王非

【摘 要】隨著計(jì)算機(jī)技術(shù)和通訊技術(shù)的迅速發(fā)展，特別是Internet的出現(xiàn)，使網(wǎng)絡(luò)的重要性和社會(huì)的影響越來越大，網(wǎng)絡(luò)安全問題也變得越來越重要。 防火墻在網(wǎng)絡(luò)信息安全中的重要作用不容忽視。

【關(guān)鍵詞】防火墻；網(wǎng)絡(luò)安全

1.防火墻技術(shù)的概述

防火墻是防范網(wǎng)絡(luò)攻擊最常用的方法，從技術(shù)理論上看，如今的防火墻經(jīng)過了多年的不斷改進(jìn)，已經(jīng)成為一種先進(jìn)和復(fù)雜的基于應(yīng)用層的網(wǎng)關(guān)，不僅能完成傳統(tǒng)防火墻的過濾任務(wù)，同時(shí)也能夠針對(duì)各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。防火墻技術(shù)的基本思想是限制網(wǎng)絡(luò)訪問，它把網(wǎng)絡(luò)分為兩個(gè)部分：外部網(wǎng)絡(luò)和受保護(hù)網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)）。相比企業(yè)而言，外部網(wǎng)絡(luò)一般指的是Internet，而受保護(hù)網(wǎng)絡(luò)一般指企業(yè)自己建立的Internet 防火墻，放在受保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間， 防火墻（阻塞類防火墻）可以確保除非通過檢查點(diǎn)的審查，否則你從網(wǎng)中將不能直接到達(dá)因特網(wǎng)。

2.防火墻的應(yīng)用現(xiàn)狀

2.1 包過濾防火墻和代理

防火墻的發(fā)展，經(jīng)歷了從早期的簡(jiǎn)單包過濾，到今天廣泛應(yīng)用的狀態(tài)包過濾技術(shù)和應(yīng)用代理。其中狀態(tài)包過濾技術(shù)因?yàn)槠浒踩暂^好，速度快，得到最廣泛的應(yīng)用。應(yīng)用代理雖然安全性更好，但它需要針對(duì)每一種協(xié)議開發(fā)特定的代理協(xié)議，對(duì)應(yīng)用的支持不夠好。從國外公開的防火墻測(cè)試報(bào)告來看，代理防火墻性能表現(xiàn)比較差，因此在網(wǎng)絡(luò)帶寬迅猛發(fā)展的情況下，已經(jīng)不能完全滿足需要。

此外，有的防火墻支持SOCK代理，這種代理屏蔽了協(xié)議本身，只要客戶端支持SOCK代理，該應(yīng)用在防火墻上就可以穿越。這種代理對(duì)于部分不公開的協(xié)議，如QQ的語音和視頻協(xié)議，采用其他技術(shù)，在NAT情況下很難實(shí)現(xiàn)對(duì)該協(xié)議的支持，但QQ軟件本身支持SOCK代理，如果防火墻支持SOCK代理協(xié)議，就可以實(shí)現(xiàn)對(duì)防火墻的穿越。但對(duì)于防火墻而言，不參與協(xié)議解碼，也意味著防火墻對(duì)該協(xié)議失去了監(jiān)測(cè)能力。

2.2 狀態(tài)檢測(cè)技術(shù)

下面，重點(diǎn)描述一下防火墻的狀態(tài)檢測(cè)技術(shù)。狀態(tài)檢測(cè)技術(shù)最早是CheckPoint提出的，也就是要監(jiān)視每個(gè)連接發(fā)起到結(jié)束的全過程。對(duì)于部分協(xié)議，如FTP、H.323 等協(xié)議，是有狀態(tài)的協(xié)議，防火墻必須對(duì)這些協(xié)議進(jìn)行分析，以便知道什么時(shí)候，從哪個(gè)方向允許特定的連接進(jìn)入和關(guān)閉。例如FTP，除了開始要建立命令通道外，還要?jiǎng)討B(tài)協(xié)商數(shù)據(jù)通道。以PORT方式為例，PORT模式下的工作過程如下：

（1） 客戶端向服務(wù)器21端口發(fā)起連接，建立控制命令通道；

（2） 客戶端向服務(wù)器發(fā)出命令，要求建立數(shù)據(jù)連接；

（3） 客戶端打開一個(gè)端口；

（4） 客戶端通過PORT命令，從控制通道把端口號(hào)發(fā)給服務(wù)器；

（5） 服務(wù)器向客戶端該端口發(fā)送一個(gè)主動(dòng)連接。

從上述過程可以看出，客戶端打開的端口號(hào)是未知的，所以防火墻必須對(duì)FTP控制通道的命令進(jìn)行解碼，從而知道協(xié)商后的端口號(hào)。然后，防火墻臨時(shí)打開一個(gè)通道，允許服務(wù)器連接客戶端的這個(gè)端口。對(duì)于狀態(tài)防火墻，只需要通過ACL設(shè)置，開放該客戶端對(duì)服務(wù)器的21端口連接。但對(duì)于以前的簡(jiǎn)單包過濾防火墻，如果想支持PORT模式，還得對(duì)外開放所有的端口，這顯然是不安全的。

2.3 高保障防火墻

防火墻因?yàn)檐浖?fù)雜，實(shí)現(xiàn)的功能較多，必須有操作系統(tǒng)支持，操作系統(tǒng)的安全是防火墻安全的基石。1998年，在中國一家機(jī)構(gòu)和美國計(jì)算機(jī)學(xué)會(huì)ACM共同舉辦的國際會(huì)議上，我國首次提出了高保障防火墻的概念，其核心是防火墻與安全操作系統(tǒng)無縫集成，在防火墻上實(shí)現(xiàn)類似B級(jí)操作系統(tǒng)的機(jī)制，如標(biāo)記、MAC、強(qiáng)實(shí)體認(rèn)證等。建立了防止內(nèi)部敏感信息泄漏的機(jī)制，達(dá)到既防外又防內(nèi)的目標(biāo)，又實(shí)現(xiàn)了傳統(tǒng)防火墻的全部功能。

3.新型防火墻技術(shù)與優(yōu)點(diǎn)

新型防火墻更應(yīng)該加強(qiáng)放行數(shù)據(jù)的安全性，因?yàn)榫W(wǎng)絡(luò)安全的真實(shí)需求是既要保證安全，也必須保證應(yīng)用的正常進(jìn)行。新型防火墻技術(shù)主要是綜合包過濾和代理技術(shù)，克服二者在安全方面的缺陷；能從數(shù)據(jù)鏈路層一直到應(yīng)用層施加全方位的控制；TCP/IP協(xié)議和代理的直接相互配合，使系統(tǒng)的防欺騙能力和運(yùn)行的健壯性都大大提高；并且能夠?qū)崿F(xiàn)TCP/IP協(xié)議的微內(nèi)核，從而在TCP/IP協(xié)議層能進(jìn)行各項(xiàng)安全控制；基于上述微內(nèi)核，使速度超過傳統(tǒng)的包過濾防火墻；提供透明代理模式，減輕客戶端的配置工作；支持?jǐn)?shù)據(jù)加密、解密（DES和RSA），提供對(duì)虛擬網(wǎng)VPN的強(qiáng)大支持；內(nèi)部信息完全隱藏等。新型防火墻技術(shù)不僅覆蓋了傳統(tǒng)包過濾防火墻的全部功能，而且在全面對(duì)抗IP欺騙、SYNFlood、ICMP、ARP等攻擊手段方面有顯著優(yōu)勢(shì)，增強(qiáng)代理服務(wù)，并使其與包過濾相融合，再加上智能過濾技術(shù)，使防火墻的安全性能有很大提高。

3.1 分布式防火墻技術(shù)

在新的安全體系結(jié)構(gòu)下，分布式防火墻代表新型防火墻技術(shù)的發(fā)展潮流，它可以在網(wǎng)絡(luò)的任何交界和節(jié)點(diǎn)處設(shè)置屏障，從而形成了一個(gè)多層次，多協(xié)議，內(nèi)外皆防的全方位安全體系，它的主要功能如下：

（1）Internet訪問控制依據(jù)工作站名稱、設(shè)備指紋等屬陛，使用“Internet訪問規(guī)則”，控制該工作站或工作站組在指定的時(shí)間段內(nèi)是否允許/禁止訪問模板或網(wǎng)址列表中所規(guī)定的Internet Web服務(wù)器，某個(gè)用戶可否基于某工作站訪問www服務(wù)器，同時(shí)當(dāng)某個(gè)工作站/用戶達(dá)到規(guī)定流量后確定是否斷網(wǎng)。

（2）應(yīng)用訪問控制通過對(duì)網(wǎng)絡(luò)通訊從鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層基于源地址、目標(biāo)地址、端口、協(xié)議的逐層包過濾與入侵監(jiān)測(cè)，控制來自局域網(wǎng)/Internet的應(yīng)用服務(wù)請(qǐng)求，如SQL數(shù)據(jù)庫訪問、IPX協(xié)議訪問等。

（3）網(wǎng)絡(luò)狀態(tài)監(jiān)控實(shí)時(shí)動(dòng)態(tài)報(bào)告當(dāng)前網(wǎng)絡(luò)中所有的用戶登陸、Internet訪問、內(nèi)網(wǎng)訪問、網(wǎng)絡(luò)入侵事件等信息。

（4）黑客攻擊的防御抵御包括Smurf拒絕服務(wù)攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等在內(nèi)的近百種來自網(wǎng)絡(luò)內(nèi)部以及來自Internet的黑客攻擊手段。

（5）日志管理對(duì)工作站協(xié)議規(guī)則日志、用戶登陸事件日志、用戶Internet訪問日志、指紋驗(yàn)證規(guī)則日志、入侵檢測(cè)規(guī)則日志的記錄與查詢分析。

（6）系統(tǒng)工具包括系統(tǒng)層參數(shù)的設(shè)定、規(guī)則等配置信息的備份與恢復(fù)、流量統(tǒng)計(jì)、模板設(shè)置、工作站管理等。

分布式防火墻克服了傳統(tǒng)防火墻的缺陷，它的優(yōu)勢(shì)在于：在網(wǎng)絡(luò)內(nèi)部增加了另一層安全，有效抵御來自內(nèi)部的攻擊，消除網(wǎng)絡(luò)邊界上的通信瓶頸和單一故障點(diǎn)，支持基于加密和認(rèn)證的網(wǎng)絡(luò)應(yīng)用；與拓?fù)錈o關(guān)，支持移動(dòng)計(jì)算。

3.2 嵌入式防火墻技術(shù)

嵌入式防火墻就是內(nèi)嵌于路由器或交換機(jī)的防火墻。嵌入式防火墻是某些路由器的標(biāo)準(zhǔn)配置。嵌入式防火墻也被稱為阻塞點(diǎn)防火墻。由于互聯(lián)網(wǎng)使用的協(xié)議多種多樣，所以不是所

有的網(wǎng)絡(luò)服務(wù)都能得到嵌入式防火墻的有效處理。嵌入式防火墻工作于IP層，所以無法保護(hù)網(wǎng)絡(luò)免受病毒、蠕蟲和特洛伊木馬程序等來自應(yīng)用層的威脅。就本質(zhì)而言，嵌入式防火墻

常是無監(jiān)控狀態(tài)的，它在傳遞信息包時(shí)并不考慮以前的連接狀態(tài)。

3.3 智能防火墻技術(shù)

智能防火墻從技術(shù)特征上，是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問控制的目的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問控制。由于這些方法多是人工智能學(xué)科采用的方法，因此被稱為智能防火墻。

4.總結(jié)

從目前防火墻產(chǎn)品及其功能上，可以看到防火墻的擴(kuò)展功能將進(jìn)一步完善，而且隨著算法的優(yōu)化，使對(duì)網(wǎng)絡(luò)流量的影響減低到最少IP。的加密需求越來越強(qiáng)，安全協(xié)議的開發(fā)是一大勢(shì)點(diǎn)。對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警將成為防火墻的重要功能，將逐步建立和完善入侵檢測(cè)數(shù)據(jù)庫。