史登勇

(六盤水師范學(xué)院)

0 引言

近年來，互聯(lián)網(wǎng)信息技術(shù)快速發(fā)展，越來越廣泛的應(yīng)用于人們的日常生活.與此同時，網(wǎng)絡(luò)安全問題也顯得尤為突出，在復(fù)雜的網(wǎng)絡(luò)大環(huán)境中，由于網(wǎng)絡(luò)遭到破壞而產(chǎn)生的損失不計(jì)其數(shù)，網(wǎng)絡(luò)安全成為互聯(lián)網(wǎng)進(jìn)一步發(fā)展的一大阻力.雖然，防火墻技術(shù)一直在不斷完善，但是信息技術(shù)的快速更新?lián)Q代，讓很多問題防不勝防.計(jì)算機(jī)技術(shù)在不斷進(jìn)步，但是非法入侵的手段也是層出不窮，防火墻作為最堅(jiān)實(shí)的一道防線，對其的要求也更為嚴(yán)格.研究防火墻技術(shù)發(fā)展的每一個階段及其工作原理，對于提高防火墻技術(shù)有著重要的作用.

1 防火墻的基本定義

防火墻是一種存在于內(nèi)部網(wǎng)絡(luò)跟外部網(wǎng)絡(luò)之間的維護(hù)網(wǎng)絡(luò)安全的系統(tǒng).其實(shí)就是，通過軟件設(shè)備跟硬件設(shè)備相互組合形成的，可以存在于內(nèi)部網(wǎng)絡(luò)跟外部網(wǎng)絡(luò)、專用網(wǎng)絡(luò)和公用網(wǎng)絡(luò)之間的系統(tǒng)保護(hù)程序.計(jì)算機(jī)硬件跟軟件相互結(jié)合，在不同網(wǎng)絡(luò)之間形成一個安全網(wǎng)關(guān)，可以避免外部非法用戶的入侵，保護(hù)內(nèi)部網(wǎng)絡(luò)安全.一般的防火墻將都是由“服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)”4個部分構(gòu)成，所有進(jìn)出計(jì)算機(jī)的信息和數(shù)據(jù)都必須通過這道防火墻檢測.

2 傳統(tǒng)防火墻技術(shù)的發(fā)展過程及原理

2.1 傳統(tǒng)防火墻技術(shù)的發(fā)展過程

每一次計(jì)算機(jī)技術(shù)的更新?lián)Q代，也代表著防火墻技術(shù)的一次質(zhì)的飛躍.根據(jù)傳統(tǒng)防火墻技術(shù)的發(fā)展過程和技術(shù)特點(diǎn)，劃分傳統(tǒng)防火墻技術(shù)發(fā)展階段最常見的方法是將其分為三個階段:第一個階段是基于路由器的第一代包過濾防火墻，第二階段是基于代理技術(shù)的第二代防火墻，第三階段是基于動態(tài)包過濾技術(shù)的第三代防火墻.對于傳統(tǒng)防火墻的劃分，還有不同的方法，有的研究者會將傳統(tǒng)防火墻的發(fā)展分為五個階段.到底哪種劃分更為科學(xué)合理，一直都是仁者見仁智者見智.由于，按照階段劃分傳統(tǒng)防火墻的方法一直存在分歧，所以人們更傾向于按照功能來進(jìn)行劃分，可以分為四種類型:包過濾、狀態(tài)檢測、電路層網(wǎng)關(guān)、應(yīng)用層網(wǎng)關(guān)，其它類型的防火墻也可以參照這些基本類型為研究基礎(chǔ).

2.2 傳統(tǒng)防火墻技術(shù)的工作原理

通過研究傳統(tǒng)防火墻技術(shù)，發(fā)現(xiàn)不同類型防火墻技術(shù)都是根據(jù)不同的技術(shù)原理，并且在功能上都有自己優(yōu)點(diǎn)和不足之處，具體如下.

(1)包過濾防火墻.這種類型的防火墻又叫網(wǎng)絡(luò)級防火墻，它是第一代防火墻，在OSI中的工作層次主要是第三、第四層.這種防火墻技術(shù)的工作原理主要是:在相互連接的網(wǎng)絡(luò)設(shè)備中，加載一些特殊的指令，如:允許或者禁止來自某些特定的源地址、目標(biāo)地址、TCP終端號等，通過相應(yīng)指令對設(shè)備的數(shù)據(jù)包進(jìn)行一系列檢查，限制有危險(xiǎn)性的數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò).這種類型防火墻的優(yōu)點(diǎn)很明顯，可以對用戶保持極高的透明的度，并且工作效率極高.但是它也存在很嚴(yán)重的缺點(diǎn)，這種防火墻不能完全控制網(wǎng)絡(luò)上大量流動的信息，只能進(jìn)行最初級安全維護(hù)，面對技術(shù)含量高的攻擊毫無抵抗力，并且很難進(jìn)行維護(hù)升級，無法從根本上維護(hù)用戶的安全.

(2)狀態(tài)檢測防火墻.狀態(tài)檢測防火墻又被稱為動態(tài)包過濾防火墻，它是傳統(tǒng)防火墻技術(shù)發(fā)展的第三代，在OSI中的工作層次也主要是第三、第四層.它的工作原理與包過濾防護(hù)墻完全不同，它是利用狀態(tài)表對每一個用戶的網(wǎng)絡(luò)會話狀態(tài)進(jìn)行追蹤，并利用規(guī)則表對每一個網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢查，研究數(shù)據(jù)包是否符合會話所處的狀態(tài)，從而對傳輸層進(jìn)行完整的控制.這種防火墻技術(shù)的特點(diǎn)是技術(shù)性能很高，可以有效地規(guī)范網(wǎng)絡(luò)層及傳輸層的行為，并且對用戶保持較高的透明度;但是這種防火墻技術(shù)有一個很大的缺陷，就是它不能確保應(yīng)用層的安全，導(dǎo)致系統(tǒng)仍然存在很強(qiáng)的安全風(fēng)險(xiǎn).

(3)電路層網(wǎng)關(guān)防火墻.電路層網(wǎng)關(guān)是防火墻技術(shù)發(fā)展的第二代，又叫電路層代理防火墻，主要是作用于OSI中的會話層.這種防火墻技術(shù)的工作原理相對于其它技術(shù)來說比較復(fù)雜，它不允許內(nèi)部終端跟外部終端通過TCP進(jìn)行直接連接，必須建立兩個獨(dú)立的TCP連接，一個作用于防火墻跟內(nèi)部主機(jī)之間，而另一個則作用于防火墻跟外部主機(jī).來自外部網(wǎng)絡(luò)的某個連接一旦被電路層防火墻所認(rèn)可，此連接的TCP數(shù)據(jù)段就會被防火墻從外部連接轉(zhuǎn)入內(nèi)部連接，此時內(nèi)部連接已經(jīng)不需要對其中的內(nèi)容再次進(jìn)行重復(fù)檢測.這種防火墻技術(shù)的最大特點(diǎn)是比應(yīng)用層網(wǎng)關(guān)更為靈活，工作效率更高;但是這種技術(shù)對用戶來說不是透明的，并且當(dāng)用戶需要安裝比較特別的客戶機(jī)軟件時，用戶需要其它接口輔助來完成軟件安裝或者改變防火墻設(shè)置，這種防火墻技術(shù)不能有效提高底層協(xié)議的安全性.

(4)應(yīng)用層網(wǎng)關(guān)防火墻.應(yīng)用層網(wǎng)關(guān)防火墻又被稱為代理防火墻，它是傳統(tǒng)防火墻技術(shù)發(fā)展的第二、第三代，主要是作用于OSI中的應(yīng)用層.這種防火墻技術(shù)曾被普遍運(yùn)用于網(wǎng)絡(luò)安全維護(hù)，應(yīng)為它的整個運(yùn)作過程能夠充分滿足用戶的需要.當(dāng)代理服務(wù)器收到用戶的連接訊號之后，它們會快速核實(shí)用戶請求，然后通過特定的Proxy應(yīng)用程序?qū)B接請求進(jìn)行進(jìn)一步處理，再將處理后的請求傳送到真實(shí)的服務(wù)器上，此時真實(shí)的處理器會很快做出應(yīng)答，對信息進(jìn)行快速處理后將答復(fù)反饋給用戶.這種防火墻技術(shù)是比較成熟的，它的安全性能夠得到保證，可以讓一些安全策略有效實(shí)行，如身份驗(yàn)證等;再完美的技術(shù)也會存在漏洞，應(yīng)用層網(wǎng)關(guān)防火墻技術(shù)要求每一個合法的服務(wù)都必須在代理服務(wù)器上才可以啟動相應(yīng)進(jìn)程，這樣做的后果是服務(wù)器的工作量非常大，且效率極低，對用戶的透明度也不高，無法滿足用戶的使用需求.

其次，還有很經(jīng)典的復(fù)合型防火墻，這是一種集合過濾狀態(tài)檢測與應(yīng)用網(wǎng)關(guān)代理技術(shù)的防火墻，通過兩種技術(shù)的結(jié)合，可以提高防火墻各方面的性能.通過對傳統(tǒng)防火墻技術(shù)進(jìn)行分析，發(fā)現(xiàn)傳統(tǒng)防火墻技術(shù)的核心是包過濾.靜態(tài)包過濾、動態(tài)包過濾、狀態(tài)檢測包過濾屬于直接的過濾技術(shù)，可以對數(shù)據(jù)包進(jìn)行直接過濾;而電路層代理、應(yīng)用代理等技術(shù)屬于間接過濾，他們不但會對數(shù)據(jù)包進(jìn)行過濾還會對相關(guān)協(xié)議、內(nèi)容以及數(shù)據(jù)等其他元素進(jìn)行過濾，以維護(hù)用戶安全.

2.3 傳統(tǒng)防火墻技術(shù)面臨的威脅

防火墻作為保護(hù)網(wǎng)絡(luò)安全的大門，防火墻技術(shù)已經(jīng)是互聯(lián)網(wǎng)技術(shù)中最成熟的技術(shù)之一，是網(wǎng)絡(luò)安全管理員維護(hù)網(wǎng)絡(luò)安全的堅(jiān)實(shí)防御工具.但是，一直以來傳統(tǒng)的防火墻的技術(shù)核心基本上都是包過濾技術(shù).隨著這種病毒的出現(xiàn)、黑客技術(shù)的提高，內(nèi)部網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)日益增加，傳統(tǒng)防火墻在這樣的環(huán)境下可能不堪一擊.網(wǎng)絡(luò)中97%的通信流量都是由“HTTP、FTP、SMTP和DNS”等應(yīng)用協(xié)議流組成，當(dāng)這些協(xié)議被黑客攻擊的時候，傳統(tǒng)的包過濾防火墻根本無力阻擋.近年來，黑客入侵造成網(wǎng)絡(luò)危害的事故屢見不鮮，很多黑客在網(wǎng)絡(luò)上傳播蠕蟲病毒，蠕蟲病毒利用用戶系統(tǒng)的漏洞進(jìn)行傳播、侵入系統(tǒng)，給廣大網(wǎng)絡(luò)用戶造成無法預(yù)計(jì)的損失.可以說黑客跟蠕蟲病毒的結(jié)合，是傳統(tǒng)防火墻面臨的最巨大的威脅.

雖然人們一直在尋求傳統(tǒng)防火墻技術(shù)的突破，人們將防火墻、VPN、防病毒網(wǎng)關(guān)、防拒絕服務(wù)攻擊網(wǎng)關(guān)、IDS等維護(hù)網(wǎng)絡(luò)安全的產(chǎn)品疊加，希望以此增強(qiáng)防火墻的能力.雖然這種方法在某種程度上能夠解決一些問題，但是卻會衍生出其他問題:

(1)在這方面的成本會成倍提高;

(2)疊加的產(chǎn)品越多，存在的安全隱患也越多;

(3)多個設(shè)備相互合作雖然能夠全方面維護(hù)網(wǎng)絡(luò)安全，卻會產(chǎn)生網(wǎng)絡(luò)性能瓶頸.

互聯(lián)網(wǎng)世界瞬息萬變，為了維護(hù)網(wǎng)絡(luò)安全，必須采用新技術(shù)來解決目前的問題.互聯(lián)網(wǎng)世界容不得絲毫懈怠，只有不斷創(chuàng)新、不斷進(jìn)步，尋找更加先進(jìn)的技術(shù)，才能將維護(hù)網(wǎng)絡(luò)安全的主動性掌握在自己手中.舊的防火墻技術(shù)已然不能滿足當(dāng)下的需要，新的防火墻技術(shù)也就應(yīng)運(yùn)而生.

3 新防火墻技術(shù)

新的防火墻技術(shù)更加注重?cái)?shù)據(jù)的安全性，在這樣的情況下防火墻不僅僅是維護(hù)網(wǎng)絡(luò)安全，也要保證各種應(yīng)用能夠正常進(jìn)行.因此，新的防火墻技術(shù)較傳統(tǒng)的防火墻技術(shù)來說，新增代理體系，不但包含過濾網(wǎng)功能，還可以在應(yīng)用層進(jìn)行代理.先進(jìn)的過濾網(wǎng)以及代理體系可以實(shí)現(xiàn)從數(shù)據(jù)鏈路層到應(yīng)用層的全方面系統(tǒng)維護(hù)，通過TCP/IP協(xié)議跟代理體系的相互合作，為用戶提供完全公開透明的代理模式，從而減少客戶端的安全配置，提高系統(tǒng)的防御能力和運(yùn)行速度.新的防火墻技術(shù)不但具有訪問控制功能，還新增了其它的新技術(shù)，使得防火墻的安全性進(jìn)一步提高.

3.1 智能防火墻技術(shù)

3.1.1 概念

智能防火墻技術(shù)是通過統(tǒng)計(jì)、儲存、概率以及決策的形式對數(shù)據(jù)進(jìn)行識別，從而進(jìn)行訪問控制.新技術(shù)的運(yùn)用，不但可以減少匹配檢查所需要進(jìn)行的計(jì)算過程，還可以迅速發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，達(dá)到直接控制訪問的目的.因?yàn)檫@種方法最早是適用于人工智能學(xué)科，所以被稱為智能防火墻.智能防火墻主要是運(yùn)用AAA技術(shù)、防掃描技術(shù)、防攻擊技術(shù)、包擦洗和協(xié)議正?；夹g(shù)、入侵防御技術(shù)、防欺騙技術(shù)，來實(shí)現(xiàn)整個網(wǎng)絡(luò)安全的維護(hù).

3.1.2 AAA 技術(shù)

IP v4版本有一個最大的缺陷，就是不能進(jìn)行身份認(rèn)證，為了彌補(bǔ)不足，IP v6版本新增了此功能.但是IP v6版本還沒有完全被人們所適應(yīng)，相當(dāng)長的時間內(nèi)還是IP v4版本大行其道.

3.1.3 防掃描技術(shù)

智能防火墻新增放掃描技術(shù)，可以高效識別黑客的惡意掃描，并進(jìn)行阻止或者給掃描者造成假象.目前最常用的掃描工具是 ISS、SSS、NMAP等，通過防掃描技術(shù)不但可以防止惡性掃描，還可以識別和解決惡意代碼的惡性攻擊，提高系統(tǒng)的防御性.

3.1.4 防攻擊技術(shù)

防攻擊技術(shù)是智能防火墻的主要技術(shù)之一，可以快速識別惡意數(shù)據(jù)，有效地阻斷惡性數(shù)據(jù)攻擊.比如“SYN Flooding，LandAttack，UDP Flooding，F(xiàn)raggle Attack，Ping Flooding，Smurf，Ping of Death，Unreachable Host”等攻擊，都可以通過防攻擊技術(shù)輕易破解.

3.1.5 包擦洗和協(xié)議正?；夹g(shù)

智能防火墻新增包擦洗技術(shù)，可以對“IP，TCP，UDP，ICMP”等協(xié)議進(jìn)行擦洗，這種技術(shù)對于彌補(bǔ)TCP/IP協(xié)議的漏洞以及解決應(yīng)用協(xié)議所帶來威脅有著顯著作用.通過挖掘協(xié)議存在的漏洞和風(fēng)險(xiǎn)，阻止惡性攻擊，保證協(xié)議的正常運(yùn)行.3.1.6 入侵防御技術(shù)

智能防火墻為了提高準(zhǔn)許放行包的可靠性，會對準(zhǔn)許放行包數(shù)據(jù)做入侵檢測，并制定一定的入侵防御保護(hù)措施.實(shí)際上入侵防御技術(shù)是利用多種檢測技術(shù)，通過檢測已知的攻擊以及未知的攻擊，做好提前預(yù)防工作，保證系統(tǒng)的正常運(yùn)行.3.1.7 防欺騙技術(shù)

智能防火墻防欺騙技術(shù)可以提供以MAC為基礎(chǔ)的訪問控制機(jī)制，可以高效預(yù)防MAC欺騙和IP欺騙，同時可以支持MAC過濾以及IP過濾，有效的把防火墻訪問控制延伸到OSI的第二層.

3.2 智能防火墻的優(yōu)點(diǎn)

智能防火墻可以有效地解決拒絕服務(wù)攻擊的問題，病毒擴(kuò)散問題、高級應(yīng)用入侵問題，這個將是以后防火墻發(fā)展的主要方向.另一方面，智能防火墻技術(shù)作為新的防火墻技術(shù)與傳統(tǒng)防火墻技術(shù)相比，具有更高的安全性，同時達(dá)到特權(quán)最小化、系統(tǒng)最小化、內(nèi)核優(yōu)化、系統(tǒng)更加穩(wěn)固、網(wǎng)絡(luò)性能提高等功能，這是防火墻技術(shù)產(chǎn)生質(zhì)的飛躍的最佳表現(xiàn).

3.3 智能防火墻技術(shù)的應(yīng)用領(lǐng)域

3.3.1 入侵防御

智能防火墻為了提高準(zhǔn)許放行包可靠性，會對準(zhǔn)許放行包進(jìn)行數(shù)據(jù)檢測，并提供一定的入侵防御保護(hù)措施，這樣做不但可以實(shí)現(xiàn)對深層數(shù)據(jù)包的有效檢測，還可以高效的阻斷惡性程序?qū)?yīng)用層的惡意攻擊，維護(hù)系統(tǒng)的安全.入侵防御是智能防火墻最廣泛的應(yīng)用領(lǐng)域，并在此領(lǐng)域取得了顯著成果.

3.3.2 防黑客攻擊領(lǐng)域

智能防火墻可以快速識別來自黑客的惡性攻擊，并且快速的阻止惡性掃描者對系統(tǒng)進(jìn)行惡意掃描，通過掃描工具可以快速發(fā)覺惡意訊號，并迅速做出處理，保證系統(tǒng)不被入侵，信息不被泄露，維護(hù)系統(tǒng)安全.

3.3.3 防范未知風(fēng)險(xiǎn)

智能防火墻有包擦洗技術(shù)，可以為 IP、TCP、UDP、ICMP等協(xié)議進(jìn)行擦洗，發(fā)現(xiàn)協(xié)議存在的風(fēng)險(xiǎn)，阻斷惡意攻擊，從而保證協(xié)議能夠正常運(yùn)行.

總之，智能防火墻技術(shù)與傳統(tǒng)防火墻技術(shù)相比，在保護(hù)網(wǎng)絡(luò)完全、阻止黑客攻擊、防止病毒擴(kuò)散、監(jiān)控系統(tǒng)風(fēng)險(xiǎn)等方面有著全面的提高，新的智能防火墻技術(shù)現(xiàn)在已經(jīng)被廣泛的應(yīng)用于維護(hù)網(wǎng)絡(luò)安全，并且取得了顯著的成果.

4 新防火墻技術(shù)的發(fā)展趨勢

隨著網(wǎng)絡(luò)攻擊形式的千變?nèi)f化，防火墻技術(shù)只有不斷進(jìn)步，才能滿足維護(hù)網(wǎng)絡(luò)安全的需要.現(xiàn)在的防火墻技術(shù)雖然取得了一定進(jìn)步，但是他還需不斷發(fā)展，未來的防火墻技術(shù)發(fā)展的趨勢將體現(xiàn)在性能不斷提高，技術(shù)另辟蹊徑，功能增多這三個方面.

4.1 性能不斷提高

隨著網(wǎng)絡(luò)的快速發(fā)展，傳統(tǒng)的防火墻技術(shù)早已無法滿足用戶需要，以后的防火墻速度會更快，功能更加多樣，更加安全.在NP的框架下，防火墻不但可以快速處理數(shù)據(jù)包，還可以快速的對復(fù)雜內(nèi)容進(jìn)行分析，這些都需要NP微引擎和內(nèi)核之間的通信機(jī)制相互配合，才可以完成.并且，NP的高速運(yùn)行可以幫助實(shí)現(xiàn)整個網(wǎng)絡(luò)的路由.所以，以后的防火墻可能會采用NP芯片作為專門的處理器，提高整個防火墻的性能.

4.2 技術(shù)另辟蹊徑

現(xiàn)在普遍使用的過濾技術(shù)日趨成熟，由數(shù)據(jù)包到協(xié)議，由應(yīng)用到內(nèi)容，由內(nèi)核空間到應(yīng)用空間，都從簡單變得復(fù)雜，過濾技術(shù)已經(jīng)涉及到網(wǎng)絡(luò)的方方面面.但是人們卻忽視一點(diǎn)，防火墻的目的是執(zhí)行訪問控制，而不是過濾.過濾技術(shù)只是訪問控制的一種技術(shù)，但不是訪問控制技術(shù)的所有，現(xiàn)在人們對防火墻的要求不斷提高，為了取得進(jìn)一步突破，需要在技術(shù)上另辟蹊徑，才能在復(fù)雜的網(wǎng)絡(luò)大環(huán)境中取得勝利.

4.3 功能不斷增多

由于傳統(tǒng)的防火墻在實(shí)際應(yīng)用中有著很強(qiáng)的局限性，所以必須將不同的網(wǎng)絡(luò)安全技術(shù)跟防火墻技術(shù)有機(jī)的結(jié)合起來，增強(qiáng)防火墻自身的功能.防火墻技術(shù)跟防病毒系統(tǒng)相互結(jié)合，可以迅速掃描病毒，將病毒扼殺在搖籃里;防火墻系統(tǒng)跟認(rèn)證系統(tǒng)相互結(jié)合，可以提高認(rèn)證系統(tǒng)的安全性;防火墻跟入侵檢測系統(tǒng)的結(jié)合，可以隨時檢測網(wǎng)絡(luò)動靜，維護(hù)網(wǎng)絡(luò)內(nèi)外的穩(wěn)定性.以后防火墻的功能會越來越多，從各方面維護(hù)系統(tǒng)安全，滿足用戶所有的需求.

5 結(jié)束語

防火墻作為維護(hù)網(wǎng)絡(luò)安全的大門，是實(shí)現(xiàn)網(wǎng)絡(luò)安全穩(wěn)定的主要手段之一.如果運(yùn)用合理的防火墻技術(shù)，可以在很大程度上增強(qiáng)網(wǎng)絡(luò)的安全.雖然維護(hù)網(wǎng)絡(luò)安全光靠防火墻技術(shù)是遠(yuǎn)遠(yuǎn)不夠的，還需要其它技術(shù)的相互配合，在不同的部分應(yīng)用不同的技術(shù).但是對于防火墻技術(shù)的研究卻不能夠停止，只有不斷進(jìn)步，才能提高防火墻的防御能力，維護(hù)網(wǎng)絡(luò)安全.

［1］占科.計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)淺析［J］.企業(yè)導(dǎo)報(bào)，2011(11).

［2］玄文啟.基于Internet的防火墻技術(shù)分析［J］.中國科技信息，2011(19).

［3］張鐵玉.淺談Internet防火墻技術(shù)［J］.硅谷，2011(6).