防火墻發展現狀及未來展望

榮二虎

中山大學信息科學與技術學院 廣東 510006

0 引言

隨著信息技術的飛速發展，計算機網絡得到了廣泛的應用，越來越多的生產活動已經離不開網絡。同時，基于網絡的安全威脅引起了越來越廣泛的關注。作為內部網絡和外部網絡的屏障，防火墻在應對來自網絡的威脅顯得尤為重要，吸引了廣泛的研究興趣。

1 防火墻的基本概念

1.1 防火墻

防火墻是計算機硬件與軟件的結合，它是在內部網絡和外部網絡之間、專用網和公用網之間構建的一道雙向流量都必須經過的屏障，從而保證內部網或專用網不受來自外部網絡或公用網的非法訪問。

防火墻本質上是一種隔離技術，主要作用是在內部網絡或專用網與外網或公用網通信時，既能允許合法的訪問和數據進出，同時阻止非法的訪問和數據。

1.2 防火墻的必要

對于一個組織，互聯網的連通性的必要的。但是互聯網訪問為組織帶來益處時，也給組織帶來了來自外部世界的非法交互的威脅。盡管可以為組織內的各個工作站和服務器配備強大的安全措施，如入侵檢測系統，但這卻是一種極為不實用的策略。防火墻設置在內部網和外部網之間，提供內部網與外部網的可控連接，有效地應對了來自網絡的安全威脅。防火墻對于網絡安全已經顯得非常必要。

1.3 防火墻的設計目標

防火墻的設計有以下目標：

(1) 所有進入和離開的網絡流量都必須通過防火墻；

(2) 只有合法的網絡流量才被允許通過防火墻。

(3) 防火墻本身不能被攻破。

2 防火墻技術

防火墻主要采用包過濾、狀態檢測、應用層代理和鏈路層代理等技術。

2.1 包過濾防火墻

包過濾防火墻的思想是將防火墻作為過濾器使用。包過濾防火墻建立一個規則庫，對每個經過防火墻的IP包應用其中的規則。防火墻既可以設計為允許滿足特定條件的包通過，也可以設計為拒絕滿足一定條件的包通過。這取決于對過濾規則的配置設計。

過濾規則主要關注的IP包信息包括源IP地址、目的IP地址、源端口、目的端口和IP協議域等。

典型的配置是將過濾規則設置成與IP和TCP協議中頭部信息域匹配的規則。如果被檢測的包與其中的某條規則匹配，則調用此規則決定丟棄還是傳遞該包。如果沒有匹配的規則，執行默認操作。默認操作可設置為丟棄，也可設置為傳遞，這取決于對安全性的需求。

2.2 狀態檢測防火墻

包過濾防火墻僅僅對單個包進行判斷，不能考慮上下文的信息。狀態檢測防火墻檢查的信息與包過濾防火墻相同，但卻同時記錄有關通信狀態的TCP連接信息，能夠實現動態的過濾機制，增強了對網絡流量的控制能力。

2.3 應用層網關

應用層網關也稱為代理服務器，能夠對來自應用層的流量提供緩沖。

當內部網的用戶請求訪問外部網絡上的服務時，該應用被引導至防火墻中的代理服務器。代理服務器將自己視為外部網絡的服務器，對請求進行評估，并根據一套規則決定允許或拒絕該請求。圖1為應用層網關示意圖。

圖1 應用層網關示意圖

2.4 鏈路層網關

鏈路層網關又稱鏈路層代理。鏈路層網關建立自身與內部主機TCP用戶的連接，自身與外部主機TCP用戶的連接，不允許內部主機TCP用戶與外部主機TCP用戶建立點對點的連接。其主要安全功能是判斷哪些連接是合法的，并且只為合法連接建立代理連接。一旦代理連接建立，不需要檢查這兩個連接之間傳遞的內容。圖2為鏈路層網關示意圖。

圖2 鏈路層網關示意圖

3 防火墻的位置

一個防火墻的定位決定了不可信任的外部網絡和可信的內部網之間的邊界。針對內部網的安全需求，安全管理者需要決策防火墻的部署位置。典型的防火墻部署位置有以下幾種。

3.1 非軍事區網段

非軍事區網段采用兩種防火墻：內部防火墻放在內部網需要保護部分的邊緣；外部防火墻放置在外部網與整個網的邊界。兩種防火墻之間的區域被稱為非軍事區網段(DMZ Networks)，在該區域放置的設備通常允許來自外部網絡的訪問，如該組織的Web服務器、FTP服務器和郵件服務器等。

3.2 虛擬專用網

在分布式環境中，虛擬專用網(VPN)提供一種極具吸引力的網絡管理方式。在低協議層，VPN使用加密和認證并通過因特網實現安全連接。這比真正使用私有線路的網絡廉價，但同時需要兩端具有相同的加解密和認證系統以實現安全性。目前，加密主要通過防火墻來執行，最常用的機制為IPSec。

3.3 分布式防火墻

網絡管理員可以在組織的服務器和工作站上配置主機防火墻，也可以在內部網的主機上配置個人防火墻。這些防火墻在管理員的策略下與獨立防火墻協同工作。獨立防火墻提供對整個內部網的全局保護，主機防火墻和個人防火墻則與獨立防火墻形成了內部的非軍事區，提供對服務器和主機更嚴格的保護。

4 防火墻的優缺點

4.1 防火墻的優點

(1) 防火墻能強化安全策略。

(2) 防火墻能有效地記錄Internet上的活動。

(3) 防火墻限制暴露用戶點。防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網絡傳播。

(4) 防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

4.2 防火墻的局限性

(1) 防火墻對繞開防火墻的攻擊無能為力；

(2) 防火墻不能完全防止內部威脅。

5 防火墻的未來發展趨勢

(1) 自身安全性提升

未來防火墻的操作系統會更安全。隨著算法和芯片技術的發展，防火墻本身的安全會得到有效地解決方案，為防火墻的應用提供更安全的保障。

(2) 檢測速度高速化

大量的測試數據表明，防火墻一個很大的局限性是速度，往往造成網絡堵塞。檢測速度是防火墻應用必須解決的問題之一。目前針對檢測的算法、硬件的研究不斷深入，檢測速度不斷提升，也正朝著高速化的方向邁進。

(1) 功能多樣性增加

多功能也是防火墻的發展方向之一。現在，組網環境越來越復雜，網絡設備種類逐漸增多。用盡量少的設備可以提供盡量多的功能，不僅節約組網成本，也能給組網帶來方便。

(2) 對非法訪問智能切斷

對于入侵行為的預見和智能切斷，也是防火墻發展的一個方向。及早地切斷非法訪問，不僅能使防火墻的檢測效率大為提升，也能有效地節約系統資源。

(3) 多端口并適合靈活配置

多端口的防火墻能夠為用戶提供更為全面、靈活的安全解決方案。多端口、靈活配置的防火墻，也是未來防火墻發展的趨勢。

6 結束語

在計算機網絡高速發展的今天，網絡安全是一個不容忽視的研究課題。近年來，關于防火墻的研究不斷深入，也取得了一系列的重大成果。我們有理由相信，在未來的網絡世界里，防火墻必將發揮巨大的作用。

[1]莊健平.防火墻技術與網絡安全[J].計算機安全技術.2010.

[2]Audin,G.Next-Gen Firewalls:What to Expect [J].Business Communications Review,June.2004.

[3]Bellovin,Cheswick. Network Firewalls [C]IEEE Communic ations Magazine,September 1994.

[4]Chapman,D.and Zwicky,E.Building Internet Firewalls [C].Sebastopol,CA:O’Reilly.2000.

[5]Wilson,J.The future of Firewall[J].Business Communications Review.May 2004.

[6]Lodin,S.and Schuba,C.Firewalls Fend Off Invasion from the Net[J].IEEE Spectrum,February 1998.

[7]Oppliger,R.Internet Security:Firewalls and Beyond[C].Communi cations of ACM.May 1997.

[8]Wack,J.;Cutler,K.;and Pole,J.Guidelines on Firewalls and Firewall Policy[M].NIST Special Publication SP 800-41.January.2002.

[9]William Stallings.Network Security Essentials–Application and Standard[M].Forth Edition.Tsinghua University Press.2011.

[10]玄文啟.基于計算機網絡的防火墻及實現[J].中國科技信息.2010.

[11]毛錦庚,甘衛民,黃偉繼.防火墻技術的研究與發展[J].商場現代化.2005.

[12]賈鐵軍.新型智能防火墻的關鍵技術及特殊應用[J].上海電機學院學報.2007.

[13]楊丹.嵌入式防火墻的研究[J].計算機與網絡.2008.

[14]黃力.分布式防火墻的配置與性能分析[J].微計算機信息.2007.