互联网流控防火墙系统的分析及应用探讨

【摘要】根据国家在“十一・五规划”中明确提出计算机网络、通信网络、广电网络实现“三网融合”的总体要求，河南有线电视网络集团对原有的HFC网络进行大规模网络改造，逐步开展全新的数字电视业务以及丰富的增值业务，向三网融合的下一代有线电视网络（NGCN）过渡。

【关键词】三网融合；数字电视业务；运营网络；NGCN

河南有线网络集团正在建设一个基于IP的高带宽、高可靠性、可运营管理、具备多种业务综合承载能力和扩展性的电信级骨干数据网络，该网络主要用以开展以IP业务为主的双向业务，包括互联网、VOD、IP电话、专网等业务。为了规避运营商出口故障所带来的网络可用性风险和解决网络带宽不足带来的网络访问问题，许多企业往往会租用两个或多个运营商出口链路（如电信、联通等）。如何合理运用多个运营商出口，既不造成资源浪费，又能很好的服务于企业是现在运营商所考虑的问题。运营网络是社会信息化的基础设施，拥有巨大的用户规模，需求严格的可靠性及服务质量保证，业务子网之间需要复杂的访问关系，这些特点都要在运营网络安全规划中充分考虑。

一、防火墙发展现状

随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为以下几类：

非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。

拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。

信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。

数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。

目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。

防火墙技术经历了包过滤防火墙、防火墙、状态防火墙的技术演变，但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥，传统防火墙面临更加艰巨的任务，不但需要防护传统的基于网络层的协议攻击，而且需要处理更加高层的应用数据，对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒，必须能够判断出网络蠕虫病毒的特征，把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。

造成当前网络“安全危机”另外一个因素是忽视对内网安全的监控管理。防火墙防范了来之外网的攻击，对于潜伏于内部网络的“黑手”却置之不理，很容易造成内网变成攻击的源头，导致内网数据泄密，通过NAT从内部网络的攻击行为无法进行审计。由于对内部网络缺乏防范，当内部网络主机感染蠕虫病毒时，会形成可以感染整个互联网的污染源头，导致整个互联网络环境低劣。

对于网络管理者，不但需要关注来自外部网络的威胁，而且需要防范来自内部网络的恶意行为。防火墙需要提供对内部网络安全保障的支持，形成全面的安全防护体系。

二、防火墙安全防护主要功能应用探讨

状态安全过滤功能：支持基础、扩展和基于接口的状态检测包过滤技术，支持按照时间段进行过滤；支持H3C特有ASPF应用层报文过滤（Application Specific Packet Filter）协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、HTTP、SMTP、RTSP、H.323（包括Q.931，H.245，RTP/RTCP等）应用层协议的状态监控，支持TCP/UDP应用的状态监控。

抗攻击防范能力功能：包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能；静态和动态黑名单功能；MAC和IP绑定功能；支持智能防范蠕虫病毒技术。

应用层内容过滤功能：可以有效的识别网络中的BT、Edonkey、Emule等各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题和内容过滤；支持网页过滤，提供HTTP URL和内容过滤；支持应用层过滤，提供Java/ActiveX Blocking和SQL注入攻击防范。

多种安全认证服务功能：支持RADIUS和HWTACACS协议及域认证；支持基于PKI/CA体系的数字证书（X.509格式）认证功能；在PPP线路上支持CHAP和PAP验证协议；支持用户身份管理，不同身份的用户拥有不同的命令执行权限；支持用户视图分级，不同级别的用户赋予不同的管理配置权限。

集中管理与审计功能：提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。

全面NAT应用支持功能：提供多对一、多对多、静态网段、双向转换、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。

VPN服务功能：支持L2TP VPN、GRE VPN、IPSec VPN、SSL VPN和动态VPN等多种VPN业务模式。利用动态VPN（DVPN）技术，简化VPN配置，实现按需动态构建VPN网络。

智能网络集成及QoS保证功能：支持路由、透明及混合运行模式，支持静态路由协议，支持RIP v1/2、OSPF、BGP动态路由协议，支持路由策略及策略路由，支持基于802.1q VLAN，支持PPPoE Client/Server，DHCP Client/Server/Relay，支持流分类、流量监管、流量整形及接口限速，支持拥塞管理（FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ），支持拥塞避免（WRED）

双机状态热备功能：支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份

智能图形化管理功能：通过Web方式进行远程配置管理，通过网管软件实现与网络设备的统一管理，通过VPN Manager系统对VPN进行动态和图形化的业务管理和状态监控。

三、结束语

对于广电行业来说，三网融合是一次难得的机遇，更是一次巨大挑战的机会，确保广电运营商能够快速的适应市场并作出最佳应对，及时调整广电网络资源及系统，用以寻找新的业务市场和UP值，在云交互媒体电视，数据信息等创新增值业务上先行一步，从而在现阶段多变的三网融合市场竞争中赢得先机。随着互联网的发展，运营商网络环境已经呈现出越来越高的复杂性，这给网络运营商提出了更高的要求。挑战的出现同时也意味着机遇的产生，如何应对如今复杂多变的网络，如何在充分利用现有网络资源的同时重组产业链寻求新的利润增长点成为当今运营商急需解决的问题。

参考文献

[1]陈波，于泠.防火墙技术与应用[M].机械工业出版社，2013.

[2]阎慧.防火墙原理与技术[M].机械工业出版社，2004.

作者简介：杨阳（1983―），男，河南郑州人，河南有线电视网络集团有限公司郑州分公司网络工程师。