1.引言

網(wǎng)絡(luò)安全是一個不容忽視的問題，當人們在享受網(wǎng)絡(luò)帶來的方便與快捷的同時，也要時時面對網(wǎng)絡(luò)開放帶來的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險。為了保障網(wǎng)絡(luò)安全，當園區(qū)網(wǎng)與外部網(wǎng)連接時，可以在中間加入一個或多個中介系統(tǒng)，防止非法入侵者通過網(wǎng)絡(luò)進行攻擊，非法訪問，并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統(tǒng)就是防火墻(Firewall)技術(shù)。它通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運行情況、阻止外部網(wǎng)絡(luò)中非法用戶的攻擊、訪問以及阻擋病毒的入侵，以此來實現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全運行。

2.防火墻的定義

Internet防火墻是一個或一組系統(tǒng)，它能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，用于加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取，防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的服務(wù)，以及哪些外部服務(wù)何時可以被內(nèi)部人員訪問。

防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問控制設(shè)備，常常安裝在內(nèi)部網(wǎng)和外部網(wǎng)連接的點上。Internet防火墻是由路由器、堡壘主機、或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源。安全策略應告訴用戶應有對的責任，公司規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施，以及雇員培訓等。所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。

防火墻系統(tǒng)可以是路由器，也可以是個人主機、主系統(tǒng)和一批主系統(tǒng)，用于把網(wǎng)絡(luò)或子網(wǎng)同那些可能被子網(wǎng)外的主系統(tǒng)濫用的協(xié)議和服務(wù)隔絕。防火墻系統(tǒng)通常位于等級較高的網(wǎng)關(guān)或網(wǎng)點與Internet的連接處，但是防火墻系統(tǒng)也可以位于等級較低的網(wǎng)關(guān)，以便為某些數(shù)量較少的主系統(tǒng)或子網(wǎng)提供保護。

防火墻的局限性：

1）不能防范惡意的知情者；

2）不能防范不通過它的連接；

3）不能防范全部的威脅；

4）不能防范病毒。

由此可見，要想建立一個真正行之有效的安全的計算機網(wǎng)絡(luò)，僅使用防火墻還是不夠，在實際的應用中，防火墻常與其它安全措施，比如加密技術(shù)、防病毒技術(shù)等綜合應用。

3.防火墻的技術(shù)原理

3.1 包過濾技術(shù)

包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè)置好的過濾規(guī)則，通過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會被防火墻過濾掉，由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通?？梢赃^濾基于某些或所有下列信息組的IP包：源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口。包過濾技術(shù)實際上是一種基于路由器的技術(shù)，其最大優(yōu)點就是價格便宜，實現(xiàn)邏輯簡單便于安裝和使用。

缺點：

1）過濾規(guī)則難以配置和測試；

2）包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息，訪問信息有限，對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力；

3）對一些協(xié)議，如UDP和RPC難以有效的過濾。

3.2 代理技術(shù)

代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個網(wǎng)絡(luò)之間設(shè)置一個“中間檢查站”，兩邊的網(wǎng)絡(luò)應用可以通過這個檢查站相互通信，但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務(wù)器，它運行在兩個網(wǎng)絡(luò)之間，對網(wǎng)絡(luò)之間的每一個請求進行檢查。當代理服務(wù)器接收到用戶請求后，會檢查用戶請求合法性。若合法，則把請求轉(zhuǎn)發(fā)到真實的服務(wù)器上，并將答復再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器是針對某種應用服務(wù)而寫的，工作在應用層。

優(yōu)點：它將內(nèi)部用戶和外界隔離開來，使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。與包過濾技術(shù)相比，代理技術(shù)是一種更安全的技術(shù)。

缺點：在應用支持方面存在不足，執(zhí)行速度較慢。

3.3 狀態(tài)監(jiān)視技術(shù)

這是第三代防火墻技術(shù)，集成了前兩者的優(yōu)點。能對網(wǎng)絡(luò)通信的各層實行檢測。同包過濾技術(shù)一樣，它能夠檢測通過IP地址、端口號以及TCP標記，過濾進出的數(shù)據(jù)包。它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠與應用層有關(guān)的代理，而是依靠某種算法來識別進出的應用層數(shù)據(jù)，這些算法通過己知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應用級代理在過濾數(shù)據(jù)包上更有效。

圖1 包過濾防火墻

圖2 雙宿主主機防火墻

圖3 屏蔽主機網(wǎng)關(guān)防火墻

圖4 屏蔽子網(wǎng)防火墻

狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應用程序，可方便地實現(xiàn)應用和服務(wù)的擴充。此外，它還可監(jiān)測RPC和UDP端口信息，而包過濾和代理都不支持此類端口。這樣，通過對各層進行監(jiān)測，狀態(tài)監(jiān)視器實現(xiàn)網(wǎng)絡(luò)安全的目的。目前，多使用狀態(tài)監(jiān)測防火墻，它對用戶透明，在OSI最高層上加密數(shù)據(jù)，而無需修改客戶端程序，也無需對每個需在防火墻上運行的服務(wù)額外增加一個代理。

4.防火墻的體系結(jié)構(gòu)

4.1 包過濾防火墻

包過濾防火墻也稱作過濾過濾路由器，它是最基本、最簡單的一種防火墻，可以在一般的路由器上實現(xiàn)，也可以在基于主機的路由器上實現(xiàn)。配置圖如圖1所示。

內(nèi)部網(wǎng)絡(luò)的所有出入都必須通過過濾路由器，路由器審查每個數(shù)據(jù)包，根據(jù)過濾規(guī)則決定允許或拒絕數(shù)據(jù)包。

優(yōu)點：

1）易實現(xiàn)；

2）不要求運行的應用程序做任何改動或安裝特定的軟件，也無需對用戶進行特定的培訓。

缺點：

1）依賴一個單一的設(shè)備來保護系統(tǒng)，一旦該設(shè)備（過濾路由器）發(fā)生故障，則網(wǎng)絡(luò)門戶開放；

2）很少或沒有日志記錄能力，當網(wǎng)絡(luò)被入侵時，無法保留攻擊者的蹤跡。包防火墻適于小型簡單的網(wǎng)絡(luò)。

4.2 雙宿主主機防火墻

這種防火墻系統(tǒng)由一種特殊的主機來實現(xiàn)。這臺主機擁有兩個不同的網(wǎng)絡(luò)接口，一端接外部網(wǎng)絡(luò)，一端接需要保護的內(nèi)部網(wǎng)絡(luò)，并運行代理服務(wù)器，故被稱為雙宿主主機防火墻。它不使用包過濾規(guī)則，而是在外部網(wǎng)絡(luò)和被保護的內(nèi)部網(wǎng)絡(luò)之間設(shè)置一個網(wǎng)關(guān)，隔斷IP層之間的直接傳輸。兩個網(wǎng)絡(luò)中的主機不能直接通信，兩個網(wǎng)絡(luò)之間的通信通過應用層數(shù)據(jù)共享或應用層代理服務(wù)來實現(xiàn)。如圖2所示。

優(yōu)點：

1）網(wǎng)關(guān)將被保護的網(wǎng)絡(luò)與外界完全隔離開；

2）提供日志，有助于發(fā)現(xiàn)入侵；

3）內(nèi)部網(wǎng)絡(luò)的名字和IP地址對外界來說是不可見的。

缺點：代理服務(wù)，代理服務(wù)器必須為每種應用專門設(shè)計，所有的服務(wù)依賴于網(wǎng)關(guān)提供的在某些要求靈活的場合不太適用。

4.3 屏蔽主機網(wǎng)關(guān)防火墻

它由一臺過濾路由器和一臺堡壘主機組成。在這種配置下，堡壘主機配置在內(nèi)部網(wǎng)絡(luò)上，過濾路由器則放置在內(nèi)部網(wǎng)路和外部網(wǎng)絡(luò)之間。外部網(wǎng)絡(luò)的主機只能訪問該堡壘主機，而不能直接訪問內(nèi)部網(wǎng)絡(luò)的其它主機。內(nèi)部網(wǎng)絡(luò)在向外通信時，必須先到堡壘主機，由該堡壘主機決定是否允許訪問外部網(wǎng)絡(luò)。這樣堡壘主機成為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的唯一通道。如圖3所示。

優(yōu)點：

1）配置更為靈活，它可以通過配置過濾路由器將某些通信直接傳到內(nèi)部網(wǎng)絡(luò)的其它站點而不是堡壘主機；

2）包過濾路由器的規(guī)則較簡單。

缺點：一旦堡壘主機被攻破，內(nèi)部網(wǎng)絡(luò)將完全暴露。

4.4 屏蔽子網(wǎng)防火墻

屏蔽子網(wǎng)防火墻在屏蔽主機網(wǎng)關(guān)防火墻的配置上加上另一個包過濾路由器，如圖4所示。

在屏蔽主機網(wǎng)關(guān)防火墻中，堡壘主機最易受到攻擊。而且內(nèi)部網(wǎng)對堡壘主機是完全公開的，入侵者只要破壞了這一層的保護，那么入侵也就成功了。屏蔽子網(wǎng)防火墻被憑就是在被屏蔽主機結(jié)構(gòu)中再增加一臺路由器的安全機制，這臺路由器的意義就在于它能夠在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)筑出一個安全子網(wǎng)，從而使得內(nèi)部網(wǎng)與外部網(wǎng)之間有兩層隔斷。用子網(wǎng)來隔離堡壘主機與內(nèi)部網(wǎng)，就能減輕入侵者沖開堡壘主機后而給內(nèi)部網(wǎng)帶來的沖擊力。

優(yōu)點：提供多層保護，一個入侵者必須通過兩個路由器和一個應用網(wǎng)關(guān)，是目前最為安全的防火墻系統(tǒng)。

缺點：

1）價格較貴；

2）整個系統(tǒng)的配置較為困難。

該防火墻適合大、中型企業(yè)，以及對安全性要求高的單位。

[1]陳莉.計算機網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].中國科技信息,2005(23):25.

[2]張景田.計算機網(wǎng)絡(luò)安全技淺析[J].統(tǒng)計與查詢,2005(4):31.

[3]史忠植.高級計算機網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社,2002.

[4]張漢文.計算機網(wǎng)絡(luò)安全與防范問題初探[J].信息安全與通信保密,2005(10):40.

[5]Eric Maiwald,Wi1liEducation,Security Planning&Disaster Recovery,2003,Posts&Telecommunications Press.

[6]John Viega,Gary McGraw,構(gòu)建安全的軟件[M].鐘向群,王鵬譯清華大學出版社,2003,04.