馬朝輝

摘要：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全日益重要。如何借助防火墻保護(hù)網(wǎng)絡(luò)內(nèi)部信息的安全已經(jīng)成為當(dāng)前的重要課題。該文研究基于CBAC防火墻的配置實(shí)現(xiàn)對應(yīng)用層HTTP協(xié)議的JAVA插件智能過濾。實(shí)驗(yàn)結(jié)果表明，該文提出的配置方案能有效實(shí)施JAVA插件過濾，從而避免一些網(wǎng)站上惡意的JAVA插件對內(nèi)部造成的潛在安全威脅。

關(guān)鍵詞：CBAC防火墻；HTTP協(xié)議；JAVA插件；過濾

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）31-7493-0

Abstract： With the development of the Internet， network security is becoming more and more important. How to use a firewall to protect internal network information security has become an important topic. Based on CBAC firewall configuration ，we study how to filter java plug-in intelligently in this paper， and the experiment results show that the proposed scheme can effectively implement JAVA plug-in filter， so as to avoid some website malicious JAVA plug-in to cause potential security threats.

Key words： CBAC Firewall； HTTP Protocol； JAVA Plug-in； Filtering

當(dāng)前，一些別有用心的國家持續(xù)對我國發(fā)起大規(guī)模、系統(tǒng)性的網(wǎng)絡(luò)攻擊，導(dǎo)致重要資源的泄露和惡意篡改，如何有效防止黑客的惡意攻擊已經(jīng)成為我國當(dāng)前發(fā)展的一個重要課題。防火墻技術(shù)，最初是針對 Internet 網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問[1]。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Internet之間建立起一個安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻就是一個位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件，該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻[2]。

1 防火墻分類

防火墻是保護(hù)局域網(wǎng)免受外部網(wǎng)絡(luò)攻擊的最有效措施，從發(fā)展過程來看，主要分成兩大類，一是基于區(qū)域劃分防火墻，二是CBAC防火墻?；趨^(qū)域劃分防火墻，它是一種較新的防火墻技術(shù)，雖然能完美的實(shí)現(xiàn)對單獨(dú)服務(wù)器的訪問權(quán)限的設(shè)置，但是在對單臺服務(wù)器的HTTP協(xié)議的JAVA插件控制方面存在很大不足。CBAC防火墻是經(jīng)典防火墻技術(shù)，它可以智能的實(shí)現(xiàn)對HTTP協(xié)議的JAVA插件過濾或者不過濾，通過簡單的配置滿足客戶需求。

2 CBAC防火墻簡介

Context-Based Access Control（CBAC）基于上下文的訪問控制協(xié)議通過檢查防火墻的流量來發(fā)現(xiàn)和管理TCP和UDP的會話狀態(tài)信息。這些狀態(tài)信息被用來在防火墻訪問列表創(chuàng)建臨時通道。通過配置監(jiān)控信息，允許為監(jiān)控的協(xié)議建立連接，打開這些通路[3]。CBAC對于運(yùn)行TCP、UDP應(yīng)用或某些多媒體應(yīng)用的網(wǎng)絡(luò)來說是一個較好的安全解決方案。除此之外，CBAC在流量過濾、流量檢查、警告和審計(jì)蛛絲馬跡、入侵檢測等方面表現(xiàn)卓越。在大多數(shù)情況下，我們只需在單個接口的一個方向上配置CBAC，即可實(shí)現(xiàn)只允許屬于現(xiàn)有會話的數(shù)據(jù)流進(jìn)入內(nèi)部網(wǎng)絡(luò)?？梢哉f，ACL與CBAC是互補(bǔ)的，它們的組合可實(shí)現(xiàn)網(wǎng)絡(luò)安全的最大化。

3 CBAC防火墻過濾HTTP JAVA插件的配置和實(shí)現(xiàn)

應(yīng)用層協(xié)議是用于解決某一類網(wǎng)絡(luò)應(yīng)用問題的、位于不同主機(jī)中的多個應(yīng)用進(jìn)程之間的通信規(guī)則和約定。應(yīng)用層的具體內(nèi)容就是規(guī)定應(yīng)用進(jìn)程在通信時所遵循的協(xié)議。當(dāng)前常見的應(yīng)用層協(xié)議包括：FTP、Telnet、SMTP、HTTP、RIP、NFS、DNS等，該文以HTTP為例，通過在CBAC防火墻上進(jìn)行正確的配置來對HTTP的JAVA插件進(jìn)行智能過濾，即過濾惡意的JAVA插件，保留有用的插件。有效地防止惡意插件傳送到終端，以及防止惡意級協(xié)議流量傳送到終端，保證了網(wǎng)絡(luò)的安全。

3.1 需求

放行去往外部網(wǎng)絡(luò)的HTTP流量，具體包括以下兩個：一是允許XP系統(tǒng)通過HTTP協(xié)議訪問WWW網(wǎng)站服務(wù)器；二是放行XP系統(tǒng)通過HTTP的2002端口訪問3A服務(wù)器某軟件。通過放行，可以方便的在內(nèi)部網(wǎng)絡(luò)通過網(wǎng)址訪問外部WWW服務(wù)器和3A服務(wù)器。

接下來需要監(jiān)控從內(nèi)到外的HTTP流量。監(jiān)控的目的是使得兩臺服務(wù)器里面的JAVA插件全部過濾，從而在內(nèi)部網(wǎng)絡(luò)無法打開這些插件。

參考文獻(xiàn)：

[1] 吳秀梅.防火墻技術(shù)及教程[M].北京：清華大學(xué)出版社，2010.

[2] 于婷婷.淺談Internet防火墻技術(shù)[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（4）.

[3] CBAC防火墻介紹. 2011.09.07. http：//baike.baidu.com/view/1301851.htm？fr=aladdin