防火墻技術的發(fā)展與應用 Development and application of firewall technology

崔升廣

摘要：隨著網(wǎng)絡技術的不斷發(fā)展，對網(wǎng)絡安全性要求也越來越高，防火墻技術可以提供行之有效的網(wǎng)絡安全機制，保障網(wǎng)絡的安全性與可靠性，本文主要研究防火墻技術，對防火墻的主要技術類型包括包過濾、應用層網(wǎng)關、應用代理服務器、狀態(tài)檢測放火墻進行了分析以及防火墻技術發(fā)展趨勢進行了研究。

關鍵詞：防火墻 網(wǎng)絡安全 網(wǎng)關 應用代理

[Abstract] With the development of network technology， the network security requirements are also getting higher and higher， the firewall technology can provide effective network security mechanism， guarantee the safety and reliability of the network， this paper mainly studies the firewall technology， main types of firewall includes packet filter， application layer gateway， proxy server application， state inspection firewall is the analysis and development of firewall technology was studied.

[keyword] firewall netsafe gateway Application Proxy

1、引言

隨著互聯(lián)網(wǎng)及其網(wǎng)絡技術的飛速發(fā)展，全球信息化進程的不斷推進，人們在享受互聯(lián)網(wǎng)帶來的豐富信息、巨大便利與快捷的同時，也面臨著對互聯(lián)網(wǎng)開放性帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險。一方面互聯(lián)網(wǎng)攻擊的手段越來越簡單、越來越普遍，攻擊工具的功能卻越來越強，網(wǎng)絡感染病毒、遭受攻擊的速度日益加快；另一方面網(wǎng)絡受到攻擊做出響應的時間卻越來越滯后，這就使得用戶對網(wǎng)絡的安全性提出了更高的要求，使網(wǎng)絡的安全問題日益突出，網(wǎng)絡安全無論從理論上還是實際應用中都具有十分重要的意義，網(wǎng)絡安全作為一個無法回避的問題呈現(xiàn)在我們面前。

防火墻是提供行之有效的網(wǎng)絡安全機制，是網(wǎng)絡安全策略的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為實現(xiàn)對網(wǎng)絡安全的有效保障，在內(nèi)部網(wǎng)與外部網(wǎng)之間實現(xiàn)安全的防范措施。

2、防火墻技術概述

防火墻是用一個或一組網(wǎng)絡設備，在兩個或多個網(wǎng)絡之間加強訪問控制，以保護一個網(wǎng)絡不受來自另一個網(wǎng)絡攻擊的安全技術，防火墻的組成可以表示為：防火墻=過濾器+安全策略+網(wǎng)關，它是一種非常有效的網(wǎng)絡安全技術，防火墻可以監(jiān)控進出網(wǎng)絡的通信數(shù)據(jù)，從而完成僅讓安全、核準的信息進入，同時又抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)進入的任務。

3、防火墻的主要技術類型

防火墻的主要技術類型包括包過濾、應用層網(wǎng)關、應用代理服務器、狀態(tài)檢測放火墻。

（1）過濾防火墻

數(shù)據(jù)包過濾技術是在網(wǎng)絡層對數(shù)據(jù)包進行分析、選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設置的過濾邏輯，稱為訪問控制表，通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。

數(shù)據(jù)包過濾防火墻的優(yōu)點是速度快，邏輯簡單，成本低，易于安裝和使用，網(wǎng)絡性能和透明度好。它通常安裝在路由器上，內(nèi)部網(wǎng)絡與Internet連接，必須通過路由器，因此在原有網(wǎng)絡上增加這類防火墻，幾乎不需要任何額外的費用

（2）應用層網(wǎng)關

應用層網(wǎng)關技術是在網(wǎng)絡的應用層上實現(xiàn)協(xié)議顧慮和轉(zhuǎn)

發(fā)功能。它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、記錄和統(tǒng)計，形成報告。

應用層網(wǎng)關防火墻和數(shù)據(jù)包過濾有一個共同的特點，就是他們僅僅依靠特定的邏輯來判斷是否允許數(shù)據(jù)包通過。防火墻內(nèi)外的計算機系統(tǒng)便可以建立直接聯(lián)系，外部的用戶便有可能直接了解到防火墻內(nèi)部的網(wǎng)絡結(jié)構(gòu)和運行狀態(tài)，這大大增加了非法訪問和攻擊的機會。

（3）應用代理服務器

應用代理服務器技術能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應用層連接，由兩個代理服務器之間的連接來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達代理服務器，從而起到隔離防火墻內(nèi)外計算機系統(tǒng)的作用。

應用代理服務器對客戶端的請求行使“代理”職責?？蛻舳诉B接到防火墻并發(fā)出請求，然后防火墻連接到服務器，并代表這個客戶端重復這個請求。返回時數(shù)據(jù)發(fā)送到代理服務器，然后再傳送給用戶，從而確保內(nèi)部IP地址和口令不在Internet上出現(xiàn)。

（4）狀態(tài)檢測防火墻

狀態(tài)檢測又稱為動態(tài)包過濾，是在傳統(tǒng)包過濾上的功能擴展。傳統(tǒng)的包過濾在遇到利用動態(tài)端口的協(xié)議時會發(fā)生困難，如FTP，你事先無法知道哪些端口需要打開，而如果采用原始的靜態(tài)包過濾，又希望用到此服務的話，就需要實現(xiàn)將所有可能用到的端口打開，而這往往是個非常大的范圍，會給安全帶來不必要的隱患。

狀態(tài)檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性，它們不僅檢測“to”或“from”的地址，而且也不要求每個被訪問的應用都有代理。狀態(tài)檢測防火墻根據(jù)協(xié)議、端口及源目的地址的具體情況決定數(shù)據(jù)包是否可以通過。對于每個安全策略允許的請求，狀態(tài)檢測防火墻啟動相應的進程，可以快速地確認符合授權流通標準的數(shù)據(jù)包，這使得本身的運行非?？焖佟?/p>

4、防火墻技術發(fā)展趨勢

（1）防火墻包過濾技術

一些防火墻廠商把在AAA系統(tǒng)上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網(wǎng)關技術的，包過濾技術的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡通信帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。

（2）多級過濾技術

所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應用網(wǎng)關一級，能利用FTP、SMTP等各種網(wǎng)關，控制和監(jiān)測Internet提供的所用通用服務，這是針對以上各種已有防火墻技術的不足而產(chǎn)生的一種綜合型過濾技術，它可以彌補以上各種單獨過濾技術的不足。

（3）防火墻病毒防護功能

現(xiàn)在通常被稱之為“病毒防火墻”，當然目前主要還是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)，這種防火墻技術可以有效地防止病毒在網(wǎng)絡中的傳播，比等待攻擊的發(fā)生更加積極，擁有病毒防護功能的防火墻可以大大減少公司的損失。

5、結(jié)束語

當用戶與Internet連接時，可以在中間加入一個或幾個中介系統(tǒng)，防止非法入侵者通過網(wǎng)絡進行攻擊，并提供數(shù)據(jù)可靠性、完整性的安全和審查控制，防火墻是設置在被保護網(wǎng)絡與外部網(wǎng)絡之間的一道屏障，以防止不可預測的、潛在破壞的非法入侵，它通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對外屏蔽網(wǎng)絡內(nèi)部結(jié)構(gòu)、信息和運行情況，以此來實現(xiàn)內(nèi)部網(wǎng)絡的安全。

參考文獻：

[1] 吳秀梅 《防火墻技術及應用教程》 清華大學出版社 2010-10

[2] 閻慧 《防火墻原理與技術》 機械工業(yè)出版社 2004-5