防火墻技術的研究

摘要:防火墻是集包過濾技術、代理服務技術、入侵檢測技術等多種技術的安全平臺，是現代網絡安全防范的重要設備。該文針對各種主流防火墻體系結構、應用現狀及優缺點比較，探討防火墻技術今后的發展方向。

關鍵詞:網絡安全;防火墻;應用網關

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-7053-03

Study on the Firewall Technology

LV Juan

(Information Management Department， Zhejiang Administrative Institute， Hangzhou 311121， China)

Abstract: firewall is security platform with several technologywhich is packet filtering technology， proxy service technology， intrusion detection technology .firewallis an importantdevicein modern securitynetwork. This article proposed a variety of mainstream firewall architecture， application and the advantages and disadvantages of firewall technology， and has carried on the discussion to the future direction of development.

Key words: network security; firewall; application gateway

網絡一般是基于TCP/IP協議并采用了Internet的通信標準和Web信息流通模式的Intranet，它具有開放性，因而使用極其方便。但開放性卻帶來了系統入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決，就可能出現商業秘密泄漏、設備損壞、數據丟失、系統癱瘓等嚴重后果，因此需要一個更安全的網絡系統。

針對網絡存在的眾多隱患，各個用戶實施了安全防御措施，其中包括防火墻技術、數據加密技術、認證技術、PKI技術等，但其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文將就防火墻技術概況做個簡要分析。

1 防火墻定義

“防火墻”是一種形象的說法，其實它是一種保護計算機網絡的技術性措施，由計算機硬件和軟件的組合，在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡，使互聯網與內部網之間建立起一個安全網關( scurity gateway)，從而保護內部網免受非法用戶的侵入。實踐中最常見的防火墻關系模型可用圖1來概括，是一個把互聯網與內部網隔開的屏障。

在網絡中，防火墻還應具備廣泛的服務支持的特性:如通過將動態的、應用層的過濾能力和認證相結合，可實現WWW瀏覽器、HTTP服務器、 FTP等，滿足客戶端認證只允許指定的用戶訪問內部網絡或選擇服務。

防火墻如果從實現方式上來分，可分為硬件防火墻和軟件防火墻兩類，我們通常意義上講的硬防火墻為硬件防火墻，它是通過硬件和軟件的結合來達到隔離內、外部網絡的目的，價格較貴，效果較好，一般應用于大中型企事業單位。軟件防火墻通過純軟件的方式來實現對，價格便宜，但軟件防火墻只能通過一定的規則來達到限制一些非法用戶訪問內部網的目的，功能不全面。例如天網防火墻個人及企業版、Norton防火墻個人及企業版，還有許多殺病毒軟件目前已集成了軟件防火墻，如江民、瑞星、金山等。

2 防火墻分類

2.1 技術上的分類

硬件防火墻從技術上來分為包過濾型防火墻和應用代理型防火墻。

包過濾型防火墻是作用在網絡層和傳輸層，它根據分組包頭源地址，目的地址和端口號、協議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端，其余數據包則被從數據流中丟棄。這種分組過濾技術公在網絡層和傳輸層起作用。隨著包過濾技術的發展，產生了狀態檢測包過濾技術。狀態檢測的包過濾利用狀態表跟蹤每一個網絡會話的狀態，對每一個包的檢查不僅根據規則表，更考慮了數據包是否符合會話所處的狀態，規范了網絡層和傳輸層行為，因而狀態檢測防火墻提供了更完整的對傳輸層的控制能力。

應用代理型防火墻也叫應用網關(Application Gateway)，它作用在應用層，其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。實際中的應用網關通常由專用工作站實現。應用代理型防火墻是內部網與外部網的隔離點，起著監視和隔絕應用層通信流的作用。同時也常結合入過濾器的功能。由于它工作在最高層，掌握著應用系統中可用作安全決策的全部信息。包過濾防火墻的缺點和不足，可以在應用層解決。

2.2 架構上的分類

硬件防火墻如果從架構上來劃分可分為x86、ASIC、NP幾類。

從性能的角度分析，基于Intel x86架構的千兆防火墻，由于受CPU處理能力和PCI總線速度的制約，性能和功能不能達到網絡安全和網絡性能間的統一。從功能的角度分析，基于通用處理器的x86架構上開發的防火墻功能實用，可擴充性非常好;基于ASIC的防火墻雖然在性能上非常強大，但是在功能性、靈活性和可擴充性等方面較弱。

基于ASIC技術的防火墻是公認的滿足千兆環境骨干級應用的技術方案，可使防火墻達到線速千兆。采用ASIC技術可以為防火墻應用設計專門的數據包處理流水線，優化存儲器等資源的利用。但ASIC技術開發成本高、開發周期長且難度大，而且ASIC技術在國外已經歷了10多年的發展，而國內廠商要采用ASIC技術難度卻很大。

網絡處理器(NP)是專門為處理數據包而設計的可編程處理器，它具有完全的可編程性、簡單的編程模式、最大化系統靈活性、高處理能力、高度功能集成、開放的編程接口以及第三方支持能力。它的特點是內含了多個數據處理引擎，這些引擎可以并發進行數據處理工作，在處理2到4層的分組數據上比通用處理器具有明顯的優勢，能夠直接完成網絡數據處理的一般性任務。硬件體系結構大多采用高速的接口技術和總線規范，具有較高的I/O能力，包處理能力得到了很大提升。從產品特性上講，NP架構下的產品批量生產成本比x86架構要高，而NP的計算能力又比ASIC要低。但NP防火墻具有更高的集成度，并以分布式的存儲系統，能夠勝任高帶寬的線速處理。基于網絡處理器架構的防火墻與基于通用CPU架構的防火墻相比，在性能上可以得到很大的提高。

3 防火墻系統優缺點分析

防火墻作為一種防護手段，對維護網絡安全起到了一定的作用，但并非萬無一失，它只能防護經過自身的非法訪問和攻擊;它雖然能夠針對所有服務進行安全檢查，過濾其是否合法，但不能有效地杜絕所有惡意數據包，比如某些惡意訪問可以通過內部網某臺機器中的后門軟件繞過防火墻，利用合法的連接傳輸非法數據。防火墻還不能直接攔截帶病毒的數據在網絡之間傳播，對數據驅動式攻擊也缺少防范識別能力。

3.1 包過濾防火墻優缺點分析

包過濾防火墻是兩個網絡之間訪問的唯一來源，它對每條傳入和傳出網絡的包實行低水平控制，每個IP包的字段都被檢查，例如源地址、目的地址、協議、端口等。防火墻將基于這些信息應用過濾規則，可以識別和丟棄帶欺騙性源IP地址的包。由于包過濾技術是完全基于網絡層的安全的技術，無法識別基于應用層的惡意侵入。

使用包過濾防火墻的缺點還包括:1) 配置困難。因為包過濾防火墻很復雜，人們經常會忽略建立一些必要的規則，或者錯誤配置了已有的規則，這樣就留下了漏洞。2) 為特定服務開放的端口必然存在著一定的受攻擊的風險，可能會被用于其他傳輸。比如Web服務器默認的80端口。

3.2 狀態檢測防火墻優缺點分析

狀態檢測防火墻由于采用了一系列優化技術，狀態檢測包過濾的性能也明顯優于簡單包過濾產品，尤其是在一些規則復雜的大型網絡上。狀態檢測防火墻的缺點就是所有這些記錄、測試和分析工作可能會造成網絡連接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網絡通信的規則存在時。隨著硬件速度的發展，這個問題就會變得不易察覺。

3.3 應用代理防火墻優缺點分析

應用代理防火墻可以說就是為防范應用層攻擊而設計的，使用應用程序代理防火墻的優點有:1) 應用網關代理的優點是既可以隱藏內部IP地址，也可以給單個用戶授權，即使攻擊者盜用了一個合法的IP地址，也通不過嚴格的身份認證。2) 指定對連接的控制，例如允許或拒絕基于服務器IP地址的訪問，或者是允許或拒絕基于用戶所請求連接的IP地址的訪問。3) 通過限制某些協議的傳出請求，來減少網絡中不必要的服務。4) 大多數代理防火墻能夠記錄所有的連接，包括地址和持續時間。這些信息對追蹤攻擊和發生的未授權訪問的事件事很有用的。

使用應用程序代理防火墻的缺點有:1) 必須在一定范圍內定制用戶的系統。2) 應用網關的認證要求使得應用網關不透明，用戶每次連接都要受到認證，這給用戶帶來許多不便。這種代理技術需要為每個應用寫專門的程序，但一些應用程序根本就不支持代理連接。

4 防火墻技術結合與改進

4.1 多級過濾技術

多級過濾技術是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾(網絡層)一級，過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級，遵循過濾規則，過濾掉所有禁止出或/和入的協議和有害數據包如nuke包、圣誕樹包等;在應用應用層一級，能利用FTP、SMTP等各種網關，控制和監測Internet提供的所用通用服務，這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網絡層。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術，它可以彌補以上各種單獨過濾技術的不足。多級過濾技術防火墻結構如圖2所示。

4.2 分布式防火墻

分布式防火墻與傳統的邊界防火墻不同，傳統防火墻由于被部署在網絡邊界而被稱為邊界防火墻。許多越權訪問來自于企業網內部，邊界防火墻對于來自企業網內部的攻擊顯得力不從心。分布式防火墻要負責對網絡邊界、各子網和網絡內部各節點之間的安全防護，所以“分布式防火墻”是一個完整的系統，而不是單一的產品。根據其所需完成的功能，分布式防火墻體系結構包含有:網絡防火墻(Network Firewall)、主機防火墻(Host Firewall)、中心管理(Central Managerment)三大部分。分布式環境防火墻基于傳統防火墻技術，集中管理，分布防御，分布式防火墻由網絡安全管理平臺、邊界防火墻、內部防火墻和主機防火墻agent組成，對廣義分布防火墻的管理必須是統一進行的，中心管理是分布式防火墻系統的核心和重要特征之一。安全策略的分發及日志的匯總都是中心管理具備的功能。集中制定安全策略，由分布于網絡中的各個防火墻實施策略，系統管理工具將安全策略分布到每個主機，根據策略和加密校驗認證，由受保護的主機來決定接受或拒絕。這樣就使得網絡防火墻部署于內部網與外部網之間以及內網子網之間，把安全策略推廣延伸到每個網絡末端。分布式防火墻克服了操作系統所具有的已知及未知的安全漏洞。

4.3 入侵檢測系統

所謂“入侵檢測”，就是通過從計算機網絡或計算機系統中的若干關鍵點收集信息，并對其進行分析，以發現網絡或系統中是否有違反安全策略的行為或遭到襲擊的跡象。“入侵檢測系統(Intrusion Detection System， IDS)”主要是通過以下幾種活動來完成的:1) 監視、分析用戶及系統活動;2) 對系統配置和弱點進行監測;3) 識別與已知的攻擊模式匹配的活動;4) 對異常活動模式進行統計分析;5) 評估重要系統和數據文件的完整性;6) 對操作系統進行跟蹤管理，并識別用戶違反安全策略的行為。此外，有的入侵檢測系統還能夠自動安裝廠商提供的安全補丁軟件，并自動記錄有關入侵者的信息。

入侵檢測系統可以成為防火墻的有力補充，已被廣泛地與防火墻相結合應用于重要網絡環境。由于可以記錄和禁止網絡活動，所以入侵監測系統是防火墻的延續。入侵檢測技術能夠及時發現并報告系統中未授權或異常現象，是一種用于檢測違反安全策略行為的技術。可以協同防火墻共同實時監視著網絡中的不法行為。

入侵檢測從技術上可分為兩類:一種基于標志，一種基于異常情況。對于基于標識的檢測技術來說，首先要定義違背安全策略的事件的特征，如網絡數據包的某些頭信息。檢測主要判別這類特征是否在所收集到的數據中出現。此方法非常類似殺毒軟件。基于異常的檢測技術則是先定義一組系統“正常”情況的數值，如CPU利用率、內存利用率、文件校驗和等，然后將系統運行時的數值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。這種檢測方式的關鍵在于如何定義所謂的“正常”情況。

4.4 入侵防御系統

入侵防御系統(IPS)是在應用層的內容檢測基礎上加上主動響應和過濾功能，其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發出警報。IPS彌補了傳統的主流網絡安全技術不能完成更多內容檢查的不足，傾向于提供主動防護的特性填補了網絡安全產品中基于內容的安全檢查的空白。IPS通過直接嵌入到網絡流量中實現這一功能，即通過一個網絡端口接收來自外部系統的流量，經過檢查確認不包含異常活動或可疑內容后，再通過另外一個端口將它傳送到內部系統中。這樣，有問題的數據包，以及所有來自同一數據流的后續數據包，都能在IPS設備中被徹底清除掉。它把檢測提升到了應用層的檢測，相比于入侵檢測系統能夠起到較好的實時防護作用。

5 前景展望

防火墻只是整個網絡安全防護的一部分，一定要與其他的防護措施和技術，如密碼技術、訪問控制、權限管理、病毒防治等綜合運用才能解決內部網安全問題。

在防火墻體系結構上的改進上，防火墻必然要與加密和認證技術、內容檢測、攻擊檢測及其他一些手段相結合，集成了防火墻、VPN、IDS、防病毒、內容過濾和流量控制等多項功能才能成為一個安全網關。主流的運用趨勢是防火墻與入侵檢測系統、入侵防御系統相結合，入侵檢測系統和入侵防御系統也必將在速度上和智能化上有更大的進步，突破性能瓶頸，減少誤報和漏報現象。

從速度發展上來看，基于軟件的防火墻是很大程度上依賴于軟件的性能，但隨著近來這類防火墻中專門設計有一些用于處理數據層面任務的引擎，從而減輕了CPU的負擔，性能上已在不斷提升。基于ASIC的純硬件防火墻處理速度自然是越來越快，但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。基于網絡處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于ASIC的防火墻會使用專門的硬件處理網絡數據流，比起前兩種類型的防火墻具有更好的性能。基于NP的防火墻可以集x86架構防火墻的功能與ASIC防火墻的性能于一身。網絡處理器能彌補通用CPU架構性能的不足，同時又不需要具備開發基于ASIC技術的防火墻所需要的大量資金和技術積累，成為國內廠商實現高端千兆防火墻的熱門選擇。在高端千兆市場，基于NP的防火墻將是重要的趨勢。三種架構防火墻在市場上將長期保持共存的局面。在低端千兆市場上，x86架構的防火墻將成為主流，在高端千兆市場上，基于NP的防火墻將占有較好的份額。

防火墻的系統管理上的發展趨勢將主要體現在以下幾方面:首先是集中式管理，分布式和分層的安全結構會是將來的趨勢。其次是強大的審計功能和自動日志分析功能。這兩點的應用可以更早地發現潛在的威脅并預防攻擊的發生。日志功能還可以管理員有效地發現系統中存的安全漏洞，及時地調整安全策略等各方面管理具有非常大的幫助。再次是網絡安全產品的系統化和集成化，管理上將適用于大多數用戶，易用性更高。

入侵檢測和防御系統將會在智能化和分布式兩個方向上得到更快的發展，更好地為重要網絡的安全保障提供服務。

6 結束語

防火墻技術在網絡安全中的重要性，誰都無法代替。本文針對各種主流防火墻體系結構、應用現狀及優缺點比較以及防火墻前期發展趨勢，更深刻了解防火墻。讓防火墻更好地為重要的網絡安全保障提供服務。

參考文獻:

[1] 計算機世界.2002年合訂本[M].

[2] 科瑞奧.Snort入侵檢測實用解決方案[M].北京:機械工業出版社，2005.

[3] Carasik H A.防火墻核心技術精解[M].李華颶，譯.北京:中國水利水電出版社，2005.

[4] 陳興實，付東陽.計算機.計算機犯罪.計算機犯罪的對策[M].北京:中國檢察出版社，1998.

[5] Kurose J F.計算機網絡:自頂向下方法與INTERNET特色[M].陳鳴，譯.3版.北京:機械工業出版社，2006.

[6] PC World中國網[EB/OL].http://www.pcworld.com.cn.

[7] 硅谷動力[EB/OL].http://www.enet.com.cn.