防火墻技術研究

摘要：防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術。本文詳細的討論了防火墻原理及分類，選擇防火墻的標準，并展望了防火墻技術的發展走向。

關鍵字：防火墻；原理；分類；標準；發展趨勢

中圖分類號：TP393.18文獻標識碼：A 文章編號：1009-3044(2008)24-1174-02

Research on Technical of Firewall

ZHU Yang-duan

(Changsha Aeronautical Vocational and Technical College， Changsha 410014， China)

Abstract:The technology of firewall is to set up the application safe practice on the basis of the network technology of modern communication and safe practice of the information. This text detailed discussion principle and classification of firewall， the standard of choosing the fire wall， have looked forward to the development trend of the technology of fire wall.

Key words:Firewall; Principle; Classification; Standard; Development trend

1 防火墻原理

防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控著內部網和Internet之間的任何活動，保證內部網絡的安全。

防火墻是網絡安全的屏障：一個防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。防火墻同時可以保護網絡免受基于路由的攻擊，防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

防火墻可以強化網絡安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件口令、加密、身份認證、審計等配置在防火墻上。跟將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。

防止內部信息的外泄：利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。另外，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger，DNS等服務。

防火墻實施拓撲結果如圖1所示。

2 防火墻技術的分類

1) 包過濾技術

包過濾防火墻工作在網絡層，對數據包的源及目地IP具有識別和控制作用，對于傳輸層，也只能識別數據包是TCP還是UDP及所用的端口信息。現在的路由器、 具有路由功能的交換機以及有些操作系統已經具有用包過濾控制的能力。由于只對數據包的IP地址、TCP/UDP協議和端口進行分析，包過濾防火墻的處理速度較快，并且易于配置。 但包過濾防火墻不能防范黑客攻擊，不支持應用層協議，不能處理新的安全威脅。

圖1防火墻實施網絡拓撲圖

2) 應用代理網關技術

應用代理網關防火墻徹底隔斷內網與外網的直接通信，內網用戶對外網的訪問變成防火墻對外網的訪問，然后再由防火墻轉發給內網用戶。所有通信都必須經應用層代理軟件轉發，訪問者任何時候都不能與服務器建立直接的TCP連接，應用層的協議會話過程必須符合代理的安全策略要求。應用代理網關的優點是可以檢查應用層、傳輸層和網絡層的協議特征，對數據包的檢測能力比較強。

3) 狀態檢測技術

狀態檢測防火墻摒棄了包過濾防火墻僅考查數據包的IP地址等幾個參數，而不關心數據包連接狀態變化的缺點，在防火墻的核心部分建立狀態連接表，并將進出網絡的數據當成一個個的會話，利用狀態表跟蹤每一個會話狀態。狀態監測對每一個包的檢查不僅根據規則表，更考慮了數據包是否符合會話所處的狀態，因此提供了完整的對傳輸層的控制能力。

網關防火墻的一個挑戰就是能處理的流量，狀態檢測技術在大為提高安全防范能力的同時也改進了流量處理速度。任何一款高性能的防火墻，都會采用狀態檢測技術。

3 防火墻的選擇標準

1) 總擁有成本防火墻產品作為網絡系統的安全屏障，其總擁有成本不應該超過受保護網絡系統可能遭受最大損失的成本。以一個非關鍵部門的網絡系統為例，假如其系統中的所有信息及所支持應用的總價值為x元，則該部門所配備防火墻的總成本也不應該超過x元。如果僅做粗略估算，非關鍵部門的防火墻購置成本不應該超過網絡系統的建設總成本，關鍵部門則應另當別論。

2) 防火墻本身是安全的

作為網絡安全產品，防火墻本身也應該保證安全，不給外部侵入者以可乘之機。防火墻的安全性問題來自兩個方面：一是防火墻本身的設計是否合理，這類問題一般用戶根本無從入手，只有通過權威認證機構的全面測試才能確定。所以對用戶來說，保守的方法是選擇一個通過多家權威認證機構測試的產品。二是使用不當，防火墻的許多配置需要系統管理員手工修改，若系統管理員對防火墻不十分熟悉，就有可能在配置過程中遺留大量的安全漏洞。

3) 管理與培訓

管理和培訓是評價一個防火墻好壞的重要方面。人員的培訓和日常維護費用通常會在總擁有成本中占據較大的比例。一家優秀的安全產品供應商必須為其用戶提供良好的培訓和售后服務。

4) 可擴充性

在網絡系統建設的初期，由于內部信息系統的規模較小，遭受攻擊造成的損失也較小，因此沒有必要購置過于復雜和昂貴的防火墻產品。但隨著網絡的擴容和網絡應用的增加，網絡的風險成本也會急劇上升，此時便需要增加具有更高安全性的防火墻產品。好的產品應該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統，而隨著要求的提高，用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資，對提供防火墻產品的廠商來說，也擴大了產品覆蓋面。

5) 防火墻的安全性

防火墻產品最難評估的方面是防火墻的安全性能，即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣，普通用戶通常無法判斷。即使安裝好了防火墻，如果沒有實際的外部入侵，也無從得知產品性能的優劣。但在實際應用中檢測安全產品的性能是極為危險的，所以用戶在選擇防火墻產品時，應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的產品。

4 防火墻的發展趨勢

1) 新需求引發的技術走向

防火墻技術的發展離不開社會需求的變化，著眼未來，防火墻技術有的新需求如下：

遠程辦公的增長：企事業在家辦公，這就要求防火墻既能抵抗外部攻擊，又能允許合法的遠程訪問，做到更細粒度的訪問控制。現在一些廠商推出的VPN（虛擬專用網）技術就是很好的解決方式。只有以指定方式加密的數據包才能通過防火墻，這樣可以確保信息的保密性，又能成為識別入侵行為的手段。

2) 黑客攻擊引發的技術走向

防火墻作為內網的貼身保鏢，黑客攻擊的特點也決定了防火墻的技術走向。

數據包的深度檢測：IT業界權威機構Gartner認為代理不是阻止未來黑客攻擊的關鍵，但是防火墻應能分辨并阻止數據包的惡意行為，包檢測的技術方案需要增加簽名檢測等新的功能，以查找已經的攻擊，并分辨出哪些是正常的數據流，哪些是異常數據流。

協同性：從黑客攻擊事件分析，對外提供Web等應用的服務器是防護的重點。單單依靠防火墻難以防范所有的攻擊行為，這就需要將防火墻技術、入侵檢測技術、病毒檢測技術有效協同，共同完成保護網絡安全的任務。目前主要支持和IDS的聯動和認證服務器進行聯動。

參考文獻：

[1] 杜淑光，陳永浩.網絡安全與防火墻技術[J].制造業自動化，2007，28(12):77-79.

[2] 蔡聞怡，陳一民.基于代理的SIP穿越NAT和防火墻方案[J].計算機工程，2007，32(22):154-156.

[3] 李林，盧顯良.一種快速的防火墻規則沖突檢測算法[J].計算機應用研究，2008，24(01):272-273.

[4] 郝文江.基于防火墻技術的網絡安全防護[J].通信技術，2007，40(07):26-28.