互聯網流控防火墻系統的分析及應用探討

【摘要】根據國家在“十一·五規劃”中明確提出計算機網絡、通信網絡、廣電網絡實現“三網融合”的總體要求，河南有線電視網絡集團對原有的HFC網絡進行大規模網絡改造，逐步開展全新的數字電視業務以及豐富的增值業務，向三網融合的下一代有線電視網絡（NGCN）過渡。

【關鍵詞】三網融合；數字電視業務；運營網絡；NGCN

河南有線網絡集團正在建設一個基于IP的高帶寬、高可靠性、可運營管理、具備多種業務綜合承載能力和擴展性的電信級骨干數據網絡，該網絡主要用以開展以IP業務為主的雙向業務，包括互聯網、VOD、IP電話、專網等業務。為了規避運營商出口故障所帶來的網絡可用性風險和解決網絡帶寬不足帶來的網絡訪問問題，許多企業往往會租用兩個或多個運營商出口鏈路（如電信、聯通等）。如何合理運用多個運營商出口，既不造成資源浪費，又能很好的服務于企業是現在運營商所考慮的問題。運營網絡是社會信息化的基礎設施，擁有巨大的用戶規模，需求嚴格的可靠性及服務質量保證，業務子網之間需要復雜的訪問關系，這些特點都要在運營網絡安全規劃中充分考慮。

一、防火墻發展現狀

隨著網絡技術的普及，網絡攻擊行為出現得越來越頻繁。通過各種攻擊軟件，只要具有一般計算機常識的初學者也能完成對網絡的攻擊。各種網絡病毒的泛濫，也加劇了網絡被攻擊的危險。目前，Internet網絡上常見的安全威脅分為以下幾類：

非法使用：資源被未授權的用戶（也可以稱為非法用戶）或以未授權方式（非法權限）使用。例如，攻擊者通過猜測帳號和密碼的組合，從而進入計算機系統以非法使用資源。

拒絕服務：服務器拒絕合法用戶正常訪問信息或資源的請求。例如，攻擊者短時間內使用大量數據包或畸形報文向服務器不斷發起連接或請求回應，致使服務器負荷過重而不能處理合法任務。

信息盜竊：攻擊者并不直接入侵目標系統，而是通過竊聽網絡來獲取重要數據或信息。

數據篡改：攻擊者對系統數據或消息流進行有選擇的修改、刪除、延誤、重排序及插入虛假消息等操作，而使數據的一致性被破壞。

目前網絡中主要使用防火墻來保證內部網路的安全。防火墻類似于建筑大廈中用于防止火災蔓延的隔斷墻，Internet防火墻是一個或一組實施訪問控制策略的系統，它監控可信任網絡（相當于內部網絡）和不可信任網絡（相當于外部網絡）之間的訪問通道，以防止外部網絡的危險蔓延到內部網絡上。防火墻作用于被保護區域的入口處，基于訪問控制策略提供安全防護。例如：當防火墻位于內部網絡和外部網絡的連接處時，可以保護組織內的網絡和數據免遭來自外部網絡的非法訪問（未授權或未驗證的訪問）或惡意攻擊；當防火墻位于組織內部相對開放的網段或比較敏感的網段（如保存敏感或專有數據的網絡部分）的連接處時，可以根據需要過濾對敏感數據的訪問（即使該訪問是來自組織內部）。

防火墻技術經歷了包過濾防火墻、代理防火墻、狀態防火墻的技術演變，但是隨著各種基于不安全應用的攻擊增多以及網絡蠕蟲病毒的泛濫，傳統防火墻面臨更加艱巨的任務，不但需要防護傳統的基于網絡層的協議攻擊，而且需要處理更加高層的應用數據，對應用層的攻擊進行防護。對于互聯網上的各種蠕蟲病毒，必須能夠判斷出網絡蠕蟲病毒的特征，把網絡蠕蟲病毒造成的攻擊阻擋在安全網絡之外。從而對內部安全網絡形成立體、全面的防護。

造成當前網絡“安全危機”另外一個因素是忽視對內網安全的監控管理。防火墻防范了來之外網的攻擊，對于潛伏于內部網絡的“黑手”卻置之不理，很容易造成內網變成攻擊的源頭，導致內網數據泄密，通過NAT從內部網絡的攻擊行為無法進行審計。由于對內部網絡缺乏防范，當內部網絡主機感染蠕蟲病毒時，會形成可以感染整個互聯網的污染源頭，導致整個互聯網絡環境低劣。

對于網絡管理者，不但需要關注來自外部網絡的威脅，而且需要防范來自內部網絡的惡意行為。防火墻需要提供對內部網絡安全保障的支持，形成全面的安全防護體系。

二、防火墻安全防護主要功能應用探討

狀態安全過濾功能：支持基礎、擴展和基于接口的狀態檢測包過濾技術，支持按照時間段進行過濾；支持H3C特有ASPF應用層報文過濾（Application Specific Packet Filter）協議，支持對每一個連接狀態信息的維護監測并動態地過濾數據包，支持對FTP、HTTP、SMTP、RTSP、H.323（包括Q.931，H.245，RTP/RTCP等）應用層協議的狀態監控，支持TCP/UDP應用的狀態監控。

抗攻擊防范能力功能：包括多種DoS/DDoS攻擊防范、ARP欺騙攻擊的防范、提供ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能；靜態和動態黑名單功能；MAC和IP綁定功能；支持智能防范蠕蟲病毒技術。

應用層內容過濾功能：可以有效的識別網絡中的BT、Edonkey、Emule等各種P2P模式的應用，并且對這些應用采取限流的控制措施，有效保護網絡帶寬；支持郵件過濾，提供SMTP郵件地址、標題和內容過濾；支持網頁過濾，提供HTTP URL和內容過濾；支持應用層過濾，提供Java/ActiveX Blocking和SQL注入攻擊防范。

多種安全認證服務功能：支持RADIUS和HWTACACS協議及域認證；支持基于PKI/CA體系的數字證書（X.509格式）認證功能；在PPP線路上支持CHAP和PAP驗證協議；支持用戶身份管理，不同身份的用戶擁有不同的命令執行權限；支持用戶視圖分級，不同級別的用戶賦予不同的管理配置權限。

集中管理與審計功能：提供各種日志功能、流量統計和分析功能、各種事件監控和統計功能、郵件告警功能。

全面NAT應用支持功能：提供多對一、多對多、靜態網段、雙向轉換、Easy IP和DNS映射等NAT應用方式；支持多種應用協議正確穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。

VPN服務功能：支持L2TP VPN、GRE VPN、IPSec VPN、SSL VPN和動態VPN等多種VPN業務模式。利用動態VPN（DVPN）技術，簡化VPN配置，實現按需動態構建VPN網絡。

智能網絡集成及QoS保證功能：支持路由、透明及混合運行模式，支持靜態路由協議，支持RIP v1/2、OSPF、BGP動態路由協議，支持路由策略及策略路由，支持基于802.1q VLAN，支持PPPoE Client/Server，DHCP Client/Server/Relay，支持流分類、流量監管、流量整形及接口限速，支持擁塞管理（FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ），支持擁塞避免（WRED）

雙機狀態熱備功能：支持Active/Active和Active/Passive兩種工作模式，實現負載分擔和業務備份

智能圖形化管理功能：通過Web方式進行遠程配置管理，通過網管軟件實現與網絡設備的統一管理，通過VPN Manager系統對VPN進行動態和圖形化的業務管理和狀態監控。

三、結束語

對于廣電行業來說，三網融合是一次難得的機遇，更是一次巨大挑戰的機會，確保廣電運營商能夠快速的適應市場并作出最佳應對，及時調整廣電網絡資源及系統，用以尋找新的業務市場和UP值，在云交互媒體電視，數據信息等創新增值業務上先行一步，從而在現階段多變的三網融合市場競爭中贏得先機。隨著互聯網的發展，運營商網絡環境已經呈現出越來越高的復雜性，這給網絡運營商提出了更高的要求。挑戰的出現同時也意味著機遇的產生，如何應對如今復雜多變的網絡，如何在充分利用現有網絡資源的同時重組產業鏈尋求新的利潤增長點成為當今運營商急需解決的問題。

參考文獻

[1]陳波，于泠.防火墻技術與應用[M].機械工業出版社，2013.

[2]閻慧.防火墻原理與技術[M].機械工業出版社，2004.

作者簡介：楊陽（1983—），男，河南鄭州人，河南有線電視網絡集團有限公司鄭州分公司網絡工程師。