防火墻網絡安全研究

摘要：文中就信息網絡安全內涵發生的根本變化，闡述我國發展民族信息安全體系的重要性及建立有中國特色的網絡安全體系的必要性。論述了網絡防火墻安全技術的分類及其主要技術特征。

關鍵詞：網絡安全；防火墻技術

1 引 言

21世紀全世界的計算機都將通過Internet聯到一起，信息安全的內涵也就發生了根本的變化。網絡已經成為了人類所構建的最豐富多彩的虛擬世界，網絡的迅速發展，給我們的工作和學習生活帶來了巨大的改變。我們通過網絡獲得信息，共享資源。它不僅從一般性的防衛變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網絡社會的時候，我國將建立起一套完整的網絡安全體系，特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。隨著網絡的延伸，安全問題受到人們越來越多的關注。在網絡日益復雜化，多樣化的今天，如何保護各類網絡和應用的安全，如何保護信息安全，成為了本文探討的重點。

幾乎所有接觸網絡的人都知道網絡中有一些費盡心機闖入他人計算機系統的人，他們利用各種網絡和系統的漏洞，非法獲得未授權的訪問信息。不幸的是如今攻擊網絡系統和竊取信息已經不需要什么高深的技巧。網絡中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。不需要去了解那些攻擊程序是如何運行的，只需要簡單的執行就可以給網絡造成巨大的威脅。甚至部分程序不需要人為的參與，非常智能化的掃描和破壞整個網絡。這種情況使得近幾年的攻擊頻率和密度顯著增長，給網絡安全帶來越來越多的安全隱患。

我們可以通過很多網絡工具，設備和策略來保護不可信任的網絡。其中防火墻是運用非常廣泛和效果最好的選擇。它可以防御網絡中的各種威脅，并且做出及時的響應，將那些危險的連接和攻擊行為隔絕在外。從而降低網絡的整體風險。

網絡安全產品有以下幾大特點：第一，網絡安全來源于安全策略與技術的多樣化，如果采用一種統一的技術和策略也就不安全了；第二，網絡的安全機制與技術要不斷地變化；第三，隨著網絡在社會個方面的延伸，進入網絡的手段也越來越多，因此，網絡安全技術是一個十分復雜的系統工程。

信息安全是國家發展所面臨的一個重要問題。對于這個問題，我們還沒有從系統的規劃上去考慮它，從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分，而且應該看到，發展安全產業的政策是信息安全保障系統的一個重要組成部分，甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。

2 網絡防火墻技術概述

古時候， 人們常在寓所之間砌起一道磚墻， 一旦火災發生， 它能夠防止火勢蔓延到別的寓所。自然， 這種墻因此而得名“防火墻”。現在， 如果一個網絡接到了Internet上面， 它的用戶就可以訪問外部世界并與之通信。但同時， 外部世界也同樣可以訪問該網絡并與之交互。為安全起見，可以在該網絡和Internet之間插入一個中介系統， 豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網絡對本網絡的威脅和入侵， 提供扼守本網絡的安全和審計的唯一關卡。這種中介系統也叫做“防火墻”， 或“防火墻系統”。

簡言之， 一個防火墻在一個被認為是安全和可信的內部網絡和一個被認為是不那么安全和可信的外部網絡(通常是Internet)之間提供一個封鎖工具。在使用防火墻的決定背后， 潛藏著這樣的推理: 假如沒有防火墻， 一個網絡就暴露在不那么安全的Internet諸協議和設施面前， 面臨來自Internet其他主機的探測和攻擊的危險。在一個沒有防火墻的環境里， 網絡的安全性只能體現為每一個主機的功能， 在某種意義上， 所有主機必須通力合作， 才能達到較高程度的安全性。網絡越大， 這種較高程度的安全性越難管理。隨著安全性問題上的失誤和缺陷越來越普遍， 對網絡的入侵不僅來自高超的攻擊手段， 也有可能來自配置上的低級錯誤或不合適的口令選擇。因此， 防火墻的作用是防止不希望的、未授權的通信進出被保護的網絡， 迫使單位強化自己的網絡安全政策。

網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。

目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。

雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統，提出了防火墻概念后，防火墻技術得到了飛速的發展。

防火墻處于5層網絡安全體系中的最底層，屬于網絡層安全技術范疇。在這一層上，企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網絡系統?如果答案是“是”，則說明企業內部網還沒有在網絡層采取相應的防范措施。

作為內部網絡與外部公共網絡之間的第一道屏障，防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看，防火墻處于網絡安全的最底層，負責網絡間的安全認證與傳輸，但隨著網絡安全技術的整體發展和網絡應用的不斷變化，現代防火墻技術已經逐步走向網絡層之外的其他安全層次，不僅要完成傳統防火墻的過濾任務，同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。

根據防火墻所采用的技術不同，我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和監測型。

2.1 包過濾型

包過濾型產品是防火墻的初級產品，其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的，數據被分割成為一定大小的數據包，每一個數據包中都會包含一些特定信息，如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發現來自危險站點的數據包，防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。

包過濾技術的優點是簡單實用，實現成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。

但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址，騙過包過濾型防火墻。

2.2 網絡地址轉化—NAT

網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。

在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。

2.3 代理型

代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。從客戶機來看，代理服務器相當于一臺真正的服務器;而從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時，首先將數據請求發給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業內部網絡系統。

代理型防火墻的優點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復雜性。

2.4 監測型

監測型防火墻是新一代的產品，這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測，在對這些數據加以分析的基礎上，監測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種檢測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中，不僅能夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計，在針對網絡系統的攻擊中，有相當比例的攻擊來自網絡內部。因此，監測型防火墻不僅超越了傳統防火墻的定義，而且在安全性上也超越了前兩代產品

雖然監測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻，但由于監測型防火墻技術的實現成本較高，也不易管理，所以目前在實用中的防火墻產品仍然以第二代代理型產品為主，但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮，用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求，同時也能有效地控制安全系統的總擁有成本。

實際上，作為當前防火墻產品的主流趨勢，大多數代理服務器(也稱應用網關)也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用的，應用網關能提供對協議的過濾。例如，它可以過濾掉FTP連接中的PUT命令，而且通過代理應用，應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點，使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。防火墻產品不能替代墻內的謹慎的安全措施。防火墻在當今Internet世界中的存在是有生命力的。它是一些對高級別的安全性有迫切要求的機構出于實用的原因建造起來的， 因此， 它不是解決所有網絡安全問題的萬能藥方， 而只是網絡安全政策和策略中的一個組成部分。

參考文獻：

[1]李建軍.淺談企業級防火墻選購[J].信息技術與信息化， 2006(03):77-78.

[2]周利江.醫院網絡系統防火墻的選擇[J].醫療裝備， 2005(08):30-31.

[3]肖曉.教育系統網絡安全新貴EDU[J].中國教育網絡， 2005(07):76.

[4]曾志峰，楊義先.網絡安全的發展與研究[J].計算機工程與應用， 2000(10):1-3.

收稿日期：2007-12-20

作者簡介：陳梁（1979-），男，助理工程師，畢業于海軍工程大學，研究方向：計算機應用。