防火墻的發展近狀分析

【摘要】防火墻是一個分離器，一個限制器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。

【關鍵詞】防火墻;計算機

【中圖號】TP30【文獻標示碼】A【文章編號】1005-1074(2009)03-0081-01

防火墻是一個分離器，一個限制器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。設置在不同網絡或不同的安全域之間。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。實現網絡和信息安全的基礎設施。防火墻技術無論從技術上還是產品發展歷程上，都經歷了五個發展階段。第一代防火墻技術幾乎與路由器同時出現，采用了包過濾技術。1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應用層防火墻的初步結構。1992年，USC信息科學院開發出了基于動態包過濾技術的第四代防火墻，后來演變為目前所說的狀態監視技術。1994年，以色列的CheckPoint公司開發出了第一個采用這種技術的商業化的產品。第五代防火墻是1998年，NAI公司推出了一種自適應代理技術，并在其產品中得以實現，給代理類型的防火墻賦予了全新的意義。高級應用代理的研究，克服速度和安全性之間的矛盾，可以稱之為第五代防火墻。前五代防火墻技術都是采用逐一匹配方法，計算量太大。包過濾是對IP包進行匹配檢查，狀態檢測包過濾除了對包進行匹配檢查外還要對狀態信息進行匹配檢查，應用代理對應用協議和應用數據進行匹配檢查。因此，它們都有一個共同的缺陷，安全性越高，檢查的越多，效率越低。就是說防火墻的安全性與效率成反比。

1防火墻的分類

目前按使用技術劃分為兩類：包過濾型和代理型。包過濾型防火墻又可分為靜態包過濾和狀態監測型防火墻。

1.1靜態包過濾防火墻靜態包過濾防火墻工作在OSI模型的網絡層或TCP/IP協議模型的IP層，依據系統事先制定好的規則，檢查數據流中的每個數據包，根據數據包的源地址、目的地址、所用的端口號、數據的對話協議、數據包頭中的各種標志位等因素，或它們的組合來確定是否允許該數據包通過。包過濾防火墻的優點：邏輯簡單，價格便宜，對網絡性能的影響較小，有較強的透明性。與應用層無關，無須改動任何客戶機和主機上的應用程序，易于安裝和使用。包過濾防火墻的缺點為：配置包過濾防火墻，需要對各種協議有深入的了解，否則容易出現因配置不當帶來的問題。各種安全要求難以得到充分的滿足。不能防止地址欺騙、及外部客戶與內部主機直接連接，不提供用戶鑒別機制。

1.2狀態包過濾防火墻由于靜態包過濾防火墻為了實現通信，它必須保持規則中允許通訊的端口是開放的。這就為攻擊者提供了機會。在狀態包過濾中它根據數據包的頭信息打開或關閉端口。狀態包過濾防火墻采用了一個在網關上執行網絡安全策略的模塊，叫監測模塊。監測模塊工作在鏈路層和IP層之間對網絡通信的各層實施監測分析，提取相關的通信和狀態信息，并在動態連接表中進行狀態及上下文信息的存儲和更新。這些表被持續更新，為下一個通訊提供累積的數據。狀態包過濾防火墻的優點：①減少端口開放時間。②支持幾乎所有服務。狀態包過濾防火墻的缺點：①允許外部客戶和內部主機的直接連接。②不提供用戶鑒別機制。

1.3代理防火墻代理防火墻又分為：①應用級網關防火墻。②電路級網關防火墻。

1.3.1應用級網關防火墻應用級網關防火墻也稱為應用代理服務器。工作于OSI模型或者TCP/IP模型的應用層，用來控制應用層服務，起內外網絡之間申請服務時的轉接作用。當外部網絡向內部網絡申請服務時，內部網絡只接受代理提出的服務請示，拒絕外部網絡中其他節點直接請求。應用網關的優點：易于配置，界面友好。不允許外部網絡中節點的直接連接。可以提供比包過濾更詳細的日志記錄，例如在一個HTTP連接中，包過濾只能記錄單個數據包，而應用網關還可以記錄文件名、URL等信息。可以隱藏內部IP地址。可以給單個用戶授權。可以為用戶提供透明的加密機制。可以與認證、授權等安全手段方便地集成。代理技術的缺點：①代理速度比包過濾慢。②代理對用戶不透明，給用戶的使用帶來不便，而這種代理技術需要針對每種協議設置一個不同的代理服務器。

1.3.2電路級網關防火墻電路級網關是一個通用代理服務器，它工作于OSI互聯模型的會話層或是TCP/IP協議模型的TCP層，它適用于多個協議，但它不能識別在同一個協議棧上運行的不同的應用當然也就不需要對不同的應用設置不同的代理模塊，這種代理需要對客戶端進行適當的修改。電路級網關接受客戶端的連接請求，代表客戶端完成網絡連接，對數據包起轉發作用，數據包被提交給用戶的應用層來處理。通過電路級網關傳遞的數據起源于防火墻，隱藏了被保護的網絡信息。

2安全評估標準

評估是衡量產品安全性的重要手段。安全評估準則是對其進行評價的重要依據，還具指導安全產品的發展的職責。20世紀80年代，美國國防部基于軍事計算機系統的保密需要，在20世紀70年代的基礎理論研究的成果“計算機保密模型”的基礎上，制定了“可信任計算機標準評估準則”（TCSEC），其后又制定了關于網絡系統、數據庫系統等方面的一系列安全解釋，形成了安全信息系統體系結構的最早原則。近年來，6國7方(美國國家安全局和國家技術標準研究所、英、加、德、法、荷)共同提出了“信息技術安全評價通用準則”(CC for ITSEC)。CC綜合了多個國家的安全標準和技術標準的精華，給出了相應框架和原則要求。被ISO頒布為國際標準。我國在充分借鑒國際標準制定了自己的安全評估標準《計算機信息系統安全保護等級劃分準則》，該準則將計算機系統安全保護能力分為五個等級，自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級。隨著安全等級和增高而逐漸增強。