防火墻技術(shù)與未來展望

摘要：現(xiàn)在的網(wǎng)絡(luò)社會是一個開放性的社會，我們可以從網(wǎng)絡(luò)中得到我們想要的東西，而網(wǎng)絡(luò)中也存在著許多的網(wǎng)絡(luò)安全問題，這就使得信息的可靠性有了較大的挑戰(zhàn)，為了保護(hù)信息的安全和防止入侵，防火墻就起到相當(dāng)重要的作用。

關(guān)鍵詞：防火墻；包過濾；代理；網(wǎng)絡(luò)安全

中圖分類號：TP393.03 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-7712 (2012) 10-0138-01

一、防火墻的概念和原理

防火墻原來就是在保護(hù)房屋安全的一到屏障，在當(dāng)今網(wǎng)絡(luò)社會，防火墻就是各個計算機(jī)與互聯(lián)網(wǎng)連接方面通過一系列的軟硬件設(shè)備組成的訪問控制技術(shù)，用于防止外面的互聯(lián)網(wǎng)對局域網(wǎng)的威脅與入侵，位計算機(jī)正常運(yùn)行提供安全保障。防火墻的主要目的就是為保護(hù)網(wǎng)絡(luò)安全而把內(nèi)網(wǎng)和外網(wǎng)分隔開的。

二、防火墻的分類

防火墻技術(shù)可以分為好多類，但是根據(jù)防火墻對數(shù)據(jù)的處理，我們可以把防火墻大致分為包過濾防火強(qiáng)和代理型防火墻兩大體系。

（一）包過濾防火墻：數(shù)據(jù)包過濾技術(shù)是防火墻位系統(tǒng)提供安全保障的主要技術(shù)，主要是通過對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢查過濾控制，從而對數(shù)據(jù)進(jìn)行選擇。包過濾型防火墻是作用于網(wǎng)絡(luò)層與傳輸層之間通過路由來檢測數(shù)據(jù)包的技術(shù)。因為每個數(shù)據(jù)包都包含有特定信息，而路由器就只是對數(shù)據(jù)包包頭的信息進(jìn)行檢測，具有較高性價比。包過濾防火墻又分為靜態(tài)包過濾、動態(tài)包過濾技術(shù)和狀態(tài)監(jiān)測防火墻。

1.靜態(tài)包過濾：最傳統(tǒng)的包過濾防火墻就是靜態(tài)包過濾防火墻，靜態(tài)包過濾規(guī)則是在啟動配置好的，只有系統(tǒng)管理員才可以修改的一種過濾規(guī)則。這種防火墻就好似根據(jù)原來定義好的過濾規(guī)則來審查每一個數(shù)據(jù)包，把每個數(shù)據(jù)包與規(guī)則表中的信息進(jìn)行匹配來審核，以便確定其中是否與某一條包過濾規(guī)則匹配。

2.動態(tài)包過濾：這種防火墻相比較靜態(tài)包過濾防火墻來說最大的有點就是他可以動態(tài)的監(jiān)測用戶可以使用的服務(wù)范圍，比較靈活，而且只有符合條件的網(wǎng)絡(luò)服務(wù)才被防火墻打開端口允許訪問，在結(jié)束后再關(guān)閉端口。這種技術(shù)的包過濾防火墻是對通過的每一條連接進(jìn)行跟蹤監(jiān)測，然后再根據(jù)需要在過濾規(guī)則中可以動態(tài)的增加或者更新規(guī)則條目。這就是采用了基于連接狀態(tài)的監(jiān)測和動態(tài)設(shè)置包過濾規(guī)則的方法。

3.狀態(tài)監(jiān)測防火墻：狀態(tài)監(jiān)測防火墻把網(wǎng)絡(luò)中的不同鏈接階段表現(xiàn)為狀態(tài)，狀態(tài)的改變表現(xiàn)為連接數(shù)據(jù)包不同標(biāo)志位參數(shù)的不同。狀態(tài)監(jiān)測防火墻在根據(jù)規(guī)則表檢查完數(shù)據(jù)包后，再根據(jù)狀態(tài)的變化檢查各個數(shù)據(jù)包之間的關(guān)聯(lián)性。防火墻的內(nèi)部放置了分布探測器，這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)節(jié)點上，不僅能防范外網(wǎng)的入侵也能制止內(nèi)患，具有雙重防范作用。

（二）代理型防火墻：代理防火墻是為對每一個用戶的請求進(jìn)行處理，是用一個比較安全的代理應(yīng)用程序來處理，然后再傳遞到真實的服務(wù)器上，就是通過代理先處理安全后再轉(zhuǎn)發(fā)。真實的服務(wù)器應(yīng)答后再將答復(fù)發(fā)給最終用戶。代理型防火墻工作在應(yīng)用層上，這樣就使內(nèi)網(wǎng)外網(wǎng)間阻斷，任何想進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)流都必須經(jīng)過代理審核，使得系統(tǒng)更安全不易遭受攻擊。應(yīng)用網(wǎng)關(guān)防火墻起到了一個特殊的作用，它首先對用戶發(fā)來的服務(wù)請求進(jìn)行解析，當(dāng)服務(wù)通過審核后防火墻就再把數(shù)據(jù)封裝成數(shù)據(jù)包，讓防火墻代替用戶把服務(wù)進(jìn)行轉(zhuǎn)發(fā)。電路級網(wǎng)關(guān)防火墻是工作在傳輸層上的，在傳輸層上對通信端點之間轉(zhuǎn)換數(shù)據(jù)包。自適應(yīng)代理服務(wù)器和動態(tài)包過濾組成自適應(yīng)代理型防火墻。

三、幾種防火墻的技術(shù)比較

（一）包過濾防火墻是對數(shù)據(jù)包本身進(jìn)行過濾的而不是針對具體的網(wǎng)絡(luò)服務(wù)，所以包過濾防火墻能適應(yīng)于所有的網(wǎng)絡(luò)。而且包過濾防火墻主要是通過路由器進(jìn)行數(shù)據(jù)包檢測的，大多數(shù)路由器都集成了數(shù)據(jù)包檢測的功能，所以包過濾型防火墻的價格比較低，性價比很高，處理速度也比較快。但是，這種防火墻安全性并不是很高，難以對用戶的身份進(jìn)行辨別等缺點。

（二）代理型防火墻是工作在應(yīng)用層上的，對網(wǎng)絡(luò)連接中的內(nèi)容可以進(jìn)行監(jiān)控，他在一定程度上斷開了內(nèi)外網(wǎng)絡(luò)的連接，使得網(wǎng)絡(luò)活動更安全，但是它在對網(wǎng)絡(luò)中更深的內(nèi)容進(jìn)行檢測的時候也使得它的速度減慢，當(dāng)數(shù)據(jù)的吞吐量比較大事容易出現(xiàn)問題，所以不適用于高速網(wǎng)。

四、防火墻的局限性

防火墻對我們信息的正確性與安全性有著重要的作用，防火墻是網(wǎng)絡(luò)安全不可或缺的一部分，那么防火墻的局限性在哪呢？1.防火墻是防外不防內(nèi)——防火墻可以阻止外部網(wǎng)上的不安全用戶對內(nèi)網(wǎng)的攻擊和危險入侵，也可以對內(nèi)屏蔽內(nèi)網(wǎng)上連接外網(wǎng)的重要站點和端口。但是卻很難解決內(nèi)部網(wǎng)的管理人員的安全問題，便是防外不防內(nèi)。而有些統(tǒng)計表明，網(wǎng)絡(luò)上的安全問題絕大一部分就是來自于內(nèi)部網(wǎng)絡(luò)管理人員。2.防火墻管理和配置有難度——相信第一次配置防火墻的人員都有這樣經(jīng)驗，它的配置和管理相當(dāng)復(fù)雜，有一系列的問題。因此對于管理人員來說它的維護(hù)就更要求要熟悉防火墻的系統(tǒng)配置，對它要有深刻了解才能更好的對它進(jìn)行安全的管理。它的安全策略無法集中地管理。3.防火墻的訪問控制不夠徹底——防火墻不能對網(wǎng)絡(luò)連接中的所有數(shù)據(jù)包進(jìn)行拆分檢查只能實現(xiàn)粗粒度的訪問控制，并且不能與網(wǎng)絡(luò)內(nèi)部的其他安全措施進(jìn)行集中使用。

五、防火墻未來的展望

防火墻是整個網(wǎng)絡(luò)安全系統(tǒng)中很重要的一部分。在現(xiàn)實生活中，要把防火墻與其他技術(shù)進(jìn)行配合使用才能更好地保證網(wǎng)絡(luò)安全，當(dāng)今社會，最重要最有價值的就是數(shù)據(jù)，要保證它的安全與正確，要更加注重防火墻的發(fā)展，才更能保證在信息安全系統(tǒng)中的堡壘作用。各種防火墻技術(shù)各有各的優(yōu)缺點，防火墻技術(shù)的發(fā)展可以從這幾個方面著手：1.改進(jìn)防火墻的體系結(jié)構(gòu)，防火墻是防外不防內(nèi)的，在防止外部危險網(wǎng)絡(luò)入侵的同時也要加強(qiáng)對內(nèi)網(wǎng)的管理和控制，可以對防火墻進(jìn)行分布式的管理。內(nèi)部網(wǎng)中對防火墻造成的安全隱患更大些，因此要即時改進(jìn)更新防火墻的體系結(jié)構(gòu)來保障局域網(wǎng)的安全。2.深度過濾與檢測速度的提高。深度過濾技術(shù)是對數(shù)據(jù)進(jìn)行更深層次的檢測，要是進(jìn)行深度過濾就是要以付出檢測速度為代價，要實現(xiàn)兩者的結(jié)合就是最好。

參考文獻(xiàn)：

[1]馬春光，郭芳芳.防火墻、入侵檢測與VPN[M].北京郵電大學(xué)出版社

[2]寧章.計算機(jī)及網(wǎng)絡(luò)安全與防護(hù)基礎(chǔ)[M].北京航空航天出版社

[3]楚狂.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].人民郵電出版社

[4]蔡立軍.計算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].中國水利電力出版社