計算機防火墻的體系配置與選擇實施技術

摘要：計算機已經滲透到日常生活的各個層面，防火墻的建立、使用和維護日益重要，本文分析了計算機防火墻的體系結構和實施技術，并提出了不同用戶的選擇實施方案建議。

關鍵詞：防火墻技術；體系配置；選擇實施

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)15-20ppp-0c

Deploy and Implementation of Computer Firewall System

ZHOU Li

(Yunnan Jinma Machinery General Factory，Kunming 650102，China)

Abstract:Internet security is not only related to the further development of the Internet and popularity even linked to the Internet to survive.Computer security are many factors to establish an absolute security of information systems，how to build better security defenses，ensure the transmission of information security，the firewall has become the computer technology to examine the important issues of the world.This article analyzed not only the history of the firewall but also how to built up a strong firewall in the future.

Key words:Firewall technology;System structure; Choice implementation

隨著計算機網絡技術的不斷發展和完善，計算機網絡的應用已經滲透到人們日常生活的各個方面，對社會各個領域的發展產生了重要影響。我們生活和工作中的許多數據、資源與信息都通過計算機系統來存儲和處理，伴隨著網絡應用的發展，這些信息都通過網絡來傳送、接收和處理。然而，由于計算機網絡在設計之初只考慮了它的開放性、共享性而忽略了它的安全性，構成計算機網絡的許多要素從網絡操作系統到網絡傳輸協議 TCP/IP 以及各種網絡服務軟件都存在著設計缺陷或者系統漏洞，使得一些重要的計算機網絡系統極易成為黑客惡意攻擊的目標。為了維護計算機網絡的安全，人們提出了許多手段和方法，采用防火墻是其中最核心、最有效的手段之一。

1 防火墻的體系結構

防火墻系統通常是由過濾路由器和代理服務器組成。對于一個典型的防火墻的體系結構來說，它包括屏蔽路由器、雙宿主主機、被屏蔽主機，被屏蔽子網等類型。

1.1 屏蔽路由器

這是防火墻最基本的構件，它可以由廠家專門生產的路由器實現，也可以由主機來實現。屏蔽路由器作為內外連接的唯一通道，要求所有的報文都必須在此通過檢查。路由器上可以裝有基于IP層的報文過濾軟件，實現報文過濾功能。它的缺點是一旦被攻陷之后很難發現，而且不能識別不同的戶。

1.2 雙宿主主機

雙宿主主機結構是一臺至少裝有兩塊網卡或者說至少具有兩個網絡接口的堡壘主機構成的。其中的兩塊網卡分別和內網和外網相連，而防火墻的功能則是用堡壘主機運行的防火墻軟件來實現。采用雙宿主主機結構時，允許內網和外網與雙宿主主機進行連接，但是不允許內網和外網直接通信。雙宿主主機將在內網和外網的信息完全切斷了，從而保護了內部網絡。這種結構的優點是它可以利用堡壘主機中記錄下的各種日志，可以便于日后檢查。但是由于只有堡壘主機這一道屏障，一旦被攻破，那么防火墻就不會再起作用，整個內網完全暴露了出來。所以為了保護內網，雙宿主主機要禁止網絡層的路由功能，加強身份認證系統，盡量減少在堡壘主機上的用戶的帳戶數目。

1.3 屏蔽主機網關

屏蔽主機網關是由過濾路由器和應用網關組成的。這種結構使用了一臺過濾路由器，它提供來自僅僅與內部網絡相連的主機的服務，也即強迫所有到達路由器的數據包被發送到被屏蔽主機。對于這種結構來說，堡壘主機是配置在內部網絡上的，而在內網和外網之間放有包過濾路由器。并且在路由器上設定好規則，使從外網來的數據必須要經過堡壘主機，而去往其它主機上的信息被阻塞了。在這種體系結構中，主要的安全是由數據包過濾提供的，而數據包過濾的設置必須要保證堡壘主機是內網和外網之間的唯一通道。同雙宿主主機結構一樣，堡壘主機也是至關重要的地方。此時它提供了眾多的網絡服務，例如：郵件服務器、新聞服務器、DNS 服務器，打印服務器或文件服務等等，因此它的安全配置重要到直接決定了整個內網的安全。

1.4 被屏蔽子網

在屏蔽主機網關的結構中，我們可以看到堡壘主機是受到攻擊的主要部分，而且也使得內網的安全完全依靠于堡壘主機。那么如果在屏蔽主機網關的結構中多用上一臺路由器，而這臺路由器的意義主要在于構建一個安全子網在內網和外網之間。如果入侵者想攻入內網的話，那么他就必須在攻破堡壘主機之后，還要面對內部路由器，大大提高了安全性。這種結構就是當然具體建造防火墻時，為了解決安全問題，通常進行多種組合以便發揮更大的作用。

2 防火墻的安全防護措施及選擇和實施

2.1 防火墻的安全防護措施

防火墻攻擊可以分為三部：防火墻探測、繞過防火墻的攻擊和破壞性攻擊。在防火墻探測攻擊中，一旦攻擊者標識出目標網絡的防火墻，就能確定它們的部分脆弱點。對于這一類攻擊，可以通過設置防火墻過濾規則把出去的ICMP 數據包過濾掉，或者可以在數據包進入防火墻時，檢查IP數據包的TTL值。如果為1或者0則丟棄，且不發出任何ICMP數據包來達到防止這種探測的目的。繞過防火墻攻擊通常是利用地址欺騙、TCP序列號等手段繞過防火墻的認證機制。可以在配置防火墻時過濾掉那些進來數據包的源地址是內部地址的數據包來達到防范IP欺騙攻擊；對源路由攻擊所采取的防御方法就是簡單丟棄所有包含源路由選項的數據包；對于分片攻擊目前可行的解決方案是在分片進入內部網絡之前防火墻對其進行重組，但是這增加了防火墻的負擔，也影響防火墻傳發數據包的效率；木馬攻擊是比較常用的攻擊手段，最好的防范就是避免木馬的安裝以及在系統上安裝木馬檢測工具。

2.2 防火墻的選擇和實施

2.2.1 選擇

首先是明確目的。想要如何操作這個系統，亦即只允許想要的工作通過，比如某企業只需要電子郵件服務，則該企業將防火墻設置為只允許電子郵件服務通過，而禁止FTP．WWW等服務；還是允許多種業務通過防火墻，但要設置相應的監測、計量、注冊和稽核等。其次是想要達到什么級別的監測和控制。根據網絡用戶的實際需要，建立相應的風險級別，隨之便可形成一個需要監測、允許、禁止的清單，再根據清單的要求來設置防火墻的各項功能。

第三是費用問題。安全性越高，實現越復雜，費用也相應的越高，反之費用較低，這就需要對網絡中需保護的信息和數據進行詳細的經濟性評估。一般網絡安全防護系統的造價占需保護的資源價值的1%左右。所以在裝配防火墻時，費用與安全性的折衷是不可避免的，這也就決定了“絕對安全”的防火墻是不存在的?？梢栽诂F有經濟條件下盡可能科學的配置各種防御措施，使防火墻充分地發揮作用。

2.2.2 防火墻的實施技術

2.2.2.1 網絡地址轉換技術(NAT)

NAT現在已成為防火墻的主要技術之一。通過此項功能可以很好地屏蔽內部網絡的IP地址，對內部網絡用戶起到了保護作用。NAT又分“SNAT(SourceNAT)”和“DNAT(Des-tinationNAT)”。SNAT就是改變轉發數據包的源地址，對內部網絡地址進行轉換，對外部網絡是屏蔽的，使得外部非法用戶對內部主機的攻擊更加困難。而DNAT就是改變轉發數據包的目的地址，外部網絡主機向內部網絡主機發出通信連接時，防火墻首先把目的地址轉換為自己的地址，然后再轉發外部網絡的通信連接，這樣實際上外部網絡主機與內部網絡主機的通信變成了防火墻與內部網絡主機的通信，這樣就有效地保護了內部主機的信息安全。

2.2.2.2 加密技術

加密技術分為兩類:即對稱加密和非對稱加密。在對稱加密技術中，對信息的加密和解密都使用相同的鑰匙，這種加密方法可簡化加密處理過程。在非對稱加密體系中，密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密，私有密鑰用于解密?，F在許多種類的防火墻產品都采用了加密技術來保證信息的安全。

2.2.2.3 多級的過濾技術

防火墻采用分組、應用網關和電路網關的三級過濾措施來實現其功能。在分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址；在應用網關一級，能利用SMTP等各種網關，控制和監測Internet提供的所有通用服務；在電路網關一級，實現內部主機與外部站點的透明連接，并對服務的執行嚴格控制。

3 結束語

在互聯網高速發展的時代，人們在享受眾多快捷信息的同時，網絡安全問題也變的日趨重要。防火墻作為維護網絡安全的第一道防線，被認為是威力最大、效果最好的有利保護措施，已成為保障計算機網絡安全不可缺少的必備工具，并得到了廣泛的應用，但是我們也不能過分依賴防火墻，防火墻不是萬能的，網絡的安全是一個整體，并不是有某一樣特別出色的配置，所以我們要合理的應用防火墻，使它發揮最大的功效，為我們提供更安全的保障。

參考文獻：

[1]周明全，呂林濤，李軍懷.網絡信息安全技術.西安電子科技大學出版社，2005年12月，P143-150.

[2]朱鵬.基于狀態包過濾的防火墻技術.微計算機工程，2005年3月， P197-199.

[3]吳功宜.計算機網絡.清華大學出版社，2005年9月，P386-392.

[4]胡道元，閔京華.網絡安全.清華大學出版社，2005年9月，P145-167.

[5](美)Anne Carasik-Henmi，等.李華飚，柳振良，王恒，等.防火墻核心技術精解.中國水利水電出版社，2005年12月，P256-277.

[6]王代潮.曾能超防火墻技術的演變及其發展趨勢分析，信息安全與通信保密，2005年7月.

收稿日期：2008-02-02

作者簡介：周立（1971-），男，云南昆明人，研究方向：機械加工，管理方面及計算機開發應用工作。