淺析防火墻技術(shù)

胡坤

摘 要：互聯(lián)網(wǎng)信息技術(shù)的發(fā)展使得眾多企業(yè)組織開(kāi)始連接到互聯(lián)網(wǎng)上，這樣企業(yè)在實(shí)現(xiàn)訪問(wèn)外部世界并與之通信的同時(shí)，外部世界也同樣可以訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)并與之交互。這時(shí)為了保證企業(yè)組織的信息安全，企業(yè)就必須對(duì)其重要信息進(jìn)行保護(hù)。為了安全起見(jiàn)企業(yè)開(kāi)始在內(nèi)部網(wǎng)絡(luò)和Internet之間建立一個(gè)中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是過(guò)濾不安全的服務(wù)和非法的用戶(hù)，并控制內(nèi)部網(wǎng)絡(luò)對(duì)特殊站點(diǎn)的訪問(wèn)同時(shí)記錄內(nèi)外部網(wǎng)絡(luò)之間的連接，提供預(yù)警和審計(jì)等功能。這種屏障就是我們常說(shuō)的防火墻。本文介紹了防火墻技術(shù)的現(xiàn)狀，并分析了如今防火墻技術(shù)的局限性和未來(lái)發(fā)展的趨勢(shì)。

關(guān)鍵詞：現(xiàn)狀；局限性；發(fā)展

一、防火墻的概念

防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道執(zhí)行控制策略的防御系統(tǒng)。它對(duì)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進(jìn)行檢查，以決定通信是否被允許，對(duì)外屏蔽內(nèi)部網(wǎng)的信息、結(jié)構(gòu)和運(yùn)行狀況，并提供單一的安全和審計(jì)的安裝控制點(diǎn)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不被外部非授權(quán)用戶(hù)訪問(wèn)和過(guò)濾不良信息目的。

防火墻實(shí)質(zhì)上是一種隔離控制技術(shù)，其核心思想是在不安全的網(wǎng)絡(luò)環(huán)境下構(gòu)造一種相對(duì)安全的內(nèi)部網(wǎng)絡(luò)環(huán)境。從邏輯上講它既是一個(gè)分析器又是一個(gè)限制器，它要求所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)并將內(nèi)外網(wǎng)絡(luò)在邏輯上分離。

二、防火墻技術(shù)的現(xiàn)狀

目前的防火墻技術(shù)主要包括兩種類(lèi)型， 第一類(lèi)是包過(guò)濾技術(shù)， 主要經(jīng)歷了四個(gè)發(fā)展階段。第一代是和路由器同時(shí)出現(xiàn)的靜態(tài)包過(guò)濾技術(shù)防火墻， 也就是傳統(tǒng)的“邊界防火墻”， 它通常是基于訪問(wèn)控制列表（ACL）進(jìn)行包過(guò)濾的， 靜態(tài)包過(guò)濾技術(shù)雖然簡(jiǎn)單、易用、透明、高速， 但是其安全性能很低。第二代是動(dòng)態(tài)包過(guò)濾（Dynamic Packet Filter） 技術(shù)， 動(dòng)態(tài)包過(guò)濾技術(shù)是基于連接狀態(tài)對(duì)數(shù)據(jù)包進(jìn)行檢查的， 解決了靜態(tài)包過(guò)濾的安全限制， 同時(shí)也提供了較好的性能， 目前應(yīng)用比較普遍， 但是隨著主動(dòng)攻擊的增多， 動(dòng)態(tài)包過(guò)濾技術(shù)也面臨著巨大的挑戰(zhàn)。第三代是全狀態(tài)檢測(cè)（Stateful Inspection） 防火墻技術(shù)， 該技術(shù)提供了完整的對(duì)傳輸層的控制能力， 狀態(tài)檢測(cè)技術(shù)還采用了一系列的優(yōu)化技術(shù)， 在大大提高安全防范能力的同時(shí)也改進(jìn)了流量處理速度， 使防火墻性能大幅度提升， 是目前采用的主流防火墻技術(shù)。第四代是深度包檢測(cè)（Deep Packet Inspection） 防火墻技術(shù)， 面對(duì)新形勢(shì)下的蠕蟲(chóng)病毒、DDOS （ 分布式拒絕服務(wù)） 攻擊、垃圾郵件泛濫等嚴(yán)重威脅，最新一代包過(guò)濾類(lèi)防火墻采用了深度包檢測(cè) （Deep Packet Inspection） 技術(shù)， 深度包檢測(cè)引擎以基于指紋匹配、啟發(fā)式技術(shù)、異常檢測(cè)以及統(tǒng)計(jì)學(xué)分析等技術(shù)來(lái)決定如何處理數(shù)據(jù)包。深度包檢測(cè)防火墻能阻止 DDOS攻擊、病毒傳播問(wèn)題和高級(jí)應(yīng)用入侵問(wèn)題， 該技術(shù)代表著新一代防火墻的發(fā)展方向。

第二類(lèi)是代理網(wǎng)關(guān)技術(shù)， 主要經(jīng)歷了從應(yīng)用層代理、電路層代理到自適應(yīng)代理防火墻這樣三個(gè)階段。代理網(wǎng)關(guān)技術(shù)的優(yōu)點(diǎn)是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征， 對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng)?？傊?， 代理技術(shù)類(lèi)防火墻在對(duì)應(yīng)用層的數(shù)據(jù)過(guò)濾方面能力優(yōu)于包過(guò)濾類(lèi)防火墻， 但是在性能方面的表現(xiàn)就會(huì)大大遜色， 而且有的可能需要安裝特殊的客戶(hù)端軟件， 使用起來(lái)不夠人性化。

三、防火墻技術(shù)的局限性和未來(lái)的趨勢(shì)

盡管利用防火墻技術(shù)可以比較有效地保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受外部黑客所進(jìn)行的網(wǎng)絡(luò)攻擊，但不可能保證網(wǎng)絡(luò)的絕對(duì)安全，事實(shí)上仍然存在著一些防火墻不能防范的安全威脅。在實(shí)際應(yīng)用中防火墻存在著許多的局限，如防火墻不能防范不經(jīng)過(guò)防火墻的攻擊，如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號(hào)，一些用戶(hù)就可能形成與外部公共網(wǎng)絡(luò)的直接連接，躲避了防火墻對(duì)其的訪問(wèn)控制和安全檢查；由于防火墻是設(shè)置在內(nèi)部網(wǎng)和外部網(wǎng)之間的安全組件，不能解決來(lái)自?xún)?nèi)部人員對(duì)網(wǎng)絡(luò)的破壞或資料的盜竊等安全問(wèn)題；目前防火墻并不具備殺毒功能，不能阻止受病毒感染的文件的傳輸，所以也不能保護(hù)內(nèi)部網(wǎng)絡(luò)免受計(jì)算機(jī)病毒的破壞；防火墻技術(shù)是根據(jù)事先設(shè)定的安全策略來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的，只能防范已知的安全威脅，無(wú)法預(yù)測(cè)前所未見(jiàn)的攻擊方式。另外，防火墻不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊，黑客可以通過(guò)防火墻準(zhǔn)許的端口對(duì)該服務(wù)器的漏洞進(jìn)行攻擊。

防火墻的各種關(guān)鍵技術(shù)，如包過(guò)濾技術(shù)、應(yīng)用層網(wǎng)關(guān)技術(shù)和狀態(tài)監(jiān)測(cè)技術(shù)等在實(shí)際的應(yīng)用中各有其優(yōu)缺點(diǎn)。我們首先要對(duì)所要保護(hù)的網(wǎng)絡(luò)的規(guī)模、功能做一個(gè)全面的分析和評(píng)估，以確定網(wǎng)絡(luò)所需要的安全等級(jí)，最后根據(jù)網(wǎng)絡(luò)的安全等級(jí)選擇適合自己網(wǎng)絡(luò)的防火墻技術(shù)和產(chǎn)品，事實(shí)上許多防火墻產(chǎn)品都是以上提到的防火墻技術(shù)的綜合運(yùn)用。面對(duì)黑客進(jìn)行攻擊的新特點(diǎn)以及網(wǎng)絡(luò)安全領(lǐng)域的新變化，防火墻技術(shù)也在不斷地更新和完善，目前防火墻技術(shù)有下面幾個(gè)發(fā)展趨勢(shì)。

1. 多級(jí)過(guò)濾技術(shù)

多級(jí)過(guò)濾技術(shù)防火墻是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)。它采用多級(jí)過(guò)濾措施，過(guò)濾深度進(jìn)一步加強(qiáng)，從簡(jiǎn)單的地址和服務(wù)過(guò)濾發(fā)展到 URL過(guò)濾、內(nèi)容過(guò)濾等。采用多級(jí)過(guò)濾技術(shù)的防火墻在 TCP/IP 協(xié)議的網(wǎng)絡(luò)層一級(jí)過(guò)濾掉所有的源路由 IP 數(shù)據(jù)包和假冒源 IP 地址的 IP 數(shù)據(jù)包；在傳輸層一級(jí)過(guò)濾掉所有禁止出入的協(xié)議和有害數(shù)據(jù)包如 Nuke 包等；在應(yīng)用層一級(jí)利用 FTP 和 SMTP 等各種網(wǎng)關(guān)，控制和監(jiān)測(cè) Internet 提供的所有通用服務(wù)。這種過(guò)濾技術(shù)在分層上非常清楚，每種過(guò)濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，便于將來(lái)防火墻技術(shù)內(nèi)容的擴(kuò)展。

2. 用戶(hù)身份認(rèn)證技術(shù)

采用用戶(hù)身份認(rèn)證技術(shù)的防火墻具有基于用戶(hù)角色的安全策略功能，它通常是在應(yīng)用層上來(lái)實(shí)現(xiàn)的。包過(guò)濾技術(shù)的防火墻無(wú)法實(shí)現(xiàn)對(duì)用戶(hù)的身份驗(yàn)證，使用用戶(hù)身份認(rèn)證技術(shù)可以很好地提高網(wǎng)絡(luò)的安全級(jí)別，但是也會(huì)對(duì)網(wǎng)絡(luò)的通信性能造成負(fù)面影響，因?yàn)橛脩?hù)身份驗(yàn)證需要時(shí)間，特別是加密型的用戶(hù)身份驗(yàn)證，因此該技術(shù)一般應(yīng)用在對(duì)用戶(hù)身份比較敏感的無(wú)線通信網(wǎng)絡(luò)中。

3. 嵌套病毒防護(hù)技術(shù)

采用嵌套病毒防護(hù)技術(shù)的防火墻通常也叫“病毒防火墻”，目前主要應(yīng)用在個(gè)人防火墻中，因?yàn)樗羌冘浖问剑詫?shí)現(xiàn)起來(lái)比較容易。這種技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比被動(dòng)地等待攻擊的發(fā)生更加積極。但是采用這種技術(shù)往往會(huì)導(dǎo)致整個(gè)系統(tǒng)性能的急劇下降，因此這種技術(shù)一般只應(yīng)用在低端產(chǎn)品中。

參考文獻(xiàn)：

[1]朱鵬. 基于狀態(tài)包過(guò)濾的防火墻技術(shù)[J]. 微計(jì)算機(jī)信息，2005.

[2]張公忠. 現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M]. 北京：電子工業(yè)出版社出版，2004.

[3]張小斌. 黑客分析與防范技術(shù)[M]. 北京：清華大學(xué)出版社，1999.

[4]王睿. 網(wǎng)絡(luò)安全及防火墻技術(shù)[M]. 北京：清華大學(xué)出版社，2000.

[5]斯特拉斯伯格. 防火墻技術(shù)大全[M]. 北京：機(jī)械工業(yè)出版社，2003.endprint