防火墻在計算機安全中的應用

徐振宇

（1.太原理工大學 計算機科學與技術學院，太原 030024；2.山西工程技術學院，山西 陽泉 045001）

防火墻原指在大廈設計中，設置建筑的不同部分之間，防止火勢蔓延的一種墻體設施。在網絡安全中，引用此定義指設置在不同網絡之間（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。為保證內部網絡的信息安全，在內部網絡與外部網絡之間設置防火墻，保護內部網絡免遭外界非授權的訪問，保護站點不被任意連接，可有效的提高網絡的安全性。

1 防火墻的功能和工作原理

從邏輯上講，防火墻是分離器、限制器和分析器。防火墻就是位于內部網或WEB站點與因特網之間的一個路由器或一臺計算機。所有進入或流出內部網絡的數據包，都要經由防火墻。而所有經由防火墻的數據都必須經過防火墻設置中的安全策略和安全計劃的確認和授權才可通過，未經授權的數據包將被丟棄。防火墻使用這一工作原理，將可有效防范黑客、木馬程序及網絡病毒對網絡安全帶來的危害，盡最大可能保護內部網絡的信息安全。

防火墻按照不同的工作機制又可分為三類：包過濾技術、堡壘主機、代理服務。現簡要敘述這三類技術的工作原理。

1）包過濾技術。在網絡中傳輸的信息主要是以數據包的形式發送，數據包又分為包頭和數據兩個部分，數據包的包頭中，包含了數據包的源IP地址和目標IP地址。數據包正是根據這樣的信息，被在網絡中的不同路由器根據路由表進行轉發，從源地址發送往目標地址的。在包過濾路由器中，由管理員設置安全規則，并根據安全規則對將轉發的數據包進行檢查，當發現不符合安全規則的數據包時，數據包將被丟棄。由于包過濾只檢查數據包的包頭中信息來決定是否對數據包進行轉發或丟棄，所以原理相對簡單和有效，易于擴展。但它也有一些缺點和局限性。在系統中配置包過濾規則較為困難，管理員很難在包過濾規則中考慮全面，而且對于安全規則的測試也較為麻煩。由于不支持應用層面的安全過濾，有些安全規則是難于用包過濾系統來實施也難以實現。所以實際應用中，包過濾安全往往要與其它防火墻技術結合使用。

2）代理服務。運行在防火墻主機上的一些特定的應用程序或者服務程序。防火墻主機是由一臺安裝有代理服務協議的雙重宿主主機構成，主機可連接內部網絡和外部網絡。所謂代理就是一個提供替代連接并且充當服務的網關。代理也被稱為應用網關。外部網絡對內部網絡的訪問請求，通過代理服務器的安全規則的檢測，對于合法的連接請求，代理服務主機以自身的身份與內部網絡相聯，并轉發數據，內部網絡的連接請求，也是通過代理服務主機與外部網絡相聯的。代理服務主機是在應用層提供服務，在管理員控制下，允許或拒絕特定的應用程序或特定服務，所以在代理服務主機中，可對轉發和拒絕的數據流實施監控、記錄、過濾、報告。由于代理服務機制中，對數據包進行轉發，對外部的訪問可屏蔽內部網絡的IP地址，服務應用層也是制定更為嚴格的安全策略。

3）保壘主機。人們把處于防火墻關鍵部位，運行應用級網關軟件的計算機系統稱為堡壘主機。保壘主機在防火墻的建立過程中起著至關重要的作用。堡壘主機是一種被強化的可以防御進攻的計算機，作為進入內部網絡的一個檢查點，以達到把整個網絡的安全問題集中到某個主機上解決。堡壘主機是網絡中最容易受到侵害的主機，所以堡壘訂機也必須是自身保護最完善的主機。由于堡壘主機是最易受到攻擊，所以在堡壘主機中設置服務必須最少，堡壘主機中的服務軟件也盡可能低的權限。建立堡壘主機的目的是阻止入侵者到達內部網絡。堡壘主機目前一般有3種類型：無路由雙宿主主機、犧牲主機和內部堡壘主機。無路由雙宿主主機，有多個網絡接口，但接口之間無路由的連接。犧牲主機是一種沒有任何需要保護信息的主機，入侵者可隨意登錄，但又不能與任何主機相聯。

2 防火墻對于網絡安全的不足之處

雖然，現有的防火墻技術對經由防火墻數據流進行了過濾，一定程度上保護了內部網絡的主機的安全，但不足之處也非常明顯。包過濾防火墻，在過濾數據包時對用戶完全透明，只根據數據包中的IP信息將數據包進行轉發或丟棄，效率高。但只作用于數據鏈層，無法防御具有地址欺騙的網絡攻擊方式，對于應用程序中的安全保護作用有限。代理服務類防火墻，將內部與外部隔離，內部與外網的信息經由防火墻進行轉換，對外網屏蔽內部的結構，以達到保護內部的目的。代理服務于應用層，可制定轉為嚴格的保護策略，但代理工作的速度對于路由器工作速度慢，且代理過程對于用戶是隱蔽的，不同的代理服務，使用不同的代理服務器，所以代理服務防火墻工作效率較低。

傳統的防火墻也有明顯不足之處：1）對于不經由防火墻網絡攻擊不能防范。2）不能防范受病毒感染的文件、軟件和文檔的傳輸。3）不能防范內部網絡的攻擊。4）防火墻的工作方式是被動的，無法根據網絡攻擊作出適應調整。5）對于具有欺騙性的網絡攻擊，缺少應對手段。

3 防火墻的新技術及安全防護策略

近年來，針對傳統防火墻的不足，對防火墻技術進行改進及安全防護策略。1）在設計防火墻安全策略時，禁止不經由防火墻的訪問，確保內部網絡與外部所有信息流都經過防火墻。2）與防病毒軟件相結合的防火墻技術，在應用網關的防火墻中，與第三方殺病軟件相結合，對經由防火墻的數據進行檢測，將病毒防御在防火墻之外。3）智能防火墻技術，針對傳統防火墻被動防御的缺點，新型智能防火墻內外路由器、智能認證服務器、智能主機和堡壘主機組合構成，實現過濾規則自動產生和自動配置，對新發現的安全威脅進行自主防御。4）分布式防火墻，分布式防火墻由安全策略管理服務器和客戶端防火墻構成。安全策略服務器負責安全策略、用戶、日志、審計等管理。客戶端防火墻負責對安全策略的實施。分布式防火墻可防御各種類型的被動攻擊與主動攻擊。5）集中防火墻，集中防火墻是在入侵檢測技術的支持下，建立一個網絡入侵檢測系統和防火墻集成模型。入侵檢測系統可有效彌補防火墻無法識別網絡攻擊的缺陷。入侵檢測系統將有效識別網絡攻擊并動態調整防火墻的安全規則，使防火墻具有一定的智能化。

4 結束語

在網絡安全越來越受到重視的今天，防火墻在抵御網絡攻擊、保護網絡的信息安全起到重要作用。隨著網絡技術的進步，網絡攻擊呈現手段越來越多樣化，攻擊形式也更加復雜。為更好的防御網絡攻擊，在網絡環境中配置防火墻，并正確使用防火墻安全策略和新技術原理防火墻，是可能在一定程度上有效的保護網絡安全的。

[1]孫思良.防火墻技術及其在網絡安全中的應用[J].電腦知識與技術，2005（12）：34-35.

[2]張曄，劉玉莎.防火墻技術的研究與探討[J].計算機系統應用，1999（9）：67-70.

[3]郭偉.數據包過濾技術與防火墻的設計[J].江漢大學學報，2001（3）：56-59.