目前防火墻中的最新技術及發展

摘 要：隨著計算機網絡的發展，上網的人數不斷地增大，網上的資源也不斷地增加，網絡的開放性、共享性、互連程度也隨著擴大，所以網絡的安全問題也是現在注重考慮的問題。網絡安全可行的解決方案——防火墻技術，是近年來發展起來的一種保護計算機網絡安全的技術性措施，它實際上是一種訪問控制技術，在某個機構的網絡和不安全的網絡之間設置障礙，阻止對信息資源的非法訪問，也可以使用它阻止保密信息從受保護網絡上被非法輸出。

關鍵詞：防火墻；網絡安全；Internet；TCP/IP

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 （2014） 24-0000-01

什么是防火墻？所謂“防火墻”，是指一種將內部網和公眾訪問網分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

防火墻的類型有個人防火墻、網絡層防火墻、應用層防火墻。

個人防火墻是防止您電腦中的信息被外部侵襲的一項技術，在您的系統中監控、阻止任何未經授權允許的數據進入或發出到互聯網及其他網絡系統。個人防火墻產品如著名Symantec公司的諾頓、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的 free ZoneAlarm等，都能幫助您對系統進行監控及管理，防止特洛伊木馬、spy-ware等病毒程序通過網絡進入您的電腦或在您未知情況下向外部擴散。這些軟件都能夠獨立運行于整個系統中或針對個別程序、項目，所以在使用時十分方便及實用。

網絡層防火墻可視為一種IP封包過濾器，運作在底層的TCP/IP協議堆棧上。我們可以以枚舉的方式，只允許符合特定規則的封包通過，其余的一概禁止穿越防火墻。這些規則通常可以經由管理員定義或修改，不過某些防火墻設備可能只能套用內置的規則。

應用層防火墻是在TCP/IP堆棧的“應用層”上運作，您使用瀏覽器時所產生的數據流或是使用FTP時的數據流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的所有封包，并且封鎖其他的封包（通常是直接將封包丟棄）。理論上，這一類的防火墻可以完全阻絕外部的數據流進到受保護的機器里。

因為傳統的防火墻設置在網絡邊界，外于內、外部互聯網之間，所以稱為\"邊界防火墻（Perimeter Firewall）\"。隨著人們對網絡安全防護要求的提高，邊界防火墻明顯感覺到力不從心，因為給網絡帶來安全威脅的不僅是外部網絡，更多的是來自內部網絡。但邊界防火墻無法對內部網絡實現有效地保護，除非對每一臺主機都安裝防火墻，這是不可能的。基于此，一種新型的防火墻技術，分布式防火墻（Distributed Firewalls）技術產生了。由于其優越的安全防護體系，符合未來的發展趨勢，所以這一技術一出現便得到許多用戶的認可和接受，它具有很好的發展前景。

分布式防火墻的特點：主機駐留、嵌入操作系統內核、類似于個人防火墻、適用于服務器托管。

分布式防火墻的功能：Internet訪問控制、應用訪問控制、網絡狀態監控、黑客攻擊的防御、日志管理、系統工具。

分布式防火墻的優勢：（1）增強的系統安全性：增加了針對主機的入侵檢測和防護功能，加強了對來自內部攻擊防范，可以實施全方位的安全策略；（2）提高了系統性能：消除了結構性瓶頸問題，提高了系統性能；（3）系統的擴展性：分布式防火墻隨系統擴充提供了安全防護無限擴充的能力；（4）實施主機策略：對網絡中的各節點可以起到更安全的防護；（5）應用更為廣泛，支持VPN通信。

新一代的防火墻系統不僅能夠更好地保護防火墻后面內部網絡的安全，而且應該有更為優良的整體性能。未來的防火墻將會把最強的性能和最大限度的安全性有機結合在一起，有效地解決網絡安全的問題。當然防火墻只是確保網絡安全的一個環節，還需要和其他安全措施一起來確保網絡安全。

伴隨著Internet的飛速發展，防火墻技術與產品的更新步伐必然會加強，而要全面展望防火墻技術的發展幾乎是不可能的。但是，從產品及功能上，卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇：（1）防火墻將從目前對子網或內部網管理的方式向遠程上網集中管理的方式發展；（2）過濾深度會不斷加強，從目前的地址、服務過濾，發展到URL（頁面）過濾、關鍵字過濾和對ActiveX、Java等的過濾，并逐漸有病毒掃描功能；（3）利用防火墻建立專用網是較長一段時間用戶使用的主流，IP的加密需求越來越強，安全協議的開發是一大熱點；（4）單向防火墻（又叫做網絡二極管）將作為一種產品門類而出現；（5）對網絡攻擊的檢測和各種告警將成為防火墻的重要功能；（6）安全管理工具不斷完善，特別是可以活動的日志分析工具等將成為防火墻產品中的一部分。

另外值得一提的是，伴隨著防火墻技術的不斷發展，人們選擇防火墻的標準將主要集中在易于管理、應用透明性、鑒別與加密功能、操作環境和硬件要求、VPN的功能與CA的功能、接口的數量、成本等幾個方面。

幾乎所有接觸網絡的人都知道網絡中有一些費盡心機闖入他人計算機系統的人，他們利用各種網絡和系統的漏洞，非法獲得未授權的訪問信息。不幸的是如今攻擊網絡系統和竊取信息已經不需要什么高深的技巧。網絡中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。不需要去了解那些攻擊程序是如何運行的，只需要簡單的執行就可以給網絡造成巨大的威脅。甚至部分程序不需要人為的參與，非常智能化的掃描和破壞整個網絡。這種情況使得近幾年的攻擊頻率和密度顯著增長，給網絡安全帶來越來越多的安全隱患。

隨著Internet/Intranet技術的飛速發展，網絡安全問題必將愈來愈引起人們的重視。防火墻技術作為目前用來實現網絡安全措施的一種主要手段，它主要是用來拒絕未經授權用戶的訪問，阻止未經授權用戶存取敏感數據，同時允許合法用戶不受妨礙的訪問網絡資源。如果使用得當，可以在很大程度上提高網絡安全。但是沒有一種技術可以百分之百地解決網絡上的所有問題，比如防火墻雖然能對來自外部網絡的攻擊進行有效的保護，但對于來自網絡內部的攻擊卻無能為力。事實上60%以上的網絡安全問題來自網絡內部。因此網絡安全單靠防火墻是不夠的，還需要有其它技術和非技術因素的考慮，如信息加密技術、身份驗證技術、制定網絡法規、提高網絡管理人員的安全意識等等。

參考文獻：

[1]彭濤.計算機網絡教程[M].北京：機械工業出版社，2002.

[2]楚狂.網絡安全與Firewall技術[M].北京：人民郵電出版社，2004.