關(guān)于計(jì)算機(jī)防火墻安全應(yīng)用的思考

【摘要】隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是Internet的廣泛使用，使計(jì)算機(jī)應(yīng)用更加廣泛與深入。防火墻在維護(hù)網(wǎng)絡(luò)和計(jì)算機(jī)安全中的作用也日益明顯。本文從計(jì)算機(jī)防火墻的分類和防火墻的應(yīng)用為重點(diǎn)進(jìn)行簡(jiǎn)要分析。

【關(guān)鍵詞】網(wǎng)絡(luò)；防火墻

一、防火墻的概念

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)用戶的安全政策管制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

二、計(jì)算機(jī)防火墻的分類

1．包過(guò)濾防火墻。顧名思義，包過(guò)濾防火墻是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過(guò)濾規(guī)則相比較，從而決定是否阻塞或通過(guò)。過(guò)濾規(guī)則是基于網(wǎng)絡(luò)層IP包包頭信息的比較。包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，IP包的包頭中包含源、目的IP地址，封裝協(xié)議類型（TCP，LDP，ICMP或IP Tunnel），TCP/UDP端口號(hào)，ICMP消息類型，TCP包頭中的ACK等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理；如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包；如果沒(méi)有匹配規(guī)則，則按缺省情況處理。包過(guò)濾防火墻是速度最快的防火墻，這是因?yàn)樗幱诰W(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實(shí)現(xiàn)，對(duì)用戶來(lái)說(shuō)都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。例如，HTTP。通常是80端口。如果用戶的安全策略允許其它人員訪問(wèn)網(wǎng)站，包過(guò)濾防火墻可能設(shè)置讓所有80端口的連接通過(guò)，這時(shí)，意識(shí)到這一漏洞的外部人員可以在沒(méi)有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過(guò)濾防火墻的維護(hù)比較困難，定義過(guò)濾規(guī)則也比較復(fù)雜，因?yàn)槿魏我粭l過(guò)濾規(guī)則的不完善都會(huì)給網(wǎng)絡(luò)破壞者造成可乘之機(jī)。同時(shí)，包過(guò)濾防火墻一般無(wú)法提供完善的日志。

2．應(yīng)用級(jí)代理防火墻。應(yīng)用級(jí)代理技術(shù)通過(guò)在OSI的最高層檢查每一個(gè)IP包，從而實(shí)現(xiàn)安全策略。代理技術(shù)與包過(guò)濾技術(shù)完全不同，包過(guò)濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理在應(yīng)用層，在應(yīng)用層實(shí)現(xiàn)防火墻功能。它的代理功能，就是在防火墻處終止客戶連接并初始化一個(gè)新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理機(jī)制提供額外的安全，這是因?yàn)樗鼘?nèi)部和外部網(wǎng)絡(luò)隔離開(kāi)來(lái)，使網(wǎng)絡(luò)外部的入侵者在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測(cè)變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行全面的控制。但這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪問(wèn)WEB站點(diǎn)的HTTP，用于文件傳輸?shù)腇TP，用于E-Mail的SMTP/POP3等等。如果某種應(yīng)用沒(méi)有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持并且不能通過(guò)防火墻進(jìn)行轉(zhuǎn)發(fā)；同時(shí)升級(jí)一種應(yīng)用時(shí)，相應(yīng)的代理程序也必須同時(shí)升級(jí)。

3．代理服務(wù)型防火墻。代理服務(wù)器也稱鏈路級(jí)網(wǎng)關(guān)和TCP通道，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)，當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí)也常結(jié)入過(guò)濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用安全決策的全部信息。

4．復(fù)合型防火墻。由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方式案。屏蔽主機(jī)防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過(guò)濾路由器或防火墻與Internet相連，同時(shí)一個(gè)堡壘安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾器路由器或防火墻上過(guò)濾規(guī)則的設(shè)置，使堡壘機(jī)成為Internet上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。

三、運(yùn)用Linux防火墻

Linux防火墻作為一個(gè)功能模塊被操作系統(tǒng)所自帶，其通過(guò)安裝特定的防火墻內(nèi)核，Linux操作系統(tǒng)會(huì)對(duì)接收到的數(shù)據(jù)包按一定的策略進(jìn)行處理。用它構(gòu)造防火墻就具備了包過(guò)濾功能、代理服務(wù)功能，還具有一些肪火墻的附加功能，而且費(fèi)用只是同類防火墻的幾十分之一。若內(nèi)部網(wǎng)絡(luò)相對(duì)獨(dú)立且簡(jiǎn)單，使用一臺(tái)機(jī)器來(lái)充當(dāng)防火墻就能夠達(dá)到較好的效果。原因在于，這樣的防火墻能夠在保障內(nèi)部機(jī)器訪問(wèn)因特網(wǎng)的基礎(chǔ)上，較好的抵御來(lái)自因特網(wǎng)的非法入侵。但是，對(duì)于大型計(jì)算機(jī)網(wǎng)絡(luò)，應(yīng)根據(jù)安全需要的層次和被保護(hù)數(shù)據(jù)的重要性、丟失數(shù)據(jù)的價(jià)值或者其他機(jī)密性因素，并結(jié)合整體內(nèi)部網(wǎng)絡(luò)的配置情況來(lái)制定安全防護(hù)舉措。

1．配置網(wǎng)絡(luò)服務(wù)器。配置設(shè)定防火墻規(guī)則之前，首先需要對(duì)堡壘防火墻機(jī)器和隔斷防火墻機(jī)器所要用到的相關(guān)網(wǎng)絡(luò)服務(wù)進(jìn)行設(shè)定。將一些公共信息服務(wù)器放在堡壘防火墻上，并根據(jù)相應(yīng)的情況來(lái)制定防火墻的安全策略，需要我們激活的網(wǎng)絡(luò)服務(wù)主要有：DNS、Email、Telnet、FTP、Web、SSH，finger、whois、Usenet，WAIS等等。每種服務(wù)都是通過(guò)各自的服務(wù)器程序(即后臺(tái)守護(hù)程序daemon)在分配給他們的服務(wù)端口上監(jiān)聽(tīng)得來(lái)的連接。這樣一來(lái)?？蛻魴C(jī)和服務(wù)器端口對(duì)的組合，再加上他們給自的IP主機(jī)地址，唯一地標(biāo)示了一個(gè)連接。

2．編寫(xiě)防火墻規(guī)則。制定防火墻的安全策略是編寫(xiě)防火墻規(guī)則的第一步，也就是要先確忘好哪些數(shù)據(jù)包是允許通過(guò)，哪些數(shù)據(jù)包是要禁止的。一般情況下是首先制定比較安全的缺省策略。即禁止一切數(shù)據(jù)包的通過(guò)，然后根據(jù)實(shí)際的需要對(duì)一些數(shù)據(jù)包進(jìn)行放行。（1）堡壘防火墻規(guī)則：制定堡壘防火墻的安全策略，就是要明確哪些數(shù)據(jù)包是允許的，哪些是不允許的。對(duì)于進(jìn)入防火墻的數(shù)據(jù)包來(lái)說(shuō)，由于在外部網(wǎng)卡上我們?cè)试S因特網(wǎng)上的機(jī)器訪問(wèn)防火墻上對(duì)外開(kāi)放的網(wǎng)絡(luò)服務(wù)，所以應(yīng)該允許這些數(shù)據(jù)包和本地連接的回復(fù)包進(jìn)入；在它的內(nèi)部網(wǎng)卡上，所有從隔斷防火墻進(jìn)入的數(shù)據(jù)包都是允許的。對(duì)于堡壘防火墻轉(zhuǎn)發(fā)的數(shù)據(jù)包來(lái)說(shuō)，應(yīng)該是只轉(zhuǎn)發(fā)從內(nèi)部網(wǎng)卡進(jìn)來(lái)的數(shù)據(jù)包以及這些數(shù)據(jù)包的回復(fù)包。對(duì)于防火墻出去的數(shù)據(jù)包來(lái)說(shuō)，應(yīng)該是都允許通過(guò)的。（2）隔斷防火墻規(guī)則：隔斷防火墻的安全策略是說(shuō)，對(duì)于進(jìn)來(lái)的數(shù)據(jù)包，在它的外部網(wǎng)卡上，我們應(yīng)該僅就提供給堡壘防火墻的有限的網(wǎng)絡(luò)服務(wù)是允許通過(guò)的。比如說(shuō)DNS查詢，另外就是允許對(duì)本地連接的回復(fù)包進(jìn)入；在它的內(nèi)部網(wǎng)卡，從內(nèi)部網(wǎng)絡(luò)進(jìn)來(lái)的所有數(shù)據(jù)包都是允許的。對(duì)于隔斷防火墻轉(zhuǎn)發(fā)的數(shù)據(jù)包來(lái)說(shuō)，應(yīng)該是只轉(zhuǎn)發(fā)從內(nèi)部網(wǎng)卡進(jìn)來(lái)的數(shù)據(jù)包以及這些數(shù)據(jù)包的回復(fù)包。由此我們可以看出它跟堡壘防火墻很多地方設(shè)置相似。不過(guò)此時(shí)對(duì)于隔斷防火墻來(lái)說(shuō)，它的外部網(wǎng)絡(luò)就是堡壘防火墻機(jī)器。

要看到，進(jìn)行低成本的防火墻開(kāi)發(fā)，研究Linux防火墻意義重大。目前，很多防火墻產(chǎn)品的操作系統(tǒng)都是基于Linux或者以此為基礎(chǔ)的，專業(yè)防火墻能實(shí)現(xiàn)的功能在Linux下也是可以實(shí)現(xiàn)的，而且更加經(jīng)濟(jì)實(shí)惠，這對(duì)于小型站點(diǎn)或者小型LAN而言，通過(guò)使用Linux構(gòu)筑一個(gè)合理有效防火墻體系，就可以實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)。縱觀防火墻技術(shù)的發(fā)展，黑客入侵系統(tǒng)技術(shù)的不斷進(jìn)步以及網(wǎng)絡(luò)病毒朝智能化和多樣化發(fā)展，對(duì)防火墻技術(shù)的同步發(fā)展提出更高的要求。未來(lái)，防火墻技術(shù)只有不斷向主動(dòng)型和智能型，人性化和通俗化等方向發(fā)展，才能更好的滿足人們對(duì)防火墻技術(shù)日益發(fā)展的需求。

參考文獻(xiàn)

[1]龍毅．探討防火墻技術(shù)的網(wǎng)絡(luò)安全．硅谷．2011

[2]艾軍．防火墻體系結(jié)構(gòu)及功能分析[J]．電腦知識(shí)與技術(shù)．2004

[3]王艷．淺析計(jì)算機(jī)安全[J]．電腦知識(shí)與技術(shù)．2010

[4]王永綱，石江濤，戴雪龍，顏天信．網(wǎng)絡(luò)包分類處法仿真測(cè)試與比較研究．中國(guó)科學(xué)技術(shù)大學(xué)學(xué)報(bào)．2004