網絡安全與防火墻技術研究

摘要：隨著Internet的迅速發展，網絡安全問題日益嚴重。解決網絡安全問題的重要手段就是防火墻技術。對防火墻技術的基本概念和系統結構進行簡單的介紹，討論了實現防火墻的兩種主要技術手段：一種是基于分組過濾技術（Packet filtering）；一種是基于代理技術(Proxy)。最后對防火墻的未來發展趨勢進行了簡單的介紹。

關鍵詞：網絡安全；防火墻；分組過濾技術；代理技術

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)34-1863-02

Network Security and Firewall Technology Research

YAN Yan1，2

(1.Chongqing Pharmaceutical College， Chongqing 400030， China; 2.Chongqing Normal University， Chongqing 400047， China)

Abstract: With the rapid development of Internet and network security issues is becoming increasingly serious. Resolve the issue of network security is an important means of firewall technology. In this paper， the basic concept of firewall technology and system architecture， discussed the firewall to achieve the two main technical means: A packet filtering technology is based on (Packet filtering); one is based on agent technology.Finally， the firewall for the future development trend of a brief introduction.

Key words: network security; firewalls; packet filtering technology; agent technology

Internet的迅速發展在提高了工作效率的同時，也帶來了一個日益嚴峻的問題：網絡安全。很多企業為了保障自身服務器或數據安全都采用了防火墻。

防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出人口，能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。

下面簡單介紹下列防火墻的基本構件和技術:篩選路由器(screening router)、分組過濾(packet filtering)技術、代理服務(Proxy Service)和應用層網關(application level gateway)。

1 篩選路由器(Screening Router)

許多路由器產品都具有根據給定規則對報文分組進行篩選的功能，這些規則包括協議的類型、特定協議類型的源地址和目的地址字段以及作為協議一部分的控制字段。例如在常用的Cisco路由器上就具有這種對報文分組進行篩選的功能，這種路由器被稱為篩選路由器。

篩選路由器可以根據協議類型和報文分組中有關協議字段的值來區別不同的網絡通信業務。路由器根據與協議相關的準則來區別和限制通過其端口的報文分組的能力被稱為報文分組過濾。因此，篩選路由器又稱為分組過濾路由器。我們首先介紹應用篩選路由器時需要考慮的安全防線設置問題。

企業網絡中的邊界被稱為安全環形防線。2005年1月，ICS報告說Internet主機數量超過3億1750萬臺。由于在INTERNET上危險的“黑客”很多，確定一個危險區域是很有用的。這個危險區域就是指通過INTERNET可以直接訪問的所有具有TCP/IP功能的網絡。篩選路由器本身不能夠消除危險區域，但它們可以極為有效地減小危險區域，從而使其不能滲透到我們網絡的安全防線之內。

2 分組過濾(Packet Filtering)技術

分組過濾可以用來實現許多種網絡安全策略。網絡安全策略必須明確描述被保護的資源和服務的類型、重要程度和防范對象。

在許多實際情況下，一個分組過濾一般都只采用簡單模型來實現網絡安全策略。在這個模型中只有兩個網段與過濾裝置相連，典型的情況是一個網段連向外部網絡，另一個連向內部網絡。通過分組過濾來限制請求被拒絕服務的網絡通信流。

當前 ，幾乎所有的分組過濾裝置(篩選路由器或分組過濾網關)都按如下方式操作:

1) 對于分組過濾裝置的有關端口必須設置分組過濾準則，也稱為分組過濾規則。

2) 當一個分組到達過濾端口時，將對該分組的頭部進行分析。大多數分組過濾裝置只檢查IP，TCP或UDP頭部內的字段。

3) 分組過濾規則按一定的順序存貯。當一個分組到達時，將按分組規則的存貯順序依次運用每條規則對分組進行檢查。

4) 如果一條規則阻塞傳遞或接收一個分組，則不允許該分組通過。

5) 如果一條規則允許傳遞或接收一個分組，則允許該分組通過。

6) 如果一個分組不滿足任何規則，則該分組被阻塞。

3 代理服務(Proxy Service)

代理服務使用的方法與分組過濾器不同，代理(Proxy)使用一個客戶程序，與特定的中間結點(通常為雙宿主機)連接，然后中間結點與期望的服務器進行實際連接。使用這類防火墻時外部網絡與內部網絡之間不存在直接連接，即使防火墻發生了問題，外部網絡也無法與被保護的網絡連接。

代理服務可提供詳細的日志記錄(log)及審計(audit)功能，這大大提高了網絡的安全性，代理服務器可運行在雙宿主機上，它是基于特定應用程序的。代理服務通常由兩個部分構成:代理服務器程序和客戶程序。相當多的代理服務器要求使用固定的客戶程序。例如SOCKS要求適應SICKS的客戶程序。如果網絡管理員不能改變所有的代理服務器和客戶程序，系統就不能正常工作。

4 應用層網關

應用層網關可以處理存儲轉發通信業務，也可以處理交互式通信業務。通過適當的程序設計，應用層網關可以理解在用戶應用層的通信業務。這樣便可以在用戶層或應用層提供訪問控制，記錄和控制所有進出通信業務。

由于每個報文分組都將由在應用層運行的軟件進行處理，主機的性能將會受到影響。每個分組都將被所有的通信層次處理兩遍，并需要在用戶層上進行處理以及轉換工作環境。應用層網關都暴露在網絡面前，因此可能需要采用其它手段來保護應用層網關主機，例如分組過濾技術。

從對上述防火墻技術的分析可以看出，這幾種模式都有一定的缺陷，因此人們正在尋找其他模式的防火墻。新一代防火墻系統不僅應該能更好地保護防火墻后面內部網絡的安全，而且應該具有更為優良的整體性能。傳統的代理型防火墻雖然可以提供較高級別的安全保護，但同時它也成為限制網絡帶寬的瓶頸。數據通過率是表示防火墻性能的參數，由于不同防火墻的不同功能具有不同的工作量和系統資源要求，因此數據在通過防火墻時會產生延時。因此未來防火墻的發展方向之一是提高防火墻的數據通過率。

多功能也是防火墻的發展方向之一，鑒于目前路由器和防火墻價格都比較高，組網環境也越來越復雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網和節省投資的需要。例如，防火墻支持廣域網口，并不影響安全性，但在某些情況下卻可以為用戶節省一臺路由器；支持部分路由器協議，如路由、撥號等，可以更好地滿足組網需要；支持IPSEC VPN，可以利用因特網組建安全的專用通道，既安全又節省了專線投資。

總之，一個好的防火墻應該具有高度安全性、高透明性和高網絡性能。此外，人們也在開展其他計算機網絡安全技術的研究。未來防火墻的發展趨勢是朝高速、多功能化、更安全的方向發展。

參考文獻：

[1] Karanjit S，Chirs H.Internet Firewall and Network Security[M].New Riders publishing，1996.

[2] 梅杰，許榕生.Internet防火墻技術最新發展[J].微電腦世界，1996，6:27-30.

[3] SALIML，MOHAMEDSB，THIERRYM G.Adaptive fuzzy control of a class of MIMO nonlinear systems[J].Fuzzy Sets and Systems，2005(151):59-77.