計算機網絡防火墻技術研究

摘要：本文細致分析了各種網絡安全問題，以及一種相應的防御對策-網絡防火墻，它技術的核心思想是在不安全的網絡環境中構造一個相對安全的子網環境。然后分析比較了各種防火墻技術的特點，為網絡安全提供了指導。

關鍵詞：網絡安全；防火墻；分組過濾；代理服務；雙宿主機

1網絡安全

1.1網絡安全概念

國際標準化組織(ISO)對計算機系統安全的定義是:為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網絡的安全理解為:通過采用各種技術和管理措施，使網絡系統正常運行，從而確保網絡數據的可用性、完整性和保密性。

1.2 Internet的安全隱患主要體現

Internet是一個開放的、無控制機構的網絡，黑客(Hacker)經常會侵入網絡中的計算機系統，或竊取機密數據和盜用特權，或破壞重要數據，或使系統功能得不到充分發揮直至癱瘓； Internet的數據傳輸是基于TCP/IP通信協議進行的，這些協議缺乏使傳輸過程中的信息不被竊取的安全措施；Internet上的通信業務多數使用Unix操作系統來支持，Unix操作系統中明顯存在的安全脆弱性問題會直接影響安全服務；在計算機上存儲、傳輸和處理的普通信息，還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實，內容是否被改動，以及是否泄露等，在應用層支持的服務協議中是憑著君子協定來維系的；電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險；計算機病毒通過Internet的傳播給上網用戶帶來極大的危害，病毒可以使計算機和計算機網絡系統癱瘓、數據和文件丟失。在網絡上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。

網絡安全防范的內容。一個安全的計算機網絡應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網絡不僅要保護計算機網絡設備安全和計算機網絡系統安全，還要保護數據安全等。因此針對計算機網絡本身可能存在的安全問題，實施網絡安全保護方案以確保計算機網絡自身的安全性是每一個計算機網絡都要認真對待的一個重要問題。網絡安全防范的重點主要有兩個方面:一是計算機病毒，二是黑客犯罪。

2 防火墻

概念：網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。設立防火墻的主要目的是保護一個網絡不受來自另一個網絡的攻擊。防火墻相當于一個控流器，可用來監視或拒絕應用層的通信業務，防火墻也可以在網絡層和傳輸層運行，在這種情況下，防火墻檢查進入和離去的報文分組的IP和TCP頭部，根據預先設計的報文分組過濾規則來拒絕或允許報文分組通過。

防火墻的基本構件和技術

篩選路由器(Screening Router)。許多路由器產品都具有根據給定規則對報文分組進行篩選的功能，這些規則包括協議的類型、特定協議類型的源地址和目的地址字段以及作為協議一部分的控制字段。篩選路由器又稱為分組過濾路由器。從我們自己的角度上看， INTERNET中的地區網、國家網和主干網都代表著一個危險區域，在危險區域內的主機對于外來攻擊的防范是很脆弱的。因此，我們當然希望把自己的網絡和主機置于危險區域之外。然而，沒有相應的設備去攔截對自己網絡的攻擊，則危險區域將會延伸至自己的網絡上。篩選路由器就是這樣一種設備，它可以用來減小危險區域，從而使其不能滲透到我們網絡的安全防線之內。

分組過濾(PacketFiltering)技術。分組過濾技術以增強篩選路由器網絡的安全性。分組過濾功能可以由許多商業防火墻產品和一些類似于Karlbridge的基于純軟件的產品來實現。但是，許多商業路由器產品都可以被編程以用來執行分組過濾功能。由于分組過濾執行在OSI模型的網絡層和傳輸層，而不是在應用層，所以這種途徑通常提供更強的透明性。在分組過濾裝置的每一個端口都可以實施網絡安全策略，這種策略描述通過該端口可存取的網絡服務的類型。如果同時有許多網段同該過濾裝置相連，則分組過濾裝置所實施的策略將變得很復雜。在解決網絡安全問題時應該避免過于復雜的方案，首先是為了便于維護和減少在配置過濾規則時出錯；其次是為了避免執行復雜的方案對設備的性能產生負作用。由于分組過濾規則的設計原則是有利于內部網絡連向外部網絡，所以在篩選路由器兩側所執行的過濾規則是不同的。

雙宿主機(Dual-HomedHost)。在TCP/IP網絡中，術語多宿主機被用來描述一臺配有多個網絡接口的主機。通常，每一個網絡接口與一個網絡相連。在以前，這種多宿主機也可以用來在幾個不同的網段間進行尋徑，術語網關用來描述由多宿主機執行的尋徑功能。但近年來人們一般用術語路由器來描述這種尋徑功能，而網關則用于描述相當于OSI模型上幾層中所進行的尋徑功能。下面介紹在雙宿主機防火墻中禁止尋徑的方法。

大多數防火墻建立在運行UNIX的機器上。為了在基于UNIX的雙宿主機中禁止進行尋徑，需要重新配置和編譯內核。在BSD UNIX系統中雙宿主機防火墻的也存在安全隱患。對安全最大的危脅是一個攻擊者掌握了直接登錄到雙宿主機的權限。登錄到一個雙宿主機上總是應該通過雙宿主機上的一個應用層代理進行。對從外部不可信任網絡進行登錄應該進行嚴格的身份驗證。還應該從雙宿主機防火墻中移走所有的影響到安全的程序、工具和服務，以免落入攻擊者的手中。

代理服務和應用層網關。代理服務(Proxy Service)使用的的方法與分組過濾器不同，代理(Proxy)使用一個客戶程序(或許經過修改)，與特定的中間結點連接，然后中間結點與期望的服務器進行實際連接。與分組過濾器所不同的是，使用這類防火墻時外部網絡與內部網絡之間不存在直接連接。因此，即使防火墻發生了問題，外部網絡也無法與被保護的網絡連接。中間結點通常為雙宿主機。代理服務可提供詳細的日志記錄( log)及審計(audit)功能，這大大提高了網絡的安全性，也為改進現有軟件的安全性能提供了可能性。

3總結

隨著Internet在我國的迅速發展，防火墻技術引起了各方面的廣泛關注。一方面在對國外信息安全和防火墻技術的發展進行跟蹤，另一方面也已經自行開展了一些研究工作。目前使用較多的，是在路由器上采用分組過濾技術提供安全保證，對其它方面的技術尚缺乏深入了解。防火墻技術還處在一個發展階段，仍有許多問題有待解決。因此，密切關注防火墻的最新發展，對推動Internet在我國的健康發展有著重要的意義。

參考文獻

[1]梅杰，許榕生.Internet防火墻技術最新發展. 微電腦世界， 2005， (6): 27-30.。

[2]袁家政.計算機網絡安全與應用技術. 北京:清華大學出版社， 2005.

[3]常紅.網絡完全技術與反黑客. 北京:冶金工業出版社， 2004.