防火墻在網絡中的功能和作用

摘要：本文針對網絡安全問題，從防火墻的概念、傳統防火墻的不足、新一代防火墻的技術應用及發展趨勢幾個方面，論述了防火墻在網絡安全中起的重要作用及未來防火墻技術展望。

關鍵詞：防火墻；功能；不足；新一代防火墻

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)09-11593-02

The Network Firewall Function and Role

SUN Wei

(Fushun Vocational and Technical College， Fushun 113006， China)

Abstract: In this paper the issue of network security， firewall concept， the lack of traditional firewall， a new generation of firewall technology application and development of several trends， which is the firewall in network security play an important role in firewall technology and the future outlook.

Key words: firewall; Functional; Insufficient；a new generation of firewall

近年來，隨著計算機網絡技術的突飛猛進，網絡安全的問題已經日益突出地擺在各類用戶的面前。目前在互聯網上大約有將近20%以上的用戶曾經遭受過黑客的困擾。網絡安全已經成為人們日益關心的問題。目前，網絡面臨的安全威脅大體上分為兩種：一種是對網絡數據的威脅；另一種是對網絡設備的威脅。其中，來自外部和內部人員的惡意攻擊是當前因特網所面臨的最大威脅，是網絡安全策略最需要解決的問題。目前解決網絡安全問題的最有效辦法是采用防火墻。

1 防火墻概述

從字面上看，防火墻就是一種防止外界侵犯，保護自己的設施，從本質上說，是一種保護裝置，是用來保護網絡資源和數據以及用戶的信譽，

具體來說，防火墻是一類硬件配合相應的軟件，用來保護數據安全的設施。

2 什么是防火墻

防火墻原是指建筑物大廈用來防止火災蔓延的隔斷墻。我們通常所說的網絡防火墻是借鑒了古代真正用于防火的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統，是一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術，使互聯網與內部網之間建立起一個安全網關。從而保護內部網免受非法用戶的侵入。原則上，防火墻可以被認為是這樣一對機制：一種機制是攔阻傳輸流通行，另一種機制是允許傳輸流通過。那么，防火墻究竟是什么呢？實際上，防火墻是加強Internet與內部網之間安全防御的一個或一組系統，它由一組硬件設備（包括路由器、服務器）及相應軟件構成。

3 傳統的網絡防火墻存在的不足

傳統的防火墻如包過濾防火墻、代理防火墻、狀態監視防火墻都是采用逐一匹配方法，

計算量太大。因此，它們都有一個共同的缺陷——安全性越高，檢查的越多，效率越低。用一個定律來描述，就是防火墻的安全性與效率成反比。

沒有人懷疑防火墻在所有的安全設備采購中占據第一的位置。但傳統的防火墻并沒有解決網絡主要的安全問題。目前網絡安全的三大主要問題是：以拒絕訪問（DDOS）為主要目的的網絡攻擊，以蠕蟲（Worm）為主要代表的病毒傳播，以垃圾電子郵件（SPAM）為代表的內容控制。這三大安全問題覆蓋了網絡安全方面的絕大部分問題。而這三大問題，傳統的防火墻是無能為力的。

4新一代防火墻技術及應用

新一代防火墻技術不僅覆蓋了傳統包過濾防火墻的全部功能，而且在全面對抗IP欺騙、SYN Flood、ICMP、ARP等

攻擊手段方面有顯著優勢，增強代理服務，并使其與包過濾相融合，再加上智能過濾技術，使防火墻的安全性提升到又一高度。

4.1 新一代分布式防火墻技術

(1)概念：分布式防火墻負責對網絡邊界、各子網和網絡內部各節點之間的安全防護，所以“分布式防火墻”是一個完整的系統，而不是單一的產品。根據其所需完成的功能，新的防火墻體系結構包含如下部分：

①網絡防火墻；②主機防火墻；③中心管理。

(2)優勢：在新的安全體系結構下，分布式防火墻代表新一代防火墻技術的潮流，它可以在網絡的任何交界和節點處設置屏障，從而形成了一個多層次、多協議，內外皆防的全方位安全體系。

①增強系統安全性：增加了針對主機的入侵檢測和防護功能，加強了對來自內部攻擊防范，可以實施全方位的安全策略；②提高了系統性能：消除了結構性瓶頸問題，提高了系統性能；③系統的擴展性：分布式防火墻隨系統擴充提供了安全防護無限擴充的能力；④實施主機策略：對網絡中的各節點可以起到更安全的防護；⑤應用更為廣泛，支持VPN通信

4.2 新一代嵌入式防火墻技術

(1)概念：嵌入式防火墻就是內嵌于路由器或交換機的防火墻。嵌入式防火墻是某些路由器的標準配置。用戶也可以購買防火墻模塊，安裝到已有的路由器或交換機中。嵌入式防火墻也被稱為阻塞點防火墻。

(2)優勢：嵌入式防火墻能夠將防范入侵的功能分布到網絡中的每一臺PC、筆記本以及服務器。分布于整個網絡的嵌入式防火墻使用戶可以方便地訪問信息，并且不會將網絡資源暴露在非法入侵者面前。嵌入式防火墻的分布結構還可以避免由于發生某一臺端點系統的入侵而導致整個網絡受影響的情況，同時也使通過公共賬號登錄網絡的用戶無法進入限制訪問權限的計算機系統。

嵌入式防火墻解決方案能將安全防范的功能延伸到邊緣防火墻的范圍之外，并分布到網絡的終端。這一策略使網絡幾乎不受任何惡意代碼或黑客攻擊的威脅。即使攻擊者完全通過了防火墻的防護并取得了運行防火墻主機的控制權，也將寸步難行。

4.3 新一代智能防火墻技術

智能防火墻從技術特征上，是利用統計、記憶、概率和決策的智能方法來對數據進行識別，并達到訪問控制的目的。新的數學方法，消除了匹配檢查所需要的海量計算，高效發現網絡行為的特征值，直接進行訪問控制。由于這些方法多是人工智能學科采用的方法，因此被稱為智能防火墻。

智能防火墻的關鍵技術有：

(1)防范惡意數據攻擊；(2)防范黑客攻擊；(3)防范MAC欺騙和IP欺騙；(4)入侵防御；(5)防范潛在風險與傳統防火墻相比，智能防火墻在保護網絡和站點免受黑客的攻擊、阻斷病毒的惡意傳播、有效監控和管理內部局域網、

保護必需的應用安全、提供強大的身份認證授權和審計管理等方面，都有廣泛的應用價值。

5 防火墻技術展望

隨著網絡處理器和ASIC芯片技術的不斷革新，高性能、多端口、高粒度控制、減緩病毒和垃圾郵件傳播速度、對入侵行為智能切斷、以及增強抗DoS攻擊能力的防火墻，將是未來防火墻發展的趨勢。

5.1 高性能的防火墻需求

高性能防火墻是未來發展的趨勢，突破高性能的極限就是對防火墻硬件結構的調整。ASIC技術雖然開發難度大，但卻能夠保障系統的效率并很好地集成防火墻的功能，在今后網絡安全防護的路途上，防火墻采用ASIC芯片技術將要成為主導地位。

5.2 管理接口和SOC的整合

如果把信息安全技術看做是一個整體行為的話，那么面對防火墻未來的發展趨勢，管理接口和SOC整合也必須考慮在內，畢竟安全是一個整體，而不是靠單一產品所能解決的。隨著安全管理和安全運營工作的推行，SOC做為一種安全管理的解決方案已經得到大力推廣。

5.3 抗DoS能力

從近年來網絡惡性攻擊事件情況分析來看，解決DoS攻擊也是防火墻必須要考慮的問題了。利用ASIC芯片架構的防火墻，可以利用自身處理網絡流量速度快的能力，來解決存在于這個問題上的攻擊事件。但是，解決這個問題并不是單單靠ASIC芯片架構就可以的，更多的還是面向對應用層攻擊的問題，有待于新技術的出現。

5.4 減慢蠕蟲和垃圾郵件的傳播速度的功能

作為網絡邊界的安全設備，未來防火墻發展趨勢中，減緩和降低蠕蟲病毒與垃圾郵件的傳播速度，是必不可少的一部分了。加強防火墻對數據處理中的粒度和力度，已經成為未來防火墻對數據檢測高粒度的發展趨勢。

5.5 對入侵行為的智能切斷

安全是一個動態的過程，而對于入侵行為的預見和智能切斷，做為邊界安全設備的防火墻來說，也是未來發展的一大課題。從IPS的出發角度考慮，未來防火墻必須具備這項功能。具備對入侵行為智能切斷的一個整合型、多功能的防火墻，將是市場的需求。

5.6 多端口并適合靈活配置

多端口的防火墻能為用戶更好的提供安全解決方案，而做為多端口、靈活配置的防火墻，也是未來防火墻發展的趨勢。

5.7 專業化的發展

單向防火墻、電子郵件防火墻、FTP防火墻等針對特定服務的專業化防火墻將作為一種產品門類出現。 總的來說，未來的防火墻將是智能化、高速度、低成本、功能更加完善、管理更加人性化的網絡安全產品的主力軍。

參考文獻：

[1] 袁家政.計算機網絡安全與應用技術[M].北京:清華大學出版社，2002.

[2] 常紅.網絡完全技術與反黑客[M].長春:冶金工業出版社，2001.

[3] 張兆信.計算機網絡安全與應用[M].北京:機械工業出版社，2005.

[4] 李大友.計算機網絡安全.北京:清華大學出版社，2005.

[5] 徐國愛.網絡安全.北京:北京郵電大學出版社，2003.

[6] 屈長青.防火墻及其維護技術研究.沈陽化工學院學報，2002，15.