iMAX无线系统以无线城域网WMAN技术为核心定位,产品线业已覆盖无线局域网WLAN及无线广域网WWAN等多个无线行业细分领域。相比部分友商wifi技术产品及其衍生的无线网桥等产品,iMAX无线系统除了超远距离通信能力、高容量、高品质等优秀特性外,技术上也有众多区别(例如:对多种路由技术和防火墙Firewall的支持等),而这些共同奠定了iMAX无线系统在“无线专网”或“无线自组网”领域****产品的地位。本文旨在介绍iMAX无线系统的防火墙Firewall技术,帮助我们的合作伙伴更好地运用相关技术提高专网的安全性和可靠性,防止潜在的网络攻击行为,管理和控制网络。
一、什么是防火墙
防火墙是一个由计算机硬件和软件组成的系统,部署于网络边界,是内部网络和外部网络之间的连接桥梁,同时对进出网络边界的数据进行保护,防止恶意入侵、恶意代码的传播等,保障内部网络数据的安全。简单的来说,防火墙就是一种避免你的电脑被黑客入侵的一种防护工具,一种确保网络安全的方法。
它可以使内部网络与外部网络互相隔离,限制网络之间的互相访问,来保护内部网络的安全。防火墙可以只用路由器实现,也可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
防火墙可以监控进出网络的通信量,从而完成看似不可能的任务,仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。打个比方,它就像一个守城队,这个城处于紧张状态,只能让外界的良民进城,对想进城的坏人进行盘点,不放过一个坏人。
防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。
二、防火墙的功能
防火墙最主要的应用场景是大型网络连接外网特别是连接互联网Internet时。本地局域网内部不连接外网一般是不需要防火墙的,但如果涉及远程访问或异地互联,又或者有一定安全级别要求的政府机构、企事业单位专网,也需要配置防火墙。防火墙具有很好的保护作用,访问者必须首先穿越防火墙的安全防线审核和过滤,才能接触目标计算机和服务器,从而屏蔽了入侵者。
防火墙的五大基础的功能:
* 过滤进出网络的数据,防止入侵者接近你的防御设施或者重点数据设备。
* 管理进出访问网络的行为,可以限制他人进入内部网络,过滤掉不安全服务和非法用户。
* 封堵某些禁止业务,限定用户访问特殊站点。
* 记录通过防火墙信息内容和活动,非法入侵一目了然。
* 对网络攻击检测和告警,为监视网络特别是Internet安全提供方便。
三、iMAX无线系统防火墙技术简介
防火墙最重要的功能之一就是过滤(filter),过滤器用于允许或阻止转发到本地网络、源自路由器或发往路由器的特定数据包。iMAX无线系统的过滤防火墙功能分为二层过滤防火墙(bridge filter)和三层及以上过滤防火墙(ip firewall filter),支持Layer7层协议过滤功能。
需要强调指出的是,很多交换机、路由器都集成的ACL(访问控制列表)技术,常常与防火墙技术发生混淆。ACL技术顾名思义,就是以列表的方式对数据包进行访问控制,而防火墙Firewall技术则支持更高层次的策略控制。从部署角度上看,防火墙技术必须有专门的软件包IOS支持,而ACL往往集成于交换机路由器核心系统中。实际应用中,我们常常把ACL看做是防火墙的一部分。
1、iMAX无线系统的过滤器filter功能典型应用包括但不限于以下实例:
1)、设备管理限制:某项目为了解决视频回程采用新竹科技iMAX无线城域网系统进行联网,为了保证网络安全,防止非法入侵系统,可以在iAMX无线城域网系统上配置防火墙过滤功能,在基站BS侧不允许客户端CPE远程管理。
2)、不同业务的网络“隔离”:某项目有视频和PLC数据都需要与控制中心进行通讯,为防止视频和PLC数据之间相互影响,可以在客户端CPE侧配置防火墙,将视频和PLC数据进行隔离,保证互相之间不能通讯,但都同时能与指挥中心进行通讯。
3)、远程访问“单向”全向分配:某连锁餐饮企业有众多分店,分店的网络视频监控、连锁餐饮综合管理系统和员工考勤管理系统均需要回传到总部,采用新竹科技“云交换+硬件VPN”方式在互联网互通基础上现实安全的私有专网组建是经济性最优的方案选择。但基于Internet互联网组建虚拟专用网,安全性是必须考虑的问题,特别是防范非法入侵、病毒DoS攻击、数据库攻击等方面,都需要防火墙来保证。采用防火墙功能只允许视频监控、综合管理系统和员工考勤管理系统相关的端口数据通过,其余都拒绝通过即可。
iMAX无线系统的过滤功能强大而灵活,例如:可以通过L7协议禁止192.168.10.0网段的主机访问MSN和QQ;禁止办公时间192.168.1.0网段文件下载诸如 “.mp3, .mp4,.avi”等后缀名的文件下载和访问……
2、iMAX无线系统的防火墙其他功能:
iMAX无线系统除了过滤功能(对源MAC、IP地址、端口、IP协议、接口过滤;P2P协议过滤;源和目标NAT等)以外,还可以对内部的数据包和连接作标记、ToS 字节分析、内容过滤、顺序优先设置;还能完成数据频繁程度和时间控制、包长度控制等等进一步功能。
1)IP地址伪装:
IP Masquerade是iMAX无线系统防火墙另一重要功能。Masquerade就是所谓的地址伪装,常常与NAT技术联合使用。如果一台主机使用IP Masquerade功能连线到外部网路上,那么接上它的电脑也可以接触外部网路,即使它们没有获得正式指定的IP地址。这使得一些电脑可以隐藏在网关(gateway)系统后面存取网际网路而不被发现,看起来就像只有这个系统在使用网际网路。从技术上讲,突破设定良好的伪装(masquerade)系统的安全防护应该会比突破良好的封包过滤式(packet filter)防火墙来得更加困难。
2)数据包标记与分析:
Mangle是一个数据包分析功能,习惯称为“标记”,但实际上标记只是mangle的一部分功能而已。Mangle的翻译就是压碎,撕烂的意思,在iMAX无线系统里就是拆开包来研究,然后重新组合。我们就是通过mangle规则来分析数据包里面含有的关键信息,然后进行重新归类,标记,或者修改其中部分的参数。Mangle功能常见分类以及对应的动作如下:
* 分析关注,对匹配规则的数据包进行分析关注,不对包进行其他操作
* 分析标记,对匹配规则的数据包进行分析标记,加上标记。
* 分析调整,对匹配的数据包进行拆包修改,修改数据并且重新封装。
需要说明的是,业务优先级QoS(服务质量保障)与业务类型优先级ToS(类型质量保障)功能都可以与这项技术配合使用。
另外,iMAX无线系统是支持IPV6技术的,所以也可以支持IPV6防火墙。
目前互联网有一种常见的互联网攻击手段──DoS (Denial of Service),即拒绝服务,这种攻击是利用 TCP/IP 协议不断发生无效的 syn 请求,让路由器或服务器超负荷,导致 CPU 使用率 100%,路由器回应变得非常缓慢,甚至无响应。由于攻击者发送了大量的 syn数据报,都属于小包,数据流都会经过 firewall(filter, NAT, mangle),这样每秒到达路由器的数据报造成 CPU 处理超载,攻击者还可以利用分散的被感染主机做 DDoS(Distributed Denial of Service)分布式拒绝服务攻击。通常我们没有完美的解决方法免受 DoS 攻击,但我们尽量减少攻击对网络的影响,iMAX无线系统也是通过防火墙来实现DoS 攻击防范。
四、写在最后
防火墙Firewall技术只是iMAX无线系统多种安全技术的一种,而私有通信协议、无线分组、数据加密、vlan(虚拟局域网)及VPN(虚拟专用网)等多种安全技术与防火墙技术共同配合,一起构成了iMAX无线系统网络安全的基石。
设备技术再好,也需要供应方的技术水平来支撑。防火墙行业有一句至理名言:没有“安全策略”的防火墙就是“漏风的墙”!也就是说,防火墙安全防护能力再强,供应商技术人员根据场景进行防火墙安全策略的定制才是关键。而新竹科技虽非专业的硬件防火墙厂商,但得益于多年为政企客户服务的经验和对用户专网安全需求的深刻理解,完全可以为用户量身定制最合适的安全策略,以满足不同客户、不同场景对于网络安全的需要。
关于iMAX无线系统的数据加密技术、vlan及VPN技术等,本文不做详细描述,另有专题予以介绍。
可以说,如果综合以上多种安全技术于一体的iMAX无线城域网系统,经新竹科技专业技术人员定义安全策略以后,如果被入侵,入侵者恐怕也只能是“内部人士”的监守自盗。