淺析防火墻技術

胡坤

摘 要：互聯網信息技術的發展使得眾多企業組織開始連接到互聯網上，這樣企業在實現訪問外部世界并與之通信的同時，外部世界也同樣可以訪問企業內部網絡并與之交互。這時為了保證企業組織的信息安全，企業就必須對其重要信息進行保護。為了安全起見企業開始在內部網絡和Internet之間建立一個中介系統，豎起一道安全屏障。這道屏障的作用是過濾不安全的服務和非法的用戶，并控制內部網絡對特殊站點的訪問同時記錄內外部網絡之間的連接，提供預警和審計等功能。這種屏障就是我們常說的防火墻。本文介紹了防火墻技術的現狀，并分析了如今防火墻技術的局限性和未來發展的趨勢。

關鍵詞：現狀；局限性；發展

一、防火墻的概念

防火墻是指隔離在本地網絡與外界網絡之間的一道執行控制策略的防御系統。它對網絡之間傳輸的數據包依照一定的安全策略進行檢查，以決定通信是否被允許，對外屏蔽內部網的信息、結構和運行狀況，并提供單一的安全和審計的安裝控制點，從而達到保護內部網絡的信息不被外部非授權用戶訪問和過濾不良信息目的。

防火墻實質上是一種隔離控制技術，其核心思想是在不安全的網絡環境下構造一種相對安全的內部網絡環境。從邏輯上講它既是一個分析器又是一個限制器，它要求所有進出網絡的數據流都必須有安全策略和計劃的確認和授權并將內外網絡在邏輯上分離。

二、防火墻技術的現狀

目前的防火墻技術主要包括兩種類型， 第一類是包過濾技術， 主要經歷了四個發展階段。第一代是和路由器同時出現的靜態包過濾技術防火墻， 也就是傳統的“邊界防火墻”， 它通常是基于訪問控制列表（ACL）進行包過濾的， 靜態包過濾技術雖然簡單、易用、透明、高速， 但是其安全性能很低。第二代是動態包過濾（Dynamic Packet Filter） 技術， 動態包過濾技術是基于連接狀態對數據包進行檢查的， 解決了靜態包過濾的安全限制， 同時也提供了較好的性能， 目前應用比較普遍， 但是隨著主動攻擊的增多， 動態包過濾技術也面臨著巨大的挑戰。第三代是全狀態檢測（Stateful Inspection） 防火墻技術， 該技術提供了完整的對傳輸層的控制能力， 狀態檢測技術還采用了一系列的優化技術， 在大大提高安全防范能力的同時也改進了流量處理速度， 使防火墻性能大幅度提升， 是目前采用的主流防火墻技術。第四代是深度包檢測（Deep Packet Inspection） 防火墻技術， 面對新形勢下的蠕蟲病毒、DDOS （ 分布式拒絕服務） 攻擊、垃圾郵件泛濫等嚴重威脅，最新一代包過濾類防火墻采用了深度包檢測 （Deep Packet Inspection） 技術， 深度包檢測引擎以基于指紋匹配、啟發式技術、異常檢測以及統計學分析等技術來決定如何處理數據包。深度包檢測防火墻能阻止 DDOS攻擊、病毒傳播問題和高級應用入侵問題， 該技術代表著新一代防火墻的發展方向。

第二類是代理網關技術， 主要經歷了從應用層代理、電路層代理到自適應代理防火墻這樣三個階段。代理網關技術的優點是可以檢查應用層、傳輸層和網絡層的協議特征， 對數據包的檢測能力比較強。總之， 代理技術類防火墻在對應用層的數據過濾方面能力優于包過濾類防火墻， 但是在性能方面的表現就會大大遜色， 而且有的可能需要安裝特殊的客戶端軟件， 使用起來不夠人性化。

三、防火墻技術的局限性和未來的趨勢

盡管利用防火墻技術可以比較有效地保護計算機網絡免受外部黑客所進行的網絡攻擊，但不可能保證網絡的絕對安全，事實上仍然存在著一些防火墻不能防范的安全威脅。在實際應用中防火墻存在著許多的局限，如防火墻不能防范不經過防火墻的攻擊，如果允許從受保護的網絡內部向外撥號，一些用戶就可能形成與外部公共網絡的直接連接，躲避了防火墻對其的訪問控制和安全檢查；由于防火墻是設置在內部網和外部網之間的安全組件，不能解決來自內部人員對網絡的破壞或資料的盜竊等安全問題；目前防火墻并不具備殺毒功能，不能阻止受病毒感染的文件的傳輸，所以也不能保護內部網絡免受計算機病毒的破壞；防火墻技術是根據事先設定的安全策略來保護內部網絡的，只能防范已知的安全威脅，無法預測前所未見的攻擊方式。另外，防火墻不能防止利用服務器系統漏洞所進行的攻擊，黑客可以通過防火墻準許的端口對該服務器的漏洞進行攻擊。

防火墻的各種關鍵技術，如包過濾技術、應用層網關技術和狀態監測技術等在實際的應用中各有其優缺點。我們首先要對所要保護的網絡的規模、功能做一個全面的分析和評估，以確定網絡所需要的安全等級，最后根據網絡的安全等級選擇適合自己網絡的防火墻技術和產品，事實上許多防火墻產品都是以上提到的防火墻技術的綜合運用。面對黑客進行攻擊的新特點以及網絡安全領域的新變化，防火墻技術也在不斷地更新和完善，目前防火墻技術有下面幾個發展趨勢。

1. 多級過濾技術

多級過濾技術防火墻是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術。它采用多級過濾措施，過濾深度進一步加強，從簡單的地址和服務過濾發展到 URL過濾、內容過濾等。采用多級過濾技術的防火墻在 TCP/IP 協議的網絡層一級過濾掉所有的源路由 IP 數據包和假冒源 IP 地址的 IP 數據包；在傳輸層一級過濾掉所有禁止出入的協議和有害數據包如 Nuke 包等；在應用層一級利用 FTP 和 SMTP 等各種網關，控制和監測 Internet 提供的所有通用服務。這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網絡層，便于將來防火墻技術內容的擴展。

2. 用戶身份認證技術

采用用戶身份認證技術的防火墻具有基于用戶角色的安全策略功能，它通常是在應用層上來實現的。包過濾技術的防火墻無法實現對用戶的身份驗證，使用用戶身份認證技術可以很好地提高網絡的安全級別，但是也會對網絡的通信性能造成負面影響，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證，因此該技術一般應用在對用戶身份比較敏感的無線通信網絡中。

3. 嵌套病毒防護技術

采用嵌套病毒防護技術的防火墻通常也叫“病毒防火墻”，目前主要應用在個人防火墻中，因為它是純軟件形式，所以實現起來比較容易。這種技術可以有效地防止病毒在網絡中的傳播，比被動地等待攻擊的發生更加積極。但是采用這種技術往往會導致整個系統性能的急劇下降，因此這種技術一般只應用在低端產品中。

參考文獻：

[1]朱鵬. 基于狀態包過濾的防火墻技術[J]. 微計算機信息，2005.

[2]張公忠. 現代網絡技術教程[M]. 北京：電子工業出版社出版，2004.

[3]張小斌. 黑客分析與防范技術[M]. 北京：清華大學出版社，1999.

[4]王睿. 網絡安全及防火墻技術[M]. 北京：清華大學出版社，2000.

[5]斯特拉斯伯格. 防火墻技術大全[M]. 北京：機械工業出版社，2003.endprint