防火墻在網(wǎng)絡(luò)安全中的應(yīng)用

李秀峰

（長治學(xué)院 計算機(jī)系，山西 長治 046011）

防火墻在網(wǎng)絡(luò)安全中的應(yīng)用

李秀峰

（長治學(xué)院 計算機(jī)系，山西 長治 046011）

信息技術(shù)快速發(fā)展的同時，網(wǎng)絡(luò)安全問題日益凸現(xiàn)。目前存著在多種網(wǎng)絡(luò)安全技術(shù)，其中防火墻技術(shù)就是一種重要的防御措施。文章介紹了防火墻的定義、分類、非法攻擊防火墻的方法及安全配置措施。

防火墻；NAT;網(wǎng)絡(luò)安全

隨著信息化技術(shù)的快速發(fā)展和網(wǎng)絡(luò)的高度普及，資源共享和數(shù)據(jù)通信都需要通過計算機(jī)系統(tǒng)加以處理，人們的工作和生活已然離不開計算機(jī)和網(wǎng)絡(luò)。因為網(wǎng)絡(luò)的便捷和開放性，使得數(shù)據(jù)的存儲和傳輸十分便捷，比如移動支付就可極大的減少現(xiàn)金流動，于此同時安全問題不容忽視。沒有一個安全的網(wǎng)絡(luò)環(huán)境，那么網(wǎng)絡(luò)的使用程度將會大打折扣。為了保證網(wǎng)絡(luò)安全，人們采取了很多技術(shù)和手段。無論哪種方式往往都會結(jié)合使用防火墻技術(shù)，它是最有效和最基礎(chǔ)的防御手段之一。防火墻技術(shù)用于控制不同網(wǎng)絡(luò)之間的互聯(lián)程度，可以防止外部網(wǎng)絡(luò)使用非法手段訪問內(nèi)部網(wǎng)絡(luò)設(shè)備及內(nèi)網(wǎng)資源，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)及系統(tǒng)的目的[1]。其工作原理是：對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)進(jìn)行檢查，按照管理員指定的安全策略以決定是否允許此次通信。

1 防火墻的基本功能

1.1 過濾風(fēng)險服務(wù)

防火墻執(zhí)行制定的網(wǎng)絡(luò)安全策略，只有被允許的網(wǎng)絡(luò)和協(xié)議才能通過防火墻。因此可對站點進(jìn)行訪問控制，過濾非法用戶訪問特殊站點，有效地將風(fēng)險連接控制在網(wǎng)絡(luò)最外層。

1.2 集中安全防護(hù)

防火墻可對企業(yè)內(nèi)部網(wǎng)實行集中的安全管理，可將編寫的訪問策略應(yīng)用在防火墻的端口之上，無須在內(nèi)部網(wǎng)的每臺主機(jī)上分別執(zhí)行安全策略。

1.3 保密性

使用防火墻系統(tǒng)的站點可以防止finger，可以封鎖域名服務(wù)信息，保護(hù)域名服務(wù)器信息不外露。

1.4 網(wǎng)絡(luò)連接的統(tǒng)計

防火墻系統(tǒng)可以記錄通過防火墻的網(wǎng)絡(luò)通信連接，提供關(guān)于外部網(wǎng)路連接的統(tǒng)計數(shù)據(jù)，對所有的訪問形成日志，便于在出現(xiàn)問題時溯源查詢。

2 防火墻技分類

防火墻技術(shù)的發(fā)展經(jīng)歷了5個階段[2]。第一代防火墻產(chǎn)生時間和路由器很接近，主要運用包過濾（Packet filter）技術(shù)，對流經(jīng)端口的每個數(shù)據(jù)包提取其源端口、目的端口和源網(wǎng)絡(luò)等信息，按照訪問策略對其實施對應(yīng)的操作；第二代防火墻為電路層防火墻，通過將TCP連接從可信任網(wǎng)絡(luò)中繼到非信任網(wǎng)絡(luò)來工作；第三代為應(yīng)用層代理防火墻，工作在TCP/IP協(xié)議的應(yīng)用層，這個代理服務(wù)器可以偽裝成真實的服務(wù)器，使真正的服務(wù)器免于被攻擊；第四代為基于動態(tài)包過濾技術(shù)的防火墻，與第一代防火墻不同，它通過包的屬性和維護(hù)一份連接表來監(jiān)視通信會話的狀態(tài)，而不是簡單依靠標(biāo)志的設(shè)置。也就是說第四代防火墻是基于會話進(jìn)行操作的防火墻；第五代防火墻采用的是高級應(yīng)用代理技術(shù)，在網(wǎng)關(guān)上使用代理程序，使其安全性能有了質(zhì)的飛躍。目前，較為成熟和常用的防火墻技術(shù)主要有以下三種，三者各有所長，應(yīng)用的場合不同。

2.1 包過濾防火墻

數(shù)據(jù)包過濾（Packet filtering）技術(shù)應(yīng)用在網(wǎng)絡(luò)層。其原理是：依據(jù)管理者定義的控制策略對流經(jīng)端口的數(shù)據(jù)包進(jìn)行分析、選擇和過濾。具體實現(xiàn)過程是：對每一個數(shù)據(jù)包的源地址、目的地址、端口號、協(xié)議狀態(tài)等信息進(jìn)行采集和分析，之后遍歷控制列表找到與之對應(yīng)的語句，最后采取對應(yīng)的措施。此類防火墻的優(yōu)點是對每個數(shù)據(jù)包的IP字段進(jìn)行檢查，可以識別和丟棄帶有欺騙性源IP地址的包，使這類數(shù)據(jù)包不能繞過防火墻，同時運算速度快、成本低、網(wǎng)絡(luò)性能和透明度好。主要缺點是配置較為復(fù)雜，需要一定的工作經(jīng)驗。由于其主要針對當(dāng)前的網(wǎng)絡(luò)環(huán)境進(jìn)行配置，可能會對以后的擴(kuò)展服務(wù)產(chǎn)生限制，需要及時調(diào)整。同時一些應(yīng)用協(xié)議也不適合進(jìn)行數(shù)據(jù)包過濾。另外，如果攻擊性程序冒充或竊取正常數(shù)據(jù)包的源地址、目的地址以及IP端口號，該型防火墻將對其失去免疫能力。

2.2 狀態(tài)檢測防火墻

狀態(tài)檢測防火墻基于傳統(tǒng)包過濾技術(shù)上發(fā)展而來。與包過濾防火墻不同的是：其所跟蹤檢測的對象既有IP數(shù)據(jù)包中所包含的信息（如：源、目的信息），還包括該數(shù)據(jù)包的狀態(tài)，同時記錄與之有關(guān)的信息（如：現(xiàn)有的網(wǎng)絡(luò)連接和信息的傳出請求等）用來提高辨識數(shù)據(jù)包的能力。這樣做的好處是在原有包過濾的基礎(chǔ)上增加一組附加標(biāo)準(zhǔn)，可以根據(jù)這些標(biāo)準(zhǔn)制定精細(xì)化的策略，以更高的要求決定數(shù)據(jù)包是否可以正常通過。狀態(tài)檢測防火墻的優(yōu)點是遵從基于包中信息的過濾規(guī)則，檢查每個需要通過的數(shù)據(jù)包IP字段，具有辨識欺騙性源IP地址數(shù)據(jù)包的能力，可以杜絕此類數(shù)據(jù)包通過防火墻。該型防火墻唯一的缺點是大量的狀態(tài)檢測工作可能會引起網(wǎng)絡(luò)通信的某種延時，尤其是在防火墻應(yīng)用了大量過濾規(guī)則和處在高并發(fā)性的網(wǎng)絡(luò)時。這種情況下對網(wǎng)絡(luò)的傳輸性能有一定的影響。

2.3 應(yīng)用代理防火墻

該型防火墻將所有連接在其上網(wǎng)絡(luò)通信鏈路分為內(nèi)、外兩部分，內(nèi)網(wǎng)和外網(wǎng)之間的通信經(jīng)過應(yīng)用層，通過使用兩個代理服務(wù)器實現(xiàn)通信連接。[3]這樣做的好處是：外網(wǎng)訪問連接只能到達(dá)網(wǎng)關(guān)的代理服務(wù)器，而不能直接訪問內(nèi)網(wǎng)，從而起到將內(nèi)網(wǎng)設(shè)備與外網(wǎng)隔離的作用。同時代理服務(wù)器會對流經(jīng)的數(shù)據(jù)包進(jìn)行信息采集和分析，形成流量統(tǒng)計報告，如檢測發(fā)現(xiàn)類似攻擊的操作時會向管理者發(fā)出警告，并保留攻擊痕跡，便于對已發(fā)生的攻擊和未授權(quán)的訪問事件進(jìn)行審計。應(yīng)用代理防火墻能夠?qū)μ囟ǖ木W(wǎng)絡(luò)連接進(jìn)行控制，如限制對數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)地址的訪問或?qū)μ厥釯P地址的訪問。同時，還可以通過控制部分協(xié)議的傳出請求，以縮減不必要的網(wǎng)絡(luò)服務(wù)，減少被攻擊的幾率。應(yīng)用代理防火墻的缺點是：必須在一定程度上制定用戶的網(wǎng)絡(luò)連接屬性，這樣會導(dǎo)致部分應(yīng)用程序因不支持代理連接而無法使用。

3 非法攻擊防火墻的方法

防火墻能夠?qū)W(wǎng)絡(luò)的內(nèi)部使用環(huán)境提供較好的防范，但不可避免的也存在著一些局限性，如：不能防御未流向防火墻的攻擊，也不能防御內(nèi)部人為因素的攻擊，不能防御攜帶病毒的文件傳輸以及不能防御數(shù)據(jù)驅(qū)動式的攻擊。下面列舉3種非法攻擊防火墻的方式，針對這些問題要嚴(yán)加防范。[4]

（1）利用“綠色”子網(wǎng)攻擊。這些網(wǎng)段往往得到了防火墻的允許，所以是攻擊者最常用的攻擊方法。

（2）攻擊與干擾相結(jié)合。也就是讓防火墻始終處于繁忙的狀態(tài)，在此期間進(jìn)行攻擊。過分的繁忙會導(dǎo)致防火墻臨時停機(jī)或處于失效狀態(tài)，導(dǎo)致其安全防護(hù)性能急劇下降。

（3）內(nèi)部攻擊。這一點需要特別注意。防火墻可以禁止特定網(wǎng)絡(luò)的接入訪問，而無法拒絕內(nèi)部網(wǎng)絡(luò)的攻擊。一些不懷好意的人會利用這個漏洞對防火墻發(fā)起攻勢。攻擊的目標(biāo)常常是防火墻或運行中的服務(wù)器，這類攻擊最為棘手也最難以防范。

4 防火墻在網(wǎng)絡(luò)安全中的應(yīng)用

4.1 安全服務(wù)區(qū)配置

安全服務(wù)隔離區(qū)（Demilitarized Zone）簡稱DMZ，又稱為“非軍事區(qū)”，主要作用是將部分必須公開的服務(wù)功能設(shè)置在外網(wǎng)可訪問的區(qū)域，為確保安全而又不能使外網(wǎng)直接訪問，如WEB服務(wù)和FTP服務(wù)。[5]此區(qū)域并不是將其中設(shè)備完全獨立，它依舊是內(nèi)網(wǎng)的一部分。對其進(jìn)行單獨劃分是為了服務(wù)器系統(tǒng)正常履行義務(wù)的同時保障其安全性。安全服務(wù)隔離區(qū)的建立最好結(jié)合NAT技術(shù)使用，將內(nèi)網(wǎng)服務(wù)器或者需要被外網(wǎng)訪問的主機(jī)通過地址轉(zhuǎn)換服務(wù)向外網(wǎng)開放，外網(wǎng)用戶可以訪問轉(zhuǎn)換后的IP地址，但并不清楚真實的內(nèi)網(wǎng)IP。如此，即便被發(fā)起攻擊，目標(biāo)也只是一個虛擬的IP，起到很好的內(nèi)網(wǎng)防護(hù)作用。同時還可以使用NAPT技術(shù)大幅度減少對公網(wǎng)IP的租用數(shù)量，節(jié)約企業(yè)開支。對于部分企業(yè)網(wǎng)已經(jīng)了具備邊界路由器的情況，可以在不去除原有設(shè)備的前提下進(jìn)行加裝。如在邊界路由器上添加ACL訪問控制列表，這樣路由器就具備了包過濾防火墻的功能，之后將路由器和內(nèi)網(wǎng)進(jìn)行連接，在路由器的另一個端口單獨設(shè)置一個網(wǎng)段用來做DMZ區(qū)域；或者防火墻與邊界路由器相結(jié)合使用，組成兩道安全防線，同時可以在這兩者之間設(shè)置DMZ區(qū)域，用來放置需要被外網(wǎng)訪問的服務(wù)器設(shè)備。

4.2 訪問策略配置

對于防火墻來說，合理的配置訪問策略是最為重要的。一個完善的訪問策略必須經(jīng)過實地考察、推演和實踐，并結(jié)合已有的成功案例，不能盲目設(shè)置。在與用戶探討需求分析過程中，必須要了解企業(yè)的內(nèi)外網(wǎng)絡(luò)應(yīng)用，以及這些應(yīng)用使用的源地址、目的地址和服務(wù)端口。收集以上信息后，結(jié)合應(yīng)用的使用頻率制訂合理的訪問策略，在規(guī)則表中進(jìn)行細(xì)致的排序，如將訪問次數(shù)最多的配置策略設(shè)置在控制列表的前列并做到最簡化，以提高執(zhí)行效率。

4.3 日志監(jiān)控

眾所周知，日志監(jiān)控是安全管理一個必不可少的措施。網(wǎng)絡(luò)正常運行中，日志監(jiān)控可能起不到非常重要作用。但是，當(dāng)網(wǎng)絡(luò)安全受到威脅的時候，可以從其中找到蛛絲馬跡以提前預(yù)警。在受到網(wǎng)絡(luò)攻擊后，也可利用相關(guān)的記錄信息進(jìn)行分析和總結(jié)經(jīng)驗教訓(xùn)，對后期網(wǎng)絡(luò)的安全問題進(jìn)行預(yù)防。

5 總結(jié)

快速發(fā)展的信息化社會離不開網(wǎng)絡(luò)的支持，網(wǎng)絡(luò)在保證高速運行的同時，不能忽略其安全性，沒有安全的網(wǎng)絡(luò)就沒有存在的價值。文章對防火墻技術(shù)在計算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用進(jìn)行了初步的研究，介紹了防火墻的基本功能、分類、非法攻擊防火墻的方法及其在網(wǎng)絡(luò)安全中的應(yīng)用。

［1］唐建國.防火墻的安全及其效能分析［J］.信息科技，2007，（4）.

［2］王正.網(wǎng)絡(luò)安全中的防火墻技術(shù)探討［J］.通信技術(shù)2008，（4）.

［3］Karanjit S,Chirs H.Internet. Firewall and Network Security[M].New York：New Riders publishing，2010，192-218.

［4］詹柳春.論防火墻體系結(jié)構(gòu)［J］.科技信息,2010年（7）.

［5］張燁.防火墻的研究［J］.科技視界，2012，（16）．

TP393.08

A

1673-2014（2017）05-0035-03

2017—03—18

李秀峰（1987— ），男，山西長治人，碩士，主要從事計算機(jī)網(wǎng)絡(luò)研究。

（責(zé)任編輯 張劍妹）