淺析防火墻體系結構和設計

　　摘要：網絡安全已成為人日益關心的問題。網絡防火墻技術作為內部網絡與外部網絡之間的第一道安全屏障，其中要作用是在網絡入口外檢查網絡通信，更具用戶設定的安全規則，在保護內部網絡安全的前提下，保障內外網絡通信，提供內部網絡的安全。
　　關鍵詞：內部網絡；外部網絡；安全
　　
　　一、防火墻功能概述
　　防火墻是一個保護裝置，它是一個或一組網絡設備裝置。通常是指運行特別編寫或更改過操作系統的計算機，它的目的就是保護內部網的訪問安全。防火墻可以安裝在兩個組織結構的內部網與外部的Internet之間，同時在多個組織結構的內部網和Internet之間也會起到同樣的保護作用。它主要的保護就是加強外部Internet對內部網的訪問控制，它主要任務是允許特別的連接通過，也可以阻止其他不允許的連接。防火墻只是網絡安全策略的一部分，它通過少數幾個良好的監控位置來進行內部網與Internet的連接。防火墻的核心功能主要是包過濾。其中入侵檢測，控管規則過濾，實時監控及電子郵件過濾這些功能都是基于封包過濾技術的。防火墻的主體功能歸納為以下幾點：根據應用程序訪問規則可對應用程序連網動作進行過濾；對應用程序訪問規則具有自學習功能；可實時監控，監視網絡活動；具有日志，以記錄網絡訪問動作的詳細信息；被攔阻時能通過聲音或閃爍圖標給用戶報警提示。
　　防火墻僅靠這些核心技術功能是遠遠不夠的。核心技術是基礎，必須在這個基礎之上加入輔助功能才能流暢的工作。而實現防火墻的核心功能是封包過濾。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全（見圖1）。
　　二、防火墻主要技術特點
　　應用層采用Winsock 2 SPI進行網絡數據控制、過濾；核心層采用NDIS HOOK進行控制，尤其是在Windows 2000 下，此技術屬微軟未公開技術。
　　此防火墻還采用兩種封包過濾技術：一是應用層封包過濾，采用Winsock 2 SPI；二是核心層封包過濾，采用NDIS_HOOK。Winsock 2 SPI 工作在API之下、Driver之上，屬于應用層的范疇。利用這項技術可以截獲所有的基于Socket的網絡通信。采用Winsock 2 SPI的優點是非常明顯的：其工作在應用層以DLL的形式存在，編程、測試方便；跨Windows平臺，可以直接在Windows98/ME/NT/2000/XP 上通用，Windows95只需安裝上Winsock 2 for 95，也可以正常運行；效率高，由于工作在應用層，CPU占用率低；封包還沒有按照低層協議進行切片，所以比較完整。而防火墻正是在TCP/IP協議在windows的基礎上才得以實現。在構筑防火墻保護網絡之前，需要制定一套完整有效的安全策略，這種安全策略一般分為兩層：網絡服務訪問策略和防火墻設計策略。
　　三、網絡服務訪問策略
　　網絡服務訪問策略是一種高層次的、具體到事件的策略，主要用于定義在網絡中允許的或禁止的網絡服務，還包括對撥號訪問以及SLIP/PPP連接的限制。這是因為對一種網絡服務的限制可能會促使用戶使用其他的方法，所以其他的途徑也應受到保護。網絡服務訪問策略不但應該是一個站點安全策略的延伸，而且對于機構內部資源的保護也起全局的作用。這種策略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠程訪問到移動介質的管理。
　　四、防火墻的設計策略
　　防火墻的設計策略是具體地針對防火墻，負責制定相應的規章制度來實施網絡服務訪問策略。在制定這種策略之前，必須了解這種防火墻的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險。防火墻一般執行以下兩種基本策略中的一種：除非明確不允許，否則允許某種服務；除非明確允許，否則將禁止某項服務。
　　執行第一種策略的防火墻在默認情況下允許所有的服務，除非管理員對某種服務明確表示禁止。執行第二種策略的防火墻在默認情況下禁止所有的服務，除非管理員對某種服務明確表示允許。防火墻可以實施一種寬松的策略（第一種），也可以實施一種限制性策略（第二種），這就是制定防火墻策略的入手點。一個站點可以把一些必須的而又不能通過防火墻的服務放在屏蔽子網上，和其他的系統隔離。
　　五、設計時需要考慮的問題
　　為了確定防火墻設計策略，進而構建實現策略的防火墻，應從最安全的防火墻設計策略開始，即除非明確允許，否則禁止某種服務。策略應該解決以下的問題：需要什么服務；在哪里使用這些服務；是否應當支持撥號入網和加密等服務；提供這些服務的風險是什么；若提供這種保護，可能會導致網絡使用上的不方便等負面影響，這些影響會有多大，是否值付出這種代價；和可用性相比，站點的安全性放在什么位置。
　　六、防火墻的不足
　　防火墻不能防止內部的攻擊，因為它只提供了對網絡邊緣的防衛。內部人員可能濫用被給予的訪問權，從而導致事故。防火墻也不能防止像社會工程攻擊——一種很常用的入侵手段，就是靠欺騙獲得一些可以破壞安全的信息。另外，一些用來傳送數據的電話線很有可能被用來入侵內部網絡。雖然現在有些防火墻可以檢查病毒和特洛伊木馬，但這些防火墻只能阻擋已知的惡意程序，這就可能讓新的病毒和木馬溜進來。而且，這些惡意程序不僅僅來自網絡，也可能來自軟盤。
　　參考文獻：
　　1、朱燕輝.WINDOWS防火墻與網絡封包截獲技術[M].電子工業