闭连接;图2 HTTP代理的模块之间的状态转换图身份验证失败,拒绝客户连接请求;把验证结果写入日志;把拒绝服务的访问写入日志;结束代理线程;记录合法客户的访问情况;通过检查返还给客户的数据的数据量来进行计费;代理拒绝服务;向客户发出拒绝信息;高速缓存的自我更新;与w eb服务器连接失败。

　　5结束语

　　因为防火墙是一种被动防御性的网络安全工具,所以,它一定是一个根据网络安全内容的变化不断更新的开放式系统,而现在的HTTP代理还仅仅是一个原型系统,离最终完善并达到实用还有很长的一段路要走。