崔升廣

摘要：隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，對(duì)網(wǎng)絡(luò)安全性要求也越來(lái)越高，防火墻技術(shù)可以提供行之有效的網(wǎng)絡(luò)安全機(jī)制，保障網(wǎng)絡(luò)的安全性與可靠性，本文主要研究防火墻技術(shù)，對(duì)防火墻的主要技術(shù)類型包括包過(guò)濾、應(yīng)用層網(wǎng)關(guān)、應(yīng)用代理服務(wù)器、狀態(tài)檢測(cè)放火墻進(jìn)行了分析以及防火墻技術(shù)發(fā)展趨勢(shì)進(jìn)行了研究。

關(guān)鍵詞：防火墻 網(wǎng)絡(luò)安全 網(wǎng)關(guān) 應(yīng)用代理

[Abstract] With the development of network technology， the network security requirements are also getting higher and higher， the firewall technology can provide effective network security mechanism， guarantee the safety and reliability of the network， this paper mainly studies the firewall technology， main types of firewall includes packet filter， application layer gateway， proxy server application， state inspection firewall is the analysis and development of firewall technology was studied.

[keyword] firewall netsafe gateway Application Proxy

1、引言

隨著互聯(lián)網(wǎng)及其網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，全球信息化進(jìn)程的不斷推進(jìn)，人們?cè)谙硎芑ヂ?lián)網(wǎng)帶來(lái)的豐富信息、巨大便利與快捷的同時(shí)，也面臨著對(duì)互聯(lián)網(wǎng)開放性帶來(lái)的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn)。一方面互聯(lián)網(wǎng)攻擊的手段越來(lái)越簡(jiǎn)單、越來(lái)越普遍，攻擊工具的功能卻越來(lái)越強(qiáng)，網(wǎng)絡(luò)感染病毒、遭受攻擊的速度日益加快；另一方面網(wǎng)絡(luò)受到攻擊做出響應(yīng)的時(shí)間卻越來(lái)越滯后，這就使得用戶對(duì)網(wǎng)絡(luò)的安全性提出了更高的要求，使網(wǎng)絡(luò)的安全問(wèn)題日益突出，網(wǎng)絡(luò)安全無(wú)論從理論上還是實(shí)際應(yīng)用中都具有十分重要的意義，網(wǎng)絡(luò)安全作為一個(gè)無(wú)法回避的問(wèn)題呈現(xiàn)在我們面前。

防火墻是提供行之有效的網(wǎng)絡(luò)安全機(jī)制，是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效保障，在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)現(xiàn)安全的防范措施。

2、防火墻技術(shù)概述

防火墻是用一個(gè)或一組網(wǎng)絡(luò)設(shè)備，在兩個(gè)或多個(gè)網(wǎng)絡(luò)之間加強(qiáng)訪問(wèn)控制，以保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè)網(wǎng)絡(luò)攻擊的安全技術(shù)，防火墻的組成可以表示為：防火墻=過(guò)濾器+安全策略+網(wǎng)關(guān)，它是一種非常有效的網(wǎng)絡(luò)安全技術(shù)，防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信數(shù)據(jù)，從而完成僅讓安全、核準(zhǔn)的信息進(jìn)入，同時(shí)又抵制對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù)進(jìn)入的任務(wù)。

3、防火墻的主要技術(shù)類型

防火墻的主要技術(shù)類型包括包過(guò)濾、應(yīng)用層網(wǎng)關(guān)、應(yīng)用代理服務(wù)器、狀態(tài)檢測(cè)放火墻。

（1）過(guò)濾防火墻

數(shù)據(jù)包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，稱為訪問(wèn)控制表，通過(guò)檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源地址、目的地址、所用端口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。

數(shù)據(jù)包過(guò)濾防火墻的優(yōu)點(diǎn)是速度快，邏輯簡(jiǎn)單，成本低，易于安裝和使用，網(wǎng)絡(luò)性能和透明度好。它通常安裝在路由器上，內(nèi)部網(wǎng)絡(luò)與Internet連接，必須通過(guò)路由器，因此在原有網(wǎng)絡(luò)上增加這類防火墻，幾乎不需要任何額外的費(fèi)用

（2）應(yīng)用層網(wǎng)關(guān)

應(yīng)用層網(wǎng)關(guān)技術(shù)是在網(wǎng)絡(luò)的應(yīng)用層上實(shí)現(xiàn)協(xié)議顧慮和轉(zhuǎn)

發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯，并在過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、記錄和統(tǒng)計(jì)，形成報(bào)告。

應(yīng)用層網(wǎng)關(guān)防火墻和數(shù)據(jù)包過(guò)濾有一個(gè)共同的特點(diǎn)，就是他們僅僅依靠特定的邏輯來(lái)判斷是否允許數(shù)據(jù)包通過(guò)。防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)便可以建立直接聯(lián)系，外部的用戶便有可能直接了解到防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這大大增加了非法訪問(wèn)和攻擊的機(jī)會(huì)。

（3）應(yīng)用代理服務(wù)器

應(yīng)用代理服務(wù)器技術(shù)能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層連接，由兩個(gè)代理服務(wù)器之間的連接來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。

應(yīng)用代理服務(wù)器對(duì)客戶端的請(qǐng)求行使“代理”職責(zé)?？蛻舳诉B接到防火墻并發(fā)出請(qǐng)求，然后防火墻連接到服務(wù)器，并代表這個(gè)客戶端重復(fù)這個(gè)請(qǐng)求。返回時(shí)數(shù)據(jù)發(fā)送到代理服務(wù)器，然后再傳送給用戶，從而確保內(nèi)部IP地址和口令不在Internet上出現(xiàn)。

（4）狀態(tài)檢測(cè)防火墻

狀態(tài)檢測(cè)又稱為動(dòng)態(tài)包過(guò)濾，是在傳統(tǒng)包過(guò)濾上的功能擴(kuò)展。傳統(tǒng)的包過(guò)濾在遇到利用動(dòng)態(tài)端口的協(xié)議時(shí)會(huì)發(fā)生困難，如FTP，你事先無(wú)法知道哪些端口需要打開，而如果采用原始的靜態(tài)包過(guò)濾，又希望用到此服務(wù)的話，就需要實(shí)現(xiàn)將所有可能用到的端口打開，而這往往是個(gè)非常大的范圍，會(huì)給安全帶來(lái)不必要的隱患。

狀態(tài)檢測(cè)防火墻克服了包過(guò)濾防火墻和應(yīng)用代理服務(wù)器的局限性，它們不僅檢測(cè)“to”或“from”的地址，而且也不要求每個(gè)被訪問(wèn)的應(yīng)用都有代理。狀態(tài)檢測(cè)防火墻根據(jù)協(xié)議、端口及源目的地址的具體情況決定數(shù)據(jù)包是否可以通過(guò)。對(duì)于每個(gè)安全策略允許的請(qǐng)求，狀態(tài)檢測(cè)防火墻啟動(dòng)相應(yīng)的進(jìn)程，可以快速地確認(rèn)符合授權(quán)流通標(biāo)準(zhǔn)的數(shù)據(jù)包，這使得本身的運(yùn)行非?？焖?。

4、防火墻技術(shù)發(fā)展趨勢(shì)

（1）防火墻包過(guò)濾技術(shù)

一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無(wú)線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過(guò)濾技術(shù)的防火墻不具有。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶來(lái)的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn)證。

（2）多級(jí)過(guò)濾技術(shù)

所謂多級(jí)過(guò)濾技術(shù)，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾一級(jí)，過(guò)濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級(jí)，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出或和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)，這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過(guò)濾技術(shù)的不足。

（3）防火墻病毒防護(hù)功能

現(xiàn)在通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问剑菀讓?shí)現(xiàn)，這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極，擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。

5、結(jié)束語(yǔ)

當(dāng)用戶與Internet連接時(shí)，可以在中間加入一個(gè)或幾個(gè)中介系統(tǒng)，防止非法入侵者通過(guò)網(wǎng)絡(luò)進(jìn)行攻擊，并提供數(shù)據(jù)可靠性、完整性的安全和審查控制，防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道屏障，以防止不可預(yù)測(cè)的、潛在破壞的非法入侵，它通過(guò)監(jiān)測(cè)、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)、信息和運(yùn)行情況，以此來(lái)實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全。

參考文獻(xiàn)：

[1] 吳秀梅 《防火墻技術(shù)及應(yīng)用教程》 清華大學(xué)出版社 2010-10

[2] 閻慧 《防火墻原理與技術(shù)》 機(jī)械工業(yè)出版社 2004-5